WO2022162988A1

WO2022162988A1 - 車両制御装置

Info

Publication number: WO2022162988A1
Application number: PCT/JP2021/031907
Authority: WO
Inventors: 浩幸羽生
Original assignee: 日立Astemo株式会社
Priority date: 2021-01-28
Filing date: 2021-08-31
Publication date: 2022-08-04
Also published as: DE112021005557T5; JPWO2022162988A1; JP7519470B2

Abstract

車両制御装置は、少なくともＨＳＭハードウェア処理部１２、ソフトウェア演算処理部（ソフトウェア演算処理部暗号モジュール１３）、ＨＳＭハードウェア診断部１４、制御部１１を備える。ＨＳＭハードウェア処理部１２は、暗号化及び復号化の処理を行うハードウェアセキュリティモジュールである。ソフトウェア演算処理部は、ＨＳＭハードウェア処理部１２と同じ暗号化及び復号化の処理をプロセッサにより行う。ＨＳＭハードウェア診断部１４は、ＨＳＭハードウェア処理部１２を診断する。制御部１１は、ＨＳＭハードウェア診断部１４の診断の結果に応じて、ＨＳＭハードウェア処理部１２の処理とソフトウェア演算処理部１３の処理を切り替える。

Description

車両制御装置

　本発明は、車両制御装置に関する。

　車両の電動化、システム化により、車載ネットワークからのセキュリティ脅威が増加したことで車両制御装置におけるサイバーセキュリティ対応が必須となっている。セキュリティ対策においては、安全性や処理能力向上の為、専用ハードウェアであるＨＳＭ（Ｈａｒｄｗａｒｅ　ｓｅｃｕｒｉｔｙ　ｍｏｄｕｌｅ）が使用されている。

　また、車載ネットワークに接続されるＥＣＵ（Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）は複数存在するため、セキュリティ対策を実施すると、ハードウェアあるいはソフトウェアの処理負荷が増加し、処理能力が低下する問題がある。

　ＨＳＭを用いて暗号演算処理を行う場合に処理能力を向上させる技術が、例えば特許文献１により知られている。この特許文献１の技術では、ＨＳＭ等の暗号モジュールを複数備えておき、最も負荷のかかっていない暗号モジュールを用いて暗号演算を行うことで、処理性能を向上することが可能である。

特許第５３４６１１１号公報

　特許文献１では、ＨＳＭハードウェアを含めた暗号モジュールを複数備えておくことで処理性能を向上させることが可能となっているが、ＨＳＭハードウェアに障害が発生した場合の動作については考慮されていない。車両制御装置においては、ハードウェアに障害が発生した場合でも、動作を継続する必要がある。

　本発明は、ＨＳＭハードウェア処理部に障害が発生した場合でも、暗号化及び復号化の処理を継続することができる車両制御装置を提供することを目的とする。

　上記目的を達成するために、本発明の車両制御装置は、暗号化及び復号化の処理を行うハードウェアセキュリティモジュールを示すＨＳＭハードウェア処理部と、前記ＨＳＭハードウェア処理部と同じ暗号化及び復号化の処理をプロセッサにより行うソフトウェア演算処理部と、前記ＨＳＭハードウェア処理部を診断するＨＳＭハードウェア診断部と、前記ＨＳＭハードウェア診断部の診断の結果に応じて、前記ＨＳＭハードウェア処理部の処理と前記ソフトウェア演算処理部の処理を切り替える制御部と、を備える。

　本発明によれば、ＨＳＭハードウェア処理部に障害が発生した場合でも、暗号化及び復号化の処理を継続することができる。上記した以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。

第１の実施の形態に係る車両制御装置の全体構成を示すブロック図である。第１の実施の形態に係る車両制御装置の全体構成を示す第２のブロック図である。第１の実施の形態におけるＨＳＭハードウェア処理部の機能ブロックの一例を示す図である。第１の実施の形態の車両制御装置における暗号モジュール選択の一例を示す図である。第１の実施の形態の車両制御装置における暗号モジュール選択動作の概念図である。第１の実施の形態に係る車両制御装置の通信初期化処理動作を説明するフローチャートである。第１の実施の形態に係る車両制御装置のメッセージ送受信処理動作を説明するフローチャートである。第２の実施の形態の車両制御装置における暗号モジュール選択の一例を示す図である。第２の実施の形態の車両制御装置における暗号モジュール選択動作の概念図である。第２の実施の形態に係る車両制御装置のメッセージ送受信処理動作を説明するフローチャートである。第３の実施の形態の車両制御装置においてＥＣＵ上に搭載されるアプリケーションの一例を示す図である。第３の実施の形態の車両制御装置における暗号モジュール選択の一例を示す図である。第３の実施の形態の車両制御装置における暗号モジュール選択動作を示した概念図である。第３の実施の形態に係る車両制御装置のメッセージ送受信処理動作を説明するフローチャートである。第４の実施の形態に係る車両制御装置の全体構成を示すブロック図である。第４の実施の形態の車両制御装置において複数のＥＣＵ上に搭載されるアプリケーションの一例を示す図である。第４の実施の形態の車両制御装置における暗号モジュール選択の一例を示す図である。第４の実施の形態の車両制御装置における暗号モジュール選択動作を示した概念図である。第４の実施の形態に係る車両制御装置の統合ＥＣＵ処理動作を説明するフローチャートである。第４の実施の形態に係る車両制御装置のパワートレイン制御ＥＣＵ処理動作を説明するフローチャートである。

　以下、添付図面を参照して本実施形態について説明する。添付図面では、機能的に同じ要素は同じ番号で表示される場合もある。なお、添付図面は本開示の原理に則った実施形態と実装例を示しているが、これらは本開示の理解のためのものであり、決して本開示を限定的に解釈するために用いられるものではない。本明細書の記述は典型的な例示に過ぎず、本開示の特許請求の範囲又は適用例を如何なる意味においても限定するものではない。

