CN106170953A - 车载网络系统、不正常检测电子控制单元以及不正常检测方法 - Google Patents

Abstract

一种在车载网络系统中使用的不正常检测方法，所述车载网络系统具备在总线上进行消息收发的多个电子控制单元(ECU)和与总线连接的不正常检测ECU，不正常检测ECU具有保存规则信息的存储器，所述规则信息表示与关于向总线上发送的消息的发送有关的规则，在不正常检测方法中，通过不正常检测ECU使用规则信息来判定被发送到总线上的消息是否不正常，在该消息不正常的情况下，发送包含不正常消息的消息标识符的错误消息，通过不正常检测ECU取得从外部的外部装置发送的更新用规则信息，使用更新用规则信息来更新规则信息。

Description

车载网络系统、不正常检测电子控制单元以及不正常检测 方法

技术领域

本公开涉及检测在供电子控制单元进行通信的车载网络中发送的不正常(fraud，非法)帧的技术。

背景技术

近年来，在汽车中的系统内，配置有许多被称为电子控制单元(ECU：ElectronicControl Unit)的装置。连接这些ECU的网络称为车载网络。车载网络存在多种标准。作为其中最主流的车载网络之一，存在由ISO11898-1规定的CAN(Controller Area Network：控制器局域网络)这一标准(参照“非专利文献1”)。

在CAN中，通信路径由两条总线构成，与总线连接的ECU称为节点。与总线连接的各节点收发被称为帧的消息。发送帧的发送节点通过在两条总线上施加电压，并在总线间产生电位差，从而发送被称为隐性(recessive)的值“1”和被称为显性(dominant)的值“0”。多个发送节点在完全相同的定时发送了隐性和显性的情况下，优先发送显性。接收节点在接收到的帧的格式存在异常的情况下，发送被称为错误帧(error frame)的帧。错误帧是通过连续地发送6比特(bit)的显性，从而向发送节点和/或其他接收节点通知帧异常的帧。

另外，在CAN中不存在指示发送目的地或发送源的识别符，发送节点在每帧中附加被称为消息ID的ID并进行发送(即，向总线送出信号)，各接收节点仅接收预先确定的消息ID(即，从总线读取信号)。另外，采用CSMA/CA(Carrier Sense Multiple Access/Collision Avoidance：载波侦听多址访问/冲突避免)方式，在多个节点同时发送时，进行基于消息ID的仲裁(调停)，优先发送消息ID的值小的帧。

另外，以往已知如下技术：在异常消息被发送到了CAN的总线上的情况下网关装置检测出异常消息而不传送给其他总线，由此抑制总线的负荷的上升(参照“专利文献1”)。

现有技术文献

专利文献

专利文献1：日本特开2007-38904号公报

非专利文献

非专利文献1：“CAN Specification 2.0part A”，[online]，CAN in Automation(CiA)，[2014年11月14日检索]，互联网(URL：http：//www.can-cia.org/fileadmin/cia/specifications/CAN20A.pdf)

非专利文献2：RFC2104HMAC：Keyed-Hashing for Message Authentication

发明内容

发明要解决的问题

然而，在车载网络中，存在不正常节点连接到总线且不正常节点不正常地发送帧(消息)，从而导致不正常地控制了车体的可能性，因此为了抑制该情况而需要进行不正常消息的检测。

因此，本公开提供一种在遵循CAN协议等进行通信的车载网络系统中检测向总线上发送了不正常消息这一情况的不正常检测电子控制单元(不正常检测ECU)。另外，本公开提供一种用于检测不正常消息的不正常检测方法以及具备不正常检测ECU的车载网络系统。

用于解决问题的技术方案

为了解决上述问题，本公开的一个技术方案涉及的不正常检测方法，是在车载网络系统中使用的不正常检测方法，所述车载网络系统具备通过经由一条以上总线的通信进行消息收发的多个电子控制单元和与所述总线连接的不正常检测电子控制单元，与所述总线连接的所述不正常检测电子控制单元具有保存规则信息的存储器，所述规则信息表示与关于在该总线上发送的消息的发送有关的规则，所述不正常检测方法包括：与所述总线连接的所述不正常检测电子控制单元使用所述存储器所保存的规则信息，判定被发送到该总线上的消息是否不正常，在该消息不正常的情况下，发送包含不正常的该消息的消息标识符的错误消息，所述不正常检测电子控制单元取得从所述车载网络系统的外部的外部装置发送的更新用规则信息，使用该更新用规则信息来更新所述存储器所保存的所述规则信息。

另外，为了解决上述问题，本公开的一个技术方案涉及的车载网络系统，具备通过经由一条以上总线的通信进行消息收发的多个电子控制单元和与所述总线连接的不正常检测电子控制单元，与所述总线连接的所述不正常检测电子控制单元具备：存储器，其保存表示与关于在该总线上发送的消息的发送有关的规则的规则信息；判定部，其使用所述存储器所保存的规则信息，判定被发送到该总线上的消息是否不正常；发送部，其在由所述判定部判定为消息不正常的情况下，发送包含不正常的该消息的消息标识符的错误消息；以及更新部，其取得从所述车载网络系统的外部的外部装置发送的更新用规则信息，使用该更新用规则信息来更新所述存储器所保存的所述规则信息。

另外，为了解决上述问题，本公开的一个技术方案涉及的不正常检测电子控制单元(不正常检测ECU)，与供通过经由一条以上总线的通信进行消息收发的多个电子控制单元用于通信的总线连接，所述不正常检测电子控制单元具备：存储器，其保存表示与关于向所述总线上发送的消息的发送有关的规则的规则信息；判定部，其使用所述存储器所保存的规则信息，判定被发送到所述总线上的消息是否不正常；发送部，其在由所述判定部判定为消息不正常的情况下，发送包含不正常的该消息的消息标识符的错误消息；以及更新部，其取得从外部的外部装置发送的更新用规则信息，使用该更新用规则信息来更新所述存储器所保存的所述规则信息，所述外部的外部装置未连接于供所述多个电子控制单元用于通信的总线。

发明的效果

根据本公开，能够确定作为判断不正常帧的基准的规则信息并进行更新，因此，当在车载网络系统中不正常节点被连接到总线并发送了不正常消息的情况下能够进行检测该情况。

附图说明

图1是表示实施方式1涉及的车载网络系统的整体结构的图。

图2是表示由CAN协议规定的数据帧的格式的图。

图3是表示由CAN协议规定的错误帧的格式的图。

图4是头单元的构成图。

图5是示出了接收ID列表的一例的图。

图6是网关的构成图。

图7是示出了传送规则的一例的图。

图8是实施方式1涉及的ECU的构成图。

图9是示出了接收ID列表的一例的图。

图10是表示从与发动机连接的ECU发送的帧中的ID以及数据域的一例的图。

图11是表示从与制动器连接的ECU发送的帧中的ID以及数据域的一例的图。

图12是表示从与门开闭传感器连接的ECU发送的帧中的ID以及数据域的一例的图。

图13是表示从与窗开关传感器连接的ECU发送的帧中的ID以及数据域的一例的图。

图14是实施方式1涉及的不正常检测ECU的构成图。

图15是示出了不正常检测ECU所保持的正规ID列表的一例的图。

图16是示出了不正常检测ECU所保持的正规ID列表的一例的图。

图17是表示各个消息ID的不正常检测计数器的状态的一例的图。

图18是表示实施方式1中的不正常帧的检测以及执行阻止所涉及的工作例的时序图。

图19是表示实施方式2涉及的车载网络系统的整体结构的图。

图20是实施方式2涉及的不正常检测ECU的构成图。。

图21是示出了帧规则的一例的图。

图22是表示实施方式2中的错误消息的结构的一例的图。

图23是表示传送规则的一例的图。

图24是表示从与转角传感器连接的ECU发送的帧中的ID以及数据域的一例的图。

图25是表示接收ID列表的一例的图。

图26是表示实施方式2中的不正常帧的检测以及错误消息的发送所涉及的工作例的时序图(后接图27)。

图27是表示实施方式2中的不正常帧的检测以及错误消息的发送所涉及的工作例的时序图(前接图26)。

图28是表示实施方式3涉及的车载网络系统的整体结构的图。

图29是实施方式3涉及的不正常检测ECU的构成图。

图30是示出了错误消息的结构的一例的图。

图31是实施方式3涉及的头单元的构成图。

图32是示出了接收ID列表的一例的图。

图33是示出了传送规则的一例的图。

图34是表示实施方式3中的不正常帧的检测、错误消息的发送以及警告显示等所涉及的工作例的时序图(后接图35)。

图35是表示实施方式3中的不正常帧的检测、错误消息的发送以及警告显示等所涉及的工作例的时序图(前接图34)。

图36是表示实施方式3中的更新用规则信息的发送以及帧规则的更新所涉及的工作例的时序图。

具体实施方式

本公开的一个技术方案涉及的不正常检测方法，是在车载网络系统中使用的不正常检测方法，所述车载网络系统具备通过经由一条以上总线的通信进行消息收发的多个电子控制单元和与所述总线连接的不正常检测电子控制单元，与所述总线连接的所述不正常检测电子控制单元具有保存规则信息的存储器，所述规则信息表示与关于在该总线上发送的消息的发送有关的规则，所述不正常检测方法包括：与所述总线连接的所述不正常检测电子控制单元使用所述存储器所保存的规则信息，判定被发送到该总线上的消息是否不正常，在该消息不正常的情况下，发送包含不正常的该消息的消息标识符的错误消息，所述不正常检测电子控制单元取得从所述车载网络系统的外部的外部装置发送的更新用规则信息，使用该更新用规则信息来更新所述存储器所保存的所述规则信息。此外，在规则信息的一例中，存在与关于反复发送的消息的发送间隔关联的信息(例如表示发送周期、每单位时间的发送次数等的允许范围的信息等)。由此，能够确定作为判断不正常帧的基准的规则信息并进行更新，因此，当在车载网络系统中不正常节点被连接到总线并发送了不正常消息的情况下能够检测该情况。另外，关于车载网络系统中的不正常帧的检测，使得外部装置能进行管理、控制等。另外，能够使得构成接收到错误消息的车载网络系统的各装置来应对不正常(进行警告显示、不处理不正常消息等)。

另外可以，所述多个电子控制单元遵循CAN协议即控制器局域网协议经由所述总线进行通信。由此，在不正常的电子控制单元(ECU)被连接到遵循CAN协议进行通信的车载网络系统并发送了不正常帧的情况下，能够使得不正常检测ECU检测该不正常。

另外可以，所述车载网络系统具备外部通信电子控制单元，该外部通信电子控制单元具有与所述外部装置进行通信的功能，对于由所述不正常检测电子控制单元进行的更新用规则信息的所述取得，通过接收所述外部通信电子控制单元从所述外部装置接收并发送到所述总线上的更新用规则信息来进行。由此，即使在车载网络系统中与外部装置进行通信的装置和不正常检测ECU为单独的结构，也能够适当地更新用于检测不正常帧的规则信息。

另外可以，对于从所述外部装置接收到的更新用规则信息的由所述外部通信电子控制单元进行的所述发送，通过所述外部通信电子控制单元针对该更新用规则信息生成消息认证码、并附加所生成的消息认证码后发送该更新用规则信息来进行。由此，可防止基于不正常的更新用规则信息更新了规则信息。

另外可以，在所述车载网络系统中，在所述多个电子控制单元的通信中使用多条总线，所述车载网络系统具备与互不相同的总线连接的多个不正常检测电子控制单元，所述车载网络系统还具备网关装置，该网关装置具有在所述多条总线之间传送消息的功能，所述网关装置将由所述外部通信电子控制单元发送到所述总线的更新用规则信息传送给与该总线不同的连接有所述不正常检测电子控制单元的一条以上的所述总线，与所述总线连接的所述不正常检测电子控制单元从该总线接收与在该总线上发送的消息相关的规则信息的更新所需的更新用规则信息。由此，在车载网络系统构成为将不正常检测ECU分别连接于多条总线的情况下，仅通过使车载网络系统具有能够与外部装置通信的至少1台装置，各不正常检测ECU就能够更新规则信息。

