JP2019029994A - 車載中継装置、車載監視装置、車載制御ネットワークシステム、通信監視方法及びプログラム - Google Patents

車載中継装置、車載監視装置、車載制御ネットワークシステム、通信監視方法及びプログラム Download PDF

Info

Publication number
JP2019029994A
JP2019029994A JP2018098026A JP2018098026A JP2019029994A JP 2019029994 A JP2019029994 A JP 2019029994A JP 2018098026 A JP2018098026 A JP 2018098026A JP 2018098026 A JP2018098026 A JP 2018098026A JP 2019029994 A JP2019029994 A JP 2019029994A
Authority
JP
Japan
Prior art keywords
control
vehicle
determination
network
combination
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018098026A
Other languages
English (en)
Other versions
JP7133977B2 (ja
Inventor
唯之 鳥崎
Tadayuki Torisaki
唯之 鳥崎
弘泰 寺澤
Hiroyasu Terasawa
弘泰 寺澤
芳賀 智之
Tomoyuki Haga
智之 芳賀
良浩 氏家
Yoshihiro Ujiie
良浩 氏家
遼 加藤
Ryo Kato
遼 加藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Corp of America
Original Assignee
Panasonic Intellectual Property Corp of America
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Corp of America filed Critical Panasonic Intellectual Property Corp of America
Publication of JP2019029994A publication Critical patent/JP2019029994A/ja
Application granted granted Critical
Publication of JP7133977B2 publication Critical patent/JP7133977B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • H04L12/40013Details regarding a bus controller
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/008Registering or indicating the working of vehicles communicating information to a remotely located station
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40169Flexible bus arrangements
    • H04L12/40176Flexible bus arrangements involving redundancy
    • H04L12/40182Flexible bus arrangements involving redundancy by using a plurality of communication lines
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4604LAN interconnection over a backbone network, e.g. Internet, Frame Relay
    • H04L12/462LAN interconnection over a bridge based backbone
    • H04L12/4625Single bridge functionality, e.g. connection of two networks over a single bridge
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • H04L67/025Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/535Tracking the activity of the user
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/565Conversion or adaptation of application format or content
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/08Protocols for interworking; Protocol conversion
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/16Gateway arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W92/00Interfaces specially adapted for wireless communication networks
    • H04W92/02Inter-networking arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/08Protocols for interworking; Protocol conversion
    • H04L69/085Protocols for interworking; Protocol conversion specially adapted for interworking of IP-based networks with other networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】一フレームで送信可能な大きさの異なるネットワークに跨って送受信される制御コマンドの異常の発生を車載中継装置等を提供する。【解決手段】車載中継装置116は、車両10において複数の制御装置が接続されている複数の制御ネットワークに跨る複数の制御装置間の通信を中継し、複数の制御装置の少なくとも一部に実行させる制御のための制御コマンドを一フレームに複数含む制御データを複数の制御ネットワークに含まれる第一の制御ネットワークから受信する通信部400と、一フレームに含まれる制御コマンド各々の種類が、同時に実行可能な組合せとして設定された第一の組合せであるか否かについての第一の判定を実行し、判定の結果を用いて制御データの異常の有無についての第二の判定を実行し、第二の判定の結果を出力する判定部402とを備える。【選択図】図4