　本実施形態では、当業者が本開示を実施するのに十分詳細にその説明がなされているが、他の実装・形態も可能で、本開示の技術的思想の範囲と精神を逸脱することなく構成・構造の変更や多様な要素の置き換えが可能であることを理解する必要がある。従って、以降の記述をこれに限定して解釈してはならない。

　［第１の実施の形態］
　図１のブロック図を参照して、第１の実施の形態の車両制御装置を説明する。

　第１の実施の形態の車両制御装置は、ＥＣＵ１０内に制御部１１、ＨＳＭハードウェア処理部１２、ソフトウェア演算処理部暗号モジュール１３、ＨＳＭハードウェア診断部１４（ＨＳＭ）、負荷率測定部１５を備えて構成される。なお、ＥＣＵ１０はマイクロコンピュータあるいは車載用ＳｏＣ（Ｓｙｓｔｅｍ　ｏｎ　ａ　ｃｈｉｐ）などに置き換えることも可能である。また、ソフトウェア演算処理部暗号モジュール１３は１つとは限らず、複数備えることも可能である。なお、ソフトウェア演算処理部暗号モジュール１３は、以下、ソフトウェア演算暗号モジュール（ソフトウェア演算処理部）と呼ばれることがある。

　図２は、ＨＳＭハードウェア処理部２２をＥＣＵ２０内ではなく、外部に配置した場合のブロック図の例である。第１の実施の形態においては、図２の構成とすることも可能である。

　図３は、ＨＳＭハードウェア処理部１２の機能ブロック３０の一例である。ＨＳＭハードウェア処理部１２は、鍵保管機能３１、暗号演算機能３２、鍵生成機能３３、乱数発生機能３４を備える。以下の実施形態においては、車両制御装置の動作に影響が大きい暗号演算機能３２に故障が発生した場合について説明している。なお、本実施形態で説明するソフトウェア演算処理部暗号モジュール１３（図１、２）は、ＨＳＭハードウェア処理部１２の暗号演算機能３２（図３）と同等の機能を持ち、ＨＳＭハードウェア処理部１２の代替として使用できるものとする。

　図４は、第１の実施の形態の車両制御装置における暗号モジュール選択の一例を示す図である。ＨＳＭハードウェア処理部１２の状態（正常、異常）および負荷率の状態（通常、高負荷）に応じて暗号モジュール（ＨＳＭあるいはソフトウェア演算暗号モジュール）を選択する。

　図５は、各状態における暗号モジュール選択動作の概念図である。なお、図５のＳＷ暗号モジュールは、ソフトウェア演算処理部暗号モジュール１３を意味する。

　［パターン１－１］
　ＨＳＭハードウェア処理部１２が正常で、かつ負荷率が通常の場合は、制御部１１はＨＳＭハードウェア処理部１２のみを選択する。

　［パターン１－２］
　ＨＳＭハードウェア処理部１２が正常で、かつ負荷率が高負荷の場合は、制御部１１はＨＳＭハードウェア処理部１２およびソフトウェア演算暗号モジュール（ソフトウェア演算処理部暗号モジュール１３）を選択する。

　［パターン１－３］
　ＨＳＭハードウェア処理部１２が異常（故障）の場合は、制御部１１はソフトウェア演算暗号モジュールを選択する。ソフトウェア処理はハードウェア処理に比べて、処理速度が遅くなるが、故障発生時の縮退時は通信を制限することでソフトウェアでも代替可能となる。

　図６～７のフローチャートを参照して、第１の実施の形態の動作をより具体的に説明する。

　まず、図６において、ＥＣＵの制御部１１は、通信初期化処理を開始する（Ｓ１００）。

　次いで、ＨＳＭハードウェア診断処理を実行する（Ｓ１０１）。診断処理は、ＨＳＭハードウェア診断部１４で実行され、制御部１１からテスト用の暗号演算コマンド（例えば、予め期待値がわかっている暗号演算コマンド）を発行し、正常な応答かどうかを確認する。すなわち、ＨＳＭハードウェア診断部１４は、ＨＳＭハードウェア処理部１２の応答が正常でない場合（例えば、応答値が期待値と異なる）、ＨＳＭハードウェア処理部１２が故障していると判定する。

　Ｓ１０２で正常な応答である場合（ＹＥＳ）、Ｓ１０３に移る。正常な応答でない場合（ＮＯ）、Ｓ１０４に移る。

　Ｓ１０３では、制御部１１は、ＨＳＭエラー無を設定する。例えば、制御部１１は、ＨＳＭハードウェア処理部１２からの応答が正常である場合、ＨＳＭハードウェア処理部１２にエラーが発生していることを示すエラーフラグをオフにする。なお、エラーフラグは、メモリ等に記憶される。

　Ｓ１０４では、ＨＳＭエラー有りを設定する。その後、Ｓ１０５に移る。例えば、制御部１１は、ＨＳＭハードウェア処理部１２からの応答が正常でない場合、エラーフラグをオンにする。

　こうして、通信初期化処理が終了する（Ｓ１０５）。

　通信初期化処理が終了すると、図７において、制御部１１は、メッセージ送受信処理を開始する（Ｓ１１０）。

　Ｓ１１１では、図６の通信初期化処理のＳ１０３あるいはＳ１０４で設定されたＨＳＭエラー設定を確認する。

　Ｓ１１２では、エラー無である場合（ＹＥＳ）、Ｓ１１３に移る。エラー有の場合（ＮＯ）、Ｓ１１５に移る。

　Ｓ１１３では、制御部１１は、負荷率測定部１５から負荷率情報を取得する。負荷率測定部１５は、ＨＳＭハードウェア処理部１２およびソフトウェア演算処理部暗号モジュール１３のそれぞれの暗号演算処理の時間を計測することで、負荷率を計測する。あるいは、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）の利用率を取得することで負荷率の目安としてもよい。なお、本実施形態においては、負荷率は予め設定した閾値以上であるか否かにより、通常状態と高負荷状態の２段階としているが、これに限定されるものではなく、例えば３段階又はそれ以上としてもよい。

