JP2019180005A - 通信遮断システム、通信遮断方法及びプログラム - Google Patents

通信遮断システム、通信遮断方法及びプログラム Download PDF

Info

Publication number
JP2019180005A
JP2019180005A JP2018067833A JP2018067833A JP2019180005A JP 2019180005 A JP2019180005 A JP 2019180005A JP 2018067833 A JP2018067833 A JP 2018067833A JP 2018067833 A JP2018067833 A JP 2018067833A JP 2019180005 A JP2019180005 A JP 2019180005A
Authority
JP
Japan
Prior art keywords
communication
group
vehicle
abnormality
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018067833A
Other languages
English (en)
Other versions
JP6964277B2 (ja
Inventor
崇之 藤井
Takayuki Fujii
崇之 藤井
横田 薫
Kaoru Yokota
薫 横田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Management Co Ltd
Original Assignee
Panasonic Intellectual Property Management Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Management Co Ltd filed Critical Panasonic Intellectual Property Management Co Ltd
Priority to JP2018067833A priority Critical patent/JP6964277B2/ja
Priority to US16/366,636 priority patent/US20190302753A1/en
Publication of JP2019180005A publication Critical patent/JP2019180005A/ja
Application granted granted Critical
Publication of JP6964277B2 publication Critical patent/JP6964277B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05DSYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
    • G05D1/00Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
    • G05D1/0011Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots associated with a remote control arrangement
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05DSYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
    • G05D1/00Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
    • G05D1/0055Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots with safety arrangements
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05DSYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
    • G05D1/00Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
    • G05D1/0088Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots characterized by the autonomous decision making process, e.g. artificial intelligence, predefined behaviours
    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G1/00Traffic control systems for road vehicles
    • G08G1/09Arrangements for giving variable traffic instructions
    • G08G1/0962Arrangements for giving variable traffic instructions having an indicator mounted inside the vehicle, e.g. giving voice messages
    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G1/00Traffic control systems for road vehicles
    • G08G1/20Monitoring the location of vehicles belonging to a group, e.g. fleet of vehicles, countable or determined number of vehicles
    • G08G1/205Indicating the location of the monitored vehicles as destination, e.g. accidents, stolen, rental
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/48Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Aviation & Aerospace Engineering (AREA)
  • Remote Sensing (AREA)
  • Radar, Positioning & Navigation (AREA)
  • Computer Security & Cryptography (AREA)
  • Medical Informatics (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Business, Economics & Management (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • Game Theory and Decision Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】不正なECUが車載ネットワークシステム上にある場合に、その動作の悪影響の拡散を抑えて安全性をより高めることができる通信遮断システム等を提供する。【解決手段】通信遮断システム100は、複数の通信装置及び通信線を各々含む複数のグループの間でデータの送受信が可能な車載ネットワークシステム10において、通信線を介して、第1のグループに含まれる通信装置の少なくとも一部からデータを受信する通信部14と、通信部14が受信したデータに基づいて第1のグループでの通信異常を検出し、検出した通信異常の内容に基づいて、グループ間での所定の通信遮断を実行するか否かを決定する判断部11と、決定されたこの所定の通信遮断を実行する切替部13とを備え、所定の通信遮断には、第1のグループから送信されるデータの第1のグループ以外のグループへの流入の遮断が含まれる。【選択図】図1

Description

本発明は、車両に搭載される電子制御ユニットが通信をする車載ネットワークシステムでの異常時の通信制御に関する。
近年、自動車には自動車の各所の制御のために多数の電子制御ユニット(ECU:Electronic Control Unit)が配置される。ECUは、車載ネットワークシステムと称される通信ネットワークを構成する。車載ネットワークシステムは、例えばISO11898で規定されているCAN(Controller Area Network)規格に従って構築され、複数のECU同士は連携のために伝送路であるバスを介して通信する。
CAN規格によれば、送信ノードであるECUは、種類を示す所定のID(メッセージIDとも称する)を付けたメッセージとしてのフレームを送信し、受信ノードである各ECUは、ECUごとにあらかじめ定められたIDの付けられたフレームを受信する。
このような車載ネットワークシステムでは、サイバー攻撃によって、通信障害を起こしたり、運転制御に関わるECUが乗っ取られて不正なメッセージを流されたりすれば、乗員又はさらに周囲の安全を脅かす大きな被害を招きかねないため、種々のセキュリティ対策が案出されている。例えば、ネットワーク上の通信装置と通信線との接続状態をスイッチで切換え可能にし、不正なメッセージを送信していると特定された通信装置と接続するスイッチをオフにしてネットワークとの接続を切断して、他の通信装置に及ぼす影響を抑える技術が提案されている(例えば特許文献1参照)。
特開2017−60057号公報
しかしながら、不正なメッセージを送信するECU(以下、不正ECUともいう)が他のECUに偽装、いわゆる、なりすましをしているような不正ECUが正しく特定できない場合には、不用意な接続の切断を回避せざるを得ず、また、不正の判定を誤り安全な他のECUの接続を切断した場合には、非常停止や退避などが正しく実行できずに自動車の安全を確保することができない。
そこで本発明は、なりすましを含み得る不正な動作をするECUが車載ネットワークシステム上にある場合に、その動作の悪影響の拡散を抑えて自動車のセキュリティをより高めることができる通信遮断システム等を提供する。
上記課題を解決するために本発明の一態様に係る通信遮断システムは、複数の通信装置及び前記複数の通信装置が接続される通信線を各々含む複数のグループの間でデータの送受信が可能な車載ネットワークシステムにおいて、前記複数のグループのうち、第1のグループに含まれる前記通信線を介して、前記第1のグループに含まれる前記複数の通信装置の少なくとも一部からデータを受信する通信部と、前記通信部が受信したデータに基づいて前記第1のグループでの通信異常を検出し、検出した前記通信異常の内容に基づいて、前記複数のグループの間での所定の通信遮断を実行するか否かを決定する判断部と、所定の通信遮断を実行すると前記判断部が決定した場合、前記所定の通信遮断を実行する切替部とを備え、前記所定の通信遮断は、前記第1のグループから送信されるデータの前記第1のグループ以外のグループへの流入の遮断を含む。
また、本発明の一態様に係る通信遮断方法は、複数の通信装置及び前記複数の通信装置が接続される通信線を各々含む複数のグループの間でデータの送受信が可能な車載ネットワークシステムにおいて、前記車載ネットワークシステムに接続される情報処理装置が備えるプロセッサによって実行される通信遮断方法であって、第1のグループに含まれる前記通信線を介して、前記第1のグループに含まれる前記複数の通信装置の少なくとも一部からデータを受信し、受信した前記データに基づいて前記第1のグループでの通信異常を検出し、検出した前記通信異常の内容に基づいて、前記複数のグループの間での所定の通信遮断を実行するか否かを決定し、所定の通信遮断を実行すると決定した場合、前記所定の通信遮断を実行し、前記所定の通信遮断は、前記第1のグループから送信されるデータの前記第1グループ以外のグループへの流入の遮断を含む。
また、本発明の一態様に係るプログラムは、情報処理装置が備えるプロセッサに上記の方法を実行させるためのプログラムである。
本発明によれば、偽装の有無に拘わらず不正なECUの動作による車載ネットワークシステムへの悪影響の拡散を抑え、安全性の高い自動車の実現に資する。
図1は、実施の形態に係る通信遮断システムを含む車載ネットワークシステムの構成例を説明するための図である。 図2は、実施の形態に係る通信遮断システムによる一連の処理手順の例を示すフロー図である。 図3は、実施の形態の変形例1に係る通信遮断システムを含む車載ネットワークシステムの構成例を説明するための図である。 図4は、実施の形態の変形例1に係る通信遮断システムによる一連の処理手順の例を示すフロー図である。 図5は、実施の形態の変形例2に係る通信遮断システムを含む車載ネットワークシステムの構成例を説明するための図である。 図6は、実施の形態の変形例2に係る通信遮断システムによる一連の処理手順の例を示すフロー図である。 図7は、実施の形態の変形例4に係る通信遮断システムを含む車載ネットワークシステムの構成例を説明するための図である。 図8は、実施の形態の変形例4に係る通信遮断システム及び外部の通信相手による一連の処理手順を示すシーケンス図である。
(本発明の基礎となった知見等)
特許文献1に記載の通信システムは、ネットワーク上で不正データを送信する通信装置が他の通信装置に及ぼす影響を抑えることを目的として提供されるものである。
より具体的には、通信線に接続されている複数の通信装置から、当該通信線を介して受信されたデータに基づいて、送信元の通信装置の通信が禁止されるべきか否かが判定される。そして禁止されるべきと判定された場合には、送信元の通信装置が特定され、当該通信装置と通信線との接続が切断される。
なお、通信装置とは、例えばECUであり、通信線とはECUが接続されるCANバスである。情報化が進んだ今日の自動車は多数のECUを備え、車載ネットワークシステムには、上記のように複数のECUが接続されたCANバスが複数含まれ、さらにこれらのCANバス間の通信を中継する通信装置であるゲートウェイも含まれる。また、各ECUとCANバスとを接続する通信線の中途にはスイッチが設けられており、上記の接続の切断は、特定された不正ECUに対応付けられたスイッチをオフにすることで実行される。
上記の通信システムでは、このように接続が切断されるため、不正ECUによる車載ネットワークシステムへの悪影響、例えば不正ECUが接続されるCANバス及びゲートウェイへの過剰な負荷の発生が抑えられる。
しかしながら、上記の通信システムでは、不正ECUが他のECUになりすましをしている場合には、不正ECUの特定が正しく行われない。したがって、特定した不正ECUとCANバスとの通信が切断されても、車載ネットワークシステムへの上記のような悪影響が解消しない。
そこで本発明者らは、高度に情報化された自動車のセキュリティをより高めるために、なりすましの有無に拘わらず上記のような不正ECUによる悪影響の車載ネットワークシステムへの拡散を抑える技術に想到した。
この技術に係る通信遮断システムは、複数の通信装置及び前記複数の通信装置が接続される通信線を各々含む複数のグループの間でデータの送受信が可能な車載ネットワークシステムにおいて、前記複数のグループのうち、第1のグループに含まれる前記通信線を介して、前記第1のグループに含まれる前記複数の通信装置の少なくとも一部からデータを受信する通信部と、前記通信部が受信したデータに基づいて前記第1のグループでの通信異常を検出し、検出した前記通信異常の内容に基づいて、前記複数のグループの間での所定の通信遮断を実行するか否かを決定する判断部と、所定の通信遮断を実行すると前記判断部が決定した場合、前記所定の通信遮断を実行する切替部とを備え、前記所定の通信遮断は、前記第1のグループから送信されるデータの前記第1のグループ以外のグループへの流入の遮断を含む。
これにより、グループ内でのなりすましの有無に拘わらず、通信異常の悪影響が、通信異常が発生しているグループとは異なる他のグループに及ぶことが抑えられる。
例えば、前記通信部は、前記複数のグループのそれぞれに含まれる前記複数の通信装置の少なくとも一部からデータを受信し、前記判断部は、前記通信部が受信したデータに基づいて、前記複数のグループそれぞれでの通信異常を検出し、前記複数のグループのうち、前記第1のグループ以外の第2のグループでの通信異常を検出した場合、前記所定の通信遮断として、前記第2のグループから送信されるデータの前記第1のグループへの流入の遮断を実行すると決定してもよい。
これにより、車載ネットワークシステムで通信異常が発生した場合には、例えば機能的に重要性の高いグループなど特定のグループを確実にサイバー攻撃から保護して、自動車の安全性をより確実に確保することができる。
また例えば、前記所定の通信遮断は、前記第1のグループと前記第1のグループ以外のすべてのグループとの間でのデータの送受信の遮断であってもよい。または、前記所定の通信遮断は、前記複数のグループの間でのデータの送受信の全面的遮断であってもよい。
これにより、通信異常の発生時には、車載ネットワークシステム上でのなりすましの有無に拘わらず、グループ間での悪影響の波及がより確実に抑えられる。とりわけ、いずれのグループで通信異常が検出されたかに拘わらず、例えば駆動系のドメインの安全性がより確実に確保されることで、車両の退避がより確実に実行できる。また、ドメイン間相互の影響が排除されることで、各ドメインの通信状況、つまり異常の有無の正確な把握が可能になる。さらに、全面的な遮断を行う場合には、その後の通常の状態への復帰処理は一定の手順で実行可能であるため、より短い時間で確実に復帰できる可能性が高く、また、復帰完了までの所要時間の予測をより正確に行うことができる。
また例えば、前記通信部は、前記第1のグループ以外の第2のグループに含まれる複数の通信装置の少なくとも一部、及び前記第1のグループ及び前記第2のグループ以外の第3のグループに含まれる複数の通信装置の少なくとも一部からデータを受信し、前記判断部は、前記通信部が受信したデータに基づいて、前記第2のグループ及び第3のグループそれぞれでの通信異常を検出し、前記判断部は、前記第2のグループで通信異常を検出し、且つ検出される通信異常が前記第3のグループにはないと特定した場合、前記所定の通信遮断において、前記第1のグループと前記第2のグループとの間での送受信の遮断は維持し、前記第3のグループから送信されるデータの前記第1のグループへの流入の遮断を解除してもよい。または、全面的な遮断がなされた場合には、前記通信部は、前記第1のグループ以外の第2のグループに含まれる複数の通信装置の少なくとも一部からデータを受信し、前記判断部は、前記通信部が受信したデータに基づいて、前記第2のグループでの通信異常を検出し、前記判断部は、検出される通信異常が前記第2のグループにはないと特定した場合は、前記所定の通信遮断から、前記第2のグループから送信されるデータの他のグループへの流入の遮断を解除してもよい。
これにより、所定の通信遮断が実行された後の車載ネットワークシステムを、安全性を確保しながら、いったんは低下したユーザの利便性をある程度改善させることがある。
また例えば、前記車載ネットワークシステムを備える車両は退避を実行するための機能を含む自動運転機能を備え、前記判断部は、前記所定の通信遮断を実行すると決定した場合、検出した前記通信異常の内容に基づいて、前記車両を退避させるか否かを決定し、前記車両を退避させると決定した場合、自動運転による退避の実行の指示を出力してもよい。
これにより、通信遮断のみでは自動車の走行の安全性が十分に確保できない場合に、自動運転によって自動車を路肩などの車両の走行帯の外に停車させることができる。
また例えば、車載ネットワークシステムを備える車両は手動運転が可能であり、前記判断部は、前記車両を退避させると決定した場合、前記車両の乗員に対して前記手動運転による退避の実行の指示を出力してもよい。
これにより、例えば通信遮断のみでは自動車の走行の安全性が十分に確保できない場合に、乗員がドライバーとなって運転して走行の継続又は停車をさせることができる。
また例えば、さらに、前記車載ネットワークシステムの外部にある情報処理システムと通信可能な外部通信部を備え、前記判断部の決定に応じて、前記退避の実行がなされた場合、前記外部通信部は、前記所定の通信遮断によって他のグループへ送信するデータが遮断されたグループに含まれる前記複数の通信装置の少なくとも一部から受信したデータに関する情報を前記情報処理システムに送信してもよい。
これにより、通信遮断のみでは走行の安全性が十分に確保できないために自動車が停車された場合に、車外に自動車の状況に関する情報等を提供することができる。
また例えば、前記外部通信部は、前記情報処理システムから前記車両を遠隔制御するための信号を受信してもよい。
これにより、安全の確保のためにいったん停車させた自動車を、遠隔操作によって移動させることができる。
また、本発明の一態様に係る通信遮断方法は、複数の通信装置及び前記複数の通信装置が接続される通信線を各々含む複数のグループの間でデータの送受信が可能な車載ネットワークシステムにおいて、前記車載ネットワークシステムに接続される情報処理装置が備えるプロセッサによって実行される通信遮断方法であって、第1のグループに含まれる前記通信線を介して、前記第1のグループに含まれる前記複数の通信装置の少なくとも一部からデータを受信し、受信した前記データに基づいて前記第1のグループでの通信異常を検出し、検出した前記通信異常の内容に基づいて、前記複数のグループの間での所定の通信遮断を実行するか否かを決定し、所定の通信遮断を実行すると決定した場合、前記所定の通信遮断を実行し、前記所定の通信遮断は、前記第1のグループから送信されるデータの前記第1グループ以外のグループへの流入の遮断を含む。
これにより、通信異常の悪影響が、グループ内でのなりすましの有無に拘わらず通信異常が発生しているグループとは異なる他のグループに及ぶことが抑えられる。
また、本発明の一態様に係るプログラムは、情報処理装置が備えるプロセッサに上記の方法を実行させる。
これにより、通信異常の悪影響が、グループ内でのなりすましの有無に拘わらず通信異常が発生しているグループとは異なる他のグループに及ぶことが抑えられる。
なお、これらの全般的又は具体的な態様は、システム、方法、集積回路、コンピュータプログラム又はコンピュータで読み取り可能なCD−ROM等の記録媒体で実現されても良く、システム、方法、集積回路、コンピュータプログラム又は記録媒体の任意な組み合わせで実現されても良い。
以下、実施の形態に係る通信遮断システムについて、図面を参照しながら説明する。ここで示す実施の形態及びその変形例は、いずれも本発明の一具体例を示すものである。したがって、以下の実施の形態で示される数値、構成要素、構成要素の配置及び接続形態、並びに、ステップ(工程)及びステップの順序等は、一例であって本発明を限定するものではない。以下の実施の形態における構成要素のうち、独立請求項に記載されていない構成要素については、任意に付加可能な構成要素である。また、各図は、模式図であり、必ずしも厳密に図示されたものではない。
(実施の形態)
[1−1.車載ネットワークシステムの全体構成]
図1は、実施の形態に係る車載ネットワークシステム10の構成例を説明するための図である。
車載ネットワークシステム10はCANプロトコルに従って通信する通信ネットワークの一例であり、車両における車載ネットワークシステムである。車両は例えば自動車であり、アクチュエータ、制御装置及びセンサ等の各種機器(図示なし)が搭載されている。
車載ネットワークシステム10は、ゲートウェイ(図中ではGWと記載)20、通信遮断システム100、通信線91、92、93及び94(以下、まとめて指す場合に通信線91〜94とも表記)、ECU32、33、42、43、52、53、62(以下、これらのすべて又は任意のいずれかを指す場合には単にECUとも表記)及び63、DCU(Domain Control Unit)31、41、51及び61(以下、これらのすべて又は任意のいずれかを指す場合に単にDCUとも表記)、TCU(Telematic Control Unit)70並びにOBD2(On Board Diagnosis 2nd generation)ポート80を含む。車載ネットワークシステム10には上記以外のECUがさらに含まれ得るが、ここでは説明の便宜上上記のECUに注目して説明を行う。
ECUは、ハードウェア面において、例えば、プロセッサ(つまりマイクロプロセッサ)、メモリ等のデジタル回路、アナログ回路、及び通信回路等を含む装置である。メモリは、ROM(Read−Only Memory)及びRAM(Random Access Memory)等であり、プロセッサにより実行されるプログラム(つまりコンピュータプログラム)を記憶し、またプログラムによる処理のためのデータを保持する。各ECUは、例えばプロセッサがプログラムに従って動作することにより、車両の制御等のための各種機能を実現する。プログラムは、各ECUに所定の機能を実現させるためのプロセッサに対する指令を示す命令コードが複数個組み合わされて構成されたものである。
各ECUには上記の各種機器のいずれかが接続され得る。機器が接続されたECUは、その機器からデータの入力を受けたり、その機器に所定の動作をさせるための命令を示す信号を出力したりする。また各ECUは、CANバスである通信線91〜94のいずれかに接続されて他のECUと通信する。ただし、その接続先となる通信線は各ECUの担う機能に応じて異なる。例えば駆動系の機能を担うECU32及び33は、通信線91に接続される。また例えば、ADAS(Advanced Driver Assistance System)系の機能を担うECU42及び43は、通信線91に接続される。また例えば、ボディ系の機能を担うECU52及び53は、通信線93に接続される。また例えば、インフォテイメント系の機能を担うECU62及び63は、通信線94に接続される。
このように機能的に相互に関連するECUは、ドメインと呼ばれる。本実施の形態に係る車載ネットワークシステム10では、一のドメインに属するECUは共通の通信線に集約的に接続されて一のグループを形成している。図1の例では、通信線91〜94のそれぞれに接続されるECUが属するドメインを、駆動系ドメイン30、ADAS系ドメイン40、ボディ系ドメイン50、インフォテイメント系ドメイン60と呼んでいる。また、各ドメインには、ドメインに属するECUの動作の管理的役割を担うDCUが含まれ、対応する通信線に接続されている。各DCUとしては、ハードウェア面ではECUと共通のものを用い得る。複数のECUをその機能の関連性に応じたドメインでまとめて管理する手法は、例えば他車種への設計流用を容易にすることにも利用可能である。
ECU及びDCUは、本実施の形態における通信装置の例であり、以下ではまとめて通信装置ともいう。
ゲートウェイ20には、通信線91〜94が接続され、ドメイン間での通信を制御する。ゲートウェイ20は、ECUと基本的に同じ構成要素を含む装置で実現され得る。
ゲートウェイ20に接続されるTCU70は、車載ネットワークシステム10と外部との通信を可能にするための通信モジュールである。通信先の例としては、例えばSOC(Security Operaiton Center)のような車両のメーカー等によるユーザ向けサービスの提供元が挙げられる。またはロードサービスの提供機関、救急等の緊急時の対応を行う機関が通信先の候補に含まれてもよい。
また、ゲートウェイ20にさらに接続されるOBD2ポート80は、車載の自己診断機能で生成されるデータの出力用ポートである。例えばOBD2ポート80に所定の機器を接続して、発生した異常の種類を示す故障コードを各ECUから収集することができる。
通信遮断システム100は、車載ネットワークシステム10においてゲートウェイ20と上記の4つのドメインとの接続を中継する位置にある。次に、通信遮断システム100の構成について、通信遮断システム100の他の構成要素との関連を含めて説明する。
[1−2.通信遮断システムの構成]
通信遮断システム100は、通信部14A、14B、14C及び14D(以下、これらのすべて又は任意の1個以上を指す場合に通信部14とも表記)、切替部13A、13B、13C及び13D(以下、これらのすべて又は任意の1個以上を指す場合に切替部13とも表記)、判断部11、並びに記憶部12を備える。
通信部14は、各グループの通信線の、ECU及びDCUとゲートウェイ20との間に接続され、当該グループに含まれるECU及びDCUが出力したデータを受信する。本実施の形態の例では、通信部14Aは駆動系ドメイン30に属する通信機器から送信されるデータを受信する。また、通信部14BはADAS系ドメイン40に属する通信機器から送信されるデータを受信する。通信部14Cはボディ系ドメイン50に属する通信機器から送信されるデータを受信する。通信部14Dはインフォテイメント系ドメイン60に属する通信機器から送信されるデータを受信する。通信部14は、受信したデータを判断部11に転送する。
判断部11は、通信部14から受信したデータに基づいて、各グループでの通信異常を検出する。また、検出した通信異常の内容に基づいて、グループ間での所定の通信遮断を実行するか否かを決定する。ここでの通信異常とは、例えばサイバー攻撃による乗っ取り、ユーザの意思とは無関係の不正ECUの取付又は故障等が原因で、車載ネットワークシステム10上の1個以上のECUが、不正なメッセージを接続先であるCANバスに送出している状況を指す。所定の通信遮断を実行すると決定した場合、判断部11は切替部13を制御してこの所定の通信遮断を実行させる。所定の通信遮断とは、切替部13のうち、いずれをオフ状態にするかに関するものであり、詳細は後述する。
切替部13は、それぞれ通信線91〜94の、ECU及びDCUとゲートウェイ20との間に設けられたスイッチであり、通常はオン状態にあって、通信線91〜94それぞれを介したECU及びDCUとゲートウェイ20との間の通信経路を確立させている。また、切替部13は、判断部11からの制御に従ってオフ状態となり、この通信経路を遮断、つまり通信遮断を実行する。本実施の形態の例では、切替部13Aは駆動系ドメイン30に属する通信機器とゲートウェイ20との間の通信経路、つまりその他のドメインとの間の通信経路の確立及び遮断を切り替える。また、切替部13BはADAS系ドメイン40に属する通信機器と他のドメインと間の通信経路の確立及び遮断を切り替える。切替部13Cはボディ系ドメイン50に属する通信機器とその他のドメインと間の通信経路の確立及び遮断を切り替える。切替部13Dはインフォテイメント系ドメイン60に属する通信機器とその他のドメインと間の通信経路の確立及び遮断を切り替える。
なお、切替部13Aの通信線91に沿った通信経路上における位置は、駆動系ドメイン30とゲートウェイ20との間であればよく、図1の例に示される、通信部14Aとゲートウェイ20との間に限定されない。切替部13B、切替部13C及び切替部13Dそれぞれの、対応する通信経路上での位置についても同様である。
記憶部12はROM及びRAM等であり、判断部11による上記の通信異常の検出から通信遮断の実行に関する決定までの機能を実現するためのプログラムを記憶し、必要に応じてデータを保持する。
上記の構成を有する通信遮断システム100は、ECUと基本的に同じ構成要素を含む一以上の装置で実現され得る。また、ゲートウェイ20と統合された装置としても実現することができる。
[1−3.動作]
次に、上記の構成を有する通信遮断システム100の動作について説明する。図2は、車載ネットワークシステム10における通信遮断システム100による一連の処理手順の例を示すフロー図である。
まず、通信部14は、各通信装置がその接続先である通信線91〜94に出力するデータを、自身が接続されている通信線を介して受信する(ステップS20)。
次に、判断部11は、通信部14が受信したデータに基づいて、各通信線又は当該通信線に接続される通信装置(以下、グループとは、通信異常の発生の場所又は影響を受ける対象として、通信線及び接続される通信装置を特に区別せずに指す)で通信異常が発生していれば、この通信異常を検出する(ステップS22)。通信異常の検出は、メッセージ間の受信間隔、同一IDのメッセージの所定送信周期からの逸脱の程度、データ値の妥当性、又はメッセージ認証コード、若しくはこれらの情報の組み合わせを利用した各種の手法を利用することができる。
通信異常が発生していない場合(ステップS22でNo)、当該データのメッセージは通信線91〜94のそれぞれでオン状態の切替部13を介してゲートウェイ20に送信される。ゲートウェイ20は、受信したメッセージを所定のルールに従って通信線91〜94間で転送する。また、通信部14では次のデータが受信される(ステップS20)。
通信異常が発生している場合(ステップS22でYes)、判断部11はさらに、ステップS22で検出した通信異常の内容に基づいて、所定の通信遮断を実行するか否か決定する(ステップS24)。
ここでの通信異常の内容とは、上記に挙げた通信異常の検出に用いられる情報に基づいて得られる情報であり、通信異常の種類とも言い得る。この種類は、例えば、通信異常の発生した場所(ドメイン又は通信線91〜94)、発生した通信異常による悪影響を受ける機器(ECU、DCU、ゲートウェイ20、通信線91〜94、又はドメイン単位)、悪影響の詳細(操舵又は加減速の制御、車外物体認識、ドア類、灯火類、表示器、音響機器、空調装置への影響)に応じて決まる。
通信遮断が実行される場合は(ステップS24でYes)、実行される通信遮断の詳細も決定される。例えば記憶部12には、上記の各種の通信異常と、車両の安全な走行の継続への影響の度合いに応じた通信遮断の要否及び必要な場合の通信遮断のパターンとが対応付けられるテーブルが記憶され、判断部11は、通信異常の内容の情報を取得すると、このテーブルを参照して通信遮断を実行するか否か(ステップS24)を決定し、実行する場合には(ステップS24でYes)、そのパターンを所定の通信遮断を示す情報として取得してもよい。または、このテーブルでは、各種の通信異常と、車両の安全な走行の継続への影響の度合いに応じた点数又はランクが対応付けられ、判断部11は、この点数又はランクに応じて通信遮断を実行するか否かを決定してもよい。
また、上述のとおり、所定の通信遮断とは、切替部13のうち、いずれをオフ状態にするかに関する。通信遮断の基本的な目的は、通信異常が検出されたグループから他の1個以上のグループへの不正メッセージの流入を遮断するという効果を得ることである。以下、このような目的を達成するための通信遮断のパターンの例をそのバリエーションも含めて以下に挙げる。
(1)例えば、通信異常が検出されたグループに対応する切替部13がオフ状態にされてもよい。具体例としては、ボディ系ドメイン50での通信異常が検出された場合には、切替部13Cがオフ状態にされる。これにより上記の効果が得られる。また、グループ単位で車載ネットワークシステム10の他の部分との通信が遮断されることから、グループ内の通信装置間でのなりすましがあっても、他のグループ及びゲートウェイ20に通信異常の悪影響が及ぶことが抑えられる。また、なりすましはドメインを跨いで行われる場合もあり、不正なECUを含むグループから他のグループへの通信が遮断された場合には、この不正なECUによる他グループのECUへのなりすましを含むサイバー攻撃の経路を断つことができる。
(2)また例えば、通信異常が検出されたグループに対応するものを除くすべての切替部13がオフ状態にされてもよい。具体例としては、ボディ系ドメイン50での通信異常が検出された場合には、切替部13A、13B及び13Dがオフ状態にされる。このパターンでは、上記の効果が得られるものの、通信異常の検出されていないグループ間でのデータの送受信も不可能になる。また、通信異常が検出されたグループからのゲートウェイ20への負荷が高まる。しかしながらこの場合には、ゲートウェイ20はグループ間でのデータの転送処理をしないため、例えばゲートウェイ20が通信異常を解消する機能を備える場合には、より多くのリソースをこの機能の実行に充てることができる。
(3)また例えば、車両の安全な走行の継続のために保護の必要性が高い所定のグループがある場合に、この所定のグループ以外のグループで通信異常が検出されたときは、当該所定のグループに対応する切替部がオフ状態にされてもよい。具体例としては、駆動系ドメインを含むグループが、上記の所定のグループであると想定した場合に、ボディ系ドメイン50での通信異常が検出されたとき、切替部13Aがオフ状態にされる。つまりこのパターンでは、通信異常が検出されたグループを含むその他のグループから、保護の必要性が高い所定のグループへのメッセージの流入が遮断される。また、保護の必要性の高いグループの安全は確保しながら、車載ネットワークシステム10全体での通信遮断による機能の制限が最小限に抑えられることでユーザにとっての利便性がある程度保たれるという効果が期待できる。なお、上記の具体例では切替部13Aのみがオフ状態に切り替えられたが、加えて通信異常が検出されたグループに対応する切替部13Cもオフ状態に切り替えられてもよい。これにより、通信異常が未検出の2グループについては、ボディ系ドメイン50からの悪影響の拡散の防止と、機能の制限の最小化とが図られる。また、所定のグループの個数は1つに限定されない。所定のグループが複数設定されており、その他のいずれのグループで通信異常が検出された場合であっても、常に所定のグループに対応する複数の切替部13がオフ状態に切り替えられてもよい。複数の所定のグループの中で、又は、保護の必要性の高さに応じて切替部13がオフ状態にされる優先度がグループ間で定められており、検出された通信異常の内容に応じて、オフ状態にされる切替部13は、優先度の高いグループに対応するものから選択されて決定されてもよい。また、所定のグループであるか否かは、上記の説明で用いた安全面からの保護の必要性の程度による例に限定されず、ユーザ又はメーカー等によって選択されてもよい。優先度についても同様である。
(4)また、様々な形での冗長的な通信遮断が行われてもよい。冗長的な通信遮断とは、例えば1個以上のいずれかのグループで通信異常が検出された場合に、当該グループが送信側又は受信側である通信に加えて、当該グループが送信側でも受信側でもない通信を遮断の対象に含めることである。
例えば、駆動系のドメインを含むグループとの通信は、他のいずれのグループで通信異常が検出されたかに拘わらず常に遮断されてもよい。これにより、駆動系のドメインの安全性がより確実に確保されることで、後述する車両の退避がより確実に実行できる。この場合には、切替部13の機能的に可能であれば、駆動系のドメインを含むグループへの、他のすべてのグループからのデータの流入が少なくとも遮断され、一方、駆動系のドメインを含むグループからのデータは遮断されずに、ドライバーによる監視、又は後述の退避等での利用の目的でその他のグループに送られてもよい。
また例えば、いずれか1個のグループで通信異常が検出された場合に、すべての切替部13がオフ状態にされてもよい。このような通信遮断によっても、通信異常が検出されたグループから他のグループへの不正メッセージの流入を遮断するという上記の効果を得ることができる。また、車載ネットワークシステム10上で発生した不正な通信装置によるなりすましが、グループ内で行われているかグループ間で行われているかに拘わらず、車載ネットワークシステム10内での悪影響の波及が、迅速かつより確実に抑えられる。また、ドメイン間相互の影響が排除されることで、各ドメインの通信状況、つまり異常の有無の正確な把握が可能になる。また、車載ネットワークシステム10上のシステムに異常からの復帰のための構成がある場合には、その後の通常の状態への復帰処理の手順が、発生した通信異常の内容に拘わらず定型化する。したがって、発生した通信異常の内容によって車載ネットワークシステム10から遮断されるグループが異なる場合と比較して、より短い時間で確実に復帰できる可能性が高く、また、復帰完了までの所要時間の予測をより正確に行うことができる。
(5)また、上記(4)の例の派生的な通信遮断として、すべての切替部13がオフ状態にされるための通信異常についての条件は、より限定的であってもよい。例えば車両の走行の安全性に対する危険の度合いがある程度を超える状況になることがすべての切替部13がオフ状態にされるための条件であってもよい。具体例を挙げると、安全性に関して重要度の高い所定のグループで通信異常が検出された場合に、すべての切替部13がオフ状態にされてもよい。また例えば、所定の組み合わせのグループで通信異常が検出された場合にすべての切替部13がオフ状態にされてもよい。また例えば、所定の個数以上のグループで通信異常が検出された場合にすべての切替部13がオフ状態にされてもよい。このような通信遮断によっても、通信異常が検出されたグループから他のグループへの不正メッセージの流入を遮断するという上記の効果を得ることができる。また、上記のような条件であれば、安全性に対する危険性が低い場合には、車載ネットワークシステム10での通信遮断による機能の制限は抑えられることでユーザにとっての利便性がある程度保たれ、危険性が高い場合には安全が確保される。
このように、判断部11は、上記に例示したような所定の通信遮断を実行すると決定すると(ステップS24でのYesからステップS26)、切替部13を制御してこの所定の通信遮断を実行させる(ステップS28)。
なお、通信遮断が実行されない場合は(ステップS24でNo)、当該データのメッセージは、ステップS22で検出した通信異常の内容に応じて、ゲートウェイ20に受信されてもよいし、破棄されてもよい。
また、通信異常が発生した時刻、ドメイン、異常の種類、通信異常で送信されたメッセージ、検出後の処理の内容等の通信異常に関する情報が、記憶部12に保存されるログに記録されてもよい。またこれらの通信異常に関する情報の全部又は一部は、ゲートウェイ20経由でTCU70又はOBD2ポート80から外部に出力されてもよい。
[1−4.効果]
複数のグループを含み、グループ間でのデータの送受信が可能な車載ネットワークシステム10における通信遮断システム100は、通信部14と、判断部11と、切替部13とを含む。
通信部14は、複数のグループのである第1のグループに含まれる通信線を介して、第1のグループに含まれる複数のECU等の通信装置からデータを受信する。
判断部11は、通信部14が受信したデータに基づいて当該グループでの通信異常を検出し、検出した通信異常の内容に基づいて、上記の複数のグループの間での所定の通信遮断を実行するか否かを決定する。
切替部13は、判断部11が所定の通信遮断を実行すると決定した場合に、この所定の通信遮断を実行する。
この所定の通信遮断には、通信異常が検出されたグループからそれ以外のグループへの不正メッセージの流入の遮断が含まれる。
これにより、通信異常が検出されたグループからそれ以外のグループ、及びグループ間のデータ転送を行うゲートウェイ20への、当該通信異常の悪影響が及ぶことが抑えられる。また、グループ内の通信装置又は他のグループに含まれる通信装置へのなりすましを行う不正な通信装置を含むグループから他のグループ及びゲートウェイ20へのサイバー攻撃の悪影響を抑えることができる。
また、通信部14は、複数のグループのそれぞれに含まれる通信装置からデータを受信し、判断部11は、複数のグループのうちの一である第1のグループ以外のグループである第2のグループで通信異常を検出した場合、所定の通信遮断として、第2のグループから送信されるデータの第1のグループへの流入の遮断を実行すると決定してもよい。
これにより、第1のグループについては、他のどのグループで発生した通信異常の悪影響、例えば改ざんされたデータ値を含む不正データの流入を抑制することができる。例えば保護の必要性の高いグループを第1のグループとすれば、情報撹乱による安全な走行への脅威に対する車両の安全性を高めることができる。
また、所定の通信遮断は、複数のグループの間でのデータの送受信の全面的遮断であってもよい。
これにより、車載ネットワークシステム10上で発生した不正な通信装置によるなりすましが、グループ内で行われているかグループ間で行われているかに拘わらず、車載ネットワークシステム10内での悪影響の波及が、迅速かつより確実に抑えられる。とりわけ、いずれのグループで通信異常が検出されたかに拘わらず、駆動系のドメインの安全性がより確実に確保されることで、後述する車両の退避がより確実に実行できる。また、ドメイン間相互の影響が排除されることで、各ドメインの通信状況、つまり異常の有無の正確な把握が可能になる。また、通常の状態への復帰処理の手順が定型化きるため、より短い時間で確実に復帰できる可能性が高く、また、復帰完了までの所要時間の予測をより正確に行うことができる。
(変形例)
本発明に係る技術は、本発明に係る技術の例示として上述した実施の形態に限定されず、適宜、変更、置き換え、付加、省略等によるその変形にも適用可能である。例えば、以下のような変形も本発明の一実施態様に含まれる。
[2−1.変形例1]
本発明に係る技術は、自動運転車にも適用可能である。この技術が適用されている自動運転車では、さらに走行帯からの退避が実行されてもよい。以下、実施の形態の変形例1に係る通信遮断システムについて、実施の形態との差異を中心に説明する。
[2−1−1.構成]
図3は、本変形例に係る通信遮断システム100Aを含む車載ネットワークシステム10Aの構成例を説明するための図である。車載ネットワークシステム10Aは、自動運転車が備える車載ネットワークシステムである。なお、通常走行時の自動運転機能を提供する構成要素については図示及び説明を省略する。
通信遮断システム100Aは、実施の形態の判断部11に替えて判断部11Aを備える。判断部11Aは、本変形例における駆動系ドメイン30Aに含まれる退避制御部300と、サイバー攻撃の影響を受けない通信経路を確保するためのジカ線(専用の通信線)である通信線900で接続されている。
退避制御部300は、例えばECU上で、車載ネットワークシステム10Aを備える自動運転車に退避を実行させるための機能を提供するプログラムが実行されることで実現される。
このプログラムによる制御対象は自動運転車の自動化のレベルによって異なる。本変形例の説明は、操舵及び加減速の制御が自動運転機能によって行われる、いわゆるレベル3(条件付自動運転)以上の自動化を想定している。つまり、ユーザ(ドライバー)の運転操作なしでも、駆動系ドメイン30Aに含まれる退避制御部300による、外部の物体認識の結果も利用した操舵及び加減速の制御によって自動運転車の路肩等への退避が実行される。
自動化のレベルがより低い自動運転車での退避制御の例としては、ドライバーによる退避のための運転操作の補助、ドライバーに退避のための運転操作の開始を促す警告の発報、又は退避に適した位置へ誘導する情報の提供のための制御が挙げられる。このような退避制御をする退避制御部の設置場所は、駆動系ドメインに限定されない。また、退避に関する警告の発報又は情報提供は、自動運転機能を有さない自動車に機能としても備えられてもよい。
判断部11Aは、検出した通信異常の内容に基づいて、所定の通信遮断を実行すると決定した場合に、その通信異常の内容に基づいて、さらに車両を退避させるか否か決定する。この決定は、例えば実施の形態で例示した、各種の通信異常に対応付けられた点数又はランクに応じてなされてもよい。
退避させると決定した判断部11Aは、自動運転機能による退避の実行の指示を、通信線900を介して退避制御部300に出力する。
[2−1−2.動作]
次に、上記の構成を有する本変形例に係る通信遮断システム100Aの動作について説明する。図4は、車載ネットワークシステム10Aにおける通信遮断システム100Aによる一連の処理手順の例を示すフロー図である。図4のフロー図では、実施の形態と共通の処理は共通の参照符号が付されている。以下、実施の形態との差異を中心に説明する。
ステップS28で切替部13を制御して所定の通信遮断を実行させた判断部11Aは、車両を退避させるか否かを、検出した通信異常の内容に基づいて決定する(ステップS40)。
車両を退避させると決定した場合(ステップS40でYes)、判断部11Aは、自動運転機能による退避の実行の指示を、通信線900を介して退避制御部300に出力する(ステップS42)。この指示を受けた退避制御部300は、自動運転による退避を実行する(ステップS44)。
車両を退避させないと決定した場合(ステップS40でNo)、通信異常検出時の処理は終了する。
なお、フロー図には示していないが、ステップS40での決定に関する情報のログへの記録又は出力がなされてもよい。
[2−1−3.効果]
退避を実行するための機能を含む自動運転機能を有する自動車が備える車載ネットワークシステム10Aにおいて、判断部11Aは、所定の通信遮断を実行すると決定した場合、検出した通信異常の内容に基づいて、さらに当該自動車を退避させるか否かを決定してもよい。自動車を退避させると決定した場合、判断部11Aは、自動運転による自動車の退避の実行の指示を出力する。
これにより、通信遮断のみでは自動車の走行の安全性が十分に確保できない場合に、自動運転によって自動車を停車させることができる。
[2−2.変形例2]
手動運転も可能な自動運転車では、車両の状況又は通信異常の内容によっては、手動運転のほうがより安全な退避が可能な場合も想定し得る。このような場合を想定して、本変形例に係る通信遮断システム100Bは、乗員又は判断部による決定で、自動運転機能による退避が実行されないよう構成されてもよい。以下、実施の形態の変形例2に係る通信遮断システムについて、実施の形態の変形例1との差異を中心に説明する。
[2−2−1.構成]
図5は、本変形例に係る通信遮断システム100Bを含む車載ネットワークシステム10Bの構成を説明するための図である。車載ネットワークシステム10Bは、手動運転も可能な自動運転車が備える車載ネットワークシステムである。なお、通常走行時の自動運転機能及び手動運転機能を提供する構成要素については図示及び説明を省略する。
通信遮断システム100Bは、実施の形態の判断部11に替えて判断部11Bを備える。また、通信遮断システム100Bは、さらに、記憶部12に替えて記憶部12Bを備える。記憶部12Bは設定保持部120を含む。設定保持部120は、自動運転機能による自動車の退避の実行をさせるか否かに関する設定を保持する。この設定は、この自動車の乗員によって入力されてもよいし、判断部11Bによって入力されてもよい。判断部11Bによる入力は、例えば車両の状況又は検出した通信異常の内容に応じて自動運転機能による退避の実行の可否を反映して行われる。
判断部11Bは、退避制御部300への自動運転機能による退避の実行の指示を発行する前に、設定保持部120に自動運転機能による自動車の退避の実行をさせる設定が保持されているか否かを確認する。自動運転機能による退避の実行の指示を発行する設定が保持されていない場合、設定保持部120は退避の実行の指示を発行しない。自動運転機能による退避の実行の指示を発行する設定が保持されている場合には、変形例1における判断部11Aと同様に設定保持部120は退避の実行の指示を発行する。
[2−2−2.動作]
次に、上記の構成を有する本変形例に係る通信遮断システム100Bの動作について説明する。図6は、車載ネットワークシステム10Bにおける通信遮断システム100Bによる一連の処理手順の例を示すフロー図である。図6のフロー図では、実施の形態及びその変形例1と共通の処理は共通の参照符号が付されている。以下、実施の形態又はその変形例1との差異を中心に説明する。
ステップS40で切替部13車両を退避させると決定した判断部11Bは、設定保持部120に自動運転機能による自動車の退避の実行をさせる設定が保持されているか否かを確認する(ステップS41)。
当該設定が保持されている場合(ステップS41でYes)、判断部11Bは、自動運転機能による退避の実行の指示を、通信線900を介して退避制御部300に出力する(ステップS42)。この指示を受けた退避制御部300は、自動運転による退避を実行する(ステップS44)。
当該設定が保持されていない場合(ステップS41でNo)、通信異常検出時の処理は終了する。また、この場合には、フロー図には示していないが、乗員への手動運転による退避の実行の指示、退避を促す警報の発報、又は退避を補助する情報の提供が実行されてもよい。
なお、フロー図には示していないが、ステップS41での決定に関する情報のログへの記録又は出力がなされてもよい。
[2−2−3.効果]
自動運転機能を有し、手動運転も可能である車両に備えられる通信遮断システム100Bは、さらに、自動運転機能による自動車の退避の実行をさせるか否かに関する設定を保持する設定保持部120を備えてもよい。通信遮断システム100Bが備える判断部11Bは、自動運転機能による前記自動車の退避の実行をさせる設定が設定保持部120に保持されていない場合、自動運転機能による退避の実行の指示を出力しない。
これにより、通信遮断のみでは自動車の走行の安全性が十分に確保できない場合に、ユーザが運転して走行の継続又は停車をさせることができる。
なお、本変形例に係る技術は、自動運転機能を有さないで手動で運転される車両にも、通信異常の検出時に、車両の退避に関する判断(ステップS40)でYesの場合にドライバーへの手動運転による退避を指示する等の形で適用可能である。
[2−3.変形例3]
実施の形態についての説明の中で、通信異常が検知されたグループ以外のグループ間での通信、又はグループ間の通信の全面的な通信遮断といった冗長的な通信遮断の効果に関連して触れたが、本発明に係る通信遮断システムは、通信異常を検出していったん遮断したグループ間でのデータの流入の再開、つまりグループ間の通信の復帰がさらに実行されてもよい。
例えば、図1に示されるように、切替部13がオフ状態のときでも通信部14が対応するグループからデータを受信可能な構成の場合を想定する。いったん所定の通信遮断によって切替部13をオフ状態にした判断部11は、通信部14が受信した当該切替部13に対応するグループのデータに基づいて、通信異常が発生しているか否かさらに判定する。通信異常が発生していない場合には、当該グループから送信されるデータのその他のグループへの流入の遮断を、所定の通信遮断から除外、つまり通信遮断を解除してもよい。
これにより、通信遮断による機能の制限が緩和され、通信異常の発生時においてもユーザにとっての利便性の低下が抑えられる。例えば車両のより安全な走行を確保するために冗長な通信遮断が所定の通信遮断としていったん実行されることがある。特にすべての切替部13がオフ状態にされた場合の機能制限は典型的には厳しく、ユーザの利便性は大きく低下する。しかしこのように、通信部14が受信したデータに基づいて、通信異常が検出されていないグループを特定し、当該グループからのデータがゲートウェイ20を経由してのその他のグループへ流入することを再び可能にする復帰の処理が実行されることで、いったんは低下したユーザの利便性を改善させることができる。
このような動作は、上記の変形例1の判断部11A又は変形例2の判断部11Bによって行われてもよい。また、このような判断による機能制限の緩和の結果として、いったん退避して停車していた自動車を再び走行可能な状態に復帰させてもよい。
[2−4.変形例4]
変形例1に係る通信遮断システム100Aのように、通信異常を検出すると、車両を走行帯から退避させて停車させる態様では、さらに車外からの制御による車両の移動が可能なように構成されてもよい。
これにより、車両上での自動又は手動による運転制御では安全な走行ができず退避した車両、必要に応じて移動させることができる。
[2−4−1.構成]
図7は、本変形例に係る通信遮断システム100Cを含む車載ネットワークシステム10Cの構成例を説明するための図である。車載ネットワークシステム10Cは、自動運転車が備える車載ネットワークシステムである。手動運転機能を提供する構成要素は、この自動運転車にさらに備えられても備えられなくてもよい。以下、本変形例に係る通信遮断システムについて、実施の形態の変形例1との差異を中心に説明する。
通信遮断システム100Cは、変形例1の通信遮断システム10Aの構成に加えて外部通信部15を備える。
外部通信部15は、各通信部14と通信可能に接続される。さらに外部通信部15は、ゲートウェイ20及びTCU70を介して、車載ネットワークシステム10Cを搭載する車両を外部から制御可能なシステム(図示なし)、例えばSOCの情報処理システムと通信する。以下では、外部通信部15の通信先をこの情報処理システムと想定して説明する。
外部通信部15は、通信部14を介して各グループの情報を収集する。ここで収集され得る情報(以下、車両情報という)の例には、グループに含まれる通信機器間の通信ログが挙げられる。また、これらの通信機器に接続される機器の動作ログ、機器の動作によって取得された情報、例えば車両の周辺の画像、物体認識の結果、車両の位置情報、時刻情報等が含まれてもよい。そして車両情報を情報処理システムに送信する。
情報処理システムでは、停車している車両から外部通信部15によって提供された車両情報に基づいて、当該車両を移動させるための制御内容を決定し、この制御を実行するための制御信号を当該車両に送信する。つまり、この情報処理システムは、退避のために停車している車両の遠隔制御を実行する。
外部通信部15は、TCU70及びゲートウェイ20を介してこの制御信号を受信し、通信部14を介して、駆動系ドメイン等、車両の走行に必要な機能に対応するドメインに転送する。
これにより、退避のための停車後に車載のシステムでも手動でも再移動のための制御ができない状態の車両での再移動が可能になる。
なお、外部通信部15は車両情報を各通信部14と通信して直接収集するのではなく、通信部14から記憶部12にいったん保存されたデータを取得して外部の情報処理システムに提供してもよい。
また、外部通信部15は、収集した車両情報を処理してから外部の情報処理システムに提供してもよい。この処理の例としては、必要な部分の抽出、情報に基づく車両又は周囲状況に関する判断が挙げられる。
また、上述のような外部通信部15は、変形例2又は変形例3に係る通信遮断システムとの組み合わせも可能である。
また、外部の情報処理システムでは、当該車両の遠隔制御が可能であるか否かを、受信した車両情報に基づいてさらに判断してもよい。遠隔制御が不可能であると判断した場合には、例えば情報処理システムからロードサービスの手配のための通報がなされてもよい。図8は、この通報までの一連の処理手順を示すシーケンス図である。
まず、退避して停車している車両の外部通信部15から、車両情報がSOCなどの情報処理システムに送信される(ステップS80)。
情報処理システムでは、受信した車両情報に基づいて、当該車両の遠隔制御が可能であるか否か判断される(ステップS81)。
遠隔制御が可能な場合(ステップS81でYes)、制御信号が情報処理システムから車両に送信される(ステップS82)。
遠隔制御が不可能な場合(ステップS81でNo)、情報処理システムからロードサービス提供者に通報される(ステップS83)。ここでは、車両の位置、車種、トラブルの詳細などに関する情報も情報処理システムからロードサービス提供者に提供される。
通報を受けたロードサービス提供者は、車両に担当者を派遣する(ステップS84)。
このように、車載ネットワークシステム上の通信異常によっては自動車を走行帯から退避させる通信遮断システム100Cは、外部にある情報処理システムと通信可能な外部通信部15を備える。
判断部11Aの決定に応じて自動車の退避の実行がなされた場合、外部通信部15は、所定の通信遮断によって他グループへ送信するデータが遮断されたグループが含む通信装置から受信したデータに関する情報である車両情報を取得し、取得した車両情報を外部の情報処理システムに送信する。
これにより、通信遮断のみでは走行の安全性が十分に確保できないために自動車が停車された場合に、この自動車の状況に関する情報を車外の支援システムに提供することができる。
また、外部通信部15は、この車外の情報処理システムから、自動車の走行を遠隔制御するための信号を受信してもよい。
これにより、安全の確保のためにいったん停車させた自動車を、遠隔操作によって移動させることができる。
[2−5.その他の変形例]
(1)通信部14が受信して判断部11に提供されるデータは、判断部11がドメイン又は通信線上の通信異常を検出できるデータであればよく、各ドメインに含まれるすべての通信装置から送信されるデータでなくてもよい。例えば、一部のみからデータを受信してもよい。
(2)各グループに対応する複数の通信部14は、互いに物理的に独立したものでなくてもよく、論理的に独立したものであってもよい。複数の切替部13についても同様に、論理的な独立したものであってもよい。
(3)上記で例示した各車載ネットワークシステムには4個のドメインが含まれるが、車載ネットワークシステム上のドメインの個数はこれに限定されない。また、複数あるすべてのドメインの通信が本発明に係る通信遮断システムによる遮断又はそのための監視の対象でなくてもよく、その一部のみが対象であってもよい。
(4)本発明に係る通信遮断システムが適用可能な車載ネットワークシステムでは、各DCUを統合した構成も可能であり、上述の各通信遮断システムは、さらにこの統合的DCUと統合された態様での実現も可能である。また、さらにゲートウェイとも統合された形で、車載コンピュータ又はその一機能として実現されてもよい。
(5)上記の実施の形態及びその変形例においてCANプロトコルに従って通信する車載ネットワークシステムで送受信されるデータのフォーマットは、標準IDフォーマット、拡張IDフォーマットのいずれかを問わない。
(6)上記のCANプロトコルは、TTCAN(Time−Triggered CAN)、CANFD(CAN with Flexible Data Rate)等の派生的なプロトコルも包含する広義の意味で捉えられる。また、本発明に係る通信遮断システムが適用可能な車載ネットワークシステムでECU間の通信に用いられるネットワークは、CANプロトコルに従ったネットワークに限られない。例えばECUが通信データの授受を行うためのネットワークで用いられる、CAN以外のプロトコルとして、例えば、Ethenet(登録商標)、LIN(Local Interconnect Network)、MOST(登録商標)(Media Oriented Systems Transport)、FlexRay(登録商標)、ブローダーリーチプロトコル等に従ったネットワークでもよい。
(7)上記実施の形態における各ECUは、例えば、プロセッサ、メモリ等のデジタル回路、アナログ回路、通信回路等を含む装置であることとしたが、ハードディスク装置、ディスプレイその他のハードウェア構成要素を含んでもよい。また、上記実施の形態で示した各構成要素は、記憶装置に記憶されているプログラムがプロセッサにより実行されてソフトウェア的に実現される代わりに、専用のハードウェア(デジタル回路等)によりその機能を実現されてもよい。
(8)本発明に係る通信遮断システムで示した構成要素間の機能分担は説明の便宜のための一例であって、任意に相互の分担を変更してもよく、機能的な構成要素としてはさらに細分化してもよい。
(9)上記実施の形態で示した各種処理の手順(例えば図2、図4、図6に示した手順等)の実行は、必ずしも、上述の順序に制限されるものではなく、発明の要旨を逸脱したり矛盾を生じたりしない範囲で、順序を入れ替えたり、複数の手順を並列に行ったり、その手順の一部を省略したりしてもよい。例えば図6に示す手順において、自動車の退避の実行をさせる設定の保持の確認(ステップS41)が、車両の退避の実行の判断(ステップS40)の前に行われてもよい。
(10)上記実施の形態における各装置を構成する構成要素の一部又は全部は、1個のシステムLSI(Large Scale Integration:大規模集積回路)から構成されているとしても良い。システムLSIは、複数の構成部を1個のチップ上に集積して製造された超多機能LSIであり、具体的には、マイクロプロセッサ、ROM、RAM等を含んで構成されるコンピュータシステムである。前記ROMには、コンピュータプログラムが記録されている。前記マイクロプロセッサが、前記コンピュータプログラムに従って動作することにより、システムLSIは、その機能を達成する。
また、上記各装置を構成する構成要素の各部は、個別に1チップ化されていても良いし、一部又は全部を含むように1チップ化されても良い。また、ここでは、システムLSIとしたが、集積度の違いにより、IC、LSI、スーパーLSI、ウルトラLSIと呼称されることもある。また、集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセッサで実現しても良い。LSI製造後に、プログラムすることが可能なFPGA(Field Programmable Gate Array)や、LSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用しても良い。さらには、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行っても良い。バイオ技術の適用等が可能性としてあり得る。
(11)上記各装置を構成する構成要素の一部又は全部は、各装置に脱着可能なICカード又は単体のモジュールから構成されているとしても良い。前記ICカード又は前記モジュールは、マイクロプロセッサ、ROM、RAM等から構成されるコンピュータシステムである。前記ICカード又は前記モジュールは、上記の超多機能LSIを含むとしても良い。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、前記ICカード又は前記モジュールは、その機能を達成する。このICカード又はこのモジュールは、耐タンパ性を有するとしても良い。
(12)本発明の一態様としては、例えば図2、図4、又は図6等に示す処理手順の全部又は一部を含む情報処理方法であるとしてもよい。
また、本発明の一態様としては、この情報処理方法に係る所定情報処理をコンピュータにより実現するためのプログラム(コンピュータプログラム)であってもよいし、当該プログラムからなるデジタル信号であるとしても良い。
また、本発明の一態様としては、上記のコンピュータプログラム又はデジタル信号を記録したコンピュータで読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、CD−ROM、MO、DVD、DVD−ROM、DVD−RAM、BD(Blu−ray(登録商標) Disc)、半導体メモリ等であってもよい。
その他、本発明の一態様としては、これらの記録媒体に記録されているデジタル信号、又は電気通信回線、無線又は有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送する上記のプログラム又はデジタル信号であってもよい。
また、本発明の一態様としては、マイクロプロセッサとメモリを備えたコンピュータシステムであって、当該メモリは、上記のプログラムを記録しており、当該マイクロプロセッサは、当該プログラムに従って動作するものであってもよい。また、上記のプログラム若しくはデジタル信号を上記の記録媒体に記録して移送することにより、又は、上記のプログラム若しくはデジタル信号を、上記のネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するものであってもよい。
(13)上記実施の形態及び上記変形例で示した各構成要素及び機能を任意に組み合わせることで実現される形態も本発明の範囲に含まれる。
本発明は、車両に搭載されるECUが通信をするための車載ネットワークシステムで利用可能であり、ネットワークの安全性、ひいては車両の走行の安全性の向上に有用である。
10、10A、10B、10C 車載ネットワークシステム
11、11A、11B 判断部
12 記憶部
13、13A、13B、13C、13D 切替部
14、14A、14B、14C、14D 通信部
15 外部通信部
20 ゲートウェイ
30、30A 駆動系ドメイン
31、41、51、61 DCU(通信装置)
32、33、42、43、52、53、62、63 ECU(通信装置)
40 ADAS系ドメイン
50 ボディ系ドメイン
60 インフォテイメント系ドメイン
70 TCU
80 OBD2ポート
91、92、93、94、900 通信線
100、100A、100B、100C 通信遮断システム
120 設定保持部
300 退避制御部

Claims (12)

  1. 複数の通信装置及び前記複数の通信装置が接続される通信線を各々含む複数のグループの間でデータの送受信が可能な車載ネットワークシステムにおいて、
    前記複数のグループのうち、第1のグループに含まれる前記通信線を介して、前記第1のグループに含まれる前記複数の通信装置の少なくとも一部からデータを受信する通信部と、
    前記通信部が受信したデータに基づいて前記第1のグループでの通信異常を検出し、検出した前記通信異常の内容に基づいて、前記複数のグループの間での所定の通信遮断を実行するか否かを決定する判断部と、
    所定の通信遮断を実行すると前記判断部が決定した場合、前記所定の通信遮断を実行する切替部とを備え、
    前記所定の通信遮断は、前記第1のグループから送信されるデータの前記第1のグループ以外のグループへの流入の遮断を含む、
    通信遮断システム。
  2. 前記通信部は、前記複数のグループのそれぞれに含まれる前記複数の通信装置の少なくとも一部からデータを受信し、
    前記判断部は、前記通信部が受信したデータに基づいて、前記複数のグループそれぞれでの通信異常を検出し、前記複数のグループのうち、前記第1のグループ以外の第2のグループでの通信異常を検出した場合、前記所定の通信遮断として、前記第2のグループから送信されるデータの前記第1のグループへの流入の遮断を実行すると決定する、
    請求項1に記載の通信遮断システム。
  3. 前記所定の通信遮断は、前記第1のグループと前記第1のグループ以外のすべてのグループとの間でのデータの送受信の遮断である、
    請求項1に記載の通信遮断システム。
  4. 前記通信部は、前記第1のグループ以外の第2のグループに含まれる複数の通信装置の少なくとも一部、及び前記第1のグループ及び前記第2のグループ以外の第3のグループに含まれる複数の通信装置の少なくとも一部からデータを受信し、
    前記判断部は、前記通信部が受信したデータに基づいて、前記第2のグループ及び第3のグループそれぞれでの通信異常を検出し、
    、前記判断部は、前記第2のグループで通信異常を検出し、且つ検出される通信異常が前記第3のグループにはないと特定した場合、前記所定の通信遮断において、前記第1のグループと前記第2のグループとの間での送受信の遮断は維持し、前記第3のグループから送信されるデータの前記第1のグループへの流入の遮断を解除する、
    請求項3に記載の通信遮断システム。
  5. 前記所定の通信遮断は、前記複数のグループの間でのデータの送受信の全面的遮断である、
    請求項1に記載の通信遮断システム。
  6. 前記通信部は、前記第1のグループ以外の第2のグループに含まれる複数の通信装置の少なくとも一部からデータを受信し、
    前記判断部は、前記通信部が受信したデータに基づいて、前記第2のグループでの通信異常を検出し、
    前記判断部は、検出される通信異常が前記第2のグループにはないと特定した場合は、前記所定の通信遮断から、前記第2のグループから送信されるデータの他のグループへの流入の遮断を解除する、
    請求項5に記載の通信遮断システム。
  7. 前記車載ネットワークシステムを備える車両は退避を実行するための機能を含む自動運転機能を備え、
    前記判断部は、
    前記所定の通信遮断を実行すると決定した場合、検出した前記通信異常の内容に基づいて、前記車両を退避させるか否かを決定し、
    前記車両を退避させると決定した場合、自動運転による退避の実行の指示を出力する、
    請求項1から6のいずれか一項に記載の通信遮断システム。
  8. 前記車載ネットワークシステムを備える車両は手動運転が可能であり、
    前記判断部は、前記車両を退避させると決定した場合、前記車両の乗員に対して前記手動運転による退避の実行の指示を出力する、
    請求項1から6のいずれか一項に記載の通信遮断システム。
  9. さらに、前記車載ネットワークシステムの外部にある情報処理システムと通信可能な外部通信部を備え、
    前記判断部の決定に応じて、前記退避の実行がなされた場合、
    前記外部通信部は、前記所定の通信遮断によって他のグループへ送信するデータが遮断されたグループに含まれる前記複数の通信装置の少なくとも一部から受信したデータに関する情報を前記情報処理システムに送信する、
    請求項7又は8に記載の通信遮断システム。
  10. 前記外部通信部は、前記情報処理システムから前記車両を遠隔制御するための信号を受信する、
    請求項9に記載の通信遮断システム。
  11. 複数の通信装置及び前記複数の通信装置が接続される通信線を各々含む複数のグループの間でデータの送受信が可能な車載ネットワークシステムにおいて、前記車載ネットワークシステムに接続される情報処理装置が備えるプロセッサによって実行される通信遮断方法であって、
    第1のグループに含まれる前記通信線を介して、前記第1のグループに含まれる前記複数の通信装置の少なくとも一部からデータを受信し、
    受信した前記データに基づいて前記第1のグループでの通信異常を検出し、検出した前記通信異常の内容に基づいて、前記複数のグループの間での所定の通信遮断を実行するか否かを決定し、
    所定の通信遮断を実行すると決定した場合、前記所定の通信遮断を実行し、
    前記所定の通信遮断は、前記第1のグループから送信されるデータの前記第1のグループ以外のグループへの流入の遮断を含む、
    通信遮断方法。
  12. 請求項11に記載の通信遮断方法を、前記プロセッサに実行させるためのプログラム。
JP2018067833A 2018-03-30 2018-03-30 通信遮断システム、通信遮断方法及びプログラム Active JP6964277B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2018067833A JP6964277B2 (ja) 2018-03-30 2018-03-30 通信遮断システム、通信遮断方法及びプログラム
US16/366,636 US20190302753A1 (en) 2018-03-30 2019-03-27 Communications interruption system, communications interruption method, and recording medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018067833A JP6964277B2 (ja) 2018-03-30 2018-03-30 通信遮断システム、通信遮断方法及びプログラム

Publications (2)

Publication Number Publication Date
JP2019180005A true JP2019180005A (ja) 2019-10-17
JP6964277B2 JP6964277B2 (ja) 2021-11-10

Family

ID=68054322

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018067833A Active JP6964277B2 (ja) 2018-03-30 2018-03-30 通信遮断システム、通信遮断方法及びプログラム

Country Status (2)

Country Link
US (1) US20190302753A1 (ja)
JP (1) JP6964277B2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102172287B1 (ko) * 2020-04-22 2020-10-30 비테스코 테크놀로지스 게엠베하 차량 통신 네트워크 시스템 및 이의 동작 방법
JPWO2020044638A1 (ja) * 2018-08-30 2021-09-09 住友電気工業株式会社 車載通信システム、データ取得装置、管理装置および監視方法
JP2022160932A (ja) * 2021-04-07 2022-10-20 矢崎総業株式会社 車載システム

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6552674B1 (ja) * 2018-04-27 2019-07-31 三菱電機株式会社 検査システム
DE102019104948A1 (de) * 2019-02-27 2020-08-27 Zf Active Safety Gmbh Kommunikationssystem und Verfahren zur Kommunikation für ein Kraftfahrzeug
JP2021133829A (ja) * 2020-02-27 2021-09-13 本田技研工業株式会社 車両制御装置
JP7363749B2 (ja) * 2020-11-18 2023-10-18 トヨタ自動車株式会社 車両用制御システム、車両用制御システムの異常検知方法及び異常検知プログラム
US11576047B2 (en) * 2020-12-09 2023-02-07 Valeo Comfort And Driving Assistance Device, system, and method for cyber isolating mobility systems when a vehicle is in motion

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1141261A (ja) * 1997-07-23 1999-02-12 Denso Corp 多重通信装置
JP2016213653A (ja) * 2015-05-08 2016-12-15 矢崎総業株式会社 通信遮断装置および通信システム
JP2018133721A (ja) * 2017-02-16 2018-08-23 クラリオン株式会社 車載ゲートウェイ装置、通信遮断方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1141261A (ja) * 1997-07-23 1999-02-12 Denso Corp 多重通信装置
JP2016213653A (ja) * 2015-05-08 2016-12-15 矢崎総業株式会社 通信遮断装置および通信システム
JP2018133721A (ja) * 2017-02-16 2018-08-23 クラリオン株式会社 車載ゲートウェイ装置、通信遮断方法

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPWO2020044638A1 (ja) * 2018-08-30 2021-09-09 住友電気工業株式会社 車載通信システム、データ取得装置、管理装置および監視方法
JP7160103B2 (ja) 2018-08-30 2022-10-25 住友電気工業株式会社 車載通信システム、データ取得装置、管理装置および監視方法
US11981339B2 (en) 2018-08-30 2024-05-14 Sumitomo Electric Industries, Ltd. Vehicle-mounted communication system, data acquisition device, management device, and monitoring method
KR102172287B1 (ko) * 2020-04-22 2020-10-30 비테스코 테크놀로지스 게엠베하 차량 통신 네트워크 시스템 및 이의 동작 방법
JP2022160932A (ja) * 2021-04-07 2022-10-20 矢崎総業株式会社 車載システム
JP7307117B2 (ja) 2021-04-07 2023-07-11 矢崎総業株式会社 車載システム

Also Published As

Publication number Publication date
JP6964277B2 (ja) 2021-11-10
US20190302753A1 (en) 2019-10-03

Similar Documents

Publication Publication Date Title
JP6964277B2 (ja) 通信遮断システム、通信遮断方法及びプログラム
US11539727B2 (en) Abnormality detection apparatus and abnormality detection method
US11848755B2 (en) Anomaly detection device, anomaly detection method, and recording medium
JP7231559B2 (ja) 異常検知電子制御ユニット、車載ネットワークシステム及び異常検知方法
JP6585019B2 (ja) ネットワーク監視装置、ネットワークシステムおよびプログラム
CN110268681A (zh) 车载网关装置和通信切断方法
US10873600B2 (en) Information processing device, information processing system, information processing method, and information processing program
WO2020085330A1 (ja) 電子制御装置、電子制御方法及びプログラム
US11621967B2 (en) Electronic control unit, electronic control system, and recording medium
WO2022049894A1 (ja) 制御モード切替装置、および、制御モード切替方法
JP7443832B2 (ja) セキュリティ管理装置
JP6920667B2 (ja) 情報処理装置、情報処理システム、情報処理方法、及びプログラム
JP2019146145A (ja) 通信装置、通信方法及びプログラム
JP7447905B2 (ja) モビリティ制御システム、方法、および、プログラム
US10917387B2 (en) Information processing device, information processing system, information processing method, and information processing program
US20200177412A1 (en) Monitoring device, monitoring system, and computer readable storage medium
JP2019175017A (ja) 通信装置及び通信方法
US20230052852A1 (en) Method for Authentic Data Transmission Between Control Devices of a Vehicle, Arrangement with Control Devices, Computer Program, and Vehicle
US11667264B2 (en) Unauthorized intrusion prevention device, unauthorized intrusion prevention method, and unauthorized intrusion prevention program
KR101570711B1 (ko) 차량용 게이트웨이, 차량용 게이트웨이의 mcu 불능 시 진단통신 방법 및 차량용 게이트웨이의 리프로그램 방법
JP2022138678A (ja) 車両システム
WO2022158020A1 (ja) 電子制御装置、車載制御システム、及び冗長機能制御方法
JP7471532B2 (ja) 制御装置
CN111694299B (zh) 车辆用通信系统
JP7135211B2 (ja) 車載制御装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200902

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210625

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210706

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210903

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210921

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20211005

R151 Written notification of patent or utility model registration

Ref document number: 6964277

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

SZ03 Written request for cancellation of trust registration

Free format text: JAPANESE INTERMEDIATE CODE: R313Z03