知財求人 - 知財ポータルサイト「IP Force」
特許7543875電子制御装置、時刻情報提供方法、時刻情報提供プログラム、及び電子制御システム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-08-26
(45)【発行日】2024-09-03
(54)【発明の名称】電子制御装置、時刻情報提供方法、時刻情報提供プログラム、及び電子制御システム
(51)【国際特許分類】
H04L 7/00 20060101AFI20240827BHJP
G04G 5/00 20130101ALI20240827BHJP
H04L 12/28 20060101ALI20240827BHJP
【FI】
H04L7/00 990
G04G5/00 J
H04L12/28 200Z
H04L12/28 100A
【請求項の数】
12
(21)【出願番号】P 2020197623
(22)【出願日】2020-11-27
(65)【公開番号】P2022085764
(43)【公開日】2022-06-08
【審査請求日】2023-03-09
(73)【特許権者】
【識別番号】000004260
【氏名又は名称】株式会社デンソー
(74)【代理人】
【識別番号】230120499
【弁護士】
【氏名又は名称】藤江 和典
(74)【代理人】
【識別番号】100201385
【弁理士】
【氏名又は名称】中安 桂子
(72)【発明者】
【氏名】後藤 史英
【審査官】北村 智彦
(56)【参考文献】
【文献】特開平05-250281(JP,A)
【文献】特表2016-502790(JP,A)
【文献】特開2013-168865(JP,A)
【文献】特開2019-159600(JP,A)
【文献】米国特許出願公開第2013/0227008(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 7/00
G04G 5/00
H04L 12/28
IEEE Xplore
(57)【特許請求の範囲】
【請求項1】
基準となる時刻情報をスレーブ部(410)に提供する電子制御装置であって、認証部(310)に、基準時刻を有するマスタクロック(50)へのアクセスの認証を要求する認証要求送信部(111)と、
前記認証部から、前記マスタクロックへのアクセスの認証結果を受信する認証結果受信部(112)と、
前記認証部で前記マスタクロックへのアクセスが許可された場合に、前記マスタクロックにアクセスして、前記基準時刻を取得する時刻情報取得部(122)と、
前記基準時刻を示す前記時刻情報を前記スレーブ部に送信する時刻情報送信部(124)と、
当該電子制御装置に接続された予備マスタ装置(20)に、前記予備マスタ装置から前記マスタクロックへのアクセスを可能にする認証済情報を送信する認証済情報送信部(113)と、
を備え、
前記予備マスタ装置は、当該電子制御装置に代わって前記時刻情報を前記スレーブ部に送信可能な装置である、
電子制御装置(10)。
【請求項2】
基準となる時刻情報をスレーブ部(410)に提供する電子制御装置であって、前記時刻情報を前記スレーブ部に送信するマスタ装置(10)から、当該電子制御装置から基準時刻を有するマスタクロック(50)へのアクセスを可能にする認証済情報を受信する認証済情報受信部(211)と、
前記マスタ装置が停止したことを検出する停止検出部(226)と、
前記停止検出部が前記マスタ装置の停止を検出した場合に、前記認証済情報を用いて前記マスタクロックにアクセスして、前記基準時刻を取得する時刻情報取得部(222)と、
前記基準時刻を示す前記時刻情報を前記スレーブ部に送信する時刻情報送信部(224)と、
を備える、電子制御装置(20)。
【請求項3】
前記認証済情報送信部は、前記認証済情報を定期的に前記予備マスタ装置に送信する、請求項1記載の電子制御装置。
【請求項4】
前記認証済情報送信部は、当該電子制御装置が停止する前に前記認証済情報を前記予備マスタ装置に送信する、請求項1記載の電子制御装置。
【請求項5】
前記認証済情報受信部は、前記認証済情報を定期的に前記マスタ装置から受信し、前記停止検出部は、前記認証済情報を前記マスタ装置から受信できない場合に前記マスタ装置の停止を検出する、
請求項2記載の電子制御装置。
【請求項6】
前記スレーブ部は、前記マスタ装置から前記時刻情報を受信できない場合に当該電子制御装置にメッセージを送信し、前記停止検出部は、前記スレーブ部から前記メッセージを受信した場合に前記マスタ装置の停止を検出する、
請求項2記載の電子制御装置。
【請求項7】
前記認証済情報は、前記マスタクロックにアクセスするためのパスワードである、請求項1又は2記載の電子制御装置。
【請求項8】
当該電子制御装置は、移動体に搭載される装置である、請求項1乃至7いずれかに記載の電子制御装置。
【請求項9】
基準となる時刻情報をスレーブ部(410)に提供する電子制御装置で実行可能な時刻情報提供プログラムであって、認証部(310)に、基準時刻を有するマスタクロック(50)へのアクセスの認証を要求し(S101)、
前記認証部から、前記マスタクロックへのアクセスの認証結果を受信し(S103)、
前記認証部で前記マスタクロックへのアクセスが許可された場合に、前記マスタクロックにアクセスして、前記基準時刻を取得し(S104、S105)、
前記基準時刻を示す前記時刻情報を前記スレーブ部に送信し(S106)、
前記電子制御装置に代わって前記時刻情報を前記スレーブ部に送信可能な予備マスタ装置(20)に、前記予備マスタ装置から前記マスタクロックへのアクセスを可能にする認証済情報を送信する(S107)、
時刻情報提供プログラム。
【請求項10】
基準となる時刻情報をスレーブ部(410)に提供する電子制御装置で実行可能な時刻情報提供プログラムであって、前記時刻情報を前記スレーブ部に送信するマスタ装置(10)から、前記電子制御装置から基準時刻を有するマスタクロック(50)へのアクセスを可能にする認証済情報を受信し(S200)、
停止検出部において前記マスタ装置が停止したことを検出し(S201)、