　Ｓ１１４では、高負荷状態と判定した場合（ＹＥＳ）、Ｓ１１６に移る。通常状態と判定した場合（ＮＯ）、Ｓ１１７に移る。

　Ｓ１１５では、ソフトウェア演算処理部暗号モジュール１３を選択する。

　Ｓ１１６では、ＨＳＭハードウェア処理部１２およびソフトウェア演算処理部暗号モジュール１３を同時に選択する。同時に選択することで、暗号演算処理の並行処理が可能となり、処理負荷を軽減することができる。

　Ｓ１１７では、ＨＳＭハードウェア処理部１２のみを選択する。

　Ｓ１１８では、上記ステップで選択したＨＳＭハードウェア処理部１２あるいはソフトウェア演算処理部暗号モジュール１３を使用して、メッセージ認証処理を実行する。メッセージ認証処理とは、送受信するデータ（メッセージ）に対して、暗号化されたＭＡＣ（Ｍｅｓｓａｇｅ　Ａｕｔｈｅｎｔｉｃａｔｉｏｎ　Ｃｏｄｅ）を付与して、通信のなりすましやデータ改ざんを防ぐセキュリティ技術である。このメッセージ認証処理の中でＨＳＭハードウェア処理部１２やソフトウェア演算処理部暗号モジュール１３の暗号演算処理が使用される。

　Ｓ１１９では、メッセージ送受信処理を実行し、Ｓ１２０でメッセージ送受信処理が終了する。

　なお、上記実施形態では、ＨＳＭハードウェア診断処理時間を考慮し、図６の通信初期化処理の中でＨＳＭハードウェア診断処理（Ｓ１０１）を実施しているが、必ずしも通信初期化処理時に実行する必要はなく、例えば、メッセージ送受信処理（図７）の中で実行することも可能である。

　本実施形態の特徴は以下のようにまとめることもできる。

　図１に示すように、車両制御装置は、少なくともＨＳＭハードウェア処理部１２、ソフトウェア演算処理部（ソフトウェア演算処理部暗号モジュール１３）、ＨＳＭハードウェア診断部１４、制御部１１を備える。ＨＳＭハードウェア処理部１２は、暗号化及び復号化の処理を行うハードウェアセキュリティモジュールである。ソフトウェア演算処理部（ソフトウェア演算処理部暗号モジュール１３）は、ＨＳＭハードウェア処理部１２と同じ暗号化及び復号化の処理をプロセッサにより行う。ＨＳＭハードウェア診断部１４は、ＨＳＭハードウェア処理部１２を診断する。制御部１１は、ＨＳＭハードウェア診断部１４の診断の結果に応じて、ＨＳＭハードウェア処理部１２の処理とソフトウェア演算処理部１３の処理を切り替える。これにより、ＨＳＭハードウェア処理部１２の診断の結果に応じて、暗号化及び復号化の処理をハードウェア処理又はソフトウェア処理として実行することができる。その結果、ＨＳＭハードウェア処理部１２に障害が発生した場合でも、暗号化及び復号化の処理を継続することができる。

　図４に示すように、制御部１１は、ＨＳＭハードウェア処理部１２が故障していると診断された場合、ＨＳＭハードウェア処理部１２の処理からソフトウェア演算処理部（ソフトウェア演算処理部暗号モジュール１３）の処理へ切り替える。これにより、ＨＳＭハードウェア処理部１２が故障しても、ＨＳＭハードウェア処理部１２の処理をソフトウェア演算処理部（ソフトウェア演算処理部暗号モジュール１３）の処理で代替できる。

　図１に示すように、車両制御装置は、ＨＳＭハードウェア処理部１２の負荷率を測定する負荷率測定部１５を備える。図４に示すように、制御部１１は、ＨＳＭハードウェア処理部１２が故障しているか否か（ＨＳＭ状態）、及びＨＳＭハードウェア処理部１２の負荷率に応じて、ＨＳＭハードウェア処理部１２又はソフトウェア演算処理部（ソフトウェア演算処理部暗号モジュール１３）に暗号化及び復号化の処理を行わせる。これにより、ＨＳＭハードウェア処理部１２の負荷率に応じて、暗号化及び復号化の処理のスループットを変えることができる。

　詳細には、制御部１１は、ＨＳＭハードウェア処理部１２が故障していないと診断され（ＨＳＭ状態：正常）、ＨＳＭハードウェア処理部１２の負荷率が第１閾値未満である場合（負荷率：通常）、ＨＳＭハードウェア処理部１２に暗号化及び復号化の処理を行わせる。制御部１１は、ＨＳＭハードウェア処理部１２が故障していないと診断され（ＨＳＭ状態：正常）、ＨＳＭハードウェア処理部１２の負荷率が第１閾値以上である場合（負荷率：高負荷）、ＨＳＭハードウェア処理部１２及びソフトウェア演算処理部（ソフトウェア演算処理部暗号モジュール１３）に暗号化及び復号化の処理を行わせる。制御部１１は、ＨＳＭハードウェア処理部１２が故障していると診断された場合（ＨＳＭ状態：異常）、ソフトウェア演算処理部に暗号化及び復号化の処理を行わせる。これにより、例えば、ＨＳＭハードウェア処理部１２が故障しておらず、ＨＳＭハードウェア処理部１２の負荷率が高い場合に、ハードウェア処理とソフトウェア処理を同時に行うことで、暗号化及び復号化の処理のスループットを向上することができる。

　以上説明したように、第１の実施の形態によれば、ＨＳＭハードウェア処理部に故障が発生しても、ソフトウェア演算暗号モジュールで代替することで、車両を継続して使用することができる。また、負荷率増加時は、ＨＳＭハードウェア処理部１２とソフトウェア演算処理部暗号モジュール１３を同時に使用することで処理負荷の低減も可能となる。

