ホーム > 特許ランキング > 三菱電機モビリティ株式会社
知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2025-02-06
(45)【発行日】2025-02-17
(54)【発明の名称】制御装置
(51)【国際特許分類】
B60W 50/04 20060101AFI20250207BHJP
【FI】
B60W50/04
【請求項の数】
8
(21)【出願番号】P 2023522130
(86)(22)【出願日】2021-05-20
(86)【国際出願番号】 JP2021019205
(87)【国際公開番号】W WO2022244200
(87)【国際公開日】2022-11-24
【審査請求日】2023-10-24
(73)【特許権者】
【識別番号】324003048
【氏名又は名称】三菱電機モビリティ株式会社
(74)【代理人】
【識別番号】110002941
【氏名又は名称】弁理士法人ぱるも特許事務所
(72)【発明者】
【氏名】池頭 俊樹
【審査官】鶴江 陽介
(56)【参考文献】
【文献】特開2013-131907(JP,A)
【文献】特開2010-092174(JP,A)
【文献】特開2019-133599(JP,A)
【文献】特開2017-047835(JP,A)
【文献】特開2019-046176(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
B60W 30/00-60/00
G08G 1/00- 1/16
(57)【特許請求の範囲】
【請求項1】
制御対象との間でデータの通信を行う制御装置において、前記制御対象の制御処理を実行する制御部と、前記制御対象に対して通信データを送受信する通信部と、前記制御部の制御値と制御処理動作プログラムが記憶されているメモリを具備する記憶部と、前記制御部の制御処理を監視する処理監視部と、前記通信部の通信データを監視する通信監視部と、前記記憶部のメモリを監視するメモリ監視部と、前記処理監視部と前記通信監視部と前記メモリ監視部の監視結果から前記制御処理が異常か判定する異常判定部と、前記制御部の制御状態、車両制御システムの制御状態、車両の周辺環境状態、車両の位置情報、車両との通信状態、車内の運転者の状態、前記制御部の処理負荷状態、前記車両制御システムの攻撃状態、のいずれかの状態を取得する状態管理部と、前記状態により、前記処理監視部と前記通信監視部と前記メモリ監視部のそれぞれの監視方法と、前記それぞれの監視方法の優先度を決定する監視管理部と、を備えていることを特徴とする制御装置。
【請求項2】
前記監視管理部は、前記それぞれの監視方法と前記それぞれの監視方法の優先度により、前記通信監視部のみ監視、前記処理監視部のみ監視、前記メモリ監視部のみ監視、もしくは、前記通信監視部、前記処理監視部、前記メモリ監視部の組み合わせによる監視、のいずれかの組み合わせによる監視方法を決定することを特徴とする請求項1に記載の制御装置。
【請求項3】
前記監視管理部は、前記それぞれの監視方法と前記それぞれの監視方法の優先度により、前記通信監視部、前記処理監視部、前記メモリ監視部のいずれかの組み合わせによる監視方法を決定するとともに、前記通信監視部の通信データの監視方法、前記処理監視部の制御処理の監視方法、前記メモリ監視部の制御値、制御処理のメモリの監視方法を決定することを特徴とする請求項1または請求項2記載の制御装置。
【請求項4】
前記監視管理部は、前記状態管理部より前記制御装置が通信中の状態である場合、前記通信監視部の優先度を他の監視部よりも高くし、前記状態管理部より前記制御装置の処理負荷の状態によって、前記通信監視部のみ監視、前記通信監視部と前記処理監視部のみ監視、前記通信監視部と前記メモリ監視部のみ監視、前記通信監視部と前記処理監視部と前記メモリ監視部の監視、のいずれかの組み合わせによる監視方法を決定するとともに、前記通信監視部の通信データの監視方法を決定することを特徴とする請求項1から請求項3のいずれか1項に記載の制御装置。
【請求項5】
前記監視管理部は、前記状態管理部より車両が走行中の状態である場合、前記処理監視部の優先度を他の監視部よりも高くし、前記状態管理部より前記制御装置の処理負荷の状態によって、前記処理監視部のみ監視、前記処理監視部と前記通信監視部のみ監視、前記処理監視部と前記メモリ監視部のみ監視、前記通信監視部と前記処理監視部と前記メモリ監視部の監視、のいずれかの組み合わせによる監視方法を決定するとともに、前記処理監視部の制御処理の監視方法を決定することを特徴とする請求項1から請求項3のいずれか1項に記載の制御装置。
【請求項6】
前記監視管理部は、前記状態管理部より車両が止まっている状態である場合、前記メモリ監視部の優先度を他の監視部よりも高くし、前記状態管理部より前記制御装置の処理負荷の状態によって、前記メモリ監視部のみ監視、前記メモリ監視部と前記通信監視部のみ監視、前記メモリ監視部と前記処理監視部のみ監視、前記メモリ監視部と前記通信監視部と前記処理監視部の監視、のいずれかの組み合わせによる監視方法を決定するとともに、前記メモリ監視部の制御値と制御処理のメモリの監視方法を決定することを特徴とする請求項1から請求項3のいずれか1項に記載の制御装置。
【請求項7】
前記異常判定部は、前記処理監視部、前記通信監視部、前記メモリ監視部の監視対象となる監視値の正常値と監視結果を比較し、正常値と一致しなかった場合、前記制御装置が異常であると判定することを特徴とする請求項1に記載の制御装置。
【請求項8】
前記状態管理部は、車両がサイバー攻撃を受けている状態かを取得し、前記通信監視部の監視結果によって前記異常判定部で異常と判定された場合、前記状態管理部は、通信攻撃状態となり、前記監視管理部は、前記通信監視部の優先度を他の監視部よりも高くし、前記処理監視部の監視結果によって前記異常判定部で異常と判定された場合、前記状態管理部は、処理攻撃状態となり、前記監視管理部は、前記処理監視部の優先度を他の監視部よりも高くし、前記メモリ監視部の監視結果によって前記異常判定部で異常と判定された場合、前記状態管理部は、メモリ攻撃状態となり、前記監視管理部は、前記メモリ監視部の優先度を他の監視部よりも高くすることを特徴とする請求項1または請求項2に記載の制御装置。
【発明の詳細な説明】
【技術分野】
【0001】
本願は、制御装置に関するものである。
【背景技術】
【0002】
近年、自動車の車載システムはネットワークを介して車外の装置と接続されるようになり、悪意のある第三者が外部からネットワークを介して車載システムに侵入するリスクがある。第三者が車載システムに侵入すると、車両に搭載される制御装置である、例えばECU(Electronic Control Unit)において、ECUのプログラムが改ざんされ、第三者に制御装置の制御が乗っ取られ遠隔操作されて車両の事故につながる可能性がある。
【0003】
従来の車載システムでは、一部の装置が故障した場合でも、故障によって発生した異常を検知し、フェールセーフによって機能を縮退するなど、安全な走行ができるように、異常対処方法が考えられている。
【0004】
しかし、プログラムが改ざんされ、故障によって異常を検知する仕組みを変更される、もしくは異常検知の対象となる情報を正常な値になりすまされると、異常として検知することが困難となる。
【0005】
サイバー攻撃を受けて車両の異常を検知する仕組みとして、通信データを監視する仕組みが検討される。セキュリティの技術として、メッセージ認証あるいはディジタル署名などがあり、通信データのなりすましによる異常を検知することができるが、既知の攻撃シナリオに対して対策された技術であり、未知のサイバー攻撃に対応できるとは言えない。プログラムが改ざんされると、異常として検知することが困難となるため、通信データだけでなく車両あるいはECUの挙動を監視する必要がある。
【0006】
未知のサイバー攻撃対策の一つとして、セキュアブートがあるが、起動時にメモリチェックを行うため、走行中に攻撃を受けた場合に対応できない。また、走行中、常にメモリをチェックすると処理負荷が大きい課題がある。そこで、起動時だけでなく走行中にサイバー攻撃を受けても制御処理の処理負荷を抑えつつ異常を検知し、車を安全に走行可能にする仕組みが必要である。
【0007】
特許文献1は、受信した制御フレームに対して所定期間内に異常フレームかどうかを判断し、異常フレームを検知することができるとしている。制御フレームには制御状態の状態フレームを含んでいる。
【0008】
特許文献2は、車両の状態に応じて通信データの監視方法を変え、データ処理の負荷を増大させず、異常データを検知することができるとしている。
【0009】
特許文献3は、電子制御装置の動作条件であるシーケンスの処理順番、実行条件、実行タイミング、制御値、通信項目などから別の電子制御装置が動作状態を記録し、さらに別の電子制御装置が動作状態を監視し、正規の状態のものから逸脱した場合、異常を検出することができるとしている。
【先行技術文献】
【特許文献】
【0010】
【文献】特許第6280662号公報
【文献】特許第6531011号公報
【文献】国際公開第2019/159615号
【発明の概要】
【発明が解決しようとする課題】
【0011】
特許文献1に記載された従来技術には、次のような課題がある。特許文献1では、通信路から受信する制御状態の状態フレームを含む制御フレームの異常を検知することができるが、制御処理そのものが改ざんされている場合、異常検知の見逃し、誤検知をする可能性がある。
【0012】
また、特許文献2に記載された従来技術では、車両の状態に応じて通信データの監視方法を変えることで処理負荷を抑えつつ異常な通信データを検知することができるが、特許文献1同様、制御処理そのものが改ざんされている場合、異常検知の見逃し、誤検知をする可能性がある。
【0013】
また、特許文献3に記載された従来技術では、シーケンスの処理順番あるいは制御値、通信項目を監視対象としているが、メモリまでは監視対象としていない。メモリが改ざんされ、シーケンスのステップの中で別の新たな処理が追加された場合、シーケンスは正常なルートを通り本来の制御値が実行され、本来のシーケンスと並行して制御に関わる重要な値が別の新たな処理を通ってしまう異常が起きると、検知することができない。また、シーケンスのステップで起きた異常を検知するには、シーケンスが終了しないといけない。また、処理負荷は考慮されていない。制御装置の監視に二つの制御装置が必要な構成となるため、一つの制御装置では異常を検知することができない。
【0014】
本願は、このような問題を解決するためになされたものであり、制御処理における通信データ、処理、メモリを監視し、処理負荷を抑えつつ最適な監視をすることにより、サイバー攻撃を受けても通信データと制御処理とメモリの異常を検知し、制御処理の異常を検知することができる制御装置を得ることを目的とする。
【課題を解決するための手段】
【0015】
本願に開示にされる制御装置は、制御対象との間でデータの通信を行う制御装置において、前記制御対象の制御処理を実行する制御部と、前記制御対象に対して通信データを送受信する通信部と、前記制御部の制御値と制御処理動作プログラムが記憶されているメモリを具備する記憶部と、前記制御部の制御処理を監視する処理監視部と、前記通信部の通信データを監視する通信監視部と、前記記憶部のメモリを監視するメモリ監視部と、前記処理監視部と前記通信監視部と前記メモリ監視部の監視結果から前記制御処理が異常か判定する異常判定部と、前記制御部の制御状態、車両制御システムの制御状態、車両の周辺環境状態、車両の位置情報、車両との通信状態、車内の運転者の状態、前記制御部の処理負荷状態、前記車両制御システムの攻撃状態、のいずれかの状態を取得する状態管理部と、前記状態により、前記処理監視部と前記通信監視部と前記メモリ監視部のそれぞれの監視方法と、前記それぞれの監視方法の優先度を決定する監視管理部と、を備えている。
【発明の効果】
【0016】
本願の制御装置によれば、サイバー攻撃による通信データもしくは制御処理もしくはメモリの異常を検知することで、制御処理の異常を検知し、制御対象を安全に制御することができる。
【図面の簡単な説明】
【0017】
【図1】実施の形態1に係る制御装置の機能ブロック図である。
【図2】実施の形態1に係る制御装置の監視管理部が決定する監視方法の組み合わせを示す図である。
【図3】実施の形態1に係る制御装置の監視管理部が決定する通信監視部の監視方法の組み合わせを示す図である。
【図4】実施の形態1に係る制御装置の監視管理部が決定する処理監視部の監視方法の組み合わせを示す図である。
【図5】実施の形態1に係る制御装置の監視管理部が決定するメモリ監視部の監視方法の組み合わせを示す図である。
【図6】実施の形態1に係る制御装置の制御処理を示すフローチャートである。
【図7】実施の形態1に係る制御装置の異常判定処理を示すフローチャートである。
【図8】実施の形態1に係る制御装置の監視方法を決定する処理を示すフローチャートである。
【図9】実施の形態1に係る制御装置のハードウェア構成の一例を示す図である。
【発明を実施するための形態】
【0018】
以下に、本願に開示される制御装置の好適な実施の形態について、図面を用いて説明する。なお、以下では、制御装置の具体例として、制御対象を車両および車載機器とする車載制御装置(ECU)に適用する場合について、詳細に説明する。
【0019】
実施の形態1.
図1は、実施の形態1に係る制御装置を適用した車載制御装置(ECU)の機能ブロック図である。本実施の形態1における車載制御装置(以下、制御装置10と称する)は、制御部100、通信部101、記憶部102、処理監視部103、通信監視部104、メモリ監視部105、異常判定部106、状態管理部107および監視管理部108を備えて構成されている。
図1は、実施の形態1に係る制御装置を適用した車載制御装置(ECU)の機能ブロック図である。本実施の形態1における車載制御装置(以下、制御装置10と称する)は、制御部100、通信部101、記憶部102、処理監視部103、通信監視部104、メモリ監視部105、異常判定部106、状態管理部107および監視管理部108を備えて構成されている。
【0020】
制御装置10は、車両の制御を行う車載制御装置である。制御装置10は、車両内部の他の制御装置(例えば、待機用制御装置、電動パワーステアリング装置など)と、図示しない通信線、例えばCAN(Controller Area Network)、を介して接続されている。
【0021】
制御部100は、車内に搭載されている制御対象の機器を制御する機能を有している。この制御部100は、制御装置10に一つもしくは複数存在してもよい。なお、図1では、制御対象の機器を図示しておらず、以下の説明では、制御対象の機器のことを、単に制御対象と称する。車内に搭載されている制御対象とは、例えば、アクチュエーターである。
【0022】
具体的には、制御部100は、制御対象に対応した制御用プログラムデータを記憶部102のROMとRAMから読み出して、読み出したプログラムを実行することで、制御対象の制御を行う。また、制御方法は複数存在してもよい。
【0023】
通信部101は、他の制御装置と通信データを送受信する機能を有している。例えばCAN通信の通信データを送受信する機能である。
【0024】
記憶部102は、制御部100の制御処理である動作プログラムおよび動作時に使用する制御値が記録されているメモリを具備する。メモリはROMあるいはRAMである。
【0025】
処理監視部103は、制御部100で使用する制御処理の実行順序もしくは実行回数、もしくは実行時間を取得する。また、他の情報を取得してもよい。対象とする制御処理は制御処理全体、もしくは部分的な処理でもよい。
【0026】
通信監視部104は、通信部101で受信する通信データの通信ID、データ長、データ値、データ値の変化量、通信周期、通信頻度を取得する。また、他の情報を追加してもよい。
【0027】
メモリ監視部105は、記憶部102で記憶する制御値もしくは制御処理のメモリを取得する。また、他の情報を追加してもよい。また、メモリデータをハッシュ化など圧縮して取得してもよい。
【0028】
異常判定部106は、処理監視部103と通信監視部104とメモリ監視部105の監視結果と正常値と比較する。正常値は、正常動作時の処理監視部103と通信監視部104とメモリ監視部105の監視対象となる値を事前に記憶部102のROMもしくはRAMに保管する。
【0029】
異常判定部106は、メモリ監視部105の監視結果と正常値を比較する場合、メモリを分割して一致するか比較してもよい。また、メモリデータをハッシュ化など圧縮して比較してもよい。セキュリティ強化あるいは処理高速化のために、HSM(Hardware Security Module)で比較してもよい。
【0030】
異常判定部106は、監視結果と正常値の比較結果が一致しなかった場合、異常と判定する。異常と判定する要件は、比較結果が通信監視部104の監視結果が正常値と一致しない、もしくは処理監視部103の監視結果が正常値と一致しない、もしくはメモリ監視部105の監視結果が正常値と一致しない場合のいずれかである。
【0031】
異常判定部106は、異常と判定した場合、異常対応処理に移行してもよい。異常対応処理は、例えば、通信線の切り替え、待機用制御装置への切り替え、制御装置の機能縮退などである。正常と判定した場合、通常の制御部100の制御処理を引き続き実行する。
【0032】
状態管理部107は、車両の状態を取得する。制御装置10の制御状態、車両制御システムの制御状態、車両の周辺環境状態、車両の位置情報、制御装置10の通信状態、車内の運転者の状態、制御装置10の処理負荷状態、制御装置10に対するサイバー攻撃状態のいずれかの状態を取得する。
【0033】
制御装置10の制御状態は、具体的には、制御装置10の起動状態あるいはスリープ状態などを示す。また、他の状態を取得してもよい。
【0034】
車両制御システムの制御状態は、具体的には、車両動作の走る、曲がる、止まるといった動作状態を示す。また、他の状態を取得してもよい。
【0035】
車両の周辺環境状態は、具体的には、渋滞などの交通状況あるいは雪などの天候を示す。また、他の状態を取得してもよい。
【0036】
車両の位置情報は、具体的には、トンネル内あるいは交差点などを示す。また、他の状態を取得してもよい。
【0037】
制御装置10の通信状態は、具体的には、制御装置10が通信中であるか通信中ではないかを示す。また、通信状態は細かく分類してもよい。
【0038】
車内の運転者の状態は、具体的には、運転者が寝ている、疲れているなどの状態を示す。また、他の状態を取得してもよい。
【0039】
制御装置10の処理負荷状態は、具体的には、制御装置10の処理負荷が小さくて処理に余裕があるか、処理負荷が大きくて処理に余裕がないかなどを示す。また、状態は細かく分類してもよい。
【0040】
制御装置10に対するサイバー攻撃状態は、具体的には、異常判定部106で異常と判定された場合、通信監視部104の監視結果によって通信異常状態なのか、処理監視部103の監視結果によって処理異常状態なのか、メモリ監視部105の監視結果によってメモリ異常状態なのかを示す。
【0041】
監視管理部108は、状態管理部107で取得した状態により、処理監視部103と通信監視部104とメモリ監視部105の監視方法とその優先度を決定する。例えば、制御装置10の通信状態が通信中である場合、異常な通信データを受信していないか検知する必要があるため、通信監視を優先する。車両制御システムの制御状態が走行中である場合、異常処理を起こさないため、処理監視を優先し、停止中である場合、比較的に処理負荷に余裕があるため、メモリ監視を優先する。状態は他の状態を追加、もしくは変更してもよい。
【0042】
監視管理部108は、状態管理部107で取得した状態により、通信異常状態の場合は、通信監視を優先し、処理異常状態の場合は処理監視を優先し、メモリ異常状態の場合は、メモリ監視を優先させる。
【0043】
監視管理部108は、制御装置10の処理負荷状態と優先度に応じて、処理監視部103のみ監視、通信監視部104のみ監視、メモリ監視部105のみ監視、もしくは処理監視部103と通信監視部104とメモリ監視部105の組み合わせによる監視のいずれかの監視方法を決定する。監視方法の組み合わせと優先度を図2に示す。監視方法の組み合わせは、処理負荷に応じて変更してもよい。
