車両制御装置間ネットワークおよび制御装置
【課題】車両制御装置間ネットワークとして必要なセキュリティ性能と制御装置の取り回し性能とを両立した車両制御装置間ネットワークおよび車両制御装置間ネットワークに用いられる制御装置を提供する。
【解決手段】車両制御装置間ネットワークに、通信手段を有する複数の制御装置が参加し、参加する制御装置が全て揃ったことの確認をもって各制御装置を作動許可とし、参加する制御装置が全て揃わない状態では各制御装置を作動不許可とし、参加する全ての制御装置もしくは一部の制御装置のネットワーク接続前の初期状態が作動許可状態である車両制御装置間ネットワーク。
【解決手段】車両制御装置間ネットワークに、通信手段を有する複数の制御装置が参加し、参加する制御装置が全て揃ったことの確認をもって各制御装置を作動許可とし、参加する制御装置が全て揃わない状態では各制御装置を作動不許可とし、参加する全ての制御装置もしくは一部の制御装置のネットワーク接続前の初期状態が作動許可状態である車両制御装置間ネットワーク。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、車両制御装置間ネットワークおよび制御装置に係り、特に、自動車等の車両に搭載される複数個の制御装置を互いに通信可能に接続するネットワーク上のセキュリティに関する。
【背景技術】
【0002】
近年、動力性能や環境対応といった自動車に求められる性能が、高度化、多岐化するに伴い、自動車システムは、多数のセンサやアクチュエータ類によって構成されるようになる一方、それらセンサやアクチュエータ類に関わる複数の制御装置のネットワーク化が進んでおり、CAN(Control Area Network)やLIN(Local Interconnect Network)といったさまざまな通信プロトコルが導入されるに至っている。
【0003】
このような自動車に構築される車両制御装置間ネットワークは、車両内という限定された領域に存在する閉じた空間のネットワークであり、悪意者による情報の盗聴、改竄といった攻撃に対する防禦は必要のないものとされてきた。
【0004】
しかし、近年、無線技術の導入や、車両ITS(Intelligent Transport System)等の技術進歩に伴い、車両制御装置間ネットワークがオープンネットワークへと移行し、様々な攻撃に対するセキュリティ施策が提唱されるに至っている。
【0005】
たとえば、イモビライザ機能を有する車両においては、鍵に埋め込まれた値と車両側の制御装置との間で暗号認証を行うので、正当な鍵がなければ車両を始動させることができない。最近では、総当り式の暗号取得攻撃(所謂ブルートフォース攻撃)にも実用上絶えうる暗号実装を行うものや、有限規則性に基づき同期を取りながら暗号鍵を順次変更するといったものが提唱されてきている。
【0006】
また、車両システムの完全性確認機能を有する車両においては、各制御装置間がネットワーク中で互いに認証を行い、正当でないものを見つければ、制御装置を作動不許可とするものがある(例えば、特許文献1)。このため、ネットワーク中の制御装置を正当でないものに置き換えたり、制御装置内部のプログラムを正当でないものに書き換えたりすると、車両システムとして動作しなくなる。
【0007】
さらに、車両開発や製造工程における不慮のセキュリティ事故を防止するため、このような施策を制御装置の初期状態から有効にし、車両組立完了後にのみ各制御装置が動作許可とするよう構成することが多くなってきている。
【0008】
【特許文献1】特開2005−1534号公報
【発明の開示】
【発明が解決しようとする課題】
【0009】
以上のようなセキュリティ施策により、車両制御装置間ネットワークにおけるセキュリティ性能は向上する一方で、制御装置の検査等における取り回し性能は悪化している。
【0010】
たとえば、車両組み付け前の制御装置を、初期状態でイモビライザ機能により動作不許可状態としていると、イモビライザが動作不許可とする機構を、単体の制御装置で、事前に検査することができない。これは、たとえば、イモビライザ機能が制御装置の燃料噴射制御、点火制御を動作不許可とする場合、これら制御が正しい出力を行うか否かを確認することが、車両組み付け後にしかできないことを意味する。
【0011】
一般に、車両の制御装置は、部品メーカからマニファクチュアラに提供され、車両への接続をマニファクチュアラが行うため、制御装置の初期状態をイモビライザ機能により動作不許可状態としていると、部品メーカでは自身の提供する制御装置を検査することができなくなる。このことにより、制御装置の歩留まり品発見に遅れが生じ、車両製造段階でのコスト悪化、品質悪化といった問題を招いている。
【0012】
また、車両組み付け後に問題が発生し、疑わしい制御装置をネットワークから取り外して検査しなければならない場合などでも、ネットワークから取り外した時点で、ネットワークの完全性確認機能が働き、取り外した制御装置が動作不許可状態となるため、所望の検査が行えない可能性がある。このため、疑わしい制御装置を検査することなく無条件で交換せざるを得ず、組み付け後の検査や市場におけるメンテナンスに多大なコストがかかるといった問題を招いている。
【0013】
このように、セキュリティ施策の充実により、車両制御装置間ネットワークのセキュリティが確保され、悪意の攻撃からの防禦が充実する一方で、初期状態、もしくはネットワークから離脱している制御装置の取り回し性能は悪化しており、コスト、品質上の問題を引き起こしている。
【0014】
本発明は、前記解決しようとする課題に鑑みてなされたものであって、その目的とするところは、車両制御装置間ネットワークとして必要なセキュリティ性能と制御装置の取り回し性能とを両立した車両制御装置間ネットワークおよび車両制御装置間ネットワークに用いられる制御装置を提供することにある。
【課題を解決するための手段】
【0015】
前記目的を達成するために、本発明による車両制御装置間ネットワークは、通信手段を有する複数の制御装置が参加し、参加する制御装置が全て揃ったことの確認をもって各制御装置を作動許可とし、参加する制御装置が全て揃わない状態では各制御装置を作動不許可とする車両制御装置間ネットワークであって、参加する全ての制御装置もしくは一部の制御装置のネットワーク接続前の初期状態が作動許可状態であることを特徴としている。
【0016】
また、本発明による車両制御装置間ネットワークは、好ましくは、認証行為によって、一つまたは複数の制御装置のネットワークからの離脱を許可し、認証行為によって離脱許可された制御装置を作動許可状態とすることを特徴とし、この認証行為は、ネットワーク接続された診断ツールと制御装置との間で行うことができることを特徴としている。
【0017】
更に、本発明による車両制御装置間ネットワークは、更に好ましくは、離脱した制御装置以外のネットワークに参加する全ての制御装置、もしくは一部の制御装置を作動不許可状態とすることを特徴としている。
【0018】
前記目的を達成するために、本発明による制御装置は、車両制御装置間ネットワークに用いられる制御装置であって、ネットワーク接続前の初期状態を作動許可状態に設定されていることを特徴としている。
【発明の効果】
【0019】
本発明によれば、完全性の確認をもって各制御装置を作動許可とし、参加する制御装置が全て揃わない状態では各制御装置を作動不許可とするネットワークでありつつ、参加する全ての制御装置もしくは一部の制御装置のネットワーク接続前の初期状態が作動許可状態であることにより、車両取り付け前の制御装置の取り回し性能を阻害することがない。これにより、車両制御装置間ネットワークとして必要なセキュリティ性能と制御装置の取り回し性能との両立が図られる。
【発明を実施するための最良の形態】
【0020】
本発明による車両制御装置間ネットワークおよび制御装置の実施形態を、図面を参照して説明する。
【0021】
図1は、本実施形態の車両制御装置間ネットワークに用いられる制御装置(ECU)のの一つの実施形態を示す機能ブロック図である。制御装置1は、車両の各部に取り付けられたセンサ類2からの入力信号を検出する入力信号検出手段3と、入力信号検出手段3からの信号を入力して制御のための演算等を行い制御指令を生成する制御手段4と、制御手段4からの制御指令を各アクチュエータ類5に出力駆動する出力回路6と、通信バス7に接続されてネットワークとの信号送受信を行う通信手段8と、通信手段8にてやりとりする送受信信号の暗号化/復号化を行う暗号化復号化手段9と、他のネットワーク参加者を認証する認証手段10と、制御上必要となる不揮発性の情報を記憶する不揮発性メモリ11と、不揮発性メモリ11と制御手段4および暗号化復号化手段9、認証手段10との媒介を行う不揮発性メモリアクセス手段12を備えている。
【0022】
図2は、制御装置(ECU)1の一つの実施形態の構成を示すブロック図である。ECU1は、センサ類2およびアクチュエータ類5と接続されて入出力を司る入出力インタフェース13と、通信バス7と接続されて信号送受信を司る通信インタフェース14と、一時的情報を記憶する揮発性メモリであるRAM15と、制御プログラムおよび各種制御設定情報を記憶する不揮発性メモリであるROM16と、不揮発性のメモリであるEEPROM17と、それらを統括し制御を司るCPU18とを有し、これらがバス19によって接続されている。
【0023】
したがって、制御装置1は、マイクロコンピュータによって構成することも可能である。制御手段4と、暗号化/復号化を行う暗号化復号化手段9と、認証手段10は、いずれもROM16にプログラムとして記憶されていて、それらプログラムは実行時に読み出されてCPU18が実行する。また、通信手段8は、OSI参照モデルによる物理層およびデータリンク層の一部は電子回路により構成され、より上位の階層はROM16に記憶されたプログラムによるのが一般的である。
【0024】
本実施形態の車両制御装置間ネットワークは、制御装置1の構成を持つ制御装置であるECU−A21、ECU−B22、ECU−C23、および図示しない一つ、または複数の制御装置が通信バス7を介して接続され、相互にデータ伝送が可能になっている。このネットワークにおいて使用される通信バス7は、たとえばCANのようなものである。
【0025】
次に、本実施形態の車両制御装置間ネットワークにおいて行われる完全性確認について図4、図5を用いて説明する。
【0026】
図4において、円形にて描かれる状態A101および状態B102は、一時的状態を示し、楕円形にて描かれる状態「作動許可」103および状態「作動不許可」104は、恒常的状態を示している。一時的状態とは、恒常的状態への遷移過程にて一時的に遷移される状態であって、留まることのできない状態である。一方、恒常的状態とは、恒常的に留まることのできる状態である。また、黒円で描かれる状態105は初期状態を表わす。したがって、本実施形態の車両制御装置間ネットワークに参加する各制御装置(ECU−A21、ECU−B22、ECU−C23等)は、恒常的には、作動許可状態103、作動不許可状態104、初期状態105のいずれかの状態にある。
【0027】
各制御装置は、初期状態105から初回電源投入によって、状態B102に遷移すると、ここで自身の初期状態が「作動許可」であるであるか、「作動不許可」かの判定を行う。初期状態が「作動許可」と設定されている制御装置であれば、作動許可状態103に遷移する。これに対し、初期状態が「作動不許可」と設定されている制御装置であれば、作動不許可状態104に遷移する。
【0028】
作動許可状態103の制御装置は、通信バス7の状態を監視し、他の制御装置の存在を確認すると、状態A101に遷移する。状態A101にある制御装置は、自身が参加するネットワークにおいて存在するはずの全ての制御装置が存在しているか否かを判定する。全ての制御装置の存在を確認できた場合には、作動許可状態103に戻り、確認できなかった場合には、作動不許可状態104に遷移する。
【0029】
作動不許可状態104の制御装置は、通信バス7の状態を監視し、他の制御装置の存在が確認できると、状態A101に移る。状態A101にある制御装置は、自身が参加するネットワークにおいて存在するはずの全ての制御装置が存在しているか否かを判定する。
全ての制御装置の存在を確認できた場合には、作動許可状態103に戻り、確認できなかった場合には、作動不許可状態104に遷移する。
【0030】
なお、以上述べた他の制御装置の存在確認には、平文通信を使用してもよいし、もしくは暗号化/復号化手段9を用いて共通鍵暗号や公開鍵暗号といった暗号通信を使用してもよい。また、他の制御装置の存在確認は、常時行ってもよいし、電源投入後、一度だけ行うといった条件に基づいて行っても、もしくは不定期に行ってもよい。
【0031】
作動不許可状態104の制御装置の制御手段4(図1参照)は、出力回路6、または通信手段8を通じて、当該制御装置に接続されている主要なアクチュエータ類5などの制御を停止し、車両がシステムとして動作するのを禁止せしめるよう動作する。
【0032】
このように構成すれば、必要に応じてネットワーク接続前の初期状態の設定を「作動許可」にすることで、車両組み付ける前の制御装置を検査するなどの取り回し性能を確保した上で、参加する制御装置が全て揃ったことの確認をもって各制御装置を作動許可するといった、いわゆる完全性保証機能を達成することができる。
【0033】
たとえば、図5(a)〜(c)に示されている制御装置間ネットワークは、四つの制御装置(ECU−A21、ECU−B22、ECU−C23、ECU−D24)の接続をもって完全であるものとし、図5(a)に示されているように、ECU−B22、ECU−C23、ECU−D24が、すでに、通信バス(ネットワーク)7に接続されており、ここに、ネットワーク接続前の初期状態が「作動許可」設定であるECU−A21を接続しようとしている。