另外可以，与互不相同的总线连接的所述多个不正常检测电子控制单元分别保存在本不正常检测电子控制单元的存储器中的规则信息，是使在连接有本不正常检测电子控制单元的总线上发送的消息的消息标识符和与关于该消息的发送有关的规则相关联的信息。由此，各不正常检测ECU在不正常帧(消息)被发送到连接有本ECU的总线上的情况下能够检测该情况。

另外可以，与所述总线连接的所述不正常检测电子控制单元保存在所述存储器中的规则信息，是针对在该总线上反复发送的一条以上的消息使消息标识符和与关于由该消息标识符识别的消息的发送周期或每预定单位时间的发送次数有关的规则相关联的信息，与所述总线连接的所述不正常检测电子控制单元，在被发送到该总线上的消息不符合所述存储器所保存的规则信息表示的规则的情况下，判定为该消息不正常。由此，在由不正常ECU不正常地发送了具有与定期发送的消息相同的消息标识符(消息ID)的消息的情况下，能够检测为处于不正常。例如，能够检测重放攻击等以异常的发送周期进行的消息发送。

另外可以，所述不正常检测方法还包括：与所述总线连接的所述不正常检测电子控制单元，在被发送到该总线上的消息的消息标识符未包含于所述存储器所保存的规则信息的情况下，将该消息标识符发送给所述多个电子控制单元中的特定的电子控制单元。由此，不正常检测ECU能够请求特定的ECU(例如头单元等)来进行关于无法判断是否不正常的消息的该判断。

另外可以，与所述总线连接的所述不正常检测电子控制单元，在被发送到该总线上的消息的消息标识符未包含于所述存储器所保存的规则信息的情况下，除了该消息标识符之外还将关于该消息的发送周期的计测结果发送给所述特定的电子控制单元，所述特定的电子控制单元通过接收并使用所述消息标识符以及所述发送周期的计测结果，判定是否不正常地发送了由该消息标识符识别的消息。由此，不正常检测ECU在对消息的发送周期进行了计测之后，能够请求特定的ECU针对该消息来进行是否不正常的判断。

另外可以，与所述总线连接的所述不正常检测电子控制单元，在被发送到该总线上的消息的消息标识符未包含于所述存储器所保存的规则信息的情况下，除了该消息标识符之外还将关于该消息的每预定单位时间的发送次数的计测结果发送给所述特定的电子控制单元，所述特定的电子控制单元通过接收并使用所述消息标识符以及所述发送次数的计测结果，判定是否不正常地发送了由该消息标识符识别的消息。由此，不正常检测ECU在对消息的发送次数进行了计测之后，能够请求特定的ECU针对该消息来进行是否不正常的判断。

另外可以，所述不正常检测方法还包括：所述外部通信电子控制单元接收由所述不正常检测电子控制单元发送的包含不正常消息的消息标识符的错误消息，将包含该消息标识符的信息发送给所述外部装置。由此，能够在外部装置中收集与在车载网络系统中检测到的不正常帧(消息)有关的信息。因此，使得外部装置能够管理车载网络系统的状况。

另外，本公开的一个技术方案涉及的车载网络系统，具备通过经由一条以上总线的通信进行消息收发的多个电子控制单元和与所述总线连接的不正常检测电子控制单元，

与所述总线连接的所述不正常检测电子控制单元具备：存储器，其保存表示与关于在该总线上发送的消息的发送有关的规则的规则信息；判定部，其使用所述存储器所保存的规则信息，判定被发送到该总线上的消息是否不正常；发送部，其在由所述判定部判定为消息不正常的情况下，发送包含不正常的该消息的消息标识符的错误消息；以及更新部，其取得从所述车载网络系统的外部的外部装置发送的更新用规则信息，使用该更新用规则信息来更新所述存储器所保存的所述规则信息。由此，能够确定作为判断不正常帧的基准的规则信息并进行更新，因此，当在车载网络系统中不正常节点被连接到总线并发送了不正常消息的情况下能够检测该情况。

另外，本公开的一个技术方案涉及的不正常检测电子控制单元(不正常检测ECU)，与供通过经由一条以上总线的通信进行消息收发的多个电子控制单元用于通信的总线连接，所述不正常检测电子控制单元具备：存储器，其保存表示与关于向所述总线上发送的消息的发送有关的规则的规则信息；判定部，其使用所述存储器所保存的规则信息，判定被发送到所述总线上的消息是否不正常；发送部，其在由所述判定部判定为消息不正常的情况下，发送包含不正常的该消息的消息标识符的错误消息；以及更新部，其取得从外部的外部装置发送的更新用规则信息，使用该更新用规则信息来更新所述存储器所保存的所述规则信息，所述外部的外部装置未连接于供所述多个电子控制单元用于通信的总线。由此，能够通过外部装置来更新作为判断不正常帧的基准的规则信息，基于规则信息，在车载网络系统中发送了不正常消息的情况下能够检测该情况。

此外，这些总括性或具体的技术方案既可以通过系统、方法、集成电路、计算机程序或者计算机可读取的CD-ROM等记录介质来实现，也可以通过系统、方法、集成电路、计算机程序和记录介质的任意组合来实现。

以下，参照附图对实施方式涉及的车载网络系统、不正常检测ECU等进行说明。在此所示的实施方式均表示本公开的一个具体例子。因此，以下的实施方式中示出的数值、形状、材料、构成要素、构成要素的配置以及连接方式、步骤(工序)以及步骤的顺序等是一个例子，并不是限定本公开。关于以下的实施方式中的构成要素中的未记载在独立权利要求中的构成要素，是能够任意附加的构成要素。另外，各图是示意图，不一定是严格图示。

(实施方式1)

以下，作为本公开的实施方式，使用附图对包含不正常检测ECU的车载网络系统10进行说明，所述不正常检测ECU实现用于使用消息ID来阻止在其他节点(ECU)中执行基于不正常帧的处理的不正常应对方法。

[1.1车载网络系统10的整体结构]

图1是表示实施方式1涉及的车载网络系统10的整体结构的图。车载网络系统10是遵循CAN协议进行通信的网络通信系统的一例，是搭载有控制装置、传感器等各种设备的汽车中的网络通信系统。车载网络系统10构成为包括：总线500a、500b、不正常检测ECU100a、100b、头单元200、网关300、以及与各种设备连接的ECU400a～400d等ECU这种连接于总线的各节点。此外，尽管在图1中进行了省略，但车载网络系统10除了ECU400a～400d以外还可以包括很多ECU，但在此为了方便而着眼于ECU400a～400d来说明。ECU例如是包括处理器(微处理器)、存储器等的数字电路、模拟电路、通信线路等的装置。存储器是ROM、RAM等，能够存储由处理器执行的控制程序(计算机程序)。例如通过处理器按照控制程序(计算机程序)进行工作，由此ECU会实现各种功能。此外，计算机程序是为了实现预定的功能而组合多个表示对处理器的指令的命令代码而构成的。在此，以有可能会在总线500a、500b上连接有发送不正常帧的不正常ECU为前提来进行说明。

不正常检测ECU100a、100b分别连接于总线500a、总线500b，是具有判定由ECU400a～400d等发送的帧是否不正常，如果不正常则发送错误帧的功能的ECU。

ECU400a～400d与任一条总线连接，另外，ECU400a～400d分别连接于发动机401、制动器402、门开闭传感器403、窗开关传感器404。ECU400a～400d分别取得所连接的设备(发动机401等)的状态，定期地向网络(即总线)发送表示状态的帧(后述的数据帧)等。

网关300与连接不正常检测ECU100a、ECU400a以及ECU400b的总线500a、连接不正常检测ECU100b、ECU400c以及ECU400d的总线500b、和连接头单元200的总线500c连接，具有将从各条总线接收到的帧传送给其他总线的功能。另外，也能够按所连接的各总线间来切换是否传送所接收到的帧。网关300也是一种ECU。

头单元200具有如下功能：接收帧的功能，具有接收从ECU400a～400d发送的帧，将各种状态显示于显示器(未图示)，并提示给用户。头单元200也是一种ECU。

在该车载网络系统10中，各ECU遵循CAN协议进行帧的收发。CAN协议的帧有数据帧、远程帧、过载帧以及错误帧。为了便于说明，首先以数据帧以及错误帧为中心来说明。

[1.2数据帧格式]

以下，对作为在遵循CAN协议的网络中使用的帧之一的数据帧进行说明。

图2是表示由CAN协议规定的数据帧的格式的图。该图示出了由CAN协议规定的标准ID格式的数据帧。数据帧由SOF(Start Of Frame，帧起始)、ID域(field)、RTR(RemoteTransmission Request，远程发送请求)、IDE(Identifier Extension，标识符扩展)、预约位“r”、DLC(Data Length Code，数据长度码)、数据域、CRC(Cyclic Redundancy Check，循环冗余校验)时序、CRC定界符“DEL”、ACK(Acknowledgement，应答)间隙(slot)、ACK定界符“DEL”、以及EOF(End Of Frame，帧结束)的各域构成。

SOF由1比特的显性构成。总线空闲的状态成为隐性，通过由SOF变更为显性，通知帧的发送开始。

ID域是由11比特构成的保存表示数据种类的值即ID(消息ID)的域。在多个节点同时开始了发送的情况下，为了通过该ID域进行通信仲裁，设计成使具有ID小的值的帧具有高优先级。

RTR是用于识别数据帧和远程帧的值，在数据帧中由1比特的显性构成。

IDE和“r”两方都由1比特的显性构成。

DLC由4比特构成，是表示数据域的长度的值。此外，将IDE、“r”以及DLC一起称为控制域。

数据域是最大64由比特构成的表示要发送的数据的内容的值。能够按每8比特来调整长度。所发送的数据的规格不在CAN协议中规定，而在车载网络系统10中确定。因此，为取决于车型、制造者(制造商)等的规格。

CRC序列由15比特构成。根据SOF、ID域、控制域以及数据域的发送值来算出。

CRC定界符是由1比特的隐性构成的表示CRC序列的结束的分隔符号。此外，将CRC序列和CRC定界符一起称为CRC域。

ACK间隙由1比特构成。发送节点将ACK间隙设为隐性并进行发送。如果到CRC序列为止能够正常接收，则接收节点将ACK间隙设为显性并发送。由于显性比隐性优先，因此，如果在发送后ACK间隙为显性，则发送节点能够确认某一个接收节点接收成功。

ACK定界符由1比特的隐性构成，是表示ACK的结束的分隔符号。

EOF由7比特的隐性构成，表示数据帧的结束。

[1.3错误帧格式]

图3是表示由CAN协议规定的错误帧的格式的图。错误帧包括错误标志(初级)、错误标志(次级)和错误定界符。

错误标志(初级)为了向其他节点通知错误的产生而使用。检测到错误的节点为了向其他节点通知错误的产生而连续发送6比特的显性。该发送违反CAN协议的位填充(bitstuffing)规则(不连续发送6比特以上的相同值)，引起来自其他节点的错误帧(次级)的发送。

错误标志(次级)由为了向其他节点通知错误的产生而使用的连续的6比特的显性构成。接收到错误标志(初级)而检测到违反了位填充规则的全部节点会发送错误标志(次级)。

错误定界符“DEL”是8比特的连续的隐性，表示错误帧的结束。

[1.4头单元200的结构]

头单元(head unit)200例如设置于汽车的仪表板(instrument panel)等，是具备显示用于供驾驶员视觉辨认的信息的液晶显示器(LCD：liquid crystal display)等显示装置、受理驾驶员的操作的输入单元等的一种ECU。

图4是头单元200的构成图。头单元200构成为包括帧收发部270、帧解释部260、接收ID判断部240、接收ID列表保持部250、帧处理部220、显示控制部210和帧生成部230。这些各构成要素是功能性的构成要素，该各功能通过头单元200中的通信线路、LCD、执行存储器所保存的控制程序的处理器或数字电路等实现。

帧收发部270相对于总线500c收发遵循CAN协议的帧。从总线500c逐比特地接收帧，并传送给帧解释部260。另外，将从帧生成部230收到通知的帧的内容逐比特地发送到总线500c。

帧解释部260从帧收发部270接收帧的值，并进行解释以使得向由CAN协议规定的帧格式的各域进行映射。帧解释部260将判断为ID域的值传送给接收ID判断部240。帧解释部260根据从接收ID判断部240通知的判定结果，决定是将ID域的值和ID域之后出现的数据域传送给帧处理部220还是在收到该判定结果之后中止帧的接收(即中止作为该帧的解释)。另外，帧解释部260例如在CRC的值不符或设为显性固定的项目却为隐性等判断为是未遵循CAN协议的帧的情况下，向帧生成部230进行通知，以使得发送错误帧。另外，帧解释部260在接收到错误帧的情况下，即在根据所接收到的帧的值而解释为成为错误帧的情况下，自此之后丢弃该帧，即中止帧的解释。例如在从数据帧的中途起解释为错误帧的情况下，中止该数据帧的解释，不会再根据该数据帧来进行特别的处理。

接收ID判断部240接收从帧解释部260通知的ID域的值，按照接收ID列表保持部250保持的消息ID的列表，进行是否接收该ID域之后的帧的各域的判定。接收ID判断部240将该判定结果通知给帧解释部260。

接收ID列表保持部250保持头单元200接收的ID(消息ID)的列表即接收ID列表。图5是示出了接收ID列表的一例的图。头单元200从与发动机401连接的ECU400a接收消息ID为“1”的帧(消息)，从与制动器402连接的ECU400b接收消息ID为“2”的帧，从与门开闭传感器403连接的ECU400c接收消息ID为“3”的帧，从与窗开关传感器404连接的ECU400d接收消息ID为“4”的帧。

帧处理部220基于所接收到的帧的内容(例如消息ID以及数据域的内容)，形成例如应显示于LCD的图像，并通知给显示控制部210。此外，帧处理部220也可以保持所接收到的数据域的内容，根据经由输入单元受理的驾驶员的操作，选择应显示于LCD的图像(例如车速显示用的图像、窗开闭状态显示用的图像等)来进行通知。

显示控制部210将从帧处理部220收到了通知的内容显示于LCD等。

帧生成部230按照来自帧解释部260的指示错误帧发送的通知，构成错误帧，将错误帧通知给帧收发部270并使其发送该错误帧。

[1.5接收ID列表例1]

图5是表示在头单元200、网关300、ECU400c以及ECU400d各自中保持的接收ID列表的一例的图。该图所例示的接收ID列表用于选择性地接收包含ID(消息ID)的值为“1”、“2”、“3”和“4”的某一个的消息ID的帧并进行处理。例如，若在头单元200的接收ID列表保持部250中保持有图5的接收ID列表，则关于消息ID不为“1”、“2”、“3”和“4”的任一个的帧，中止帧解释部260中的ID域以后的帧的解释。

[1.6网关300的结构]

图6是网关300的构成图。网关300构成为包括帧收发部360、帧解释部350、接收ID判断部330、接收ID列表保持部340、帧生成部320、传送处理部310和传送规则保持部370。这些各构成要素是功能性的构成要素，该各功能通过网关300中的通信线路、执行存储器所保存的控制程序的处理器或数字电路等来实现。

帧收发部360相对于总线500a、500b、500c分别收发遵循CAN协议的帧。从总线逐比特地接收帧，并传送给帧解释部350。另外，基于从帧生成部320收到了通知的表示传送目的地的总线的总线信息以及帧，将该帧的内容逐比特地发送到总线500a、500b、500c。

帧解释部350从帧收发部360接收帧的值，进行解释以使得向由CAN协议规定的帧格式的各域进行映射。判断为ID域的值被传送给接收ID判断部330。帧解释部350根据从接收ID判断部330通知的判定结果，决定是将ID域的值和ID域之后出现的数据域(数据)传送给传送处理部310还是在收到该判定结果之后中止帧的接收(即中止作为该帧的解释)。另外，帧解释部350在判断为是未遵循CAN协议的帧的情况下，向帧生成部320进行通知，以使得发送错误帧。另外，帧解释部350在接收到错误帧的情况下，即在根据所接收到的帧的值而解释为成为错误帧的情况下，自此之后丢弃该帧，即中止帧的解释。

接收ID判断部330接收从帧解释部350通知的ID域的值，按照接收ID列表保持部340保持的消息ID的列表，进行是否接收该ID域之后的帧的各域的判定。接收ID判断部330将该判定结果通知给帧解释部350。

接收ID列表保持部340保持网关300接收的ID(消息ID)的列表即接收ID列表(参照图5)。

传送处理部310按照传送规则保持部370保持的传送规则，根据接收到的帧的消息ID，决定要传送的总线，将表示要传送的总线的总线信息、从帧解释部350通知的消息ID和数据通知给帧生成部320。此外，网关300不将从某总线接收到的错误帧传送到其他总线。

传送规则保持部370保持表示各条总线的关于帧传送的规则的信息即传送规则。图7是示出了传送规则的一例的图。

帧生成部320按照从帧解释部350通知的指示错误帧发送的通知，构成错误帧，将错误帧通知给帧收发部360并使其发送该错误帧。另外，帧生成部320使用从传送处理部310通知的消息ID和数据来构成帧，将帧以及总线信息通知给帧收发部360。

[1.7传送规则例]

图7表示网关300保有的传送规则的一例。该传送规则使传送源的总线、传送目的地的总线和传送对象的ID(消息ID)相关联。图7中的“*”表示不管消息ID如何都进行帧的传送这一情况。另外，该图中的“-”表示没有传送对象的帧这一情况。该图的例子示出了从总线500a接收的帧被设定成不管消息ID如何都向总线500b以及总线500c进行传送。另外，示出了从总线500b接收的帧被设定为向总线500c传送全部帧，而向总线500a仅传送消息ID为“3”的帧。另外，示出了从总线500c接收的帧被设定为既不向总线500a也不向总线500b进行传送。

[1.8ECU400a的结构]

图8是ECU400a的构成图。ECU400a构成为包括帧收发部460、帧解释部450、接收ID判断部430、接收ID列表保持部440、帧处理部410、帧生成部420和数据取得部470。这些各构成要素是功能性的构成要素，该各功能通过ECU400a中的通信线路、执行存储器所保存的控制程序的处理器或数字电路等来实现。

帧收发部460相对于总线500a收发遵循CAN协议的帧。从总线500a逐比特地接收帧，传送给帧解释部450。另外，将从帧生成部420收到了通知的帧的内容发送到总线500a。

帧解释部450从帧收发部460接收帧的值，进行解释以使得向由CAN协议规定的帧格式的各域进行映射。ID域和判断出的值被传送给接收ID判断部430。帧解释部450根据从接收ID判断部430通知的判定结果，决定是将ID域的值和ID域之后出现的数据域传送给帧处理部410还是在收到该判定结果之后中止帧的接收(即中止作为该帧的解释)。另外，帧解释部450在判断为是未遵循CAN协议的帧的情况下，向帧生成部420进行通知，以使得发送错误帧。另外，帧解释部450在接收到错误帧的情况下，即在根据所接收到的帧的值而解释为成为错误帧的情况下，自此之后丢弃该帧，即中止帧的解释。

接收ID判断部430接收从帧解释部450通知的ID域的值，按照接收ID列表保持部440保持的消息ID的列表，进行是否接收该ID域之后的帧的各域的判定。接收ID判断部430将该判定结果通知给帧解释部450。

接收ID列表保持部440保存ECU400a接收的ID(消息ID)的列表即接收ID列表。图9是示出了接收ID列表的一例的图。

帧处理部410根据接收到的帧的数据，按每个ECU进行与不同的功能相关的处理。例如，与发动机401连接的ECU400a具备在时速超过了30km的状态下门开着的状态时鸣响警报声的功能。ECU400a具有例如用于鸣响警报声的扬声器等。并且，ECU400a的帧处理部410管理从其他ECU接收到的数据(例如表示门的状态的信息)，基于从发动机401取得的时速来进行在一定条件下鸣响警报声的处理等。

数据取得部470取得表示与ECU连接的设备、传感器等的状态的数据，并通知给帧生成部420。

帧生成部420按照从帧解释部450通知的指示错误帧的发送的通知，构成错误帧，将错误帧通知给帧收发部460并使其发送该错误帧。另外，帧生成部420对从数据取得部470通知的数据的值附加预先确定的消息ID来构成帧，并通知给帧收发部460。

此外，ECU400b～400d也具备与上述的ECU400a基本上同样的构成。但是，接收ID列表保持部440所保持的接收ID列表可能会成为按各个ECU而不同的内容。ECU400b保存图9所例示的接收ID列表，ECU400c以及ECU400d保存图5所例示的接收ID列表。另外，帧处理部410的处理内容按各个ECU而不同。例如，ECU400c中的帧处理部410的处理内容包括与在未施加制动的状况下打开门时鸣响警报声的功能相关的处理。例如，ECU400b以及ECU400d中的帧处理部410不进行特别的处理。此外，各ECU也可以具备在此例示的功能以外的功能。此外，关于ECU400a～400d分别发送的帧的内容，在后面使用图10～图13进行说明。

[1.9接收ID列表例2]

图9是表示在ECU400a和ECU400b的各ECU中保持的接收ID列表的一例的图。该图所例示的接收ID列表用于选择性地接收包含ID(消息ID)的值为“1”、“2”和“3”的某一个的消息ID的帧并进行处理。例如，若在ECU400a的接收ID列表保持部440中保持有图9的接收ID列表，则关于消息ID不为“1”、“2”和“3”的任一个的帧，中止帧解释部450中的ID域之后的帧的解释。

[1.10与发动机相关的ECU400a的发送帧例]

图10是表示从与发动机401连接的ECU400a发送的帧的ID(消息ID)以及数据域(数据)的一例的图。ECU400a发送的帧的消息ID为“1”。数据表示时速(km/小时)，取最低0(km/小时)～最高180(km/小时)的范围内的值，数据长度为1个字节。从图10的上面的行向下面的行例示了与从ECU400a逐次发送的各帧对应的各消息ID以及数据，示出了从0km/小时起每次加速1km/小时的情形。

[1.11与制动器相关的ECU400b的发送帧例]

图11是表示从与制动器402连接的ECU400b发送的帧的ID(消息ID)以及数据域(数据)的一例的图。ECU400b发送的帧的消息ID为“2”。数据以比例(％)的方式表示制动的施加情况，数据长度为1个字节。对于该比例，将完全没有施加制动的状态设为0(％)，将最大限度地施加制动的状态设为100(％)。从图11的上面的行向下面的行例示了与从ECU400b逐次发送的各帧对应的各消息ID以及数据，示出了从100％逐渐减弱制动的情形。

[1.12与门开闭传感器相关的ECU400c的发送帧例]

图12是表示从与门开闭传感器403连接的ECU400c发送的帧的ID(消息ID)以及数据域(数据)的一例的图。ECU400c发送的帧的消息ID为“3”。数据表示门的开关状态，数据长度为1个字节。对于数据的值，开着门的状态为“1”，关着门的状态为“0”。从图12的上面的行向下面的行例示了与从ECU400c逐次发送的各帧对应的各消息ID以及数据，示出了从开着门的状态逐渐向关闭的状态转变的情形。

[1.13与窗开关传感器相关的ECU400d的发送帧例]

图13是表示从与窗开关传感器404连接的ECU400d发送的帧的ID(消息ID)以及数据域(数据)的一例的图。ECU400d发送的帧的消息ID为“4”。数据以比例(％)的方式表示窗的开关状态，数据长度为1个字节。对于该比例，将窗完全关着的状态设为0(％)，将窗完全开着的状态设为100(％)。从图13的上面的行向下面的行例示了与从ECU400d逐次发送的各帧对应的各消息ID以及数据，示出了从关着窗的状态逐渐打开的情形。

[1.14不正常检测ECU100a的结构]

图14是不正常检测ECU100a的构成图。不正常检测ECU100a构成为包括帧收发部160、帧解释部150、不正常帧检测部130、正规ID列表保持部120、不正常检测计数器保持部110和帧生成部140。这些各构成要素是功能性的构成要素，该各功能通过不正常检测ECU100a中的通信线路、执行存储器所保存的控制程序的处理器或数字电路等来实现。此外，不正常检测ECU100b也具有基本上同样的构成，但正规ID列表保持部120保持的列表信息(正规ID列表)的内容按不正常检测ECU100a和不正常检测ECU100b而不同。

帧收发部160相对于总线500a收发遵循CAN协议的帧。即，帧收发部160在总线上的帧的发送开始了的情况下接收帧，也就是说作为接收部进行工作，另外，向总线发送错误帧等，也就是说作为发送部进行工作。即，帧收发部160从总线500a逐比特地接收帧，并传送给帧解释部150。另外，将从帧生成部140收到了通知的帧的内容发送到总线500a。

帧解释部150从帧收发部160接收帧的值，进行解释以使得向由CAN协议规定的帧格式的各域进行映射。ID域和判断出的值被传送给不正常帧检测部130。另外，帧解释部150在判断为是未遵循CAN协议的帧的情况下，向帧生成部140进行通知，以使得发送错误帧。另外，帧解释部150在接收到错误帧的情况下，即在根据所接收到的帧的值而解释为成为错误帧的情况下，自此之后丢弃该帧，即中止帧的解释。

不正常帧检测部130接收从帧解释部150通知的ID域的值，判定ID域的值是否符合表示不正常的预定条件。即，不正常帧检测部130判定所接收到的帧的预定域的内容是否符合表示不正常的预定条件，也即作为判定部发挥功能。该表示不正常的预定条件是ID域的值未记载在正规ID列表保持部120保持的消息ID的列表中这一条件。即，按照正规ID列表保持部120保持的消息ID的列表，进行所通知的ID域的值(消息ID)是否不正常的判定。在接收到未记载在该列表(即后述的正规ID列表)中的消息ID的情况下，为了使不正常的检测次数增加，将所接收到的消息ID通知给不正常检测计数器保持部110。另外，在接收到未记载在正规ID列表中的消息ID的情况下，为了发送错误帧而向帧生成部140进行通知。另外，在不正常的检测次数达到了一定次数以上的情况下，从不正常检测计数器保持部110接收通知，并向帧生成部140进行通知，以使得发送表示存在发布该消息ID的不正常ECU这一情况的示错消息(帧)。示错消息的消息ID被预先确定，头单元200接收该消息ID的消息(帧)并进行示错。关于该示错消息，方便起见省略说明，但示错消息的消息ID登记在网关300以及头单元200保持的接收ID列表以及后述的正规ID列表中。但是，在图15、图16中省略了关于示错消息的消息ID。

正规ID列表保持部120保持对在车载网络系统10中会在总线500a上发送的帧所包含的消息ID进行了预先规定的列表即正规ID列表(参照图15、图16)。

不正常检测计数器保持部110保持有用于按各个消息ID对检测次数进行计数的不正常检测计数器，当从不正常帧检测部130通知了消息ID时，使相应的不正常检测计数器增加(increment)。在不正常检测计数器达到了一定数(预定次数)以上的情况下，向不正常帧检测部130通知超过了一定数这一情况。在此所说的一定数(预定次数)的一例是与CAN协议中的发送错误计数器的处理规则对应而确定的值。在CAN协议中，ECU每次由于错误帧而阻止发送时，发送错误计数器都计数增加8。并且，规定为：如果作为其结果是发送节点中的发送错误计数器计数增加到128，则发送节点转变到消极(passive)状态而不再进行帧发送。因此，如果将比128/8(＝16)大的17设定为该一定数，则成为：在推定为存在忽略了CAN协议中的发送错误计数器所涉及的规则的发送节点(不正常ECU)的情况下，从不正常检测ECU100a发送示错消息。此外，在发送不正常帧的不正常ECU遵循CAN协议中的发送错误计数器所涉及的规则的情况下，通过由不正常检测ECU100a进行的错误帧的发送，不正常ECU的发送错误计数器增加8。该情况下，当通过反复进行不正常帧的发送从而不正常ECU的发送错误计数器上升到128时，不正常ECU会转变到消极状态，停止由不正常ECU进行的不正常帧的发送。

帧生成部140按照从帧解释部150通知的指示错误帧的发送的通知，构成错误帧，将错误帧通知给帧收发部160并使其发送该错误帧。另外，帧生成部140按照从不正常帧检测部130通知的指示错误帧的发送的通知，构成错误帧，将错误帧通知给帧收发部160并使其发送该错误帧。进而，帧生成部140按照从不正常帧检测部130通知的指示示错消息的发送的通知，将示错消息通知给帧收发部160并使其发送该示错消息。

[1.15不正常检测ECU100a的正规ID列表例]

图15是示出了在不正常检测ECU100a的正规ID列表保持部120中保持的正规ID列表的一例的图。该图所例示的正规ID列表示出了包含ID(消息ID)的值为“1”、“2”和“3”的任一个的消息ID的帧能够在总线500a上流动这一情况。

[1.16不正常检测ECU100b的正规ID列表例]

图16是示出了在不正常检测ECU100b的正规ID列表保持部120中保持的正规ID列表的一例的图。该图所例示的正规ID列表示出了包含ID(消息ID)的值为“1”、“2”、“3”和“4”的任一个的消息ID的帧能够在总线500b上流动这一情况。

[1.17不正常检测计数器保存列表例]

图17是表示各个消息ID的不正常检测计数器的状态的一例的图。该图的例子示出了仅消息ID为“4”的不正常检测计数器检测到一次不正常，关于其他的消息ID则一次都没有检测到。即，该例子示出了如下情况：不正常检测ECU100a检测到一次发送了本来不应该在总线500a上流动的消息ID“4”的消息(帧)，使与该消息ID“4”对应的不正常检测计数器增加一。

[1.18与不正常帧的检测相关的时序]

以下，关于在具备上述结构的车载网络系统10的总线500a上连接有不正常ECU的情况，对与总线500a连接的不正常检测ECU100a、ECU400a、ECU400b、网关300等的工作进行说明。

图18是表示不正常检测ECU100a检测到不正常帧(消息)，并阻止由其他ECU进行应对该不正常帧的处理的工作例的时序图。在该图中，示出了不正常ECU向总线500a发送消息ID为“4”且数据域(数据)为“255(0xFF)”的数据帧的情况下的例子。在此的各时序意味着各种装置中的各处理步骤。

首先，不正常ECU开始消息ID为“4”且数据为“255(0xFF)”的数据帧的发送(时序S1001)。构成帧的各比特的值按照上述的数据帧格式，按SOF、ID域(消息ID)这样的顺序逐次被送出到总线500a上。

在不正常ECU向总线500a送完了到ID域(消息ID)为止的数据时，不正常检测ECU100a、ECU400a、ECU400b以及网关300分别接收消息ID(时序S1002)。

ECU400a、ECU400b以及网关300分别使用所保持的接收ID列表来检查消息ID(时序S1003)。此时，不正常检测ECU100a使用所保持的正规ID列表来检查消息ID(时序S1004)。即，不正常检测ECU100a判定被发送来的帧中的ID域的内容是否符合表示不正常的预定条件(未登记在正规ID列表中)。

在时序S1003中，ECU400a以及ECU400b由于分别保持的接收ID列表中不包含“4”(参照图9)，所以结束接收。也即是，不再进行不正常ECU继续发送的帧的解释，不再进行应对帧的处理。另外，在时序S1003中，网关300由于所保持的接收ID列表中包含“4”(参照图5)，所以继续接收。另外，在时序S1004中，不正常检测ECU100a由于所保持的正规ID列表中包含“4”，所以判断为是不正常的消息ID，接着开始错误帧的发布准备(时序S1005)。

接着时序S1003，网关300继续帧的接收。例如，在不正常检测ECU100a正在进行错误帧的发布准备的期间，从不正常ECU向总线500a上逐次送出ID域之后的部分即RTR、控制域(IDE，r，DLC)，接着逐比特地送出数据域。网关300接收该RTR、控制域(IDE，r，DLC)，接着开始数据域的接收(时序S1006)。

接着，错误帧的发布准备结束，不正常检测ECU100a发送错误帧(时序S1007)。该错误帧的发送在不正常帧的最末尾被发送之前(例如CRC序列的最末尾被发送之前等)进行。在该工作例中，在数据域的中途进行。通过开始该错误帧的发送，在总线500a中从不正常ECU正在发送的帧的数据域的中途部分会被错误帧(优先的显性的位串)覆写。

接收到在时序S1007中发送的错误帧的网关300，在数据域的接收中途中止不正常ECU发送出的帧的接收(时序S1008)。也即，网关300因为来自不正常ECU的数据域被错误帧覆写而检测到错误帧，所以不继续不正常ECU发送出的帧的接收。

不正常检测ECU100a使成为发送错误帧的对象的数据帧的消息ID“4”所对应的不正常检测计数器增加(时序S1009)。

在作为增加后的结果是与消息ID“4”对应的不正常检测计数器达到了17以上的情况下，不正常检测ECU100a发送通知示错的帧(示错消息)，以使得被头单元200接收(时序S1010)。作为其结果，由头单元200的帧处理部220进行用于示错的处理，经由LCD等报告错误。此外，错误的报告除了通过向LCD等进行显示之外，还可以通过声音输出、发光等来进行。

[1.19实施方式1的效果]

实施方式1中示出的不正常检测ECU，使用正规ID列表对帧的ID域判定所发送来的帧(数据帧)是否为不正常帧。由此，能够根据数据帧中的ID域来对不正常进行判定，因此，能够阻止在既有的节点(即不正常检测ECU以及不正常ECU以外的ECU)中对不正常帧进行解释而执行应对该帧的处理。另外，仅通过接收到数据帧的继开头的SOF之后的ID域为止就能够进行判定，因此与接收数据帧的后部等来进行判定的情况相比，能够抑制总线的通信量。

另外，不正常检测ECU使用不正常检测计数器对发送了错误帧的次数进行计数，由此，如果通过接收错误帧而发送不正常的消息ID的节点中的发送错误计数器遵循CAN协议，则能够对达到应该转变到消极状态的上限值这一情况进行检测。由此，能够判定发送不正常的消息ID的节点是否遵照了CAN协议的错误计数器的规格。

另外，通过将进行不正常帧的判定的节点仅设为不正常检测ECU，能够将对既有的网络结构的影响抑制为最小限度，能够抑制系统整体的处理量、电力消耗量。

(实施方式2)

以下，作为本公开的实施方式，对包含下述不正常检测ECU的车载网络系统11进行说明，所述不正常检测ECU实现用于使用与按各个消息ID确定的帧的发送相关的规则来检测不正常帧的不正常检测方法。

[2.1车载网络系统11的整体结构]

图19是表示实施方式2涉及的车载网络系统11的整体结构的图。车载网络系统11是对实施方式1中示出的车载网络系统10的一部分进行了变形而得到的。

车载网络系统11构成为包括不正常检测ECU2100a～2100c、头单元200、网关300、300a以及与各种设备连接的ECU400a～400e等这种连接于总线的各节点。车载网络系统11的构成要素中的具有与实施方式1同样功能的构成要素，标注相同标号而省略说明。ECU400e连接于总线500d并与角部传感器(corner sensor)405连接，具备与实施方式1中示出的ECU400a～400d同样的结构。另外，ECU400e取得角部传感器405的状态，定期地将表示状态的数据帧发送到总线500d。另外，网关300将总线500a～500c之间连结，网关300a将总线500b和总线500d之间连结。不正常检测ECU2100a、2100b、2100c是对实施方式1中示出的不正常检测ECU100a进行了变形而得到的，分别连接于总线500a、500b、500d。不正常检测ECU2100a～2100c是具有如下功能的ECU：判定由ECU400a～400e等发送的帧是否不正常，如果不正常则发送用于通知错误的数据帧即错误消息。

[2.2不正常检测ECU2100c的结构]

图20是不正常检测ECU2100c的构成图。不正常检测ECU2100c构成为包括帧收发部160、帧解释部150、不正常帧检测部2130、帧生成部140、时间计测部2110和帧规则保持部2120。这些各构成要素是功能性的构成要素，该各功能通过不正常检测ECU2100c中的通信线路、执行存储器所保存的控制程序的处理器或数字电路等来实现。不正常检测ECU2100c是对实施方式1中示出的不正常检测ECU100a的一部分进行了变形而得到的，对于具有与实施方式1同样功能的构成要素，标注相同标号而省略说明。

时间计测部2110具有如下功能：当从不正常帧检测部2130收到所接收到的帧(消息)的消息ID的通知时，对从上次接收到该消息ID而收到通知时起到本次收到通知时为止经过的时间(计测时间)进行通知。时间计测部2110使用与各个消息ID对应的计时器(计时机构)，当收到消息ID的通知时停止对应的计时器，将计测时间通知给不正常帧检测部2130，将计时器复位而再次开始计时器的时间计测。此外，时间计测部2110在收到了消息ID的通知的情况下针对该消息ID是初次的通知时无法进行从上次接收起的经过时间的计测，因此进行特别的处理。此时，时间计测部2110例如将零值的时间通知给不正常帧检测部2130，开始与该消息ID对应的计时器的时间计测。

帧规则保持部2120在存储器等存储介质中保持有与帧的发送有关的规则信息即帧规则。此外，该帧是遵循CAN协议发送的帧。在不正常检测ECU2100c中的帧规则保持部2120中，保持有关于能够向与不正常检测ECU2100c连接的总线500d上发送的帧的帧规则。图21是示出了帧规则的一例的图。帧规则例如是使帧的消息ID与该帧的发送周期相关联的信息，在该图的例子中，示出与总线500d连接的ECU400e发送的帧的消息ID“5”和20～30msec这一发送周期。根据该帧规则，表示消息ID为“5”的帧在发送周期为20msec以上且30msec以下的范围内被发送，未按照该帧规则发送的帧将会被检测为不正常帧。也就是说，在发送了不符合帧规则的帧的情况下，被判断为发送了不正常帧。

不正常帧检测部2130是对实施方式1中示出的不正常帧检测部130进行了变形而得到的，具有如下功能：接收从帧解释部150接收到的帧的消息ID，判定该帧是否是被不正常地发送的帧。即，不正常帧检测部2130使用由帧规则保持部2120保持的帧规则来判定被发送到总线上的帧(消息)是否不正常，也即作为判定部发挥功能。具体而言，不正常帧检测部2130在从帧解释部150接收到ID域的ID(消息ID)时，向时间计测部2110通知消息ID。不正常帧检测部2130在从时间计测部2110取得计测时间时，参照帧规则保持部2120保持的帧规则，验证计测时间是否符合帧规则。在计测时间偏离了发送周期的范围的情况下，不正常帧检测部2130判断为发送了不正常帧。但是，在因为没有上次接收而无法计测发送周期的情况(例如从该时间计测部2110取得了零值的时间的情况)下，作为例外，不判断为发送了不正常帧。在判定为发送了不正常帧的情况下，不正常帧检测部2130请求帧生成部140发送将该帧的消息ID包含于数据帧的数据域而得到的错误消息。帧生成部140在被请求发送错误消息时生成错误消息，经由帧收发部160发送该错误消息。因此，帧收发部160向总线发送错误消息等，也即作为发送部发挥功能。此外，不正常帧检测部2130针对被判定为不正常的帧，使得时间计测部2110将该帧的接收定时除外来进行时间计测，由此，即使在检测到不正常之后，也能够以上次的正常的帧为基准，继续正确地判断之后接收到的帧的发送周期是否适当。

图22是示出了不正常检测ECU2100c的帧生成部140生成的错误消息的构成的一例的图。如该图所例示的那样，错误消息是对ID域设定预先确定为错误消息用的ID值“2047(0x7FF)”，并使数据域包含被检测为不正常的帧的消息ID的数据帧。

不正常检测ECU2100a、2100b也具有与不正常检测ECU2100c基本上同样的构成。但是，针对帧规则保持部2120保持的帧规则，成为与能够向连接该不正常检测ECU的总线上发送的帧对应的内容。即，与互不相同的总线连接的多个不正常检测ECU各自保存在本不正常检测ECU的存储器等中的帧规则，成为使在连接有本不正常检测ECU的总线上发送的帧的消息ID和与关于该消息的发送有关的规则(发送周期的范围等)相关联的内容。此外，也可以采用如下方式：由各不正常检测ECU保持确定了关于能够向车载网络系统11的任一条总线上发送的各帧的发送周期的综合的帧规则。

[2.3网关300a的传送规则例]

网关300a具备与实施方式1中示出的网关300同样的构成(参照图6)。但是，网关300a的接收ID列表保持部340所保持的接收ID列表以及传送规则保持部370所保持的传送规则，成为与连接有网关300a的总线500b、500d对应的内容。

图23是示出了网关300a保有的传送规则的一例的图。该图的例子示出从总线500b接收的帧被设定为不管消息ID如何都被传送到总线500d。另外，示出被设定为从总线500d接收的帧中的、仅消息ID为“5”的帧和消息ID为“2047”的帧(错误消息)被传送到总线500b。

[2.4与角部传感器相关的ECU400e的发送帧例]

图24是示出从与角部传感器405连接的ECU400e发送的帧中的ID(消息ID)以及数据域(数据)的一例的图。ECU400e发送的帧的消息ID为“5”。数据长度为一个字节，关于数据的值，如果角部传感器405检测到在距车辆的角部一定距离范围内存在障碍物则为“1”，如果未检测到障碍物则为“0”。从图24的上面的行向下面的行例示了与从ECU400e定期地发送的各帧对应的各消息ID以及数据，示出了从在车辆的角部未检测到障碍物的状态逐渐向检测到障碍物的状态转变的情形。

[2.5接收ID列表例]

图25是示出在具备与ECU400a(参照图8)同样结构的ECU400e中保持于接收ID列表保持部440的接收ID列表的一例的图。该图所示的接收ID列表被用于供ECU400e选择性地接收包含消息ID的值为“5”或“2047”的消息ID的帧的处理。该情况下，在ECU400e的帧解释部450中，针对消息ID不为“5”或“2047”的帧，中止ID域之后的帧的解释。

[2.6与不正常帧的检测相关的时序]

以下，对在具备上述结构的车载网络系统11的总线500d上连接有不正常ECU的情况下的、与总线500d连接的不正常检测ECU2100c、ECU400e、网关300a等的工作进行说明。

图26以及图27是表示不正常检测ECU2100c检测不正常帧(消息)并发送错误消息的工作例的时序图。在此的各时序是指各装置中的各处理步骤。

ECU400e从角部传感器405取得传感器状态(时序S2001)。

接着，ECU400e将所取得的传感器状态包含于数据域而生成以消息ID为“5”的数据帧(消息)，并向总线500d发送(时序S2002)。ECU400e按一定时间间隔反复进行时序S2001以及S2002(时序S2003)。根据该一定时间间隔(例如25msec)，ECU400e的发送数据帧的发送周期成为符合图21所示的帧规则的周期。

与总线500d连接的不正常检测ECU2100c接收ECU400e发送的数据帧(消息)的消息ID(时序S2004)。

不正常检测ECU2100c确认消息的接收周期(即发送周期)是否处于由帧规则(参照图21)确定的发送周期的范围，判断是否存在异常(范围外)(时序S2005)。如果不存在异常，则不正常检测ECU2100c不进行错误消息的发送，按向总线500d发送消息，反复进行时序S2004、S2005的步骤。即，在从ECU400e按符合帧规则的发送周期反复发送数据帧的期间，不正常检测ECU2100c通过时序S2005的判断而判定为消息的周期没有异常。此外，虽然在图26中省略了图示，但与总线500d连接的网关300a将ECU400e发送的消息ID为“5”的数据帧传送给总线500b。

在此，设为在某个定时不正常ECU发送了消息ID“5”的数据帧(时序S2002a)。不正常ECU发送与ECU400e按一定周期发送的消息ID“5”相同的消息ID的数据帧，但在与ECU400e的发送周期无关的定时进行该发送。

当不正常ECU发送了数据帧时，不正常检测ECU2100c接收到该消息ID(时序S2004)，基于帧规则来确认发送周期，判断为该周期存在异常(时序S2005)。此外，由不正常ECU进行的数据帧的发送，与ECU400e的发送周期无关，因此，存在周期比由帧规则确定的发送周期的范围短的充分可能性。

当判定为周期存在异常时，不正常检测ECU2100c向总线500d发送数据域中包含消息ID为“5”的错误消息(时序S2006)。

当接收到错误消息时，网关300a向其他总线传送错误消息(时序S2007)。其结果是，在与其他总线连接的ECU中，也能够应对消息ID为“5”的不正常的数据帧的发送。例如，使得网关300在总线间传送错误消息，头单元200接收到错误消息，在显示器等显示发生错误，将与错误有关的日志记录于存储介质等。另外，例如，接收到错误消息的ECU存储由错误消息的数据域表示的消息ID，以使得也可以不利用该消息ID的消息的方式根据需要来执行预先确定的处理，另外，在此之后接收到该消息ID的消息的情况下不处理该消息。

[2.7实施方式2的效果]

实施方式2中示出的不正常检测ECU使用表示帧的发送周期的帧规则来判定所发送的帧是否为不正常帧。由此，即使数据帧中的ID域与正规的数据帧相同，也使得能够检测(判别)不正常帧。另外，通过使用帧规则，即使是根据帧的内容(ID域以及数据域)无法与正常帧区分的帧，也能够对不正常帧进行判别，能够阻止反射攻击(replay attack，重放攻击)等的影响。此外，因为不正常检测ECU在检测到不正常帧时发送表示该不正常帧的消息ID的错误消息，所以其他ECU能够基于错误消息来应对不正常帧。因此，具备该不正常检测ECU的车载网络系统不容易被不正常地控制。另外，通过将进行不正常帧的判定的节点仅设为不正常检测ECU，能够将对既有的车载网络结构的影响抑制为最小限度，能够抑制系统整体的处理量、电力消耗量。

(实施方式3)

以下，作为本公开的实施方式，对包含如下的不正常检测ECU的车载网络系统12进行说明，所述不正常检测ECU实现用于使用与车外的装置(外部装置)联合更新的帧规则来检测不正常帧的不正常检测方法。

[3.1车载网络系统12的整体结构]

图28是示出实施方式3涉及的车载网络系统12的整体结构的图。车载网络系统12是对实施方式2中示出的车载网络系统11的一部分进行了变形而得到的。

车载网络系统12构成为包括不正常检测ECU3100a～3100c、头单元3200、网关3300，3300a、以及与各种设备连接的ECU400a～400e等这种与总线连接的各节点。对于车载网络系统12的构成要素中的具有与实施方式1或实施方式2中示出的构成要素同样功能的构成要素，标注相同标号而省略说明。头单元3200是对实施方式1中示出的头单元200进行了局部变形而得到的，如图28所示，能够经由外部网络550与服务器600等外部装置进行通信。不正常检测ECU3100a～3100c是对实施方式2中示出的不正常检测ECU2100a～2100c进行了局部变形而得到的，分别与总线500a、500b、500d连接。网关3300、3300a是对实施方式2中示出的网关300、300a进行了局部变形而得到的。

