CN107078938B - 网关装置、车载网络系统以及通信方法 - Google Patents

网关装置、车载网络系统以及通信方法 Download PDF

Info

Publication number
CN107078938B
CN107078938B CN201680001755.0A CN201680001755A CN107078938B CN 107078938 B CN107078938 B CN 107078938B CN 201680001755 A CN201680001755 A CN 201680001755A CN 107078938 B CN107078938 B CN 107078938B
Authority
CN
China
Prior art keywords
frame
control information
bus
received
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201680001755.0A
Other languages
English (en)
Other versions
CN107078938A (zh
Inventor
氏家良浩
松岛秀树
中野稔久
若林彻
天野博史
芳贺智之
岸川刚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Corp of America
Original Assignee
Panasonic Intellectual Property Corp of America
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Corp of America filed Critical Panasonic Intellectual Property Corp of America
Priority to CN202010834697.8A priority Critical patent/CN111934994B/zh
Priority claimed from PCT/JP2016/003079 external-priority patent/WO2017037977A1/ja
Publication of CN107078938A publication Critical patent/CN107078938A/zh
Application granted granted Critical
Publication of CN107078938B publication Critical patent/CN107078938B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B1/00Details of transmission systems, not covered by a single one of groups H04B3/00 - H04B13/00; Details of transmission systems not characterised by the medium used for transmission
    • H04B1/38Transceivers, i.e. devices in which transmitter and receiver form a structural unit and in which at least one part is used for functions of transmitting and receiving
    • H04B1/3822Transceivers, i.e. devices in which transmitter and receiver form a structural unit and in which at least one part is used for functions of transmitting and receiving specially adapted for use in vehicles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40169Flexible bus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4604LAN interconnection over a backbone network, e.g. Internet, Frame Relay
    • H04L12/462LAN interconnection over a bridge based backbone
    • H04L12/4625Single bridge functionality, e.g. connection of two networks over a single bridge
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L5/00Arrangements affording multiple use of the transmission path
    • H04L5/003Arrangements for allocating sub-channels of the transmission path
    • H04L5/0053Allocation of signaling, i.e. of overhead other than pilot signals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)

Abstract

本公开提供网关装置,所述网关装置在车载网络系统中连接于多个电子控制单元(ECU)进行通信所使用的总线,能够抑制对车载网络的不良影响,可以使用针对接收到的帧是否正常需要某种程度的时间的判定方法。在总线(200a)和总线(200b)之间进行帧的转送的网关(300a)具备:接收部,其接收第一帧;以及发送部,其在由接收部从总线(200a)接收到例如ECU(100a)所发送的第一帧时,使包含基于第一帧的内容的信息的第二帧包含第一控制信息,将第二帧发送给总线(200b),所述第一控制信息与接收第二帧后的处理的限制有关。

