[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP2024049544A - 車両制御装置 - Google Patents

車両制御装置 Download PDF

Info

Publication number
JP2024049544A
JP2024049544A JP2022155828A JP2022155828A JP2024049544A JP 2024049544 A JP2024049544 A JP 2024049544A JP 2022155828 A JP2022155828 A JP 2022155828A JP 2022155828 A JP2022155828 A JP 2022155828A JP 2024049544 A JP2024049544 A JP 2024049544A
Authority
JP
Japan
Prior art keywords
microcomputer
secure boot
key
vehicle control
storage unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2022155828A
Other languages
English (en)
Inventor
寛道 堀口
Hiromichi Horiguchi
晴美 深川
Harumi Fukagawa
淳矢 小森
Atsuya Komori
啓己 木村
Hiroki Kimura
浩祐 設楽
Kosuke Shitara
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Astemo Ltd
Original Assignee
Hitachi Astemo Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Astemo Ltd filed Critical Hitachi Astemo Ltd
Priority to JP2022155828A priority Critical patent/JP2024049544A/ja
Publication of JP2024049544A publication Critical patent/JP2024049544A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Microcomputers (AREA)
  • Stored Programmes (AREA)

Abstract

【課題】製造時においてマイコンの動作モードを確実にチェックモードに切り替える。【解決手段】セキュアブート用鍵が記憶可能な記憶部と、制御プログラムに基づいて車両の制御処理を実行するマイコンとを備える車両制御装置であって、マイコンは、記憶部におけるセキュアブート用鍵の記憶の有無に拘わらず動作モードをチェックモードに切り替える。【選択図】図1

Description

本発明は、車両制御装置に関する。
下記特許文献1には、鍵書き込み装置を用いて車両のECU(エンジンコントロールユニット)に対して鍵の登録を行う技術が記載されている。ECUは、マイコンが所定の制御プログラムを実行することにより、車両の各部を制御するソフトウエア制御装置である。
国際公開第2018/100789号
ところで、上記ECUは車両の各部を制御する車両制御装置である。上記ECUには、製造上の安全性(セキュリティ)を担保するためにマスタ鍵とセキュアブート用鍵とを記憶させる場合がある。これらマスタ鍵及びセキュアブート用鍵を記憶するタイプのECUでは、マスタ鍵及びセキュアブート用鍵を用いて安全性を先行確認した上で、動作モードをチェックモードに移行させて制御機能のチェックを行う。
しかしながら、ECUがマスタ鍵またはセキュアブート用鍵を記憶していない状態では、マイコンの動作モードをチェックモードに切り替えることができないために制御機能のチェックを行うことができないという問題がある。
本発明は、上述した事情に鑑みてなされたものであり、製造時においてマイコンの動作モードを確実にチェックモードに切り替えることが可能な車両制御装置を提供することを目的とする。
上記目的を達成するために、本発明では、車両制御装置に係る解決手段として、セキュアブート用鍵が記憶可能な記憶部と、制御プログラムに基づいて車両の制御処理を実行するマイコンとを備える車両制御装置であって、前記マイコンは、前記記憶部における前記セキュアブート用鍵の記憶の有無に拘わらず動作モードをチェックモードに切り替える、という手段を採用する。
本発明によれば、製造時においてマイコンの動作モードを確実にチェックモードに切り替えることが可能な車両の製造方法を提供することが可能である。
本発明の一実施形態に係る車両制御装置Aの機能構成を示すブロック図である。 本発明の一実施形態に係る車両制御装置Aの動作を示すフローチャートである。
以下、図面を参照して、本発明の一実施形態について説明する。
本実施形態に係る車両制御装置Aは、車両を制御対象とするソフトウエア制御装置である。この車両制御装置Aは、工場における製造段階を経て車両に搭載され、車両の走行動力を発生させるエンジンやモータ等を制御する。
より具体的には、車両制御装置Aは、図1に示すように記憶部1とマイコン2とを少なくとも備えている。記憶部1は、エンジンやモータ等の被制御部Xをソフトウエア制御するための制御プログラム1aを記憶する記憶領域に加え、車両制御装置Aの安全性(セキュリティ)を担保するためのマスタ鍵1b及びセキュアブート鍵1cを記憶する記憶領域を備えた集積回路である。
この記憶部1における制御プログラム1aの記憶領域及びマスタ鍵1b及びセキュアブート鍵1cの記憶領域は、いずれも不揮発性の記憶領域である。このような各記憶領域には、工場における車両制御装置Aの製造段階において専用の書込装置を用いることにより、制御プログラム1a、マスタ鍵1b及びセキュアブート鍵1cが各々書き込まれる。
制御プログラム1aは、マイコン2によって実行されるアプリケーションプログラムである。すなわち、この制御プログラム1aは、所定のOS(Operating System)上で動作することにより、マイコン2に車両の制御処理を実行させる。
マスタ鍵1bは、オールマイティな権限が付帯する所定符号長の暗号である。このマスタ鍵1bは、記憶部1における書込みの有無によってマイコン2の処理動作を規制するものであり、これによって製造過程における車両制御装置Aの安全性(セキュリティ)を担保する。
セキュアブート鍵1cは、セキュアブートの権限が付帯する所定符号長の暗号である。マイコン2の起動時には、最初にOSが所定のブートモード(起動モード)で作動することによってアプリケーションプログラムを実行する上で必要な動作環境を設定するが、ブートモードには幾つかの種類がある。
セキュアブートは、ブートモードの1つであり、マイコン2 の起動(ブート) 時に不正なソフトウェアを読み込まないものである。本実施形態におけるセキュアブート鍵1cは、記憶部1に書き込まれることによって、マイコン2におけるセキュアブートの実行を許容させる。
マイコン2は、外部バスを介してデータの送受信可能に記憶部1と接続されている。また、マイコン2は、外部信号線を介して信号の送受信可能に被制御部Xと接続されている。このようなマイコン2は、上述したOSの下で制御プログラム1a(アプリケーションプログラム)を実行することにより、エンジンやモータ等の被制御部Xを制御する集積回路である。
マイコンは、起動時においてOSを先行して実行することによって制御プログラム1a(アプリケーションプログラム)の実行が可能な状態となる。このマイコンは、制御プログラム1aを実行することによって被制御部Xを制御するために必要な各種の制御信号を生成して被制御部Xに出力する。
被制御部Xは、車両において走行動力を発生させるエンジンやモータ等である。この被制御部Xは、エンジンを動力源とするエンジン車両ではスロットルバルブや燃料噴射弁等である。また、被制御部Xは、モータを動力源とする電動車両ではPCU(パワーコントロールユニット)等である。
次に、本実施形態に係る車両制御装置Aの要部動作について、図2のフローチャートを参照して詳しく説明する。
本実施形態における要部動作は、マイコン2の起動時における動作である。マイコン2は、電源が投入された場合及びリセット操作された場合に起動動作を行う。マイコン2は、この起動動作において最初にセキュアブート鍵1cの有無を判断する(ステップS1)。
すなわち、マイコン2は、OSに基づく処理として記憶部1にセキュアブート鍵1cが書き込まれているか否かを判断する。そして、マイコン2は、記憶部1にセキュアブート鍵1cが書き込まれていない場合、つまりステップS1の判断結果が「No」の場合、続いてマスタ鍵1bの有無を判断する(ステップS2)。
すなわち、マイコン2は、OSに基づく処理として記憶部1にマスタ鍵1bが書き込まれているか否かを判断する。そして、マイコン2は、記憶部1にマスタ鍵1bが書き込まれていない場合、つまりステップS2の判断結果が「No」の場合、チェックモードに移行する(ステップS3)。
このチェックモードは、マイコン2の動作モードの1つであり、自身が備えている各種の制御機能の健全性をチェック(確認)する動作モードである。マイコン2は、このようなチェックモードを実行することにより、制御プログラム1a(アプリケーションプログラム)の実行前の段階で自身の制御機能の健全性を検証することができる。
一方、マイコン2は、記憶部1にセキュアブート鍵1cが書き込まれている場合、つまりステップS1の判断結果が「Yes」の場合には、セキュアブートを実行する(ステップS4)。また、マイコン2は、記憶部1にマスタ鍵1bが書き込まれている場合、つまりステップS2の判断結果が「Yes」の場合には、セキュアブートを実行する(ステップS4)。
そして、マイコン2は、セキュアブートの実行過程で異常を検出しなかった場合、つまりセキュアブートを正常に実行し終えると、ステップS3のチェックモードに移行する(ステップS5)。一方、マイコン2は、セキュアブートの実行過程で何らかの異常を検出すると、つまりセキュアブートを正常に実行できなかった場合には他のBootモードに移行する(ステップS5)。
本実施形態に係る車両制御装置によれば、セキュアブート用鍵1cが事前に記憶部1に書き込まれていない状態でもマイコン2の状態を確実にチェックモードに切り替えることができる。すなわち、本実施形態によれば、工場において確実にマイコン2の状態をチェックモードに切り替えることが可能な車両制御装置Aを提供することが可能である。
なお、本発明は上記実施形態に限定されるものではなく、例えば以下のような変形例が考えられる。
(1)上記実施形態では、セキュアブート用鍵1cが事前に記憶部1に書き込まれているか否かの確認に加えて、マスタ鍵1bが事前に記憶部1に書き込まれているか否かを確認したが、本発明はこれに限定されない。セキュアブート用鍵1cが事前に記憶部1に書き込まれているか否かを少なくとも確認すればよい。
(2)上記実施形態では、セキュアブート用鍵1cが事前に記憶部1に書き込まれているか否かの確認を先行して行い、マスタ鍵1bが事前に記憶部1に書き込まれているか否かの確認を後に行ったが、本発明はこれに限定されない。マスタ鍵1bの確認を先行して行い、セキュアブート用鍵1cの確認を後に行ってもよい。
(付記1)
セキュアブート用鍵が記憶可能な記憶部と、制御プログラムに基づいて車両の制御処理を実行するマイコンとを備える車両制御装置であって、
前記マイコンは、前記記憶部における前記セキュアブート用鍵の記憶の有無に拘わらず動作モードをチェックモードに切り替える車両制御装置。
(付記2)
前記マイコンは、前記セキュアブート用鍵が前記記憶部に記憶されている場合、セキュアブートモードを経てチェックモードに移行する付記1に記載の車両制御装置。
(付記3)
前記記憶部はマスタ鍵をも記憶可能であり、
前記マイコンは、前記記憶部における前記マスタ鍵又は前記セキュアブート用鍵の記憶の有無に拘わらず動作モードをチェックモードに切り替える付記1又は2に記載の車両制御装置。
A ECU(車両制御装置)
X 被制御部
1 記憶部
1a 制御プログラム
1b マスタ鍵
1c セキュアブート用鍵
2 マイコン

Claims (3)

  1. セキュアブート用鍵が記憶可能な記憶部と、制御プログラムに基づいて車両の制御処理を実行するマイコンとを備える車両制御装置であって、
    前記マイコンは、前記記憶部における前記セキュアブート用鍵の記憶の有無に拘わらず動作モードをチェックモードに切り替える車両制御装置。
  2. 前記マイコンは、前記セキュアブート用鍵が前記記憶部に記憶されている場合、セキュアブートモードを経てチェックモードに移行する請求項1に記載の車両制御装置。
  3. 前記記憶部はマスタ鍵をも記憶可能であり、
    前記マイコンは、前記記憶部における前記マスタ鍵又は前記セキュアブート用鍵の記憶の有無に拘わらず動作モードをチェックモードに切り替える請求項1又は2に記載の車両制御装置。
JP2022155828A 2022-09-29 2022-09-29 車両制御装置 Pending JP2024049544A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2022155828A JP2024049544A (ja) 2022-09-29 2022-09-29 車両制御装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2022155828A JP2024049544A (ja) 2022-09-29 2022-09-29 車両制御装置

Publications (1)

Publication Number Publication Date
JP2024049544A true JP2024049544A (ja) 2024-04-10

Family

ID=90621924

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022155828A Pending JP2024049544A (ja) 2022-09-29 2022-09-29 車両制御装置

Country Status (1)

Country Link
JP (1) JP2024049544A (ja)

Similar Documents

Publication Publication Date Title
JP3822658B2 (ja) 制御装置
JP4692318B2 (ja) 電子制御装置
KR101326316B1 (ko) 내연 기관의 엔진 제어 장치의 기능을 모니터링하기 위한 방법 및 장치
JPH08211915A (ja) 制御装置
CN107949847B (zh) 车辆的电子控制单元
JP2003214233A (ja) 車両用電子制御装置
US7437218B2 (en) Method and device for controlling the functional unit of a motor vehicle
US9778642B2 (en) Protection unit for a programmable data-processing system
CN111284450B (zh) 用于增强车辆控制器的安全性的方法和设备
JP3883842B2 (ja) 車両用電子制御装置
US20230073884A1 (en) Method and system to perform a secure boot procedure using a multi-stage security verification in a microcontroller of a vehicle
JP2024049544A (ja) 車両制御装置
JP2002323902A (ja) 電子制御装置
CN107179980B (zh) 用于监视计算系统的方法和相应的计算系统
CN113935011A (zh) 用于执行控制设备的安全启动序列的方法
JP2001256118A (ja) マイクロコンピュータシステムの保護方法,メモリ装置,マイクロコンピュータシステム
JP2002091834A (ja) Rom診断装置
WO2019064644A1 (ja) 電子制御装置及び制御プログラム検証方法
JP5516509B2 (ja) プログラム書込システム
CN114091008A (zh) 用于对控制设备进行安全更新的方法
JP6887277B2 (ja) 自動車用電子制御装置
JP2008210096A (ja) 電子制御ユニットのメモリチェックシステム
JP2010061419A (ja) 制御装置
US11822661B2 (en) Method for carrying out a secured startup sequence of a control unit
JP6624005B2 (ja) 相互監視システム