【0044】
監視管理部108は、処理監視部103と通信監視部104とメモリ監視部105のそれぞれの監視方法を優先度によって決定する。
【0045】
車両状態に応じて優先される通信監視部104の監視方法を図3に示す。状態管理部107で取得した状態により、制御装置10が通信中状態もしくは通信異常状態によって通信監視が優先される場合、通信監視項目を優先して監視する。通信データの監視項目として、メッセージID、データ、周期、頻度を監視する。処理負荷に応じて監視項目の数を変更する。監視項目は処理負荷に応じて変更、追加してもよい。また、通信監視が優先される状態は他の状態でもよい。
【0046】
車両状態に応じて優先される処理監視部103の監視方法を図4に示す。状態管理部107で取得した状態により、車両が走行中もしくは処理異常状態によって処理監視が優先される場合、処理監視項目を優先して監視する。制御処理の監視項目として、実行順序、実行時間、実行回数を監視する。処理負荷に応じて監視項目の数を変更する。監視項目は処理負荷に応じて変更、追加してもよい。また、処理監視が優先される状態は他の状態でもよい。
【0047】
車両状態に応じて優先されるメモリ監視部105の監視方法を図5に示す。状態管理部107で取得した状態により、車両が停止中もしくはメモリ異常状態によってメモリ監視が優先される場合、メモリ監視項目を優先して監視する。メモリの監視項目として、制御値、制御処理のメモリを監視する。処理負荷に応じて監視項目の数を変更する。また、処理負荷が大きく、処理できない場合は、監視しなくてもよい。監視項目は処理負荷に応じて変更、追加してもよい。また、メモリ監視が優先される状態は他の状態でもよい。
【0048】
次に、制御装置10の制御処理について、図6を用いて詳細に説明する。図6は、本実施の形態1に係る制御部100の制御開始から異常検知処理を経て、制御部100の制御処理を実行するまでの処理の流れを示すフローチャートである
【0049】
ステップS601において、制御部100は、制御処理を開始する。ステップS601終了後、ステップS602へ進む。
【0050】
ステップS602において、異常検知処理を実行する。
ステップS602終了後、ステップS603へ進む。
ステップS602終了後、ステップS603へ進む。
【0051】
ステップS603において、異常検知処理結果が異常と判断された場合、ステップS604へ進む。異常検知処理結果が正常と判断された場合、ステップS605へ進む。
【0052】
ステップS604において、異常判定時の処理を実行する。
【0053】
ステップS605において、制御部100において制御処理を実行する。ステップS605の処理終了後、制御処理を終了する。
【0054】
【0055】
ステップS701において、状態管理部107は、車両状態を取得する。ステップS701終了後、ステップS702へ進む。
【0056】
ステップS702において、監視管理部108は、状態管理部107が取得した状態により監視方法とその優先度を決定する。ステップS702終了後、ステップS703へ進む。
【0057】
ステップS703において、ステップS702で通信監視の優先される場合、ステップS704へ進む。通信監視の優先されない場合、ステップS705へ進む。
【0058】
ステップS704において、通信監視部104は、通信データを監視する。ステップS704終了後、ステップS709へ進む。
【0059】
ステップS705において、ステップS702で処理監視の優先される場合、ステップS706へ進む。処理監視の優先されない場合、ステップS707へ進む。
【0060】
ステップS706において、処理監視部103は、制御処理を監視する。ステップS706終了後、ステップS709へ進む。
【0061】
ステップS707において、ステップS702でメモリ監視の優先される場合、ステップS708へ進む。メモリ監視の優先されない場合、ステップS709へ進む。
【0062】
