ホーム > 特許ランキング > 株式会社SUBARU
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023159748
(43)【公開日】2023-11-01
(54)【発明の名称】ECU、通信装置およびアクセス管理システム
(51)【国際特許分類】
G06F 21/60 20130101AFI20231025BHJP
G06F 21/62 20130101ALI20231025BHJP
H04L 9/32 20060101ALI20231025BHJP
【FI】
G06F21/60 340
G06F21/62
H04L9/32 200B
【審査請求】未請求
【請求項の数】10
【出願形態】OL
(21)【出願番号】P 2022069654
(22)【出願日】2022-04-20
(71)【出願人】
【識別番号】000005348
【氏名又は名称】株式会社SUBARU
(74)【代理人】
【識別番号】110000383
【氏名又は名称】弁理士法人エビス国際特許事務所
(72)【発明者】
【氏名】飯波 久太郎
(72)【発明者】
【氏名】大嶋 宏典
(72)【発明者】
【氏名】横橋 卓弥
(72)【発明者】
【氏名】加庭 健司
(57)【要約】
【課題】車両整備装置や故障診断ソフトウェアは、解析されることにより鍵情報を入手され、不正ツールを作成される可能性がある。そのため、車両整備装置によるECUへのアクセスを厳しく管理する必要がある。鍵情報を管理サーバに記憶して管理すると、作業中に車両をネットワークに接続する必要があり、通信環境の準備状況等に影響される。作業者ごとに権限を設定してECUに記憶すると記憶する情報が多くなる。
【解決手段】車両に設けられた1または複数のECUであって、公開鍵を記憶し、特定作業を許可するロールリストを通信装置から受信して前記公開鍵により署名検証を行い、前記署名検証を通過した前記ロールリストを用いて、前記特定作業を示す有効リストを設定し、前記有効リストに設定されている前記特定作業を受け付けたとき、前記特定作業の処理を実行するECUを用いる。
【選択図】 図1
【解決手段】車両に設けられた1または複数のECUであって、公開鍵を記憶し、特定作業を許可するロールリストを通信装置から受信して前記公開鍵により署名検証を行い、前記署名検証を通過した前記ロールリストを用いて、前記特定作業を示す有効リストを設定し、前記有効リストに設定されている前記特定作業を受け付けたとき、前記特定作業の処理を実行するECUを用いる。
【選択図】 図1
【特許請求の範囲】
【請求項1】
車両に設けられた1または複数のECUであって、
公開鍵を記憶し、特定作業を許可するロールリストを通信装置から受信して前記公開鍵により署名検証を行い、前記署名検証を通過した前記ロールリストを用いて、許可された前記特定作業を示す有効リストを設定し、前記有効リストに設定されている前記特定作業を受け付けたとき、前記特定作業の処理を実行することを特徴とするECU。
公開鍵を記憶し、特定作業を許可するロールリストを通信装置から受信して前記公開鍵により署名検証を行い、前記署名検証を通過した前記ロールリストを用いて、許可された前記特定作業を示す有効リストを設定し、前記有効リストに設定されている前記特定作業を受け付けたとき、前記特定作業の処理を実行することを特徴とするECU。
【請求項2】
前記ロールリストには、複数の前記特定作業をまとめたロールコードが含まれ、
前記有効リストには、前記ロールコードの複数の前記特定作業が設定され、
前記有効リストに設定されている複数の前記特定作業の何れかを受け付けたときに、前記特定作業の処理を実行することを特徴とする請求項1に記載されたECU。
前記有効リストには、前記ロールコードの複数の前記特定作業が設定され、
前記有効リストに設定されている複数の前記特定作業の何れかを受け付けたときに、前記特定作業の処理を実行することを特徴とする請求項1に記載されたECU。
【請求項3】
前記ロールリストには、前記有効リストの有効期間を示す制限値が含まれていることを特徴とする請求項1または2に記載されたECU。
【請求項4】
アクセス管理ECUと車両機器ECUを含み、
前記アクセス管理ECUは、
前記公開鍵を記憶し、前記通信装置から前記ロールリストを受信して前記公開鍵により前記署名検証を行い、前記署名検証を通過した前記ロールリストを用いて、前記有効リストを設定し、
前記有効リストに設定されている前記特定作業を受信したときに、前記特定作業を前記車両機器ECUに送信し、
前記車両機器ECUは、前記特定作業を前記アクセス管理ECUから受信したときに、前記特定作業の処理を実行することを特徴とする請求項1又は2に記載されたECU。
前記アクセス管理ECUは、
前記公開鍵を記憶し、前記通信装置から前記ロールリストを受信して前記公開鍵により前記署名検証を行い、前記署名検証を通過した前記ロールリストを用いて、前記有効リストを設定し、
前記有効リストに設定されている前記特定作業を受信したときに、前記特定作業を前記車両機器ECUに送信し、
前記車両機器ECUは、前記特定作業を前記アクセス管理ECUから受信したときに、前記特定作業の処理を実行することを特徴とする請求項1又は2に記載されたECU。
【請求項5】
