[go: up one dir, main page]

JP2012096600A - Irregularity monitoring system and on-vehicle device used for the same - Google Patents

Irregularity monitoring system and on-vehicle device used for the same Download PDF

Info

Publication number
JP2012096600A
JP2012096600A JP2010244069A JP2010244069A JP2012096600A JP 2012096600 A JP2012096600 A JP 2012096600A JP 2010244069 A JP2010244069 A JP 2010244069A JP 2010244069 A JP2010244069 A JP 2010244069A JP 2012096600 A JP2012096600 A JP 2012096600A
Authority
JP
Japan
Prior art keywords
request
vehicle
monitoring system
ecu
fraud monitoring
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2010244069A
Other languages
Japanese (ja)
Inventor
Tomoyasu Ishikawa
智康 石川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toyota Motor Corp
Original Assignee
Toyota Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toyota Motor Corp filed Critical Toyota Motor Corp
Priority to JP2010244069A priority Critical patent/JP2012096600A/en
Publication of JP2012096600A publication Critical patent/JP2012096600A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Stored Programmes (AREA)

Abstract

【課題】通常起こりうる故障か、不正な行為の結果による故障かを識別することができる、不正監視システムおよびそれに用いられる車載装置を提供する。
【解決手段】不正監視システムは車載装置とセンターサーバーとからなる。車載装置は、車両制御装置に対する要求を常時監視することによって車両制御装置に対する要求が不正な要求であるか否かを判断する判断手段と、判断手段が車両制御装置に対する要求が不正であると判断した場合に、当該要求の内容および当該要求がなされたときの車両の位置情報を送信する送信手段とを備える。センターサーバーは、送信手段から送信される要求の内容および当該要求がなされたときの車両の位置情報を記憶することを特徴とする。
【選択図】図1A fraud monitoring system and an in-vehicle device used for the fraud monitoring system that can discriminate between a malfunction that can occur normally and a malfunction caused by an illegal act.
A fraud monitoring system includes an in-vehicle device and a center server. The in-vehicle device determines whether the request for the vehicle control device is an illegal request by constantly monitoring the request for the vehicle control device, and the determination device determines that the request for the vehicle control device is illegal. In this case, a transmission means for transmitting the content of the request and the position information of the vehicle when the request is made is provided. The center server stores the content of the request transmitted from the transmission means and the vehicle position information when the request is made.
[Selection] Figure 1

Description

本発明は、不正監視システムおよびそれに用いられる車載装置に関する。   The present invention relates to a fraud monitoring system and an in-vehicle device used therefor.

従来、車両には車載装置を制御するための各種制御コンピューターが備わっており、当該各種制御コンピューターには当該車載装置を制御するためのソフトウェア等が書き込まれている。また、各種制御コンピューターは、車両に不具合が検出された場合、不具合の原因を解析するために不具合が検出されたときの状態を示す検出データや故障コード等を記憶したり、外部の端末から各種制御コンピューターに指示され各種負荷を駆動させたりすることもできる。   Conventionally, a vehicle is provided with various control computers for controlling the in-vehicle device, and software or the like for controlling the in-vehicle device is written in the various control computers. In addition, when various troubles are detected in the vehicle, the various control computers store detection data and failure codes indicating the state when the trouble is detected in order to analyze the cause of the trouble, It is also possible to drive various loads as instructed by the control computer.

ここで、上記ソフトウェアを書き替えたり、上記検出データや故障コード等を読み込んだり、各種負荷を駆動させたりするのは、一般的には車両の修理、改修のために行われるものであり、作業者(修理担当者)等によって行われるものである。   Here, rewriting the software, reading the detection data and fault codes, and driving various loads are generally performed for vehicle repair and refurbishment. (Person in charge of repair) etc.

ところで、ソフトウェアの書き替えをしたり、各種負荷等を駆動させたりするのは、本来は車両の修理、改修を行う作業者である一方で、悪意を持った者が各種制御コンピューターに対して不正な要求をし、その車両の規格外の操作を行い、その結果車両が故障してしまうといったこともある。   By the way, rewriting software and driving various loads are primarily workers who repair or refurbish vehicles, while malicious persons are illegal with respect to various control computers. May make a non-standard operation of the vehicle, resulting in a vehicle failure.

例えば、特許文献1には、車両に対する改造を容易に判定することができる車両用改造判定装置が開示されている。   For example, Patent Document 1 discloses a vehicle modification determination device that can easily determine modification of a vehicle.

特開2009−35207号公報JP 2009-35207 A

上記特許文献1に開示されている技術は、具体的には、車両の構成に必須となっているエンジンシステムおよびコントロールユニットシステムの制御動作に必要となる複数の制御信号を取得して、データ記憶装置に記憶する。そして、データ記憶装置に記憶された複数の制御信号のうち、所定の制御信号を用いて車両に改造が施されたかどうかを判定するものである。   Specifically, the technique disclosed in Patent Document 1 acquires a plurality of control signals necessary for the control operation of the engine system and the control unit system that are essential for the configuration of the vehicle, and stores the data. Store in the device. Then, it is determined whether or not the vehicle has been modified using a predetermined control signal among a plurality of control signals stored in the data storage device.

