(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-12-19
(45)【発行日】2022-12-27
(54)【発明の名称】制御装置
(51)【国際特許分類】
G06F 12/14 20060101AFI20221220BHJP
【FI】
G06F12/14 510A
【請求項の数】
1
(21)【出願番号】P 2018199896
(22)【出願日】2018-10-24
(65)【公開番号】P2020067802
(43)【公開日】2020-04-30
【審査請求日】2021-09-21
(73)【特許権者】
【識別番号】000004260
【氏名又は名称】株式会社デンソー
(74)【代理人】
【識別番号】110000017
【氏名又は名称】弁理士法人アイテック国際特許事務所
(72)【発明者】
【氏名】大越 康樹
【審査官】局 成矢
(56)【参考文献】
【文献】特開2001-216284(JP,A)
【文献】特開2018-106628(JP,A)
【文献】特開2015-119357(JP,A)
【文献】国際公開第2006/022161(WO,A1)
【文献】特開2017-054243(JP,A)
【文献】米国特許出願公開第2008/0155257(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 12/14
(57)【特許請求の範囲】
【請求項1】
通信線を介して他の装置と情報をやり取りしながら対象機器を制御する制御装置において、制御プログラムを実行する中央処理部と、
セキュリティ情報を用いて前記他の装置との間でやり取りされる前記情報に対するセキュリティ処理を実行するセキュリティ処理部と、
前記中央処理部および前記セキュリティ処理部の双方からアクセス可能であり、前記制御プログラムの実行に用いられる情報および前記セキュリティ情報を格納する不揮発性メモリと、
を備え、
前記セキュリティ処理部は、一定の周期で前記セキュリティ処理の実行を開始し、
前記中央処理部は、少なくとも前記セキュリティ処理部により前記セキュリティ処理が実行される間、前記不揮発性メモリへのアクセスを停止すると共に、前記不揮発性メモリへのアクセスの終了前であっても、前記セキュリティ処理部による前記セキュリティ処理の開始タイミングの予め定められた後処理時間だけ前に前記不揮発性メモリへのアクセスを中断することを特徴とする制御装置。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、通信線を介して他の装置と情報をやり取りしながら対象機器を制御する制御装置に関する。
【背景技術】
【0002】
従来、この種の制御装置として、中央処理部と、当該中央処理部からの実行依頼に応じてセキュリティ情報を使用したセキュリティ処理を実施するセキュリティ処理部と、セキュリティ処理部からはアクセス可能で中央処理部からはアクセスできないセキュア領域とセキュリティ処理部および中央処理部の双方からアクセス可能なユーザ領域とを有する不揮発性メモリと、セキュリティ処理部からはアクセス可能で中央処理部からはアクセスできないセキュアメモリとを含むものが知られている(例えば、特許文献1参照)。この制御装置において、不揮発性メモリのセキュア領域には複数のセキュリティ情報が記憶されており、セキュリティ処理部は、当該セキュア領域から複数のセキュリティ情報の一部を読み出してセキュアメモリに格納し、セキュリティ処理で使用するセキュリティ情報がセキュアメモリに記憶されている場合は、セキュアメモリからセキュリティ情報を読み出して使用する。これにより、セキュリティ処理の実行に際してセキュリティ処理部により使用される情報がセキュアメモリに格納されていれば、セキュリティ処理部が不揮発性メモリのセキュア領域にアクセスする必要がなくなるので、中央処理部とセキュリティ処理部とが不揮発性メモリに同時にアクセスするのを回避することができる。
【先行技術文献】
【特許文献】
【0003】
【文献】特開2018-106628号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、特許文献1に記載された発明は、上述のようなセキュアメモリ(揮発性メモリ)の存在を前提としたものであり、コスト低減化を図るべく当該セキュアメモリが省略された制御装置には適用され得ない。そして、上述のようなセキュアメモリを含まない制御装置では、中央処理部とセキュリティ処理部とが不揮発性メモリに同時にアクセスするのを回避し得なくなり、他の装置からの情報に対するセキュリティ処理に遅延を生じてしまうおそれがある。
【0005】
そこで、本開示は、制御装置のコストアップを抑制しつつ、他の装置との間でやり取りされる情報に対するセキュリティ処理の遅延を抑制することを主目的とする。
【課題を解決するための手段】
【0006】
本開示の制御装置は、通信線を介して他の装置と情報をやり取りしながら対象機器を制御する制御装置において、制御プログラムを実行する中央処理部と、セキュリティ情報を用いて前記他の装置との間でやり取りされる前記情報に対するセキュリティ処理を実行するセキュリティ処理部と、前記中央処理部および前記セキュリティ処理部の双方からアクセス可能であり、前記制御プログラムの実行に用いられる情報および前記セキュリティ情報を格納する不揮発性メモリとを含み、前記中央処理部が、少なくとも前記セキュリティ処理部により前記セキュリティ処理が実行される間、前記不揮発性メモリへのアクセスを停止することを特徴とする
【0007】
本開示の制御装置では、少なくともセキュリティ処理部によりセキュリティ処理が実行される間、中央処理部が不揮発性メモリへのアクセスを停止する。これにより、セキュリティ情報を格納するセキュリティ処理部に専用のメモリが制御装置から省略されていても、中央処理部とセキュリティ処理部とが不揮発性メモリに同時にアクセスするのを回避し、セキュリティ処理部の不揮発性メモリへのアクセスを優先させることができる。この結果、制御装置のコストアップを抑制しつつ、他の装置との間でやり取りされる情報に対するセキュリティ処理の遅延を抑制することが可能となる。
【0008】
また、前記セキュリティ処理部は、一定の周期で前記セキュリティ処理の実行を開始するものであってもよく、前記中央処理部は、前記不揮発性メモリへのアクセスの終了前であっても、前記セキュリティ処理部による前記セキュリティ処理の開始タイミングの予め定められた第1の後処理時間だけ前に前記不揮発性メモリへのアクセスを中断するものであってもよい。これにより、他の装置との間でやり取りされる情報に対するセキュリティ処理の遅延をより確実に抑制することが可能となる。
【0009】
更に、前記中央処理部は、前記不揮発性メモリへのアクセスの中断後に該アクセスを再開する場合、前記セキュリティ処理部による前記セキュリティ処理の終了タイミングから予め定められた第2の後処理時間が経過した時点で前記アクセスを再開するものであってもよい。これにより、不揮発性メモリへのアクセス再開後に中央処理部に円滑にデータ処理を実行させることが可能となる。
【図面の簡単な説明】
【0010】
【図1】本開示の制御装置を含む車両の一例を示す概略構成図である。
【図2】本開示の制御装置の中央処理部により実行されるメモリアクセス許否判定ルーチンの一例を示すフローチャートである。
【図3】本開示の制御装置の動作状態を例示するタイムチャートである。
【発明を実施するための形態】
【0011】
次に、図面を参照しながら本開示の発明を実施するための形態について説明する。
【0012】
図1は、本開示の制御装置であるモータ電子制御装置(以下、「MGECU」という。)20を含む車両1の概略構成図である。同図に示す車両1は、炭化水素系の燃料と空気との混合気の爆発燃焼により動力を発生する内燃機関であるエンジン2と、シングルピニオン式のプラネタリギヤ3と、主に発電機として作動するモータジェネレータMG1と、主に走行用の動力や回生制動力を出力するモータジェネレータMG2と、蓄電装置(バッテリ)4と、当該蓄電装置4に接続されると共にモータジェネレータMG1およびMG2を駆動する電力制御装置(PCU)5とを含むハイブリッド車両である。モータジェネレータMG1,MG2は、何れも同期発電電動機(三相交流電動機)であり、蓄電装置4は、例えばリチウムイオン二次電池あるいはニッケル水素二次電池等である。電力制御装置5は、モータジェネレータMG1を駆動する第1インバータ51やモータジェネレータMG2を駆動する第2インバータ52、図示しない昇圧コンバータ等を含む。
【0013】
MGECU20は、車両1の全体を制御するハイブリッド電子制御装置(以下、「HVECU」という。)10等と協働して電力制御装置5を制御するように構成されている。図1に示すように、MGECU20は、HVECU10やエンジン2を制御する図示しないエンジン電子制御装置(エンジンECU)等と共に、LoおよびHiの2本の通信線(ワイヤーハーネス)を含むCANバスである共用通信線(多重通信バス)MBに接続されており、当該共用通信線MBを介してCAN通信により制御に必要な情報(通信フレーム)を相互にやり取りする。
【0014】
また、MGECU20は、LoおよびHiの2本の通信線(ワイヤーハーネス)を含むCANバスである専用通信線(ローカル通信バス)LBを介してHVECU10に個別に接続されており、当該専用通信線LBを介してHVECU10との間でCAN通信により制御に必要な情報(通信フレーム)をやり取りする。これにより、HVECU10とMGECU20との間で重要度の高い情報を速やかにやり取りすることが可能となる。本実施形態において、共用通信線MBにおける伝送速度と専用通信線LBにおける伝送速度とは同一である。ただし、共用通信線MBにおける伝送速度と専用通信線LBにおける伝送速度とは互いに異なっていてもよい。
【0015】
図1に示すように、MGECU20は、CPU(中央処理部)210、何れも図示しないROMおよびRAM(揮発性メモリ)、第1CANコントローラ211、第2CANコントローラ212、セキュリティ処理部(セキュアIP)214、不揮発性メモリ215等を含むマイクロコンピュータ(以下、「マイコン」という。)21と、マイコン21の第1CANコントローラ211および共用通信線MBに接続された第1CANトランシーバ251と、マイコン21の第2CANコントローラ212および専用通信線LBに接続された第2CANトランシーバ252とを含む。
【0016】
マイコン21のCPU210は、当該マイコン21に接続された図示しないセンサの検出値やHVECU10等からの情報に基づいて、ROMに格納された電力制御装置5を作動させるための各種制御プログラムを実行する。また、CPU210は、HVECU10等に共用通信線MBを介して情報を送信する際、当該情報に応じた信号を第1CANトランシーバ251から共用通信線MBに出力させるように第1CANコントローラ211に指令信号を与える。更に、CPU210は、HVECU10等に専用通信線LBを介して情報を送信する際、当該情報に応じた信号を第2CANトランシーバ252から専用通信線LBに出力させるように第2CANコントローラ212に指令信号を与える。第1および第2CANコントローラ211,212は、CANプロトコルの機能を実現するものであり、CPU210からの指令信号に応じたデジタル信号を第1または第2CANトランシーバ251,252に与える。
【0017】
また、第1および第2CANトランシーバ251,252は、それぞれ対応する第1または第2CANコントローラ211,212からのデジタル信号をCAN通信プロトコルに従う差動信号に変換して共用通信線MBまたは専用通信線LBに出力する。また、第1および第2CANトランシーバ251,252は、共用通信線MBまたは専用通信線LBからの差動信号をデジタル信号に変換して第1または第2CANコントローラ211,212に与え、第1および第2CANコントローラ211,212により受信された情報は、CPU210に与えられる。本実施形態において、第1および第2CANトランシーバ251,252等を介した情報の送受信処理は、予め定められた一定の周期T(例えば、1msec)で実行(開始)される。
【0018】
セキュリティ処理部214は、第1および第2CANトランシーバ251,252等を介した情報の送受信処理に同期して、すなわち一定の周期TでMGECU20とHVECU10等との間で送受信される情報に対するセキュリティ処理(認証処理)を実行する。すなわち、セキュリティ処理部214は、複数のECU間で共有される共通鍵といったセキュリティ情報や乱数等を用いてMGECU20から送信される情報に付与されるメッセージ認証コード(MAC)を生成する。また、セキュリティ処理部214は、第1、第2CANトランシーバ251,252等により受信された情報をCPU210から受け取り、当該情報に付与されたMACをセキュリティ情報に基づいて検証することで、いわゆるなりすまし攻撃等による情報の改ざんの有無の判定や、不正メッセージの処理等を実行する。
【0019】
不揮発性メモリ215は、CPU210およびセキュリティ処理部214の双方からアクセス可能となるようにバスを介して両者に接続されたフラッシュメモリである。不揮発性メモリ215には、各種制御プログラムやセキュリティ処理の実行に際してCPU210やセキュリティ処理部214により用いられる情報が格納される作業領域と、セキュリティ処理部214により用いられるセキュリティ情報が格納(記憶)される領域とが設けられている。すなわち、本実施形態において、セキュリティ処理部214には、揮発性メモリ等の専用メモリが設けられてはおらず、当該セキュリティ処理部214は、不揮発性メモリ215に格納されたセキュリティ情報を用いて上述のようなセキュリティ処理を実行する。なお、詳細な説明は省略するが、本実施形態の車両1では、HVECU10やエンジンECU等も、MGECU20と同様のセキュリティ処理を実行するように構成されている。
【0020】
次に、図2および図3を参照しながら、MGECU20の動作について説明する。図2は、MGECU20のマイコン21のCPU210によって微小時間おきに繰り返し実行されるメモリアクセス許否判定ルーチンの一例を示すフローチャートである。
【0021】
図2に示すメモリアクセス許否判定ルーチンの開始に際し、CPU210は、上記情報の送受信処理が実行される周期Tを計時する送受信タイマの計時値tを取得する(ステップS100)。送受信タイマは、計時の開始後に計時値tが周期Tになるとリセットされて再度計時を開始するようにバードウェアまたはソフトウェアにより構成されたものである。次いで、CPU210は、ステップS100にて取得した計時値tがセキュリティ処理部214によるセキュリティ処理の実行に要する時間tmと予め定められた後処理時間(遅延時間、例えば50-300μsec程度)tpaとの和を上回っているか否かを判定する(ステップS110)。後処理時間tpaは、セキュリティ処理部214が不揮発性メモリ215にアクセスした後(データの読み書きを行った後)に当該不揮発性メモリ215へのデータの格納や作業領域からのデータの削除等に要する時間としてマイコン21の仕様等に応じて予め定められた時間である。
【0022】
ステップS110にて計時値tが時間tmと後処理時間tpaとの和を上回っていると判定した場合(ステップS110:YES)、CPU210は、ステップS100にて取得した計時値tが上記周期Tから予め定められた後処理時間(遅延時間、例えば100-300μsec程度)tpbを減じた値未満であるか否かを判定する(ステップS120)。後処理時間tpbは、CPU210が不揮発性メモリ215にアクセスした後(データの読み書きを行った後)に当該不揮発性メモリ215へのデータの格納や作業領域からのデータの削除等に要する時間としてマイコン21の仕様等に応じて予め定められた時間である。
【0023】
ステップS120にて計時値tが周期Tから後処理時間tpbを減じた値未満であると判定した場合(ステップS120:YES)、CPU210は、当該CPU210の不揮発性メモリ215へのアクセスを許容すべくメモリアクセス許可フラグをオンし(ステップS130)、図2のルーチンを一旦終了させる。これに対して、ステップS110にて計時値tが時間tmと後処理時間tpaとの和以下であると判定した場合(ステップS110:NO)、およびステップS120にて計時値tが周期Tから後処理時間tpbを減じた値以上であると判定した場合(ステップS120:NO)、CPU210は、当該CPU210の不揮発性メモリ215へのアクセスを禁止すべくメモリアクセス許可フラグをオフし(ステップS140)、図2のルーチンを一旦終了させる。
【0024】
上述のような図2のメモリアクセス許否判定ルーチンが実行される結果、MGECU20では、図3に示すように、少なくともセキュリティ処理部214によりセキュリティ処理が実行される間、CPU210が不揮発性メモリ215へのアクセスを停止する。より詳細には、CPU210は、セキュリティ処理部214によるセキュリティ処理の開始タイミングの後処理時間tpbだけ前から、当該セキュリティ処理の終了後に後処理時間tpaが経過するまでの間(図3における時刻t1-t2間、時刻t3-t4間、時刻t5-t6間)、不揮発性メモリ215へのアクセスを停止する。これにより、セキュリティ情報を格納するセキュリティ処理部214に専用のメモリがMGCEU20から省略されていても、CPU210とセキュリティ処理部214とが不揮発性メモリ215に同時にアクセスするのを回避し、セキュリティ処理部214の不揮発性メモリ215へのアクセスを優先させることができる。この結果、MGECU20のコストアップを抑制しつつ、HVECU10等の他の装置との間でやり取りされる情報に対するセキュリティ処理の遅延を抑制することが可能となる。
【0025】
また、MGECU20において、CPU210は、不揮発性メモリ215へのアクセス(データの読み書き)の終了前であっても、セキュリティ処理部214によるセキュリティ処理の開始タイミングの後処理時間(第1の後処理時間)tpbだけ前(図3における時刻t1,t3,t5)に不揮発性メモリ215へのアクセスを中断する。更に、CPU210は、不揮発性メモリ215へのアクセスの中断後に当該アクセスを再開する場合、セキュリティ処理部214によるセキュリティ処理の終了タイミングから後処理時間(第2の後処理時間)tpaが経過した時点(図3における時刻t2,t4,t6)で不揮発性メモリ215へのアクセスを再開する。これにより、HVECU10等の他の装置との間でやり取りされる情報に対するセキュリティ処理の遅延をより確実に抑制すると共に、不揮発性メモリ215へのアクセス再開後にCPU210に円滑にデータ処理を実行させることが可能となる。
【0026】
以上説明したように、本開示の制御装置としてのMGECU20は、共用通信線MBや専用通信線LBを介してHVECU10等の他の装置と情報をやり取りしながら電力制御装置5(対象機器)を制御するものであり、各種制御プログラムを実行するCPU210と、セキュリティ情報を用いてHVECU10等との間でやり取りされる情報に対するセキュリティ処理を実行するセキュリティ処理部214と、CPU210およびセキュリティ処理部214の双方からアクセス可能であって制御プログラムの実行に用いられる情報やセキュリティ情報を格納する不揮発性メモリ215とを含む。そして、CPU210は、少なくともセキュリティ処理部214によりセキュリティ処理が実行される間、不揮発性メモリ215へのアクセスを停止する(図2のステップS110:NO,S120:NO)。これにより、MGECU20のコストアップを抑制しつつ、HVECU10等の他の装置との間でやり取りされる情報に対するセキュリティ処理の遅延を抑制することが可能となる。
【0027】
なお、上記実施形態において、後処理時間tpa,tpbは、それぞれ一定の値として例示されているが、これに限られるものではない。すなわち、後処理時間tpa,tpbは、CPU210の不揮発性メモリ215へのアクセスの中断回数や再開回数に応じてそれぞれ変更されてもよい。また、本開示の構成は、車両等に搭載されて共用通信線や専用通信線を介して他の装置と情報をやり取りする任意の制御装置に適用され得るものである。更に、MGECU20は、モータジェネレータMG1に対応したマイコンと、モータジェネレータMG2に対応したマイコンと含むものであってもよく、この場合、2つのマイコンの一方が上記MGECU20と同様に構成されてもよい。また、本開示の発明が適用される車両は、1モータ式のハイブリッド車両であってもよく、シリーズ式のハイブリッド車両であってもよく、プラグイン式のハイブリッド車両であってもよく、電気自動車であってもよく、走行用動力の発生源としてエンジン(内燃機関)のみを含む車両であってもよい。
【0028】
そして、本開示の発明は上記実施形態に何ら限定されるものではなく、本開示の外延の範囲内において様々な変更をなし得ることはいうまでもない。更に、上記発明を実施するための形態は、あくまで課題を解決するための手段の欄に記載された発明の具体的な一形態に過ぎず、課題を解決するための手段の欄に記載された発明の要素を限定するものではない。
【産業上の利用可能性】
【0029】
本開示の発明は、制御装置の製造産業等において利用可能である。
【符号の説明】
【0030】
1 車両、2 エンジン、3 プラネタリギヤ、4 蓄電装置、5 電力制御装置(PCU)、51 第1インバータ、52 第2インバータ、10 ハイブリッド電子制御装置(HVECU)、20 モータ電子制御装置(MGECU)、21 マイクロコンピュータ(マイコン)、210 CPU(中央処理部)、211 第1CANコントローラ、212 第2CANコントローラ、214 セキュリティ処理部、215 不揮発性メモリ、251 第1CANトランシーバ、252 第2CANトランシーバ、LB 専用通信線、MB 共用通信線、MG1,MG2 モータジェネレータ。
【図1】
【図2】
【図3】