[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP7543875B2 - Electronic control device, time information providing method, time information providing program, and electronic control system - Google Patents

Electronic control device, time information providing method, time information providing program, and electronic control system Download PDF

Info

Publication number
JP7543875B2
JP7543875B2 JP2020197623A JP2020197623A JP7543875B2 JP 7543875 B2 JP7543875 B2 JP 7543875B2 JP 2020197623 A JP2020197623 A JP 2020197623A JP 2020197623 A JP2020197623 A JP 2020197623A JP 7543875 B2 JP7543875 B2 JP 7543875B2
Authority
JP
Japan
Prior art keywords
unit
electronic control
time information
master
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020197623A
Other languages
Japanese (ja)
Other versions
JP2022085764A (en
Inventor
史英 後藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2020197623A priority Critical patent/JP7543875B2/en
Priority to DE102021130893.3A priority patent/DE102021130893A1/en
Publication of JP2022085764A publication Critical patent/JP2022085764A/en
Application granted granted Critical
Publication of JP7543875B2 publication Critical patent/JP7543875B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/12Transmitting and receiving encryption devices synchronised or initially set up in a particular manner
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04JMULTIPLEX COMMUNICATION
    • H04J3/00Time-division multiplex systems
    • H04J3/02Details
    • H04J3/06Synchronising arrangements
    • H04J3/0635Clock or time synchronisation in a network
    • H04J3/0638Clock or time synchronisation among nodes; Internode synchronisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/28Timers or timing mechanisms used in protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40234Local Interconnect Network LIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Medical Informatics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Synchronisation In Digital Transmission Systems (AREA)
  • Electric Clocks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、電子制御装置に関するものであり、主として車両用の電子制御装置、電子制御装置で実現する方法、電子制御装置で実行可能なプログラム、及び電子制御装置からなる電子制御システムに関する。 The present invention relates to an electronic control device, and primarily relates to an electronic control device for a vehicle, a method implemented by the electronic control device, a program executable by the electronic control device, and an electronic control system comprising the electronic control device.

自動車においては、車載ネットワークで接続された様々な電子制御装置が搭載されている。これらの電子制御装置は、共通の時間軸を有することで様々な電子制御装置の機能を連動させて自動車を制御することが可能となる。そのため、自動車に搭載される様々な電子制御装置間では時刻を同期させることが求められている。 Automobiles are equipped with various electronic control devices that are connected via an in-vehicle network. By sharing a common time axis, these electronic control devices can link the functions of the various electronic control devices to control the automobile. For this reason, there is a demand for time synchronization between the various electronic control devices installed in the automobile.

例えば、特許文献1には、相互接続された車載装置同士で時刻同期を行う時刻同期システムが開示されている。特許文献1の時刻同期システムでは、ネットワーク内で基準となるグランドマスタを決定し、決定したグランドマスタの時刻にスレーブ装置の時刻を同期させる。そして、ネットワーク内の各装置が、グランドマスタのクロックの誤差を監視することによってグランドマスタに発生した異常を検知した場合には、新たなグランドマスタを決定することでネットワーク内の時刻同期の精度が劣化するのを防ぐ。 For example, Patent Document 1 discloses a time synchronization system that synchronizes the time between interconnected in-vehicle devices. In the time synchronization system of Patent Document 1, a grand master that serves as a reference within the network is determined, and the time of the slave devices is synchronized to the time of the determined grand master. Then, when each device in the network detects an abnormality in the grand master by monitoring the error in the grand master's clock, a new grand master is determined, thereby preventing deterioration of the accuracy of time synchronization within the network.

特開2020-167616号公報JP 2020-167616 A

車載システムにおいて基準となる時刻を提供するマスタ装置(グランドマスタ)は、GPS(Global Positioning System)やGNSS(Global Navigation Satellite System)受信機といった絶対時刻を有するマスタクロックから定期的に時刻情報を取得することで、マスタ装置、ひいては車載システム全体の時刻の精度を高めることができる。 The master device (grand master) that provides the reference time in the in-vehicle system can improve the accuracy of the time of the master device, and ultimately the entire in-vehicle system, by periodically obtaining time information from a master clock that has absolute time, such as a GPS (Global Positioning System) or GNSS (Global Navigation Satellite System) receiver.

ここで、本発明者は、以下の課題を見出した。
マスタクロックへの不正なアクセスを防ぎ、車載システム全体のセキュリティ性を高めるために、マスタ装置からマスタクロックへのアクセスには認証を行うことが望ましい。ところが、何らかの事情によりマスタ装置を変更する必要が生じた場合、変更後のマスタ装置はマスタクロックにアクセスするために新たに認証を受ける必要があるため、マスタ装置の変更に時間がかかるおそれがある。さらに、変更後のマスタ装置が認証を受けている間はマスタクロックにアクセスすることはできず、時刻情報をスレーブ装置に提供することができないため、車載システム全体の時刻同期の精度が劣化するおそれがある。 Here, the present inventors have found the following problem.
In order to prevent unauthorized access to the master clock and to increase the security of the entire in-vehicle system, it is desirable to perform authentication when the master device accesses the master clock. However, if it becomes necessary to change the master device for some reason, the new master device must be newly authenticated in order to access the master clock, which may take time to change the master device. Furthermore, while the new master device is being authenticated, it cannot access the master clock and cannot provide time information to the slave devices, which may degrade the accuracy of time synchronization of the entire in-vehicle system.

そこで、本発明は、マスタ装置からマスタクロックへのアクセスを認証することでセキュリティ性を確保しつつ、マスタ装置の変更に要する時間を短縮することを目的とする。 The present invention aims to shorten the time required to change the master device while ensuring security by authenticating access from the master device to the master clock.

本開示の一態様による電子制御装置は、基準となる時刻情報をスレーブ部(410)に提供する電子制御装置であって、認証部(310)に、基準時刻を有するマスタクロック(50)へのアクセスの認証を要求する認証要求送信部(111)と、前記認証部から、前記マスタクロックへのアクセスの認証結果を受信する認証結果受信部(112)と、前記認証部で前記マスタクロックへのアクセスが許可された場合に、前記マスタクロックにアクセスして、前記基準時刻を取得する時刻情報取得部(122)と、前記基準時刻を示す前記時刻情報を前記スレーブ部に送信する時刻情報送信部(124)と、当該電子制御装置に接続された予備マスタ装置(20)に、前記マスタクロックへのアクセスが許可されていることを示す認証済情報を送信する認証済情報送信部(113)と、を備え、前記予備マスタ装置は、当該電子制御装置に代わって前記時刻情報を前記スレーブ部に送信可能な装置である。 An electronic control device according to one aspect of the present disclosure is an electronic control device that provides reference time information to a slave unit (410), and includes an authentication request transmission unit (111) that requests an authentication unit (310) to authenticate access to a master clock (50) having a reference time, an authentication result reception unit (112) that receives an authentication result of access to the master clock from the authentication unit, a time information acquisition unit (122) that accesses the master clock and acquires the reference time when access to the master clock is permitted by the authentication unit, a time information transmission unit (124) that transmits the time information indicating the reference time to the slave unit, and an authenticated information transmission unit (113) that transmits authenticated information indicating that access to the master clock is permitted to a standby master device (20) connected to the electronic control device, and the standby master device is a device that can transmit the time information to the slave unit on behalf of the electronic control device.

本開示の一態様による電子制御装置は、基準となる時刻情報をスレーブ部(410)に提供する電子制御装置であって、前記時刻情報を前記スレーブ部に送信するマスタ装置(10)から、基準時刻を有するマスタクロック(50)へのアクセスが許可されていることを示す認証済情報を受信する認証済情報受信部(211)と、前記マスタ装置が停止したことを検出する停止検出部(226)と、前記停止検出部が前記マスタ装置の停止を検出した場合に、前記認証済情報を用いて前記マスタクロックにアクセスして、前記基準時刻を取得する時刻情報取得部(222)と、前記基準時刻を示す前記時刻情報を前記スレーブ部に送信する時刻情報送信部(224)と、を備える。 An electronic control device according to one aspect of the present disclosure is an electronic control device that provides reference time information to a slave unit (410), and includes an authenticated information receiving unit (211) that receives authenticated information indicating that access to a master clock (50) having a reference time is permitted from a master unit (10) that transmits the time information to the slave unit, a stop detection unit (226) that detects that the master unit has stopped, a time information acquisition unit (222) that accesses the master clock using the authenticated information to acquire the reference time when the stop detection unit detects that the master unit has stopped, and a time information transmission unit (224) that transmits the time information indicating the reference time to the slave unit.

なお、特許請求の範囲、及び本項に記載した発明の構成要件に付した括弧内の番号は、本発明と後述の実施形態との対応関係を示すものであり、本発明を限定する趣旨ではない。 The numbers in parentheses attached to the constituent elements of the invention described in the claims and this section indicate the correspondence between the present invention and the embodiments described below, and are not intended to limit the present invention.

本開示の電子制御装置、時刻情報提供方法、時刻情報提供プログラム、及び電子制御システムにより、マスタ装置からマスタクロックへのアクセスを制限してセキュリティ性を確保しながら、マスタ装置の変更に要する時間を短縮することが可能となる。 The electronic control device, time information providing method, time information providing program, and electronic control system disclosed herein make it possible to reduce the time required to change the master device while ensuring security by restricting access from the master device to the master clock.

本実施形態の電子制御システムを説明する図FIG. 1 is a diagram illustrating an electronic control system according to an embodiment of the present invention. 本実施形態のマスタ装置である電子制御装置の構成を説明する図FIG. 1 is a diagram illustrating the configuration of an electronic control unit that is a master device according to an embodiment of the present invention. 本実施形態の予備マスタ装置である電子制御装置の構成を説明する図FIG. 1 is a diagram illustrating a configuration of an electronic control device that is a standby master device according to an embodiment of the present invention. 本実施形態の電子制御システム全体の動作を説明する図FIG. 1 is a diagram for explaining the operation of the entire electronic control system according to the present embodiment. 本実施形態のマスタ装置である電子制御装置の動作を説明する図FIG. 2 is a diagram for explaining the operation of the electronic control unit that is the master device of the present embodiment. 本実施形態の予備マスタ装置である電子制御装置の動作を説明する図FIG. 2 is a diagram for explaining the operation of the electronic control device that is the standby master device of the present embodiment.

以下、本発明の実施形態について、図面を参照して説明する。 The following describes an embodiment of the present invention with reference to the drawings.

なお、本発明とは、特許請求の範囲又は課題を解決するための手段の項に記載された発明を意味するものであり、以下の実施形態に限定されるものではない。また、少なくともかぎ括弧内の語句は、特許請求の範囲又は課題を解決するための手段の項に記載された語句を意味し、同じく以下の実施形態に限定されるものではない。 The present invention refers to the invention described in the claims or in the Means for Solving the Problems section, and is not limited to the following embodiments. Furthermore, at least the words in quotation marks refer to the words described in the claims or in the Means for Solving the Problems section, and are not limited to the following embodiments.

特許請求の範囲の従属項に記載の構成及び方法は、特許請求の範囲の独立項に記載の発明において任意の構成及び方法である。従属項に記載の構成及び方法に対応する実施形態の構成及び方法、並びに特許請求の範囲に記載がなく実施形態のみに記載の構成及び方法は、本発明において任意の構成及び方法である。特許請求の範囲の記載が実施形態の記載よりも広い場合における実施形態に記載の構成及び方法も、本発明の構成及び方法の例示であるという意味で、本発明において任意の構成及び方法である。いずれの場合も、特許請求の範囲の独立項に記載することで、本発明の必須の構成及び方法となる。 The configurations and methods described in the dependent claims of the claims are optional configurations and methods in the invention described in the independent claims of the claims. The configurations and methods of the embodiments corresponding to the configurations and methods described in the dependent claims, and the configurations and methods described only in the embodiments without being described in the claims, are optional configurations and methods in the present invention. The configurations and methods described in the embodiments when the description of the claims is broader than the description of the embodiments are also optional configurations and methods in the present invention in the sense that they are examples of the configurations and methods of the present invention. In either case, by being described in the independent claims of the claims, they become essential configurations and methods of the present invention.

実施形態に記載した効果は、本発明の例示としての実施形態の構成を有する場合の効果であり、必ずしも本発明が有する効果ではない。 The effects described in the embodiments are the effects when the configuration of the embodiment is an example of the present invention, and are not necessarily the effects of the present invention.

複数の実施形態がある場合、各実施形態に開示の構成は各実施形態のみで閉じるものではなく、実施形態をまたいで組み合わせることが可能である。例えば一の実施形態に開示の構成を、他の実施形態に組み合わせてもよい。また、複数の実施形態それぞれに開示の構成を集めて組み合わせてもよい。 When there are multiple embodiments, the configurations disclosed in each embodiment are not limited to each embodiment, but can be combined across the embodiments. For example, a configuration disclosed in one embodiment may be combined with another embodiment. Also, the configurations disclosed in each of the multiple embodiments may be collected and combined.

発明が解決しようとする課題に記載した課題は公知の課題ではなく、本発明者が独自に知見したものであり、本発明の構成及び方法と共に発明の進歩性を肯定する事実である。 The problem described in the problem that the invention is intended to solve is not a publicly known problem, but was discovered independently by the inventor, and this fact, together with the configuration and method of the present invention, affirms the inventive step of the invention.

1.車載システム1の構成
図1を用いて、本実施形態の電子制御装置及び電子制御システムを説明する。本実施形態の電子制御装置及び電子制御システムは、「移動体」である車両に「搭載」される車載装置及び車載システムを想定しているが、これらに限定されるものではない。 1. Configuration of the in-vehicle system 1 The electronic control device and the electronic control system of the present embodiment will be described with reference to Fig. 1. The electronic control device and the electronic control system of the present embodiment are assumed to be in-vehicle devices and in-vehicle systems "mounted" on a vehicle, which is a "moving body", but are not limited thereto.

ここで、「移動体」とは、移動可能な物体をいい、移動速度は任意である。また移動体が停止している場合も当然含む。例えば、自動車、自動二輪車、自転車、歩行者、船舶、航空機、及びこれらに搭載される物を含み、またこれらに限らない。
また、「搭載」される、とは、移動体に直接固定されている場合の他、移動体に固定されていないが移動体と共に移動する場合も含む。例えば、移動体に乗った人が所持している場合、移動体に載置された積荷に搭載されている場合、が挙げられる。 Here, the term "mobile body" refers to an object that can move and can move at any speed. It also includes cases where the moving body is stationary. For example, it includes, but is not limited to, automobiles, motorcycles, bicycles, pedestrians, ships, aircraft, and objects mounted on these vehicles.
In addition, "mounted" includes not only the case where the device is directly fixed to the moving body, but also the case where the device is not fixed to the moving body but moves with the moving body, such as the case where the device is carried by a person riding on the moving body, or the case where the device is mounted on cargo placed on the moving body.

電子制御システム1は、複数の「電子制御装置」(以下、ECU:Electronic Control Unit)(ECU10乃至ECU40)及びマスタクロック50から構成されるシステムである。電子制御システム1は、任意の数のECUから構成される。これらのECUとマスタクロック50とは、例えば、CAN(Controller Area Network)やLIN(Local Interconnect Network)といった車載ネットワーク、イーサネット(登録商標)、無線通信ネットワークを介して接続されている。 The electronic control system 1 is a system that is composed of multiple "electronic control units" (hereinafter, ECUs: Electronic Control Units) (ECU10 to ECU40) and a master clock 50. The electronic control system 1 is composed of any number of ECUs. These ECUs and the master clock 50 are connected via, for example, an in-vehicle network such as a Controller Area Network (CAN) or a Local Interconnect Network (LIN), Ethernet (registered trademark), or a wireless communication network.

ここで、「電子制御装置」とは、例えば、主に半導体装置で構成され、CPU(Central Processing Unit)、およびRAM(Random Access Memory)等の揮発性記憶部を有する、いわゆる情報処理装置として構成されていてもよい。この場合、情報処理装置はさらに、フラッシュ保存部等の不揮発性記憶部、通信ネットワーク等に接続されるネットワークインターフェース部等を有していてもよい。さらに、このような情報処理装置はパッケージ化された半導体装置(素子)であっても、配線基板において各半導体装置が配線接続された構成であってもよい。 Here, the "electronic control device" may be configured as a so-called information processing device, for example, that is mainly composed of semiconductor devices and has a volatile storage unit such as a CPU (Central Processing Unit) and a RAM (Random Access Memory). In this case, the information processing device may further have a non-volatile storage unit such as a flash storage unit, a network interface unit connected to a communication network, etc. Furthermore, such an information processing device may be a packaged semiconductor device (element), or may be configured such that each semiconductor device is wired and connected on a wiring board.

電子制御システム1を構成するECU10乃至ECU40は例えば、Adaptive Platform(AP)と呼ばれる、動的な機能の拡張が可能なプラットフォームをベースとしたECUを想定している。APは主に、自動運転用のECUに適したプラットフォームである。ECU10乃至ECU40の詳細な構成は詳述する。なお、本実施形態のECUは、APをベースとしたものに限定されるものではなく、Classic Platform(CP)と呼ばれる、静的な機能を最適化したプラットフォームをベースとしたECUであってもよい。 The ECUs 10 to 40 constituting the electronic control system 1 are assumed to be ECUs based on a platform called an Adaptive Platform (AP) that allows dynamic expansion of functions. The AP is a platform that is mainly suitable for ECUs for autonomous driving. The detailed configuration of the ECUs 10 to 40 will be described in detail later. Note that the ECU in this embodiment is not limited to one based on an AP, and may be an ECU based on a platform called a Classic Platform (CP) that optimizes static functions.

マスタクロック50は、電子制御システム1の外部と同期された時刻を有する時計である。マスタクロック50は例えば、GPS(Global Positioning System)やGNSS(Global Navigation Satellite System)の受信機が取得した時刻を有する。マスタクロック50へのアクセスは、後述する認証部310で許可された同期マスタ部に限定される。そのため、マスタクロック50にアクセスするためには、認証部310で認証を受ける必要がある。 The master clock 50 is a clock that has a time synchronized with the outside of the electronic control system 1. For example, the master clock 50 has a time acquired by a receiver of a GPS (Global Positioning System) or a GNSS (Global Navigation Satellite System). Access to the master clock 50 is limited to synchronous master units authorized by the authentication unit 310 described below. Therefore, in order to access the master clock 50, authentication by the authentication unit 310 is required.

なお、以下に示す実施形態は、集中管理モード(Centralized Mode)と呼ばれる、各スレーブ部に時刻情報を提供する同期マスタ部が1つであるモードを想定して説明している。しかしながら、以下の実施形態は、分散管理モード(Distributed Mode)と呼ばれる、各スレーブ部に時刻情報を提供する同期マスタ部が複数存在するモードにも適用することが可能である。 The following embodiment is described assuming a centralized mode, in which there is one synchronization master unit that provides time information to each slave unit. However, the following embodiment can also be applied to a distributed mode, in which there are multiple synchronization master units that provide time information to each slave unit.

2.ECU10の構成
ECU10は、大きく分けて、認証管理部110及び同期マスタ部120を有する。認証管理部110及び同期マスタ部120はそれぞれがECU10上の別の仮想マシン上で動作してもよい。図2を参照して、認証管理部110及び同期マスタ部120の構成を説明する。 2. Configuration of ECU 10 The ECU 10 mainly includes an authentication management unit 110 and a synchronization master unit 120. The authentication management unit 110 and the synchronization master unit 120 may each operate on a different virtual machine on the ECU 10. The configurations of the authentication management unit 110 and the synchronization master unit 120 will be described with reference to FIG. 2.

ECU10は、汎用のCPU、RAM等の揮発性メモリ、ROM、フラッシュメモリ又はハードディスク等の不揮発性メモリ、各種インターフェース、及びこれらを接続する内部バスで構成することができる。そして、これらのハードウェア上でソフトウェアを実行することにより、図2に記載の各機能ブロックの機能を発揮させるように構成することができる。もちろん、ECU10の各機能を、LSI等の専用のハードウェアで実現してもよい。以下に説明する他のECUについても同様である。 ECU 10 can be configured with a general-purpose CPU, volatile memory such as RAM, non-volatile memory such as ROM, flash memory or a hard disk, various interfaces, and an internal bus connecting these. It can be configured to perform the functions of each functional block shown in FIG. 2 by executing software on this hardware. Of course, each function of ECU 10 may be realized by dedicated hardware such as an LSI. The same applies to the other ECUs described below.

認証管理部110は主に、同期マスタ部120からマスタクロック50へのアクセスを管理する機能を有し、認証を受けていない同期マスタ部120がマスタクロック50にアクセスしようとすると、アクセスを遮断する。認証管理部110は、認証要求送信部111、認証結果受信部112、及び認証済情報送信部113を有する。認証管理部110は、IAM(Identity and Access Management)機能におけるPEP(Policy Enforcement Point)に相当する。 The authentication management unit 110 mainly has the function of managing access from the synchronization master unit 120 to the master clock 50, and blocks access when an unauthenticated synchronization master unit 120 attempts to access the master clock 50. The authentication management unit 110 has an authentication request transmission unit 111, an authentication result reception unit 112, and an authenticated information transmission unit 113. The authentication management unit 110 corresponds to a PEP (Policy Enforcement Point) in the IAM (Identity and Access Management) function.

認証要求送信部111は、後述するECU30の認証部310に、同期マスタ部120からマスタクロック50へのアクセスの認証を要求する。 The authentication request transmission unit 111 requests the authentication unit 310 of the ECU 30, which will be described later, to authenticate access from the synchronization master unit 120 to the master clock 50.

認証結果受信部112は、認証部310から、認証要求送信部111が送信した認証要求に対する認証結果を受信する。ここで、認証結果受信部112で受信した認証結果が、マスタクロック50へのアクセス許可を示している場合、同期マスタ部120はマスタクロック50にアクセスすることが可能となる。これに対し、認証結果受信部112で受信した認証結果が、マスタクロック50へのアクセス不許可を示している場合、同期マスタ部120によるマスタクロック50へのアクセスは、認証管理部110によって遮断されることになる。 The authentication result receiving unit 112 receives, from the authentication unit 310, the authentication result in response to the authentication request sent by the authentication request sending unit 111. If the authentication result received by the authentication result receiving unit 112 indicates that access to the master clock 50 is permitted, the synchronization master unit 120 is able to access the master clock 50. On the other hand, if the authentication result received by the authentication result receiving unit 112 indicates that access to the master clock 50 is not permitted, the authentication management unit 110 blocks the synchronization master unit 120's access to the master clock 50.

認証済情報送信部113は、同期マスタ部120からマスタクロック50へのアクセスが許可されていることを示す「認証済情報」を、後述するECU20の認証管理部210に送信する。認証済情報は、認証部310によって同期マスタ部120からマスタクロック50へのアクセスが許可された場合にのみ生成される情報であり、例えば、マスタクロック50へのアクセス権を示す権限情報である。この権限情報は、認証結果受信部112が、認証結果とともに認証部310から受信してもよい。他の例として、認証済情報は、デバイス(ECU)の証明書、ユーザの証明書、マスタクロック50にアクセスするためのパスワード、ランダム値に設定されたセッションID、又は同期マスタ部120とマスタクロック50との間で生成される秘密鍵であってもよい。あるいは、認証済情報は、上述したパスワード等の生成に使用される情報であってもよい。 The authenticated information transmission unit 113 transmits "authenticated information" indicating that access from the synchronization master unit 120 to the master clock 50 is permitted to the authentication management unit 210 of the ECU 20 described later. The authenticated information is generated only when the authentication unit 310 permits access from the synchronization master unit 120 to the master clock 50, and is, for example, authority information indicating the right to access the master clock 50. This authority information may be received by the authentication result reception unit 112 from the authentication unit 310 together with the authentication result. As another example, the authenticated information may be a device (ECU) certificate, a user certificate, a password for accessing the master clock 50, a session ID set to a random value, or a private key generated between the synchronization master unit 120 and the master clock 50. Alternatively, the authenticated information may be information used to generate the above-mentioned password, etc.

ここで、「認証済情報」とは、認証部でアクセス許可を受けていることを直接的に示す情報はもちろん、アクセス許可を受けたことによって生成することが可能なパスワードや鍵情報のように、アクセス許可を受けていることを間接的に示すものであってもよい。 In this case, "authenticated information" refers not only to information that directly indicates that access has been granted by the authentication unit, but also to information that indirectly indicates that access has been granted, such as a password or key information that can be generated by granting access.

認証済情報送信部113は、例えば、認証済情報を定期的に認証管理部210に送信する。あるいは、パスワード、セッションID、秘密鍵、又は認証部310によるアクセス許可自体に有効期限が設定されている場合、認証済情報送信部113は、有効期限が過ぎて新たな認証済情報が生成される度に認証済情報を認証管理部210に送信する。 For example, the authenticated information transmission unit 113 periodically transmits the authenticated information to the authentication management unit 210. Alternatively, if an expiration date is set for the password, the session ID, the private key, or the access permission by the authentication unit 310 itself, the authenticated information transmission unit 113 transmits the authenticated information to the authentication management unit 210 each time the expiration date passes and new authenticated information is generated.

他の例として、ECU10や同期マスタ部120のソフトウェアの更新が予定されており、ECU10が「停止」することが予め想定される場合には、認証済情報送信部113は、ECU10が停止する前に認証済情報を認証管理部210に送信してもよい。 As another example, if a software update for the ECU 10 or the synchronization master unit 120 is planned and it is anticipated that the ECU 10 will be "stopped," the authenticated information transmission unit 113 may transmit the authenticated information to the authentication management unit 210 before the ECU 10 is stopped.

ここで、「停止」とは、ECU全体の機能が停止する場合の他、ECUの一部の機能のみが停止することも含む。 Here, "stopping" includes cases where the entire ECU stops functioning, as well as cases where only some of the ECU's functions stop.

同期マスタ部120は主に、後述するECU40のスレーブ部410に、スレーブ部410において基準となる時刻情報を提供する機能を有する。同期マスタ部120は、内部クロック121、時刻情報取得部122、内部クロック制御部123、時刻情報送信部124、及び保存部125を備える。 The synchronization master unit 120 mainly has the function of providing the slave unit 410 of the ECU 40, which will be described later, with time information that serves as a reference for the slave unit 410. The synchronization master unit 120 includes an internal clock 121, a time information acquisition unit 122, an internal clock control unit 123, a time information transmission unit 124, and a storage unit 125.

内部クロック121は、同期マスタ部120の時計として機能する。内部クロック121は、絶対的な時刻を計測するものの他、所定の間隔を計測するもの、例えば、カウンタ、発振器であってもよい。 The internal clock 121 functions as a clock for the synchronization master unit 120. The internal clock 121 may be a device that measures absolute time, or a device that measures a predetermined interval, such as a counter or an oscillator.

時刻情報取得部122は、マスタクロック50にアクセスして、マスタクロック50の基準時刻を「取得」する。例えば、時刻情報取得部122は、マスタクロック50に対して、基準時刻の送信を要求する基準時刻リクエストを送信する。そして、マスタクロック50から、基準時刻リクエストに対する応答として、マスタクロック50の基準時刻を含む基準時刻リプライを受信することによって基準時刻を取得する。 The time information acquisition unit 122 accesses the master clock 50 and "acquires" the reference time of the master clock 50. For example, the time information acquisition unit 122 transmits a reference time request to the master clock 50, requesting the transmission of the reference time. Then, the time information acquisition unit 122 acquires the reference time by receiving a reference time reply including the reference time of the master clock 50 from the master clock 50 as a response to the reference time request.

ここで、「取得」とは、マスタクロックから基準時刻を受信することによって取得する場合の他、マスタクロックから受信した情報を用いることにより、演算によって基準時刻を取得する場合も含む。 Here, "obtaining" includes not only obtaining the reference time by receiving it from the master clock, but also obtaining the reference time through calculations using information received from the master clock.

あるいは、時刻情報取得部122は、マスタクロック50に対して、内部クロック121の現在時刻を含む基準時刻リクエストを送信してもよい。この場合、時刻情報取得部122は、マスタクロック50から、基準時刻リクエストに対する応答として、内部クロック121の現在時刻とマスタクロック50の基準時刻との差分時刻を含む基準時刻リプライを受信する。そして、時刻情報取得部122は、内部クロック121の現在時刻と、マスタクロック50から送信された基準時刻リプライに含まれる差分時刻とに基づいてマスタクロック50が有する基準時刻を推定することによって基準時刻を取得してもよい。 Alternatively, the time information acquisition unit 122 may transmit a reference time request including the current time of the internal clock 121 to the master clock 50. In this case, the time information acquisition unit 122 receives a reference time reply including the differential time between the current time of the internal clock 121 and the reference time of the master clock 50 as a response to the reference time request from the master clock 50. The time information acquisition unit 122 may then acquire the reference time by estimating the reference time held by the master clock 50 based on the current time of the internal clock 121 and the differential time included in the reference time reply transmitted from the master clock 50.

別の方法として、時刻情報取得部122は、IEEE802.1AS規格や、PTP(Precision Time Protocol)の仕様に基づく時刻同期の手法を利用して、マスタクロック50と時刻同期を行うことで、基準時刻を取得してもよい。 As an alternative method, the time information acquisition unit 122 may acquire the reference time by synchronizing with the master clock 50 using a time synchronization technique based on the IEEE 802.1AS standard or the Precision Time Protocol (PTP) specifications.

なお、時刻情報取得部122は、認証結果受信部112が認証部310からアクセス許可を示す認証結果を受信している場合に限り、マスタクロック50にアクセスして基準時刻を取得することができる。 The time information acquisition unit 122 can access the master clock 50 to acquire the reference time only if the authentication result receiving unit 112 has received an authentication result indicating access permission from the authentication unit 310.

内部クロック制御部123は、内部クロック121の時刻が時刻情報取得部122で取得した基準時刻となるように、内部クロック121を制御する。したがって、内部クロック121の時刻は、基準時刻と等しくなる。 The internal clock control unit 123 controls the internal clock 121 so that the time of the internal clock 121 becomes the reference time acquired by the time information acquisition unit 122. Therefore, the time of the internal clock 121 becomes equal to the reference time.

時刻情報送信部124は、ECU40のスレーブ部410に、内部クロック121の時刻を示す時刻情報を送信する。上述したとおり、内部クロック制御部123によって、内部クロック121の時刻は時刻情報取得部122が取得した基準時刻と等しくなるように制御されている。したがって、時刻情報送信部124が送信する時刻情報とは、基準時刻を「示す」時刻情報であるといえる。なお、時刻情報送信部124が送信する時刻情報は、基準時刻そのものでなくともよい。同期マスタ部120は、スレーブ部410に対して、スレーブ部410の内部クロックの時刻の送信を予め要求し、スレーブ部410の時刻と、内部クロック121の時刻である基準時刻との差分を示す差分時刻を、時刻情報としてスレーブ部410に送信してもよい。このような差分時刻は、間接的に基準時刻を示すものである。なお、スレーブ部410の時刻の精度を高めるために、時刻情報送信部124は、定期的に時刻情報をスレーブ部410に送信することが望ましい。 The time information transmission unit 124 transmits time information indicating the time of the internal clock 121 to the slave unit 410 of the ECU 40. As described above, the internal clock control unit 123 controls the time of the internal clock 121 to be equal to the reference time acquired by the time information acquisition unit 122. Therefore, the time information transmitted by the time information transmission unit 124 can be said to be time information that "indicates" the reference time. The time information transmitted by the time information transmission unit 124 does not have to be the reference time itself. The synchronization master unit 120 may request the slave unit 410 to transmit the time of the internal clock of the slave unit 410 in advance, and transmit a differential time indicating the difference between the time of the slave unit 410 and the reference time, which is the time of the internal clock 121, to the slave unit 410 as time information. Such a differential time indirectly indicates the reference time. In order to improve the accuracy of the time of the slave unit 410, it is desirable for the time information transmission unit 124 to periodically transmit time information to the slave unit 410.

「示す」とは、基準時刻を直接的に示す場合の他、基準時刻を間接的に示す場合も含む。 "Indicate" includes cases where the reference time is directly indicated, as well as cases where the reference time is indirectly indicated.

保存部125は、SRAMやDRAMといった揮発性メモリ、フラッシュメモリやハードディスク等の不揮発性メモリであり、認証済情報を保存する。上述した認証済情報送信部113は、保存部125に保存されている認証済情報を取得して、認証管理部210に送信する。 The storage unit 125 is a volatile memory such as SRAM or DRAM, or a non-volatile memory such as a flash memory or a hard disk, and stores the authenticated information. The authenticated information transmission unit 113 described above acquires the authenticated information stored in the storage unit 125 and transmits it to the authentication management unit 210.

上述したとおり、ECU10は、スレーブ部410に対して基準となる時刻情報を提供する電子制御装置であることから、「マスタ装置」とも称される。 As mentioned above, the ECU 10 is also called the "master device" because it is an electronic control device that provides reference time information to the slave unit 410.

3.ECU20の構成
ECU20は、ECU10と同様、認証管理部210及び同期マスタ部220を有する。図3を参照して、認証管理部210及び同期マスタ部220の構成を説明する。 3. Configuration of ECU 20 Like the ECU 10, the ECU 20 includes an authentication management unit 210 and a synchronization master unit 220. The configurations of the authentication management unit 210 and the synchronization master unit 220 will be described with reference to FIG.

ECU20の認証管理部210は、認証済情報受信部211を備える。認証済情報受信部211は、ECU10の認証済情報送信部113から送信された「認証済情報」を受信する。上述したとおり、認証済情報は、マスタクロック50へのアクセスが許可されていることを示す情報である。認証済情報受信部211が受信した認証済情報は、後述する保存部225に保存される。 The authentication management unit 210 of the ECU 20 includes an authenticated information receiving unit 211. The authenticated information receiving unit 211 receives the "authenticated information" transmitted from the authenticated information transmitting unit 113 of the ECU 10. As described above, the authenticated information is information indicating that access to the master clock 50 is permitted. The authenticated information received by the authenticated information receiving unit 211 is stored in the storage unit 225 described below.

認証管理部210は、認証管理部110と同様、同期マスタ部220からマスタクロック50へのアクセスを管理する機能を有する。認証を受けていない同期マスタ部220がマスタクロック50にアクセスしようとすると、アクセスを遮断する。ただし、同期マスタ部220自身が認証を受けていなくともよく、認証済情報受信部211が認証済情報を受信している場合には、同期マスタ部220は、認証済情報受信部211が受信した認証済情報を利用することでマスタクロック50へアクセスすることが可能であり、この場合には同期マスタ部220からマスタクロック50へのアクセスは遮断されない。 The authentication management unit 210, like the authentication management unit 110, has a function of managing access from the synchronization master unit 220 to the master clock 50. If an unauthenticated synchronization master unit 220 attempts to access the master clock 50, the access is blocked. However, the synchronization master unit 220 itself does not have to be authenticated, and if the authenticated information receiving unit 211 has received authenticated information, the synchronization master unit 220 can access the master clock 50 by using the authenticated information received by the authenticated information receiving unit 211, and in this case, access from the synchronization master unit 220 to the master clock 50 is not blocked.

同期マスタ部220は、同期マスタ部120と同様、内部クロック221、時刻情報取得部222、内部クロック制御部223、時刻情報送信部224、保存部225を備え、停止検出部226をさらに備える。 Like the synchronization master unit 120, the synchronization master unit 220 includes an internal clock 221, a time information acquisition unit 222, an internal clock control unit 223, a time information transmission unit 224, and a storage unit 225, and further includes a stop detection unit 226.

内部クロック221は、同期マスタ部220の時計として機能するものであり、絶対的な時刻を計測するものの他、所定の間隔を計測するもの、例えば、カウンタ、発振器であってもよい。 The internal clock 221 functions as a clock for the synchronization master unit 220, and may be something that measures absolute time, or something that measures a specific interval, such as a counter or oscillator.

時刻情報取得部222は、認証済情報受信部211が受信した認証済情報を用いてマスタクロック50にアクセスして、マスタクロック50の基準時刻を「取得」する。時刻情報取得部122と同じく、時刻情報取得部222は基準時刻リクエストをマスタクロック50に送信し、マスタクロック50から基準時刻リプライを受信することによって基準時刻を取得する。ただし、ECU20の時刻情報取得部222は、後述する停止検出部226がECU10が停止したことを検出した場合に限り、マスタクロック50にアクセスして基準時刻を取得する。 The time information acquisition unit 222 uses the authenticated information received by the authenticated information receiving unit 211 to access the master clock 50 and "acquire" the reference time of the master clock 50. Like the time information acquisition unit 122, the time information acquisition unit 222 acquires the reference time by sending a reference time request to the master clock 50 and receiving a reference time reply from the master clock 50. However, the time information acquisition unit 222 of the ECU 20 accesses the master clock 50 to acquire the reference time only when the stop detection unit 226 described later detects that the ECU 10 has stopped.

内部クロック制御部223は、内部クロック221の時刻が時刻情報取得部222で取得した基準時刻となるように、内部クロック221を制御する。 The internal clock control unit 223 controls the internal clock 221 so that the time of the internal clock 221 becomes the reference time acquired by the time information acquisition unit 222.

時刻情報送信部224は、ECU40のスレーブ部410に、内部クロック221の時刻を「示す」時刻情報を送信する。 The time information transmission unit 224 transmits time information indicating the time of the internal clock 221 to the slave unit 410 of the ECU 40.

保存部225は、SRAMやDRAMといった揮発性メモリ、フラッシュメモリやハードディスク等の不揮発性メモリであり、認証済情報受信部211が受信した認証済情報を保存する。 The storage unit 225 is a volatile memory such as SRAM or DRAM, or a non-volatile memory such as a flash memory or a hard disk, and stores the authenticated information received by the authenticated information receiving unit 211.

停止検出部226は、ECU10が「停止」したことを「検出」する。例えば、ECU10の認証済情報送信部113が認証済情報を定期的に送信する構成においては、認証済情報受信部211が認証済情報を受信することができない場合に、停止検出部226はECU10の認証管理部110の機能が停止していることを検出する。あるいは、停止検出部226は、スレーブ部410から、同期マスタ部120から時刻情報を受信できないことを示すメッセージを受信した場合に、ECU10の同期マスタ部120の機能が停止していることを検出してもよい。 The stop detection unit 226 "detects" that the ECU 10 has "stopped." For example, in a configuration in which the authenticated information transmission unit 113 of the ECU 10 periodically transmits authenticated information, if the authenticated information reception unit 211 cannot receive authenticated information, the stop detection unit 226 detects that the function of the authentication management unit 110 of the ECU 10 has stopped. Alternatively, the stop detection unit 226 may detect that the function of the synchronization master unit 120 of the ECU 10 has stopped if it receives a message from the slave unit 410 indicating that it cannot receive time information from the synchronization master unit 120.

「検出」とは、電子制御装置自身でマスタ装置の停止を検出する場合の他、他の装置からマスタ装置が停止したことを示す情報を受信することによって、検出する場合も含む。 "Detection" includes cases where the electronic control device itself detects that the master device has stopped, as well as cases where the electronic control device detects that the master device has stopped by receiving information from another device indicating that the master device has stopped.

上述したとおり、ECU20は、ECU10が停止した場合に、マスタ装置であるECU10に代わって、スレーブ部410に対して基準となる時刻情報を提供することが可能な電子制御装置であることから、「予備マスタ装置」とも称される。 As described above, ECU 20 is also called the "backup master device" because it is an electronic control device that can provide reference time information to slave unit 410 in place of ECU 10, which is the master device, when ECU 10 stops.

本実施形態では、マスタ装置として必要とされるECU10の構成、及び予備マスタ装置として必要とされるECU20の構成をそれぞれ説明した。しかしながら、ECU10及びECU20は、同じ構成であってもよい。例えば、ECU20の認証管理部210は、ECU10と同様、認証要求送信部及び認証結果受信部をさらに備え、ECU10の同期マスタ部120は、ECU20と同様、停止検出部をさらに備えてもよい。 In this embodiment, the configuration of the ECU 10 required as a master device and the configuration of the ECU 20 required as a backup master device have been described. However, the ECU 10 and the ECU 20 may have the same configuration. For example, the authentication management unit 210 of the ECU 20 may further include an authentication request transmission unit and an authentication result reception unit, similar to the ECU 10, and the synchronization master unit 120 of the ECU 10 may further include a stop detection unit, similar to the ECU 20.

4.ECU30の構成
ECU30は、認証部310を有する。認証部310は、IAM(Identity and Access Management)機能におけるPDP(Policy Decision Point)に相当する。 4. Configuration of ECU 30 The ECU 30 includes an authentication unit 310. The authentication unit 310 corresponds to a PDP (Policy Decision Point) in an IAM (Identity and Access Management) function.

認証部310は、認証要求送信部111から、同期マスタ部120からマスタクロック50へのアクセスの認証要求を受信すると、同期マスタ部120がマスタクロック50へアクセスすることができるかどうかの認証を行う。 When the authentication unit 310 receives an authentication request for access to the master clock 50 from the synchronization master unit 120 from the authentication request transmission unit 111, it performs authentication to determine whether the synchronization master unit 120 can access the master clock 50.

認証部310はさらに、同期マスタ部120からマスタクロック50へのアクセスの認証結果を、同期マスタ部120に送信する。 The authentication unit 310 further transmits the authentication result of the access from the synchronization master unit 120 to the master clock 50 to the synchronization master unit 120.

なお、認証部310による同期マスタ部120からマスタクロック50へのアクセス許可には、有効期限が設定されることが望ましい。マスタクロック50へのアクセス許可に有効期限が設定され、認証部310での認証が定期的に行われることにより、例えば、電子制御システム1の外部から、同期マスタ部120を介してマスタクロック50が不正にアクセスされることを防ぐことができる。 It is desirable to set an expiration date for the access permission from the synchronization master unit 120 to the master clock 50 by the authentication unit 310. By setting an expiration date for the access permission to the master clock 50 and periodically performing authentication by the authentication unit 310, it is possible to prevent, for example, unauthorized access to the master clock 50 from outside the electronic control system 1 via the synchronization master unit 120.

5.ECU40の構成
ECU40は、スレーブ部410を有する。スレーブ部410は内部クロック(図示せず)を有し、同期マスタ部120から受信した時刻情報に合わせて、内部クロックが示す時刻を補正する。これにより、スレーブ部410において基準となる時刻は、同期マスタ部120から受信した時刻情報が示す時刻となる。 5. Configuration of ECU 40 ECU 40 has a slave unit 410. Slave unit 410 has an internal clock (not shown) and corrects the time indicated by the internal clock in accordance with the time information received from synchronization master unit 120. As a result, the reference time in slave unit 410 becomes the time indicated by the time information received from synchronization master unit 120.

スレーブ部410が同期マスタ部120から時刻情報を受信することができない場合、スレーブ部410の時刻と他のスレーブ部の時刻との間にずれが生じ、時刻同期の精度が低下するおそれがある。そのため、スレーブ部410は、一定時間にわたって同期マスタ部120から時刻情報を受信できない場合には、同期マスタ部120と同様の機能を有する同期マスタ部220に対し、同期マスタ部120から時刻情報を受信できないことを示すメッセージを送信する。あるいは、スレーブ部410は、同期マスタ部220に対して、時刻情報を要求するメッセージを送信してもよい。ECU20の停止検出部226が同期マスタ部120の機能が停止したことを検出することで、スレーブ部410は時刻情報を再び同期マスタ部220から受信できるようになる。 If the slave unit 410 cannot receive time information from the synchronization master unit 120, a discrepancy may occur between the time of the slave unit 410 and the time of the other slave units, and the accuracy of time synchronization may decrease. Therefore, if the slave unit 410 cannot receive time information from the synchronization master unit 120 for a certain period of time, the slave unit 410 transmits a message to the synchronization master unit 220, which has the same function as the synchronization master unit 120, indicating that it cannot receive time information from the synchronization master unit 120. Alternatively, the slave unit 410 may transmit a message to the synchronization master unit 220 requesting time information. When the stop detection unit 226 of the ECU 20 detects that the function of the synchronization master unit 120 has stopped, the slave unit 410 becomes able to receive time information from the synchronization master unit 220 again.

スレーブ部410は例えば、車両の操舵、加減速、ハンドルといった車両の制御を行うECUの機能である。スレーブ部410において基準となる時刻が、同期マスタ部120又は同期マスタ部220、ひいてはマスタクロック50と同期されることにより、スレーブ部410は、例えばGPSや車載センサ等と共有する時間軸を有することができる。その結果、これらのGPSや車載センサが取得した情報に基づいて判断される車両の絶対位置や、周辺物体に対する相対位置において、スレーブ部410は適切なタイミングで制御を行うことが可能となる。 The slave unit 410 is an ECU function that controls the vehicle, such as steering, accelerating, decelerating, and steering. By synchronizing the reference time in the slave unit 410 with the synchronization master unit 120 or the synchronization master unit 220, and thus with the master clock 50, the slave unit 410 can have a time axis that is shared with, for example, a GPS or an on-board sensor. As a result, the slave unit 410 can perform control at the appropriate timing based on the absolute position of the vehicle determined based on information acquired by the GPS or on-board sensor, and the relative position with respect to surrounding objects.

なお、本実施形態では、ECU40のみが、同期マスタ部120又は同期マスタ部220から時刻情報を提供されるスレーブ部410を有する構成を説明した。しかしながら、スレーブ部410は任意のECUに設けられる構成である。例えば、ECU10乃至ECU30がスレーブ部をそれぞれ有し、同期マスタ部120又は同期マスタ部220は、これらのECUに設けられた複数のスレーブ部410に対して時刻情報を提供してもよい。
さらに、図1では、電子制御システム1が、スレーブ部410を有するECU40を1つのみ有する構成を説明しているが、当然のことながらスレーブ部410を有するECUを複数有していてもよい。 In the present embodiment, the configuration has been described in which only the ECU 40 has the slave unit 410 that receives time information from the synchronization master unit 120 or the synchronization master unit 220. However, the slave unit 410 may be provided in any ECU. For example, each of the ECUs 10 to 30 may have a slave unit, and the synchronization master unit 120 or the synchronization master unit 220 may provide time information to a plurality of slave units 410 provided in these ECUs.
Furthermore, in FIG. 1, the electronic control system 1 is described as having only one ECU 40 having a slave unit 410, but it goes without saying that the electronic control system 1 may have a plurality of ECUs having slave units 410.

6.電子制御システム1の動作
次に、図4~図6を用いて、電子制御システム1、及び電子制御システム1が有する各電子制御装置の動作を説明する。図4は、電子制御システム1全体の動作を示す図である。図5は、マスタ装置であるECU10の動作を、図6は予備マスタ装置であるECU20の動作をそれぞれ示している。図4に示す符号と、図5、図6に示す符号はそれぞれ対応しており、同じ符号は同じ処理を示している。 6. Operation of Electronic Control System 1 Next, the operation of the electronic control system 1 and each electronic control device of the electronic control system 1 will be described with reference to Figures 4 to 6. Figure 4 is a diagram showing the operation of the entire electronic control system 1. Figure 5 shows the operation of the ECU 10, which is the master device, and Figure 6 shows the operation of the ECU 20, which is the backup master device. The symbols shown in Figure 4 correspond to the symbols shown in Figures 5 and 6, and the same symbols indicate the same processes.

各電子制御装置の動作は、電子制御装置で実行される時刻情報提供方法を示すだけでなく、電子制御装置で実行可能な時刻情報提供プログラムの処理手順を示すものである。そして、これらの処理は、図4~図6で示した順序には限定されない。すなわち、あるステップでその前段のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。 The operation of each electronic control device not only indicates the time information provision method executed by the electronic control device, but also indicates the processing procedure of the time information provision program that can be executed by the electronic control device. Furthermore, these processes are not limited to the order shown in Figures 4 to 6. In other words, the order may be changed as long as there are no constraints, such as a relationship in which a certain step uses the result of the previous step.

まず、図4、図5を用いて、主にECU10の動作を説明する。
ECU10において、認証管理部110の認証要求送信部111は、ECU30の認証部310に、同期マスタ部120からマスタクロック50へのアクセスの認証を要求する認証要求を送信する(S101)。 First, the operation of the ECU 10 will be mainly described with reference to FIG. 4 and FIG.
In the ECU 10, the authentication request transmission unit 111 of the authentication management unit 110 transmits an authentication request to the authentication unit 310 of the ECU 30, requesting authentication of access from the synchronization master unit 120 to the master clock 50 (S101).

ECU30において、認証部310は、認証要求送信部111から送信された認証要求を受信すると、同期マスタ部120からマスタクロック50へのアクセスを許可するかどうかの認証を行う(S102)。そして、認証部310は、S102における認証結果を認証管理部110に送信する。 In the ECU 30, when the authentication unit 310 receives the authentication request transmitted from the authentication request transmission unit 111, it performs authentication as to whether or not to permit access from the synchronization master unit 120 to the master clock 50 (S102). Then, the authentication unit 310 transmits the authentication result in S102 to the authentication management unit 110.

認証管理部110の認証結果受信部112は、認証部310から送信された認証結果を受信する(S103)。
ここで、S103で受信した認証結果が、同期マスタ部120からマスタクロック50へのアクセスが許可されたことを示している場合、時刻情報取得部122は、基準時刻の送信を要求する基準時刻リクエストを送信する(S104)。
そして、時刻情報取得部122は、マスタクロック50から基準時刻リプライを受信することにより、基準時刻を取得する(S105)。
時刻情報送信部124は、S105で取得した基準時刻を示す時刻情報を、スレーブ部410に送信する(S106)。
認証済情報送信部113は、同期マスタ部120からマスタクロック50へのアクセスが許可されたことを示す認証済情報を、ECU20に送信する(S107)。 The authentication result receiving unit 112 of the authentication management unit 110 receives the authentication result sent from the authentication unit 310 (S103).
Here, if the authentication result received in S103 indicates that access from the synchronization master unit 120 to the master clock 50 is permitted, the time information acquisition unit 122 sends a reference time request requesting the transmission of the reference time (S104).
Then, the time information acquisition unit 122 receives the reference time reply from the master clock 50, thereby acquiring the reference time (S105).
The time information transmitting unit 124 transmits the time information indicating the reference time acquired in S105 to the slave unit 410 (S106).
The authenticated information transmitting unit 113 transmits authenticated information indicating that access from the synchronization master unit 120 to the master clock 50 is permitted to the ECU 20 (S107).

次に、図4、図6を用いて、主にECU20の動作を説明する。
ECU20において、認証管理部210の認証済情報受信部211は、S107で認証済情報送信部113から送信された認証済情報を受信する(S200)。
同期マスタ部220の停止検出部226が、ECU10が停止したことを検出すると(S201:Yes)、時刻情報取得部222は、基準時刻の送信を要求する基準時刻リクエストをマスタクロック50に送信する(S202)。
そして、時刻情報取得部222は、マスタクロック50から基準時刻リプライを受信することにより、基準時刻を取得する(S203)。
時刻情報送信部224は、S110で取得した基準時刻を示す時刻情報を、スレーブ部410に送信する(S204)。 Next, the operation of the ECU 20 will be mainly described with reference to FIG. 4 and FIG.
In the ECU 20, the authenticated information receiving unit 211 of the authentication management unit 210 receives the authenticated information transmitted from the authenticated information transmitting unit 113 in S107 (S200).
When the stop detection unit 226 of the synchronization master unit 220 detects that the ECU 10 has stopped (S201: Yes), the time information acquisition unit 222 transmits a reference time request to the master clock 50 to request transmission of the reference time (S202).
Then, the time information acquisition unit 222 receives the reference time reply from the master clock 50, thereby acquiring the reference time (S203).
The time information transmission unit 224 transmits the time information indicating the reference time acquired in S110 to the slave unit 410 (S204).

ECU10の同期マスタ部120は、マスタクロック50へのアクセスが許可されていることを示す認証済情報を、同期マスタ部120の予備として機能する同期マスタ部220に送信する。これにより、ECU10に何らかの異常が発生したり更新が行われることによって、ECU10の機能が停止してスレーブ部410に基準となる時刻情報を提供できなくなった場合に、予備の同期マスタ部220はマスタクロック50へのアクセスの認証を受けることなく、マスタクロック50にアクセスして基準時刻を取得するとともに、取得した基準時刻を示す時刻情報をスレーブ部410に提供することが可能となる。 The synchronization master unit 120 of the ECU 10 transmits authenticated information indicating that access to the master clock 50 is permitted to the synchronization master unit 220, which functions as a backup for the synchronization master unit 120. As a result, if the ECU 10 stops functioning due to some abnormality or update occurring in the ECU 10 and is no longer able to provide reference time information to the slave unit 410, the backup synchronization master unit 220 can access the master clock 50 to obtain the reference time without being authenticated for access to the master clock 50, and can provide time information indicating the obtained reference time to the slave unit 410.

以上、本実施形態の構成によれば、同期マスタ部からマスタクロックへのアクセスを認証することにより、マスタクロックへの不正なアクセスを防止してセキュリティ性を確保することが可能となる。さらに、使用中の同期マスタ部に代わって、予備の同期マスタ部がスレーブ部に時刻情報を提供する場合に、予め送信された認証済情報を利用することで、新たに認証を受けることなくマスタクロックにアクセスすることができるため、同期マスタ部の変更する時間を短縮することができる。 As described above, according to the configuration of this embodiment, by authenticating access from the synchronization master unit to the master clock, it is possible to prevent unauthorized access to the master clock and ensure security. Furthermore, when a spare synchronization master unit provides time information to a slave unit instead of a synchronization master unit in use, the master clock can be accessed without new authentication by using authenticated information transmitted in advance, thereby shortening the time required to change the synchronization master unit.

7.総括
以上、本発明の各実施形態における電子制御装置、及び当該電子制御装置を備える電子制御システムの特徴について説明した。 7. Summary The features of the electronic control device and the electronic control system including the electronic control device in each embodiment of the present invention have been described above.

各実施形態で使用した用語は例示であるので、同義の用語、あるいは同義の機能を含む用語に置き換えてもよい。 The terms used in each embodiment are merely examples and may be replaced with synonymous terms or terms with similar functions.

実施形態の説明に用いたブロック図は、装置の構成を機能毎に分類及び整理したものである。それぞれの機能を示すブロックは、ハードウェア又はソフトウェアの任意の組み合わせで実現される。また、機能を示したものであることから、かかるブロック図は方法の発明、及び当該方法を実現するプログラムの発明の開示としても把握できるものである。 The block diagrams used to explain the embodiments classify and organize the device configuration by function. The blocks showing each function are realized by any combination of hardware or software. In addition, since they show functions, such block diagrams can also be understood as disclosures of method inventions and program inventions that realize the methods.

各実施形態に記載した処理、フロー、及び方法として把握できる機能ブロック、については、一のステップでその前段の他のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。 The order of the functional blocks that can be understood as processes, flows, and methods described in each embodiment may be changed as long as there are no constraints such as a relationship in which one step uses the results of another step that precedes it.

各実施形態、及び特許請求の範囲で使用する、第1、第2、乃至、第N(Nは整数)、の用語は、同種の2以上の構成や方法を区別するために使用しており、順序や優劣を限定するものではない。 The terms 1st, 2nd, through Nth (N is an integer) used in each embodiment and in the claims are used to distinguish between two or more configurations or methods of the same type, and do not limit the order or superiority or inferiority.

各実施形態の電子制御装置は、車両に搭載される車載を構成する電子制御装置であることを前提としているが、本発明の電子制御装置は、特許請求の範囲で特に限定する場合を除き、任意の電子制御システムに適用される。 The electronic control device in each embodiment is assumed to be an electronic control device that is installed in a vehicle, but the electronic control device of the present invention can be applied to any electronic control system, except as specifically limited by the claims.

また、本発明の装置の形態の例として、以下のものが挙げられる。
部品の形態として、半導体素子、電子回路、モジュール、マイクロコンピュータが挙げられる。
半完成品の形態として、電子制御装置(ECU(Electric Control Unit))、システムボードが挙げられる。
完成品の形態として、携帯電話、スマートフォン、タブレット、パーソナルコンピュータ(PC)、ワークステーション、サーバが挙げられる。
その他、通信機能を有するデバイス等を含み、例えばビデオカメラ、スチルカメラ、カーナビゲーションシステムが挙げられる。 Examples of the form of the device of the present invention are as follows.
Examples of the component include a semiconductor element, an electronic circuit, a module, and a microcomputer.
Examples of semi-finished products include an electronic control unit (ECU) and a system board.
Finished product forms include mobile phones, smartphones, tablets, personal computers (PCs), workstations, and servers.
Other examples include devices with communication functions, such as video cameras, still cameras, and car navigation systems.

また各装置に、アンテナや通信用インターフェースなど、必要な機能を追加してもよい。 Additionally, necessary functions such as antennas and communication interfaces may be added to each device.

加えて、本発明は、各実施形態で説明した構成及び機能を有する専用のハードウェアで実現できるだけでなく、保存部やハードディスク等の記録媒体に記録した本発明を実現するためのプログラム、及びこれを実行可能な専用又は汎用CPU及び保存部等を有する汎用のハードウェアとの組み合わせとしても実現できる。 In addition, the present invention can be realized not only by dedicated hardware having the configuration and functions described in each embodiment, but also as a combination of a program for realizing the present invention recorded on a recording medium such as a storage unit or hard disk, and general-purpose hardware having a dedicated or general-purpose CPU and storage unit capable of executing the program.

専用や汎用のハードウェアの非遷移的実体的記録媒体(例えば、外部記憶装置(ハードディスク、USB保存部、CD/BD等)、又は内部記憶装置(RAM、ROM等))に格納されるプログラムは、記録媒体を介して、あるいは記録媒体を介さずにサーバから通信回線を経由して、専用又は汎用のハードウェアに提供することもできる。これにより、プログラムのアップグレードを通じて常に最新の機能を提供することができる。 Programs stored in non-transient, physical recording media (e.g., external storage devices (hard disks, USB storage units, CDs/BDs, etc.) or internal storage devices (RAM, ROM, etc.)) of dedicated or general-purpose hardware can also be provided to the dedicated or general-purpose hardware via the recording media, or via a communication line from a server without using a recording media. This makes it possible to always provide the latest functions through program upgrades.

本発明の電子制御装置は、主として自動車に搭載される車載用電子制御装置として説明したが、自動二輪車、船舶、鉄道、航空機等、移動する移動体全般に適用することが可能である。また、移動体に限らず、マイクロコンピュータを包含する製品全般に適用可能である。 The electronic control device of the present invention has been described as an on-board electronic control device that is primarily installed in automobiles, but it can also be applied to any moving object, such as motorcycles, ships, trains, and aircraft. It can also be applied to any product that includes a microcomputer, not just moving objects.

1 電子制御システム、10 電子制御装置、20 電子制御装置、50 マスタクロック、111 認証要求送信部、112 認証結果受信部、113 認証済情報送信部、122,222 時刻情報取得部、124,224 時刻情報送信部、211 認証済情報受信部、226 停止検出部、310 認証部、410 スレーブ部 1 Electronic control system, 10 Electronic control device, 20 Electronic control device, 50 Master clock, 111 Authentication request transmission unit, 112 Authentication result reception unit, 113 Authenticated information transmission unit, 122, 222 Time information acquisition unit, 124, 224 Time information transmission unit, 211 Authenticated information reception unit, 226 Stop detection unit, 310 Authentication unit, 410 Slave unit

Claims (12)

基準となる時刻情報をスレーブ部(410)に提供する電子制御装置であって、
認証部(310)に、基準時刻を有するマスタクロック(50)へのアクセスの認証を要求する認証要求送信部(111)と、
前記認証部から、前記マスタクロックへのアクセスの認証結果を受信する認証結果受信部(112)と、
前記認証部で前記マスタクロックへのアクセスが許可された場合に、前記マスタクロックにアクセスして、前記基準時刻を取得する時刻情報取得部(122)と、
前記基準時刻を示す前記時刻情報を前記スレーブ部に送信する時刻情報送信部(124)と、
当該電子制御装置に接続された予備マスタ装置(20)に、前記予備マスタ装置から前記マスタクロックへのアクセスを可能にする認証済情報を送信する認証済情報送信部(113)と、
を備え、
前記予備マスタ装置は、当該電子制御装置に代わって前記時刻情報を前記スレーブ部に送信可能な装置である、
電子制御装置(10)。 An electronic control device that provides reference time information to a slave unit (410),
an authentication request transmission unit (111) for requesting an authentication unit (310) for authentication of access to a master clock (50) having a reference time;
an authentication result receiving unit (112) that receives an authentication result of access to the master clock from the authentication unit;
a time information acquisition unit (122) that accesses the master clock and acquires the reference time when access to the master clock is permitted by the authentication unit;
a time information transmission unit (124) that transmits the time information indicating the reference time to the slave unit;
an authenticated information transmitting unit (113) for transmitting authenticated information enabling an access from a standby master device (20) connected to the electronic control device to the standby master device ;
Equipped with
the standby master device is a device capable of transmitting the time information to the slave unit in place of the electronic control device;
An electronic control device (10). 基準となる時刻情報をスレーブ部(410)に提供する電子制御装置であって、
前記時刻情報を前記スレーブ部に送信するマスタ装置(10)から、当該電子制御装置から基準時刻を有するマスタクロック(50)へのアクセスを可能にする認証済情報を受信する認証済情報受信部(211)と、
前記マスタ装置が停止したことを検出する停止検出部(226)と、
前記停止検出部が前記マスタ装置の停止を検出した場合に、前記認証済情報を用いて前記マスタクロックにアクセスして、前記基準時刻を取得する時刻情報取得部(222)と、
前記基準時刻を示す前記時刻情報を前記スレーブ部に送信する時刻情報送信部(224)と、
を備える、電子制御装置(20)。 An electronic control device that provides reference time information to a slave unit (410),
an authenticated information receiving unit (211) for receiving authenticated information enabling access from the electronic control unit to a master clock (50) having a reference time from a master device (10) that transmits the time information to the slave unit;
A stop detection unit (226) for detecting that the master device has stopped;
a time information acquisition unit (222) that, when the stop detection unit detects a stop of the master device, accesses the master clock using the authenticated information to acquire the reference time;
a time information transmission unit (224) that transmits the time information indicating the reference time to the slave unit;
An electronic control device (20). 前記認証済情報送信部は、前記認証済情報を定期的に前記予備マスタ装置に送信する、
請求項1記載の電子制御装置。 the authenticated information transmission unit periodically transmits the authenticated information to the backup master device.
2. The electronic control device according to claim 1. 前記認証済情報送信部は、当該電子制御装置が停止する前に前記認証済情報を前記予備マスタ装置に送信する、
請求項1記載の電子制御装置。 the authenticated information transmission unit transmits the authenticated information to the standby master device before the electronic control device is stopped;
2. The electronic control device according to claim 1. 前記認証済情報受信部は、前記認証済情報を定期的に前記マスタ装置から受信し、
前記停止検出部は、前記認証済情報を前記マスタ装置から受信できない場合に前記マスタ装置の停止を検出する、
請求項2記載の電子制御装置。 the authenticated information receiving unit periodically receives the authenticated information from the master device,
the stop detection unit detects a stop of the master device when the authenticated information cannot be received from the master device.
3. The electronic control device according to claim 2. 前記スレーブ部は、前記マスタ装置から前記時刻情報を受信できない場合に当該電子制御装置にメッセージを送信し、
前記停止検出部は、前記スレーブ部から前記メッセージを受信した場合に前記マスタ装置の停止を検出する、
請求項2記載の電子制御装置。 the slave unit transmits a message to the electronic control unit when the slave unit cannot receive the time information from the master device;
the stop detection unit detects a stop of the master device when the message is received from the slave unit.
3. The electronic control device according to claim 2. 前記認証済情報は、前記マスタクロックにアクセスするためのパスワードである、
請求項1又は2記載の電子制御装置。 the authenticated information is a password for accessing the master clock;
3. The electronic control device according to claim 1 or 2. 当該電子制御装置は、移動体に搭載される装置である、
請求項1乃至7いずれかに記載の電子制御装置。 The electronic control device is a device mounted on a moving body.
8. An electronic control device according to claim 1. 基準となる時刻情報をスレーブ部(410)に提供する電子制御装置で実行可能な時刻情報提供プログラムであって、
認証部(310)に、基準時刻を有するマスタクロック(50)へのアクセスの認証を要求し(S101)、
前記認証部から、前記マスタクロックへのアクセスの認証結果を受信し(S103)、
前記認証部で前記マスタクロックへのアクセスが許可された場合に、前記マスタクロックにアクセスして、前記基準時刻を取得し(S104、S105)、
前記基準時刻を示す前記時刻情報を前記スレーブ部に送信し(S106)、
前記電子制御装置に代わって前記時刻情報を前記スレーブ部に送信可能な予備マスタ装置(20)に、前記予備マスタ装置から前記マスタクロックへのアクセスを可能にする認証済情報を送信する(S107)、
時刻情報提供プログラム。 A time information providing program executable by an electronic control device that provides reference time information to a slave unit (410),
A request is made to the authentication unit (310) for authentication of access to a master clock (50) having a reference time (S101);
Receive an authentication result for access to the master clock from the authentication unit (S103);
If the authentication unit is permitted to access the master clock, the master clock is accessed to obtain the reference time (S104, S105).
The time information indicating the reference time is transmitted to the slave unit (S106).
transmits, to a standby master device (20) capable of transmitting the time information to the slave unit instead of the electronic control device, authenticated information enabling the standby master device to access the master clock (S107);
A time information providing program. 基準となる時刻情報をスレーブ部(410)に提供する電子制御装置で実行可能な時刻情報提供プログラムであって、
前記時刻情報を前記スレーブ部に送信するマスタ装置(10)から、前記電子制御装置から基準時刻を有するマスタクロック(50)へのアクセスを可能にする認証済情報を受信し(S200)、
停止検出部において前記マスタ装置が停止したことを検出し(S201)、
前記停止検出部が前記マスタ装置の停止を検出した場合に、前記認証済情報を用いて前記マスタクロックにアクセスして、前記基準時刻を取得し(S202,S203)、
前記基準時刻を示す前記時刻情報を前記スレーブ部に送信する(S204)、
時刻情報提供プログラム。 A time information providing program executable by an electronic control device that provides reference time information to a slave unit (410),
receiving, from a master device (10) that transmits the time information to the slave unit, authentication information that enables the electronic control device to access a master clock (50) having a reference time (S200);
A stop detection unit detects that the master device has stopped (S201);
When the stop detection unit detects a stop of the master device, the master clock is accessed using the authenticated information to obtain the reference time (S202, S203).
The time information indicating the reference time is transmitted to the slave unit (S204).
A time information providing program. 基準となる時刻情報をスレーブ部(410)に提供する第1の電子制御装置(10)及び第2の電子制御装置(20)を有する電子制御システムであって、
前記第1の電子制御装置は、
認証部(310)に、基準時刻を有するマスタクロック(50)へのアクセスの認証を要求する認証要求送信部(111)と、
前記認証部から、前記マスタクロックへのアクセスの認証結果を受信する認証結果受信部(112)と、
前記認証部で前記マスタクロックへのアクセスが許可された場合に、前記マスタクロックにアクセスして、前記基準時刻を取得する時刻情報取得部(122)と、
前記基準時刻を示す前記時刻情報を前記スレーブ部に送信する時刻情報送信部(124)と、
前記第2の電子制御装置(20)に、前記第2の電子制御装置から前記マスタクロックへのアクセスを可能にする認証済情報を送信する認証済情報送信部(113)と、
を備え、
前記第2の電子制御装置は、
前記第1の電子制御装置から、前記認証済情報を受信する認証済情報受信部(211)と、
前記第1の電子制御装置が停止したことを検出する停止検出部(226)と、
前記停止検出部が前記第1の電子制御装置の停止を検出した場合に、前記認証済情報を用いて前記マスタクロックにアクセスして、前記基準時刻を取得する時刻情報取得部(222)と、
前記基準時刻を示す前記時刻情報を前記スレーブ部に送信する時刻情報送信部(224)と、
を備える、電子制御システム(1)。 An electronic control system having a first electronic control unit (10) and a second electronic control unit (20) that provide reference time information to a slave unit (410),
The first electronic control unit includes:
an authentication request transmission unit (111) for requesting an authentication unit (310) for authentication of access to a master clock (50) having a reference time;
an authentication result receiving unit (112) that receives an authentication result of access to the master clock from the authentication unit;
a time information acquisition unit (122) that accesses the master clock and acquires the reference time when access to the master clock is permitted by the authentication unit;
a time information transmission unit (124) that transmits the time information indicating the reference time to the slave unit;
an authenticated information transmitting unit (113) for transmitting authenticated information enabling the second electronic control unit (20) to access the master clock;
Equipped with
The second electronic control unit includes:
an authenticated information receiving unit (211) that receives the authenticated information from the first electronic control device;
A stop detection unit (226) that detects that the first electronic control device has stopped;
a time information acquisition unit (222) that, when the stop detection unit detects a stop of the first electronic control unit, accesses the master clock using the authenticated information to acquire the reference time;
a time information transmission unit (224) that transmits the time information indicating the reference time to the slave unit;
An electronic control system (1). 基準となる時刻情報をスレーブ部(410)に提供する第1の電子制御装置(10)及び第2の電子制御装置(20)を有する電子制御システム(1)で実行される時刻情報提供方法であって、
前記第1の電子制御装置において、
認証部(310)に、基準時刻を有するマスタクロック(50)へのアクセスの認証を要求し、
前記認証部から、前記マスタクロックへのアクセスの認証結果を受信し、
前記認証部で前記マスタクロックへのアクセスが許可された場合に、前記マスタクロックにアクセスして、前記基準時刻を取得し、
前記基準時刻を示す前記時刻情報を前記スレーブ部に送信し、
前記第2の電子制御装置に、前記第2の電子制御装置から前記マスタクロックへのアクセスを可能にする認証済情報を送信し、
前記第2の電子制御装置において、
前記第1の電子制御装置から、前記認証済情報を受信し、
停止検出部において前記第1の電子制御装置が停止したことを検出し、
前記停止検出部が前記第1の電子制御装置の停止を検出した場合に、前記認証済情報を用いて前記マスタクロックにアクセスして、前記基準時刻を取得し、
前記基準時刻を示す前記時刻情報を前記スレーブ部に送信する、
時刻情報提供方法。 A time information providing method executed in an electronic control system (1) having a first electronic control unit (10) and a second electronic control unit (20) that provide reference time information to a slave unit (410), comprising:
In the first electronic control device,
requesting an authentication unit (310) for authentication of access to a master clock (50) having a reference time;
receiving an authentication result of access to the master clock from the authentication unit;
if the authentication unit is permitted to access the master clock, the master clock is accessed to obtain the reference time;
transmitting the time information indicating the reference time to the slave unit;
transmitting authentication information to the second electronic control unit that enables the second electronic control unit to access the master clock;
In the second electronic control device,
receiving the authenticated information from the first electronic control device;
A stop detection unit detects that the first electronic control unit has stopped,
When the stop detection unit detects a stop of the first electronic control unit, the stop detection unit accesses the master clock using the authenticated information to obtain the reference time;
transmitting the time information indicating the reference time to the slave unit;
Method of providing time information.
JP2020197623A 2020-11-27 2020-11-27 Electronic control device, time information providing method, time information providing program, and electronic control system Active JP7543875B2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2020197623A JP7543875B2 (en) 2020-11-27 2020-11-27 Electronic control device, time information providing method, time information providing program, and electronic control system
DE102021130893.3A DE102021130893A1 (en) 2020-11-27 2021-11-25 ELECTRONIC CONTROL UNIT, TIME INFORMATION PROVISION METHOD, TIME INFORMATION PROVISION PROGRAM AND ELECTRONIC CONTROL SYSTEM

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020197623A JP7543875B2 (en) 2020-11-27 2020-11-27 Electronic control device, time information providing method, time information providing program, and electronic control system

Publications (2)

Publication Number Publication Date
JP2022085764A JP2022085764A (en) 2022-06-08
JP7543875B2 true JP7543875B2 (en) 2024-09-03

Family

ID=81586063

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020197623A Active JP7543875B2 (en) 2020-11-27 2020-11-27 Electronic control device, time information providing method, time information providing program, and electronic control system

Country Status (2)

Country Link
JP (1) JP7543875B2 (en)
DE (1) DE102021130893A1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130227008A1 (en) 2012-02-27 2013-08-29 Cisco Technology, Inc. Clock synchronization based on predefined grandmaster
JP2013168865A (en) 2012-02-16 2013-08-29 Hitachi Automotive Systems Ltd In-vehicle network system
JP2016502790A (en) 2012-11-12 2016-01-28 ゼットティーイー コーポレーションZte Corporation Time synchronization method and apparatus
JP2019159600A (en) 2018-03-09 2019-09-19 株式会社デンソー Master electronic control device for vehicle, slave electronic control device for vehicle, log collection system for vehicle and log collection program for vehicle

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020167616A (en) 2019-03-29 2020-10-08 パナソニックIpマネジメント株式会社 Time synchronization system and relay device

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013168865A (en) 2012-02-16 2013-08-29 Hitachi Automotive Systems Ltd In-vehicle network system
US20130227008A1 (en) 2012-02-27 2013-08-29 Cisco Technology, Inc. Clock synchronization based on predefined grandmaster
JP2016502790A (en) 2012-11-12 2016-01-28 ゼットティーイー コーポレーションZte Corporation Time synchronization method and apparatus
JP2019159600A (en) 2018-03-09 2019-09-19 株式会社デンソー Master electronic control device for vehicle, slave electronic control device for vehicle, log collection system for vehicle and log collection program for vehicle

Also Published As

Publication number Publication date
DE102021130893A1 (en) 2022-06-02
JP2022085764A (en) 2022-06-08

Similar Documents

Publication Publication Date Title
US11618395B2 (en) Vehicle data verification
EP3337090B1 (en) Authenticating an aircraft data exchange using detected differences of onboard electronics
EP3625719B1 (en) Method and system for hardware identification and software update control
US10652742B2 (en) Hybrid authentication of vehicle devices and/or mobile user devices
CN110800249B (en) Maintenance system and maintenance method
US11522778B2 (en) Method for determining a synchronization accuracy, computer program, communication unit and motor vehicle
Nowdehi et al. In-vehicle CAN message authentication: An evaluation based on industrial criteria
KR20190083336A (en) Security provisioning and management of devices
JP6190443B2 (en) In-vehicle computer system, vehicle, management method, and computer program
US11184340B2 (en) Apparatus, method, and computer program for enabling a transportation vehicle component and vehicle-to-vehicle communication module
US20170103587A1 (en) System and method for controlling vehicle data
JP7452397B2 (en) Electronic control device, time information provision method, time information provision program, and electronic control system
CN112153646B (en) Authentication method, equipment and system
US20210194922A1 (en) Monitoring a network connection for eavesdropping
JP2017091360A (en) Data distribution device, communication system, mobile body, and data distribution method
US20160357159A1 (en) Method for Determining a Master Time Signal, Vehicle, and System
US11438332B2 (en) Distributed vehicle network access authorization
US12120506B2 (en) Devices, methods, and computer program for releasing transportation vehicle components, and vehicle-to-vehicle communication module
JP2018019415A (en) System, authentication station, on-vehicle computer, public key certificate issuing method, and program
JP7543875B2 (en) Electronic control device, time information providing method, time information providing program, and electronic control system
US11488404B2 (en) Session unique access token for communications with a vehicle
KR20240034694A (en) Method and system for sharing sensor insights based on application requests
CN117643017A (en) Method and system for indirect sharing of sensor insight
CN113573953B (en) Telephone for vehicle access as key based on verification and accuracy of time policy, license information and vehicle real time clock
KR20190070076A (en) Method of distributed consensus protocol for consistent key in blockchain based dynamic key generation environment of intra vehicle network

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230309

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20240319

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240402

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240524

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240723

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240805

R150 Certificate of patent or registration of utility model

Ref document number: 7543875

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150