Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP7803121B2 - Electronic control unit - Google Patents
[go: Go Back, main page]

JP7803121B2 - Electronic control unit - Google Patents

Electronic control unit

Info

Publication number
JP7803121B2
JP7803121B2 JP2021210816A JP2021210816A JP7803121B2 JP 7803121 B2 JP7803121 B2 JP 7803121B2 JP 2021210816 A JP2021210816 A JP 2021210816A JP 2021210816 A JP2021210816 A JP 2021210816A JP 7803121 B2 JP7803121 B2 JP 7803121B2
Authority
JP
Japan
Prior art keywords
data
storage area
determines
tampered
secure boot
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021210816A
Other languages
Japanese (ja)
Other versions
JP2023095117A (en
Inventor
拓弥 辻林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2021210816A priority Critical patent/JP7803121B2/en
Publication of JP2023095117A publication Critical patent/JP2023095117A/en
Application granted granted Critical
Publication of JP7803121B2 publication Critical patent/JP7803121B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Test And Diagnosis Of Digital Computers (AREA)

Description

本発明は、電子制御装置に関する。 The present invention relates to an electronic control device.

例えば車両に搭載される電子制御装置においては、マイクロコンピュータ(以下、マイコンと称する)の起動時にセキュアブート処理を実施するように構成されている。例えば特許文献1には、セキュアブート処理を実施してデータ格納部に格納されているデータが改ざんされているか否かを判定し、データが改ざんされていることを特定すると、その改ざんされている領域の動作を停止させることで、意図したソフトウエア(以下、ソフトと称する)のみを動作させる技術が開示されている。 For example, electronic control devices installed in vehicles are configured to perform secure boot processing when the microcomputer (hereinafter referred to as "mc") is started up. For example, Patent Document 1 discloses technology that performs secure boot processing to determine whether data stored in a data storage unit has been tampered with, and if it is determined that the data has been tampered with, stops operation of the tampered area, thereby allowing only the intended software (hereinafter referred to as "software") to operate.

特開2015-55898号公報JP 2015-55898 A

データが改ざんされていることを特定した場合としては二つの要因が想定され、故意により改ざんされている場合と、データ格納部の故障により改ざんされている場合とが想定される。故意によりデータが改ざんされている場合には、正規の制御ソフトをリプログすることで解決することができるが、データ格納部の故障によりデータが改ざんされている場合には、マイコンを交換することでしか解決することができない。しかしながら、従来は、データが改ざんされていることを特定した場合に、その要因をユーザに通知していないので、ユーザが適切な処置を行うことができない問題があった。その結果、不必要な鍵の更新やマイコンの交換を行う可能性があった。 There are two possible reasons why data is identified as having been tampered with: intentional tampering, or tampering due to a malfunction in the data storage unit. If data has been intentionally tampered with, the problem can be resolved by reprogramming the legitimate control software, but if data has been tampered with due to a malfunction in the data storage unit, the only way to resolve the problem is to replace the microcontroller. However, in the past, when data tampering was identified, the cause was not notified to the user, which meant that the user was unable to take appropriate action. This could result in unnecessary key updates or microcontroller replacements.

本発明は、上記した事情に鑑みてなされたものであり、その目的は、セキュアブート処理によりデータが改ざんされていることを特定した場合に、ユーザが適切な処置を行うことができる電子制御装置を提供することにある。 The present invention was made in consideration of the above-mentioned circumstances, and its purpose is to provide an electronic control device that allows the user to take appropriate measures when it is determined that data has been tampered with through secure boot processing.

請求項1に記載した発明によれば、車両に搭載される電子制御装置(21)であって、データを格納するデータ格納部(23)と、セキュアブート処理を実施して前記データ格納部に格納されているデータが改ざんされているか否かを判定する制御部(24)と、を備える。前記データ格納部は、第1格納領域(26)と、第2格納領域(27)と、を備える。前記制御部は、前記データが改ざんされていることを特定すると、前記データ格納部の故障診断処理を実施して当該データ格納部が故障しているか否かを判定し、当該データ格納部が故障していないことを特定すると、故意による前記データの改ざんを通知し、当該データ格納部が故障していることを特定すると、当該データ格納部の故障による前記データの改ざんを通知する。前記制御部は、前記第1格納領域の前記セキュアブート処理を実施することと並列して前記第2格納領域の故障診断処理を実施し、前記第1格納領域に格納されているデータが改ざんされていることを特定すると、前記第1格納領域の前記故障診断処理を実施することと並列して前記第2格納領域の前記セキュアブート処理を実施し、前記第2格納領域に格納されているデータが改ざんされていないことを特定すると、前記第2格納領域を使用領域として制御ソフトを起動させる。


According to the invention described in claim 1, an electronic control device (21) mounted on a vehicle includes a data storage unit (23) for storing data, and a control unit (24) that performs secure boot processing to determine whether the data stored in the data storage unit has been tampered with. The data storage unit includes a first storage area (26) and a second storage area (27). When the control unit determines that the data has been tampered with, it performs a fault diagnosis process for the data storage unit to determine whether the data storage unit is faulty. When the control unit determines that the data storage unit is not faulty, it notifies the control unit that the data has been intentionally tampered with, and when the control unit determines that the data storage unit is faulty, it notifies the control unit that the data has been tampered with due to a fault in the data storage unit. The control unit performs a fault diagnosis process on the second storage area in parallel with performing the secure boot process on the first storage area, and when it determines that the data stored in the first storage area has been tampered with, it performs the secure boot process on the second storage area in parallel with performing the fault diagnosis process on the first storage area, and when it determines that the data stored in the second storage area has not been tampered with, it launches control software with the second storage area as the area to be used.


セキュアブート処理を実施し、データが改ざんされていることを特定すると、データ格納部の故障診断処理を実施し、データ格納部が故障していないことを特定すると、故意によるデータの改ざんを通知することで、故意によりデータが改ざんされていることを認識させることができ、ユーザが適切な処置を行うことができる。一方、データ格納部が故障していることを特定すると、データ格納部の故障によるデータの改ざんを通知することで、データ格納部の故障によりデータが改ざんされていることを認識させることができ、ユーザが適切な処置を行うことができる。これにより、セキュアブート処理によりデータが改ざんされていることを特定した場合に、故意による改ざんであるか、又はデータ格納部の故障による改ざんであるかをユーザに適切に通知することができ、何れに対してもユーザが適切な処置を行うことができる。 When secure boot processing is performed and it is determined that data has been tampered with, a fault diagnosis process for the data storage unit is performed. If it is determined that the data storage unit is not faulty, a notification is sent that the data has been intentionally tampered with, allowing the user to recognize that the data has been intentionally tampered with and take appropriate action. On the other hand, if it is determined that the data storage unit is faulty, a notification is sent that the data has been tampered with due to a fault in the data storage unit, allowing the user to recognize that the data has been tampered with due to a fault in the data storage unit and take appropriate action. In this way, when secure boot processing determines that data has been tampered with, the user can be appropriately notified whether the tampering was intentional or due to a fault in the data storage unit, allowing the user to take appropriate action in either case.

第1実施形態を示す機能ブロック図Functional block diagram showing the first embodiment セキュアブート処理を説明する図Diagram explaining the secure boot process 車両側システムの構成を示す機能ブロック図Functional block diagram showing the configuration of the vehicle-side system ターゲットECUの処理を示すフローチャートFlowchart showing processing of a target ECU ターゲットECUの処理を示すフローチャートFlowchart showing processing of a target ECU OTAマスタECUの処理を示すフローチャートFlowchart showing the processing of the OTA master ECU 第2実施形態を示す機能ブロック図Functional block diagram showing a second embodiment ターゲットECUの処理を示すフローチャートFlowchart showing processing of a target ECU ターゲットECUの処理を示すフローチャートFlowchart showing processing of a target ECU ターゲットECUの処理を示すフローチャートFlowchart showing processing of a target ECU 第3実施形態を示し、ターゲットECUの処理を示すフローチャート10 is a flowchart illustrating a process of a target ECU according to a third embodiment. ターゲットECUの処理を示すフローチャートFlowchart showing processing of a target ECU ターゲットECUの処理を示すフローチャートFlowchart showing processing of a target ECU

以下、複数の実施形態について図面を参照して説明する。後続する実施形態において、先行する実施形態と重複する部分については説明を省略する場合がある。 Several embodiments will be described below with reference to the drawings. In subsequent embodiments, descriptions of parts that overlap with previous embodiments may be omitted.

(第1実施形態)
第1実施形態について図1から図6を参照して説明する。電子制御装置(以下、ECU(Electronic Control Unit)と称する)1は、例えば車両に搭載されるECUであり、駆動系の制御を行う装置、ADAS(Advanced Driving Assistant System)系の制御を行う装置、マルチメディア系の制御を行う装置等である。ECU1は、悪意を持った第三者による故意によるデータの改ざんを検知する機能としてセキュアブートの機能を搭載している。この場合、データとは特定のアプリを実現する制御ソフトを含む。
(First embodiment)
A first embodiment will be described with reference to Figures 1 to 6. An electronic control unit (hereinafter referred to as an ECU (Electronic Control Unit)) 1 is, for example, an ECU mounted on a vehicle, and is a device that controls a drive system, a device that controls an ADAS (Advanced Driving Assistant System), a device that controls a multimedia system, etc. The ECU 1 is equipped with a secure boot function as a function for detecting intentional data tampering by a malicious third party. In this case, the data includes control software that realizes a specific application.

ECU1はマイコン2を備える。マイコン2は、データ格納部としてのROM3と、制御部としてのCPU4と、ハードウェアセキュリティモジュール(以下、HSM(Hardware Security Module)と称する)5とを備える。マイコン2は、非遷移的実体的格納媒体に格納されているコンピュータプログラムを実行することでコンピュータプログラムに対応する処理を実施し、ECU1の動作を制御する。 ECU1 includes a microcomputer 2. Microcomputer 2 includes a ROM 3 as a data storage unit, a CPU 4 as a control unit, and a hardware security module (hereinafter referred to as HSM (Hardware Security Module)) 5. Microcomputer 2 executes computer programs stored in a non-transient physical storage medium to perform processing corresponding to the computer programs and control the operation of ECU1.

ROM3は、ブートプログラム領域3aと、コードフラッシュ領域3bと、データフラッシュ領域3cとを備える。図2に示すように、CPU4は、ブートプログラム領域3aに格納されているブートプログラムを起動してコードフラッシュ領域3bに格納されているデータをブロック毎に読み出し、その読み出したデータをHSM5へ出力し、セキュアブート処理を実施する。 ROM 3 includes a boot program area 3a, a code flash area 3b, and a data flash area 3c. As shown in FIG. 2, CPU 4 starts the boot program stored in boot program area 3a, reads data stored in code flash area 3b block by block, and outputs the read data to HSM 5 to perform secure boot processing.

HSM5は、MAC(Message Authentication Code)値を生成するのに必要な暗号鍵を格納している。HSM5は、ブロック毎のデータを入力すると、その入力したブロック毎のデータを暗号鍵により暗号化してMAC値を計算する。HSM5は、その計算したMAC値を、データフラッシュ領域3cに格納されている検証用MAC値と照合して比較検証し、セキュアブートの処理結果をブートプログラムへ出力する。CPU4は、その計算したMAC値と検証用MAC値とが一致していることを特定すると、ROM3のデータが改ざんされていないと特定する。一方、CPU4は、その計算したMAC値と検証用MAC値とが一致していないことを特定すると、ROM3のデータが改ざんされていると特定する。 The HSM 5 stores the encryption key required to generate a MAC (Message Authentication Code) value. When data for each block is input, the HSM 5 encrypts the input data for each block using the encryption key and calculates a MAC value. The HSM 5 compares and verifies the calculated MAC value against the verification MAC value stored in the data flash area 3c, and outputs the secure boot processing result to the boot program. If the CPU 4 determines that the calculated MAC value matches the verification MAC value, it determines that the data in ROM 3 has not been tampered with. On the other hand, if the CPU 4 determines that the calculated MAC value does not match the verification MAC value, it determines that the data in ROM 3 has been tampered with.

CPU4は、セキュアブート処理を実施することに加え、ROM3の故障診断処理を実施する。マイコン2がECC(Error-Correcting Code/Error-Correction Code)チェック機能を有していれば、データの読み出し時に1ビット化けの訂正、2ビット化けの検出が可能であるので、セキュアブート処理を実施することと並列してROM3の故障診断処理を実施する。この場合、ECCチェック結果を保持しておくことで、制御ソフトの起動後に実施するROM3の診断に費やす時間を短縮することができる。一方、マイコン2がECCチェック機能を有していなければ、RAM領域に例えば1kByteの特定範囲でROM3からデータを読み出し、その領域のデータを消去して「1」を書き込み、同じ領域からデータを読み出して全て「1」であることを確認し、続いて同じ処理を「0」で実施することでROM3の故障診断処理を実施する。 In addition to performing secure boot processing, CPU 4 also performs fault diagnosis processing on ROM 3. If microcomputer 2 has an ECC (Error-Correcting Code/Error-Correction Code) check function, it is possible to correct single-bit errors and detect double-bit errors when reading data, so fault diagnosis processing on ROM 3 is performed in parallel with performing secure boot processing. In this case, by storing the ECC check results, the time spent diagnosing ROM 3 after starting the control software can be reduced. On the other hand, if microcomputer 2 does not have an ECC check function, fault diagnosis processing on ROM 3 is performed by reading data from a specific range of RAM, for example, 1 kByte, erasing the data in that range and writing "1"s, reading the data from the same range and confirming that it is all "1"s, and then performing the same process with "0"s.

図3に示すように、車両側システムとして、ECU1は、複数のECUを統括管理するOTAマスタECU6及びメーター7を制御するメーターECU8と車載ネットワーク9を介して接続されている。車載ネットワーク9は例えばCAN(Controller Area Network)(登録商標)等である。又、ECU1は、例えばディーラーの作業者が操作可能な診断ツール10と通信ケーブル11を介して接続可能となっている。ECU1は、OTAマスタECU6や診断ツール10からのリプログ対象となるターゲットECUとして機能する。 As shown in FIG. 3, as a vehicle-side system, ECU 1 is connected to an OTA master ECU 6 that manages multiple ECUs and a meter ECU 8 that controls a meter 7 via an in-vehicle network 9. The in-vehicle network 9 is, for example, a Controller Area Network (CAN) (registered trademark). ECU 1 can also be connected to a diagnostic tool 10 that can be operated by a dealer's technician via a communication cable 11. ECU 1 functions as a target ECU that can be reprogrammed from the OTA master ECU 6 or diagnostic tool 10.

ECU1は、上記したセキュアブート処理を実施し、データが改ざんされていることを特定すると、ROM3の故障診断処理を実施し、ROM3が故障していないことを特定すると、改ざん通知を車載ネットワーク9や通信ケーブル11へ送信する。一方、ECU1は、ROM3が故障していることを特定すると、ROM故障通知を車載ネットワーク9や通信ケーブル11へ送信する。 The ECU 1 performs the secure boot process described above, and if it determines that data has been tampered with, it performs a fault diagnosis process on the ROM 3. If it determines that the ROM 3 is not faulty, it sends a tampering notification to the in-vehicle network 9 and communication cable 11. On the other hand, if the ECU 1 determines that the ROM 3 is faulty, it sends a ROM fault notification to the in-vehicle network 9 and communication cable 11.

メーターECU8は、ECU1から車載ネットワーク9を介して改ざん通知を受信すると、データの改ざんを示す通知情報をメーター7に表示し、データの改ざんをドライバー等に通知する。ドライバー等は、データの改ざんを示す通知情報がメーター7に表示されることで故意によるデータの改ざんを認識し、その場合の処置として制御ソフトのリプログが必要なことを認識することができる。例えば制御ソフトのリプログを完了することで、ディーラーまで自走する等の処置を行うことができる。又、メーターECU8は、ECU1から車載ネットワーク9を介してROM故障通知を受信すると、ROM3の故障を示す通知情報をメーター7に表示し、ROM3の故障をドライバー等に通知する。ドライバー等は、ROM3の故障を示す通知情報がメーター7に表示されることでROM3の故障によるデータの改ざんを認識し、その場合の処置としてマイコン2の交換が必要なことを認識することができる。 When the meter ECU 8 receives a tampering notification from ECU 1 via the in-vehicle network 9, it displays notification information indicating data tampering on the meter 7, notifying the driver and other parties of the data tampering. When the notification information indicating data tampering is displayed on the meter 7, the driver and other parties can recognize that the data has been intentionally tampered with, and that reprogramming the control software is necessary as a countermeasure. For example, once the control software has been reprogrammed, the driver and other parties can take action, such as driving the vehicle to a dealer. Furthermore, when the meter ECU 8 receives a ROM failure notification from ECU 1 via the in-vehicle network 9, it displays notification information indicating a ROM 3 failure on the meter 7, notifying the driver and other parties of the ROM 3 failure. When the notification information indicating a ROM 3 failure is displayed on the meter 7, the driver and other parties can recognize that data tampering has occurred due to a ROM 3 failure, and that replacing the microcomputer 2 is necessary as a countermeasure.

診断ツール10は、ECU1から通信ケーブル11を介して改ざん通知を受信すると、データの改ざんを示す通知情報を表示し、データの改ざんをディーラーの作業者等に通知する。ディーラーの作業者等は、データの改ざんを示す通知情報が診断ツール10に表示されることで故意によるデータの改ざんを認識し、その場合の処置として制御ソフトのリプログが必要なことを認識することができる。ディーラーの作業者等は、ROM3の故障を示す通知情報が診断ツール10に表示されることでROM3の故障によるデータの改ざんを認識し、その場合の処置としてマイコン2の交換が必要なことを認識することができる。 When the diagnostic tool 10 receives a tampering notification from the ECU 1 via the communication cable 11, it displays notification information indicating data tampering and notifies the dealer's staff or other personnel of the data tampering. When the notification information indicating data tampering is displayed on the diagnostic tool 10, the dealer's staff or other personnel can recognize that data tampering has been intentional and that the corrective action is to reprogram the control software. When the notification information indicating a ROM 3 failure is displayed on the diagnostic tool 10, the dealer's staff or other personnel can recognize that data tampering has been caused by a ROM 3 failure and that the corrective action is to replace the microcomputer 2.

次に、上記した構成の作用について図4から図6を参照して説明する。ここでは、ターゲットECUとして機能するECU1が行う処理、OTAマスタECU6が行う処理について説明する。 Next, the operation of the above-described configuration will be explained with reference to Figures 4 to 6. Here, we will explain the processing performed by the ECU 1 functioning as the target ECU and the processing performed by the OTA master ECU 6.

(1)ターゲットECUの処理
ECU1において、CPU4は、マイコン2の起動時処理を開始すると、マイコン2を起動し(A1)、セキュアブート処理を実施する(A2)。CPU4は、セキュアブート処理を完了すると、セキュアブートの処理結果を判定する(A3)。CPU4は、MAC値と検証用MAC値とが一致し、ROM3のデータが改ざんされていないことを特定すると、セキュアブートの処理結果が正であると判定し(A3:YES)、制御ソフトを起動させ(A4)、マイコン2の起動時処理を終了する。
(1) Processing of the Target ECU In the ECU 1, when the CPU 4 starts the startup process of the microcomputer 2, it starts the microcomputer 2 (A1) and performs secure boot processing (A2). When the CPU 4 completes the secure boot process, it determines the result of the secure boot process (A3). When the CPU 4 determines that the MAC value matches the verification MAC value and that the data in the ROM 3 has not been tampered with, it determines that the result of the secure boot process is positive (A3: YES), starts the control software (A4), and ends the startup process of the microcomputer 2.

一方、CPU4は、MAC値と検証用MAC値とが一致せず、ROM3のデータが改ざんされていることを特定すると、セキュアブートの処理結果が否であると判定し(A3:NO)、ROM3の故障診断処理を実施する(A5)。CPU4は、ROM3の故障診断処理を完了すると、故障診断の処理結果を判定する(A6)。 On the other hand, if the MAC value and the verification MAC value do not match and the CPU 4 determines that the data in ROM 3 has been tampered with, it determines that the secure boot processing result is negative (A3: NO) and performs fault diagnosis processing on ROM 3 (A5). After completing the fault diagnosis processing on ROM 3, the CPU 4 determines the result of the fault diagnosis processing (A6).

CPU4は、ROM3の正常動作を確認し、ROM3が故障していないことを特定すると、故障診断の処理結果が正であると判定し(A6:YES)、故意によるデータの改ざんを示すDTC(Diagnostic Trouble Code)を保存する(A7)。CPU4は、改ざん通知を車載ネットワーク9や通信ケーブル11へ送信し(A8)、制御ソフトを起動させることなくセキュアブートを保持し(A9)、マイコン2の起動時処理を終了する。即ち、CPU4は、データの改ざんを示す通知情報をメーター7や診断ツール10に表示させることで、故意によるデータの改ざんをドライバーやディーラーの作業者等に認識させる。 The CPU 4 confirms that ROM 3 is operating normally. If it determines that ROM 3 is not faulty, it determines that the fault diagnosis processing result is positive (A6: YES) and saves a DTC (Diagnostic Trouble Code) indicating intentional data tampering (A7). The CPU 4 then sends a tampering notification to the in-vehicle network 9 or communication cable 11 (A8), maintains secure boot without starting the control software (A9), and ends the startup processing of the microcomputer 2. In other words, the CPU 4 displays notification information indicating data tampering on the meter 7 or diagnostic tool 10, thereby making the driver, dealership staff, etc. aware of the intentional data tampering.

一方、CPU4は、ROM3の正常動作ではなく異常動作を確認し、ROM3が故障していることを特定すると、故障診断の処理結果が否であると判定し(A6:NO)、ROM3の故障によるデータの改ざんを示すDTCを保存する(A10)。CPU4は、ROM故障通知を車載ネットワーク9や通信ケーブル11へ送信し(A11)、車両固定処理を有効化し(A12)、制御ソフトを起動させることなくセキュアブートを保持し(A13)、マイコン2の起動時処理を終了する。即ち、CPU4は、ROM3の故障を示す通知情報をメーター7や診断ツール10に表示させることで、ROM3の故障によるデータの改ざんをドライバーやディーラーの作業者等に認識させる。尚、車両固定処理とは安全安心を担保する処理であり、CPU4は、車両固定処理を有効化することでECU1と連携する他のECUの誤作動を未然に回避し、ROM3の故障に起因して安全安心が脅かされる状況を未然に回避する。 On the other hand, the CPU 4 verifies that ROM 3 is operating abnormally rather than normally and, upon determining that ROM 3 is faulty, determines that the fault diagnosis processing result is negative (A6: NO) and saves a DTC indicating data tampering due to a ROM 3 fault (A10). The CPU 4 then sends a ROM fault notification to the in-vehicle network 9 or communication cable 11 (A11), enables vehicle fixation processing (A12), maintains secure boot without launching the control software (A13), and terminates the startup processing of the microcomputer 2. That is, the CPU 4 displays notification information indicating a ROM 3 fault on the meter 7 or diagnostic tool 10, thereby making the driver, dealer personnel, and others aware of data tampering due to a ROM 3 fault. The vehicle fixation processing is a process that ensures safety and security. By enabling the vehicle fixation processing, the CPU 4 prevents malfunctions of other ECUs linked to the ECU 1 and prevents situations in which safety and security are threatened due to a ROM 3 fault.

尚、セキュアブート処理及び故障診断処理を実施する対象の領域を分割し、分割した領域単位でセキュアブート処理及び故障診断処理を実施しても良い。分割した領域単位でセキュアブート処理及び故障診断処理を実施することで、データが改ざんされていないことにより安全性が保障された制御ソフトを起動させることができる。 In addition, the area on which the secure boot process and fault diagnosis process are performed may be divided, and the secure boot process and fault diagnosis process may be performed on each divided area. By performing the secure boot process and fault diagnosis process on each divided area, it is possible to start up the control software with the safety guaranteed by ensuring that the data has not been tampered with.

(2)OTAマスタECU6の処理
OTAマスタECU6において、CPUは、改ざん通知受信判定処理を開始すると、ECU1から送信された改ざん通知を受信したか否かを判定する(B1)。CPUは、ECU1から送信される改ざん通知を受信していないことを特定すると(B1:NO)、改ざん通知受信判定処理を終了する。
(2) Processing of the OTA Master ECU 6 When the CPU of the OTA master ECU 6 starts the tampering notification reception determination process, it determines (B1) whether or not it has received the tampering notification transmitted from the ECU 1. When the CPU determines that it has not received the tampering notification transmitted from the ECU 1 (B1: NO), it ends the tampering notification reception determination process.

CPUは、ECU1から送信された改ざん通知を受信したと判定すると(B1:YES)、制御ソフトのリプログ要求通知をメーターECU8へ送信し、制御ソフトのリプログ要求画面をメーター7に表示させ(B2)、制御ソフトのリプログを実施するか否かの選択を待機する(B3)。ドライバー等は、リプログ要求画面がメーター7に表示されることで、制御ソフトのリプログを実施するか否かを選択することができる。メーターECU8は、制御ソフトのリプログの実施をドライバー等が選択すると、リプログ実施通知をOTAマスタECU6へ送信する。 When the CPU determines that it has received the tampering notification sent from ECU 1 (B1: YES), it sends a control software reprogramming request notification to meter ECU 8, displays a control software reprogramming request screen on meter 7 (B2), and waits for a choice of whether to reprogram the control software (B3). The reprogramming request screen displayed on meter 7 allows the driver or other user to choose whether to reprogram the control software. When the driver or other user chooses to reprogram the control software, meter ECU 8 sends a reprogramming notification to OTA master ECU 6.

CPUは、メーターECU8から送信されたリプログ実施通知を受信したと判定すると(B3:YES)、正規の制御ソフトをECU1へ送信し、制御ソフトのリプログを実施し(B4)、改ざん通知受信判定処理を終了する。具体的には、CPUは、インストール指示をECU1へ送信して制御ソフトのインストールをECU1に実施させ、アクティベート指示をECU1へ送信して制御ソフトのアクティベートをECU1に実施させ、制御ソフトのリプログを実施する。尚、以上は、OTAマスタECU6が正規の制御ソフトをECU1へ送信する場合を説明したが、診断ツール10が正規の制御ソフトをECU1へ送信することも可能である。 When the CPU determines that it has received a reprogramming notification sent from the meter ECU 8 (B3: YES), it sends the legitimate control software to the ECU 1, reprograms the control software (B4), and terminates the tampering notification reception determination process. Specifically, the CPU sends an install instruction to the ECU 1 to have the ECU 1 install the control software, and sends an activate instruction to the ECU 1 to have the ECU 1 activate the control software, and reprograms the control software. Note that while the above describes a case in which the OTA master ECU 6 sends legitimate control software to the ECU 1, it is also possible for the diagnostic tool 10 to send legitimate control software to the ECU 1.

以上に説明したように第1実施形態によれば、次に示す作用効果を得ることができる。
ECU1において、セキュアブート処理を実施し、データが改ざんされていることを特定すると、ROM3の故障診断処理を実施し、ROM3が故障していないことを特定すると、故意によるデータの改ざんを通知するようにした。故意によりデータが改ざんされている場合にユーザが適切な処置を行うことができる。一方、ROM3が故障していることを特定すると、ROM3の故障によるデータの改ざんを通知するようにした。ROM3の故障によりデータが改ざんされている場合にユーザが適切な処置を行うことができる。これにより、セキュアブート処理によりデータが改ざんされていることを特定した場合に、故意による改ざんであるか、又はROM3の故障による改ざんであるかをユーザに適切に通知することができ、何れに対してもユーザが適切な処置を行うことができる。
As described above, according to the first embodiment, the following advantageous effects can be obtained.
In the ECU 1, when secure boot processing is performed and it is determined that data has been tampered with, a fault diagnosis processing is performed on the ROM 3, and when it is determined that the ROM 3 is not faulty, a notification is sent that the data has been intentionally tampered with. If the data has been intentionally tampered with, the user can take appropriate measures. On the other hand, if it is determined that the ROM 3 is faulty, a notification is sent that the data has been tampered with due to a fault in the ROM 3. If the data has been tampered with due to a fault in the ROM 3, the user can take appropriate measures. As a result, when it is determined that data has been tampered with by secure boot processing, the user can be appropriately notified whether the tampering was intentional or due to a fault in the ROM 3, and the user can take appropriate measures in either case.

故意によるデータの改ざんを特定すると、故意によるデータの改ざんを通知すると共に正規の制御ソフトのリプログを促すようにした。正規の制御ソフトのリプログが実施されることで正常状態への復帰を速やかに実現することができる。又、ROM3の故障によるデータの改ざんを特定すると、ROM3の故障によるデータの改ざんを通知すると共にマイコン2の交換を促すようにした。マイコン2の交換が実施されることで正常状態への復帰を速やかに実現することができる。 If intentional data tampering is identified, the system notifies the user of the intentional data tampering and prompts the user to reprogram the legitimate control software. Reprogramming the legitimate control software enables a swift return to normal operation. Furthermore, if data tampering due to a ROM3 failure is identified, the system notifies the user of the data tampering due to a ROM3 failure and prompts the user to replace the microcomputer 2. Replacing the microcomputer 2 enables a swift return to normal operation.

故意によるデータの改ざんを特定すると、故意によるデータの改ざんを示すDTCコードを保存するようにした。故意によるデータの改ざんの内容や原因等をDTCコードにより解析することができる。又、ROM3の故障によるデータの改ざんを特定すると、ROM3の故障によるデータの改ざんを示すDTCコードを保存するようにした。ROM3の故障の内容や原因等をDTCコードにより解析することができる。 When intentional data tampering is identified, a DTC code indicating the intentional data tampering is saved. The details and cause of the intentional data tampering can be analyzed using the DTC code. Furthermore, when data tampering due to a ROM3 failure is identified, a DTC code indicating the data tampering due to a ROM3 failure is saved. The details and cause of the ROM3 failure can be analyzed using the DTC code.

(第2実施形態)
第2実施形態について図7から図10を参照して説明する。
第2実施形態は、ROMが2面のデータ格納領域を有する構成である。ECU21において、マイコン22は、データ格納部としてのROM23と、制御部としてのCPU24と、HSM25とを備える。ROM23は、第1格納領域26と第2格納領域27とを備える。第1格納領域26は、ブートプログラム領域26aと、コードフラッシュ領域26bと、データフラッシュ領域26cとを備える。第2格納領域27は、ブートプログラム領域27aと、コードフラッシュ領域27bと、データフラッシュ領域27cとを備える。
Second Embodiment
The second embodiment will be described with reference to FIGS.
In the second embodiment, the ROM has two data storage areas. In the ECU 21, the microcomputer 22 includes a ROM 23 as a data storage unit, a CPU 24 as a control unit, and an HSM 25. The ROM 23 includes a first storage area 26 and a second storage area 27. The first storage area 26 includes a boot program area 26a, a code flash area 26b, and a data flash area 26c. The second storage area 27 includes a boot program area 27a, a code flash area 27b, and a data flash area 27c.

次に、上記した構成の作用について図8から図10を参照して説明する。ここでは、ターゲットECUとして機能するECU21が行う処理について説明する。
ECU21において、CPU24は、マイコン22の起動時処理を開始すると、マイコン22を起動し(A21)、第1格納領域26のセキュアブート処理を実施する(A22)。CPU24は、第1格納領域26のセキュアブート処理を完了すると、セキュアブートの処理結果を判定する(A23)。CPU24は、MAC値と検証用MAC値とが一致し、第1格納領域26のコードフラッシュ領域26bが改ざんされていないことを特定すると、セキュアブートの処理結果が正であると判定し(A23:YES)、第1格納領域26で制御ソフトを起動させ(A24)、マイコン22の起動時処理を終了する。
Next, the operation of the above-described configuration will be described with reference to Figures 8 to 10. Here, the processing performed by the ECU 21 functioning as the target ECU will be described.
In the ECU 21, the CPU 24 starts the microcomputer 22 when it starts the startup process (A21) and performs secure boot processing on the first storage area 26 (A22). When the CPU 24 completes the secure boot process on the first storage area 26, it determines the result of the secure boot process (A23). When the CPU 24 determines that the MAC value matches the verification MAC value and that the code flash area 26b of the first storage area 26 has not been tampered with, it determines that the result of the secure boot process is positive (A23: YES), starts control software in the first storage area 26 (A24), and ends the startup process of the microcomputer 22.

一方、CPU24は、MAC値と検証用MAC値とが一致せず、第1格納領域26のコードフラッシュ領域26bが改ざんされていることを特定すると、セキュアブートの処理結果が否であると判定し(A23:NO)、第1格納領域26の故障診断処理を実施する(A25)。CPU24は、第1格納領域26の故障診断処理を完了すると、故障診断の処理結果を判定する(A26)。 On the other hand, if the MAC value and the verification MAC value do not match and the CPU 24 determines that the code flash area 26b of the first storage area 26 has been tampered with, it determines that the secure boot processing result is negative (A23: NO) and performs fault diagnosis processing on the first storage area 26 (A25). Upon completing the fault diagnosis processing on the first storage area 26, the CPU 24 determines the result of the fault diagnosis processing (A26).

CPU24は、第1格納領域26の正常動作を確認し、第1格納領域26が故障していないことを特定すると、故障診断の処理結果が正であると判定し(A26:YES)、故意によるデータの改ざんを示すDTCを保存する(A27)。一方、CPU24は、第1格納領域26の正常動作ではなく異常動作を確認し、第1格納領域26が故障していることを特定すると、故障診断の処理結果が否であると判定し(A26:NO)、第1格納領域26の故障によるデータの改ざんを示すDTCを保存する(A28)。 When the CPU 24 confirms that the first storage area 26 is operating normally and determines that the first storage area 26 is not faulty, it determines that the failure diagnosis processing result is positive (A26: YES) and saves a DTC indicating intentional data tampering (A27). On the other hand, when the CPU 24 confirms that the first storage area 26 is operating abnormally rather than normally and determines that the first storage area 26 is faulty, it determines that the failure diagnosis processing result is negative (A26: NO) and saves a DTC indicating data tampering due to a fault in the first storage area 26 (A28).

次いで、CPU24は、第2格納領域27のセキュアブート処理を実施する(A29)。CPU24は、第2格納領域27のセキュアブート処理を完了すると、セキュアブートの処理結果を判定する(A30)。CPU24は、MAC値と検証用MAC値とが一致し、第2格納領域27のコードフラッシュ領域27bが改ざんされていないことを特定すると、セキュアブートの処理結果が正であると判定し(A30:YES)、第2格納領域27で制御ソフトを起動させ(A31)、マイコン22の起動時処理を終了する。 Next, the CPU 24 performs secure boot processing on the second storage area 27 (A29). Upon completing the secure boot processing on the second storage area 27, the CPU 24 determines the result of the secure boot processing (A30). If the MAC value matches the verification MAC value and the code flash area 27b of the second storage area 27 has not been tampered with, the CPU 24 determines that the secure boot processing result is positive (A30: YES), starts the control software in the second storage area 27 (A31), and ends the startup processing of the microcomputer 22.

一方、CPU24は、MAC値と検証用MAC値とが一致せず、第2格納領域27のコードフラッシュ領域27bが改ざんされていることを特定すると、セキュアブートの処理結果が否であると判定し(A30NO)、第2格納領域27の故障診断処理を実施する(A32)。CPU24は、第2格納領域27の故障診断処理を完了すると、故障診断の処理結果を判定する(A33)。 On the other hand, if the MAC value and the verification MAC value do not match and the CPU 24 determines that the code flash area 27b of the second storage area 27 has been tampered with, it determines that the secure boot processing result is negative (A30 NO) and performs fault diagnosis processing on the second storage area 27 (A32). Upon completing the fault diagnosis processing on the second storage area 27, the CPU 24 determines the result of the fault diagnosis processing (A33).

CPU24は、第2格納領域27の正常動作を確認し、第2格納領域27が故障していないことを特定すると、故障診断の処理結果が正であると判定し(A33:YES)、故意によるデータの改ざんを示すDTCを保存する(A34)。一方、CPU24は、第2格納領域27の正常動作ではなく異常動作を確認し、第2格納領域27が故障していることを特定すると、故障診断の処理結果が否であると判定し(A33:NO)、第2格納領域27の故障によるデータの改ざんを示すDTCを保存する(A35)。 When the CPU 24 confirms that the second storage area 27 is operating normally and determines that the second storage area 27 is not faulty, it determines that the result of the fault diagnosis process is positive (A33: YES) and saves a DTC indicating intentional data tampering (A34). On the other hand, when the CPU 24 confirms that the second storage area 27 is operating abnormally rather than normally and determines that the second storage area 27 is faulty, it determines that the result of the fault diagnosis process is negative (A33: NO) and saves a DTC indicating data tampering due to a fault in the second storage area 27 (A35).

CPU24は、第1格納領域26と第2格納領域27の両方が故障しているか否かを判定する(A36)。CPU24は、第1格納領域26と第2格納領域27のうち少なくとも何れかが故障していないことを特定すると(A36:NO)、改ざん通知を車載ネットワーク9や通信ケーブル11へ送信し(A37)、制御ソフトを起動させることなくセキュアブートを保持し(A38)、マイコン22の起動時処理を終了する。 The CPU 24 determines whether both the first storage area 26 and the second storage area 27 are faulty (A36). If the CPU 24 determines that at least one of the first storage area 26 and the second storage area 27 is not faulty (A36: NO), it sends a tampering notification to the in-vehicle network 9 or the communication cable 11 (A37), maintains secure boot without starting the control software (A38), and ends the startup processing of the microcomputer 22.

一方、CPU24は、第1格納領域26と第2格納領域27の両方が故障していることを特定すると(A36:YES)、ROM故障通知を車載ネットワーク9や通信ケーブル11へ送信し(A39)、車両固定処理を有効化し(A40)、制御ソフトを起動させることなくセキュアブートを保持し(A41)、マイコン22の起動時処理を終了する。 On the other hand, if the CPU 24 determines that both the first storage area 26 and the second storage area 27 are faulty (A36: YES), it sends a ROM fault notification to the in-vehicle network 9 or communication cable 11 (A39), enables the vehicle fixation process (A40), maintains secure boot without starting the control software (A41), and ends the startup process of the microcomputer 22.

以上に説明したように第2実施形態によれば、次に示す作用効果を得ることができる。
ECU21において、第1格納領域26のセキュアブート処理を実施し、データが改ざんされていることを特定すると、第1格納領域26の故障診断処理を実施し、第2格納領域27のセキュアブート処理を実施し、データが改ざんされていることを特定すると、第2格納領域27の故障診断処理を実施し、第1格納領域26と第2格納領域27のうち少なくとも何れかが故障していないことを特定すると、故意によるデータの改ざんを通知するようにした。故意によりデータが改ざんされている場合にユーザが適切な処置を行うことができる。一方、第1格納領域26と第2格納領域27の両方が故障していることを特定すると、ROM23の故障によるデータの改ざんを通知するようにした。ROM23の故障によりデータが改ざんされている場合にユーザが適切な処置を行うことができる。これにより、ROM23が2面のデータ格納領域を有する構成においても、セキュアブート処理によりデータが改ざんされていることを特定した場合に、故意による改ざんであるか、又はROM23の故障による改ざんであるかをユーザに適切に通知することができ、何れに対してもユーザが適切な処置を行うことができる。
As described above, according to the second embodiment, the following advantageous effects can be obtained.
In the ECU 21, a secure boot process is performed on the first storage area 26. If it is determined that data has been tampered with, a fault diagnosis process is performed on the first storage area 26. If it is determined that data has been tampered with, a secure boot process is performed on the second storage area 27. If it is determined that at least one of the first storage area 26 and the second storage area 27 is not faulty, a notification is sent of intentional data tampering. If intentional data tampering has occurred, the user can take appropriate measures. On the other hand, if it is determined that both the first storage area 26 and the second storage area 27 are faulty, a notification is sent of data tampering due to a fault in the ROM 23. If data tampering has occurred due to a fault in the ROM 23, the user can take appropriate measures. As a result, even in a configuration in which ROM 23 has two data storage areas, if it is determined that data has been tampered with by secure boot processing, the user can be appropriately notified as to whether the tampering was intentional or due to a malfunction of ROM 23, and the user can take appropriate action in either case.

第1格納領域26のデータが改ざんされていないことを特定すると、第1格納領域26の故障診断処理を実施せずに当該第1格納領域26を使用領域として制御ソフトを起動させることができる。第1格納領域26のデータが改ざんされていることを特定した場合でも、第2格納領域27のデータが改ざんされていないことを特定すると、第2格納領域27を使用領域として制御ソフトを起動させることができる。 If it is determined that the data in the first storage area 26 has not been tampered with, the control software can be launched using the first storage area 26 as the area in use without performing a fault diagnosis process on the first storage area 26. Even if it is determined that the data in the first storage area 26 has been tampered with, if it is determined that the data in the second storage area 27 has not been tampered with, the control software can be launched using the second storage area 27 as the area in use.

(第3実施形態)
第3実施形態について図11から図13を参照して説明する。
第3実施形態は、ROMが2面のデータ格納領域を有する構成において、一方のデータ格納領域のセキュアブート処理と他方の故障診断処理とを並列に実施する。
(Third embodiment)
The third embodiment will be described with reference to FIGS.
In the third embodiment, in a configuration in which a ROM has two data storage areas, secure boot processing for one data storage area and fault diagnosis processing for the other data storage area are performed in parallel.

ECU21において、CPU24は、マイコン22の起動時処理を開始すると、マイコン22を起動し(A51)、第1格納領域26のセキュアブート処理を実施すると同時に、第2格納領域27の故障診断処理を実施する(A52,A53)。 In the ECU 21, when the CPU 24 starts the startup processing of the microcomputer 22, it starts the microcomputer 22 (A51), performs secure boot processing on the first storage area 26, and simultaneously performs fault diagnosis processing on the second storage area 27 (A52, A53).

CPU24は、第1格納領域26のセキュアブート処理と第2格納領域27の故障診断処理を完了すると、セキュアブートの処理結果を判定する(A54)。CPU24は、MAC値と検証用MAC値とが一致し、第1格納領域26のコードフラッシュ領域26bが改ざんされていないことを特定すると、セキュアブートの処理結果が正であると判定し(A54:YES)、第1格納領域26で制御ソフトを起動させ(A55)、マイコン22の起動時処理を終了する。 When the CPU 24 completes the secure boot process for the first storage area 26 and the fault diagnosis process for the second storage area 27, it determines the result of the secure boot process (A54). If the MAC value matches the verification MAC value and the code flash area 26b of the first storage area 26 has not been tampered with, the CPU 24 determines that the secure boot process result is positive (A54: YES), starts the control software in the first storage area 26 (A55), and ends the startup process of the microcomputer 22.

一方、CPU24は、MAC値と検証用MAC値とが一致せず、第1格納領域26のコードフラッシュ領域26bが改ざんされていることを特定すると、セキュアブートの処理結果が否であると判定し(A54:NO)、第1格納領域26の故障診断処理を実施すると同時に、第2格納領域27のセキュアブート処理を実施する(A56,A57)。 On the other hand, if the CPU 24 determines that the MAC value and the verification MAC value do not match and that the code flash area 26b of the first storage area 26 has been tampered with, it determines that the secure boot processing result is negative (A54: NO) and performs fault diagnosis processing on the first storage area 26 while simultaneously performing secure boot processing on the second storage area 27 (A56, A57).

CPU24は、第1格納領域26の故障診断処理と第2格納領域27のセキュアブート処理を完了すると、故障診断の処理結果を判定する(A58)。CPU24は、第1格納領域26の正常動作を確認し、第1格納領域26が故障していないことを特定すると、故障診断の処理結果が正であると判定し(A58:YES)、故意によるデータの改ざんを示すDTCを保存する(A59)。一方、CPU24は、第1格納領域26の正常動作ではなく異常動作を確認し、第1格納領域26が故障していることを特定すると、故障診断の処理結果が否であると判定し(A58:NO)、第1格納領域26の故障によるデータの改ざんを示すDTCを保存する(A60)。 When the CPU 24 completes the fault diagnosis process for the first storage area 26 and the secure boot process for the second storage area 27, it determines the result of the fault diagnosis process (A58). If the CPU 24 confirms normal operation of the first storage area 26 and determines that the first storage area 26 is not faulty, it determines that the result of the fault diagnosis process is positive (A58: YES) and saves a DTC indicating intentional data tampering (A59). On the other hand, if the CPU 24 confirms abnormal operation rather than normal operation of the first storage area 26 and determines that the first storage area 26 is faulty, it determines that the result of the fault diagnosis process is negative (A58: NO) and saves a DTC indicating data tampering due to a fault in the first storage area 26 (A60).

CPU24は、セキュアブートの処理結果を判定する(A61)。CPU24は、MAC値と検証用MAC値とが一致し、第2格納領域27のコードフラッシュ領域27bが改ざんされていないことを特定すると、セキュアブートの処理結果が正であると判定し(A61:YES)、第2格納領域27で制御ソフトを起動させ(A62)、マイコン22の起動時処理を終了する。 The CPU 24 determines the results of the secure boot process (A61). If the MAC value matches the verification MAC value and the code flash area 27b of the second storage area 27 has not been tampered with, the CPU 24 determines that the results of the secure boot process are positive (A61: YES), starts the control software in the second storage area 27 (A62), and ends the startup process of the microcomputer 22.

一方、CPU24は、MAC値と検証用MAC値とが一致せず、第2格納領域27のコードフラッシュ領域27bが改ざんされていることを特定すると、セキュアブートの処理結果が否であると判定し(A61:NO)、故障診断の処理結果を判定する(A63)。CPU24は、第2格納領域27の正常動作を確認し、第2格納領域27が故障していないことを特定すると、故障診断の処理結果が正であると判定し(A63:YES)、故意によるデータの改ざんを示すDTCを保存する(A64)。一方、CPU24は、第2格納領域27の正常動作ではなく異常動作を確認し、第2格納領域27が故障していることを特定すると、故障診断の処理結果が否であると判定し(A63:NO)、第2格納領域27の故障による改ざんを示すDTCを保存する(A65)。 On the other hand, if the CPU 24 determines that the MAC value and the verification MAC value do not match and that the code flash area 27b of the second storage area 27 has been tampered with, it determines that the secure boot processing result is negative (A61: NO) and determines the processing result of the fault diagnosis (A63). If the CPU 24 confirms that the second storage area 27 is operating normally and determines that the second storage area 27 is not faulty, it determines that the processing result of the fault diagnosis is positive (A63: YES) and saves a DTC indicating intentional data tampering (A64). On the other hand, if the CPU 24 confirms that the second storage area 27 is operating abnormally rather than normally and determines that the second storage area 27 is faulty, it determines that the processing result of the fault diagnosis is negative (A63: NO) and saves a DTC indicating tampering due to a fault in the second storage area 27 (A65).

CPU24は、第1格納領域26と第2格納領域27の両方が故障しているか否かを判定する(A66)。CPU24は、第1格納領域26と第2格納領域27のうち少なくとも何れかが故障していないことを特定すると(A66:NO)、改ざん通知を車載ネットワーク9や通信ケーブル11へ送信し(A67)、制御ソフトを起動させることなくセキュアブートを保持し(A68)、マイコン22の起動時処理を終了する。 The CPU 24 determines whether both the first storage area 26 and the second storage area 27 are faulty (A66). If the CPU 24 determines that at least one of the first storage area 26 and the second storage area 27 is not faulty (A66: NO), it sends a tampering notification to the in-vehicle network 9 or the communication cable 11 (A67), maintains secure boot without starting the control software (A68), and ends the startup processing of the microcomputer 22.

CPU24は、第1格納領域26と第2格納領域27の両方が故障していることを特定すると(A66:YES)、ROM故障通知を車載ネットワーク9や通信ケーブル11へ送信し(A69)、車両固定処理を有効化し(A70)、制御ソフトを起動させることなくセキュアブートを保持し(A71)、マイコン22の起動時処理を終了する。 When the CPU 24 determines that both the first storage area 26 and the second storage area 27 are faulty (A66: YES), it sends a ROM fault notification to the in-vehicle network 9 or the communication cable 11 (A69), enables the vehicle fixation process (A70), maintains secure boot without starting the control software (A71), and ends the startup process of the microcomputer 22.

以上に説明したように第3実施形態によれば、次に示す作用効果を得ることができる。
ECU21において、第1格納領域26のセキュアブート処理と第2格納領域27の故障診断処理とを並列に実施し、第1格納領域26の故障診断処理と第2格納領域27のセキュアブート処理とを並列に実施するようにした。第1格納領域26及び第2格納領域27の何れかが故障している場合でも制御ソフトを起動させるまでの時間を短縮することができる。
As described above, according to the third embodiment, the following advantageous effects can be obtained.
In the ECU 21, the secure boot process of the first storage area 26 and the fault diagnosis process of the second storage area 27 are performed in parallel, and the fault diagnosis process of the first storage area 26 and the secure boot process of the second storage area 27 are performed in parallel. Even if a fault occurs in either the first storage area 26 or the second storage area 27, the time required to start the control software can be reduced.

第1格納領域26のデータが改ざんされていないことを特定すると、第1格納領域26の故障診断処理及び第2格納領域27のセキュアブート処理を実施せずに当該第1格納領域26を使用領域として制御ソフトを起動させることができる。第1格納領域26のデータが改ざんされていることを特定した場合でも、第2格納領域27のデータが改ざんされていないことを特定すると、第2格納領域27を使用領域として制御ソフトを起動させることができる。 If it is determined that the data in the first storage area 26 has not been tampered with, the control software can be launched using the first storage area 26 as the area in use without performing fault diagnosis processing on the first storage area 26 or secure boot processing on the second storage area 27. Even if it is determined that the data in the first storage area 26 has been tampered with, if it is determined that the data in the second storage area 27 has not been tampered with, the control software can be launched using the second storage area 27 as the area in use.

(その他の実施形態)
本開示は、実施例に準拠して記述されたが、当該実施例や構造に限定されるものではないと理解される。本開示は、様々な変形例や均等範囲内の変形をも包含する。加えて、様々な組み合わせや形態、更には、それらに一要素のみ、それ以上、或いはそれ以下を含む他の組み合わせや形態をも、本開示の範疇や思想範囲に入るものである。
(Other embodiments)
Although the present disclosure has been described with reference to the embodiments, it is understood that the present disclosure is not limited to the embodiments or structures. The present disclosure also encompasses various modifications and modifications within the scope of equivalents. In addition, various combinations and forms, as well as other combinations and forms including only one element, more than one element, or less than one element, are also within the scope and spirit of the present disclosure.

本開示に記載の制御部及びその手法は、コンピュータプログラムにより具体化された一つ乃至は複数の機能を実行するようにプログラムされたプロセッサ及びメモリを構成することにより提供された専用コンピュータにより実現されても良い。或いは、本開示に記載の制御部及びその手法は、一つ以上の専用ハードウェア論理回路によりプロセッサを構成することにより提供された専用コンピュータにより実現されても良い。若しくは、本開示に記載の制御部及びその手法は、一つ乃至は複数の機能を実行するようにプログラムされたプロセッサ及びメモリと一つ以上のハードウェア論理回路により構成されたプロセッサとの組み合わせにより構成された一つ以上の専用コンピュータにより実現されても良い。又、コンピュータプログラムは、コンピュータにより実行されるインストラクションとして、コンピュータ読み取り可能な非遷移有形記録媒体に格納されていても良い。 The control unit and method described in this disclosure may be implemented by a special-purpose computer provided by configuring a processor and memory programmed to perform one or more functions embodied in a computer program. Alternatively, the control unit and method described in this disclosure may be implemented by a special-purpose computer provided by configuring a processor with one or more dedicated hardware logic circuits. Alternatively, the control unit and method described in this disclosure may be implemented by one or more special-purpose computers configured by combining a processor and memory programmed to perform one or more functions with a processor configured with one or more hardware logic circuits. Furthermore, the computer program may be stored on a computer-readable non-transitory tangible recording medium as instructions executed by a computer.

図面中、1,21は電子制御装置、2,22はマイコン、3,23はROM(データ格納部)、4,24はCPU(制御部)、26は第1格納領域、27は第2格納領域である。 In the drawing, 1 and 21 are electronic control devices, 2 and 22 are microcomputers, 3 and 23 are ROMs (data storage units), 4 and 24 are CPUs (control units), 26 is a first storage area, and 27 is a second storage area.

Claims (5)

車両に搭載される電子制御装置(21)であって、
データを格納するデータ格納部(23)と、
セキュアブート処理を実施して前記データ格納部に格納されているデータが改ざんされているか否かを判定する制御部(24)と、を備え、
前記データ格納部は、第1格納領域(26)と、第2格納領域(27)と、を備え、
前記制御部は、前記データが改ざんされていることを特定すると、前記データ格納部の故障診断処理を実施して当該データ格納部が故障しているか否かを判定し、当該データ格納部が故障していないことを特定すると、故意によるデータの改ざんを通知し、当該データ格納部が故障していることを特定すると、当該データ格納部の故障による前記データの改ざんを通知するものであり、前記第1格納領域の前記セキュアブート処理を実施することと並列して前記第2格納領域の故障診断処理を実施し、前記第1格納領域に格納されているデータが改ざんされていることを特定すると、前記第1格納領域の前記故障診断処理を実施することと並列して前記第2格納領域の前記セキュアブート処理を実施し、前記第2格納領域に格納されているデータが改ざんされていないことを特定すると、前記第2格納領域を使用領域として制御ソフトを起動させる電子制御装置。
An electronic control device ( 21) mounted on a vehicle,
a data storage unit ( 23) for storing data;
a control unit ( 24) that performs a secure boot process and determines whether or not the data stored in the data storage unit has been tampered with;
The data storage unit includes a first storage area (26) and a second storage area (27),
When the control unit determines that the data has been tampered with, it performs a fault diagnosis process on the data storage unit to determine whether the data storage unit is faulty, and when it determines that the data storage unit is not faulty, it notifies the user that the data has been intentionally tampered with, and when it determines that the data storage unit is faulty, it notifies the user that the data has been tampered with due to a fault in the data storage unit.The electronic control unit performs a fault diagnosis process on the second storage area in parallel with performing the secure boot process on the first storage area, and when it determines that the data stored in the first storage area has been tampered with, it performs the secure boot process on the second storage area in parallel with performing the fault diagnosis process on the first storage area, and when it determines that the data stored in the second storage area has not been tampered with, it launches control software using the second storage area as the area to be used .
前記制御部は、前記第1格納領域に格納されているデータが改ざんされていないことを特定すると、前記第1格納領域の前記故障診断処理及び前記第2格納領域の前記セキュアブート処理を実施せずに前記第1格納領域を使用領域として制御ソフトを起動させる請求項1に記載した電子制御装置。 2. The electronic control device according to claim 1, wherein when the control unit determines that the data stored in the first storage area has not been tampered with, the control unit launches control software using the first storage area as the used area without performing the fault diagnosis processing of the first storage area and the secure boot processing of the second storage area . 前記制御部は、故意によるデータの改ざんを通知すると共に、正規の制御ソフトのリプログを促す請求項1又は2に記載した電子制御装置。 3. The electronic control device according to claim 1 , wherein the control unit notifies the user of any intentional data tampering and prompts the user to reprogram the correct control software . 前記制御部は、前記データ格納部の故障による前記データの改ざんを通知すると共に、マイコンの交換を促す請求項1から3の何れか一項に記載した電子制御装置。 4. The electronic control device according to claim 1 , wherein the control unit notifies the user of the data falsification caused by a malfunction of the data storage unit and urges the user to replace the microcomputer . 前記制御部は、故意により前記データが改ざんされていることを特定すると、故意によるデータの改ざんを示すDTCコードを保存し、前記データ格納部の故障により前記データが改ざんされていることを特定すると、前記データ格納部の故障によるデータの改ざんを示すDTCコードを保存する請求項1から4の何れか一項に記載した電子制御装置。 5. The electronic control device according to claim 1, wherein, when the control unit determines that the data has been intentionally tampered with, it stores a DTC code indicating intentional data tampering, and when the control unit determines that the data has been tampered with due to a failure of the data storage unit, it stores a DTC code indicating data tampering due to a failure of the data storage unit .
JP2021210816A 2021-12-24 2021-12-24 Electronic control unit Active JP7803121B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2021210816A JP7803121B2 (en) 2021-12-24 2021-12-24 Electronic control unit

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021210816A JP7803121B2 (en) 2021-12-24 2021-12-24 Electronic control unit

Publications (2)

Publication Number Publication Date
JP2023095117A JP2023095117A (en) 2023-07-06
JP7803121B2 true JP7803121B2 (en) 2026-01-21

Family

ID=87002108

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021210816A Active JP7803121B2 (en) 2021-12-24 2021-12-24 Electronic control unit

Country Status (1)

Country Link
JP (1) JP7803121B2 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017167916A (en) 2016-03-17 2017-09-21 株式会社デンソー Information processing system
JP2020095470A (en) 2018-12-12 2020-06-18 キヤノン株式会社 Information processing apparatus and control method thereof
JP2020147249A (en) 2019-03-15 2020-09-17 株式会社デンソー Electronic control unit, server, communication system
JP2021028763A (en) 2019-08-09 2021-02-25 キオクシア株式会社 Storage device
WO2021163829A1 (en) 2020-02-17 2021-08-26 Arris Enterprises Llc Systems and methods for narrowing the scope of a problem when a modem is bricked

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017167916A (en) 2016-03-17 2017-09-21 株式会社デンソー Information processing system
JP2020095470A (en) 2018-12-12 2020-06-18 キヤノン株式会社 Information processing apparatus and control method thereof
JP2020147249A (en) 2019-03-15 2020-09-17 株式会社デンソー Electronic control unit, server, communication system
JP2021028763A (en) 2019-08-09 2021-02-25 キオクシア株式会社 Storage device
WO2021163829A1 (en) 2020-02-17 2021-08-26 Arris Enterprises Llc Systems and methods for narrowing the scope of a problem when a modem is bricked

Also Published As

Publication number Publication date
JP2023095117A (en) 2023-07-06

Similar Documents

Publication Publication Date Title
US9792440B1 (en) Secure boot for vehicular systems
US7921286B2 (en) Computer initialization for secure kernel
CN103729597B (en) System starts method of calibration, system starts calibration equipment and terminal
US10268557B2 (en) Network monitoring device, network system, and computer program product
US9990255B2 (en) Repairing compromised system data in a non-volatile memory
US10181956B2 (en) Key revocation
US11686767B2 (en) System, apparatus and method for functional testing of one or more fabrics of a processor
US12050691B2 (en) Security processing device
US9928367B2 (en) Runtime verification
JP2020095470A (en) Information processing apparatus and control method thereof
CN111158767A (en) BMC-based server secure starting method and device
CN115220796A (en) Secure Boot Device
US20230224289A1 (en) Communication device, vehicle, communication method, and recording medium recorded with program
CN111177709A (en) A terminal trusted component execution method, device and computer equipment
US9778642B2 (en) Protection unit for a programmable data-processing system
CN113849212A (en) Software upgrading control method and device and electronic equipment
US11960608B2 (en) Fast secure booting method and system
TWI676889B (en) Boot data validity
JP6659180B2 (en) Control device and control method
US20240036878A1 (en) Method for booting an electronic control unit
JP7803121B2 (en) Electronic control unit
US11180157B2 (en) Monitoring apparatus and driving force control system
JP6459851B2 (en) Electronic control device for vehicle
US10789365B2 (en) Control device and control method
CN108073489B (en) Method for ensuring operation of calculator

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20241007

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20250729

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20250731

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20250922

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20251209

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20251222

R150 Certificate of patent or registration of utility model

Ref document number: 7803121

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150