しかしながら、特許文献1に開示されている技術は、例えば、悪意を持った者がコントロールユニットシステムに対して不正な要求をし、その後、意図的に不正な要求をした履歴をデータ記憶装置等から完全に消去したと仮に想定する。そして、その結果車両が故障したとする。この場合、車両の修理、改修を行う作業者等は、通常の利用による故障(車両に対して通常の扱い方で起こりえた故障)か、または不正な要求の結果起こった故障かを識別することができなくなる。つまり、作業者やメーカーサイドの意図しないソフトウェアの全書き替えや履歴の全消去がされてしまうと、悪意を持った者が不正な要求を行ったことを示す履歴が残らなくなる。   However, the technique disclosed in Patent Literature 1 is, for example, that a malicious person makes an illegal request to the control unit system, and then records the intentional illegal request from a data storage device or the like. Assume that it has been completely erased. As a result, it is assumed that the vehicle has failed. In this case, workers who repair or refurbish the vehicle shall identify whether it is a failure due to normal use (a failure that could have occurred in normal handling of the vehicle) or a failure that occurred as a result of an unauthorized request. Can not be. In other words, if the operator or the maker side unintentionally rewrites the software or erases the history, a history indicating that a malicious person made an illegal request does not remain.

その結果、例えば、車両が故障した際に、その故障原因は本当の故障(言い換えれば悪意を持った者が行った操作に起因しない故障)か、不正な要求による故障かを判別できなくなり、車両が故障に至った原因を特定することができなくなるといった問題がある。   As a result, for example, when a vehicle breaks down, it is impossible to determine whether the cause of the failure is a true failure (in other words, a failure not caused by an operation performed by a malicious person) or a failure caused by an illegal request. There is a problem that it becomes impossible to identify the cause of the failure.

本発明は、上記事情に鑑みてなされたものであり、その目的とするところは、通常起こりうる故障か、不正な要求を行った結果による故障かを識別することができる、不正監視システムおよびそれに用いられる車載装置を提供することにある。   The present invention has been made in view of the above circumstances, and an object of the present invention is a fraud monitoring system that can identify a failure that can normally occur or a failure caused by an unauthorized request, and the fraud monitoring system. The object is to provide an in-vehicle device to be used.

上記目的を達成するために、本発明は、以下の構成を採用した。すなわち、本発明は、車両に搭載されている車両制御装置に対する要求を監視する不正監視システムである。上記不正監視システムは車載装置とセンターサーバーとからなる。また、車載装置は、車両制御装置に対する要求を常時監視することによって当該車両制御装置に対する要求が不正な要求であるか否かを判断する判断手段と、判断手段が車両制御装置に対する要求が不正であると判断した場合に、当該要求の内容および当該要求がなされたときの車両の位置情報を送信する送信手段とを備える。一方、センターサーバーは、送信手段から送信される要求の内容および当該要求がなされたときの車両の位置情報を記憶することを特徴とする。   In order to achieve the above object, the present invention employs the following configuration. That is, the present invention is a fraud monitoring system that monitors a request for a vehicle control device mounted on a vehicle. The fraud monitoring system includes an in-vehicle device and a center server. Further, the in-vehicle device constantly monitors the request for the vehicle control device to determine whether the request for the vehicle control device is an unauthorized request, and the determination device determines that the request for the vehicle control device is illegal. And transmitting means for transmitting the contents of the request and the position information of the vehicle when the request is made when it is determined that the request is present. On the other hand, the center server stores the content of the request transmitted from the transmission means and the vehicle position information when the request is made.

第2の発明は、上記第1の発明に係る不正監視システムに用いられる車載装置である。上記車載装置は、車両制御装置に対する要求を常時監視することによって当該車両制御装置に対する要求が不正な要求であるかを判断する判断手段と、判断手段が車両制御装置に対する要求が不正であると判断した場合に、当該要求の内容および当該要求がなされたときの車両の位置情報を送信する送信手段とを備える。   The second invention is an in-vehicle device used in the fraud monitoring system according to the first invention. The on-vehicle device determines whether the request to the vehicle control device is an illegal request by constantly monitoring the request to the vehicle control device, and the determination device determines that the request to the vehicle control device is illegal. In this case, a transmission means for transmitting the content of the request and the position information of the vehicle when the request is made is provided.

本発明によれば、通常の利用による故障(車両に対して通常の扱い方で起こりえた故障)か、不正な要求を行った結果による故障かを識別することができる、不正監視システムを提供することができる。そして、その結果、車両に対して適切な修理、改修を行うことができるようになる。   According to the present invention, there is provided a fraud monitoring system capable of discriminating between a failure due to normal use (a failure that may have occurred in a normal way with respect to a vehicle) or a failure due to an unauthorized request. be able to. As a result, the vehicle can be appropriately repaired and repaired.

一実施形態に係る不正監視システムの概要を説明するための図The figure for demonstrating the outline | summary of the fraud monitoring system which concerns on one Embodiment. 一実施形態に係る不正監視システムのECU1が行う処理の一例を示したフローチャートThe flowchart which showed an example of the process which ECU1 of the fraud monitoring system which concerns on one Embodiment performs

以下、図面を参照しつつ、本発明の一実施形態に係不正監視システムおよびそれに用いられる車載装置について説明する。   Hereinafter, a fraud monitoring system and an in-vehicle device used for the same according to an embodiment of the present invention will be described with reference to the drawings.

