车载控制系统和异常诊断方法与流程

1.本技术涉及车载控制系统和异常诊断方法。


背景技术：

2.车辆搭载有被称为ecu(electronic control unit：电子控制单元)的多个车辆控制装置，通过有线或无线与其他ecu或车辆外的通信设备相连接。然后，通过单独或协作来控制车载设备，以实现车辆的行驶、转弯、停止等与行驶有关的基本功能、车内环境的控制功能、导航等信息提供功能。
3.另一方面，有恶意的人有时进行如将非法的信息搭载到ecu那样的安全攻击，这种安全攻击有可能引起车载设备的异常行为。与此相对，公开了如下技术：在开始提供新服务前，根据所实施的测试结果来决定是否提供新服务，从而能防止非法的新服务被插入(例如，参照专利文献1。)。现有技术文献专利文献
4.专利文献1：日本专利特开2016-163244号公报(段落0039～0083、图7～图9)


技术实现要素：

发明所要解决的技术问题
5.然而，所公开的技术以通过ecu的追加、或对ecu的功能变更而追加的服务的认证为对象。因此，并未设想针对篡改用于执行服务的平台的攻击、或通过滥用服务而使得执行非法服务的攻击等仅凭服务的认证无法防止的攻击的应对。当然，也可以考虑使每个ecu进行安全引导，但需要保管安全引导用的密码密钥，并且启动时间变长，反而有可能妨碍车辆控制。
6.本技术公开用于解决上述问题的技术，其目的在于，即使受到与车辆控制有关的安全攻击，也能健全地执行车辆控制。用于解决技术问题的技术手段
7.本技术所公开的车载控制系统由控制车载设备的多个控制装置彼此可通信地相连接而构成，所述车载控制系统的特征在于，包括：源信息保管部，该源信息保管部对多个所述控制装置分别健全时的、与用于实现控制功能的程序和所述控制功能中的动作规格中的任一个相关联的源信息进行保管；信息组设定部，该信息组设定部从所述源信息中将以不同的控制装置为对象的信息进行组合，来设定作为函数的自变量来使用的信息组；信息收集部，该信息收集部从所述信息组中作为对象的控制装置中分别收集与所述源信息相对应的当前的信息，以作为当前信息；以及异常检测部，该异常检测部在以所述信息组为自变量而由所述函数计算出的正确答案值、与以对应于所述信息组的所述当前信息为自变量而由所述函数计算出的评价值之间的一致度比基准要低的情况下，对作为所述对象的控制装置的任一个存在异常的情况进行检测。
8.本技术所公开的异常诊断方法是对控制车载设备的多个控制装置彼此可通信地相连接而构成的车载控制系统的异常进行诊断的方法，其特征在于，包括：源信息保管步骤，该源信息保管步骤对多个所述控制装置分别健全时的、与用于实现控制功能的程序和所述控制功能中的动作规格中的任一个相关联的源信息进行保管；信息组设定步骤，该信息组设定步骤从所述源信息中将以不同的控制装置为对象的信息进行组合，来设定作为函数的自变量来使用的信息组；信息收集步骤，该信息收集步骤从所述信息组中作为对象的控制装置中分别收集与所述源信息相对应的当前的信息，以作为当前信息；以及异常检测步骤，该异常检测步骤在以所述信息组为自变量而由所述函数计算出的正确答案值、与以对应于所述信息组的所述当前信息为自变量而由所述函数计算出的评价值之间的一致度比基准要低的情况下，对作为所述对象的控制装置的任一个存在异常的情况进行检测。发明效果
9.根据本技术所公开的车辆控制系统或异常诊断方法，基于多个ecu具有的信息的组合来确认ecu的健全性，因此，即使受到与车辆控制有关的安全攻击，也能健全地执行车辆控制。
附图说明
10.图1是用于说明实施方式1所涉及的车载控制系统的结构的、用于对域ecu及其下位的ecu中分别形成的功能、以及与并列的域ecu等的连接关系进行说明的框图。图2是用于说明实施方式1所涉及的车载控制系统的结构的、用于对搭载于车辆的多个ecu的连接关系进行说明的整体框图。图3是用于说明实施方式1所涉及的车载控制系统的结构的、用于对中央ecu和两个域ecu、以及与下位ecu之间的连接关系进行说明的框图。图4是用于说明构筑实施方式1所涉及的车载控制系统的ecu所具备的程序结构的示意图。图5是用于说明实施方式1所涉及的车载控制系统的动作的流程图。图6是用于说明实施方式1所涉及的车载控制系统的结构的、示出域ecu与下位的ecu之间的数据的收发的示意图。图7是示出实施方式1所涉及的车载控制系统中的、用于有无异常的判断的多个数据的组合(信息组)以及判定结果的示例的表格形式的图。图8是示出执行构成实施方式1所涉及的车载控制系统的各ecu的运算处理的部分的结构例的框图。
具体实施方式
11.实施方式1.图1～图8是用于说明实施方式1所涉及的车载控制系统的结构以及动作的图，图1是用于说明车载控制系统的结构的、用于对中继装置即域ecu和位于其下位且体现单独的控制功能的ecu中分别形成的功能、以及与并列的域ecu的连接关系进行说明的框图。此外，图2是用于说明搭载于车辆的多个ecu的连接关系的整体框图，图3是用于说明多个ecu中、与中央ecu相连的两个域ecu及其下位的ecu之间的基于通信总线的连接关系的框图，图4是
用于说明ecu分别具备的程序结构的示意图。
12.图5是用于说明车载控制系统的动作、即异常诊断方法的流程图。此外，图6是示出域ecu与其下位的ecu之间的数据的收发的示意图，图7是示出为了确定异常ecu而设定的多个数据的组合(信息组)以及判定结果的示例的表格形式的图。此外，图8是示出执行构成车载控制系统的各ecu的运算处理的部分的硬件结构例的框图。
13.进行车辆控制的车载控制系统如背景技术中所述那样，由被称为ecu的多个控制装置分别通过有线或无线与其他ecu或车辆外的通信设备连接而构成。其中，如图2所示，本实施方式1所涉及的车载控制系统以搭载在车辆100内的多个控制装置(ecu)所构成的车载控制系统为例来进行说明。另外，图2所示的车载控制系统实际上也包含未图示的结构，但对于与本实施方式1的说明、特别是异常诊断方法不直接相关的结构省略记载。
14.车辆100内搭载有最上位的中央ecu400a、作为中继装置的域ecu200a～200d、以及连接到域ecu200a～200d的ecu300a～304a、300b～302b、300c～302c、300d～302d。各ecu从中央ecu400a起以树形结构连接，例如，如图3所示，ecup-1～ecup-i通过通信总线p，ecuq-1～ecuq-j通过通信总线q，分别与域ecu200a连接，且能相互通信。
15.此外，作为中继装置发挥功能的域ecu200a～200d例如像域ecu200a和域ecu200b那样，有时不经由中央ecu400a而实施能直接通信的连接。另外，未图示的车辆100也能与位于车辆外的服务器或不同于车辆100的其他车辆进行通信。
16.域ecu200a或域ecu200b是位于车辆的前后左右中央的任一区域的ecu，当配置在车辆左前方的情况下，连接到位于车辆左前方的ecu。此外，域ecu200b也同样地与位于所配置的区域中的ecu相连接。
17.接着，关于赋予各ecu的车辆控制、以及用于应对安全攻击的结构要素的功能和动作，使用图1，以域ecu200a及其正下方的ecu300a为例进行说明。另一方面，其他域ecu200b～200d、ecu301a～304、ecu300b～302b、ecu300c～302c和ecu300d～302d也分别具备与域ecu200a和ecu300a中所说明的同样的功能。因此，在不区分单独的域ecu200a～200d的情况下，统称为域ecu200。此外，在也不单独区分下位的ecu的情况下，将它们汇总并在后面记载为ecu300。此外，在也不区分树形结构的上下关系的情况下，简称为ecu。
18.＜ecu300a＞ecu300a包括：功能保持部320，该功能保持部320对分配给每个ecu300的功能的发挥中所使用的最新的程序dp进行保持；以及主控制部313，该主控制部313发挥控制功能来进行车辆控制。此外，包括：动作管理部312，该动作管理部312对程序dp的功能发挥时的处理时间等进行管理；信息获取部310，该信息获取部310获取与程序dp的结构关联的每个ecu300的单独当前信息dse；以及发送部311，该发送部311将获取到的信息发送给其他ecu。
19.主控制部313基于功能保持部320所保持的程序dp，使分别分配给本ecu300的车辆控制所需的功能体现。例如，在ecu300a是掌控车辆的前照灯的控制的ecu的情况下，主控制部313操作前照灯的开/关、灯光分配等。