前記停止検出部が前記マスタ装置の停止を検出した場合に、前記認証済情報を用いて前記マスタクロックにアクセスして、前記基準時刻を取得し(S202,S203)、
前記基準時刻を示す前記時刻情報を前記スレーブ部に送信する(S204)、
時刻情報提供プログラム。
【請求項11】
基準となる時刻情報をスレーブ部(410)に提供する第1の電子制御装置(10)及び第2の電子制御装置(20)を有する電子制御システムであって、前記第1の電子制御装置は、
認証部(310)に、基準時刻を有するマスタクロック(50)へのアクセスの認証を要求する認証要求送信部(111)と、
前記認証部から、前記マスタクロックへのアクセスの認証結果を受信する認証結果受信部(112)と、
前記認証部で前記マスタクロックへのアクセスが許可された場合に、前記マスタクロックにアクセスして、前記基準時刻を取得する時刻情報取得部(122)と、
前記基準時刻を示す前記時刻情報を前記スレーブ部に送信する時刻情報送信部(124)と、
前記第2の電子制御装置(20)に、前記第2の電子制御装置から前記マスタクロックへのアクセスを可能にする認証済情報を送信する認証済情報送信部(113)と、
を備え、
前記第2の電子制御装置は、
前記第1の電子制御装置から、前記認証済情報を受信する認証済情報受信部(211)と、
前記第1の電子制御装置が停止したことを検出する停止検出部(226)と、
前記停止検出部が前記第1の電子制御装置の停止を検出した場合に、前記認証済情報を用いて前記マスタクロックにアクセスして、前記基準時刻を取得する時刻情報取得部(222)と、
前記基準時刻を示す前記時刻情報を前記スレーブ部に送信する時刻情報送信部(224)と、
を備える、電子制御システム(1)。
【請求項12】
基準となる時刻情報をスレーブ部(410)に提供する第1の電子制御装置(10)及び第2の電子制御装置(20)を有する電子制御システム(1)で実行される時刻情報提供方法であって、前記第1の電子制御装置において、
認証部(310)に、基準時刻を有するマスタクロック(50)へのアクセスの認証を要求し、
前記認証部から、前記マスタクロックへのアクセスの認証結果を受信し、
前記認証部で前記マスタクロックへのアクセスが許可された場合に、前記マスタクロックにアクセスして、前記基準時刻を取得し、
前記基準時刻を示す前記時刻情報を前記スレーブ部に送信し、
前記第2の電子制御装置に、前記第2の電子制御装置から前記マスタクロックへのアクセスを可能にする認証済情報を送信し、
前記第2の電子制御装置において、
前記第1の電子制御装置から、前記認証済情報を受信し、
停止検出部において前記第1の電子制御装置が停止したことを検出し、
前記停止検出部が前記第1の電子制御装置の停止を検出した場合に、前記認証済情報を用いて前記マスタクロックにアクセスして、前記基準時刻を取得し、
前記基準時刻を示す前記時刻情報を前記スレーブ部に送信する、
時刻情報提供方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、電子制御装置に関するものであり、主として車両用の電子制御装置、電子制御装置で実現する方法、電子制御装置で実行可能なプログラム、及び電子制御装置からなる電子制御システムに関する。
【背景技術】
【0002】
自動車においては、車載ネットワークで接続された様々な電子制御装置が搭載されている。これらの電子制御装置は、共通の時間軸を有することで様々な電子制御装置の機能を連動させて自動車を制御することが可能となる。そのため、自動車に搭載される様々な電子制御装置間では時刻を同期させることが求められている。
【0003】
例えば、特許文献1には、相互接続された車載装置同士で時刻同期を行う時刻同期システムが開示されている。特許文献1の時刻同期システムでは、ネットワーク内で基準となるグランドマスタを決定し、決定したグランドマスタの時刻にスレーブ装置の時刻を同期させる。そして、ネットワーク内の各装置が、グランドマスタのクロックの誤差を監視することによってグランドマスタに発生した異常を検知した場合には、新たなグランドマスタを決定することでネットワーク内の時刻同期の精度が劣化するのを防ぐ。
【先行技術文献】
【特許文献】
【0004】
【文献】特開2020-167616号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
車載システムにおいて基準となる時刻を提供するマスタ装置(グランドマスタ)は、GPS(Global Positioning System)やGNSS(Global Navigation Satellite System)受信機といった絶対時刻を有するマスタクロックから定期的に時刻情報を取得することで、マスタ装置、ひいては車載システム全体の時刻の精度を高めることができる。
【0006】
ここで、本発明者は、以下の課題を見出した。
マスタクロックへの不正なアクセスを防ぎ、車載システム全体のセキュリティ性を高めるために、マスタ装置からマスタクロックへのアクセスには認証を行うことが望ましい。ところが、何らかの事情によりマスタ装置を変更する必要が生じた場合、変更後のマスタ装置はマスタクロックにアクセスするために新たに認証を受ける必要があるため、マスタ装置の変更に時間がかかるおそれがある。さらに、変更後のマスタ装置が認証を受けている間はマスタクロックにアクセスすることはできず、時刻情報をスレーブ装置に提供することができないため、車載システム全体の時刻同期の精度が劣化するおそれがある。
マスタクロックへの不正なアクセスを防ぎ、車載システム全体のセキュリティ性を高めるために、マスタ装置からマスタクロックへのアクセスには認証を行うことが望ましい。ところが、何らかの事情によりマスタ装置を変更する必要が生じた場合、変更後のマスタ装置はマスタクロックにアクセスするために新たに認証を受ける必要があるため、マスタ装置の変更に時間がかかるおそれがある。さらに、変更後のマスタ装置が認証を受けている間はマスタクロックにアクセスすることはできず、時刻情報をスレーブ装置に提供することができないため、車載システム全体の時刻同期の精度が劣化するおそれがある。
【0007】
そこで、本発明は、マスタ装置からマスタクロックへのアクセスを認証することでセキュリティ性を確保しつつ、マスタ装置の変更に要する時間を短縮することを目的とする。
【課題を解決するための手段】
【0008】
本開示の一態様による電子制御装置は、基準となる時刻情報をスレーブ部(410)に提供する電子制御装置であって、認証部(310)に、基準時刻を有するマスタクロック(50)へのアクセスの認証を要求する認証要求送信部(111)と、前記認証部から、前記マスタクロックへのアクセスの認証結果を受信する認証結果受信部(112)と、前記認証部で前記マスタクロックへのアクセスが許可された場合に、前記マスタクロックにアクセスして、前記基準時刻を取得する時刻情報取得部(122)と、前記基準時刻を示す前記時刻情報を前記スレーブ部に送信する時刻情報送信部(124)と、当該電子制御装置に接続された予備マスタ装置(20)に、前記マスタクロックへのアクセスが許可されていることを示す認証済情報を送信する認証済情報送信部(113)と、を備え、前記予備マスタ装置は、当該電子制御装置に代わって前記時刻情報を前記スレーブ部に送信可能な装置である。
【0009】
本開示の一態様による電子制御装置は、基準となる時刻情報をスレーブ部(410)に提供する電子制御装置であって、前記時刻情報を前記スレーブ部に送信するマスタ装置(10)から、基準時刻を有するマスタクロック(50)へのアクセスが許可されていることを示す認証済情報を受信する認証済情報受信部(211)と、前記マスタ装置が停止したことを検出する停止検出部(226)と、前記停止検出部が前記マスタ装置の停止を検出した場合に、前記認証済情報を用いて前記マスタクロックにアクセスして、前記基準時刻を取得する時刻情報取得部(222)と、前記基準時刻を示す前記時刻情報を前記スレーブ部に送信する時刻情報送信部(224)と、を備える。
【0010】
なお、特許請求の範囲、及び本項に記載した発明の構成要件に付した括弧内の番号は、本発明と後述の実施形態との対応関係を示すものであり、本発明を限定する趣旨ではない。
【発明の効果】
【0011】
本開示の電子制御装置、時刻情報提供方法、時刻情報提供プログラム、及び電子制御システムにより、マスタ装置からマスタクロックへのアクセスを制限してセキュリティ性を確保しながら、マスタ装置の変更に要する時間を短縮することが可能となる。
【図面の簡単な説明】
【0012】
【図1】本実施形態の電子制御システムを説明する図
【図2】本実施形態のマスタ装置である電子制御装置の構成を説明する図
【図3】本実施形態の予備マスタ装置である電子制御装置の構成を説明する図
【図4】本実施形態の電子制御システム全体の動作を説明する図
【図5】本実施形態のマスタ装置である電子制御装置の動作を説明する図
【図6】本実施形態の予備マスタ装置である電子制御装置の動作を説明する図
【発明を実施するための形態】
【0013】
以下、本発明の実施形態について、図面を参照して説明する。
【0014】
なお、本発明とは、特許請求の範囲又は課題を解決するための手段の項に記載された発明を意味するものであり、以下の実施形態に限定されるものではない。また、少なくともかぎ括弧内の語句は、特許請求の範囲又は課題を解決するための手段の項に記載された語句を意味し、同じく以下の実施形態に限定されるものではない。
【0015】
特許請求の範囲の従属項に記載の構成及び方法は、特許請求の範囲の独立項に記載の発明において任意の構成及び方法である。従属項に記載の構成及び方法に対応する実施形態の構成及び方法、並びに特許請求の範囲に記載がなく実施形態のみに記載の構成及び方法は、本発明において任意の構成及び方法である。特許請求の範囲の記載が実施形態の記載よりも広い場合における実施形態に記載の構成及び方法も、本発明の構成及び方法の例示であるという意味で、本発明において任意の構成及び方法である。いずれの場合も、特許請求の範囲の独立項に記載することで、本発明の必須の構成及び方法となる。
【0016】
実施形態に記載した効果は、本発明の例示としての実施形態の構成を有する場合の効果であり、必ずしも本発明が有する効果ではない。
【0017】
複数の実施形態がある場合、各実施形態に開示の構成は各実施形態のみで閉じるものではなく、実施形態をまたいで組み合わせることが可能である。例えば一の実施形態に開示の構成を、他の実施形態に組み合わせてもよい。また、複数の実施形態それぞれに開示の構成を集めて組み合わせてもよい。
【0018】
発明が解決しようとする課題に記載した課題は公知の課題ではなく、本発明者が独自に知見したものであり、本発明の構成及び方法と共に発明の進歩性を肯定する事実である。
【0019】
1.車載システム1の構成
図1を用いて、本実施形態の電子制御装置及び電子制御システムを説明する。本実施形態の電子制御装置及び電子制御システムは、「移動体」である車両に「搭載」される車載装置及び車載システムを想定しているが、これらに限定されるものではない。
図1を用いて、本実施形態の電子制御装置及び電子制御システムを説明する。本実施形態の電子制御装置及び電子制御システムは、「移動体」である車両に「搭載」される車載装置及び車載システムを想定しているが、これらに限定されるものではない。
【0020】
ここで、「移動体」とは、移動可能な物体をいい、移動速度は任意である。また移動体が停止している場合も当然含む。例えば、自動車、自動二輪車、自転車、歩行者、船舶、航空機、及びこれらに搭載される物を含み、またこれらに限らない。
また、「搭載」される、とは、移動体に直接固定されている場合の他、移動体に固定されていないが移動体と共に移動する場合も含む。例えば、移動体に乗った人が所持している場合、移動体に載置された積荷に搭載されている場合、が挙げられる。
また、「搭載」される、とは、移動体に直接固定されている場合の他、移動体に固定されていないが移動体と共に移動する場合も含む。例えば、移動体に乗った人が所持している場合、移動体に載置された積荷に搭載されている場合、が挙げられる。
【0021】
電子制御システム1は、複数の「電子制御装置」(以下、ECU:Electronic Control Unit)(ECU10乃至ECU40)及びマスタクロック50から構成されるシステムである。電子制御システム1は、任意の数のECUから構成される。これらのECUとマスタクロック50とは、例えば、CAN(Controller Area Network)やLIN(Local Interconnect Network)といった車載ネットワーク、イーサネット(登録商標)、無線通信ネットワークを介して接続されている。
【0022】
ここで、「電子制御装置」とは、例えば、主に半導体装置で構成され、CPU(Central Processing Unit)、およびRAM(Random Access Memory)等の揮発性記憶部を有する、いわゆる情報処理装置として構成されていてもよい。この場合、情報処理装置はさらに、フラッシュ保存部等の不揮発性記憶部、通信ネットワーク等に接続されるネットワークインターフェース部等を有していてもよい。さらに、このような情報処理装置はパッケージ化された半導体装置(素子)であっても、配線基板において各半導体装置が配線接続された構成であってもよい。
【0023】
電子制御システム1を構成するECU10乃至ECU40は例えば、Adaptive Platform(AP)と呼ばれる、動的な機能の拡張が可能なプラットフォームをベースとしたECUを想定している。APは主に、自動運転用のECUに適したプラットフォームである。ECU10乃至ECU40の詳細な構成は詳述する。なお、本実施形態のECUは、APをベースとしたものに限定されるものではなく、Classic Platform(CP)と呼ばれる、静的な機能を最適化したプラットフォームをベースとしたECUであってもよい。
【0024】
マスタクロック50は、電子制御システム1の外部と同期された時刻を有する時計である。マスタクロック50は例えば、GPS(Global Positioning System)やGNSS(Global Navigation Satellite System)の受信機が取得した時刻を有する。マスタクロック50へのアクセスは、後述する認証部310で許可された同期マスタ部に限定される。そのため、マスタクロック50にアクセスするためには、認証部310で認証を受ける必要がある。
【0025】
なお、以下に示す実施形態は、集中管理モード(Centralized Mode)と呼ばれる、各スレーブ部に時刻情報を提供する同期マスタ部が1つであるモードを想定して説明している。しかしながら、以下の実施形態は、分散管理モード(Distributed Mode)と呼ばれる、各スレーブ部に時刻情報を提供する同期マスタ部が複数存在するモードにも適用することが可能である。
【0026】
2.ECU10の構成
ECU10は、大きく分けて、認証管理部110及び同期マスタ部120を有する。認証管理部110及び同期マスタ部120はそれぞれがECU10上の別の仮想マシン上で動作してもよい。図2を参照して、認証管理部110及び同期マスタ部120の構成を説明する。
ECU10は、大きく分けて、認証管理部110及び同期マスタ部120を有する。認証管理部110及び同期マスタ部120はそれぞれがECU10上の別の仮想マシン上で動作してもよい。図2を参照して、認証管理部110及び同期マスタ部120の構成を説明する。
【0027】
ECU10は、汎用のCPU、RAM等の揮発性メモリ、ROM、フラッシュメモリ又はハードディスク等の不揮発性メモリ、各種インターフェース、及びこれらを接続する内部バスで構成することができる。そして、これらのハードウェア上でソフトウェアを実行することにより、図2に記載の各機能ブロックの機能を発揮させるように構成することができる。もちろん、ECU10の各機能を、LSI等の専用のハードウェアで実現してもよい。以下に説明する他のECUについても同様である。
【0028】
認証管理部110は主に、同期マスタ部120からマスタクロック50へのアクセスを管理する機能を有し、認証を受けていない同期マスタ部120がマスタクロック50にアクセスしようとすると、アクセスを遮断する。認証管理部110は、認証要求送信部111、認証結果受信部112、及び認証済情報送信部113を有する。認証管理部110は、IAM(Identity and Access Management)機能におけるPEP(Policy Enforcement Point)に相当する。
【0029】
認証要求送信部111は、後述するECU30の認証部310に、同期マスタ部120からマスタクロック50へのアクセスの認証を要求する。
【0030】
認証結果受信部112は、認証部310から、認証要求送信部111が送信した認証要求に対する認証結果を受信する。ここで、認証結果受信部112で受信した認証結果が、マスタクロック50へのアクセス許可を示している場合、同期マスタ部120はマスタクロック50にアクセスすることが可能となる。これに対し、認証結果受信部112で受信した認証結果が、マスタクロック50へのアクセス不許可を示している場合、同期マスタ部120によるマスタクロック50へのアクセスは、認証管理部110によって遮断されることになる。
【0031】
認証済情報送信部113は、同期マスタ部120からマスタクロック50へのアクセスが許可されていることを示す「認証済情報」を、後述するECU20の認証管理部210に送信する。認証済情報は、認証部310によって同期マスタ部120からマスタクロック50へのアクセスが許可された場合にのみ生成される情報であり、例えば、マスタクロック50へのアクセス権を示す権限情報である。この権限情報は、認証結果受信部112が、認証結果とともに認証部310から受信してもよい。他の例として、認証済情報は、デバイス(ECU)の証明書、ユーザの証明書、マスタクロック50にアクセスするためのパスワード、ランダム値に設定されたセッションID、又は同期マスタ部120とマスタクロック50との間で生成される秘密鍵であってもよい。あるいは、認証済情報は、上述したパスワード等の生成に使用される情報であってもよい。
【0032】
ここで、「認証済情報」とは、認証部でアクセス許可を受けていることを直接的に示す情報はもちろん、アクセス許可を受けたことによって生成することが可能なパスワードや鍵情報のように、アクセス許可を受けていることを間接的に示すものであってもよい。
【0033】
認証済情報送信部113は、例えば、認証済情報を定期的に認証管理部210に送信する。あるいは、パスワード、セッションID、秘密鍵、又は認証部310によるアクセス許可自体に有効期限が設定されている場合、認証済情報送信部113は、有効期限が過ぎて新たな認証済情報が生成される度に認証済情報を認証管理部210に送信する。
【0034】
他の例として、ECU10や同期マスタ部120のソフトウェアの更新が予定されており、ECU10が「停止」することが予め想定される場合には、認証済情報送信部113は、ECU10が停止する前に認証済情報を認証管理部210に送信してもよい。
【0035】
ここで、「停止」とは、ECU全体の機能が停止する場合の他、ECUの一部の機能のみが停止することも含む。
【0036】
同期マスタ部120は主に、後述するECU40のスレーブ部410に、スレーブ部410において基準となる時刻情報を提供する機能を有する。同期マスタ部120は、内部クロック121、時刻情報取得部122、内部クロック制御部123、時刻情報送信部124、及び保存部125を備える。
【0037】
内部クロック121は、同期マスタ部120の時計として機能する。内部クロック121は、絶対的な時刻を計測するものの他、所定の間隔を計測するもの、例えば、カウンタ、発振器であってもよい。
【0038】
時刻情報取得部122は、マスタクロック50にアクセスして、マスタクロック50の基準時刻を「取得」する。例えば、時刻情報取得部122は、マスタクロック50に対して、基準時刻の送信を要求する基準時刻リクエストを送信する。そして、マスタクロック50から、基準時刻リクエストに対する応答として、マスタクロック50の基準時刻を含む基準時刻リプライを受信することによって基準時刻を取得する。
【0039】
ここで、「取得」とは、マスタクロックから基準時刻を受信することによって取得する場合の他、マスタクロックから受信した情報を用いることにより、演算によって基準時刻を取得する場合も含む。
【0040】
あるいは、時刻情報取得部122は、マスタクロック50に対して、内部クロック121の現在時刻を含む基準時刻リクエストを送信してもよい。この場合、時刻情報取得部122は、マスタクロック50から、基準時刻リクエストに対する応答として、内部クロック121の現在時刻とマスタクロック50の基準時刻との差分時刻を含む基準時刻リプライを受信する。そして、時刻情報取得部122は、内部クロック121の現在時刻と、マスタクロック50から送信された基準時刻リプライに含まれる差分時刻とに基づいてマスタクロック50が有する基準時刻を推定することによって基準時刻を取得してもよい。
【0041】
別の方法として、時刻情報取得部122は、IEEE802.1AS規格や、PTP(Precision Time Protocol)の仕様に基づく時刻同期の手法を利用して、マスタクロック50と時刻同期を行うことで、基準時刻を取得してもよい。
【0042】
なお、時刻情報取得部122は、認証結果受信部112が認証部310からアクセス許可を示す認証結果を受信している場合に限り、マスタクロック50にアクセスして基準時刻を取得することができる。
【0043】
内部クロック制御部123は、内部クロック121の時刻が時刻情報取得部122で取得した基準時刻となるように、内部クロック121を制御する。したがって、内部クロック121の時刻は、基準時刻と等しくなる。
【0044】
時刻情報送信部124は、ECU40のスレーブ部410に、内部クロック121の時刻を示す時刻情報を送信する。上述したとおり、内部クロック制御部123によって、内部クロック121の時刻は時刻情報取得部122が取得した基準時刻と等しくなるように制御されている。したがって、時刻情報送信部124が送信する時刻情報とは、基準時刻を「示す」時刻情報であるといえる。なお、時刻情報送信部124が送信する時刻情報は、基準時刻そのものでなくともよい。同期マスタ部120は、スレーブ部410に対して、スレーブ部410の内部クロックの時刻の送信を予め要求し、スレーブ部410の時刻と、内部クロック121の時刻である基準時刻との差分を示す差分時刻を、時刻情報としてスレーブ部410に送信してもよい。このような差分時刻は、間接的に基準時刻を示すものである。なお、スレーブ部410の時刻の精度を高めるために、時刻情報送信部124は、定期的に時刻情報をスレーブ部410に送信することが望ましい。
【0045】
「示す」とは、基準時刻を直接的に示す場合の他、基準時刻を間接的に示す場合も含む。
【0046】
保存部125は、SRAMやDRAMといった揮発性メモリ、フラッシュメモリやハードディスク等の不揮発性メモリであり、認証済情報を保存する。上述した認証済情報送信部113は、保存部125に保存されている認証済情報を取得して、認証管理部210に送信する。
【0047】
上述したとおり、ECU10は、スレーブ部410に対して基準となる時刻情報を提供する電子制御装置であることから、「マスタ装置」とも称される。
【0048】
3.ECU20の構成
ECU20は、ECU10と同様、認証管理部210及び同期マスタ部220を有する。図3を参照して、認証管理部210及び同期マスタ部220の構成を説明する。
ECU20は、ECU10と同様、認証管理部210及び同期マスタ部220を有する。図3を参照して、認証管理部210及び同期マスタ部220の構成を説明する。
【0049】
ECU20の認証管理部210は、認証済情報受信部211を備える。認証済情報受信部211は、ECU10の認証済情報送信部113から送信された「認証済情報」を受信する。上述したとおり、認証済情報は、マスタクロック50へのアクセスが許可されていることを示す情報である。認証済情報受信部211が受信した認証済情報は、後述する保存部225に保存される。
【0050】
認証管理部210は、認証管理部110と同様、同期マスタ部220からマスタクロック50へのアクセスを管理する機能を有する。認証を受けていない同期マスタ部220がマスタクロック50にアクセスしようとすると、アクセスを遮断する。ただし、同期マスタ部220自身が認証を受けていなくともよく、認証済情報受信部211が認証済情報を受信している場合には、同期マスタ部220は、認証済情報受信部211が受信した認証済情報を利用することでマスタクロック50へアクセスすることが可能であり、この場合には同期マスタ部220からマスタクロック50へのアクセスは遮断されない。
【0051】
同期マスタ部220は、同期マスタ部120と同様、内部クロック221、時刻情報取得部222、内部クロック制御部223、時刻情報送信部224、保存部225を備え、停止検出部226をさらに備える。
【0052】
内部クロック221は、同期マスタ部220の時計として機能するものであり、絶対的な時刻を計測するものの他、所定の間隔を計測するもの、例えば、カウンタ、発振器であってもよい。
【0053】
時刻情報取得部222は、認証済情報受信部211が受信した認証済情報を用いてマスタクロック50にアクセスして、マスタクロック50の基準時刻を「取得」する。時刻情報取得部122と同じく、時刻情報取得部222は基準時刻リクエストをマスタクロック50に送信し、マスタクロック50から基準時刻リプライを受信することによって基準時刻を取得する。ただし、ECU20の時刻情報取得部222は、後述する停止検出部226がECU10が停止したことを検出した場合に限り、マスタクロック50にアクセスして基準時刻を取得する。
【0054】
内部クロック制御部223は、内部クロック221の時刻が時刻情報取得部222で取得した基準時刻となるように、内部クロック221を制御する。
【0055】
時刻情報送信部224は、ECU40のスレーブ部410に、内部クロック221の時刻を「示す」時刻情報を送信する。
【0056】
保存部225は、SRAMやDRAMといった揮発性メモリ、フラッシュメモリやハードディスク等の不揮発性メモリであり、認証済情報受信部211が受信した認証済情報を保存する。
【0057】
停止検出部226は、ECU10が「停止」したことを「検出」する。例えば、ECU10の認証済情報送信部113が認証済情報を定期的に送信する構成においては、認証済情報受信部211が認証済情報を受信することができない場合に、停止検出部226はECU10の認証管理部110の機能が停止していることを検出する。あるいは、停止検出部226は、スレーブ部410から、同期マスタ部120から時刻情報を受信できないことを示すメッセージを受信した場合に、ECU10の同期マスタ部120の機能が停止していることを検出してもよい。
【0058】
「検出」とは、電子制御装置自身でマスタ装置の停止を検出する場合の他、他の装置からマスタ装置が停止したことを示す情報を受信することによって、検出する場合も含む。
【0059】
上述したとおり、ECU20は、ECU10が停止した場合に、マスタ装置であるECU10に代わって、スレーブ部410に対して基準となる時刻情報を提供することが可能な電子制御装置であることから、「予備マスタ装置」とも称される。
【0060】
本実施形態では、マスタ装置として必要とされるECU10の構成、及び予備マスタ装置として必要とされるECU20の構成をそれぞれ説明した。しかしながら、ECU10及びECU20は、同じ構成であってもよい。例えば、ECU20の認証管理部210は、ECU10と同様、認証要求送信部及び認証結果受信部をさらに備え、ECU10の同期マスタ部120は、ECU20と同様、停止検出部をさらに備えてもよい。
【0061】
4.ECU30の構成
ECU30は、認証部310を有する。認証部310は、IAM(Identity and Access Management)機能におけるPDP(Policy Decision Point)に相当する。
ECU30は、認証部310を有する。認証部310は、IAM(Identity and Access Management)機能におけるPDP(Policy Decision Point)に相当する。
【0062】
認証部310は、認証要求送信部111から、同期マスタ部120からマスタクロック50へのアクセスの認証要求を受信すると、同期マスタ部120がマスタクロック50へアクセスすることができるかどうかの認証を行う。
【0063】
認証部310はさらに、同期マスタ部120からマスタクロック50へのアクセスの認証結果を、同期マスタ部120に送信する。
【0064】
なお、認証部310による同期マスタ部120からマスタクロック50へのアクセス許可には、有効期限が設定されることが望ましい。マスタクロック50へのアクセス許可に有効期限が設定され、認証部310での認証が定期的に行われることにより、例えば、電子制御システム1の外部から、同期マスタ部120を介してマスタクロック50が不正にアクセスされることを防ぐことができる。
【0065】
5.ECU40の構成
ECU40は、スレーブ部410を有する。スレーブ部410は内部クロック(図示せず)を有し、同期マスタ部120から受信した時刻情報に合わせて、内部クロックが示す時刻を補正する。これにより、スレーブ部410において基準となる時刻は、同期マスタ部120から受信した時刻情報が示す時刻となる。
ECU40は、スレーブ部410を有する。スレーブ部410は内部クロック(図示せず)を有し、同期マスタ部120から受信した時刻情報に合わせて、内部クロックが示す時刻を補正する。これにより、スレーブ部410において基準となる時刻は、同期マスタ部120から受信した時刻情報が示す時刻となる。
【0066】
スレーブ部410が同期マスタ部120から時刻情報を受信することができない場合、スレーブ部410の時刻と他のスレーブ部の時刻との間にずれが生じ、時刻同期の精度が低下するおそれがある。そのため、スレーブ部410は、一定時間にわたって同期マスタ部120から時刻情報を受信できない場合には、同期マスタ部120と同様の機能を有する同期マスタ部220に対し、同期マスタ部120から時刻情報を受信できないことを示すメッセージを送信する。あるいは、スレーブ部410は、同期マスタ部220に対して、時刻情報を要求するメッセージを送信してもよい。ECU20の停止検出部226が同期マスタ部120の機能が停止したことを検出することで、スレーブ部410は時刻情報を再び同期マスタ部220から受信できるようになる。
【0067】
スレーブ部410は例えば、車両の操舵、加減速、ハンドルといった車両の制御を行うECUの機能である。スレーブ部410において基準となる時刻が、同期マスタ部120又は同期マスタ部220、ひいてはマスタクロック50と同期されることにより、スレーブ部410は、例えばGPSや車載センサ等と共有する時間軸を有することができる。その結果、これらのGPSや車載センサが取得した情報に基づいて判断される車両の絶対位置や、周辺物体に対する相対位置において、スレーブ部410は適切なタイミングで制御を行うことが可能となる。
【0068】
なお、本実施形態では、ECU40のみが、同期マスタ部120又は同期マスタ部220から時刻情報を提供されるスレーブ部410を有する構成を説明した。しかしながら、スレーブ部410は任意のECUに設けられる構成である。例えば、ECU10乃至ECU30がスレーブ部をそれぞれ有し、同期マスタ部120又は同期マスタ部220は、これらのECUに設けられた複数のスレーブ部410に対して時刻情報を提供してもよい。
さらに、図1では、電子制御システム1が、スレーブ部410を有するECU40を1つのみ有する構成を説明しているが、当然のことながらスレーブ部410を有するECUを複数有していてもよい。
さらに、図1では、電子制御システム1が、スレーブ部410を有するECU40を1つのみ有する構成を説明しているが、当然のことながらスレーブ部410を有するECUを複数有していてもよい。
【0069】
6.電子制御システム1の動作
次に、図4~図6を用いて、電子制御システム1、及び電子制御システム1が有する各電子制御装置の動作を説明する。図4は、電子制御システム1全体の動作を示す図である。図5は、マスタ装置であるECU10の動作を、図6は予備マスタ装置であるECU20の動作をそれぞれ示している。図4に示す符号と、図5、図6に示す符号はそれぞれ対応しており、同じ符号は同じ処理を示している。
次に、図4~図6を用いて、電子制御システム1、及び電子制御システム1が有する各電子制御装置の動作を説明する。図4は、電子制御システム1全体の動作を示す図である。図5は、マスタ装置であるECU10の動作を、図6は予備マスタ装置であるECU20の動作をそれぞれ示している。図4に示す符号と、図5、図6に示す符号はそれぞれ対応しており、同じ符号は同じ処理を示している。
【0070】
各電子制御装置の動作は、電子制御装置で実行される時刻情報提供方法を示すだけでなく、電子制御装置で実行可能な時刻情報提供プログラムの処理手順を示すものである。そして、これらの処理は、図4~図6で示した順序には限定されない。すなわち、あるステップでその前段のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。
【0071】
まず、図4、図5を用いて、主にECU10の動作を説明する。
ECU10において、認証管理部110の認証要求送信部111は、ECU30の認証部310に、同期マスタ部120からマスタクロック50へのアクセスの認証を要求する認証要求を送信する(S101)。
ECU10において、認証管理部110の認証要求送信部111は、ECU30の認証部310に、同期マスタ部120からマスタクロック50へのアクセスの認証を要求する認証要求を送信する(S101)。
【0072】
ECU30において、認証部310は、認証要求送信部111から送信された認証要求を受信すると、同期マスタ部120からマスタクロック50へのアクセスを許可するかどうかの認証を行う(S102)。そして、認証部310は、S102における認証結果を認証管理部110に送信する。
【0073】
認証管理部110の認証結果受信部112は、認証部310から送信された認証結果を受信する(S103)。
ここで、S103で受信した認証結果が、同期マスタ部120からマスタクロック50へのアクセスが許可されたことを示している場合、時刻情報取得部122は、基準時刻の送信を要求する基準時刻リクエストを送信する(S104)。
そして、時刻情報取得部122は、マスタクロック50から基準時刻リプライを受信することにより、基準時刻を取得する(S105)。
時刻情報送信部124は、S105で取得した基準時刻を示す時刻情報を、スレーブ部410に送信する(S106)。
認証済情報送信部113は、同期マスタ部120からマスタクロック50へのアクセスが許可されたことを示す認証済情報を、ECU20に送信する(S107)。
ここで、S103で受信した認証結果が、同期マスタ部120からマスタクロック50へのアクセスが許可されたことを示している場合、時刻情報取得部122は、基準時刻の送信を要求する基準時刻リクエストを送信する(S104)。
そして、時刻情報取得部122は、マスタクロック50から基準時刻リプライを受信することにより、基準時刻を取得する(S105)。
時刻情報送信部124は、S105で取得した基準時刻を示す時刻情報を、スレーブ部410に送信する(S106)。
認証済情報送信部113は、同期マスタ部120からマスタクロック50へのアクセスが許可されたことを示す認証済情報を、ECU20に送信する(S107)。
【0074】
次に、図4、図6を用いて、主にECU20の動作を説明する。
ECU20において、認証管理部210の認証済情報受信部211は、S107で認証済情報送信部113から送信された認証済情報を受信する(S200)。
同期マスタ部220の停止検出部226が、ECU10が停止したことを検出すると(S201:Yes)、時刻情報取得部222は、基準時刻の送信を要求する基準時刻リクエストをマスタクロック50に送信する(S202)。
そして、時刻情報取得部222は、マスタクロック50から基準時刻リプライを受信することにより、基準時刻を取得する(S203)。
時刻情報送信部224は、S110で取得した基準時刻を示す時刻情報を、スレーブ部410に送信する(S204)。
ECU20において、認証管理部210の認証済情報受信部211は、S107で認証済情報送信部113から送信された認証済情報を受信する(S200)。
同期マスタ部220の停止検出部226が、ECU10が停止したことを検出すると(S201:Yes)、時刻情報取得部222は、基準時刻の送信を要求する基準時刻リクエストをマスタクロック50に送信する(S202)。
そして、時刻情報取得部222は、マスタクロック50から基準時刻リプライを受信することにより、基準時刻を取得する(S203)。
時刻情報送信部224は、S110で取得した基準時刻を示す時刻情報を、スレーブ部410に送信する(S204)。
【0075】
ECU10の同期マスタ部120は、マスタクロック50へのアクセスが許可されていることを示す認証済情報を、同期マスタ部120の予備として機能する同期マスタ部220に送信する。これにより、ECU10に何らかの異常が発生したり更新が行われることによって、ECU10の機能が停止してスレーブ部410に基準となる時刻情報を提供できなくなった場合に、予備の同期マスタ部220はマスタクロック50へのアクセスの認証を受けることなく、マスタクロック50にアクセスして基準時刻を取得するとともに、取得した基準時刻を示す時刻情報をスレーブ部410に提供することが可能となる。
【0076】
以上、本実施形態の構成によれば、同期マスタ部からマスタクロックへのアクセスを認証することにより、マスタクロックへの不正なアクセスを防止してセキュリティ性を確保することが可能となる。さらに、使用中の同期マスタ部に代わって、予備の同期マスタ部がスレーブ部に時刻情報を提供する場合に、予め送信された認証済情報を利用することで、新たに認証を受けることなくマスタクロックにアクセスすることができるため、同期マスタ部の変更する時間を短縮することができる。
【0077】
7.総括
以上、本発明の各実施形態における電子制御装置、及び当該電子制御装置を備える電子制御システムの特徴について説明した。
以上、本発明の各実施形態における電子制御装置、及び当該電子制御装置を備える電子制御システムの特徴について説明した。
【0078】
各実施形態で使用した用語は例示であるので、同義の用語、あるいは同義の機能を含む用語に置き換えてもよい。
【0079】
実施形態の説明に用いたブロック図は、装置の構成を機能毎に分類及び整理したものである。それぞれの機能を示すブロックは、ハードウェア又はソフトウェアの任意の組み合わせで実現される。また、機能を示したものであることから、かかるブロック図は方法の発明、及び当該方法を実現するプログラムの発明の開示としても把握できるものである。
【0080】
各実施形態に記載した処理、フロー、及び方法として把握できる機能ブロック、については、一のステップでその前段の他のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。
【0081】
各実施形態、及び特許請求の範囲で使用する、第1、第2、乃至、第N(Nは整数)、の用語は、同種の2以上の構成や方法を区別するために使用しており、順序や優劣を限定するものではない。
【0082】
各実施形態の電子制御装置は、車両に搭載される車載を構成する電子制御装置であることを前提としているが、本発明の電子制御装置は、特許請求の範囲で特に限定する場合を除き、任意の電子制御システムに適用される。
【0083】
また、本発明の装置の形態の例として、以下のものが挙げられる。
部品の形態として、半導体素子、電子回路、モジュール、マイクロコンピュータが挙げられる。
半完成品の形態として、電子制御装置(ECU(Electric Control Unit))、システムボードが挙げられる。
完成品の形態として、携帯電話、スマートフォン、タブレット、パーソナルコンピュータ(PC)、ワークステーション、サーバが挙げられる。
その他、通信機能を有するデバイス等を含み、例えばビデオカメラ、スチルカメラ、カーナビゲーションシステムが挙げられる。
部品の形態として、半導体素子、電子回路、モジュール、マイクロコンピュータが挙げられる。
半完成品の形態として、電子制御装置(ECU(Electric Control Unit))、システムボードが挙げられる。
完成品の形態として、携帯電話、スマートフォン、タブレット、パーソナルコンピュータ(PC)、ワークステーション、サーバが挙げられる。
その他、通信機能を有するデバイス等を含み、例えばビデオカメラ、スチルカメラ、カーナビゲーションシステムが挙げられる。
【0084】
また各装置に、アンテナや通信用インターフェースなど、必要な機能を追加してもよい。
【0085】
加えて、本発明は、各実施形態で説明した構成及び機能を有する専用のハードウェアで実現できるだけでなく、保存部やハードディスク等の記録媒体に記録した本発明を実現するためのプログラム、及びこれを実行可能な専用又は汎用CPU及び保存部等を有する汎用のハードウェアとの組み合わせとしても実現できる。
【0086】
専用や汎用のハードウェアの非遷移的実体的記録媒体(例えば、外部記憶装置(ハードディスク、USB保存部、CD/BD等)、又は内部記憶装置(RAM、ROM等))に格納されるプログラムは、記録媒体を介して、あるいは記録媒体を介さずにサーバから通信回線を経由して、専用又は汎用のハードウェアに提供することもできる。これにより、プログラムのアップグレードを通じて常に最新の機能を提供することができる。
【産業上の利用可能性】
【0087】
本発明の電子制御装置は、主として自動車に搭載される車載用電子制御装置として説明したが、自動二輪車、船舶、鉄道、航空機等、移動する移動体全般に適用することが可能である。また、移動体に限らず、マイクロコンピュータを包含する製品全般に適用可能である。
【符号の説明】
【0088】
1 電子制御システム、10 電子制御装置、20 電子制御装置、50 マスタクロック、111 認証要求送信部、112 認証結果受信部、113 認証済情報送信部、122,222 時刻情報取得部、124,224 時刻情報送信部、211 認証済情報受信部、226 停止検出部、310 認証部、410 スレーブ部
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
