[go: up one dir, main page]

JP2019028634A - In-vehicle memory tamper detection device - Google Patents

In-vehicle memory tamper detection device Download PDF

Info

Publication number
JP2019028634A
JP2019028634A JP2017146053A JP2017146053A JP2019028634A JP 2019028634 A JP2019028634 A JP 2019028634A JP 2017146053 A JP2017146053 A JP 2017146053A JP 2017146053 A JP2017146053 A JP 2017146053A JP 2019028634 A JP2019028634 A JP 2019028634A
Authority
JP
Japan
Prior art keywords
control device
rewrite
control system
vehicle control
rewrite information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017146053A
Other languages
Japanese (ja)
Other versions
JP6731892B2 (en
Inventor
良和 石井
Yoshikazu Ishii
良和 石井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Astemo Ltd
Original Assignee
Hitachi Automotive Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Automotive Systems Ltd filed Critical Hitachi Automotive Systems Ltd
Priority to JP2017146053A priority Critical patent/JP6731892B2/en
Publication of JP2019028634A publication Critical patent/JP2019028634A/en
Application granted granted Critical
Publication of JP6731892B2 publication Critical patent/JP6731892B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Stored Programmes (AREA)

Abstract

【課題】装置を追加せずに不正改竄を検知可能かつ改竄した事実を容易に消せなくすることで、不正改竄の抑止力を向上することが可能な車両制御システムを提供することにある。【解決手段】車両制御システムにおいて、互いに接続される複数の制御装置と、前記複数の制御装置を互いに接続する複数の通信ネットワークと、前記複数の制御装置の内、少なくとも一つ以上の制御装置が、前記通信ネットワーク同士のデータを中継するゲートウェイ機能と、を備え、いずれかの前記制御装置の不揮発性メモリが書換えられる際に、書換え情報を、前記ゲートウェイ機能を有する前記制御装置から選択された、書換え対象ではない前記制御装置の不揮発性メモリに記憶する、ことを特徴とする。【選択図】図2PROBLEM TO BE SOLVED: To provide a vehicle control system capable of improving deterrence of tampering by detecting tampering without adding a device and making it impossible to easily erase the tampering fact. In a vehicle control system, a plurality of control devices connected to each other, a plurality of communication networks connecting the plurality of control devices to each other, and at least one or more control devices among the plurality of control devices. When the non-volatile memory of any of the control devices is rewritten, the rewrite information is selected from the control device having the gateway function. It is characterized in that it is stored in the non-volatile memory of the control device which is not the target of rewriting. [Selection diagram] Fig. 2

Description

本発明は、車載メモリの改竄検知装置に関する。   The present invention relates to a falsification detection device for in-vehicle memory.

従来、車載通信ネットワークでは、自動車に搭載された制御用コンピュータ(車両用制御装置)であるECU(Electronic Control Unit)に記録された、制御対象を制御するためのソフトウェアの書換えを行なっている(例えば、特開2016−167113号公報参照)。   Conventionally, in an in-vehicle communication network, software for controlling a control object recorded in an ECU (Electronic Control Unit) which is a control computer (vehicle control device) mounted on an automobile is rewritten (for example, JP, 2016-167113, A).

特開2016−167113号公報には、制御対象を制御するためのソフトウェアを記録する書換え可能に設定された記録領域と、前記ソフトウェアを書換えるための書換えプログラムを記録する書き換え不可能に設定された記録領域と、前記書換えプログラムの実行を行うCPUと、を有する車載用制御ユニットが記載されている。   In Japanese Patent Laid-Open No. 2016-167113, a rewritable recording area for recording software for controlling a controlled object and a rewritable recording for recording a rewritable program for rewriting the software are set. An in-vehicle control unit having a recording area and a CPU that executes the rewriting program is described.

特開2016−167113号公報JP 2016-167113 A

ソフトウェアの不正な書換え対策として、特開2016−167113号公報に開示される技術のように、書換えた痕跡を残す方法がある。特開2016−167113号公報に開示される技術では、不正なユーザが書換えた痕跡を消去しようとしている場合、記憶場所を特定される恐れがある。   As a countermeasure against illegal software rewriting, there is a method of leaving a rewritten trace as in the technique disclosed in Japanese Patent Application Laid-Open No. 2016-167113. In the technique disclosed in Japanese Patent Application Laid-Open No. 2016-167113, there is a risk that a storage location may be specified when an unauthorized user tries to erase a rewritten trace.

一方、エンジン制御装置などの車両用制御装置は、様々な車両用装置を制御している。例えば、エンジン制御装置は、アクセルセンサから出力された信号に基づいて目標スロットル開度を演算し、実スロットル開度が目標スロットル開度になるようにスロットルモータを制御する。車両用制御装置による制御は、車両の走行に影響を与えるため、制御プログラムなどの不正改竄を検知可能かつ改竄した事実を容易に消せなくすることで、不正改竄の抑止力を向上することが要請される。   On the other hand, vehicle control devices such as engine control devices control various vehicle devices. For example, the engine control device calculates the target throttle opening based on the signal output from the accelerator sensor, and controls the throttle motor so that the actual throttle opening becomes the target throttle opening. Since the control by the vehicle control device affects the running of the vehicle, it is required to improve the deterrence of unauthorized tampering by making it possible to detect tampering such as control programs and not easily erase the fact that tampering has occurred. Is done.

本発明の目的は、装置を追加せずに不正改竄を検知可能かつ改竄した事実を容易に消せなくすることで、不正改竄の抑止力を向上することが可能な車両制御システムを提供することにある。   An object of the present invention is to provide a vehicle control system capable of improving the deterrence of unauthorized tampering by making it possible to detect unauthorized tampering without adding a device and not easily erasing the fact of tampering. is there.

本発明は上記の目的を達成するために、車両制御システムにおいて、互いに接続される複数の制御装置と、前記複数の制御装置を互いに接続する複数の通信ネットワークと、前記複数の制御装置の内、少なくとも一つ以上の制御装置が、前記通信ネットワーク同士のデータを中継するゲートウェイ機能と、を備え、いずれかの前記制御装置の不揮発性メモリが書換えられる際に、書換え情報を、前記ゲートウェイ機能を有する前記制御装置から選択された、書換え対象ではない前記制御装置の不揮発性メモリに記憶する、ことを特徴とする。   In order to achieve the above object, in the vehicle control system, the present invention provides a plurality of control devices connected to each other, a plurality of communication networks that connect the plurality of control devices to each other, and among the plurality of control devices, At least one control device has a gateway function for relaying data between the communication networks, and when the nonvolatile memory of any of the control devices is rewritten, the rewrite information has the gateway function. It memorize | stores in the non-volatile memory of the said control apparatus which is selected from the said control apparatus and is not a rewriting object.

本発明によれば、装置を追加せずに不正改竄を検知可能かつ改竄した事実を容易に消せなくすることで、不正改竄の抑止力を向上することが可能な車両制御システムを提供することができる。   According to the present invention, it is possible to provide a vehicle control system capable of improving the deterrence of unauthorized tampering by making it possible to detect unauthorized tampering without adding an apparatus and not easily erasing the fact that the tampering has occurred. it can.

上記した以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。   Problems, configurations, and effects other than those described above will be clarified by the following description of embodiments.

本発明の第1の実施形態によるエンジン制御装置、ハイブリッド制御装置、モータ制御装置、書換えツールを含む車両制御システムの構成を示すブロック図。1 is a block diagram showing a configuration of a vehicle control system including an engine control device, a hybrid control device, a motor control device, and a rewriting tool according to a first embodiment of the present invention. 本発明の第1の実施形態によるエンジン制御装置、ハイブリッド制御装置、モータ制御装置、書換えツールの構成を示すブロック図。The block diagram which shows the structure of the engine control apparatus by the 1st Embodiment of this invention, a hybrid control apparatus, a motor control apparatus, and the rewriting tool. 本発明の第1の実施形態によるハイブリッド制御装置の処理のフローチャートの例を示す図。The figure which shows the example of the flowchart of a process of the hybrid control apparatus by the 1st Embodiment of this invention. 本発明の第1の実施形態によるエンジン制御装置の処理のフローチャートの例を示す図。The figure which shows the example of the flowchart of the process of the engine control apparatus by the 1st Embodiment of this invention. 本発明の第1の実施形態によるモータ制御装置の処理のフローチャートの例を示す図。The figure which shows the example of the flowchart of a process of the motor control apparatus by the 1st Embodiment of this invention.

以下、図面を用いて本発明の第1の実施形態によるハイブリッド制御装置及びエンジン制御装置及びモータ制御装置の構成及び動作を説明する。   Hereinafter, configurations and operations of the hybrid control device, the engine control device, and the motor control device according to the first embodiment of the present invention will be described with reference to the drawings.

最初に、図1を用いて、車両制御システムのハードウェア構成を説明する。図1は、本発明の第1の実施形態によるエンジン制御装置6、ハイブリッド制御装置10、モータ制御装置8、書換えツール21を含む車両制御システムの構成を示すブロック図である。   First, the hardware configuration of the vehicle control system will be described with reference to FIG. FIG. 1 is a block diagram showing the configuration of a vehicle control system including an engine control device 6, a hybrid control device 10, a motor control device 8, and a rewriting tool 21 according to the first embodiment of the present invention.

本実施形態の車両制御システム300は、燃料の燃焼によってトルクを発生するエンジン1と、クラッチ機構2と、車輪3aの駆動軸3bに連結するモータ3と、モータ3を駆動するインバータ(電力変換装置)4と、バッテリ5と、アクセル開度を検出するアクセルセンサ11と、スロットル開度を検出するスロットルセンサ12と、スロットルモータ(スロットル装置)13と、インジェクター(燃料噴射装置)14と、点火装置15と、ブレーキ16と、ステアリング19と、エアバッグ20と、エンジン制御装置6と、クラッチ制御装置7と、モータ制御装置8と、バッテリ制御装置9と、電動パワーステアリング17と、エアバッグ制御装置18と、が搭載されて構成される。エンジン制御装置6は、スロットルセンサ12による検出結果であるスロットル開度を入力し、スロットルモータ13、インジェクター14および点火装置15を制御する。クラッチ制御装置7はクラッチ機構2を制御する。モータ制御装置8はインバータ4を制御することによってモータ3を制御する。バッテリ制御装置9はバッテリ5を制御する。電動パワーステアリング17は制御装置であってステアリング19を制御する。エアバッグ制御装置18はエアバッグ20を制御する。書換えツール21は、外部接続する装置であり、例えば、車室内にあるDLC(Data Link Connector)に接続することで、各制御装置と通信する事が可能である。   The vehicle control system 300 of this embodiment includes an engine 1 that generates torque by combustion of fuel, a clutch mechanism 2, a motor 3 that is connected to a drive shaft 3b of a wheel 3a, and an inverter (power converter that drives the motor 3). ) 4, battery 5, accelerator sensor 11 for detecting the accelerator opening, throttle sensor 12 for detecting the throttle opening, throttle motor (throttle device) 13, injector (fuel injection device) 14, ignition device 15, the brake 16, the steering 19, the airbag 20, the engine control device 6, the clutch control device 7, the motor control device 8, the battery control device 9, the electric power steering 17, and the airbag control device. 18 and is configured. The engine control device 6 inputs a throttle opening that is a detection result by the throttle sensor 12 and controls the throttle motor 13, the injector 14, and the ignition device 15. The clutch control device 7 controls the clutch mechanism 2. The motor control device 8 controls the motor 3 by controlling the inverter 4. The battery control device 9 controls the battery 5. The electric power steering 17 is a control device and controls the steering 19. The airbag control device 18 controls the airbag 20. The rewriting tool 21 is an externally connected device. For example, the rewriting tool 21 can communicate with each control device by connecting to a DLC (Data Link Connector) in the vehicle interior.

さらに、車両制御システム300には、上述の各制御装置6〜9、17および18に対して、指令を出すハイブリッド制御装置10が搭載される。各制御装置6〜10、17および18は、それぞれが不図示のCPU(Central Processing Unit)やRAM(Random Access Memory)、ROM(Read Only Memory)、EEPROM(Electrically Erasable Programmable Read Only Memory)等を備えて構成され、予め定めた制御プログラムにしたがって信号処理を行う。   Furthermore, the vehicle control system 300 is equipped with the hybrid control device 10 that issues a command to the control devices 6 to 9, 17, and 18 described above. Each of the control devices 6 to 10, 17, and 18 includes a CPU (Central Processing Unit), a RAM (Random Access Memory), a ROM (Read Only Memory), an EEPROM (Electrically Erasable Programmable Readiness), and the like. The signal processing is performed according to a predetermined control program.

また、各制御装置6〜10、17および18は、互いに、通信線100および/または通信線200を介して種々の情報を送受信する。通信線100および通信線200は、多重通信線であり、CAN(Controller Area Network)プロトコルに基づくネットワークを構成する。通信線100および通信線200は、多重通信線に限られるものではない。   In addition, the control devices 6 to 10, 17, and 18 transmit and receive various information to and from each other via the communication line 100 and / or the communication line 200. The communication line 100 and the communication line 200 are multiple communication lines, and constitute a network based on a CAN (Controller Area Network) protocol. The communication line 100 and the communication line 200 are not limited to multiple communication lines.

通信線100は、主にハイブリッド制御に関わる制御装置を繋いでいるCANであり、例えば、ハイブリッド制御装置10、エンジン制御装置6、クラッチ制御装置7、モータ制御装置8、バッテリ制御装置9などが繋がっている。ハイブリッド制御とは、例えば、所定の燃費や運転性を実現するために、トルク配分を決定、指令することである。   The communication line 100 is a CAN that mainly connects control devices related to hybrid control. For example, the hybrid control device 10, the engine control device 6, the clutch control device 7, the motor control device 8, and the battery control device 9 are connected. ing. The hybrid control is, for example, determining and commanding torque distribution in order to realize predetermined fuel consumption and drivability.

通信線200は、車両制御に関わる制御装置を繋いでいるCANであり、例えば、ハイブリッド制御装置10、電動パワーステアリング17、エアバッグ制御装置18などが繋がっている。車両制御とは、例えば、ステアリングの制御である。   The communication line 200 is a CAN that connects control devices related to vehicle control. For example, the hybrid control device 10, the electric power steering 17, the airbag control device 18, and the like are connected. The vehicle control is, for example, steering control.

ハイブリッド制御装置10は、通信線100および通信線200の2本の、目的が異なる通信線に繋がっている。   The hybrid control device 10 is connected to two communication lines, the communication line 100 and the communication line 200, having different purposes.

ハイブリッド制御装置10は、所定の信号を異なる通信線へ転送するゲートウェイ機能を有する。例えば、書換えツール21からエンジン制御装置6へROMの書換え要求信号を送信する場合、ハイブリッド制御装置10が当該要求信号を転送する。これにより、通信線200に接続された書換えツール21から、通信線100に接続されたエンジン制御装置6へ所定の信号を送信する事が可能となる。   The hybrid control device 10 has a gateway function for transferring a predetermined signal to a different communication line. For example, when a ROM rewrite request signal is transmitted from the rewrite tool 21 to the engine control device 6, the hybrid control device 10 transfers the request signal. As a result, a predetermined signal can be transmitted from the rewriting tool 21 connected to the communication line 200 to the engine control device 6 connected to the communication line 100.