Description

网关装置、车载网络系统以及通信方法
技术领域
本公开涉及在电子控制单元进行通信的车载网络中进行帧的转送等的网关装置。
背景技术
近年来,在汽车中的系统内,配置有许多被称为电子控制单元(ECU:ElectronicControl Unit)的装置。连接这些ECU的网络被称为车载网络。车载网络存在多种标准。作为其中最主流的车载网络之一,存在由ISO11898-1规定的CAN(Controller Area Network:控制器局域网络)这一标准。
在CAN中,通信路径由两条总线构成,与总线连接的ECU被称为节点。与总线连接的各节点收发被称为帧的消息。发送帧的发送节点通过在两条总线上施加电压,并在总线间产生电位差,从而发送被称为隐性(recessive)的“1”的值和被称为显性(dominant)的“0”的值。多个发送节点在完全相同的定时发送了隐性和显性的情况下,优先发送显性。接收节点在接收到的帧的格式(format)存在异常的情况下,发送被称为错误帧(error frame)的帧。错误帧是通过连续地发送6比特(bit)的显性来向发送节点和/或其他接收节点通知帧的异常的帧。
另外,在CAN中不存在指示发送目的地和/或发送源的标识符,发送节点对每一帧附加被称为消息ID的ID而进行发送(也就是向总线送出信号),各接收节点仅接收预先确定的ID的帧(也就是从总线读取信号)。另外,采用CSMA/CA(Carrier Sense MultipleAccess/Collision Avoidance:载波侦听多路访问/冲突避免)方式,在多个节点同时发送时基于消息ID进行仲裁(调停),优先发送消息ID的值小的帧。
关于CAN的车载网络系统,存在攻击者通过访问总线并发送不正常的帧从而不正常(非法)地控制ECU这一威胁,安全对策正在被进行研究。
例如,专利文献1中所记载的、在车载网络中在总线间转送帧的网关装置(GW:gateway)当检测出发送给总线的帧的周期异常时,通过不向其他总线转送而废弃该帧,抑制不正常的控制(专利文献1)。
现有技术文献
专利文献1:日本特开2014-146868号公报
发明内容
发明所要解决的问题
上述现有的技术需要进一步的改善。
用于解决问题的技术方案
本公开的一个技术方案涉及的网关装置在车载网络系统中连接于多个电子控制单元进行通信所使用的总线,所述网关装置具备:接收部,其接收第一帧;以及发送部,其在由所述接收部接收到所述第一帧时,使包含基于该第一帧的内容的信息的第二帧包含第一控制信息,将该第二帧发送给所述总线,所述第一控制信息与接收该第二帧后的处理的限制有关。
此外,这些总括性的或者具体的技术方案既可以通过系统、装置、集成电路、计算机程序或者计算机可读取的CD-ROM等记录介质来实现,也可以通过系统、装置、集成电路、计算机程序以及记录介质的任意组合来实现。
发明效果
根据本公开,能够抑制判定帧是否正常的时间长度对车载网络造成的不良影响,能够确保判定帧是否正常所需的时间。
此外,本公开的进一步的效果以及优点可由本说明书以及附图的公开内容来明确。上述进一步的效果以及优点也可以由本说明书以及附图所公开的各种实施方式以及特征来个别地提供,未必需要提供所有的效果以及优点。
附图说明
图1是表示实施方式1涉及的车载网络系统的整体结构的图。
图2是表示由CAN协议规定的数据帧的格式的图。
图3是ECU的结构图。
图4是示出了接收ID列表的一例的图。
图5是表示从连接于发动机的ECU发送的帧中的ID以及数据域的一例的图。
图6是表示从连接于制动器的ECU发送的帧中的ID以及数据域的一例的图。
图7是表示从连接于车门开闭传感器的ECU发送的帧中的ID以及数据域的一例的图。
图8是表示从连接于车窗开闭传感器的ECU发送的帧中的ID以及数据域的一例的图。
图9是表示从连接于角部传感器(corner sensor)的ECU发送的帧中的ID以及数据域的一例的图。
图10是实施方式1涉及的网关(网关装置)的结构图。
图11是示出了实施方式1涉及的网关所发送的帧的数据域格式的一例的图。
图12是表示网关所保持的不正常判定规则的一例的图。
图13是表示网关所保持的转送规则的一例的图。
图14是表示实施方式1中的帧的转送涉及的工作例的时序图。
图15是表示实施方式1涉及的ECU中的帧发送处理的一例的流程图。
图16是表示实施方式1涉及的网关中的帧转送处理的一例的流程图。
图17是表示实施方式1涉及的网关中的不正常判定处理的一例的流程图。
图18是表示网关中的最终判定处理的一例的流程图。
图19是表示实施方式1涉及的ECU中的帧接收处理的一例的流程图。
图20是表示实施方式2涉及的车载网络系统的整体结构的图。
图21是示出了实施方式2涉及的网关以及ECU所发送的帧的数据域格式的一例的图。
图22是表示实施方式2中的校验和的算出所使用的信息的一例的图。
图23是实施方式2涉及的网关的结构图。
图24是服务器的结构图。
图25是表示服务器所保持的车辆数据的一例的图。
图26是表示实施方式2涉及的ECU中的帧发送处理的一例的流程图。
图27是表示实施方式2涉及的网关中的帧转送处理的一例的流程图。
图28是表示实施方式2涉及的网关中的不正常判定处理的一例的流程图。
图29是表示实施方式2涉及的网关中的服务器判定应对处理的一例的流程图。
图30是表示服务器中的判定处理的一例的流程图。
图31是表示实施方式2涉及的ECU中的帧接收处理的一例的流程图。
图32是表示实施方式2涉及的ECU中的校验和确认处理的一例的流程图。
具体实施方式
(成为本公开的基础的见解)
对帧进行转送的网关装置为了废弃不正常的帧,需要判定帧是否正常,适当的帧的转送会延迟判定帧是否正常所需的时间,可能对车载网络造成不良影响。例如,一旦长时间延迟,则等待接收帧的ECU就有可能执行异常处理。
基于上述考察,本发明人想到了本公开的各技术方案。
本公开的一个技术方案涉及的网关装置在车载网络系统中连接于多个电子控制单元进行通信所使用的总线,所述网关装置具备:接收部,其接收第一帧;以及发送部,其在由所述接收部接收到所述第一帧时,使包含基于该第一帧的内容的信息的第二帧包含第一控制信息,将该第二帧发送给所述总线,所述第一控制信息与接收该第二帧后的处理的限制有关。由此,在转送帧时发送含有控制信息的帧,因此,例如能够进行在接收后阻止帧的处理而待机等的控制。为此,即使在使用了判定接收到的帧是否正常需要某种程度的时间的判定方法的情况下,也能在该判定完成之前,预先将指示待机等的控制信息附加在帧中进行发送,能够抑制在接收到帧的电子控制单元(ECU)中进行异常处理等。即,能够抑制因网关装置需要时间来判定接收到的帧是否正常而对车载网络造成的不良影响。另外,对于网关装置而言,能够确保判定帧是否正常所需的时间,因此,能够进行更加适当的判定,能够抑制不正常的帧对车载网络造成不良影响。
另外,也可以为,所述发送部在由所述接收部接收到所述第一帧时,在满足预定条件的情况下,使所述第二帧包含所述第一控制信息并进行所述发送,在不满足所述预定条件的情况下,以不包含所述第一控制信息的方式将所述第二帧发送给所述总线,在发送了包含所述第一控制信息的所述第二帧后,将包含与该第二帧的处理方法有关的第二控制信息的第三帧发送给所述总线。由此,在接收到包含有第一控制信息的第二帧的ECU中,由于之后能够接收到包含与该第二帧的处理方法有关的第二控制信息的第三帧,因此,可以进行保持第二帧并等待第三帧等应对。即,接收到包含有第一控制信息的第二帧的ECU能够在到第三帧的接收定时(timing)为止不开始进行对第二帧的处理的执行等。
另外,也可以为,所述预定条件是在发送所述第二帧后决定所述第一帧是否正常的状况下所满足的条件,所述发送部使所述第三帧包含与涉及所述第一帧的所述决定的结果相应的所述第二控制信息。由此,在接收到包含有第一控制信息的第二帧的ECU中,只要等待接收第三帧,就能够区分是因第二帧的内容正常而应该执行与其内容相应的功能处理等,还是因其内容不正常而不应该执行与其内容相应的功能处理等。
另外,也可以为,所述网关装置具备进行所述决定的不正常判定处理部。由此,能够抑制对车载网络的不良影响,网关装置能够使用从帧的接收起需要某种程度的时间的判定方法,在本装置(不正常判定处理部)中执行对接收到的帧是否正常的判定(决定)。
另外,也可以为,所述接收部进一步接收由所述多个电子控制单元之一进行的所述决定的结果。由此,网关装置使用让其他ECU(例如主要进行帧是否正常的判定的ECU等)进行对接收到的帧是否正常的判定(决定)并接收其结果的判定方法,也能够抑制对车载网络的不良影响。
另外,也可以为,所述网关装置具备外部通信部,所述外部通信部在向搭载本装置的车辆的外部的装置发送了所述决定的请求之后接收所述决定的结果。由此,网关装置使用让车辆外的装置(例如服务器)进行对接收到的帧是否正常的判定(决定)并接收其结果的判定方法,也能够抑制对车载网络的不良影响。此外,根据与车辆外的装置的通信,例如能够基于该车辆中的过去的数据或者其他车辆的数据等,进行帧是否正常的判定(决定),有可能进行更加适当的判定。
另外,也可以为,所述第二控制信息表示应该开始执行所述第二帧的处理这一意思。由此,接收到包含有第一控制信息的第二帧的ECU能够在接收到包含第二控制信息的第三帧的定时,将第二帧作为正常的帧,适当地开始执行第二帧的处理。
另外,也可以为,所述第二控制信息表示应该废弃所述第二帧这一意思。由此,接收到包含有第一控制信息的第二帧的ECU能够在接收到包含第二控制信息的第三帧的定时,废弃第二帧,能够不进行不适当的处理。这样即使在应该废弃的情况下也发送包含该指示的帧,对于接收到应该废弃这一意思的指示的ECU而言,在能够立即将所保持的第二帧废弃这一点是有用的。
另外,也可以为,所述第一控制信息表示应该使接收到包含该第一控制信息的所述第二帧的电子控制单元延迟开始执行与该第二帧对应的处理,直到接收到包含与该第二帧的处理方法有关的信息的帧为止这一意思。由此,使得在接收到包含第一控制信息的第二帧的ECU中,不开始执行该第二帧的处理,直到在网关装置中决定第二帧的处理方法(例如对应处理的执行开始或者废弃等)为止。因此,在网关装置中能够确保用于该决定的处理时间。
另外,也可以为,所述第一控制信息表示应该使接收到包含该第一控制信息的所述第二帧的电子控制单元阻止与该第二帧对应的处理的执行,直到满足一定条件为止这一意思。由此,在接收到包含第一控制信息的第二帧的ECU中,阻止该第二帧的处理的执行,直到在网关装置中进行为了满足一定条件的措施(例如发送指示开始执行第二帧的对应处理的帧等)为止。因此,在网关装置中能够确保用于决定该措施的内容的的处理时间。
另外,也可以为,所述多个电子控制单元遵循CAN协议即控制器局域网络协议经由所述总线进行通信。由此,能够在攻击者访问遵循CAN协议的车载网络并发送了不正常的帧的情况下,使用需要某种程度的时间的、高精度的判定方法,适当地区分出该帧是不正常的帧这一情况。
另外,也可以为,所述发送部用所述第二帧的数据域的全部或者一部分来表示所述第一控制信息。由此,接收到帧的ECU能够通过确认数据域来识别第一控制信息。在该情况下,第一控制信息例如可以通过将数据域内的某个区域设为特定值等来表现。另外,网关装置在对帧进行转送(帧的接收以及基于该接收内容的帧的发送)时,能够在某种程度上保持所接收到的帧的内容(例如并不变更ID域等的内容)而直接高效地进行转送。
另外,也可以为,所述发送部用所述第二帧的扩展ID域来表示所述第一控制信息。由此,接收到帧的ECU能够通过确认扩展ID域来识别第一控制信息。在该情况下,第一控制信息例如可以通过将扩展ID域内的某个区域设为特定值等来表现。
另外,也可以为,所述发送部用所述第二帧的DLC域来表示所述第一控制信息。由此,接收到帧的ECU能够通过确认DLC域来识别第一控制信息。在该情况下,第一控制信息例如可以通过将DLC域内的某个区域设为特定值等来表现。
另外,也可以为,所述发送部用对反映了所述第二帧的数据域的至少一部分内容的数据进行保存的、该第二帧的一个区域来表示所述第一控制信息。由此,对反映了数据域的内容的数据(例如用于验证其内容的具有冗余性的数据等)重叠第一控制信息,因此,能够不附加新的数据区域,高效地表现第一控制信息。
另外,也可以为,所述发送部对保存在所述第二帧的CRC域内的CRC重叠所述第一控制信息,进行所述第二帧的所述发送。由此,对CRC重叠第一控制信息,因此,能够高效地表现第一控制信息。
另外,也可以为,所述发送部对保存在所述第二帧的所述一个区域的校验和重叠所述第一控制信息,进行所述第二帧的所述发送。由此,对校验和重叠第一控制信息,因此,能够在收发包含校验和的帧的车载网络中高效地表现第一控制信息。
另外,也可以为,所述发送部对保存在所述第二帧的所述一个区域的消息认证码重叠所述第一控制信息,进行所述第二帧的所述发送。由此,对消息认证码(MAC)重叠第一控制信息,因此,能够在收发包含MAC的帧的车载网络中高效地表现第一控制信息。
另外,本公开的一个技术方案涉及的车载网络系统具备经由一条以上的总线进行通信的多个电子控制单元以及连接于所述总线的网关装置,所述网关装置具备:接收部,其接收第一帧;以及发送部,其在由所述接收部接收到所述第一帧时,使包含基于该第一帧的内容的信息的第二帧包含第一控制信息,将该第二帧发送给所述总线,所述第一控制信息与接收该第二帧后的处理的限制有关。由此,在接收到帧时(在接收的定时),从网关装置发送含有第一控制信息的帧,因此,即使网关装置对接收到的帧是否正常的判定(决定)在到该帧发送后为止需要时间的情况下,也能够抑制对车载网络的不良影响。其原因在于,能够防止在接收到包含第一控制信息的帧的ECU中,因帧的接收延迟而进行异常处理等。
另外,本公开的一个技术方案涉及的通信方法用于具备经由一条以上的总线进行通信的多个电子控制单元的车载网络系统,所述通信方法包括:接收步骤,接收第一帧;以及发送步骤,当在所述接收步骤中接收到所述第一帧时,使包含基于该第一帧的内容的信息的第二帧包含第一控制信息,将该第二帧发送给所述总线,所述第一控制信息与接收该第二帧后的处理的限制有关。由此,在转送帧的装置中,在接收到第一帧时发送含有第一控制信息的第二帧,因此,即使当第一帧是否正常的判定(决定)在到该第一帧发送后为止需要时间的情况下,也能够抑制对车载网络的不良影响。
此外,这些总括性的或者具体的技术方案既可以通过系统、方法、集成电路、计算机程序或者计算机可读取的CD-ROM等记录介质来实现,也可以通过系统、方法、集成电路、计算机程序或者记录介质的任意组合来实现。
以下,参照附图,对包括实施方式涉及的网关装置的车载网络系统进行说明。在此所示的实施方式均表示本公开的一具体例。因此,在以下实施方式中示出的数值、构成要素、构成要素的配置及连接方式、步骤(工序)及步骤的顺序等仅为一例而并非限定本公开。关于以下的实施方式中的构成要素中的未记载在独立权利要求中的构成要素,是能够任意附加的构成要素。另外,各附图仅为示意图,不一定是严格图示。
(实施方式1)
以下,作为本公开的实施方式,使用附图,说明多个电子控制单元(ECU)经由总线进行通信的车载网络系统10。
车载网络系统10包括接收帧并向一条总线转送帧的网关装置。网关装置判别在到进行关于接收到的帧是否正常的最终的决定(判定)为止是否需要时间,并根据该判别结果对帧附加标志(flag),进行帧的转送。在接收到帧的ECU中,能够通过参照该标志来判别是否还未决定帧是否正常。接收到帧的ECU能够在该标志表示未决定的情况下将与该帧关联的处理保留(也就是说将帧保持不变并阻止处理)并等待进一步的指示(在决定帧是否正常后做出的指示)。这样在标志表示未决定的情况下,对于ECU而言,该标志能够作为指示待机的控制信息发挥作用。在本实施方式中,网关装置将包含此标志的控制指示数据附加在帧中。
[1.1车载网络系统10的整体结构]
图1是表示实施方式1涉及的车载网络系统10的整体结构的图。车载网络系统10是遵循CAN协议进行通信的网络通信系统的一例,是搭载有控制装置、传感器等各种设备的汽车中的网络通信系统。车载网络系统10构成为包括总线200a、200b、200c;和网关300a、300b及连接于各种设备的ECU100a~100e等的ECU这样的连接于总线的各节点。此外,虽然图1中进行了省略,但是车载网络系统10中除了ECU100a~100e以外还可以包含若干个ECU。ECU例如是包括处理器(微处理器)、存储器等数字电路、模拟电路、通信电路等的装置。存储器是ROM、RAM等,能够存储由处理器执行的控制程序(计算机程序)。例如通过处理器按照控制程序(计算机程序)进行工作,由此ECU实现各种功能。此外,计算机程序是为了实现预定的功能而组合多个表示对处理器的指令的命令代码而构成的。
ECU100a~100e与某一条总线连接,另外,分别连接于发动机101、制动器102、车门开闭传感器103、车窗开闭传感器104、角部传感器(corner sensor)105。ECU100a~100e分别取得所连接的设备(发动机101等)的状态,定期地将表示状态的帧等发送给网络(也就是总线)。
网关300a、300b是连接不同的多个通信路径并在通信路径之间转送数据的网关装置。网关300a连接总线200a和总线200b,总线200a连接着ECU100a以及ECU100b,总线200b连接着ECU100c以及ECU100d。另外,网关300b连接总线200b和总线200c,总线200b连接着ECU100c以及ECU100d,总线200c连接着ECU100e。
网关300a、300b具有针对从一方的总线接收到的帧(数据帧),进行与是正常还是不正常相关的条件判定,并根据判定结果将控制指示数据追加到数据域,从而将接收到的帧转送给其他总线的功能。网关300a、300b中的对追加有控制指示数据的帧的转送通过下述处理来实现:生成包含基于从一方的总线接收到的帧的内容的信息的发送用帧,将与该发送用帧的在ECU中接收后的处理的限制有关的控制指示数据包含于该发送用帧的数据域,从而将该发送用帧发送给其他总线。网关300a、300b也可以在每个所连接的总线间切换是否对接收到的帧进行转送。网关300a、300b也是一种ECU。
在该车载网络系统10中,各ECU遵循CAN协议进行帧的授受。CAN协议中的帧有数据帧、远程帧、超载帧以及错误帧,但这里主要关注并说明数据帧。
[1.2数据帧格式]
以下,对作为在遵循CAN协议的网络中使用的帧之一的数据帧进行说明。
图2是表示由CAN协议规定的数据帧的格式的图。在该图中,表示了由CAN协议规定的标准ID格式的数据帧。数据帧由SOF(Start Of Frame:帧起始)、ID域、RTR(RemoteTransmission Request:远程传输请求)、IDE(Identifier Extension:标识符扩展)、预留位“r”、DLC(Data Length Code:数据长度码)、数据域、CRC(Cyclic Redundancy Check:循环冗余校验)序列、CRC定界符“DEL”、ACK(Acknowledgement:应答)间隙、ACK定界符“DEL”以及EOF(End Of Frame:帧结束)的各个域构成。
SOF由1比特的显性构成。总线空闲的状态成为隐性,通过由SOF变更为显性来通知帧的发送开始。
ID域是由11比特构成的、保存表示数据的种类的值即ID(消息ID)的域。在多个节点同时开始发送的情况下,为了通过该ID域进行通信仲裁,设计成使ID小的值的帧具有高优先级。
RTR是用于标识数据帧和远程帧的值,在数据帧中由1比特的显性构成。
IDE和“r”双方都由1比特的显性构成。
DLC由4比特构成,是表示数据域的长度的值。此外,将IDE、“r”以及DLC统称为控制域。在此,将数据帧中的保存DLC的值的4比特也称为DLC域。
数据域是最大由64比特构成的表示要发送的数据的内容的值。能够按每8比特来调整长度。关于所发送的数据的规格,并不在CAN协议中规定,而是在车载网络系统10中设定。因此,成为取决于车型、制造者(制造商)等的规格。
CRC序列由15比特构成。可根据SOF、ID域、控制域以及数据域的发送值来算出。
CRC定界符是由1比特的隐性构成的、表示CRC序列的结束的分隔符号。此外,将CRC序列和CRC定界符统称为CRC域。
ACK间隙由1比特构成。发送节点将ACK间隙设为隐性并进行发送。如果到CRC序列为止都正常地完成了接收,则接收节点将ACK间隙设为显性并发送。由于显性比隐性优先,因此,只要在发送后ACK间隙为显性,发送节点就能够确认某一接收节点成功地进行了接收。
ACK定界符是由1比特的隐性构成的、表示ACK的结束的分隔符号。
EOF由7比特的隐性构成,表示数据帧的结束。
[1.3 ECU100a的结构]
图3是ECU100a的结构图。ECU100a构成为包括帧收发部110、帧解释部120、接收ID判断部130、接收ID列表保持部140、帧处理部150、帧保持部160、数据取得部170以及帧生成部180。这些各构成要素的各功能例如通过ECU100a中的通信电路、执行保存于存储器的控制程序的处理器或者数字电路等来实现。
帧收发部110向CAN总线200a发送、从CAN总线200a接收遵循CAN协议的帧。从CAN总线200a逐比特地接收帧,并转送给帧解释部120。另外,将从帧生成部180收到了通知的帧的内容发送给总线200a。
帧解释部120从帧收发部110接收帧的值,并进行解释(解析)以使得映射到由CAN协议规定的帧格式的各域。将判断为是ID域的值向接收ID判断部130进行转送。帧解释部120根据从接收ID判断部130通知的判定结果,决定是将ID域的值、和出现在ID域之后的数据域转送给帧处理部150,还是在收到了该判定结果之后中止帧的接收(也就是说中止作为该帧的解释)。另外,帧解释部120在判断为是未遵循CAN协议的帧的情况下,以发送错误帧的方式通知给帧生成部180。另外,帧解释部120在接收到错误帧的情况下,也就是说根据所接收到的帧中的值而解释为成为错误帧的情况下,自此之后将该帧废弃,也就是中止帧的解释。
接收ID判断部130从帧解释部120接收被通知的ID域的值,按照接收ID列表保持部140所保持的消息ID的列表,进行是否接收该ID域之后的帧的各域的判定。接收ID判断部130将该判定结果通知给帧解释部120。
接收ID列表保持部140保持ECU100a所要接收的ID(消息ID)的列表、即接收ID列表。图4是示出了接收ID列表的一例的图。
帧处理部150根据接收到的帧的数据进行按照ECU而不同的功能所涉及的处理。例如,连接于发动机101的ECU100a具备当在时速超过30km的状态下车门为打开的状态时,使警报声响起的功能。ECU100a例如具有用于使警报声响起的扬声器等。而且,ECU100a的帧处理部150管理从其他ECU接收到的数据(例如表示车门的状态的信息),基于从发动机101取得的时速在一定条件下进行使警报声响起的处理等。此外,帧处理部150也可以进行除这里所示例的以外的帧的数据所涉及的处理。另外,帧处理部150根据接收到的帧中的控制指示数据的内容,将接收到的帧通过进行保存指示而保存到帧保持部160中,并阻止与接收到的帧相应的上述的处理(ECU的功能所涉及的处理)的开始,直到满足一定条件为止(也就是说使上述的处理等待直到一定条件的成立为止),或者,从帧保持部160中读出帧并根据该帧的数据执行ECU的功能所涉及的处理。
帧保持部160按照帧处理部150的保存指示,将接收到的帧的信息保持在存储器等存储介质中。另外,按照来自帧处理部150的读出指示,通知所保存的帧。
数据取得部170取得表示连接于ECU的设备、传感器等的状态的数据,通知给帧生成部180。
帧生成部180按照从帧解释部120通知的指示错误帧的发送的通知,构成错误帧,将错误帧通知给帧收发部110并使其发送该错误帧。另外,帧生成部180针对由数据取得部170通知的数据的值,附加上预先确定的消息ID而构成帧,并通知给帧收发部110。
此外,ECU100b~100e也具备与上述的ECU100a基本同样的结构。但是,接收ID列表保持部140中所保持的接收ID列表可以按照每个ECU变为不同的内容。另外,帧处理部150的处理内容按照每个ECU而不同。例如,ECU100c中的帧处理部150的处理内容包括与在没有踩刹车的状况下车门打开时响起警报声的功能相关的处理。例如,ECU100b以及ECU100d中的帧处理部150并不进行特别的处理。此外,各ECU也可以具备除这里所示例的以外的功能。此外,后面使用图5~图9对ECU100a~100e各自发送的帧的内容进行说明。
[1.4接收ID列表例]
图4是表示ECU100a~100e、网关300a、300b中分别所保持的接收ID列表的一例的图。该图中示例的接收ID列表用于对包含ID(消息ID)的值为“1”、“2”、“3”、“4”以及“5”中的某一方的消息ID的帧进行选择性地接收并处理。例如,若ECU100a的接收ID列表保持部140中保持有图4的接收ID列表,则对于消息ID并非“1”、“2”、“3”、“4”以及“5”中的某一方的帧,中止帧解释部120中的ID域之后的帧的解释。
[1.5发动机涉及的ECU100a的发送帧例]
图5是表示从连接于发动机101的ECU100a发送的帧中的ID(消息ID)以及数据域(数据)的一例的图。ECU100a发送的帧的消息ID为“1”。数据表示时速(千米/小时),取最低0(千米/小时)到最高180(千米/小时)的范围内的值,数据长度为1个字节。图5的第一行至最后一行示例了与从ECU100a依次发送的各帧对应的各消息ID以及数据,表示了从0千米/小时逐次加速1千米/小时的情况。
[1.6制动器涉及的ECU100b的发送帧例]
图6是表示从连接于制动器102的ECU100b发送的帧中的ID(消息ID)以及数据域(数据)的一例的图。ECU100b发送的帧的消息ID为“2”。数据用比例(%)表示制动的施加情况,数据长度为1个字节。该比例是以完全没有施加制动的状态为0(%),以最大限度施加制动的状态为100(%)的值。图6的第一行至最后一行示例了与从ECU100b依次发送的各帧对应的各消息ID以及数据,表示了从100%渐渐减弱制动的情况。
[1.7车门开闭传感器涉及的ECU100c的发送帧例]
图7是表示从连接于车门开闭传感器103的ECU100c发送的帧中的ID(消息ID)以及数据域(数据)的一例的图。ECU100c发送的帧的消息ID为“3”。数据表示车门的开闭状态,数据长度为1个字节。关于数据的值,车门打开的状态为“1”,车门关闭的状态为“0”。图7的第一行至最后一行示例了与从ECU100c依次发送的各帧对应的各消息ID以及数据,表示了车门由打开的状态逐渐转变到关闭的状态的情况。
[1.8车窗开闭传感器涉及的ECU100d的发送帧例]
图8是表示从连接于车窗开闭传感器104的ECU100d发送的帧中的ID(消息ID)以及数据域(数据)的一例的图。ECU100d发送的帧的消息ID为“4”。数据用比例(%)表示车窗的开闭状态,数据长度为1个字节。该比例是以车窗完全关闭的状态为0(%),以车窗全开的状态为100(%)的值。图8的第一行至最后一行示例了与从ECU100d依次发送的各帧对应的各消息ID以及数据,表示了车窗从关闭的状态渐渐打开的情况。
[1.9角部传感器涉及的ECU100e的发送帧例]
图9是表示从连接于角部传感器105的ECU100e发送的帧中的ID(消息ID)以及数据域(数据)的一例的图。ECU100e发送的帧的消息ID为“5”。数据在角部传感器105检测到从车辆的角部到一定距离范围内存在障碍物时为“1”,在没有检测到障碍物时为“0”。图9的第一行至最后一行示例了与从ECU100e依次发送的各帧对应的各消息ID以及数据,表示了由在车辆的角部未检测到障碍物的状态逐渐转变到检测到障碍物的状态的情况。
[1.10网关300a的结构]
图10是网关300a的结构图。网关300a构成为包括帧收发部310、帧解释部320、接收ID判断部330、接收ID列表保持部340、不正常判定处理部350、不正常判定规则保持部360、转送处理部370、转送规则保持部380以及帧生成部390。这些各构成要素的各功能例如通过网关300a中的通信电路、执行保存于存储器的控制程序的处理器或者数字电路等来实现。此外,网关300b也具备与网关300a基本同样的结构。
帧收发部310分别向总线200a、200b发送、从总线200a、200b接收遵循CAN协议的帧。从总线逐比特地接收帧,并转送给帧解释部320。另外,基于从帧生成部390收到了通知的表示转送目的地的总线的总线信息以及帧,将该帧的内容逐比特地发送给总线200a、200b。
帧解释部320从帧收发部310接收帧的值,并进行解释以使得映射到由CAN协议规定的帧格式的各域。将判断为是ID域的值向接收ID判断部330进行转送。帧解释部320根据从接收ID判断部330通知的判定结果,决定是将ID域的值、和出现在ID域之后的数据域(数据)转送给不正常判定处理部350,还是在收到了该判定结果之后中止帧的接收。另外,帧解释部320在判断为是未遵循CAN协议的帧的情况下,以发送错误帧的方式通知给帧生成部390。另外,帧解释部320在接收到错误帧的情况下,也就是说根据所接收到的帧中的值而解释为成为错误帧的情况下,自此之后将该帧废弃,也就是中止帧的解释。
接收ID判断部330从帧解释部320接收被通知的ID域的值,按照接收ID列表保持部340所保持的消息ID的列表,进行是否接收该ID域之后的帧的各域的判定。接收ID判断部330将该判定结果通知给帧解释部320。
接收ID列表保持部340保持网关300a所要接收的ID(消息ID)的列表、即接收ID列表(参照图4)。
不正常判定处理部350从帧解释部320接收被通知的ID域的值,基于不正常判定规则保持部360所保持的不正常判定规则(与消息ID、发送帧的周期相关联的信息),进行与所接收到的帧是不正常还是正常有关的不正常判定处理。在不正常判定处理中,在接收帧时,判别能否决定其是否正常,根据该判别结果,选定对用于转送的发送用帧的数据域附加的控制指示数据的内容,将控制指示数据通知给转送处理部370。不正常判定处理部350在帧的接收时无法迅速地决定是否正常的情况下,也就是说有可能可以在将所接收到的帧迅速地转送后决定帧是否正常的情况下,以控制指示数据的值表示指示待机的控制信息。图11中表示包含控制指示数据的数据域的数据格式的一例。
不正常判定规则保持部360保持关于网关300a可能接收的帧的不正常判定规则。图12表示不正常判定规则的一例。
转送处理部370按照转送规则保持部380所保持的转送规则,根据接收到的帧的ID(消息ID),决定进行转送的总线,将下述内容通知给帧生成部390:表示进行转送的总线的总线信息、从帧解释部320通知的消息ID、数据、以及从不正常判定处理部350通知的控制指示数据。此外,网关300a并不将从某条总线接收的错误帧转送给其他总线。
转送规则保持部380保持表示每条总线的关于帧的转送的规则的信息、即转送规则。图13是示出了转送规则的一例的图。
帧生成部390按照从帧解释部320通知的指示错误帧的发送的通知,构成错误帧,将错误帧通知给帧收发部310并使其发送该错误帧。另外,帧生成部390使用由转送处理部370通知的消息ID、数据以及控制指示数据,构成帧,并将该帧以及总线信息通知给帧收发部310。
[1.11帧的数据域的格式例]
图11是表示在帧的转送时进行发送所使用的发送用帧的数据域的一例的图。
在发送用帧的数据域中,除了网关300a从ECU接收到的帧的数据域中所保存的数据,还保存有控制指示数据。
如图11所示例的那样,发送用帧中的控制指示数据例如构成为包括待机标志、待机结束指示标志以及待机结束指示有无标志。
待机标志例如是控制指示数据的区域的开头位(bit)等,表示在ECU(接收到帧的ECU100a~100e等)中在接收到发送用帧后是否需要对与该帧的数据对应的处理进行待机。根据图11的例子,在对接收到帧的ECU进行指示以使得不执行与该帧的数据对应的处理而进行待机的情况下,将待机标志的值设为“1”,在不需要待机的情况下,将待机标志的值设为“0”。如果帧内的待机标志的值为“1”,则在接收到帧的ECU中保持该帧,对接收后的处理进行阻止,直到一定条件(例如通过后面的帧内的待机结束指示标志指示了待机解除、也就是允许开始执行处理等)成立为止。如果帧内的待机标志的值为“0”,则在接收到帧的ECU中可以立即执行与该帧的数据相应的功能处理。在帧的转送时附加于发送用帧的控制指示数据的默认值为0,待机标志是表示不需要待机之意的状态,但网关300a通过不正常判定处理,在一定的情况下,设定待机标志以使其表示待机指示。
待机结束指示标志例如是控制指示数据的区域的最末尾位等,是指示关于在ECU中对过去接收到的帧进行保持并等待允许开始执行处理的、与该帧相应的处理的处理方法(待机解除或者废弃)的标志。根据图11的例子,在指示待机解除(也就是允许开始执行处理)的情况下,将待机结束指示标志的值设为“1”,在指示废弃(也就是不执行与帧相应的处理而将帧废弃)的情况下,将待机结束指示标志的值设为“0”。
待机结束指示有无标志例如是控制指示数据的区域的开始位与最末尾位之间的1个比特等,是表示待机结束指示标志是否有效的标志。某个帧中的控制指示数据包含有与该帧的处理的待机有关的待机标志,但可能存在包含指示关于先行的帧的处理方法(待机解除或者废弃)的待机结束指示标志的情况和不包含该待机结束指示标志的情况。根据图11的例子,在控制指示数据中,在包含有效的待机结束指示标志的情况下,将待机结束指示有无标志的值设为“1”,在不包含有效的待机结束指示标志的情况下,将待机结束指示有无标志的值设为“0”。
