JP2020034486A - 検査システム - Google Patents

検査システム Download PDF

Info

Publication number
JP2020034486A
JP2020034486A JP2018162873A JP2018162873A JP2020034486A JP 2020034486 A JP2020034486 A JP 2020034486A JP 2018162873 A JP2018162873 A JP 2018162873A JP 2018162873 A JP2018162873 A JP 2018162873A JP 2020034486 A JP2020034486 A JP 2020034486A
Authority
JP
Japan
Prior art keywords
data
inspection
error
communication
communication path
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018162873A
Other languages
English (en)
Other versions
JP6633157B1 (ja
Inventor
智一 齊藤
Tomokazu Saito
智一 齊藤
光二 嶋村
Koji Shimamura
光二 嶋村
裕司 奥山
Yuji Okuyama
裕司 奥山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2018162873A priority Critical patent/JP6633157B1/ja
Application granted granted Critical
Publication of JP6633157B1 publication Critical patent/JP6633157B1/ja
Publication of JP2020034486A publication Critical patent/JP2020034486A/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Abstract

【課題】車両に搭載される制御装置を運用時においても短時間で検査できる検査データを生成する。【解決手段】検査システムは、車両10に搭載されたゲートウェイ装置20と、第2の通信路60を介して車両10と接続される検査装置50とを備え、ゲートウェイ装置20は、第1の通信路40に送信されたエラーデータとその直前の正常な通信データとを第2の通信路60を介して検査装置50へ送信し、検査データ生成部150は、エラーデータと共に受信した正常な通信データを基に検査データを生成する。【選択図】図1

Description

本発明は、制御装置を検査する検査システムに関する。
車両には、ECU(Electronic Control Unit)と呼ばれる電子制御装置が複数個搭載されている。それらのECU間は、車載ネットワークに接続され、互いに連携して動作している。
ECUには、無線通信装置を有するものもある。そのようなECUは、無線通信装置を用いて、車両外部に存在する外部機器と無線通信を行うことにより、それらの外部機器との間で、情報共有を実現している。なお、外部機器の例として、例えば、道路または住居に設置された機器、他の車両に搭載された機器、カーメーカまたは車載部品供給メーカが備えるサーバなどが含まれる。
情報共有の例としては、例えば、以下のものがある。
(a):車両外部からECUの状態を取得して、車両の故障診断を行う。
(b):新たなソフトウェアを車両外部からECUへ送信することで、ECUの機能を更新する。
このような種々の情報共有を行うことで、エンドユーザへ有益な機能および情報を提供できるようになっている。
一方で、悪意の第三者が、情報共有機能を悪用して、不正な情報を車両へ送信して、異常な車両挙動を引き起こさせることも可能となる。そのため、このような場合の対策のために、車両の設計者またはECUの設計者は、把握し得る不正な情報へ対応できるよう、機能要求、あるいは、セキュリティなどの非機能要求を満たすように、車両またはECUの設計を行う。また、設計を行った後に、車両毎またはECU毎に、品質を十分に満たしているかの検査を行う。
しかしながら、不正な情報は、ECUが車両に搭載された後に、新たな攻撃手口などにより更新される可能性がある。更新された不正な情報が車両に送信された場合においても、車両またはECUが異常な動作にならないような対策を講じておくことが理想的である。しかしながら、更新された不正な情報の中には、設計時には予測しきれない情報も存在する。そのため、そのような不正な情報が車両に送信された場合には、車両あるいはECUの動作に悪影響を与えることになる。
特許文献1に記載の検査装置は、ECUの動作を検査するための動作検査用データを、計画されたスケジュールに従って、ECUに送信することで、運用時におけるECUの動作を検査する。
特許第6263437号公報
しかしながら、特許文献1に記載の技術には、以下のような課題がある。
特許文献1においては、動作検査用データが「ECUの設計情報に基づいて予め生成されるデータである」と記載されているが、そのデータ数については特に記載がない。そのため、データ数が増加するほど、検査数が増え、検査時間が増加することになる。
本発明は、上記のような課題を解決するためになされたものであり、制御装置を短時間で検査することが可能な検査システムを得ることを目的としている。
本発明に係る検査システムは、検査対象である複数の制御装置と、前記複数の制御装置のそれぞれと第1の通信路を介して通信を行うゲートウェイ装置と、前記ゲートウェイ装置と第2の通信路を介して通信を行う検査装置とを備え、前記複数の制御装置のそれぞれは、前記第1の通信路を介して相互通信が可能であり、前記ゲートウェイ装置は、前記複数の制御装置間で相互通信されるデータを逐次受信することで、前記複数の制御装置間の通信状態を監視し、前記データとして、エラーが発生したことを示すエラーデータを受信した場合には、前記エラーデータを受信する直前に前記データとして受信した正常データと前記エラーデータとを組として、前記第2の通信路を介して前記検査装置に送信し、前記検査装置は、前記ゲートウェイ装置から受信した前記組に含まれる前記正常データに基づいて、検査データを生成し、前記検査データを前記第2の通信路を介して前記ゲートウェイ装置に送信する。
本発明に係る検査システムによれば、制御装置を短時間で検査することができる。
本発明の実施の形態1に係る検査システムの構成を示すブロック図である。 本発明の実施の形態1に係る検査システムにおける、エラーフレーム検出方法を用いたゲートウェイ装置の動作を示すフローチャートである。 本発明の実施の形態1に係る検査システムに設けられた検査装置の動作を示すフローチャートである。 本発明の実施の形態1に係る制御装置のCAN通信回路を示す概略図である。 本発明の実施の形態1に係る検査システムのデータフレームの構成を示す構成図である。 本発明の実施の形態1に係る検査データ生成基のデータを示す図である。 本発明の実施の形態1に係る検査データの一例を示す図である。 本発明の実施の形態1に係る検査データの一例を示す図である。 本発明の実施の形態1に係る検査システムにおける、カウントエラー検出方法を用いたゲートウェイ装置の動作を示すフローチャートである。 本発明の実施の形態1に係る検査システムに設けられたゲートウェイ装置および検査装置のハードウェア構成の一例を示した図である。 本発明の実施の形態1に係る検査システムに設けられたゲートウェイ装置および検査装置のハードウェア構成の一例を示した図である。
以下に、本発明に係る検査システムを実施するための実施の形態について、図面を用いて説明する。
実施の形態1.
図1は、本発明の実施の形態1に係る検査システムの構成を示すブロック図である。図1に示すように、車両10は、複数個の制御装置30を備えている。これらの制御装置は、検査システムの検査対象である。制御装置30の個数は任意の個数でよいが、ここでは、説明を簡略化するために、2個とする。以下では、制御装置30Aおよび制御装置30Bとして説明する。また、制御装置30Aと制御装置30Bとをまとめて呼ぶ場合は、制御装置30と呼ぶこととする。
制御装置30Aおよび制御装置30Bは、第1の通信路40を介して互いに接続されている。制御装置30Aおよび制御装置30Bは、第1の通信路40を介して互いに通信可能である。第1の通信路40は、車両10に搭載された車載ネットワークである。第1の通信路40は、例えば、CAN(Controller Area Network)ネットワークから構成されている。
また、車両10は、ゲートウェイ装置20を備えている。ゲートウェイ装置20は、第1の通信路40に接続されている。
従って、制御装置30A、制御装置30B、および、ゲートウェイ装置20は、第1の通信路40を介して、互いに接続されている。また、制御装置30A、制御装置30B、および、ゲートウェイ装置20は、第1の通信路40を介して、車両10内の図示していない他の制御装置とも通信が可能である。
車両10の外部には、検査装置50が設けられている。車両10のゲートウェイ装置20と検査装置50とは、第2の通信路60を介して接続されている。第2の通信路60は、例えば無線通信を行う通信路から構成されている。
なお、制御装置30Aおよび30Bは、ボディ系、シャシー系などの制御装置である。制御装置30Aおよび30Bは、直接、車外へ無線通信を行なわず、ゲートウェイ装置20を介して車外への無線通信を行う。
また、制御装置30Aおよび30Bは、通常、データフレームを第1の通信路40に送信している。データフレームとは、通信データを構成するデータフレームのことである。
次に、ゲートウェイ装置20の構成について説明する。ゲートウェイ装置20は、次のように構成されている。
ゲートウェイ装置20は、図1に示すように、エラー検出部100、通信データ保持部110、データ転送部120、および、通信部130を備えて構成されている。ゲートウェイ装置20は、制御装置30Aおよび30B間で相互通信されるデータを逐次受信することで、制御装置30Aおよび30B間の通信状態を監視する。また、ゲートウェイ装置20は、エラーが発生したことを示すエラーデータを受信した場合に、エラーデータを受信する直前に受信した正常データとエラーデータとを組として、第2の通信路を介して検査装置50に送信する。以下、ゲートウェイ装置20の各部について説明する。
エラー検出部100は、制御装置30Aまたは制御装置30Bから第1の通信路40上に送信されたデータフレームを受信する。エラー検出部100は、受信したデータフレームが、正常なデータフレームか、エラーが発生したことを示すエラーフレームかを検出して、制御装置30Aおよび制御装置30B間の通信においてエラーが発生しているか否かを判定する。なお、エラーフレームとは、各種エラーが発生すると送信されるフレームのことで、エラーフラグおよびエラーデリミタから構成される。エラーフレームが送信されるタイミングおよび要因については後述する。エラー検出部100は、受信したデータフレームの構成をチェックすることで、エラーフレームか否かを判定する。エラー検出部100は、エラーフレームの検出を行った後、正常なデータフレームとエラーフレームとの両方を通信データ保持部110へ送信する。
通信データ保持部110は、エラー検出部100から正常なデータフレームを受信した場合、当該正常なデータフレームをメモリに保持する。なお、通信データ保持部110が保持できる正常なデータフレームの個数は予め設定されている。従って、通信データ保持部110のデータフレーム保持数が、予め設定された閾値に達した場合、通信データ保持部110は、現在保持しているデータフレームの中から、最初に保持したデータフレームを削除した後に、新たに受信したデータフレームをメモリに保持する。なお、最初に保持したデータフレームとは、現在保持しているデータフレームの中の最も古いデータフレームである。一方、エラー検出部100からエラーフレームを受信した場合には、通信データ保持部110は、当該エラーフレームと、当該エラーフレームを受信する前にメモリに保持した1つの正常なデータフレームとを組にして、データ転送部120に出力する。また、以下の説明においては、通信データ保持部110が、当該エラーフレームと、当該エラーフレームを受信する直前にメモリに保持した1つの正常なデータフレームとを組にして、データ転送部120に出力する場合を例に挙げて説明する。
データ転送部120は、検査装置50から、第2の通信路60と通信部130とを介して受信した検査データを第1の通信路40に転送する。検査データとは、制御装置30の検査に用いるデータである。検査データについては後述する。また、データ転送部120は、通信データ保持部110から出力されたエラーフレームと正常なデータフレームとの組を受信する。そして、データ転送部120は、当該エラーフレームと正常なデータフレームとの組を、通信部130と第2の通信路60とを介して、検査装置50に転送する。このとき、第1の通信路40のプロトコルと第2の通信路60のプロトコルとは互いに異なる。そのため、データ転送部120は、データ転送の際に、それぞれのプロトコルに合わせてデータのプロトコル変換を行う。
次に、検査装置50の構成について説明する。検査装置50は、次のように構成されている。
検査装置50は、図1に示すように、通信部170と、生成基データ保持部140と、検査データ生成部150と、検査部160とを備えて構成されている。検査装置50は、ゲートウェイ装置20から受信したエラーフレームと正常なデータフレームとの組に含まれる正常なデータフレームに基づいて、検査データを生成する。また、検査装置50は、生成した検査データを第2の通信路60を介してゲートウェイ装置20に送信する。以下、検査装置50の各部について説明する。
通信部170は、第2の通信路60を介して、ゲートウェイ装置20のデータ転送部120が送信したエラーフレームと正常なデータフレームとの組を受信して、生成基データ保持部140へ送信する。また、通信部170は、検査部160から受信した検査データを、第2の通信路60を介してゲートウェイ装置20に送信する。
生成基データ保持部140は、通信部170が車両10から組として受信したエラーフレームと正常なデータフレームとの組み合わせを維持したまま保持する。
検査データ生成部150は、生成基データ保持部140で保持されている組の中の正常なデータフレームを使用して、検査データを生成する。検査データ生成部150は、1つのデータフレームから、1つの検査データを生成する。検査データ生成方法の詳細については、後述する。
検査部160は、検査データ生成部150が生成した検査データを、通信部170へ送信する。これにより、制御装置30の検査が開始される。
次に、ゲートウェイ装置20の動作と検査装置50の動作とを、それぞれ、図2および図3のフローチャートに従って示す。
まず、図2について説明する。図2は、ゲートウェイ装置20の動作の流れを示している。
まず、ステップS1001では、エラー検出部100が、制御装置30Aまたは制御装置30Bから第1の通信路40にデータフレームが送信されるまで待機する。第1の通信路40にデータフレームが送信された場合、ステップS1002へ進む。一方、送信されなかった場合、送信されるまでステップS1001を繰り返す。
次に、ステップS1002では、エラー検出部100は、第1の通信路40に送信されたデータフレームを受信して、エラーが発生しているか否かを検出する。エラー発生を検出した場合には、ステップS1007へ進む。一方、エラーが検出されなかった場合、ステップS1003へ進む。
ステップS1003では、通信データ保持部110が、エラー検出部100から、正常なデータフレームを受信する。
次に、ステップS1004では、通信データ保持部110のデータフレーム保持数が閾値に達したか否かを判定し、データフレーム保持数が閾値に達していた場合、ステップS1005へ進む。一方、データフレーム保持数が閾値に達していない場合、ステップS1006へ進む。
ステップS1005では、通信データ保持部110は、現在保持しているデータフレームの中から、最初に保持したデータフレーム、すなわち、最も古いデータフレームを削除する。
ステップS1006では、通信データ保持部110が、ステップS1003で受信したデータフレームを新たに保持し、ステップS1001に戻る。
一方、ステップS1007では、エラー検出部100が、通信データ保持部110に、エラーフレームを送信する。
ステップS1008では、通信データ保持部110が、ステップS1007で受信したエラーフレームを、データ転送部120に送信する。また、それと同時に、通信データ保持部110は、ステップS1006で新たに保持したデータフレームをデータ転送部120に送信する。ステップS1006で新たに保持したデータフレームは、エラーフレームの直前に送信された正常なデータフレームである。データ転送部120は、通信データ保持部110から送信されてきたエラーフレームと正常なデータフレームとを、検査装置50へ送信できる形式へプロトコル変換する。
ステップS1009では、データ転送部120が、ステップS1008でプロトコル変換したエラーフレームと正常なデータフレームとを組として、通信部130および第2の通信路60を介して、検査装置50へ送信する。
次に、図3について説明する。図3は、検査装置50の動作の流れを示している。
まず、ステップS2001では、ステップS1009で送信されたエラーフレームと正常なデータフレームとの組を通信部170が受信して生成基データ保持部140に送信する。生成基データ保持部140は、通信部170が受信したエラーフレームと正常なデータフレームとの組を保持する。
ステップS2002では、検査データ生成部150が、生成基データ保持部140から正常なデータフレームを受け取り、当該正常なデータフレームから検査データを生成する。このとき、検査データ生成部150は、1つの正常なデータフレームから、1つの検査データを生成する。
ステップS2003では、検査データ生成部150が、生成した検査データを、検査部160へ送信する。
ステップS2004では、検査データ生成部150が、生成基データ保持部140に保持された正常なデータフレームを用いて、すべての検査データを生成したかを判定する。すべての検査データの生成が完了している場合、ステップS2005へ進む。すべての検査データの生成を終えていない場合、ステップS2002へ戻る。
ステップS2005では、検査部160が、通信部170に検査データを送信する。通信部170は、第2の通信路60を介して、ゲートウェイ装置20へ検査データを送信し、検査を開始する。検査開始後は、車両10に搭載された制御装置30Aまたは制御装置30Bを検査対象として1つの検査データを送信し、検査対象からの応答データを待つ。検査対象から期待通りの応答データが得られた場合は、検査装置が検査対象に異常なしと判定する。検査対象から一定時間以上の応答がない、あるいは、期待通りの応答データが得られなかった場合は、検査装置が検査対象に異常ありと判定する。このとき、検査対象は1つの制御装置と限らず、複数の制御装置としてもよい。
上記の例では、第1の通信路40にエラーフレームが送信されたことをエラー検出部100が検出した場合、検査データ生成部150が、当該エラーフレームの1つ前に送信された正常なデータフレームを、検査データを生成する基となる「検査データ生成基」として使用している。
このエラーフレームが第1の通信路40に送信されるタイミングについて、図4を用いて、第1の通信路40を例に説明する。
図4は、制御装置30のCANネットワークで構成された第1の通信路40の構成を示した概略図である。車両10に搭載された制御装置30には、マイコン200とトランシーバIC230とが設けられている。また、第1の通信路40は、CAN−H240とCAN−L250とCANバス260と終端抵抗270とを備えて構成されている。
マイコン200は、送信用信号線210と受信用信号線220とを介して、トランシーバIC230に接続されている。以下では、送信用信号線210をTx210と呼び、受信用信号線220をRx220と呼ぶこととする。
さらに、トランシーバIC230は、CAN−H240とCAN−L250との差動信号線であるCANバス260と接続されている。さらに、CANバス260の両端には終端抵抗270が設けられている。
エラーフレームが送信される要因は、不完全なデータがCANバス260上に送信されることが考えられる。例えば、通信データ送信時に制御装置30内のマイコン200がTx210のTx端子を異常操作することによって送信データが途中で切れること、あるいは、Tx210のTx端子がLレベルの信号を出力し続けることなどが考えられる。このような場合に、エラーフレームが送信される。
そのため、エラーフレームの送信は、CANバス260に接続された制御装置30の異常な動作が原因となっている可能性がある。また、そのきっかけが、エラーフレームの発生よりも前にCANバス260上に送信された正常なデータフレームを、制御装置30が受信したことによるものであると考えられる。そのため、本実施の形態1では、エラーフレームの1つ前に送信された正常なデータフレームを、「検査データ生成基」として使用する。
ここで、制御装置30を構成するマイコン200のハードウェア構成について簡単に説明する。マイコン200は、処理回路としてのプロセッサを有している。マイコン200の各部の機能は、ソフトウェア、ファームウェア、またはソフトウェアとファームウェアとの組み合わせにより実現される。ソフトウェアおよびファームウェアは、プログラムとして記述され、図示しないメモリに格納される。プロセッサは、メモリに記憶されたプログラムを読み出して実行することにより、各部の機能を実現する。
次に、検査データ生成部150の検査データの生成方法の例について図5〜図8を用いて説明する。
検査データの生成方法の1つとして、検査データのデータフレームのデータフィールドの大きさを、DLC(Data Length Code)よりも大きくする方法が考えられる。以下、当該方法について詳細に説明する。
図5は、「検査データ生成基」として使用されるデータフレームの構成を示している。図5のデータフレームの構造は、第1の通信路40を構成するCANネットワークで使用される標準フォーマットのデータフレームの構造であるため、公知である。よって、本検査データ生成方法に関わるデータのみ詳細を説明し、それ以外についての詳細説明は省略する。
本検査データ生成方法では、図5に示すデータフレームのうち、ID(Identifier)500、コントロールフィールド501内のDLC502、および、データフィールド503を使用して、検査データを生成する。
ID500は、データフレームのデータ内容を識別するために使用され、11ビット長で0x0〜0x7FFの2048種類の識別が可能である。
DLC502は、データフィールド503で何バイトのデータが送信されるかを表している。DLC502は、図5に示すように、0〜16の4ビットで表現することができる。しかし、第1の通信路40の仕様により、データフィールド503は8バイトまでとされているため、実際のDLC502は、0〜8の値となる。
データフィールド503は、送信されるデータの部分であり、DLC502によって設定されたデータ長となる。
図6は、図5に示したデータフレームの構成に対して具体的な値を代入した、検査データ生成基のデータフレームの一例を示す図である。
1バイトずつに区切って表記すると、例えば、検査データ生成基のデータフレームのDLC502が2進数で“0011”、すなわち、16進数で“3”である。また、データフィールド503が16進数で“11|01|AA”であるとする。
このときの検査データ生成部150による検査データ生成方法について説明する。当該検査データ生成方法は、上記のステップS2002で用いられる。当該検査データ生成方法においては、検査データのデータフレームのデータフィールドのデータ長を、DLC502の値よりも大きくすることで、検査データを生成する。当該検査データ生成方法によると、検査データは次の手順で生成される。なお、図7は、図6の検査データ生成基から生成される検査データの一例を示す。図7において、符号503Aは、検査データのデータフィールドを示す。
図6で説明したように検査データ生成基のデータフレームのDLC502が“3”であるとき、検査データのデータフィールド503Aのデータ長を、当該DLC502の“3”よりも長いデータ長とする。具体的には、例えば、図7に示すように、データフィールドを、3より大きい4バイトとして“FF|11|01|AA”とする。これは、図6に示す検査データ生成基のデータフィールド503の“11|01|AA”の先頭に“FF”を追加したものである。検査データにおけるその他のデータは、図6に示す検査データ生成基のデータフレームの内容と同一であるとする。この場合、検査データは、図7に示す構造となる。すなわち、検査データのDLC502は“3”であり、データフィールド503Aは“FF|11|01|AA”と決定される。
また、検査データは、図7の例に限らず、DLC502の値を、実際のデータフィールドの大きさよりも大きくする方法で、検査データを生成することもできる。すなわち、データフィールドが8バイトのとき、検査データのDLC502の値を“8”とせずに、8より大きい値にすることで、検査データを生成する。
具体的に説明する。例えば、検査データ生成基のデータフレームのDLC502が“8”で、データフィールド503が“59|72|11|42|FF|11|01|AA”であったとする。このとき、検査データのDLC502を“8”よりも大きい“10”とし、その他のデータは、検査データ生成基のデータフレームの内容と同一にして、検査データを生成する。この場合、検査データのDLC502は“10”で、データフィールド503Aは、検査データ生成基と同じ“59|72|11|42|FF|11|01|AA”と決まる。
このようにして、DLC502に設定するデータフィールド503Aのデータ長と、実際のデータフィールド503Aの長さとを矛盾させることで、検査データを生成するようにしてもよい。
さらに、別の方法として、図8に示すように、データフィールドの1ビット以上の値を反転させる方法を図7の方法に組み合わせてもよい。以下に具体的に説明する。
まず、図7に示す方法により、検査データのDLC502を“3”にし、データフィールド503Bを“FF|11|01|AA”とする。さらに、図8に示すように、データフィールド503Bのデータのうちの1つ以上のビットを反転させる。例えば、2ビット目だけを反転させ、”FF|11|01|A8”とする。その他のデータは、検査データ生成基のデータフレームの内容と同一であるとする。当該方法を用いて検査データを生成した場合、図8に示すように、検査データのDLCは“3”で、データフィールドは“FF|11|01|A8”と決定される。なお、何ビット目を反転させるかについては、適宜、任意に予め設定しておく。
また、これらの方法に限らず、データフィールドの値を書式文字列で意味を持つ値とする方法で検査データを生成することもできる。
例えば、検査データ生成基のデータフィールド503の値が、C言語において文字列を出力するフォーマット指定子である“%s”であった場合、当該データフィールド503の値をASCII(American Standard Code for Information Interchange)コードに従って変換する。当該変換によって得られた値を、検査データのデータフィールドにすることで、検査データを生成する。以下に詳細に説明する。
ASCIIコードによると、“%”と“s”とは、それぞれ、“0x25”と“0x73”とに変換できる。よって、検査データのデータフィールドの値は、“25|73”となる。
さらに、これら以外の検査データ生成方法として、以下の方法(a)〜(c)を用いてもよい。また、(a)〜(c)の方法を組み合わせてもよい。さらに、上記の方法に、(a)〜(c)の方法を組み合わせてもよい。
(a):検査データのデータフィールド503の値をすべて0または1として、検査データを生成する。
(b):検査データ生成基のデータフレームの構造の順序を入れ替えて、検査データを生成する。具体的な例としては、検査データ生成基のID500とコントロールフィールド501の順序を入れ替えて、検査データを生成する。すなわち、図5に示すように、検査データ生成基において、ID500、RTR(Remote Transmission Request)、コントロールフィールド501の順になっているとき、ID500とコントロールフィールド501の順序を入れ替えて、コントロールフィールド501、RTR、ID500の順にしたものを検査データとする。
(c):データフレームのID500の値を、検査データ生成基のID500の値と異なる値にすることで、検査データを生成する。
ゆえに、このような構成と検査データ生成方法を備えた、本実施の形態1の検査装置50においては、エラーフレームが送信される直前の正常なデータフレームを基に検査データを生成することで、検査装置50が制御装置30の動作を検査するのに有効な検査データだけに数を絞って検査することができる。
なお、上記の説明においては、エラー検出部100のエラー検出方法として、エラーデータをエラーフレームとして、エラー検出部100が、第1の通信路40に送信されたエラーフレームを検出する例について説明した。なお、以下では、当該エラー検出方法を、エラーフレーム検出方法と呼ぶ。
しかしながら、エラー検出方法はエラーフレーム検出方法に限定されず、他の方法を用いて、エラー検出部100がエラーを検出するようにしてもよい。例えば、第1の通信路40上に送信される通信データのデータフィールドの中にカウンタを設ける方法を用いてもよい。その場合、エラー検出部100が、通信データのデータフィールドに設けられたカウンタが正常に機能しなくなったことを検出した場合に、当該通信データをエラーデータとする。以下では、当該方法を、カウントエラー検出方法と呼ぶ。
以下に、カウントエラー検出方法の詳細について説明する。
カウントエラー検出方法と上述したエラーフレーム検出方法との違いは、カウントエラー検出方法においては、通信データのデータフィールドがカウンタを備えていることである。通信データ送信のたびに、送信元の制御装置30がカウンタ値を1だけ増加させる。カウンタは、例えば4ビットで構成され、0〜15までの値を格納できるものとする。従って、エラー検出部100が順次受信する通信データのカウンタ値は、エラーが発生していなければ、1つずつ大きくなる。従って、エラー検出部100は、カウンタ値が更新されていれば、通信データは正常であると判定し、カウンタ値が更新されていなかった場合、またはカウンタ値が飛ぶ場合には、通信データをエラーデータと判定する。
図9を用いて、カウントエラー検出方法によるエラー検出動作の流れについて説明する。ここでは、エラーフレーム検出方法との差異がある部分のみ説明する。図9は、カウントエラー検出方法によるゲートウェイ装置20の動作の流れを示す図である。
ステップS3001では、エラー検出部100が、第1の通信路40に通信データが送信されるまで待機する。具体的には、第1の通信路40に通信データが送信された場合、ステップS3002へ進む。一方、第1の通信路40に通信データが送信されなかった場合、送信されるまでステップS3001を繰り返す。
ステップS3002では、ステップS3001で送信された通信データのカウンタが正常に更新されていなかった場合、エラー検出部100は、エラー発生であると検出して、当該データをエラーデータとしたうえで、ステップS3007へ進む。一方、エラーが検出されなかった場合、ステップS3003へ進む。
ステップS3003では、通信データ保持部110が、エラー検出部100から正常な通信データを受信する。
ステップS3004では、通信データ保持部110の通信データ保持数が予め設定された閾値に達したか否かを判定する。閾値に達していた場合、ステップS3005へ進む。達していない場合、ステップS3006へ進む。
ステップS3005では、通信データ保持部110は、現在保持している通信データの中から、最初に保持した通信データ、すなわち、最も古い通信データを削除する。
ステップS3006では、通信データ保持部110が、新たに受信した通信データを保持し、ステップS3001へ戻る。
一方、ステップS3007では、エラー検出部100が、通信データ保持部110にエラーデータを送信する。
ステップS3008では、通信データ保持部110が、ステップS3007で受信したエラーデータを、データ転送部120に送信する。また、それと同時に、通信データ保持部110は、ステップS3006で新たに保持した通信データをデータ転送部120に送信する。ステップS3006で新たに保持した通信データは、エラーデータの直前に送信された正常な通信データである。データ転送部120は、通信データ保持部110から送信されてきたエラーデータと正常な通信データとを、検査装置50へ送信できる形式へプロトコル変換する。
ステップS3009では、データ転送部120が、ステップS3008でプロトコル変換した正常な通信データとエラーデータとを、通信部130と第2の通信路60とを介して、検査装置50へ送信する。
以降の動作は、図3に示したステップS2001〜ステップS2005と同様であるため、ここでは、その説明を省略する。
なお、ここで、上述した実施の形態1に係るゲートウェイ装置20および検査装置50のハードウェアについて説明する。はじめに、ゲートウェイ装置20について説明する。上述した実施の形態1に係るゲートウェイ装置20における各機能は、処理回路によって実現される。各機能を実現する処理回路は、専用のハードウェアであってもよく、メモリに格納されるプログラムを実行するプロセッサであってもよい。図10は、本発明の実施の形態1に係るゲートウェイ装置20の各機能を専用のハードウェアである処理回路1000で実現する場合を示した構成図である。また、図11は、本発明の実施の形態1に係るゲートウェイ装置20の各機能をプロセッサ2001およびメモリ2002を備えた処理回路2000により実現する場合を示した構成図である。
処理回路が専用のハードウェアである場合、処理回路1000は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)、またはこれらを組み合わせたものが該当する。エラー検出部100、通信データ保持部110、データ転送部120、および、通信部130の各部の機能それぞれを個別の処理回路1000で実現してもよいし、各部の機能をまとめて処理回路1000で実現してもよい。
一方、処理回路がプロセッサ2001の場合、エラー検出部100、通信データ保持部110、データ転送部120、および、通信部130の各部の機能は、ソフトウェア、ファームウェア、またはソフトウェアとファームウェアとの組み合わせにより実現される。ソフトウェアおよびファームウェアは、プログラムとして記述され、メモリ2002に格納される。プロセッサ2001は、メモリ2002に記憶されたプログラムを読み出して実行することにより、各部の機能を実現する。すなわち、ゲートウェイ装置20は、処理回路2000により実行されるときに、エラー検出ステップ、通信データ保持ステップ、データ転送ステップ、および、通信ステップが結果的に実行されることになるプログラムを格納するためのメモリ2002を備える。
また、上述した実施の形態1に係る検査装置50における各機能についても、ゲートウェイ装置20と同様に、処理回路によって実現される。検査装置50の各機能を実現する処理回路は、専用のハードウェアであってもよく、メモリに格納されるプログラムを実行するプロセッサであってもよい。すなわち、図10に示すよう、本発明の実施の形態1に係る検査装置50の各機能を専用のハードウェアである処理回路1000で実現してもよく、図11に示すように、本発明の実施の形態1に係る検査装置50の各機能をプロセッサ2001およびメモリ2002を備えた処理回路2000により実現してもよい。
処理回路が専用のハードウェアである場合、処理回路1000は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ASIC、FPGA、またはこれらを組み合わせたものが該当する。生成基データ保持部140、検査データ生成部150、検査部160、および、通信部170の各部の機能それぞれを個別の処理回路1000で実現してもよいし、各部の機能をまとめて処理回路1000で実現してもよい。
一方、処理回路がプロセッサ2001の場合、生成基データ保持部140、検査データ生成部150、検査部160、および、通信部170の各部の機能は、ソフトウェア、ファームウェア、またはソフトウェアとファームウェアとの組み合わせにより実現される。ソフトウェアおよびファームウェアは、プログラムとして記述され、メモリ2002に格納される。プロセッサ2001は、メモリ2002に記憶されたプログラムを読み出して実行することにより、各部の機能を実現する。すなわち、ゲートウェイ装置20は、処理回路2000により実行されるときに、生成基データ保持ステップ、検査データ生成ステップ、検査ステップ、および、通信ステップが結果的に実行されることになるプログラムを格納するためのメモリ2002を備える。
これらのプログラムは、上述したゲートウェイ装置20および検査装置50の各部の手順あるいは方法をコンピュータに実行させるものであるともいえる。ここで、メモリ2002とは、例えば、RAM(Random Access Memory)、ROM(Read Only Memory)、フラッシュメモリ、EPROM(Erasable Programmable Read Only Memory)、EEPROM(Electrically Erasable and Programmable Read Only Memory)等の、不揮発性または揮発性の半導体メモリが該当する。また、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等も、メモリ2002に該当する。
なお、上述した各部の機能について、一部を専用のハードウェアで実現し、一部をソフトウェアまたはファームウェアで実現するようにしてもよい。
このように、処理回路は、ハードウェア、ソフトウェア、ファームウェア、またはこれらの組み合わせによって、上述した各部の機能を実現することができる。
以上のように、本実施の形態1においては、エラー検出部100がエラーデータを検出した場合に、検査データ生成部150が、エラーデータの1つ前の通信データに基づいて検査データを生成することで、検査部160が制御装置30Aおよび30Bの機能の検査に有効な検査データを用いて検査することができる。
本実施の形態1に係る検査システムは、車両内に搭載された制御装置30を短時間で検査することができる。
なお、上記の実施の形態1の説明では、通信データ保持部110が保持するデータは、通信データのみであったが、これに限定されず、通信データ保持部110が、通信データの代わりに、エラーデータを保持してもよいし、さらに、通信データとエラーデータとを複数保持してもよい。
上記の実施の形態1の説明では、検査データ生成部150が、1つの通信データから1つの検査データを生成するが、この限りではなく、1つの通信データから複数の検査データを生成してもよい。
上記の実施の形態1の説明では、検査データの生成を終えた後、すぐに検査を開始したが、この限りではなく、車両10が駐車中または停車中に検査を開始してもよい。
上記の実施の形態1の説明では、第1の通信路40をCANネットワークとしたが、これに限らず、FlexRay、LIN(Local Interconnect Network)など他のプロトコルを用いる通信路としてもよい。なお、第1の通信路40のエラーフレームの代わりとしては、例えば、FlexRayであれば、ゲートウェイ装置20が通信データを受信した際にCRC(Cyclic Redundancy Check)シーケンスを用いたチェックを行い、エラーが発生したことが確認できた場合、その通信データをエラーデータとすることができる。また、LINであれば、ゲートウェイ装置20が通信データを受信した際に受信データとチェックサムとの値を比較し、値が異なっていた場合の通信データをエラーデータとすることができる。
上記の実施の形態1の説明では、第2の通信路60を無線通信としたが、これに代わる別の手段として、有線通信でも構わない。この場合、トンネルや地下といった無線通信が困難である場所においても、検査を行うことができる。
10 車両、20 ゲートウェイ装置、30 制御装置、40 第1の通信路、50 検査装置、60 第2の通信路、100 エラー検出部、110 通信データ保持部、120 データ転送部、130,170 通信部、140 生成基データ保持部、150 検査データ生成部、160 検査部。
本発明に係る検査システムは、車両に搭載された検査対象である複数の制御装置と、前記複数の制御装置のそれぞれと第1の通信路を介して通信を行うゲートウェイ装置と、前記ゲートウェイ装置と第2の通信路を介して通信を行う検査装置とを備え、前記複数の制御装置のそれぞれは、前記第1の通信路を介して相互通信が可能であり、前記ゲートウェイ装置は、前記複数の制御装置間で相互通信されるデータを逐次受信することで、前記複数の制御装置間の通信状態を監視し、前記データとして、エラーが発生したことを示すエラーデータを受信した場合には、前記エラーデータを受信する直前に前記データとして受信した正常データと前記エラーデータとを組として、前記第2の通信路を介して前記検査装置に送信し、前記検査装置は、前記ゲートウェイ装置から受信した前記組に含まれる前記正常データに基づいて、検査データを生成し、前記検査データを前記第2の通信路を介して前記ゲートウェイ装置に送信する。

Claims (5)

  1. 検査対象である複数の制御装置と、
    前記複数の制御装置のそれぞれと第1の通信路を介して通信を行うゲートウェイ装置と、
    前記ゲートウェイ装置と第2の通信路を介して通信を行う検査装置と
    を備え、
    前記複数の制御装置のそれぞれは、前記第1の通信路を介して相互通信が可能であり、
    前記ゲートウェイ装置は、
    前記複数の制御装置間で相互通信されるデータを逐次受信することで、前記複数の制御装置間の通信状態を監視し、
    前記データとして、エラーが発生したことを示すエラーデータを受信した場合には、前記エラーデータを受信する前に前記データとして受信した正常データと前記エラーデータとを組として、前記第2の通信路を介して前記検査装置に送信し、
    前記検査装置は、
    前記ゲートウェイ装置から受信した前記組に含まれる前記正常データに基づいて、検査データを生成し、
    前記検査データを前記第2の通信路を介して前記ゲートウェイ装置に送信する
    検査システム。
  2. 前記組に含まれる前記正常データは、前記ゲートウェイ装置が前記エラーデータを受信する直前に受信した正常データである、
    請求項1に記載の検査システム。
  3. 前記ゲートウェイ装置は、
    前記複数の制御装置間で相互通信される前記データを逐次受信し、受信した前記データが正常データであるかエラーデータであるかを判定するエラー検出部と、
    前記エラー検出部が前記データを正常データと判定した場合に、前記正常データを保持するとともに、前記エラー検出部が前記データをエラーデータと判定した場合に、前記エラーデータを受信する前に保持した前記正常データと前記エラーデータとを組として出力する通信データ保持部と、
    前記通信データ保持部が出力した前記エラーデータと前記正常データとの前記組を、前記第2の通信路を介して前記検査装置に転送するとともに、前記第2の通信路を介して前記検査装置から受信した前記検査データを前記第1の通信路に転送するデータ転送部と
    を有しており、
    前記検査装置は、
    前記ゲートウェイ装置の前記データ転送部から受信した前記エラーデータと前記正常データとの前記組を保持する生成基データ保持部と、
    前記生成基データ保持部が保持する前記組に含まれる前記正常データに基づいて前記検査データを生成する検査データ生成部と、
    前記検査データ生成部が生成した前記検査データを前記ゲートウェイ装置の前記データ転送部に送信する検査部と
    を有している、
    請求項1または2に記載の検査システム。
  4. 前記検査装置は、1つの前記正常データから、1つの前記検査データを生成する、
    請求項1から3までのいずれか1項に記載の検査システム。
  5. 前記制御装置と前記ゲートウェイ装置とは車両に搭載され、
    前記検査装置は、前記車両の外部に設置され、
    前記ゲートウェイ装置と前記検査装置とは、前記第2の通信路を介して、無線通信を行う、
    請求項1から4までのいずれか1項に記載の検査システム。
JP2018162873A 2018-08-31 2018-08-31 検査システム Active JP6633157B1 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018162873A JP6633157B1 (ja) 2018-08-31 2018-08-31 検査システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018162873A JP6633157B1 (ja) 2018-08-31 2018-08-31 検査システム

Publications (2)

Publication Number Publication Date
JP6633157B1 JP6633157B1 (ja) 2020-01-22
JP2020034486A true JP2020034486A (ja) 2020-03-05

Family

ID=69166688

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018162873A Active JP6633157B1 (ja) 2018-08-31 2018-08-31 検査システム

Country Status (1)

Country Link
JP (1) JP6633157B1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7109621B1 (ja) 2021-05-06 2022-07-29 三菱電機株式会社 制御システム

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005284847A (ja) * 2004-03-30 2005-10-13 Denso Corp 車両ダイアグ情報送受信システム、車載装置およびセンター装置
JP2007041952A (ja) * 2005-08-04 2007-02-15 Nissan Motor Co Ltd データ処理装置およびデータ処理方法
JP2008312010A (ja) * 2007-06-15 2008-12-25 Fujitsu Microelectronics Ltd Canのエラー検出評価方法およびcan通信装置
JP2011070515A (ja) * 2009-09-28 2011-04-07 Toyota Central R&D Labs Inc 障害診断システム、障害診断装置および障害診断方法
US20130024066A1 (en) * 2011-05-27 2013-01-24 Systech International, Llc Fraud detection in an obd inspection system
JP2015214169A (ja) * 2014-05-07 2015-12-03 日立オートモティブシステムズ株式会社 検査装置、検査システム及び検査方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005284847A (ja) * 2004-03-30 2005-10-13 Denso Corp 車両ダイアグ情報送受信システム、車載装置およびセンター装置
JP2007041952A (ja) * 2005-08-04 2007-02-15 Nissan Motor Co Ltd データ処理装置およびデータ処理方法
JP2008312010A (ja) * 2007-06-15 2008-12-25 Fujitsu Microelectronics Ltd Canのエラー検出評価方法およびcan通信装置
JP2011070515A (ja) * 2009-09-28 2011-04-07 Toyota Central R&D Labs Inc 障害診断システム、障害診断装置および障害診断方法
US20130024066A1 (en) * 2011-05-27 2013-01-24 Systech International, Llc Fraud detection in an obd inspection system
JP2015214169A (ja) * 2014-05-07 2015-12-03 日立オートモティブシステムズ株式会社 検査装置、検査システム及び検査方法

Also Published As

Publication number Publication date
JP6633157B1 (ja) 2020-01-22

Similar Documents

Publication Publication Date Title
WO2015159520A1 (ja) 車載ネットワークシステム、不正検知電子制御ユニット及び不正検知方法
US11245547B2 (en) Monitoring controller area network (CAN) nodes
JP6594732B2 (ja) 不正フレーム対処方法、不正検知電子制御ユニット及び車載ネットワークシステム
JP6063606B2 (ja) ネットワーク通信システム、不正検知電子制御ユニット及び不正対処方法
US20180144119A1 (en) Misuse detection method, misuse detection electronic control unit, and misuse detection system
JP7182559B2 (ja) ログ出力方法、ログ出力装置及びプログラム
JP2018026791A (ja) フレーム伝送阻止装置、フレーム伝送阻止方法及び車載ネットワークシステム
CN105700510A (zh) Can通信系统的错误分散检测方法及can通信系统
US11463198B2 (en) Security module for a serial communications device
US11115430B2 (en) Tactical bus fuzz tester
US11895127B2 (en) Vehicle communication device, method of determining communication abnormality, and storage medium storing program
WO2016116973A1 (ja) 不正フレーム対処方法、不正検知電子制御ユニット及び車載ネットワークシステム
US11283646B2 (en) Monitoring local interconnect network (LIN) nodes
US11218501B2 (en) Detector, detection method, and detection program
JP6633157B1 (ja) 検査システム
US20100309908A1 (en) Method and system for communicating with a network device
US20230224289A1 (en) Communication device, vehicle, communication method, and recording medium recorded with program
US20230231739A1 (en) Inspection apparatus and inspection method
CN116232571A (zh) 车机加密方法、装置、设备、存储介质及车辆
JP6611891B1 (ja) 検査システム
US11832098B2 (en) Vehicle communication system, communication method, and storage medium storing communication program
JP2900781B2 (ja) ケーブル接続異常検出回路およびその方法
WO2020054395A1 (ja) 中継装置
CN117201035A (zh) 车辆安全检测方法、装置、电子设备及存储介质
CN118871906A (zh) 用错误检测校验包装非安全合规硬件资源以满足安全标准

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180831

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190716

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190820

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190911

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20191112

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20191211

R150 Certificate of patent or registration of utility model

Ref document number: 6633157

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350