Description

本発明は車載ネットワークにおいて複数の制御ネットワークに跨る通信の中継を行なう中継装置等に関する。
自動車の電子制御技術の高度化及び車載装置の通信ネットワークへの接続の普及につれ、自動車の情報面でのセキュリティリスクが高まっており、その対策のための技術が求められている。これまで、自動車の基幹ネットワークには例えばCAN(Controller Area Network)の規格が用いられている。CANの車載ネットワークでの従来のセキュリティ対策技術としては、周期的に送信されるデータフレームを受信し、送信周期に係る所定ルールへの適合を調べることにより不正検知を行うものがある(例えば、特許文献1参照)。
一方、車外の通信ネットワークとの接続並びに処理情報の高度化及び大容量化に伴い、従来のCANに加えて、Ethernet(登録商標)が車載ネットワークの規格として採用されつつある。Ethernetでは、一度のトランザクションで送信できるデータサイズがCANよりも格段に大きいため、複数のCANフレーム相当のデータを送受信される順番に応じて、まとめてひとつのEthernetフレームとして送信する技術が提案されている(例えば、特許文献2)。
国際公開第2015/170451号 国際公開第2017/090351号
しかしながら、上記の従来の構成では、CANの制御ネットワークとEthernetの制御ネットワークとが混在する車載ネットワークにおいて、Ethernetのネットワークの構成がバス型ではないため、送信の周期性を利用する不正判定は信頼性に欠けるという第一の課題がある。
また、上記の従来の構成では、複数のCANフレーム相当の制御データを含むひとつのEthernetフレームに、連続的又は短時間に処理されるべきCANの一連の制御コマンドが含まれるとは限らない。このため、このような一連の制御コマンドであっても、複数のEthernetフレームに分散して送信される可能性がある。しかしEthernetでは、フレームの不達が発生する可能性があり、不達のフレームは再送される。ところが不達のフレームの再送が実行された場合、CANのネットワークに接続される制御装置(以下、ECU(Electronic Control Unit)ともいう)では、複数の制御コマンドの処理すべき順序と受信の順序とが異なる、一定期間内に処理すべき複数の制御コマンドが一定時間内に揃わない、などの不具合が発生することによって、車両の制御が正しく行われない可能性があるという第二の課題を有する。
そこで本発明は、送信周期の利用を必要としない手法を用いて複数の制御コマンドを含むフレームに対する信頼性のより高い異常判定を実行し、一フレームで送信可能な大きさの異なる制御ネットワークに跨って送受信される制御コマンドの異常の発生を車載中継装置等を提供する。
上記課題を解決する本発明の一態様に係る車載中継装置は、車両において複数の制御装置が接続されている複数の制御ネットワークに跨る前記複数の制御装置間の通信を中継する車載中継装置であって、前記複数の制御装置の少なくとも一部に実行させる制御のための制御コマンドを一フレームに複数含む制御データを前記複数の制御ネットワークに含まれる第一の制御ネットワークから受信する通信部と、前記一フレームに含まれる制御コマンド各々の種類が、同時に実行可能な組合せとして設定された第一の組合せであるか否かについての第一の判定を実行し、前記判定の結果を用いて前記制御データの異常の有無についての第二の判定を実行し、前記第二の判定の結果を出力する判定部とを備える。
また、上記課題を解決する本発明の一態様に係る車載監視装置は、中継装置によって通信が中継される第一の制御ネットワーク及び第二の制御ネットワークを含む車載ネットワークにおいて、前記第一の制御ネットワークに接続される車載監視装置であって、前記第一の制御ネットワークに接続される制御装置から送信された、前記第二の制御ネットワークに接続される制御装置に実行させる制御のための制御コマンドを一フレームに複数含む制御データを受信する通信部と、前記一フレームに含まれる制御コマンド各々の種類が、同時に実行可能な制御の組合せとして設定された第一の組合せであるか否かについての第一の判定を実行し、前記判定の結果を用いて前記制御データの異常の有無についての第二の判定を実行し、前記第二の判定の結果を出力する判定部とを備え、前記第一の制御ネットワークは、一フレームで送信可能な制御コマンドの最大データサイズが前記第二の制御ネットワークにおいて一フレームで送信可能な制御コマンドの最大データサイズより大きい。
また、上記課題を解決する本発明の一態様に係る通信監視方法は、車両において複数の制御装置が接続されている複数の制御ネットワークに跨る前記複数の制御装置間の通信を中継する、通信部及びびプロセッサを備える車載中継装置において実行される通信監視方法であって、前記通信部を用いて、前記複数の制御装置の少なくとも一部に実行させる制御のための制御コマンドを一フレームに複数含む制御データを前記複数の制御ネットワークに含まれる第一の制御ネットワークを受信し、前記プロセッサを用いて、前記一フレームに含まれる制御コマンド各々の種類が、同時に実行可能な制御の組合せとして設定された第一の組合せであるか否かについての第一の判定を実行し、前記判定の結果を用いて前記制御データの異常の有無についての第二の判定を実行し、前記第二の判定の結果を出力する。
また、上記課題を解決する本発明の一態様に係るプログラムは、車両において複数の制御装置が接続されている複数の制御ネットワークに跨る前記複数の制御装置間の通信を中継する、通信部及びプロセッサを備える車載中継装置において、前記びプロセッサによって実行されるプログラムであって、実行されることで前記車載中継装置に、前記複数の制御装置の少なくとも一部に実行させる制御のための制御コマンドを一フレームに複数含む制御データを前記複数の制御ネットワークに含まれる第一の制御ネットワークを前記通信部を用いて受信させ、前記一フレームに含まれる制御コマンド各々の種類が、同時に実行可能な制御の組合せとして設定された第一の組合せであるか否かについての第一の判定を実行し、前記判定の結果を用いて前記制御データの異常の有無についての第二の判定を実行し、前記第二の判定の結果を出力させる。
また、上記課題を解決する本発明の一態様に係る車載制御ネットワークシステムは、複数の制御装置が接続され、車載中継装置によって前記制御装置間の通信が中継される第一の制御ネットワーク及び第二の制御ネットワークを含む車載の制御ネットワークシステムであって、前記第一の制御ネットワークは、一フレームで送信可能な制御コマンドの最大データサイズが前記第二の制御ネットワークにおいて一フレームで送信可能な制御コマンドの最大データサイズより大きく、前記第一の制御ネットワークから前記第二の制御ネットワークに送信される制御データは、前記第二の制御ネットワークに接続される制御装置に所定の制御を同時に実行させる複数の制御コマンドの組み合わせを一フレームに含む。
なお、ここでの複数の制御コマンドの同時の実行とは、1以上の制御装置で、加速、減速、操舵、又は方向指示の各種類の制御コマンドのうち、複数種類の組合せで並行して、又は連続的に、若しくは数秒以内のごく短い間隔で実行されることである。また、同時に実行可能とは、複数を組合せた制御コマンドの種類に、同時に実行されることに矛盾がないことを意味する。
また、ここでの制御データの異常とは、制御ネットワークへのサイバー攻撃に起因する不正データの発生に限定されない。例えば車載制御ネットワークシステムに含まれる各制御ネットワークの仕様若しくは制御ネットワークシステムに混在する仕様の差異、又は通信ネットワークを構成する装置等の故障に起因する異常であってもよい。
本発明に係る車載中継装置等によれば、送信周期の利用を必要としない手法を用いて複数の制御コマンドを含むフレームに対する信頼性のより高い異常判定が実行され、一フレームで送信可能な大きさの異なる制御ネットワークが混在するネットワークシステムにおいて、制御ネットワークを跨る制御コマンドの送受信の不具合の発生が抑えられる。
図1は、実施の形態1及び2における車載制御ネットワークシステム及び遠隔制御装置を含む車外の通信ネットワークの構成の一例を示す図である。 図2は、実施の形態1における遠隔制御のための制御フレームのフォーマットを説明するための図である。 図3は、実施の形態1における制御IDと、制御IDが示す制御の種類との対応を示す制御IDテーブルの例を示す図である。 図4は、実施の形態1における中継ECUの構成例を示すブロック図である。 図5は、実施の形態1における中継ECUの動作の手順例を示すフロー図である。 図6は、実施の形態1における制御コマンド組み合わせリストを説明するための図である。 図7は、実施の形態1における中継ECUの異常検知時処理の手順例を示すフロー図である。 図8は、実施の形態1における制御コマンドID変換テーブルを説明するための図である。 図9は、実施の形態2における中継ECUの動作の手順例を示すフロー図である。 図10は、実施の形態2における値チェック組み合わせリストを説明するための図である。 図11Aは、実施の形態2における制御データ値のチェックに用いられるチェック表を説明するための図である。 図11Bは、実施の形態2における制御データ値のチェックに用いられるチェック表を説明するための図である。 図11Cは、実施の形態2における制御データ値のチェックに用いられるチェック表を説明するための図である。 図11Dは、実施の形態2における制御データ値のチェックに用いられるチェック表を説明するための図である。 図11Eは、実施の形態2における制御データ値のチェックに用いられるチェック表を説明するための図である。 図12は、実施の形態の変形例における車載制御ネットワークシステム及び遠隔制御装置を含む車外の通信ネットワークの構成の一例を示す図である。 図13は、実施の形態の変形例における中継変換ECUの構成例を示す図である。 図14は、実施の形態の変形例における中継変換ECUの動作の手順例を示すフロー図である。 図15は、実施の形態の変形例における中継変換ECUの異常検知時処理の手順例を示すフロー図である。 図16は、他の変形例における車載制御ネットワークシステム及び遠隔制御装置を含む車外の通信ネットワークの構成の一例を示す図である。 図17は、上記他の変形例における中継ECUの構成例を示す図である。 図18Aは、遠隔制御のための制御フレームのフォーマットの他の例を説明するための図である。 図18Bは、遠隔制御のための制御フレームのフォーマットの他の例を説明するための図である。 図18Cは、遠隔制御のための制御フレームのフォーマットの他の例を説明するための図である。
本発明の一態様に係る車載中継装置は、車両において複数の制御装置が接続されている複数の制御ネットワークに跨る前記複数の制御装置間の通信を中継する車載中継装置であって、前記複数の制御装置の少なくとも一部に実行させる制御のための制御コマンドを一フレームに複数含む制御データを前記複数の制御ネットワークに含まれる第一の制御ネットワークから受信する通信部と、前記一フレームに含まれる制御コマンド各々の種類が、同時に実行可能な組合せとして設定された第一の組合せであるか否かについての第一の判定を実行し、前記判定の結果を用いて前記制御データの異常の有無についての第二の判定を実行し、前記第二の判定の結果を出力する判定部とを備える。
これにより、複数の制御コマンドを含む制御データを運ぶ1個のフレームに対して、制御コマンドの送信周期に依存しないで異常の有無を判定することができる。
また例えば、前記判定部は、前記第一の判定の結果、前記制御コマンド各々の種類の組合せが前記第一の組合せでない場合に、前記第二の判定において前記制御データに異常があると判定してもよい。
これにより、制御データが含む複数の制御コマンドの種類の組合せが、例えば同時に実行しても危険を生じないことが既知の組合せでない場合、これらの制御コマンドの実行を避けることができ、車両の安全性の確保につながる。
また例えば、前記制御データは、前記制御の種類を示す制御IDをさらに含み、前記第一の組合せは、前記制御IDが示す制御の種類に対して設定された組合せであってもよい。
これにより、制御データが含む複数の制御コマンドの種類の組合せが、車両の所定の動作のための制御の組合せとして既知の組合せでなければ車載制御ネットワークシステムでの利用を避けることができ、車両の安全性の確保につながる。ここでいう車両の所定の動作とは、例えば自動制御で行われるクルーズコントロール、車線変更、追越、縦列駐車、障害物回避、危険時の路肩への退避等の動作に必要な制御であり、制御IDはこのような動作のための制御を特定するものである。
また例えば、前記判定部は、前記車両の状態を示す状態データを取得し、前記状態データが示す状態に応じて異なる前記第一の組合せを用いて前記第一の判定を実行してもよい。より具体的には、例えば前記状態データは、前記複数の制御装置の少なくとも一部から送信されたデータに基づくデータであってもよい。
これにより、車載制御ネットワークシステムで同時に実行可能な複数の制御コマンドの種類の組合せが車両の状態に合わせて動的な変更が可能になる。したがって、例えば複数の制御コマンドの組合せが安全に実行可能であるかが、走行中の車両の多様な状態に応じて判定することができる。車両上の制御装置、つまりはECUから送信されるデータからは、当該車両の様々な状態を随時取得することができる。したがって、例えば車速のように、随時変化する可能性があり、大きさ次第でさらなる加速又は大きな操舵の制御との組合せの危険性も変化する状態に応じて制御データの異常の有無の判定をすることができる。
また例えば、前記第一の判定の結果、前記制御コマンド各々の種類の組合せが前記第一の組合せである場合、前記判定部はさらに前記制御コマンド各々の内容の組合せが、前記第一の組合せに対して予め定められた第二の組合せであるか否かについての第三の判定を実行して前記第三の判定の結果を出力し、前記判定部は前記第三の判定において、前記制御コマンド各々の内容の組合せが前記第二の組合せでない場合に前記制御データに異常があると判定してもよい。より具体的には、例えば前記第二の組合せは、前記制御コマンド各々に含まれる操作量の値が入るべき所定の範囲をの組合せであってもよい。また例えば前記判定部は、前記車両の状態を示す状態データを取得し、前記状態データが示す状態に応じて異なる前記所定の範囲を用いてもよい。
これにより、種類の組合せでは異常と判定されない複数の制御コマンドであっても、例えばその制御データ値が表す制御内容の組合せが同時に実行しても危険を生じないことが既知の組合せでなければ、これらの制御コマンドの実行が避けられる。これにより、車両の安全性のさらなる向上につながる。また、制御によっては、その制御の内容である操作量の大きさ次第で安全性が損なわれる場合がある。例えば操舵と加速との組合せは通常の追越でも見られ、いずれもある程度小さければ同時に実行されても危険ではない。しかし大きな操舵角で大きく加速させると、車両は横滑りしたり、横転したりする可能性がある。上記の構成であれば、車両をこのような状態にする制御の組合せの実行が回避される。また、例えば複数の制御コマンドの組合せが安全に実行可能であるかが、走行中の車両の多様な状態に応じて判定することもできる。
また例えば、上記の車載中継装置は、中継部をさらに備え、前記判定部が出力した結果が前記制御データに異常がないことを示す場合、前記中継部は、前記複数の制御コマンドを、前記複数の制御ネットワークのうち、前記第一の制御ネットワークとは異なる制御ネットワークであって、前記複数の制御コマンドのそれぞれに応じた所定の送信先である第二の制御ネットワークに送信してもよい。
これにより、組み合わせて同時に実行されても車両又は走行に問題を生じないと、送信周期によらずに判定された複数の制御コマンドがそれぞれに応じた制御装置によって取得されて実行される。
また例えば、前記制御データは、前記複数の制御コマンドそれぞれの種類を示す制御コマンドIDをさらに含み、前記中継部は、送信する前記複数の制御コマンドのそれぞれに添えて、当該制御コマンドの種類を示す前記制御コマンドIDを、所定の変換規則に従って制御コマンドIDを変換して前記第二の制御ネットワークに送信してもよい。また例えば、前記中継部は、前記複数の制御コマンドのそれぞれを所定の変換規則に従って変換してから送信してもよい。また例えば、前記第一の制御ネットワークは、前記一フレームで送信可能な制御コマンドの最大データサイズが前記第二の制御ネットワークにおいて一フレームで送信可能な制御コマンドの最大データサイズより大きく、前記中継部は、前記第一の制御ネットワークから受信した前記制御データの一フレームに含まれる複数の制御コマンドを、複数のフレームに分けて前記第二の制御ネットワークに送信してもよい。より具体的には、例えば前記第一の制御ネットワークと前記第二の制御ネットワークとは、準拠する規格が異なってもよい。また、さらに具体的には、前記第一の制御ネットワークが準拠する規格はEthernet(登録商標)であり、前記第二の制御ネットワークが準拠する規格はCAN(Controller Area Network)であってもよい。
このように、例えば準拠する規格の異なる、又は準拠する規格は同じでも1個のフレームで搬送が可能な制御データの大きさが異なる複数の制御ネットワークに跨って制御データが通信される制御ネットワークシステムにおいて、複数の制御コマンドを含むフレームに対する信頼性のより高い異常判定が送信周期の利用を必要としない手法を用いて実行される。
また、本発明の一態様に係る車載監視装置は、中継装置によって通信が中継される第一の制御ネットワーク及び第二の制御ネットワークを含む車載ネットワークにおいて、前記第一の制御ネットワークに接続される車載監視装置であって、前記第一の制御ネットワークに接続される制御装置から送信された、前記第二の制御ネットワークに接続される制御装置に実行させる制御のための制御コマンドを一フレームに複数含む制御データを受信する通信部と、前記一フレームに含まれる制御コマンド各々の種類が、同時に実行可能な制御の組合せとして設定された第一の組合せであるか否かについての第一の判定を実行し、前記判定の結果を用いて前記制御データの異常の有無についての第二の判定を実行し、前記第二の判定の結果を出力する判定部とを備え、前記第一の制御ネットワークは、一フレームで送信可能な制御コマンドの最大データサイズが前記第二の制御ネットワークにおいて一フレームで送信可能な制御コマンドの最大データサイズより大きい。
これにより、複数の制御コマンドを含む制御データを運ぶ1個のフレームに対して、制御コマンドの送信周期に依存しないで異常の有無を判定することができる。
また、本発明の一態様に係る通信監視方法は、車両において複数の制御装置が接続されている複数の制御ネットワークに跨る前記複数の制御装置間の通信を中継する、通信部及びびプロセッサを備える車載中継装置において実行される通信監視方法であって、前記通信部を用いて、前記複数の制御装置の少なくとも一部に実行させる制御のための制御コマンドを一フレームに複数含む制御データを前記複数の制御ネットワークに含まれる第一の制御ネットワークを受信し、前記プロセッサを用いて、前記一フレームに含まれる制御コマンド各々の種類が、同時に実行可能な制御の組合せとして設定された第一の組合せであるか否かについての第一の判定を実行し、前記判定の結果を用いて前記制御データの異常の有無についての第二の判定を実行し、前記第二の判定の結果を出力する。
これにより、複数の制御コマンドを含む制御データを運ぶ1個のフレームに対して、制御コマンドの送信周期に依存しないで異常の有無を判定することができる。
また、本発明の一態様に係るプログラムは、車両において複数の制御装置が接続されている複数の制御ネットワークに跨る前記複数の制御装置間の通信を中継する、通信部及びプロセッサを備える車載中継装置において、前記びプロセッサによって実行されるプログラムであって、実行されることで前記車載中継装置に、前記複数の制御装置の少なくとも一部に実行させる制御のための制御コマンドを一フレームに複数含む制御データを前記複数の制御ネットワークに含まれる第一の制御ネットワークを前記通信部を用いて受信させ、前記一フレームに含まれる制御コマンド各々の種類が、同時に実行可能な制御の組合せとして設定された第一の組合せであるか否かについての第一の判定を実行し、前記判定の結果を用いて前記制御データの異常の有無についての第二の判定を実行し、前記第二の判定の結果を出力させる。
これにより、複数の制御コマンドを含む制御データを運ぶ1個のフレームに対して、制御コマンドの送信周期に依存しないで異常の有無を判定することができる。
また、本発明の一態様に係る車載制御ネットワークシステムは、複数の制御装置が接続され、車載中継装置によって前記制御装置間の通信が中継される第一の制御ネットワーク及び第二の制御ネットワークを含む車載の制御ネットワークシステムであって、前記第一の制御ネットワークは、一フレームで送信可能な制御コマンドの最大データサイズが前記第二の制御ネットワークにおいて一フレームで送信可能な制御コマンドの最大データサイズより大きく、前記第一の制御ネットワークから前記第二の制御ネットワークに送信される制御データは、前記第二の制御ネットワークに接続される制御装置に所定の制御を同時に実行させる複数の制御コマンドの組み合わせを一フレームに含む。また例えば、前記複数の制御コマンドの組合せは、前記所定の制御の種類に対して設定された同時に実行可能な組合せであってもよい。また例えば、。また例えば、前記制御データはさらに、前記複数の制御コマンドの組合せに対応する制御の種類を示す制御IDを含んでもよい。
このようなネットワークシステムにおいて、複数の制御コマンドを含む制御データを運ぶ1個のフレームに対して、制御コマンドの送信周期に依存しないで異常の有無を判定することができる。
なお、これらの全般的又は具体的な態様は、システム、方法、集積回路、コンピュータプログラム若しくはコンピュータで読み取り可能なCD−ROM等の記録媒体で実現されてもよく、又はシステム、方法、集積回路、コンピュータプログラム若しくは記録媒体の任意な組み合わせで実現されてもよい。
以下、実施の形態に係る、車載中継装置によって制御装置間の通信が中継される複数の制御ネットワークを含む車載制御ネットワークシステムについて、図面を参照しながら説明する。ここで示す実施の形態は、いずれも本発明の一具体例を示すものである。したがって、以下の実施の形態で示される数値、構成要素、構成要素の配置及び接続形態、並びにステップ(工程)及びステップの順序等は、一例であって本発明を限定するものではない。以下の実施の形態における構成要素のうち、独立請求項に記載されていない構成要素については、任意に付加可能な構成要素である。また、各図は模式図であり、必ずしも厳密に図示されたものではない。
(車両制御ネットワークシステムの概要)
図1は、実施の形態1及び2の説明において共通して例として用いる車両制御ネットワークシステムの構成の一例を示す図である。
車両100には、車載ネットワークシステム102が搭載されている。なお、以下の説明では、車両100は、自動運転機能を備え、且つ通信ネットワーク経由での状態監視及び遠隔制御に対応する、近い将来に実用化されるであろう技術が適用されていることを想定している。
車載ネットワークシステム102は、CANに準拠して構築されるCANネットワーク及びEthernetに準拠して構築されるEthernetネットワーク、複数のECU、及び通信コントロールユニット(以下、TCU(Telematics Control Unit)という)112を含む。
車載ネットワークシステム102のCANネットワークには、第一のCAN通信線126及び第一のCAN通信線126に接続されて、車両100の左右の方向指示器の点消灯を制御する方向指示器制御ECU130が含まれる。また、第二のCAN通信線128並びに第二のCAN通信線128に接続されるアクセル制御ECU132、ブレーキ制御ECU134、及びステアリング制御ECU136といった走行制御系のECUもこのCANネットワークの一部である。
アクセル制御ECU132は、アクセル開度に応じて車両100の発進を含む加速制御を行う。ブレーキ制御ECU134は、ブレーキペダルの操作に応じた車両100の停止を含む減速制御を行う。ステアリング制御ECU136は、ステアリングホイールの操舵角に応じた操舵制御を行う。
なお、これらのECUはCANネットワークに含まれ得るECUの一例であり、図示しない他のECUが含まれてもよい。例えば第一のCAN通信線126にさらに接続されるウインドウ開閉制御ECUなどのシャーシ系ECUがこのCANネットワークの一部であってもよい。また例えば、第二のCAN通信線128に、上記以外の走行制御系のECUが接続されてもよい。
また、第一のCAN通信線126及び第二のCAN通信線128は、第一の中継変換ECU122によって、Ethernetネットワークを構成する後述の第二のEthernet通信線118と中継接続される。第一の中継変換ECU122の詳細は後述する。
車載ネットワークシステム102のEthernetネットワークには、第一のEthernet通信線114、第二のEthernet通信線118、第三のEthernet通信線120、第四のEthernet通信線138、第五のEthernet通信線140及び第六のEthernet通信線142、これらのEthernet通信線を中継接続する中継ECU116及び第二の中継ECU124、これらのEthernet通信線に接続されるカメラECU144、センサECU146及び自動運転制御ECU148が含まれる。より詳細には、中継ECU116は、第一のEthernet通信線114と、第二のEthernet通信線118及び第三のEthernet通信線120とを中継接続する。第二の中継ECU124は、第三のEthernet通信線120と、第四のEthernet通信線138、第五のEthernet通信線140及び第六のEthernet通信線142とを中継接続する。
中継ECU116は、Ethernet Switchの機能を有し、受信したフレームに含まれるアドレスを参照して該当する宛先に送信する。
第二の中継ECU124は、Ethernet Switch機能を備えたECUであり、前記第三のEthernet通信線120、第四のEthernet通信線138、第五のEthernet通信線140、第六のEthernet通信線142の中継接続を行い、受信データのあて先に応じて接続されたECU間でのデータ転送を実行する。
カメラECU144は、車両100の周囲状況を撮影して映像データを生成するカメラ(図示なし)を制御し、この映像データを車載制御ネットワーク102に流す。センサECU146は、車両100の周囲状況をセンシングするセンサ(図示なし)を制御し、センシングの結果をセンシングデータとして車載制御ネットワーク102に流す。自動運転制御ECU148は、カメラECU144及びセンサECU146から送信されて、第二の中継ECU124を経由して受信したデータに基づいて、車両100の自動運転制御を実行する。自動運転制御ECU148は、車両100の自動運転制御を、アクセル制御ECU132、ブレーキ制御ECU134及びステアリング制御ECU136の走行系のECUに制御コマンドを送信することによって実行する。つまり、自動運転制御の制御コマンドを含む制御データが、EthernetネットワークからCANネットワークへと送信される。
CANネットワーク及びEthernetネットワークに跨るデータのやり取りは、中継ECU116と第一のCAN通信線126及び第二のCAN通信線128とを中継接続する第一の中継変換ECU122によって実現されている。第一の中継変換ECU122は、EthernetネットワークとCANネットワークとの間でやり取りされるデータを、各規格のプロトコルに沿って双方向変換を行うECUである。より詳細には、第一の中継変換ECU122は、第二のEthernet通信線118から受信した、制御コマンドを含むEthernetのフォーマットのフレームから、制御コマンドを含むCANのフォーマットのフレームを生成し、生成したCANのフレームを、その種類に応じて第一のCAN通信線126及び第二のCAN通信線128の少なくとも一方に送信する。また、第一のCAN通信線126又は第二のCAN通信線128から受信したCANのフォーマットのフレームを元にEthernetフレームを生成し、第二のEthernet通信線118に送信する。
また、車載ネットワークシステム102は、第一のEthernet通信線114に接続されるTCU112による無線通信110によって車外通信ネットワーク108に接続される。また、TCU112は、中継ECU116を介して第一の中継変換ECU122及び第二の中継ECU124と接続される。
車外通信ネットワーク108は、例えばインターネット等の通信ネットワークである。
車載ネットワークシステム102は、車外通信ネットワーク108を介して、監視サーバ104及び遠隔制御装置106と接続される。監視サーバ104及び遠隔制御装置106は、例えばそれぞれプロセッサ、記憶装置、入出力装置、通信装置を含む1台以上の情報処理装置において、所定のプログラムが実行されて実現される。または、監視サーバ104及び遠隔制御装置106は、同じ情報処理装置上で統合的に実現されてもよい。
監視サーバ104は、車両100から車外通信ネットワーク108を介して受信する、図示のない車載のGPS(Global Positioning System)受信機によって取得された位置情報、カメラが生成した映像データ、又はセンサが生成したセンシングデータを利用して車両100の状態を監視する。
遠隔制御装置106は、車外通信ネットワーク108を介して、車両100から遠隔制御リクエストを受信した場合、又は車両100の状態を監視している監視サーバ104から車両100に対する強制遠隔制御リクエストを受信した場合に、車両100に対する遠隔制御データを送信する。
遠隔制御装置106から送信された遠隔制御データは、上記の自動運転制御ECU148から送信される制御データと同様に、車両100の走行系のECUに対する制御コマンドを含む。遠隔制御データの制御コマンドもEthernetのフォーマットであり、TCU112によって受信されると車載ネットワークシステム102のEthernetネットワークで第一の中継変換ECU122まで運ばれる。第一の中継変換ECU122では、CANのフォーマットに変換されてから走行系のECU又は方向指示器制御ECUを含むCANネットワークへと送信される。
このような車載ネットワークシステム102では、車内の自動運転制御ECU148又は車外の遠隔制御装置106由来の制御コマンドがEthernetネットワークで第一の中継変換ECU122まで運ばれる。しかしながらその先、各制御コマンドを実行する制御ECUまでは、CANネットワークで運ばれる。CANネットワークにおいて一フレームで運ぶことができる制御データのサイズは、データフィールドの規定長である64ビット(8バイト)が最大である。一方、Ethernetネットワークにおいて一フレームで運ぶことができる制御データのサイズははるかに大きい。そして制御データを車載ネットワークシステム102上で効率的に運ぶためには、複数個のCANのフレームで運ばれる制御データに相当するサイズの制御データがEthernetの一フレームに含められる。つまり、Ethernetの一フレームには、制御コマンドを複数まとめた制御データとして納められる。そしてEthernetの一フレームからCANのフレームを生成する過程で、複数の制御コマンドが複数のCANのフレームに振り分けられる。なお、この生成の過程では、制御コマンドが車載制御ネットワーク102に実装されている仕様に沿うよう、必要に応じてさらにデータの追加、削除又は変換が行われてもよい。
車載制御ネットワークシステム102の上記の構成要素のうち、Ethernetネットワーク及びCANネットワークはそれぞれ、以下の各実施の形態における制御ネットワークの例である。また、各ECUは各実施の形態における制御装置の例であり、中継ECU又は各中継変換ECUは、それぞれ車載中継装置の例である。
なお、ここまで説明した車載制御ネットワークシステム102の構成は、以下の各実施の形態が共通で適用できる構成の一例であり、各実施の形態は上記とは異なる構成の車載制御ネットワークシステムに適用が可能である。各実施の形態が適用可能な車載制御ネットワークシステムの別の構成例については、各実施の形態の後で変形例として説明する。
(実施の形態1)
以下、車載制御ネットワークシステム102で実行される、制御データの異常判定について例を用いて説明する。
この異常判定は、EthernetネットワークからCANネットワークにある制御ECUに送信される制御コマンドを含む制御データに対して実行される。この制御データの送信元は遠隔制御装置106であり、Ethernetのフレームに含めて送信される。そして制御データの異常判定は、中継ECU116で実行される。
以下の異常判定の説明では、自動運転制御ECU148又は遠隔制御装置106から送信された制御データの異常判定を中継ECU116が実行する場合を例に用いる。
まず、自動運転制御ECU148又は遠隔制御装置106からCANネットワークにある制御ECUに宛てての制御データが送信される状況の例について説明する。
例えば、自動運転が実行されている車両100では、自動運転制御ECU148によって、カメラECU144及びセンサECU146から送信される映像データ及びセンシングデータが示す情報に基づく車体の状態及び周辺状況の認識、次いで、この認識に基づく車両100の制御内容の判断及び決定が行われて、この制御内容を反映する一連の制御コマンドを含む制御データがアクセル制御ECU132、ブレーキ制御ECU134、ステアリング制御ECU136等の制御ECUへ送信される。
また例えば、自動運転中に、通常と異なる車体の状態又は周辺状況が発生したために、自動運転制御ECU148による制御が不可能なケースが想定しうる。このようなケースの例としては、例えば、回避が必要な道路工事、交通事故などの影響で行われる警察官による交通整理、路肩付近への退避が必要な緊急車両の接近が挙げられる。このようなケースが発生すると、自動運転制御ECU148は、自らの判断による車両100の制御が不可能であると判断し、遠隔制御装置106宛ての遠隔制御リクエストを発信する。遠隔制御リクエストは、第二の中継ECU124、中継ECU116及びTCU112を介し、車外通信ネットワーク108を経て遠隔制御装置106に届けられる。また、遠隔制御リクエストを送信した中継ECU116及び自動運転制御ECU148は、遠隔制御モードに移行する。
また例えば、監視サーバ104は、車両100から送信される位置情報、映像データ、及びセンシングデータ等が示す情報に基づく車体の状態及び周辺状況の認識による車両100の監視を行う。この認識に基づいて、車両100に遠隔制御が必要であると判断した場合、監視サーバ104は、遠隔制御装置106に車両100の遠隔制御リクエストを送信し、車外通信ネットワーク108を介して、車両100の中継ECU116及び自動運転制御ECU148に宛てて強制遠隔制御通知を送信する。強制遠隔制御通知を受信した、中継ECU116及び自動運転制御ECU148は、遠隔制御モードに移行する。
車両100又は監視サーバ104から車両100に対する上記の遠隔制御リクエストを受信した遠隔制御装置106では、車両100から受信する位置情報、映像データ及びセンシングデータに基づく車両100の状態及び周辺状況の認識に基づいて車両100の制御内容の判断及び決定が行われる。この制御内容の判断及び決定まで、例えば監視員による入力があってもよいし、自動運転制御ECU148よりも高度な情報処理が可能な自動運転プログラムによって行われてもよく、人工知能が利用されてもよい。さらに遠隔制御装置106では、決定された制御の内容に対応する制御の種類に応じた制御IDが取得され、この制御ID及び制御の内容に対応する制御コマンドを含む制御データを含むフレーム(以下、制御フレームともいう)が生成される。このように生成される遠隔制御のための制御フレームのフォーマットの例を図2に示す。
制御フレームフォーマット200では、ひとつのフレームに、制御の種類を示す制御ID及び各制御ECUで同時に実行される複数の制御に対応する複数の制御コマンドが含まれる。各制御コマンドは、制御コマンドの種類を示す制御コマンドID及び制御の内容を示す制御コマンドデータを含む。また、当該制御フレームが遠隔制御のためのものであるか車内の自動運転制御によるものであるかを示す遠隔制御フラグもさらに含まれる。
図3に、上記の制御IDと、制御IDが示す制御の種類との対応を示す制御IDテーブルの一例を示す。制御IDテーブル300では、制御の種類の例として2種類の路肩への退避制御(路肩退避A、路肩退避B)及び工事場所の回避制御(回避A)が示されている。また、路肩退避Aには、0x01、路肩退避Bには、0x02、回避Aには0x03の制御IDが割り当てられ、対応付けられている。このような制御IDテーブル300は、例えば遠隔制御装置106の記憶装置に記憶される。遠隔制御を担う監視員又はプログラムは、制御IDテーブル300を参照し、決定した制御内容に応じた制御の種類を選択し、選択した制御の種類に対応付けられた制御IDを使用する。なお、制御の種類が制御内容に先んじて決定されてもよい。
遠隔制御装置106で生成された制御フレームは、車外通信ネットワーク108を介して車両100に送信される。制御フレームの車外通信ネットワーク108における盗聴や改ざんを防ぐために、車両100のTCU112と遠隔制御装置106との間では、TLS(Transport Layer Security)によるセッションがはられ、制御フレームは暗号化されて送信される。
TCU112で受信され復号された制御フレームは、第一のEthernet通信線114を経由して中継ECU116に送信される。中継ECU116の構成例を図4に示す。
中継ECU116は、第一の通信部400、第二の通信部408、第三の通信部410、記憶部412、不揮発記憶部414、判定部402、生成部404、中継部406、制御部416、設定インタフェース(以下、I/Fと表記する)部418を備える。
第一の通信部400は、第一のEthernet通信線114と接続し、TCU112とのEthernetによるデータの送受信を行う。第二の通信部408は、第二のEthernet通信線118と接続し、中継変換ECU122とのEthernetによるデータの送受信を行う。第三の通信部204は、第三のEthernet通信線120と接続し、第二の中継ECU124とのEthernetによるデータの送受信を行う。
判定部402、生成部404、中継部406及び制御部416は、中継ECU116が備えるプロセッサが所定のプログラムを実行することによって実現される機能的な構成要素である。このプログラムは、車両100の製造時に不揮発記憶部412に記憶され、記憶部412を用いて実行される。図5のフロー図は、このプログラムを実行して制御データの異常の有無を判定する中継ECU116の動作の手順例を示す。
第一の通信部400で受信された(ステップS500)データは、まず判定部402において車両100の制御フレームであるか否かについて判定される(ステップS502)。
この判定の結果、制御フレームではない場合(ステップS502でNO)、このフレームは中継部406に送られる。中継部406からは、フレームの送信先に応じて第二の通信部408及び第三の通信部410のいずれか又は両方を経由して1個以上の制御ネットワークに送信される(ステップS510)。
受信データが制御フレームである場合(ステップS502でYES)、判定部402は、遠隔制御モードに関する判定を行う(ステップS503)。より具体的には、判定部402は、制御フレームの遠隔制御フラグ(図2参照)の値によって、この制御フレームが遠隔制御のためのものであるかを確認する。この例では、遠隔制御フラグの値が1であることに基づいて制御フレームが遠隔制御のためのものであると確認すると、判定部402は中継ECU116の現在の動作モードが遠隔制御モードであるか否かをさらに確認する。
制御フレームが遠隔制御のためのものであっても、中継ECU116の現在の動作モードが遠隔制御モードではない場合(ステップS503でYES)、判定部402では、受信した制御フレームは異常である判定され、中継ECU116での処理は異常検知時処理(ステップS512)に進む。異常検知時処理の詳細は後述する。
遠隔制御モードに関する判定で異常が検知されなかった場合(ステップS503でNO)、判定部402は、制御フレームから制御ID及び制御コマンドIDを抽出する(ステップS504)。
続いて、判定部402はさらに、抽出した制御ID及び制御コマンドIDを、制御コマンド組み合わせリストと照合する(ステップS506)。制御コマンド組み合わせリストとは、制御IDが示す制御IDに対して設定された適切な制御コマンドの種類の組合せを示すリストである。ここでの適切とは、車両100において同時に実行可能な制御の組合せである、という意味である。図6に、制御コマンド組み合わせリストの例を示す。
図6に示す制御コマンド組み合わせリスト600は、制御IDが0x01の場合、制御フレームは、ステアリングの制御コマンド、ブレーキの制御コマンド、及び方向指示器の制御コマンドからなるのが適切であることを示す。
このような制御コマンド組み合わせリスト600は、車両100の製造時に設定I/F418を介して不揮発記憶部414に記憶される。また、車両100の使用開始後にも、設定I/F418を介する、又はOTA(Over−The−Air)によるリプロで更新されてもよい。
制御コマンド組み合わせリスト600に示される制御IDに対する制御コマンドIDの組合せと、実際に抽出した制御IDと制御コマンドIDとの組合せが一致した場合(ステップS508でYES)、判定部402は受信した制御フレームには異常がないと判定する。異常がないと判定された制御フレームは中継部406に送られ、第二の通信部408から第二のEthernet通信線118へ送信される(ステップS510)。
実際に抽出した制御IDと制御コマンドとの組合せが一致しなかった場合(ステップS508でNO)、判定部402では制御フレームに異常があると判定され、中継ECU116での処理は異常検知時処理(ステップS512)に進む。
ここで、異常検知時処理について説明する。図7のフロー図は、本実施の形態における異常検知時処理の手順例を示す。
判定部402によって制御フレームに異常があると判定されると、生成部404において制御フレームの異常検知を通知するための異常通知パケットが生成される(ステップS700)。異常通知パケットは中継部406及び第一の通信部400に送信され、第二の通信部408及び第三の通信部410から車両100の制御ネットワークへ、第一の通信部400から車外の監視サーバ104及び遠隔制御装置106へ送信される(ステップS702)。
本実施の形態における、中継ECU116による制御データの異常の有無についての判定の手順は以上で終了する。このような判定処理が、中継ECU116が受信する各フレームに対して実行される。
中継ECU116が異常なしと判定して出力した制御フレームを第二のEthernet通信線118を介して受信した第一の中継変換ECU122は、制御フレームから順に制御コマンドを取り出す。
さらに第一の中継変換ECU122では、取り出した制御コマンドに含まれる制御コマンドIDがCAN IDに変換される。この変換には、例えば図8に例示される制御コマンドID変換テーブル800が用いられる。制御コマンドID変換テーブル800は、Ethernetフレームで送信された制御コマンドIDを、車両100の車載制御ネットワークシステム102で使用されているCAN IDに変換するための所定の変換規則を示すものの例である。制御コマンドID変換テーブル800は、例えば車両100の製造時に中継変換ECU122が備える不揮発記憶部414に記憶される。
なお、制御コマンドIDのみならず、制御コマンド全体、又は制御コマンドの内容である制御コマンドデータ(図2の制御コマンドデータa、b、c)も車載制御ネットワークシステム102の仕様等に因る必要に応じて、所定の変換規則に従ってCANネットワークに対応するよう変換されてもよい。これにより、CANの構成に拠らない遠隔制御システムの設計が可能となる。
第一の中継変換ECU122で上記の変換によって得られたコマンド(以下、CANコマンドともいう)は、対応するCANネットワークに順次送信される。CANコマンドとCANネットワークとの対応は、第一の中継変換ECU122が備える記憶部に、例えばCAN IDとその送信先であるCANネットワークとの対応付けを示すリストによって示される。
各制御ECUは受信した制御コマンドの内容に応じてそれぞれの担当する制御を実行し、それにより車両100の各種の制御が行われる。
なお、自動運転制御ECU148で生成された自動運転制御のための制御フレームも遠隔制御装置106により生成された制御フレームと、遠隔制御フラグの設定を除いて同様の異常判定の処理がなされる。また、制御コマンドID又は制御コマンドデータの変換には、遠隔制御のための制御フレームと自動運転制御のための制御フレームとで異なる規則が用いられてもよい。なお、これらの変換は車載制御ネットワークシステム102での必要に応じてなされればよく、必須の処理ではない。
かかる構成によれば、自動運転制御ECU148及び遠隔制御装置106において、Ethernetを用いて送信する制御フレームを、その制御の種類に応じた制御コマンドを組み合わせたデータセットで構成される。これにより、同時に実行されるべき制御コマンドが複数のEthernetフレームに跨ることが防がれ、CANネットワークに接続された各制御ECUの制御の適切な実行順番がより確実に守られる。また、各制御コマンド間の遅延時間の発生又は長期化を抑えることができる。
また、中継ECU116において、中継される制御データが、制御の種類に応じた制御コマンドを組み合わせたデータセットで構成されているかチェックされることで、制御フレームの異常が検知される。これにより異常な制御データが実行されることによる車両100の不正な制御の発生を防ぐことができる。
また、制御コマンドID変換テーブル800を用いてCAN IDに変換することにより、中継ECU116、遠隔制御装置106、自動運転制御装置148のCANネットワークの構成への依存を下げることが可能となり、制御対象の車種又はメーカーに応じて制御コマンドの対応の必要性を抑えることができる。
(実施の形態2)
実施の形態2も、図1に記載の車載制御ネットワークシステム102で実行される場合を例に用いて説明する。また、以下の説明では、実施の形態1との差異を中心に説明し、共通の構成要素及び共通の処理手順については、説明を適宜簡略にする。
本実施の形態は、実施の形態1における中継ECU116による制御データの異常判定の処理手順のうち、ステップ508でYESである場合、つまり制御コマンド組合せリストを用いた照合の結果が一致である場合の処理の内容が実施の形態1との違いである。図9は、本実施の形態における中継ECU116による制御データの異常の有無を判定する動作の手順例を示すフロー図である。
ステップS900、S902、S904、S906及びS908は、それぞれ実施の形態1のステップS500、S502、S504、S506及びS908と共通である。
また、ステップS902での判定の結果がNOである場合に続いて実行されるステップS918は、実施の形態1のステップS510と共通である。
また、ステップS908での判定の結果がNOである場合に続いて実行されるステップS920は、実施の形態1のステップS512と共通である。
なお、本実施の形態においても、実施の形態1における遠隔制御モードに関する判定に相当するステップがステップS902に続いて実行されてもよいが、説明及び図示の簡単のために省略している。
図6に示す制御コマンド組み合わせリスト600に示される制御IDに対する制御コマンドIDの組合せと、実際に抽出した制御IDと制御コマンドIDとの組合せが一致した場合(ステップS908でYES)、判定部402は、値チェック組み合わせリスト照合(ステップS910)に進む。
値チェック組み合わせリスト照合(ステップS910)においては、制御フレームから抽出された制御コマンドIDを、図10に示される値チェック組み合わせリスト1000と照合して、値チェックに用いるチェック表を特定する。例えば、制御フレームに制御コマンドIDが0x01、0x03、0x04の3つの制御コマンドが含まれている場合、値チェック組み合わせリスト1000の0x01−0x03、0x01−0x04、0x03−0x04の欄を参照してチェック表を特定する。この例では、チェック表CT2、チェック表CT3が値チェックに用いられるチェック表として特定される。チェック表の例を図11A、図11B、図11C、図11D及び図11Eに示す。なお、0x03−0x04の組合せについては対応するチェック表が存在しない。これは、制御コマンドIDが0x03の制御コマンドと、制御コマンドIDが0x04の制御コマンドとの間では、値の不正な組み合わせが定義されていないことを意味する。
チェック表CT1〜CT5はそれぞれ、制御コマンドの内容、つまりデータの値の組み合わせとして異常なものを示す。例えば図11Bに示されるチェック表CT1のデータ行の1行目は、制御コマンドIDが0x01(操舵角)と0x02(アクセル指示)の場合、30より大きい操舵角と、100より大きいアクセル指示との組合せは異常であることを示す。なお、チェックされるデータの値は、数値の場合には例えばその範囲で条件が示されてもよい。また、チェック表CT3及びCT5に示される方向指示器の制御の内容のように数値又はその範囲ではない形で示される条件もあってよい。例えばチェック表CT5には、加速制御の内容は30より大きいアクセル指示であり、方向指示器の制御の内容はハサード表示指示(左右両方の同期点滅)であることが、異常な制御であることが示される。
このような値チェック組み合わせリスト1000及びチェック表CT1〜CT5は、車両100の製造時に設定I/F418を介して不揮発記憶部414に記憶される。また、車両100の使用開始後にも、設定I/F418を介する、又はOTAによるリプロで更新されてもよい。
値チェックに用いるチェック表が存在しない場合(ステップS912でNO)、受信されたデータは中継部406に送られ、第二の通信部408からEthernet通信線118へ送信される(ステップS918)。
値チェックに用いるチェック表が存在する場合(ステップS912でYES)、特定されたチェック表を用いた異常値組み合わせ判定が行われる(ステップS914)。
例えば、制御コマンドがID0x01、0x03のコマンドの組合せについては、チェック表CT2が用いられる。この場合判定部402は、「制御コマンドID0x01の制御コマンドデータの示す操舵角が40より大きく、制御コマンドID0x03の制御コマンドデータの示すブレーキ指示が200より大きい」、又は「制御コマンドID0x01の制御コマンドデータの示す操舵角が−40より小さく、制御コマンドID0x03の制御コマンドデータの示すブレーキ指示が200より大きい」のいずれかの異常条件が満たされるか否か確認する。特定されたチェック表に示されるいずれかの異常条件が満たされる場合(ステップS916でYES)、当該フレームに含まれていた制御データに異常があると判定され、中継ECU116での処理は異常検知時処理(ステップS920)に進む。
一方、特定されたチェック表に示される異常条件がいずれも満たされない場合(ステップS916でNO)、当該フレームに含まれていた制御データには異常がないと判定される。異常がないと判定された制御データは中継部406に送られ、第二の通信部1108からEthernet通信線118へ送信される(ステップS918)。
本実施の形態における、中継ECU116による制御フレームの異常の有無についての判定の手順は以上で終了する。このような判定処理が、中継ECU116が受信する各フレームに対して実行される。
中継ECU116が異常なしと判定して出力した制御フレームを第二のEthernet通信線118を介して受信した第一の中継変換ECU122は、制御フレームから順に制御コマンドを取り出す。制御フレームに対する以降の処理は、本実施の形態において実施の形態1と共通である。
上記の本実施の形態における構成によれば、実施の形態1と同様の各効果が得られる。
さらに、本実施の形態における構成によれば、中継ECU916において、中継される制御フレームに含まれる制御コマンドの内容が、制御コマンド種類の組合せに応じて予め定められた所定の条件を満たしているか否かチェックされることで、制御フレームの異常が検知される。これにより異常な制御データが実行されることによる車両100の不正な制御の発生をより確実に防ぐことができる。
(変形例)
図12は、実施の形態1又は2の変形例における車両制御ネットワークシステムの構成の一例を示す図である。図12において、図1と同じ構成要素については同じ符号を用い、説明を省略する。
本変形例において車両1200に搭載される車載ネットワークシステム1202は、実施の形態1又は2における車載ネットワークシステム102と比較して、中継ECUがなく、複数のCANバスインタフェースとEthernetインタフェースを備える中継変換ECUにEthernetネットワーク及びCANネットワークを含む複数の制御ネットワークが接続されている点が異なる。中継変換ECUは、受信した制御データの異常判定から、制御データの送信先に応じて必要な変換の実行及び転送までを担う。
なお、以下の説明では、車両1200は、自動運転機能を備え、且つ通信ネットワーク経由での遠隔制御に対応する、近い将来に実用化されるであろう技術が適用されていることを想定している。
図12に示されるように、中継変換ECU1222には、CANネットワークを構成する第一のCAN通信線1226及び第二のCAN通信線1228が接続されている。これらはそれぞれ、実施の形態1及び2における第一のCAN通信線126及び第二のCAN通信線128に相当し、それぞれに各種の制御ECUが系統別に接続されている。
また、中継変換ECU1222には、さらに第一のEthernet通信線1214、第四のEthernet通信線1238、第五のEthernet通信線1240及び第六のEthernet通信線1242が接続されている。これらはそれぞれ、実施の形態1及び2における第一のEthernet通信線114、第四のEthernet通信線138、第五のEthernet通信線140及び第六のEthernet通信線142に相当し、各種のECU及びTCUが接続されている。車載ネットワークシステム1202は、TCU112による無線通信110によって車外通信ネットワーク108に接続される。また、TCU112は、中継変換ECU1222を介して各制御ネットワークと接続される。中継変換ECU1222の構成は後述する。
車載ネットワークシステム1202は、車外通信ネットワーク108を介して、監視サーバ104及び遠隔制御装置1206と接続される。なお、この変形例では、実施の形態1及び2における監視サーバ104がなく、遠隔制御装置1206は車外通信ネットワーク108を介して車両1200から遠隔制御リクエストを受信した場合に車両1200に対する遠隔制御データを送信する。遠隔制御装置1206は、例えばそれぞれプロセッサ、記憶装置、入出力装置、通信装置を含む1台以上の情報処理装置において、所定のプログラムが実行されて実現される。
図13は、中継変換ECU1222の構成例を示すブロック図である。
中継ECU116は、第一の通信部1300、第二の通信部1308、第三の通信部1310、第四の通信部1312、第五の通信部1314、第六の通信部1315、記憶部1316、不揮発記憶部1318、判定部1302、生成部1304、中継変換部1306、制御部1320、設定I/F部1322を備える。
第一の通信部1300は、第一のEthernet通信線114と接続し、TCU112とのEthernetによるデータの送受信を行う。第二の通信部1308は、第四のEthernet通信線1238と接続し、カメラECU144とのEthernetによるデータの送受信を行う。第三の通信部1310は、第五のEthernet通信線1240と接続し、センサECU146とのEthernetによるデータの送受信を行う。第四の通信部1312は、第六のEthernet通信線1242と接続し、自動運転制御ECU148とのEthernetによるデータの送受信を行う。第五の通信部1314は、第一のCAN通信線1226と接続し、方向指示器制御ECU1226とのCANによるデータの送受信を行う。第六の通信部1315は、第二のCAN通信線1228と接続し、アクセル制御ECU132、ブレーキ制御ECU134及びステアリング制御ECU136とのCANによるデータの送受信を行う。
判定部1302、生成部1304、中継変換部1306及び制御部1320は、中継変換ECU1222が備えるプロセッサが所定のプログラムを実行することによって実現される機能的な構成要素である。このプログラムは、車両1200の製造時に不揮発記憶部1318に記憶され、記憶部1316を用いて実行される。
車両1200における自動運転制御及び遠隔制御の実行及びこれらの制御態様の切替については、基本的に実施の形態1及び2と同様である。以下、本変形例の実施の形態1及び2との差異である中継変換ECU1222が上記の所定のプログラムを実行して、自動運転制御又は遠隔制御のための制御データの異常の有無の判定を含む処理について例を用いて説明する。図14のフロー図は、このプログラムを実行して行われる制御データの異常の有無の判定を含む、中継変換ECU1222の動作の手順例を示す。なお、以下の説明では、実施の形態1又は2との差異を中心に説明し、共通の処理手順については、説明を適宜簡略にする。
第一の通信部1300で受信された(ステップS1400)データは、まず判定部1302において受信データが車両1200の制御フレームであるか否かについて判定される(ステップS1402)。
この判定の結果、制御フレームではない場合(ステップS1402でNO)、このフレームは中継変換部1306に送られる。中継変換部1306では、当該フレームの宛先に対応する送受信部1308〜1315のいずれか又は複数を経由して1個以上の制御ネットワークに送信される(ステップS1418)。ただし、当該フレームの宛先がCANネットワークであれば、中継変換部1306はこのフレームに対するEthernet−CAN変換が行ってから送信する。
受信データが制御フレームである場合(ステップS1402でYES)、判定部1302は、制御フレームから制御ID及び制御コマンドの抽出が行われる(ステップS1404)。以下、ステップS1410、S1412、S1414及びS1416は、実施の形態2におけるステップS910、S912、S914及びS916に相当する。ただし、ステップS1412でNOの場合、及びステップS1416でNOの場合には、ステップS1402でNOの場合と同じように、宛先がCANネットワークである制御フレームに含まれる制御コマンドは、中継変換部1306でEthernet−CAN変換が行われてから送信される。
なお、本変形例においても、実施の形態1における遠隔制御モードに関する判定(ステップS503)に相当するステップがステップS1402に続いて実行されてもよい。また、実施の形態1における制御コマンド組合せリスト照合(ステップS506)に相当するステップがステップS1402に続いて実行されてもよい。ただし、本変形例においては、説明及び図示の簡単のために省略している。遠隔制御モードに関する判定はステップS1402に続いて実行されてもよい。また、制御コマンド組合せリスト照合は、ステップS1404に続いて実行されてもよい。
一方、ステップS1416でYESの場合には、判定部1302では制御フレームに異常があると判定され、中継変換ECU1222での処理は異常検知時処理(ステップS1420)に進む。図15のフロー図は、本変形例における異常検知時処理の手順例を示す。
判定部1302によって制御フレームに異常があると判定されると、生成部1304において、値チェックで異常と判定された制御コマンドの組み合わせが、受信した車両制御フレームから除外してから(ステップS1500)、制御フレームが再生成される(ステップS1502)。
異常値を含む制御コマンドが除外された制御フレームは、中継変換部1306に送られる。中継変換部1306では。当該フレームの宛先に対応する送受信部1308〜1315のいずれか又は複数を経由して1個以上の制御ネットワークに送信される(ステップS1504)。ただし、当該制御フレームの宛先がCANネットワークであれば、中継変換部1306はこのフレームに対するEthernet−CAN変換が行ってから送信する。この変換には、制御コマンドID変換テーブル800を用いての制御コマンドIDのCAN IDへの変換が含まれる。
また、生成部1304では、異常検知を通知するための異常通知パケットが生成される(ステップS1506)。異常通知パケットは中継変換部1306及び第一の通信部1300に送信され、第二の通信部1308〜第六の通信部1315から車両1200の制御ネットワークへ、第一の通信部1300から車外の遠隔制御装置1306へ送信される(ステップS1508)。
上記の本変形例における構成によっても、実施の形態1又は2と同様の各効果が得られる。
(その他の変形例)
以上のように、本発明に係る技術の例示として実施の形態1及び2とその変形例を説明した。しかしながら、本発明に係る技術は、これらに限定されず、適宜、変更、置き換え、付加、省略等を行った実施の形態にも適用可能である。例えば、以下のような変形例も本発明の一実施態様に含まれる。
車載制御ネットワークの構成は図1又は図12に示すものに限定されない。例えば図1又は図12に示す構成の中間的な構成であっても本発明に係る技術が適用できる。図16は、このような車両制御ネットワークシステムの構成の一例を示す図である。
このさらなる変形例に係る車両1600は、車両制御ネットワークシステム1602を備える。車両制御ネットワークシステム1602は、車両制御ネットワークシステム102と比較すると、中継変換ECUとTCUとを中継する中継ECUがある点は共通であるが、中継変換ECUに差異がある。車両制御ネットワークシステム1602は、中継ECUを備える点が車両制御ネットワークシステム1302とは異なるものの、車両制御ネットワークシステム1302と同様に、中継変換ECUがひとつであってCANネットワーク及びEthernetネットワークの全ての制御ネットワークが接続されている点は共通である。
このような構成の車両制御ネットワークシステム1602では、制御データの異常判定は中継ECU1616及び中継変換ECU1622のいずれで実行されてもよい。仮に中継ECU1616で実行される場合、中継ECU1616の構成は図17に示されるブロック図のようになる。
また、このような構成も車載制御ネットワークシステムの構成の一例であり、例えば上記以外の機能を提供するECUが含まれてもよいし、CANネットワーク又はEthernetネットワークの個数がさらに多くもよい。また、一つのCANネットワークに異なる系統の制御ECUが接続されていてもよい。また、上記の各実施の形態及び変形例の説明では個別のECUで実現している複数のECUの機能が一つのECUで実現されてもよい。
また、各実施の形態及び変形例において示した中継ECU又は中継変換ECUによる異常判定の処理手順は、第一の通信部で受信したデータに対する処理として説明したが、他の通信部で受信したEthernetデータにも、同様の処理が適用可能である。
また、実施の形態2及び変形例において示した値チェックの手順では、2種類の制御コマンドの組合せを含む条件が用いられているが、3種類以上の制御コマンドの含む条件が用いられてもよい。組み合わせる制御コマンドの種類が増えると、判定処理の負荷やリスト管理の負荷は重くなるが、より詳細かつ正確な異常判定ができる。
また、各実施の形態及び変形例において示した、制御コマンド組み合わせリスト、値チェック組み合わせリスト、又は各チェック表は、複数種類が用意されてもよい。そして複数種類のこれらのリスト等は、車両の状態に応じて切り替えて参照されてもよい。中継ECU1又は中継変換ECUは、この車両の状態を、例えば各制御ECUから送信される、車両の状態を示す状態データに基づいて取得してもよい。又は、車外の監視サーバから取得してもよい。ここでいう車両の状態とは、例えば手動運転、自動運転、遠隔制御等の制御の主体の態様、自動駐車等の一時的な特定の機能のON/OFF、所定の部品の故障の有無、走行場所、天候、走行速度、シフトポジション、燃料又はバッテリーの残量、障害物の検知の有無等が挙げられる。
また、各実施の形態及び変形例においては、TCUを経由して車両100と遠隔制御装置106が通信を行うものとしているが、Wi−fiなど他の経路を用いても構わないし、TCUの機能がIVI(In−Vehicle Infotainment)の機能を提供するECUなど、上記で言及していない他のECUに含まれていても構わない。
また、各実施の形態及び変形例においては、遠隔制御装置とTCUとの間でTLSによるセッションが張られるものと説明したが、遠隔制御装置106と中継ECU116又は中継変換ECU1222との間でTLSによるセッションが張られても構わない。
また、各実施の形態及び変形例において処理の対象となる制御フレームフォーマットは、図2に示す制御フレームフォーマット200に限定されない。例えば、遠隔制御が実行されない車両では図18Aに示す制御フレームフォーマット1800Aであってもよい。
また、図18Bに示すような、制御の種類を示す制御IDがない制御フレームフォーマット1800Bであっても異常判定が可能である。この場合、制御IDが示す制御の種類と関係なく、各制御コマンドの制御コマンドIDが示す制御コマンドの種類の組合せが、予め設定された所定の組合せでない場合に異常であると判定されてもよい。これにより、より網羅的な制御フレームの組合せを異常判定の実行対象することができ、制御フレームの組合せによる多様な制御内容に対して異常検知を行うことができる。なお、制御IDを含むフォーマットの制御フレームに対する異常判定であっても、制御IDを用いずに制御コマンドIDが示す制御コマンドの種類の組合せに基づいて実行されてもよい。
また、図18Cに示すような、CAN ID及びCANペイロード(データフィールド)を、制御コマンドID及び制御コマンドデータとして利用された制御フレームフォーマット1500であってもよい。
また、各実施の形態及び変形例においては、自動運転制御ECUによる制御と遠隔制御装置による制御を、遠隔制御フラグの設定を除き同一のフォーマットの制御フレームによるものとしたが、異なるフォーマットによるものでも構わない。
また、各実施の形態及び変形例において設定I/F部を介して不揮発記憶部に書き込まれる各種のデータは、設定I/F部に代えて、各通信部のいずれかを介して書き込まれてもよい。
また、各実施の形態及び変形例では、EthernetとCANという異なる規格間でデータの変換が行われる説明をしたが、本発明の技術の適用範囲はこれに限定されない。例えばCAN−FD、Ethernet(登録商標)、MOST、LIN(Local Interconnect Network)、Flexray(登録商標)などの規格に準じたネットワークシステムでも適用可能である。また、中継地点を挟んで制御データが含まれるペイロードの大きさが異なる状況であれば、同一の規格間での変換を伴う適用も可能である。
また、各実施の形態及び変形例では、制御データの異常判定をするのは、車載の通信中継装置であるとして説明したが、例えばEthernetネットワーク上の、中継機能を伴わない監視装置によって実行されてもよい。
また、各実施の形態において車載制御ネットワークシステムへの適用を示したが、本発明の適用範囲は車載制御ネットワークシステムに限らず、建機、農機、船舶、鉄道、飛行機などのモビリティ用途、さらに、産業用途、スマートファクトリーなどの工場制御用途においても有効に適用可能である。
本発明にかかる車載中継装置等は、自動車の運転支援又は自動運転制御のための制御データの異常検知機能を有し、自動車及び自動運転車の車載制御ネットワークシステムに有用である。また工場における製造システムの遠隔制御等の用途にも応用できる。
100,1200,1600 車両
102,1202,1602 車載ネットワークシステム
104 監視サーバ
106,1206,1606 遠隔制御装置
108 車外通信ネットワーク
112 TCU
114,118,120,138,140,142,1238,1214,1240,1242,1614,1638,1640,1642 Ethernet通信線
116,124,1616 中継ECU(車載中継装置)
122,1222,1622 中継変換ECU(車載中継装置)
126,128,1226,1228,1626,1628 CAN通信線
130 方向指示器制御ECU
132 アクセル制御ECU
134 ブレーキ制御ECU
136 ステアリング制御ECU
144 カメラECU
146 センサECU
148 自動運転制御ECU
200,1800A,1800B,1800C 制御フレームフォーマット
300 制御IDテーブル
400,408,410,1300,1308,1310,1312,1314,1315,1700,1708 通信部
402,1302,1702 判定部
404,1304,1704 生成部
406,1306,1706 中継部
412,1316,1712 記憶部
414,1318,1714 不揮発記憶部
416,1320,1716 制御部
418,1322,1718 設定I/F部
600 制御コマンド組み合わせリスト
800 制御コマンドID変換テーブル
1000 値チェック組み合わせリスト
CT1,CT2,CT3,CT4,CT5 チェック表

Claims (21)

  1. 車両において複数の制御装置が接続されている複数の制御ネットワークに跨る前記複数の制御装置間の通信を中継する車載中継装置であって、
    前記複数の制御装置の少なくとも一部に実行させる制御のための制御コマンドを一フレームに複数含む制御データを前記複数の制御ネットワークに含まれる第一の制御ネットワークから受信する通信部と、
    前記一フレームに含まれる制御コマンド各々の種類が、同時に実行可能な組合せとして設定された第一の組合せであるか否かについての第一の判定を実行し、前記判定の結果を用いて前記制御データの異常の有無についての第二の判定を実行し、前記第二の判定の結果を出力する判定部とを備える
    車載中継装置。
  2. 前記判定部は、前記第一の判定の結果、前記制御コマンド各々の種類の組合せが前記第一の組合せでない場合に、前記第二の判定において前記制御データに異常があると判定する
    請求項1に記載の車載中継装置。
  3. 前記制御データは、前記制御の種類を示す制御IDをさらに含み、
    前記第一の組合せは、前記制御IDが示す制御の種類に対して設定された組合せである
    請求項2に記載の車載中継装置。
  4. 前記判定部は、前記車両の状態を示す状態データを取得し、前記状態データが示す状態に応じて異なる前記第一の組合せを用いて前記第一の判定を実行する
    請求項2又は3に記載の車載中継装置。
  5. 前記状態データは、前記複数の制御装置の少なくとも一部から送信されたデータに基づくデータである
    請求項4に記載の車載中継装置。
  6. 前記第一の判定の結果、前記制御コマンド各々の種類の組合せが前記第一の組合せである場合、前記判定部はさらに前記制御コマンド各々の内容の組合せが、前記第一の組合せに対して予め定められた第二の組合せであるか否かについての第三の判定を実行して前記第三の判定の結果を出力し、
    前記判定部は前記第三の判定において、前記制御コマンド各々の内容の組合せが前記第二の組合せでない場合に前記制御データに異常があると判定する
    請求項1から5のいずれか一項に記載の車載中継装置。
  7. 前記第二の組合せは、前記制御コマンド各々に含まれる操作量の値が入るべき所定の範囲をの組合せである
    請求項6に記載の車載中継装置。
  8. 前記判定部は、前記車両の状態を示す状態データを取得し、前記状態データが示す状態に応じて異なる前記所定の範囲を用いる
    請求項7に記載の車載中継装置。
  9. 中継部をさらに備え、
    前記判定部が出力した結果が前記制御データに異常がないことを示す場合、
    前記中継部は、前記複数の制御コマンドを、前記複数の制御ネットワークのうち、前記第一の制御ネットワークとは異なる制御ネットワークであって、前記複数の制御コマンドのそれぞれに応じた所定の送信先である第二の制御ネットワークに送信する
    請求項1から8のいずれか一項に記載の車載中継装置。
  10. 前記制御データは、前記複数の制御コマンドそれぞれの種類を示す制御コマンドIDをさらに含み、
    前記中継部は、送信する前記複数の制御コマンドのそれぞれに添えて、当該制御コマンドの種類を示す前記制御コマンドIDを、所定の変換規則に従って制御コマンドIDを変換して前記第二の制御ネットワークに送信する
    請求項9に記載の車載中継装置。
  11. 前記中継部は、前記複数の制御コマンドのそれぞれを所定の変換規則に従って変換してから送信する
    請求項10に記載の車載中継装置。
  12. 前記第一の制御ネットワークは、前記一フレームで送信可能な制御コマンドの最大データサイズが前記第二の制御ネットワークにおいて一フレームで送信可能な制御コマンドの最大データサイズより大きく、
    前記中継部は、前記第一の制御ネットワークから受信した前記制御データの一フレームに含まれる複数の制御コマンドを、複数のフレームに分けて前記第二の制御ネットワークに送信する
    請求項11に記載の車載中継装置。
  13. 前記第一の制御ネットワークと前記第二の制御ネットワークとは、準拠する規格が異なる
    請求項12に記載の車載中継装置。
  14. 前記第一の制御ネットワークが準拠する規格はEthernet(登録商標)であり、前記第二の制御ネットワークが準拠する規格はCAN(Controller Area Network)である
    請求項13に記載の車載中継装置。
  15. 中継装置によって通信が中継される第一の制御ネットワーク及び第二の制御ネットワークを含む車載ネットワークにおいて、前記第一の制御ネットワークに接続される車載監視装置であって、
    前記第一の制御ネットワークに接続される制御装置から送信された、前記第二の制御ネットワークに接続される制御装置に実行させる制御のための制御コマンドを一フレームに複数含む制御データを受信する通信部と、
    前記一フレームに含まれる制御コマンド各々の種類が、同時に実行可能な制御の組合せとして設定された第一の組合せであるか否かについての第一の判定を実行し、前記判定の結果を用いて前記制御データの異常の有無についての第二の判定を実行し、前記第二の判定の結果を出力する判定部とを備え、
    前記第一の制御ネットワークは、一フレームで送信可能な制御コマンドの最大データサイズが前記第二の制御ネットワークにおいて一フレームで送信可能な制御コマンドの最大データサイズより大きい
    車載監視装置。
  16. 車両において複数の制御装置が接続されている複数の制御ネットワークに跨る前記複数の制御装置間の通信を中継する、通信部及びびプロセッサを備える車載中継装置において実行される通信監視方法であって、
    前記通信部を用いて、前記複数の制御装置の少なくとも一部に実行させる制御のための制御コマンドを一フレームに複数含む制御データを前記複数の制御ネットワークに含まれる第一の制御ネットワークを受信し、
    前記プロセッサを用いて、前記一フレームに含まれる制御コマンド各々の種類が、同時に実行可能な制御の組合せとして設定された第一の組合せであるか否かについての第一の判定を実行し、前記判定の結果を用いて前記制御データの異常の有無についての第二の判定を実行し、前記第二の判定の結果を出力する
    通信監視方法。
  17. 車両において複数の制御装置が接続されている複数の制御ネットワークに跨る前記複数の制御装置間の通信を中継する、通信部及びプロセッサを備える車載中継装置において、前記びプロセッサによって実行されるプログラムであって、実行されることで前記車載中継装置に、
    前記複数の制御装置の少なくとも一部に実行させる制御のための制御コマンドを一フレームに複数含む制御データを前記複数の制御ネットワークに含まれる第一の制御ネットワークを前記通信部を用いて受信させ、
    前記一フレームに含まれる制御コマンド各々の種類が、同時に実行可能な制御の組合せとして設定された第一の組合せであるか否かについての第一の判定を実行し、前記判定の結果を用いて前記制御データの異常の有無についての第二の判定を実行し、前記第二の判定の結果を出力させる
    プログラム。
  18. 複数の制御装置が接続され、車載中継装置によって前記制御装置間の通信が中継される第一の制御ネットワーク及び第二の制御ネットワークを含む車載の制御ネットワークシステムであって、
    前記第一の制御ネットワークは、一フレームで送信可能な制御コマンドの最大データサイズが前記第二の制御ネットワークにおいて一フレームで送信可能な制御コマンドの最大データサイズより大きく、
    前記第一の制御ネットワークから前記第二の制御ネットワークに送信される制御データは、前記第二の制御ネットワークに接続される制御装置に所定の制御を同時に実行させる複数の制御コマンドの組み合わせを一フレームに含む
    車載制御ネットワークシステム。
  19. 前記複数の制御コマンドの組合せは、前記所定の制御の種類に対して設定された同時に実行可能な組合せである
    請求項18に記載の車載制御ネットワークシステム。
  20. 前記複数の制御コマンドのそれぞれは、操舵制御、加速制御、減速制御、方向指示器制御のいずれの制御内容を示す
    請求項19に記載の車載制御ネットワークシステム。
  21. 前記制御データはさらに、前記複数の制御コマンドの組合せに対応する制御の種類を示す制御IDを含む
    請求項20に記載の車載制御ネットワークシステム。
JP2018098026A 2017-07-26 2018-05-22 車載中継装置、車載監視装置、車載制御ネットワークシステム、通信監視方法及びプログラム Active JP7133977B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
WOPCT/JP2017/027120 2017-07-26
PCT/JP2017/027120 WO2019021403A1 (ja) 2017-07-26 2017-07-26 制御ネットワークシステム、車両遠隔制御システム及び車載中継装置

Publications (2)

Publication Number Publication Date
JP2019029994A true JP2019029994A (ja) 2019-02-21
JP7133977B2 JP7133977B2 (ja) 2022-09-09

Family

ID=65040083

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018098026A Active JP7133977B2 (ja) 2017-07-26 2018-05-22 車載中継装置、車載監視装置、車載制御ネットワークシステム、通信監視方法及びプログラム

Country Status (5)

Country Link
US (1) US11381420B2 (ja)
EP (1) EP3661132A4 (ja)
JP (1) JP7133977B2 (ja)
CN (1) CN109906587B (ja)
WO (2) WO2019021403A1 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020255760A1 (ja) * 2019-06-18 2020-12-24 日立オートモティブシステムズ株式会社 車両用制御装置
JP2022519178A (ja) * 2019-04-23 2022-03-22 華為技術有限公司 車載ゲートウェイ通信方法、車載ゲートウェイ、及びインテリジェント車両
JPWO2022085055A1 (ja) * 2020-10-19 2022-04-28
WO2022201997A1 (ja) * 2021-03-24 2022-09-29 村田機械株式会社 無線通信システム、コントローラ、無線基地局、及びデータパケット転送方法

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108196967B (zh) * 2017-12-12 2023-04-18 深圳市道通科技股份有限公司 基于车辆总线的通讯方法、装置和计算机设备
CN111466107A (zh) * 2017-12-15 2020-07-28 通用汽车环球科技运作有限责任公司 用于载具内控制器的以太网网络剖析入侵检测控制逻辑和架构
WO2019225257A1 (ja) 2018-05-23 2019-11-28 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 異常検知装置、異常検知方法およびプログラム
JP2020050048A (ja) * 2018-09-25 2020-04-02 株式会社オートネットワーク技術研究所 中継装置システム
JP6962301B2 (ja) * 2018-09-25 2021-11-05 株式会社オートネットワーク技術研究所 中継装置
KR20200143881A (ko) * 2019-06-17 2020-12-28 현대자동차주식회사 제어기 통신 장치 및 그 방법
JP7120171B2 (ja) * 2019-07-09 2022-08-17 トヨタ自動車株式会社 車載ネットワークシステム
JP7342476B2 (ja) * 2019-07-18 2023-09-12 マツダ株式会社 車載ネットワークシステム
CN113994720B (zh) * 2019-08-01 2024-01-09 住友电气工业株式会社 中继装置、车辆通信系统、车辆、通信方法及通信程序
CN112468528B (zh) * 2019-09-06 2022-03-18 比亚迪股份有限公司 车辆的双路WiFi实现方法以及车载信息娱乐系统
CN112477781B (zh) * 2019-09-12 2022-08-26 华为技术有限公司 实现汽车中电子控制功能的系统、方法以及汽车
WO2021055955A1 (en) 2019-09-20 2021-03-25 Sonatus, Inc. System, method, and apparatus to extra vehicle communications control
US11538287B2 (en) 2019-09-20 2022-12-27 Sonatus, Inc. System, method, and apparatus for managing vehicle data collection
WO2021070914A1 (ja) * 2019-10-09 2021-04-15 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 機器監視方法、機器監視装置、及びプログラム
WO2021084928A1 (ja) * 2019-10-28 2021-05-06 住友電気工業株式会社 中継装置、車載通信システム、車両および車載通信方法
JP7447911B2 (ja) * 2019-10-28 2024-03-12 住友電気工業株式会社 中継装置、車載通信システム、車載通信プログラムおよび車載通信方法
JP7192747B2 (ja) * 2019-11-13 2022-12-20 株式会社オートネットワーク技術研究所 車載中継装置及び情報処理方法
JP7251489B2 (ja) * 2020-01-21 2023-04-04 株式会社オートネットワーク技術研究所 車載無線通信装置、無線通信システム、無線通信装置及び車両制御方法
US11772583B2 (en) 2020-03-06 2023-10-03 Sonatus, Inc. System, method, and apparatus for managing vehicle automation
JP2022091585A (ja) * 2020-12-09 2022-06-21 トヨタ自動車株式会社 車両通信用中継装置、車両通信用中継方法及びプログラム
CN113176987B (zh) * 2021-04-29 2023-09-15 华人运通(上海)云计算科技有限公司 车控指令块的日志处理方法、装置、设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003195909A (ja) * 2001-12-27 2003-07-11 Denso Corp インターフェイス装置
JP2010166160A (ja) * 2009-01-13 2010-07-29 Toyota Motor Corp 車載ゲートウェイ装置、車両制御システム、及び車両制御方法
JP2015154481A (ja) * 2014-02-13 2015-08-24 現代自動車株式会社Hyundaimotor Company 車両でのイーサネットとcan通信との間の信号変換を行うプロセッサ及び信号変換方法
JP2016111477A (ja) * 2014-12-04 2016-06-20 トヨタ自動車株式会社 通信システム、及びゲートウェイ

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8654797B2 (en) * 2009-04-08 2014-02-18 Toyota Jidosha Kabushiki Kaisha Data relay device and data relay method used in the device
JP2012026842A (ja) * 2010-07-22 2012-02-09 Sony Corp 情報処理装置、情報処理方法、及びプログラム
CN102572744B (zh) * 2010-12-13 2014-11-05 中国移动通信集团设计院有限公司 识别特征库获取方法、装置及短消息识别方法、装置
JP2014058210A (ja) * 2012-09-18 2014-04-03 Hitachi Automotive Systems Ltd 車両制御装置および車両制御システム
JP6094439B2 (ja) * 2013-09-30 2017-03-15 株式会社デンソー 車両制御システム
CN106170953B (zh) * 2014-04-17 2019-10-18 松下电器(美国)知识产权公司 车载网络系统、网关装置以及不正常检测方法
CN105594156B (zh) 2014-05-08 2020-01-21 松下电器(美国)知识产权公司 车载网络系统、电子控制单元及不正常检测方法
EP3337102B1 (en) * 2014-12-01 2020-03-25 Panasonic Intellectual Property Corporation of America Illegality detection electronic control unit, car onboard network system, and illegality detection method
JP6594732B2 (ja) * 2015-01-20 2019-10-23 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正フレーム対処方法、不正検知電子制御ユニット及び車載ネットワークシステム
JP6477281B2 (ja) * 2015-06-17 2019-03-06 株式会社オートネットワーク技術研究所 車載中継装置、車載通信システム及び中継プログラム
US10298612B2 (en) * 2015-06-29 2019-05-21 Argus Cyber Security Ltd. System and method for time based anomaly detection in an in-vehicle communication network
CN108370339B (zh) 2015-11-25 2021-06-18 日立汽车系统株式会社 车载网关装置、电子控制装置、车载网络系统
CN105320050A (zh) * 2015-11-27 2016-02-10 奇瑞汽车股份有限公司 一种基于网关的车辆功能集中控制方法
JP2017174111A (ja) * 2016-03-23 2017-09-28 株式会社東芝 車載ゲートウェイ装置、蓄積制御方法およびプログラム
JP6962697B2 (ja) * 2016-05-27 2021-11-05 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America ネットワークハブ、転送方法及び車載ネットワークシステム
EP3523943A4 (en) * 2016-10-07 2020-05-27 Vitanet Japan, Inc. DATA PROCESSING WITH DEFINED DATA DEFINITIONS
JP7124303B2 (ja) * 2017-12-04 2022-08-24 トヨタ自動車株式会社 車載中継装置、情報処理装置、中継装置、情報処理方法、プログラム、情報処理システム、及び車両
JP7131372B2 (ja) * 2018-12-25 2022-09-06 住友電装株式会社 車載通信装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003195909A (ja) * 2001-12-27 2003-07-11 Denso Corp インターフェイス装置
JP2010166160A (ja) * 2009-01-13 2010-07-29 Toyota Motor Corp 車載ゲートウェイ装置、車両制御システム、及び車両制御方法
JP2015154481A (ja) * 2014-02-13 2015-08-24 現代自動車株式会社Hyundaimotor Company 車両でのイーサネットとcan通信との間の信号変換を行うプロセッサ及び信号変換方法
JP2016111477A (ja) * 2014-12-04 2016-06-20 トヨタ自動車株式会社 通信システム、及びゲートウェイ

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2022519178A (ja) * 2019-04-23 2022-03-22 華為技術有限公司 車載ゲートウェイ通信方法、車載ゲートウェイ、及びインテリジェント車両
JP7244657B2 (ja) 2019-04-23 2023-03-22 華為技術有限公司 車載ゲートウェイ通信方法、車載ゲートウェイ、及びインテリジェント車両
WO2020255760A1 (ja) * 2019-06-18 2020-12-24 日立オートモティブシステムズ株式会社 車両用制御装置
JP2020204935A (ja) * 2019-06-18 2020-12-24 日立オートモティブシステムズ株式会社 車両用制御装置
JP7283988B2 (ja) 2019-06-18 2023-05-30 日立Astemo株式会社 車両用制御装置
JPWO2022085055A1 (ja) * 2020-10-19 2022-04-28
WO2022085055A1 (ja) * 2020-10-19 2022-04-28 日産自動車株式会社 中継装置、通信ネットワークシステム及び通信制御方法
WO2022201997A1 (ja) * 2021-03-24 2022-09-29 村田機械株式会社 無線通信システム、コントローラ、無線基地局、及びデータパケット転送方法

Also Published As

Publication number Publication date
WO2019021403A1 (ja) 2019-01-31
CN109906587B (zh) 2022-05-13
EP3661132A1 (en) 2020-06-03
CN109906587A (zh) 2019-06-18
EP3661132A4 (en) 2020-08-05
JP7133977B2 (ja) 2022-09-09
WO2019021921A1 (ja) 2019-01-31
US11381420B2 (en) 2022-07-05
US20200145252A1 (en) 2020-05-07

Similar Documents

Publication Publication Date Title
JP7133977B2 (ja) 車載中継装置、車載監視装置、車載制御ネットワークシステム、通信監視方法及びプログラム
EP3659868B1 (en) Abnormality detection device, and abnormality detection method
CN109917765B (zh) 一种基于自动驾驶系统的网络架构的集散式域控制器系统
CN111448783B (zh) 车载网络异常检测系统及车载网络异常检测方法
US20220006669A1 (en) In-vehicle communications system, in-vehicle communication method, and device
US11398116B2 (en) Anomaly detection electronic control unit, in-vehicle network system, and anomaly detection method
US10185329B2 (en) Methods and systems for vehicle-to-vehicle communication
JP6650242B2 (ja) 自動運転システム、自動運転制御方法、データecuおよび自動運転ecu
WO2017038351A1 (ja) 車載ネットワーク装置
CN108206774B (zh) 车载网络系统
US9819562B2 (en) Gateway device with priority arbitration function
CN209842367U (zh) 一种基于自动驾驶系统的网络架构的集散式域控制器系统
US11440557B2 (en) Electronic control device, recording medium, and gateway device
EP3044980B1 (en) Communication system
WO2011055425A1 (ja) 車両用ゲートウェイ装置
JP5904187B2 (ja) 通信システム及び通信方法
US9221479B2 (en) Train and method for safely determining the configuration of such a train
JP2018078396A (ja) 車載ネットワークシステム
US20150249541A1 (en) Method and Device for Vehicle Communication
CN116194352A (zh) 用于支持以至少部分自动方式被驾驶的机动车辆的概念
KR102574666B1 (ko) 자동 차량 및 그 조작 방법
JP2014031077A (ja) 車両動作検証システム
JP2012006446A (ja) 車内ネットワークシステム
JP6519830B1 (ja) 電子制御装置、監視方法、プログラム及びゲートウェイ装置
JP6537330B2 (ja) 無線通信システム、鉱山管理サーバ及び無線通信端末装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210420

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220317

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220322

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220426

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220809

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220830

R150 Certificate of patent or registration of utility model

Ref document number: 7133977

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150