　［第２の実施の形態］
　次に、図８～図１０を参照して、第２の実施の形態の車両制御装置を説明する。

　図８は、第２の実施の形態の車両制御装置における暗号モジュール選択の一例を示す図である。ＨＳＭハードウェア処理部１２の状態（正常、異常）および負荷率の状態（通常、高負荷）に応じて暗号モジュールを選択する。第２の実施の形態では、ソフトウェア演算暗号モジュール数が２の場合を示している。ＥＣＵ内にマイクロコンピュータとして複数のコアを持つマルチコアマイコンを使用した場合、コア毎（第２の実施の形態では、Ｃｏｒｅ１、Ｃｏｒｅ２としている）にソフトウェア演算暗号モジュールを構成することが可能となる。

　なお、第２の実施の形態では、ソフトウェア演算暗号モジュール数を２としたが、これに限定されるものではなく、例えば３以上としてもよい。ソフトウェア演算暗号モジュール数が増加すると、それに伴い暗号モジュール選択パターンも増加する。

　図９は、各状態における暗号モジュール選択動作の概念図である。

　［パターン２－１］
　ＨＳＭハードウェア処理部１２が正常で、かつ負荷率が通常の場合は、制御部１１はＨＳＭハードウェア処理部１２を選択する。

　［パターン２－２］
　ＨＳＭハードウェア処理部１２が正常で、かつ負荷率が高負荷の場合は、制御部１１はＨＳＭハードウェア処理部１２およびソフトウェア演算暗号モジュール１および２（１３）を選択する。

　［パターン２－３］
　ＨＳＭハードウェア処理部１２が異常（故障）で、かつ高負荷の場合は、制御部１１はソフトウェア演算暗号モジュール１および２（１３）を選択する。

　［パターン２－４］
　ＨＳＭハードウェア処理部１２が異常（故障）で、かつ通常負荷の場合は、制御部１１はソフトウェア演算暗号モジュール１（１３）を選択する。この場合、通常時と処理性能差が発生するため、縮退が必要となる（通信制限状態）。

　図１０のフローチャートを参照して、第２の実施の形態の動作を説明する。

　図１０のフローチャートにおいて、図７のステップと同一の内容のステップについては、図１０において同一のステップ番号を付しているので、その詳細な説明は行わない。

　Ｓ１２１では、ＨＳＭエラーフラグを設定する。

　Ｓ１２２では、高負荷フラグを設定する。

　Ｓ１２３では、前記Ｓ１２１、Ｓ１２２により設定されたフラグにより、使用するモジュールを選択する。車両状態により、４つの選択パターンが存在する。

　本実施形態の特徴は以下のようにまとめることもできる。

　負荷率測定部１５は、ＨＳＭハードウェア処理部１２の負荷率だけでなく、ソフトウェア演算処理部（ソフトウェア演算処理部暗号モジュール１３）の負荷率を測定する。図８に示すように、制御部１１は、ＨＳＭハードウェア処理部１２が故障しているか否か（ＨＳＭ状態）、ＨＳＭハードウェア処理部１２の負荷率、さらにソフトウェア演算処理部（ソフトウェア演算処理部暗号モジュール１３）の負荷率に応じて、ＨＳＭハードウェア処理部１２又はソフトウェア演算処理部（ソフトウェア演算処理部暗号モジュール１３）に暗号化及び復号化の処理を行わせる。これにより、ソフトウェア演算処理部の負荷率に応じて、暗号化及び復号化の処理のスループットを変えることができる。

　詳細には、ソフトウェア演算処理部１３の処理を行うプロセッサは、複数のコアから構成される。図８に示すように、制御部１１は、ＨＳＭハードウェア処理部１２が故障していないと診断され（ＨＳＭ状態：正常）、ＨＳＭハードウェア処理部１２の負荷率が第１閾値以上である場合（負荷率：高負荷）、ＨＳＭハードウェア処理部１２及びプロセッサの２以上のコア（例えば、Ｃｏｒｅ１，Ｃｏｒｅ２）に暗号化及び復号化の処理を行わせる。制御部１１は、ＨＳＭハードウェア処理部１２が故障していると診断され（ＨＳＭ状態：異常）、ソフトウェア演算処理部（ソフトウェア演算処理部暗号モジュール１３）の負荷率が第２閾値以上である場合（負荷率：高負荷）、プロセッサの２以上のコア（例えば、Ｃｏｒｅ１，Ｃｏｒｅ２）に暗号化及び復号化の処理を行わせる。制御部１１は、ＨＳＭハードウェア処理部１２が故障していると診断され（ＨＳＭ状態：異常）、ソフトウェア演算処理部の負荷率が第２閾値未満である場合（負荷率：通常）、プロセッサの１つのコアに暗号化及び復号化の処理を行わせる。これにより、例えば、ＨＳＭハードウェア処理部１２が故障し、ソフトウェア演算処理部の負荷率が高い場合に、ソフトウェア処理を行うコアの数を増やすことで、暗号化及び復号化の処理のスループットを向上することができる。なお、第１閾値と第２閾値は、同じ値であってもよいし、異なる値であってもよい。

　以上説明したように、第２の実施の形態によれば、ＨＳＭハードウェア処理部１２に故障が発生した場合や高負荷状態でも複数のソフトウェア演算処理部暗号モジュール１３で代替することができ、第１の実施の形態に比べ、暗号モジュールの選択パターンを増やすことが可能となり、より柔軟な制御が可能となる。

　［第３の実施の形態］
　図１１は、第３の実施の形態の車両制御装置における複数のアプリケーション搭載例である。このように複数のアプリケーションが１つのＥＣＵ上に搭載されている場合の実施例を以下に説明する。

　図１１において、４つのアプリケーション例を記載している。例えば、パワートレイン制御アプリケーションとしては、エンジンやブレーキ制御、情報制御アプリケーションとしては、カーナビ、ボディ制御アプリケーションとしては、ライト、パワーウィンドウ処理、車両制御アプリケーションとしては走行表示装置などが挙げられる。それぞれのアプリケーションに要求される通信速度や重要度（優先度）が異なっており、ソフトウェア演算処理部暗号モジュール１３による代替可否やハードウェアＨＳＭ（ＨＳＭハードウェア処理部）の必要性についても異なっている。なお、図１１に記載の内容は本実施形態を説明するための一例であり、これに限定されるものではない。

　図１２は、第３の実施の形態の車両制御装置における暗号モジュール選択の一例を示す図である。ＨＳＭハードウェア処理部１２の状態（正常、異常）および負荷率の状態（通常、高負荷）により、各アプリケーションの種類に応じて優先処理決定を行い、使用するソフトウェア演算処理部暗号モジュール１３を選択する。第３の実施の形態では、ソフトウェア演算暗号モジュール数が３の場合を示しているが、これに限定されるものではなく、例えば４以上としてもよい。

　図１３は、各状態における暗号モジュール選択動作の概念図である。

　［パターン３－１］
　ＨＳＭハードウェア処理部１２が正常で、かつ負荷率が通常の場合、パワートレイン制御アプリケーションおよび情報制御アプリケーションは、ＨＳＭハードウェア処理部１２、ボディ制御アプリケーションは、ソフトウェア演算暗号モジュール２（１３）、車両制御アプリケーションは、ソフトウェア演算暗号モジュール３（１３）を選択する。

　［パターン３－２］
　ＨＳＭハードウェア処理部１２が正常で、かつ負荷率が高負荷の場合、パワートレイン制御アプリケーションは、ＨＳＭハードウェア処理部１２およびソフトウェア演算暗号モジュール１（１３）、情報制御アプリケーションは、ＨＳＭハードウェア処理部１２、ボディ制御アプリケーションは、ソフトウェア演算暗号モジュール２（１３）、車両制御アプリケーションは、ソフトウェア演算暗号モジュール３（１３）を選択する。

　［パターン３－３］
　ＨＳＭハードウェア処理部１２が異常（故障）の場合、パワートレイン制御アプリケーションは、ソフトウェア演算暗号モジュール１および２（１３）を同時選択し、情報制御アプリケーションおよびボディ制御アプリケーションは縮退してモジュール選択無しになり、車両制御アプリケーションは、ソフトウェア演算暗号モジュール３（１３）を選択する。

　図１４のフローチャートを参照して、第３の実施の形態の動作を説明する。

　図１４のフローチャートにおいて、第２の実施形態（図１０）のステップと同一の内容のステップについては、図１４において同一のステップ番号を付しているので、その詳細な説明は行わない。

　Ｓ１３０では、メッセージ送受信処理を実行中のアプリケーション種類を取得する。

　Ｓ１３１では、Ｓ１２１、Ｓ１２２で設定されたフラグおよびＳ１３０で取得したアプリケーション種類に応じて優先処理決定を行い、使用する暗号モジュールを選択する。

　本実施形態の特徴は以下のようにまとめることもできる。

　図１２に示すように、制御部１１は、ＨＳＭハードウェア処理部１２が故障しているか否か（車両状態のＨＳＭ）、及びＨＳＭハードウェア処理部１２の負荷率（車両状態の負荷率）、さらにアプリケーションごとの優先度に応じて、ＨＳＭハードウェア処理部１２又はソフトウェア演算処理部（ソフトウェア演算処理部暗号モジュール１３）に暗号化及び復号化の処理を行わせる。これにより、アプリケーションの優先度に応じて、暗号化及び復号化の処理のスループットを変えることができる。

　詳細には、制御部１１は、ＨＳＭハードウェア処理部１２が故障していないと診断され（ＨＳＭ：正常）、ＨＳＭハードウェア処理部１２の負荷率が第１閾値未満である場合（負荷率：通常）、最も高い優先度のアプリケーション（パワートレイン制御アプリケーション）の通信において、ＨＳＭハードウェア処理部１２に暗号化及び復号化の処理を行わせる。制御部１１は、ＨＳＭハードウェア処理部１２が故障していないと診断され（ＨＳＭ：正常）、ＨＳＭハードウェア処理部１２の負荷率が第１閾値以上である場合（負荷率：高負荷）、最も高い優先度のアプリケーション（パワートレイン制御アプリケーション）の通信において、ＨＳＭハードウェア処理部１２及びソフトウェア演算処理部に暗号化及び復号化の処理を行わせる。制御部１１は、ＨＳＭハードウェア処理部１２が故障していると診断された場合（ＨＳＭ：異常）、プロセッサで実行される優先度が最も低いアプリケーション（ボディ制御アプリケーション）を終了し、最も高い優先度のアプリケーション（パワートレイン制御アプリケーション）の通信において、ソフトウェア演算処理部に暗号化及び復号化の処理を行わせる。これにより、優先度が最も高いアプリケーションにプロセッサのリソースを融通することができる。なお、最も高い優先度の前記アプリケーション（パワートレイン制御アプリケーション）は、車両のパワートレインを制御するためのソフトウェアである。

　本実施形態では、プロセッサは、複数のコアから構成される。制御部１１は、ＨＳＭハードウェア処理部１２が故障していないと診断され（ＨＳＭ：正常）、ＨＳＭハードウェア処理部の負荷率が第１閾値以上である場合（負荷率：高負荷）、最も高い優先度の前記アプリケーションの通信において、ＨＳＭハードウェア処理部１２及びプロセッサの少なくとも１つのコアに暗号化及び復号化の処理を行わせる。制御部１１は、ＨＳＭハードウェア処理部１２が故障していると診断された場合（ＨＳＭ：異常）、プロセッサのコアで実行される優先度が最も低いアプリケーションを終了し、最も高い優先度のアプリケーションの通信において、プロセッサの２以上のコアに暗号化及び復号化の処理を行わせる。これにより、優先度が最も高いアプリケーションにプロセッサコアのリソースを融通することができる。

　以上説明したように、第３の実施の形態によれば、ＥＣＵに複数のアプリケーションが搭載されている場合においても、ＨＳＭハードウェア処理部に故障が発生した場合や高負荷状態でもアプリケーションの優先度に応じた処理を選択することが可能となる。

　［第４の実施の形態］
　上記第３の実施の形態では、１つのＥＣＵに複数のアプリケーションを搭載する場合の例であったが、複数のＥＣＵで構成された車両制御装置についても、本発明を適用できる。

　図１５は、第４の実施の形態に係る車両制御装置の全体構成を示すブロック図である。

　統合ＥＣＵ４０は、制御部１１、ＨＳＭハードウェア診断部１４、通信インターフェース４１で構成される。通信インターフェース４１を介して、ＨＳＭハードウェア処理部５０、パワートレイン制御ＥＣＵ６０、情報制御ＥＣＵ７０、ボディ制御ＥＣＵ８０、車両制御ＥＣＵ９０と接続される。

　パワートレイン制御ＥＣＵ６０は、通信インターフェース６１、制御部６２、複数のソフトウェア演算暗号モジュール６３、負荷率測定部６４で構成され、通信インターフェース６１を介して統合ＥＣＵ４０およびＨＳＭハードウェア処理部５０と接続され、ＨＳＭハードウェア処理部５０およびソフトウェア演算暗号モジュール６３（ソフトウェア演算処理部暗号モジュール）を使用して暗号演算処理を実行する。また、通信インターフェース６１を介して負荷率測定結果を統合ＥＣＵ４０に通知する。

　本実施形態では、情報制御ＥＣＵ７０、ボディ制御ＥＣＵ８０、車両制御ＥＣＵ９０については、パワートレイン制御ＥＣＵ６０と同様の構成とするが、これに限定されるものではなく、一部異なる構成とすることも可能である。

　図１６は、第４の実施の形態の車両制御装置において複数のＥＣＵが搭載されている例である。各ＥＣＵ上に搭載されるアプリケーションに要求される通信速度や重要度（優先度）およびソフトウェア演算暗号モジュールによる代替可否やハードウェアＨＳＭ（ＨＳＭハードウェア処理部５０）の必要性については、ＥＣＵ毎に異なる。なお、図１６に記載の内容は本実施形態を説明するための一例であり、これに限定されるものではない。

　図１７は、第４の実施の形態の車両制御装置における暗号モジュール選択の一例を示す図である。ＨＳＭハードウェア処理部５０の状態（正常、異常）および負荷率の状態（通常、高負荷）により、各ＥＣＵの種類に応じて優先処理決定を行い、各ＥＣＵで使用するソフトウェア演算暗号モジュールを決定する。第４の実施の形態では、それぞれのＥＣＵのソフトウェア演算暗号モジュール合計数が２の場合を示しているが、これに限定されるものではない。

　図１８は、第４の実施の形態の車両制御装置における暗号モジュール選択動作の概念図である。

　［パターン４－１］
　統合ＥＣＵ４０は、ＨＳＭハードウェア処理部５０が正常で、かつ負荷率が通常の場合、パワートレイン制御ＥＣＵ６０および情報制御ＥＣＵ７０に対し、ＨＳＭハードウェア処理部５０の使用（指示）を通知する。ボディ制御ＥＣＵ８０、車両制御ＥＣＵ９０に対しては、それぞれのＥＣＵのソフトウェア演算暗号モジュールの使用を通知する。

　［パターン４－２］
　統合ＥＣＵ４０は、ＨＳＭハードウェア処理部５０が正常で、かつ負荷率が高負荷の場合、パワートレイン制御ＥＣＵ６０に対して、ＨＳＭハードウェア処理部５０およびソフトウェア演算暗号モジュール６３の使用を通知し、情報制御ＥＣＵ７０に対しては、ＨＳＭハードウェア処理部５０の使用を通知する。ボディ制御ＥＣＵ８０、車両制御ＥＣＵ９０に対しは、それぞれのＥＣＵのソフトウェア演算暗号モジュールの使用を通知する。

　［パターン４－３］
　統合ＥＣＵ４０は、ＨＳＭハードウェア処理部５０が異常（故障）の場合、パワートレイン制御ＥＣＵ６０に対して、ソフトウェア演算暗号モジュール１および２（６３）の同時使用を通知し、情報制御ＥＣＵ７０に対しては、ソフトウェア演算暗号モジュール未使用を通知、ボディ制御ＥＣＵ８０、車両制御ＥＣＵ９０に対しては、それぞれのＥＣＵのソフトウェア演算暗号モジュールの使用を通知する。

　図１９～２０のフローチャートを参照して、第４の実施の形態の動作を説明する。

　まず、統合ＥＣＵ４０は、通信初期化処理時にＨＳＭハードウェア診断処理を実行する。図６と同様の動作のため説明は省略する。

　通信初期化処理が終了すると、図１９のＳ１９０で統合ＥＣＵ処理を開始する。

　Ｓ１９１では、パワートレイン制御ＥＣＵ６０など各ＥＣＵからの負荷率情報を取得する。

　Ｓ１９２では、各ＥＣＵの負荷率の合計値が予め設定した閾値以上であるか否かにより、通常状態と高負荷状態の２段階とし、高負荷と判定した場合（ＹＥＳ）、Ｓ１９３に移る。通常状態と判定した場合（ＮＯ）、Ｓ１９５に移り処理を終了する。なお、本実施形態では、通常状態と高負荷状態の２段階としているが、これに限定されるものではない。

　Ｓ１９３では、ＨＳＭエラー情報およびＳ１９１で取得した負荷率情報により、各ＥＣＵの種類に応じて優先処理決定を行い、各ＥＣＵで使用するソフトウェア演算暗号モジュールを決定する。

　Ｓ１９４では、各ＥＣＵに対してソフトウェア演算暗号モジュール切り替え指示を送信する。Ｓ１９５でメッセージ送受信処理が終了する。

　次に、図２０において、パワートレイン制御ＥＣＵ処理について説明する。パワートレイン制御ＥＣＵ６０以外のＥＣＵについては、パワートレイン制御ＥＣＵ６０と同様の動作の為、説明は省略する。

　Ｓ２００では、パワートレイン制御ＥＣＵ処理を開始する。

　Ｓ２０１では、メッセージ送受信要求があるか否かを確認し、要求ありの場合（ＹＥＳ）、Ｓ２０２に移る。要求無しの場合（ＮＯ）、Ｓ２０７に移る。

　Ｓ２０２では、統合ＥＣＵ４０からの通知を受信する。

　Ｓ２０３では、受信した通知から切り替え指示の有無を確認し、ありの場合（ＹＥＳ）、Ｓ２０４に移る。無しの場合（ＮＯ）、メッセージ認証処理（Ｓ２０５）、メッセージ送受信処理（Ｓ２０６）を実行する。

　Ｓ２０４では、ソフトウェア演算暗号モジュール切り替えを実施し、その後、メッセージ認証処理（Ｓ２０５）、メッセージ送受信処理（Ｓ２０６）を実行する。

　Ｓ２０７では、統合ＥＣＵ４０へ負荷率情報を送信する。

　Ｓ２０８では、パワートレイン制御ＥＣＵ処理を終了する。

　以上説明したように、第４の実施の形態によれば、統合ＥＣＵなど複数のＥＣＵで構成された車両制御装置についても、ＨＳＭハードウェア処理部５０に故障が発生した場合や高負荷状態でもＥＣＵの優先度に応じた処理を選択することが可能となる。
［その他］
　本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。

　上記の各構成、機能等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサ（マイコン）がそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、ＳＳＤ（Ｓｏｌｉｄ　Ｓｔａｔｅ　Ｄｒｉｖｅ）等の記録装置、または、ＩＣカード、ＳＤカード、ＤＶＤ等の記録媒体に置くことができる。

　なお、本発明の実施形態は、以下の態様であってもよい。

　（１）．ＨＳＭ（Ｈａｒｄｗａｒｅ　ｓｅｃｕｒｉｔｙ　ｍｏｄｕｌｅ）ハードウェア処理部（１２、２２、５０）と、前記ＨＳＭハードウェア処理部の代替として処理を行うソフトウェア演算処理部（ソフトウェア演算処理部暗号モジュール１３、６３）と、前記ＨＳＭハードウェア処理部の診断を実行するＨＳＭハードウェア診断部（１４）と、ＨＳＭハードウェア処理とソフトウェア演算処理を切り替える制御部（１１、６２）と、を備え、前記制御部は、ＨＳＭハードウェア診断部の判定結果に応じて、ＨＳＭハードウェア処理とソフトウェア演算処理を切り替えることを特徴とする車両制御装置。

　（２）．（１）に記載の車両制御装置は、前記ＨＳＭハードウェア診断部（１４）が前記ＨＳＭハードウェア処理部（１２、２２、５０）の異常（故障）を検知した場合、前記制御部（１１、６２）はＨＳＭハードウェア処理からソフトウェア演算処理へ切り替えることを特徴とする車両制御装置。

　（３）．（２）に記載の車両制御装置は、さらに前記ＨＳＭハードウェア処理部（１２、２２、５０）及び前記ソフトウェア演算処理部（ソフトウェア演算処理部暗号モジュール１３、６３）を含めたそれぞれの処理負荷率を測定する負荷率測定部（１５）を備え、前記ＨＳＭハードウェア処理部及び前記ソフトウェア演算処理部それぞれの処理負荷が前記負荷率測定部により高負荷であると判断された場合には、ＨＳＭハードウェア処理と１つあるいは複数のソフトウェア演算処理を切り替え、あるいは同時に実行することを特徴とする車両制御装置。

　（４）．（３）に記載の車両制御装置は、複数の優先度の異なるアプリケーションの処理を実行するものであって、前記複数の優先度の異なるアプリケーションのうち優先して処理すべきアプリを決定するステップを有し、前記ＨＳＭハードウェア処理部（１２、２２、５０）の異常を検知した場合あるいは前記負荷率測定部（１５）が前記の処理負荷率の増加を検知した場合に、前記ステップにより決定された優先すべきアプリに優先的にＨＳＭハードウェア処理もしくはソフトウェア演算処理を選択させることを特徴とする車両制御装置。

　（１）～（４）によれば、ＨＳＭハードウェア処理部に故障が発生しても、車両を継続して使用することができ、処理負荷の低減も可能な車両制御装置を提供することができる。

　すなわち、車両制御装置は、ＨＳＭハードウェア処理部と、ＨＳＭハードウェア処理部の代替として処理を行うソフトウェア演算処理部を備え、ＨＳＭハードウェア処理部に障害が発生した場合、ＨＳＭハードウェア処理とソフトウェア演算処理を切り替えることで走行動作を継続することができる。また、ＨＳＭハードウェア障害だけでなく、ＨＳＭハードウェアあるいはソフトウェア演算の処理負荷率が増加した場合にもＨＳＭハードウェア処理とソフトウェア演算処理を切り替えることで処理負荷を低減できる。

１、２、３…車両制御装置
１０、２０…ＥＣＵ
１１、６２…制御部
１２、２２、５０…ＨＳＭハードウェア処理部
１３、６３…ソフトウェア演算暗号モジュール
１４…ＨＳＭハードウェア診断部
１５、６４…負荷率測定部
３０…ＨＳＭハードウェア機能ブロック
４０…統合ＥＣＵ
４１、６１…通信インターフェース
６０…パワートレイン制御ＥＣＵ
７０…情報制御ＥＣＵ
８０…ボディ制御ＥＣＵ
９０…車両制御ＥＣＵ

Claims

　暗号化及び復号化の処理を行うハードウェアセキュリティモジュールを示すＨＳＭハードウェア処理部と、
　前記ＨＳＭハードウェア処理部と同じ暗号化及び復号化の処理をプロセッサにより行うソフトウェア演算処理部と、
　前記ＨＳＭハードウェア処理部を診断するＨＳＭハードウェア診断部と、
　前記ＨＳＭハードウェア診断部の診断の結果に応じて、前記ＨＳＭハードウェア処理部の処理と前記ソフトウェア演算処理部の処理を切り替える制御部と、
　を備えることを特徴とする車両制御装置。
　請求項１に記載の車両制御装置であって、
　前記制御部は、
　前記ＨＳＭハードウェア処理部が故障していると診断された場合、前記ＨＳＭハードウェア処理部の処理から前記ソフトウェア演算処理部の処理へ切り替える
　ことを特徴とする車両制御装置。
　請求項２に記載の車両制御装置であって、
　前記ＨＳＭハードウェア処理部の負荷率を測定する負荷率測定部を備え、
　前記制御部は、
　前記ＨＳＭハードウェア処理部が故障しているか否か、及び前記ＨＳＭハードウェア処理部の負荷率に応じて、前記ＨＳＭハードウェア処理部又は前記ソフトウェア演算処理部に暗号化及び復号化の処理を行わせる
　ことを特徴とする車両制御装置。
　請求項３に記載の車両制御装置であって、
　前記負荷率測定部は、
　前記ソフトウェア演算処理部の負荷率を測定し、
　前記制御部は、さらに
　前記ソフトウェア演算処理部の負荷率に応じて、前記ＨＳＭハードウェア処理部又は前記ソフトウェア演算処理部に暗号化及び復号化の処理を行わせる
　ことを特徴とする車両制御装置。
　請求項３に記載の車両制御装置であって、
　前記制御部は、
　前記ＨＳＭハードウェア処理部が故障していないと診断され、前記ＨＳＭハードウェア処理部の負荷率が第１閾値未満である場合、前記ＨＳＭハードウェア処理部に暗号化及び復号化の処理を行わせ、
　前記ＨＳＭハードウェア処理部が故障していないと診断され、前記ＨＳＭハードウェア処理部の負荷率が第１閾値以上である場合、前記ＨＳＭハードウェア処理部及び前記ソフトウェア演算処理部に暗号化及び復号化の処理を行わせ、
　前記ＨＳＭハードウェア処理部が故障していると診断された場合、前記ソフトウェア演算処理部に暗号化及び復号化の処理を行わせる
　ことを特徴とする車両制御装置。
　請求項４に記載の車両制御装置であって、
　前記プロセッサは、複数のコアから構成され、
　前記制御部は、
　前記ＨＳＭハードウェア処理部が故障していないと診断され、前記ＨＳＭハードウェア処理部の負荷率が第１閾値以上である場合、前記ＨＳＭハードウェア処理部及び前記プロセッサの２以上の前記コアに暗号化及び復号化の処理を行わせ、
　前記ＨＳＭハードウェア処理部が故障していると診断され、前記ソフトウェア演算処理部の負荷率が第２閾値以上である場合、前記プロセッサの２以上の前記コアに暗号化及び復号化の処理を行わせ、
　前記ＨＳＭハードウェア処理部が故障していると診断され、前記ソフトウェア演算処理部の負荷率が第２閾値未満である場合、前記プロセッサの１つの前記コアに暗号化及び復号化の処理を行わせる
　ことを特徴とする車両制御装置。
　請求項３に記載の車両制御装置であって、
　前記制御部は、さらに
　アプリケーションごとの優先度に応じて、前記ＨＳＭハードウェア処理部又は前記ソフトウェア演算処理部に暗号化及び復号化の処理を行わせる
　ことを特徴とする車両制御装置。
　請求項７に記載の車両制御装置であって、
　前記制御部は、
　前記ＨＳＭハードウェア処理部が故障していないと診断され、前記ＨＳＭハードウェア処理部の負荷率が第１閾値未満である場合、最も高い優先度の前記アプリケーションの通信において、前記ＨＳＭハードウェア処理部に暗号化及び復号化の処理を行わせ、
　前記ＨＳＭハードウェア処理部が故障していないと診断され、前記ＨＳＭハードウェア処理部の負荷率が第１閾値以上である場合、最も高い優先度の前記アプリケーションの通信において、前記ＨＳＭハードウェア処理部及び前記ソフトウェア演算処理部に暗号化及び復号化の処理を行わせ、
　前記ＨＳＭハードウェア処理部が故障していると診断された場合、前記プロセッサで実行される優先度が最も低い前記アプリケーションを終了し、最も高い優先度の前記アプリケーションの通信において、前記ソフトウェア演算処理部に暗号化及び復号化の処理を行わせる
　ことを特徴とする車両制御装置。
　請求項８に記載の車両制御装置であって、
　前記プロセッサは、複数のコアから構成され、
　前記制御部は、
　前記ＨＳＭハードウェア処理部が故障していないと診断され、前記ＨＳＭハードウェア処理部の負荷率が第１閾値以上である場合、最も高い優先度の前記アプリケーションの通信において、前記ＨＳＭハードウェア処理部及び前記プロセッサの前記コアに暗号化及び復号化の処理を行わせ、
　前記ＨＳＭハードウェア処理部が故障していると診断された場合、前記プロセッサの前記コアで実行される優先度が最も低い前記アプリケーションを終了し、最も高い優先度の前記アプリケーションの通信において、前記プロセッサの２以上の前記コアに暗号化及び復号化の処理を行わせる
　ことを特徴とする車両制御装置。
　請求項８に記載の車両制御装置であって、
　最も高い優先度の前記アプリケーションは、
　車両のパワートレインを制御するためのソフトウェアである
　ことを特徴とする車両制御装置。