在图28中，将搭载有车载网络系统12的车辆仅示出了1台，但可以是多台车辆分别搭载车载网络系统12。

服务器600是具有如下功能的计算机：为了管理在1台以上的各车辆中搭载的车载网络系统12，通过通信与各车载网络系统12进行联合。服务器600具有：收集与由车载网络系统12检测到的不正常帧的发送有关的信息的功能、发送用于更新车载网络系统12所使用的帧规则的更新用规则信息的功能等。更新用规则信息例如通过服务器600的操作者进行输入，另外，对于由服务器600进行的更新用规则信息的发送，例如在向操作者指示的定时执行。更新用规则信息例如是用于覆写地替换帧规则或者用于追加到帧规则中的信息，例如，与帧规则(参照图21)同样地，是使帧的消息ID与该帧的发送周期相关联的信息。

[3.2不正常检测ECU3100c的结构]

图29是不正常检测ECU3100c的构成图。不正常检测ECU3100c除了与实施方式2中示出的不正常检测ECU2100c相同的功能之外，还具有在发送错误消息时附加消息认证码(MAC：Message Authentication Code)进行发送的功能、经由头单元3200取得来自服务器600的更新用规则信息并更新帧规则的功能等。为了实现这些功能，不正常检测ECU3100c构成为包括帧收发部160、帧解释部150、不正常帧检测部3130、帧生成部140、时间计测部2110、帧规则保持部2120、MAC密钥保持部3120、MAC生成部3110和更新部3121。这些各构成要素是功能性的构成要素，该各功能通过不正常检测ECU3100c中的通信线路、执行存储器所保存的控制程序的处理器或数字电路等来实现。对于不正常检测ECU3100c的构成要素中的具有与实施方式2中示出的不正常检测ECU2100c同样功能的构成要素，标注相同标号而省略说明。

MAC生成部3110具有如下功能：使用由MAC密钥保持部3120保持的MAC密钥，基于不正常帧检测部3130的请求来生成MAC。作为MAC的生成方法，存在HMAC(Hash-based MessageAuthentication Code，基于散列运算的消息认证码)(参照非专利文献2)等。例如，将如下的4个字节设为MAC，所述4个字节是针对从不正常帧检测部3130传送的不正常帧的消息ID，以进行填充直到预定的块量(例如4个字节)而得到的值，使用MAC密钥通过HMAC进行计算而得到的结果的开头4个字节。

MAC密钥保持部3120保持为了生成MAC所需要的MAC密钥。头单元3200也保持有与该MAC密钥保持部3120保持的MAC密钥相同的MAC密钥。

不正常帧检测部3130是对实施方式2中示出的不正常帧检测部2130的一部分进行了变形而得到的。不正常帧检测部3130具有如下功能：接收从帧解释部150接收到的帧的消息ID，判定该帧是否为被不正常地发送的帧。即，不正常帧检测部3130在从帧解释部150接收到消息ID时，向时间计测部2110通知消息ID。不正常帧检测部3130在从时间计测部2110取得计测时间时，参照帧规则保持部2120保持的帧规则，验证计测时间是否符合帧规则。在计测时间偏离了由帧规则确定的发送周期的范围(作为规则所允许的范围)的情况下，不正常帧检测部3130判断为发送了不正常帧。但是，在因为没有上次接收而无法计测发送周期的情况(例如从时间计测部2110取得了零值的时间的情况)下，作为例外，不判断为发送了不正常帧。在判定为发送了不正常帧的情况下，不正常帧检测部3130传送不正常帧的消息ID并请求MAC生成部3110基于该消息ID生成MAC。并且，接收由MAC生成部3110生成的MAC，请求帧生成部140发送以不正常帧的消息ID和对应的MAC为数据帧的数据域的错误消息。帧生成部140在被请求发送错误消息时生成错误消息，经由帧收发部160发送该错误消息。此外，不正常帧检测部3130针对被判定为不正常的帧，使得时间计测部2110将该帧的接收定时除外来进行时间计测，由此，即使在检测到不正常之后，也能够以上次的正常的帧为基准，继续正确地判断之后接收到的帧的发送周期是否适当。

图30是示出了不正常检测ECU3100c的帧生成部140生成的错误消息的构成的一例的图。如该图所例示的那样，错误消息是对ID域设定预先确定为错误消息用的ID值“2046(0x7FE)”，并使数据域包含被检测为不正常的帧的消息ID和与该消息ID对应而生成的MAC的数据帧。

上述的MAC生成部3110还具有如下功能：使用由MAC密钥保持部3120保持的MAC密钥，基于更新部3121的请求来生成MAC。

更新部3121具有如下功能：从包含更新用规则信息的数据帧(称为“更新数据帧”。)提取更新用规则信息，使用该更新用规则信息来更新帧规则保持部2120所保持的帧规则。更新用规则信息是头单元3200从服务器600接收的信息。此外，头单元3200发送以更新用规则信息和对该更新用规则信息例如使用HMAC计算出的结果即MAC为数据域的内容而得到的更新数据帧，不正常检测ECU3100c经由网关3300、3300a接收该数据帧。更新数据帧的ID值例如被预先确定为“2045(0x7FD)”。更新部3121在包含更新用规则信息以及MAC的数据帧被帧收发部160接收到的情况下，从帧解释部150接收该更新用规则信息以及MAC，验证MAC。也就是说，更新部3121将更新用规则信息传送给MAC生成部3110来请求生成MAC，判定所生成的MAC是否与从帧解释部150接收到的MAC一致，由此对更新用规则信息的MAC进行验证。在通过MAC一致而验证成功时，更新部3121按照预先确定的步骤，使用更新用规则信息来更新帧规则。作为该步骤的一例，列举将更新用规则信息覆写于帧规则而重新成为帧规则的步骤、将更新用规则信息追加到帧规则的步骤等。此外，头单元3200也可以将更新用规则信息分割成多个更新数据帧来发送，在接收侧对从多个更新数据帧提取出的更新用规则信息进行合并来利用。

此外，不正常检测ECU3100a、3100b也具备与不正常检测ECU3100c同样的结构。关于各不正常检测ECU的帧规则保持部2120保持的帧规则，成为包含与能够向连接该不正常检测ECU的总线上发送的帧对应的内容的帧规则。也可以由各不正常检测ECU保持确定了关于能够向车载网络系统11的任一条总线上发送的各帧的发送周期的综合的帧规则。

[3.3头单元3200的结构]

头单元3200除了与实施方式1中示出的头单元200相同的功能之外，还具有：从服务器600取得更新用规则信息并发送包含对更新用规则信息附加有MAC而得到的信息的更新数据帧的功能、接收错误消息并将包含错误消息表示的不正常帧的消息ID在内的信息传送给服务器600的功能等。为了实现这些功能，头单元3200包含图31所示的各构成要素。

图31是头单元3200的构成图。头单元3200构成为包括显示控制部210、帧处理部220、帧生成部230、接收ID判断部240、接收ID列表保持部250、帧解释部260、帧收发部270、MAC生成部3210、MAC密钥保持部3220、不正常ID列表保持部3230、不正常帧检测部3240、服务器通信部3250和更新处理部3260。这些各构成要素是功能性的构成要素，该各功能通过头单元3200中的通信线路、执行存储器所保存的控制程序的处理器或数字电路等来实现。对于头单元3200的构成要素中的具有与实施方式1中示出的头单元200同样功能的构成要素，标注相同标号而适当省略说明。

接收ID列表保持部250保持头单元3200接收的消息ID的列表即接收ID列表。图32是示出了头单元3200中的接收ID列表的一例的图。如该图所示，在接收ID列表中包含从不正常检测ECU发送的错误消息的ID值“2046(0x7FE)”。

帧解释部260从帧收发部270接收帧的值，进行解释以使得向由CAN协议规定的帧格式下的各域进行映射。帧解释部260向接收ID判断部240传送被判断为ID域的值。帧解释部260根据从接收ID判断部240通知的判定结果，决定是将ID域的值和ID域之后出现的数据域传送给帧处理部220还是在收到该判定结果之后中止帧的接收。此外，在ID域的值为“2046”的情况(接收到错误消息的情况)下，帧解释部260将该ID域的值和数据域传送给不正常帧检测部3240。

MAC生成部3210使用MAC密钥保持部3220保持的MAC密钥，基于不正常帧检测部3240的请求来生成MAC。该MAC的生成方式与不正常检测ECU3100c等中的MAC生成部3110相同。例如，MAC生成部3210将如下的4个字节设为MAC，所述4个字节是针对从不正常帧检测部3240传送的不正常帧的消息ID，以进行填充直到预定的块量而得到的值，使用MAC密钥通过HMAC进行计算而得到的结果的开头4个字节。

MAC密钥保持部3220保持为了生成MAC所需要的MAC密钥。如上所述，不正常检测ECU3100c等也保持有与MAC密钥保持部3220保持的MAC密钥相同的MAC密钥。此外，在车载网络系统12中各不正常检测ECU保持的MAC密钥可以全都相同，也可以个别地不同。此外，在各不正常检测ECU保持的MAC密钥个别地不同的情况下，头单元3200的MAC密钥保持部3220保持该个别地不同的全部MAC密钥。

不正常ID列表保持部3230具有如下功能：从不正常帧检测部3240接收不正常帧的消息ID的通知并将该消息ID记录于存储器等存储介质进行保持。

不正常帧检测部3240在从帧解释部260接收到错误消息的消息ID以及数据域的值时，为了验证错误消息是否是正常的错误消息，传送数据域内的消息ID并请求MAC生成部3210生成MAC。当从MAC生成部接收到MAC时，与数据域内的MAC的值进行比较。两个MAC一致，是指错误消息是正常(正当)的错误消息这一情况的验证成功。在验证成功了的情况下，不正常帧检测部3240使错误消息的数据域内的消息ID(即不正常帧的消息ID)保持于不正常ID列表保持部3230。另外，在错误消息是正常的错误消息这一情况的验证成功了的情况下，请求显示控制部210进行表示发生错误的警告显示。显示控制部210在接收到警告显示的请求的情况下，在显示器显示警告(例如表示发生错误的字符串、图像等)。另外，不正常帧检测部3240经由服务器通信部3250将表示不正常帧的消息ID的信息发送给服务器。

服务器通信部3250具有经由外部网络550与服务器600通信的功能。

上述的MAC生成部3210还具有如下功能：使用由MAC密钥保持部3220保持的MAC密钥，基于更新处理部3260的请求来生成MAC。该MAC的生成方式也与不正常检测ECU3100c等中的MAC生成部3110相同。例如，MAC生成部3210将如下的4个字节设为MAC，所述4个字节是针对从更新处理部3260传送的更新用规则信息的一部分(例如开头2个字节等)，以进行填充直到预定的块量而得到的值，使用MAC密钥通过HMAC进行计算而得到的结果的开头4个字节。

更新处理部3260具有如下功能：在通过服务器通信部3250从服务器600接收到更新用规则信息的情况下，传送该更新用规则信息并使MAC生成部3210生成MAC，使帧生成部230生成以更新用规则信息以及该MAC为数据域的内容而得到的更新数据帧并进行发送。

[3.4网关3300a的传送规则例]

网关3300a具备与实施方式1中示出的网关300同样的结构(参照图6)。但是，网关3300a的接收ID列表保持部340所保持的接收ID列表以及传送规则保持部370所保持的传送规则，成为与连接有网关3300a的总线500b、500d对应的内容。

图33是示出了网关3300a保有的传送规则的一例的图。该图的例子示出从总线500b接收的帧被设定为不管消息ID如何都被传送到总线500d。由此，例如从头单元3200发送的包含更新用规则信息的更新数据帧将会从总线500b通过网关3300a传送到总线500d，并传递到不正常检测ECU3100c。另外，图33的例子示出设定为从总线500d接收的帧中的、仅消息ID为“5”的帧和消息ID为“2046”的帧(错误消息)被传送到总线500b。

网关3300具有与网关3300a同样的结构，但接收ID列表以及传送规则成为与连接有网关3300的总线500a～500c对应的内容。此外，网关3300也与网关3300a同样地，在从总线500c接收到从头单元3200发送的包含更新用规则信息的更新数据帧的情况下，传送给其他的各总线，将从总线500b或者总线500c接收到的错误消息传送给总线500c。由此，在车载网络系统12中，使得从头单元3200向各不正常检测ECU传送包含更新用规则信息的数据帧，从各不正常检测ECU向头单元3200传送错误消息。

[3.5与不正常帧的检测以及应对相关的时序]

以下，对在车载网络系统12的总线500d上连接有不正常ECU的情况下的不正常检测ECU3100c、网关3300、3300a、头单元3200等的工作进行说明。

图34以及图35是表示不正常检测ECU3100c检测到不正常帧(消息)并发送错误消息，头单元3200进行警告显示等应对的工作例的时序图。在此的各时序是指各装置中的各处理步骤。

在某个定时，不正常ECU发送消息ID“5”的数据帧(时序S3001)。在此，与实施方式2中说明的时序S2002a(参照图26)同样，不正常ECU发送与ECU400e按一定周期发送的消息ID“5”相同的消息ID的数据帧，但在与ECU400e的发送周期无关的定时进行该发送。

与总线500d连接的不正常检测ECU3100c在不正常ECU发送了数据帧时，进行不正常检测处理(时序S3002)。该不正常检测处理与实施方式2中说明的时序S2004、S2005同样，因此，在此省略说明。通过该不正常检测处理，不正常检测ECU3100c根据发送周期的异常，检测到发送了消息ID为“5”的不正常帧。

当检测到发送了不正常帧时，不正常检测ECU3100c对应于“5”这一消息ID来生成MAC，发送使数据域包含消息ID的“5”和MAC的错误消息(时序S3003)。

当从总线500d接收到错误消息时，网关3300a向总线500b传送错误消息(时序S3004)。另外，网关3300将传送到总线500b的错误消息传送给总线500c。其结果是，与总线500c连接的头单元3200能够接收错误消息。

头单元3200接收被发送到总线500c的错误消息，基于接收ID列表来确认是否为应接收的消息ID(时序S3005)。如果不是应接收的消息ID则头单元3200结束处理。因为错误消息的消息ID是应接收的消息ID，所以头单元3200接着通过消息ID来确认是否为错误消息(时序S3006)。在不是错误消息的情况下，对应于消息ID来进行预先确定的处理。在本例中，因为接收到错误消息的消息ID，所以头单元3200接收数据域并基于作为其内容的不正常帧的消息ID来生成MAC，并与作为数据域内容的MAC进行比较，由此验证MAC(时序S3007)。如果所生成的MAC与作为数据域内容的MAC一致，则验证成功。

只有在MAC的验证成功的情况下，头单元3200才将不正常帧的消息ID保持于不正常ID列表保持部3230，并记录于日志(时序S3008)。另外，头单元3200将表示发生错误的警告显示于显示器(时序S3009)。另外，头单元3200将表示不正常帧的消息ID的信息经由外部网络550发送给服务器600(时序S3010)。由此，在服务器600中，能够取得发送消息ID为“5”的不正常帧的不正常ECU已连接于车载网络系统12这样的信息。服务器600例如从分别搭载于多台车辆的车载网络收集与不正常帧的发送有关的信息，将该信息灵活运用于分析、对策决定等。此外，对于头单元3200向服务器600发送信息的定时，也可以不一定与接收到错误消息的定时同步。例如，头单元3200也可以在任意的定时向服务器600发送表示不正常ID列表保持部3230所保持的不正常帧的消息ID的信息。

[3.6与更新用规则信息的处理相关的时序]

以下，对头单元3200从服务器600接收到更新用规则信息的情况下的头单元3200、网关3300、3300a、不正常检测ECU3100c等的工作进行说明。

图36是表示头单元3200发送更新用规则信息，不正常检测ECU3100c基于更新用规则信息更新帧规则的工作例的时序图。在此的各时序是指各装置中的各处理步骤。

头单元3200从服务器600接收更新用规则信息(时序S3101)。

接着，头单元3200基于接收到的更新用规则信息生成MAC，将使数据域包含更新用规则信息以及MAC而得到的更新数据帧发送给总线500c(时序S3102)。

当从总线500c接收到更新数据帧时，网关3300向总线500b传送更新数据帧(时序S3103)。另外，网关3300a将被传送到总线500b的更新数据帧传送给总线500d。其结果是，与总线500d连接的不正常检测ECU3100c能够接收更新数据帧。

不正常检测ECU3100c接收被发送到总线500d的更新数据帧，基于该数据域所包含的更新用规则信息来生成MAC，对该生成的MAC与数据域所包含的MAC进行比较，由此验证MAC(时序S3104)。如果所生成的MAC与作为数据域内容的MAC一致，则验证成功。

只有在MAC的验证成功的情况下，不正常检测ECU3100c才基于更新数据帧的数据域所包含的更新用规则信息，对所保持的帧规则进行更新(时序S3105)。自此之后，在不正常检测ECU3100c中会基于更新后的帧规则来进行不正常帧的检测。

此外，由于更新数据帧通过各网关被传送到各总线，所以不正常检测ECU3100c以外的不正常检测ECU与不正常检测ECU3100c同样地，也能够基于接收到的更新用规则信息来更新所保持的帧规则。

[3.7实施方式3的效果]

实施方式3中示出的不正常检测ECU使用表示帧的发送周期的帧规则来判定所发送的帧是否为不正常帧。由此，即使在数据帧中的ID域与正规的数据帧相同，也能够检测(判别)不正常帧。

另外，在不正常检测ECU检测到不正常帧的情况下，向头单元通知包含不正常帧的消息ID的错误消息，因此，头单元通过使显示器显示警告或者将表示不正常帧的消息ID的信息发送给服务器等，能够将在车载网络发生的异常事态通知到外部。此外，服务器能够从搭载于各车辆的各车载网络系统接收异常事态的通知，因此，例如能够实施对异常事态的适当对策，能够实现车载网络系统的安全性的提高。

另外，在不正常检测ECU向头单元通知包含不正常帧的消息ID的错误消息时，使用MAC进行验证，因此能够确认错误消息的正常性(正当性)，能够防止因不正常的错误消息导致的误判断。

另外，通过将进行不正常帧的判定的节点仅设为不正常检测ECU，能够将对既有的车载网络结构的影响抑制为最小限度，能够抑制系统整体的处理量、电力消耗量。

另外，服务器能够管理用于检测是否为不正常帧的帧规则，通过从服务器发送更新用规则信息，使得车载网络的不正常检测ECU能够根据该更新用规则信息，使用更新后的帧规则来检测不正常帧。

(其他实施方式等)

如上所述，作为本公开涉及的技术的例示，说明了实施方式1～3。然而，本公开涉及的技术不限定于此，在适当进行了变更、替换、附加、省略等的实施方式中也能够适用。例如，以下的变形例也包含在本公开的一个实施技术方案中。

(1)在上述实施方式中，示出了通过各ECU定期地发送帧的例子，但也可以作为通知状态变化的事件而发送帧。例如，ECU也可以不是定期地发送门的开闭状态，而是仅在门的开闭状态发生了变化的情况下才发送帧。另外，也可以设为ECU定期地发送帧、且在发生了状态变化时发送帧。

(2)在上述实施方式中，以标准ID格式记述了CAN协议中的数据帧，但也可以是扩展ID格式。在扩展ID格式的情况下，由于用标准ID格式中的ID位置的基础ID和扩展ID共29比特来表示ID(消息ID)，所以将该29比特的ID作为上述实施方式中的ID(消息ID)来处理即可。

(3)在上述实施方式2中，帧规则示出了关于反复发送的消息的发送周期，但不限定于此，也可以表示与帧的发送频度(每单位时间的发送次数等)等这样的发送间隔关联的规则。在不符合该规则的情况下，将会作为不正常帧进行处理。具体而言，也可以，在某一定期间内对发送了同一消息ID的帧的次数进行计数，根据计数得到的值是否符合帧规则，判断是否为异常(不正常帧)。例如，在计测到的次数超过了由帧规则表示的一定期间的发送次数(作为规则所允许的发送次数)的情况下，能够判断为进行了不正常帧的发送。此外，在帧规则中，例如也可以包含关于多个帧中的数据帧的值的连续性的规则。关于连续性的规则的一例，例如是数据域的值为1、2、3这样不会在每次发送时发生预定值以上的变化这样的规则。在该规则的情况下，当在数据域的值为1的帧之后接着接收到数据域的值为2的帧时判断为正常帧，而在数据域的值为2的帧之后接着接收到数据域的值为100的帧时判断为不正常帧。

(4)上述实施方式2、3中示出的不正常检测ECU，也可以在一定的情况(例如车辆的发动机启动之前、停止期间等)下不执行基于帧规则的不正常帧的检测。另外，在中止了基于帧规则的不正常帧的检测之后又开次开始了不正常帧的检测时，上述的时间计测部可以将关于再次开始后的最初的消息ID的通知作为上述的初次的通知来进行上述的特别处理。

(5)在上述实施方式2中接收到在不正常检测ECU检测到不正常帧的情况下发送的错误消息的各不正常检测ECU或者ECU，也可以在接着接收到与该错误消息所包含的不正常帧的消息ID相同的ID的帧时，向总线上送出错误帧。检测到不正常帧的不正常检测ECU自身也可以在接着接收到与该帧的ID相同的消息ID时向总线上送出错误帧。根据这些错误帧，能够阻止执行关于与一度判断为不正常的帧相同内容的下次以后的帧。

(6)在上述实施方式中，不正常检测ECU使用帧规则来判断帧的不正常，但也可以是由预先确定的特定ECU(例如头单元)来进行帧是否不正常的判断。该情况下，该特定ECU具备帧规则保持部2120。并且，不正常检测ECU针对请求判断是否不正常的帧，将发送周期的计测结果或者每预定单位时间的发送次数的计测结果和该帧的消息ID通知(发送)给该特定ECU。在该特定ECU中，使用帧规则保持部2120的帧规则，基于从不正常检测ECU通知来的计测结果，进行由该通知来的消息ID识别的帧(消息)是否不正常的判断。在判断为不正常帧的情况下，该特定的ECU可以发送错误消息，如果特定ECU是头单元则也可以显示警告、和/或向服务器600发送表示不正常帧的ID的信息。此外，也可以是，不正常检测ECU只有在接收到未包含在帧规则保持部2120所保持的包含与各个消息ID的发送间隔等有关的规则的帧规则中的消息ID的情况下，才对特定ECU(例如头单元)通知发送周期的计测结果或者发送次数的计测结果，并请求判断是否不正常。

(7)在上述实施方式3中，头单元对更新数据帧所保存的更新用规则信息附加了MAC，但也可以不一定对更新用规则信息附加MAC。但是，若附加MAC，则能够应对不正常的更新数据帧的发送。

(8)在上述实施方式3中，头单元具有与作为外部装置的服务器进行通信的结构，但也可以是头单元以外的ECU(例如网关、不正常检测ECU等)具有与服务器进行通信的结构。即，头单元、网关、不正常检测ECU等能够作为所谓的外部通信电子控制单元(即能够与外部装置通信的ECU)发挥功能。在不正常检测ECU具有与服务器进行通信的结构的情况下，不正常检测ECU在检测到不正常帧的情况下可以将表示该帧的消息ID的信息直接发送给服务器，另外，也可以从服务器直接接收更新用规则信息，基于该更新用规则信息来更新本不正常检测ECU所保持的帧规则。

(9)在上述实施方式3中，示出了网关将包含更新用规则信息的更新数据帧一律从总线向其他总线传送的例子。但是，在更新用规则信息为与关于1个以上的特定的消息ID的帧的发送间隔有关的规则的集合的情况下，该更新用规则信息只要传递给与流动该特定的消息ID的总线连接的不正常检测ECU就足够。因此，网关在接收到更新数据帧的情况下，也可以根据成为规则的对象的消息ID来选择传送目的地的总线，仅向所选择出的总线进行传送。另外，头单元也可以限定地指定(例如在数据域内加入了发送地址的信息来指定)成为更新数据帧的发送目的地的不正常检测ECU，在该情况下网关可以仅向作为被指定的发送地址的连接到不正常检测ECU的总线传送更新数据帧。此外，一个更新数据帧可以设为包含与关于一个消息ID的帧的规则有关的更新用规则信息，也可以设为包含与关于多个消息ID的帧的规则有关的更新用规则信息。

(10)在上述实施方式3中，使算出MAC的算法为HMAC，但其也可以是CBC-MAC(Cipher Block Chaining Message Authentication Code：密码块链接消息认证码)、CMAC(Cipher-based MAC：基于密码的消息认证码)。另外，关于用于MAC计算的填充，零填充、ISO10126、PKCS#1、PKCS#5、PKCS#7、其他块的数据大小对计算来说是需要大小的填充方式都可以。另外，关于4个字节等对块的大小的变更方法，也可以在开头、最末尾、中间的任一个部分进行填充。另外，用于算出MAC的数据可以不是连续的数据(例如4个字节的连续数据)，也可以按照特定规则而逐个比特收集并结合。另外，MAC的大小不限定于4个字节，例如也可以是2个字节等。

(11)上述实施方式中示出的CAN协议可以具有也包括TTCAN(Time-TriggeredCAN，时间触发CAN)、CANFD(CAN with Flexible Data Rate，灵活数据传送率的CAN)等的派生协议在内的广义上的含义。

(12)上述实施方式中的各ECU(包括网关以及头单元)例如是包括处理器、存储器等的数字电路、模拟电路、通信线路等的装置，但也可以包括硬盘装置、显示器、键盘、鼠标等其他的硬件构成要素。另外，也可以取代由处理器执行存储器所存储的控制程序并以软件方式来实现功能，而通过专用的硬件(数字电路等)来实现其功能。

(13)上述实施方式中的构成各装置的构成要素的一部分或者全部也可以由1个系统LSI(Large Scale Integration：大规模集成电路)构成。系统LSI是将多个构成部集成于1个芯片上而制造出的超多功能LSI，具体而言，是包含微处理器、ROM、RAM等而构成的计算机系统。所述RAM中存储有计算机程序。所述微处理器按照所述计算机程序进行工作，由此系统LSI实现其功能。另外，构成上述各装置的构成要素的各部既可以单独地单芯片化，也可以以包含一部分或全部的方式单芯片化。另外，虽然此处设为LSI，但根据集成度不同，也可以称为IC、LSI、超大LSI(super LSI)、特大LSI(ultra LSI)。另外，集成电路化的方法不限于LSI，也可以通过专用电路或者通用处理器实现。也可以在LSI制造后利用FPGA(FieldProgrammable Gate Array；现场可编程门阵列)或者可以对LSI内部的电路单元的连接和/或设定进行重构的可重构处理器(reconfigurable processor)。进而，随着半导体技术的发展或者派生的其他技术的出现，如果出现能够替代LSI的集成电路化的技术，当然也可以利用该技术进行功能块的集成化。也可能会存在适用生物技术的可能性。

(14)构成上述各装置的构成要素的一部分或者全部也可以由能够装卸于各装置的IC卡或者单体模块构成。所述IC卡或者所述模块是由微处理器、ROM、RAM等构成的计算机系统。所述IC卡或者所述模块也可以包含上述超多功能LSI。微处理器按照计算机程序进行工作，由此所述IC卡或者所述模块实现其功能。该IC卡或者该模块也可以具有抗篡改性。

(15)作为本公开的一个技术方案，也可以是上述所示的不正常检测方法、不正常应对方法等方法。另外，也可以是通过计算机实现上述的方法的计算机程序，还可以是通过所述计算机程序形成的数字信号。另外，作为本公开的一个技术方案，也可以将所述计算机程序或者所述数字信号记录于计算机可读取的记录介质例如软盘、硬盘、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(注册商标)Disc)、半导体存储器等。另外，也可以是记录在上述的记录介质中的所述数字信号。另外，作为本公开的一个技术方案，也可以将所述计算机程序或所述数字信号经由电通信线路、无线或有线通信线路、以因特网为代表的网络、数据广播等进行传送。另外，作为本公开的一个技术方案，也可以是具有微处理器和存储器的计算机系统，所述存储器记录有上述计算机程序，所述微处理器可以按照所述计算机程序进行工作。另外，也可以通过将所述程序或所述数字信号记录在所述记录介质中转移、或经由所述网络等将所述程序或所述数字信号进行转移，通过独立的其他的计算机系统来实施。

(16)通过将上述实施方式以及上述变形例中示出的各构成要素以及功能进行任意组合而实现的实施方式也包含在本公开的范围中。

产业上的可利用性

本公开能够利用于在车载网络系统中高效地抑制不正常ECU的影响。

标号的说明

10、11、12 车载网络系统

100a、100b、2100a、2100b、2100c、3100a、3100b、3100c 不正常检测电子控制单元(不正常检测ECU)

110 不正常检测计数器保持部

120 正规ID列表保持部

130、2130、3130、3240 不正常帧检测部

140、230、320 帧生成部

150、260、350、450 帧解释部

160、270、360、460 帧收发部

200、3200 头单元

210 显示控制部

220、410 帧处理部

230、420 帧生成部

240、330、430 接收ID判断部

250、340、440 接收ID列表保持部

300、300a、3300、3300a 网关

310 传送处理部

370 传送规则保持部

400a、400b、400c、400d、400e 电子控制单元(ECU)

401 发动机

402 制动器

403 门开闭传感器

404 窗开闭传感器

405 角部传感器

470 数据取得部

500a、500b、500c、500d 总线

550 外部网络

600 服务器

2110 时间计测部

2120 帧规则保持部

3110、3210MAC 生成部

3120、3220MAC 密钥保持部

3121 更新部

3230 不正常ID列表保持部

3250 服务器通信部

3260 更新处理部

Claims (13)

1.一种不正常检测方法，是在车载网络系统中使用的不正常检测方法，所述车载网络系统具备通过经由一条以上总线的通信进行消息收发的多个电子控制单元和与所述总线连接的不正常检测电子控制单元，

与所述总线连接的所述不正常检测电子控制单元具有保存规则信息的存储器，所述规则信息表示与关于在该总线上发送的消息的发送有关的规则，

所述不正常检测方法包括：

与所述总线连接的所述不正常检测电子控制单元使用所述存储器所保存的规则信息，判定被发送到该总线上的消息是否不正常，在不正常的情况下，发送包含不正常的该消息的消息标识符的错误消息；

所述不正常检测电子控制单元取得从所述车载网络系统的外部的外部装置发送的更新用规则信息，使用该更新用规则信息来更新所述存储器所保存的所述规则信息。

2.根据权利要求1所述的不正常检测方法，

所述多个电子控制单元遵循CAN协议即控制器局域网协议经由所述总线进行通信。

3.根据权利要求1所述的不正常检测方法，

所述车载网络系统具备外部通信电子控制单元，该外部通信电子控制单元具有与所述外部装置进行通信的功能，

对于由所述不正常检测电子控制单元进行的更新用规则信息的所述取得，通过接收所述外部通信电子控制单元从所述外部装置接收并发送到所述总线上的更新用规则信息来进行。

4.根据权利要求3所述的不正常检测方法，

对于从所述外部装置接收到的更新用规则信息的由所述外部通信电子控制单元进行的所述发送，通过所述外部通信电子控制单元针对该更新用规则信息生成消息认证码、并附加所生成的消息认证码后发送该更新用规则信息来进行。

5.根据权利要求3所述的不正常检测方法，

在所述车载网络系统中，在所述多个电子控制单元的通信中使用多条总线，所述车载网络系统具备与互不相同的总线连接的多个不正常检测电子控制单元，

所述车载网络系统还具备网关装置，该网关装置具有在所述多条总线之间传送消息的功能，

所述网关装置将由所述外部通信电子控制单元发送到所述总线的更新用规则信息传送给与该总线不同的连接有所述不正常检测电子控制单元的一条以上的所述总线，

与所述总线连接的所述不正常检测电子控制单元从该总线接收与在该总线上发送的消息相关的规则信息的更新所需的更新用规则信息。

6.根据权利要求5所述的不正常检测方法，

与互不相同的总线连接的所述多个不正常检测电子控制单元分别保存在本不正常检测电子控制单元的存储器中的规则信息，是使在连接有本不正常检测电子控制单元的总线上发送的消息的消息标识符和与关于该消息的发送有关的规则相关联的信息。

7.根据权利要求1所述的不正常检测方法，

与所述总线连接的所述不正常检测电子控制单元保存在所述存储器中的规则信息，是针对在该总线上反复发送的一条以上的消息使消息标识符和与关于由该消息标识符识别的消息的发送周期或每预定单位时间的发送次数有关的规则相关联的信息，

与所述总线连接的所述不正常检测电子控制单元，在被发送到该总线上的消息不符合所述存储器所保存的规则信息表示的规则的情况下，判定为该消息不正常。

8.根据权利要求7所述的不正常检测方法，

所述不正常检测方法还包括：

与所述总线连接的所述不正常检测电子控制单元，在被发送到该总线上的消息的消息标识符未包含于所述存储器所保存的规则信息的情况下，将该消息标识符发送给所述多个电子控制单元中的特定的电子控制单元。

9.根据权利要求8所述的不正常检测方法，

与所述总线连接的所述不正常检测电子控制单元，在被发送到该总线上的消息的消息标识符未包含于所述存储器所保存的规则信息的情况下，除了该消息标识符之外还将关于该消息的发送周期的计测结果发送给所述特定的电子控制单元，

所述特定的电子控制单元通过接收并使用所述消息标识符以及所述发送周期的计测结果，判定是否不正常地发送了由该消息标识符识别的消息。

10.根据权利要求8所述的不正常检测方法，

与所述总线连接的所述不正常检测电子控制单元，在被发送到该总线上的消息的消息标识符未包含于所述存储器所保存的规则信息的情况下，除了该消息标识符之外还将关于该消息的每预定单位时间的发送次数的计测结果发送给所述特定的电子控制单元，

所述特定的电子控制单元通过接收并使用所述消息标识符以及所述发送次数的计测结果，判定是否不正常地发送了由该消息标识符识别的消息。

11.根据权利要求1所述的不正常检测方法，

所述不正常检测方法还包括：

所述外部通信电子控制单元接收由所述不正常检测电子控制单元发送的包含不正常消息的消息标识符的错误消息，将包含该消息标识符的信息发送给所述外部装置。

12.一种车载网络系统，具备通过经由一条以上总线的通信进行消息收发的多个电子控制单元和与所述总线连接的不正常检测电子控制单元，

与所述总线连接的所述不正常检测电子控制单元具备：

存储器，其保存表示与关于在该总线上发送的消息的发送有关的规则的规则信息；

判定部，其使用所述存储器所保存的规则信息，判定被发送到该总线上的消息是否不正常；

发送部，其在由所述判定部判定为消息不正常的情况下，发送包含不正常的该消息的消息标识符的错误消息；以及

更新部，其取得从所述车载网络系统的外部的外部装置发送的更新用规则信息，使用该更新用规则信息来更新所述存储器所保存的所述规则信息。

13.一种不正常检测电子控制单元，与供通过经由一条以上总线的通信进行消息收发的多个电子控制单元用于通信的总线连接，所述不正常检测电子控制单元具备：

存储器，其保存表示与关于在所述总线上发送的消息的发送有关的规则的规则信息；

判定部，其使用所述存储器所保存的规则信息，判定被发送到所述总线上的消息是否不正常；

发送部，其在由所述判定部判定为消息不正常的情况下，发送包含不正常的该消息的消息标识符的错误消息；以及

更新部，其取得从外部的外部装置发送的更新用规则信息，使用该更新用规则信息来更新所述存储器所保存的所述规则信息，所述外部的外部装置未连接于供所述多个电子控制单元用于通信的总线。