JP2013052833A - 車載ネットワークシステム - Google Patents

車載ネットワークシステム Download PDF

Info

Publication number
JP2013052833A
JP2013052833A JP2011193991A JP2011193991A JP2013052833A JP 2013052833 A JP2013052833 A JP 2013052833A JP 2011193991 A JP2011193991 A JP 2011193991A JP 2011193991 A JP2011193991 A JP 2011193991A JP 2013052833 A JP2013052833 A JP 2013052833A
Authority
JP
Japan
Prior art keywords
session
state
ecu
initial
specific
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2011193991A
Other languages
English (en)
Other versions
JP5375905B2 (ja
Inventor
Takeshi Enosaki
豪 榎崎
Masaya Oi
正也 大井
Yuzo Harada
雄三 原田
Yasuyuki Takahashi
康行 高橋
Hideki Yakabe
英揮 矢加部
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2011193991A priority Critical patent/JP5375905B2/ja
Priority to DE102012212962A priority patent/DE102012212962A1/de
Priority to US13/559,823 priority patent/US9219802B2/en
Publication of JP2013052833A publication Critical patent/JP2013052833A/ja
Application granted granted Critical
Publication of JP5375905B2 publication Critical patent/JP5375905B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Abstract

【課題】ネットワーク構成が複雑であっても、特定サービスの設定状態を変更した状態でECUの診断を行うことを可能とする。
【解決手段】ゲートウェイ装置1aは、診断装置2からECUに対する初期セッションから診断セッションへのセッション移行要求を受信してからの経過時間をセッションタイマAを用いて計時し、この経過時間に基づいて診断装置2が認識しているECUのセッション状態を推定し、診断装置2が認識しているECUのセッション状態が診断セッションである場合、ECUが診断セッションから初期セッションへ遷移しないように診断セッションの状態維持を指示するセッション状態維持要求をECUへ送出する。
【選択図】図6

Description

本発明は、ECUが接続されたネットワークと、診断装置が接続されるネットワークとの間にゲートウェイ装置を備えた車載ネットワークシステムに関するものである。
従来、車両マネージャECUが、車両内ネットワーク上の各ECUのデータを監視して、各ECUの診断サービスを行うようにしたシステムがある(例えば、特許文献1参照)。
また、車両内ネットワークに診断ツールを接続し、この診断ツールを用いて車両内ネットワークに接続された各ECUから各種データを取得して各ECUの診断サービスを行うようにしたものもある。
特開2003−19931号公報
上記した診断サービスを行うようなシステムでは、特定サービスの設定状態を変更して各種診断を行うことが可能となっている。例えば、一般整備業用、正規ディーラー用、工場用、開発者用といったように個別にセキュリティ設定を行うことが可能となっており、個別にセキュリティ設定を解除して診断を行うことが可能となっている。このようなシステムでは、通信プロトコルに規定された手順に従ってセキュリティロックを解除して診断を行うことができるようになっている。例えば、CAN通信におけるダイアグ通信では、診断ツールがECUへセキュリティロック状態を維持する初期セッションからセキュリティロック解除状態を維持する診断セッションへのセッション移行要求を送信すると、このECUは初期セッションから診断セッションへと遷移し、このECUから診断ツールへセッション移行要求のセッション応答(肯定応答)が送信された後、診断ツールがECUへセキュリティロック解除要求を送信し、セキュリティアンロックが成立すると、ECUはセキュリティ解除状態となるようになっている。
また、このようなシステムでは、セキュリティロック解除状態がいつまでも継続するとセキュリティ性が低下してしまうため、予め定められたセッションタイムアウト時間(例えば、5秒)が経過すると、ECUがセキュリティロック解除状態を維持するセッションからセキュリティロック状態を維持するセッションへと移行して、セキュリティロック状態に戻るようになっている。
このように、CAN通信におけるダイアグ通信では、規定時間が経過すると、セキュリティ設定、ドアロック設定等、特定サービスの設定状態を初期状態に戻すようになっており、各種設定を初期状態に戻す際の時間の管理はセッションにより行われるようになっている。
ネットワーク構成が簡素な場合、上記した手順でECUのセキュリティを解除して、ECUの診断を問題なく行うことが可能であった。
ところが、近年、車載装置のサービスの多様化、高度化に伴い、CAN、LIN、FlexRay、KWP2000等の多様の通信プロトコルに対応したECUが車両に搭載されるようになってきている。このような通信プロトコルの異なるECU間は、ゲートウェイ装置を介してネットワーク接続されるようになっている。このため、診断ツールとECUの間に複数のゲートウェイ装置が配置されるようになってきている。
このような複雑化したネットワーク構成ではデータ中継の遅延が大きくなるため、上記したシステムのような構成では、例えば、診断ツールがECUへセッション移行要求を送信し、このECUから診断ツールへセッション移行要求の肯定応答が送信された後、診断ツールがECUへセキュリティロック解除要求を送信する前に、ECUがセッションタイムアウトとなり初期セッションに戻ってしまい、ECUの診断ができなくなってしまうといった問題が発生する。
本発明は上記問題に鑑みたもので、ネットワーク構成が複雑であっても、特定サービスの設定状態を変更した状態でECUの診断を行うことを可能とすることを目的とする。
上記目的を達成するため、請求項1に記載の発明は、ECUが接続されたネットワークと、ECUの診断を行う診断装置が接続されるネットワークとの間にゲートウェイ装置を備えた車載ネットワークシステムであって、ECUは、診断装置からゲートウェイ装置を介して特定サービスの設定状態を初期状態とする初期セッションから特定サービスの設定状態を初期状態と異なる特定状態とする特定セッションへの移行要求を受信すると、初期セッションから特定セッションへ遷移し、ゲートウェイ装置を介して診断装置へ特定セッションへの移行要求の受信に応じたセッション応答を送信するとともに、特定セッションへ遷移した状態で、セッション応答の受信に応じて診断装置からゲートウェイ装置を介して特定サービスの設定状態を特定状態に移行させる状態移行要求を受信すると特定サービスの設定状態が特定状態に移行し、初期セッションから特定セッションへ遷移してから規定時間が経過して特定セッションから初期セッションへ遷移すると特定サービスの設定状態が初期状態に戻るようになっており、ゲートウェイ装置は、診断装置からECUに対する初期セッションから特定セッションへのセッション移行要求を受信してからの経過時間を計時する第1のタイマと、第1のタイマにより計時された経過時間に基づいて診断装置が認識しているECUのセッション状態を推定し、当該ECUのセッション状態を記憶媒体に記憶させるセッション状態記憶手段と、記憶媒体に記憶されたセッション状態に基づいて診断装置が認識しているECUのセッション状態が特定セッションであることを判定した場合、ECUが特定セッションから初期セッションへ遷移しないように特定セッションの状態維持を指示するセッション状態維持要求をECUへ送出するセッション維持要求送出手段と、を備えたことを特徴としている。
このような構成によれば、ゲートウェイ装置は、診断装置からECUに対する初期セッションから特定セッションへのセッション移行要求を受信してからの経過時間を計時する第1のタイマと、第1のタイマにより計時された経過時間に基づいて診断装置が認識しているECUのセッション状態を推定し、当該ECUのセッション状態を記憶媒体に記憶させるセッション状態記憶手段と、記憶媒体に記憶されたセッション状態に基づいて診断装置が認識しているECUのセッション状態が特定セッションであることを判定した場合、ECUが特定セッションから初期セッションへ遷移しないように特定セッションの状態維持を指示するセッション状態維持要求をECUへ送出するので、ネットワーク構成が複雑であっても、特定サービスの設定状態を変更した状態でECUの診断を行うことを可能とすることができる。
また、請求項2に記載の発明は、ゲートウェイ装置は、セッション状態維持要求をECUへ送出してからの時間を計時する第2のタイマを備え、セッション状態記憶手段は、第2のタイマを用いてセッション状態維持要求を定期的に送出することを特徴としている。
このような構成によれば、第2のタイマを用いてセッション状態維持要求が定期的に送出されるので、特定サービスの設定状態を変更した状態で安定的にECUの診断を行うことができる。
また、請求項3に記載の発明は、セッション維持要求送出手段は、記憶媒体に記憶されたセッション状態に基づいて診断装置が認識しているECUのセッション状態が初期セッションに遷移したことを判定した場合、セッション状態維持要求の送出を停止することを特徴としている。
このような構成によれば、記憶媒体に記憶されたセッション状態に基づいて診断装置が認識しているECUのセッション状態が初期セッションに遷移したことを判定した場合、セッション状態維持要求の送出が停止されるので、特定サービスの設定状態を変更した状態がいつまでも継続してしまうといったことを防止することができる。
なお、請求項4に記載の発明のように、特定サービスの設定状態を、セキュリティ設定状態とし、初期状態をセキュリティロック状態とし、特定状態をセキュリティ解除状態とすることができる。
本発明の一実施形態に係る車載ネットワークシステムの構成例を示す図である。 ゲートウェイ装置のブロック構成を示す図である。 ゲートウェイ装置により管理されるセッション状態について説明するための図である。 ゲートウェイ装置のフローチャートである。 ゲートウェイ装置のフローチャートである。 ゲートウェイ装置のフローチャートである。 診断ツール、ゲートウェイ装置およびECU間の信号の流れを示す図である。
本発明の一実施形態に係る車載ネットワークシステムの構成を図1に示す。本車載ネットワークシステムは、ゲートウェイ装置1a、1b、ECU3a、3b、4a、4b、5a、5bおよびバスA、B、Cにより構成されている。
バスAには、ECU3a、3bが接続され、バスBには、ECU4a、4bが接続され、バスCには、ECU5a、5bが接続されている。ゲートウェイ装置1aは、バスAとバスBの間に配置され、ゲートウェイ装置1bは、バスBとバスCの間に配置されている。
また、本実施形態では、バスA、バスBに接続されたネットワークの通信プロトコルはCAN通信プロトコル、バスCに接続されたネットワークの通信プロトコルはFlexRay通信プロトコルとなっている。
ゲートウェイ装置1a、1bのブロック構成を図2に示す。図に示すように、ゲートウェイ装置1a、1bは、それぞれ、CPU100、ROM101、RAM102、LANコントローラ103、104を備えている。CPU100は、ROM101に記憶されたプログラムに従って各種処理を実施する。ゲートウェイ装置1aとゲートウェイ装置1bは同一構成となっている。LANコントローラ103、104は、各バスA〜Cの各通信プロトコルに規定されたデータフォーマットに従ってデータの送受信を行う。
ゲートウェイ装置1aは、バスAのネットワークとバスBのネットワーク間のデータの中継を行い、ゲートウェイ装置1bは、バスBのネットワークとバスCのネットワーク間のデータの中継を行う。
診断ツール2は、各ECUから故障診断等のための各種情報を収集するもので、バスAに接続されている。診断ツール2は、通信プロトコルに規定された手順に従って各ECU3a、3b、4a、4b、5a、5bのセキュリティ設定を解除して診断を行うことができるようになっている。例えば、ECU5aのセキュリティを解除して診断を行う場合、診断ツール2は、ECU5aへセキュリティロックを維持する初期セッションからセキュリティを解除する診断セッションへのセッション移行要求を送信し、このECU5aから診断ツール2へセッション移行要求のセッション応答(肯定応答)が送信され、このセッション応答を受信した後、ECU5aへセキュリティ解除要求(制限解除要求に相当する)を送信し、ECU5aがセキュリティ解除状態となった後にECU5aの診断を行うようになっている。
なお、初期セッション、診断セッション等の各セッションは、国際標準化機構(ISO)によって策定されたOSI参照モデルの7階層の1つであるセッション層で規定されたセッションを意味する。セッションには、初期セッション、診断セッションの他に、プログラミングセッション、拡張診断セッション等がある。
本車載ネットワークシステムでは、セキュリティロック解除状態がいつまでも継続するとセキュリティ性が低下してしまうため、各ECU4a、4b、5a、5bは、通信プロトコルに規定された規定時間(例えば、5秒)が経過すると、セキュリティを解除する診断セッションからセキュリティロックを維持する初期セッションへと移行して、セキュリティロック状態に戻るようになっている。
具体的には、診断ツール2は、制御対象のECUが初期セッションから診断セッションへ遷移してからの時間を計測するセッションクライアントタイマを有し、このセッションクライアントタイマに計測時間が規定時間を超えると、制御対象のECUが診断セッションへ戻ったものとして処理を行う。
一方、各ECU3a、3b、4a、4b、5a、5bは、セッション状態を管理するセッションサーバタイマを有し、このセッションサーバタイマを用いて規定時間が経過したことを認識すると、初期セッションへ遷移してセキュリティロック状態に戻るようになっている。
このように、本車載ネットワークシステムでは、規定時間が経過すると、セキュリティ設定、ドアロック設定等、各種設定を初期状態に戻すようになっており、各種設定を初期状態に戻す際の時間の管理はセッションにより行われるようになっている。
ところで、ネットワーク構成の複雑化により、診断ツール2と制御対象のECUとの間のデータ中継に遅延が生じると、診断ツール2からの要求に応じて制御対象のECUが初期セッションから診断セッションに遷移しても、診断を行う前に、規定時間が経過して制御対象のECUが診断セッションから初期セッションへ遷移してしまい、正常に診断を行うことができなくなるといった状況が発生する。
そこで、本実施形態におけるゲートウェイ装置1a、1bは、制御対象のECUに対する初期セッションから特定セッションへのセッション移行要求を受信してからの経過時間を計時するセッションタイマAと、制御対象のECUが特定セッションから初期セッションへ遷移しないように特定セッションの状態維持を指示するためのセッションタイマBを有し、セッションタイマAにより計時された経過時間に基づいて診断装置が認識している制御対象のECUのセッション状態を推定し、当該制御対象のECUのセッション状態をRAMに記憶させるとともに、RAMに記憶されたセッション状態に基づいて診断装置が認識している制御対象のECUのセッション状態が特定セッションであることを判定した場合、セッションタイマBを用いて制御対象のECUが特定セッションから初期セッションへ遷移しないように定期的に特定セッションの状態維持を指示する。
図3に、ゲートウェイ装置1aにより管理されるセッション状態の様子を示す。ゲートウェイ装置1aは、診断ツール2とゲートウェイ装置1a(図中、ゲートウェイ装置をGWと記す)との間のセッションを管理するためのセッションタイマAを有し、このセッションタイマAを用いて、診断ツール2が認識している制御対象のECUのセッション状態を推定する。具体的には、診断ツール2からの診断セッションへの移行要求を受信すると、診断ツール2が認識している制御対象のECUのセッション状態を初期セッション(A−1)から診断セッション(A−2)へと遷移させ、セッションタイマAがタイムアウトした場合、あるいは、診断ツール2からの初期セッションへの移行要求を受信した場合、診断ツール2が認識している制御対象のECUのセッション状態を診断セッション(A−2)から初期セッション(A−1)へと遷移させる。
また、ゲートウェイ装置1aは、セッションタイマAを用いて推定される診断ツール2が認識している制御対象のECUのセッション状態と、実際の制御対象のECUのセッション状態を一致させるためのセッションタイマBを有し、このセッションタイマBを用いて、診断ツール2が認識している制御対象のECUのセッション状態と、実際の制御対象のECUのセッション状態を同期させる。具体的には、セッションタイマBを用いて、制御対象のECUが初期セッション(B−1)から診断セッション(B−2)へ遷移してからの経過時間を計測し、例えば、ネットワーク構成の複雑化により診断ツール2から制御対象のECUへセキュリティ解除要求を送信する前に、制御対象のECUが診断セッションから初期セッションへ遷移してしまい、診断ツール2が認識している制御対象のECUのセッション状態と、実際の制御対象のECUのセッション状態が不一致とならないように、セッションタイマBがセッションタイムアウトする度に診断ツール2に代わって状態維持要求を定期送信する。
なお、セッションタイマBがセッションタイムアウトする時間は、EUCが診断セッションから初期セッションへ戻る規定時間よりも短い時間に設定されている。このため、セッションタイマ2がセッションタイムアウトする度に診断ツール2に代わって状態維持要求が送信される限り、EUCは診断セッションを維持し、初期セッションに戻ることはない。
図4〜図6に、ゲートウェイ装置1aのフローチャートを示す。次に、診断ツール2がECU4aの診断を行う場合を例に、ゲートウェイ装置1aの処理について説明する。ゲートウェイ装置1aは、図4に示す処理を周期的に実施する。ここでは、ECU4aは初期セッションとなっており、セキュリティロック状態となっているものとする。
まず、診断ツール2からのセッション要求メッセージを受信したか否かを判定する(S100)。ここで、セッション要求メッセージが受信されない場合、S100の判定を繰り返し実施する。また、セッション要求メッセージが受信されると、S100の判定は YESとなり、次に、セッション要求メッセージをECU4aへ中継する(S102)。
なお、ECU4aは、このセッション要求メッセージを受信すると、このセッション要求メッセージが診断セッションへの移行を要求するものであるか、初期セッションへの移行を要求するものあるかを判定し、診断セッションへの移行を要求するものであると判定した場合、初期セッションから診断セッションへ移行し、初期セッションへの移行を要求するものあると判定した場合、初期セッションの状態を維持する。
ゲートウェイ装置1aは、次に、フローCを起動する(S104)。図6に、フローCを示す。このフローCは、セッション要求メッセージをECU4aへ中継し、このセッション要求メッセージの受信に応答してECU4aから送信されるセッション応答を診断ツール2へ中継する処理である。なお、このフローCの詳細については後で説明する。
次に、受信したセッション要求メッセージが移行要求(診断セッションへの移行要求)であるか、デフォルト要求(初期セッションへの移行要求)であるかを判定する(S106)。
ここで、受信したセッション要求メッセージがデフォルト要求(初期セッションへの移行要求)となっている場合、次に、診断ツール2が認識しているECU4aのセッション状態をA−1状態(初期セッション)に遷移させる(S107)。具体的には、診断ツールのセッション状態をA−1状態(初期セッション)としてRAMに記憶させ、S100へ戻る。
また、受信したセッション要求メッセージが移行要求(診断セッションへの移行要求)となっている場合には、次に、診断ツール2が認識しているECU4aのセッション状態をA−2状態(診断セッション)に遷移させる(S108)。具体的には、診断ツール2が認識しているECU4aのセッション状態をA−2状態(診断セッション)としてRAMに記憶させ、次に、フローチャートBを起動する(S110)。図5に、フローBを示す。このフローBは、診断装置が認識しているECU4aのセッション状態を推定し、当該診断装置が認識しているECU4aのセッション状態が特定セッションであることを判定した場合、制御対象のECUが特定セッションから初期セッションへ遷移しないように診断ツールに代わって特定セッションの状態維持を指示する処理である。このフローBの詳細についても後で説明する。
次に、セッションタイマAにより計時を開始する(S112)。すなわち、セッションタイマAにより、診断ツール2が認識しているECU4aのセッション状態をA−2状態(診断セッション)になってからの時間を計時する。
次に、診断ツール2から状態維持要求メッセージがあるか否かを判定する(S114)。
ここで、診断ツール2から状態維持要求メッセージが受信された場合、S114の判定はYESとなり、次に、セッションタイマAをリロードするとともに、A−2状態(診断セッション)を継続し(S120)、S114へ戻る。ここで、リロードとは、タイマのカウント値をリセットして、カウントを再開することを意味する。
また、診断ツール2から状態維持要求メッセージが受信されない場合、S114の判定はNOとなり、次に、セッションタイマAがタイムアウトしたか否かを判定する(S116)。具体的には、セッションタイマAの計測時間が規定時間(例えば、5秒)を超えたか否かを判定する。
ここで、セッションタイマAの計測時間が規定時間を超えてない場合、S116の判定はNOとなり、S114の判定へ戻る。また、セッションタイマAの計測時間が規定時間を超えた場合、S116の判定はYESとなり、診断ツール2が認識しているECU4aのセッション状態をA−2状態(診断セッション)からA−1状態(初期セッション)へ遷移させ(S118)、S100へ戻る。
次に、図5に従って、フローBについて説明する。図4におけるS110において、フローBの起動が指示されると、フローBが開始される。
まず、制御対象のECUのセッション状態を初期セッション(B−1)から診断セッション(B−2)へ遷移させる(S200)。具体的には、制御対象のECUのセッション状態を診断セッション(B−2)としてRAMに記憶させる。
次に、セッションタイマBの計時を開始し(S202)、次に、診断ツール2が認識している制御対象のECUのセッション状態が初期セッション(A−1)
か否かを判定する(S204)。
ここで、診断ツール2が認識している制御対象のECUのセッション状態が診断セッション(A−2)となっている場合、S204の判定はNOとなり、次に、セッションタイマBがタイムアウトしたか否かを判定する(S206)。
ここで、セッションタイマBがタイムアウトしてない場合、S206の判定はNOとなり、S204の判定へ戻る。また、セッションタイマBがタイムアウトすると、S206の判定はYESとなり、制御対象のECU4aに対し、診断セッションの維持を指示するセッション状態維持要求を送信し(S208)、セッションタイマBをリロードし(S210)、S204へ戻る。
また、診断ツール2が認識している制御対象のECUのセッション状態が初期セッション(A−1)となっている場合、制御対象のECUのセッション状態についても診断セッション(B−2)から初期セッション(B−1)へ遷移させる(S212)。このように、診断ツール2が認識している制御対象のECUのセッション状態と、制御対象のECUのセッション状態とが同期するようになっている。
次に、図6に従って、フローCについて説明する。図4におけるS104において、フローCの起動が指示されると、フローCが開始される。
まず、P2タイマの計時を開始する(S300)。このP2タイマは、診断ツール2よる送信されたセッション要求メッセージを制御対象のECUへ中継してから、このセッション要求メッセージに受信に応じて制御対象のECUより送信されるセッション応答を受信するまでに時間が規定時間内か否かを判定するためのタイマである。
次に、ECU4aからセッション応答メッセージを受信したか否かを判定する(S302)。ここで、ECU4aからセッション応答メッセージを受信してない場合、次に、P2タイマがタイムアウトしたか否かを判定する(S312)。具体的には、P2タイマが規定時間を超過したか否かを判定する。
ここで、P2タイマが規定時間を超過していない場合、S312の判定はNOとなり、S302へ戻る。また、P2タイマが規定時間を超過する前に、ECU4aからセッション応答メッセージを受信すると、S302の判定はYESとなり、次に、セッション応答メッセージが肯定応答であるか、否定応答であるかを判定する(S304)。
ここで、セッション応答メッセージが肯定応答の場合、応答メッセージを診断ツール2へ中継し、本処理を終了する。
また、セッション応答メッセージが否定応答の場合、応答メッセージを診断ツール2へ中継し(S308)、フローBを終了させ(S310)、本処理を終了する。
また、ECU4aからセッション応答メッセージを受信することなく、P2タイマがタイムアウトした場合、S312の判定はYESとなり、フローBを終了させ(S310)、本処理を終了する。
図7に、診断ツール2からECU4aへ要求メッセージが送信された場合の診断ツール2、ゲートウェイ装置1a、ECU4a間の信号の流れを示す。次に、図7を参照して、要求メッセージが送信された場合の診断ツール2、ゲートウェイ装置1a、ECU4a間の信号の流れについて説明する。
診断ツール2からECU4aに対して診断セッションへのセッション移行要求が送信されると、ゲートウェイ装置1aは、このセッション移行要求をECU4aへ中継するとともに、セッションタイマAの計時と、セッションタイマBの計時を開始する。
このセッション移行要求を受信したECU4aは、初期セッションから診断セッションへと遷移するとともに、セッション応答を診断ツール2へと送信する。
ゲートウェイ装置1aは、このセッション応答を診断ツール2へ中継するとともに、セッションタイマBがタイムアウトすると、ECU4aに対し、診断ツール2に代わって診断セッションの維持を指示するセッション状態維持要求を送信する。ECU4aは、このセッション状態維持要求を受信すると診断セッションを維持する。
診断ツール2は、セッション応答を受信すると、次に、セキュリティアクセス要求およびセキュリティキーを、順次、ECU4aに対して送信する。
ゲートウェイ装置1aは、セキュリティアクセス要求およびセキュリティキーをECU4aに中継する。ECU4aは、診断セッションで、セキュリティアクセス要求およびセキュリティキーを受信し、セキュリティアンロックが成立すると、セキュリティ解除状態となる。
また、ゲートウェイ装置1aからECU4aに対し、セッションタイマBがタイムアウトする度に、診断セッションの維持を指示するセッション状態維持要求が定期送信される。
診断ツール2は、ECU4aがセキュリティ解除状態となった状態で、各種診断を行うことが可能となる。
なお、この図7では、診断ツール2から送信された状態維持要求がゲートウェイ装置1aによりECUへ中継されないようになっているが、診断ツール2から送信された状態維持要求がECUへ中継されるようにしてもよい。
上記した構成によれば、ECUは、診断装置からゲートウェイ装置を介してセキュリティ設定状態(特定サービスの設定状態に相当する)をセキュリティロック状態(初期状態に相当する)とする初期セッションからセキュリティ設定状態をセキュリティ解除状態(特定状態に相当する)とする特定セッションへの移行要求を受信すると、初期セッションから特定セッションへ遷移し、ゲートウェイ装置を介して診断装置へ特定セッションへの移行要求の受信に応じたセッション応答を送信するとともに、特定セッションへ遷移した状態で、セッション応答の受信に応じて診断装置からゲートウェイ装置を介してセキュリティ設定状態をセキュリティロック状態に移行させる状態移行要求を受信するとセキュリティ設定状態がセキュリティ解除状態に移行し、初期セッションから特定セッションへ遷移してから規定時間が経過して特定セッションから初期セッションへ遷移するとセキュリティ設定状態がセキュリティロック状態に戻るようになっており、ゲートウェイ装置は、診断ツールからECUに対する初期セッションから診断セッションへのセッション移行要求を受信してからの経過時間を計時するセッションタイマAと、セッションタイマAにより計時された経過時間に基づいて診断ツールが認識しているECUのセッション状態を推定し、当該ECUのセッション状態をRAMに記憶させるセッション状態記憶手段と、RAMに記憶されたセッション状態に基づいて診断ツールが認識しているECUのセッション状態が診断セッションであることを判定した場合、ECUが診断セッションから初期セッションへ遷移しないように特定セッションの状態維持を指示するセッション状態維持要求をECUへ送出するので、ネットワーク構成が複雑でデータ中継の遅延が大きくても、特定サービスの設定状態を変更した状態でECUの診断を行うことを可能とすることができる。
また、セッションタイマBを用いてセッション状態維持要求が定期的に送出されるので、特定サービスの設定状態を変更した状態で安定的にECUの診断を行うことができる。
また、RAMに記憶されたセッション状態に基づいて診断ツールが認識しているECUのセッション状態が初期セッションに遷移したことを判定した場合、セッション状態維持要求の送出が停止されるので、セキュリティロック解除状態(特定サービスの設定状態を変更した状態)がいつまでも継続してセキュリティ性が低下してしまうといったことを防止することができる。
なお、本発明は上記実施形態に限定されるものではなく、本発明の趣旨に基づいて種々なる形態で実施することができる。
例えば、上記実施形態では、通信バスA〜Cの通信プロトコルとして、CAN通信プロトコルおよびFlexRay通信プロトコルを適用した例を示したが、これらの通信プロトコルに限定されるものではない。
また、上記実施形態では、特定サービスの設定状態を変更する例として、セキュリティロックを解除する例を示したが、このような例に限定されるものではなく、例えば、ユーザの利用範囲の設定を変更する場合、センサの出力設定あるいはアクチュエータの制御設定を変更する場合等、各種サービスの設定状態を変更する場合に適用することができる。
また、上記実施形態では、診断ツール2から制御対象のECUへセキュリティロックを維持する初期セッションからセキュリティを解除する診断セッションへの移行要求を送信する例を示したが、セキュリティを解除するセッションとしては、診断セッションに限定されるものではなく、例えば、プログラミングセッション、拡張診断セッション等とすることもできる。
なお、上記実施形態における構成と特許請求の範囲の構成との対応関係について説明すると、RAM102が記憶媒体に相当し、セッションタイマAが第1のタイマに相当し、セッション状態記憶手段に相当し、S112〜S118がセッション状態記憶手段に相当し、S202〜S210がセッション維持要求送出手段に相当し、セッションタイマBが第2のタイマに相当する。
1a、1b ゲートウェイ装置
2 診断ツール
3a、3b ECU
4a、4b ECU
5a、5b ECU

Claims (4)

  1. ECUが接続されたネットワークと、前記ECUの診断を行う診断装置が接続されるネットワークとの間にゲートウェイ装置を備えた車載ネットワークシステムであって、
    前記ECUは、前記診断装置から前記ゲートウェイ装置を介して特定サービスの設定状態を初期状態とする初期セッションから前記特定サービスの設定状態を初期状態と異なる特定状態とする特定セッションへの移行要求を受信すると、初期セッションから特定セッションへ遷移し、前記ゲートウェイ装置を介して前記診断装置へ前記特定セッションへの移行要求の受信に応じたセッション応答を送信するとともに、特定セッションへ遷移した状態で、前記セッション応答の受信に応じて前記診断装置から前記ゲートウェイ装置を介して前記特定サービスの設定状態を前記特定状態に移行させる状態移行要求を受信すると前記特定サービスの設定状態が前記特定状態に移行し、初期セッションから特定セッションへ遷移してから規定時間が経過して特定セッションから初期セッションへ遷移すると前記特定サービスの設定状態が初期状態に戻るようになっており、
    前記ゲートウェイ装置は、前記診断装置から前記ECUに対する初期セッションから特定セッションへのセッション移行要求を受信してからの経過時間を計時する第1のタイマと、
    前記第1のタイマにより計時された経過時間に基づいて前記診断装置が認識している前記ECUのセッション状態を推定し、当該ECUのセッション状態を記憶媒体に記憶させるセッション状態記憶手段と、
    前記記憶媒体に記憶されたセッション状態に基づいて前記診断装置が認識している前記ECUのセッション状態が特定セッションであることを判定した場合、前記ECUが特定セッションから初期セッションへ遷移しないように特定セッションの状態維持を指示するセッション状態維持要求を前記ECUへ送出するセッション維持要求送出手段と、を備えたことを特徴とする車載ネットワークシステム。
  2. 前記ゲートウェイ装置は、前記セッション状態維持要求を前記ECUへ送出してからの時間を計時する第2のタイマを備え、
    前記セッション状態記憶手段は、前記第2のタイマを用いてセッション状態維持要求を定期的に送出することを特徴とする請求項1に記載の車載ネットワークシステム。
  3. 前記セッション維持要求送出手段は、前記記憶媒体に記憶されたセッション状態に基づいて前記診断装置が認識している前記ECUのセッション状態が初期セッションに遷移したことを判定した場合、前記セッション状態維持要求の送出を停止することを特徴とする請求項1または2に記載の車載ネットワークシステム。
  4. 前記特定サービスの設定状態は、セキュリティ設定状態であり、前記初期状態はセキュリティロック状態であり、前記特定状態はセキュリティ解除状態であることを特徴とする請求項1ないし3のいずれか1つに記載の車載ネットワークシステム。
JP2011193991A 2011-07-28 2011-09-06 車載ネットワークシステム Expired - Fee Related JP5375905B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2011193991A JP5375905B2 (ja) 2011-09-06 2011-09-06 車載ネットワークシステム
DE102012212962A DE102012212962A1 (de) 2011-07-28 2012-07-24 Gateway und fahrzeuginternes Netzwerksystem
US13/559,823 US9219802B2 (en) 2011-07-28 2012-07-27 Gateway and in-vehicle network system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011193991A JP5375905B2 (ja) 2011-09-06 2011-09-06 車載ネットワークシステム

Publications (2)

Publication Number Publication Date
JP2013052833A true JP2013052833A (ja) 2013-03-21
JP5375905B2 JP5375905B2 (ja) 2013-12-25

Family

ID=48130218

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011193991A Expired - Fee Related JP5375905B2 (ja) 2011-07-28 2011-09-06 車載ネットワークシステム

Country Status (1)

Country Link
JP (1) JP5375905B2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016017088A1 (ja) * 2014-07-30 2016-02-04 株式会社デンソー ゲートウェイ装置
JP2016059008A (ja) * 2014-09-12 2016-04-21 トヨタ自動車株式会社 車両ネットワークシステム

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020022265A1 (ja) 2018-07-25 2020-01-30 株式会社デンソー 車両用電子制御システム、プログラム更新の承諾判定方法及びプログラム更新の承諾判定プログラム
JP7379892B2 (ja) 2018-07-25 2023-11-15 株式会社デンソー 車両用電子制御システム、車両側システム及び携帯端末
JP6973450B2 (ja) 2018-08-10 2021-12-01 株式会社デンソー 車両用マスタ装置、インストールの指示判定方法及びインストールの指示判定プログラム
JP7427879B2 (ja) 2018-08-10 2024-02-06 株式会社デンソー 車両用マスタ装置、書換え対象のグループ管理方法及び書換え対象のグループ管理プログラム
JP7024765B2 (ja) 2018-08-10 2022-02-24 株式会社デンソー 車両用マスタ装置、更新データの配信制御方法及び更新データの配信制御プログラム
JP7047819B2 (ja) 2018-08-10 2022-04-05 株式会社デンソー 電子制御装置、車両用電子制御システム、アクティベートの実行制御方法及びアクティベートの実行制御プログラム
JP7419689B2 (ja) 2018-08-10 2024-01-23 株式会社デンソー 車両用電子制御システム、センター装置、車両用マスタ装置、表示制御情報の送信制御方法、表示制御情報の受信制御方法、表示制御情報の送信制御プログラム及び表示制御情報の受信制御プログラム
JP7003976B2 (ja) 2018-08-10 2022-01-21 株式会社デンソー 車両用マスタ装置、更新データの検証方法及び更新データの検証プログラム
JP7400232B2 (ja) 2018-08-10 2023-12-19 株式会社デンソー 電子制御装置、リトライポイントの特定方法、リトライポイントの特定プログラム及び車両用電子制御システム
JP7111074B2 (ja) 2018-08-10 2022-08-02 株式会社デンソー 車両用マスタ装置、セキュリティアクセス鍵の管理方法、セキュリティアクセス鍵の管理プログラム及び車両用電子制御システム
JP7346956B2 (ja) 2018-08-10 2023-09-20 株式会社デンソー 車両用プログラム書換えシステム、車両用マスタ装置、進捗状態の同期制御方法及び進捗状態の同期制御プログラム
JP7354658B2 (ja) 2018-08-10 2023-10-03 株式会社デンソー 車両用電子制御システム、進捗表示の画面表示制御方法及び進捗表示の画面表示制御プログラム
JP7484096B2 (ja) 2018-08-10 2024-05-16 株式会社デンソー 電子制御装置、書換えの実行制御方法及び書換えの実行制御プログラム
JP7439402B2 (ja) 2018-08-10 2024-02-28 株式会社デンソー 表示制御装置、書換え進捗状況の表示制御方法及び書換え進捗状況の表示制御プログラム
JP7354631B2 (ja) 2018-08-10 2023-10-03 株式会社デンソー 電子制御装置、車両用電子制御システム、差分データの整合性判定方法及び差分データの整合性判定プログラム
CN114730259A (zh) 2019-08-28 2022-07-08 株式会社电装 车辆用电子控制系统、车辆用主装置、基于特定模式的改写指示方法以及基于特定模式的改写指示程序
JP7287476B2 (ja) 2019-08-28 2023-06-06 株式会社デンソー 車両用マスタ装置、車両用電子制御システム、コンフィグ情報の書換え指示方法及びコンフィグ情報の書換え指示プログラム

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08223188A (ja) * 1995-02-09 1996-08-30 Nippondenso Co Ltd 通信システム
JP2002010341A (ja) * 2000-04-17 2002-01-11 Hitachi Ltd 移動体通信システム、移動端末、基地局制御装置及びパケットデータサービスノード
JP2003019931A (ja) * 2001-07-06 2003-01-21 Denso Corp 故障診断システム、車両管理装置、サーバ装置、及び検査診断プログラム
JP2006082648A (ja) * 2004-09-15 2006-03-30 Denso Corp プログラム書き換えシステム
JP2008516839A (ja) * 2004-10-14 2008-05-22 テミック オートモーティブ オブ ノース アメリカ インコーポレイテッド 自動車用スイッチ構成ネットワークにおけるノードを再書き込みするためのシステム及び方法
JP2009527168A (ja) * 2006-02-14 2009-07-23 ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング バス間でのメッセージの自動ルーティングのためのゲートウェイ
JP2009278615A (ja) * 2008-05-16 2009-11-26 Hitachi Ltd 通信ネットワーク内のノードステータス監視方法及び監視装置
JP2010245794A (ja) * 2009-04-03 2010-10-28 Honda Motor Co Ltd 車載のゲートウェイ装置

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08223188A (ja) * 1995-02-09 1996-08-30 Nippondenso Co Ltd 通信システム
JP2002010341A (ja) * 2000-04-17 2002-01-11 Hitachi Ltd 移動体通信システム、移動端末、基地局制御装置及びパケットデータサービスノード
JP2003019931A (ja) * 2001-07-06 2003-01-21 Denso Corp 故障診断システム、車両管理装置、サーバ装置、及び検査診断プログラム
JP2006082648A (ja) * 2004-09-15 2006-03-30 Denso Corp プログラム書き換えシステム
JP2008516839A (ja) * 2004-10-14 2008-05-22 テミック オートモーティブ オブ ノース アメリカ インコーポレイテッド 自動車用スイッチ構成ネットワークにおけるノードを再書き込みするためのシステム及び方法
JP2009527168A (ja) * 2006-02-14 2009-07-23 ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング バス間でのメッセージの自動ルーティングのためのゲートウェイ
JP2009278615A (ja) * 2008-05-16 2009-11-26 Hitachi Ltd 通信ネットワーク内のノードステータス監視方法及び監視装置
JP2010245794A (ja) * 2009-04-03 2010-10-28 Honda Motor Co Ltd 車載のゲートウェイ装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016017088A1 (ja) * 2014-07-30 2016-02-04 株式会社デンソー ゲートウェイ装置
JP2016059008A (ja) * 2014-09-12 2016-04-21 トヨタ自動車株式会社 車両ネットワークシステム

Also Published As

Publication number Publication date
JP5375905B2 (ja) 2013-12-25

Similar Documents

Publication Publication Date Title
JP5375905B2 (ja) 車載ネットワークシステム
US9219802B2 (en) Gateway and in-vehicle network system
JP5472276B2 (ja) 車両用通信制御装置
US9648023B2 (en) Vehicle module update, protection and diagnostics
JP5423736B2 (ja) ゲートウェイ装置
KR20190029994A (ko) 차량용 제어 장치의 진단 방법 및 장치
WO2013094072A1 (ja) 通信システム及び通信方法
US20140250531A1 (en) Method for vehicle intrusion detection with electronic control unit
JP5050653B2 (ja) 電子制御装置
JP2006042310A (ja) 車両用通信システム
JP2014113860A (ja) 中継装置、車載システム
JP2006287739A (ja) ゲートウェイ装置
JP2019103006A (ja) 車載中継装置、情報処理装置、中継装置、情報処理方法、プログラム、情報処理システム、車両、及び外部装置
US20120155449A1 (en) Mobile router network providing remote emissions testing
JP2013106200A (ja) 車両用通信中継装置、スリープ制御方法
KR101417097B1 (ko) 차량 네트워크에서의 메시지 전송 상태 진단 장치
US20140250528A1 (en) Electronic control unit with vehicle intrusion detection
JP2013121070A (ja) 中継システム及び、当該中継システムを構成する中継装置、通信装置
US8605698B2 (en) Vehicle with mobile router
Seo et al. Design and implementation of a UPnP-can gateway for automotive environments
WO2023223863A1 (ja) 車載装置、情報処理方法、及びプログラム
JP2008078769A (ja) 通信システム
JP4548260B2 (ja) 車両用通信システム
CN113169966B (zh) 用于监控数据传输系统的方法、数据传输系统和机动车
JP6943191B2 (ja) 電子制御装置、監視方法、及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20121225

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130805

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130827

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130909

R151 Written notification of patent or utility model registration

Ref document number: 5375905

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees