CN115777191A - 车载装置、程序及信息处理方法 - Google Patents

Abstract

车载装置与搭载于车辆的车载网络连接，其中，所述车载装置具备处理部，所述处理部进行与流向所述车载网络的数据是否正确的判定有关的处理，所述处理部接收流向所述车载网络的多个数据，在接收到的所述多个数据中导出连续接收到同种的数据时的接收间隔，基于所述接收间隔和以连续接收到的同种的数据中的先接收到的数据的接收时间点为基准的正常周期范围，进行连续接收到的同种的数据中的后接收到的数据是否正确的判定。

Description

车载装置、程序及信息处理方法

技术领域

本公开涉及车载装置、程序及信息处理方法。

本申请主张基于在2021年3月1日提出了申请的国际申请第PCT/JP2021/007673号的优先权，并援引所述国际申请记载的全部的记载内容。

背景技术

以往，搭载于车辆的多个车载ECU(Electronic Control Unit)间的通信广泛地采用CAN的通信协议。伴随着车辆的多功能化及高功能化而成为搭载的车载ECU的个数增加的倾向，但是将该车载ECU分组(段)地构成车辆网络，成为同一组的多个车载ECU由共通的通信线连接而相互进行数据的收发，并且不同组的车载ECU间的数据的收发由车载中继装置(网关)中继(例如，专利文献1)。

专利文献1的车辆网络除了车载中继装置(网关)之外，还具备分别连接于车辆网络的段并检测流向车辆网络的不正确的数据(消息)的车辆网络监视装置。该车辆网络监视装置在检测到不正确的数据(消息)时，对于车载控制装置(车载ECU)发送警告信息(消息代码)。

在先技术文献

专利文献

专利文献1：日本特开2013-131907号公报

发明内容

本公开的一形态的车载装置与搭载于车辆的车载网络连接，其中，所述车载装置具备处理部，所述处理部进行与流向所述车载网络的数据是否正确的判定有关的处理，所述处理部接收流向所述车载网络的多个数据，所述处理部在接收到的所述多个数据中导出连续接收到同种的数据时的接收间隔，所述处理部基于所述接收间隔和以连续接收到的同种的数据中的先接收到的数据的接收时间点为基准的正常周期范围，进行连续接收到的同种的数据中的后接收到的数据是否正确的判定。

附图说明

图1是例示包含实施方式1的车载装置的车载系统的结构的示意图。

图2是例示车载装置的物理结构的框图。

图3是与数据类别表有关的说明图。

图4是与数据的判定(正常判定)有关的说明图。

图5是与数据的判定(通信中断发生)有关的说明图。

图6是与数据的判定(异常(确定)判定)有关的说明图。

图7是与数据的判定(异常(范围)判定)有关的说明图。

图8是与数据的判定(组合)有关的说明图。

图9是与车载装置的处理部的状态转移有关的说明图。

图10是与车载装置的处理部进行的判定形态有关的说明图。

图11是例示车载装置的处理部的处理的流程图。

图12是与实施方式2的数据的判定(诊断掩码期间)有关的说明图。

图13是与车载装置的处理部的状态转移有关的说明图。

图14是例示车载装置的处理部的处理的流程图。

具体实施方式

[本公开要解决的课题]

专利文献1的车辆网络监视装置存在如下问题点：未考虑有关对于周期性地发送的消息，基于该发送周期而有效地检测不正确的消息的点。

本公开的目的在于提供一种对于周期性地发送的数据，基于该发送周期能够有效地检测不正确的数据的车载装置等。

[本公开的效果]

根据本公开的一形态，能够提供一种对于周期性地发送的数据，基于该发送周期而有效地检测不正确的数据的车载装置等。

[本公开的实施方式的说明]

首先，列举本公开的实施形态进行说明。而且，也可以将以下记载的实施方式的至少一部分任意组合。

(1)本公开的一形态的车载装置与搭载于车辆的车载网络连接，其中，所述车载装置具备处理部，所述处理部进行与流向所述车载网络的数据是否正确的判定有关的处理，所述处理部接收流向所述车载网络的多个数据，所述处理部在接收到的所述多个数据中导出连续接收到同种的数据时的接收间隔，所述处理部基于所述接收间隔和以连续接收到的同种的数据中的先接收到的数据的接收时间点为基准的正常周期范围，进行连续接收到的同种的数据中的后接收到的数据是否正确的判定。

在本形态中，车载装置的处理部接收(取得)从连接于车载网络的车载ECU发送的CAN消息等多个数据。该多个数据例如包含成为同一CAN-ID(消息ID)的同种的数据，处理部在连续接收到同种的数据的情况下，导出成为先接收到的数据的接收时间点与后接收到的数据的接收时间点的间隔的接收间隔。处理部基于该接收间隔和以先接收到的数据的接收时间点为基准的正常周期范围，进行后接收到的数据(与先接收到的数据同种的数据)是否正确的判定，因此对于周期性地发送的消息，基于该发送周期而有效地检测不正确的消息。正常周期范围在连续接收到的同种的两个数据中，以先接收到的数据的接收时间点为基准来确定，因此即使在先接收到的数据的接收时间点相对于根据该数据的发送周期的开始时间点而固定地确定的接收时间点发生了变动的情况下，基于该正常周期范围，也能够适当地进行后接收到的数据的是否正确判定。

(2)本公开的一形态的车载装置中，所述正常周期范围是以基于所述数据的类别而决定的发送周期为基准值而设定了上下限值的范围。

在本形态中，车载装置的处理部以基于数据的类别而决定的发送周期(设计周期)为基准值，以该基准值为例如中央值来设定上下限值，由此确定正常周期范围。在从各车载ECU发送的CAN消息等数据中，例如，发送成为同一CAN-ID(消息ID)的同种的数据的发送周期根据该数据的类别(消息ID)而预先决定。然而，根据车载网络的网络负荷、车载ECU的运算负荷或车载中继装置的处理负荷，发送或接收数据的时刻偏离，产生从该发送周期偏离地发送或接收该数据的情况。相对于此，车载装置的处理部将如下范围设为正常周期范围：以发送周期为基准值(例如中央值)，以加上与该发送周期的例如a％等规定的比率(上下限值比率)相当的时间的值为上限值，以减去与该发送周期的例如a％等规定的比率(上下限值比率)相当的时间的值为下限值。由此，能够吸收由车载网络的网络负荷等影响的数据的接收时刻的延迟等变动而提高鲁棒性，实现数据的是否正确判定的精度提高。

(3)本公开的一形态的车载装置中，所述处理部在所述接收间隔是以连续接收到的同种的数据中的先接收到的数据的接收时间点为基准的所述正常周期范围内的情况下，将连续接收到的同种的数据中的后接收到的数据判定为正常，所述处理部在所述接收间隔不是所述正常周期范围内的情况下，将连续接收到的同种的数据中的后接收到的数据判定为异常。

在本形态中，处理部在基于连续接收到的同种的两个数据的接收间隔成为正常周期范围内的情况下，将后接收到的数据判定为正常，在不是正常周期范围内的情况下，即接收间隔成为正常周期范围外的情况下，将后接收到的数据判定为异常，因此能够有效地进行数据的是否正确判定。正常周期范围是例如在先接收到的数据的接收时间点加上基于该数据的类别而决定的发送周期而得到的时间点设定了上下限值的范围，因此接收间隔成为正常周期范围内的情况是指后接收到的数据的接收时间点位于从根据正常周期范围确定的下限时间点(limit-low)至上限时间点(limit-upp)之间的情况。接收间隔成为正常周期范围外的情况是指后接收到的数据的接收时间点不位于从根据正常周期范围确定的下限时间点(limit-low)至上限时间点(limit-upp)之间，例如，为下限时间点(limit-low)之前的时间点的情况。这样，基于接收间隔为以先接收到的数据的接收时间点为基准而确定的正常周期范围内还是范围外，进行后接收到的数据的是否正确判定，因此能够有效地检测不正确的数据。

(4)本公开的一形态的车载装置中，所述处理部在所述正常周期范围内未能接收到同种的数据的情况下，以所述正常周期范围以后接收到的同种的数据的接收时间点为基准来确定下一正常周期范围。

在本形态中，在正常周期范围内未能接收到同种的数据的情况下，即在从根据正常周期范围确定的下限时间点(limit-low)至上限时间点(limit-upp)之间未能接收到与先前的数据同种的数据的情况下，可认为本来发送或接收的数据发生了网络负荷等的影响引起的丢失(消失)引起的通信切断。相对于此，车载装置的处理部以正常周期范围以后，即根据该正常周期范围确定的上限时间点(limit-upp)之后接收到的数据(与先前的数据同种的数据)的接收时间点为基准，来确定正常周期范围。由此，即使在数据的丢失(消失)等引起的通信中断发生的情况下，通过接收(再取得)成为用于确定正常周期范围的基准的数据，也能够有效地再次开始对于在接收(再取得)了该数据之后接收到的数据的是否正确判定处理。这样，车载装置的处理部对于正常周期范围以后接收到的数据，一律不判定为异常，通过以该数据的接收时间点为基准来确定正常周期范围，能够防止尽管在正常周期范围以后接收到的数据为正常的数据，但是误检测为异常的数据的情况。

(5)本公开的一形态的车载装置中，所述处理部在所述正常周期范围内接收到的同种的数据的个数为一个的情况下，将在该正常周期范围内接收到的一个数据判定为正常，所述处理部在所述正常周期范围内接收到的同种的数据的个数为多个的情况下，将在该正常周期范围内接收到的多个数据中包含的某个数据判定为异常。

在本形态中，顺次发送同种的多个数据时的发送周期基于该数据的类别而预先决定，因此在正常周期范围内接收，即从根据正常周期范围而确定的下限时间点(limit-low)至上限时间点(limit-upp)之间接收的数据(与先前的数据同种的数据)的个数本来为一个。相对于此，在正常周期范围内接收到的同种的数据的个数为多个的情况下，该多个数据中包含异常的数据。这样，车载装置的处理部在正常周期范围内接收到多个同种的数据的情况下，判定为在该范围内包含异常的数据，由此能够有效地进行规定的接收期间的范围内的异常检测(范围异常检测)。

(6)本公开的一形态的车载装置中，所述处理部在所述正常周期范围内接收到的同种的数据的个数为多个的情况下，以在所述正常周期范围以后接收到的同种的数据的接收时间点为基准来确定下一正常周期范围。

在本形态中，车载装置的处理部在正常周期范围内接收，即从根据正常周期范围而确定的下限时间点(limit-low)至上限时间点(limit-upp)之间接收的数据(与先前的数据同种的数据)的个数为两个以上的多个的情况下，以在正常周期范围以后(上限时间点(limit-upp)以后)接收到的同种的数据的接收时间点为基准，来确定下一判定处理中使用的正常周期范围。即，车载装置的处理部判定为正常周期范围内接收到的多个数据中包含至少一个以上的异常的数据，该多个数据中的任一数据都不使用作为用于确定以后的判定处理使用的正常周期范围的基准的数据。车载装置的处理部这样以判定的正常周期范围的上限时间点之后接收到的同种的数据的接收时间点为基准来确定以后的判定处理中使用的正常周期范围，因此即使在作出了规定的接收期间的范围内的异常检测(范围异常检测)的情况下，也能够有效地继续(再次开始)数据的是否正确判定。

(7)本公开的一形态的车载装置中，所述处理部在先接收到的数据的判定中使用的上一正常周期范围与以所述先接收到的数据的接收时间点为基准的本次的正常周期范围之间接收到与该数据同种的数据的情况下，将该同种的数据判定为异常。

在本形态中，根据预先确定的发送周期(设计周期)而顺次发送同种的多个数据，车载装置的处理部每当顺次接收该多个数据时，以接收到的数据为基准，来确定用于进行下一接收的数据的是否正确判定的正常周期范围。因此，正常周期范围根据顺次地接收到的多个数据而顺次确定。车载装置的处理部在先接收到的数据的判定的差异中使用的正常周期范围(上一正常周期范围)与以该先接收的数据的接收时间点为基准的正常周期范围(本次的正常周期范围)之间接收到与该数据同种的数据的情况下，将该同种的数据判定为异常(确定异常检测)。即，车载装置的处理部在根据上一正常周期范围而确定的上限时间点(limit-upp)与根据本次的正常周期范围而确定的下限时间点(limit-low)之间接收到与先接收到的数据同种的数据的情况下，将该同种的数据判定为异常。车载装置的处理部通过使用这样的判定逻辑，能够将在正常周期范围外接收到的数据有效地判定为异常。

(8)本公开的一形态的车载装置中，所述处理部在以先接收到的数据的接收时间点为基准的正常周期范围内接收到一个与该数据同种的数据的情况下，将该同种的数据判定为正常，所述处理部以判定为正常的数据的接收时间点为基准来确定下一正常周期范围。

在本形态中，车载装置的处理部在根据上一正常周期范围而确定的上限时间点(limit-upp)与根据本次的正常周期范围而确定的下限时间点(limit-low)之间接收到与先接收到的数据同种的数据的情况下，将该同种的数据判定为异常。此外，车载装置的处理部在以先接收到的数据的接收时间点为基准的正常周期范围内即本次的正常周期范围接收到一个同种的数据的情况下，将该同种的数据判定为正常。车载装置的处理部也可以每当进行这些判定处理时，对于在从上一正常周期范围的上限时间点(limit-upp)至本次的正常周期范围的上限时间点(limit-upp)接收到的同种的数据的个数进行计数，基于该计数的同种的数据各自的接收间隔，进行各个数据的是否正确判定。

(9)本公开的一形态的车载装置中，所述处理部在多个动作状态之间转移，所述多个动作状态包括：基准数据接收状态，每当确定所述正常周期范围时进行成为基准的数据的接收；及判定执行状态，基于确定的所述正常周期范围来判定接收到的数据是否正确。

在本形态中，车载装置的处理部在例如车辆的IG开关接通以后最初接收(初次接收)到某个数据之前期间，或者在正常周期范围内未能接收到判定为正常之后的数据的情况下，处理部的状态转移到每当确定正常周期范围时进行成为基准的数据(基准数据)的接收的基准数据接收状态。转移到该基准数据接收状态的处理部为了接收成为基准的数据(基准数据)而使等待该数据的接收的状态继续。车载装置的处理部在接收到了成为用于确定正常周期范围的基准的数据(基准数据)之后，转移到基于确定的正常周期范围来判定接收到的数据是否正确的判定执行状态。这样，车载装置的处理部根据数据的是否正确判定等，在包含基准数据接收状态及判定执行状态的多个动作状态之间转移，由此能够有效地接收以后的处理使用的成为基准的数据(基准数据)，基于该基准数据能够有效地确定正常周期范围。

(10)本公开的一形态的车载装置中，所述处理部在所述基准数据接收状态下不进行异常检测。

在本形态中，车载装置的处理部转移到基准数据接收状态，在该基准数据接收状态下，禁止判定接收到的数据是否正确等的与异常检测有关的处理，由此不进行该异常检测。这样，在基准数据接收状态下禁止异常检测，由此能够可靠地抑制对接收到的数据的误检测的发生，并能够有效地进行将该接收到的数据按照路由映射向其他的通信线(CAN总线)转送等中继处理。

(11)本公开的一形态的车载装置中，所述处理部在所述基准数据接收状态下不保存安全日志。

在本形态中，车载装置的处理部转移到基准数据接收状态，在该基准数据接收状态下，不进行将基于判定执行状态下的检测结果的安全日志(攻击检测日志数据)存储于存储部21的保存处理。这样，在基准数据接收状态下，不保存安全日志，由此能够减少车载装置的处理部的处理负荷。

(12)本公开的一形态的车载装置中，所述处理部在将接收到的数据判定为异常的情况下，将与异常的形态对应的信息存储于能够访问的规定的存储区域。

在本形态中，车载装置的处理部在作出了接收到的数据为异常的判定的情况下，将与异常的形态对应的信息输出，或者存储于自己能够访问的规定的存储区域，因此能够向车辆的操作者等有效地通知该异常发生的意思。

(13)本公开的一形态的车载装置中，所述能够访问的规定的存储区域是易失性的存储区域，所述处理部在所述车辆的IG开关断开的情况下，将存储于所述易失性的存储区域的信息向能够访问的规定的非易失性的存储区域转移。

在本形态中，车载装置的处理部能够访问的规定的存储区域包括例如RAM等易失性的存储区域和闪光存储器等非易失性的存储区域，车载装置的处理部在作出接收到的数据异常的判定的情况下，将与异常的形态对应的信息暂时存储于易失性的存储区域。车载装置的处理部在IG开关断开的情况下，例如以该断开信号为触发，将存储于易失性的存储区域的信息(与异常的形态对应的信息)向非易失性的存储区域存储(复印)，由此将该信息向非易失性的存储区域转移(退避)。由此，即使IG开关断开而易失性的存储区域内的信息被去除，也能够将与异常的形态对应的信息保存于非易失性的存储区域。车载装置的处理部也可以每当将与异常的形态对应的信息存储于易失性的存储区域时，存储作为异常检测到该信息时的日志。此时，车载装置的处理部确定存储(保存)的日志的个数的上限值，在保存的日志的个数超过了上限值的情况下，将最旧的日志覆写，保存最新的日志。该上限值也可以根据成为异常检测的对象的数据的类别(CAN消息ID)而不同。或者也可以是以全部的数据的类别为对象来确定上限值。通过进行基于这样的上限值的覆写处理，能够抑制易失性的存储区域或者非易失性的存储区域要求的存储容量过度增大的情况。

(14)本公开的一形态的车载装置中，所述处理部在以接收到的数据的接收时间点为基准来确定所述正常周期范围时，将成为所述基准的数据的种类与接收时间点建立关联地存储于能够访问的规定的存储区域。

在本形态中，车载装置的处理部在以接收到的数据的接收时间点为基准来确定正常周期范围时，将成为基准的数据的种类与接收时间点建立关联地输出，或者存储于自己能够访问的规定的存储区域，因此能够将转移到基准数据接收状态时的信息正确地存储等。

(15)本公开的一形态的车载装置中，在所述车辆的IG开关接通的情况下，所述处理部在经过预先确定的诊断掩码期间之后，连续接收最初接收到的数据及与该数据同种的数据，所述处理部在所述连续接收到的数据的接收间隔是以最初接收到的数据为基准的所述正常周期范围内的情况下，以所述连续接收到的数据中的后接收到的数据的接收时间点为基准来确定下一正常周期范围。

在本形态中，车载装置的处理部在经过IG开关接通以后进行的诊断掩码期间之后，确定用于确定正常周期范围的基准数据。该诊断掩码期间是未进行对搭载于车辆的车载装置的异常检测的期间。车载装置的处理部在经过诊断掩码期间之后，在最初接收到的数据和与该数据同种的数据且紧接着该数据之后接收到的数据(后接收到的数据)的接收间隔，即它们连续接收到的数据的接收间隔为以最初接收到的数据为基准的所述正常周期范围内的情况下，以后接收到的数据的接收时间点为基准来确定下一正常周期范围。这样，在经过诊断掩码期间后，基于由最初接收到的数据及与该数据同种的数据且紧接着该数据之后接收到的数据构成的连续接收到的同种的两个数据，将后接收到的数据确定为用于确定正常周期范围的基准数据。由此，能够提高以后接收的数据的是否正确判定的适当性。车载装置的处理部也可以将该连续接收到的同种的两个数据(最初接收到的数据、后接收到的数据)存储于存储部。

(16)本公开的一形态的程序使计算机执行如下处理：接收流向搭载于车辆的车载网络的多个数据；在接收到的所述多个数据中，导出连续接收到同种的数据时的接收间隔；基于所述接收间隔和以连续接收到的同种的数据中的先接收到的数据的接收时间点为基准的正常周期范围，进行连续接收到的同种的数据中的后接收到的数据是否正确的判定。

在本形态中，能够使计算机作为对于周期性地发送的数据基于该发送周期而有效地检测不正确的数据的车载装置动作。

(17)本公开的一形态的信息处理方法使计算机执行如下处理：接收流向搭载于车辆的车载网络的多个数据；在接收到的所述多个数据中，导出连续接收到同种的数据时的接收间隔；基于所述接收间隔和以连续接收到的同种的数据中的先接收到的数据的接收时间点为基准的正常周期范围，进行连续接收到的同种的数据中的后接收到的数据是否正确的判定。

在本形态中，能够提供一种使计算机作为对于周期性地发送的数据基于该发送周期而有效地检测不正确的数据的车载装置动作的信息处理方法。

[本公开的实施方式的详情]

基于表示本公开的实施方式的附图而具体说明本公开。以下，参照附图，说明本公开的实施方式的车载装置2。需要说明的是，本公开没有限定为这些例示，由权利要求书公开，并意图包含与权利要求书等同的意思及范围内的全部变更。

(实施方式1)

以下，基于附图，说明实施方式。图1是例示包含实施方式1的车载装置2的车载系统的结构的示意图。图2是例示车载装置2的物理结构的框图。

车载系统S包括搭载于车辆的车载装置2、车外通信装置1。车载装置2对搭载于车辆的多个车载ECU3之间的通信进行中继。车载装置2也可以是经由车外通信装置1与经由车外网络N连接的外部服务器100通信，对外部服务器100与搭载于车辆的车载ECU3之间的通信进行中继的结构。

外部服务器100是与例如互联网或公共线路网等车外网络N连接的服务器等计算机，具备基于RAM(Random Access Memory)、ROM(Read Only Memory)或硬盘等的存储部或储存装置。该外部服务器100的存储部等包含于能够从车载装置2访问的存储区域。

在车辆C搭载有车外通信装置1、车载装置2、显示装置5、及用于对各种车载设备进行控制的多个车载ECU3。车载装置2与车外通信装置1通过例如串行电缆等线束能够通信地连接。车载装置2及车载ECU3通过与CAN(Control Area Network/注册商标)或以太网(Ethernet/注册商标)等的通信协议对应的通信线41及车载网络4能够通信地连接。车载装置2及车载ECU3的通信协议也可以基于LIN、MOST、FlexRay等。

车外通信装置1包括车外通信部(未图示)及用于与车载装置2进行通信的输入输出I/F(未图示)。车外通信部是用于使用3G、LTE、4G、WiFi等移动体通信的协议进行无线通信的通信装置，经由与车外通信部连接的天线11与外部服务器100进行数据的收发。车外通信装置1与外部服务器100的通信经由例如公共线路网或互联网等外部网络N进行。输入输出I/F是用于与车载装置2进行例如串行通信的通信接口。车外通信装置1与车载装置2经由输入输出I/F及连接于输入输出I/F的串行电缆等线束相互通信。在本实施方式中，车外通信装置1设为与车载装置2不同的装置，通过输入输出I/F等将这些装置连接成能够通信，但是没有限定于此。车外通信装置1也可以作为车载装置2的一构成部位而内置于车载装置2。

车载装置2包括处理部20、存储部21、输入输出I/F22、及车内通信部23。车载装置2是例如对认知类的车载ECU3、判断类的车载ECU3及操作类的车载ECU3等的基于多个通信线41的系统的段进行总括，对这些段间的车载ECU3彼此的通信进行中继的网关(CAN网关)等车载中继装置。多个通信线41分别相当于各段的总线(CAN总线)。车载装置2也可以是以太网SW等车载中继装置、除了数据通信的中继功能之外还具有电源分配的功能的PLB(PowerLan Box)、具有中继功能并综合地控制车辆C的整体的综合ECU。或者，车载装置2也可以是对车辆C的车身类促动器进行控制的车身ECU等作为车载ECU3的一功能部构成的结构。

处理部20由CPU(Central Processing Unit)或MPU(Micro Processing Unit)等构成，将预先存储于存储部21的控制程序及数据读出并执行，进行各种控制处理及运算处理等。处理部20也可以是作为进行经由车内通信部23取得(接收)的数据(消息)的是否正确的判定并进行车载装置2的整体的控制的控制部发挥作用的结构。

存储部21由RAM(Random Access Memory)等易失性的存储器元件、或者ROM(ReadOnly Memory)、EEPROM(Electrically Erasable Programmable ROM)或闪光存储器等非易失性的存储器元件构成，预先存储有在控制程序及处理时参照的数据。存储于存储部21的控制程序也可以是存储有从车载装置2能够读取的记录介质211读出的控制程序的结构。而且，也可以从与未图示的通信网连接的未图示的外部计算机下载控制程序，存储于存储部21。

在存储部21存储有每当进行用于车载ECU3间的通信、或者车载ECU3与外部服务器100之间的通信的中继处理时使用的中继路径信息(路由表)。该中继路径信息基于通信协议来决定格式。在通信协议为CAN的情况下，CAN用中继路径信息包括CAN消息中包含的消息标识符(CAN-ID、消息ID)及与该CAN-ID建立了关联的中继目的地(车内通信部23的I/O端口编号)。

输入输出I/F22是与车外通信装置1的输入输出I/F同样地进行例如用于串行通信的通信接口。例如，车载装置2经由输入输出I/F22与车外通信装置1、显示装置5(HMI装置)及进行车辆C的起动及停止的IG开关6能够通信地连接。

车内通信部23是使用了例如CAN(Control Area Network)、CAN-FD(CAN withFlexible Data Rate)或以太网(Ethernet/注册商标)的通信协议的输入输出接口，处理部20与经由车内通信部23连接于车载网络4的车载ECU3或其他的中继装置等车载设备相互通信。

车内通信部23设置多个，在车内通信部23分别连接各构成车载网络4的通信线41(CAN总线等)。通过这样将车内通信部23设置多个，也可以将车载网络4分成多个段。车载网络4的拓扑型式没有限定为本实施方式中的图示那样的总线型，该拓扑型式也可以是例如以车载装置2为中心的星型、基于多个车载装置2的环型、或以车载装置2为最上位的级联型。

车载ECU3与车载装置2同样地包含控制部(未图示)、存储部(未图示)及车内通信部(未图示)。存储部由RAM(Random Access Memory)等易失性的存储器元件、或者ROM(ReadOnly Memory)、EEPROM(Electrically Erasable Programmable ROM)或闪光存储器等非易失性的存储器元件构成，存储有车载ECU3的程序或数据。车载ECU3例如周期性地发送CAN消息，与车载装置2通信。车载ECU3也可以是连接有传感器或促动器，连接于综合ECU的属下的单独ECU。

显示装置5是例如车辆导航的显示器等HMI(Human Machine Interface)装置。显示装置5通过串行电缆等线束与车载装置2的输入输出I/F22能够通信地连接。在显示装置5显示有从车载装置2的处理部20经由输入输出I/F22输出的数据或信息。

图3是与数据类别表有关的说明图。处理部20进行判定处理时参照的各种数据存储于车载装置2的存储部21、与车载ECU3或外部服务器100连接的储存装置等从处理部20能够访问的规定的存储区域。在处理部20进行判定处理时成为监视对象的数据类别例如设为由表形式构成的数据类别表，存储于存储部21等。

在数据类别表中定义的管理项目(字段)包括例如消息ID、设计周期、上下限值比率、正常周期范围、及判定执行对象标志。

在消息ID的管理项目(字段)保存有例如表示CAN消息的类别的消息ID(CAN-ID)。基于该消息ID，决定接收的数据的类别。在判定对象的数据为例如CAN消息的情况下，消息ID相同的CAN消息作为同种的数据进行处理。

用于决定数据的类别的管理项目(字段)没有限定为CAN消息中的消息ID，例如在TCP/IP包中，也可以是该包中含有的发送源IP地址、发送目的地IP地址、TCP端口编号、UDP端口编号、或它们的组合。

在数据(消息)从某一车载ECU3等发送时，设计周期表示预先确定的发送周期，即基于在该车载ECU3安装的应用程序等的设计规格的发送周期。设计周期的管理项目(字段)中保存有各个数据的设计周期(例如，x[ms])。

上下限值比率表示用于基于设计周期确定正常周期范围的上下限值。上下限值比率可以是例如作为相对于设计周期的比率(例如a％，其中a>0)而定义的值，或者可以由实际时间(±x×a×0.01[ms])表示。或者，上下限值比率也可以在上限与下限为不同的比率。

正常周期范围是通过设计周期及上下限值比率算出的范围，是判定接收到的数据是否正确时使用的信息。例如，设计周期为x[ms]、上下限值比率为a％(±x×a×0.01[ms])的情况下，正常周期范围从x-x×a×0.01[ms]成为x+x×a×0.01[ms]。在确定正常周期范围时成为基准的基准数据的接收时间点设为(Kms)的情况下，正常周期范围的中央值成为(K+x)ms，正常周期范围的下限时间点(limit-low)成为{(K+x)-(x×a×0.01)}ms，正常周期范围的上限时间点(limit-upp)成为{(K+x)+(x×a×0.01)}ms的时间点。在本实施方式中，数据类别表一并包含设计周期及上下限值比率、正常周期范围，但是没有限定于此，当然可以仅包含某一个。

判定执行对象标志保存有在由车载网络4收发的数据中，确定将哪个类别的数据设为是否正确判定的执行对象(监视对象)的标志值(1：监视对象，0：非监视对象)。在这样由车载网络4收发的数据中，将设定有判定执行对象标志的类别的数据设为是否正确判定的执行对象(监视对象)，由此仅将重要度比较高的数据设为监视对象，能够减轻车载装置2(处理部)的处理负荷。

图4是与数据的判定(正常判定)有关的说明图。在本实施方式的图示中，说明与确定的数据类别的数据(CAN消息等)有关的判定处理。在该图示中，横轴表示时间(经过时间)。

车载装置2的处理部20对于例如存储于存储部21的数据类别表中确定的数据(监视对象消息)的每一个，算出同种的数据(同一消息ID)的接收间隔，如果接收间隔进入正常周期范围内，则将该数据(消息)判定为正常。

处理部20在接收间隔未进入正常周期范围内的情况下，或者在正常周期范围内接收到多个数据的情况下，将该数据判定为异常。在接收间隔未进入正常周期范围内的情况下，表示能够确定哪个消息为异常的状态，处理部20判定为确定异常。在正常周期范围内接收到多个数据的情况下，表示检测到某范围包含异常的情况的状态，处理部20判定为范围异常。

在判定为正常数据(消息)的情况下，将该数据(消息)设为基准(基准数据)，算出该基准数据与接下来接收到的数据(消息)的接收间隔。基准数据(基准消息)按照监视对象消息的数据类别(消息ID)来设定，在基准数据的取得状态下，在初次接收消息与第二次接收到的消息的接收间隔(ΔT)为正常范围内的情况下，将第二次接收到的数据(消息)设为基准数据(基准消息)。基准数据的设定并不局限于两次，该数据也可以是在连续多次的情况下决定的结构。即，处理部20例如在连续五次地接收间隔为正常范围内的情况下，也可以将第五次接收到的数据(消息)设为基准数据(基准消息)。

通过将IG开关6接通而车辆C起动，从与车载网络4连接的各个车载ECU3发送CAN消息等数据。车载装置2的处理部20进行例如通过消息ID(CAN-ID)等分类的每个各类别的数据的初次接收，将初次接收到的数据设定作为用于确定正常周期范围的最初的基准数据(基准消息)。

处理部20在表示接收到基准数据的时刻等的接收时间点，参照存储于存储部21的数据类别表，将基于数据的类别而预先决定的作为发送周期的设计周期(T)相加，以相加后的时间点为中心值，加上及减去上下限值，由此确定(导出)正常周期范围。即，正常周期范围相当于将中心值加上上限值后的上限时间点(limit-upp)与将中心值减去下限值后的下限时间点(limit-low)之间的范围(期间)。由此，发送周期(设计周期)成为从接收时刻(基准数据的接收时间点)起的相对时间。

以下，说明通过车载装置2的处理部20反复进行的判定处理。处理部20根据基准消息，算出以设计周期(T)后为中央值并以下限时间点(limit-low1)和上限时间点(limit-upp1)为上下限的正常周期范围1。处理部20在上限时间点(limit-upp1)的时间点对基准消息以后接收到的消息的个数和接收间隔进行计数。

处理部20由于接收到的消息1(Msg1)为正常周期范围1内且个数为1个，因此判断为正常消息并将消息1(Msg1)更新(再设定)为基准消息。处理部20根据消息1(Msg1)(在该时间点为基准消息)，算出以设计周期(T)后为中央值并以下限时间点(limit-low2)和上限时间点(limit-upp2)为上下限的正常周期范围2。

处理部20在上限时间点(limit-upp2)的时间点，对通过消息1(Msg1)更新(再设定)后的基准消息以后接收到的消息的个数和从该基准消息起的接收间隔进行计数。处理部20由于接收到的消息2(Msg2)为正常周期范围2内且个数为1个，因此将消息2(Msg2)更新(再设定)作为基准消息。

车载装置2的处理部20通过反复进行上述的处理，基于正常判定的数据(消息)，处理部20对基准数据(基准消息)进行更新(再设定)，使用通过更新后的基准数据而每次确定的正常周期范围，反复进行在该基准数据之后接收到的数据(消息)的判定处理。

图5是与数据的判定(通信中断发生)有关的说明图。处理部20根据基准消息，算出以设计周期(T)后为中央值并以下限时间点(limit-low1)和上限时间点(limit-upp1)为上下限的正常周期范围1。处理部20在上限时间点(limit-upp1)的时间点，对基准消息以后接收到的消息的个数和接收间隔进行计数。

处理部20由于接收到的消息1(Msg1)为正常周期范围1内且个数为1个，因此将消息1(Msg1)更新(再设定)作为基准消息。处理部20根据消息1(Msg1)(在该时间点为基准消息)，算出以设计周期(T)后为中央值并以下限时间点(limit-low2)和上限时间点(limit-upp2)为上下限的正常周期范围2。处理部20在上限时间点(limit-upp2)的时间点，对通过消息1(Msg1)更新(再设定)后的基准消息以后接收到的消息的个数和从该基准消息起的接收间隔进行计数。

处理部20由于在正常周期范围2内接收到的消息为0个，因此判断为通信中断发生，在该正常周期范围2经过之后，即正常周期范围2的上限时间点(limit-upp2)之后进行基准消息的再取得。处理部20将正常周期范围2的上限时间点(limit-upp2)之后取得(接收)到的消息设定作为基准消息，确定正常周期范围3。

图6是与数据的判定(异常(确定)判定)有关的说明图。处理部20根据基准消息，算出以设计周期(T)后为中央值并以下限时间点(limit-low1)和上限时间点(limit-upp1)为上下限的正常周期范围1。处理部20在上限时间点(limit-upp1)的时间点对基准消息以后接收到的消息的个数和接收间隔进行计数。

处理部20由于接收到的消息1(Msg1)为正常周期范围1内且个数为1个，因此将消息1(Msg1)更新(再设定)作为基准消息。处理部20根据消息1(Msg1)(在该时间点为基准消息)，算出以设计周期(T)后为中央值并以下限时间点(limit-low2)和上限时间点(limit-upp2)为上下限的正常周期范围2。

处理部20在上限时间点(limit-upp2)的时间点，对通过消息1(Msg1)更新(再设定)后的基准消息以后接收到的消息的个数和从该基准消息起的接收间隔进行计数。处理部20由于接收到的消息在正常周期范围外为1个(消息2(Msg2))，在正常周期范围2内为1个(消息3(Msg3))，因此将消息2(Msg2)更新(再设定)为异常检测(判定为确定异常)，将消息3(Msg3)更新(再设定)为基准消息。

处理部20即使在接收到被判定为确定异常的数据的情况下，通过重复进行上述的处理，基于被判定为正常的数据(消息)，也能更新(再设定)基准数据(基准消息)。处理部20使用通过该更新后的基准数据而每次确定的正常周期范围，反复进行该基准数据之后接收到的数据(消息)的判定处理。

图7是与数据的判定(异常(范围)判定)有关的说明图。处理部20根据基准消息，算出以设计周期(T)后为中央值并以下限时间点(limit-low1)和上限时间点(limit-upp1)为上下限的正常周期范围1。处理部20在上限时间点(limit-upp1)的时间点对基准消息以后接收到的消息的个数和接收间隔进行计数。

处理部20由于接收到的消息1(Msg1)为正常周期范围1内且个数为1个，因此将消息1(Msg1)更新(再设定)作为基准消息。处理部20根据消息1(Msg1)(在该时间点为基准消息)，算出以设计周期(T)后为中央值并以下限时间点(limit-low2)和上限时间点(limit-upp2)为上下限的正常周期范围2。

处理部20在上限时间点(limit-upp2)的时间点，对通过消息1(Msg1)更新(再设定)后的基准消息以后接收到的消息的个数和从该基准消息起的接收间隔进行计数。处理部20由于接收到的消息(消息2(Msg2)、消息3(Msg3))在正常周期范围2内为2个以上，因此将消息2(Msg2)、消息3(Msg3)设为异常检测(判定为范围异常)，在该正常周期范围2经过之后，即正常周期范围2的上限时间点(limit-upp2)之后进行基准消息的再取得。

处理部20将正常周期范围2的上限时间点(limit-upp2)之后取得(接收)到的消息设定作为基准消息，确定正常周期范围3。处理部20即使在接收到被判定为范围异常的多个数据的情况下，通过重复进行上述的处理，也能更新(再设定)基准数据(基准消息)，使用通过更新后的基准数据而每次确定的正常周期范围，反复进行在该基准数据之后接收到的数据(消息)的判定处理。

图8是与数据的判定(组合)有关的说明图。处理部20根据基准消息，算出以设计周期(T)后为中央值并以下限时间点(limit-low1)和上限时间点(limit-upp1)为上下限的正常周期范围1。处理部20在上限时间点(limit-upp1)的时间点对基准消息以后接收到的消息的个数和接收间隔进行计数。

处理部20由于接收到的消息1(Msg1)为正常周期范围1内且个数为1个，因此将消息1(Msg1)更新(再设定)作为基准消息。处理部20根据消息1(Msg1)(在该时间点为基准消息)，算出以设计周期(T)后为中央值并以下限时间点(limit-low2)和上限时间点(limit-upp2)为上下限的正常周期范围2。

处理部20在上限时间点(limit-upp2)的时间点，对通过消息1(Msg1)更新(再设定)后的基准消息以后接收到的消息的个数和从该基准消息起的接收间隔进行计数。处理部20由于接收到的消息在正常周期范围外为2个(消息2(Msg2)、消息3(Msg3))，在正常周期范围2内为2个以上(消息4(Msg4)、消息5(Msg5))，因此将消息2(Msg2)及消息3(Msg3)设为异常检测(判定为确定异常)。处理部20将消息4(Msg4)及消息5(Msg5)设为异常检测(判定为范围异常)，在正常周期范围2经过之后，进行基准消息的再取得。

处理部20即使在接收到被判定为确定异常或范围异常的多个数据的情况下，通过重复进行上述的处理，也能更新(再设定)基准数据(基准消息)，使用通过更新后的基准数据而每次确定的正常周期范围，反复进行在该基准数据之后接收到的数据(消息)的判定处理。

图9是与车载装置2的处理部20的状态转移有关的说明图。车载装置2的处理部20在进行判定处理的过程中，转移多个状态。该多个状态包括例如进行每当确定正常周期范围时成为基准的数据的接收的基准数据接收状态(基准消息的取得状态)、基于确定的正常周期范围来判定接收到的数据是否正确的判定执行状态(周期检测执行状态)。

车载装置2的处理部20例如在IG开关6刚接通之后，成为基准数据接收状态，以后，在最初接收(初次接收)数据时，转移到判定执行状态。处于判定执行状态的处理部20以后判定为在正常周期范围内取得的数据正常的情况下，将该正常数据更新(再设定)作为基准数据，由此维持判定执行状态。向基准数据接收状态，并不局限于IG开关6的接通，也可以是蓄电池的接通或从通信睡眠状态起的唤醒时的转移。即，车载装置2的处理部20转移到基准数据接收状态的触发也可以基于IG开关6的接通、蓄电池的接通、ACC接通(附件电源的接通)、及从通信睡眠状态起的唤醒时的转移(唤醒信号的接收)等各种电源契机(电源状态的转移)。即，车载装置2的处理部20也可以在与这样的电源契机(电源状态的转移)有关的事件发生的情况下，通过进行该事件检测等而转移到基准数据接收状态。

处于判定执行状态的处理部20在正常周期范围内取得了多个同种的数据产生的异常检测(范围异常)或者在该正常周期范围内无法取得同种的数据的情况下(通信中断检测)，转移到基准数据接收状态。从判定执行状态转移到基准数据接收状态的处理部20在经过了该正常周期范围之后，即正常周期范围的上限时间点(limit-upp)经过之后，将最初取得的同种的数据设为基准数据，转移到判定执行状态。

图10是与车载装置2的处理部进行的判定形态有关的说明图。车载装置2的处理部20也可以每当进行本实施方式中的判定处理时，以从上一正常周期范围的上限时间点(limit-upp[t])的经过后至本次的正常周期范围的上限时间点(limit-upp[t+1])之间的期间为对象来确定单位判定期间，每隔该单位判定期间进行判定处理。这样设定的单位判定期间包括从上一正常周期范围的上限时间点(limit-upp[t])的经过后至本次的正常周期范围的下限时间点(limit-low[t+1])的期间(期间A)、从本次的正常周期范围的下限时间点(limit-low[t+1])至本次的正常周期范围的上限时间点(limit-upp[t+1])的期间(期间B)。

处理部20也可以分别在上述期间A及期间B中，对接收(取得)到的数据(与基准数据同种的数据)的个数进行计数，根据各自的期间(期间A及期间B)中的数据的个数，进行判定处理及基准数据的更新(再设定)。

在期间A取得的数据的个数为0个、在期间B取得的数据的个数为0个的情况下，处理部20在期间B判定为发生通信切断(正常数据丢失等)，为了将本次的正常周期范围的上限时间点经过之后取得的数据设为基准的数据而转移到基准数据接收状态。

在期间A取得的数据的个数为0个、在期间B取得的数据的个数为1个的情况下，处理部20将在期间B接收到的数据判定为正常，将在期间B取得的数据设为基准的数据，维持判定执行状态。

在期间A取得的数据的个数为0个、在期间B取得的数据的个数为2个以上的情况下，处理部20将在期间B接收到的多个数据判定为异常(范围异常)，为了将本次的正常周期范围的上限时间点经过之后取得的数据设为基准的数据而转移到基准数据接收状态。

在期间A取得的数据的个数为1个以上、在期间B取得的数据的个数为0个的情况下，处理部20将在期间A接收到的数据判定为异常(确定异常)。处理部20在期间B判定为通信切断(正常数据丢失等)发生，为了将本次的正常周期范围的上限时间点经过之后取得的数据设为基准的数据而转移到基准数据接收状态。

在期间A取得的数据的个数为1个以上、在期间B取得的数据的个数为1个的情况下，处理部20将在期间A接收到的数据判定为异常(确定异常)，将在期间B接收到的数据判定为正常，将在期间B取得的数据设为基准的数据，维持判定执行状态。

在期间A取得的数据的个数为1个以上、在期间B取得的数据的个数为2个以上的情况下，处理部20将在期间A接收到的数据判定为异常(确定异常)，将在期间B接收到的多个数据判定为异常(范围异常)，为了将本次的正常周期范围的上限时间点经过之后取得的数据设为基准的数据，转移到基准数据接收状态。

本实施方式的图示的信息也可以是例如以表形式，作为判定形态表而存储于存储部21的信息。处理部20也可以基于每隔单位判定期间计数的数据的个数，参照该判定形态表，进行判定处理及基准数据的更新(再设定)。处理部20也可以这样分别在期间A及期间B中，按照根据接收(取得)到的数据(与基准数据同种的数据)的个数而决定的处理方式，设定不同的判定代码，每隔单位判定期间(正常周期范围的上限时间点)，将该上限时间点的时刻信息与判定代码建立关联地存储于存储部21。

图11是例示车载装置2的处理部的处理的流程图。车载装置2的处理部20例如在车辆C为起动状态(IG开关6为接通)下，稳定地进行以下的处理。

车载装置2的处理部20接收基准数据(S101)。处理部20通过接收基准数据而转移到判定执行状态。通过将IG开关6接通而车辆C起动，从连接于车载网络4的各个车载ECU3，将CAN消息等数据通过例如广播来发送。车载装置2的处理部20通过接收(取得)这些数据，例如，进行通过消息ID(CAN-ID)等分类的各类别每一个的数据的初次接收。初次接收到的数据被设定作为用于确定正常周期范围的基准数据。车载装置2的处理部20也可以每当将接收到的数据设定作为基准数据时，将该数据的类别(消息ID)与表示接收到数据的时刻等的接收时间点建立关联地存储于存储部21。车载装置2的处理部20以后按照各数据的类别(例如，每个消息ID)进行以下的处理。

车载装置2的处理部20确定正常周期范围(S102)。处理部20例如参照存储于存储部21的数据类别表，基于数据的类别(消息ID)，确定正常周期范围。每当确定正常周期范围时，基于设计周期及上下限比率，运算并确定该正常周期范围。例如，将基于数据的类别而预先决定的作为发送周期的设计周期(T)与基准数据的接收时间点(C)相加，决定正常周期范围的中心值(C+T)。将该中心值(C+T)例如加上基于上下限比率而决定的上下限值(L)(C+T+L)及减去基于上下限比率而决定的上下限值(L)(C+T-L)。由此，对于中心值(C+T)确定基于±L的范围(从(C+T-L)至(C+T+L))，该范围相当于正常周期范围。通过将中心值(C+T)加上上下限值(L)的(C+T+L)而确定的时间点相当于正常周期范围中的上限时间点(limit-upp)。通过将中心值(C+T)减去上下限值(L)的(C+T-L)而确定的时间点相当于正常周期范围中的下限时间点(limit-low)。

通过这样确定正常周期范围，能够确定用于进行在基准数据的接收以后接收的数据(与基准数据同种的数据)的是否正确判定的时间点信息。在本实施方式中，对于中心值(C+T)加上及减去的上下限值(L)使用相等的值，但是没有限定于此，也可以将加上的上限值(Lu)与减去的下限值(Ll)设为不同的值。

车载装置2的处理部20判定在正常周期范围内是否取得了同种的数据(S103)。同种的数据是与接收到的基准数据的种类相同的数据，该数据为例如CAN消息的情况下，消息ID(CAN-ID)相同的消息(数据)彼此成为同种的数据。处理部20算出例如从基准数据的接收时间点至下一接收到的同种的数据的接收时间点为止的接收间隔(ΔT)。根据该接收间隔(ΔT)是否为正常周期范围内，即接收间隔(ΔT)是否为从基准数据的接收时间点至正常周期范围的下限时间点(limit-low)的经过时间以上且从基准数据的接收时间点至正常周期范围的上限时间点(limit-upp)的经过时间以内，处理部20也可以判定在正常周期范围内是否取得了同种的数据。

从基准数据的接收时间点至下一接收到的同种的数据的接收时间点为止的接收间隔(ΔT)为从基准数据的接收时间点至正常周期范围的下限时间点(limit-low)的经过时间以上且至正常周期范围的上限时间点(limit-upp)为止的经过时间以内的情况下，处理部20判定为在正常周期范围内取得了同种的数据。在正常周期范围的上限时间点(limit-upp)经过以前未取得同种的数据的情况下，处理部20判定为在正常周期范围内未取得同种的数据。或者，处理部20也可以基于从正常周期范围的下限时间点(limit-low)至上限时间点(limit-upp)的期间内的同种的数据的接收(取得)的有无，判定在正常周期范围内是否取得了同种的数据。即，在接收到正常周期范围的从下限时间点(limit-low)至上限时间点(limit-upp)的期间中的同种的数据的情况下(下限时间点≤同种的数据的接收时间点≤上限时间点)，处理部20判定为在正常周期范围内取得了同种的数据。

在未取得同种的数据的情况下(S103：否)，车载装置2的处理部20为了再次执行S101而进行循环处理。在正常周期范围内未取得同种的数据的情况下，判定为该数据的丢失等引起的通信中断发生，车载装置2的处理部20通过再次执行S101而尝试该同种的数据的接收。处理部20转移到基准数据接收状态。处理部20连续地进行从S103向S101的循环处理，也可以在该连续的次数达到例如10次等规定的阈值次数的情况下或者超过了该阈值次数的情况下，判定为在S101中接收到的数据异常。

在取得了同种的数据的情况下(S103：是)，车载装置2的处理部20判定数据的个数是否为一个还是并非一个(S104)。车载装置2的处理部20对于在正常周期范围内，即正常周期范围的从下限时间点(limit-low)至上限时间点(limit-upp)的期间接收到的同种的数据的个数进行计数，判定该数据的个数是为一个还是并非一个(是否为两个以上的多个)。

车载装置2的处理部20在接收(取得)到的全部的数据中，将该数据各自的接收时间点与CAN-ID等的数据类别建立关联地存储于存储部21。车载装置2的处理部20关于成为该数据各自的接收时间点与基准数据的接收时间点的差值的接收间隔，也可以与CAN-ID等数据类别建立关联地存储于存储部21。

在接收到的数据的个数为一个的情况下(S104：是)，车载装置2的处理部20将接收到的数据判定为正常(S105)。在正常周期范围内取得的接收到的数据的个数为一个的情况下，该数据是基于设计周期从某一车载ECU3正常发送的数据，车载装置2的处理部20将接收到的数据判定为正常。

车载装置2的处理部20将接收到的数据设定为后续的判定处理中使用的基准数据，确定正常周期范围(S106)。车载装置2的处理部20将接收到的数据，即在S105的处理中判定为正常的数据设定为下一接收的同种的数据的判定处理中使用的基准数据。这样，车载装置2的处理部20通过反复进行通过在紧前处理中判定为正常的数据来设定基准数据的情况，能够持续进行与车载网络4的负荷状况等实时对应的基准数据的设定(周期性的再设定)。车载装置2的处理部20基于这样再设定的基准数据，与S102的处理同样地确定正常周期范围。处理部20基于该确定的正常周期范围，反复进行以后接收的数据的是否正确判定。

在接收到的数据的个数不为一个的情况下(S104：否)，即接收到的同种的数据的个数为两个以上(多个)的情况下，判定为接收到的多个数据为范围异常(S1041)。在单一的正常周期范围内接收到的多个数据(同种的数据)中，至少一个以上的数据为异常的数据。在该情况下，车载装置2的处理部20对于这多个数据，作为在规定的范围(正常周期范围)包含异常的数据，判定为范围异常。车载装置2的处理部20也可以将判定为范围异常的这多个数据的数据类别及接收时间点作为攻击检测日志数据，存储于存储部21，向外部服务器100或显示装置5输出。

车载装置2的处理部20接收基准数据(S1042)。车载装置2的处理部20将在正常周期范围之后接收到的同种的数据作为基准数据接收。判定为范围异常的这多个数据包含至少一个以上的异常的数据，因此车载装置2的处理部20不进行将该范围异常的数据设定作为基准数据的情况。由此，能够可靠地避免通过范围异常的数据进行以后取得的数据的是否正确的判定的情况。车载装置2的处理部20将在接收到范围异常的多个数据后的正常周期范围之后接收到的同种的数据作为基准数据接收。

车载装置2的处理部20确定正常周期范围(S1043)。车载装置2的处理部20将在S1042中接收到的数据设定为在下一判定处理使用的基准数据，与S102的处理同样地确定正常周期范围。即使在接收到这样范围异常的多个数据的情况下，通过基于以后接收到的数据来再设定基准数据，也能够继续或再次开始判定处理。

车载装置2的处理部20也可以在范围异常的多个数据中，进行确定或提取哪个数据异常的处理。每当进行该确定处理时，车载装置2的处理部20也可以使用例如将正常范围接收到的数据中的最接近正常范围的中央值的数据设为正常数据并将除此以外设为异常数据的方法。在该情况下，以多个数据中的正常数据必然存在一个的情况为前提，进行确定哪个数据异常的处理。或者，车载装置2的处理部20也可以使用预先取得正常数据的正常范围内的接收时间分布，将最接近分布的中央值的数据判定为正常数据的方法。在该情况下，利用虽然接收时间分布在正常范围之中取得正态分布的情况较多，但是未必在正常范围的中央值附近存在分布的中央的情况。是想到了根据搭载于车辆C的选项等，当连接于同一通信线41(CAN总线)上的车载装置2的个数或种类变化时，接收时间分布也变化的情况的方法。或者，车载装置2的处理部20也可以使用根据流向同一通信线41(CAN总线)的其他数据的CAN-ID等的前后关系进行判定的方法。利用在CAN网关等车载中继装置接收的CAN-ID的顺序中存在一定的排列顺序，越是设计周期长的数据(CAN消息)，排列顺序的规则越显著的情况。或者，车载装置2的处理部20也可以使用与数据的内容等、包含于接收数据的周期以外的信息对应地进行判断的方法。在该情况下，也可以与其他的检测算法组合而复合地判断。或者，车载装置2的处理部20也可以使用通过电气波形特性进行判断的方法。在该情况下，利用根据例如CAN收发机差异或车载装置2等的发送节点的连接部位，即使是相同数据，在物理层水平下，电气波形也不同的情况。此外，利用无论是连接于构成通信线41的线束的干线还是连接于支线而电气波形特性等不同的情况。车载装置2的处理部20也可以对于范围异常的多个数据，使用上述的全部的方法，确定哪个数据异常，基于由各方法产生的确定结果，将最多的方法确定为异常的数据最终决定为异常的数据(基于多数决定的决定)。

车载装置2的处理部20在S106或S1043执行后，判定从上一正常周期范围至本次的正常周期范围之间是否接收到同种的数据(S107)。正常周期范围成为每次设定基准数据时确定的范围，确定的正常周期范围分别时序地相邻。在时序地相邻的两个正常周期范围(T[t]、T[t+1)之间的期间中，不发送正常的数据，因此在该期间接收(取得)到的数据为异常的数据。车载装置2的处理部20在执行了S106或S1043的处理之后，判定在从上一正常周期范围(T[t])至本次的正常周期范围(T[t+1])之间，即从上一正常周期范围的上限时间点(limit-upp[t])的经过后至本次的正常周期范围的下限时间点(limit-low[t+1])之间是否接收到同种的数据。

在接收到同种的数据的情况下(S107：是)，车载装置2的处理部20将接收到的数据判定为确定异常(S108)。在接收到的数据的个数为一个的情况下，车载装置2的处理部20能够单独地确定该数据异常，判定为确定异常。而且，即使在接收到的数据的个数为两个以上(多个)的情况下，车载装置2的处理部20也将这些数据分别判定为确定异常。车载装置2的处理部20也可以将判定为确定异常的单一或多个数据的数据类别及接收时间点作为攻击检测日志数据，存储于存储部21，向外部服务器100或显示装置5输出。

在未接收到同种的数据的情况下(S107：否)，或者在S108的执行后，车载装置2的处理部20为了再次执行S103而进行循环处理。在循环处理中执行S103时使用的正常周期范围当然是在S106或S1043的处理中确定的正常周期范围。车载装置2的处理部20也可以将本实施方式中的判定处理的全部的结果(判定结果)存储于存储部21，或者经由车外通信装置1向外部服务器100发送(输出)。

车载装置2的处理部20在本实施方式的判定处理中，每当对接收到的数据的个数进行计数时，例如，以从上一正常周期范围的上限时间点(limit-upp[t])的经过后至本次的正常周期范围的上限时间点(limit-upp[t+1])之间的期间为对象来确定单位判定期间，每隔该单位判定期间进行判定处理。在该情况下，车载装置2的处理部20也可以在各个正常周期范围的上限时间点进行该判定处理。在本实施方式中，将车载装置2的处理部20进行判定处理的单位判定期间设为从上一正常周期范围的上限时间点(limit-upp[t])的经过后至本次的正常周期范围的上限时间点(limit-upp[t+1])，但是没有限定于此，例如，也可以将从上一正常周期范围的下限时间点(limit-low[t])的经过后至本次的正常周期范围的下限时间点(limit-low[t+1])设为单位判定期间。

车载装置2的处理部20每当执行本实施方式的流程图时，也可以按照数据的类别通过各个流程图进行处理。即，也可以在成为判定执行对象的数据的类别(CAN-ID)的个数为例如10个的情况下，生成该个数的相同数目(10个)的子进程，在各个子进程中并行地进行基于该流程图的处理。

在本实施方式中，车载装置2的处理部20进行全部的处理，但是没有限定于此，处理的一部分也可以通过例如车载装置2的处理部20和某一车载ECU3或外部服务器100进行进程间通信等而协作进行。

(实施方式2)

图12是与实施方式2的数据的判定(诊断掩码期间)有关的说明图。在本实施方式的图示中，说明与确定的数据类别的数据(CAN消息等)有关的判定处理。在该图示中，横轴表示时间(经过时间)。

车载装置2的处理部20在IG开关6被接通的情况下，在经过诊断掩码期间之前，不接收成为异常检测的对象的数据而进行等待处理。每当进行该等待处理时，车载装置2的处理部20也可以持续进行判定诊断掩码期间是否经过的处理。诊断掩码期间作为例如几秒等而存储于存储部21，车载装置2的处理部20通过参照存储部21，能够取得诊断掩码期间的值。诊断掩码期间例如设定作为进行对于车载ECU3及车载装置2的诊断处理(自我诊断处理)的期间，是不进行对搭载于车辆C的车载装置2等的异常检测的期间。

车载装置2的处理部20在经过诊断掩码期间之后，开始成为异常检测的对象的数据的取得。车载装置2的处理部20从基于IG开关6的接通的诊断掩码期间的开始时间点至该诊断掩码期间的完成后(结束时间点之后)且最初接收到的数据(在本实施方式中，消息1：Msg1)的接收时间点为止之间，维持等待状态。与实施方式1同样，车载装置2的处理部20例如按照存储于存储部21的数据类别表中确定的数据(监视对象消息)，算出连续接收的同种的数据(同一消息ID)的接收间隔。

如本实施方式的图示所述，车载装置2的处理部20在经过诊断掩码期间之后，以最初接收到的数据(消息1：Msg1)为基准，接收与该数据(消息1：Msg1)同种的数据(消息2：Msg2)。在该情况下，在数据(消息1：Msg1)与数据(消息2：Msg2)之间，没有与这些数据同种的数据的接收，因此这些数据(消息1：Msg1，消息2：Msg2)相当于连续接收到的同种的两个数据。需要说明的是，在接收到该两个同种的数据(消息1：Msg1，消息2：Msg2)的时间点之间，即使接收到其他的种类的数据的情况下，这两个同种的数据(消息1：Msg1，消息2：Msg2)当然也相当于连续接收到的同种的两个数据。

与实施方式1同样，车载装置2的处理部20算出最初接收到的数据(消息1：Msg1)与后接收到的数据(消息2：Msg2)的接收间隔，如果该接收间隔进入以最初接收到的数据(消息1：Msg1)的接收时间点为基准的正常周期范围内，则将这些数据(消息1：Msg1，消息2：Msg2)判定为正常。车载装置2的处理部20将这样连续接收到的同种的两个数据中的后接收到的数据(消息2：Msg2)设定作为基准数据(基准消息)。

车载装置2的处理部20在从最初接收到的数据(消息1：Msg1)的接收时间点至将后接收到的数据(消息2：Msg2)设定作为基准数据(基准消息)之间，维持基准数据接收状态(基准消息取得状态)。即，车载装置2的处理部20在诊断掩码期间的完成后，从最初接收到的数据(消息1：Msg1)的接收时间点至后接收到的数据(消息2：Msg2)的接收时间点之间，维持基准数据接收状态(基准消息取得状态)。车载装置2的处理部20使用这样设定的基准数据(基准消息)，与实施方式1同样地开始对接收到的数据的异常检测。车载装置2的处理部20在开始该异常检测时，转移到判定执行状态(周期检测执行状态)。

图13是与车载装置的处理部的状态转移有关的说明图。车载装置2的处理部20在进行判定处理的过程中，与实施方式1同样地转移多个状态。该多个状态包括例如进行诊断掩码期间等中的等待处理的等待状态、每当确定正常周期范围时进行成为基准的数据的接收的基准数据接收状态(基准消息取得状态)、基于确定的正常周期范围来判定接收的数据是否正确的判定执行状态(周期检测执行状态)。

车载装置2的处理部20例如在车载装置2的电源(ECU电源)刚接通之后，成为等待状态。车载装置2的处理部20在该等待状态下，将IG开关6接通，通过诊断掩码期间完成(诊断掩码关闭)且取得最初接收的数据，转移到基准数据接收状态(基准消息取得状态)。

车载装置2的处理部20在基准数据未确定(基准消息未确定)期间，即取得成为基准数据(基准消息)的后接收到的同种的数据之前期间，维持基准数据接收状态(基准消息取得状态)。车载装置2的处理部20在基准数据接收状态下，在IG开关6断开的情况下或者诊断掩码期间开始(诊断掩码开启)的情况下，转移到等待状态。车载装置2的处理部20在基准数据接收状态下，在接收到基准数据(后接收的同种的数据)的情况下，转移到判定执行状态(周期检测执行状态)。

车载装置2的处理部20在判定执行状态(周期检测执行状态)下，在未检测到异常期间或者检测到的异常为确定异常的情况下，维持判定执行状态(周期检测执行状态)。车载装置2的处理部20在判定执行状态(周期检测执行状态)下，在检测到的异常为范围异常的情况下，在检测到通信中断的情况下，或者诊断掩码期间开始(诊断掩码开启)的情况下，转移到等待状态。

图14是例示车载装置2的处理部的处理的流程图。车载装置2的处理部20在例如车辆C为起动状态(IG开关6接通)下，稳定地进行以下的处理。

车载装置2的处理部20在IG开关6接通的情况下，判定诊断掩码期间是否经过(S201)。诊断掩码期间被预先确定作为不进行对搭载于车辆C的车载装置2的异常检测的期间，该期间例如存储于车载装置2的存储部21。在诊断掩码期间未经过的情况下(S201：否)，车载装置2的处理部20例如为了再次执行S201的处理而进行循环处理，由此进行等待处理，维持等待状态。

在经过诊断掩码期间的情况下(S201：是)，车载装置2的处理部20接收诊断掩码期间的经过后的最初的数据(S202)。车载装置2的处理部20在经过诊断掩码期间后，取得最初接收到的数据。如上所述，接收的数据为多个种类的数据(多个数据类别)，因此车载装置2的处理部20按照数据类别取得最初接收到的数据。车载装置2的处理部20在诊断掩码期间中为等待状态，但是在该最初接收到的数据的接收时间点以后，从该等待状态转移到基准数据接收状态。

车载装置2的处理部20接收基准数据(S203)。车载装置2的处理部20取得作为S201的处理而最初接收到的数据和与该数据同种的数据且紧接着该数据之后接收到的数据(后接收到的数据)。由此，车载装置2的处理部20在经过诊断掩码期间后，取得连续接收到的同种的两个数据。车载装置2的处理部20在连续接收到的同种的两个数据中，在该数据的接收间隔为正常周期范围内的情况下，接收(取得)后接收到的数据作为基准数据，由此设定该基准数据。车载装置2的处理部20也可以将该连续接收到的同种的两个数据(最初接收到的数据、后接收到的数据)存储于存储部21。

与实施方式1的处理S102～S108同样，车载装置2的处理部20进行S204～S210的处理。车载装置2的处理部20在从S201至S203的处理完成之前期间，维持每当确定正常周期范围时进行成为基准的数据的接收的基准数据接收状态。车载装置2的处理部20在S203的处理完成后，每当进行S204的处理时，转移到基于确定的正常周期范围来判定接收到的数据是否正确的判定执行状态。车载装置2的处理部20每当进行S204以后的一连串的处理时根据各处理内容，向基准数据接收状态、判定执行状态或等待状态进行状态转移。车载装置2的处理部20无论为基准数据接收状态、判定执行状态或等待状态中的哪一状态，都继续进行将接收到的数据按照路由映射，向其他的通信线41(CAN总线)转送等的中继处理。

车载装置2的处理部20在处于基准数据接收状态的情况下，禁止判定接收到的数据是否正确等的与异常检测有关的处理、及保存基于判定执行状态下的检测结果的安全日志等(攻击检测日志数据)的处理，不进行这些处理。该处理的禁止按照接收的数据的种类(数据类别)进行。车载装置2的处理部20在处于判定执行状态的情况下，将基于判定执行状态下的检测结果的安全日志等与异常的形态对应的信息存储于易失性的存储区域。车载装置2的处理部20例如在IG开关6断开的情况下，将存储于易失性的存储区域的安全日志等向非易失性的存储区域存储(复印)。车载装置2的处理部20也可以确定存储(保存)的安全日志的个数的上限值，在保存的安全日志的个数超过了上限值的情况下，将最旧的安全日志覆写，保存最新的日志。

应考虑的是本次公开的实施方式在全部的点上为例示，不是限制性内容。本发明的范围不是由上述的意思而由权利要求书公开，并意图包含与权利要求书等同的意思及范围内的全部变更。

标号说明

C 车辆

S 车载系统

100 外部服务器

1 车外通信装置

11 天线

2车载装置(车载中继装置)

20处理部(控制部)

21存储部

22输入输出I/F

23车内通信部

3车载ECU

4 车载网络

41 通信线

5显示装置(HMI装置)

6IG开关。

Claims (17)

1.一种车载装置，与搭载于车辆的车载网络连接，其中，

所述车载装置具备处理部，所述处理部进行与流向所述车载网络的数据是否正确的判定有关的处理，

所述处理部接收流向所述车载网络的多个数据，

所述处理部在接收到的所述多个数据中导出连续接收到同种的数据时的接收间隔，

所述处理部基于所述接收间隔和以连续接收到的同种的数据中的先接收到的数据的接收时间点为基准的正常周期范围，进行连续接收到的同种的数据中的后接收到的数据是否正确的判定。

2.根据权利要求1所述的车载装置，其中，

所述正常周期范围是以基于所述数据的类别而决定的发送周期为基准值而设定了上下限值的范围。

3.根据权利要求1或2所述的车载装置，其中，

所述处理部在所述接收间隔是以连续接收到的同种的数据中的先接收到的数据的接收时间点为基准的所述正常周期范围内的情况下，将连续接收到的同种的数据中的后接收到的数据判定为正常，

所述处理部在所述接收间隔不是所述正常周期范围内的情况下，将连续接收到的同种的数据中的后接收到的数据判定为异常。

4.根据权利要求1～3中任一项所述的车载装置，其中，

所述处理部在所述正常周期范围内未能接收到同种的数据的情况下，以所述正常周期范围以后接收到的同种的数据的接收时间点为基准来确定下一正常周期范围。

5.根据权利要求1～4中任一项所述的车载装置，其中，

所述处理部在所述正常周期范围内接收到的同种的数据的个数为一个的情况下，将在该正常周期范围内接收到的一个数据判定为正常，

所述处理部在所述正常周期范围内接收到的同种的数据的个数为多个的情况下，将在该正常周期范围内接收到的多个数据中包含的某个数据判定为异常。

6.根据权利要求1～5中任一项所述的车载装置，其中，

所述处理部在所述正常周期范围内接收到的同种的数据的个数为多个的情况下，以在所述正常周期范围以后接收到的同种的数据的接收时间点为基准来确定下一正常周期范围。

7.根据权利要求1～6中任一项所述的车载装置，其中，

所述处理部在先接收到的数据的判定中使用的上一正常周期范围与以所述先接收到的数据的接收时间点为基准的本次的正常周期范围之间接收到与该数据同种的数据的情况下，将该同种的数据判定为异常。

8.根据权利要求1～7中任一项所述的车载装置，其中，

所述处理部在以先接收到的数据的接收时间点为基准的正常周期范围内接收到一个与该数据同种的数据的情况下，将该同种的数据判定为正常，

所述处理部以判定为正常的数据的接收时间点为基准来确定下一正常周期范围。

9.根据权利要求1～8中任一项所述的车载装置，其中，

所述处理部在多个动作状态之间转移，

所述多个动作状态包括：基准数据接收状态，每当确定所述正常周期范围时进行成为基准的数据的接收；及判定执行状态，基于确定的所述正常周期范围来判定接收到的数据是否正确。

10.根据权利要求9所述的车载装置，其中，

所述处理部在所述基准数据接收状态下不进行异常检测。

11.根据权利要求9或10所述的车载装置，其中，

所述处理部在所述基准数据接收状态下不保存安全日志。

12.根据权利要求1～11中任一项所述的车载装置，其中，

所述处理部在将接收到的数据判定为异常的情况下，将与异常的形态对应的信息存储于能够访问的规定的存储区域。

13.根据权利要求12所述的车载装置，其中，

所述能够访问的规定的存储区域是易失性的存储区域，

所述处理部在所述车辆的IG开关断开的情况下，将存储于所述易失性的存储区域的信息向能够访问的规定的非易失性的存储区域转移。

14.根据权利要求1～13中任一项所述的车载装置，其中，

所述处理部在以接收到的数据的接收时间点为基准来确定所述正常周期范围时，将成为所述基准的数据的种类与接收时间点建立关联地存储于能够访问的规定的存储区域。

15.根据权利要求1～14中任一项所述的车载装置，其中，

在所述车辆的IG开关接通的情况下，

所述处理部在经过预先确定的诊断掩码期间之后，连续接收最初接收到的数据及与该数据同种的数据，

所述处理部在所述连续接收到的数据的接收间隔是以最初接收到的数据为基准的所述正常周期范围内的情况下，以所述连续接收到的数据中的后接收到的数据的接收时间点为基准来确定下一正常周期范围。

16.一种程序，使计算机执行如下处理：

接收流向搭载于车辆的车载网络的多个数据；

在接收到的所述多个数据中，导出连续接收到同种的数据时的接收间隔；

基于所述接收间隔和以连续接收到的同种的数据中的先接收到的数据的接收时间点为基准的正常周期范围，进行连续接收到的同种的数据中的后接收到的数据是否正确的判定。

17.一种信息处理方法，使计算机执行如下处理：

接收流向搭载于车辆的车载网络的多个数据；

在接收到的所述多个数据中，导出连续接收到同种的数据时的接收间隔；

基于所述接收间隔和以连续接收到的同种的数据中的先接收到的数据的接收时间点为基准的正常周期范围，进行连续接收到的同种的数据中的后接收到的数据是否正确的判定。

Images