JP6384733B2 - 通信システム、及び制御装置 - Google Patents

通信システム、及び制御装置 Download PDF

Info

Publication number
JP6384733B2
JP6384733B2 JP2015228124A JP2015228124A JP6384733B2 JP 6384733 B2 JP6384733 B2 JP 6384733B2 JP 2015228124 A JP2015228124 A JP 2015228124A JP 2015228124 A JP2015228124 A JP 2015228124A JP 6384733 B2 JP6384733 B2 JP 6384733B2
Authority
JP
Japan
Prior art keywords
information
ecu
transmission path
message
bus
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2015228124A
Other languages
English (en)
Other versions
JP2017094869A (ja
Inventor
和慶 脇田
和慶 脇田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Honda Motor Co Ltd
Original Assignee
Honda Motor Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Honda Motor Co Ltd filed Critical Honda Motor Co Ltd
Priority to JP2015228124A priority Critical patent/JP6384733B2/ja
Priority to CN201611004797.8A priority patent/CN107040439B/zh
Priority to US15/352,730 priority patent/US9787817B2/en
Publication of JP2017094869A publication Critical patent/JP2017094869A/ja
Application granted granted Critical
Publication of JP6384733B2 publication Critical patent/JP6384733B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • B60R16/0231Circuits relating to the driving or the functioning of the vehicle
    • B60R16/0232Circuits relating to the driving or the functioning of the vehicle for measuring vehicle parameters and indicating critical, abnormal or dangerous conditions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B1/00Details of transmission systems, not covered by a single one of groups H04B3/00 - H04B13/00; Details of transmission systems not characterised by the medium used for transmission
    • H04B1/38Transceivers, i.e. devices in which transmitter and receiver form a structural unit and in which at least one part is used for functions of transmitting and receiving
    • H04B1/3822Transceivers, i.e. devices in which transmitter and receiver form a structural unit and in which at least one part is used for functions of transmitting and receiving specially adapted for use in vehicles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M1/00Substation equipment, e.g. for use by subscribers
    • H04M1/72Mobile telephones; Cordless telephones, i.e. devices for establishing wireless links to base stations without route selection
    • H04M1/724User interfaces specially adapted for cordless or mobile telephones
    • H04M1/72403User interfaces specially adapted for cordless or mobile telephones with means for local support of applications that increase the functionality
    • H04M1/72409User interfaces specially adapted for cordless or mobile telephones with means for local support of applications that increase the functionality by interfacing with external accessories
    • H04M1/724098Interfacing with an on-board device of a vehicle
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/48Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M1/00Substation equipment, e.g. for use by subscribers
    • H04M1/60Substation equipment, e.g. for use by subscribers including speech amplifiers
    • H04M1/6033Substation equipment, e.g. for use by subscribers including speech amplifiers for providing handsfree use or a loudspeaker mode in telephone sets
    • H04M1/6041Portable telephones adapted for handsfree use
    • H04M1/6075Portable telephones adapted for handsfree use adapted for handsfree use in a vehicle
    • H04M1/6083Portable telephones adapted for handsfree use adapted for handsfree use in a vehicle by interfacing with the vehicle audio system

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Human Computer Interaction (AREA)
  • Small-Scale Networks (AREA)
  • Automation & Control Theory (AREA)
  • Mechanical Engineering (AREA)