まず本実施形態に係る不正監視システムの概要について簡単に説明する。   First, an outline of the fraud monitoring system according to the present embodiment will be briefly described.

図1は本実施形態に係る不正監視システムの概要を説明するための図である。本実施形態に係る不正監視システムは、ECU(Electronic Control Unit、電子制御ユニット)1と、通信装置2と、センターサーバー3とを備えている。   FIG. 1 is a diagram for explaining the outline of the fraud monitoring system according to the present embodiment. The fraud monitoring system according to the present embodiment includes an ECU (Electronic Control Unit) 1, a communication device 2, and a center server 3.

ここで、ECU1と通信装置2とは車両(以下自車両mvと称す)に搭載されている。なお、ECU1と通信装置2とは自車両mvに搭載されていればよく、その搭載位置等は限定されない。また、ECU1は請求項に記載の判断手段の一例に相当し、通信装置2は、請求項に記載の送信手段の一例に相当する。   Here, the ECU 1 and the communication device 2 are mounted on a vehicle (hereinafter referred to as the host vehicle mv). In addition, ECU1 and the communication apparatus 2 should just be mounted in the own vehicle mv, and the mounting position etc. are not limited. The ECU 1 corresponds to an example of a determination unit described in the claims, and the communication device 2 corresponds to an example of a transmission unit described in the claims.

ECU1は、自車両mvにおける各種負荷の駆動を制御する制御コンピューターであり、図示は省略したが、当該自車両mvに複数搭載されてもよいものである。そして、上記制御コンピューター間は、例えば、CAN(Controller Area Network)、LIN(Local Interconnect Network)、FlexRay(登録商標)、IP(Internet Protocol)等の車両内多重通信網にてデータの送受信が行われる。   The ECU 1 is a control computer that controls driving of various loads in the host vehicle mv. Although not shown, a plurality of ECUs may be mounted on the host vehicle mv. Then, data transmission / reception is performed between the control computers through an in-vehicle multiplex communication network such as CAN (Controller Area Network), LIN (Local Interconnect Network), FlexRay (registered trademark), or IP (Internet Protocol). .

また、上記ECU1は、端末装置4からの指示、例えばソフトウェアの書き替え要求を受信し記憶しソフトウェアの書き替えをしたり、自車両mvに搭載されている各種負荷に対する駆動要求を受信し記憶し当該駆動要求に従い各種負荷を駆動させたりする。なお、上記ECU1内には図示しない記憶媒体が備わっており、当該記憶媒体に、例えば、端末装置4からの例えばソフトウェアの書き替え要求等や各種負荷の駆動履歴等を記憶する。つまり、ECU1の図示しない記憶媒体には、上記端末装置4からどのような要求がされたかを示す情報が記憶される。   The ECU 1 receives and stores an instruction from the terminal device 4, for example, a software rewrite request and rewrites the software, or receives and stores a drive request for various loads mounted on the host vehicle mv. Various loads are driven according to the drive request. The ECU 1 includes a storage medium (not shown), and stores, for example, a software rewrite request from the terminal device 4, a driving history of various loads, and the like. That is, information indicating what request is made from the terminal device 4 is stored in a storage medium (not shown) of the ECU 1.

通信装置2は、具体的には無線通信装置であり、上記車両内多重通信網で受け取った各種データ(例えば、端末装置4から受けた指示内容等)を無線通信網を介して後述するセンターサーバー3に送信する。また、上記通信装置2は、センターサーバー3からの各種データを受信し、上記車両内多重通信網に送信する。なお、上記通信装置2は、自車両mvに少なくとも1つ備わっていればよい。   The communication device 2 is specifically a wireless communication device, and various types of data received by the in-vehicle multiplex communication network (for example, instruction contents received from the terminal device 4) will be described later via the wireless communication network. 3 to send. The communication device 2 receives various data from the center server 3 and transmits it to the in-vehicle multiple communication network. Note that at least one communication device 2 may be provided in the host vehicle mv.

センターサーバー3は、自車両mvの外部(つまり自車両mvには搭載されない)の任意の位置に設置されるデータセンターである。このセンターサーバー3には、自車両mvにおける、特定の(正規の)制御パラメーターや制御範囲等が記憶されている。なお、センターサーバー3に記憶される制御パラメーター等は自車両mv固有の制御パラメーター等だけではなく、様々な車種の制御パラメーターがそれぞれ記憶されていてもよい。   The center server 3 is a data center installed at an arbitrary position outside the host vehicle mv (that is, not mounted on the host vehicle mv). The center server 3 stores specific (regular) control parameters, control ranges, and the like for the host vehicle mv. Note that the control parameters and the like stored in the center server 3 may store not only the control parameters specific to the host vehicle mv but also control parameters of various vehicle types.

端末装置4は、例えば、自車両mvに対してソフトウェアの書き替え要求をしたり、自車両mvに搭載されている各種負荷を駆動させたりすることができるものである。   The terminal device 4 can, for example, make a software rewrite request to the host vehicle mv, or drive various loads mounted on the host vehicle mv.

ここで、引き続き図1を参照し、具体的な場面を想定した不正監視システムの動作について説明する。   Here, the operation of the fraud monitoring system assuming a specific scene will be described with reference to FIG.

なお、状況としては、悪意を持った者が端末装置4によって、一例として、自車両mvのエンジンの空燃比に関する制御パラメーターが不正に変更されたと仮に想定する(図1の矢印A)。つまり、端末装置4によって、自車両mvに対して不正な要求が行われる場合を想定している。   As a situation, it is assumed that a malicious person has illegally changed the control parameter related to the air-fuel ratio of the engine of the host vehicle mv by the terminal device 4 (arrow A in FIG. 1). That is, it is assumed that the terminal device 4 makes an unauthorized request to the host vehicle mv.

また、ECU1内の図示しない記憶媒体には、端末装置4等により変更されることによって自車両mvが故障に至る可能性のある制御パラメーターの一覧が記憶されている。例えば、当該故障に至る可能性のある制御パラメーターの一例として、可変バルブタイミング(VVT)、バルブリフト量(VVL)、あるいはスロットル開度(TA)等のエンジンに関する制御パラメーターなどが挙げられる。   A storage medium (not shown) in the ECU 1 stores a list of control parameters that may cause the host vehicle mv to break down when changed by the terminal device 4 or the like. For example, as an example of a control parameter that may cause the failure, a control parameter related to the engine such as a variable valve timing (VVT), a valve lift amount (VVL), or a throttle opening (TA) may be mentioned.

なお、これらエンジンに関する制御パラメーターが変化すると、エンジンの筒内に流入する空気量が変動するため、空燃比が理論空燃比から燃料リーン側あるいは燃料リッチ側に外れ、排ガスのエミッション特性の悪化やドライバビリティの悪化の原因となるため、自車両mvに搭載されたECU1は、端末装置4による不正な要求であると判断する(図1のB)。   If the control parameters related to these engines change, the amount of air flowing into the cylinder of the engine will fluctuate, so the air-fuel ratio will deviate from the stoichiometric air-fuel ratio to the fuel lean side or fuel rich side, resulting in deterioration of exhaust emission characteristics and driver The ECU 1 mounted on the host vehicle mv determines that the request is an unauthorized request from the terminal device 4 (B in FIG. 1).

そして、ECU1は、例えば、端末装置4により、どのような要求がされたか、どのような書き替えが行われたか等を示す情報を当該ECU1の通信装置2を介してセンターサーバー3に送信する(図1の矢印C)。なお、ECU1は、自車両mvに位置や方位を測位する手段(例えば、GPS(全地球測位システム))や地図情報を格納する記憶媒体等が搭載されている場合(図示せず)、上記情報とともに、上記要求、書き込み等が行われた現在地(実行地域)や実行された時刻等を示す情報を通信装置2を介してセンターサーバー3に送信してもよい。   And ECU1 transmits the information which shows what kind of request | requirement was done by the terminal device 4, what kind of rewriting was performed to the center server 3 via the communication apparatus 2 of the said ECU1, for example ( Arrow C) in FIG. When the vehicle 1 is equipped with a means for measuring the position and direction (for example, GPS (Global Positioning System)), a storage medium for storing map information, and the like (not shown), the ECU 1 At the same time, information indicating the current location (execution region) where the request, writing, or the like is performed, the time at which the request was executed, or the like may be transmitted to the center server 3 via the communication device 2.

なお、上記故障に至る可能性のある制御パラメーターの他、自車両mvに搭載されている各種負荷の駆動を制御する制御コンピューター自体に記憶されている制御プログラム(制御コンピューターに記憶されているソフトウェア)も変更されると、場合によっては車両が故障に至る場合もある。そのため、ECU1は、ソフトウェアの書き替えがあった場合、どのような要求があったか、どのような書き替えがあったかについても通信装置2を介してセンターサーバー3に送信してもよい。   In addition to the control parameters that may lead to the above-mentioned failure, a control program (software stored in the control computer) stored in the control computer itself that controls driving of various loads mounted on the host vehicle mv If changed, the vehicle may break down in some cases. Therefore, when the software is rewritten, the ECU 1 may transmit to the center server 3 via the communication device 2 what kind of request has been made and what kind of rewriting has occurred.

その後、センターサーバー3は、自車両mvにおける、特定の(正規の)制御パラメーターや制御範囲等(本説明であるとエンジンの空燃比に関する正常な制御パラメーター)を当該自車両mvに向けて送信する(図1の矢印D)。   Thereafter, the center server 3 transmits specific (normal) control parameters, control ranges, and the like (in this description, normal control parameters relating to the air / fuel ratio of the engine) to the host vehicle mv. (Arrow D in FIG. 1).

なおこのとき、自車両mvのECU1は、上記受信した特定の(正規の)制御パラメーターや制御範囲等を利用して、その値から外れるような制御を継続していないかを常時監視してもよい(図1のE)。   At this time, the ECU 1 of the host vehicle mv constantly monitors whether the control deviating from the value is continued using the received specific (regular) control parameter, control range, or the like. Good (E in FIG. 1).

