ホーム > 特許ランキング > 株式会社SUBARU
知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2025-05-07
(45)【発行日】2025-05-15
(54)【発明の名称】車両用制御装置
(51)【国際特許分類】
G06F 21/57 20130101AFI20250508BHJP
G06F 21/31 20130101ALI20250508BHJP
【FI】
G06F21/57 350
G06F21/31
【請求項の数】
4
(21)【出願番号】P 2021159755
(22)【出願日】2021-09-29
(65)【公開番号】P2023049789
(43)【公開日】2023-04-10
【審査請求日】2024-08-21
(73)【特許権者】
【識別番号】000005348
【氏名又は名称】株式会社SUBARU
(74)【代理人】
【識別番号】110000383
【氏名又は名称】弁理士法人エビス国際特許事務所
(72)【発明者】
【氏名】関 晃一
(72)【発明者】
【氏名】大嶋 宏典
(72)【発明者】
【氏名】飯波 久太郎
(72)【発明者】
【氏名】横橋 卓弥
(72)【発明者】
【氏名】加庭 健司
【審査官】岸野 徹
(56)【参考文献】
【文献】米国特許出願公開第2021/0103658(US,A1)
【文献】特許第6639615(JP,B1)
【文献】特表2009-530161(JP,A)
【文献】国際公開第2017/022149(WO,A1)
【文献】米国特許出願公開第2020/0151336(US,A1)
【文献】米国特許出願公開第2021/0081536(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/57
G06F 21/31
B60R 16/02
(57)【特許請求の範囲】
【請求項1】
車両に搭載された制御対象を所定のプログラムに基づいて制御する制御部と、前記車両を含む所定領域内において、前記車両に接近したユーザが前記車両の正規ユーザであるか否かを照合した照合結果を取得するユーザ照合情報取得部と、
前記ユーザ照合情報取得部が取得した照合結果が正規ユーザであることを示す場合に、前記制御部による起動対象の前記プログラムに対してセキュアブート処理を実施するセキュアブート処理部と、を備えた車両用制御装置。
【請求項2】
前記セキュアブート処理による前記プログラムの検証結果及びセキュアブート処理が完了した完了時刻を記憶する記憶部と、前記車両の起動直前におけるセキュアブート処理の完了時刻から前記車両の起動時刻までの経過時間が所定時間内であるかを判定する時間差判定部と、
前記時間差判定部によって前記経過時間が所定時間内であると判定され、前記記憶部に記憶された検証結果が正常である場合に、前記制御部の起動を許可する起動可否判定部と、を更に備えた請求項1記載の車両用制御装置。
【請求項3】
前記起動可否判定部は、前記時間差判定部によって前記経過時間が所定時間を超えていると判定された場合に、前記セキュアブート処理部にセキュアブート処理を再度実施させる、請求項2記載の車両用制御装置。
【請求項4】
前記起動可否判定部は、前記記憶部に記憶された検証結果が正常でない場合に、前記制御部の起動を許可しない、請求項2または請求項3記載の車両用制御装置。【発明の詳細な説明】
【技術分野】
【0001】
本発明は、車両用制御装置、特に、起動時に完全性の検証を行う車両用制御装置に関する。
【背景技術】
【0002】
車両には、複数のECU(Electronic Control Unit)を備えた車両用制御装置が搭載され、車両は、所定のプログラムに基づく各ECUの動作により制御されている。近年の自動運転技術における車両周囲の状況確認や自動走行(走る、曲がる、止まる等)等もECUによって制御されている。従って、例えば、ECUのプログラムが不正に改ざんされると、車両の安全な走行を阻害するおそれがある。
【0003】
近年、車両がネットワークと通信可能に構成されるようになったことで、外部からの悪意ある攻撃により、ECUのプログラムが改ざんされる等の問題が顕在化してきている。また、ECUでは、着脱可能な不揮発性メモリに格納されたプログラムに基づいて制御を行う場合があり、例えば、車両の駐車中等にスリープ状態となったECUの不揮発性メモリを不正に交換する等のプログラムの改ざんも存在する。
【0004】