[1.12不正常判定规则例]
图12表示网关300a的不正常判定规则保持部360所保持的不正常判定规则的一例。不正常判定规则用于判别帧是否是在车载网络系统10中依照预先确定的规则而发送的正常的帧(是否为不正常的帧)。在图12中示例了不正常判定规则保持部360所保持的不正常判定规则中的一部分。图12的不正常判定规则的例子表示了网关300a在所连接的总线上收发的各帧的按照ID(消息ID)的帧的发送周期。在图12的例子中,表示了消息ID为“1”、“2”、“3”、“4”的各个帧被发送的周期分别是24、24、120、90msec。
在网关300a中,基于如图12所示例的周期、和一定量(例如3ms)的余裕(margin),根据接收到的帧和相同ID的前一次接收到的帧之间的接收间隔来判定帧是否正常。例如,考虑到当在总线上帧之间发生冲突的情况下的由仲裁(再发送控制)引起的接收间隔的波动,如果接收间隔在周期加减一定量(例如3ms)的余裕的范围内,则将接收到的帧判定为正常。另外,尽管是以比该周期减余裕短的接收间隔接收到的帧,但不存在以比周期加余裕短且比周期减余裕长的接收间隔接收到的相同ID的帧的情况下,也判定为正常。关于以比周期减余裕短的接收间隔接收到的帧,在存在以比该周期加余裕短且比周期减余裕长的接收间隔接收到的相同ID的帧的情况下,判定为不正常。在此,设为不论对哪个ID的帧都确定有相同量的余裕来进行说明,但也可以按照ID使余裕的量不同。
[1.13转送规则例]
图13表示网关300a等的转送规则保持部380所保持的转送规则的一例。图13的由转送表所规定的转送规则使转送源的总线、转送目的地的总线以及转送对象的ID(消息ID)相关联。按照转送规则,网关300a决定是否进行转送、向哪条总线进行转送等。
在图13的例子中,表示了设定为与消息ID无关地将从总线200a接收的帧向总线200b转送这一情况。另外,表示了设定为仅将从总线200b接收的帧中的、消息ID为“3”的帧转送给总线200a这一情况。此外,在图13的例子中,一并显示了网关300b的转送规则保持部380所保持的转送规则,表示了设定为将从总线200b接收的帧全部转送给总线200c,但并不将从总线200c接收的帧向总线200b转送这一情况。
[1.14帧的转送涉及的工作例]
图14表示如下工作例:网关300a接收到从ECU100a发送给总线200a的帧时,进行帧是正常还是不正常的判定,在满足了预定条件的情况下,使设定了指示待机的待机标志的控制指示数据包含于帧并转送给总线200b。该预定条件是在关于接收到的帧的转送时,在无法决定帧是否正常的状况下所满足的条件。以下,结合图14,说明各装置的工作的概要。关于各装置的详细的工作,将在后面使用图15~图19进行说明。
首先,ECU100a执行向总线200a发送帧的帧发送处理(步骤S10)。
网关300a接收从ECU100a发送的帧(步骤S20)。
网关300a基于不正常判定规则,进行判定接收到的帧是正常还是不正常的不正常判定处理(步骤S30)。通过该不正常判定处理,例如可以在攻击者不正常地访问车载网络(总线200a~200c等)并发送了不正常的帧(不符合帧应该遵从的预先确定的规则的帧)的情况下,能够并不转送而废弃该帧。但是,对于虽然与帧应该遵从的规则相符合的程度低,但有可能最终被判定(决定)为是正常的帧,网关300a并不立即进行废弃,而能够在帧的转送之后进行用于最终的判定的最终判定处理。如果能够立即判定所接收到的帧是否正常,网关300a则生成包含设定有表示不需要待机的待机标志的控制指示数据的发送用帧。在图14中,表示了无法立即判定(决定)所接收到的帧是否正常的状况这一满足预定条件的例子。在该预定条件得到满足的情况下,应该在帧的转送时通知对于帧是否正常是未决定的,网关300a生成包含设定了表示待机指示的待机标志的控制指示数据的发送用帧。而且,网关300a设定计时器以使得在能够最终地判定所接收到的帧是否正常的定时执行最终判定处理。
网关300a将包含设定了表示待机指示的待机标志的控制指示数据的发送用帧发送给总线200b(步骤S31)。
ECU100c接收在步骤S31中由网关300a发送给总线200b的帧(步骤S32)。
ECU100c对接收到的帧中所包含的控制指示数据的待机标志进行确认,阻止该帧的接收后的处理的执行并保持该帧,进行等待接下来的指示的待机处理(步骤S33)。
网关300a根据在步骤S30时设定的计时器,在能够最终地判定所接收到的帧是否正常的定时执行最终判定处理(步骤S40)。在图14中,表示了在最终判定处理中判定为帧正常的例子。
网关300a根据由最终判定处理得到的判定结果,设定待机结束指示标志,进而生成含有将待机结束指示有无标志的值设为表示包含有效的待机结束指示标志这一意思的值“1”的控制指示数据的帧并进行发送(步骤S41)。此外,在网关300a中,如果由最终判定处理得到的判定结果为正常,则设定待机结束指示标志以表示待机解除指示,如果为不正常则设定待机结束指示标志以表示废弃指示。另外,包含有效的待机结束指示标志的控制指示数据既可以保存在网关300a转送另行接收的帧时的发送用帧中,也可以保存在并非转送而是新生成的帧中。在将包含有效的待机结束指示标志的控制指示数据保存在网关300a转送另行接收的帧时的发送用帧中的情况下,该控制指示数据的待机标志根据能否立即判定该另行接收的帧正常与否来设定。
ECU100c接收在步骤S41中由网关300a发送给总线200b的帧(步骤S42)。
ECU100c确认出在步骤S42中接收到的帧所包含的控制指示数据的待机结束指示有无标志为“1”,对待机结束指示标志进行确认,在表示待机解除指示的情况下开始已经进行了待机处理而保持着的帧的执行(步骤S43)。在受到该待机解除指示的情况下,对于ECU100c而言,在步骤S32中接收到的待机指示变成表示应该延迟开始执行帧的处理这一意思的指示,从在步骤S43中帧的接收起开始所延迟的执行。
此后,ECU100a向总线200a发送接下来的帧(步骤S50),网关300a接收从ECU100a发送的帧(步骤S60)。
[1.15 ECU100a的帧发送处理]
图15是表示ECU100a中的帧发送处理的一例的流程图。
ECU100a通过数据取得部170取得表示与ECU100a连接的传感器等的状态的传感数据,通知给帧生成部180(步骤S101)。
ECU100a基于所取得的传感数据,在帧生成部180中生成进行发送的帧(步骤S102)。
ECU100a通过帧收发部110向总线200a发送由帧生成部180生成的帧(步骤S103)。在CAN中发送的帧并不指定发送目的地,因此被进行广播,连接于总线200a的各节点(网关300a等)可以对该帧进行接收。
[1.16网关300a的帧转送处理]
图16是表示网关300a中的、将从总线200a接收到的帧转送给总线200b的帧转送处理的一例的流程图。以下,结合该图,对网关300a的帧转送处理进行说明。
网关300a接收被发送给总线200a的帧(步骤S201)。
网关300a进行判定在步骤S201中接收到的帧是否正常的不正常判定处理(步骤S202)。在不正常判定处理(参照图17)中根据需要设定有计时器,根据计时器可能会在步骤S205之后执行最终判定处理(参照图18)。
网关300a确认由转送规则保持部380中保持的转送表所确定的转送规则(步骤S203)。
如果在转送表中确定有转送目的地的总线,则网关300a为了进行转送而生成转送帧(发送用帧)(步骤S204)。
网关300a将生成的发送用帧发送(广播)给总线200b(步骤S205)。
[1.17网关300a的不正常判定处理]
图17是表示网关300a中的、根据接收到的帧的发送间隔进行帧是正常还是不正常的判定的不正常判定处理的一例的流程图。以下,结合该图,对网关300a的不正常判定处理进行说明。
网关300a根据不正常判定规则保持部360所保持的不正常判定规则,取得与接收到的帧所包含的消息ID相应的周期(步骤S301)。
网关300a取得与接收到的帧具有相同的消息ID的、过去所接收到的帧的接收定时的信息(步骤S302)。
网关300a算出过去接收到的帧与当前接收到的帧的接收间隔(步骤S303)。
网关300a判定在步骤S303中算出的接收间隔是否比(周期-余裕)短(步骤S304)。
网关300a当在步骤S304中判定为接收间隔比(周期-余裕)短的情况下,判断为帧的周期异常,且需要时间来决定接收到的帧是否正常,并将关于与转送相关的发送用帧所包含的控制指示数据的待机标志设定为表示待机指示(步骤S305)。在此为便于说明,设为在接收间隔比(周期-余裕)短的情况下,判断为需要时间来决定接收到的帧是否正常,但是,例如也可以设为,仅在接收间隔比(周期-余裕)短的程度小于预先确定的一定程度的情况下,判断为需要时间来决定接收到的帧是否正常,在与周期偏离得大于一定程度的情况下,判断为帧不正常。
接着步骤S305,网关300a为了启动最终判定处理,设定计时器(步骤S306),所述最终判定处理是之后基于是否在由不正常判定规则所确定的(正规的周期±(加减)余裕)的范围内接收到相同ID的另外的帧来判定当前接收到的帧是否正常的处理。此外,网关300a对关于作为在最终判定处理中的判定对象的、当前接收到的帧的信息进行保持,直到启动最终判定处理为止。在步骤S306中,设定计时器以使得在将与当前接收到的帧具有相同的消息ID的帧的过去的接收定时、和(正规的周期+余裕)进行加法计算所得到的定时,启动最终判定处理。关于由计时器启动的最终判定处理,将在后面使用图18进行说明。
网关300a当在步骤S304中判定为接收间隔并不比(周期-余裕)短的情况下,判断为接收到的帧是正常的,并将过去接收到的帧的接收定时的信息废弃(步骤S307),保存当前接收到的帧的接收定时的信息(步骤S308)。此外,也可以进一步附加用于判断所接收到的帧正常的条件。另外,在判断为接收到的帧正常的情况下,网关300a将关于与转送相关的发送用帧所包含的控制指示数据的待机标志,保持为表示不需要待机的默认状态不变。
[1.18网关300a的最终判定处理]
图18是表示网关300a中的、进行接收到的帧是正常还是不正常的最终的判定的最终判定处理的一例的流程图。以下,结合该图,对网关300a的最终判定处理进行说明。
网关300a确认在从与成为最终判定处理中的判定对象的帧的ID相同的过去的帧的接收定时起的经过时间在(正规的周期±余裕)的范围内的接收定时,是否接收到了相同ID的另外的帧(步骤S401)。当在步骤S401中确认为在(正规的周期±余裕)的范围内的接收定时接收到了相同ID的另外的帧的情况下,网关300a使表示废弃指示的控制指示数据包含于发送用帧。即,在该情况下,网关300a最终判定(决定)为判定对象的帧是不正常的,对与转送相关的发送用帧所包含的控制指示数据设定下述信息:指示ECU废弃处于对帧的处理进行阻止而待机阶段的帧(步骤S402)。在步骤S402中,网关300a将控制指示数据的待机结束指示标志设定为表示废弃指示,将待机结束指示有无标志设定为表示待机结束指示标志是有效的这一意思。
在步骤S401中,确认为并未在(正规的周期±余裕)的范围内的接收定时接收到相同ID的另外的帧的情况下,网关300a使表示待机解除的控制指示数据包含于发送用帧。即,在该情况下,网关300a最终判定(决定)为判定对象的帧是正常的,对与转送相关的发送用帧所包含的控制指示数据设定下述信息:指示ECU开始执行处于对帧的处理进行阻止而待机阶段的帧的处理(也就是说待机解除)(步骤S403)。在步骤S403中,网关300a将控制指示数据的待机结束指示标志设定为表示待机解除指示,将待机结束指示有无标志设定为表示待机结束指示标志是有效的这一意思。此时,虽然在图18中进行了省略,但是网关300a可以进行过去的帧的接收定时的信息的废弃以及判定对象的帧的接收定时的保存(步骤S307、S308)。
在步骤S402或者步骤S403之后,网关300a将设定了与判定对象的帧相同的消息ID、并在数据域中包含控制指示数据的帧发送(广播)给总线200a(步骤S404)。
[1.19 ECU100c的帧接收处理]
图19是表示ECU100c中的帧接收处理的一例的流程图。以下,结合该图,对ECU100c的帧接收处理进行说明。
ECU100c接收被发送给总线200b的帧(步骤S501)。
ECU100c确认所接收到的帧的数据域内的控制指示数据,判定是否并未包含待机指示(步骤S502)。如果控制指示数据内的待机标志是表示待机指示的值“1”,则判定为包含有待机指示。在并未包含待机指示的情况(也就是说待机标志表示不需要待机的情况)下,ECU100c执行与接收到的帧相应的处理(与帧的数据相应的功能处理等)(步骤S503)。步骤S503中的处理的执行在帧的接收后迅速开始。
在步骤S502中判定为包含有待机指示的情况下,ECU100c对在步骤S501中接收到的帧进行保持,不开始执行对该帧的功能处理,在一定时间内等待接收接下来的待机结束指示(步骤S504)。也就是说,在步骤S504中,ECU100c等待接收与在步骤S501中接收到的帧具有相同ID的帧,且该帧的控制指示数据的待机结束指示有无标志表示具有有效的待机结束指示标志。该一定时间是足够用于发送待机结束指示的时间。在经过了一定时间,也没有接收到待机结束指示的情况下,ECU100c解除对于所保持的帧的待机,将该帧废弃(步骤S507)。
在步骤S504中接收到作为控制指示数据而包含有有效的待机结束指示标志、且具有相同ID的帧的情况下,ECU100c判别该待机结束指示标志是否是指示待机解除的标志(步骤S505)。也就是说,ECU100c判别是否由控制指示数据示出了开始执行正在等待执行处理的帧的处理的指示。
在步骤S505中判别为指示了待机解除的情况下,ECU100c解除关于正在等待执行处理的帧的待机状态,开始执行与该帧相应的功能处理(步骤S506)。另外,在步骤S505中判别为并非指示了待机解除而是指示了废弃的情况(判别为待机结束指示标志指示废弃的情况)下,ECU100c将正在等待执行处理的帧废弃(步骤S507)。
[1.20实施方式1的效果]
在实施方式1涉及的车载网络系统10中,网关300a通过在帧(数据帧)的数据域中设定控制指示数据并进行帧的发送,来控制ECU中的接收到的帧的处理。网关300a可以使控制指示数据包含对接收帧的ECU中的处理进行限制的控制信息(例如设定为表示待机指示的待机标志)。如此,网关300a在转送所接收到的帧时,通过发送设定了表示待机指示的控制指示数据的发送用帧,能够确保判定接收到的帧是否正常的处理所需要的时间。另外,在接收到的帧有可能最终被判定为正常的情况下,并非停止帧的转送,而是通过附加待机指示并进行帧的转送,能够防止在进行接收的ECU侧由于帧没有到达而执行异常处理等。也就是说,通过在转送时对帧附加的控制指示数据,能够在接收帧的ECU中,识别并非因发送帧的正规的ECU发生故障而没有收到帧的状态。另外,通过在网关300a中判定帧是正常还是不正常,从而不需要使单个的ECU100a~100e具有这种判定的功能,能够抑制作为系统整体的成本,能够使不正常判定规则的更新等变得容易。
(实施方式2)
以下,说明对实施方式1中示出的车载网络系统10的一部分进行变形而得到的车载网络系统20。
根据本实施方式涉及的车载网络系统20,在车载网络中收发使数据域内包含有数据与校验和的帧。而且,在总线间转送帧的网关装置并不对帧附加控制指示数据,而是根据需要使控制信息与校验和重叠。在本实施方式中,网关装置(网关1300a、1300b)对校验和重叠的信息例如是实施方式1中示出的控制指示数据的基于待机标志的待机指示、基于待机结束指示标志的待机解除指示、以及基于待机结束指示标志的废弃指示。另外,在车载网络系统20中,网关装置通过与车辆外的服务器400的通信来进行所接收到的帧是否正常的最终的判定。
[2.1车载网络系统20的整体结构]
图20是表示实施方式2涉及的车载网络系统20的整体结构的图。车载网络系统20构成为包括总线200a、200b、200c;网关1300a、1300b及连接于各种设备的ECU1100a~1100e等的ECU这样的连接于总线的各节点;车辆外的网络90以及服务器400。
该车载网络系统20将实施方式1中示出的车载网络系统10(参照图1)中的网关300a、300b以及ECU100a~100e替换为网关1300a、1300b以及ECU1100a~1100e,并追加了服务器400以及网络90。对于与实施方式1相同的构成部分,在图20中赋予相同的标号,并省略说明。对于在此没有说明的点,车载网络系统20与车载网络系统10是同样的。
ECU1100a~1100e与某一条总线连接,另外,分别连接于发动机101、制动器102、车门开闭传感器103、车窗开闭传感器104、角部传感器105。ECU1100a~1100e基本上与实施方式1中示出的ECU100a~100e具有同样的功能,还被附加了用于处理帧所包含的校验和的功能。ECU1100a~1100e分别取得所连接的设备的状态,定期地将包含表示状态的数据以及根据ID、DLC与该数据所算出的校验和的帧等发送给网络(也就是总线)。另外,ECU1100a~1100e确认所接收到的帧中的校验和,提取与校验和重叠的控制信息,进行关于是执行与接收到的帧的数据相应的功能处理还是进行待机等的控制。
网关1300a、1300b是连接不同的多个通信路径并在通信路径之间转送数据的网关装置。网关1300a连接总线200a和总线200b,总线200a连接着ECU1100a以及ECU1100b,总线200b连接着ECU1100c以及ECU1100d。另外,网关1300b连接总线200b和总线200c,总线200b连接着ECU1100c以及ECU1100d,总线200c连接着ECU1100e。
网关1300a、1300b具有如下功能:针对从一方的总线接收到的帧,进行与是正常还是不正常相关的条件判定,并根据需要使待机指示与帧内的校验和重叠,从而转送给其他总线。网关1300a、1300b中的帧的转送通过下述处理来实现:生成包含基于从一方的总线接收到的帧的内容的信息的发送用帧,将与该发送用帧的在ECU中接收后的处理的限制有关的信息(例如待机指示)根据需要包含于该发送用帧的数据域内的校验和中,从而将该发送用帧发送给其他总线。另外,网关1300a、1300b具有如下功能:经由网络90与车辆外的服务器400进行通信,发送关于从总线接收到的帧的信息,接收是正常还是不正常的判定结果。另外,网关1300a、1300b也可以在每个所连接的总线间切换是否对接收到的帧进行转送。网关1300a、1300b也是一种ECU。
服务器400是经由网络90与网关1300a、1300b通信,取得并蓄积在车载网络中发送的帧的信息的计算机。服务器400例如能够以1天1次等周期,从网关1300a等取得与在总线上接收到的帧有关的信息并进行蓄积和管理。服务器400具有如下功能:基于所蓄积的信息,针对从网关1300a、1300b发送的信息的判定对象的帧,判定是正常还是不正常,并将该判定结果通知给网关1300a、1300b。经由网络90的通信可以应用无线通信或者有线通信的任意的通信协议。
[2.2帧的数据域的格式例]
图21是表示ECU1100a~1100e发送的帧的数据域的格式的一例的图。该格式的帧也被进行转送的网关1300a、1300b发送。
数据域中包含有表示传感数据的值的数据、以及根据ID、DLC与该数据算出的校验和。此外,不需要将ID、DLC以及数据全部用于校验和的算出,可以利用任意的组合等。校验和是用于确认作为帧的一部分内容的ID、DLC或者数据等的值在转送过程中是否发生了变化的、反映了该帧的一部分内容而得到的验证用的信息。在帧的发送源的ECU中,设定校验和以使其成为反映了帧的至少一部分内容的值,在接收到帧的ECU中,基于帧的该一部分内容,验证校验和。
[2.3校验和的算出例]
图22是表示在校验和的算出中使用的信息的一例的图。
ECU1100a~1100e例如如图22所示那样,通过将帧的11比特的ID(消息ID)的高位8比特、4比特的DLC、和按8比特(1个字节)划分的与DLC的值相当的长的数据全部相加,算出校验和。在该例子中,校验和为8比特,在校验和的算出中,为了使ID变为8比特而仅提取高位的比特,对剩余部分进行删除。另外,也为了使DLC变为8比特而将剩余的4比特(低位4比特)用比特值“0”进行填充。通过将全部调整为8比特后的ID、DLC、按8比特划分的数据全部相加,算出校验和。
网关1300a、1300b将与实施方式1中示出的网关300a、300b所设定的控制指示数据的基于待机标志的待机指示、基于待机结束指示标志的待机解除指示、以及基于待机结束指示标志的废弃指示各自相当的各控制信息,在转送时根据需要与校验和进行重叠。作为具体例,将DLC的填充部分的低位4比特中、开头的1比特在待机指示的情况下设为比特值“1”,将接下来的1比特在待机解除指示的情况下设为比特值“1”,将接下来的1比特在废弃指示的情况下设为比特值“1”,从而进行校验和的算出。网关1300a、1300b在无法对接收到的帧在接收该帧时完成是正常还是不正常的最终的判定(决定)的情况下,使表示待机指示的控制信息与帧的校验和重叠,发送该帧,由此,进行帧的转送。另外,网关1300a、1300b在针对帧进行了待机指示后,当该帧是正常还是不正常的最终的判定(决定)完成时,发送使控制信息与校验和重叠而得到的帧,如果判定为该帧正常则所述控制信息表示待机解除指示,亦或,如果判定为该帧不正常则所述控制信息表示废弃指示。
[2.4 ECU1100a的结构]
ECU1100a基本上与ECU100a具有同样的结构(参照图3)。但是,在ECU1100a中,通过帧生成部180对所生成的帧附加校验和。另外,在帧处理部150中,进行帧内的校验和的确认,如果附加有待机指示、待机解除指示或者废弃指示这样的控制信息,则进行提取,并根据该控制信息对处理进行阻止,针对帧进行待机、解除待机而开始执行进行了待机的帧的处理、或者将进行了待机的帧废弃。
[2.5网关1300a的结构]
图23是网关1300a的结构图。网关1300a构成为包括帧收发部310、帧解释部320、接收ID判断部330、接收ID列表保持部340、不正常判定处理部1350、外部通信部1351、不正常判定规则保持部360、转送处理部370、转送规则保持部380以及帧生成部1390。这些各构成要素的各功能例如通过网关1300a中的通信电路、执行保存于存储器的控制程序的处理器或者数字电路等来实现。此外,网关1300b也具备与网关1300a基本同样的结构。此外,对于网关1300a的构成部分中的、与实施方式1中示出的网关300a(参照图10)相同的构成部分,在图23中赋予相同的标号,并省略说明。
不正常判定处理部1350从帧解释部320接收被通知的ID域的值,基于不正常判定规则保持部360所保持的不正常判定规则(与消息ID、发送帧的周期相关联的信息),进行与所接收到的帧是不正常还是正常有关的不正常判定处理。在不正常判定处理中,在接收帧时,判别能否决定其是否正常,根据该判别结果,选择是否对要转送的帧的校验和重叠表示待机指示的控制信息,将选择结果通知给转送处理部370。该选择结果例如与实施方式1中示出的控制指示数据的待机标志是同样的。不正常判定处理部1350当无法在帧的接收时迅速地决定其是否正常的情况下,将使得对校验和重叠指示待机的控制信息的选择结果通知给转送处理部370。该选择结果经由转送处理部370传递给帧生成部1390,被用于要生成的帧所包含的校验和的算出。此外,不正常判定处理部1350当无法在帧的接收时迅速地决定其是否正常的情况下,通过将接收到的帧的消息ID、数据域的内容以及接收定时(时刻)等信息经由外部通信部1351通知给服务器400,从而将该接收到的帧作为判定对象来对最终的判定进行委托。当收到该委托时,在服务器400中,对判定对象的帧是正常还是不正常进行判定(决定),该判定结果经由网关1300a的外部通信部1351通知给不正常判定处理部1350。关于无法在帧的接收时迅速地决定其是否正常的情况,与实施方式1中示出的不正常判定处理部350同样地,是帧的接收间隔比(周期-余裕)短的情况。此外,不正常判定处理部1350也可以为,仅在帧的接收间隔比(周期-余裕)短的程度小于预先确定的一定程度的情况下,判断为无法在帧的接收时迅速地决定所接收到的帧是否正常,在与周期偏离得大于一定程度的情况下,判断为帧不正常。不正常判定处理部1350进行控制以使得根据服务器400中的判定结果,经由转送处理部370使帧生成部1390生成帧,并将该帧发送给之前被发送了包含指示待机的控制信息的帧的总线。即,不正常判定处理部1350进行控制以使得发送下述帧:如果在服务器400中判定为不正常则使校验和与指示废弃的控制信息重叠而得到的帧,如果判定为正常则使校验和与指示待机解除的控制信息重叠而得到的帧。
外部通信部1351按照从不正常判定处理部1350通知的数据,向服务器400发送数据从而委托(请求)进行判定。另外,将从服务器400通知的判定结果通知给不正常判定处理部1350。即,外部通信部1351向搭载本装置(网关1300a)的车辆的外部的装置发送了关于帧是否正常的判定(决定)的请求后,接收该决定的结果(判定结果)。
帧生成部1390按照从帧解释部320通知的指示错误帧的发送的通知,构成错误帧,将错误帧通知给帧收发部310并使其发送该错误帧。另外,帧生成部1390使用由转送处理部370通知的消息ID、数据以及控制指示数据(指示待机、待机解除或者废弃的控制信息的指定),算出校验和并构成帧,并将该帧以及总线信息通知给帧收发部310。
[2.6服务器400的结构]
图24是服务器400的结构图。服务器400构成为包括通信部410、不正常判定部420以及车辆数据保持部430。
通信部410经由网络90与网关1300a、1300b通信。另外,将来自网关1300a、1300b的被通知的、在车载网络中被发送的帧的信息通知给车辆数据保持部430。另外,将从不正常判定部420接收到的通知内容通知给网关1300a、1300b。
不正常判定部420在服务器400被网关1300a等委托了关于帧是否正常的最终的判定时,基于经由通信部410接收到的信息、和蓄积于车辆数据保持部430的过去所取得的与在车载网络中被发送的帧有关的信息,对判定对象的帧是否正常进行判定。不正常判定部420将判定结果通知给通信部410。
车辆数据保持部430具有保持车辆数据的功能,所述车辆数据是在车载网络中被发送的帧的信息。
[2.7车辆数据例]
图25是表示服务器400所保持的车辆数据的一例的图。
该图表示作为车辆数据,按照搭载于特定的车辆的ECU所发送的帧的各消息ID,记录了至今为止的周期异常发生次数的例子。服务器400从网关1300a、1300b接收在车载网络中被发送的帧的接收时刻等信息,因此,蓄积该信息,例如随时对帧的周期进行解析并记录发生周期异常的次数。该图中示例的车辆数据对1台车辆的信息进行了表示,但是,服务器400可以保持关于多个车辆各自的信息。
[2.8 ECU1100a的帧发送处理]
图26是表示ECU1100a中的帧发送处理的一例的流程图。在该图中,对于与实施方式1中示出的ECU100a的帧发送处理(参照图15)相同的步骤,赋予相同的标号,在此适当地省略说明。
ECU1100a基于在步骤S101中取得的传感数据,在帧生成部180中,将校验和包含在数据域内的数据之后,生成进行发送的帧(步骤S1102)。ECU1100a根据图22中示出的信息,算出校验和。然后,在步骤S103中,ECU1100a将所生成的帧发送给总线200a。
[2.9网关1300a的帧转送处理]
图27是表示网关1300a中的、将从总线200a接收到的帧转送给总线200b的帧转送处理的一例的流程图。在该图中,对于与实施方式1中示出的网关300a的帧转送处理(参照图16)相同的步骤,赋予相同的标号,在此适当地省略说明。
网关1300a进行不正常判定处理,所述不正常判定处理对于在步骤S201中从总线200a接收到的帧是否正常进行判定(步骤S1202)。网关1300a在不正常判定处理中根据需要向服务器400委托判定。关于不正常判定处理,将在后面使用图28进行说明。
如果在确定转送规则的转送表中确定有转送目的地的总线,则网关1300a为了进行转送而生成转送帧(包含校验和的发送用帧)(步骤S1204)。在生成包含校验和的发送用帧时,网关1300a基于步骤S1202中的不正常判定处理的结果,仅在无法在帧的接收时迅速地决定其是否正常的情况下,对校验和重叠指示待机的控制信息,在其他情况下,根据图22中示出的信息,算出校验和。然后在步骤S205中,网关1300a将附有校验和的发送用帧发送(广播)给总线200b。
[2.10网关1300a的不正常判定处理]
图28是表示网关1300a中的、根据接收到的帧的发送间隔来进行帧是正常还是不正常的判定的不正常判定处理的一例的流程图。在该图中,对于与实施方式1中示出的网关300a的不正常判定处理(参照图17)相同的步骤,赋予相同的标号,在此适当地省略说明。
网关1300a当在步骤S304中判定为接收间隔比(周期-余裕)短的情况下,判断为帧的周期异常,且需要时间来决定接收到的帧是否正常,设定为对发送用帧所包含的校验和重叠表示待机指示的控制信息(步骤S1305)。网关1300a例如将控制指示数据的待机标志设定为表示待机指示,将控制指示数据经由转送处理部370传递给帧生成部1390。而且,在帧生成部1390中,基于该控制指示数据,使校验和与表示待机指示的控制信息重叠。
接着步骤S1305,网关1300a通过将接收到的帧的消息ID、数据域的内容、和接收定时(时刻)的信息通知给服务器400,从而将该接收到的帧作为判定对象进行最终的判定的委托(步骤S1306)。网关1300a在向服务器400委托了判定的情况下,进行为了之后获得来自服务器400的判定结果的服务器判定应对处理。
[2.11网关1300a的服务器判定应对处理]
图29是表示网关1300a向服务器400委托了判定后所进行的服务器判定应对处理的一例的流程图。以下,结合该图,对网关1300a的服务器判定应对处理进行说明。
网关1300a从服务器400接收判定结果(S1400)。
在服务器400的判定结果表示判定对象的帧不正常的情况下(步骤S1401),网关1300a进行设定以使得对校验和重叠指示废弃的控制信息(步骤S1402)。网关1300a例如将控制指示数据的待机结束指示标志设定为表示废弃指示,将控制指示数据经由转送处理部370传递给帧生成部1390。而且,在帧生成部1390中,基于该控制指示数据,使校验和与表示废弃指示的控制信息重叠。
在服务器400的判定结果表示判定对象的帧并非为不正常(是正常的)的情况下(步骤S1401),网关1300a进行设定以使得对校验和重叠指示待机解除(也就是说开始执行对帧的功能处理)的控制信息(步骤S1403)。网关1300a例如将控制指示数据的待机结束指示标志设定为表示待机解除指示,将控制指示数据经由转送处理部370传递给帧生成部1390。而且,在帧生成部1390中,基于该控制指示数据,使校验和与表示待机解除指示的控制信息重叠。虽然在图29中进行了省略,但是网关1300a可以进行过去的帧的接收定时的信息的废弃以及判定对象的帧的接收定时的保存(步骤S307、S308)。
在步骤S1402或者步骤S1403之后,网关1300a将设定了与判定对象的帧相同的消息ID、并使重叠有表示待机解除或者废弃指示的控制信息的校验和包含于数据域而得到的帧发送(广播)给总线200a(步骤S1404)。
[2.12服务器400的工作例]
图30是表示服务器400被委托了来自网关1300a的关于判定对象的帧是正常还是不正常的判定的情况下所进行的判定处理的工作例的流程图。
服务器400接收作为判定的委托的数据(判定对象的帧的消息ID、数据域的内容、接收定时(时刻)等信息)(步骤S1601)。
服务器400基于车辆数据(参照图25),根据判定对象的帧的消息ID的帧,确认迄今为止是否时常(一定数量以上)发生周期异常(步骤S1602),如果是时常发生周期异常,则判定为判定对象的帧是正常的(步骤S1603)。另外,如果并非时常发生周期异常,则服务器400判定为判定对象的帧是不正常的(步骤S1604)。
接着步骤S1603或者步骤S1604,服务器400将关于判定对象的帧是正常还是不正常的判定结果发送给判定的委托源的网关1300a(步骤S1605)。
[2.13 ECU1100c的帧接收处理]
图31是表示ECU1100c中的帧接收处理的一例的流程图。在该图中,对于与实施方式1中示出的ECU100c的帧接收处理(参照图19)相同的步骤,赋予相同的标号,在此适当地省略说明。
ECU1100c进行用于确认在步骤S501中接收到的帧的数据域内的校验和的校验和确认处理(步骤S1511)。通过校验和确认处理,在校验和与待机指示、待机解除指示或者废弃指示重叠的情况下,提取这些指示。
接着,ECU1100c判定所接收到的帧是否并未包含待机指示(步骤S1502)。如果通过校验和确认处理提取到待机指示,则判定为包含有待机指示。在并未包含待机指示的情况(也就是说表示待机指示的控制信息没有重叠于校验和的情况)下,ECU1100c执行与接收到的帧相应的处理(与帧的数据相应的功能处理等)(步骤S503)。
