技術の概要
本技術は、車載システム内の複数ソフトウェア領域を仮想マシンまたはコンテナ単位で分離し、グループ間の通信を第三通信制御部を介してのみ許可する設計です。これにより、片方のグループでの更新や障害が他方へ波及するリスクを抑えつつ、運用コストの低減を図ります。複数のECUにも対応可能です。
ユースケース
- 車載ECU間の安全な分離
- 仮想マシン/コンテナによる領域分離
- 通信監視とルール/ポリシーによる制御
- OTAアップデート時の影響最小化
- 複数ECUを横断するセキュリティ設計
この仕組みでは、車両に搭載された複数のソフトウェア領域を、仮想マシン(VM)またはコンテナごとに分離します。分離された領域は、第1グループと第2グループとして扱われ、各グループの通信は、それぞれの第1通信制御部(A1)と第2通信制御部(A2)で管理します。さらに、第1グループと第2グループ間の直接通信を制限する第3通信制御部(A3)と、監視部(B1)を配置して、グループ間の不正な通信を検知・拒否します。外部接続機能を含む非信頼領域と、車両の安全機能を含む信頼領域を分離することで、外部からの侵入が走行・停止などの安全機能へ波及するのを防ぎます。運用面では、仮想マシンの組み合わせやグループを変更してもコストが過度に増えず、複数のECUを横断する構成にも適用可能です。
本技術は、統合ECU内に仮想化プラットフォームを用いて、複数のソフトウェア領域をVM/コンテナ単位で分離します。領域は第1グループと第2グループに分類され、それぞれに通信を制御する第1通信制御部A1と第2通信制御部A2を設置します。第3通信制御部A3は、第1/第2グループ間の通信を中継し、直接通信を禁止します。監視部B1はアプリケーションレベルで受信を検査し、正常時のみ宛先へ転送します。アーキテクチャ情報には機能一覧・経路・制御部の関係が含まれ、送信元と宛先の信頼度、同一パーティションか異なるか、同一グループか異なるグループか等の条件で転送を決定します。これにより、外部接続領域と安全領域の分離を保ちつつ、跨グループの通信を最小限の経路に絞ることで、セキュリティと運用性の両立を図ります。拡張性として、グループを3つ以上に分割することや、複数ECU間の通信を統合ECU内で安全に制御することが可能です。OTA更新やサードパーティ製アプリの導入時にも、影響を局所化して全体の停止リスクを低減します。