アクセス管理ECUと車両機器ECUを含み、
前記アクセス管理ECUは、
前記公開鍵を記憶し、前記通信装置から前記ロールリストを受信して前記公開鍵により前記署名検証を行い、前記署名検証を通過した前記ロールリストを前記車両機器ECUに送信し、
前記車両機器ECUは、
前記ロールリストを用いて前記有効リストを設定し、
前記有効リストに設定されている前記特定作業を受信したときに、前記特定作業を前記車両機器ECUに送信し、前記特定作業を受信したときに、前記特定作業の処理を実行することを特徴とする請求項1又は2に記載されたECU。
前記アクセス管理ECUは、
前記公開鍵を記憶し、前記通信装置から前記ロールリストを受信して前記公開鍵により前記署名検証を行い、前記署名検証を通過した前記ロールリストを前記車両機器ECUに送信し、
前記車両機器ECUは、
前記ロールリストを用いて前記有効リストを設定し、
前記有効リストに設定されている前記特定作業を受信したときに、前記特定作業を前記車両機器ECUに送信し、前記特定作業を受信したときに、前記特定作業の処理を実行することを特徴とする請求項1又は2に記載されたECU。
【請求項6】
ユーザ情報と対象車両情報とを紐づけた使用申請情報を生成する使用申請情報生成部と、
前記使用申請情報を管理サーバに送信するとともに、公開鍵による署名検証を通過したロールリストを用いて許可する特定作業を示す有効リストを設定するECUに、受信した前記ロールリストを送信することを特徴とする通信装置。
前記使用申請情報を管理サーバに送信するとともに、公開鍵による署名検証を通過したロールリストを用いて許可する特定作業を示す有効リストを設定するECUに、受信した前記ロールリストを送信することを特徴とする通信装置。
【請求項7】
車両整備のために車両に接続して故障診断を行う車両整備装置であることを特徴とする請求項6に記載された通信装置。
【請求項8】
車両に搭載されたECUへのアクセス管理を行うアクセス管理システムであって、
秘密鍵を記憶する管理サーバと、
車両に設けられ、公開鍵を記憶する前記ECUと、
前記管理サーバ及び前記ECUに接続可能な通信装置と、を有し、
前記管理サーバは、特定作業を許可するロールリストを作成するとともに、前記秘密鍵により前記ロールリストに署名を行い、
前記通信装置は、前記管理サーバから受信した前記ロールリストを前記ECUに送信し、
前記ECUは、
前記通信装置から署名した前記ロールリストを受信して、前記ロールリストを前記公開鍵により署名検証し、前記署名検証を通過した前記ロールリストを用いて、許可された前記特定作業を示す有効リストを設定し、
前記有効リストに設定されている前記特定作業を受け付けたときに、前記特定作業に対応する処理を実行することを特徴とするアクセス管理システム。
秘密鍵を記憶する管理サーバと、
車両に設けられ、公開鍵を記憶する前記ECUと、
前記管理サーバ及び前記ECUに接続可能な通信装置と、を有し、
前記管理サーバは、特定作業を許可するロールリストを作成するとともに、前記秘密鍵により前記ロールリストに署名を行い、
前記通信装置は、前記管理サーバから受信した前記ロールリストを前記ECUに送信し、
前記ECUは、
前記通信装置から署名した前記ロールリストを受信して、前記ロールリストを前記公開鍵により署名検証し、前記署名検証を通過した前記ロールリストを用いて、許可された前記特定作業を示す有効リストを設定し、
前記有効リストに設定されている前記特定作業を受け付けたときに、前記特定作業に対応する処理を実行することを特徴とするアクセス管理システム。
【請求項9】
前記ロールリストには、複数の前記特定作業をまとめたロールコードが含まれ、
前記有効リストには、前記ロールコードの複数の前記特定作業が設定され、
前記有効リストに設定されている複数の前記特定作業の何れかを受け付けたときに、前記特定作業の処理を実行することを特徴とする請求項8に記載されたアクセス管理システム。
前記有効リストには、前記ロールコードの複数の前記特定作業が設定され、
前記有効リストに設定されている複数の前記特定作業の何れかを受け付けたときに、前記特定作業の処理を実行することを特徴とする請求項8に記載されたアクセス管理システム。
【請求項10】
前記ECUは、アクセス管理ECUと車両機器ECUからなり、
前記アクセス管理ECUは、前記有効リストに設定されている前記特定作業を受け付けたときに、前記特定作業を前記車両機器ECUに送信し、
前記車両機器ECUは、前記特定作業を受け付けたときに、前記特定作業に対応する処理を実行することを特徴とする請求項8または9に記載されたアクセス管理システム。
前記アクセス管理ECUは、前記有効リストに設定されている前記特定作業を受け付けたときに、前記特定作業を前記車両機器ECUに送信し、
前記車両機器ECUは、前記特定作業を受け付けたときに、前記特定作業に対応する処理を実行することを特徴とする請求項8または9に記載されたアクセス管理システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、車両内の電子制御装置(以下、ECUと記載する。)に記憶された情報に対する不正なアクセスを防止するECU、通信装置およびアクセス管理システムに関するものである。
【背景技術】
【0002】
近年、エンジンを制御するエンジン制御ECUをはじめ、車両には複数のECUが搭載されている。また、複数のECUの機能をまとめた統合ECUにより車両の制御を行う技術も存在する。ECUには、書き換えが可能な不揮発性メモリにセンサ感度やルームランプの遅延作動時間など、制御情報を格納したものがある。このような制御情報は市場に供給後でも書き換え可能となっている。また、車両に生じた種々の状態データや自動診断による診断結果データをECUから出力して使用することも行われている。これらのデータは、メーカーが開発や改善のために使用するほか、ディーラ等において車両の整備を行う際に専用のタブレットなどによる点検整備装置を接続して故障診断や制御情報の調整等に使用される。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特許第6069039号
【発明の概要】
【発明が解決しようとする課題】
【0004】
車両の故障診断を行う際には、故障診断通信(UDS)が一般的に採用されている。ディーラにおいては、車両のメンテナンスを行う際に専用のタブレット型の車両整備装置を車両に接続して、故障診断通信を行う。従来から、盗難セキュリティ性や機密性の高い診断機能については、セキュリティアクセスによりその診断機能を有効にする対応が取られている。このセキュリティアクセスに用いる鍵情報は車両整備装置の故障診断ソフトウェア内に記憶され、車両整備装置を車両に接続したときに鍵情報により車両のECUから診断情報の入手等を行うことができる。このような車両整備装置や故障診断ソフトウェアは、解析されることにより鍵情報を入手され、不正ツールを作成される可能性がある。そのため、車両整備装置によるECUへのアクセスを厳しく管理する必要がある。
【0005】
上記のような鍵情報の漏洩を防ぐため、鍵情報を車両整備装置ではなく管理サーバに記憶して管理する方法が考えられる。しかしこの方法は、故障診断の作業中に車両をネットワークに接続する必要があり、通信環境の準備状況等に影響される。
【0006】
また、鍵情報ではなく、特許文献1のように作業者ごとに権限を設定してECUに記憶する方法も考えられる。しかし、この方法では、作業者になる可能性がある全ての者の権限情報を車両のECUに記憶しておく必要がある。このため、ECUに記憶する情報が多くなってしまう。また、この方法は車両がオフラインの場合でも利用が想定されるが、ECUに記憶した作業者の権限の更新がされていないと、新しい作業者は使用することができない。
【0007】
また一方で、米国の各州やヨーロッパにおいてはR2R法(Right to Repair法)が制定されつつある。R2R法では、故障診断をする際に必要な車両の診断情報を、車両の所有者等のディーラ以外の者に公開する必要がある。そのため、ECUへのアクセス管理を厳しくしにくいという問題も生じている。
【課題を解決するための手段】
【0008】
本発明の一実施形態のECUは、車両に設けられた1または複数のECUであって、公開鍵を記憶し、特定作業を許可するロールリストを通信装置から受信して前記公開鍵により署名検証を行い、前記署名検証を通過した前記ロールリストを用いて、前記特定作業を示す有効リストを設定し、前記有効リストに設定されている前記特定作業を受け付けたとき、前記特定作業の処理を実行することを特徴とする。
【発明の効果】
【0009】
公開鍵により署名検証を通過したロールリストを用いて診断情報の送出等の特定作業が許可されるため、作業者毎に適切な範囲で特定作業を実行することができる。
【図面の簡単な説明】
【0010】
【図1】実施例1のアクセス管理システム。
【図2】実施例1における有効リスト設定のフロー図。
【図3】実施例1~3における使用申請情報。
【図4】実施例1~3における車両整備装置の管理サーバへの接続を示す図。
【図5】実施例1~3におけるロールリスト。
【図6】実施例1~3におけるロールコードと特定作業との対応表。
【図7】実施例1における特定作業を実行する際のフロー図。
【図8】実施例1における車両整備装置のECUへの接続を示す図。
【図9】実施例2における車両整備装置のECUへの接続を示す図。
【図10】実施例2における有効リスト設定のフロー図。
【図11】実施例2における特定作業を実行する際のフロー図。
【図12】実施例3における車両整備装置のECUへの接続を示す図。
【発明を実施するための形態】
【実施例0011】
本実施例では、車両に搭載されたECUにおいて、リクエストメッセージによる特定作業の処理を実行させるか否かというアクセス管理を行う。リクエストメッセージは、ECUに特定作業の処理を実行させる情報である。図1に実施例1のアクセス管理システムを示す。車両1に搭載されたECU11は制御部111とメモリ112を有し、メモリ112には、公開鍵PKが記憶されている。ECU11は、1つのECUで形成されたものでもよく、複数のECUから形成されていてもよい。ECU11は、コネクター12により車両整備装置2等の外部装置と接続することができる。車両整備装置2は車両整備工場で使用される。車両整備装置2は、通信機能を有した通信装置であり、故障診断装置であり、調整装置等でもある。車両整備装置2は、故障診断の際にはオフボード診断に用いられ、オンボード診断については結果出力に用いられる。車両整備装置2は、コネクター12を介して車両1のECU11と接続可能であるとともに、接続装置41とネットワーク4(インターネット)を介して管理サーバ3と接続可能である。管理サーバ3は制御部31とメモリ32を有し、メモリ32に秘密鍵SKを記憶している。
【0012】
実施例1では、車両整備装置2は専用のソフトウェアを搭載した専用のタブレット端末により実現され、内部に制御部21、メモリ22を搭載し、タッチパネル機能を有したディスプレイ23を備えている。ディスプレイ23は表示装置であるとともに、入力装置である。車両整備を行う作業者は車両整備装置2をECU11と接続して、車両1の診断や調整を行う。また、管理サーバ3からアップデートデータをダウンロードして、車両整備装置2を介してECU11のアップデートを行う際にも車両整備装置2を使用する。
【0013】
アクセス管理は、許可される特定作業の有効リストを、アクセス管理システムによりECU11に設定することにより行われる。そして、有効リストに設定された特定作業は、ECU11で処理を実行することができる。特定作業としては、例えば、エンジンの回転数等のエンジンデータを、ECU11が車両整備装置2に送信する処理などが挙げられる。
【0014】
次に、実施例1のアクセス管理システムにより、車両整備工場におけるアクセス管理を行う際の作用を、図2のフロー図等により説明する。車両整備工場では、まず、タブレット端末である車両整備装置2をタッチパネルのディスプレイ23から操作して、使用申請情報を作成する。このとき、ディスプレイ23から点検整備を行う車両のECU11に設定されている対象車両番号を入力する。この対象車両番号の入力は、車両整備装置2を対象車両のコネクター12に接続して、ディスプレイ23のタッチパネル操作によりECU11から対象車両番号を取得することによっても行うことができる。
【0015】
対象車両情報である対象車両番号を入力すると、車両整備装置2の使用申請情報生成部は、メモリ22に記憶されているユーザ名や車両整備装置2の固有番号である接続機器番号等のユーザ情報と、入力された対象車両情報とを紐づけた使用申請情報を生成する。使用申請情報生成部は、車両整備装置2のコンピュータ構成である制御部21と使用申請情報を生成するためのプログラムを記憶したメモリ22により構成される。車両整備工場で生成された使用申請情報の例を図3に示す。図3の使用申請情報の例は後述の実施例2、3でも同様である。使用申請情報は、ユーザ名、接続機器番号と、対象車両番号を含む。なお、図3において、ユーザ名、接続機器番号、対象車両番号は項目番号が示す意味を記載したものであり、使用申請情報のデータとしては項目番号1~3を各内容のヘッダとして、「項目番号1○○株式会社○○営業所、項目番号2Xxxxxxxx、・・・」と記述されている。項目番号1のユーザ名は、車両整備装置2を管理する事業所の名称となっており、車両整備装置2の車両整備工場への導入時等に、メモリ22に設定される。また、接続機器番号は、車両整備装置2の製造時にメモリ22に設定される。
【0016】
対象車両情報を入力して使用申請情報生成部により使用申請情報を生成した後、図4に示すように車両整備装置2を接続装置41に接続して、ネットワーク4経由で管理サーバ3に接続する(ステップS1)。この接続は有線でも良いが、wifiなどの無線でも良い。また、ネットワーク4はインターネットであるが、専用回線を使用したもの等、他のネットワークでもよい。なお、対象車両情報の入力と使用申請情報の生成は、車両整備装置2を管理サーバ3に接続した状態でも行うことができる。そして、車両整備装置2は、接続装置41とネットワーク4を介して、使用申請情報を管理サーバ3に送信する(ステップS2)。
【0017】
管理サーバ3では、使用申請情報の正当性を確認して、正当性を有する使用申請情報をメモリ32に記憶する。正当性のない使用申請情報を受信した場合には、管理サーバ3は、使用申請情報を記憶せず、不受理である旨を車両整備装置2に返信する。使用申請情報の正当性は、使用申請情報として送られたユーザ名と接続機器番号の対応情報などの、車両整備装置2に関してメモリ32に記憶している管理情報や、車両整備装置2が接続した時に送信したパスワード等により確認する。そして、制御部31は、メモリ32に記憶された正当性を有する使用申請情報をもとにロールリスト(Role List)を作成し、秘密鍵SKで署名する(ステップS3)。ロールリストは、ECU11に特定作業を行わせることを許可するリストである。図5にロールリストの例を示す。ロールリストも使用申請情報と同様に、ユーザ名、ロールコード等は項目番号が示す意味を記載したものである。そして、ロールリストのデータとしては、項目番号を各内容のヘッダにして、「項目番号1○○株式会社○○営業所、項目番号2市場、・・・」というように記述される。
【0018】
「ロールコード」は、行うことが可能な特定作業を規定するコードである。ステップS3のロールリストの作成時に「ロールコード」を何にするかは、送信された接続機器番号を管理サーバ3内のメモリ32に記憶されている対応リストに照合することにより決められる。実施例1では、使用申請情報を送信した車両整備装置2の接続機器番号は、管理サーバ3のメモリ32に記憶された対応リストに「市場」と対応して登録している。そして、管理サーバ3は使用申請情報の接続機器番号により、項目番号2の「ロールコード」を「市場」として図5のロールリストを作成する。
【0019】
図5のロールリストにおいて、項目番号1には「ユーザ名」として「○○株式会社○○営業所」が設定されている。項目番号2の「ロールコード」は「市場」である。項目番号3の「接続機器番号」と項目番号4の「対象車両番号」は、使用申請情報として管理サーバ3が受信したものが設定される。項目番号5の「有効期限」は、ロールリストの有効期限であり、有効期限後は、ロールリストのロールコードに対応する作業をECU11が受け付けなくなる。項目番号6の「走行距離制限」、項目番号7の「車両起動回数制限」、項目番号8の「作業指示回数制限」は、ロールリストを受け付けて設定した後に、制限の設定値を越えるとECU11が作業を受け付けなくなる。
【0020】
図5のロールリストにおいて、項目番号2のロールコードは、整備用の特定作業を可能とする「市場」と設定される。ロールコードにより、ECU11が処理を実行できる特定作業を設定する。項目番号3の接続機器番号は、ECU11に許可する特定作業を設定する際に車両1に接続する機器の番号であり、特定作業を行わせる際に車両1に接続する機器の番号でもある。実施例1の場合には、車両整備装置2の番号となる。接続機器番号が異なる他の車両整備機器等では許可する特定作業を設定することはできない。また、設定された特定作業を行わせることもできない。項目番号4の対象車両番号は、特定作業を行わせるECU11が搭載されている車両1の番号である。対象車両番号は、ECU11のメモリ112に記憶されている。対象車両番号が異なるECUでは、特定作業の設定を行うことができない。
【0021】
項目番号5~8は、有効期間を示す制限値を示す。全ての制限値を越えない場合に特定作業を行うことができ、いずれかの制限値を越えると、特定作業を行うことができなくなる。項目番号5の有効期限は、特定作業を行うことができる期限である。有効期限を過ぎると特定作業を行うことはできなくなる。項目番号6の走行距離制限は、特定作業がECU11に設定されてから、車両1が制限値の距離を走行すると、特定作業を行うことができなくなるものである。項目番号7の車両起動回数制限は、特定作業がECU11に設定されてから、車両1が制限値の回数を超えて起動されると、特定作業を行うことができなくなるものである。項目番号8の作業指示回数制限は、特定作業がECU11に設定されてから、ECU11に所定回数を越える特定作業の指示を行うと、特定作業を行うことができなくなるものである。
【0022】
図2において、ステップS3で秘密鍵SKにより署名されたロールリストは、管理サーバ3からネットワーク4を経由して、接続装置41に接続した車両整備装置2に送信される(ステップS4)。車両整備装置2は、メモリ22に記憶している接続機器番号が項目番号3と一致する場合には、管理サーバ3から送信されたロールリストをメモリ22に記憶する(ステップS5)。一致しない場合には、記憶せずに不適切受信としてディスプレイ23に表示して処理を終了する。
【0023】
接続機器番号が項目番号3と一致してロールリストを記憶した後、車両整備装置2は管理サーバ3との接続を切断し(ステップS6)、接続装置41から切り離される。そして、点検整備の作業前に、コネクター12を介して車両整備装置2を車両1のECU11に接続する(ステップS7)。接続すると、車両整備装置2は、ロールリストをECU11に送信する(ステップS8)。車両整備装置2は、管理サーバ3から受信したロールリストをECU11に送信する通信装置として機能する。
【0024】
ECU11では、メモリ112に記憶した対象車両番号が項目番号4の内容と一致しなければ、不適切受信である旨を車両整備装置2に表示させて処理を終了する。一致した場合、ECU11では、メモリ112に記憶している公開鍵PKを用いて、ロールリストを署名検証する。そして、ロールリストが署名検証を通過したら、ECU11は、許可する特定作業を示す有効リストを設定する(ステップS9)。ロールリストが署名検証を通過しなかったら、不適切受信である旨を車両整備装置2に表示させて処理を終了する。許可された特定作業は、受付可能なリクエストメッセージにより処理を実行することができる。許可されていない特定作業のリクエストメッセージを受信しても受付可能でなく、処理の実行は行われない。
【0025】
図6に、各ロールコードに対応して設定される特定作業の例を示す。DID読出しとDTC読出しでは、予め設定した機能アドレスによりメモリ112の内容を読み出す。DTC読み出しは、オンボード診断の結果の読み出しである。これらの読出しを特定作業の一つとする。図6では「DID読出し/DTC読出し」と記載している。「メモリ指定読出し」では、物理アドレスを指定してメモリ112の内容を読み出す。また、「メモリ指定書込み」では物理アドレスを指定してメモリ112に書込みを行う。「アクティブテスト」では、エンジン等の車両1の装置を実際に駆動して、テストを行う。「製造時トータルテスト」は、車両1の製造時において、出荷前に行うテストである。「プログラミング」は、ECU11のメモリ112に記憶されたプログラムを書き換える特定作業である。上記以外の特定作業は記載を省略する。
【0026】
ロールコードが「市場」の場合には、「DID読出し/DTC読出し」と「アクティブテスト」が特定作業としてメモリ112に設定される。これにより車両整備装置2は、DID読出しとDTC読出しとアクティブテストを特定作業としてECU11に行わせることが可能となる。図6では、DID読出しとDTC読出しを「DID読出し/DTC読出し」と記載している。しかしながら、物理アドレスを指定して行う「メモリ指定読出し」、「メモリ指定書込み」は特定作業として設定されない。ロールコードが「市場」の場合に「メモリ指定読出し」を特定作業として処理が実行されると、暗号鍵やパスワード、個人情報などの重要情報などが抜き取られる可能性がある。また、ロールコードが「市場」の場合に「メモリ指定書込み」を特定作業として処理が実行されると、メモリ内容を操作されることにより、意図しない動作をしてしまう可能性がある。これらの特定作業は「市場」では設定されない。また、「製造時トータルテスト」や「プログラミング」も整備の際に必要ないため、ロールコードが「市場」の場合には設定されない。
【0027】
一方、メーカーが開発の際に用いる「開発」のロールコードである場合は、全ての特定作業が可能である。また、メーカーが製造の際に用いる「製造」のロールコードである場合には、「市場」の特定作業に加えて「製造時トータルテスト」を行うことができる。車両1に不具合が生じた際にメーカーが解析する時に用いる「解析」のロールコードでは、「市場」の特定作業に加えて「メモリ指定読出し」、「メモリ指定書込み」を行うことができる。「解析」のロールコードはメーカーにしか設定されないため、「メモリ指定読出し」による重要情報の抜き取りや、「メモリ指定書込み」による意図しない動作は生じない。「製造時トータルテスト」や「プログラミング」は、解析の際に必要ないため、「解析」のロールコードでは設定されない。ロールコードが「廃棄」や、ロールコードが指定されていない場合は、DID読出しとDTC読出しのみが設定される。
【0028】
本実施例1では、図5に示すようにロールリストの「ロールコード」が「市場」であるため、「DID読出し/DTC読出し」、「アクティブテスト」を有効な特定作業として有効リストに設定する。「DID読出し/DTC読出し」、「アクティブテスト」は許可された特定作業として有効リストに記憶される。このように、ロールコードによって実行できる特定作業が決まっており、ECU11では受信したロールコードに対応した特定作業が有効リストとして設定される。
【0029】
図5における項目番号5以降もメモリ112に記憶される。項目番号5の「有効期限」は「2022/03/05 12:00」と設定されている。この時間を過ぎると特定作業は受け付けられない。項目番号5の「走行距離制限」は「なし」と設定されており、走行距離に関する制限はない。仮に「10km」となっている場合には、ECU11がロールリストを受け付けてから車両1が10km進むまで、ロールコードに対応する特定作業は許可された状態である。「作業指示回数制限」は、作業指示の回数の制限であり、たとえば、特定作業としてエンジンデータ送信を作業指示した場合は作業指示回数1回としてカウントされる。また、別の特定作業を作業指示した場合も作業指示回数1回としてカウントされる。「有効期限」、「走行距離制限」、「車両起動回数制限」、「作業指示回数制限」は、有効期間を示す制限値である。
【0030】
次に、車両整備装置2からECU11に特定作業の処理を実行させる際の作用を図7のフロー図を用いて説明する。ここでは、エンジンデータ送信を特定作業として処理を実行させる例を示す。車両整備を行う作業者は、図8に示すように車両整備装置2を車両1のECU11に接続する。そして車両整備装置2で、「エンジンデータ送信」の実行を入力することによりエンジンデータ送信という特定作業をセットする(ステップS11)。「エンジンデータ送信」は、エンジンデータに関してDID読み出しを行う特定作業である。したがって、図6の「DID読出し/DTC読出し」の特定作業に該当する。特定作業をセットした後、車両整備装置2は、ECU11に複数のエンジンデータ送信の処理を実行させるリクエストメッセージを、ECU11に送信する(ステップS12)。
【0031】
ECU11は、車両整備装置2の接続機器番号に対応した有効リストにより、受信したリクエストメッセージで指示する「エンジンデータ送信」という特定作業が有効リストにあるかチェックする(ステップS13)。「エンジンデータ送信」は有効リストとしてメモリ112に記憶され、許可されている「DID読出し/DTC読出し」に該当する。そのため、「エンジンデータ送信」という特定作業が有効リストにあることになり、有効である。また、有効期間内であるかもチェックする(ステップS14)。リクエストメッセージを受信した時が、図5の項目番号5における「2022/03/05 12:00」との制限値よりも前の有効期間内である場合には、有効である。また、項目番号6から7の制限値内よりも前の有効期間内であるかもチェックされる。図5では、項目番号6は「なし」であるため、走行距離制限はない。また、項目番号7に関して、特定作業がECU11の有効リストに設定されてから、車両1が5回を超えて起動されると、特定作業を行うことができない。項目番号8に関しては、特定作業がECU11の有効リストに設定されてから、ECU11に10を越える特定作業の指示を行われると、特定作業を行うことができない。
【0032】
ステップS13とステップS14は、順序が逆であってもよい。ステップS14の有効期間は、図5に示したロールリストから規定される。有効期間チェックではロールリストの内容により、有効期限のみのチェックや車両起動回数のみのチェックとすることができ、これらの制限を複数用いたチェックとすることもできる。
【0033】
有効リストに「エンジンデータ送信」のリクエストメッセージを受け付ける記載があり、全ての制限値について有効期間内である場合には、ECU11はエンジンデータを車両整備装置2に送信することにより、特定作業を実行する(ステップS15)。このように、ECU11は、有効リストで許可された特定作業のリクエストメッセージを有効期間内に受け付けたときに、対応する特定作業の処理を実行する。一方、有効リストで許可されていない特定作業のリクエストメッセージを受け付けたときや、有効期間でないときには特定作業を実行しない。たとえば、特定アドレスを指定してメモリ指定読出しのリクエストメッセージを受信したときには特定作業の処理を実行しない。リクエストメッセージを受信した特定作業の処理を実行しない場合には、ECU11は不実行のレスポンスメッセージを送出する。
【0034】
実施例1のECU11は、複数のECUにより構成されてもよく、複数のECUの一部又は全部を統合した統合ECUを用いて構成されてもよい。複数のECUにより構成される場合には、有効リストは、各ECUに設定されていても良い。
【実施例0035】
実施例1のECU11を複数のECUにより構成した場合の例を実施例2、3に示す。実施例2では、図9に示すように、車両5にアクセス管理ECU51と複数の車両機器ECU52とを備えている。アクセス管理ECU51は、コネクター53と車両機器ECU52の間に介在する。アクセス管理ECU51は、制御部511と、公開鍵PKを記憶したメモリ512を有する。そして、アクセス管理ECU51は、コネクター53を介して受付可能なリクエストメッセージを受信したときに、通信線54を介して車両機器ECU52にリクエストメッセージを転送するゲートウェイとして機能する。受付可能でないリクエストメッセージを受信したときには、車両機器ECU52にリクエストメッセージを転送しない。車両機器ECU52は、制御部521とメモリ522を有する。通信装置である車両整備装置2の構成は、実施例1と同様である。また、車両整備装置2の管理サーバ3への接続は、図4に示すように実施例1と同様である。
【0036】
実施例2において、車両整備工場でアクセス管理システムにより、ECU処理を実行することができる受付可能なリクエストメッセージの有効リストを設定する際の作用を、図10のフロー図に示す。実施例2では、ステップS8におけるロールリストの送信先がアクセス管理ECU51であり、ステップS9におけるロールリストの署名検証、有効リストの設定がアクセス管理ECU51で行われる。その他のフローは実施例1の図2と同様である。使用申請情報も図3に示すように実施例1と同様であり、ロールリストも図5に示すように実施例1と同様である。また、車両整備装置2による管理サーバ3への接続も、図4に示されたものであって実施例1と同様であり、各ロールコードと特定作業との対応も図6に示されたものであって実施例1と同様である。実施例2では、ステップS8において車両整備装置2がロールリストをアクセス管理ECU51に送信する際に、ECU間を接続する通信線54を介さない。
【0037】
実施例2において、車両整備装置2から車両機器ECU52に特定作業の処理を実行させる際の作用を図11のフロー図を用いて説明する。車両整備を行う作業者は、図9に示すように車両整備装置2を車両5のコネクター53に接続する。これにより、車両整備装置2がアクセス管理ECU51に接続される。この接続は通信線54を介さない。そして車両整備装置2で、例えば、「エンジンデータ送信」の実行を入力することによりエンジンデータ送信という特定作業をセットする(ステップS21)。そうすると、車両整備装置2は、車両機器ECU52に複数のエンジンデータの送信を指示するリクエストメッセージを、アクセス管理ECU51に送信する(ステップS22)。
【0038】
アクセス管理ECU51は、受信したリクエストメッセージに対応する特定作業が、車両整備装置2の接続機器番号に対応した有効リストにあるかチェックし(ステップS23)、有効期間内であるかもチェックする(ステップS24)。有効リストでリクエストメッセージが受付可能であり、有効期間内である場合には、リクエストメッセージを受け付けて、通信線54を介してリクエストメッセージを車両機器ECU52に転送する(ステップS25)。アクセス管理ECU51は、有効リストで受付可能なリクエストメッセージを有効期間内に受け付けたときに、対応する特定作業の処理を実行する。一方、受付可能でないリクエストメッセージを受け付けたときや、有効期間を過ぎていたときには作業コマンドを車両機器ECU52に送信しない。リクエストメッセージを受信した車両機器ECU52は、エンジンデータを、アクセス管理ECU51を介して車両整備装置2に送信して、特定作業を実行する(ステップS26)。このように、実施例2では、アクセス管理ECU51は、有効リストで許可された特定作業のリクエストメッセージを受信したときにリクエストメッセージを受け付けて、リクエストメッセージを車両機器ECU52に送信する。アクセス管理ECU51は、ゲートウェイとして機能する。
【実施例0039】
実施例3では、図12に示すように、シリアル通信プロトコルの通信線64にコネクター63が接続されている。そして、ロールリストは、車両整備装置2からコネクター63と車両6内の通信線64を介してアクセス管理ECU61に送られる。アクセス管理ECU61は、制御部611とメモリ612を有し、メモリ612に記憶している公開鍵PKを用いて、ロールリストを署名検証し、署名検証を通過したロールリストを関係する全ての車両機器ECU62に送付する。そして、特定作業のアクセス管理に関係する全ての車両機器ECU62において、制御部621によってメモリ622に特定作業を示す有効リストが記憶される。
【0040】
特定作業を行う際には、車両整備装置2からコネクター63を介して通信線64にリクエストメッセージを送る。リクエストメッセージは関係する車両機器ECU62が通信線64から受信する。リクエストメッセージを受け取った車両機器ECU62では、有効期間内であるかチェックを行い、有効期間内である場合には制御部621とメモリ622により特定作業を実行し、レスポンスメッセージを通信線64に送出する。レスポンスメッセージはコネクター63を介して車両整備装置2が受信する。
【0041】
実施例3における有効リストを設定する際のフローは、図10に示された実施例2のフローにおいて、ステップS9での有効リスト設定が関係する車両機器ECU62で行われる。特定作業を実行する際のフローは、図11に示された実施例2のフローにおいて、ステップS22のリクエストメッセージの送信先が車両機器ECU62となる。そして、ステップS23における特定作業が有効リストにあるか否かのチェックと、ステップS24の有効期間内であるか否かのチェックは車両機器ECU62で行われる。実施例2のステップS25におけるリクエストメッセージの転送は行われない。ステップS26における特定作業は車両機器ECU62において行われる。使用申請情報は図3に示されたものであって、実施例1、2と同様であり、ロールリストも図5に示されたものであり実施例1、2と同様である。また、車両整備装置2による管理サーバ3への接続も、図4に示されたものであって実施例1、2と同様であり、各ロールコードと特定作業との対応も図6に示されたものであり実施例1、2と同様である。
【0042】
実施例3では、特定作業が有効リストにあるか否かのチェックと有効期間内であるか否かのチェックを、特定作業を行う車両機器ECUで実施している。しかし、特定作業が有効リストにあるか否かのチェックを実施するECUと、特定作業を行う車両機器ECUを別にしてもよい。また、実施例2、3において、公開鍵やロールリスト等はそれらを使用するECUに記憶されていなくてもよく、他のECUや記憶装置に記憶してもよい。
【0043】
実施例1~3では、通信装置として車両整備に用いる車両整備装置を用いたが、メーカーで用いる場合等にはメーカーでの使用に即した装置を使用する。装置としては、例えば、メーカー用のソフトウェアをインストールしたノートパソコンやデスクトップパソコン等を使用しても良い。車両整備装置等は、ロールリストに関しては管理サーバからECUに転送を行う通信装置として機能する。車両整備装置等は、ノート型コンピュータやデスクトップコンピュータなど、タブレット端末以外の情報装置を用いてもよい。また、実施例1~3では使用申請の作成や送付と、ロールリストの転送、特定作業のセットおよびリクエストメッセージの送信を1つの車両整備装置により行ったが、別の装置で行ってもよい。ロールリストの送信等は、車両に搭載した無線通信を行う装置により、車両整備装置や管理サーバからネットワークを介して車両に直接行っても良い。また、使用申請を行わずに管理サーバ3でロールリストを作成して送信してもよい。
【0044】
実施例1~3では、管理サーバ3で接続機器番号によりロールコードを設定した。しかし、車両整備装置2で役割を入力して使用申請情報によって管理サーバに送信し、管理サーバで役割からロールコードを設定してもよい。また、実施例1~3では、有効リストに1または複数の特定作業が設定される。しかし、有効リストに1または複数の特定作業をまとめたロールコードを記憶しておき、リクエストメッセージ等により特定作業の指示を受け付けたときに、有効リストに記憶したロールコードで許可される特定作業であるかを判断して、処理を実行してもよい。この際も、ロールコードによって実行できる特定作業は決まっており、ECUやアクセス管理ECU、車両機器ECUでは、記憶したロールコードで許可される特定作業であるかを判断して処理を実行する。
【0045】
その他、具体的な構成は実施の形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計の変更等があっても本発明に含まれる。また、上述の各実施の形態は、その目的及び構成等に特に矛盾や問題がない限り、互いの技術を流用して組み合わせることが可能である。