20.信息获取部310具有如下功能：获取当前时刻下功能保持部320所保持的最新的程序dp、或对它们进行加工而得的信息，以作为本ecu300的单独当前信息dse。关于程序dp，例如可以是图4所示那样的程序dp的所有结构、或启动、引导、应用中的任一个、或者它们的组合。此外，作为加工后的信息，可以是程序dp的校验和、crc(cyclic redundancy check：循
环冗余校验)、散列、加密后的值、mac(message authentication code：认证用的编码)、数字签名等。
21.动作管理部312具有如下功能：获取从执行程序dp时的规定时刻ta到tb(＞ta)的处理、该处理开始时刻、处理时间、多个处理的序列等与自身ecu中的动作有关的信息(动作信息db)。此外，此时，可以与处理或处理组的时刻、或处理内容相关联，并结合该时刻的车辆状态来进行管理。
22.发送部311具有如下功能：将信息获取部310获取到的自身ecu300的单独当前信息dse、或动作管理部312获取到的自身ecu300中的动作信息db发送到域ecu200a和其他ecu300。
23.＜域ecu200a＞作为中继装置发挥功能的域ecu200a中形成有两个数据库、以及控制用于评价健全性的动作时机并执行运算等的八个功能部(正确答案管理部210～信息组设定部217)。
24.两个数据库中，一个是对后述的正确答案管理部210管理的正确答案信息dc进行保持的正确答案信息数据库220。此外，另一个是将其他ecu300分别在健全时保持的程序dp或其一部分作为恢复用的源信息dso来保持的源信息数据库221。另外，图1中，为了简化，将“数据库”缩写为“db”。
25.结构管理部215将多个其他ecu分别搭载于车辆前的软件或其一部分、或者在车辆运用中更新的软件或其一部分作为备份用的源信息dso来管理。此外，作为后述的正确答案信息dc生成所需的数据，具有如下功能：也一并管理表示与多个ecu的单独当前信息dse、动作信息db分别对应的健全时的状态的信息，并进行向源信息数据库221的保管和读取。
26.信息组设定部217设定信息组，该信息组将后述的正确答案管理部210、信息收集部211、异常确定部216等所需的、健全性的评价中使用的不同的ecu为对象的信息相组合而得。
27.正确答案管理部210具有如下功能：基于与信息组设定部217所设定的不同的ecu300各自的软件结构或动作有关的信息组，对从规定的计算式(基本上，后述的评价函数f)导出的期待值(正确答案信息dc)进行管理。正确答案信息dc根据结构管理部215所管理的源信息dso中、ecu分别搭载于车辆前的软件或设计规格来计算，或根据车辆运用中更新的软件或设计规格来计算。此外，可以将表示对应于动作信息db的健全时的状态的信息(例如，初始值、设计值)数值化，并结合与之相对的允许范围来计算。另外，这些计算可以在域ecu200a内(例如，正确答案管理部210自身)进行，也可以在车外的服务器等中进行后发送到域ecu200a。然而，基本上使用与后述的用于计算评价值ve的评价函数f相同的函数。
28.信息收集部211具有如下功能：当评价健全性时，从其他ecu(特别是ecu300)收集和汇总信息(单独当前信息dse、动作信息db)，并发送到评价值计算部212。
29.异常检测部213具有如下功能：为了确认健全性，判断后述的评价值计算部212计算出的评价值ve是否与正确答案信息dc一致、或进入了规定范围内。
30.评价值计算部212具有如下功能：如式(1)所示，将信息收集部211从信息组设定部217所设定的组合中选定出的组合中、从作为对象的ecu分别接收到的信息输入评价函数f，以计算评价值ve。另外，在不区分单独当前信息dse、动作信息db等信息的种类的情况下，简称为“信息a，信息b，
……”
。此外，在不区分后述的函数等的种类的情况下，也简称为评价函
数f、评价值ve。ve＝f(信息a，信息b，
···
)
ꢀꢀꢀꢀꢀ
(1)
31.这里，在评价函数f中，不仅能设定一种固定的函数，也能根据信息种类，来设定计算种类不同的评价值ve的多种函数。例如，若将提取各ecu所具有的程序的一部分而得的值或以程序的离散值(单独当前信息dse)为自变量的函数设为评价函数f1，则评价函数f1计算用于判定是否与正确答案信息dc相一致的评价值ve1。
32.此外，若将以ecu300的处理的时刻、所需时间、多个处理的序列(动作信息db)为自变量的函数设为评价函数f2，则评价函数f2计算用于判定是否进入了对正确答案信息dc设置的允许范围的评价值ve2。例如，例示出如下情况：对于负责根据道路状况来自动变更灯光分配量或角度的前照灯的控制的ecu300(例如，ecu300a、ecu300b)应用评价函数f2。
33.存在如下系统：当在夜间道路的弯道上行驶、或相向车辆出现时，自动变更本车辆所具备的左右前照灯的灯光分配。本来，左右的前照灯必须根据周围状况在相同定时变更灯光分配，但在程序被篡改的情况下，某个时刻的灯光分配量或角度有可能不同步而不符合设计值。
34.假设这样的情况，在信息组设定部217设定的组合模式中，包含ecu300a和ecu300b各自的、与前照灯的控制有关的动作信息db的组合(信息组)。于是，在域ecu200a中，信息收集部211从ecu300a和ecu300b中获取搭载于车辆左前的前照灯和搭载于车辆右前的前照灯的动作信息db。评价值计算部212按照所设定的信息组，选定例如左右的前照灯各自的处理id、灯光分配量、角度等的组合以作为自变量(信息a，信息b，
……
)，并使用评价函数f2来计算评价值ve2。另外，并不限于来自各ecu300的动作信息db，也可以从车辆100的未图示的控制部获取测定值或控制值(目标值)等。
35.这里，正确答案管理部210读取从正确答案信息数据库220中所保存的以信息a、信息b、
……
为对象的ecu300a和ecu300b的动作信息db中导出的正确答案信息dc。异常检测部213通过判定评价值计算部212计算出的评价值ve2是否进入了读取出的正确答案信息dc的范围(例如，同步中的时间差的范围)内，来判断是否健全。此外，通过将来自另外对摄像头或毫米波雷达等能掌握周围状况的其他设备进行控制的ecu300的信息相结合，也能更高精度地确认前照灯的处理的正当性。
36.即，对于信息组设定部217所设定的组合中至少与动作信息db相关的组合，设定了需要同步的ecu、或序列上与车辆控制中的动作具有关联性的ecu彼此的组合。另一方面，关于与程序dp的结构本身有关的单独当前信息dse，未必需要动作的关联性，但期望通过后述的异常确定部216，来设定能高效地确定异常ecu的组合模式。
37.时机管理部214具有如下功能：管理时刻，以管理对健全性进行确认的定时。例如，若时机管理部214判断为成为规定的定时，则可以开始利用信息收集部211从上述ecu300收集信息。
38.异常确定部216从信息组设定部217所设定的来自多个ecu300的信息组中选择包含检测出异常的信息组中所包含的ecu300在内的不同的多种信息组。然后，具有如下功能：基于根据所选择的信息组计算的评价值ve和正确答案信息dc的比较结果，来确定哪个ecu300为异常。
39.关于将上述功能配置在实际控制车辆设备的各ecu300和作为中继装置的域
ecu200来构筑的车载控制系统的动作、即异常诊断方法，参考图5的流程图来进行说明。
40.首先，正确答案管理部210获取正确答案信息dc，并保管在正确答案信息数据库220中(步骤s100)。此时，如上所述，可以使用源信息数据库221中所保管的源信息dso，利用与评价函数f对应的函数来运算正确答案信息dc，也可以从车辆100的外部获取。此外，在所需的正确答案信息dc受限的情况下，可以预先输出到异常检测部213。
41.若准备了正确答案信息dc。则时机管理部214判断是否成为规定的定时。规定的定时从启动时、行驶时、停车时、电源关闭时等中选择。在成为期待的定时的情况下(步骤s110中“是”)，为了评价健全线而前进到下一步骤s120。否则(步骤s110中“否”)待机，直到成为该定时为止。
42.步骤s120中，从正确答案信息dc中设定将以不同的ecu为对象的信息相组合而得的信息组(步骤s120)。然后，步骤s130中，在所设定的信息组中作为对象的ecu300各自的信息获取部310获取本ecu300的信息(单独当前信息dse、动作信息db)。然后，各ecu300中，发送部311将步骤s130中获取到的信息发送到域ecu200a(步骤s140)。若从各ecu300接受信息，则域ecu200a中，信息收集部211基于接收到的信息中所设定的组合，仅收集在评价值计算部212中使用的信息(步骤s150)。
43.评价值计算部212根据从信息收集部211接受到的信息，选择与信息相对应的评价函数f，计算评价值ve(步骤s160)，并输出到异常检测部213。异常检测部213从正确答案信息数据库220中读取与从评价值计算部212输出的评价值ve对应的正确答案信息dc，并将评价值ve与正确答案信息dc进行比较(步骤s170)。
44.然后，根据评价值ve的种类，确认评价值ve是否与正确答案信息dc一致、或是否进入了正确答案信息dc所示的范围内(步骤s180)。在评价值ve与正确答案信息dc一致、或进入了正确答案信息dc所示的范围内的情况下(步骤s180中“是”)，各ecu300判定为正常，结束健全性的确认流程。然而，对于确定后述的异常ecu时追加设定的信息组，直到异常ecu的确定完成为止，即使该信息组中为正常，也例如附加ng的标志并转移工序，以前进至步骤s200。
45.另一方面，在评价值ve与正确答案信息dc不一致、或位于正确答案信息dc所示的范围外的情况下(步骤s180中“否”)，判定为信息组中作为对象的ecu300中发生了异常。
46.若判定为发生了异常，则确定异常在哪个ecu300中发生(步骤s200)。具体而言，基于所设定的组合模式，对于与首先判定为异常的信息组不同的信息组的ecu300，重新从步骤s130起，开始作为对象的ecu300的信息获取部310的处理。然后，由评价值计算部212导出评价值ve，并确认与正确答案信息dc的一致性。通过重复该操作，来确定哪个ecu300为异常。
47.例如，如图6和图7所示，ecu300中，首先在通过来自ecur-1的信息a和来自ecur-2的信息b的组合为ng的情况下，设为接着用来自ecur-1的信息a和来自ecur-k的信息c的组合来评价，设结果为ok。该情况下，ecur-1和ecur-k均为正常，因此，能确定为剩余的ecur-2中发生了异常。也就是说，在n种ecu与一个信息组相对应的情况下，若至少以n个组合来设定信息组，则能确定异常。
48.由此，当确定完成时(步骤s210中“是”)，对于所确定的异常的ecu300(这里，ecur-2)，结构管理部215从源信息dso中读取对应的程序。然后，发送到ecu300，改写程序(步骤
s300)，并结束健全性的确认流程。另外，此时，用于改写的源信息dso是源信息数据库221中所保管的数据中、ecu300搭载于车辆前的软件或其一部分、车辆运用中更新的ecu300的软件或其一部分。
49.通过如上述那样动作，从而能判断连接到域ecu200a的ecu300的健全性。然后，即使在有异常的情况下，也能确定发生了异常的ecu300，通过将其写回源程序，从而能恢复到健全的状态。
50.此外，根据与对于健全的状态计算出的正确答案信息dc的一致性来对由评价函数f计算出的评价值ve评价健全性，因此，与ecu300单独确认程序或处理的正当性相比，能低成本地确认健全性。特别地，一般情况下，为了由各个ecu确认自身的正当性，考虑由各个ecu300进行安全引导，以确认每个程序没有被篡改。然而，若进行安全引导，则启动时间变长，或必须进行安全引导用的密码密钥的保管。然而，对于程序(单独当前信息dse)，通过以来自多个ecu的信息组为自变量进行评价，从而无需安全密钥，因此也能削减它们所需的成本。
51.此外，一般的安全对策中，即使追加的ecu具备正规的服务，若不能保证是正规的ecu或具备正规的程序，则也能对车辆搭载非法的ecu或程序。其结果是，难以防止对ecu或车辆的不良影响(使ecu非法执行等)。然而，本技术公开的车载控制系统或异常诊断方法中，即使不能保证是否是正规的程序，也能评价健全性，因此能对它们进行检测并实现车辆的正常控制。
52.另外，在域ecu200a启动前预先保管正确答案信息dc的情况下，可以在域ecu200a启动的时刻开始图5中所说明的步骤s120起的处理由此，在车辆刚启动(ecu的启动)后，与行驶中相比可以获取对功能进行检查的时间，因此，能检查更多的ecu、更大范围的程序有无异常。
53.此外，在步骤s120中的信息组的设定处理中，可以优先选择具备动作周期较长的功能的ecu、或仅在特定的事件下启动的发动条件特殊的ecu。例如，为控制仅在紧急时动作的安全气囊的ecu、控制仅在进出车辆时控制的钥匙的ecu、用于etc(electronic toll collection：电子收费系统)的ecu等。这些ecu动作的频度较少，因此很难注意到ecu的异常。此外，由于仅在异常时动作或监视周期较长，因此，优选为ecu检测设备的故障的功能、以及检测或应对安全攻击的安全功能也设为对象。由此，能可靠地判定动作频度较少的ecu是否正常，因此能准确地控制车辆，而不影响便利性。
54.此外，构成上述实施方式1所涉及的车载控制系统的各控制装置(ecu)如图8所示，也可以考虑由包括处理器11和存储装置12的一个硬件10来构成。存储装置12虽未图示，但具备随机存取储存器等易失性存储装置、以及闪存等非易失性的辅助存储装置。此外，也可以具备硬盘这样的辅助存储装置以代替闪存。处理器11执行从存储装置12输入的程序。该情况下，将程序从辅助存储装置经由易失性存储装置输入到处理器11。另外，处理器11可以将运算结果等数据输出至存储装置12的易失性存储装置，也可以经由易失性存储装置将数据保存至辅助存储装置。
55.另外，本技术记载了例示性的实施方式，但实施方式所记载的各种特征、方式及功能并不限于例示的实施方式的适用，能单独或以各种组合适用于实施方式。因此，可以认为未例示的无数变形例也包含在本技术说明书所公开的技术范围内。例如，设为包含有对至
少一个结构要素进行变形的情况、追加的情况或省略的情况。
56.例如，本实施方式中，示出将各控制处理配置在域ecu200a中的示例，但不限于此，只要能实现同样的功能，则也可以与其他域ecu200b或下位的ecu等分担控制处理。此外，对于车辆100的网络结构，也不限于图1所例示的结构。ecu的数量、ecu间的通信线的接线方法也不限于此，可以使用从连接到域ecu200a的多个通信线得到的信息，也可以跨过多个域ecu200来执行这些处理。
57.如上所述，根据本技术的实施方式所涉及的车载控制系统，是由控制车载设备的多个控制装置(ecu)彼此可通信地相连接而构成的车载控制系统，其构成为包括：源信息保管部(源信息数据库221)，该源信息保管部对多个控制装置(ecu)分别健全时的、与用于实现控制功能的程序和控制功能中的动作规格中的任一个相关联的源信息dso进行保管；信息组设定部217，该信息组设定部217从源信息dso中将以不同的控制装置(ecu)为对象的信息进行组合，来设定作为函数(评价函数f)的自变量来使用的信息组；信息收集部211，该信息收集部211从信息组中作为对象的控制装置(ecu)中分别收集与源信息dso相对应的当前的信息，以作为当前信息(单独当前信息dse、动作信息db)；以及异常检测部213，该异常检测部213在以信息组为自变量而由函数(评价函数f)计算出的正确答案值(正确答案信息dc)、与以对应于信息组的当前信息(单独当前信息dse、动作信息db)为自变量而由函数(评价函数f)计算出的评价值ve之间的一致度比基准要低的情况下，对作为对象的控制装置(ecu)的任一个存在异常的情况进行检测，因此，即使受到与车辆控制有关的安全攻击，也能健全地执行车辆控制，而不需要安全引导。
58.此外，若包括异常确定部216，所述异常确定部216在存在异常的情况被检测到时，将所设定的信息组中作为对象的控制装置(ecu)的任一个作为对象，并使信息组设定部217追加设定与所设定的信息组不同的信息组，根据改变了设定的多个信息组中有无异常的组合，来确定存在异常的控制装置(ecu)，则能容易地确定存在异常的ecu。
59.该情况下，若构成为源信息保管部(源信息数据库221)中保管有使多个控制装置(ecu)分别发挥功能的程序结构的全部或一部分，所述车载控制系统包括结构管理部215，所述结构管理部215将确定为存在异常的控制装置(ecu)的程序结构的全部或一部分改写为源信息保管部中所保管的内容，则能容易地使确定出异常的ecu返回原始的正常的状态。
60.当将分类为程序的信息(程序dp或其一部分)进行组合来设定信息组时，若异常检测部213将正确答案值(正确答案信息dc)与评价值ve1相一致的情况作为基准，则能容易地检测程序的改变，而不使用安全密钥。
61.当信息组设定部217选定控制动作彼此关联(同步性、执行顺序关联、同样的动作等)的控制装置(ecu)来作为成为对象的控制装置(ecu)、并将分类为动作规格的信息(动作信息db)进行组合来设定信息组时，若异常检测部213将评价值ve进入了针对正确答案值(正确答案信息dc)所设定的允许范围内的情况作为基准，则能容易地检测程序的改变或异常，而不检查程序自身。
62.特别地，若动作周期越长或动作的发动条件的特殊性越高(例如，紧急时动作的安全气囊用的ecu)，信息组设定部217越是优先选定为成为对象的控制装置，则能检测异常，而不遗漏容易被忽略的ecu。
63.如上所述，根据本技术的实施方式所涉及的异常诊断方法，是对控制车载设备的
多个控制装置(ecu)彼此可通信地相连接而构成的车载控制系统的异常进行诊断的方法，其构成为包括：源信息保管步骤(源信息保管步骤s100)，该源信息保管步骤对多个控制装置(ecu)分别健全时的、与用于实现控制功能的程序和控制功能中的动作规格中的任一个相关联的源信息dso进行保管；信息组设定步骤(步骤s120)，该信息组设定步骤从源信息dso中将以不同的控制装置(ecu)为对象的信息进行组合，来设定作为函数(评价函数f)的自变量来使用的信息组；信息收集步骤(步骤s130～s150)，该信息收集步骤从信息组中作为对象的控制装置(ecu)中分别收集与源信息dso相对应的当前的信息，以作为当前信息(单独当前信息dse、动作信息db)；以及异常检测步骤(步骤s160～s180)，该异常检测步骤在以信息组为自变量而由函数(评价函数f)计算出的正确答案值(正确答案信息dc)、与以对应于信息组的当前信息(单独当前信息dse、动作信息db)为自变量而由函数(评价函数f)计算出的评价值ve之间的一致度比基准要低的情况下，对作为对象的控制装置(ecu)的任一个存在异常的情况进行检测，因此，即使受到与车辆控制有关的安全攻击，也能在健全地执行车辆控制的状态下诊断异常，而不需要安全引导。
64.此外，若包含异常确定步骤(步骤s200～s210)，所述异常确定步骤在存在异常的情况被检测到时，将所设定的信息组中作为对象的控制装置(ecu)的任一个作为对象，并使得在信息组设定步骤(步骤s120)中追加设定与所设定的信息组不同的信息组，根据改变了设定的多个信息组中有无异常的组合，来确定存在异常的控制装置(ecu)，则能容易地确定存在异常的ecu。
65.若构成为在源信息保管步骤(步骤s100，或者车载时或新安装时)中保管有使多个控制装置(ecu)分别发挥功能的程序结构的全部或一部分，异常诊断方法包含结构管理步骤(步骤s300)，所述结构管理步骤将确定为存在异常的控制装置(ecu)的程序结构的全部或一部分改写为源信息保管步骤中所保管的内容，则能容易地使确定出异常的ecu返回原始正常的状态。标号说明
66.100
ꢀꢀ
车辆200
ꢀꢀ
域ecu210
ꢀꢀ
正确答案管理部211
ꢀꢀ
信息收集部212
ꢀꢀ
评价值计算部213
ꢀꢀ
异常检测部214
ꢀꢀ
时机管理部215
ꢀꢀ
结构管理部216
ꢀꢀ
异常确定部217
ꢀꢀ
信息组设定部220
ꢀꢀ
正确答案信息数据库221
ꢀꢀ
源信息数据库(源信息保管部)300
ꢀꢀ
ecu310
ꢀꢀ
信息获取部311
ꢀꢀ
发送部
312
ꢀꢀ
动作管理部313
ꢀꢀ
主控制部320
ꢀꢀ
功能保持部400a 中央ecudb
ꢀꢀꢀ
动作信息(当前信息)dc
ꢀꢀꢀ
正确答案信息(正确答案值)dp
ꢀꢀꢀ
程序dse
ꢀꢀ
单独当前信息(当前信息)dso
ꢀꢀ
源信息f
ꢀꢀꢀꢀ
评价函数(函数)ve
ꢀꢀꢀ
评价值。