上述したように、端末装置4は、ECU1に、例えば、特定のプログラムを起動させ、当該自車両mvに搭載されている各種負荷を駆動させることができる。ここで、一般的に、通常の駆動と、ある特定の駆動(例えば故障診断プログラムにおける強制駆動)とはその制御プログラムが異なっている。そのため、ECU1は、端末装置4により自車両mvに対して上記特定の駆動がなされた場合、当該自車両mvの通常の使用態様ではないため、このような駆動が継続してなされていないを常時監視してもよい。   As described above, the terminal device 4 can cause the ECU 1 to activate, for example, a specific program and drive various loads mounted on the host vehicle mv. Here, in general, the control program differs between normal driving and certain driving (for example, forced driving in a failure diagnosis program). Therefore, when the specific drive is performed on the host vehicle mv by the terminal device 4, the ECU 1 is not in a normal usage mode of the host vehicle mv. You may monitor.

そして、自車両mvに対して上記特定の駆動が、ある一定条件下で継続してなされた場合、ECU1は、端末装置4により、どのような要求がされたかを示す情報を当該ECU1の通信装置2を介してセンターサーバー3に送信する(図1の矢印F)。   When the specific driving is continuously performed on the host vehicle mv under a certain condition, the ECU 1 transmits information indicating what kind of request is made by the terminal device 4 to the communication device of the ECU 1. 2 to the center server 3 (arrow F in FIG. 1).

なお、図1の具体的な場面の最後として、不正の要求を行った者が、当該不正の要求を隠すために、例えば、エンジンの空燃比に関する制御パラメーターを正常なものに、再び変更した(元の状態に戻した)状況を想定する(図1の矢印G)。そして、上記不正の要求を行った結果、自車両mvが故障に至ったと仮に想定する。   In addition, at the end of the specific scene in FIG. 1, in order to conceal the illegal request, for example, the person who made the illegal request changed again the control parameter relating to the air-fuel ratio of the engine to a normal one ( A situation is assumed (returned to the original state) (arrow G in FIG. 1). Then, it is assumed that the host vehicle mv has broken down as a result of the unauthorized request.

なお、この場合、図1の矢印Gに示すように、不正の要求を行った者が、当該不正行為を隠すために、各種制御値を正常な値に書き替えたり、制御パラメーターを正常なものに変更したりしているので、仮に自車両mvが故障したとしても不正の要求を行った事実は残らなくなる。そのため、不正の要求による故障か、いわゆる一般的な故障(言い換えれば悪意を持った者が行った操作に起因しない故障)かが分からなくなる。   In this case, as indicated by an arrow G in FIG. 1, in order to hide the illegal act, a person who has made an illegal request rewrites various control values to normal values or sets normal control parameters. Therefore, even if the host vehicle mv breaks down, there remains no fact that an illegal request has been made. For this reason, it is impossible to know whether the failure is due to an illegal request or a so-called general failure (in other words, a failure not caused by an operation performed by a malicious person).

本実施形態に係る不正監視システムは、上述したように、端末装置4によってどのような要求がされたかがセンターサーバー3に記憶されているので、不正の要求による故障か、いわゆる一般的な故障かを判断することができるものである。   As described above, the fraud monitoring system according to the present embodiment stores in the center server 3 what kind of request has been made by the terminal device 4, so whether it is a malfunction due to an unauthorized request or a so-called general malfunction. It can be judged.

次に、本実施形態に係る不正監視システムのECU1が行う処理の一例について説明する。図2は、本実施形態に係る不正監視システムのECU1が行う処理の一例を示したフローチャートである。   Next, an example of processing performed by the ECU 1 of the fraud monitoring system according to the present embodiment will be described. FIG. 2 is a flowchart illustrating an example of processing performed by the ECU 1 of the fraud monitoring system according to the present embodiment.

図2に示すフローチャートは、例えば、ECU1が当該ECU1内に備えている図示しない記憶媒体に記憶されている所定のプログラムを実行することにより行われる。また、図2に示すフローチャートの処理は、ECU1の電源がON(例えば、ECU1が搭載された自車両mvの始動/停止スイッチがON)されることによって開始される。また、当該フローチャートに示した処理は、ECU1の電源がOFF(例えば、ECU1が搭載された自車両mvの始動/停止スイッチがOFF)されることによって終了される。   The flowchart shown in FIG. 2 is performed, for example, when the ECU 1 executes a predetermined program stored in a storage medium (not shown) provided in the ECU 1. 2 is started when the power source of the ECU 1 is turned on (for example, the start / stop switch of the host vehicle mv in which the ECU 1 is mounted is turned on). The processing shown in the flowchart is terminated when the power source of the ECU 1 is turned off (for example, the start / stop switch of the host vehicle mv in which the ECU 1 is mounted is turned off).

図2のステップS1において、ECU1は、常時監視を開始する。より具体的には、例えば端末装置4などの自車両mvの外部からの操作が行われたか否かを常時監視できる状態に入る(図1であれば例えば当該図1のBに相当)。そして、ECU1は、次のステップS2に処理を進める。   In step S1 of FIG. 2, the ECU 1 starts constant monitoring. More specifically, for example, it enters a state in which it is possible to constantly monitor whether or not an operation from the outside of the host vehicle mv such as the terminal device 4 has been performed (FIG. 1 corresponds to FIG. 1B, for example). Then, the ECU 1 proceeds to the next step S2.

ステップS2において、ECU1は、常時監視を行っていた結果、端末装置4から、自車両mvに対して某かの操作がなされたか否かを判断する。なお、この時点では、端末装置4から自車両mvに対して行われる操作は、不正な要求が行われたか、正常の操作(修理工場での修理のための操作)であるかは判断せず、次のステップS3に処理を進める。   In step S <b> 2, the ECU 1 determines whether or not a certain operation has been performed on the host vehicle mv from the terminal device 4 as a result of the constant monitoring. At this time, it is not determined whether the operation performed on the host vehicle mv from the terminal device 4 is an illegal request or a normal operation (operation for repair at a repair shop). Then, the process proceeds to the next step S3.

具体的には、ECU1は、端末装置4から、自車両mvに対して某かの操作がなされた場合、当該ステップS2での判断を肯定(YES)し、次のステップS3に処理を進める。一方、ECU1は、常時監視している間に、端末装置4から自車両mvに対して某かの操作がなされなかった場合、当該ステップS2の判断を否定(NO)して、ステップS1に処理を戻す。また、ステップS2が行われる場面は図1では例えば矢印Aに相当する。   Specifically, when a certain operation is performed on the host vehicle mv from the terminal device 4, the ECU 1 affirms (YES) the determination in step S2, and proceeds to the next step S3. On the other hand, if the terminal device 4 does not perform any operation on the host vehicle mv during constant monitoring, the ECU 1 negates (NO) the determination in step S2 and proceeds to step S1. To return. Moreover, the scene where step S2 is performed corresponds to, for example, the arrow A in FIG.

なお、自車両mvに対して某かの操作がなされた場合(ステップS2でYES)、後述するステップS3の処理において、プログラム書き替え(リプログラム)時には、不正の可能性の要求であるか否かを判断できないと考えられる。この場合、不正の可能性のある要求かどうかに関係なく、どのような要求がされたかなどを示す情報を当該ECU1の通信装置2を介してセンターサーバー3に送信してもよい(後述のステップS5)。   If a certain operation is performed on the host vehicle mv (YES in step S2), whether or not it is a request for possibility of fraud at the time of program rewriting (reprogramming) in the processing of step S3 described later. It is thought that it cannot be judged. In this case, information indicating what kind of request is made may be transmitted to the center server 3 through the communication device 2 of the ECU 1 regardless of whether the request is likely to be fraud (steps described later). S5).

ステップS3において、ECU1は、端末装置4から自車両mvに対して行われた要求は不正の可能性のある要求かを判断し、次のステップS4に処理を進める。そして、ステップS4において、ECU1は不正の可能性の要求であると判断した場合(ステップS4でYES)、次のステップS5に処理を進める。一方、ECU1は不正の可能性のある要求ではないと判断した場合(ステップS4でNO)、次のステップS1に処理を戻す。   In step S3, ECU1 judges whether the request | requirement made with respect to the own vehicle mv from the terminal device 4 is a request | requirement with a possibility of fraud, and advances a process to following step S4. If the ECU 1 determines in step S4 that the request is a possibility of fraud (YES in step S4), the process proceeds to the next step S5. On the other hand, if the ECU 1 determines that the request is not an illegal request (NO in step S4), the process returns to the next step S1.

なお、上記ステップS3〜ステップS4での処理は、ECU1内の図示しない記憶媒体に記憶されている、自車両mvが故障に至る可能性のある制御パラメーターの一覧を参照して、例えば、これら制御パラメーターを操作されたか否か、ソフトウェアが書き替えられたか否か、上記上述したような強制駆動が継続されたか否か等によって判断すればよい。   Note that the processing in steps S3 to S4 is performed by referring to a list of control parameters stored in a storage medium (not shown) in the ECU 1 that may cause the host vehicle mv to fail, for example. The determination may be made based on whether the parameter has been operated, whether the software has been rewritten, whether the forcible driving as described above has been continued, or the like.

そして、ECU1は不正の可能性のある要求であると判断した場合の次のステップS5において、当該ECU1は、例えば、端末装置4により、どのような要求がされたかなどを示す情報を当該ECU1の通信装置2を介してセンターサーバー3に送信する(図1であれば例えば矢印Cに相当)。   In the next step S5 when the ECU 1 determines that the request is likely to be fraudulent, the ECU 1 provides information indicating what the request is made by the terminal device 4, for example. The data is transmitted to the center server 3 via the communication device 2 (corresponding to, for example, the arrow C in FIG. 1).

なお、自車両mvに位置や方位を測位する手段(例えば、GPS(全地球測位システム))や地図情報を格納する記憶媒体等が搭載されている場合(図示せず)、当該ステップS5において、ECU1の通信装置2を介して、上記情報とともに、上記要求がされた現在地(実行地域)やその要求がされた時刻等を示す情報をセンターサーバー3に送信してもよい。   If the vehicle mv is equipped with a means for measuring the position and direction (for example, GPS (Global Positioning System)) and a storage medium for storing map information (not shown), in step S5, Information indicating the current location (execution region) where the request is made, the time when the request is made, and the like may be transmitted to the center server 3 through the communication device 2 of the ECU 1.

ステップS6において、ECU1は、センターサーバー3から送信される、自車両mvにおける特定の(正規の)制御パラメーターや制御範囲等を通信装置2を介して受信する(図1であれば例えば矢印D)。   In step S6, the ECU 1 receives specific (regular) control parameters, control ranges, and the like in the host vehicle mv transmitted from the center server 3 via the communication device 2 (eg, arrow D in FIG. 1). .

なお、上述したように、ECU1は常時監視を行っているので、端末装置4により自車両mvに対してある特定の駆動(例えば故障診断プログラムにおける強制駆動)がなされ、このような駆動がある一定条件下で継続してなされた場合、ECU1は、端末装置4により、どのような要求がされたかを示す情報を当該ECU1の通信装置2を介してセンターサーバー3に送信してもよい(図1のであれば例えば矢印F)。   As described above, since the ECU 1 constantly monitors, the terminal device 4 performs a specific drive (for example, forced drive in the failure diagnosis program) with respect to the host vehicle mv, and such drive is constant. When continuously made under the conditions, the ECU 1 may transmit information indicating what kind of request is made by the terminal device 4 to the center server 3 via the communication device 2 of the ECU 1 (FIG. 1). For example, arrow F).

そして、次のステップS7において、ECU1は、当該フローチャートの処理を終了するか否かを判断する。そして、ECU1は、当該フローチャートの処理を終了すると判断した場合(YES)、当該フローチャートの処理は終了し、当該フローチャートの処理を終了しないと判断した場合(NO)、ステップS1に処理を戻す。   In the next step S7, the ECU 1 determines whether or not to end the process of the flowchart. If the ECU 1 determines that the process of the flowchart is to be terminated (YES), the process of the flowchart is terminated, and if it is determined not to end the process of the flowchart (NO), the process returns to step S1.

なお、当該フローチャートの処理が終了される場合、つまりステップS7の処理が肯定(YES)される場合とは、上述したように、ECU1の電源がOFF(例えば、ECU1が搭載された自車両mvの始動/停止スイッチがOFF)された場合等である。   When the process of the flowchart is ended, that is, when the process of step S7 is affirmed (YES), as described above, the power of the ECU 1 is turned off (for example, the vehicle mv on which the ECU 1 is mounted). For example, when the start / stop switch is turned off.

このように本実施形態に係る不正監視システムによれば、通常起こりうる故障か、不正な要求を行った結果による故障かを識別することができる、不正監視システムおよびそれに用いられる車載装置を提供することができる。   As described above, the fraud monitoring system according to the present embodiment provides a fraud monitoring system and an in-vehicle device used in the fraud monitoring system that can identify a failure that can normally occur or a failure caused by an illegal request. be able to.

例えば、自車両mvの仕様値を超えた要求(例えば、所定の燃料噴射タイミングや燃料噴射量を変更するような要求)をし、結果、自車両mvが故障したとする。しかしながら、一般的には自車両mvに対して行ったこれら要求の履歴は当該自車両mvに記憶されるものであるから、その履歴自体が消去されてしまった場合、通常の使用で起こりえた故障か、または上記のような仕様値を超えた要求(不正な要求)による故障かが特定できなくなる。その結果、販売店での修理で適切な修理が行えなくなるといったことがある。   For example, it is assumed that a request exceeding the specification value of the host vehicle mv (for example, a request for changing a predetermined fuel injection timing or fuel injection amount) is made, and as a result, the host vehicle mv fails. However, since the history of these requests made to the own vehicle mv is generally stored in the own vehicle mv, if the history itself is erased, a failure that may have occurred during normal use Or failure due to a request exceeding the above-mentioned specification value (unauthorized request) cannot be specified. As a result, it may become impossible to perform appropriate repairs at the store.

本実施形態に係る不正監視システムおよびそれに用いられる車載装置によれば、自車両mvに対して行われた不正な要求の履歴を当該自車両mvとは別のロケーション(例えばセンターサーバー3)に保存しておくことで、販売店で修理する際に、図1の矢印Hに示したように、センターサーバー3にアクセスすることにより、通常の使用で起こりえた故障か、または上記のような仕様値を超えた要求(不正な要求)による故障かが分かり、適切な修理を行うことができるようになる。   According to the fraud monitoring system and the in-vehicle device used therefor according to the present embodiment, the history of fraudulent requests made to the host vehicle mv is stored in a location (for example, the center server 3) different from the host vehicle mv. By doing so, when repairing at a dealer, as shown by the arrow H in FIG. 1, by accessing the center server 3, a failure that may have occurred during normal use or the above specification value It is possible to know whether a failure is caused by a request exceeding the limit (unauthorized request) and to perform appropriate repairs.

また、センターサーバー3には、その要求がされた実行地域や時刻等も記憶されているので、一般的には車両の修理、改修は修理工場や販売店等で行われることを考慮すると、例えば、その要求の実行地域が修理工場や販売店等以外の地域でなされた場合、容易に不正な要求であると判断することもできる。   The center server 3 also stores the requested execution area, time, etc., so that it is generally considered that repairs and repairs of vehicles are carried out at repair shops, sales offices, etc. When the execution area of the request is made in an area other than a repair shop or a store, it can be easily determined that the request is an unauthorized request.

上記実施形態で説明した態様は、単に具体例を示すものであり、本願発明の技術的範囲を何ら限定するものではない。よって、本願の効果を奏する範囲において、任意の構成を採用することが可能である。   The aspect demonstrated by the said embodiment shows a specific example only, and does not limit the technical scope of this invention at all. Therefore, any configuration can be adopted within a range where the effect of the present application is achieved.

本発明に係る不正監視システムおよびそれに用いられる車載装置は、車両において、通常起こりうる故障か、不正な要求を行った結果による故障かを識別することができる、監視システム等として有用である。   INDUSTRIAL APPLICABILITY The fraud monitoring system according to the present invention and the in-vehicle device used therefor are useful as a monitoring system or the like that can identify whether a failure can occur normally in a vehicle or a failure caused by an unauthorized request.

1…ECU
2…通信装置
3…センターサーバー
4…端末装置 1 ... ECU
2 ... Communication device 3 ... Center server 4 ... Terminal device

Claims (2)

車両に搭載されている車両制御装置に対する要求を監視する不正監視システムであって、
前記不正監視システムは車載装置とセンターサーバーとからなり、
前記車載装置は、
前記車両制御装置に対する要求を常時監視することによって当該車両制御装置に対する要求が不正な要求であるか否かを判断する判断手段と、
前記判断手段が前記車両制御装置に対する要求が不正であると判断した場合に、当該要求の内容および当該要求がなされたときの前記車両の位置情報を送信する送信手段とを備え、
前記センターサーバーは、前記送信手段から送信される前記要求の内容および当該要求がなされたときの前記車両の位置情報を記憶することを特徴とする、不正監視システム。 A fraud monitoring system for monitoring a request for a vehicle control device mounted on a vehicle,
The fraud monitoring system comprises an in-vehicle device and a center server,
The in-vehicle device is
Determining means for determining whether the request for the vehicle control device is an unauthorized request by constantly monitoring the request for the vehicle control device;
When the determination means determines that the request for the vehicle control device is unauthorized, the transmission means transmits the content of the request and the position information of the vehicle when the request is made,
The fraud monitoring system, wherein the center server stores contents of the request transmitted from the transmission unit and position information of the vehicle when the request is made. 請求項1に記載の不正監視システムに用いられる車載装置であって、
前記車両制御装置に対する要求を常時監視することによって当該車両制御装置に対する要求が不正な要求であるかを判断する判断手段と、
前記判断手段が前記車両制御装置に対する要求が不正であると判断した場合に、当該要求の内容および当該要求がなされたときの前記車両の位置情報を送信する送信手段とを備える、車載装置。 An in-vehicle device used in the fraud monitoring system according to claim 1,
Determining means for determining whether the request for the vehicle control device is an unauthorized request by constantly monitoring the request for the vehicle control device;
An in-vehicle device comprising: a transmission unit configured to transmit the content of the request and the position information of the vehicle when the request is made when the determination unit determines that the request to the vehicle control device is illegal.
JP2010244069A 2010-10-29 2010-10-29 Irregularity monitoring system and on-vehicle device used for the same Pending JP2012096600A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010244069A JP2012096600A (en) 2010-10-29 2010-10-29 Irregularity monitoring system and on-vehicle device used for the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010244069A JP2012096600A (en) 2010-10-29 2010-10-29 Irregularity monitoring system and on-vehicle device used for the same

Publications (1)

Publication Number Publication Date
JP2012096600A true JP2012096600A (en) 2012-05-24

Family

ID=46389048

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010244069A Pending JP2012096600A (en) 2010-10-29 2010-10-29 Irregularity monitoring system and on-vehicle device used for the same

Country Status (1)

Country Link
JP (1) JP2012096600A (en)

Similar Documents

Publication Publication Date Title
US12401667B2 (en) Vehicle security monitoring apparatus, method and non-transitory computer readable medium
US6694235B2 (en) Vehicular relay device, in-vehicle communication system, failure diagnostic system, vehicle management device, server device and detection and diagnostic program
JP4506868B2 (en) Electronic control unit
JP5272507B2 (en) Electronic control unit
JP6432611B2 (en) Automobile repair system providing security support and fault tolerance support
JP4539757B2 (en) Electronic control unit
WO2021038870A1 (en) Anomalous vehicle detecting server and anomalous vehicle detecting method
US12190092B2 (en) Control device and terminal device
US10625754B2 (en) Control apparatus, control method, and computer program
JP2013060047A (en) Vehicle network system, and method of processing vehicle information
CN105555615A (en) Rewrite detection system, rewrite detection device and information processing device
JP2013084284A (en) Electronic control system and electronic control device
US20060227604A1 (en) Program rewriting system and program rewriting method
JP4475345B2 (en) Electronic control unit
US20060241831A1 (en) Method for investigating cause of decrease in frequency of abnormality detections, method for improving frequency of abnormality detections and electronic control apparatus
JP4412390B2 (en) Electronic control device, method for permitting storage of diagnostic results in nonvolatile memory, information processing device, system for permitting storage of diagnostic results in nonvolatile memory
JP5617901B2 (en) Electronic control unit
WO2007134102A2 (en) System and method of agent self-repair within an intelligent agent system
JP5152230B2 (en) Electronic control unit
JP6483461B2 (en) Management method, management program, management device, management system, and information processing method
JP2012096600A (en) Irregularity monitoring system and on-vehicle device used for the same
JP7013921B2 (en) Verification terminal
JP2004142511A (en) Electronic control device for vehicle, electronic control unit, program, and recording medium
JP7025200B2 (en) Program control device, program control system and program control method
JP6731892B2 (en) Tampering detection device for in-vehicle memory