ステップS708において、メモリ監視部105は、メモリを監視する。ステップS708終了後、ステップS709へ進む。
【0063】
ステップS709において、ステップS702で通信監視、処理監視、メモリ監視の監視方法が複数存在し、処理が完了していない場合、ステップS703へ戻る。処理が完了している場合、ステップS710へ進む。
【0064】
ステップS710において、ステップS704の監視結果、もしくはステップS706の監視結果、もしくはステップS708の監視結果と正常値が一致するか比較する。ステップS710終了後、ステップS711へ進む。
【0065】
ステップS711において、ステップS710の比較結果が、正常値と一致した場合正常と見なし、正常値と一致しない場合異常と見なす。ステップS711終了後、異常検知処理を終了する。
【0066】
次に、図7の監視方法決定処理のステップS702について、図8を用いて詳細に説明する。図8は、本実施の形態1に係る制御装置10の監視管理部108の監視方法を決定する処理の流れを示すフローチャートである。
【0067】
ステップS801において、監視管理部108は、状態管理部107で取得した車両状態をもとに、通信監視、処理監視、メモリ監視の優先度を決定し、監視方法を決定する。ステップS801終了後、ステップS802へ進む。
【0068】
ステップS802において、監視管理部108は、ステップS801で通信監視が必要と判断した場合、ステップS803へ進む。ステップS801で通信監視が必要ないと判断した場合、ステップS804へ進む。
【0069】
ステップS803において、監視管理部108は、状態管理部107で取得した車両状態をもとに、通信監視の監視方法を決定する。ステップS803終了後、ステップS808へ進む。
【0070】
ステップS804において、監視管理部108は、ステップS801で処理監視が必要と判断した場合、ステップS805へ進む。ステップS801で処理監視が必要ないと判断した場合、ステップS806へ進む。
【0071】
ステップS805において、監視管理部108は、状態管理部107で取得した車両状態をもとに、処理監視の監視方法を決定する。ステップS805終了後、ステップS808へ進む。
【0072】
ステップS806において、監視管理部108は、ステップS801でメモリ監視が必要と判断した場合、ステップS807へ進む。ステップS801でメモリ監視が必要ないと判断した場合、ステップS808へ進む。
【0073】
ステップS807において、監視管理部108は、状態管理部107で取得した車両状態をもとに、メモリ監視の監視方法を決定する。ステップS807終了後、ステップS808へ進む。
【0074】
ステップS808において、監視方法がすべて決定しない場合、ステップS802へ戻る。監視方法がすべて決定した場合、監視方法決定処理を終了する。
【0075】
なお、制御装置10は、ハードウェアの一例を図9に示すように、プロセッサ11と記憶装置12から構成される。記憶装置12は、例えば、ランダムアクセスメモリ等の揮発性記憶装置と、フラッシュメモリ等の不揮発性の補助記憶装置とを具備する。また、フラッシュメモリの代わりにハードディスクの補助記憶装置を具備してもよい。プロセッサ11は、記憶装置12から入力されたプログラムを実行する。この場合、補助記憶装置から揮発性記憶装置を介してプロセッサ11にプログラムが入力される。また、プロセッサ11は、演算結果等のデータを記憶装置12の揮発性記憶装置に出力してもよいし、揮発性記憶装置を介して補助記憶装置にデータを保存してもよい。
【0076】
なお、以上説明した実施の形態1では、制御装置を車載制御装置として使用する例について説明した。しかしながら、本願に係る制御装置は、これに限られるものでない。例えば、高いセキュリティ強度を有し、かつ、早期に制御装置の異常を検知する仕組みを必要とする、通信線に接続された制御装置に利用することができる。
【0077】
以上説明した本願に係る実施の形態1によれば、制御処理において以下のような効果が得られる。
従来の制御装置においては、通信データに特化した異常検知方法あるいは制御処理に特化した異常検知方法であった。これに対して、本実施の形態1に係る制御装置は、通信データあるいは制御値、制御処理、メモリを監視し、監視結果と正常値が一致するか比較することで、制御装置の異常を検知する構成を備えている。
これにより、サイバー攻撃によって通信データあるいは制御値、制御処理のなりすましあるいはメモリを改ざんされても、異常を検知することができる。
従来の制御装置においては、通信データに特化した異常検知方法あるいは制御処理に特化した異常検知方法であった。これに対して、本実施の形態1に係る制御装置は、通信データあるいは制御値、制御処理、メモリを監視し、監視結果と正常値が一致するか比較することで、制御装置の異常を検知する構成を備えている。
これにより、サイバー攻撃によって通信データあるいは制御値、制御処理のなりすましあるいはメモリを改ざんされても、異常を検知することができる。
【0078】
また、本実施の形態1に係る制御装置は、車両状態を取得する状態管理部と車両状態によって優先すべき監視方法を判断する監視管理部を備え、車両状態によって監視方法を切替、組み合わせることができる構成を備えている。これにより処理負荷を抑えつつ最適な監視をすることができる。
【0079】
さらに、本実施の形態1に係る制御装置は、通信データのみ監視、制御処理のみ監視、メモリのみ監視、通信データと制御処理とメモリの組み合わせによる監視の複数の監視方法に対応することができる構成を備えている。これにより処理負荷に応じた監視方法を組み合わせることができる。
【0080】
さらに、本実施の形態1に係る制御装置は、車両状態によって優先すべき通信データの監視方法と優先すべき制御処理の監視方法と優先すべきメモリの監視方法を判断する構成を備えている。これにより処理負荷に応じた通信データの監視、処理負荷に応じた制御処理の監視、処理負荷に応じたメモリの監視をすることができる。
【0081】
さらに、本実施の形態1に係る制御装置は、制御装置が通信中である場合、通信監視部を優先して監視する構成を備えている。これにより通信データの異常を検知することができる。
【0082】
さらに、本実施の形態1に係る制御装置は、車両が走行中である場合、処理監視部を優先して監視する構成を備えている。これにより制御処理の異常を検知することができる。
【0083】
さらに、本実施の形態1に係る制御装置は、車両が停止中である場合、メモリ監視部を優先して監視する構成を備えている。これによりメモリの改ざんを検知することができる。
【0084】
さらに、本実施の形態1に係る制御装置は、通信監視結果と処理監視結果とメモリ監視結果と正常時の通信監視値と処理監視値とメモリ監視値を比較する構成を備えている。これにより、正常時の値と監視結果が一致しなかった場合、制御装置の異常を検知することができる。
【0085】
さらに、本実施の形態1に係る制御装置は、サイバー攻撃を受けているか状態を取得できる構成を備えている。これにより、サイバー攻撃後でも制御装置の異常を検知することができる。
【0086】
本願は、例示的な実施の形態が記載されているが、実施の形態に記載された様々な特徴、態様、及び機能は特定の実施の形態の適用に限られるのではなく、単独で、または様々な組み合わせで実施の形態に適用可能である。
従って、例示されていない無数の変形例が、本願明細書に開示される技術の範囲内において想定される。例えば、少なくとも1つの構成要素を変形する場合、追加する場合または省略する場合が含まれるものとする。
従って、例示されていない無数の変形例が、本願明細書に開示される技術の範囲内において想定される。例えば、少なくとも1つの構成要素を変形する場合、追加する場合または省略する場合が含まれるものとする。
【符号の説明】
【0087】
10 制御装置、100 制御部、101 通信部、102 記憶部、103 処理監視部、104 通信監視部、105 メモリ監視部、106 異常判定部、107 状態管理部、108 監視管理部
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】