本发明专利技术获得一种控制系统,通过在运算处理中判定处理之间是否异常,即使控制装置正在执行控制处理,或者受到未知的网络攻击,也能够早期检测异常。针对运算控制值的运算处理中所使用的向第1存储部(102)的规定地址范围写入和读取的执行顺序、向规定地址范围写入和读取的执行定时、向规定地址范围写入和读取的值、写入的开头地址和写入的大小,判定部(106)将正常时的信息和执行时的信息进行比较,在至少某一项不一致的情况下,判定为异常。判定为异常。判定为异常。
【技术实现步骤摘要】
控制系统
[0001]本申请涉及控制系统。
技术介绍
[0002]近年来,汽车的车载系统通过网络与车外装置连接,存在恶意第三方从外部通过网络侵入车载系统的风险。若第三方侵入车载系统,则搭载于车辆的控制装置例如ECU(Electronic Control Unit:电子控制单元)有可能因存储的程序被篡改、ECU的控制被劫持进而被远程操作而故意造成事故。
[0003]车载系统中考虑了异常处理方法,从而即使在一部分装置发生了故障的情况下,也能检测出因故障而发生的异常,并通过故障安全(fail
‑
safe)使功能缩减等,以确保正常行驶。
[0004]然而,如上所述,当程序被篡改时,检测故障异常的机制发生变更,或者作为异常检测对象的信息是正常值,那么本来应该被判断为异常的现象就很难被检测为异常。
[0005]作为针对这种情况的安全保护技术,有消息认证或数字签名等。但是,这些技术针对的是已知的攻击场景,不一定能够应对未知的网络攻击。例如,如果通信数据被设置为正常值,则很难检测为异常。因此,不仅要监视通信数据,还要监视车辆或ECU的行为。
[0006]应对未知网络攻击的对策之一为安全启动。然而,由于启动时会进行存储器检查,所以无法应对行驶中受到攻击的情况。此外,若在行驶中始终检查存储器,则有处理负荷大的问题。因此,需要一种机制,即使在行驶中受到未知的网络攻击,也能检测异常而不会对控制处理的处理负荷造成太大影响,使车辆能够正常行驶。
[0007]专利文献1中,当电子控制装置的功能流程的处理顺序、执行条件、执行定时以及控制值等脱离正常状态时,能够检测异常。现有技术文献专利文献
[0008]专利文献1:国际公开第2019/159615号
技术实现思路
专利技术所要解决的技术问题
[0009]但是,在专利文献1中记载的现有技术中存在以下问题。以功能流程的处理顺序和控制值为对象,流程处理之间的输出值却没有作为对象。当未知的网络攻击导致在流程处理之间增加了其它新的处理的情况下,流程仍按照常规处理输出控制值,但是使用因增加的其它新的处理而变更后的值来计算控制值。这种异常在处理顺序上是无法检测到的。另外,即使在流程处理途中发生值的变更,如果控制值在正常的范围内,也无法检测出。
[0010]本申请公开了用于解决上述问题的技术,其目的是获得一种控制系统,在运算用于执行控制处理的控制值的运算处理中,通过判断处理之间是否异常,即使控制装置正在执行控制处理时受到未知的网络攻击,也能够早期检测异常。
用于解决技术问题的技术手段
[0011]本申请公开的控制系统包括:用于执行控制装置的控制处理的控制部;通过多个步骤的运算处理来运算控制处理的控制值的运算部;将运算部的运算处理的步骤之间所使用的输入值和执行结果的输出值作为执行时的信息进行存储的第1存储部;在运算部的每次运算处理时进行输入输出值的写入和读取的第1存储部的地址和地址范围是预先确定的,将向第1存储部的预先确定的地址和地址范围进行写入和读取的信息预先存储为正常时的信息的第2存储部;获取向预先确定的地址范围进行写入和读取的信息的获取部;将获取部获得的正常时的信息与执行时的信息进行比较的比较部;以及在比较部所比较的正常时的信息与执行时的信息不同的情况下判定为异常的判定部。专利技术效果
[0012]根据本申请的控制系统,即使是正在执行控制处理的控制装置,也能够早期检测到由未知的攻击引起的控制装置的异常,并对控制装置进行常规控制。
附图说明
[0013]图1是示出搭载了实施方式1所涉及的控制系统的车辆的图。图2是实施方式1所涉及的控制系统中的控制装置的功能框图。图3是示出实施方式1所涉及的控制系统中的控制装置的硬件结构的一个示例的图。图4是示出实施方式1所涉及的控制系统的控制处理中的运算处理的步骤的一个示例的流程图。图5是说明实施方式1所涉及的控制系统的控制处理时的异常检测处理的流程图。图6是示出实施方式1所涉及的控制系统的控制处理时的指令寄存器的内容的时间序列图。图7是示出实施方式1所涉及的控制系统的控制处理时的运算处理中第1存储部的地址和大小的示例的图。图8是示出实施方式1所涉及的控制系统的第2存储部中存储的正常时的信息的示例的图。图9是示出实施方式1所涉及的控制系统的控制处理中增加了不正当处理时的指令寄存器的内容的时间序列图。
具体实施方式
[0014]以下,使用附图对本申请所涉及的控制系统的优选实施方式进行说明。特别地,作为控制系统的具体示例,将详细描述应用于控制对象为车辆和作为车载设备的车载控制装置(ECU)的控制系统的情况。另外,各图中,对相同和相当部分标注相同符号。
[0015]实施方式1.图1是说明搭载了应用实施方式1所涉及的控制系统的ECU(以下称为控制装置10)的车辆1的图。控制装置10为了控制搭载于车辆1上的各种设备(以下称为控制对象2)而搭载于车辆1上。控制装置10也可以经由通信线30例如CAN(Controller Area Network:控制器区域网络)与搭载于车辆1上的其它控制装置20连接。作为控制装置20,可以是例如能判
断“行驶”、“转弯”、“停止”等状态的电动助力转向控制装置等。
[0016]<控制装置10内的各功能>图2是控制装置10的功能框图。控制装置10包括控制部100、运算部101、第1存储部102、第2存储部103、获取部104、比较部105、判定部106、车辆状态管理部107、控制装置状态管理部108和通知部109。以下详述各构成要素。
[0017]控制部100具有控制搭载于车内的控制对象2的功能。控制部100可以在控制装置10中存在一个或多个。另外,作为图1所示的控制对象2的设备,虽然不作详细说明,但符合的有致动器等。
[0018]控制部100从构成存储装置的ROM(Read Only Memory:只读存储器)、以及RAM(Random Access Memory:随机存取存储器)中读取与控制对象2对应的控制用程序数据,通过执行读取出的程序来控制控制对象2。控制方法可以存在多个。例如,在条件A的情况下,执行控制值X的程序,在条件B的情况下,执行控制值Y的程序。
[0019]运算部101对控制部100的控制处理中使用的控制值进行运算。用于运算该控制值的运算处理包括多个步骤。此外,也可以存在多个运算处理。例如,通过运算处理C运算控制值X,并通过运算处理D运算控制值Y。
[0020]第1存储部102是运算部101在每个运算处理步骤中读取输入值和写入输出值的存储部。该存储部通常由RAM(Random Access Memory:随机存取存储器)构成。
[0021]第2存储部103用于存储控制部100和运算部101正常动作时的动作程序以及正常动作时的运算处理步骤之间所使用的“向第1存储部102的规定地址范围写入和读取的执行顺序、向规定地址范围写入和读取的执行定时、向规定地址范围写入和读本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种控制系统,其特征在于,包括:用于执行控制装置的控制处理的控制部;通过多个步骤的运算处理来运算所述控制处理的控制值的运算部;将所述运算部的运算处理的步骤之间所使用的输入值和执行结果的输出值作为执行时的信息进行存储的第1存储部;在所述运算部的每次运算处理中进行对输入输出值的写入和读取的所述第1存储部的地址和地址范围是预先确定的,将向所述第1存储部的预先确定的地址和地址范围写入和读取的信息作为正常时的信息进行存储的第2存储部;获取向预先确定的地址范围写入和读取的信息的获取部;将所述获取部获得的所述正常时的信息与所述执行时的信息进行比较的比较部;以及在所述比较部所比较的所述正常时的信息与所述执行时的信息不同的情况下判定为异常的判定部。2.如权利要求1所述的控制系统,其特征在于,所述第2存储部中预先存储有所述控制部的运算处理的步骤之间所使用的向所述第1存储部的预先确定的地址范围写入和读取的执行顺序的正常时的信息,所述获取部获取向预先确定的地址范围写入和读取的执行顺序的信息,所述判定部在所比较的执行顺序不一致的情况下判定为异常。3.如权利要求1所述的控制系统,其特征在于,所述第2存储部中预先存储有所述控制部的运算处理的步骤之间所使用的向所述第1存储部的规定地址范围写入和读取的执行定时的正常时的信息,所述获取部获取向预先确定的地址范围写入和读取的执行定时的信息,所述判定部在所比较的执行定时不一致的情况下判...
【专利技术属性】
技术研发人员:嶋村光二,
申请(专利权)人:三菱电机株式会社,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。