そこで、ECUでは、起動(ブート)前にプログラムの完全性を検証することで、不正に改ざんされたプログラムが実行されることを阻止するセキュアブート処理を実行している。セキュアブート処理では、暗号技術を用いてプログラムの完全性の検証を行い、プログラムの改ざんがない場合にはECUの起動を許可し、プログラムの改ざんが検出された場合にはその状態でのECUの起動を阻止することができる。
【0005】
一方、ECUには、起動開始から起動完了までの起動時間に厳しい制約がある(例えば、数十msから数百ms以内)。すなわち、ECUが制御を開始するまでの起動時間内にセキュアブート処理による検証を完了させることが要求される。このため、セキュアブート処理において、処理時間を短縮させる技術が提案されている(例えば、特許文献1)。
【0006】
特許文献1には、ECUの停止時に他ECUから取得した情報と、ECUの起動時に他ECUから取得した情報との検証を行い、改ざんの可能性が低いと判断される場合には、セキュアブートによる検証領域を一部省略することにより、セキュアブート処理に要する時間を短縮することが開示されている。
【先行技術文献】
【特許文献】
【0007】
【文献】特許第6639615号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
しかしながら、特許文献1のセキュアブート処理では、車両内のIG(ignition)スイッチがONとされてからECU起動時の検証を行う。そして、ECU起動時の検証において、他のECUとの通信を行って他のECUから得た状態情報を用いるため、他のECUの起動及び通信開始を待機する必要があり、セキュアブート処理に要する時間の短縮は十分とは言えない。
【0009】
本発明は、このような状況に対処することを課題としている。すなわち、ECU起動時の完全性を確保しながら、ユーザから見たセキュアブート処理に要する処理時間を短縮させることなどを課題としている。
【課題を解決するための手段】
【0010】
このような課題を解決するために、本発明による車両用制御装置は、以下の構成を具備する。
すなわち、本発明の一態様は、車両に搭載された制御対象を所定のプログラムに基づいて制御する制御部と、前記車両を含む所定領域内において、前記車両に接近したユーザが前記車両の正規ユーザであるか否かを照合した照合結果を取得するユーザ照合情報取得部と、前記ユーザ照合情報取得部が取得した照合結果が正規ユーザであることを示す場合に、前記制御部による起動対象の前記プログラムに対してセキュアブート処理を実施するセキュアブート処理部と、を備えた車両用制御装置を提供する。
すなわち、本発明の一態様は、車両に搭載された制御対象を所定のプログラムに基づいて制御する制御部と、前記車両を含む所定領域内において、前記車両に接近したユーザが前記車両の正規ユーザであるか否かを照合した照合結果を取得するユーザ照合情報取得部と、前記ユーザ照合情報取得部が取得した照合結果が正規ユーザであることを示す場合に、前記制御部による起動対象の前記プログラムに対してセキュアブート処理を実施するセキュアブート処理部と、を備えた車両用制御装置を提供する。
【発明の効果】
【0011】
このような特徴を有する車両用制御装置によれば、ECU起動時の完全性を確保しながら、ユーザから見たセキュアブート処理に要する処理時間を短縮させることができる。
【図面の簡単な説明】
【0012】
【図1】本発明の実施形態に係る車両用制御装置を含む車両用制御システムの概略構成を示す説明図である。
【図2】本発明の実施形態に係る車両用制御装置の概略構成を示す説明図である。
【図3】本発明の実施形態に係る車両用制御装置におけるセキュアブート処理及びECUの起動可否判定処理の流れを示すフローチャートである。
【図4】本発明の実施形態に係る車両用制御装置によってセキュアブート処理及びECUの起動可否判定処理を行った場合のタイミングチャートであり、IGN-OFF中にセキュアブート処理が完了する場合を示す。
【図5】本発明の実施形態に係る車両用制御装置によってセキュアブート処理及びECUの起動可否判定処理を行った場合のタイミングチャートであり、IGN-OFF中にセキュアブート処理が完了しない場合を示す。
【発明を実施するための形態】
【0013】
以下、図面を参照して本発明の実施形態を説明する。以下の説明で、異なる図における同一符号は同一機能の部位を示しており、各図における重複説明は適宜省略する。
【0014】
図1に示すように、本発明の実施形態に係る車両用制御装置(ECU)10は、車両用制御システム1の一部を構成し、車両100に設けられる。ECU(Electronic Control Unit)10は、例えば、車両100の走行に必要な種々の電子機器類(制御対象)に接続され、これらの電子機器類を制御する。車両用制御システム1には、例えば、乗員監視ECU10A,車両監視ECU10B,ユーザ照合ECU10C,駆動ECU10D,制動ECU10E,操舵ECU10F・・・などの複数のECUが含まれる。以下、本実施形態において、全てのECUを示す場合には、単にECU10と記す。
【0015】
ECU10は、CAN(Controller Area Network)やLIN(Local Interconnect Network)等の車載ネットワーク3により相互に通信可能に接続されると共に、中継装置としてのセントラルゲートウェイ(CGW)4に接続されて車両用制御システム1を構成する。以下の説明において、本実施形態にかかる車両用制御装置10に直接関与しない電子機器等についての詳細な説明及び図示は省略する。
【0016】
図1に示すように、車両用制御システム1に含まれるECU10は、車両100に搭載された制御対象の電子機器に接続され、車載ネットワーク3から取得する情報(データ)に基づいて各々が接続された電子機器の動作を制御する。また、ECU10は、接続された電子機器の動作状態などの状態情報(データ)を車載ネットワーク3へ出力する。
【0017】
例えば、乗員監視ECU10Bは、車両に乗車している乗員を監視する乗員監視装置(DMS:Driver Monitoring System)の一部を構成し、乗員監視装置に含まれるカメラ、マイク、座席シートに設けられる着座センサ、ドアの開閉センサ(いずれも図示せず)等の電子機器を制御することにより乗員を監視する。例えば、乗員監視ECU10Aでは、カメラによって撮像された画像に基づいて車両のシートに着座した乗員が正規ユーザであるか否かを判定する。乗員監視ECU10Aによる判定結果は車載ネットワーク3に出力される。
【0018】
車両監視ECU10Bは、車両のドアの開閉センサやキーセンサに接続され、ドアの開閉、ドアのロック又はアンロックを制御することにより車両を監視する。例えば、車両監視ECUは、車両のドア開閉状態や、ドアの解錠時に使用されたキー(ID)と車両に予め登録されている認証キー(ID)とが一致するか否かを判定し、ドアの開閉履歴や認証キー照合結果を状態情報として車載ネットワーク3に出力する。
【0019】
ユーザ照合ECU10Cは、例えば、停車中の車両に、当該車両を含む所定領域内において車両へのユーザの接近を監視し、車両に接近したユーザが正規ユーザであるか否かを照合する。具体的には、ユーザ照合ECU10Cは、ユーザ照合のための送受信機(図示せず)と接続され、送受信機から所定の信号を出力しながら車両を含む所定領域内で発信された所定の信号の受信を待機することで、例えばスマートキーを保持したユーザが車両に接近したかを監視する。
【0020】
ユーザ照合ECU10Cでは、送受信機が、車両に接近したユーザが保持するスマートキー等から信号を受信すると、受信した信号が示すキー(ID)と予め車両に登録された認証キー(ID)とを照合し、両IDが一致した場合に、正規ユーザであると判定する。ユーザ照合ECU10Cによる照合結果は、ユーザ照合情報として車載ネットワーク3に出力される。なお、正規ユーザであるか否かの照合には、スマートキーだけでなく、車両との間で通信が可能な、例えば、スマートフォン等の携帯用通信端末に登録したキーや、ボタン操作によって車両の解錠又は施錠を行うキーレスキー等を用いてもよい。
【0021】
駆動ECU10D、制動ECU10E及び操舵ECU10Fは、車載ネットワーク3から情報を取得し、車両の走行を制御する。また、駆動ECU10D、制動ECU10E及び操舵ECU10Fに接続された電子機器の状態を示す状態情報(例えば、車両の車速情報、フットブレーキの踏み込み量を示す情報、サイドブレーキのオン、オフ情報、ステアリングの操舵角の情報)を車載ネットワーク3に出力する。
この他、車両用制御システムには車両の走行に必要な種々の電子機器を制御する複数のECU10が含まれるが、図1においては図示を省略する。
この他、車両用制御システムには車両の走行に必要な種々の電子機器を制御する複数のECU10が含まれるが、図1においては図示を省略する。
【0022】
図2に示すように、車両用制御装置としてのECU10は、CPU(Central Processing Unit)20、第1記憶部30、第2記憶部40及びHSM(Hardware Security Module)50を備え、接続された制御対象を第1記憶部30に格納された制御プログラムに従って制御すると共に、第1記憶部30に格納された制御プラグラムを含む種々のプログラムを更新したり、プログラム及び当該プログラムによって起動されるECU10の完全性を検証したりする。
【0023】
CPU20は、第1記憶部30に格納されたプログラムに基づいて種々の処理を実行する。本実施形態では、CPU20は、図2に示す制御部21、ユーザ照合情報取得部22、時間差判定部23、及び起動可否判定部24として機能することができる。
【0024】
制御部21は、ECU10が制御対象を制御するための処理を実行する。すなわち、制御部21は、第1記憶部30に格納された制御プログラムに基づいて、ECU10を起動させ、制御対象を制御するための処理を実行する。
【0025】
ユーザ照合情報取得部22は、車載ネットワーク3を介して、車載ネットワーク3に接続されたユーザ照合ECU10Cからユーザ照合情報を取得する。ユーザ照合情報取得部22は、ユーザ照合情報が車両に接近したユーザが正規ユーザであることを示す場合に、セキュアブート処理部としてのHSM50にセキュアブート処理の実施命令に係る信号を出力する。
【0026】
時間差判定部23は、HSM50によるセキュアブート処理が完了し、第2記憶部40に記憶された完了時刻から、例えば、車両が起動(イグニッションがオン、以下「IGN-ON」という)した時刻までの経過時間を計時し、経過時間が予め定めた所定時間内であるかを判定する。時間差判定部23による判定結果は、起動可否判定部24におけるECU10の起動の可否の判定に用いられる。経過時間は、車両の起動直前にHSM50により行われた最新のセキュアブート処理が完了した完了時刻から車両が起動した時刻又は車両が起動して時間差判定部23が経過時間と所定時間との比較に関する判定処理を開始した時刻までに経過した時間である。
【0027】
時間差判定部23において、経過時間と所定時間とを比較する理由は次のとおりである。
ユーザ照合ECU10Cでは、車両を含む所定領域内のユーザの接近を監視しているため、ユーザが車両に到着して車両を起動させるまでに要する時間は予測可能な時間内である。したがって、ユーザ照合ECU10Cによって正規ユーザであると判定されてセキュアブート処理を実施した後に、予測を超える時間が経過してから車両が起動した場合には、車両に接近してユーザ照合を行った人物と車両を起動させた人物とが同一人物でないおそれがある。
ユーザ照合ECU10Cでは、車両を含む所定領域内のユーザの接近を監視しているため、ユーザが車両に到着して車両を起動させるまでに要する時間は予測可能な時間内である。したがって、ユーザ照合ECU10Cによって正規ユーザであると判定されてセキュアブート処理を実施した後に、予測を超える時間が経過してから車両が起動した場合には、車両に接近してユーザ照合を行った人物と車両を起動させた人物とが同一人物でないおそれがある。
【0028】
このため、時間差判定部23により、車両を含む所定領域内に存在するユーザが車両を起動させるまでに要する時間を予測して所定時間を予め設定しておく。時間差判定部23では、所定時間と経過時間とを比較することで、車両に接近しユーザ照合部により正規ユーザであると照合された人物と車両を起動した人物とが同一人物であるかを判定することができる。
【0029】
起動可否判定部24は、時間差判定部23から受け取った判定結果により経過時間が所定時間内であることが示され、第2記憶部40に記憶された検証結果が正常である場合に、制御部21に対してECU10の起動を許可する旨の起動許可を通知する。反対に、起動可否判定部24は、第2記憶部40に記憶された検証結果が正常でない場合には、制御部21に対してECU10の起動を許可しない旨の起動不可を通知する。
【0030】
一方、起動可否判定部24は、経過時間が所定時間を超えていると判定された場合には、第2記憶部40に記憶された検証結果によらず、HSM50にセキュアブート処理の実施命令を通知し、セキュアブート処理を再度実施させる。これは、起動対象プログラムがセキュアブート処理によって正常であると検証された場合であっても、セキュアブート処理の完了から所定時間以上が経過していることから、その間に当該プログラムに対して改ざんが行われる虞があることを考慮したものである。
なお、起動可否判定部24が正常であるか否かを判定する第2記憶部40に記憶された検証結果は、車両の起動直前にHSM50により行われた最新のセキュアブート処理による検証結果である。
なお、起動可否判定部24が正常であるか否かを判定する第2記憶部40に記憶された検証結果は、車両の起動直前にHSM50により行われた最新のセキュアブート処理による検証結果である。
【0031】
第1記憶部30は、不揮発性メモリ(例えば、フラッシュメモリ)によって構成することができる。第1記憶部30には、ECU10が作動する際にCPU20によって実行される種々のプログラムが格納されている。なお、第1記憶部30として、例えば、SDカードなどの着脱可能な記憶媒体を適用することもできる。
【0032】
第2記憶部40は、いわゆるRAMとして用いることができる。また、第2記憶部40には、HSM50によるセキュアブート処理の実施による検証結果と、セキュアブート処理が完了した時刻を記憶させる。
【0033】
HSM50は、セキュアブート処理部として機能し、制御部21によるECU10の起動に際して、起動対象のプログラム(すなわち、CPU20によって実行されるプログラム)が適正であるか否かを検証するセキュアブート処理を実施する。本実施形態におけるHSM50は、ユーザ照合情報取得部22によるユーザ照合情報が車両に接近した人物が正規ユーザである場合に送信されるセキュアブート処理実施命令に従ってセキュアブート処理を実施する。また、HSM50は、時間差判定部23により経過時間が所定時間を超えていると判定された場合に、起動可否判定部24によってセキュアブート処理の再実施のために送信されるセキュアブート処理実施命令に従ってセキュアブート処理を実施する。
【0034】
HSM50は、セキュアブート処理が完了した時刻及び検証結果を第2記憶部40に記憶させる。HSM50は、検証したプログラムが適正である場合には、検証結果は「正常である」として第2記憶部40に記憶させ、プログラムが適正でない場合には、検証結果は「正常でない」として第2記憶部40に記憶させる。HSM50は制御部21に対してECU10の起動を許可しない。
【0035】
例えば、HSM50が、第1記憶部30に格納されたプログラムに改ざんがなく適正であることを検出した場合、HSM50は第2記憶部40に検証結果が「正常である」ことを記憶させると共に、セキュアブート処理の完了時刻を記憶させる。このとき、HSM50は、制御部21及び起動可否判定部24に対して起動許可を通知してもよい。一方、HSM50が、第1記憶部30に格納されたプログラムが改ざんされていることを検出した場合、HSM50は第2記憶部40に検証結果が「正常でない」ことを記憶させると共に、セキュアブート処理の完了時刻を記憶させる。このとき、HSM50は、制御部21及び起動可否判定部24に対して起動不可を通知してもよい。
【0036】
続いて、このように構成された車両用制御装置(ECU)10における処理フローについて、図3のフローチャートを用いて説明する。
【0037】
[セキュアブート処理及びECU起動処理について]
図3は、車両用制御装置(ECU)10におけるセキュアブート処理及びECUの起動可否判定処理の流れを示すフローチャートである。
図3に示すように、例えば、車両のスリープ状態において、HSM50では、セキュアブート実施命令の受信を待機している(ステップS101)。CPU20では、ユーザ照合情報取得部22が、ユーザ照合ECU10Cから取得したユーザ照合情報により、車両に接近した人物が正規ユーザであることが示された場合に、HSM50にセキュアブート実施命令を送信する。HSM50は、セキュアブート実施命令を受信すると、これに従って、起動対象のプログラムについてセキュアブート処理を実施する(ステップS102)
図3は、車両用制御装置(ECU)10におけるセキュアブート処理及びECUの起動可否判定処理の流れを示すフローチャートである。
図3に示すように、例えば、車両のスリープ状態において、HSM50では、セキュアブート実施命令の受信を待機している(ステップS101)。CPU20では、ユーザ照合情報取得部22が、ユーザ照合ECU10Cから取得したユーザ照合情報により、車両に接近した人物が正規ユーザであることが示された場合に、HSM50にセキュアブート実施命令を送信する。HSM50は、セキュアブート実施命令を受信すると、これに従って、起動対象のプログラムについてセキュアブート処理を実施する(ステップS102)
【0038】
なお、HSM50によるセキュアブート処理では、例えば、第1記憶部30等において、ECU10による制御対象の制御を実行する際にCPU20が実行するプログラムが格納された領域を検証する。これにより、ECU10の起動時に、起動対象となるプログラムが適正であるか否かを検証する。
【0039】
HSM50又はCPU20では、HSM50によるセキュアブート処理中に車両が起動(IGN-ON)し、ECU10の起動処理が開始されたか否かを監視する(ステップS103)。セキュアブート処理中にIGN-ONとされた場合には、セキュアブート処理を継続し、セキュアブート処理が完了したら検証結果と完了時刻とを第2記憶部40に記憶させる(ステップS104、ステップS105)。
【0040】
HSM50によるセキュアブート処理中に、IGN-ONとされなかった場合も、セキュアブート処理を継続し、セキュアブート処理が完了したら検証結果と完了時刻とを第2記憶部40に記憶させる(ステップS106、ステップS107)。この場合には、さらに、ECU10において、セキュアブート処理のために作動していた機能について起動を終了させ、ECU10を車両のスリープ状態と同様の状態とする(ステップ108)。
【0041】
セキュアブート処理の完了後、ECU10は、スリープ状態においてIGN-ONを待機し(ステップS109)、IGN-ONとされた場合に、起動可否判定部24によるECU10の起動可否判定処理を開始する(ステップS110からステップS115)。
【0042】
具体的には、時間差判定部23により、ステップS107で第2記憶部40に記憶されたセキュアブート処理の完了時刻からIGN-ONまでの経過時間と所定時間とを比較して経過時間が所定時間内であるかを判定する(ステップS110)。起動可否判定部24は、この判定結果に基づいてECU10の起動可否を判定する。つまり、起動可否判定部24は、時間差判定部23による判定の結果、経過時間が所定時間を超える場合には、HSM50に対してセキュアブート処理を再度実施させるためのセキュアブート実施命令を送信する。
【0043】
HSM50では、この命令を受けてセキュアブート処理を再実施し(ステップS111)、再実施後の検証結果及び完了時刻を第2記憶部40に記憶する(ステップS112)。起動可否判定部24は、ステップS110における時間差判定部23の判定により経過時間が所定時間内であるとの判定結果が得られた場合、及び、セキュアブート処理の再実施後は、第2に記憶部40に記憶されたセキュアブート処理による検証結果が正常であるか否かを判定する(ステップS113)。
【0044】
検証結果が正常でない、つまり、プログラムが適正でない場合には、HSM50は制御部21に対してECU10の起動を許可せず(ステップS114)、処理を終了する。検証結果が正常、つまり、プログラムが適正である場合には、HSM50は制御部21に対してECU10の起動を許可し、ECU10を起動させる(ステップS115)。通常動作を開始、すなわち、制御対象に対する制御を実施する。
【0045】
図4及び図5に、図3のフローチャートに従ってセキュアブート処理及びECUの起動可否判定処理を行った場合のタイミングチャートを示す。
図4は、セキュアブート処理中にIGN-ONとされない場合、すなわち、IGN-OFF中にセキュアブート処理が完了する場合を示している。図4に示すように、車両にユーザが接近すると、例えば、ユーザが保持しているスマートキーを用いて、当該スマートキーと車両に登録されたキーとの照合が行われ、キー照合が完了して正規ユーザであることが確認されると、セキュアブート処理が開始される。
図4は、セキュアブート処理中にIGN-ONとされない場合、すなわち、IGN-OFF中にセキュアブート処理が完了する場合を示している。図4に示すように、車両にユーザが接近すると、例えば、ユーザが保持しているスマートキーを用いて、当該スマートキーと車両に登録されたキーとの照合が行われ、キー照合が完了して正規ユーザであることが確認されると、セキュアブート処理が開始される。
【0046】
セキュアブート処理中に、車両のドアが開きユーザが乗り込んだ場合にもセキュアブート処理は継続する。セキュアブート処理が完了すると、ECU10は、セキュアブート処理のために作動していた機能についての起動を終了させ、ECU10を車両のスリープ状態と同様の状態とする。なお、ここで一旦ECU10の起動を終了させるのは、電力消費を抑制するためである。その後、IGN-ONとされると、起動可否判定部24による起動可否判定が行われ、判定の結果ECU10の起動が許可されたことにより、ECU10の起動が開始される。
【0047】
このように、車両へ接近したユーザが正規ユーザであることが確認された時点でセキュアブート処理を開始し、特に、図4の場合にはIGN-ONの時点でセキュアブート処理が完了しているため、ユーザがIGN-ONとしてからセキュアブート処理に要する時間は実質的にはないに等しい。
【0048】
また、ユーザが車両に乗り込む前にセキュアブート処理が開始されるので、処理時間の短縮のためにセキュアブート処理を簡略化する必要がない。そして、ECUに対する起動可否判断において、セキュアブート処理の検証結果と、車両に接近した人物とIGN-ONに係る操作を行った人物が同一人物であって正規ユーザであるか否かを判別している。つまり、ECU起動時の完全性を確保しながら、IGN―ONとされてからセキュアブート処理に要した時間、言い換えると、ユーザから見たセキュアブート処理に要する処理時間を短縮させることができる。
【0049】
図5は、セキュアブート処理中にIGN-ONとされる場合、すなわち、IGN-OFF中にセキュアブート処理が完了しない場合を示している。図5に示すように、車両にユーザが接近すると、例えば、ユーザが保持しているスマートキーを用いて、当該スマートキーと車両に登録されたキーとの照合が行われ、キー照合が完了して正規ユーザであることが確認されると、セキュアブート処理が開始される。
【0050】
セキュアブート処理中に、車両のドアが開きユーザが乗り込んだ場合、また、IGN-ONとされた場合にもセキュアブート処理は継続する。セキュアブート処理が完了すると、起動可否判定部24による起動可否判定が行われ、判定の結果ECU10の起動が許可されたことにより、ECU10の起動が開始される。
【0051】
このように、車両へ接近したユーザが正規ユーザであることが確認された時点でセキュアブート処理を開始し、特に、図5の場合にはIGN-ONの時点で一部のセキュアブート処理が完了しているため、ユーザがIGN-ONとしてからセキュアブート処理に要する時間は、実質的にはIGN-ONとされてからセキュアブート処理が完了するまでの時間となる。すなわち、図5に示すセキュアブート処理の開始からIGN-ONまでにセキュアブート処理に要した時間がユーザから見て実質的に短縮された時間となる。
【0052】
図5の例でも、ユーザが車両に乗り込む前にセキュアブート処理が開始されるので、処理時間の短縮のためにセキュアブート処理を簡略化する必要がない。そして、ECUに対する起動可否判断において、セキュアブート処理の検証結果と、車両に接近した人物とIGN-ONに係る操作を行った人物が同一人物であって正規ユーザであるか否かを判別している。つまり、ECU起動時の完全性を確保しながら、IGN―ONとされてからセキュアブート処理に要した時間、言い換えると、ユーザから見たセキュアブート処理に要する処理時間を短縮させることができる。
【0053】
以上述べたように、本実施形態に係る車両用制御装置によれば、車両に対する不正侵入の有無を判定することで、制御対象の制御に用いられるプログラムに対する改ざんの可能性を判断する。そして、プログラムに対する改ざんの可能性がある場合にセキュアブート処理を実行する一方で、プログラムに対する改ざんの可能性がない場合にはセキュアブート処理を一部又は全部省略することができる。
【0054】
このように本実施形態によれば、ユーザ照合ECUによる照合結果に基づいて、車両に接近した人物が正規ユーザであることをセキュアブート処理の開始のトリガとするので、車両が起動するまでにセキュアブート処理の一部またはすべてが完了する。このため、ユーザから見たセキュアブート処理に要する処理時間を短縮させることができる。また、時間差判定部23により、経過時間が所定時間内であるか否かを判定することで、車両に接近した人物が正規ユーザであること、車両を起動させた人物と車両に接近した人物とが同一人物であることを確認するので、ECU起動時の完全性を確保することができる。したがって、ECU起動時の完全性とユーザから見たセキュアブート処理に要する時間の短縮とを両立させることができる。
【0055】
本発明の実施の形態について図面を参照して詳述してきたが、具体的な構成はこれらの実施の形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計の変更等があっても本発明に含まれる。また、上述の各実施の形態は、その目的及び構成等に特に矛盾や問題がない限り、互いの技術を流用して組み合わせることが可能である。
【符号の説明】
【0056】
1:車両用制御システム,3:車載ネットワーク,4:CGW,10:車両用制御装置(ECU),10A:乗員監視ECU,10B:車両監視ECU,10C:ユーザ照合ECU,10D:駆動ECU,10E:制動ECU,10F:操舵ECU,20:CPU,21:制御部,22:ユーザ照合情報取得部,23:時間差判定部,24:起動可否判定部,30:第1記憶部,40:第2記憶部,50:HSM,100:車両
【図1】
【図2】
【図3】
【図4】
【図5】