【0034】
図5(a)に示されている状態では、すでに、ネットワーク接続されているECU−B22、ECU−C23、ECU−D24は、すでにネットワーク接続されている他の制御装置の存在を互いに確認し、ECU−A21の存在を確認できないので、作動不許可状態104にあり、自身の主要制御出力により、車両がシステムとして動作するのを禁止するように動作している。
【0035】
ECU−A21は、ネットワーク接続前の初期状態が「作動許可」設定であるので、作動許可状態103にあり、この状態で単体での検査が可能である。これにより、ECU−A21を生産する部品メーカは、出荷前のECU−A21を検査することができる。
【0036】
ここで、図5(b)に示されているように、ECU−A21をネットワーク接続すると、ECU−A21は、すでにネットワーク接続されている他の制御装置の存在を確認し、他の全ての制御装置の存在を確認することで、作動許可状態103に留まる。一方、既にネットワーク接続されているECU−B22、ECU−C23、ECU−D24は、ECU−A21の接続により、ネットワークに接続されるべき全ての制御装置が確認できるので、作動許可状態103に遷移する。
【0037】
これにより、ネットワークに接続される全ての制御装置(ECU−A21、ECU−B22、ECU−C23、ECU−D24)が作動許可状態103となるので、車両がシステムとして動作するようになる。
【0038】
図5(c)に示されているように、一度接続されていたECU−A21を、再度ネットワークより切り離した場合、ECU−A21は、他の制御装置の存在を確認できなくなるので、作動許可状態103に留まる。一方、ネットワーク接続されているECU−B22、ECU−C23、ECU−D24は、接続されている他の制御装置の存在をお互いに確認し、ECU−A21の存在を確認できないので、作動不許可状態104に遷移する。
【0039】
したがって、車両ネットワークに留まった制御装置(ECU−B22、ECU−C23、ECU−D24)を作動不許可にして、切り離した制御装置(ECU−A21)の単体での検査が可能である。
【0040】
これにより、車両組み付け後に問題が発生し、疑わしい制御装置をネットワークから取り外して検査しなければならない場合に対応できる。
【0041】
以上述べた制御装置間ネットワークでは、図6に示されているように、ネットワーク接続されていた全ての制御装置(ECU−A21、ECU−B22、ECU−C23、ECU−D24)をネットワークから切り離すことにより、全ての制御装置における状態を「作動許可」とすることは可能である。
【0042】
しかし、現在の多くの車両においては、多数制御が制御装置間ネットワークに依存して動作するので、ネットワークへの制御装置の接続が一切ない状態における車両システムの正常動作は事実上期待できない。したがって、本発明に係る車両における制御装置間ネットワークは、悪意の攻撃意欲を殺ぐのに充分なセキュリティ性能を有していると云える。
【0043】
万一、図6に示されているように、全ての制御装置がネットワークから切り離された状態でも、車両システムの正常動作が行われるような車両ネットワーク構成になっていた場合の対策として、引き続き本発明に係る車両における制御装置間ネットワークにおいて行われる認証行為による制御装置の着脱について、図7、図8を用いて説明する。
【0044】
図7に示されている制御装置間ネットワークは、四つの制御装置(ECU−A21、ECU−B22、ECU−C23、ECU−D24)の接続をもって完全であるものとし、図7(a)に示されているように、既にすべての制御装置がネットワーク接続され、すべての制御装置が作動許可状態103にあるものとする。
【0045】
ここで、図7(b)に示されているように、制御装置間ネットワークに対して、新たなネットワークノードとして、診断ツール31をネットワーク接続する。この診断ツール31は、ネットワークを介して各制御装置に対する診断サービスを要求できる、いわゆる診断テスタである。ここでは、診断ツール31は、ネットワークを介してECU−A21のネットワークからの離脱命令を発行したものとする。
【0046】
ECU−A21は、離脱命令を受信すると、図7(c)に示されているように、離脱命令が正当なものか否かを判断するために、診断ツール31との認証行為を行う。認証行為の結果、離脱命令が正当なものであることを確認できれば、ECU−A21のネットワークからの離脱が許可され、離脱するECU−A21を作動許可状態とする。そして、図7(d)に示されているように、離脱されたECU−A21は、「作動許可」で、切り離した制御装置の単体での検査が可能になる。
【0047】
正当な離脱命令の認証が行われない状態で、ECU−A21がネットワークから切り離された場合には、離脱されたECU−A21は、「作動不許可」の状態になり、不当な取り扱い、例えば、悪意者による情報の盗聴、改竄といった攻撃に対して防禦する。
【0048】
図8は、各制御装置における制御状態の遷移を表している。各制御装置は、初期状態105から初回電源投入によって、状態B102に遷移すると、ここで自身が初期状態「作動許可」か、初期状態「作動不許可」かの判定を行う。初期状態「作動許可」と設定されている制御装置であれば、暫定作動許可状態106に遷移する。これに対し、初期状態「作動不許可」と設定されている制御装置であれば、作動不許可状態104に遷移する。
【0049】
暫定作動許可状態106にある制御装置は、通信バス7の状態を監視し、他の制御装置の存在を確認した場合には、状態A101に遷移する。状態A101にある制御装置は、自身が参加するネットワークにおいて存在するはずの全ての制御装置が存在しているか否かを判定する。全ての制御装置の存在を確認できた場合には、作動許可状態103に遷移し、確認できなかった場合には、作動不許可状態104に遷移する。
【0050】
作動許可状態103の制御装置は、通信バス7の状態を監視し、他の制御装置の存在を確認すると、状態A101に遷移する。状態A101の制御装置は、自身が参加するネットワークにおいて存在するはずの全ての制御装置が存在しているか否かを判定する。全ての制御装置の存在を確認できた場合には、作動許可状態103に戻り、確認できなかった場合には、作動不許可状態104に遷移する。
【0051】
作動不許可状態104の制御装置は、通信バス7の状態を監視し、他の制御装置の存在を確認すると、状態A101に移る。状態A101にある制御装置は、自身が参加するネットワークにおいて存在するはずの全ての制御装置が存在しているか否かを判定する。全ての制御装置の存在を確認できなかった場合には、作動不許可状態104に戻り、確認できた場合には、作動許可状態103に遷移する。
【0052】
作動許可状態103にある制御装置がネットワークから離脱命令を受け、その離脱命令が認証手段10による認証行為によって正当であることを確認できた場合には、状態C107に遷移する。ここで、制御装置がネットワークから切り離されるのを待ち、制御装置がネットワークから切り離されると、暫定作動許可状態106に遷移する。また、作動許可状態103にある他の制御装置の存在を確認できない場合には、作動不許可状態104に遷移する。
【0053】
ここで、作動不許可状態104にある制御装置の制御手段4は、出力回路6、または通信手段8を通じて、当該制御装置に接続されている主要なアクチュエータ類5などの制御を停止し、車両がシステムとして動作するのを禁止せしめるよう動作する。
【0054】
このように構成すれば、図6に示されているように、全ての制御装置がネットワークから切り離された状態でも、一度ネットワーク接続された制御装置をネットワークから離脱させるのには、正当な認証行為が必要となるので、正当な権利を有さない悪意の攻撃者からの防禦が可能となる。
【0055】
ここで、認証手段10にて行われる認証行為の一つの実施形態を図9を参照して参照して説明する。なお、ここで、暗号鍵kはECU−A21の製造時、もしくはその後に診断ツール31と同じものを不揮発性メモリ11に記憶させた値とする。
【0056】
診断ツール31からの離脱命令を受信したECU−A21は乱数sを発生し、それを診断ツール31に送信し(ステップS51)、そして、乱数sと診断ツール31と共有する共通鍵kによって応答f(s)を演算する(ステップS52)。
【0057】
乱数sを受信した診断ツール31は、乱数sおよびECU−A21と共有する共通鍵kによって応答g(s)を演算し、応答g(s)をECU−A21に送り返す(ステップS53)。
【0058】
ECU−A21は、自ら演算した応答f(s)と、診断ツール31が演算した応答g(s)とを比較する。もし、ECU−A21と診断ツール31が共有している共通鍵kと演算処理とが同一であれば、同一の乱数sから得られる応答は同一であり、信用できるということになる(ステップS54)。こうして、ECU−A21は、診断ツール31を認証する。
【0059】
なお、ここでは、共通鍵暗号による認証行為について述べたが、本認証行為が公開鍵暗号においても実装できることは言うまでもない。
【0060】
上述の実施形態において、他の制御装置の存在が確認できない場合には、状態を「作動不許可」に遷移させる旨述べてきたが、認証によって正当な制御装置の着脱が担保される場合には、離脱した制御装置以外のネットワークに残存する全ての制御装置を作動不許可にする必要はない。すなわち、離脱した制御装置以外のネットワークに参加する一部の制御装置のみを、選択的に作動不許可としてもよい。
【0061】
以上に説明した本実施形態の効果を要約すると、以下のようになる。
【0062】
(1)完全性の確認もって各制御装置を作動許可とし、参加する制御装置が全て揃わない状態では各制御装置を作動不許可とするネットワークにおいて、参加する全ての制御装置、もしくは一部の制御装置のネットワーク接続前の初期状態が作動許可状態であることにより、完全性を担保することによるセキュリティ施策を取りながら、車両取り付け前の制御装置の取り回しを妨害しない構成とすることが可能となる。
【0063】
(2)事前の認証によって、一つまたは複数の制御装置のネットワークからの離脱を許可し、離脱許可された制御装置を作動許可とすることにより、完全性を担保することによるセキュリティ施策を取りながら、車両組み付け後に何らかの事由でネットワークから取り外した制御装置の取り回しを妨害しない構成とすることが可能となる。
【0064】
(3)そして、離脱した制御装置以外のネットワークに参加する全ての制御装置、もしくは一部の制御装置を作動不許可とすることにより、ネットワークから一部の制御装置を外した後の、車両側に残った制御装置に対しても適切なセキュリティを講じることが可能となる。
【0065】
(4)これらのことにより、ネットワークとして十分かつ合理的なセキュリティを保ちながら、接続される個々の制御装置の取り回し性能を向上させることができる。
【図面の簡単な説明】
【0066】
【図1】本発明による車両制御装置間ネットワークを構成する制御装置の一つの実施形態を示す機能ブロック図。
【図2】本発明による車両制御装置間ネットワークを構成する制御装置の一つの実施形態の構成を示すブロック図。
【図3】車両制御装置間ネットワークの一例を示す構成図。
【図4】本発明による車両制御装置間ネットワークにおいて行われる完全性確認の一つの実施形態を表す状態遷移図。
【図5】(a)〜(c)は図4における完全性確認の動作様態を表す図。
【図6】図4における完全性確認において、全ての制御装置を外した場合の動作様態を表す図。
【図7】(a)〜(d)は本発明によ車両制御装置間ネットワークにおける制御装置離脱許可の一つの実施形態の動作様態を表す図。
【図8】図7における認証による制御装置離脱許可を表す状態遷移図。
【図9】図7における認証を表すフローチャート。
【符号の説明】
【0067】
1 制御装置(ECU)
2 センサ類
3 入力信号検出手段
4 制御手段
5 アクチュエータ類
6 出力回路
7 通信バス
8 通信手段
9 暗号化/復号化手段
10 認証手段
11 不揮発性メモリ
12 不揮発性メモリアクセス手段
13 入出力インタフェース
14 通信インタフェース
15 RAM
16 ROM
17 EEPROM
18 CPU
19 バス
21 ECU−A
22 ECU−B
23 ECU−C
24 ECU−D
31 診断ツール
【技術分野】
【0001】
本発明は、車両制御装置間ネットワークおよび制御装置に係り、特に、自動車等の車両に搭載される複数個の制御装置を互いに通信可能に接続するネットワーク上のセキュリティに関する。
【背景技術】
【0002】
近年、動力性能や環境対応といった自動車に求められる性能が、高度化、多岐化するに伴い、自動車システムは、多数のセンサやアクチュエータ類によって構成されるようになる一方、それらセンサやアクチュエータ類に関わる複数の制御装置のネットワーク化が進んでおり、CAN(Control Area Network)やLIN(Local Interconnect Network)といったさまざまな通信プロトコルが導入されるに至っている。
【0003】
このような自動車に構築される車両制御装置間ネットワークは、車両内という限定された領域に存在する閉じた空間のネットワークであり、悪意者による情報の盗聴、改竄といった攻撃に対する防禦は必要のないものとされてきた。
【0004】
しかし、近年、無線技術の導入や、車両ITS(Intelligent Transport System)等の技術進歩に伴い、車両制御装置間ネットワークがオープンネットワークへと移行し、様々な攻撃に対するセキュリティ施策が提唱されるに至っている。
【0005】
たとえば、イモビライザ機能を有する車両においては、鍵に埋め込まれた値と車両側の制御装置との間で暗号認証を行うので、正当な鍵がなければ車両を始動させることができない。最近では、総当り式の暗号取得攻撃(所謂ブルートフォース攻撃)にも実用上絶えうる暗号実装を行うものや、有限規則性に基づき同期を取りながら暗号鍵を順次変更するといったものが提唱されてきている。
【0006】
また、車両システムの完全性確認機能を有する車両においては、各制御装置間がネットワーク中で互いに認証を行い、正当でないものを見つければ、制御装置を作動不許可とするものがある(例えば、特許文献1)。このため、ネットワーク中の制御装置を正当でないものに置き換えたり、制御装置内部のプログラムを正当でないものに書き換えたりすると、車両システムとして動作しなくなる。
【0007】
さらに、車両開発や製造工程における不慮のセキュリティ事故を防止するため、このような施策を制御装置の初期状態から有効にし、車両組立完了後にのみ各制御装置が動作許可とするよう構成することが多くなってきている。
【0008】
【特許文献1】特開2005−1534号公報
【発明の開示】
【発明が解決しようとする課題】
【0009】
以上のようなセキュリティ施策により、車両制御装置間ネットワークにおけるセキュリティ性能は向上する一方で、制御装置の検査等における取り回し性能は悪化している。
【0010】
たとえば、車両組み付け前の制御装置を、初期状態でイモビライザ機能により動作不許可状態としていると、イモビライザが動作不許可とする機構を、単体の制御装置で、事前に検査することができない。これは、たとえば、イモビライザ機能が制御装置の燃料噴射制御、点火制御を動作不許可とする場合、これら制御が正しい出力を行うか否かを確認することが、車両組み付け後にしかできないことを意味する。
【0011】
一般に、車両の制御装置は、部品メーカからマニファクチュアラに提供され、車両への接続をマニファクチュアラが行うため、制御装置の初期状態をイモビライザ機能により動作不許可状態としていると、部品メーカでは自身の提供する制御装置を検査することができなくなる。このことにより、制御装置の歩留まり品発見に遅れが生じ、車両製造段階でのコスト悪化、品質悪化といった問題を招いている。
【0012】
また、車両組み付け後に問題が発生し、疑わしい制御装置をネットワークから取り外して検査しなければならない場合などでも、ネットワークから取り外した時点で、ネットワークの完全性確認機能が働き、取り外した制御装置が動作不許可状態となるため、所望の検査が行えない可能性がある。このため、疑わしい制御装置を検査することなく無条件で交換せざるを得ず、組み付け後の検査や市場におけるメンテナンスに多大なコストがかかるといった問題を招いている。
【0013】
このように、セキュリティ施策の充実により、車両制御装置間ネットワークのセキュリティが確保され、悪意の攻撃からの防禦が充実する一方で、初期状態、もしくはネットワークから離脱している制御装置の取り回し性能は悪化しており、コスト、品質上の問題を引き起こしている。
【0014】
本発明は、前記解決しようとする課題に鑑みてなされたものであって、その目的とするところは、車両制御装置間ネットワークとして必要なセキュリティ性能と制御装置の取り回し性能とを両立した車両制御装置間ネットワークおよび車両制御装置間ネットワークに用いられる制御装置を提供することにある。
【課題を解決するための手段】
【0015】
前記目的を達成するために、本発明による車両制御装置間ネットワークは、通信手段を有する複数の制御装置が参加し、参加する制御装置が全て揃ったことの確認をもって各制御装置を作動許可とし、参加する制御装置が全て揃わない状態では各制御装置を作動不許可とする車両制御装置間ネットワークであって、参加する全ての制御装置もしくは一部の制御装置のネットワーク接続前の初期状態が作動許可状態であることを特徴としている。
【0016】
また、本発明による車両制御装置間ネットワークは、好ましくは、認証行為によって、一つまたは複数の制御装置のネットワークからの離脱を許可し、認証行為によって離脱許可された制御装置を作動許可状態とすることを特徴とし、この認証行為は、ネットワーク接続された診断ツールと制御装置との間で行うことができることを特徴としている。
【0017】
更に、本発明による車両制御装置間ネットワークは、更に好ましくは、離脱した制御装置以外のネットワークに参加する全ての制御装置、もしくは一部の制御装置を作動不許可状態とすることを特徴としている。
【0018】
前記目的を達成するために、本発明による制御装置は、車両制御装置間ネットワークに用いられる制御装置であって、ネットワーク接続前の初期状態を作動許可状態に設定されていることを特徴としている。
【発明の効果】
【0019】
本発明によれば、完全性の確認をもって各制御装置を作動許可とし、参加する制御装置が全て揃わない状態では各制御装置を作動不許可とするネットワークでありつつ、参加する全ての制御装置もしくは一部の制御装置のネットワーク接続前の初期状態が作動許可状態であることにより、車両取り付け前の制御装置の取り回し性能を阻害することがない。これにより、車両制御装置間ネットワークとして必要なセキュリティ性能と制御装置の取り回し性能との両立が図られる。
【発明を実施するための最良の形態】
【0020】
本発明による車両制御装置間ネットワークおよび制御装置の実施形態を、図面を参照して説明する。
【0021】
図1は、本実施形態の車両制御装置間ネットワークに用いられる制御装置(ECU)のの一つの実施形態を示す機能ブロック図である。制御装置1は、車両の各部に取り付けられたセンサ類2からの入力信号を検出する入力信号検出手段3と、入力信号検出手段3からの信号を入力して制御のための演算等を行い制御指令を生成する制御手段4と、制御手段4からの制御指令を各アクチュエータ類5に出力駆動する出力回路6と、通信バス7に接続されてネットワークとの信号送受信を行う通信手段8と、通信手段8にてやりとりする送受信信号の暗号化/復号化を行う暗号化復号化手段9と、他のネットワーク参加者を認証する認証手段10と、制御上必要となる不揮発性の情報を記憶する不揮発性メモリ11と、不揮発性メモリ11と制御手段4および暗号化復号化手段9、認証手段10との媒介を行う不揮発性メモリアクセス手段12を備えている。
【0022】
図2は、制御装置(ECU)1の一つの実施形態の構成を示すブロック図である。ECU1は、センサ類2およびアクチュエータ類5と接続されて入出力を司る入出力インタフェース13と、通信バス7と接続されて信号送受信を司る通信インタフェース14と、一時的情報を記憶する揮発性メモリであるRAM15と、制御プログラムおよび各種制御設定情報を記憶する不揮発性メモリであるROM16と、不揮発性のメモリであるEEPROM17と、それらを統括し制御を司るCPU18とを有し、これらがバス19によって接続されている。
【0023】
したがって、制御装置1は、マイクロコンピュータによって構成することも可能である。制御手段4と、暗号化/復号化を行う暗号化復号化手段9と、認証手段10は、いずれもROM16にプログラムとして記憶されていて、それらプログラムは実行時に読み出されてCPU18が実行する。また、通信手段8は、OSI参照モデルによる物理層およびデータリンク層の一部は電子回路により構成され、より上位の階層はROM16に記憶されたプログラムによるのが一般的である。
【0024】
本実施形態の車両制御装置間ネットワークは、制御装置1の構成を持つ制御装置であるECU−A21、ECU−B22、ECU−C23、および図示しない一つ、または複数の制御装置が通信バス7を介して接続され、相互にデータ伝送が可能になっている。このネットワークにおいて使用される通信バス7は、たとえばCANのようなものである。
【0025】
次に、本実施形態の車両制御装置間ネットワークにおいて行われる完全性確認について図4、図5を用いて説明する。
【0026】
図4において、円形にて描かれる状態A101および状態B102は、一時的状態を示し、楕円形にて描かれる状態「作動許可」103および状態「作動不許可」104は、恒常的状態を示している。一時的状態とは、恒常的状態への遷移過程にて一時的に遷移される状態であって、留まることのできない状態である。一方、恒常的状態とは、恒常的に留まることのできる状態である。また、黒円で描かれる状態105は初期状態を表わす。したがって、本実施形態の車両制御装置間ネットワークに参加する各制御装置(ECU−A21、ECU−B22、ECU−C23等)は、恒常的には、作動許可状態103、作動不許可状態104、初期状態105のいずれかの状態にある。
【0027】
各制御装置は、初期状態105から初回電源投入によって、状態B102に遷移すると、ここで自身の初期状態が「作動許可」であるであるか、「作動不許可」かの判定を行う。初期状態が「作動許可」と設定されている制御装置であれば、作動許可状態103に遷移する。これに対し、初期状態が「作動不許可」と設定されている制御装置であれば、作動不許可状態104に遷移する。
【0028】
作動許可状態103の制御装置は、通信バス7の状態を監視し、他の制御装置の存在を確認すると、状態A101に遷移する。状態A101にある制御装置は、自身が参加するネットワークにおいて存在するはずの全ての制御装置が存在しているか否かを判定する。全ての制御装置の存在を確認できた場合には、作動許可状態103に戻り、確認できなかった場合には、作動不許可状態104に遷移する。
【0029】
作動不許可状態104の制御装置は、通信バス7の状態を監視し、他の制御装置の存在が確認できると、状態A101に移る。状態A101にある制御装置は、自身が参加するネットワークにおいて存在するはずの全ての制御装置が存在しているか否かを判定する。
全ての制御装置の存在を確認できた場合には、作動許可状態103に戻り、確認できなかった場合には、作動不許可状態104に遷移する。
【0030】
なお、以上述べた他の制御装置の存在確認には、平文通信を使用してもよいし、もしくは暗号化/復号化手段9を用いて共通鍵暗号や公開鍵暗号といった暗号通信を使用してもよい。また、他の制御装置の存在確認は、常時行ってもよいし、電源投入後、一度だけ行うといった条件に基づいて行っても、もしくは不定期に行ってもよい。
【0031】
作動不許可状態104の制御装置の制御手段4(図1参照)は、出力回路6、または通信手段8を通じて、当該制御装置に接続されている主要なアクチュエータ類5などの制御を停止し、車両がシステムとして動作するのを禁止せしめるよう動作する。
【0032】
このように構成すれば、必要に応じてネットワーク接続前の初期状態の設定を「作動許可」にすることで、車両組み付ける前の制御装置を検査するなどの取り回し性能を確保した上で、参加する制御装置が全て揃ったことの確認をもって各制御装置を作動許可するといった、いわゆる完全性保証機能を達成することができる。
【0033】
たとえば、図5(a)〜(c)に示されている制御装置間ネットワークは、四つの制御装置(ECU−A21、ECU−B22、ECU−C23、ECU−D24)の接続をもって完全であるものとし、図5(a)に示されているように、ECU−B22、ECU−C23、ECU−D24が、すでに、通信バス(ネットワーク)7に接続されており、ここに、ネットワーク接続前の初期状態が「作動許可」設定であるECU−A21を接続しようとしている。
【0034】
図5(a)に示されている状態では、すでに、ネットワーク接続されているECU−B22、ECU−C23、ECU−D24は、すでにネットワーク接続されている他の制御装置の存在を互いに確認し、ECU−A21の存在を確認できないので、作動不許可状態104にあり、自身の主要制御出力により、車両がシステムとして動作するのを禁止するように動作している。
【0035】
ECU−A21は、ネットワーク接続前の初期状態が「作動許可」設定であるので、作動許可状態103にあり、この状態で単体での検査が可能である。これにより、ECU−A21を生産する部品メーカは、出荷前のECU−A21を検査することができる。
【0036】
ここで、図5(b)に示されているように、ECU−A21をネットワーク接続すると、ECU−A21は、すでにネットワーク接続されている他の制御装置の存在を確認し、他の全ての制御装置の存在を確認することで、作動許可状態103に留まる。一方、既にネットワーク接続されているECU−B22、ECU−C23、ECU−D24は、ECU−A21の接続により、ネットワークに接続されるべき全ての制御装置が確認できるので、作動許可状態103に遷移する。
【0037】
これにより、ネットワークに接続される全ての制御装置(ECU−A21、ECU−B22、ECU−C23、ECU−D24)が作動許可状態103となるので、車両がシステムとして動作するようになる。
【0038】
図5(c)に示されているように、一度接続されていたECU−A21を、再度ネットワークより切り離した場合、ECU−A21は、他の制御装置の存在を確認できなくなるので、作動許可状態103に留まる。一方、ネットワーク接続されているECU−B22、ECU−C23、ECU−D24は、接続されている他の制御装置の存在をお互いに確認し、ECU−A21の存在を確認できないので、作動不許可状態104に遷移する。
【0039】
したがって、車両ネットワークに留まった制御装置(ECU−B22、ECU−C23、ECU−D24)を作動不許可にして、切り離した制御装置(ECU−A21)の単体での検査が可能である。
【0040】
これにより、車両組み付け後に問題が発生し、疑わしい制御装置をネットワークから取り外して検査しなければならない場合に対応できる。
【0041】
以上述べた制御装置間ネットワークでは、図6に示されているように、ネットワーク接続されていた全ての制御装置(ECU−A21、ECU−B22、ECU−C23、ECU−D24)をネットワークから切り離すことにより、全ての制御装置における状態を「作動許可」とすることは可能である。
【0042】
しかし、現在の多くの車両においては、多数制御が制御装置間ネットワークに依存して動作するので、ネットワークへの制御装置の接続が一切ない状態における車両システムの正常動作は事実上期待できない。したがって、本発明に係る車両における制御装置間ネットワークは、悪意の攻撃意欲を殺ぐのに充分なセキュリティ性能を有していると云える。
【0043】
万一、図6に示されているように、全ての制御装置がネットワークから切り離された状態でも、車両システムの正常動作が行われるような車両ネットワーク構成になっていた場合の対策として、引き続き本発明に係る車両における制御装置間ネットワークにおいて行われる認証行為による制御装置の着脱について、図7、図8を用いて説明する。
【0044】
図7に示されている制御装置間ネットワークは、四つの制御装置(ECU−A21、ECU−B22、ECU−C23、ECU−D24)の接続をもって完全であるものとし、図7(a)に示されているように、既にすべての制御装置がネットワーク接続され、すべての制御装置が作動許可状態103にあるものとする。
【0045】
ここで、図7(b)に示されているように、制御装置間ネットワークに対して、新たなネットワークノードとして、診断ツール31をネットワーク接続する。この診断ツール31は、ネットワークを介して各制御装置に対する診断サービスを要求できる、いわゆる診断テスタである。ここでは、診断ツール31は、ネットワークを介してECU−A21のネットワークからの離脱命令を発行したものとする。
【0046】
ECU−A21は、離脱命令を受信すると、図7(c)に示されているように、離脱命令が正当なものか否かを判断するために、診断ツール31との認証行為を行う。認証行為の結果、離脱命令が正当なものであることを確認できれば、ECU−A21のネットワークからの離脱が許可され、離脱するECU−A21を作動許可状態とする。そして、図7(d)に示されているように、離脱されたECU−A21は、「作動許可」で、切り離した制御装置の単体での検査が可能になる。
【0047】
正当な離脱命令の認証が行われない状態で、ECU−A21がネットワークから切り離された場合には、離脱されたECU−A21は、「作動不許可」の状態になり、不当な取り扱い、例えば、悪意者による情報の盗聴、改竄といった攻撃に対して防禦する。
【0048】
図8は、各制御装置における制御状態の遷移を表している。各制御装置は、初期状態105から初回電源投入によって、状態B102に遷移すると、ここで自身が初期状態「作動許可」か、初期状態「作動不許可」かの判定を行う。初期状態「作動許可」と設定されている制御装置であれば、暫定作動許可状態106に遷移する。これに対し、初期状態「作動不許可」と設定されている制御装置であれば、作動不許可状態104に遷移する。
【0049】
暫定作動許可状態106にある制御装置は、通信バス7の状態を監視し、他の制御装置の存在を確認した場合には、状態A101に遷移する。状態A101にある制御装置は、自身が参加するネットワークにおいて存在するはずの全ての制御装置が存在しているか否かを判定する。全ての制御装置の存在を確認できた場合には、作動許可状態103に遷移し、確認できなかった場合には、作動不許可状態104に遷移する。
【0050】
作動許可状態103の制御装置は、通信バス7の状態を監視し、他の制御装置の存在を確認すると、状態A101に遷移する。状態A101の制御装置は、自身が参加するネットワークにおいて存在するはずの全ての制御装置が存在しているか否かを判定する。全ての制御装置の存在を確認できた場合には、作動許可状態103に戻り、確認できなかった場合には、作動不許可状態104に遷移する。
【0051】
作動不許可状態104の制御装置は、通信バス7の状態を監視し、他の制御装置の存在を確認すると、状態A101に移る。状態A101にある制御装置は、自身が参加するネットワークにおいて存在するはずの全ての制御装置が存在しているか否かを判定する。全ての制御装置の存在を確認できなかった場合には、作動不許可状態104に戻り、確認できた場合には、作動許可状態103に遷移する。
【0052】
作動許可状態103にある制御装置がネットワークから離脱命令を受け、その離脱命令が認証手段10による認証行為によって正当であることを確認できた場合には、状態C107に遷移する。ここで、制御装置がネットワークから切り離されるのを待ち、制御装置がネットワークから切り離されると、暫定作動許可状態106に遷移する。また、作動許可状態103にある他の制御装置の存在を確認できない場合には、作動不許可状態104に遷移する。
【0053】
ここで、作動不許可状態104にある制御装置の制御手段4は、出力回路6、または通信手段8を通じて、当該制御装置に接続されている主要なアクチュエータ類5などの制御を停止し、車両がシステムとして動作するのを禁止せしめるよう動作する。
【0054】
このように構成すれば、図6に示されているように、全ての制御装置がネットワークから切り離された状態でも、一度ネットワーク接続された制御装置をネットワークから離脱させるのには、正当な認証行為が必要となるので、正当な権利を有さない悪意の攻撃者からの防禦が可能となる。
【0055】
ここで、認証手段10にて行われる認証行為の一つの実施形態を図9を参照して参照して説明する。なお、ここで、暗号鍵kはECU−A21の製造時、もしくはその後に診断ツール31と同じものを不揮発性メモリ11に記憶させた値とする。
【0056】
診断ツール31からの離脱命令を受信したECU−A21は乱数sを発生し、それを診断ツール31に送信し(ステップS51)、そして、乱数sと診断ツール31と共有する共通鍵kによって応答f(s)を演算する(ステップS52)。
【0057】
乱数sを受信した診断ツール31は、乱数sおよびECU−A21と共有する共通鍵kによって応答g(s)を演算し、応答g(s)をECU−A21に送り返す(ステップS53)。
【0058】
ECU−A21は、自ら演算した応答f(s)と、診断ツール31が演算した応答g(s)とを比較する。もし、ECU−A21と診断ツール31が共有している共通鍵kと演算処理とが同一であれば、同一の乱数sから得られる応答は同一であり、信用できるということになる(ステップS54)。こうして、ECU−A21は、診断ツール31を認証する。
【0059】
なお、ここでは、共通鍵暗号による認証行為について述べたが、本認証行為が公開鍵暗号においても実装できることは言うまでもない。
【0060】
上述の実施形態において、他の制御装置の存在が確認できない場合には、状態を「作動不許可」に遷移させる旨述べてきたが、認証によって正当な制御装置の着脱が担保される場合には、離脱した制御装置以外のネットワークに残存する全ての制御装置を作動不許可にする必要はない。すなわち、離脱した制御装置以外のネットワークに参加する一部の制御装置のみを、選択的に作動不許可としてもよい。
【0061】
以上に説明した本実施形態の効果を要約すると、以下のようになる。
【0062】
(1)完全性の確認もって各制御装置を作動許可とし、参加する制御装置が全て揃わない状態では各制御装置を作動不許可とするネットワークにおいて、参加する全ての制御装置、もしくは一部の制御装置のネットワーク接続前の初期状態が作動許可状態であることにより、完全性を担保することによるセキュリティ施策を取りながら、車両取り付け前の制御装置の取り回しを妨害しない構成とすることが可能となる。
【0063】
(2)事前の認証によって、一つまたは複数の制御装置のネットワークからの離脱を許可し、離脱許可された制御装置を作動許可とすることにより、完全性を担保することによるセキュリティ施策を取りながら、車両組み付け後に何らかの事由でネットワークから取り外した制御装置の取り回しを妨害しない構成とすることが可能となる。
【0064】
(3)そして、離脱した制御装置以外のネットワークに参加する全ての制御装置、もしくは一部の制御装置を作動不許可とすることにより、ネットワークから一部の制御装置を外した後の、車両側に残った制御装置に対しても適切なセキュリティを講じることが可能となる。
【0065】
(4)これらのことにより、ネットワークとして十分かつ合理的なセキュリティを保ちながら、接続される個々の制御装置の取り回し性能を向上させることができる。
【図面の簡単な説明】
【0066】
【図1】本発明による車両制御装置間ネットワークを構成する制御装置の一つの実施形態を示す機能ブロック図。
【図2】本発明による車両制御装置間ネットワークを構成する制御装置の一つの実施形態の構成を示すブロック図。
【図3】車両制御装置間ネットワークの一例を示す構成図。
【図4】本発明による車両制御装置間ネットワークにおいて行われる完全性確認の一つの実施形態を表す状態遷移図。
【図5】(a)〜(c)は図4における完全性確認の動作様態を表す図。
【図6】図4における完全性確認において、全ての制御装置を外した場合の動作様態を表す図。
【図7】(a)〜(d)は本発明によ車両制御装置間ネットワークにおける制御装置離脱許可の一つの実施形態の動作様態を表す図。
【図8】図7における認証による制御装置離脱許可を表す状態遷移図。
【図9】図7における認証を表すフローチャート。
【符号の説明】
【0067】
1 制御装置(ECU)
2 センサ類
3 入力信号検出手段
4 制御手段
5 アクチュエータ類
6 出力回路
7 通信バス
8 通信手段
9 暗号化/復号化手段
10 認証手段
11 不揮発性メモリ
12 不揮発性メモリアクセス手段
13 入出力インタフェース
14 通信インタフェース
15 RAM
16 ROM
17 EEPROM
18 CPU
19 バス
21 ECU−A
22 ECU−B
23 ECU−C
24 ECU−D
31 診断ツール
【特許請求の範囲】
【請求項1】
通信手段を有する複数の制御装置が参加し、参加する制御装置が全て揃ったことの確認をもって各制御装置を作動許可とし、参加する制御装置が全て揃わない状態では各制御装置を作動不許可とする車両制御装置間ネットワークであって、
参加する全ての制御装置もしくは一部の制御装置のネットワーク接続前の初期状態が作動許可状態であることを特徴とする車両制御装置間ネットワーク。
【請求項2】
認証行為によって、一つまたは複数の制御装置のネットワークからの離脱を許可し、認証行為によって離脱許可された制御装置を作動許可状態とすることを特徴とする請求項1に記載の車両制御装置間ネットワーク。
【請求項3】
前記認証行為をネットワーク接続された診断ツールと制御装置との間で行うことを特徴とする請求項2に記載の車両制御装置間ネットワーク。
【請求項4】
離脱した制御装置以外のネットワークに参加する全ての制御装置、もしくは一部の制御装置を作動不許可状態とすることを特徴とする請求項2又は3に記載の車両制御装置間ネットワーク。
【請求項5】
車両制御装置間ネットワークに用いられる制御装置であって、
ネットワーク接続前の初期状態が作動許可状態に設定されていることを特徴とする制御装置。
【請求項1】
通信手段を有する複数の制御装置が参加し、参加する制御装置が全て揃ったことの確認をもって各制御装置を作動許可とし、参加する制御装置が全て揃わない状態では各制御装置を作動不許可とする車両制御装置間ネットワークであって、
参加する全ての制御装置もしくは一部の制御装置のネットワーク接続前の初期状態が作動許可状態であることを特徴とする車両制御装置間ネットワーク。
【請求項2】
認証行為によって、一つまたは複数の制御装置のネットワークからの離脱を許可し、認証行為によって離脱許可された制御装置を作動許可状態とすることを特徴とする請求項1に記載の車両制御装置間ネットワーク。
【請求項3】
前記認証行為をネットワーク接続された診断ツールと制御装置との間で行うことを特徴とする請求項2に記載の車両制御装置間ネットワーク。
【請求項4】
離脱した制御装置以外のネットワークに参加する全ての制御装置、もしくは一部の制御装置を作動不許可状態とすることを特徴とする請求項2又は3に記載の車両制御装置間ネットワーク。
【請求項5】
車両制御装置間ネットワークに用いられる制御装置であって、
ネットワーク接続前の初期状態が作動許可状態に設定されていることを特徴とする制御装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2008−189209(P2008−189209A)
【公開日】平成20年8月21日(2008.8.21)
【国際特許分類】
【出願番号】特願2007−27446(P2007−27446)
【出願日】平成19年2月7日(2007.2.7)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
【公開日】平成20年8月21日(2008.8.21)
【国際特許分類】
【出願日】平成19年2月7日(2007.2.7)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
[ Back to top ]