Description

本発明は、通信システム、及び制御装置に関する。
近年、車両内に設けた複数の制御装置同士が車両内のネットワークを介して通信し、車両における各種制御対象を制御するための通信システムがある。このような通信システムにおいて、複数の経路を設けて構成する場合がある。また、ネットワークにおける不正行為がなされた際に、その影響を低減させるための技術が知られている(例えば、特許文献1参照。)。上記の技術として、自装置が送信すべき識別情報が附された通信メッセージを、自装置が受信した場合、その通信メッセージを異常なものと判断するものがある。
特開2014−11621号公報
しかしながら、特許文献1によれば、自装置が受信すべき識別情報が附された通信メッセージの他に、自装置が送信すべき識別情報が附された通信メッセージ等も受信する。この技術では、その状態を検出するために通信メッセージの受信数が増大して、処理が煩雑になる。複数の経路からそれぞれメッセージを受信する通信システムでは、経路が増加することにより、尚のこと、ネットワークにおける不正な状態を検出するための処理が煩雑になるという問題がある。
本発明は、このような事情を考慮してなされたものであり、より簡便な構成により、ネットワークにおける不正な行為から制御装置を守ることができる通信システム、及び制御装置を提供することを目的の一つとする。
請求項1記載の発明は、車両内に設けられた第1伝送路と第2伝送路のそれぞれに、信号を送信する第1装置(ECU10−1)と、前記第2伝送路に送信された前記信号に基づいて車載機器の制御を行い、制御の結果を示す信号を前記第3伝送路に送信する制御装置(ECU10−3)と、前記第1伝送路から受信した前記信号に含まれる第1情報と前記第3伝送路から受信した前記信号に含まれる第2情報と比較することで、前記第1装置のなりすましが存在する状態を含む前記車両における不正状態検出する第2装置(ECU10−2)と、を備える通信システム(通信システム1)である。
請求項2記載の発明における前記第1装置は、所定の第3情報が含まれる信号を前記第2伝送路に送信するとともに、前記第3情報と異なる前記第1情報が含まれる信号を前記第1伝送路に送信し、前記制御装置は、前記第3情報を前記第2情報に変換し、前記第2装置は、前記第1情報と前記第2情報とが所定の程度を越えて異なる場合に、前記不正状態と判定する。
請求項3記載の発明における前記第1装置は、共通の情報が含まれる信号を、前記第1伝送路および前記第2伝送路に送信し、前記第2装置は、前記制御装置による変換によって前記第2情報が生成される基となった元情報を前記第2情報に基づいて予測して予測情報を生成し、前記第1情報と、前記予測情報とが、所定の程度を越えて異なる場合、もしくは、前記第1情報を前記変換と同じ変換をすることにより得られる情報と、前記第2情報とが、所定の程度を越えて異なる場合のうち少なくとも何れかの場合に、前記不正状態と判定する。
請求項4記載の発明は、車両内に設けられた第1伝送路と第2伝送路のそれぞれに、制御装置に向けた信号を送信する第1装置と、前記第1伝送路に送信された信号に基づいて車載機器の制御を行い、制御の結果を示す第1の信号を第3伝送路に送信する第1制御装置と、前記第2伝送路に送信された信号に基づいて車載機器の制御を行い、制御の結果を示す第2の信号を第4伝送路に送信する第2制御装置と、前記第3伝送路から受信した第1の信号に含まれる第1情報と前記第4伝送路から受信した第2の信号に含まれる第2情報と比較することで、前記第1装置のなりすましが存在する状態を含む前記車両における不正状態を検出する第2装置と、を備える通信システムである。
請求項5記載の発明における前記第1装置は、共通の情報が含まれる信号を、前記第1伝送路および前記第2伝送路に送信し、前記第2装置は、前記第1情報を基にして、前記第1制御装置によって前記第1情報が生成される基とした第1の元情報の推定値が決定され、前記第1の元情報の推定値に基づいて前記第2制御装置が生成し得る第2予測情報を決定して、前記第2情報と、前記第2予測情報とが、所定の程度を越えて異なる場合、前記第2情報を基にして、前記第2制御装置によって前記第2情報が生成される基とした第2の元情報の推定値が決定され、前記第2の元情報の推定値に基づいて前記第1制御装置が生成し得る第1予測情報を決定して、前記第1情報と前記第1予測情報とが所定の程度を越えて異なる場合、もしくは、前記第1情報を基にして、前記第1制御装置によって前記第1情報が生成される基とした第1の元情報の推定値が決定され、前記第2情報を基にして、前記第2制御装置によって前記第2情報が生成される基とした第2の元情報の推定値が決定され、前記第1の元情報と前記第2の元情報とが所定の程度を越えて異なる場合、のうち少なくとも何れかの場合に、前記不正状態と判定する。
請求項6記載の発明における前記第1装置および前記第2装置は、前記第1装置が前記第1伝送路に送信する第3情報または前記第2伝送路に送信する第4情報のいずれか一方を定めたときに、他方の情報を所定の範囲で定める対応テーブルを有し、前記第2装置は、前記第1情報を基にして、前記第1制御装置によって前記第1情報が生成される基とした第1の元情報の推定値が決定され、前記第1の元情報の推定値に基づいて前記対応テーブルを参照して得られた変換値を、前記第2制御装置が変換することで取得され得る第2予測情報を決定して、前記第2情報と、前記第2予測情報とが、所定の程度を越えて異なる場合、前記第2情報を基にして、前記第2制御装置によって前記第2情報が生成される基とした第2の元情報の推定値が決定され、前記第2の元情報の推定値に基づいて前記対応テーブルを参照して得られた変換値を、前記第1制御装置が変換することで取得され得る第1予測情報を決定して、前記第1情報と前記第1予測情報とが所定の程度を越えて異なる場合、もしくは、前記第1情報を基にして、前記第1制御装置によって前記第1情報が生成される基とした第1の元情報の推定値が決定され、前記第2情報を基にして、前記第2制御装置によって前記第2情報が生成される基とした第2の元情報の推定値が決定され、前記第1の元情報と前記第2の元情報とが前記対応テーブルによる対応関係にない場合のうち少なくとも何れかの場合に、前記不正状態と判定する。
請求項7記載の発明における前記第4伝送路は、前記第2伝送路と同一の伝送路である。
請求項8記載の発明における前記第3伝送路は、前記第4伝送路と同一の伝送路である。
請求項9記載の発明における前記第3伝送路は、前記第1伝送路と同一の伝送路である。
請求項10記載の発明における少なくとも前記第1装置が送信する信号は、信号の送信元情報を含む。
請求項11記載の発明における前記第2装置は、前記第1情報と前記第2情報とのうちの少なくとも何れか一方の情報を、変換情報に変換して、前記何れか一方を変換した場合には前記第1情報と前記第2情報とのうちの他方と前記変換情報とを比較し、又は前記第1情報と前記第2情報との双方を変換した場合には前記第1情報の変換情報と前記第2情報の変換情報とを比較する。
請求項12記載の発明における前記制御装置は、さらに別の情報を組み合わせて、前記第2情報に変換する。
請求項13記載の発明における前記第2装置は、前記受信した信号に含まれる第1情報と、前記受信した信号に含まれる第2情報との間に所定の相関が認められない場合に、前記不正状態にあると判定する。
請求項14記載の発明における前記第2装置は、前記第1情報と前記第2情報との何れかまたは双方の情報に基づいて前記第2装置に対応する車載機器によって実行される前記車両の機能を制御する。
請求項15記載の発明における前記制御装置には、前記車両の機能を実行するハードウェアと当該ハードウェアの制御応答を取得するセンサとが対応付けられており、前記制御装置は、前記第2伝送路から受信した信号に含まれる制御指令値をもとに前記ハードウェアを制御して前記センサが取得する前記制御応答を、前記第2情報とする。
請求項16記載の発明における前記ハードウェアは、駆動装置、変速機、計器のうちの何れかを含む。
請求項17記載の発明における前記第2装置は、前記第1装置になりすました不正装置が存在すると判定することで、前記不正状態と判定する。
請求項18記載の発明における前記第1装置、前記第2装置、および前記制御装置の少なくとも何れかは、異なる2以上の伝送路間の通信を仲介する機能を有する。
請求項19記載の発明における前記制御装置は、自己に異常が生じた場合には、異常を示す情報を送信し、前記第2装置は、前記異常を示す情報を受信した場合には、前記制御装置における異常と判定することで、前記異常を示す情報を受信していない場合には、前記第1装置になりすました不正装置が存在すると判定することで、前記不正状態と判定する。
請求項20記載の発明は、上記請求項に記載の通信システムにおける制御装置であって、前記第2情報を生成する規則を、前記第1装置または前記第2装置と共有する制御装置である。
請求項に記載の発明によれば、車両内に設けられた第1伝送路と第2伝送路のそれぞれに、信号を送信し、前記第2伝送路に送信された前記信号に基づいて車載機器の制御を行い、制御の結果を示す信号を第3伝送路に送信し、前記第1伝送路から受信した前記信号に含まれる第1情報と前記第3伝送路から受信した前記信号に含まれる第2情報とに基づいて比較することで、前記車両における不正状態を検出することにより、より簡便な構成により、ネットワークにおける不正な行為から制御装置を守ることができる。
第1の実施形態の通信システム1の構成を示す図である。 本実施形態のECU10の構成例を示す図である。 本実施形態のECU10がバス2に送信するメッセージMの形式例である。 本実施形態の通信システム1の不正状態の検出の一例を示す図である。 本実施形態の通信システム1の構成例を示す図である。 本実施形態のECU10−3の構成例を示す図である。 本実施形態のECU10−3における処理の一例を示すフローチャートである。 不正状態検出処理について説明するための図である。 2つの経路からメッセージMを受信するECU10−2における不正状態検出処理の一例を示すフローチャートである。 第1の実施形態の第1の変形例の通信システム1Aを示す図である。 不正状態検出処理について説明するための図である。 2つの経路からメッセージMを受信するECU10−2における不正状態検出処理の一例を示すフローチャートである。 第2の実施形態の通信システム1の構成を示す図である。 本実施形態の通信システム1の構成を示す図である。 2つの経路からメッセージMを受信するECU10−2における不正状態検出処理の一例を示すフローチャートである。 第3の実施形態の通信システム1の構成を示す図である。 本実施形態の通信システム1の構成を示す図である。 本実施形態のECU10−4Cの構成例を示す図である。 2つの経路からメッセージを受信するECU10−2Cにおける不正状態検出処理の一例を示すフローチャートである。 不正状態検出処理における相関の判定処理の一例を示すフローチャートである。 不正状態検出処理における相関の判定処理の一例を示すフローチャートである。 不正状態検出処理における相関の判定処理の一例を示すフローチャートである。 第4の実施形態の通信システム1の構成を示す図である。 本実施形態の通信システム1の構成を示す図である。 本実施形態のECU10−4Dの構成例を示す図である。 不正状態検出処理における相関の判定処理の一例を示すフローチャートである。 不正状態検出処理における相関の判定処理の一例を示すフローチャートである。 不正状態検出処理における相関の判定処理の一例を示すフローチャートである。 変形例として示すネットワークNYの構成の例を示す図である。 変形例として示すネットワークNYの構成の例を示す図である。 変形例として示すネットワークNYの構成の例を示す図である。 変形例として示すネットワークNYの構成の例を示す図である。
以下、図面を参照し、本発明の通信システム、送信装置、及び通信方法の実施形態について説明する。
(第1の実施形態)
実施形態の通信システム1は、第1装置が複数の伝送路に同じ情報を含む信号を送信し、1つの伝送路の信号が変換され、第2装置がその複数の伝送路から受信した信号を比較するものである。図1は、本実施形態の通信システム1の構成を示す図である。通信システム1は、例えば車両に搭載される。通信システム1は、少なくとも車両内にバス2−1(第1伝送路)とバス2−2(第2伝送路)を含むネットワークNWを構成する。実施形態のバス2−1とバス2−2は、互いに異なる伝送路を成す。実施形態の互いに異なる伝送路とは、バス2−1とバス2−2のように、物理的に互いに接続されていないものをいう。通信システム1は、例えば、ネットワークNWを介してCAN(Controller Area Network)に基づく通信が行われる。
通信システム1は、ECU10−1(第1装置)と、ECU10−2(第2装置)と、ECU10−3(制御装置)と、ECU10−4とを含む。ECU10−1とECU10−2は、バス2−1とバス2−2とに接続される。ECU10−3は、バス2−2に、ECU10−4は、バス2−1に接続される。以下、ECU10−1からECU10−4を区別しない場合は、単にECU10と表記する。特に明示しない場合、ECU10は、共通のバス2−1とバス2−2の少なくとも何れかに接続される。以下、バス2−1とバス2−2を区別しない場合は、単にバス2と表記する。バス2の複数の伝送路を示す場合、単に複数の伝送路という場合がある。例えば、ECU10は、バス2に信号を送出するとともに、同じバス2に接続された他のECU10からバス2に送信された信号を受信する。
ECU10は、自装置が所属するネットワークNWに信号を送信し、ネットワークNWに送信された信号を受信する。ECU10は、ネットワークNWを介して所望のデータを送信する場合には、メッセージを単位にする信号を送信する。メッセージは、信号の一例である。以下、ネットワークNWを介して通信する各メッセージのことをメッセージMという。メッセージMは、所定のフレームを成し、フレームの管理情報として附された識別子(以下、IDという。)により識別される。ECU10は、自ECU10が受信すべきメッセージMを識別するためのID(以下、登録IDという)をそれぞれ保持している。ECU10は、受信したメッセージMのうちから、登録IDと同じ値のIDが附されたメッセージを抽出して取得する。ECU10は、ネットワークNWを介して所望のデータを送信せずに、所定の情報を通知する場合には、メッセージを単位とすることなく、上記の所定の情報に対応する信号を送信する。この場合の信号には、情報を特定の符号に変換した結果の信号、所定の電圧の信号、無信号等も含まれる。
図1に示すように、各ECU10には、各種の車載機器である制御対象20(ハードウェア)が対応付けられている。この図に示す例では、ECU10に対応する車載機器として、例えばECU10−1には燃料噴射装置(INJ)21が、ECU10−2には変速機(TM)22が、ECU10−3にはエンジン(ENG)23が、ECU10−4には計器24が、それぞれ対応付けられている。燃料噴射装置21と、変速機22と、エンジン23と、計器24は、車載機器の一例である。図1に示す例において、エンジン23は、燃料噴射装置21から燃料の供給を受け、気化した燃料を燃焼させて出力を得る。このようなエンジン23は、駆動装置の一例である。エンジン23の出力は、その軸を介して変速機22に供給される。変速機22は、エンジン23の軸の回転数(Ne)を所定の回転数に変換する。例えば、変速機22は、変換後の回転数で車両の駆動輪を駆動させる。図示した各制御対象20は、その制御状態が互いに関係するものの組み合わせになっている。車両を駆動するのに必要とされる各制御対象20を制御するためのECU10が制御対象20に対応させて複数設けられ、各制御対象20を制御するための機能が、各ECU10に分散して割り付けられる場合がある。
例えば、図1に示すようにネットワークNWを構成し、ECU10−1から他のECU10に向けて情報を送信する場合、ECU10−1は、ECU10−2に対して、バス2−1とバス2−2の複数の経路で制御指令等の信号を送る。なお、ECU10−3とECU10−4は、ECU10−1からECU10−2に対して送信する情報を、他のECU等の装置を介して中継して送信する場合がある。本実施形態ではECU10−3が情報を中継する場合について説明する。
最初に、各ECU10に共通する点を中心に説明し、個々のECU10の個別の説明については後述する。
図2は、ECU10の構成例を示す図である。ECU10は、例えば、記憶部120と、通信部140と、IF部160と、制御部180とを備える。制御部180は、例えば、CPU(Central Processing Unit)等のプロセッサを含む。
