电子控制单元和程序的制作方法

1.本发明涉及搭载于车辆的电子控制单元。本发明涉及多个电子控制单元(ecu：electric control unit)被网络连接的车载系统的可靠性。以下，电子控制单元表记为ecu。


背景技术：

2.以往的车载系统为ecu的故障做准备，基于ecu的故障概率将ecu的功能移动到其他的ecu中。由此，假设即便在ecu发生了故障的情况下，也能够由其他的ecu执行已经移动的功能，因此，能够防止功能停止的不良情况。(例如专利文献1)。
3.现有技术文献
4.专利文献
5.专利文献1：日本特开2018-99972号公报


技术实现要素：

6.发明要解决的问题
7.但是，以往的车载系统基于ecu的故障概率，将ecu的功能移动到其他的ecu。
8.因此，在故障概率低而判定为不发生故障的ecu中发生了故障的情况下，可能无法将发生了故障的ecu的功能移动到其他的ecu。此外，即便能够移动功能，在发生了故障的ecu与其他的ecu之间，用于移动功能的通信处理的负担也较大。
9.本发明的目的在于，提供一种在实际上发生了故障这样的异常时能够使车载系统顺利地持续必须的功能的车载系统。
10.用于解决问题的手段
11.本发明的电子控制单元搭载于车辆，
12.所述电子控制单元具备：
13.扩展域部，其基于第1操作系统进行动作，与车外网络连接，在发生异常时能够停止；
14.基本域部，其基于第2操作系统进行动作，与所述扩展域部连接，在发生异常时需要持续进行动作；
15.管理域部，其基于第3操作系统进行动作，在检测到所述扩展域部的所述异常的情况下，停止所述扩展域部的动作；
16.管理程序部，其使所述第1操作系统、所述第2操作系统以及所述第3操作系统进行动作，
17.所述管理域部通过经由所述管理程序部的独立的虚拟网络而与其他电子控制单元中的其他管理域部连接，该其他电子控制单元具有所述其他管理域部和代替所述基本域部的其他基本域部，所述管理域部在检测到所述基本域部的异常的情况下，停止所述基本域部的动作，使所述其他电子控制单元具有的所述其他管理域部开始所述其他基本域部的
动作。
18.发明的效果
19.本发明的电子控制单元具备管理域部。因此，根据本发明的电子控制单元，在实际上发生了故障这样的异常时，能够顺利地持续对车载系统来说必须的功能。
附图说明
20.图1是实施方式1的图且是车载系统100的硬件结构图。
21.图2是实施方式1的图且是车载系统100的软件结构图。
22.图3是实施方式1的图且是车载系统100的软件结构图。
23.图4是实施方式1的图且是示出车载系统100的动作的流程图。
24.图5是实施方式1的图且是示出车载系统100的动作的流程图。
25.图6是实施方式1的图且是示出感染域列表16a的图。
26.图7是实施方式1的图且是示出域结构信息140的图。
27.图8是实施方式2的图且是ecu(a)1的软件结构图。
28.图9是实施方式2的图且是示出车载系统100的动作的流程图。
29.图10是实施方式2的图且是示出车载系统100的动作的流程图。
具体实施方式
30.以下，使用附图对本发明的实施方式进行说明。另外，在各图中针对相同或相当的部分标注相同的标号。在实施方式的说明中，针对相同或相当的部分适当省略或简化说明。另外，在以下的说明中，应用程序表记为应用。
31.(1)在以下的说明中，操作系统表记为os。
32.(2)在以下的说明中，i/o(input/output)装置表记为i/o。
33.(3)在以下的说明中，车载系统100将网络攻击所引起的感染或故障作为异常而进行应对。在以下的说明中，异常是指ecu中的网络攻击所引起的感染或者ecu中的故障，但也可以是其他异常。
34.实施方式1.
35.＊＊＊结构的说明＊＊＊
36.参照图1至图8对实施方式1的车载系统100进行说明。
37.图1是车载系统100的硬件结构图。车载系统100具备多个ecu。多个ecu搭载于车辆。ecu彼此经由车内网络81而连接。在图1中示出车载系统100具备4台ecu的结构。车载系统100具备的多个ecu也可以为2台、3台或者5台以上。以下，将4台ecu区分地表记为ecu(a)1、ecu(b)1、ecu(c)1及ecu(d)1。此外，各ecu经由车外网络88而与外部的系统连接。
38.ecu(a)1、ecu(b)1、ecu(c)1及ecu(d)1是相同的硬件结构。因此，ecu(a)1的说明也适合于ecu(b)1、ecu(c)1及ecu(d)1。在图1中示出ecu(a)1的硬件结构。参照ecu(a)1对ecu的硬件结构进行说明。ecu(a)1具备至少1个cpu(central processing unit：中央处理单元)2a、rom(read only memory：只读存储器)3a、ram(random access memory：随机存取存储器)4a、周边控制器5a、i/o(input/output)装置6a、7a、8a、9a。cpu2a、rom3a、ram4a、周边控制器5a、i/o6a、i/o7a、i/o8a及i/o9a通过总线而连接。
39.rom3a例如是electrically erasable programmable rom(eeprom：可擦可编程只读存储器)或者闪存这样的非易失性存储器。rom3a记录有实现ecu1所提供的功能的应用程序、os的程序及数据。
40.ram4a是易失性存储器，存储用于供cpu2进行处理的程序及数据。
41.周边控制器5a是中断控制器、定时器控制器或者dma(direct memory access：直接存储器存取)控制器这样的装置。
42.i/o6a、7a、8a、9a是general purpose i/o(gpio：通用i/o)、a/d转换电路、d/a转换电路、马达驱动电路、通信接口电路这样的电路。i/o6a与传感器61连接。i/o7a与致动器71连接。i/o8a与ecu(b)1的i/o8b、ecu(c)1的i/o8c、ecu(d)1的i/o8d连接。i/o9a与车外网络88连接。
43.cpu2a读出rom3a和ram4a所存储的程序，基于从传感器61读出的值来实施运算处理，重复进行致动器71的控制这样的处理。传感器61例如是水温传感器、节气门开度传感器。致动器71例如是喷射器和点火器。
44.车内网络81是can(controller area network：控域网)、lin(local interconnect network：局域互连网)、flexray这样的网络。
45.车外网络88例如经由wi-fi、long term evolution(lte：长期演进)或者5g这样的移动通信而与因特网连接。
46.图2和图3示出车载系统100的软件结构。在图2和图3中，用e、f方便地区分了ecu(a)1和ecu(b)1。在图2和图3中示出管理域部(a)10a经由车内网络81而与管理域部(b)10b连接，基本域部(a)20a经由车内网络81而与基本域部(b)20b连接。如后所述，车内网络81是虚拟网络91。
47.如图2所示，管理域部(a)10a、基本域部(a)20a、扩展域部(a)30a及管理程序部40a由cpu2a实现。管理域部(a)10a、基本域部(a)20a、扩展域部(a)30a及管理程序部40a是程序。另外，cpu2a可以由单一的cpu实现，也可以由多个cpu实现。单一的cpu和多个cpu都被称为处理线路。管理域部(a)10a、基本域部(a)20a、扩展域部(a)30a及管理程序部40a的功能由处理线路实现。实现管理域部(a)10a、基本域部(a)20a、扩展域部(a)30a及管理程序部40a的各程序被存储在rom3a和ram4a中。
48.实现管理域部(a)10a、基本域部(a)20a、扩展域部(a)30a及管理程序部40a的各程序可以存储在计算机可读取的记录介质中来提供，也可以作为程序产品来提供。
49.在程序中，管理域部(a)10a相当于管理功能处理，基本域部(a)20a相当于基本功能处理，扩展域部(a)30a相当于扩展功能处理，管理程序部40a相当于管理程序处理。
50.管理程序部40a使作为第1操作系统的os33a、作为第2操作系统的os23a、以及作为第3操作系统的os15a进行动作。管理程序部40a执行管理程序。管理程序也被称为虚拟机监视器，是用于使多个os在ecu(a)1上进行动作的软件。os15a、23a、33a是在管理程序部40a上进行动作的os，例如为linux(注册商标)。
51.管理域部(a)10a通过与管理程序部40a的通信来检测异常。具体如下所述。攻击检测部11a检测是否正在进行网络攻击或者是否进行了网络攻击(网络攻击的有无)。感染范围确定部12a确定通过攻击检测部11a检测到的网络攻击而感染的软件的范围。系统结构部13a对管理域部(a)10a、基本域部(a)20a、扩展域部(a)30a及虚拟网络91、95进行管理，按照
确定出的感染范围来重构系统。结构存储部14a存储域结构信息140，该域结构信息140保持后述的代替基本域部在ecu内的有无。应用(a1)21a、应用(a2)22a在os23a上进行动作，应用(a3)31a、应用(a4)32a在os33a上进行动作，实现用于ecu(a)1的功能。
52.管理域部(a)10a、基本域部(a)20a及扩展域部(a)30a是由管理程序部40a执行的管理程序所管理的虚拟机。
53.管理域部(a)10a基于作为第3操作系统的os15a进行动作，在检测到扩展域部(a)30a的异常的情况下，停止扩展域部(a)的动作。管理域部(a)10a具备攻击检测部11a、感染范围确定部12a、系统结构部13a、结构存储部14a、以及使攻击检测部11a、感染范围确定部12a、系统结构部13a、结构存储部14a进行动作的os15a。
54.基本域部(a)20a基于作为第2操作系统的os23a进行动作，与扩展域部(a)30a连接，在发生异常时需要持续进行动作。基本域部(a)20a具备实现ecu(a)1的功能的应用中的即便受到网络攻击也需要持续进行动作的应用(a1)和应用(a2)、以及使应用(a1)和应用(a2)进行动作的os23a。
55.扩展域部(a)30a基于作为第1操作系统的os33a进行动作，与车外网络88连接，在发生异常时能够停止。扩展域部(a)30a具备实现ecu(a)1的功能的应用中的不包含在基本域部(a)20a中的应用换言之在受到网络攻击的情况下可以停止功能的应用(a3)31a和应用(a4)32a、以及使应用(a3)31a和应用(a4)32a进行动作的os33a。
56.车内网络81使用vlan(virtual local area network：虚拟局域网)这样的技术而实现虚拟化。车内网络81作为逻辑网络即虚拟网络91，仅与需要通信的域部连接。
57.另外，在各个ecu上存在的管理域部彼此通过专用的虚拟网络95而连接。
58.例如，管理域部(a)10a通过经由管理程序部40a的独立的虚拟网络95，与其他的ecu(b)1中的其他的管理域部(b)10b连接，该其他的ecu(b)1具有其他的管理域部(b)10b和代替基本域部(a)20a的其他的基本域部(a)。
59.车外网络88仅与扩展域部(a)30a连接。此外，存在于ecu1上的基本域部(a)20a在ecu(a)1以外的ecu上具有具备相同功能的域部(a)作为代替。将其称为代替基本域部。
60.在通常动作中，代替基本域部以在具有相同功能的基本域部的执行被停止时能够代替这样的状态进行待机。在图3中，示出ecu(b)1具有代替基本域部(a)50b作为具有与ecu(a)1的基本域部(a)20a相同的功能的代替基本域部的情况。具有与基本域部(a)20a相同的功能的代替基本域部由ecu(a)1以外的全部ecu中的至少1台ecu具有即可。
61.＊＊＊动作的说明＊＊＊
62.图4和图5是示出车载系统100的动作的流程图。接着参照图4和图5对车载系统100的动作进行说明。
63.首先，针对发生了网络攻击的情况下的动作进行叙述。在以下的动作的说明中，ecu(a)1的动作步骤相当于控制方法。此外，实现ecu(a)1的动作的程序相当于控制程序。
64.在步骤s101中，攻击检测部11a通过周期性的事件或非周期性的事件从os15a起动，检测有无网络攻击。周期性的事件例如是定时器控制器所产生的中断。非周期性的事件例如是车外网络88与扩展域部(a)30a之间、车外网络88与基本域部(a)20a之间、或者基本域部(a)20a与扩展域部(a)30a之间的数据的收发。攻击检测部11a在检测是否具有网络攻击“所需的数据”存在于基本域部(a)20a或扩展域部(a)30a的情况下，进行以下的处理。攻
击检测部11a通过与经由管理程序部40a的基本域部(a)20a或扩展域部(a)30a的数据通信或者通过参照共享存储器，来参照“所需的数据”。这里，检测是否具有网络攻击“所需的数据”例如是域部彼此的间的通信日志、os23a、os33a、应用(a1)21a、应用(a2)22a、应用(a3)31a或者应用(a4)32a的动作日志。关于使用检测是否具有网络攻击“所需的数据”的基于攻击检测部11a的检测方法，在实施方式1中不提及。
65.在步骤s102中，攻击检测部11a判断是否具有网络攻击。在具有网络攻击的情况下(步骤s102中的“是”)，攻击检测部11a向感染范围确定部12a通知具有网络攻击的检测(步骤s103)。
66.在步骤s104中，感染范围确定部12a通过基本域部(a)20a和扩展域部(a)30a中的网络攻击确定感染。另外，管理域部(a)10a通过独立的专用的虚拟网络95而仅与其他的ecu的管理域部连接。因此，不会从与车外网络88连接的扩展域部(a)30a或者与扩展域部(a)30a连接的基本域部(a)20a受到网络攻击的感染，因此，管理域部(a)10a没有成为感染范围确定部12a的感染范围的检测对象。
67.在步骤s105中，感染范围确定部12a生成已感染的域部的列表即感染域列表16a。
68.图6示出由感染范围确定部12a生成的感染域列表16a。如图6所示，感染域列表16a由域id和与域id对应的有无感染构成。有无感染由0和1表示。在有无感染为0的情况下，表示由对应的域id示出的域部未感染。在有无感染为1的情况下，表示由对应的域id示出的域部已感染。在图6中，域id由3和4示出的域部表示已感染。在确定已感染的范围“所需的数据”存在于基本域部(a)20a或扩展域部(a)30a的情况下，通过与上述的检测是否具有网络攻击“所需的数据”同样的方法，感染范围确定部12a参照确定已感染的范围“所需的数据”，确定感染范围。关于已感染的范围的确定方法，在实施方式1中不提及。
69.在步骤s106中，感染范围确定部12a向系统结构部13a通知感染域列表16a。
70.管理域部(a)10a在检测到基本域部(a)20a的异常的情况下，停止基本域部(a)20a的动作(s107)。然后，在后述的步骤s112中，管理域部(a)10a使其他的管理域部(b)10b开始进行作为其他的基本域部的代替基本域部(a)50b的动作。具体如下所述。
71.在步骤s107中，管理域部(a)10a的系统结构部13a经由管理程序部40a而停止在从感染范围确定部12a通知的感染域列表16a中记述的域部的执行。在感染域列表16a中记述的域部是基本域部(a)20a或扩展域部(a)30a。
72.在步骤s108中，在存在于车载系统100的所有的ecu中共享停止了执行的域部的信息，因此，系统结构部13a通过经由虚拟网络95的域间通信，向其他所有的ecu的系统结构部通知感染域列表16a。另外，如果在感染域列表16a中不包含基本域部(a)20a，则也可以省略感染域列表16a的通知。
73.各ecu的系统结构部13在结构存储部14中存储有域结构信息140。
74.图7示出ecu(b)1具有的域结构信息140。如图7所示，域结构信息140由域id和与域id对应的有无代替构成。有无代替由0和1表示。在有无代替为0的情况下，表示不存在由对应的域id示出的域部的代替域部。在有无代替为1的情况下，表示存在由对应的域id示出的域部的代替域部。图7示出存在由域id为1和2示出的域部的代替域部。在图5中，示出域结构信息140存储在ecu(b)1的结构存储部14b中的状态。
75.在步骤s109中，ecu(b)1的系统结构部13b参照域结构信息140，判断在所通知的感
染域列表16a中是否包含与ecu(b)1具有的代替基本域部(a)50b成对的基本域部(a)20a。
76.在感染域列表16a中包含与代替基本域部(a)50b成对的基本域部(a)20a的情况下(步骤s109中的“是”)，系统结构部13b判断代替基本域部(a)50b是否为执行中(步骤s110)。在系统结构部13b判断为执行中的情况下(步骤s110中的“是”)，系统结构部13b不作任何处理。在系统结构部13b判断为不是执行中的情况下(步骤s110中的“否”)，处理进入步骤s114。另外，步骤s114和步骤s115是选择性的处理，处理也可以从步骤s114进入步骤s112。
77.在感染域列表16a中不包含与代替基本域部(a)50b成对的基本域部(a)20a的情况下(步骤s109中的“否”)，系统结构部13b也判断代替基本域部(a)50b是否为执行中(步骤s111)。
78.在步骤s112中，如果在感染域列表16a中包含与ecu(b)1具有的代替基本域部(a)50b成对的基本域部(a)20a(步骤s109中的“是”)、并且代替基本域部(a)50b不在执行中而在待机中(步骤s110中的“否”)，则系统结构部13b解除代替基本域部(a)50b的待机而执行。
79.在步骤s113中，在感染域列表16a中不包含与代替基本域部(a)50b成对的基本域部(a)20a的情况下，如果代替基本域部(a)50b为执行中(步骤s111中的“是”)，则系统结构部13b将代替基本域部(a)50b再次设为待机状态并停止。系统结构部13b将代替基本域部(a)50b再次设为待机状态是因为代替基本域部(a)50b没有记述在感染域列表16a中。
80.另外，系统结构部13b在步骤s112中解除代替基本域部(a)50b的待机状态而执行之前，也可以将cpu2b的占有率和存储器使用量这样的资源负载作为参考，来判断用于执行代替基本域部(a)50b的资源是否足够(步骤s114)。系统结构部13b在资源足够的情况下，使处理进入步骤s112，在资源不够的情况下，使处理进入步骤s115。
81.在步骤s115中，系统结构部13b也可以停止扩展域部(b)30b。在步骤s115中停止了扩展域部(b)30b的情况下，在步骤s113中将代替基本域部(a)50b设为待机状态之后，系统结构部13b也可以在步骤s118中，重新起动在步骤s115中停止的扩展域部(b)30b。
82.在ecu(a)1和ecu(b)1中，实施与代替了基本域部后的域结构匹配的虚拟网络的连接设定的变更。在ecu(a)1中，在步骤s116中，系统结构部13a实施虚拟网络91的连接设定的变更。在ecu(b)1中，在步骤s117中，系统结构部13b实施虚拟网络91的连接设定的变更。
83.接着，参照图4，来说明所发生的网络攻击停止了的情况下的车载系统100的动作。
84.攻击检测部11a在步骤s102中判断有无网络攻击，在其结果为没有网络攻击的情况下(步骤s102中的“否”)，攻击检测部11a参照上次实施的网络攻击的有无(步骤s119)。攻击检测部11a在上次的结果为具有网络攻击的情况下(步骤s114中的“是”)，根据上次之前的1次或多次检测结果，判断是否高频度地发生了网络攻击(步骤s120)。关于频度是否高，能够通过与所设定的频度的阈值的对比进行判定。攻击检测部11a在检测结果的次数比阈值大的情况下判定为频度高，在检测结果的次数为阈值以下的情况下判定为频度低。
85.在网络攻击的频度高的情况下，处理返回到步骤s101(步骤s120中的“是”)。
86.管理域部(a)10a在扩展域部(a)30a的异常消除的情况下，重新起动扩展域部(a)30a。管理域部(a)10a在基本域部(a)的异常消除的情况下，重新起动基本域部(a)20a。在网络攻击的频度低的情况下，在步骤s121中，攻击检测部11a向系统结构部13a指示重新起动。
87.在步骤s122中，收到重新起动的指示的系统结构部13a重新起动停止中的域部(步骤s122)。这里，停止中的域部是指与车外网络88连接的扩展域部(a)30a或者与扩展域部
(a)30a连接的基本域部(a)20a。另外，系统结构部13a也可以通过重置ecu(a)1，将基本域部(a)20a或扩展域部(a)30a重新起动。此外，在重新起动基本域部(a)20a的情况下，在车载系统100中，为了避免基本域部(a)20a与ecu(b)1的代替基本域部(a)50b同时进行动作，系统结构部13a也可以执行以下的处理。即，系统结构部13a使基本域部的重新起动待机，直至代替基本域部(a)50b停止。系统结构部13a通过基于虚拟网络95与系统结构部13b通信，能够知晓代替基本域部(a)50b是停止还是正在执行。
88.在步骤s108中，系统结构部13a向其他所有的ecu的系统结构部15通知将基本域部(a)20a和扩展域部(a)30a设定为无感染的感染域列表16a。通过经由虚拟网络95的数据通信来发送该通知。系统结构部13a实施与重新起动后的域结构匹配的虚拟网络的连接设定的变更(步骤s116)。同样，在接收到设定为无感染的感染域列表16a的ecu(b)1中，系统结构部13b实施与重新起动后的域结构匹配的虚拟网络的连接设定的变更(步骤s117)。
89.＊＊＊实施方式1的效果＊＊＊
90.(1)系统结构部将受到网络攻击而感染的扩展域部停止(步骤s107)。因此，能够防止从扩展域感染到基本域部这样的感染的连锁。因此，能够使基本域部的动作持续。
91.(2)在网络攻击停止了的情况下，系统结构部重新起动扩展域部(步骤s122)。因此，ecu重新开始扩展域部的动作。
92.(3)在感染至基本域部的情况下，系统结构部停止基本域部(步骤s107)，并且系统结构部发送感染域列表16a，由此，使代替基本域部代替已感染的基本域部的功能。
93.由此，基本域部的动作能够持续。
94.(4)在ecu(a)1中，在网络攻击停止了的情况下，重新起动基本域部(步骤s122)。因此，能够返回到受到网络攻击之前的系统结构而继续进行动作。
95.(5)管理域部彼此之间仅通过独立的虚拟网络95而连接。由此，ecu能够防止从车外网络88侵入的感染。因此，能够防止实现由于网络攻击或故障而代行功能的机制的攻击检测部、感染范围确定部、系统结构部及结构存储部这4个功能在网络攻击中引起动作不良。
96.(6)在ecu发生了故障的情况下，管理程序部向系统结构部通知故障。
97.系统结构部与ecu上的所有的基本域部和扩展域部受到网络攻击而感染时同样地进行处理。由此，即便在ecu发生了故障的情况下，也能够利用其他的ecu来代替基本域部，因此，即便在故障时，也能够持续进行基本域部的动作。
98.(7)管理域部(a)10a在与其他的管理域部之间实施确认是否发生了故障的生存确认。通过系统结构部彼此相互进行生存确认，将无法生存确认的ecu视为发生了故障，能够得到同样的效果。
99.(8)在以往的车载系统中，为故障做准备，预先将ecu的功能的一部分或全部移动到其他的ecu中。然后，在发生了故障的情况下，其他的ecu执行所移动的功能，因此，即便在ecu发生了故障的情况下，功能也不会停止。该以往的方式对于故障是有效的。
100.但是，在以往的方式的情况下，针对网络攻击，只要持续进行网络攻击，则移动到其他的ecu的功能也会再次受到感染。此外，在实现移动功能的机制的功能本身由于网络攻击而引起动作不良的情况下，无法移动功能。
101.与此相对，实施方式1的ecu具备管理域部，因此，能够如该实施方式1的效果的(1)
至(5)所述那样解决以往的车载系统的问题。
102.实施方式2.
103.参照图8至图10对实施方式2的车载系统100进行说明。在实施方式1中，系统结构部将已感染的域部作为对象进行动作。在实施方式2中，在由于感染或故障而变更了系统结构的情况下，根据系统结构来变更基本域部和扩展域部的动作。在后述的步骤s201、步骤s202中，管理域部向管理程序部通知如下的动作变更通知，由此进行动作的变更，该动作变更通知指示扩展域部和基本域部中的至少任意一方的动作变更。管理程序部按照动作变更通知，使扩展域部和基本域部中的至少任意一方变更动作。后述的系统变更通知是动作变更通知。
104.系统结构的变更是指，基本域部的执行开始或执行停止、扩展域部(a)30a的执行开始或执行停止、代替基本域部的执行开始或执行停止。即，系统结构的变更是指，基本域部、扩展域部、代替基本域部中的至少任意一方的执行开始或执行停止。
105.实施方式2的车载系统100的硬件结构图与图1相同。
106.图8示出实施方式2的车载系统100的软件结构中的ecu(a)1的软件结构。在ecu(a)1中，管理程序部40a具备结构变更通知部41a，基本域部(a)20a具备结构变更接受部24a，扩展域部(a)30a具备结构变更接受部34b。图8的ecu(a)1与和图3同样的ecu(b)1连接。ecu(a)1所连接的ecu(b)1与图3的结构相同，因此省略。另外，省略了的ecu(b)1也与实施方式2的ecu(a)1同样地具备结构变更通知部41b、结构变更接受部24b及结构变更接受部34b。ecu(c)1和ecu(d)1也与ecu(b)1同样地具备结构变更通知部、结构变更接受部及结构变更接受部。
107.图9是实施方式2中的ecu(a)1的动作的流程图。图9是在图4的流程图的基础上追加了步骤s201、步骤s203及步骤s205而得到的结构。在图9中，省略了步骤s116之前的步骤。步骤s201是系统结构部13a的动作，步骤s203是结构变更通知部41a的动作，步骤s205是结构变更接受部24a、34a的动作。
108.图10是实施方式2中的ecu(b)1的动作的流程图。图10是在图5的流程图的基础上追加了步骤s202、步骤s204及步骤s206而得到的结构。在图9中，省略了步骤s117之前的步骤。步骤s202是系统结构部13b的动作，步骤s204是结构变更通知部41b的动作，步骤s206是结构变更接受部24b、34b的动作。
109.在图9的步骤s203、步骤s205中，结构变更通知部41a从系统结构部13a接收系统变更通知，基于系统变更通知对基本域部(a)20a、扩展域部(a)30a进行结构变更指示，使它们实施系统变更。基本域部(a)20a的结构变更接受部24a和扩展域部(a)30a的结构变更接受部34a收到来自结构变更通知部41a的结构变更指示，向各应用通知结构变更指示的内容。
110.在图10的步骤s204、步骤s206中，结构变更通知部41b从系统结构部13b接收系统变更通知，基于系统变更通知对基本域部(b)20b、扩展域部(b)30b进行结构变更指示，使它们实施系统变更。基本域部(b)20b的结构变更接受部24b和扩展域部(b)30b的结构变更接受部34b收到自结构变更通知部41b的结构变更指示，向各应用通知结构变更指示的内容。
111.接着，参照图9、图10对实施方式2的车载系统100的动作进行说明。
112.首先，对发生了网络攻击的情况下的动作进行叙述。步骤s101至步骤s118的动作与实施方式1相同。在步骤s116、步骤s117之后，各ecu的系统结构部经由各os或设备驱动
器，使用管理程序调用这样的手段向管理程序部的结构变更通知部通知系统结构被变更了这样的系统变更通知(步骤s201、步骤s202)。系统结构被变更了这样的系统变更通知是使用感染域列表16a通知的、停止了ecu(a)的扩展域部(a)30a这样的信息。
113.结构变更通知部在接收到系统变更通知的情况下，将与系统结构的变更关联的例如应通过结构变更来实施降级运转的域部的应用作为对象，使用虚拟中断这样的手段，向结构变更接受部通知结构变更指示(步骤s203、步骤s204)。
114.在接收到结构变更指示的情况下，结构变更接受部对各应用指示动作变更，使得例如进行降级运转(步骤s205、步骤s206)。
115.接着，对所发生的网络攻击停止了的情况下的动作进行叙述。
116.步骤s102、步骤s119～步骤s122、步骤s108、步骤s116、步骤s109～步骤s115、步骤s117、步骤s118为止的动作与实施方式1相同。
117.在步骤s116、步骤s117之后，各ecu的系统结构部经由各os或设备驱动器，使用管理程序调用这样的手段向管理程序部的结构变更通知部通知系统结构被变更了这样的系统变更通知(步骤s201、步骤s202)。系统结构被变更了这样的系统变更通知是使用感染域列表16a通知的、开始了执行ecu(a)的扩展域部(a)30a这样的信息。
118.结构变更通知部将与系统变更通知关联的例如应通过结构变更来实施通常运转的域部的应用作为对象，使用虚拟中断这样的手段，向结构变更接受部通知结构变更指示(步骤s203、步骤s204)。
119.在接收到结构变更指示的情况下，结构变更接受部对各应用指示动作变更，使得例如进行通常运转(步骤s205、步骤s206)。
120.此外，在感染范围确定部能够不以域部单位而以应用单位确定范围的情况下，能够仅停止执行在域部内由于感染或故障而不再正常进行动作的应用。
121.＊＊＊实施方式2的效果＊＊＊
122.如以上那样，使用管理程序调用和虚拟中断这样的手段，从系统结构部通知系统结构的变更，由此，域部的应用不经由网络就能够知道变更了系统结构。因此，不用冒着安全风险就能够实施降级运转这样的动作变更。
123.标号说明
124.1 ecu(a)、ecu(b)、ecu(c)、ecu(d)，2a cpu，3a rom，4a ram，5a周边控制器，6a、7a、8a、9a i/o，10a管理域部(a)，11a攻击检测部，12a感染范围确定部，13a系统结构部，14a结构存储部，15a os，16a感染域列表，20a基本域部(a)，21a应用(a1)，22a应用(a2)，23a os，24a结构变更接受部，30a扩展域部(a)，31a应用(a3)，32a应用(a4)，33a os，34a结构变更接受部，40a管理程序部，41a结构变更通知部，10b管理域部(b)，11b攻击检测部，12b感染范围确定部，13b系统结构部，14b结构存储部，15b os，20b基本域部(b)，21b应用(b1)，22b应用(b2)，23b os，30b扩展域部(b)，31b应用(b3)，32b应用(b4)，33b os，40b管理程序部，50b代替基本域部(a)，61传感器，71致动器，81车内网络，88车外网络，91、95虚拟网络，100车载系统，140域结构信息。