エンジン制御装置6は、スロットルセンサ12からのスロットル開度などの入力に基づき、スロットルモータ13、インジェクター14、点火装置15を制御する。具体的には、目標スロットル開度や燃料噴射量、点火時期などが制御されることにより、運転状態に応じてエンジン1の出力が制御される。   The engine control device 6 controls the throttle motor 13, the injector 14, and the ignition device 15 based on an input such as the throttle opening from the throttle sensor 12. Specifically, the output of the engine 1 is controlled according to the operating state by controlling the target throttle opening, fuel injection amount, ignition timing, and the like.

モータ3は、モータ(電動機)あるいはジェネレータ(発電機)として機能する。具体的には、モータ3は、加速時にはハイブリッド制御装置10からの信号に基づいてモータ(電動機)として機能し、制動時にはジェネレータ(発電機)として機能してバッテリ5に回生電力を供給し蓄電する。   The motor 3 functions as a motor (electric motor) or a generator (generator). Specifically, the motor 3 functions as a motor (electric motor) based on a signal from the hybrid control device 10 during acceleration, and functions as a generator (generator) during braking to supply regenerative power to the battery 5 and store it. .

すなわち、インバータ4は、モータ制御装置8からの指令に基づきバッテリ5からの直流電力を交流電力に変換し、力行時に交流電力をモータ3に供給する。交流電力によりモータ3の固定子に回転磁界が形成され、モータ3の回転子が回転する。また、インバータ4は、回生時に、モータ制御装置8からの指令に基づきモータ3で発電された交流電力を直流電力に変換し、直流電力をバッテリ5に供給する。この直流電力によりバッテリ5が充電される。   That is, the inverter 4 converts the DC power from the battery 5 into AC power based on a command from the motor control device 8 and supplies the AC power to the motor 3 during power running. A rotating magnetic field is formed on the stator of the motor 3 by the AC power, and the rotor of the motor 3 rotates. Further, the inverter 4 converts AC power generated by the motor 3 into DC power based on a command from the motor control device 8 during regeneration, and supplies the DC power to the battery 5. The battery 5 is charged by this DC power.

なお、バッテリ5に蓄積された電気エネルギは、モータ3用の電力として用いられるほか、不図示のDC−DCコンバータなどを介してエアコンなどの補機類の電力としても用いられる。   The electric energy stored in the battery 5 is used not only as electric power for the motor 3, but also as electric power for auxiliary equipment such as an air conditioner via a DC-DC converter (not shown).

書換えツール21は、各制御装置6〜10、17および18が備えたROM等の内部データを書換える事が可能である。例えば、制御プログラムを書換える(リプログラミング)事が可能である。   The rewriting tool 21 can rewrite internal data such as a ROM provided in each of the control devices 6 to 10, 17 and 18. For example, the control program can be rewritten (reprogramming).

次に、図2を用いて、本発明をハイブリッド制御装置10、エンジン制御装置6、モータ制御装置8、書換えツール21に適用した場合の構成の一例を説明する。図2は、本発明の第1の実施形態によるハイブリッド制御装置10、エンジン制御装置6、モータ制御装置8、書換えツール21の構成を示すブロック図である。   Next, an example of the configuration when the present invention is applied to the hybrid control device 10, the engine control device 6, the motor control device 8, and the rewriting tool 21 will be described with reference to FIG. FIG. 2 is a block diagram showing configurations of the hybrid control device 10, the engine control device 6, the motor control device 8, and the rewriting tool 21 according to the first embodiment of the present invention.

ハイブリッド制御装置10と書換えツール21はCAN通信で通信線200を介して接続されている。ハイブリッド制御装置10、エンジン制御装置6、モータ制御装置8はCAN通信で通信線100を介して接続されている。   The hybrid control device 10 and the rewriting tool 21 are connected via the communication line 200 by CAN communication. The hybrid control device 10, the engine control device 6, and the motor control device 8 are connected via a communication line 100 by CAN communication.

ハイブリッド制御装置10は、受信部30と、ゲートウェイ機能部31と、選択部32と、送信部33と、を備えて構成される。   The hybrid control apparatus 10 includes a receiving unit 30, a gateway function unit 31, a selecting unit 32, and a transmitting unit 33.

受信部30は、ハイブリッド制御装置10の外部からの値を入力としており、通信線200による値を受信する。外部からの入力値は、例えば、制御装置のROMの書換え要求などである。すなわち、受信部30は、書換えツール21から送信された値を、受信する。   The receiving unit 30 receives a value from the outside of the hybrid control device 10 and receives a value from the communication line 200. The input value from the outside is, for example, a request to rewrite the ROM of the control device. That is, the receiving unit 30 receives the value transmitted from the rewriting tool 21.

ゲートウェイ機能部31は、受信部30で受信した値を入力としてゲートウェイ処理を行なう。受信した値が、ハイブリッド制御装置10以外の制御装置が受信すべき値であった場合に、受信すべき制御装置へ送信するために転送を行なう。   The gateway function unit 31 performs gateway processing with the value received by the receiving unit 30 as an input. When the received value is a value that should be received by a control device other than the hybrid control device 10, transfer is performed for transmission to the control device to be received.

選択部32は、受信部30で受信した値が、ハイブリッド制御装置10以外の制御装置のROMの書換え要求であった場合に(すなわち、ゲートウェイ機能部31が、ハイブリッド制御装置ではない制御装置のROMの書換え要求を転送した場合に)、書換え情報の記憶先を選択し、当該記憶先へ、書換え情報の記憶要求を送信する。選択対象は、ROMの書換え対象である制御装置を除いた、ハイブリッド制御装置10が通信可能な制御装置からランダムに選択する。受信部30で受信した値が、ハイブリッド制御装置ではない制御装置のROMの書換え要求でなかった場合は、何もしない。   When the value received by the receiving unit 30 is a request to rewrite the ROM of a control device other than the hybrid control device 10 (that is, the gateway function unit 31 is a ROM of a control device that is not a hybrid control device). When the rewrite request is transferred, the storage destination of the rewrite information is selected, and the rewrite information storage request is transmitted to the storage destination. The selection target is randomly selected from the control devices with which the hybrid control device 10 can communicate, except for the control device that is the ROM rewrite target. If the value received by the receiving unit 30 is not a ROM rewrite request of a control device that is not a hybrid control device, nothing is done.

送信部33は、通信線100に対する送信部として機能する。ゲートウェイ機能部31から出力される、ハイブリッド制御装置10以外の制御装置が受信すべき値、IDなどを含むCANフレームを、通信線100を介してハイブリッド制御装置10の外部へ送信する。また、選択部32から出力される、書換え情報の記憶要求を入力とし、ID、書換え情報の記憶要求などを含むCANフレームを、通信線100を介してハイブリッド制御装置10の外部へ送信する。   The transmission unit 33 functions as a transmission unit for the communication line 100. A CAN frame including a value, ID, and the like to be received by a control device other than the hybrid control device 10 and output from the gateway function unit 31 is transmitted to the outside of the hybrid control device 10 via the communication line 100. In addition, a rewrite information storage request output from the selection unit 32 is input, and a CAN frame including an ID, a rewrite information storage request, and the like is transmitted to the outside of the hybrid control apparatus 10 via the communication line 100.

なお、CAN通信では、2本の通信線の電圧差により通信を行うため、外部ノイズの影響を受けにくい。   In CAN communication, communication is performed by a voltage difference between two communication lines, so that it is not easily affected by external noise.

エンジン制御装置6は、受信部34と、書換え制御部35と、ROM36と、を備えて構成される。   The engine control device 6 includes a receiving unit 34, a rewrite control unit 35, and a ROM 36.

受信部34は、通信線100に対する受信部として機能する。エンジン制御装置6の外部からの値を入力としており、通信線100による値を受信する。すなわち、受信部34は、ハイブリッド制御装置10の送信部33から送信された値を、受信する。   The receiving unit 34 functions as a receiving unit for the communication line 100. A value from the outside of the engine control device 6 is used as an input, and a value by the communication line 100 is received. That is, the receiving unit 34 receives the value transmitted from the transmitting unit 33 of the hybrid control device 10.

書換え制御部35は、受信部34で受信した値を入力として、エンジン制御装置6のROM書換え処理を行なう。受信した値が、エンジン制御装置6のROMの書換え要求だった場合、ROM36の書換えを行なう。受信した値が、書換え情報の記憶要求だった場合、ROM36の、例えば所定領域内のいずれかに、書換え情報を記憶する。   The rewrite control unit 35 performs the ROM rewrite process of the engine control device 6 with the value received by the receiving unit 34 as an input. When the received value is a request to rewrite the ROM of the engine control device 6, the ROM 36 is rewritten. When the received value is a request for storing rewrite information, the rewrite information is stored in, for example, a predetermined area of the ROM 36.

ROM36は不揮発性メモリであり、エンジン制御に関わる制御プログラムや適合パラメータなどが記憶されている。   The ROM 36 is a nonvolatile memory, and stores a control program related to engine control, compatible parameters, and the like.

モータ制御装置8は、受信部37と、書換え制御部38と、ROM39と、を備えて構成される。   The motor control device 8 includes a receiving unit 37, a rewrite control unit 38, and a ROM 39.

受信部37は、通信線100に対する受信部として機能する。モータ制御装置8の外部からの値を入力としており、通信線100による値を受信する。すなわち、受信部37は、ハイブリッド制御装置10の送信部33から送信された値を、受信する。   The receiving unit 37 functions as a receiving unit for the communication line 100. A value from the outside of the motor control device 8 is used as an input, and a value by the communication line 100 is received. That is, the receiving unit 37 receives the value transmitted from the transmitting unit 33 of the hybrid control device 10.

書換え制御部38は、受信部37で受信した値を入力として、モータ制御装置8のROM書換え処理を行なう。受信した値が、モータ制御装置8のROMの書換え要求だった場合、ROM39の書換えを行なう。受信した値が、書換え情報の記憶要求だった場合、ROM39の、例えば所定領域内のいずれかに、書換え情報を記憶する。   The rewrite control unit 38 performs the ROM rewrite process of the motor control device 8 with the value received by the receiving unit 37 as an input. When the received value is a request to rewrite the ROM of the motor control device 8, the ROM 39 is rewritten. When the received value is a request for storing rewrite information, the rewrite information is stored in, for example, a predetermined area of the ROM 39.

ROM39は不揮発性メモリであり、モータ制御に関わる制御プログラムや適合パラメータなどが記憶されている。   The ROM 39 is a nonvolatile memory, and stores a control program related to motor control, compatible parameters, and the like.

次に、図3を用いて、ハイブリッド制御装置10の動作を説明する。図3は、本発明の第1の実施形態によるハイブリッド制御装置10の処理を示すフローチャートの例である。   Next, operation | movement of the hybrid control apparatus 10 is demonstrated using FIG. FIG. 3 is an example of a flowchart showing processing of the hybrid control apparatus 10 according to the first embodiment of the present invention.

ステップS10では、受信部30は、書換えツール21からの値を入力とし、受信処理を行なう。   In step S10, the receiving unit 30 receives the value from the rewriting tool 21 and performs a receiving process.

ステップS11では、受信部30で受信した値が、ハイブリッド制御装置10以外の制御装置が受信すべき値か、ゲートウェイ機能部31が判定する。ハイブリッド制御装置10以外の制御装置が受信すべき値かが真の場合は、ステップS12に処理を進める。偽の場合は、ステップS10の前に処理を戻す。   In step S11, the gateway function unit 31 determines whether the value received by the receiving unit 30 is a value that should be received by a control device other than the hybrid control device 10. If the value to be received by a control device other than the hybrid control device 10 is true, the process proceeds to step S12. If false, the process returns before step S10.

ステップS12では、受信部30で受信した値を、受信すべき制御装置へ転送する。例えば、受信した値が、エンジン制御装置6が受信すべき制御装置であった場合、受信した値を、送信部33から、エンジン制御装置6の受信部34へ、通信線100を介して送信する。   In step S12, the value received by the receiving unit 30 is transferred to the control device to be received. For example, when the received value is a control device that the engine control device 6 should receive, the received value is transmitted from the transmission unit 33 to the reception unit 34 of the engine control device 6 via the communication line 100. .

ステップS13では、受信部30で受信した値が、ハイブリッド制御装置10以外の制御装置に備えられたROMの書換え要求か、選択部32が判定する。ハイブリッド制御装置10以外の制御装置に備えられたROMの書換え要求かが真の場合は、ステップS14に処理を進める。偽の場合は、ステップS14を行なわずに進める。例えば、受信した値が、エンジン制御装置6に備えられたROM36の書換え要求であった場合、真と判定し、ステップS14に処理を進める。   In step S <b> 13, the selection unit 32 determines whether the value received by the receiving unit 30 is a request for rewriting a ROM provided in a control device other than the hybrid control device 10. If the request to rewrite the ROM provided in a control device other than the hybrid control device 10 is true, the process proceeds to step S14. If false, the process proceeds without performing step S14. For example, if the received value is a request to rewrite the ROM 36 provided in the engine control device 6, it is determined to be true, and the process proceeds to step S14.

ステップS14では、書換え情報の記憶先をランダムに選択し、当該記憶先へ、書換え情報の記憶要求を送信する。選択対象は、ROMの書換え対象である制御装置を除いた、ハイブリッド制御装置10が通信可能な制御装置からランダムに選択する。例えば、ROMの書換え対象がエンジン制御装置6であった場合、書換え情報の記憶先の対象は、エンジン制御装置6以外の制御装置から選択され、例えばモータ制御装置8である。   In step S14, a rewrite information storage destination is randomly selected, and a rewrite information storage request is transmitted to the storage destination. The selection target is randomly selected from the control devices with which the hybrid control device 10 can communicate, except for the control device that is the ROM rewrite target. For example, when the ROM rewrite target is the engine control device 6, the rewrite information storage target is selected from a control device other than the engine control device 6, for example, the motor control device 8.

ここで、書換え情報とは、書換えた事実(痕跡)を残すための情報であり、例えば、書換えを実施した日時、GPS(Global Positioning System)から取得した位置情報、書込むデータの情報(例えば書込もうとしているプログラムバージョン名)などを含んだ情報である。   Here, the rewrite information is information for leaving a rewritten fact (a trace). For example, the date and time when rewriting is performed, position information acquired from GPS (Global Positioning System), information on data to be written (for example, writing) This includes information such as the program version name to be included).

書換え情報は、暗号化して記憶してもよい。例えば、プログラムバージョンからハッシュ値を計算し、ハッシュ値を暗号化して記憶しておき、復号化はディーラーなど正規のユーザのみが可能とすることで、正規のユーザがプログラムバージョンを確認可能となり、行なわれた書換えが正規か不正かを判別する事が可能となる。これにより、改竄の検出可能性を向上出来る。また、暗号化する事で、不正なユーザが書換え情報を記憶した制御装置を特定出来たとしても、書換え情報を特定して消す事がより困難となり、不正改竄の抑止力を向上できる。   The rewrite information may be encrypted and stored. For example, a hash value is calculated from a program version, the hash value is encrypted and stored, and only a legitimate user such as a dealer can decrypt, so that the legitimate user can confirm the program version. It is possible to determine whether the rewritten data is normal or illegal. Thereby, the detection possibility of tampering can be improved. Further, by encrypting, even if an unauthorized user can identify the control device that stores the rewrite information, it becomes more difficult to identify and erase the rewrite information, thereby improving the deterrence of unauthorized tampering.

なお、必ずしも実行したROMの書換えと一意に結び付けられる情報でなくともよく、例えば、1bitの情報だけでもよく、ROMを書換える前は所定の領域を0にしておき、ROMの書換えを行なったら書換え情報として1を書込んでもよい。この場合、書換え情報の演算処理が簡易なものとなり、演算負荷の増加を抑えつつ不正改竄を検知可能となる。   Note that the information may not necessarily be uniquely associated with the executed ROM rewrite. For example, only 1-bit information may be used. A predetermined area is set to 0 before rewriting the ROM, and rewriting is performed after rewriting the ROM. 1 may be written as information. In this case, the calculation processing of the rewrite information is simplified, and it becomes possible to detect unauthorized tampering while suppressing an increase in calculation load.

次に、図4を用いて、エンジン制御装置6の動作を説明する。図4は、本発明の第1の実施形態によるエンジン制御装置6の処理を示すフローチャートの例である。   Next, the operation of the engine control device 6 will be described with reference to FIG. FIG. 4 is an example of a flowchart showing processing of the engine control device 6 according to the first embodiment of the present invention.

ステップS20では、受信部34は、ハイブリッド制御装置10の送信部33から受信値を受信する。   In step S <b> 20, the reception unit 34 receives a reception value from the transmission unit 33 of the hybrid control device 10.

ステップS21では、受信部34で受信した値が、エンジン制御装置6のROM36の書換え要求か、書換え制御部35が判定する。エンジン制御装置6のROM36の書換え要求かが真の場合は、ステップS22に処理を進める。偽の場合は、ステップS23に処理を進める。   In step S <b> 21, the rewrite control unit 35 determines whether the value received by the receiving unit 34 is a rewrite request for the ROM 36 of the engine control device 6. If the request to rewrite the ROM 36 of the engine control device 6 is true, the process proceeds to step S22. If false, the process proceeds to step S23.

ステップS22では、書換え制御部35が、ROM36の、書換え情報以外のデータ書換えを行なう。例えば、エンジン制御に関わる制御プログラムの書換えや、適合パラメータの書換えを行なう。適合パラメータとは、例えば車速制限値である。   In step S22, the rewrite control unit 35 rewrites data other than the rewrite information in the ROM. For example, the control program related to engine control is rewritten and the adaptation parameter is rewritten. The conforming parameter is, for example, a vehicle speed limit value.

ステップS23では、受信部34で受信した値が、書換え情報の記憶要求か、書換え制御部35が判定する。書換え情報の記憶要求かが真の場合は、ステップS24に処理を進める。偽の場合は、ステップS24を行なわずに進める。   In step S23, the rewrite control unit 35 determines whether the value received by the receiving unit 34 is a rewrite information storage request. If the rewrite information storage request is true, the process proceeds to step S24. If false, the process proceeds without performing step S24.

ステップS24では、書換え制御部35が、ROM36に書換え情報を記憶する。   In step S <b> 24, the rewrite control unit 35 stores the rewrite information in the ROM 36.

次に、図5を用いて、モータ制御装置8の動作を説明する。図5は、本発明の第1の実施形態によるモータ制御装置8の処理を示すフローチャートの例である。   Next, the operation of the motor control device 8 will be described with reference to FIG. FIG. 5 is an example of a flowchart showing processing of the motor control device 8 according to the first embodiment of the present invention.

ステップS30では、受信部37は、ハイブリッド制御装置10の送信部33から受信値を受信する。   In step S <b> 30, the reception unit 37 receives a reception value from the transmission unit 33 of the hybrid control device 10.

ステップS31では、受信部37で受信した値が、モータ制御装置8のROM39の書換え要求か、書換え制御部38が判定する。モータ制御装置8のROM39の書換え要求かが真の場合は、ステップS32に処理を進める。偽の場合は、ステップS33に処理を進める。   In step S <b> 31, the rewrite control unit 38 determines whether the value received by the receiving unit 37 is a rewrite request of the ROM 39 of the motor control device 8. If the request to rewrite the ROM 39 of the motor control device 8 is true, the process proceeds to step S32. If false, the process proceeds to step S33.

ステップS32では、書換え制御部38が、ROM39の、書換え情報以外のデータ書換えを行なう。例えば、モータ制御に関わる制御プログラムの書換えや、適合パラメータの書換えを行なう。   In step S32, the rewrite control unit 38 rewrites data other than the rewrite information in the ROM 39. For example, the control program related to motor control is rewritten and the adaptation parameter is rewritten.

ステップS33では、受信部37で受信した値が、書換え情報の記憶要求か、書換え制御部38が判定する。書換え情報の記憶要求かが真の場合は、ステップS34に処理を進める。偽の場合は、ステップS34を行なわずに進める。   In step S33, the rewrite control unit 38 determines whether the value received by the receiving unit 37 is a rewrite information storage request. If the rewrite information storage request is true, the process proceeds to step S34. If false, the process proceeds without performing step S34.

ステップS34では、書換え制御部38が、ROM39に書換え情報を記憶する。   In step S <b> 34, the rewrite control unit 38 stores the rewrite information in the ROM 39.

上記の方法により、制御装置のROMの書換えを実行した場合に、書換え対象ではない制御装置からランダムに選択した制御装置のROMに書換え情報を記憶することで、改竄した事実を残す事が可能となる。さらに、ランダムに選択することで、書換え情報を記憶した場所を見つけにくくさせ、改竄した事実を容易に消せなくすることで、不正改竄の抑止力を向上できる。例えば、正規の書換えツールが流出し、不正なユーザがROMの書換えを実行した場合に、書換え情報がどの制御装置に記憶されたかが不正なユーザには容易に見つけられなくなるため、不正なユーザがROMの書換えを実行した事実の隠蔽のために書換え情報を消去することがより困難となり、不正改竄の抑止力が向上する。   When the ROM of the control device is rewritten by the above method, it is possible to leave the falsified fact by storing the rewrite information in the ROM of the control device selected at random from the control device that is not the target of rewriting. Become. Furthermore, by selecting at random, it is difficult to find a place where the rewrite information is stored, and it is possible to improve the deterrence of illegal tampering by making it impossible to easily erase the fact of tampering. For example, when a legitimate rewriting tool is leaked and an unauthorized user executes rewriting of ROM, the unauthorized user cannot easily find out which control device stores the rewriting information. It is more difficult to erase the rewrite information because the fact that the rewriting is executed is concealed, and the deterrence of illegal tampering is improved.

上記実施形態では、通信ネットワークが2つある(通信線100および通信線200の2つ)例を説明したが、これに限定せず、通信ネットワークが3つ以上の構成に本発明を適用してもよい。なお、3つ以上の通信ネットワークを備える構成においては、ROMの書換えを実行する制御装置と、書換え情報を記憶する制御装置が、同一の通信ネットワーク内になくてもよい。   In the above embodiment, an example in which there are two communication networks (two communication lines 100 and 200) has been described. However, the present invention is not limited to this, and the present invention is applied to a configuration having three or more communication networks. Also good. In a configuration including three or more communication networks, the control device that executes ROM rewriting and the control device that stores rewrite information may not be in the same communication network.

上記実施形態では、制御装置がCAN通信を行う例を説明したが、これに限定せず、制御装置が例えば、LIN(Local Interconnect Network)、FlexRay、MOST(Media Oriented Systems Transport)、PLC(Power Line Communication)、Ethernetなどの如何なるプロトコルで通信を行うものであってもよいし、複数の制御装置のそれぞれが異なるプロトコルで通信を行う構成に本発明を適用してもよい。   In the above embodiment, an example in which the control device performs CAN communication has been described. However, the present invention is not limited to this, and the control device may be, for example, a LIN (Local Interconnect Network), FlexRay, MOST (Media Oriented Systems Transport), or PLC (Power Line). Communication) or Ethernet may be used for communication, and the present invention may be applied to a configuration in which each of a plurality of control devices performs communication using different protocols.

上記実施形態では、制御装置が有線の例を説明したが、これに限定せず、制御装置が無線である構成やOTA(Over The Air)に本発明を適用してもよい。例えば、無線通信によって、定期的(週に1回など)に改竄有無を調査してもよい。   In the above embodiment, an example in which the control device is wired has been described. However, the present invention is not limited to this, and the present invention may be applied to a configuration in which the control device is wireless or OTA (Over The Air). For example, the presence / absence of falsification may be checked periodically (such as once a week) by wireless communication.

以上説明したように、本実施形態によれば、書換え情報を記憶する制御装置を特定しないことで、不正なユーザが、書換えた痕跡の記憶場所を特定しにくく出来る。   As described above, according to the present embodiment, it is difficult for an unauthorized user to specify the storage location of the rewritten trace by not specifying the control device that stores the rewrite information.

(第1の変形例)
書換え情報の記憶先の対象は、ゲートウェイ機能を有する制御装置自身でもよい。例えば、図2の例では、ハイブリッド制御装置10自身に書換え情報を記憶してもよい。 (First modification)
The rewrite information storage destination may be the control device itself having a gateway function. For example, in the example of FIG. 2, the rewrite information may be stored in the hybrid control apparatus 10 itself.

言い換えると、書き換え情報を、ゲートウェイ機能を有する制御装置の不揮発性メモリに記憶する。   In other words, the rewrite information is stored in the nonvolatile memory of the control device having the gateway function.

本変形例によれば、書換え情報の記憶先の選択肢を広げることが可能となる。これにより、書換え情報を記憶した場所をより見つけにくくさせ、改竄した事実を容易に消せなくすることで、不正改竄の抑止力が向上する。   According to this modification, it is possible to expand the options for storing the rewrite information. This makes it harder to find the place where the rewrite information is stored, and prevents the tampered fact from being easily erased, thereby improving the deterrence of unauthorized tampering.

(第2の変形例)
書換え情報の記憶先に選択する制御装置は、複数でもよい。例えば、図1の例では、エンジン制御装置6のROMを書換えた場合、書換え情報の記憶先は、モータ制御装置8およびバッテリ制御装置9のROMでもよい。その場合、書換え情報の内容は同一でもよいし、制御装置毎に異なる内容としてもよい。同一の場合、改竄有無の判定を、「全てのデータが同一か」で判定してもよい。異なる内容の場合、1つの情報を分割したデータを各制御装置に記憶してもよい。例えば、書換えた場所の位置情報を含む書換え情報(例えば16バイトデータ)を、モータ制御装置8に上位8バイト、バッテリ制御装置9に下位8バイト記憶するようにしてもよい。ディーラーなどの正規ユーザが読み出す場合、分割したデータを統合して読み出すようにすることで、書換え情報の内容を把握出来るようにしてもよい。 (Second modification)
A plurality of control devices may be selected as the rewrite information storage destination. For example, in the example of FIG. 1, when the ROM of the engine control device 6 is rewritten, the storage destination of the rewrite information may be the ROM of the motor control device 8 and the battery control device 9. In that case, the content of the rewrite information may be the same or different for each control device. In the case of being identical, the determination of whether or not tampering may be determined by “whether all data is the same”. In the case of different contents, data obtained by dividing one piece of information may be stored in each control device. For example, rewrite information (for example, 16-byte data) including position information of the rewritten location may be stored in the motor control device 8 in the upper 8 bytes and in the battery control device 9 in the lower 8 bytes. When a legitimate user such as a dealer reads, the contents of the rewrite information may be grasped by integrating and reading the divided data.

言い換えると、いずれかの制御装置の不揮発性メモリが書き換えられる際に、ゲートウェイ機能を有する制御装置が複数の制御装置を選択することを特徴とする。   In other words, when the nonvolatile memory of any control device is rewritten, the control device having the gateway function selects a plurality of control devices.

また、書き換え情報が、選択された複数の制御装置ごとに異なることを特徴とする。   Further, the rewrite information is different for each of the selected control devices.

そして、書き換え情報を、制御装置の不揮発性メモリに記憶する際に、不揮発性メモリ内のあらかじめ定められた記憶領域内のいずれかに記憶することを特徴とする。   And when rewriting information is memorize | stored in the non-volatile memory of a control apparatus, it memorize | stores in one of the predetermined storage areas in a non-volatile memory.

本変形例によれば、書換え情報の記憶先の量を増やすことが可能となる。これにより、書換え情報の消去を試みる不正ユーザの労力が増し、改竄した事実を容易に消せなくすることで、不正改竄の抑止力が向上する。   According to this modification, it is possible to increase the amount of rewrite information storage destination. As a result, the effort of an unauthorized user who tries to erase the rewrite information is increased, and the deterrence of unauthorized alteration is improved by making it impossible to easily erase the altered fact.

(第3の変形例)
書換え情報の記憶先はROM内の領域の内、固定としてもよい。例えば、あらかじめROMの特定のアドレスに書換え情報を書込むようにしてもよい。なお、「所定領域内のいずれか」と「固定」を選択出来るようにしてもよい。例えば、正規ユーザが不正改竄の抑止力を重視する場合は「所定領域内のいずれか」とし、利便性を重視する場合は「固定」と選択出来るように、カーメーカー側で設定してもよい。 (Third Modification)
The rewrite information storage destination may be fixed in the ROM area. For example, the rewrite information may be written in advance at a specific address in the ROM. Note that “any one within a predetermined area” and “fixed” may be selectable. For example, it may be set by the car maker so that a regular user can select “any one within a predetermined area” when emphasizing deterrence against unauthorized tampering and “fixed” when emphasizing convenience. .

まとめると、書き換え情報を、制御装置の不揮発性メモリに記憶する際に、不揮発性メモリ内の所定の記憶領域の内、あらかじめ定められた固定場所に記憶することを特徴とする。   In summary, when the rewrite information is stored in the nonvolatile memory of the control device, it is stored in a predetermined fixed location in a predetermined storage area in the nonvolatile memory.

書換え情報を、制御装置の不揮発性メモリに記憶する際に、不揮発性メモリ内の予め定められた記憶領域内のいずれかに記憶する、あるいは不揮発性メモリ内の所定の記憶領域の内、あらかじめ定められた固定場所に記憶することを可能とし、「あらかじめ定められた記憶領域内のいずれか」あるいは「あらかじめ定められた固定場所」のいずれかを選択可能とすることを特徴とする。   When the rewrite information is stored in the nonvolatile memory of the control device, it is stored in any one of the predetermined storage areas in the nonvolatile memory, or is determined in advance in the predetermined storage area in the nonvolatile memory. It is possible to store in a predetermined fixed location, and select either “any one in a predetermined storage area” or “a predetermined fixed location”.

本変形例によれば、ディーラーなどの正規ユーザによる書換え情報の確認工数を低減することが可能となる。これにより、正規ユーザの利便性が向上する。   According to this modification, it is possible to reduce the man-hours for checking rewrite information by a regular user such as a dealer. Thereby, the convenience of a regular user improves.

(第4の変形例)
書換え情報の記憶先を、ゲートウェイ機能を有する制御装置に、暗号化して記憶させてもよい。例えば、図2の例では、書換え情報の記憶先にモータ制御装置8を選択した場合に、ハイブリッド制御装置10が備えるROMに、モータ制御装置8を一意に特定出来るIDを暗号化して記憶させてもよい。 (Fourth modification)
The storage destination of the rewrite information may be encrypted and stored in a control device having a gateway function. For example, in the example of FIG. 2, when the motor control device 8 is selected as the storage destination of the rewrite information, an ID that uniquely identifies the motor control device 8 is encrypted and stored in the ROM included in the hybrid control device 10. Also good.

本変形例によれば、ディーラーなどの正規ユーザによる書換え情報の確認工数を低減することが可能となる。これにより、正規ユーザの利便性が向上する。   According to this modification, it is possible to reduce the man-hours for checking rewrite information by a regular user such as a dealer. Thereby, the convenience of a regular user improves.

なお、上記第1の実施形態では、ハイブリッド制御装置10、エンジン制御装置6およびモータ制御装置8との間の通信の例を説明したが、他の制御装置、例えば、クラッチ制御装置7、バッテリ制御装置9、電動パワーステアリング17などの通信に適用してもよい。   In the first embodiment, an example of communication between the hybrid control device 10, the engine control device 6, and the motor control device 8 has been described. However, other control devices such as the clutch control device 7, battery control, and the like have been described. You may apply to communication of the apparatus 9, the electric power steering 17, etc.

上記をまとめると、書換え情報の記憶先である、ゲートウェイ機能を有する制御装置が選択した制御装置を識別可能な情報をゲートウェイ機能を有する制御装置に記憶することを特徴とする。   Summarizing the above, information capable of identifying the control device selected by the control device having the gateway function, which is the storage destination of the rewrite information, is stored in the control device having the gateway function.

書換え情報は、書換えを実施した日時、位置情報、あるいはプログラムバージョン名を含むことを特徴とする。   The rewrite information includes a date and time when rewriting is performed, position information, or a program version name.

書換え情報は1bitの情報であることを特徴とする。   The rewrite information is 1-bit information.

また、書換え情報は、暗号化して記憶することを特徴とする。   Further, the rewrite information is encrypted and stored.

なお、本発明は上記した実施形態に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施形態は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、本発明は、搭載車両の種類に限定されるものではなく、例えば、自動運転機能や自動駐車機能を有する車両に搭載されていてもよい。   In addition, this invention is not limited to above-described embodiment, Various modifications are included. For example, the above-described embodiment has been described in detail for easy understanding of the present invention, and is not necessarily limited to one having all the configurations described. Moreover, this invention is not limited to the kind of mounting vehicle, For example, you may mount in the vehicle which has an automatic driving function and an automatic parking function.

また、上記の各構成、機能、処理部等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、SSD(Solid State Drive)等の記録装置、または、ICカード、SDカード、DVD等の記録媒体に置くことができる。   Each of the above-described configurations, functions, processing units, and the like may be realized by hardware, for example, by designing a part or all of them with an integrated circuit. Each of the above-described configurations, functions, and the like may be realized by software by interpreting and executing a program that realizes each function by the processor. Information such as programs, tables, and files for realizing each function can be stored in a memory, a recording device such as a hard disk or SSD (Solid State Drive), or a recording medium such as an IC card, SD card, or DVD.

1…エンジン、2…クラッチ機構、3…モータ、4…インバータ(電力変換装置)、5…バッテリ、6…エンジン制御装置、7…クラッチ制御装置、8…モータ制御装置、9…バッテリ制御装置、10…ハイブリッド制御装置、11…アクセルセンサ、12…スロットルセンサ、13…スロットルモータ(スロットル装置)、14…インジェクター(燃料噴射装置)、15…点火装置、16…ブレーキ、17…電動パワーステアリング、18…エアバッグ制御装置、19…ステアリング、20…エアバッグ、21…書換えツール、30…受信部、31…ゲートウェイ機能部、32…選択部、33…送信部、34…受信部、35…書換え制御部、36…ROM、37…受信部、38…書換え制御部、39…ROM、100…通信線、200…通信線、300…車両制御システム。   DESCRIPTION OF SYMBOLS 1 ... Engine, 2 ... Clutch mechanism, 3 ... Motor, 4 ... Inverter (power converter device), 5 ... Battery, 6 ... Engine control device, 7 ... Clutch control device, 8 ... Motor control device, 9 ... Battery control device, DESCRIPTION OF SYMBOLS 10 ... Hybrid control device, 11 ... Accelerator sensor, 12 ... Throttle sensor, 13 ... Throttle motor (throttle device), 14 ... Injector (fuel injection device), 15 ... Ignition device, 16 ... Brake, 17 ... Electric power steering, 18 DESCRIPTION OF SYMBOLS ... Airbag control apparatus, 19 ... Steering, 20 ... Airbag, 21 ... Rewriting tool, 30 ... Receiving part, 31 ... Gateway function part, 32 ... Selection part, 33 ... Transmission part, 34 ... Receiving part, 35 ... Rewriting control , 36... ROM, 37... Receiver, 38 .. rewrite control unit, 39... ROM, 100 .. communication line, 200. Line, 300 ... vehicle control system.

Claims (11)

互いに接続される複数の制御装置と、
前記複数の制御装置を互いに接続する複数の通信ネットワークと、
前記複数の制御装置の内、少なくとも一つ以上の制御装置が、前記通信ネットワーク同士のデータを中継するゲートウェイ機能と、を備え、
いずれかの前記制御装置の不揮発性メモリが書換えられる際に、
前記ゲートウェイ機能を有する前記制御装置から選択された、書換え対象ではない前記制御装置の不揮発性メモリに書換え情報を記憶する、ことを特徴とする車両制御システム。 A plurality of control devices connected to each other;
A plurality of communication networks connecting the plurality of control devices to each other;
Among the plurality of control devices, at least one control device comprises a gateway function that relays data between the communication networks,
When the non-volatile memory of any of the control devices is rewritten,
A vehicle control system, wherein rewrite information is stored in a non-volatile memory of the control device that is selected from the control device having the gateway function and is not a rewrite target. 請求項1に記載の車両制御システムにおいて、
前記書換え情報を前記ゲートウェイ機能を有する前記制御装置の不揮発性メモリに記憶することを特徴とする車両制御システム。 The vehicle control system according to claim 1,
The vehicle control system, wherein the rewrite information is stored in a nonvolatile memory of the control device having the gateway function. 請求項1に記載の車両制御システムにおいて、
いずれかの前記制御装置の不揮発性メモリが書換えられる際に、前記ゲートウェイ機能を有する前記制御装置が前記複数の制御装置を選択することを特徴とする車両制御システム。 The vehicle control system according to claim 1,
The vehicle control system, wherein the control device having the gateway function selects the plurality of control devices when the nonvolatile memory of any one of the control devices is rewritten. 請求項3に記載の車両制御システムにおいて、
前記書換え情報が、選択された前記複数の制御装置毎に異なる、
ことを特徴とする車両制御システム。 In the vehicle control system according to claim 3,
The rewrite information is different for each of the selected control devices.
A vehicle control system. 請求項1に記載の車両制御システムにおいて、
前記書換え情報を、前記制御装置の不揮発性メモリに記憶する際に、
前記不揮発性メモリ内の予め定められた記憶領域内のいずれかに記憶する、
ことを特徴とする車両制御システム。 The vehicle control system according to claim 1,
When storing the rewrite information in a nonvolatile memory of the control device,
Store in any of the predetermined storage areas in the non-volatile memory,
A vehicle control system. 請求項1に記載の車両制御システムにおいて、
前記書換え情報を、前記制御装置の不揮発性メモリに記憶する際に、
前記不揮発性メモリ内の所定の記憶領域の内、予め定められた固定場所に記憶する、
ことを特徴とする車両制御システム。 The vehicle control system according to claim 1,
When storing the rewrite information in a nonvolatile memory of the control device,
Store in a predetermined fixed location in a predetermined storage area in the non-volatile memory,
A vehicle control system. 請求項1に記載の車両制御システムにおいて、前記書換え情報を、前記制御装置の不揮発性メモリに記憶する際に、
前記不揮発性メモリ内の予め定められた記憶領域内のいずれかに記憶する、あるいは前記不揮発性メモリ内の所定の記憶領域の内、予め定められた固定場所に記憶することを可能とし、
前記予め定められた記憶領域内のいずれか、もしくは前記予め定められた固定場所を選択可能とすることを特徴とする車両制御システム。 The vehicle control system according to claim 1, wherein the rewrite information is stored in a nonvolatile memory of the control device.
It is possible to store in any one of the predetermined storage areas in the nonvolatile memory, or to store in a predetermined fixed location in the predetermined storage area in the nonvolatile memory,
One of the predetermined storage areas or the predetermined fixed location can be selected. 請求項1に記載の車両制御システムにおいて、
前記書換え情報の記憶先である、前記ゲートウェイ機能を有する前記制御装置が選択した前記制御装置を識別可能な情報を、
前記ゲートウェイ機能を有する前記制御装置に記憶する、
ことを特徴とする車両制御システム。 The vehicle control system according to claim 1,
Information capable of identifying the control device selected by the control device having the gateway function, which is a storage destination of the rewrite information,
Storing in the control device having the gateway function;
A vehicle control system. 請求項1に記載の車両制御システムにおいて、
前記書換え情報は、書換えを実施した日時、位置情報、あるいはプログラムバージョン名を含む、
ことを特徴とする車両制御システム。 The vehicle control system according to claim 1,
The rewrite information includes the date and time of rewriting, position information, or a program version name.
A vehicle control system. 請求項1に記載の車両制御システムにおいて、
前記書換え情報は、1bitの情報である、ことを特徴とする車両制御システム。 The vehicle control system according to claim 1,
The vehicle rewrite system, wherein the rewrite information is 1-bit information. 請求項9または請求項10に記載の車両制御システムにおいて、
前記書換え情報は、暗号化して記憶する、ことを特徴とする車両制御システム。 In the vehicle control system according to claim 9 or 10,
A vehicle control system, wherein the rewrite information is encrypted and stored.
JP2017146053A 2017-07-28 2017-07-28 Tampering detection device for in-vehicle memory Active JP6731892B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017146053A JP6731892B2 (en) 2017-07-28 2017-07-28 Tampering detection device for in-vehicle memory

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017146053A JP6731892B2 (en) 2017-07-28 2017-07-28 Tampering detection device for in-vehicle memory

Publications (2)

Publication Number Publication Date
JP2019028634A true JP2019028634A (en) 2019-02-21
JP6731892B2 JP6731892B2 (en) 2020-07-29

Family

ID=65478440

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017146053A Active JP6731892B2 (en) 2017-07-28 2017-07-28 Tampering detection device for in-vehicle memory

Country Status (1)

Country Link
JP (1) JP6731892B2 (en)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005032236A (en) * 2003-06-19 2005-02-03 Matsushita Electric Ind Co Ltd Program execution system
JP2010257145A (en) * 2009-04-23 2010-11-11 Honda Motor Co Ltd Vehicle function management system
JP2011000894A (en) * 2009-06-16 2011-01-06 Fujitsu Ten Ltd Control device and control method
JP2013141948A (en) * 2012-01-12 2013-07-22 Denso Corp Vehicle communication system
US20140074316A1 (en) * 2012-09-12 2014-03-13 Keihin Corporation Electronic control unit of vehicle
JP2017123012A (en) * 2016-01-06 2017-07-13 株式会社オートネットワーク技術研究所 On-vehicle update device, update system, and update processing program
US20180018164A1 (en) * 2015-01-26 2018-01-18 Hitachi Automotive Systems, Ltd. Vehicle-mounted control device, program writing device, program generating device and program

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005032236A (en) * 2003-06-19 2005-02-03 Matsushita Electric Ind Co Ltd Program execution system
JP2010257145A (en) * 2009-04-23 2010-11-11 Honda Motor Co Ltd Vehicle function management system
JP2011000894A (en) * 2009-06-16 2011-01-06 Fujitsu Ten Ltd Control device and control method
JP2013141948A (en) * 2012-01-12 2013-07-22 Denso Corp Vehicle communication system
US20140074316A1 (en) * 2012-09-12 2014-03-13 Keihin Corporation Electronic control unit of vehicle
JP2014056381A (en) * 2012-09-12 2014-03-27 Keihin Corp Electronic control device for vehicle
US20180018164A1 (en) * 2015-01-26 2018-01-18 Hitachi Automotive Systems, Ltd. Vehicle-mounted control device, program writing device, program generating device and program
JP2017123012A (en) * 2016-01-06 2017-07-13 株式会社オートネットワーク技術研究所 On-vehicle update device, update system, and update processing program
US20180373522A1 (en) * 2016-01-06 2018-12-27 Autonetworks Technologies, Ltd. In-vehicle updating device, updating system, and update processing program

Also Published As

Publication number Publication date
JP6731892B2 (en) 2020-07-29

Similar Documents

Publication Publication Date Title
US10055904B2 (en) Vehicle gateway network protection
JP6618480B2 (en) Update management method, update management system, and control program
JP6855918B2 (en) Vehicle systems and electronic control devices that process encryption keys
JP2002202895A (en) Vehicle basic function control program update device
JP5353545B2 (en) In-vehicle network device
JP6835935B2 (en) Update management method, update management device and control program
JP4539757B2 (en) Electronic control unit
US20190034637A1 (en) In-vehicle apparatus for efficient reprogramming and controlling method thereof
JP2013060047A (en) Vehicle network system, and method of processing vehicle information
JP6712538B2 (en) Tamper detection system
US12190092B2 (en) Control device and terminal device
US20060227604A1 (en) Program rewriting system and program rewriting method
JP2013101426A (en) On-vehicle communication device
US20250004749A1 (en) Management apparatus, management system, management method, and computer program
EP2709073B1 (en) Electronic control unit of vehicle
JP5783013B2 (en) In-vehicle communication system
US20190355188A1 (en) Method for authenticating a diagnostic trouble code generated by a motor vehicle system of a vehicle
JP3918710B2 (en) Electronic control device for vehicle, electronic control unit, program and recording medium
JP6731892B2 (en) Tampering detection device for in-vehicle memory
JP2020088458A (en) Information processing apparatus
WO2021025061A1 (en) Battery management system, battery device, battery management method, and computer program
JP7419287B2 (en) Vehicle program update management system and vehicle program update management method
JP2009236026A (en) Vehicle information storage device, device information data storage system, and device information data storage method
CN115543369A (en) Center, OTA manager, method, non-transitory storage medium, and vehicle
JP7606388B2 (en) Reprogramming Systems and Tools

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170731

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190712

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190717

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200514

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200609

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200707

R150 Certificate of patent or registration of utility model

Ref document number: 6731892

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250