在步骤S1502中判定为包含有待机指示的情况下,ECU1100c对在步骤S501中接收到的帧进行保持,不开始执行对该帧的功能处理,在一定时间内等待接收接下来的待机结束指示(待机解除指示或者废弃指示)(步骤S1504)。也就是说,在步骤S1504中,ECU1100c等待接收与在步骤S501中接收到的帧具有相同ID的帧,且该帧的校验和与指示待机解除或者废弃的控制信息重叠。此外,关于是否重叠有控制信息,通过进行与步骤S1511同样的校验和确认处理来判定。在经过了一定时间,也没有接收到待机结束指示的情况下,ECU1100c解除对于所保持的帧的待机,将该帧废弃(步骤S507)。
在步骤S1504中判定为接收到了待机结束指示的情况下,ECU1100c判定是否是处理的指示、即待机解除指示(步骤S1505)。待机解除指示是关于待机帧(正在进行待机的帧)的功能处理的执行开始的指示。也就是说,ECU1100c判定作为开始执行正在等待执行处理的帧的处理的指示的、指示待机解除的控制信息是否重叠于校验和。此外,关于是否重叠有指示待机解除的控制信息,通过进行与步骤S1511同样的校验和确认处理来判定。
在步骤S1505中判别为指示了待机解除的情况下,ECU1100c解除关于正在等待执行处理的帧的待机状态,开始执行与该帧相应的功能处理(步骤S506)。另外,在步骤S1505中判定为并非指示待机解除而是指示废弃的控制信息重叠于校验和的情况下,ECU1100c将正在等待执行处理的帧废弃(步骤S507)。
[2.14 ECU1100c的校验和确认处理]
图32是表示ECU1100c中的校验和确认处理的一例的流程图。
ECU1100c使用接收到的帧所包含的消息ID、DLC和数据,如图22所示那样进行算出校验和的通常的计算,确认该通常的计算结果与接收到的帧内的校验和是否一致(步骤S1701)。如果一致,则待机指示等的控制信息并未重叠于校验和。
在步骤S1701中确认为接收到的帧内的校验和与校验和的通常的计算结果不一致的情况下,ECU1100c基于接收到的帧所包含的消息ID、DLC及数据、和对填充DLC的部分的1比特设定了“1”的待机指示的控制信息,进行算出校验和的计算,确认该计算结果与接收到的帧内的校验和是否一致(步骤S1702)。如果一致,则待机指示的控制信息重叠于校验和,ECU1100c提取该待机指示(步骤S1703)。
在步骤S1702中确认为接收到的帧内的校验和与对校验和重叠有待机指示的控制信息时的计算结果不一致的情况下,ECU1100c基于接收到的帧所包含的消息ID、DLC及数据、和对填充DLC的部分的另外1比特设定了“1”的待机解除指示的控制信息,进行算出校验和的计算,确认该计算结果与接收到的帧内的校验和是否一致(步骤S1704)。如果一致,则待机解除指示的控制信息重叠于校验和,ECU1100c提取该待机解除指示(步骤S1705)。
在步骤S1704中确认为接收到的帧内的校验和与对校验和重叠有待机解除指示的控制信息时的计算结果不一致的情况下,ECU1100c基于接收到的帧所包含的消息ID、DLC及数据、和对填充DLC的部分的又1比特设定了“1”的废弃指示的控制信息,进行算出校验和的计算,确认该计算结果与接收到的帧内的校验和是否一致(步骤S1706)。如果一致,则废弃指示的控制信息重叠于校验和,ECU1100c提取该废弃指示(步骤S1707)。
在步骤S1706中确认为接收到的帧内的校验和与对校验和重叠有废弃指示的控制信息时的计算结果不一致的情况下,ECU1100c对接收到的帧的校验和的验证失败,因此,进行错误处理(帧的处理的停止等),之后不进行关于该帧的处理(步骤S1708)。
[2.15实施方式2的效果]
在实施方式2涉及的车载网络系统20中,网关1300a通过对帧(数据帧)的数据域内的校验和重叠控制信息并进行帧的发送,控制ECU中的接收到的帧的处理。网关1300a可以对校验和重叠对接收帧的ECU中的处理进行限制的控制信息(例如设定为表示待机指示的控制信息)。如此,网关1300a在转送所接收到的帧时,通过发送设定了校验和以表示待机指示的发送用帧,能够确保判定接收到的帧是否正常的处理所需要的时间。因此,能够确保与车辆外部的服务器400通信并使服务器400进行判定的时间。另外,各ECU在保存于帧的校验和的区域中重叠控制信息,因此,在网关1300a转送帧时,不会使帧的数据长度增长。另外,在接收到的帧有可能最终被判定为正常的情况下,并非停止帧的转送,而是通过附加待机指示并进行帧的转送,能够防止在进行接收的ECU侧由于帧没有到达而执行异常处理等。也就是说,通过在转送时对帧的校验和重叠的控制信息,能够在接收帧的ECU中,识别并非因发送帧的正规的ECU发生故障而没有收到帧的状态。另外,通过在网关1300a以及服务器400中判定帧是正常还是不正常,从而不需要使单个的ECU1100a~1100e具有这种判定的功能,能够抑制作为系统整体的成本,能够使不正常判定规则的更新等变得容易。
(其他实施方式)
如上所述,作为本公开涉及的技术的示例,对实施方式1、2进行了说明。然而,本公开涉及的技术并不限定于此,也能够适用于进行了适当的变更、替换、附加、省略等的实施方式。例如,如下的变形例也包含在本公开的一个实施方式中。
(1)在上述实施方式中,以标准ID格式描述了CAN协议中的数据帧,但也可以是扩展ID格式。
(2)在上述实施方式1中,使控制指示数据包含于数据域,但也可以包含于数据域内的任意处,还可以包含于其他域。例如,也可以包含于扩展ID域、DLC域的一部分等。扩展ID域在扩展ID格式中位于保存基本ID的长11比特的域、接着的长1比特的SRR(SubstituteRemote Request:替代远程请求)位、又接着的长1比特的IDE(Identifier Extension:标识符扩展)位之后,保存长18比特的扩展ID。
(3)在上述实施方式2中,网关1300a为了使表示待机指示、待机解除指示或者废弃指示等的控制信息与帧的数据域内的校验和重叠,将表示待机指示等的控制信息用于校验和的算出。然而重叠控制信息的区域也可以是帧内的其他区域。例如,也可以使控制信息例如与CRC域重叠,当ECU在帧内设定消息认证码(MAC:Message Authentication Code)的情况下,也可以使控制信息与MAC重叠。MAC例如是利用在ECU、网关之间持有的公用密钥,并例如基于帧的数据、每次发送帧时进行计数的计数器等而生成的,可以使控制信息包含于用于生成MAC的计算式中。另外,可以使校验和包含于数据域内的任意处,也可以使其包含于数据域以外,例如可以使其包含于扩展ID域。
(4)在上述实施方式1中,示出了将设定了有效的待机结束指示标志的控制指示数据,作为与接收到并进行了待机的帧具有相同ID的新的帧进行发送的例子,但也可以作为控制指示数据而包含于在转送从ECU100a接收到的下一帧时的发送用帧。另外,在实施方式1中,示出了控制指示数据通过待机结束指示标志来指示前一个帧的待机解除或者废弃的例子,但也可以为包含表示前任意个数的数据,指定成为待机解除或者废弃的对象的帧。另外,在实施方式1中,网关300a根据步骤S401的判定的结果来发送表示待机解除指示的帧,但除此之外,也可以基于执行任意的不正常判定算法而得到的结果,发送表示待机解除指示或者废弃指示的帧。另外,在实施方式1中,示出了进行接收的ECU100c如果在一定时间内没有接收到与正在待机的帧具有相同ID的帧则将正在待机的帧废弃的例子,但作为要废弃的帧的个数、一定时间等,可以设定为任意的值。另外,网关300a发送包含待机指示的帧的情况下,也可以在该帧中包含应该待机的时间等其他的指示内容。由此,若经过了应该待机的时间,则ECU可以无需等待指示待机解除或者废弃的帧,而将为了待机所保持的帧废弃,能够有效地利用用于保持帧的存储器等的区域。
(5)上述实施方式中的网关300a、300b、1300a、1300b等网关装置只要是具有将接收到的帧转送给总线的功能的装置则可以是任意的装置。网关装置例如也可以是从车辆外部的装置接收帧并向车载网络的1条总线进行转送的主机(head unit)等ECU。这里的转送只要是基于接收到的帧(数据)而生成的帧的发送即可,也可以是对接收到的帧的内容的一部分进行变更并发送。例如,接收到特定的消息ID的帧,对消息ID和/或数据域的一部分进行变更并重新发送的ECU即为网关装置。
(6)上述实施方式中示出的CAN协议也可以是还包括TTCAN(Time-Triggered CAN:时间触发CAN)、CANFD(CAN with Flexible Data Rate:具有灵活数据传输率的CAN)等派生协议的具有广义含义的CAN协议。
(7)上述实施方式中示出的网关装置(例如网关300a、1300a等)也可以在向多条总线转送帧的情况下,仅使向特定的总线(例如重要的总线等)转送的帧包含指示待机的控制信息(例如将待机标志设定为指示待机而得到的控制指示数据、或者加上待机指示的1比特而算出的校验和等)。
(8)在上述实施方式2中,示出了网关装置(例如网关1300a)具有外部通信部1351的例子,但也可以经由与车载网络连接的主机或者其他ECU(具有与车外进行通信的功能的装置)进行通信。主机例如是为了多媒体再现、汽车导航等功能而具有与车辆外部通信的功能的ECU。
(9)上述实施方式1中示出的ECU100a~100e也可以使发送给总线的帧包含控制指示数据(例如使待机标志表示不需要待机、使待机结束指示有无标志表示“无”而得到的指示数据等)。在该情况下网关300a等网关装置在转送该帧时可以变更控制指示数据的内容。此外,控制指示数据也可以被限定地附加于具有特定的消息ID的帧。此外,在接收帧的ECU中,按照消息ID对ECU预先确定有通常所发送的帧的数据长度,因此,基于DLC,在网关中能够区分是否附加有控制指示数据。
(10)上述实施方式中示出的网关装置以与接收到的帧的转送相关的方式,使发送用帧包含控制信息(包含表示一定的值的控制指示数据)。作为该控制信息,例如有第一控制信息和第二控制信息,所述第一控制信息包含于在帧的接收时进行发送的发送用帧,所述第二控制信息包含于在该接收之后基于关于接收到的帧是否正常的最终的判定结果进行发送的发送用帧。第一控制信息例如是待机指示,其例如表示应该让接收到包含该第一控制信息的帧的ECU延迟开始执行与该帧关联的处理,直到接收到包含与该帧的处理方法有关的信息的帧为止之意。另外,该待机指示例如表示应该让接收到包含该第一控制信息的帧的ECU阻止执行与该帧关联的处理,直到满足一定条件(接收到包含第二控制信息的帧或者经过了一定时间等条件)为止之意。此外,第一控制信息也可以说是表示要按照包含该第一控制信息的帧的处理进行指示这一预告(尚未做出该帧是否正常的最终的决定的状况的报告)。另外,第二控制信息是根据与网关装置接收到的帧相关的最终的判定结果而确定的控制信息,例如是表示应该开始执行该帧的处理这一意思的待机解除指示,或者表示应该废弃该帧这一意思的废弃指示等。
(11)在上述实施方式1中,示出了网关300a进行需要时间来判定(决定)接收到的帧是否正常的最终判定处理的例子,在实施方式2中,示出了服务器400进行需要时间来判定网关1300a所接收到的帧是否正常的判定处理的例子。除此之外,网关300a、1300a等网关装置也可以让其他ECU来进行所接收到的帧是否正常的判定(决定)。在该情况下,作为用于接收帧的接收部而发挥作用的帧收发部310接收由其他ECU进行的判定(决定)的结果。另外,帧收发部310可以根据关于接收到的帧是否正常的决定的结果,进行指示待机解除或者废弃的帧的发送等。此外,帧收发部310作为将包含有与接收帧后的处理的限制有关的控制信息的帧发送给总线的发送部而发挥作用。该发送部在由接收部接收到帧时,在满足预定条件的情况下,以包含第一控制信息的方式将该帧发送给总线,在不满足预定条件的情况下,以不包含第一控制信息的方式将帧发送给总线,在发送了包含第一控制信息的帧后,例如根据该帧是否正常的决定的结果,将包含与该帧的处理方法有关的第二控制信息的帧发送给总线。预定条件例如是在接收到的帧的转送之后决定该帧是否正常的状况下所满足的条件,也就是在帧的接收时,无法迅速地判定帧是否正常这一条件,但也可以是其他条件。另外,发送部也可以通过保存反映了数据域的至少一部分内容的数据的、帧的一个区域(例如校验和的区域)来表示第一控制信息。
(12)上述实施方式中的各ECU(包括网关)例如是包括处理器、存储器等数字电路、模拟电路、通信电路等的装置,但也可以包括硬盘装置、显示器、键盘、鼠标等其他的硬件构成要素。另外,也可以取代由处理器执行存储于存储器的控制程序从而以软件方式来实现功能,而通过专用的硬件(数字电路等)来实现其功能。
(13)上述实施方式中的构成各装置的构成要素的一部分或全部也可以由1个系统LSI(Large Scale Integration:大规模集成电路)构成。系统LSI是在一个芯片上集成多个构成部而制造出的超多功能LSI,具体而言,是构成为包括微处理器、ROM、RAM等的计算机系统。在所述RAM中记录有计算机程序。所述微处理器按照所述计算机程序进行工作,由此系统LSI实现其功能。另外,构成上述各装置的构成要素的各部分既可以单独地单芯片化,也可以以包括一部分或全部的方式单芯片化。另外,虽然此处设为系统LSI,但根据集成度不同,也可以称为IC、LSI、超大LSI(super LSI),特大LSI(ultra LSI)。另外,集成电路化的方法不限于LSI,也可以通过专用电路或通用处理器实现。也可以在LSI制造后利用可编程的FPGA(Field Programmable Gate Array:现场可编程门阵列)和/或可以对LSI内部的电路单元的连接和/或设定进行重构的可重构处理器(reconfigurable processor)。再者,随着半导体技术的发展或派生的其他技术的出现,如果出现能够代替LSI的集成电路化的技术,当然也可以使用该技术进行功能模块的集成化。也存在应用生物技术等的可能性。
(14)构成上述各装置的构成要素的一部分或全部也可以由能够装卸于各装置的IC卡或单体模块构成。所述IC卡或所述模块是由微处理器、ROM、RAM等构成的计算机系统。所述IC卡或所述模块也可以包括上述的超多功能LSI。微处理器按照计算机程序进行工作,由此所述IC卡或所述模块实现其功能。该IC卡或该模块可以具有防篡改性能。
(15)作为本公开的一个技术方案,也可以是上述的车载网络中的帧的转送所涉及的通信方法等的方法。例如,通信方法包括:接收步骤,接收帧(第一帧);以及发送步骤,当在接收步骤中接收到第一帧时,使包含基于该帧的内容的信息的发送用帧(第二帧)包含第一控制信息,将该第二帧发送给总线,所述第一控制信息与接收第二帧后的处理的限制有关。另外,也可以是通过计算机实现该方法的计算机程序,还可以是通过所述计算机程序形成的数字信号。另外,作为本公开的一个技术方案,也可以将所述计算机程序或所述数字信号记录于计算机可读取的记录介质,例如软盘、硬盘、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(注册商标)Disc)、半导体存储器等。另外,也可以是记录在这些记录介质中的所述数字信号。另外,作为本公开的一个技术方案,也可以将所述计算机程序或所述数字信号经由电通信线路、无线或有线通信线路、以互联网为代表的网络、数据广播等进行传输。另外,作为本公开的一个技术方案,也可以是具备微处理器和存储器的计算机系统,所述存储器记录有上述计算机程序,所述微处理器按照所述计算机程序进行工作。另外,通过将所述程序或所述数字信号记录在所述记录介质中移送,或者经由所述网络等将所述程序或所述数字信号进行移送,可以通过独立的其他的计算机系统来实施。
(16)通过将上述实施方式及上述变形例中示出的各构成要素以及功能任意地进行组合而实现的方式也包含在本公开的范围内。
产业上的可利用性
本公开能够用于区分车载网络中所发送的帧是否正常并适当地进行与该帧对应的处理。
标号说明
10、20:车载网络系统
90:网络
100a~100e、1100a~1100e:电子控制单元(ECU)
101:发动机
102:制动器
103:车门开闭传感器
104:车窗开闭传感器
105:角部传感器
110、310:帧收发部
120、320:帧解释部
130、330:接收ID判断部
140、340:接收ID列表保持部
150:帧处理部
160:帧保持部
170:数据取得部
180、390、1390:帧生成部
200a~200c:总线
300a、300b、1300a、1300b:网关
350、1350:不正常判定处理部
360:不正常判定规则保持部
370:转送处理部
380:转送规则保持部
400:服务器
410:通信部
420:不正常判定部
430:车辆数据保持部
1351:外部通信部

Claims (18)

1.一种网关装置,其在车载网络系统中连接于多个电子控制单元进行通信所使用的总线,
所述网关装置具备:
接收部,其接收第一帧;以及
发送部,其在由所述接收部接收到所述第一帧时,使包含基于该第一帧的内容的信息的第二帧包含第一控制信息,将该第二帧发送给所述总线,所述第一控制信息与接收该第二帧后的处理的限制有关,
所述网关装置的特征在于,
所述发送部,
在由所述接收部接收到所述第一帧时,在满足预定条件的情况下,使所述第二帧包含所述第一控制信息并进行所述发送,在不满足所述预定条件的情况下,以不包含所述第一控制信息的方式将所述第二帧发送给所述总线,
在发送了包含所述第一控制信息的所述第二帧后,将包含与该第二帧的处理方法有关的第二控制信息的第三帧发送给所述总线,
所述预定条件是在发送所述第二帧后决定所述第一帧是否正常的状况下所满足的条件,
所述发送部使所述第三帧包含与涉及所述第一帧的所述决定的结果相应的所述第二控制信息。
2.根据权利要求1所述的网关装置,
所述网关装置具备进行所述决定的不正常判定处理部。
3.根据权利要求1所述的网关装置,
所述接收部进一步接收由所述多个电子控制单元之一进行的所述决定的结果。
4.根据权利要求1所述的网关装置,
所述网关装置具备外部通信部,所述外部通信部在向搭载本装置的车辆的外部的装置发送了所述决定的请求之后接收所述决定的结果。
5.根据权利要求1至4中任一项所述的网关装置,
所述第二控制信息表示开始执行所述第二帧的处理。
6.根据权利要求1至4中任一项所述的网关装置,
所述第二控制信息表示废弃所述第二帧。
7.根据权利要求1至4中任一项所述的网关装置,
所述第一控制信息表示使接收到包含该第一控制信息的所述第二帧的电子控制单元延迟开始执行与该第二帧对应的处理,直到接收到包含与该第二帧的处理方法有关的信息的帧为止。
8.根据权利要求1至4中任一项所述的网关装置,
所述第一控制信息表示使接收到包含该第一控制信息的所述第二帧的电子控制单元阻止与该第二帧对应的处理的执行,直到满足一定条件为止。
9.根据权利要求1至4中任一项所述的网关装置,
所述多个电子控制单元遵循CAN协议即控制器局域网络协议经由所述总线进行通信。
10.根据权利要求9所述的网关装置,
所述发送部用所述第二帧的数据域的全部或者一部分来表示所述第一控制信息。
11.根据权利要求9所述的网关装置,
所述发送部用所述第二帧的扩展ID域来表示所述第一控制信息。
12.根据权利要求9所述的网关装置,
所述发送部用所述第二帧的数据长度码DLC域来表示所述第一控制信息。
13.根据权利要求9所述的网关装置,
所述发送部用对反映了所述第二帧的数据域的至少一部分内容的数据进行保存的、该第二帧的一个区域来表示所述第一控制信息。
14.根据权利要求13所述的网关装置,
所述发送部对保存在所述第二帧的CRC域内的CRC重叠所述第一控制信息,进行所述第二帧的所述发送。
15.根据权利要求13所述的网关装置,
所述发送部对保存在所述第二帧的所述一个区域的校验和重叠所述第一控制信息,进行所述第二帧的所述发送。
16.根据权利要求13所述的网关装置,
所述发送部对保存在所述第二帧的所述一个区域的消息认证码重叠所述第一控制信息,进行所述第二帧的所述发送。
17.一种车载网络系统,其具备经由一条以上的总线进行通信的多个电子控制单元以及连接于所述总线的网关装置,
所述网关装置具备:
接收部,其接收第一帧;以及
发送部,其在由所述接收部接收到所述第一帧时,使包含基于该第一帧的内容的信息的第二帧包含第一控制信息,将该第二帧发送给所述总线,所述第一控制信息与接收该第二帧后的处理的限制有关,
所述车载网络系统的特征在于,
所述发送部,
在由所述接收部接收到所述第一帧时,在满足预定条件的情况下,使所述第二帧包含所述第一控制信息并进行所述发送,在不满足所述预定条件的情况下,以不包含所述第一控制信息的方式将所述第二帧发送给所述总线,
在发送了包含所述第一控制信息的所述第二帧后,将包含与该第二帧的处理方法有关的第二控制信息的第三帧发送给所述总线,
所述预定条件是在发送所述第二帧后决定所述第一帧是否正常的状况下所满足的条件,
所述发送部使所述第三帧包含与涉及所述第一帧的所述决定的结果相应的所述第二控制信息。
18.一种通信方法,用于具备经由一条以上的总线进行通信的多个电子控制单元的车载网络系统,
所述通信方法包括:
接收步骤,接收第一帧;以及
发送步骤,当在所述接收步骤中接收到所述第一帧时,使包含基于该第一帧的内容的信息的第二帧包含第一控制信息,将该第二帧发送给所述总线,所述第一控制信息与接收该第二帧后的处理的限制有关,
所述通信方法的特征在于,
所述发送步骤,当在所述接收步骤中接收到所述第一帧时,在满足预定条件的情况下,使所述第二帧包含所述第一控制信息并进行所述发送,在不满足所述预定条件的情况下,以不包含所述第一控制信息的方式将所述第二帧发送给所述总线,
在发送了包含所述第一控制信息的所述第二帧后,将包含与该第二帧的处理方法有关的第二控制信息的第三帧发送给所述总线,
所述预定条件是在发送所述第二帧后决定所述第一帧是否正常的状况下所满足的条件,
所述发送步骤中,使所述第三帧包含与涉及所述第一帧的所述决定的结果相应的所述第二控制信息。
CN201680001755.0A 2015-08-31 2016-06-27 网关装置、车载网络系统以及通信方法 Active CN107078938B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010834697.8A CN111934994B (zh) 2015-08-31 2016-06-27 网关装置、车载网络系统以及通信方法

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201562212073P 2015-08-31 2015-08-31
US62/212,073 2015-08-31
JP2016107352A JP6603617B2 (ja) 2015-08-31 2016-05-30 ゲートウェイ装置、車載ネットワークシステム及び通信方法
JP2016-107352 2016-05-30
PCT/JP2016/003079 WO2017037977A1 (ja) 2015-08-31 2016-06-27 ゲートウェイ装置、車載ネットワークシステム及び通信方法

Related Child Applications (1)

Application Number Title Priority Date Filing Date
CN202010834697.8A Division CN111934994B (zh) 2015-08-31 2016-06-27 网关装置、车载网络系统以及通信方法

Publications (2)

Publication Number Publication Date
CN107078938A CN107078938A (zh) 2017-08-18
CN107078938B true CN107078938B (zh) 2020-09-08

Family

ID=58280432

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201680001755.0A Active CN107078938B (zh) 2015-08-31 2016-06-27 网关装置、车载网络系统以及通信方法

Country Status (4)

Country Link
US (3) US10680847B2 (zh)
EP (2) EP3780509B1 (zh)
JP (3) JP6603617B2 (zh)
CN (1) CN107078938B (zh)

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150191151A1 (en) * 2014-01-06 2015-07-09 Argus Cyber Security Ltd. Detective watchman
RU2697941C1 (ru) * 2015-10-30 2019-08-21 Телефонактиеболагет Лм Эрикссон (Пабл) Управление защитой целостности блока пакетных данных управления логическим каналом
US10129150B2 (en) 2015-12-01 2018-11-13 Marvell World Trade Ltd. Systems and methods for implementing a switched controller area network
CN112437056B (zh) 2015-12-16 2023-07-25 松下电器(美国)知识产权公司 安全处理方法以及服务器
JP6423402B2 (ja) 2015-12-16 2018-11-14 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America セキュリティ処理方法及びサーバ
JP6433951B2 (ja) * 2016-08-09 2018-12-05 東芝デジタルソリューションズ株式会社 ネットワーク監視装置およびプログラム
WO2018088030A1 (ja) * 2016-11-10 2018-05-17 株式会社オートネットワーク技術研究所 車載通信システム
WO2018211790A1 (ja) * 2017-05-18 2018-11-22 ボッシュ株式会社 Ecu
DE102017208553A1 (de) * 2017-05-19 2018-11-22 Robert Bosch Gmbh Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff
DE102017209556A1 (de) * 2017-06-07 2018-12-13 Robert Bosch Gmbh Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung
SG10201705960QA (en) * 2017-07-20 2019-02-27 Huawei Int Pte Ltd System and method for managing secure communications between modules in a controller area network
JP6620133B2 (ja) * 2017-09-28 2019-12-11 株式会社Subaru 車両用通信制御装置及び車両用通信制御システム
US10887349B2 (en) * 2018-01-05 2021-01-05 Byton Limited System and method for enforcing security with a vehicle gateway
JP6878324B2 (ja) * 2018-01-31 2021-05-26 日立Astemo株式会社 車載ネットワークシステム、電子制御装置
JP6552674B1 (ja) * 2018-04-27 2019-07-31 三菱電機株式会社 検査システム
WO2019225259A1 (ja) * 2018-05-23 2019-11-28 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 通信制御装置、不正検知電子制御ユニット、モビリティネットワークシステム、通信制御方法、不正検知方法およびプログラム
JP7344009B2 (ja) * 2018-10-17 2023-09-13 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 情報処理装置、情報処理方法及びプログラム
US11700270B2 (en) * 2019-02-19 2023-07-11 The Aerospace Corporation Systems and methods for detecting a communication anomaly
CN111835627B (zh) * 2019-04-23 2022-04-26 华为技术有限公司 车载网关的通信方法、车载网关及智能车辆
US11399084B2 (en) * 2020-05-12 2022-07-26 Nxp Usa, Inc. Hot plugging of sensor
EP4231595A4 (en) * 2020-10-19 2023-11-15 Nissan Motor Co., Ltd. RELAY DEVICE, COMMUNICATION NETWORK SYSTEM, AND COMMUNICATION CONTROL METHOD
CN113204226B (zh) * 2021-04-25 2022-12-09 重庆长安汽车股份有限公司 整车诊断系统及方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1881923A (zh) * 2005-06-16 2006-12-20 日产自动车株式会社 车载通信系统和车载网关装置

Family Cites Families (41)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE60109060T2 (de) * 2000-12-09 2006-04-13 International Business Machines Corp. Interkommunikationsvorprozessor
JP3963181B2 (ja) 2003-12-03 2007-08-22 トヨタ自動車株式会社 車両の故障診断システム
JP2006067279A (ja) * 2004-08-27 2006-03-09 Matsushita Electric Ind Co Ltd 侵入検知システム及び通信装置
JP2007312193A (ja) 2006-05-19 2007-11-29 Auto Network Gijutsu Kenkyusho:Kk 異常監視ユニット
US8448234B2 (en) * 2007-02-15 2013-05-21 Marvell Israel (M.I.S.L) Ltd. Method and apparatus for deep packet inspection for network intrusion detection
DE102007015122A1 (de) * 2007-03-29 2008-10-02 Bayerische Motoren Werke Aktiengesellschaft Verfahren zum Transfer von Daten in mehrere Steuergeräte
US8332896B2 (en) * 2007-07-05 2012-12-11 Coherent Logix, Incorporated Transmission of multimedia streams to mobile devices with cross stream association
JP5019983B2 (ja) * 2007-07-17 2012-09-05 株式会社オートネットワーク技術研究所 車載通信システム、中継装置及び通信方法
KR20090063575A (ko) * 2007-12-14 2009-06-18 현대자동차주식회사 Can을 통한 차량 정보 전송 방법
JP5222002B2 (ja) * 2008-04-03 2013-06-26 株式会社オートネットワーク技術研究所 車載用の中継接続ユニット
JP4581037B2 (ja) * 2008-07-10 2010-11-17 国立大学法人名古屋大学 中継装置、通信システム及び通信方法
US8635645B2 (en) * 2008-09-30 2014-01-21 Qualcomm Incorporated Apparatus and methods of providing and receiving venue level transmissions and services
JP5932242B2 (ja) * 2011-05-20 2016-06-08 キヤノン株式会社 情報処理装置、通信方法、及びプログラム
US8767753B2 (en) * 2011-08-26 2014-07-01 Semiconductor Components Industries, Llc System, method and device for providing network communications
JP5709055B2 (ja) * 2011-09-27 2015-04-30 株式会社デンソー 車両用電子制御装置
JP5522160B2 (ja) * 2011-12-21 2014-06-18 トヨタ自動車株式会社 車両ネットワーク監視装置
JP5772666B2 (ja) * 2012-03-05 2015-09-02 株式会社オートネットワーク技術研究所 通信システム
WO2013144962A1 (en) * 2012-03-29 2013-10-03 Arilou Information Security Technologies Ltd. Security system and method for protecting a vehicle electronic system
EP2852100A4 (en) * 2012-05-14 2015-05-06 Toyota Motor Co Ltd COMMUNICATION MANAGEMENT DEVICE AND COMMUNICATION MANAGEMENT PROCESS FOR A VEHICLE-SPECIFIC NETWORK
CN104641597B (zh) * 2012-09-19 2018-04-10 丰田自动车株式会社 通信装置以及通信方法
JP5949572B2 (ja) * 2013-01-18 2016-07-06 トヨタ自動車株式会社 車両不正状態検出方法、車載システムにおける制御方法、およびシステム
JP5919205B2 (ja) 2013-01-28 2016-05-18 日立オートモティブシステムズ株式会社 ネットワーク装置およびデータ送受信システム
JP5838983B2 (ja) * 2013-02-25 2016-01-06 トヨタ自動車株式会社 情報処理装置及び情報処理方法
US9288048B2 (en) * 2013-09-24 2016-03-15 The Regents Of The University Of Michigan Real-time frame authentication using ID anonymization in automotive networks
JP6200779B2 (ja) * 2013-10-31 2017-09-20 日立オートモティブシステムズ株式会社 通信制御装置
US20150135271A1 (en) * 2013-11-11 2015-05-14 GM Global Technology Operations LLC Device and method to enforce security tagging of embedded network communications
US9510195B2 (en) * 2014-02-10 2016-11-29 Stmicroelectronics International N.V. Secured transactions in internet of things embedded systems networks
JP6760063B2 (ja) * 2014-07-11 2020-09-23 ソニー株式会社 情報処理装置、通信システムおよび情報処理方法
JP6267596B2 (ja) * 2014-07-14 2018-01-24 国立大学法人名古屋大学 通信システム、通信制御装置及び不正情報送信防止方法
JP6408832B2 (ja) * 2014-08-27 2018-10-17 ルネサスエレクトロニクス株式会社 制御システム、中継装置、及び制御方法
US9288533B1 (en) * 2014-10-07 2016-03-15 At&T Intellectual Property I, Lp System and method for delivering interactive trigger events
EP4254875A3 (en) * 2014-11-13 2023-11-15 Panasonic Intellectual Property Corporation of America Key management method, vehicle-mounted network system, and key management device
FR3029312B1 (fr) * 2014-11-27 2016-12-16 Sagem Defense Securite Procede de verification d'integrite de transmission de donnees entre une unite amont principale et une unite aval principale
JP6079768B2 (ja) * 2014-12-15 2017-02-15 トヨタ自動車株式会社 車載通信システム
JP2016116132A (ja) * 2014-12-16 2016-06-23 富士通株式会社 通信制御装置、通信制御方法、および、通信制御プログラム
US9578047B2 (en) * 2015-01-13 2017-02-21 GM Global Technology Operations LLC Method and system for reflectometry based communication network monitoring, intrusion detection, and message authentication
JP6787697B2 (ja) * 2015-08-31 2020-11-18 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America ゲートウェイ装置、車載ネットワークシステム及び転送方法
KR102400730B1 (ko) * 2016-02-23 2022-05-20 현대자동차주식회사 네트워크에서 통신 노드들 간의 시간 동기화 방법
JP2017168994A (ja) * 2016-03-15 2017-09-21 本田技研工業株式会社 通信装置及び通信システム
WO2020090108A1 (ja) * 2018-11-02 2020-05-07 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正制御防止システムおよび、不正制御防止方法
CN113541874A (zh) * 2020-04-15 2021-10-22 华为技术有限公司 一种数据传输方法及网络设备

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1881923A (zh) * 2005-06-16 2006-12-20 日产自动车株式会社 车载通信系统和车载网关装置

Also Published As

Publication number Publication date
US20210203525A1 (en) 2021-07-01
JP6603617B2 (ja) 2019-11-06
EP3346648A1 (en) 2018-07-11
EP3780509B1 (en) 2022-08-10
US11522733B2 (en) 2022-12-06
JP6928051B2 (ja) 2021-09-01
EP3780509A1 (en) 2021-02-17
JP2017050845A (ja) 2017-03-09
US10979245B2 (en) 2021-04-13
JP2020005322A (ja) 2020-01-09
JP7271618B2 (ja) 2023-05-11
US20200259677A1 (en) 2020-08-13
EP3346648B1 (en) 2020-12-09
US10680847B2 (en) 2020-06-09
US20170118038A1 (en) 2017-04-27
JP2021184631A (ja) 2021-12-02
CN107078938A (zh) 2017-08-18
EP3346648A4 (en) 2018-07-11

Similar Documents

Publication Publication Date Title
CN107078938B (zh) 网关装置、车载网络系统以及通信方法
CN111934994B (zh) 网关装置、车载网络系统以及通信方法
US11595422B2 (en) Method for preventing electronic control unit from executing process based on malicious frame transmitted to bus
JP7170780B2 (ja) 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム
US11539727B2 (en) Abnormality detection apparatus and abnormality detection method
EP3358788B1 (en) Illegality detection electronic control unit, vehicle onboard network system, and communication method
CN110610092A (zh) 车载网络系统、网关装置以及不正常检测方法
JP7412506B2 (ja) 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム
KR101714526B1 (ko) 차량 네트워크 해킹 방지 방법 및 장치
KR20180058537A (ko) 차량 내 통신 보안 제공 방법 및 장치
WO2017056395A1 (ja) 不正検知電子制御ユニット、車載ネットワークシステム及び通信方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant