JP7103503B2 - 車載通信装置、プログラム及び、通信方法 - Google Patents

車載通信装置、プログラム及び、通信方法 Download PDF

Info

Publication number
JP7103503B2
JP7103503B2 JP2021501904A JP2021501904A JP7103503B2 JP 7103503 B2 JP7103503 B2 JP 7103503B2 JP 2021501904 A JP2021501904 A JP 2021501904A JP 2021501904 A JP2021501904 A JP 2021501904A JP 7103503 B2 JP7103503 B2 JP 7103503B2
Authority
JP
Japan
Prior art keywords
vehicle
configuration information
authentication device
external authentication
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021501904A
Other languages
English (en)
Other versions
JPWO2020170926A1 (ja
Inventor
太郎 板津
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sumitomo Wiring Systems Ltd
AutoNetworks Technologies Ltd
Sumitomo Electric Industries Ltd
Original Assignee
Sumitomo Wiring Systems Ltd
AutoNetworks Technologies Ltd
Sumitomo Electric Industries Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sumitomo Wiring Systems Ltd, AutoNetworks Technologies Ltd, Sumitomo Electric Industries Ltd filed Critical Sumitomo Wiring Systems Ltd
Publication of JPWO2020170926A1 publication Critical patent/JPWO2020170926A1/ja
Application granted granted Critical
Publication of JP7103503B2 publication Critical patent/JP7103503B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • B60R16/0231Circuits relating to the driving or the functioning of the vehicle
    • B60R16/0232Circuits relating to the driving or the functioning of the vehicle for measuring vehicle parameters and indicating critical, abnormal or dangerous conditions
    • B60R16/0234Circuits relating to the driving or the functioning of the vehicle for measuring vehicle parameters and indicating critical, abnormal or dangerous conditions related to maintenance or repairing of vehicles
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • B60R16/0238Electrical distribution centers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Automation & Control Theory (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)
  • Stored Programmes (AREA)

Description

本発明は、車載通信装置、プログラム及び、通信方法に関する。
本出願は、2019年2月18日出願の日本出願第2019-026828号に基づく優先権を主張し、前記日本出願に記載された全ての記載内容を援用するものである。
車両には、エンジン制御等のパワー・トレーン系、エアコン制御等のボディ系等の車載機器を制御するための車載ECU(Electronic Control Unit)が搭載されている。車載ECUは、MPU等の演算処理部、RAM等の書き換え可能な不揮発性の記憶部、及び他の車載ECUと通信するための通信部を含み、記憶部に記憶した制御プログラムを読み込んで実行することにより、車載機器の制御を行う。更に車両には、無線通信の機能を備えた車載通信装置(中継装置)が実装されており、当該中継装置は、これら車載ECUに関する情報(車両仕様情報)を車両の外部の装置から取得し、記憶する(例えば特許文献1参照)。
特開2016-94158号公報
本開示の一態様に係る車載通信装置は、車両に搭載された車載ECUと通信可能に接続され、前記車載ECU夫々から送信される構成情報を取得し、前記車両に搭載される車載通信装置であって、制御部を備え、前記制御部は、前記車載ECUの交換又は追加を行う際に前記車両外から接続される外部認証装置との通信を制御するものであり、前回取得した構成情報が今回取得した構成情報と異なる場合、前記外部認証装置との通信を試み、前記外部認証装置との通信が正常に行われなかった場合、前記車載ECUは不正に交換又は追加されたと判定し、前記外部認証装置との通信が正常に行われなかった場合は、前記外部認証装置が前記車両に接続されていないことを含む。
実施形態1に係る車載通信装置を含む車載通信システムの構成を例示する模式図である。 車載通信装置等の構成を例示するブロック図である。 車載ECUの構成情報の一態様を例示する説明図である。 車載通信装置による判定の一態様を例示する説明図である。 車載通信装置の制御部の処理を例示するフローチャートである。 実施形態2に係る車載通信装置の制御部の処理を例示するフローチャートである。 実施形態2に係る車載通信装置の制御部の処理を例示するフローチャートである。 実施形態3に係る車載通信装置による判定の一態様を例示する説明図である。 実施形態3に係る車載通信装置の制御部の処理を例示するフローチャートである。 実施形態3に係る車載通信装置の制御部の処理を例示するフローチャートである。
[本開示が解決しようとする課題]
特許文献1の中継装置は、車載ECUが交換された際、当該交換の正否の判定に関する考慮がされていないため、車載ECUが不正に交換された場合、当該不正な交換の検知が困難となることが懸念される。
本開示の目的は、車載ECUが交換された際、当該交換が適正な交換であるか否かを判定することができる車載通信装置等を提供する。
[本開示の効果]
本開示の一態様によれば、車載ECUが交換された際、当該交換が適正な交換であるか否かを判定することができる車載通信装置等を提供することができる。
[本開示の実施形態の説明]
最初に本開示の実施態様を列挙して説明する。また、以下に記載する実施形態の少なくとも一部を任意に組み合わせてもよい。
(1)本開示の一態様に係る車載通信装置は、車両に搭載された車載ECUと通信可能に接続され、前記車載ECU夫々から送信される構成情報を取得する車載通信装置であって、制御部を備え、前記制御部は、前記車載ECUの交換又は追加を行う際に前記車両外から接続される外部認証装置との通信を制御するものであり、前回取得した構成情報が今回取得した構成情報と異なる場合、前記外部認証装置との通信を試み、前記外部認証装置との通信が正常に行われなかった場合、前記車載ECUは不正に交換又は追加されたと判定する。
本態様にあたっては、前回取得した構成情報が今回取得した構成情報と異なる場合、前回の構成情報の取得時点から、今回の構成情報の取得時点までの間に、車載ECUが交換又は追加されたことを意味する。車載ECUの適正な交換等の作業を行うにあたり、外部認証装置が車両に接続されるものとなるが、制御部と外部認証装置との通信が正常に行われなかった場合は、外部認証装置が車両に接続されていないことが想定される。従って、前回取得した構成情報が今回取得した構成情報と異なる場合であって、制御部と外部認証装置との通信が正常に行われなかった場合は、車載ECUは不正に交換されたと判定することにより、当該交換の正否を適切に判定することができる。
(2)本開示の一態様に係る車載通信装置は、前記制御部は、前記車両の起動時に前記車載ECU夫々から構成情報を取得する。
本態様にあたっては、制御部は、車両の起動時に前記構成情報を取得するため、車両の停止中に行われた車載ECUの交換等の交換の正否を適切に判定することができる。
(3)本開示の一態様に係る車載通信装置は、前記制御部は、前記車載ECUは不正に交換又は追加されたと判定した場合、前記前回取得した構成情報と前記今回取得した構成情報との差分に基づき、不正に交換又は追加された車載ECUを特定する。
本態様にあたっては、制御部は、車載ECUは不正に交換されたと判定した場合、前記判定に関する情報を、車外の外部サーバ又は、前記車両に設けられている表示装置に送信するため、外部サーバの管理者又は車両の操作者に当該判定に関する情報を報知することができる。
(4)本開示の一態様に係る車載通信装置は、前記制御部は、前記車載ECUは不正に交換又は追加されたと判定した場合、前記判定に関する情報を前記車両に設けられている表示装置に送信する。
本態様にあたっては、制御部は、前回取得した構成情報と今回取得した構成情報との差分に基づき、不正に交換又は追加された車載ECUを特定するので、効率的に不正に交換等された車載ECUを特定することができる。
(5)本開示の一態様に係る車載通信装置は、前記制御部は、前記今回取得した構成情報を前記外部認証装置に出力し、前記外部認証装置に出力された構成情報は、前記外部認証装置により車外の外部サーバに送信される。
本態様にあたっては、制御部が取得した構成情報は、外部認証装置により車外の外部サーバに送信されるので、外部認証装置を経由するセキュアな通信環境を用いて当該構成情報を外部サーバに効率的に送信することができる。
(6)本開示の一態様に係る車載通信装置は、前記制御部は、前記外部認証装置との通信が正常に行われた場合、前記外部認証装置から前記外部サーバに送信された構成情報を、前記制御部と通信可能に接続された車外通信装置を介して前記外部サーバから取得し、前記外部サーバから取得した構成情報が、前記今回取得した構成情報と異なる場合、前記外部認証装置は、不正であると判定する。
本態様にあたっては、制御部は、外部認証装置を介して外部サーバに送信された構成情報を、車外通信装置を介して外部サーバから取得し、外部サーバから取得した構成情報が今回取得した構成情報と異なる場合、外部認証装置は、不正であると判定する。従って、車両に接続された外部認証装置が、正規な外部認証装置に成りすました不正な外部認証装置であり、当該不正な外部認証装置が制御部との間にて正常な通信を装った場合であっても、当該外部認証装置が不正であると判定することができる。又、外部認証装置が不正であると判定された場合、当該不正な外部認証装置が接続されて行われた車載ECUの交換等についても、不正であると判定するものであってもよい。
(7)本開示の一態様に係る車載通信装置は、前記制御部は、前記外部認証装置から前記外部サーバへの構成情報の送信が完了した旨を、該外部認証装置から取得した場合、前記外部認証装置から前記外部サーバに送信された構成情報を、前記制御部と通信可能に接続された車外通信装置を介して前記外部サーバから取得する。
本態様にあたっては、当該外部認証装置は、構成情報を外部サーバに送信し、当該送信が正常に完了した場合、外部サーバへの構成情報の送信が完了した旨(送信完了通知)を車載通信装置に送信(出力)する。車載通信装置の制御部は、外部認証装置から外部サーバへの構成情報の送信が完了した旨(送信完了通知)を取得した場合、当該外部サーバから構成情報(外部認証装置が送信完了した構成情報)を取得する。このように制御部は、外部認証装置からの送信完了通知に基づき、外部サーバから構成情報を取得するため、外部サーバに記憶されている構成情報が更新される前、すなわち外部認証装置からの構成情報の送信が完了する前に、外部サーバから古い構成情報を取得することを防止することができる。
(8)本開示の一態様に係るプログラムは、コンピュータに、車両に搭載された車載ECU夫々から送信される構成情報を取得し、前回取得した構成情報が今回取得した構成情報と異なる場合、前記車載ECUの交換又は追加を行う際に前記車両外から接続される外部認証装置との通信を試み、前記外部認証装置との通信が正常に行われなかった場合、前記車載ECUは不正に交換又は追加されたと判定する処理を実行させる。
本態様にあたっては、コンピュータを、車載ECUが交換された際、当該交換が適正な交換であるか否かを判定することができる車載通信装置として機能させることができる。
(9)本開示の一態様に係る通信方法は、車両に搭載された車載ECU夫々から送信される構成情報を取得し、前回取得した構成情報が今回取得した構成情報と異なる場合、前記車載ECUの交換又は追加を行う際に前記車両外から接続される外部認証装置との通信を試み、前記外部認証装置との通信が正常に行われなかった場合、前記車載ECUは不正に交換又は追加されたと判定する。
本態様にあたっては、車載ECUが交換された際、当該交換が適正な交換であるか否かを判定することができる通信方法を提供することができる。
[本開示の実施形態の詳細]
本開示をその実施の形態を示す図面に基づいて具体的に説明する。本開示の実施形態に係る車載通信装置2を、以下に図面を参照しつつ説明する。なお、本開示はこれらの例示に限定されるものではなく、請求の範囲によって示され、請求の範囲と均等の意味及び範囲内でのすべての変更が含まれることが意図される。
(実施形態1)
以下、実施の形態について図面に基づいて説明する。図1は、実施形態1に係る車載通信装置を含む車載通信システムの構成を例示する模式図である。図2は、車載通信装置等の構成を例示するブロック図である。車載通信システムは、車両Cに搭載された車外通信装置1及び車載通信装置2を含み、車外ネットワークNを介して接続された外部サーバ100から取得したプログラム又はデータを、車両Cに搭載されている車載ECU3(Electronic Control Unit)に送信する。また、車両Cに外部認証装置5が接続された場合、外部認証装置5は、車外ネットワークNを介して外部サーバ100と通信する。
外部サーバ100は、例えばインターネット又は公衆回線網等の車外ネットワークNに接続されているサーバ等のコンピュータであり、RAM(Random Access Memory)、ROM(Read Only Memory)又はハードディスク等による記憶部101を備える。外部サーバ100には、車載ECU3の製造メーカ等によって作成された当該車載ECU3を制御するためのプログラム又はデータが、記憶部101に保存されている。当該プログラム又はデータは、更新プログラムとして、後述のごとく車両Cに送信され、車両Cに搭載されている車載ECU3のプログラム又はデータを更新するために用いられる。このように構成された外部サーバ100は、OTA(Over The Air)サーバとも称される。車両に搭載される車載ECU3は、外部サーバ100から無線通信により送信された更新プログラムを取得し、当該更新プログラムを実行するプログラムとして適用することにより、自ECUが実行するプログラムを更新(リプロ)することができる。外部サーバ100の記憶部101には、外部認証装置5から送信された車載ECU3夫々の構成情報が記憶される。当該構成情報には、車両Cを識別するための識別情報(VIN:車両識別番号)が含まれている。外部サーバ100は、当該識別情報に基づき車両Cを特定し、特定した車両Cとの間で、当該車両Cの車載ECU3夫々の構成情報に関する通信を行う。
車両Cには、車外通信装置1、車載通信装置2、表示装置7、及び種々の車載機器を制御するための複数の車載ECU3が搭載されている。車外通信装置1と車載通信装置2とは、例えばシリアルケーブル等のハーネスにより通信可能に接続されている。車載通信装置2及び車載ECU3は、CAN(Control Area Network/登録商標)又はイーサネット(Ethernet/登録商標)等の通信プロトコルに対応した通信線41及び車内LAN4によって通信可能に接続されている。
車外通信装置1は、車外通信部11及び、車載通信装置2と通信するための入出力I/F(インターフェイス)12を含む。車外通信部11は、3G、LTE、4G、WiFi等の移動体通信のプロトコルを用いて無線通信をするための通信装置であり、車外通信部11に接続されたアンテナ13を介して外部サーバ100とデータの送受信を行う。車外通信装置1と外部サーバ100との通信は、例えば公衆回線網又はインターネット等の車外ネットワークNを介して行われる。
入出力I/F12は、車載通信装置2と、例えばシリアル通信するための通信インターフェイスである。車外通信装置1と車載通信装置2とは、入出力I/F12及び入出力I/F12に接続されたシリアルケーブル等のハーネスを介して相互に通信する。本実施形態では、車外通信装置1は、車載通信装置2と別装置とし、入出力I/F12等によってこれら装置を通信可能に接続しているが、これに限定されない。車外通信装置1は、車載通信装置2の一構成部位として、車載通信装置2に内蔵されるものであってもよい。
車載通信装置2は、制御部20、記憶部21、入出力I/F22、及び車内通信部23を含む。車載通信装置2は、例えば、制御系の車載ECU3、安全系の車載ECU3及び、ボディ系の車載ECU3等の複数の通信線41による系統のセグメントを統括し、これらセグメント間での車載ECU3同士の通信を中継するゲートウェイ(中継器)である。又は、車載通信装置2は、車両C全体をコントロールするボディECUの一機能部として構成されるものであってもよい。車載通信装置2は、車外通信装置1が無線通信によって外部サーバ100から受信した更新プログラムを、車外通信装置1から取得し、車内LAN4を介して当該更新プログラムを所定の車載ECU3(更新対象の車載ECU3)に送信するように構成されているものであってもよい。
制御部20は、CPU(Central Processing Unit)又はMPU(Micro Processing Unit)等により構成してあり、記憶部21に予め記憶された制御プログラム及びデータを読み出して実行することにより、種々の制御処理及び演算処理等を行うようにしてある。制御部20は、当該制御プログラムを実行することにより、外部サーバ100から送信された車載ECU3の構成情報又は更新プログラムを、車外通信装置1を介して取得する取得部として機能する。制御部20は、当該制御プログラムを実行することにより、後述する外部認証装置5又は外部サーバ100と通信し、車載ECU3の交換等が適正にされたものか否かを判定する判定部として機能する。
記憶部21は、RAM(Random Access Memory)等の揮発性のメモリ素子又は、ROM(Read Only Memory)、EEPROM(Electrically Erasable Programmable ROM)若しくはフラッシュメモリ等の不揮発性のメモリ素子により構成してあり、制御プログラム及び処理時に参照するデータがあらかじめ記憶してある。記憶部21に記憶された制御プログラムは、車載通信装置2が読み取り可能な記録媒体211から読み出された制御プログラムを記憶したものであってもよい。また、図示しない通信網に接続されている図示しない外部コンピュータから制御プログラムをダウンロードし、記憶部21に記憶させたものであってもよい。更に、記憶部21には、車両Cに搭載される全ての車載ECU3の構成情報が記憶される。記憶部21には、外部サーバ100から取得した更新プログラム、及び車載ECU3に更新プログラムを送信する際の進捗状況に関する情報が、記憶されるものであってもよい。
入出力I/F22は、車外通信装置1の入出力I/F12と同様に、例えばシリアル通信するための通信インターフェイスである。入出力I/F22を介して、車載通信装置2は、車外通信装置1及びIGスイッチ6と通信可能に接続される。
車内通信部23は、例えばCAN(Control Area Network)又はイーサネット(Ethernet/登録商標)等の通信プロトコルを用いた入出力インターフェイスであり、制御部20は、車内通信部23を介して車内LAN4に接続されている車載ECU3又は他の中継装置等の車載機器と相互に通信する。車内通信部23は、複数個設けられており、車内通信部23夫々に、車内LAN4を構成する通信線41が接続されている。このように車内通信部23を複数個設けることにより、車内LAN4は複数個のセグメントに分け、各セグメントに車載ECUを、当該車載ECUの機能(制御系機能、安全系機能、ボディ系機能)に応じて接続する。車内通信部23には、後述する外部認証装置5が必要に応じて接続され、外部認証装置5が接続された場合、制御部20は、車内通信部23を介して外部認証装置5と相互に通信する。
車載ECU3は、制御部30、記憶部31及び車内通信部32を含む。記憶部31は、RAM(Random Access Memory)等の揮発性のメモリ素子又は、ROM(Read Only Memory)、EEPROM(Electrically Erasable Programmable ROM)若しくはフラッシュメモリ等の不揮発性のメモリ素子により構成してあり、車載ECU3のプログラム又はデータが記憶されている。このプログラム又はデータが、車載通信装置2から送信される更新プログラムによって更新される対象である。又、記憶部31には自ECUの構成情報が記憶されている。
記憶部31は、第1記憶領域(第1面)及び第2記憶領域(第2面)を含む。記憶部31には、現状において車載ECU3が実行(適用)しているプログラム(現バージョン)及び、現バージョンの以前に適用されていたプログラム(旧バージョン)の2つのプログラムが記憶されている。これら現バージョンのプログラムと、旧バージョンのプログラムとは、第1記憶領域又は第2記憶領域のいずれかの記憶領域に分かれて、記憶されている。すなわち、第1記憶領域に現バージョンのプログラムが記憶されている場合、第2記憶領域に旧バージョンのプログラムが記憶されている。第1記憶領域に旧バージョンのプログラムが記憶されている場合、第2記憶領域に現バージョンのプログラムが記憶されている。このように現バージョン及び旧バージョンの2つのプログラムを、所謂2面持ちとして記憶することにより、万が一現バージョンのプログラムに問題が生じた場合であっても、制御部30は、以前に適用して正常に動作していた旧バージョンのプログラムを読み込み実行する(切替える)ことで、車載ECU3の信頼性を担保することができる。記憶部31は、2面持ちに限定されず、第1記憶領域のみを有する1面持ちとして記憶するものであってもよい。
記憶部31には、現バージョン及び旧バージョンの2つのプログラム夫々のバージョンに関する情報、及び現在実行(適用)しているプログラムが記憶されている領域(動作面)に関する情報が記憶されている。すなわち、現状において第1記憶領域(第1面)に記憶されているプログラムを実行している場合、記憶部31には、動作面は第1記憶領域(第1面)であると記憶される。現状において第2記憶領域(第2面)に記憶されているプログラムを実行している場合、記憶部31には、動作面は第2記憶領域(第2面)であると記憶される。記憶部31には、プログラム(現バージョン及び旧バージョン)のバージョン情報及び動作面に関する情報を含め、自ECUの構成情報、車載通信装置2から更新プログラムを受信する際の進捗状況に関する情報、及び過去に行われた単数又は複数回の更新履歴に関する情報が、記憶される。
制御部30は、CPU(Central Processing Unit)又はMPU(Micro Processing Unit)等により構成してあり、記憶部31(動作面)に記憶されたプログラム及びデータを読み出し実行して制御処理等を行い、当該車載ECU3を含む車載機器又はアクチュエータ等が制御される。
外部認証装置5は、車載ECU3の交換等の車両Cの整備作業を担う正規ディーラ等を含む車両C整備業者によって用いられる装置(ダイアグツール)であり、例えばパソコン、タブレットPC又はスマートホン等の汎用情報端末に専用アプリケーションをインストールした装置、又はハードウェアを含み専用情報端末として構成された装置である。外部認証装置5は、前述の車載ECU3と同様にCPU又はMPUにより制御部(図示せず)、記憶部(図示せず)及び車内通信部(図示せず)を含む。外部認証装置5の車内通信部は、車載ECU3と同様のCAN又はイーサネットに限定されず、例えばシリアルケーブル等のワイヤーハーネスによる通信するための入出力I/F又は通信モジュールであってもよい。外部認証装置5は、車内通信部によって、車内LAN等を介して車載通信装置2又は車載ECU3夫々と通信する。又は、外部認証装置5の車内通信部は、無線通信の機能を有し、外部認証装置5は無線通信により車載通信装置2と通信するものであってもよい。更に外部認証装置5は、外部サーバ100と通信するための車外通信部(図示せず)を含む。外部認証装置5の車外通信部は、有線又は無線による通信機能を有する通信モジュールであり、外部認証装置5は、車外通信部によって、車外ネットワークNを介して外部サーバ100と通信する。外部認証装置5は、上述のごとく正規ディーラ等の作業環境下に配置されるものであり、当該正規ディーラ等と外部サーバ100との通信環境を利用して、外部サーバ100と確実に通信することができる。
外部認証装置5の記憶部には、外部サーバ100と正規に通信するための通信手順に関するプログラム及び公開鍵又は共通鍵を含む認証情報が記憶されている。外部認証装置5は、車載ECU3を交換又は追加等の車両Cの整備作業を行う場合、図2に示すように車載通信装置2と直接接続、又は車載LAN4のいずれかの箇所に接続されることにより、車載通信装置2と通信可能に接続される。車載ECU3を交換又は追加した場合、外部認証装置5は、交換等を行った後の車両Cに搭載される車載ECU3夫々の構成情報を取得し、予め定められている正規の通信手順に基づき、例えば公開鍵又は共通鍵を用いた認証情報と共に、当該取得した構成情報を外部サーバ100に送信する。当該認証情報を用いることにより、外部認証装置5は、セキュアな通信環境にて、外部サーバ100との通信(データの送受信)を行うことができる。認証情報は、例えばSSL(Secure Sockets Layer)/TSL(Transport Layer Security)に準拠したクライアント証明書であってもよい。
通常、車載ECU3の交換等は、車両Cの停止中に行われる。車両Cの停止中は、車載ECU3への給電も停止しているため、外部認証装置5は車載ECU3との通信はできず、車載ECU3夫々から構成情報を取得することはできない。車載ECU3の交換等が終了した後、外部認証装置5が車載通信装置2に接続された状態にて、車両CのIGスイッチがオンにされ車両Cは起動する。車両Cが起動することにより、車載ECU3夫々に車載バッテリー等の蓄電装置(図示せず)から給電がされ、車載ECU3夫々が起動する。外部認証装置5は、この状態において、車載ECU3夫々と通信し、車載ECU3夫々の構成情報を取得する。又は、車載通信装置2はIGスイッチがオンにされた場合、車載ECU3夫々から構成情報を取得しており、車載通信装置2が構成情報を取得した後、外部認証装置5は、車載通信装置2から構成情報を取得(受信)するものであってもよい。外部認証装置5は、取得した構成情報を、認証情報を用いた正規の通信手段によって外部サーバ100に送信する。
外部認証装置5と外部サーバ100との通信は、正規ディーラ等と外部サーバ100との通信環境を利用することにより、4G等の広域無線通信の電波状況の影響を少なくして通信品質を向上させることができる。また、外部認証装置5と外部サーバ100との通信は、上述の認証情報を用いた正規の通信手段によって行われるため、セキュアな通信を確保することができる。
車載通信装置2の入出力I/F22には、シリアルケーブル等のワイヤーハーネスにより、車両Cの起動又は停止を行うIGスイッチ6(イグニッションスイッチ)が通信可能に接続されている。IGスイッチ6がオン又はオフにされた場合、IGスイッチ6から出力(送信)された信号を、車載通信装置2の制御部20は、入出力I/F22を介して取得(受信)する。車載通信装置2の制御部20は、取得した信号に基づき、当該IGスイッチ6のオン又はオフに関する情報(IGオンの信号又はIGオフの信号)を、車内通信部23を介して全ての車載ECU3及び、外部認証装置5が車両Cに接続されている場合は、外部認証装置5に対しても送信する。車載ECU3及び外部認証装置5は、車載通信装置2から送信されたIGスイッチ6のオン又はオフに関する情報(IGオンの信号又はIGオフの信号)を取得し、取得した情報に基づき所定の動作を行う。
表示装置7は、例えばカーナビゲーションのディスプレイ等のHMI(Human Machine Interface)装置である。表示装置7は、車載通信装置2の入出力I/F22とシリアルケーブル等のハーネスにより通信可能に接続されている。表示装置7には、車載通信装置2の制御部20から入出力I/F22を介して出力されたデータ又は情報が表示される。
図3は、車載ECUの構成情報の一態様を例示する説明図である。車載通信装置2の制御部20は、例えば、IGスイッチ6がオンにされた場合、オフにされた場合又は、所定のタイミングにて、定常的に車両Cに搭載されている全ての車載ECU3又は特定の車載ECU3に対し、自ECUの構成情報及び当該構成情報の更新履歴を送信することを要求する。そして車載通信装置2は、車載ECU3夫々から送信された構成情報及び更新履歴を取得してこれら構成情報等を集約し、集約した構成情報(車両構成情報)及び更新履歴(車両構成情報更新履歴)を記憶部21に記憶する。又は、車載通信装置2の制御部20は、車載ECU3に対し構成情報及び更新履歴を送信することを要求することなく、車載ECU3夫々が自発的に送信した構成情報夫々及び更新履歴夫々を取得し集約して、記憶部21に記憶するものであってもよい。又は、車載通信装置2の制御部20は、更新プログラムを車載ECU3に送信し、当該送信が完了した都度、送信した更新プログラムに基づいて構成情報(車両構成情報)を変更してもよい。
車載ECU3夫々の記憶部21には、自ECUの構成情報及び更新履歴が記憶されている。従って、車載通信装置2は、車載ECU3夫々に記憶されている構成情報及び更新履歴の夫々を集約し、車載ECU3夫々の構成情報及び更新履歴を記憶する。車載通信装置2は、集約して記憶した車載ECU3夫々の構成情報及び更新履歴を、外部サーバ100に送信するものであってもよい。構成情報及び更新履歴を外部サーバ100に送信することにより、外部サーバ100の記憶部101に、当該構成情報及び更新履歴のバックアップを行うことができる。車載通信装置2は、当該構成情報を、例えばIGオンの信号を受信した場合、又は外部認証装置5からの要求に応じて、当該外部認証装置5に送信するものであってもよい。
図3に示すごとく、車載ECU3の構成情報(車両構成情報マスターテーブル)は、例えば車載ECU3の製造番号(シリアル番号)、ECU部番(型番)、Software部番、プログラムの現バージョン、旧バージョン、動作面数、動作面、MAC(Media Access Control)アドレス、IPアドレス、前回更新完了日時、リプロステータス及びVIN(車両識別番号)を含み、個々の車載ECU3において重複しないように設定された連番等によるECU-IDに関連付けられて管理される。
製造番号(シリアル番号)は、車載ECU3の製造時に付与される番号であり、生産拠点等を示すロット番号及び製造時の連番等により構成され、当該ECUを一意に特定することができるユニークな番号である。ECU部番(型番)は、車載ECUの種類を特定する番号であり、例えば部品番号である。Software部番は、更新プログラムのソフトウェアの種類を特定するための番号である。
動作面数とは、異なるバージョンの更新プログラムを記憶する記憶領域の数である。すなわち、動作面数が2つの場合、2つの異なるバージョンの更新プログラムを記録することができる。動作面数1つの場合、単一のバージョンの更新プログラムのみを記憶することができる。動作面は、現状において、車載ECU3が実行(適用)しているプログラムが記憶されているいずれかの記憶領域(第1記憶領域又は第2記憶領域)を特定する情報である。
現バージョンは、現状において、車載ECU3が実行(適用)しているプログラムのバージョン番号であり、動作面に記憶されているプログラムのバージョン番号である。旧バージョンは、以前に車載ECU3が実行(適用)していたプログラムのバージョン番号であり、非動作面(動作面でない記憶領域)に記憶されているプログラムのバージョン番号である。
MACアドレスは、車載ECU3の車内通信部23がイーサネットに対応した通信ポートである場合、データリング層に対応するアドレスである。MACアドレスは、当該車内通信部23の製造時付与される番号であり、製造者を示すベンダーコード及び製造時の連番等により構成され、当該ECUを一意に特定することができるユニークな番号である。IPアドレスは、車内通信部23がイーサネットに対応した通信ポートである場合、TCP/IPを用いた通信を行う際のネットワーク層に対応するアドレスである。
VIN(車両識別番号/Vehicle Identification Number)は、個々の車両Cを識別するために使用しているシリアル番号を含んだ一意のコードであり、ISO3833によって規定されており17桁の英数字で構成される。VINは、車両に搭載される全ての車載ECU3の記憶部31に記憶されているものではなく、特定の車載ECU3の記憶部31に記憶されている。
車載ECU3の構成情報は、当該車載ECU3を識別するための識別情報を含む。IPアドレスは、車内通信部23の設定に応じて任意に決定できるアドレスであるため、車載ECU3を識別するための識別情報としては、シリアル番号又はMACアドレスを用いることが望ましい。又、識別情報には、当該シリアル番号又はMACアドレスに加え、車載ECU3のECU部番(型番)を含むものであってもよい。
車載ECU3の識別情報は、車載ECU3の構成情報に含まれるシリアル番号又はMACアドレスを含む。車載通信装置2の制御部20は、構成情報に含まれるシリアル番号又はMACアドレスによる車載ECU3の識別情報と、前回更新完了日時及びリプロステータス等、当該車載ECU3への更新プログラムの送信の進捗状況に関する情報とを関連づけて、記憶部21に記憶する。
車載ECU3の構成情報に含まれる情報は、図3に示す項目の情報に限定されない。車載ECU3がCANによって接続される場合、車載ECU3の構成情報は、当該車載ECU3がメッセージを送信する際に用いる(含める)CAN-IDを含むものであってよい。
図4は、車載通信装置2による判定の一態様を例示する説明図である。図4において、車載ECU3が交換等された場合、当該交換の適否に関する判定に関し、車載通信装置2が行う処理について、外部サーバ100及び外部認証装置5等の処理を含むシーケンス図を用いて説明する。
車載通信装置2は、車載ECU3夫々から構成情報を取得し、自装置の記憶部21に記憶する(S1)。車載通信装置2は、取得した構成情報を、前回取得した構成情報(前回の構成情報)として記憶部21に記憶する。車載通信装置2は、後述するようにIGスイッチ6がオンにされた場合、構成情報を取得するようにしてあり、前回IGスイッチ6がオンにされた場合に取得した構成情報を、前回の構成情報として記憶部21に記憶するものであってもよい。又は、車載通信装置2は、構成情報を取得した時点に関する情報(日付及び時刻)と、当該取得した構成情報とを関連付けて記憶部21に記憶し、取得した構成情報夫々の履歴管理を行うものであってもよい。
IGスイッチ6がオフ(S2)にされることにより、車両Cは停止状態となり、車載通信装置2及び車載ECU3等の車載装置は、停止状態又は待機状態となる。通常、車載ECU3の交換又は追加は、車両Cが停止状態の間に行われるものとなる。
車載ECU3の交換等を行うための準備作業として、外部認証装置5が車両Cに接続される(S3)。外部認証装置5と車両Cとの接続は、例えば図2に示すように、車載通信装置2の車内通信部23に外部認証装置5が接続されることにより行われる。
車載ECU3の交換又は追加が行われる(S4)。車載ECU3の交換等の作業を行うにあたり、外部認証装置5は交換対象となる車載ECU3に対し、例えば、電力を供給して車載ECU3を強制起動させ、当該車載ECU3との間でダイアグモード等の通信を行い、交換された車載ECU3の単体テストを行う。車載ECU3の交換又は追加が行われることにより、車両Cに搭載される車載ECU3の構成情報が変化するものとなる。
IGスイッチ6がオン(S5)にされることにより、車両Cは起動状態となり、車載通信装置2及び、交換された車載ECU3も含め全ての車載ECU3が、起動状態となる。
車載通信装置2は、車載ECU3夫々から構成情報を取得する(S6)。車載通信装置2は、S1の処理と同様にIGスイッチ6がオンにされた後における構成情報を取得し、今回取得した構成情報(今回の構成情報)として記憶部21に記憶する。
車載通信装置2は、取得した構成情報夫々を比較し、車載ECU3が交換されたか否かを判定する(S7)。車載通信装置2は、今回取得した構成情報と、前回取得した構成情報と比較し、これら構成情報の同異に基づき、車載ECU3が交換されたか否かを判定する。
車載通信装置2は、外部認証装置5に対し、今回取得した構成情報を含むデータを出力(送信)する(S8)。又は、車載通信装置2は、外部認証装置5に対し、応答を要求する要求データを送信するものであってもよい。すなわち、車載通信装置2は、外部認証装置5との通信を試みる。
外部認証装置5は、車載通信装置2からのデータの送信に対し、所定の応答データを車載通信装置2に送信する(S9)。車載通信装置2は、外部認証装置5から送信される応答データに基づき、車載ECU3の交換の適否を判定する(S10)。前回取得した構成情報と、今回取得した構成情報とが異なる場合、車両Cが停止している間に車載ECU3が交換等されたものとなる。これに対し、車載通信装置2は、外部認証装置5から送信される応答データを受信できなかった場合、又は外部認証装置5から送信されたデータが予め決定されている応答データとは異なる場合等は、現在車両Cに接続されている外部認証装置5は、正規の外部認証装置5ではないことを意味する。従って、車載通信装置2は、応答データを受信できなかった場合等は、不正な外部認証装置5が接続されており、又は外部認証装置5が接続されていないとして、車載ECU3の交換は不正に行われたと判定する。車載ECU3の交換等が不正であるとは、例えば正規ディーラ等の外部認証装置5を有する業者以外の不正な者により行われた交換等であることを意味する。また、車載ECU3の交換等が不正であるとは、当該交換等された車載ECU3が正規の車載ECU3でなく、不正な車載ECU3であることを意味するものであってもよい。車載通信装置2は、応答データを正常に受信した場合は、車載ECU3の交換は適正に行われたと判定する。車載通信装置2は、当該判定結果を、外部サーバ100、表示装置7又は外部認証装置5に出力(送信)するものであってもよい。
更に、車載通信装置2、外部認証装置5及び外部サーバ100は、以下の処理を実行するものであってもよい。外部認証装置5は、車載通信装置2から今回取得した構成情報を含むデータが送信されなかった場合、車載ECU3夫々と通信し、車載ECU3夫々から構成情報を取得するものであってもよい(S11)。
外部認証装置5は、車載通信装置2又は車載ECU3夫々から取得した構成情報を外部サーバ100に出力(送信)する(S12)。外部認証装置5が、外部サーバ100に構成情報を送信するにあたり、認証情報が必要となる。従って、外部認証装置5が正規の装置である場合、当該外部認証装置5は認証情報を保有しており、外部サーバ100への送信を正常に行うことができる。しかしながら、車両Cに接続され外部認証装置5が、正規の装置に成りすました不正な装置である場合、当該不正な装置は、認証情報を保有していないため、外部サーバ100への送信を正常に行うことができないため、外部サーバ100は構成情報を取得することができないものとなる。
外部サーバ100は、外部認証装置5から取得(受信)した構成情報を、自装置の記憶部101に記憶する(S13)。外部認証装置5が正規の装置である場合、認証情報を用いた通信が外部サーバ100と外部認証装置5との間で行われるため、外部サーバ100は、外部認証装置5から取得した構成情報を、自装置の記憶部101に記憶する。当該構成情報には、VIN(車両識別番号)含まれているため、外部サーバ100は、VINに基づき当該構成情報を有する車両Cを特定することができる。
車載通信装置2は、車外通信装置1を介して外部サーバ100と通信し、外部サーバ100から自車の構成情報を取得する(S14)。上述のごとく、外部サーバ100が保有(記憶部101に記憶)してある構成情報夫々には、各車両Cを特定するためのVIN(車両識別番号)が含まれているため、車載通信装置2は、自車のVINに基づき、外部サーバ100から自車の構成情報を取得する。
車載通信装置2は、今回取得した構成情報(S6にて取得した構成情報)と、外部サーバ100から取得した構成情報とを比較し、外部認証装置5の適否を判定する(S15)。上述のとおり、車両Cに接続され外部認証装置5が、正規の装置に成りすました不正な装置である場合、外部サーバ100は、車両Cに接続された外部認証装置5(不正な装置)から、構成情報を受信していない。従って、今回取得した構成情報(S6にて取得した構成情報)と、外部サーバ100から取得した構成情報とが異なる場合、車載通信装置2は、車両Cに接続された外部認証装置5は、正規の装置に成りすました不正な装置であり、車載ECU3の交換等は不正に行われたと判定する。今回取得した構成情報(S6にて取得した構成情報)と、外部サーバ100から取得した構成情報とが同じ場合、車載通信装置2は、車両Cに接続され外部認証装置5は正規の装置であり、車載ECU3の交換等は適正に行われたと判定する。
車載通信装置2は、判定結果である車載ECU3の交換等の有無、当該交換の適否及び、車両Cに接続され外部認証装置5の適否に関する情報を、外部サーバ100、外部認証装置5又は表示装置7に出力(送信)する(S16、S17、S18)。
図5は、車載通信装置2の制御部20の処理を例示するフローチャートである。実施形態1として説明するフローチャートは、図4のシーケンス図におけるS1からS10までの処理に対応するものである。車載通信装置2の制御部20は、車両Cが停止状態(IGスイッチ6がオフ)において、定常的に以下の処理を行う。
車載通信装置2の制御部20は、IGオンの信号を受信したか否かを判定する(S100)。制御部20は、入出力I/F22を介してIGスイッチ6から送信される信号に基づき、IGスイッチ6がオンにされた信号(IGオンの信号)を受信したか否かを判定する。IGオンの信号を受信しなかった場合(S100:NO)、車載通信装置2の制御部20は、再度S100の処理を実行すべくループ処理を行う。すなわち、制御部20は、IGオンの信号を受信するまで待機処理を行う。
IGオンの信号を受信した場合(S100:YES)、車載通信装置2の制御部20は、車載ECU3夫々から構成情報を取得する(S101)。制御部20は、取得した構成情報を今回取得した構成情報として、記憶部21に記憶する。なお、車載通信装置2の記憶部21には、前回の処理、すなわち前回IGオンの信号を受信した際に取得した構成情報が記憶されており、当該構成情報は、前回取得した構成情報として管理される。制御部20は、車両Cが停止状態となる前の起動状態において、車載ECU3夫々から構成情報を取得し、前回取得した構成情報として記憶部21に記憶するものであってもよい。又は、車載通信装置2は構成情報を取得する都度、取得した時点(日付及び時刻)と当該構成情報とを関連づけ、取得した構成情報夫々を履歴管理することにより、今回取得した構成情報に対する前回取得した構成情報を特定するものであってもよい。
車載通信装置2の制御部20は、前回取得した構成情報を参照する(S102)。上述のごとく、前回取得した構成情報は、車載通信装置2の記憶部21に記憶されており、制御部20は記憶部21を参照して、前回取得した構成情報を読み出す。すなわち、制御部20は、今回の処理を実行する前に取得し、記憶部21に記憶してある前回取得した構成情報を、記憶部21を参照して読み出す。
車載通信装置2の制御部20は、今回取得した構成情報は、前回取得した構成情報と同一か否かの判定を行う(S103)。制御部20は、今回取得した構成情報と、前回取得した構成情報とを比較し、当該構成情報夫々に含まれる車載ECU3夫々のECU製造番号、ECU部番、Software部番又はプログラムの現バージョンの同異に基づき、いずれかの車載ECU3が交換、追加又は除去(取り外し)されたか否かを判定する。
今回取得した構成情報と、前回取得した構成情報とが同一の場合(S103:YES)、車載通信装置2の制御部20は、車載ECU3の交換、追加又は除去は、されていないと判定する(S104)。
今回取得した構成情報と、前回取得した構成情報とが同一でない場合(S103:NO)、すなわち今回取得した構成情報と、前回取得した構成情報とが異なる場合、車載ECU3の交換、追加又は除去は、されたと判定する(S105)。上述のごとく構成情報は、車載ECU3の製造番号等のハードウェア関連の情報のみならず、プログラムのSoftware部番及びバージョン等のソフトウェア関連の情報を含む。従って、車載ECU3の交換においては、車載ECU3そのもの、すなわちハードウェアが交換された場合のみならず、車載ECU3にインストールされているプログラムが交換(ソフトウェアの書換え)された場合についても、前回の構成情報と今回の構成情報とは、異なるものとなる。従って、車載ECU3の交換とは、ハードウェアの交換及びソフトウェアの交換を含むものとなる。車載ECU3が追加又は除去された場合、図3に示すようにECU-IDの増減が行われるため、当該ECU-IDの列数によって表される車載ECU3の個数に基づき、車載ECU3の追加又は除去を判定することができる。車載通信装置2の制御部20は、当該判定結果に基づき、交換、追加又は除去された車載ECU3を特定し、特定した車載ECU3を記憶部21に記憶するものであってもよい。
車載通信装置2の制御部20は、外部認証装置5と通信を行う(S106)。制御部20は、車内通信部23を介して、外部認証装置5との通信を行うべく、外部認証装置5への通信(アクセス)を試みる。制御部20と外部認証装置5との通信は、例えば、制御部20は車内通信部23を介して、外部認証装置5に対し応答を要求する要求データを送信し、当該データに基づき外部認証装置5が送信した応答データを受信することにより行われる。又は、制御部20は、今回取得した構成情報を外部認証装置5に送信し、当該送信に対する外部認証装置5からの応答データを受信するものであってもよい。又は、制御部20は、何ら要求データ等を送信することなく、外部認証装置5から送信されるデータを所定期間、待つ処理を行うものであってもよい。このように車載通信装置2(制御部20)と外部認証装置5との通信は、車載通信装置2からの要求に基づき外部認証装置5が応答するプル型通信、又は外部認証装置5から車載通信装置2へのプッシュ型通信により行われる。
車載通信装置2の制御部20は、外部認証装置5との通信は正常に行われたか否かを判定する(S107)。制御部20は、上述のように外部認証装置5からの応答データ等を受信したか否かに基づき、外部認証装置5との通信の成否(正常に行われたか否か)を判定する。外部認証装置5との通信が正常に行われた場合(S107:YES)、車載通信装置2の制御部20は、車載ECU3の交換等は適正に行われたと判定する(S108)。外部認証装置5との通信が正常に行われなかった場合(S107:NO)、車載通信装置2の制御部20は、車載ECU3の交換等は不正に行われたと判定する(S109)。
車載通信装置2の制御部20は、S104,S108又はS109の処理の実行後、判定結果を出力する(S110)。制御部20は、車載ECU3の交換等の適否の判定結果(S108,S109の処理結果)、車載ECU3の交換等の有無の判定結果(S104,S105の処理結果)、又はこれら両判定結果を、例えば表示装置7(HMI装置)、外部サーバ100又は外部認証装置5に出力(送信)する。車載通信装置2の制御部20は、車載ECU3の交換等が不正に行われたと判定した場合、交換等された車載ECU3を特定し、当該判定結果と関連づけて記憶部21に記憶してもよい。制御部20は、車載ECU3の交換等が不正に行われたと判定した場合、判定結果と共に、不正に交換等された車載ECU3に関する情報を、表示装置7、外部サーバ100又は外部認証装置5に出力(送信)するものであってもよい。これら判定結果を表示装置7(HMI装置)、外部サーバ100又は外部認証装置5に出力(送信)し、表示させることにより、車両Cの操作者、外部サーバ100の管理者、又は車載ECU3の交換等を行う作業者に対し、当該判定結果を報知し、適切な対応を行うことを喚起することができる。車載通信装置2の制御部20は、当該判定結果を記憶部21に記憶するものであってもよい。制御部20は、当該判定結果を記憶部21に記憶するにあたり、S101の処理にて取得した今回取得した構成情報と関連づけて、記憶するものであってもよい。
車載通信装置2の制御部20は、S110の処理を行った後、本フローチャートの処理を終了する。又は、制御部20はS110の処理を行った後、再度S100の処理を実行すべくループ処理を行うものであってもよい。
外部認証装置5との通信が正常に行われなかった場合、すなわち外部認証装置5からの応答データ等を受信できなかった場合、外部認証装置5(正規の外部認証装置5)が接続されていないことを意味する。従って、車載ECU3の交換等の作業を行うにあたり、当該作業を行うにあたり必要とされる外部認証装置5の接続を行うことなく、車載ECU3の交換等が行われたものとなる。これに対し、車載通信装置2の制御部20は、車載ECU3の交換等がされたと判定、すなわち車載ECU3の交換等を検知した場合、交換等の作業を行うにあたり必須となる外部認証装置5との通信の成否に基づき、当該車載ECU3の交換等の適否を判定することができる。すなわち、外部認証装置5を接続することなく実施された車載ECU3の交換等は、不正な交換等であるとして、判定することができる。
車載通信装置2(制御部20)と外部認証装置5との通信は、車内通信部23による有線通信又は狭域無線通信により行われる。従って、例えば4G等による広域無線通信が困難な電波状況であっても、当該電波状況に影響を受けることなく、車載通信装置2(制御部20)と外部認証装置5との通信を確実に行うことができる。
(実施形態2)
図6は、実施形態2に係る車載通信装置2の制御部20の処理を例示するフローチャートである。図7は、実施形態2に係る車載通信装置2の制御部20の処理を例示するフローチャートである。実施形態2として説明するフローチャートは、図4のシーケンス図におけるS1からS18までの処理に対応するものであり、特にS11以降の処理に関するものである。車載通信装置2の制御部20は、外部認証装置5との通信が正常に行われた場合であっても、外部サーバ100と通信して車載ECU3の交換等の正否を判定する点で実施形態1と異なる。車載通信装置2の制御部20は、実施形態1と同様に、車両Cが停止状態(IGスイッチ6がオフ)において、定常的に以下の処理を行う。
車載通信装置2の制御部20は、実施形態1のS100からS104の処理と同様に、S200からS204の処理を行い、今回取得した構成情報と、前回取得した構成情報との同異を比較し、車載ECU3の交換等の有無を判定する(S203)。
車載通信装置2の制御部20は、実施形態1のS105からS107の処理と同様に、S205からS207の処理を行い、車載ECU3の交換等がされた場合、外部認証装置5との通信が正常に行われたか否かを判定する(S207)。外部認証装置5との通信が正常に行われなかった場合(S207:NO)、車載通信装置2の制御部20は、実施形態1と同様に車載ECU3の交換等は不正に行われたと判定する(S209)。
外部認証装置5との通信が正常に行われた場合(S207:YES)、車載通信装置2の制御部20は、外部サーバ100から構成情報を取得する(S208)。外部認証装置5は、取得した構成情報を外部サーバ100に送信するようにしてある。従って、外部サーバ100には、外部認証装置5から送信された構成情報が保存(外部サーバ100の記憶部101に記憶)されていることが想定される。車載通信装置2の制御部20は、車外通信装置1を介して外部サーバ100と通信し、外部サーバ100から当該構成情報を取得する。
車載通信装置2の制御部20は、今回取得した構成情報は、外部サーバ100から取得した構成情報と同一か否かを判定する(S2081)。制御部20は、S201の処理にて今回取得した構成情報と、外部サーバ100から取得した構成情報とを比較し、これら構成情報が同一か否かを判定する。
今回取得した構成情報と、外部サーバ100から取得した構成情報とが同一である場合(S2081:YES)、車載通信装置2の制御部20は、車載ECU3の交換等は適正に行われたと判定する(S2082)。
今回取得した構成情報と、外部サーバ100から取得した構成情報とが同一でない場合(S2081:NO)、車載通信装置2の制御部20は、車載ECU3の交換等は不正に行われたと判定する(S2083)。すなわち、外部認証装置5は正規の装置でなく、不正な装置が外部認証装置5に成りすましているものであり、制御部20は、車載ECU3の交換等は、不正に行われたと判定する。外部認証装置5は、車載ECU3を交換等した場合、交換等を行った後の車両Cに搭載される車載ECU3夫々の構成情報を取得し、予め定められている正規の通信手順に基づき、例えば公開鍵又は共通鍵を含む認証情報と共に、当該取得し構成情報を外部サーバ100に送信する。外部認証装置5による車載ECU3夫々の構成情報の取得は、外部認証装置5が車載ECU3夫々と直接通信し、これら車載ECU3夫々から取得する又は、外部認証装置5は車載通信装置2と通信し、車載通信装置2が取得し記憶部21に記憶してある構成情報を、車載通信装置2から取得するものであってもよい。
外部サーバ100は、外部認証装置5から送信された情報を受信し、認証情報に基づき外部認証装置5から送信された情報の正否を判定し、上述の正規の通信手順に基づくものである場合、外部認証装置5から送信された情報を取得し、例えば自装置の記憶部101に記憶する。しかしながら、当該外部認証装置5が正規の装置でなく、不正な装置が外部認証装置5に成りすましている場合、当該不正な装置は、S206の処理である車載通信装置2(制御部20)との通信は正常に行われたように装うことができたとしても、外部サーバ100との認証情報を用いた正規の通信手段による通信を行うことができない。従って、外部サーバ100の記憶部21に記憶されている構成情報と、今回の処理において制御部20が取得した構成情報(今回取得した構成情報)との間に差異が発生する。そこで、制御部20は、今回取得した構成情報は外部サーバ100から取得した構成情報と同一でない、すなわち異なると判定した場合、外部認証装置5は正規の装置でなく、不正な装置が外部認証装置5に成りすましているものであり、車載ECU3の交換等は不正に行われたと判定する。
車載通信装置2の制御部20は、S204,S2082、S2083又はS209の処理の実行後、実施形態1と同様に判定結果を出力(送信)する(S210)。制御部20は、車載ECU3の交換等の適否の判定結果(S2082,S2083,S209の処理結果)、車載ECU3の交換等の有無の判定結果(S204,S205の処理結果)、又はこれら両判定結果を、例えば表示装置7(HMI装置)、外部サーバ100又は外部認証装置5に出力(送信)する。これら判定結果を表示装置7(HMI装置)、外部サーバ100又は外部認証装置5に出力(送信)することにより、車両Cの操作者、外部サーバ100の管理者、又は車載ECU3の交換等を行う作業者に対し、当該判定結果を報知し、適切な対応を行うことを喚起することができる。車載通信装置2の制御部20は、当該判定結果を記憶部21に記憶するものであってもよい。制御部20は、当該判定結果を記憶部21に記憶するにあたり、S201の処理にて取得した今回取得した構成情報と関連づけて、記憶するものであってもよい。
車載通信装置2の制御部20は、S210の処理を行った後、本フローチャートの処理を終了する。又は、制御部20はS10の処理を行った後、再度S200の処理を実行すべくループ処理を行うものであってもよい。
外部認証装置5は正規の装置でなく、不正な装置が外部認証装置5に成りすまして車両Cに接続され、車載ECU3が交換等される場合が想定される。更に当該不正な装置が車載通信装置2(制御部20)と正常に通信するように装った場合であっても、車載通信装置2(制御部20)は、外部サーバ100から取得した構成情報に基づき、外部認証装置5に成りすました不正な装置を検知することができる。そして、車載通信装置2の制御部20は、外部認証装置5に成りすました不正な装置が車両Cに接続された状態において実施された車載ECU3の交換等は、不当に行われたものであると判定することができる。
(実施形態3)
図8は、実施形態3に係る車載通信装置による判定の一態様を例示する説明図である。図8において、車載ECU3が交換等された場合、当該交換の適否に関する判定に関し、車載通信装置2が行う処理について、外部サーバ100及び外部認証装置5等の処理を含むシーケンス図を用いて説明する。外部サーバ100、車載通信装置2、車載ECU3夫々及び外部認証装置5は、実施形態1と同様にS1からS13までの処理を行う。
外部サーバ100は、実施形態1と同様にS13の処理を行い、当該処理(外部認証装置5から送信された構成情報の受信及び記憶)が正常に完了した場合、外部認証装置5から送信された構成情報を正常に受信(取得)した旨の通知を、外部認証装置5に送信(出力)する(S131)。
外部認証装置5は、外部サーバ100から送信された構成情報を正常に受信した旨の通知を受信した場合、外部サーバ100への構成情報の送信が正常に完了した旨(送信完了通知)を、車載通信装置2に送信(出力)する(S132)。
車載通信装置2は、外部認証装置5から当該送信完了通知を受信(取得)した場合、実施形態1と同様に車外通信装置1を介して外部サーバ100と通信し、外部サーバ100から自車の構成情報を取得する(S14)。外部サーバ100、車載通信装置2、車載ECU3夫々及び外部認証装置5は、実施形態1と同様にS15からS18までの処理を行う。
図9及び図10は、実施形態3に係る車載通信装置の制御部の処理を例示するフローチャートである。車載通信装置2の制御部20は、実施形態1又は2と同様に、車両Cが停止状態(IGスイッチ6がオフ)において、定常的に以下の処理を行う。車載通信装置2の制御部20は、実施形態2のS200からS204の処理と同様に、S300からS304の処理を行い、今回取得した構成情報と、前回取得した構成情報との同異を比較し、車載ECU3の交換等の有無を判定する(S303)。
車載通信装置2の制御部20は、実施形態2のS205からS207の処理と同様に、S305からS307の処理を行い、車載ECU3の交換等がされた場合、外部認証装置5との通信が正常に行われたか否かを判定する(S307)。外部認証装置5との通信が正常に行われなかった場合(S307:NO)、車載通信装置2の制御部20は、実施形態1と同様に車載ECU3の交換等は不正に行われたと判定する(S309)。
外部認証装置5との通信が正常に行われた場合(S307:YES)、車載通信装置2の制御部20は、外部認証装置5から、構成情報の送信完了の旨(送信完了通知)が送信されたか否かを判定する(S3071)。
構成情報の送信完了の旨(送信完了通知)が送信されていない場合(S3071:NO)、すなわち制御部20が送信完了通知を受信(取得)していない場合、制御部20は、再度S3071の処理を実行すべくループ処理を行う。すなわち、制御部20は、外部認証装置5から構成情報の送信完了の旨(送信完了通知)を受信するまで待機処理を行う。
構成情報の送信完了の旨(送信完了通知)が送信された場合(S3071:YES)、すなわち制御部20が送信完了通知を受信(取得)した場合、制御部20は、実施形態1のS208の処理と同様に、外部サーバ100から構成情報を取得する(S308)。
車載通信装置2の制御部20は、実施形態2のS2081からS2083、及びS210の処理と同様に、S3081からS3083、及びS310の処理を行う。
外部サーバ100は、構成情報を記憶部101に記憶することにより、当該構成情報を保存及び管理するサーバであり、所謂データベースサーバ(DBサーバ)としての機能を有する。本実施形態における一連の処理において、DBサーバとして機能する外部サーバ100は、車載通信装置2及び外部認証装置5による異なる装置からのアクセスを受けるものとなる。これに対し、車載通信装置2は、外部認証装置5から外部サーバ100への構成情報の送信が完了した旨(送信完了通知)を、当該外部認証装置5から受信(取得)した場合、外部サーバ100から構成情報を取得するものとしている。従って、外部サーバ100に記憶されている構成情報が更新される前、すなわち外部認証装置5からの構成情報の送信が完了する前に、車載通信装置2が、外部サーバ100から古い構成情報を取得することを防止することができる。
今回開示された実施形態はすべての点で例示であって、制限的なものではないと考えられるべきである。本発明の範囲は、上記した意味ではなく、請求の範囲によって示され、請求の範囲と均等の意味及び範囲内でのすべての変更が含まれることが意図される。
C 車両
N 車外ネットワーク
100 外部サーバ(OTAサーバ)
101 記憶部
1 車外通信装置
11 車外通信部
12 入出力I/F
13 アンテナ
2 車載通信装置(中継装置、ゲートウェイ)
20 制御部
21 記憶部
211 記録媒体
22 入出力I/F
23 車内通信部
3 車載ECU
30 制御部
31 記憶部
32 車内通信部
4 車内LAN
41 通信線
5 外部認証装置
6 IGスイッチ
7 表示装置(HMI装置)

Claims (9)

  1. 車両に搭載された車載ECUと通信可能に接続され、前記車載ECU夫々から送信される構成情報を取得し、前記車両に搭載される車載通信装置であって、
    制御部を備え、
    前記制御部は、
    前記車載ECUの交換又は追加を行う際に前記車両外から接続される外部認証装置との通信を制御するものであり、
    前回取得した構成情報が今回取得した構成情報と異なる場合、前記外部認証装置との通信を試み、
    前記外部認証装置との通信が正常に行われなかった場合、前記車載ECUは不正に交換又は追加されたと判定し、
    前記外部認証装置との通信が正常に行われなかった場合は、前記外部認証装置が前記車両に接続されていないことを含む
    車載通信装置。
  2. 前記制御部は、前記車両の起動時に前記車載ECU夫々から構成情報を取得する
    請求項1に記載の車載通信装置。
  3. 前記制御部は、前記車載ECUは不正に交換又は追加されたと判定した場合、前記前回取得した構成情報と前記今回取得した構成情報との差分に基づき、不正に交換又は追加された車載ECUを特定する
    請求項1又は請求項2に記載の車載通信装置。
  4. 前記制御部は、前記車載ECUは不正に交換又は追加されたと判定した場合、前記判定に関する情報を前記車両に設けられている表示装置に送信する
    請求項1から請求項3のいずれか1項に記載の車載通信装置。
  5. 前記制御部は、前記今回取得した構成情報を前記外部認証装置に出力し、
    前記外部認証装置に出力された構成情報は、前記外部認証装置により車外の外部サーバに送信される
    請求項1から請求項4のいずれか1項に記載の車載通信装置。
  6. 前記制御部は、
    前記外部認証装置との通信が正常に行われた場合、前記外部認証装置から前記外部サーバに送信された構成情報を、前記制御部と通信可能に接続された車外通信装置を介して前記外部サーバから取得し、
    前記外部サーバから取得した構成情報が、前記今回取得した構成情報と異なる場合、前記外部認証装置は、不正であると判定する
    請求項5に記載の車載通信装置。
  7. 前記制御部は、前記外部認証装置から前記外部サーバへの構成情報の送信が完了した旨を、該外部認証装置から取得した場合、前記外部認証装置から前記外部サーバに送信された構成情報を、前記制御部と通信可能に接続された車外通信装置を介して前記外部サーバから取得する
    請求項6に記載の車載通信装置。
  8. 車両に搭載されるコンピュータに、
    前記車両に搭載された車載ECU夫々から送信される構成情報を取得し、
    前回取得した構成情報が今回取得した構成情報と異なる場合、前記車載ECUの交換又は追加を行う際に前記車両外から接続される外部認証装置との通信を試み、
    前記外部認証装置との通信が正常に行われなかった場合、前記車載ECUは不正に交換又は追加されたと判定する処理を実行させるプログラムであって、
    前記外部認証装置との通信が正常に行われなかった場合は、前記外部認証装置が前記車両に接続されていないことを含むものである
    プログラム。
  9. 車両に搭載されるコンピュータに、
    前記車両に搭載された車載ECU夫々から送信される構成情報を取得し、
    前回取得した構成情報が今回取得した構成情報と異なる場合、前記車載ECUの交換又は追加を行う際に前記車両外から接続される外部認証装置との通信を試み、
    前記外部認証装置との通信が正常に行われなかった場合、前記車載ECUは不正に交換又は追加されたと判定する処理を実行させる通信方法であって、
    前記外部認証装置との通信が正常に行われなかった場合は、前記外部認証装置が前記車両に接続されていないことを含むものである
    通信方法。
JP2021501904A 2019-02-18 2020-02-13 車載通信装置、プログラム及び、通信方法 Active JP7103503B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2019026828 2019-02-18
JP2019026828 2019-02-18
PCT/JP2020/005524 WO2020170926A1 (ja) 2019-02-18 2020-02-13 車載通信装置、プログラム及び、通信方法

Publications (2)

Publication Number Publication Date
JPWO2020170926A1 JPWO2020170926A1 (ja) 2021-11-18
JP7103503B2 true JP7103503B2 (ja) 2022-07-20

Family

ID=72143433

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021501904A Active JP7103503B2 (ja) 2019-02-18 2020-02-13 車載通信装置、プログラム及び、通信方法

Country Status (4)

Country Link
US (1) US11958423B2 (ja)
JP (1) JP7103503B2 (ja)
CN (1) CN113366803B (ja)
WO (1) WO2020170926A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7392544B2 (ja) * 2020-03-26 2023-12-06 住友電装株式会社 車載ecu、プログラム及び情報処理方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013017140A (ja) 2011-07-06 2013-01-24 Hitachi Automotive Systems Ltd 車載ネットワークシステム
JP2018072920A (ja) 2016-10-25 2018-05-10 株式会社オートネットワーク技術研究所 車載機器判定システム及び情報収集装置
WO2018207243A1 (ja) 2017-05-09 2018-11-15 三菱電機株式会社 車載認証システム、車載認証方法および車載認証プログラム

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7137142B2 (en) 2002-06-28 2006-11-14 Motorola, Inc. Method and system for vehicle authentication of a component using key separation
JP2005196568A (ja) * 2004-01-08 2005-07-21 Denso Corp 車両の部品管理方法及び装置、車両の部品管理データ更新方法及び装置、並びに車両部品管理センタ
WO2009147734A1 (ja) * 2008-06-04 2009-12-10 株式会社ルネサステクノロジ 車両、メンテナンス装置、メンテナンスサービスシステム及びメンテナンスサービス方法
JP5395036B2 (ja) 2010-11-12 2014-01-22 日立オートモティブシステムズ株式会社 車載ネットワークシステム
CN103377057B (zh) * 2012-04-20 2016-05-25 上海通用汽车有限公司 一种刷新用户车辆电子控制模块的软件的***和方法
JP6093514B2 (ja) 2012-05-10 2017-03-08 株式会社東海理化電機製作所 電子キー登録方法
JP5949572B2 (ja) * 2013-01-18 2016-07-06 トヨタ自動車株式会社 車両不正状態検出方法、車載システムにおける制御方法、およびシステム
JP6024564B2 (ja) * 2013-03-28 2016-11-16 株式会社オートネットワーク技術研究所 車載通信システム
JP2015098312A (ja) * 2013-11-20 2015-05-28 トヨタ自動車株式会社 車載ネットワークシステム
JPWO2015159520A1 (ja) * 2014-04-17 2017-04-13 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 車載ネットワークシステム、ゲートウェイ装置及び不正検知方法
US9598092B2 (en) * 2014-11-13 2017-03-21 Miner Enterprises, Inc. Railcar energy absorption/coupling system
JP2016094158A (ja) 2014-11-17 2016-05-26 株式会社デンソー 車両情報配信システム
JP2016127299A (ja) * 2014-12-26 2016-07-11 スタビリティ株式会社 中継装置及びネットワーク構築方法
JP6217728B2 (ja) * 2015-10-19 2017-10-25 トヨタ自動車株式会社 車両システムおよび認証方法
EP3523169B1 (en) * 2016-10-06 2021-07-14 Red Bend Ltd. Systems and methods for handling a vehicle ecu malfunction
US10943283B2 (en) * 2016-11-18 2021-03-09 Cummins Inc. Service location recommendation tailoring
JP6754325B2 (ja) * 2017-06-20 2020-09-09 国立大学法人東海国立大学機構 車載認証システム、車載認証装置、コンピュータプログラム及び通信装置の認証方法
JP6766766B2 (ja) * 2017-07-10 2020-10-14 住友電気工業株式会社 認証制御装置、認証制御方法および認証制御プログラム
US10956555B2 (en) * 2017-08-01 2021-03-23 Panasonic Intellectual Property Corporation Of America Management system, vehicle, and information processing method
KR102471498B1 (ko) * 2018-04-02 2022-11-28 삼성전자주식회사 차량을 진단하는 전자 장치 및 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013017140A (ja) 2011-07-06 2013-01-24 Hitachi Automotive Systems Ltd 車載ネットワークシステム
JP2018072920A (ja) 2016-10-25 2018-05-10 株式会社オートネットワーク技術研究所 車載機器判定システム及び情報収集装置
WO2018207243A1 (ja) 2017-05-09 2018-11-15 三菱電機株式会社 車載認証システム、車載認証方法および車載認証プログラム

Also Published As

Publication number Publication date
JPWO2020170926A1 (ja) 2021-11-18
WO2020170926A1 (ja) 2020-08-27
US11958423B2 (en) 2024-04-16
US20220126770A1 (en) 2022-04-28
CN113366803B (zh) 2022-08-19
CN113366803A (zh) 2021-09-07

Similar Documents

Publication Publication Date Title
JP7042408B2 (ja) 車載更新装置、更新処理プログラム、プログラムの更新方法及び車載更新システム
JP7160111B2 (ja) 監視装置、監視プログラム及び監視方法
JP6962252B2 (ja) プログラム更新システム、プログラム更新方法及びコンピュータプログラム
US20160197932A1 (en) Vehicle module update, protection and diagnostics
US11967188B2 (en) Vehicle mounted update apparatus, update processing program, and program update method
CN113176902B (zh) 车辆ecu的ota升级方法、电子设备、车辆及可读存储介质
JP7192415B2 (ja) プログラム更新システム及び更新処理プログラム
CN113873498A (zh) 服务器、管理方法、非临时存储介质及软件更新装置、中心、空中下载主机
JP7111030B2 (ja) 車載更新装置、更新処理プログラム及び、プログラムの更新方法
US11928459B2 (en) Electronic control unit, retry point specifying method and computer program product for specifying retry point
WO2021100462A1 (ja) 車載更新装置、及び更新処理プログラム
JP7103503B2 (ja) 車載通信装置、プログラム及び、通信方法
US20240069906A1 (en) Server, software update system, distribution method, and non-transitory storage medium
CN113656056A (zh) 充电座和充电座升级的方法、装置、设备、存储介质
JP7415756B2 (ja) 車載装置、情報処理方法及びコンピュータプログラム
WO2023106072A1 (ja) 車載装置、プログラム、プログラムの更新方法、及び車載更新システム
WO2023171307A1 (ja) 車載装置、プログラム、及びプログラムの更新方法
US20230032451A1 (en) Center, method, and non-transitory storage medium
US20230036444A1 (en) System, method, and non-transitory storage medium
JP4548107B2 (ja) 表示システム及び通信情報設定方法
JP2021018162A (ja) 故障検出システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210427

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210903

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220405

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220524

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220607

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220620

R150 Certificate of patent or registration of utility model

Ref document number: 7103503

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150