記憶部120は、例えば、ROM(Read Only Memory)、EEPROM(Electrically Erasable and Programmable Read Only Memory)、HDD(Hard Disk Drive)等の不揮発性の記憶装置と、RAM(Random Access Memory)、レジスタ等の揮発性の記憶装置によって実現される。記憶部120は、アプリケーションプログラム122や、通信制御プログラム124等のプログラムと、上記のプログラムが参照する各種情報を格納する。また、記憶部120は、送信バッファ126と、受信バッファ128とを含む。送信バッファ126には、ECU10からメッセージMに含めて送信するデータが格納される。受信バッファ128には、ECU10が受信したメッセージMに含まれたデータが格納される。また、記憶部120は、各種情報として、例えばネットワークNWを介して送受信するメッセージMのIDが格納されたIDテーブル等を記憶する。メッセージMのIDは、送信元、送信先、メッセージMの種類等を示す情報を含む。また、記憶部120には、ネットワークNWに送信されるメッセージMの送信スケジュールおよびメッセージMの優先度を示す優先度情報が記憶されている。
なお、記憶部120は、情報の変換方法を規定する変換規則等を記憶する場合がある。
また、ECU10がメッセージを受信する場合に、対を成すメッセージであることを判定する条件は、予め決定され、その情報が記憶部120に記憶されることがある。その判定条件には、送信元の組み合わせに関する情報、各メッセージを受信した時刻の差の許容値等が含まれてもよい。
アプリケーションプログラム122は、ECU10にそれぞれ割り当てられた情報処理を行うためのプログラムである。例えば、アプリケーションプログラム122は、車両に設けられた各種機能部を制御するためのプログラム、ネットワークNWを介する通信を中継するためのプログラム、ネットワークNWの通信を統制するためのプログラム等を含むものであってもよい。通信制御プログラム124は、アプリケーションプログラム122からの要求に応じて通信部140を制御して通信処理を実施させるためのプログラムである。通信制御プログラム124は、通信プロトコルの階層に対応させた場合、アプリケーションプログラム122が実施する通信処理より低位の階層の通信処理を実施するように構成される。
通信部140は、バス2に接続され、バス2を介した通信するためのインタフェースである。例えば、通信部140は、CANコントローラとドライバ等を含み、通信制御部185の制御によりメッセージMを送信する送信部、またはメッセージMを受信する受信部として機能して所望の通信を実施する。通信部140は、送信バッファ126に積まれたメッセージMを送信する。通信部140は、バス2から受信したメッセージMを受信バッファ128に格納する。
IF部160は、制御対象20と検出部220とを接続するインタフェースである。IF部160は、制御対象20を駆動する駆動部を含む。制御対象20は、ECU10に対応付けられた各種ハードウェアを示す。IF部160は、制御対象20の状態を検出する検出部220からの情報を制御部180に供給する。
制御部180は、各種プログラムを実行して、各機能部に機能を実現する。制御部180は、送信処理部181と、受信処理部182と、通信制御部185と、駆動制御部186とを含む。
送信処理部181と、受信処理部182と、駆動制御部186等の各部は、アプリケーションプログラム122を実行することにより機能し、ECU10に与えられた制御を実行する。
送信処理部181は、ECU10からメッセージ等を送信する場合、送信するメッセージ等を含む情報を送信バッファ126に格納して、通信制御部185に送信要求を通知する。受信処理部182は、他のECU10等からメッセージ等を受信する場合、通信制御部185からメッセージ等の受信があったことの通知を受け、受信バッファ128に格納された情報を取得する。
駆動制御部186は、制御対象20を制御する制御量を決定し、制御対象20を制御する。例えば、駆動制御部186は、ECU10が他のECU10等から取得した情報、検出部220において検出された情報等に基づいて制御量を決定する。
通信制御部185は、通信制御プログラム124を実行することにより機能し、送信処理部181と受信処理部182とからの制御を受け、ECU10の通信処理を実行する。通信制御部185は、通信部140を介して受信されたメッセージMのIDとIDテーブルに格納された登録IDとを参照し、受信されたメッセージMに関して自装置が受信する情報が含まれたメッセージMであるか否かを判定する。通信制御部185は、自ECU10が受信する情報がメッセージMに含まれる場合、メッセージMに含まれた情報を取得し、受信バッファ128に格納する。一方、通信制御部185は、自ECU10が受信する情報がメッセージMに含まれていない場合、例えば、メッセージMの情報を破棄する。通信制御部185は、通信部140にメッセージMを送信させる。なお、通信制御部185は、フレームFの送信に応じて送信バッファ126に記憶させたメッセージを消去する。
図3は、ECU10がバス2に送信するメッセージMの形式例である。図3(a)に、1回の送信において送信されるメッセージMを示す。メッセージMは、スタートオブフレーム(SOF)、メッセージMのID等を識別するためのリモートトランスミッションリクエスト(RTR)を含むアービトレーションフィールド、フレームのバイト数等を示すコントロールフィールド、転送するメッセージMの実体であるデータフィールド、誤り検出符号(CRC)を付加するCRCフィールド、応答通知(ACK)を受けるACKスロット及びACKデリミタ、エンドオブフレーム(EOF)等を含む。
ECU10は、データフィールドに、制御情報等を割り付けて通信する。
(不正状態の検出)
図4は、通信システム1の不正状態の検出の一例を示す図である。ECU10−1は、バス2−1とバス2−2のそれぞれに、メッセージM1を送信する。次に、ECU10−3は、バス2−2に送信されたメッセージM1(信号)に基づいてエンジン23の制御を行い、制御の結果を示すメッセージM2(信号)をバス2−2に送信する。次に、ECU10−2は、バス2−1からメッセージM1を、バス2−2からメッセージM2をそれぞれ受信して、メッセージM1とメッセージM2とに基づいた比較を実施することで、車両における不正状態を検出する。
次に、個々のECU10について説明する。
(ECU10−1)
図5は、通信システム1の構成例を示す図である。同図には、バス2に接続された各ECU10と制御対象20が示されている。
図5に示すECU10−1は、例えば、記憶部120−1と、通信部140−1と、IF部160−1と、制御部180−1とを含む。
記憶部120−1は、記憶部120のアプリケーションプログラム122と送信バッファ126と受信バッファ128に代えて、アプリケーションプログラム122−1と送信バッファ126−1と受信バッファ128−1とを含む。
アプリケーションプログラム122−1は、燃料噴射装置21を制御するための処理と、他のECU10に対して制御指令を送信するための処理を含む。送信バッファ126−1は、バス2−1とバス2−2に対応して独立に構成された送信バッファを含む。受信バッファ128−1は、バス2−1とバス2−2に対応して独立に構成された受信バッファを含む。
通信部140−1は、バス2−1とバス2−2にそれぞれ接続される。通信部140−1は、バス2−1とバス2−2に対応する通信を独立に実施する。
制御部180−1は、送信処理部181−1と、受信処理部182−1と、通信制御部185−1と、駆動制御部186−1とを含む。
通信制御部185−1は、前述の通信制御部185の処理に加え、制御を受けバス2−1とバス2−2に対応する通信処理を独立に実施する。
駆動制御部186−1は、燃料噴射装置21を制御して、例えば所定量の燃料を燃料噴射装置21から噴射させる。駆動制御部186−1は、更に、他のECU10に対応させて設けられた制御対象20を制御するための情報を、それぞれのECU10宛に送信するように送信処理部181−1を制御する。
送信処理部181−1は、駆動制御部186−1からの指示に応じて、他のECU10に送信する情報を取得して、ネットワークNWにメッセージMを送信する。例えば、送信処理部181−1は、バス2−1に送信するメッセージMとバス2−2に送信するメッセージMとを生成し、送信バッファ126−1にそれぞれ格納した後、通信制御部185−1に送信要求を通知する。バス2−1に送信するメッセージMとバス2−2に送信するメッセージMをECU10−2宛に送信する場合、送信処理部181−1は、それぞれのメッセージMは対応したものになるように送信する。例えば、送信処理部181−1は、それぞれのメッセージMに含める情報は対応するものにして、送信時刻の時間差を少なくするように送信する。もしくは、送信処理部181−1は、それぞれのメッセージMが対応するものであることを示す識別符号を付してメッセージMを送信してもよい。
送信処理部181−1は、一方のバス2に接続されたECU10宛にメッセージ等を送信する場合、そのECU10が接続された方のバス2に信号を送信する。送信処理部181−1は、例えば、送信するメッセージ等を含む情報を、送信先のECUが接続された伝送路に対応する送信バッファ126−1に格納して、通信制御部185−1に送信要求を通知する。
受信処理部182−1は、他のECU10等からメッセージ等を受信する場合、通信制御部185−1からメッセージ等の受信があったことの通知を受け、受信バッファ128−1に格納された情報を伝送路に対応させて取得する。
(ECU10−3)
図6は、ECU10−3の構成例を示す図である。ECU10−3は、例えば、記憶部120−3と、通信部140と、IF部160−3と、制御部180−3とを含む。記憶部120−3は、前述の記憶部120に対し、更に変換処理に係る変換規則132を含む。
記憶部120−3は、記憶部120のアプリケーションプログラム122に代えて、アプリケーションプログラム122−3を含む。アプリケーションプログラム122−3は、エンジン23を制御するための処理を含み、さらに、中継処理部183を制御するための処理を含む。
制御部180−3は、送信処理部181−3と、受信処理部182と、中継処理部183と、通信制御部185−3と、駆動制御部186−3とを含む。
受信処理部182−3は、前述の受信処理部182の処理に加え、さらに、ECU10−1からメッセージMを受信し、情報を取得した場合、中継処理部183に情報取得完了を通知する。送信処理部181−3は、前述の送信処理部181の処理に加え、さらに、駆動制御部186−3と中継処理部183とからの通信要求を受け付けて、通信制御部185−3を制御してメッセージMを送信させる。
中継処理部183は、受信処理部182−3からの通知を受け、受信したメッセージMに含まれた情報に基づいて、変換規則132により定められた所定の変換処理を実施する。中継処理部183は、変換処理の結果を示す情報を生成し、送信処理部181−3にその情報を供給して、所定の送信先を指定して送信させる。
中継処理部183が参照する変換規則132について説明する。
・変換処理の入力情報は、バス2に送信されたメッセージM(信号)から抽出した、車載機器の制御を行うための情報である。例えば、その情報には、制御指令値、制御指令値から所定の演算により導かれる数値等が含まれる。
・変換処理の出力情報は、上記の制御指令情報に基づいて制御対象を制御した結果を示す情報である。例えば、その情報には、制御応答値、制御結果から所定の演算により導かれる数値等が含まれる。
・変換処理の出力情報として実際の制御の結果を利用できない場合、制御対象の特性を数値した制御モデルを用いてもよく、予め制御指令値に対する応答予測値をテーブルとして定義してもよい。例えば、実際の制御対象が接続されていないECU10が変換規則を共有する場合等が含まれる。
・変換処理の結果として、上記の出力情報を含むメッセージM(第2の信号)を生成して、メッセージMを受信したバス2と同じバス2に送信する。例えば、ECU10−3の場合、バス2−2に送信する。
例えば、変換規則132を上記のように定める。
・なお、上記の変換規則132は、受信した情報と、受信した情報と種類が異なる別の情報とを組み合わせて、送信する情報を生成してもよい。
図7は、ECU10−3における処理の一例を示すフローチャートである。受信処理部182は、メッセージM1とメッセージM2とを受信して(S10)、制御指令値にする情報をメッセージM1とメッセージM2から抽出する(S12)。駆動制御部186は、検出部220からの情報を取得して制御対象の状態を検出し(S14)、制御対象の状態を判定する(S16)。
S16において、正常な制御状態にあると判定した場合、駆動制御部186は、S12において抽出した制御指令値と、S14において取得したセンサ情報に基づいて制御量を調整して、制御対象を制御する(S18)。駆動制御部186は、制御対象の応答状態を検出部220によって検出する(S20)。駆動制御部186は、制御指令値、制御量、センサ情報等により、制御対象の状態を判定する(S22)。S22において、正常な制御状態にあると判定した場合、中継処理部183は、S20において検出した制御応答値を送信する(S24)。駆動制御部186は、制御状態を継続させて(S26)、以上の処理を終了する。
一方、S16またはS22において、正常な制御状態にないと判定した場合、中継処理部183は、状態の異常を通知する信号(以下、異常通知という。)を送出する(S32)。駆動制御部186は、制御対象の制御状態をフェイルセーフ処理に移行させて(S34)、以上の処理を終了する。
図4に戻り、通信システム1について説明を続ける。上述のECU10−1は、バス2−1に送信するメッセージM1の送信先としてECU10−2を指定し、バス2−2に送信するメッセージM1の送信先としてECU10−3を指定する。なお、メッセージM1は、制御対象20のエンジン23を制御する第1情報D1を含むものとする。
この場合、ECU10−3は、メッセージM1に含まれた第1情報D1に基づいて、エンジン23を制御する。また、ECU10−3は、第1情報D1に対する変換規則132に基づいた変換処理を実施して、その結果である第2情報D2を含むメッセージM2を、所定の宛先として指定するECU10−2宛に送信する。また、ECU10−3は、制御対象に異常を検出した場合、その検出を示す信号を、ECU10−2を含む他のECU10に対して送信する。
(ECU10−2)
ECU10−2は、例えば、記憶部120−2と、通信部140−2と、IF部160−2と、制御部180−2とを含む。
記憶部120−2は、前述の記憶部120−1と同様に、バス2−1とバス2−2に対応する送信バッファ126−2と受信バッファ128−2を含み、更に変換規則132を含む。
通信部140−2は、バス2−1とバス2−2にそれぞれ接続される。通信部140−2は、バス2−1とバス2−2に対応する通信を独立に実施する。
制御部180−2は、送信処理部181−2と、受信処理部182−2と、通信制御部185−2と、駆動制御部186−2とを含む。
送信処理部181−2は、送信バッファ126−2を利用して前述の送信処理部181−1と同様の処理をする。
受信処理部182−2は、他のECU10等からメッセージM等を受信する場合、通信制御部185−2からメッセージ等の受信があったことの通知を受け、受信バッファ128−2に格納された情報を、伝送路ごとに取得する。
受信処理部182−2は、バス2−1とバス2−2から受信した情報に基づいて不正状態検出処理を実施する。例えば、受信処理部182−2がバス2−1とバス2−2から受信する情報には、メッセージM1に含まれる第1情報D1と、メッセージM2に含まれる第2情報D2とが含まれる。受信処理部182−2は、第1情報D1と第2情報D2に基づいた比較を実施する。受信処理部182−2は、その結果に基づいて、ネットワークNWにおける不正な状態が生じていることを検出する。受信処理部182−2は、不正な状態が生じていると判定した場合には、予め定められた所望の処理を実施する。
本実施形態の受信処理部182−2は、変換部1821と比較部1822とを含む。変換部1821は、予め決定された第1情報D1と第2情報D2の少なくとも何れかを、変換規則132に従って変換する。比較部1822は、変換部1821による変換後の結果と、変換部1821が変換しない他方の情報とを比較する。図5に示す構成は、変換部1821は、第1情報D1を、変換規則132に従って変換し、比較部1822がその変換結果と第2情報D2とを比較する場合を例示する。
(不正状態検出処理)
続いて、通信システム1の不正状態検出処理の詳細について説明する。
図8は、不正状態検出処理について説明するための図である。同図に示すグラフは、メッセージM2に含まれる第2情報D2と、メッセージM2に含まれる第2情報D2の推定値D2estとを軸にとる。第1情報D1と第2情報D2に線形性がある場合には、第1情報D1と第2情報D2の組み合わせにより定まる点P(D1,D2)が右肩上がりに楕円状に分布する。その楕円の範囲が含まれるように、判定閾値の下限値TH11と上限値TH12を決定する。判定閾値の下限値TH11と上限値TH12までの範囲に点P(D1,D2)がある場合に、ECU10−2は、メッセージM1とメッセージM2に、即ちメッセージM1に含まれる第1情報D1とメッセージM2に含まれる第2情報D2含まれる第2情報D2とに、所定の相関があると判定する。
上記のとおりECU10−2は、ECU10−3が有する変換規則132と同じ変換規則132を有している。ECU10−2は、バス2−1から受信したメッセージM1の第1情報D1に基づいて、変換規則132に従った変換処理を実施して、別の経路のバス2−2から受信するメッセージM2に含まれる第2情報D2の推定値D2estを生成する。その後、ECU10−2は、第2情報D2とその推定値D2estの相関を判定する。
このような相関の判定処理によれば、ECU10−2が変換規則132に従った変換処理を判定に先立って実施したことで、第2情報D2と第1情報D1とを比較する判定処理に代えて、第2情報D2と推定値D2estとを比較する判定処理として実施できる。これにより、通信システム1では、情報の単位(次元)を揃えた比較を行うことが可能になり、相関の判定がより正確になる。
ECU10−2は、上記の何れかの方法により比較を実施して、その結果に所定の相関が認められない場合に、不正状態にあると判定する。
図9は、2つの経路からメッセージMを受信するECU10−2における不正状態検出処理の一例を示すフローチャートである。まず、受信処理部182−2は、バス2−1とバス2−2の2つの経路から、自装置を送信先とするIDを含むメッセージMを受信する(S110)。次に、受信処理部182−2は、上記の2つの経路から受信したメッセージMに、対を成すメッセージMがあるか否かを判定する(S112)。例えば、上記の判定で、受信処理部182−2は、メッセージMを受信した時刻の時間差が所定値以内のメッセージMを、対を成すものと判定する。
S112において、対を成すメッセージMであると判定した場合、受信処理部182−2は、バス2−2から受信するメッセージM2に含まれる第2情報D2に対する推定値を算出する(S118)。
次に、受信処理部182−2は、対を成すメッセージMに含まれた情報に相関が有るか否かを判定する(S120)。S120において、対を成すメッセージMにそれぞれ含まれた情報に相関が有ると判定した場合、受信処理部182−2は、受信した何れかのメッセージMに含まれていた情報に基づいて、対応付けられたハードウェアを制御し(S122)、一連の処理を終える。なお、上記のハードウェアの一例が変速機22である。
一方、S120における対を成すメッセージMに含まれた情報の相関がないと判定した場合、受信処理部182−2は、通信システム1が不正状態にあると判定する(S124)。
例えば、検出した不正状態の要因を特定するため、受信処理部182−2は、ECU10−3から異常通知(図7のS32)があったか否かを判定する(S1241)。S1241において、異常通知があったと判定した場合には、ECU10−3において不正な状態があると判定する。一方、S1241において、受信処理部182−2は、異常通知がなかったと判定した場合には、ECU10−1のなりすましが存在すると判定する(S1243)。
S124の処理を終えた後、受信処理部182−2は、受信したメッセージMに含まれた情報に基づいて実施するハードウェアの制御を保留し(S126)、S1242またはS1243の判定結果に応じた所定の処理を実施して、一連の処理を終える。
また、S112において、対を成すメッセージMがないと判定した場合、受信処理部182−2は、通信システム1に障害が発生していると判定し(S130)、受信したメッセージMに含まれた情報に基づいて実施するハードウェアの制御を保留し(S132)、一連の処理を終える。
次に、本実施形態の適用について、具体的な例を挙げて説明する。
ECU10−1は、燃料噴出量を示す制御指令値(第1情報D1)を用いて燃料噴射装置21を制御する。ECU10−1は、燃料噴出量を示す制御指令値を、バス2−1とバス2−2に送信する。ECU10−2は、バス2−1からその制御指令値、バス2−2から、その制御指令値により作動したエンジン23の出力値(第2情報D2)を受信する。ECU10−2は、制御指令値から予測される出力予測値(推定値D2est)を算出し、その出力予測値と、現に取得された出力値とが所定の程度を越えて異なる場合に、不正が生じていると判定する。
さらに、ECU10−3は、制御対象に生じた下記のような異常を検知する。例えば、エンジン23に対する制御指令値から予測されるエンジン23の推定出力値と、実際のエンジン23の出力値とが異なる異常状態がある。ECU10−3は、エンジン23の推定出力値と、実際のエンジン23の出力値との対比を行い、その差が所定値より大きい場合には、エンジン23に異常が生じていると推定する。
ECU10−3は、その判定結果をECU10−2に通知し、ECU10−2がその異常通知を取得する。これにより、ECU10−2は、エンジン23に異常が生じていることを検知する。さらにECU10−2は、この異常通知の結果と、上記の不正が生じていると判定した結果とを組み合わせることで、エンジン23の異常が要因となったものか、ECU10−1になりすました装置が存在していることが要因となったものかを判定する。これにより、ECU10−2は、ECU10−3から異常通知を利用することで、メッセージM1とメッセージM2とに基づいた比較では特定しきれなかった、ECU10−3における異常(対応するハードウェアの異常)と、ECU10−1のなりすまし装置の存在を検出することができる。
以上に示した実施形態によれば、車両内に設けられたバス2−1とバス2−2のそれぞれに、ECU10−1がメッセージM1を送信し、ECU10−3がバス2−2に送信されたメッセージM1に基づいて車載機器の制御を行い、制御の結果を示す第2の信号をバス2−2に送信し、ECU10−2が、バス2−1から受信したメッセージM1に含まれる第1情報D1とバス2−2から受信したメッセージM2に含まれる第2情報D2とに基づいて比較することで、車両における不正状態を検出することにより、より簡便な構成により、ネットワークにおける不正な行為からECU10を守ることができる。
また、第1の実施形態によれば、ECU10において送信元または送信先のIDとして自装置のIDが附されたメッセージ(フレーム)を受信することを必須としない。ECU10は、送信先のIDとして自装置のIDが附されたメッセージを受信する通常の受信処理を利用して構成できる。
また、第1の実施形態によれば、上述のバス2のような複数の伝送路を含むネットワークNWにそれぞれ対応するメッセージMを送信することで、通信システム1の信頼度を高めることができ、さらには、ネットワーク資源の活用効率を高めることができる。
また、第1の実施形態によれば、ECU10−2は、ECU10−2による車両の機能を制御することに用いる信号を、不正状態を検出することに利用するので、専ら不正状態を検出するためだけに用いられる信号を生成せずに済み煩雑さを避けることが可能になる。同様に、ECU10−3による車両の機能の制御結果に係る信号が、ECU10−2において不正状態を検出することに利用されるので、専ら不正状態を検出するためだけに用いられる信号を生成せずに済み、通信処理が煩雑になることを避けることが可能になる。
(第1の実施形態の第1の変形例)
第1の実施形態の第1の変形例について説明する。本変形例は、ECU10−2が実施する比較対象が第1の実施形態と異なる。この点について説明する。
図10は、第1の実施形態の第1の変形例の通信システム1Aを示す図である。通信システム1は、ECU10−1と、ECU10−2Aと、ECU10−3と、ECU10−4とを含む。
(ECU10−2A)
ECU10−2Aは、例えば、記憶部120−2と、通信部140−2と、IF部160−2と、制御部180−2Aとを含む。制御部180−2Aは、送信処理部181−2と、受信処理部182−2Aと、通信制御部185−2と、駆動制御部186−2とを含む。受信処理部182−2Aは、比較部1822Aを含む。
(不正状態検出処理)
続いて、本変形例の通信システム1の不正状態検出処理の詳細について説明する。
図11は、不正状態検出処理について説明するための図である。同図に示すグラフは、前述の図8のグラフと縦軸が異なり、メッセージM1に含まれる第1情報D1と、メッセージM2に含まれる第2情報D2とを軸にとる。第1情報D1と第2情報D2に線形性がある場合には、第1情報D1と第2情報D2の組み合わせにより定まる点P(D1,D2)が右肩上がりの楕円状に分布する。その楕円の範囲が含まれるように、判定閾値の下限値TH21と上限値TH22が設定される。判定閾値の下限値TH21と上限値TH22までの範囲に点P(D1,D2)がある場合に、ECU10−2は、メッセージM1とメッセージM2に、即ちメッセージM1に含まれる第1情報D1とメッセージM2に含まれる第2情報D2含まれる第2情報D2とに、所定の相関があると判定する。
図12は、2つの経路からメッセージMを受信するECU10−2における不正状態検出処理の一例を示すフローチャートである。前述の図9と異なる点を中心に説明する。
まず、受信処理部182−2Aは、バス2−1とバス2−2からメッセージNを受信し(S210)、対を成すメッセージMがあるか否かを判定する(S212)。
S212において、対を成すメッセージMであると判定した場合、受信処理部182−2は、対を成すメッセージMに含まれた情報に相関が有るか否かを判定する(S220)。より具体的には、受信処理部182−2Aの比較部1822Aは第1情報D1と第2情報D2に相関が有るか否かを比較して判定する。S220において、第1情報D1と第2情報D2に相関が有ると判定した場合、受信処理部182−2は、第1情報D1と第2情報D2の何れかに基づいて、対応付けられたハードウェアを制御し(S222)、一連の処理を終える。
一方、S220において、第1情報D1と第2情報D2に相関がないと判定した場合、受信処理部182−2は、通信システム1が不正状態にあると判定し(S224)、第1情報D1と第2情報D2に基づいて実施するハードウェアの制御を保留して(S226)一連の処理を終える。
以上に説明した、第1の実施形態の第1の変形例によれば、ECU10−2が受信した第1情報D1と第2情報D2を比較することにより、不正状態を検出し、第1の実施形態と同様の効果を奏する。
(第1の実施形態の第2の変形例)
第1の実施形態の第2の変形例について説明する。本変形例は、ECU10−2が実施する変換処理が第1の実施形態と異なる。この点について説明する。受信処理部182−2は、ECU10−2によって第2情報D2が生成される基となった元情報を第2情報D2に基づいて予測して予測情報D1estを生成し、メッセージM1に含まれていた第1情報D1と、予測情報D1estとが、所定の程度を越えて異なる場合に、不正が生じていると判定する。以上に説明した、第1の実施形態の第2の変形例によれば、第2情報D2に基づいて、ECU10−3における変換処理の逆変換を実施して予測情報D1estを得ることにより、第1の実施形態と同様の効果を奏する。
(第1の実施形態の第3の変形例)
第1の実施形態の第3の変形例について説明する。実施形態1において、他のECU10が通知する異常通知を不正状態検出処理に利用することで、ECU10−3における異常と、ECU10−1のなりすまし装置の存在を検出することについて説明したが、本変形例本変形例におけるECU10−2は、他のECU10が通知する異常通知を不正状態検出処理に利用しない。この点について説明する。
ECU10−2は、不正状態検出処理の結果から、通信システム1における不正状態を検出する。この場合、ECU10−1のなりすまし装置の存在の検出は、他の手段により実現するとよい。以上に示した第1の実施形態の第3の変形例によれば、他のECU10が自身の異常を通知できない場合であっても、ECU10−2が不正状態を検出できる。
(第2の実施形態)
以下、第2の実施形態について説明する。第2の実施形態は、ECU10−1Bがバス2−1とバス2−2に異なる情報を含むメッセージMを送信し、1つの伝送路の信号が変換され、第2装置がその複数の伝送路から受信した信号を比較する点において、第1の実施形態と相違する。以下、この相違点を中心に説明する。
図13と図14は、本実施形態の通信システム1の構成を示す図である。前述の図1の構成と異なる点を中心に説明する。なお、同図において、前述の図1と共通する部分で記載を省略している個所が有る。また、同図は、ある通信状態に通信システム1がおかれた場合の不正状態検出処理の一例を示す。
通信システム1は、ECU10−1Bと、ECU10−2Bと、ECU10−3と、ECU10−4とを含む。
(ECU10−1B)
ECU10−1Bは、例えば、記憶部120−1Bと、通信部140−1と、IF部160−1と、制御部180−1Bとを含む。
記憶部120−1Bは、前述の記憶部120−1に対しECU10−2の変換規則132と同じ変換規則132を含む。
制御部180−1Bは、送信処理部181−1Bと、受信処理部182−1と、通信制御部185−1と、駆動制御部186−1とを含む。送信処理部181−1Bは、変換部1811を含み、バス2−1に送信するメッセージMを変換部1811により変換規則132に従って変換する。送信処理部181−1Bは、メッセージM1Aを生成し、バス2−1に送信する。上記の点が、送信処理部181−1と異なる。
(ECU10−2B)
ECU10−2Bは、例えば、記憶部120−2と、通信部140−2と、IF部160−2と、制御部180−2Bとを含む。制御部180−2Bは、送信処理部181−2と、受信処理部182−2Bと、通信制御部185−2と、駆動制御部186−2とを含む。受信処理部182−2Bは、比較部1822Bを含む。
比較部1822Bは、バス2から受信したメッセージMに基づいた変換処理を実施せずに、各メッセージMに含まれている情報を比較する。
(不正状態検出処理と相関の判定方法)
ECU10−1Bは、バス2−2に送信するメッセージM1の第1情報D1に基づいて、変換規則132に従った変換処理を実施して、別の経路のバス2−2から送信するメッセージM2に含まれる第2情報D2の推定値D2estを生成する。ECU10−1Bは、推定値D2estを含むメッセージM1Aをバス2−1に送信し、一方で、第1情報D1を含むメッセージM1をバス2−2に送信する。
前述したように、ECU10−3は、第1情報D1を含むメッセージM1をバス2−2から受信して、第2情報D2を含むメッセージM2をバス2−2に送信する。
ECU10−2Bは、メッセージM2とメッセージM1Aとを比較して、その差が所定の範囲ある場合に、相関があると判定する。例えば、ECU10−2Bは、バス2−1から受信したメッセージM1Aの推定値D2estとメッセージM2に含まれる第2情報D2に基づいた判定処理を実施する。
このような相関の判定処理によれば、ECU10−1Bが変換規則132に従った変換処理を判定に先立って実施したことで、第2情報D2と第1情報D1とを比較する判定処理に代えて、第2情報D2と推定値D2estとを比較する判定処理として実施できる。これにより、通信システム1Bでは、情報の単位を揃えた比較を行うことが可能になり、相関の判定がより正確になる。
図15は、2つの経路からメッセージMを受信するECU10−2における不正状態検出処理の一例を示すフローチャートである。前述の図9と異なる点を中心に説明する。まず、受信処理部182−2Bは、バス2−1とバス2−2からメッセージMを受信し(S310)、対を成すメッセージMがあるか否かを判定する(S312)。
S312において、対を成すメッセージMであると判定した場合、受信処理部182−2は、対を成すメッセージMに含まれた情報に相関が有るか否かを判定する(S320)。より具体的には、受信処理部182−2Bの比較部1822Bは推定値D2estと第2情報D2に相関が有るか否かを比較して判定する。
S320において、推定値D2estと第2情報D2に相関が有ると判定した場合、受信処理部182−2Bは、推定値D2estと第2情報D2の何れかに基づいて、対応付けられたハードウェアを制御し(S322)、一連の処理を終える。
一方、S320において、推定値D2estと第2情報D2に相関がないと判定した場合、受信処理部182−2Bは、通信システム1が不正状態にあると判定し(S324)、推定値D2estと第2情報D2に基づいて実施するハードウェアの制御を保留して(S326)一連の処理を終える。
次に、本実施形態の適用について、具体的な例を挙げて説明する。
ECU10−1Bは、燃料噴出量を示す制御指令値(第1情報D1)を用いて燃料噴射装置21を制御する。ECU10−1Bは、燃料噴出量を示す制御指令値を、バス2−2に送信し、バス2−1にはその制御指令値から予測したエンジン23の出力予測値(第2推定値D2est)を送信する。
ECU10−2Bは、バス2−1からエンジン23の出力予測値、バス2−2から、燃料噴出量の制御指令値により作動したエンジン23の出力値(第2情報D2)を受信する。ECU10−2Bは、バス2−1からエンジン23の出力予測値と、現に取得されたエンジン23の出力値とが所定の程度を越えて異なる場合に不正が生じていると判定する。
以上に示した、第2の実施形態によれば、第1情報D1(所定の第3情報)が含まれるメッセージM3をバス2−2に送信するとともに、第1情報D1と異なる第2推定値D2est(第1情報)が含まれるメッセージM1Aをバス2−1に送信し、バス2−2に送信されたメッセージM3に基づいてエンジン23の制御を行い、第1情報D1を変換した情報として、例えばエンジン23の制御の結果(第2情報D2)を得て、第2情報D2を示すメッセージM2をバス2−2に送信し、第1情報D1と第2情報D2が所定の程度を越えて異なる場合に、所定の相関が認められないと判定することにより、より簡便な構成により、ネットワークにおける不正な行為からECU10を守ることができる。
また、第2の実施形態によれば、上記の第1の実施形態と同様の効果を奏するものに加え、ECU10−1Bがバス2−1とバス2−2に異なる種類の情報を含むメッセージMを送信し、ECU10−2Bが同じ種類の情報を含むメッセージMを受信することにより、より簡便な構成にすることができる。
(第3の実施形態)
以下、第3の実施形態について説明する。第3の実施形態は、ECU10−1Cがバス2−1とバス2−2に異なる情報を含むメッセージMを送信し、何れかまたは双方のバス2の信号が変換され、ECU10−2Cがその複数の伝送路から受信した信号に基づいて比較する点において、第1の実施形態と相違する。以下、この相違点を中心に説明する。
図16と図17は、本実施形態の通信システム1の構成を示す図である。同図において、前述の図1と共通する部分で記載を省略している個所がある。また、図16は、ある通信状態に通信システム1がおかれた場合の不正状態検出処理の一例を示す。通信システム1は、ECU10−1Cと、ECU10−2Cと、ECU10−3と、ECU10−4Cとを含む。
(ECU10−1C)
ECU10−1Cは、例えば、記憶部120−1Cと、通信部140−1と、IF部160−1と、制御部180−1Cとを含む。
記憶部120−1Cは、前述の記憶部120−1に対し、さらに対応テーブル136を含む。対応テーブル136は、バス2−1とバス2−2に送信する制御情報を少なくとも一方の制御情報から他方の制御情報に変換するための情報を格納する。対応テーブル136に格納する情報は、上記と逆方向の他方の制御情報から一方の制御情報への変換を行えるものとしてもよい。対応テーブル136に格納する情報は、変換表のように数値データとして構成してもよく、或いは、対応関係を示す変換式として構成してもよい。以下の説明では、対応テーブル136に格納する情報のことを、変換規則という。
制御部180−1Cは、送信処理部181−1Cと、受信処理部182−1と、通信制御部185−1と、駆動制御部186−1Cとを含む。駆動制御部186−1Cは、対応テーブル136を用いて制御情報を生成し、その送信を送信制御部181−Cに要求する。上記の制御情報には、メッセージM4に含めてバス2−1に送信するものと、メッセージM3に含めてバス2−2に送信するものが含まれる。これらの制御情報は、互いに対を成し、対を成す制御情報には、対応テーブル136に記憶された変換規則に従った相関がある。送信処理部181−1Cは、駆動制御部186−1Cからの要求に応じて、メッセージM4を生成しバス2−1に送信し、メッセージM3を生成しバス2−2に送信する。上記の点が、送信処理部181−1と異なる。
(ECU10−4C)
図18は、ECU10−4Cの構成例を示す図である。ECU10−4Cは、例えば、記憶部120−4と、通信部140と、IF部160−4と、制御部180−4とを含む。ECU10−4Cの各部は、前述のECU10−3の各部に対応する。
記憶部120−4は、記憶部120−3に対応し、記憶部120−3の変換規則132に代えて、変換規則134を含む。変換規則134は、メッセージM4をメッセージM1に変換するための変換規則を含む。変換規則134についての上記以外の点に関しては、前述の変換規則132を参照する。
制御部180−4は、送信処理部181−4と、受信処理部182と、中継処理部184と、通信制御部185−4と、駆動制御部186−4とを含む。駆動制御部186−4には、対応して設けられた検出部220はなく、制御応答値も出力しない場合がある。中継処理部184は、中継処理部183に対応し、変換規則134に従って同様の処理を実施する。中継処理部184は、メッセージM4をメッセージM1に変換して送信させる。中継処理部184は、駆動制御部186−4からの制御結果を受ける代わりに、仮想的なセンサとして機能し、変換規則134に従って制御結果を生成する。
(ECU10−2C)
図17に戻り、ECU10−2Cについて説明する。ECU10−2Cは、例えば、記憶部120−2Cと、通信部140−2と、IF部160−2と、制御部180−2Cとを含む。
記憶部120−2Cは、前述の記憶部120−2の構成に加え、更に変換規則134と対応テーブル136とを含む。
制御部180−2Cは、送信処理部181−2と、受信処理部182−2Cと、通信制御部185−2と、駆動制御部186−2とを含む。受信処理部182−2Cは、受信処理部182−2に対応する。
本実施形態の受信処理部182−2Cは、変換部1821Cと比較部1822Cとを含む。変換部1821Cは、予め決定された第1情報D1と第2情報D2の少なくとも何れかを、所定の変換規則に従って変換する。比較部1822Cは、変換部1821Cによる変換後の結果と、変換部1821Cが変換しない他方の情報とを比較する。または、比較部1822Cは、変換部1821Cによる変換後の結果どうしを比較する。前述の受信処理部182−2は、受信したメッセージMに含まれた情報から、変換規則132に従って推定情報を生成していたが、これに加え、受信処理部182−2Cは、変換規則134に従って推定情報を生成する。受信処理部182−2Cは、変換規則132のみ、変換規則134のみ、変換規則132と変換規則134の双方の何れかを利用した推定処理を実行する。受信処理部182−2Cは、さらに、対応テーブル136に基づいた変換処理を実施する場合がある。
(不正状態検出処理)
続いて、前述の図11を参照して、通信システム1の不正状態検出処理について説明する。本実施形態に示す例では、ECU10−2Cが不正状態検出処理を実行する。
ECU10−1Cは、バス2−1とバス2−2のそれぞれに、制御装置に向けたメッセージMを送信する。ECU10−4Cは、バス2−1に送信されたメッセージM4に基づいて計器24の制御を行い、制御の結果を示すメッセージM1をバス2−1に送信する。ECU10−3は、バス2−2に送信されたメッセージM3に基づいてエンジン23の制御を行い、制御の結果を示すメッセージM2をバス2−2に送信する。
ここで、ECU10−2Cは、バス2−1からメッセージM1を、バス2−2からメッセージM2を受信して、メッセージM1とメッセージM2とに基づいて、車両における不正状態を検出する。ECU10−2Cは、メッセージM1に含まれる第1情報D1と、メッセージM2に含まれる第2情報D2とに基づいて比較する。ECU10−2Cは、比較の結果から、第1情報D1と第2情報D2間に所定の相関が認められない場合に、不正状態にあると判定する。
図19は、2つの経路からメッセージを受信するECU10−2Cにおける不正状態検出処理の一例を示すフローチャートである。この図に示す処理のうち、前述の図4に示す処理と同様の処理についての説明を省略し、相違点を中心に説明する。
まず、受信処理部182−2Cは、バス2−1とバス2−2の2つの経路から、ECU10−2Cを送信先とするIDを含むメッセージMを受信する(S410)。次に、受信処理部182−2Cは、上記の2つの経路から受信したメッセージMに、対を成すメッセージMがあるか否かを判定する(S412)。
S412において、対を成すメッセージMがあると判定した場合、ECU10−2Cは、推定値の算出が必要か否かを判定する(S414)。この推定値の算出の指定は、例えば、ECU10−1等からの指示に従って受信処理部182−2Cが選択する。S414において、推定値の算出が不要と判定された場合、ECU10−2Cは、S420の処理に進める。
一方、S414において、推定値の算出が必要と判定された場合、算出する推定値を選択する(S416)。第1情報D1を選択した場合、受信処理部182−2Cは、第1情報D1の推定値を算出し(S417)、ECU10−2Cは、S420の処理に進める。第2情報D2を選択した場合、受信処理部182−2Cは、第2情報D2の推定値を算出し(S418)、ECU10−2Cは、S420の処理に進める。第1情報D1と第2情報D2とを選択した場合、受信処理部182−2Cは、第1情報D1の推定値と第2情報D2の推定値の双方を算出する(S419)。S414、S417、S418、または、S419の処理の結果に基づいて、受信処理部182−2Cは、前述のS420からS426までの処理と同様の処理をして、一連の処理を終える。
また、一方、S412において、対を成すメッセージがないと判定した場合、受信処理部182−2Cは、通信システム1に障害が発生していると判定して(S430)、受信した情報に基づいた制御を保留し(S432)、一連の処理を終える。
(不正状態検出処理における相関の判定方法)
不正状態検出処理における相関の判定方法のより具体的な方法について説明する。図20から図22は、不正状態検出処理における相関の判定処理の一例を示すフローチャートである。
(第1の判定方法)
ECU10−2Cが受信した情報の相関よりも、ECU10−1Cが送信した情報の相関の方が高い場合がある。
ECU10−1Cがバス2−1に送信するメッセージM4に含まれる情報D4と、ECU10−1Cがバス2−2に送信するメッセージM3に含まれる情報D3との間に、所定の相関があり、ECU10−2Cが受信する情報の相関より高いとする。
ECU10−2Cは、ECU10−1Cがバス2に送信したメッセージMを直接受信することができず、受信できるメッセージMとその情報は下記のものである。ECU10−4は、ECU10−1Cが送信したメッセージM4に含まれる第4情報D4を変換して、第1情報D1を生成してメッセージM1として送信する。ECU10−3は、ECU10−1Cが送信したメッセージM3に含まれる情報D3を変換して、第2情報D2を生成してメッセージM2として送信する。ECU10−2Cは、メッセージM1とメッセージM2を受信して、上記の第1情報D1と第2情報D2を得る。
そこで、ECU10−2Cは、受信した情報を利用して、ECU10−1Cが送信した情報を推定する。ECU10−2Cは、その推定情報が所定の相関を有していれば、ECU10−2Cが受信した情報に相関があると判定する。例えば、ECU10−2Cは、上記の相関を数値化した対応テーブル136を判定に利用する。
第1の判定方法の具体的な処理の一例を図20に示す。まず、受信処理部182−2Cは、第1情報D1に基づいて、ECU10−4によって第1情報D1が生成される基とした第4情報D4(第1の元情報)の推定値(以下、推定値D4estという。)を算出する(S512)。推定値D4estは、上記の第4情報D4に対応する。また、受信処理部182−2Cは、第2情報D2に基づいて、ECU10−3によって第2情報D2が生成される基とした第3情報D3(第2の元情報)の推定値(以下、推定値D3estという。)を算出する(S514)。推定値D3estは、上記の第3情報D3に対応する。
受信処理部182−2Cは、推定値D4estと推定値D3estとの関係を、対応テーブル136を参照して比較する。例えば、受信処理部182−2Cは、推定値D4estを、対応テーブル136を利用して変換することで、その変換の結果を、推定値D3estと同一の次元の値に変換できる。上記の処理は、前述の図19のS419を選択した場合の一例である。
(第2の判定方法)
次に、第2の判定方法について説明する。第2の判定方法も、第1の判定方法と同様に、対応テーブル136を利用する。上記の例は、推定値D4estと推定値D3estを比較するものであったが、次に示す例は、上記の推定値を何れか一方を利用するものである。ここでは、ECU10−4に係る推定値D4estを利用する場合を例示する。
第2の判定方法では、ECU10−4に係る推定値D4estを上記の対応テーブル136を利用して変換した情報をECU10−3の入力情報にしたモデルを考える。ECU10−3が第2情報D2を生成する際に基とした情報が情報D3である。上記の対応テーブル136を利用して変換した情報と、上記の情報D3との間に所定の相関があるものであれば、上記のそれぞれの情報をECU10−3が変換した場合に、それぞれの変換結果にも相関があるものになる。
第2の判定方法の具体的な処理の一例を図21に示す。まず、受信処理部182−2Cは、第1情報D1を基にして、ECU10−4によって第1情報D1が生成される基とした推定値D4estを決定し(S522)、推定値D4estに基づいた変換値を取得し(S524)、変換値に基づいてECU10−3が生成し得る第2予測情報を算出する(S526)。受信処理部182−2Cは、第1情報D1を基に決定された第2予測情報と、第2情報D2とを比較する。上記の処理は、前述の図19のS417を選択した場合の一例である。
(第3の判定方法)
次に、第3の判定方法について説明する。第2の判定方法に示した場合と同様に、ECU10−3に係る推定値D3estを利用することができる。その場合、ECU10−2Cは、下記の処理を実施する。
第3の判定方法の具体的な処理の一例を図22に示す。まず、受信処理部182−2Cは、第2情報D2を基にして、ECU10−3によって第2情報D2が生成される基とした推定値D3estを決定し(S532)、推定値D3estに基づいた変換値を取得し(S534)、変換値に基づいてECU10−4が生成し得る第1予測情報を算出する(S536)。受信処理部182−2Cは、第2情報D2を基に決定された第1予測情報と、第1情報D1とを比較する。上記の処理は、前述の図19のS418を選択した場合の一例である。
ECU10−2Cは、上記の3通りの判定方法の何れかを実施する。或いは、設定情報に基づいて、上記を選択して実施できるようにしてもよい。
次に、本実施形態の適用について、具体的な例を挙げて説明する。ECU10−1は、燃料噴射装置21を制御する。ECU10−1は、エンジン回転数を示す制御指令値(第1情報D1)をバス2−1に送信し、出力トルクの制御指令値(第2情報D2)をバス2−2に送信する。ECU10−4は、第1情報D1によりエンジン回転数に応じた指示値になるように計器24を動作させる。ECU10−3は、第2情報D2により所定の出力トルクが得られるようにエンジン23を駆動させる。ECU10−2は、バス2−1から計器24が指し示す値(第1情報D1)を取得し、バス2−2からエンジン23の出力トルクの検出値(第2情報D2)を取得する。ECU10−2は、計器24が指し示す値とエンジン23の出力トルクの検出値とを比較し、これらが所定の関係を越えている場合に不正が生じていると判定する。
以上に説明した、第3の実施形態によれば、ECU10−1Cが、バス2−1とバス2−2のそれぞれに、制御装置に向けたメッセージMを送信する。ECU10−4Cは、バス2−1に送信されたメッセージM4に基づいた制御の結果を示すメッセージM1をバス2−1に送信する。ECU10−3は、バス2−2に送信されたメッセージM3に基づいた制御の結果を示すメッセージM2をバス2−2に送信する。ECU10−2Cは、バス2−1からメッセージM1を、バス2−2からメッセージM2を受信して、メッセージM1とメッセージM2とに含まれる情報に基づいて比較することで、車両における不正状態を検出することにより、制御信号を利用して通信システム1における不正状態を検出することができる。
また、第3の実施形態によれば、バス2に設けられたECU10−3が、上記の制御信号を受信して、自装置に対応する制御対象20を制御することにより、上記の制御信号を用いて他のECU10がバス2を介して送信する信号を用いて、不正状態を検出することができる。
また、第3の実施形態によれば、ECU10−1がバス2に送信する情報が互いに異なる場合であっても、不正状態を検出することができる。
(第4の実施形態)
以下、第4の実施形態について説明する。第4の実施形態は、ECU10−1Dがバス2−1とバス2−2に同じ情報を含む信号を送信し、双方のバス2に送信された信号が変換され、ECU10−2Cがその複数の伝送路から受信した信号に基づいて比較する点において、第1の実施形態と相違する。以下、この相違点を中心に説明する。
図23と図24は、本実施形態の通信システム1の構成を示す図である。同図において、前述の図1と共通する部分で記載を省略している個所がある。また、図23は、ある通信状態に通信システム1がおかれた場合の不正状態検出処理の一例を示す。
通信システム1は、ECU10−1Dと、ECU10−2Dと、ECU10−3と、ECU10−4Dとを含む。
(ECU10−1D)
ECU10−1Dは、例えば、記憶部120−1と、通信部140−1と、IF部160−1と、制御部180−1Dとを含む。
制御部180−1Dは、送信処理部181−1Dと、受信処理部182−1と、通信制御部185−1と、駆動制御部186−1Dとを含む。駆動制御部186−1Dは、
駆動制御部186−1Dからの指示に応じて、他のECU10に送信する情報を取得して、ネットワークNWにメッセージMを送信する。例えば、送信処理部181−1Dは、バス2−1に送信するメッセージM3とバス2−2に送信するメッセージM3とを生成し、送信バッファ126−1にそれぞれ格納した後、通信制御部185−1に送信要求を通知する。バス2−1に送信するメッセージM3とバス2−2に送信するメッセージM3を他のECU10宛に送信する場合、送信処理部181−1Dは、それぞれのメッセージMは対応したものになるように送信する。
(ECU10−4D)
図25は、ECU10−4Dの構成例を示す図である。ECU10−4Dが備える各部は、前述のECU10−4C(図18)に対応する。
記憶部120−4Dは、変換規則134を含む。変換規則134は、メッセージM3をメッセージM1に変換するための変換規則を含む。変換規則134についての上記以外の点に関しては、前述の変換規則132の説明を参照する。
制御部180−4は、送信処理部181−4と、受信処理部182と、中継処理部184と、通信制御部185−4と、駆動制御部186−4とを含む。駆動制御部186−4には、対応して設けられた検出部220はなく、制御応答値も出力しない場合がある。中継処理部184は、中継処理部183に対応し、変換規則134に従って同様の処理を実施する。中継処理部184は、メッセージM3をメッセージM1に変換して送信させる。
(ECU10−2D)
図24に戻り、ECU10−2Dについて説明する。ECU10−2Dは、例えば、記憶部120−2Dと、通信部140−2と、IF部160−2と、制御部180−2Dとを含む。
記憶部120−2Dは、前述の記憶部120−2の構成に加え、更に変換規則134を含む。
制御部180−2Dは、送信処理部181−2と、受信処理部182−2Dと、通信制御部185−2と、駆動制御部186−2とを含む。受信処理部182−2Dは、受信処理部182−2に対応する。本実施形態の受信処理部182−2Dは、変換部1821Dと比較部1822Dとを含む。変換部1821Dは、予め決定された第1情報D1と第2情報D2の少なくとも何れかを、所定の変換規則に従って変換する。比較部1822Dは、変換部1821Dによる変換後の結果と、変換部1821Dが変換しない他方の情報とを比較する。または、比較部1822Dは、変換部1821Dによる変換後の結果どうしを比較する。前述の受信処理部182−2は、受信したメッセージMに含まれた情報から、変換規則132に従って推定情報を生成していたが、これに加え、受信処理部182−2Dは、変換規則134に従って推定情報を生成する。受信処理部182−2Dは、変換規則132のみ、変換規則134のみ、変換規則132と変換規則134の双方の何れかを利用した推定処理を実行する。
(不正状態検出処理)
続いて、前述の図11を参照して、通信システム1の不正状態検出処理について説明する。本実施形態に示す例では、ECU10−2Dが不正状態検出処理を実行する。
ECU10−1Dは、バス2−1とバス2−2のそれぞれに、同じ情報を含むメッセージM3を送信する。ECU10−4Dは、バス2−1に送信されたメッセージM3に基づいて計器24の制御を行い、制御の結果を示すメッセージM1をバス2−1に送信する。ECU10−3は、バス2−2に送信されたメッセージM3に基づいてエンジン23の制御を行い、制御の結果を示すメッセージM2をバス2−2に送信する。
ECU10−2Dは、バス2−1からメッセージM1を受信し、バス2−2からメッセージM2を受信して、メッセージM1とメッセージM2とに基づいて、車両における不正状態を検出する。ECU10−2Dは、メッセージM1に含まれる第1情報D1と、メッセージM2に含まれる第2情報D2とに基づいて比較する。ECU10−2Dは、比較の結果から、第1情報D1と第2情報D2間に所定の相関が認められない場合に、不正状態にあると判定する。
なお、ECU10−2Dにおける不正状態検出処理の一例については、前述の図19を参照する。
(不正状態検出処理における相関の判定方法)
不正状態検出処理における相関の判定方法のより具体的な方法について説明する。図26から図28は、不正状態検出処理における相関の判定処理の一例を示すフローチャートである。
(第1の判定方法)
本実施形態のECU10−1Dがバス2にそれぞれ送信する情報は同じ情報を含む。
ECU10−2Dは、ECU10−1Dがバス2に送信したメッセージM3を直接受信することができず、受信できるメッセージMとその情報は下記のものである。ECU10−4Dは、ECU10−1Dが送信したメッセージM3に含まれる第3情報D3を変換して、第1情報D1を生成してメッセージM1として送信する。ECU10−3は、ECU10−1Dが送信したメッセージM3に含まれる情報D3を変換して、第2情報D2を生成してメッセージM2として送信する。ECU10−2Dは、メッセージM1とメッセージM2を受信して、上記の第1情報D1と第2情報D2を得る。
そこで、ECU10−2Dは、受信した情報を利用して、ECU10−1Dが送信した情報を推定する。ECU10−2Dは、その推定情報が所定の相関を有していれば、ECU10−2Dが受信した情報に相関があると判定する。
第1の判定方法の具体的な処理の一例を図26に示す。まず、受信処理部182−2Dは、第1情報D1に基づいて、ECU10−4によって第1情報D1が生成される基とした第3情報D3(第1の元情報)の推定値(以下、推定値D3est−1という。)を算出する(S612)。推定値D3est−1は、上記の第3情報D3に対応する。また、受信処理部182−2Dは、第2情報D2に基づいて、ECU10−3によって第2情報D2が生成される基とした第3情報D3(第2の元情報)の推定値(以下、推定値D3est−2という。)を算出する(S614)。推定値D3est−2は、上記の第3情報D3に対応する。
受信処理部182−2Dは、推定値D3est−1と推定値D3est−2とを比較する。上記のとおり、推定値D3est−1と推定値D3est−2と同一の次元の値になる。上記の処理は、前述の図19のS419を選択した場合の一例である。
(第2の判定方法)
次に、第2の判定方法について説明する。上記の例は、推定値D3est−1と推定値D3est−2とを比較するものであったが、次に示す例は、上記の推定値を何れか一方を利用するものである。ここでは、ECU10−4Dに係る推定値D3est−1を利用する場合を例示する。
第2の判定方法では、ECU10−4Dに係る推定値D3est−1をECU10−3の入力情報にしたモデルを考える。ECU10−3が第2情報D2を生成する際に基とした情報が情報D3である。上記の推定値D3est−1と、上記の情報D3との間に所定の相関があるものであれば、上記のそれぞれの情報をECU10−3が変換した場合に、それぞれの変換結果にも相関があるものになる。
第2の判定方法の具体的な処理の一例を図27に示す。まず、受信処理部182−2Dは、第1情報D1を基にして、ECU10−4Dによって第1情報D1が生成される基とした推定値D3est−1を決定し(S622)、推定値D3est−1に基づいてECU10−3が生成し得る予測情報を算出する(S626)。受信処理部182−2Dは、第1情報D1を基に決定された予測情報と、第2情報D2とを比較する。上記の処理は、前述の図19のS417を選択した場合の一例である。
(第3の判定方法)
次に、第3の判定方法について説明する。第2の判定方法に示した場合と同様に、ECU10−4Dに係る第2の元情報の推定値を利用することができる。
その場合、ECU10−2Dは、下記の処理を実施する。
第3の判定方法の具体的な処理の一例を図28に示す。まず、受信処理部182−2Dは、第2情報D2を基にして、ECU10−3によって第2情報D2が生成される基とした推定値D3est−2を決定し(S632)、推定値D3est−2に基づいてECU10−4Dが生成し得る第1予測情報を算出する(S636)。受信処理部182−2Dは、第2情報D2を基に決定された第1予測情報と、第1情報D1とを比較する。上記の処理は、前述の図19のS418を選択した場合の一例である。ECU10−2Dは、上記の3通りの判定方法の何れかを実施する。或いは、設定情報に基づいて、上記を選択して実施できるようにしてもよい。
このように実施形態の通信システム1は、前述の第3の実施形態における対応テーブル136を用いる処理を省略することができる。
次に、本実施形態の適用について、具体的な例を挙げて説明する。ECU10−1は、燃料噴射装置21を制御する。ECU10−1は、エンジン回転数を示す制御指令値(第1情報D1)をバス2−1とバス2−2に送信する。ECU10−4Dは、第1情報D1によって、エンジン回転数に応じた指示値になるように計器24を動作させる。ECU10−3は、第1情報D1により指示されるエンジン回転数が得られるようにエンジン23を駆動させる。ECU10−2は、バス2−1から計器24が指し示す値(第1情報D1)を取得し、バス2−2からエンジン23の出力トルクの検出値(第2情報D2)を取得する。ECU10−2は、計器24が指し示す値とエンジン23の出力トルクの検出値とを比較し、これらが所定の関係を越えている場合に不正が生じていると判定する。
以上に説明した、第4の実施形態によれば、ECU10−1Dが、バス2−1とバス2−2のそれぞれに、共通する情報を含むメッセージM3を送信する。ECU10−4Dは、バス2−1に送信されたメッセージM3に基づいた制御の結果を示すメッセージM1をバス2−1に送信する。ECU10−3は、バス2−2に送信されたメッセージM3に基づいた制御の結果を示すメッセージM2をバス2−2に送信する。ECU10−2Dは、バス2−1からメッセージM1を、バス2−2からメッセージM2を受信して、メッセージM1とメッセージM2とに含まれる情報に基づいて比較することで、車両における不正状態を検出することにより、制御信号を利用して通信システム1における不正状態を検出することができる。
また、第4の実施形態によれば、バス2に設けられたECU10−3が、上記の制御信号を受信して、自装置に対応する制御対象20を制御することにより、他のECU10がバス2を介して、他のECU10に対応する制御対象を制御するための制御信号を不正状態の検出に利用することができる。
また、第4の実施形態によれば、ECU10−1Dがバス2に送信する情報が共通する場合に適用することで、不正状態を検出する構成を簡素化することができる。
また、第4の実施形態によれば、ECU10−2Dは、ECU10−3が有する変換規則132と同じ変換規則132を有している。
また、ECU10−2Dは、バス2−1から受信したメッセージM1の第1情報D1に基づいて、変換規則132に従った変換処理を実施して、バス2−2から受信するメッセージM2に含まれる第2情報D2の推定値D2estを生成してもよい。
上記の場合、実施形態に例示した相関の判定処理によれば、第2情報D2と第1情報D1とを比較する判定処理に代えて、第2情報D2と推定値D2estとを比較する判定処理として実施できる。これにより、通信システム1では、情報の単位を揃えた比較を行うことが可能になり、相関の判定がより正確になる。
なお、不正状態検出処理は、ネットワークNWに接続される各装置の制御部が実行してもよい。上記の各装置には、ECU10、ネットワークNWと他のネットワークとの通信を仲介するゲートウェイ装置、ネットワークNWの通信を統制する統合制御装置やサーバー装置等の装置が含まれる。なお、上記のゲートウェイ装置、統合制御装置、サーバー装置等の装置は、ECU10の一態様である。
なお、上記の実施形態の通信システム1によれば、ECU10−1とECU10−2と異なるECU10−3が、バス2から受信した制御信号を変換するものとして説明したが、これに代えて、ECU10−1とECU10−2の少なくとも何れかが、ECU10−3が実施していた変換処理を実施するようにしてもよい。例えば、ECU10−1とECU10−3とを一体化したECUを、ECU10−1に代えて構成したり、ECU10−2とECU10−3とを一体化したECUを、ECU10−2に代えて構成したりすることができる。
なお、図示するECU10−3とECU10−4は、通信部140を介して1つのバス2に接続されている例を例示したが、通信部140が複数のCANトランシーバを備え、それぞれ異なるバス2に接続するようにしてもよい。
例えば、上記の実施例においては、ECU10−3とECU10−4とは、それぞれが生成する信号を、当該信号を生成する基となる信号を受信した伝送路、すなわちECU10−3においてはバス2−1、ECU10−4においてはバス2−2に対して、それぞれ送信していたが、ECU10−2は、バス2−1やバス2−2とは異なる伝送路に接続されていてもよい。
図29から図32は、変形例として示すネットワークNYの構成の例を示す図である。例えば、図29に示す第1変形例のように、ECU10−2が、バス2−1やバス2−2とは異なる伝送路としてのバス2−3(第3伝送路)やバス2−4(第4伝送路)に接続される場合には、ECU10−3とECU10−4とは、バス2−3やバス2−4に対して、それぞれが生成する信号を送信してもよい。この場合には、ECU10−2は、バス2−3やバス2−4から受信する信号を用いて上記で示した不正状態検出処理を行う。例えば上記の実施形態に示す一例は、バス2−3がバス2−1と同一かつバス2−4がバス2−2と同一となる場合のネットワークNYの構成の例を示したものである。
さらに、通信システム1は、ネットワークNWを下記する変形例のように構成してもよい。図30に示す第2の変形例については、バス2−1とバス2−3とを同一の伝送路とし、且つ、バス2−2とバス2−4とを異なる伝送路として構成したものである。図31に示す第3の変形例については、バス2−2とバス2−4とを同一の伝送路とし、且つ、バス2−1とバス2−3とを異なる伝送路として構成したものである。図32に示す第4の変形例については、バス2−3とバス2−4とを同一の伝送路として構成したものである。
上記の各変形例として示すネットワークNWを利用する通信システム1において、ECU10−1は、送信元が自装置であることを示す識別符号を付加して信号をバス2−1とバス2−2に送信するよう構成してもよく、さらにECU10−3またはECU10−4は、受信した信号に、送信元がECU10−1であることを示す識別符号が付加されているかを判別し、受信した信号に、送信元がECU10−1であることを示す識別符号が付加されている場合に、車載機器に対する上記の制御を行うように構成してもよい。このような構成により、ECU10−1になりすました装置が存在する場合におけるかかる不正状態の検出をより簡便にすることができる。
また、上記の説明におけるバス2−1、バス2−2、バス2−3、バス2−4は、ネットワークNWを構成する伝送路の一例である。本実施形態の伝送路は、ECU10に接続されるケーブル(伝送線路)を単位に構成してもよく、或いは、異なるケーブルとそのケーブル間を中継する特定の装置とを含む範囲を1つの伝送路として構成してもよい。上記の特定の装置は、ECU10であってもよく、ECU10でなくてもよい。上記の装置は、異なるケーブル間で信号を中継するものであり、例えば、CANにおけるゲートウイ装置、ブリッジ装置等のようにメッセージMを透過的に中継するであってもよい。
上記の各変形例によれば、様々な構成のネットワークNWを用いた場合においても、上記の実施形態と同様の効果を奏することができる。
以上説明した少なくともひとつの実施形態によれば、通信システム1は、ECU10−1と、ECU10−2と、ECU10−3とを備える。ECU10−1は、車両内に設けられたバス2−1とバス2−2のそれぞれに、信号を送信する。ECU10−3は、バス2−2に送信された信号に基づいて車載機器の制御を行い、制御の結果を示す信号をバス2−2またはバス2−3に送信する。ECU10−2は、バス2−1から受信した信号に含まれる第1情報とバス2−2またはバス2−3から受信した信号に含まれる第2情報とに基づいて比較することで、車両における不正状態を検出することにより、より簡便な構成により、ネットワークにおける不正な行為から制御装置を守ることができる。
以上、本発明を実施するための形態について実施形態を用いて説明したが、本発明はこうした実施形態に何等限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々の変形及び置換を加えることができる。
1、1A、1B、1C‥通信システム、2…バス、2−1…バス(第1伝送路)、2−2…バス(第2伝送路)、2−3…バス(第3伝送路)、2−4…バス(第4伝送路)、10…ECU、10−1…ECU(第1装置)、10−2…ECU(第2装置)、10−3…ECU(制御装置)、10−4…ECU(制御装置)、120…記憶部、180…制御部、M1…メッセージ(第1の信号)、M2…メッセージ(第2の信号)、D1…第1情報、D2…第2情報

Claims (20)

  1. 車両内に設けられた第1伝送路と第2伝送路のそれぞれに、信号を送信する第1装置と、
    前記第2伝送路に送信された前記信号に基づいて車載機器の制御を行い、制御の結果を示す信号を第3伝送路に送信する制御装置と、
    前記第1伝送路から受信した前記信号に含まれる第1情報と前記第3伝送路から受信した前記信号に含まれる第2情報とを比較することで、前記第1装置のなりすましが存在する状態を含む前記車両における不正状態を検出する第2装置と、
    を備える通信システム。
  2. 前記第1装置は、
    所定の第3情報が含まれる信号を前記第2伝送路に送信するとともに、前記第3情報と異なる前記第1情報が含まれる信号を前記第1伝送路に送信し、
    前記制御装置は、
    前記第3情報を前記第2情報に変換し、
    前記第2装置は、
    前記第1情報と前記第2情報とが所定の程度を越えて異なる場合に、前記不正状態と判定する
    請求項1記載の通信システム。
  3. 前記第1装置は、
    共通の情報が含まれる信号を、前記第1伝送路および前記第2伝送路に送信し、
    前記第2装置は、
    前記制御装置による変換によって前記第2情報が生成される基となった元情報を前記第2情報に基づいて予測して予測情報を生成し、前記第1情報と、前記予測情報とが、所定の程度を越えて異なる場合、もしくは、
    前記第1情報を前記変換と同じ変換をすることにより得られる情報と、前記第2情報とが、所定の程度を越えて異なる場合
    のうち少なくとも何れかの場合に、前記不正状態と判定する
    請求項1記載の通信システム。
  4. 車両内に設けられた第1伝送路と第2伝送路のそれぞれに、制御装置に向けた信号を送信する第1装置と、
    前記第1伝送路に送信された信号に基づいて車載機器の制御を行い、制御の結果を示す第1の信号を第3伝送路に送信する第1制御装置と、
    前記第2伝送路に送信された信号に基づいて車載機器の制御を行い、制御の結果を示す第2の信号を第4伝送路に送信する第2制御装置と、
    前記第3伝送路から受信した第1の信号に含まれる第1情報と前記第4伝送路から受信した第2の信号に含まれる第2情報とを比較することで、前記第1装置のなりすましが存在する状態を含む前記車両における不正状態を検出する第2装置と、
    を備える通信システム。
  5. 前記第1装置は、
    共通の情報が含まれる信号を、前記第1伝送路および前記第2伝送路に送信し、
    前記第2装置は、
    前記第1情報を基にして、前記第1制御装置によって前記第1情報が生成される基とした第1の元情報の推定値が決定され、前記第1の元情報の推定値に基づいて前記第2制御装置が生成し得る第2予測情報を決定して、前記第2情報と、前記第2予測情報とが、所定の程度を越えて異なる場合、
    前記第2情報を基にして、前記第2制御装置によって前記第2情報が生成される基とした第2の元情報の推定値が決定され、前記第2の元情報の推定値に基づいて前記第1制御装置が生成し得る第1予測情報を決定して、前記第1情報と前記第1予測情報とが所定の程度を越えて異なる場合、
    もしくは、
    前記第1情報を基にして、前記第1制御装置によって前記第1情報が生成される基とした第1の元情報の推定値が決定され、前記第2情報を基にして、前記第2制御装置によって前記第2情報が生成される基とした第2の元情報の推定値が決定され、前記第1の元情報と前記第2の元情報とが所定の程度を越えて異なる場合、
    のうち少なくとも何れかの場合に、前記不正状態と判定する
    請求項4記載の通信システム。
  6. 前記第1装置および前記第2装置は、
    前記第1装置が前記第1伝送路に送信する第3情報または前記第2伝送路に送信する第4情報のいずれか一方を決定した場合に、他方の情報を所定の範囲で定める対応テーブルを有し、
    前記第2装置は、
    前記第1情報を基にして、前記第1制御装置によって前記第1情報が生成される基とした第1の元情報の推定値が決定され、前記第1の元情報の推定値に基づいて前記対応テーブルを参照して得られた変換値を決定し、決定した変換値に基づいて前記第2制御装置が変換することで取得され得る第2予測情報を決定して、前記第2情報と、前記第2予測情報とが、所定の程度を越えて異なる場合、
    前記第2情報を基にして、前記第2制御装置によって前記第2情報が生成される基とした第2の元情報の推定値が決定され、前記第2の元情報の推定値に基づいて前記対応テーブルを参照して得られた変換値を決定し、決定した変換値に基づいて前記第1制御装置が変換することで取得され得る第1予測情報を決定して、前記第1情報と前記第1予測情報とが所定の程度を越えて異なる場合、
    もしくは、
    前記第1情報を基にして、前記第1制御装置によって前記第1情報が生成される基とした第1の元情報の推定値が決定され、前記第2情報を基にして、前記第2制御装置によって前記第2情報が生成される基とした第2の元情報の推定値が決定され、前記第1の元情報と前記第2の元情報とが前記対応テーブルによる対応関係にない場合
    のうち少なくとも何れかの場合に、前記不正状態と判定する
    請求項4記載の通信システム。
  7. 前記第4伝送路は、前記第2伝送路と同一の伝送路である
    請求項4から請求項6の何れか1項に記載の通信システム。
  8. 前記第3伝送路は、前記第4伝送路と同一の伝送路である
    請求項4から請求項7の何れか1項に記載の通信システム。
  9. 前記第3伝送路は、前記第1伝送路と同一の伝送路である
    請求項1から請求項8の何れか1項に記載の通信システム。
  10. 少なくとも前記第1装置が送信する信号は、信号の送信元情報を含む
    請求項1から請求項9の何れか1項に記載の通信システム。
  11. 前記第2装置は、
    前記第1情報と前記第2情報とのうちの少なくとも何れか一方の情報を、変換情報に変換して、前記何れか一方を変換した場合には前記第1情報と前記第2情報とのうちの他方と前記変換情報とを比較し、又は前記第1情報と前記第2情報との双方を変換した場合には前記第1情報の変換情報と前記第2情報の変換情報とを比較する
    請求項1から請求項10の何れか1項に記載の通信システム。
  12. 前記制御装置は、
    さらに別の情報を組み合わせて、前記第2情報に変換する
    請求項1から請求項11の何れか1項に記載の通信システム。
  13. 前記第2装置は、
    前記受信した信号に含まれる第1情報と、前記受信した信号に含まれる第2情報との間に所定の相関が認められない場合に、前記不正状態にあると判定する
    請求項1から請求項12の何れか1項に記載の通信システム。
  14. 前記第2装置は、
    前記第1情報と前記第2情報との何れかまたは双方の情報に基づいて前記第2装置に対応する車載機器によって実行される前記車両の機能を制御する
    請求項1から請求項13の何れか1項に記載の通信システム。
  15. 前記制御装置には、
    前記車両の機能を実行するハードウェアと当該ハードウェアの制御応答を取得するセンサとが対応付けられており、
    前記制御装置は、
    前記第2伝送路から受信した信号に含まれる制御指令値をもとに前記ハードウェアを制御して前記センサが取得する前記制御応答を、前記第2情報とする
    請求項1から請求項14の何れか1項に記載の通信システム。
  16. 前記ハードウェアは、駆動装置、変速機、計器のうちの何れかを含む
    請求項15記載の通信システム。
  17. 前記第2装置は、
    前記第1装置になりすました不正装置が存在すると判定することで、前記不正状態と判定する
    請求項1から請求項16の何れか1項に記載の通信システム。
  18. 前記第1装置、前記第2装置、および前記制御装置の少なくとも何れかは、異なる2以上の伝送路間の通信を仲介する機能を有する
    請求項1から請求項17の何れか1項に記載の通信システム。
  19. 前記制御装置は、
    自己に異常が生じた場合には、異常を示す情報を送信し、
    前記第2装置は、
    前記異常を示す情報を受信した場合には、前記制御装置における異常と判定することで、
    前記異常を示す情報を受信していない場合には、前記第1装置になりすました不正装置が存在すると判定することで、前記不正状態と判定する
    請求項1から請求項18の何れか1項に記載の通信システム。
  20. 請求項1から請求項19の何れか1項に記載の通信システムにおける制御装置であって、
    前記第2情報を生成する規則を、前記第1装置または前記第2装置と共有する
    制御装置。
JP2015228124A 2015-11-20 2015-11-20 通信システム、及び制御装置 Expired - Fee Related JP6384733B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2015228124A JP6384733B2 (ja) 2015-11-20 2015-11-20 通信システム、及び制御装置
CN201611004797.8A CN107040439B (zh) 2015-11-20 2016-11-15 通信系统以及控制装置
US15/352,730 US9787817B2 (en) 2015-11-20 2016-11-16 Communication system and control device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015228124A JP6384733B2 (ja) 2015-11-20 2015-11-20 通信システム、及び制御装置

Publications (2)

Publication Number Publication Date
JP2017094869A JP2017094869A (ja) 2017-06-01
JP6384733B2 true JP6384733B2 (ja) 2018-09-05

Family

ID=58720242

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015228124A Expired - Fee Related JP6384733B2 (ja) 2015-11-20 2015-11-20 通信システム、及び制御装置

Country Status (3)

Country Link
US (1) US9787817B2 (ja)
JP (1) JP6384733B2 (ja)
CN (1) CN107040439B (ja)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10110721B2 (en) * 2016-12-30 2018-10-23 GM Global Technology Operations LLC Wireless-enabled consumer port apparatus for accommodating after-market devices flexibly in vehicles
US10743241B1 (en) 2017-06-06 2020-08-11 Nocell Technologies, LLC System, method and apparatus for facilitating the restriction of the use of one or more network devices through automated policy enforcement
US11038801B2 (en) 2017-06-06 2021-06-15 Nocell Technologies, LLC System, method and apparatus for restricting use of a network device through automated policy enforcement
JP6534710B2 (ja) * 2017-08-31 2019-06-26 本田技研工業株式会社 通信状態解析方法および通信状態解析システム
JP6950605B2 (ja) * 2018-03-27 2021-10-13 トヨタ自動車株式会社 車両用通信システム
JP6552674B1 (ja) * 2018-04-27 2019-07-31 三菱電機株式会社 検査システム
JP6555559B1 (ja) * 2018-06-15 2019-08-07 パナソニックIpマネジメント株式会社 電子制御装置、監視方法、プログラム及びゲートウェイ装置
WO2020235002A1 (ja) * 2019-05-21 2020-11-26 三菱電機株式会社 制御支援装置、制御支援方法、及び、制御支援プログラム
JPWO2021065281A1 (ja) * 2019-10-03 2021-04-08
JP7567172B2 (ja) * 2020-02-27 2024-10-16 マツダ株式会社 車載機器制御装置

Family Cites Families (36)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1263146B1 (en) * 2001-05-28 2006-03-29 Matsushita Electric Industrial Co., Ltd. In-vehicle communication device and communication control method
WO2003015002A1 (en) * 2001-08-10 2003-02-20 Tellsyn Co., Ltd System and method for collecting vehicle data and diagnosing the vehicle, and method for automatically setting the vehicle convenience apparatus using smartcard
JP2004036544A (ja) * 2002-07-04 2004-02-05 Mitsubishi Fuso Truck & Bus Corp 内燃機関の故障検出装置
JP2004100516A (ja) * 2002-09-06 2004-04-02 Mitsubishi Fuso Truck & Bus Corp 内燃機関の故障検出装置
JP4093075B2 (ja) * 2003-02-18 2008-05-28 住友電気工業株式会社 不正データ検出方法及び車載機器
JP4209743B2 (ja) * 2003-08-08 2009-01-14 三菱電機株式会社 電子制御装置
US7453853B2 (en) * 2003-10-09 2008-11-18 Ericsson Technology Licensing Ab Adaptive correlation of access codes in a packet-based communication system
US20050153758A1 (en) * 2004-01-13 2005-07-14 International Business Machines Corporation Apparatus, system and method of integrating wireless telephones in vehicles
ES2418145T5 (es) * 2005-01-25 2017-02-20 Mitsubishi Denki Kabushiki Kaisha Controlador de coche eléctrico
JP2008227591A (ja) * 2007-03-08 2008-09-25 Auto Network Gijutsu Kenkyusho:Kk 車載用の中継接続ユニット
JP4596035B2 (ja) * 2008-04-22 2010-12-08 トヨタ自動車株式会社 ハンズフリーシステム、ナビゲーションシステム、端末メモリデータ管理方法
JP4454672B2 (ja) * 2008-06-13 2010-04-21 三菱電機株式会社 監視制御回路を有する車載電子制御装置
JP2010249580A (ja) * 2009-04-13 2010-11-04 Clarion Co Ltd ナビゲーション装置
EP2428028A4 (en) * 2009-05-08 2014-07-02 Obdedge Llc SYSTEMS, METHODS AND DEVICES FOR POLICY-BASED CONTROL AND MONITORING THE USE OF MOBILE DEVICES BY VEHICLE OPERATORS
CN102845037B (zh) * 2009-11-05 2016-03-16 罗姆股份有限公司 信号传输电路器件、半导体器件、检查半导体器件的方法和装置、信号传输器件以及使用信号传输器件的电机驱动装置
EP2509263B1 (en) * 2009-12-02 2016-08-10 Toyota Jidosha Kabushiki Kaisha Data communication network system
JP2011131762A (ja) * 2009-12-25 2011-07-07 Hitachi Automotive Systems Ltd データ中継用制御装置および車両制御システム
CN102781728B (zh) * 2010-03-09 2016-02-24 本田技研工业株式会社 能与便携设备配合工作的车载设备
US8504864B2 (en) * 2010-12-01 2013-08-06 GM Global Technology Operations LLC Data sensor coordination using time synchronization in a multi-bus controller area network system
DE102011082969B4 (de) * 2011-09-19 2015-04-30 Siemens Aktiengesellschaft Verfahren zum Betreiben eines Kommunikationsnetzwerkes und Netzwerkanordnung
JP5935543B2 (ja) * 2012-06-29 2016-06-15 トヨタ自動車株式会社 通信システム
JP5637190B2 (ja) * 2012-07-27 2014-12-10 トヨタ自動車株式会社 通信システム及び通信方法
US9316664B2 (en) * 2012-08-14 2016-04-19 Honeywell International Inc. High frequency disturbance detection and compensation
US9751534B2 (en) * 2013-03-15 2017-09-05 Honda Motor Co., Ltd. System and method for responding to driver state
US9194905B2 (en) * 2013-04-03 2015-11-24 Denso Corporation Processing circuit having self-diagnosis function
JP5583244B1 (ja) * 2013-06-10 2014-09-03 三菱電機株式会社 集積回路素子を有する電子制御装置及びその集積回路素子の単品検査装置
US9508199B2 (en) * 2013-08-09 2016-11-29 Honda Motor Co., Ltd. Mobile device communicating with motor vehicle system
US9163975B2 (en) * 2013-09-24 2015-10-20 Babaco Alarm Systems, Inc. System and method for monitoring the remaining capacity and operational state of multiple shred bins
CN103471621B (zh) * 2013-09-30 2016-03-09 深圳迪恩杰科技有限公司 一种适用于车载导航多媒体终端的测试方法及测试设备
JP6062338B2 (ja) * 2013-09-30 2017-01-18 アイシン・エィ・ダブリュ株式会社 油圧制御装置
US10005455B2 (en) * 2013-10-16 2018-06-26 Sentient Ab Method in order to control vehicle behaviour
JP2015089184A (ja) * 2013-10-29 2015-05-07 アイシン精機株式会社 車両用開閉体の制御装置、制御方法、及び該制御装置を備えた車両用開閉体
JP6321967B2 (ja) * 2014-01-17 2018-05-09 ルネサスエレクトロニクス株式会社 半導体集積回路およびその動作方法
CN106663342A (zh) * 2014-02-13 2017-05-10 充电网公司 执行与连接的车辆相关联的行动
WO2015194406A1 (ja) * 2014-06-18 2015-12-23 日立オートモティブシステムズ株式会社 車載プログラム書込み装置
KR101572932B1 (ko) * 2014-07-11 2015-11-30 현대자동차주식회사 음성 인식 기능이 탑재된 차량에서의 발신 통화 제어 방법 및 장치

Also Published As

Publication number Publication date
US20170149950A1 (en) 2017-05-25
CN107040439B (zh) 2020-04-03
CN107040439A (zh) 2017-08-11
US9787817B2 (en) 2017-10-10
JP2017094869A (ja) 2017-06-01

Similar Documents

Publication Publication Date Title
JP6384733B2 (ja) 通信システム、及び制御装置
KR102310252B1 (ko) 자동차 운전자 보조 시스템에 관련된 방법
US9380070B1 (en) Intrusion detection mechanism
JP6494821B2 (ja) 不正通信検知基準決定方法、不正通信検知基準決定システム及びプログラム
JP6585019B2 (ja) ネットワーク監視装置、ネットワークシステムおよびプログラム
US11190957B2 (en) Apparatus and method for controlling vehicle based on redundant architecture
US11398944B2 (en) Vehicle fault handling method, apparatus, device and storage medium
EP3223195A1 (en) Device, method, and program for detecting object
JP7178408B2 (ja) 異常検出装置、異常検出システム及び制御方法
JP6858002B2 (ja) 物体検出装置、物体検出方法及び物体検出プログラム
WO2019176603A1 (ja) 異常診断システム及び異常診断方法
WO2018186053A1 (ja) 不正通信検知方法、不正通信検知システム及びプログラム
JP2019008618A (ja) 情報処理装置、情報処理方法及びプログラム
WO2018186054A1 (ja) 不正通信検知基準決定方法、不正通信検知基準決定システム及びプログラム
JP4491479B2 (ja) 分散制御システム
WO2019235231A1 (ja) 車載制御装置、制御プログラム及び制御方法
US20180152315A1 (en) Communication system
KR102204656B1 (ko) 일반 can 메시지의 전송지연을 예측하는 can 네트워크에 대한 메시지플러딩 공격 완화 시스템
US20240140448A1 (en) Electronic Control Device, On-Vehicle Control System, and Redundant Function Control Method
US20170199834A1 (en) Vehicle subsystem communication arbitration
JP6512134B2 (ja) データ処理装置およびデータ処理システム
KR102248287B1 (ko) 차량의 내부 네트워크 노드의 위치 추정 장치 및 방법
JP7391242B2 (ja) 制御装置
EP4350551A1 (en) Integrity verification device and integrity verification method
WO2021024716A1 (ja) 車載中継装置、コンピュータプログラム及び故障判定方法

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170928

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20171017

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171218

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180522

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180618

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180710

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180725

R150 Certificate of patent or registration of utility model

Ref document number: 6384733

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees