WO2022244200A1

WO2022244200A1 - 制御装置

Info

Publication number: WO2022244200A1
Application number: PCT/JP2021/019205
Authority: WO
Inventors: 俊樹池頭
Original assignee: 三菱電機株式会社
Priority date: 2021-05-20
Filing date: 2021-05-20
Publication date: 2022-11-24
Also published as: JPWO2022244200A1; DE112021007689T5; CN117241981A

Abstract

制御対象の制御処理を実行する制御部（１００）と、制御対象に対して通信データを送受信する通信部（１０１）と、制御部の制御値と制御処理のメモリを記憶する記憶部（１０２）と、制御部の制御処理を監視する処理監視部（１０３）と、通信部の通信データを監視する通信監視部（１０４）と、記憶部のメモリを監視するメモリ監視部（１０６）と、処理監視部（１０３）と通信監視部（１０４）とメモリ監視部（１０５）の監視結果から制御処理が異常か判定する異常判定部（１０６）を備えている。

Description

制御装置

　本願は、制御装置に関するものである。

　近年、自動車の車載システムはネットワークを介して車外の装置と接続されるようになり、悪意のある第三者が外部からネットワークを介して車載システムに侵入するリスクがある。第三者が車載システムに侵入すると、車両に搭載される制御装置である、例えばＥＣＵ（Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）において、ＥＣＵのプログラムが改ざんされ、第三者に制御装置の制御が乗っ取られ遠隔操作されて車両の事故につながる可能性がある。

　従来の車載システムでは、一部の装置が故障した場合でも、故障によって発生した異常を検知し、フェールセーフによって機能を縮退するなど、安全な走行ができるように、異常対処方法が考えられている。

　しかし、プログラムが改ざんされ、故障によって異常を検知する仕組みを変更される、もしくは異常検知の対象となる情報を正常な値になりすまされると、異常として検知することが困難となる。

　サイバー攻撃を受けて車両の異常を検知する仕組みとして、通信データを監視する仕組みが検討される。セキュリティの技術として、メッセージ認証あるいはディジタル署名などがあり、通信データのなりすましによる異常を検知することができるが、既知の攻撃シナリオに対して対策された技術であり、未知のサイバー攻撃に対応できるとは言えない。プログラムが改ざんされると、異常として検知することが困難となるため、通信データだけでなく車両あるいはＥＣＵの挙動を監視する必要がある。

　未知のサイバー攻撃対策の一つとして、セキュアブートがあるが、起動時にメモリチェックを行うため、走行中に攻撃を受けた場合に対応できない。また、走行中、常にメモリをチェックすると処理負荷が大きい課題がある。そこで、起動時だけでなく走行中にサイバー攻撃を受けても制御処理の処理負荷を抑えつつ異常を検知し、車を安全に走行可能にする仕組みが必要である。

　特許文献１は、受信した制御フレームに対して所定期間内に異常フレームかどうかを判断し、異常フレームを検知することができるとしている。制御フレームには制御状態の状態フレームを含んでいる。

　特許文献２は、車両の状態に応じて通信データの監視方法を変え、データ処理の負荷を増大させず、異常データを検知することができるとしている。

　特許文献３は、電子制御装置の動作条件であるシーケンスの処理順番、実行条件、実行タイミング、制御値、通信項目などから別の電子制御装置が動作状態を記録し、さらに別の電子制御装置が動作状態を監視し、正規の状態のものから逸脱した場合、異常を検出することができるとしている。

特許第６２８０６６２号公報特許第６５３１０１１号公報国際公開第２０１９／１５９６１５号

　特許文献１に記載された従来技術には、次のような課題がある。特許文献１では、通信路から受信する制御状態の状態フレームを含む制御フレームの異常を検知することができるが、制御処理そのものが改ざんされている場合、異常検知の見逃し、誤検知をする可能性がある。

　また、特許文献２に記載された従来技術では、車両の状態に応じて通信データの監視方法を変えることで処理負荷を抑えつつ異常な通信データを検知することができるが、特許文献１同様、制御処理そのものが改ざんされている場合、異常検知の見逃し、誤検知をする可能性がある。

　また、特許文献３に記載された従来技術では、シーケンスの処理順番あるいは制御値、通信項目を監視対象としているが、メモリまでは監視対象としていない。メモリが改ざんされ、シーケンスのステップの中で別の新たな処理が追加された場合、シーケンスは正常なルートを通り本来の制御値が実行され、本来のシーケンスと並行して制御に関わる重要な値が別の新たな処理を通ってしまう異常が起きると、検知することができない。また、シーケンスのステップで起きた異常を検知するには、シーケンスが終了しないといけない。また、処理負荷は考慮されていない。制御装置の監視に二つの制御装置が必要な構成となるため、一つの制御装置では異常を検知することができない。

　本願は、このような問題を解決するためになされたものであり、制御処理における通信データ、処理、メモリを監視し、処理負荷を抑えつつ最適な監視をすることにより、サイバー攻撃を受けても通信データと制御処理とメモリの異常を検知し、制御処理の異常を検知することができる制御装置を得ることを目的とする。

　本願に開示される制御装置は、制御対象との間でデータの通信を行う制御装置において、制御対象の制御処理を実行する制御部と、制御対象に対して通信データを送受信する通信部と、制御部の制御値と制御処理のメモリを記憶する記憶部と、制御部の制御処理を監視する処理監視部と、通信部の通信データを監視する通信監視部と、記憶部のメモリを監視するメモリ監視部と、処理監視部と通信監視部とメモリ監視部の監視結果から制御処理が異常か判定する異常判定部とを備えている。

　本願の制御装置によれば、サイバー攻撃による通信データもしくは制御処理もしくはメモリの異常を検知することで、制御処理の異常を検知し、制御対象を安全に制御することができる。

実施の形態１に係る制御装置の機能ブロック図である。実施の形態１に係る制御装置の監視管理部が決定する監視方法の組み合わせを示す図である。実施の形態１に係る制御装置の監視管理部が決定する通信監視部の監視方法の組み合わせを示す図である。実施の形態１に係る制御装置の監視管理部が決定する処理監視部の監視方法の組み合わせを示す図である。実施の形態１に係る制御装置の監視管理部が決定するメモリ監視部の監視方法の組み合わせを示す図である。実施の形態１に係る制御装置の制御処理を示すフローチャートである。実施の形態１に係る制御装置の異常判定処理を示すフローチャートである。実施の形態１に係る制御装置の監視方法を決定する処理を示すフローチャートである。実施の形態１に係る制御装置のハードウェア構成の一例を示す図である。

　以下に、本願に開示される制御装置の好適な実施の形態について、図面を用いて説明する。なお、以下では、制御装置の具体例として、制御対象を車両および車載機器とする車載制御装置（ＥＣＵ）に適用する場合について、詳細に説明する。

実施の形態１．
　図１は、実施の形態１に係る制御装置を適用した車載制御装置（ＥＣＵ）の機能ブロック図である。本実施の形態１における車載制御装置（以下、制御装置１０と称する）は、制御部１００、通信部１０１、記憶部１０２、処理監視部１０３、通信監視部１０４、メモリ監視部１０５、異常判定部１０６、状態管理部１０７および監視管理部１０８を備えて構成されている。

　制御装置１０は、車両の制御を行う車載制御装置である。制御装置１０は、車両内部の他の制御装置（例えば、待機用制御装置、電動パワーステアリング装置など）と、図示しない通信線、例えばＣＡＮ（Ｃｏｎｔｒｏｌｌｅｒ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）、を介して接続されている。

　制御部１００は、車内に搭載されている制御対象の機器を制御する機能を有している。この制御部１００は、制御装置１０に一つもしくは複数存在してもよい。なお、図１では、制御対象の機器を図示しておらず、以下の説明では、制御対象の機器のことを、単に制御対象と称する。車内に搭載されている制御対象とは、例えば、アクチュエーターである。

　具体的には、制御部１００は、制御対象に対応した制御用プログラムデータを記憶部１０２のＲＯＭとＲＡＭから読み出して、読み出したプログラムを実行することで、制御対象の制御を行う。また、制御方法は複数存在してもよい。

　通信部１０１は、他の制御装置と通信データを送受信する機能を有している。例えばＣＡＮ通信の通信データを送受信する機能である。

　記憶部１０２は、制御部１００の制御処理である動作プログラムおよび動作時に使用する制御値が記録されているメモリを具備する。メモリはＲＯＭあるいはＲＡＭである。

　処理監視部１０３は、制御部１００で使用する制御処理の実行順序もしくは実行回数、もしくは実行時間を取得する。また、他の情報を取得してもよい。対象とする制御処理は制御処理全体、もしくは部分的な処理でもよい。

　通信監視部１０４は、通信部１０１で受信する通信データの通信ＩＤ、データ長、データ値、データ値の変化量、通信周期、通信頻度を取得する。また、他の情報を追加してもよい。

　メモリ監視部１０５は、記憶部１０２で記憶する制御値もしくは制御処理のメモリを取得する。また、他の情報を追加してもよい。また、メモリデータをハッシュ化など圧縮して取得してもよい。

　異常判定部１０６は、処理監視部１０３と通信監視部１０４とメモリ監視部１０５の監視結果と正常値と比較する。正常値は、正常動作時の処理監視部１０３と通信監視部１０４とメモリ監視部１０５の監視対象となる値を事前に記憶部１０２のＲＯＭもしくはＲＡＭに保管する。

　異常判定部１０６は、メモリ監視部１０５の監視結果と正常値を比較する場合、メモリを分割して一致するか比較してもよい。また、メモリデータをハッシュ化など圧縮して比較してもよい。セキュリティ強化あるいは処理高速化のために、ＨＳＭ（Ｈａｒｄｗａｒｅ　Ｓｅｃｕｒｉｔｙ　Ｍｏｄｕｌｅ）で比較してもよい。

　異常判定部１０６は、監視結果と正常値の比較結果が一致しなかった場合、異常と判定する。異常と判定する要件は、比較結果が通信監視部１０４の監視結果が正常値と一致しない、もしくは処理監視部１０３の監視結果が正常値と一致しない、もしくはメモリ監視部１０５の監視結果が正常値と一致しない場合のいずれかである。

　異常判定部１０６は、異常と判定した場合、異常対応処理に移行してもよい。異常対応処理は、例えば、通信線の切り替え、待機用制御装置への切り替え、制御装置の機能縮退などである。正常と判定した場合、通常の制御部１００の制御処理を引き続き実行する。

　状態管理部１０７は、車両の状態を取得する。制御装置１０の制御状態、車両制御システムの制御状態、車両の周辺環境状態、車両の位置情報、制御装置１０の通信状態、車内の運転者の状態、制御装置１０の処理負荷状態、制御装置１０に対するサイバー攻撃状態のいずれかの状態を取得する。

　制御装置１０の制御状態は、具体的には、制御装置１０の起動状態あるいはスリープ状態などを示す。また、他の状態を取得してもよい。

　車両制御システムの制御状態は、具体的には、車両動作の走る、曲がる、止まるといった動作状態を示す。また、他の状態を取得してもよい。

　車両の周辺環境状態は、具体的には、渋滞などの交通状況あるいは雪などの天候を示す。また、他の状態を取得してもよい。

　車両の位置情報は、具体的には、トンネル内あるいは交差点などを示す。また、他の状態を取得してもよい。

　制御装置１０の通信状態は、具体的には、制御装置１０が通信中であるか通信中ではないかを示す。また、通信状態は細かく分類してもよい。

　車内の運転者の状態は、具体的には、運転者が寝ている、疲れているなどの状態を示す。また、他の状態を取得してもよい。

　制御装置１０の処理負荷状態は、具体的には、制御装置１０の処理負荷が小さくて処理に余裕があるか、処理負荷が大きくて処理に余裕がないかなどを示す。また、状態は細かく分類してもよい。

　制御装置１０に対するサイバー攻撃状態は、具体的には、異常判定部１０６で異常と判定された場合、通信監視部１０４の監視結果によって通信異常状態なのか、処理監視部１０３の監視結果によって処理異常状態なのか、メモリ監視部１０５の監視結果によってメモリ異常状態なのかを示す。

　監視管理部１０８は、状態管理部１０７で取得した状態により、処理監視部１０３と通信監視部１０４とメモリ監視部１０５の監視方法とその優先度を決定する。例えば、制御装置１０の通信状態が通信中である場合、異常な通信データを受信していないか検知する必要があるため、通信監視を優先する。車両制御システムの制御状態が走行中である場合、異常処理を起こさないため、処理監視を優先し、停止中である場合、比較的に処理負荷に余裕があるため、メモリ監視を優先する。状態は他の状態を追加、もしくは変更してもよい。

　監視管理部１０８は、状態管理部１０７で取得した状態により、通信異常状態の場合は、通信監視を優先し、処理異常状態の場合は処理監視を優先し、メモリ異常状態の場合は、メモリ監視を優先させる。

　監視管理部１０８は、制御装置１０の処理負荷状態と優先度に応じて、処理監視部１０３のみ監視、通信監視部１０４のみ監視、メモリ監視部１０５のみ監視、もしくは処理監視部１０３と通信監視部１０４とメモリ監視部１０５の組み合わせによる監視のいずれかの監視方法を決定する。監視方法の組み合わせと優先度を図２に示す。監視方法の組み合わせは、処理負荷に応じて変更してもよい。

　監視管理部１０８は、処理監視部１０３と通信監視部１０４とメモリ監視部１０５のそれぞれの監視方法を優先度によって決定する。

　車両状態に応じて優先される通信監視部１０４の監視方法を図３に示す。状態管理部１０７で取得した状態により、制御装置１０が通信中状態もしくは通信異常状態によって通信監視が優先される場合、通信監視項目を優先して監視する。通信データの監視項目として、メッセージＩＤ、データ、周期、頻度を監視する。処理負荷に応じて監視項目の数を変更する。監視項目は処理負荷に応じて変更、追加してもよい。また、通信監視が優先される状態は他の状態でもよい。

　車両状態に応じて優先される処理監視部１０３の監視方法を図４に示す。状態管理部１０７で取得した状態により、車両が走行中もしくは処理異常状態によって処理監視が優先される場合、処理監視項目を優先して監視する。制御処理の監視項目として、実行順序、実行時間、実行回数を監視する。処理負荷に応じて監視項目の数を変更する。監視項目は処理負荷に応じて変更、追加してもよい。また、処理監視が優先される状態は他の状態でもよい。

　車両状態に応じて優先されるメモリ監視部１０５の監視方法を図５に示す。状態管理部１０７で取得した状態により、車両が停止中もしくはメモリ異常状態によってメモリ監視が優先される場合、メモリ監視項目を優先して監視する。メモリの監視項目として、制御値、制御処理のメモリを監視する。処理負荷に応じて監視項目の数を変更する。また、処理負荷が大きく、処理できない場合は、監視しなくてもよい。監視項目は処理負荷に応じて変更、追加してもよい。また、メモリ監視が優先される状態は他の状態でもよい。

　次に、制御装置１０の制御処理について、図６を用いて詳細に説明する。図６は、本実施の形態１に係る制御部１００の制御開始から異常検知処理を経て、制御部１００の制御処理を実行するまでの処理の流れを示すフローチャートである

　ステップＳ６０１において、制御部１００は、制御処理を開始する。ステップＳ６０１終了後、ステップＳ６０２へ進む。

　ステップＳ６０２において、異常検知処理を実行する。
ステップＳ６０２終了後、ステップＳ６０３へ進む。

　ステップＳ６０３において、異常検知処理結果が異常と判断された場合、ステップＳ６０４へ進む。異常検知処理結果が正常と判断された場合、ステップＳ６０５へ進む。

　ステップＳ６０４において、異常判定時の処理を実行する。

　ステップＳ６０５において、制御部１００において制御処理を実行する。ステップＳ６０５の処理終了後、制御処理を終了する。

　次に、図６の異常検知処理のステップＳ６０２について、図７を用いて詳細に説明する。図７は、本実施の形態１に係る制御装置１０の異常検知処理の流れを示すフローチャートである。

　ステップＳ７０１において、状態管理部１０７は、車両状態を取得する。ステップＳ７０１終了後、ステップＳ７０２へ進む。

　ステップＳ７０２において、監視管理部１０８は、状態管理部１０７が取得した状態により監視方法とその優先度を決定する。ステップＳ７０２終了後、ステップＳ７０３へ進む。

　ステップＳ７０３において、ステップＳ７０２で通信監視の優先される場合、ステップＳ７０４へ進む。通信監視の優先されない場合、ステップＳ７０５へ進む。

　ステップＳ７０４において、通信監視部１０４は、通信データを監視する。ステップＳ７０４終了後、ステップＳ７０９へ進む。

　ステップＳ７０５において、ステップＳ７０２で処理監視の優先される場合、ステップＳ７０６へ進む。処理監視の優先されない場合、ステップＳ７０７へ進む。

　ステップＳ７０６において、処理監視部１０３は、制御処理を監視する。ステップＳ７０６終了後、ステップＳ７０９へ進む。

　ステップＳ７０７において、ステップＳ７０２でメモリ監視の優先される場合、ステップＳ７０８へ進む。メモリ監視の優先されない場合、ステップＳ７０９へ進む。

　ステップＳ７０８において、メモリ監視部１０５は、メモリを監視する。ステップＳ７０８終了後、ステップＳ７０９へ進む。

　ステップＳ７０９において、ステップＳ７０２で通信監視、処理監視、メモリ監視の監視方法が複数存在し、処理が完了していない場合、ステップＳ７０３へ戻る。処理が完了している場合、ステップＳ７１０へ進む。

　ステップＳ７１０において、ステップＳ７０４の監視結果、もしくはステップＳ７０６の監視結果、もしくはステップＳ７０８の監視結果と正常値が一致するか比較する。ステップＳ７１０終了後、ステップＳ７１１へ進む。

　ステップＳ７１１において、ステップＳ７１０の比較結果が、正常値と一致した場合正常と見なし、正常値と一致しない場合異常と見なす。ステップＳ７１１終了後、異常検知処理を終了する。

　次に、図７の監視方法決定処理のステップＳ７０２について、図８を用いて詳細に説明する。図８は、本実施の形態１に係る制御装置１０の監視管理部１０８の監視方法を決定する処理の流れを示すフローチャートである。

　ステップＳ８０１において、監視管理部１０８は、状態管理部１０７で取得した車両状態をもとに、通信監視、処理監視、メモリ監視の優先度を決定し、監視方法を決定する。ステップＳ８０１終了後、ステップＳ８０２へ進む。

　ステップＳ８０２において、監視管理部１０８は、ステップＳ８０１で通信監視が必要と判断した場合、ステップＳ８０３へ進む。ステップＳ８０１で通信監視が必要ないと判断した場合、ステップＳ８０４へ進む。

　ステップＳ８０３において、監視管理部１０８は、状態管理部１０７で取得した車両状態をもとに、通信監視の監視方法を決定する。ステップＳ８０３終了後、ステップＳ８０８へ進む。

　ステップＳ８０４において、監視管理部１０８は、ステップＳ８０１で処理監視が必要と判断した場合、ステップＳ８０５へ進む。ステップＳ８０１で処理監視が必要ないと判断した場合、ステップＳ８０６へ進む。

　ステップＳ８０５において、監視管理部１０８は、状態管理部１０７で取得した車両状態をもとに、処理監視の監視方法を決定する。ステップＳ８０５終了後、ステップＳ８０８へ進む。

　ステップＳ８０６において、監視管理部１０８は、ステップＳ８０１でメモリ監視が必要と判断した場合、ステップＳ８０７へ進む。ステップＳ８０１でメモリ監視が必要ないと判断した場合、ステップＳ８０８へ進む。

　ステップＳ８０７において、監視管理部１０８は、状態管理部１０７で取得した車両状態をもとに、メモリ監視の監視方法を決定する。ステップＳ８０７終了後、ステップＳ８０８へ進む。

　ステップＳ８０８において、監視方法がすべて決定しない場合、ステップＳ８０２へ戻る。監視方法がすべて決定した場合、監視方法決定処理を終了する。

　なお、制御装置１０は、ハードウェアの一例を図９に示すように、プロセッサ１１と記憶装置１２から構成される。記憶装置１２は、例えば、ランダムアクセスメモリ等の揮発性記憶装置と、フラッシュメモリ等の不揮発性の補助記憶装置とを具備する。また、フラッシュメモリの代わりにハードディスクの補助記憶装置を具備してもよい。プロセッサ１１は、記憶装置１２から入力されたプログラムを実行する。この場合、補助記憶装置から揮発性記憶装置を介してプロセッサ１１にプログラムが入力される。また、プロセッサ１１は、演算結果等のデータを記憶装置１２の揮発性記憶装置に出力してもよいし、揮発性記憶装置を介して補助記憶装置にデータを保存してもよい。

　なお、以上説明した実施の形態１では、制御装置を車載制御装置として使用する例について説明した。しかしながら、本願に係る制御装置は、これに限られるものでない。例えば、高いセキュリティ強度を有し、かつ、早期に制御装置の異常を検知する仕組みを必要とする、通信線に接続された制御装置に利用することができる。

　以上説明した本願に係る実施の形態１によれば、制御処理において以下のような効果が得られる。
　従来の制御装置においては、通信データに特化した異常検知方法あるいは制御処理に特化した異常検知方法であった。これに対して、本実施の形態１に係る制御装置は、通信データあるいは制御値、制御処理、メモリを監視し、監視結果と正常値が一致するか比較することで、制御装置の異常を検知する構成を備えている。
　これにより、サイバー攻撃によって通信データあるいは制御値、制御処理のなりすましあるいはメモリを改ざんされても、異常を検知することができる。

　また、本実施の形態１に係る制御装置は、車両状態を取得する状態管理部と車両状態によって優先すべき監視方法を判断する監視管理部を備え、車両状態によって監視方法を切替、組み合わせることができる構成を備えている。これにより処理負荷を抑えつつ最適な監視をすることができる。

　さらに、本実施の形態１に係る制御装置は、通信データのみ監視、制御処理のみ監視、メモリのみ監視、通信データと制御処理とメモリの組み合わせによる監視の複数の監視方法に対応することができる構成を備えている。これにより処理負荷に応じた監視方法を組み合わせることができる。

　さらに、本実施の形態１に係る制御装置は、車両状態によって優先すべき通信データの監視方法と優先すべき制御処理の監視方法と優先すべきメモリの監視方法を判断する構成を備えている。これにより処理負荷に応じた通信データの監視、処理負荷に応じた制御処理の監視、処理負荷に応じたメモリの監視をすることができる。

　さらに、本実施の形態１に係る制御装置は、制御装置が通信中である場合、通信監視部を優先して監視する構成を備えている。これにより通信データの異常を検知することができる。

　さらに、本実施の形態１に係る制御装置は、車両が走行中である場合、処理監視部を優先して監視する構成を備えている。これにより制御処理の異常を検知することができる。

　さらに、本実施の形態１に係る制御装置は、車両が停止中である場合、メモリ監視部を優先して監視する構成を備えている。これによりメモリの改ざんを検知することができる。

　さらに、本実施の形態１に係る制御装置は、通信監視結果と処理監視結果とメモリ監視結果と正常時の通信監視値と処理監視値とメモリ監視値を比較する構成を備えている。これにより、正常時の値と監視結果が一致しなかった場合、制御装置の異常を検知することができる。

　さらに、本実施の形態１に係る制御装置は、サイバー攻撃を受けているか状態を取得できる構成を備えている。これにより、サイバー攻撃後でも制御装置の異常を検知することができる。

　本願は、例示的な実施の形態が記載されているが、実施の形態に記載された様々な特徴、態様、及び機能は特定の実施の形態の適用に限られるのではなく、単独で、または様々な組み合わせで実施の形態に適用可能である。
　従って、例示されていない無数の変形例が、本願明細書に開示される技術の範囲内において想定される。例えば、少なくとも１つの構成要素を変形する場合、追加する場合または省略する場合が含まれるものとする。

　１０　制御装置、１００　制御部、１０１　通信部、１０２　記憶部、１０３　処理監視部、１０４　通信監視部、１０５　メモリ監視部、１０６　異常判定部、１０７　状態管理部、１０８　監視管理部

Claims

　制御対象との間でデータの通信を行う制御装置において、前記制御対象の制御処理を実行する制御部と、前記制御対象に対して通信データを送受信する通信部と、前記制御部の制御値と制御処理のメモリを記憶する記憶部と、前記制御部の制御処理を監視する処理監視部と、前記通信部の通信データを監視する通信監視部と、前記記憶部のメモリを監視するメモリ監視部と、前記処理監視部と前記通信監視部と前記メモリ監視部の監視結果から前記制御処理が異常か判定する異常判定部とを備えていることを特徴とする制御装置。
　車両の走行を制御する車両制御システムの制御装置であって、前記制御部の制御状態、前記車両制御システムの制御状態、車両の周辺環境状態、車両の位置情報、車両との通信状態、車内の運転者の状態、前記制御部の処理負荷状態、前記車両制御システムの攻撃状態、のいずれかの状態を取得する状態管理部と、前記状態により、前記処理監視部と前記通信監視部と前記メモリ監視部の監視方法とその優先度を決定する監視管理部とを備えていることを特徴とする請求項１に記載の制御装置。
　前記監視管理部は、監視方法とその優先度により、前記通信監視部のみ監視、前記処理監視部のみ監視、前記メモリ監視部のみ監視、もしくは、前記通信監視部、前記処理監視部、前記メモリ監視部の組み合わせによる監視、のいずれかの組み合わせによる監視方法を決定することを特徴とする請求項２に記載の制御装置。
　前記監視管理部は、監視方法とその優先度により、前記通信監視部、前記処理監視部、前記メモリ監視部のいずれかの組み合わせによる監視方法を決定するとともに、前記通信監視部の通信データの監視方法、前記処理監視部の制御処理の監視方法、前記メモリ監視部の制御値、制御処理のメモリの監視方法を決定することを特徴とする請求項２または請求項３に記載の制御装置。
　前記監視管理部は、前記状態管理部より前記制御装置が通信中の状態である場合、前記通信監視部の優先度を他の監視部よりも高くし、前記状態管理部より前記制御装置の処理負荷の状態によって、前記通信監視部のみ監視、前記通信監視部と前記処理監視部のみ監視、前記通信監視部と前記メモリ監視部のみ監視、記通信監視部と前記処理監視部と前記メモリ監視部の監視、のいずれかの組み合わせによる監視方法を決定するとともに、前記通信監視部の通信データの監視方法を決定することを特徴とする請求項２から請求項４のいずれか１項に記載の制御装置。
　前記監視管理部は、前記状態管理部より車両が走行中の状態である場合、前記処理監視部の優先度を他の監視部よりも高くし、前記状態管理部より前記制御装置の処理負荷の状態によって、前記処理監視部のみ監視、前記処理監視部と前記通信監視部のみ監視、前記処理監視部と前記メモリ監視部のみ監視、前記通信監視部と前記処理監視部と前記メモリ監視部の監視、のいずれかの組み合わせによる監視方法を決定するとともに、前記処理監視部の制御処理の監視方法を決定することを特徴とする請求項２から請求項４のいずれか１項に記載の制御装置。
　前記監視管理部は、前記状態管理部より車両が止まっている状態である場合、前記メモリ監視部の優先度を他の監視部よりも高くし、前記状態管理部より前記制御装置の処理負荷の状態によって、前記メモリ監視部のみ監視、前記メモリ監視部と前記通信監視部のみ監視、前記メモリ監視部と前記処理監視部のみ監視、前記メモリ監視部と前記通信監視部と前記処理監視部の監視、のいずれかの組み合わせによる監視方法を決定するとともに、前記メモリ監視部の制御値と制御処理のメモリの監視方法を決定することを特徴とする請求項２から請求項４のいずれか１項に記載の制御装置。
　前記異常判定部は、前記処理監視部、前記通信監視部、前記メモリ監視部の監視対象となる監視値の正常値と監視結果を比較し、正常値と一致しなかった場合、前記制御装置が異常であると判定することを特徴とする請求項１に記載の制御装置。
　前記状態管理部は、車両がサイバー攻撃を受けている状態かを取得し、前記通信監視部の監視結果によって前記異常判定部で異常と判定された場合、前記状態管理部は、通信攻撃状態となり、前記監視管理部は、前記通信監視部の優先度を他の監視部よりも高くし、前記処理監視部の監視結果によって前記異常判定部で異常と判定された場合、前記状態管理部は、処理攻撃状態となり、前記監視管理部は、前記処理監視部の優先度を他の監視部よりも高くし、前記メモリ監視部の監視結果によって前記異常判定部で異常と判定された場合、前記状態管理部は、メモリ攻撃状態となり、前記監視管理部は、前記メモリ監視部の優先度を他の監視部よりも高くすることを特徴とする請求項２または請求項３に記載の制御装置。