特許ウォッチ

公開番号2025175394
公報種別公開特許公報(A)
公開日2025-12-03
出願番号2024081480
出願日2024-05-20
発明の名称電子制御装置および電子制御装置の起動方法
出願人株式会社豊田自動織機
代理人インフォート弁理士法人
主分類G06F 21/57 20130101AFI20251126BHJP(計算;計数)
要約【課題】車両に搭載される電子制御装置の制御プログラムのすべての機能の完全性を保証し、かつ、その電子制御装置の起動時間を短縮する。
【解決手段】車両に搭載されてその車両の動作を制御する電子制御装置は、プロセッサシステムおよび制御プログラムを保存する保存部を備える。制御プログラムは、車両の動作を制御するためのメインプログラム部および車両に搭載されているデバイスと通信を行うための通信機能部を含む。プロセッサシステムは、当該電子制御装置の起動時に通信機能部の完全性を検証する。通信機能部の完全性の検証が成功したときに、プロセッサシステムは、メインプログラム部の完全性を検証すると共に、メインプログラム部の完全性を検証する処理が終了する前に通信機能部の実行を開始する。
【選択図】図3

特許請求の範囲【請求項１】
車両に搭載されて前記車両の動作を制御する電子制御装置であって、
プロセッサシステムと、
制御プログラムを保存する保存部と、を備え、
前記制御プログラムは、前記車両の動作を制御するためのメインプログラム部および前記車両に搭載されているデバイスと通信を行うための通信機能部を含み、
前記プロセッサシステムは、
当該電子制御装置の起動時に前記通信機能部の完全性を検証し、
前記通信機能部の完全性の検証が成功したときに、前記メインプログラム部の完全性を検証すると共に、前記メインプログラム部の完全性を検証する処理が終了する前に前記通信機能部の実行を開始する
ことを特徴とする電子制御装置。
続きを表示（約 600 文字）【請求項２】
前記プロセッサシステムは、
前記制御プログラムを実行する第１のプロセッサと、
前記制御プログラムに対するセキュアブート処理を実行する第２のプロセッサと、を備え、
前記第２のプロセッサは、
当該電子制御装置の起動時に前記通信機能部の完全性を検証し、
前記通信機能部の完全性の検証が成功したときに、前記メインプログラム部の完全性の検証を開始すると共に、前記メインプログラム部の完全性を検証する処理が終了する前に前記通信機能部の起動を指示する起動要求を前記第１のプロセッサに与える
ことを特徴とする請求項１に記載の電子制御装置。
【請求項３】
車両に搭載されて前記車両の動作を制御する電子制御装置の起動方法であって、
前記車両のメモリには、前記車両の動作を制御するためのメインプログラム部および前記車両に搭載されているデバイスと通信を行うための通信機能部を含む制御プログラムが保存されており、
当該電子制御装置の起動時に前記通信機能部の完全性を検証し、
前記通信機能部の完全性の検証が成功したときに、前記メインプログラム部の完全性を検証すると共に、前記メインプログラム部の完全性を検証する処理が終了する前に前記通信機能部の実行を開始する
ことを特徴とする電子制御装置の起動方法。

発明の詳細な説明【技術分野】
【０００１】
本発明は、車両に搭載される電子制御装置および電子制御装置の起動方法に係わる。
続きを表示（約 1,600 文字）【背景技術】
【０００２】
車両（一般的な乗用車およびフォークリフト等の産業車両を含む）には、通常、複数の電子制御装置（ＥＣＵ：Electronical Control Unit）が搭載されている。ＥＣＵは、車両の安全で効率的な走行を制御する。例えば、モータＥＣＵは、運転者からの指示に応じて走行用モータを制御する。また、バッテリＥＣＵは、バッテリの状態を監視し、バッテリの充電／放電を制御する。
【０００３】
近年の車両は、外部のネットワークと通信可能に構成されているので、悪意ある攻撃により、ＥＣＵのプログラムが改ざんされる問題が顕在化してきている。このため、車両に搭載されるＥＣＵは、多くのケースにおいて、セキュアブート処理が実行される。すなわち、ＥＣＵの制御プログラムは、実行される前に、その完全性の検証が行われる。完全性とは、データが改ざんまたは破壊されてない正常な状態を意味する。なお、以下の記載では、車両に搭載されるＥＣＵを「車載ＥＣＵ」と呼ぶことがある。
【０００４】
他方、車載ＥＣＵには、多くのケースにおいて、起動時間について厳しい制約がある。すなわち、指定された起動時間内にセキュアブート処理による検証が完了していることが要求される。このため、セキュアブート処理に要する時間を短縮するための技術が提案されている（例えば、特許文献１）。
【０００５】
特許文献１においては、イグニッションスイッチのＯＮ／ＯＦＦの回数、および車両の運転席のドアの開閉の回数などをカウントすることで、車両に対する意図しない起動の有無をモニタする。そして、意図しない起動が検出されなければ、重要度の高いデータのみに対してセキュアブート処理による検証が行われる。
【先行技術文献】
【特許文献】
【０００６】
特許第６６３９６１５号
【発明の概要】
【発明が解決しようとする課題】
【０００７】
特許文献１に記載の方法によれば、状況に応じて制御プログラムの一部の機能のみの完全性を検証することで、セキュアブート処理に要する時間が短縮される。ただし、車両の制御に係わるプログラムにおいては、安全性の観点から、実行前にすべての機能の完全性の検証が行われることが好ましい。
【０００８】
本発明の１つの側面に係わる目的は、車両に搭載される電子制御装置の制御プログラムのすべての機能の完全性を保証し、かつ、その電子制御装置の起動時間を短縮することである。
【課題を解決するための手段】
【０００９】
本発明の１つの態様に係わる電子制御装置は、車両に搭載されて前記車両の動作を制御する。この電子制御装置は、プロセッサシステムと、制御プログラムを保存する保存部とを備える。前記制御プログラムは、前記車両の動作を制御するためのメインプログラム部および前記車両に搭載されているデバイスと通信を行うための通信機能部を含む。前記プロセッサシステムは、当該電子制御装置の起動時に前記通信機能部の完全性を検証し、前記通信機能部の完全性の検証が成功したときに、前記メインプログラム部の完全性を検証すると共に、前記メインプログラム部の完全性を検証する処理が終了する前に前記通信機能部の実行を開始する。
【００１０】
上記構成によれば、制御プログラム全体の完全性の検証が終了する前に、通信機能部の完全性の検証が成功した時点で、電子制御装置は他のデバイスとの通信を開始できる。この後、制御プログラム中のメインプログラム部の検証が行われる。したがって、制御プログラム全体の完全性を検証しながら、電子制御装置が起動されたときから、その電子制御装置が通信を開始できるようになるまでの期間を短くできる。
（【００１１】以降は省略されています）

関連特許