JP6611891B1 - 検査システム - Google Patents
検査システム Download PDFInfo
- Publication number
- JP6611891B1 JP6611891B1 JP2018193114A JP2018193114A JP6611891B1 JP 6611891 B1 JP6611891 B1 JP 6611891B1 JP 2018193114 A JP2018193114 A JP 2018193114A JP 2018193114 A JP2018193114 A JP 2018193114A JP 6611891 B1 JP6611891 B1 JP 6611891B1
- Authority
- JP
- Japan
- Prior art keywords
- data
- inspection
- network
- communication
- error
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
【課題】車両に搭載された制御装置およびゲートウェイ装置を短時間で検査できる検査システムを得る。【解決手段】車両に搭載された検査データ転送装置30が、車両内の第1のネットワークおよび第2のネットワーク70を伝送される通信データのエラーをエラー検出部210により検出し、この検出に応じて、通信データ保持部220に保持された通信データを、データ転送部230から、無線通信である第3のネットワーク80を介して検査データ生成装置90に転送すると、検査データ生成装置90は、受信した通信データを生成基データ保持部510で保持して、この通信データを基にして、検査データ生成部520により、車両に搭載された制御装置およびゲートウェイ装置20を検査するための検査データを生成して、検査データ転送装置30に送信するようにした。【選択図】図1
Description
本願は、車両に搭載された制御装置を検査する検査システムに関するものである。
車両には、ECU(Electronic Control Unit)と呼ばれる電子制御装置が複数搭載されており、そのECU間は車載ネットワークに接続され、複数の制御装置がネットワークを介して情報をやり取りすることで連携して動作している。
ECUのいくつかは、自身が備える無線通信手段を用いて、車両外部に存在する道路、住居、他の車両、カーメーカまたは車載部品供給メーカの備えるサーバなどと無線通信を行うことにより、機器間の情報共有を実現している。
この情報共有の一部として、車両外部からECUの状態を取得して、車両の故障診断を行ったり、ECUの機能を変更するために、新たなソフトウェアを車両外部からECUへ送信して更新したりすることが可能となり、エンドユーザへ有益な機能を提供できるようになっている。
ECUのいくつかは、自身が備える無線通信手段を用いて、車両外部に存在する道路、住居、他の車両、カーメーカまたは車載部品供給メーカの備えるサーバなどと無線通信を行うことにより、機器間の情報共有を実現している。
この情報共有の一部として、車両外部からECUの状態を取得して、車両の故障診断を行ったり、ECUの機能を変更するために、新たなソフトウェアを車両外部からECUへ送信して更新したりすることが可能となり、エンドユーザへ有益な機能を提供できるようになっている。
一方で、情報共有手段を悪用し、悪意のある者が異常な車両挙動を引き起こすために、不正な情報を車両へ送信することも可能となる。このような場合の対策のために、車両またはECUの設計者は、把握し得る不正な情報へ対応できるよう、機能要求あるいはセキュリティなどの非機能要求を満たす機器の設計を行った後、機器ごとの品質を十分に満たしているか検査を行う。
この不正な情報は、ECUが車両に搭載されたのちに、新たな攻撃手口などにより更新され得る。更新された不正な情報が車両に送信された場合に、ECUが異常な動作にならないようにするのが理想的である。
しかし、更新された不正な情報の中には、設計時に対応しきれない情報も存在するため、そのような情報は車両の動作に悪影響を与えることになる。
この不正な情報は、ECUが車両に搭載されたのちに、新たな攻撃手口などにより更新され得る。更新された不正な情報が車両に送信された場合に、ECUが異常な動作にならないようにするのが理想的である。
しかし、更新された不正な情報の中には、設計時に対応しきれない情報も存在するため、そのような情報は車両の動作に悪影響を与えることになる。
特許文献1には、運用時におけるECUの動作を検査する検査装置、検査システムおよび検査方法が記載されている。
しかしながら、特許文献1の技術を適用すると、以下のような問題がある。
特許文献1の動作検査用データは「ECUの設計情報に基づいてあらかじめ生成されるデータ」とあり、そのデータ数については記載がない。そのため、データ数が増加するほど検査数が増え、検査時間が増加することになる。
このため、制御装置を検査する検査時間の増加を抑制することが課題となる。
しかしながら、特許文献1の技術を適用すると、以下のような問題がある。
特許文献1の動作検査用データは「ECUの設計情報に基づいてあらかじめ生成されるデータ」とあり、そのデータ数については記載がない。そのため、データ数が増加するほど検査数が増え、検査時間が増加することになる。
このため、制御装置を検査する検査時間の増加を抑制することが課題となる。
本願は、上記のような課題を解決するための技術を開示するものであり、車両に搭載された制御装置およびゲートウェイ装置を短時間で検査できる検査システムを提供することを目的とする。
本願に開示される検査システムは、車両に搭載された制御装置およびゲートウェイ装置を検査する検査システムであって、検査のための検査データを生成する検査データ生成装置、この検査データ生成装置に車外ネットワークを介して接続され、検査データ生成装置が生成した検査データを車外ネットワークを介して受信して、制御装置およびゲートウェイ装置が接続された車内ネットワークへ転送する検査データ転送装置を備え、検査データ転送装置は、車内ネットワークに伝送される通信データを取得し、保持する通信データ保持部と、通信データのエラーを検出するエラー検出部とを有し、通信データのエラーが検出された場合に、通信データ保持部に保持された通信データのうち、エラーが検出された通信データの直前から所定数前までの通信データを、検査データ生成装置に転送し、検査データ生成装置は、検査データ転送装置から転送された通信データを保持する生成基データ保持部と、この生成基データ保持部に保持された通信データを用いて、検査データを生成する検査データ生成部とを有し、検査データ生成部により生成された検査データを検査データ転送装置へ送信するようにしたものである。
本願に開示される検査システムによれば、車両に搭載された制御装置およびゲートウェイ装置を短時間で検査することができる。
実施の形態1.
以下、実施の形態による検査システムについて、図に基づいて説明する。
図1は、実施の形態1による検査システムの構成を示すブロック図である。
図1において、検査システムは、車両10に搭載された検査データ転送装置30と、車両10の外部に設けられ、この検査データ転送装置30と第3のネットワーク80(車外ネットワーク)である無線通信を介して接続された検査データ生成装置90とを有する。 検査システムは、車両10に搭載されたゲートウェイ装置20と、1つ以上の第1の制御装置40と、1つ以上の第2の制御装置50を検査するようになっている。
以下、実施の形態による検査システムについて、図に基づいて説明する。
図1は、実施の形態1による検査システムの構成を示すブロック図である。
図1において、検査システムは、車両10に搭載された検査データ転送装置30と、車両10の外部に設けられ、この検査データ転送装置30と第3のネットワーク80(車外ネットワーク)である無線通信を介して接続された検査データ生成装置90とを有する。 検査システムは、車両10に搭載されたゲートウェイ装置20と、1つ以上の第1の制御装置40と、1つ以上の第2の制御装置50を検査するようになっている。
ゲートウェイ装置20と、検査データ転送装置30と、第1の制御装置40は、第1のネットワーク60(車内ネットワーク)で接続されている。第1の制御装置40は、例えば、ボディ系、シャシー系などの制御装置であって、ゲートウェイ装置20を介さずに車外へ無線通信を行わない制御装置である。
ゲートウェイ装置20と、検査データ転送装置30と、第2の制御装置50は、第2のネットワーク70(車内ネットワーク)で接続されている。第2の制御装置50も、ゲートウェイ装置20を介さずに車外へ無線通信を行わない制御装置である。
第1のネットワーク60と第2のネットワーク70は、それぞれ別々のCANネットワークである。CAN(Controller Area Network)は、CSMA/CA方式(Carrier Sense Multiple Access / Collision Avoidance)の通信プロトコルである。
ゲートウェイ装置20は、ゲートウェイ処理部110、第1のネットワーク60に接続される第1の通信インタフェース部120と、第2のネットワーク70に接続される第2の通信インタフェース部130を有する。
ゲートウェイ処理部110は、第1のネットワーク60で受信した通信データを通信速度および通信プロトコルを変更して、第2のネットワーク70へ送信したり、第2のネットワーク70から受信した通信データを第1のネットワーク60へ送信し、それぞれのネットワークの通信データの転送を行う。
ゲートウェイ処理部110は、第1のネットワーク60で受信した通信データを通信速度および通信プロトコルを変更して、第2のネットワーク70へ送信したり、第2のネットワーク70から受信した通信データを第1のネットワーク60へ送信し、それぞれのネットワークの通信データの転送を行う。
第1の制御装置40は、第1のネットワーク60に接続する第1の通信インタフェース部310を有する。第1の制御装置40は、アクチュエータの制御など、車両の制御に関係した機能も有している。
第2の制御装置50は、第2のネットワーク70に接続する第2の通信インタフェース部410を有する。第2の制御装置50も、アクチュエータの制御など、車両の制御に関係した機能も有している。
第2の制御装置50は、第2のネットワーク70に接続する第2の通信インタフェース部410を有する。第2の制御装置50も、アクチュエータの制御など、車両の制御に関係した機能も有している。
検査データ転送装置30は、エラー検出部210、通信データ保持部220、データ転送部230、第1のネットワーク60に接続される第1の通信インタフェース部240、第2のネットワーク70に接続される第2の通信インタフェース部250と、第3のネットワーク80に接続される第3の通信インタフェース部260を有する。
エラー検出部210は、第1のネットワーク60および第2のネットワーク70に伝送されている通信データのエラー検出を行う。エラー検出で検出されるエラーとは、例えばCAN通信プロトコルで規定されたエラーフレーム、またはデータフレームで伝送されるデータ内容の不備である。
エラー検出部210は、第1のネットワーク60および第2のネットワーク70に伝送されている通信データのエラー検出を行う。エラー検出で検出されるエラーとは、例えばCAN通信プロトコルで規定されたエラーフレーム、またはデータフレームで伝送されるデータ内容の不備である。
通信データ保持部220は、第1のネットワーク60および第2のネットワーク70に伝送されている通信データを所定数保持する。通信データ保持部220の通信データ保持数が所定数に達した場合、先に保持した通信データを削除した後、新たに受信した通信データを保持する。また、保持する通信データにはタイムスタンプを付与し、受信した順番が判別できるようになっている。
データ転送部230は、CANネットワークと無線通信の間で異なるプロトコルに対して、データを相互にプロトコル変換する。データ転送部230は、エラー検出部210がエラーを検出したことをトリガとして、通信データ保持部220に保持された通信データの中からエラーデータと、そのエラーデータを検出する直前のデータフレームのうちの所定数を第3のネットワーク80を介して検査データ生成装置90へ送信する。
検査データ生成装置90は、生成基データ保持部510、検査データ生成部520、第3のネットワーク80に接続する第3の通信インタフェース部530、および検査部540を有する。
生成基データ保持部510は、車両10から第3のネットワーク80を介して受信した通信データを保持する。検査データ生成部520は、生成基データ保持部510に保持された通信データを所定数使用して、検査データを生成する。
なお、検査データ生成方法の詳細については、後述する。
検査部540は、車両10に搭載された制御装置およびゲートウェイ装置を検査するために、検査データ生成部520により生成された検査データを第3のネットワーク80を介して、検査データ転送装置30へ送信する。
生成基データ保持部510は、車両10から第3のネットワーク80を介して受信した通信データを保持する。検査データ生成部520は、生成基データ保持部510に保持された通信データを所定数使用して、検査データを生成する。
なお、検査データ生成方法の詳細については、後述する。
検査部540は、車両10に搭載された制御装置およびゲートウェイ装置を検査するために、検査データ生成部520により生成された検査データを第3のネットワーク80を介して、検査データ転送装置30へ送信する。
図4は、実施の形態1による検査システムのCANネットワークに伝送されるCANデータフレームを示す図である。
図4に示すデータフレームの構造は、CANネットワークで使用される標準フォーマットのデータフレームである。このため、本検査データ生成方法に関わる部分についてのみ説明する。
本検査データ生成方法では、ID(identification)、DLC(Data Link Coupler)、データフィールドを使用する。
IDは、データ内容を識別するために使用され、11ビット長で、0x0〜0x7FFの2048種類の識別が可能である。
DLCは、そのデータフレームが、何バイトのデータフィールドで構成されているかを表し、0〜16の4ビットで表現する。ただし、CANネットワークの仕様により、データフィールドは、8バイトまでとされているため、実際のDLCは、0〜8の値となる。
データフィールドは、送信されるデータの部分であり、DLCによって設定されたデータ長となる。
図4に示すデータフレームの構造は、CANネットワークで使用される標準フォーマットのデータフレームである。このため、本検査データ生成方法に関わる部分についてのみ説明する。
本検査データ生成方法では、ID(identification)、DLC(Data Link Coupler)、データフィールドを使用する。
IDは、データ内容を識別するために使用され、11ビット長で、0x0〜0x7FFの2048種類の識別が可能である。
DLCは、そのデータフレームが、何バイトのデータフィールドで構成されているかを表し、0〜16の4ビットで表現する。ただし、CANネットワークの仕様により、データフィールドは、8バイトまでとされているため、実際のDLCは、0〜8の値となる。
データフィールドは、送信されるデータの部分であり、DLCによって設定されたデータ長となる。
図5は、実施の形態1による検査システムの検査データ転送装置の通信データ保持部に保持される通信データを模式的に示す図である。
図5において、下に行くほど古いデータを表している。横方向の記録項目は、左から伝送されたネットワークの番号(CH)、タイムスタンプ、ID、DLC、データフィールドである。なお、エラーフレームには、ID、DLC、データフィールドは存在しない。
図5において、下に行くほど古いデータを表している。横方向の記録項目は、左から伝送されたネットワークの番号(CH)、タイムスタンプ、ID、DLC、データフィールドである。なお、エラーフレームには、ID、DLC、データフィールドは存在しない。
図6は、実施の形態1による検査システムの検査データ生成装置の生成基データ保持部に保持される通信データを模式的に示す図である。
図6において、生成基データ保持部510に保持される通信データは、図5と同じ構造で、伝送されたネットワークの番号(CH)、タイムスタンプ、ID、DLC、データフィールドとなっている。エラーフレームも図5と同様である。
図6において、生成基データ保持部510に保持される通信データは、図5と同じ構造で、伝送されたネットワークの番号(CH)、タイムスタンプ、ID、DLC、データフィールドとなっている。エラーフレームも図5と同様である。
図7は、実施の形態1による検査システムの制御装置およびゲートウェイ装置のCAN通信インタフェース回路を示す概略図である。
図7において、車両10に搭載された制御装置およびゲートウェイ装置20内のマイコン800は、送信用信号線(Tx)810と受信用信号線(Rx)820を介して、CANトランシーバIC830(IC:Integrated Circuit)と接続されている。
さらに、CANトランシーバIC830は、差動信号線であるCANネットワーク860と、CAN−H840およびCAN−L850の信号線で接続されている。CANネットワーク860の両端は、それぞれ終端抵抗870を有している。
図7において、車両10に搭載された制御装置およびゲートウェイ装置20内のマイコン800は、送信用信号線(Tx)810と受信用信号線(Rx)820を介して、CANトランシーバIC830(IC:Integrated Circuit)と接続されている。
さらに、CANトランシーバIC830は、差動信号線であるCANネットワーク860と、CAN−H840およびCAN−L850の信号線で接続されている。CANネットワーク860の両端は、それぞれ終端抵抗870を有している。
次に、動作について説明する。
まず、検査データ転送装置30における検査データ生成手順について、図2を用いて説明する。
図2のステップS1001において、検査データ転送装置30は、第1のネットワーク60に通信データが伝送されたか、または、第2のネットワーク70に通信データが伝送されたか否かの判定を行う。
いずれのネットワークにも通信データが伝送されていない場合(NO)は、ステップS1001に戻り、通信データが伝送されるのを待つ。一方、いずれかのネットワークに通信データが伝送されていた場合(YES)には、ステップS1002へ進む。
まず、検査データ転送装置30における検査データ生成手順について、図2を用いて説明する。
図2のステップS1001において、検査データ転送装置30は、第1のネットワーク60に通信データが伝送されたか、または、第2のネットワーク70に通信データが伝送されたか否かの判定を行う。
いずれのネットワークにも通信データが伝送されていない場合(NO)は、ステップS1001に戻り、通信データが伝送されるのを待つ。一方、いずれかのネットワークに通信データが伝送されていた場合(YES)には、ステップS1002へ進む。
次に、ステップS1002において、通信データ保持部220の保持数が所定値に到達しているか否かの判定を行う。所定値に達してしていない場合(NO)には、ステップS1004へ進む。一方、所定値に達している場合(YES)には、ステップS1003へ進む。
次に、ステップS1003において、通信データ保持部220が保持している通信データの中から、最も古い通信データを削除する。
ステップS1004において、第1のネットワーク60または第2のネットワーク70に伝送されていた通信データに、タイムスタンプを付与して、新たに通信データ保持部220に保持する。
ステップS1004において、第1のネットワーク60または第2のネットワーク70に伝送されていた通信データに、タイムスタンプを付与して、新たに通信データ保持部220に保持する。
続いて、ステップS1005において、エラーを検出したか否かの判定を行う。ここで、エラーの検出とは、ステップS1001でいずれかのネットワークに伝送が確認され、ステップS1004で通信データ保持部220に保持した通信データが、エラーフレームであった場合、あるいはデータフレームのデータの内容にエラーを検出した場合である。
エラーを検出しなかった場合(NO)には、ステップS1001へ戻る。エラーを検出した場合(YES)には、ステップS1006へ進む。
エラーを検出しなかった場合(NO)には、ステップS1001へ戻る。エラーを検出した場合(YES)には、ステップS1006へ進む。
ステップS1006において、データ転送部230が、第3のネットワーク80を介して、所定数の通信データを検査データ生成装置90へ送信する。
次に、検査データ生成装置90における検査データ生成手順について、図3を用いて説明する。
図3のステップS2001において、検査データ転送装置30から受信した通信データを生成基データ保持部510に保持し、ステップS2002へ進む。
図3のステップS2001において、検査データ転送装置30から受信した通信データを生成基データ保持部510に保持し、ステップS2002へ進む。
ステップS2002において、通信データを全て受信したか否かの判定を行う。すべて受信していない場合(NO)には、ステップS2001へ戻り、全て受信するのを待つ。一方、すべて受信した場合(YES)には、ステップS2003へ進む。
ステップS2003において、生成基データ保持部510に保持された第1のネットワーク60の通信データを使用して、第1のネットワーク用の検査データを生成する。
続いて、ステップS2004において、生成基データ保持部510に保持された第2のネットワーク70の通信データを使用して、第2のネットワーク用の検査データを生成する。
このようにして、検査データ転送装置30が、エラー検出をトリガにして、ネットワークに伝送されていた通信データを検査データ生成装置90へ転送し、検査データ生成装置90が、受信した通信データを基に検査データを生成することができる。
次に、検査データ生成方法の詳細について説明する。
CANのデータフレームの構成は、図4に示すとおりである。本検査データ生成方法では、ID、DLC、データフィールドを使用する。
CANのデータフレームの構成は、図4に示すとおりである。本検査データ生成方法では、ID、DLC、データフィールドを使用する。
まず、通信データ保持部220に保持される通信データの保持手順について、図5を用いて説明する。
図5では、次のような通信データを保持している。
例えば、ある定められた時点(検査データ転送装置30の起動後など)から1.0秒後に、第1のネットワーク60にID=0x010、DLC=8、データ=0x00、0x00、0x20、0x00、0x00、0x03、0xAF、0x00が伝送され、1.1秒後に、第1のネットワーク60にID=0x012、DLC=5、データ=0x00、0x00、0x00、0x00、0x01が伝送されたのを、検査データ転送装置30が受信して、通信データ保持部220で保持する。
図5では、次のような通信データを保持している。
例えば、ある定められた時点(検査データ転送装置30の起動後など)から1.0秒後に、第1のネットワーク60にID=0x010、DLC=8、データ=0x00、0x00、0x20、0x00、0x00、0x03、0xAF、0x00が伝送され、1.1秒後に、第1のネットワーク60にID=0x012、DLC=5、データ=0x00、0x00、0x00、0x00、0x01が伝送されたのを、検査データ転送装置30が受信して、通信データ保持部220で保持する。
さらに、1.5秒後に、第2のネットワーク70にID=0x101、DLC=8、データ=0x00、0x0E、0x00、0x00、0x00、0x00、0x00、0x00が伝送され、1.7秒後に、第2のネットワーク70にID=0x105、DLC=6、データ=0xF0、0x00、0x00、0x00、0x00、0x00が伝送されたのを、検査データ転送装置30が受信して通信データ保持部220で保持する。
さらに、1.8秒後に、第1のネットワーク60にID=0x0C、DLC=8、データ=0x00、0x00、0x00、0x00、0x00、0x00、0x00、0x0Bが伝送され、2.0秒後に、第1のネットワーク60にID=0x010、DLC=8、データ=0x00、0x00、0x20、0x00、0x00、0x03、0xAF、0x00が伝送され、2.1秒後に、第1のネットワーク60にID=0x012、DLC=5、データ=0x00、0x00、0x00、0x00、0x02が伝送され、2.2秒後に、第1のネットワーク60にエラーフレームが伝送されたのを、検査データ転送装置30が受信して通信データ保持部220で保持している。
図5では、2.2秒後に、第1のネットワーク60にエラーフレームが伝送されたので、エラー検出部210がエラーを検出する。
これを受けて、データ転送部230が、通信データ保持部220に保持された通信データの中から、エラーデータ(ここではエラーフレーム)と、そのエラーデータを検出する直前のデータフレームのうちの所定数を、第3のネットワーク80を介して、検査データ生成装置90へ送信する。
これを受けて、データ転送部230が、通信データ保持部220に保持された通信データの中から、エラーデータ(ここではエラーフレーム)と、そのエラーデータを検出する直前のデータフレームのうちの所定数を、第3のネットワーク80を介して、検査データ生成装置90へ送信する。
ここで、所定数を2とすると、エラーデータを検出する直前のデータフレームは、第1のネットワーク60では、タイムスタンプ2.1秒のID=0x012、DLC=5、データ=0x00、0x00、0x00、0x00、0x02の通信データと、タイムスタンプ2.0秒のID=0x010、DLC=8、データ=0x00、0x00、0x20、0x00、0x00、0x03、0xAF、0x00の通信データである。
また、第2のネットワーク70では、タイムスタンプ1.7秒のID=0x105、DLC=6、データ=0xF0、0x00、0x00、0x00、0x00、0x00の通信データと、タイムスタンプ1.5秒のID=0x101、DLC=8、データ=0x00、0x0E、0x00、0x00、0x00、0x00、0x00、0x00の通信データである。
これらの4つの通信データが、所定数2の通信データに該当する。すなわち、データ転送部230は、エラーデータであるエラーフレームと、該当する4つの通信データを検査データ生成装置90へ送信する。
また、第2のネットワーク70では、タイムスタンプ1.7秒のID=0x105、DLC=6、データ=0xF0、0x00、0x00、0x00、0x00、0x00の通信データと、タイムスタンプ1.5秒のID=0x101、DLC=8、データ=0x00、0x0E、0x00、0x00、0x00、0x00、0x00、0x00の通信データである。
これらの4つの通信データが、所定数2の通信データに該当する。すなわち、データ転送部230は、エラーデータであるエラーフレームと、該当する4つの通信データを検査データ生成装置90へ送信する。
続いて、検査データ生成装置90の動作について説明する。
検査データ生成装置90が受信した通信データは、生成基データ保持部510に、図6に示すように保持される。図6では、検査データ転送装置30から送信された、エラーフレームと4つの通信データが保持されている。
検査データを、エラーデータの直前の通信データを基に作成すると、第1のネットワーク60用と第2のネットワーク70用の検査データは、次のように作成される。
検査データ生成装置90が受信した通信データは、生成基データ保持部510に、図6に示すように保持される。図6では、検査データ転送装置30から送信された、エラーフレームと4つの通信データが保持されている。
検査データを、エラーデータの直前の通信データを基に作成すると、第1のネットワーク60用と第2のネットワーク70用の検査データは、次のように作成される。
第1のネットワーク60において、エラーデータの直前の通信データは、タイムスタンプ2.1秒のID=0x012、DLC=5、データ=0x00、0x00、0x00、0x00、0x02であるので、この通信データを基に検査データを作成する。
ここでは、DLCの値よりも、データフィールドが大きい値となる検査データの生成について説明する。すなわち、この通信データから、データフィールドだけ変化させて、ID=0x012、DLC=5、データ=0x00、0x00、0x00、0x00、0x02、0xFFという検査データを作成すればよい。
ここでは、DLCの値よりも、データフィールドが大きい値となる検査データの生成について説明する。すなわち、この通信データから、データフィールドだけ変化させて、ID=0x012、DLC=5、データ=0x00、0x00、0x00、0x00、0x02、0xFFという検査データを作成すればよい。
第2のネットワーク70用の検査データの作成は、同様に、エラーデータの直前の通信データであるタイムスタンプ1.7秒のID=0x105、DLC=6、データ=0xF0、0x00、0x00、0x00、0x00、0x00を、検査データの基とする。
この通信データのデータフィールドだけ変化させて、ID=0x105、DLC=6、データ=0xF0、0x00、0x00、0x00、0x00、0x00、0xFFという検査データを作成する。
この通信データのデータフィールドだけ変化させて、ID=0x105、DLC=6、データ=0xF0、0x00、0x00、0x00、0x00、0x00、0xFFという検査データを作成する。
また、検査データの基となる通信データとして、エラーデータの直前ではなく、もう一つ前の通信データを使用してもよい。
例えば、第1のネットワーク60用の検査データを作成する場合、エラーデータの直前のもう一つ前の通信データは、タイムスタンプ2.0秒のID=0x010、DLC=8、データ=0x00、0x00、0x20、0x00、0x00、0x03、0xAF、0x00である。この通信データを基にデータフィールドよりもDLCが大きい値となる検査データを作成すると、DLCは4ビットのデータであるから、例えば、DLCを11に変化させて、ID=0x010、DLC=11、データ=0x00、0x00、0x20、0x00、0x00、0x03、0xAF、0x00という検査データを作成すればよい。
このようにして、データ長と実際のデータの長さを矛盾させることで、検査データを生成できる。
例えば、第1のネットワーク60用の検査データを作成する場合、エラーデータの直前のもう一つ前の通信データは、タイムスタンプ2.0秒のID=0x010、DLC=8、データ=0x00、0x00、0x20、0x00、0x00、0x03、0xAF、0x00である。この通信データを基にデータフィールドよりもDLCが大きい値となる検査データを作成すると、DLCは4ビットのデータであるから、例えば、DLCを11に変化させて、ID=0x010、DLC=11、データ=0x00、0x00、0x20、0x00、0x00、0x03、0xAF、0x00という検査データを作成すればよい。
このようにして、データ長と実際のデータの長さを矛盾させることで、検査データを生成できる。
さらに、上述の方法に加えて、データフィールドの1つ以上のビットを反転させる方法を組み合わせてもよい。
例えば、ID=0x012、DLC=5、データ=0x00、0x00、0x00、0x00、0x02、0xFFという検査データに対して、5バイト目の0x02というデータの4ビット目を反転させて、ID=0x012、DLC=5、データ=0x00、0x00、0x00、0x00、0x0A、0xFFという検査データを作成してもよい。
例えば、ID=0x012、DLC=5、データ=0x00、0x00、0x00、0x00、0x02、0xFFという検査データに対して、5バイト目の0x02というデータの4ビット目を反転させて、ID=0x012、DLC=5、データ=0x00、0x00、0x00、0x00、0x0A、0xFFという検査データを作成してもよい。
また、データフィールドの値を書式文字列で意味を持つ値とする方法で、検査データを生成することもできる。
例えば、C言語において、文字列を出力するフォーマット指定子である”%s”をASCIIコードに従って変換し、検査データを生成する方法がある。ASCIIコードでは、”%”と”s”は、それぞれ”0x25”、”0x73”と変換できる。
よって、データフィールドのいずれかの位置に”0x25”、”0x73”を挿入することで検査データを作成できる。
例えば、C言語において、文字列を出力するフォーマット指定子である”%s”をASCIIコードに従って変換し、検査データを生成する方法がある。ASCIIコードでは、”%”と”s”は、それぞれ”0x25”、”0x73”と変換できる。
よって、データフィールドのいずれかの位置に”0x25”、”0x73”を挿入することで検査データを作成できる。
さらに、これら以外の検査データ生成方法として、データフィールドの値をすべて0または1とする方法でもよいし、通信データの構造の順序を入れ替える(例:IDとコントロールフィールドの順序を入れ替える)方法でもよいし、検査データのIDを生成基データと異なる値とするという方法でもよいし、これらを組み合わせた方法でもよい。
作成した検査データは、予め定められたタイミングで、検査部540が、車両10に搭載された制御装置およびゲートウェイ装置を検査するために、第3のネットワーク80を介して、検査データ転送装置30へ送信し、検査データ転送装置30が、該当するネットワークへ検査データを送信する。
ここで、予め定められたタイミングとは、例えば、車両10が停車してから所定時間後など、検査しやすいタイミングを定めればよい。
ここで、予め定められたタイミングとは、例えば、車両10が停車してから所定時間後など、検査しやすいタイミングを定めればよい。
このようにして、エラーデータが送信される前のデータフレームを基に検査データを作成することで、ネットワークに接続された制御装置およびゲートウェイ装置を検査するのに有効な検査データを作成でき、数を絞って検査することができる。
ここで、エラーフレームの1つ前、または所定数前の通信データを基に検査データを生成することで、有効な検査データとなる点について、図7を用いて説明する。
エラーフレームが送信される要因は、不完全な通信データが、CANネットワーク860上に送信されることが考えられる。
例えば、通信データ送信時に、第1の制御装置40、第2の制御装置50またはゲートウェイ装置20内のマイコン800が、Tx端子(送信用信号線(Tx)810に接続された端子)を異常操作することによって、送信データが途切れたり、Tx端子がLoを出力し続けることなどが考えられる。
エラーフレームが送信される要因は、不完全な通信データが、CANネットワーク860上に送信されることが考えられる。
例えば、通信データ送信時に、第1の制御装置40、第2の制御装置50またはゲートウェイ装置20内のマイコン800が、Tx端子(送信用信号線(Tx)810に接続された端子)を異常操作することによって、送信データが途切れたり、Tx端子がLoを出力し続けることなどが考えられる。
そのため、エラーフレームの送信は、CANネットワーク860に接続された制御装置またはゲートウェイ装置20の異常な動作が原因となっている可能性がある。そのきっかけが、エラーフレーム発生より前に、CANネットワーク860上に伝送されていたデータフレームを、当該制御装置またはゲートウェイ装置20が受信したことによるものであると考えられる。
したがって、エラーフレームの1つ前、または所定数前の通信データを基に検査データを生成し、その検査データで制御装置およびゲートウェイ装置20の検査を行うことで、制御装置およびゲートウェイ装置20が異常な動作を起こすかどうかの試験を効率的に実施することができる。
また、エラーデータを検出した方とは別のネットワークの検査データを、このエラーデータの1つ前、または所定数前の通信データを基に作成することで、ゲートウェイ装置20が異常な動作を起こすかどうかの試験を効率的に実施することができる。
ゲートウェイ装置20が、一方のネットワークから受信した通信データを他方のネットワークへ転送する際に、一方のネットワークから受信した通信データが原因で、他方のネットワークへエラーデータを送信してしまうという場合が考えられる。
この場合でも、他方のネットワークのエラーデータを基に、一方のネットワーク用の検査データを作成するので、このようなゲートウェイ装置20の不具合を発見可能な検査データを作成することができる。
ゲートウェイ装置20が、一方のネットワークから受信した通信データを他方のネットワークへ転送する際に、一方のネットワークから受信した通信データが原因で、他方のネットワークへエラーデータを送信してしまうという場合が考えられる。
この場合でも、他方のネットワークのエラーデータを基に、一方のネットワーク用の検査データを作成するので、このようなゲートウェイ装置20の不具合を発見可能な検査データを作成することができる。
また、エラーデータは、CANプロトコルのエラーフレームである必要はなく、例えば、データフィールドが有しているカウンタが、正常に機能しなくなったことを、エラーデータとしてもよい。
このカウンタについては、例えば、4ビット長であれば0から15までの信号で、送信側は通信データの送信ごとにインクリメントし、15の次は0に戻すというようにカウンタをセットする。
この場合に、受信側は、カウンタが必ず1ずつ増加しているか、15の次は0かどうかを判定し、正常に変化しなかった通信データをエラーデータと判定すればよい。
このカウンタについては、例えば、4ビット長であれば0から15までの信号で、送信側は通信データの送信ごとにインクリメントし、15の次は0に戻すというようにカウンタをセットする。
この場合に、受信側は、カウンタが必ず1ずつ増加しているか、15の次は0かどうかを判定し、正常に変化しなかった通信データをエラーデータと判定すればよい。
例えば、データフィールド内のカウンタ動作がエラーになる要因として、カウンタの動作エラー発生より前に、CANネットワーク860上に伝送されていたデータフレームを当該制御装置またはゲートウェイ装置20が受信したことによるものであるとも考えられる。
この場合でも、カウンタの動作エラーの1つ前、または所定数前の通信データを基に検査データを生成し、その検査データで制御装置およびゲートウェイ装置20の検査を行うことで、制御装置またはゲートウェイ装置20が異常な動作を起こすかどうかの試験を効率的に実施することができる。
この場合でも、カウンタの動作エラーの1つ前、または所定数前の通信データを基に検査データを生成し、その検査データで制御装置およびゲートウェイ装置20の検査を行うことで、制御装置またはゲートウェイ装置20が異常な動作を起こすかどうかの試験を効率的に実施することができる。
また、通信データ保持部220へ通信データを保持する際に、どの通信データがエラーデータであったかが分るように情報を付与してもよい。
さらに、検査データ転送装置30は、エラー検出部210が、所定回数エラーを検出してから、まとめて通信データ保持部220のデータを検査データ生成装置90へ送信してもよい。
こうすると、車両10と検査データ生成装置90を接続している第3のネットワーク80の接続が一時的に切れていたとしても、接続されてから、まとめて送信することが可能となる。
こうすると、車両10と検査データ生成装置90を接続している第3のネットワーク80の接続が一時的に切れていたとしても、接続されてから、まとめて送信することが可能となる。
また、検査データ生成部520は、複数の検査データ生成方法により、1つの通信データから複数の検査データを生成してもよい。
実施の形態1では、第1のネットワーク60および第2のネットワーク70をCANネットワークとしたが、これに限らず、FlexRay、LIN(Local Interconnect Network)など他のプロトコルでもよい。
なお、CANネットワークのエラーフレームの代わりとしては、例えば、FlexRayであれば、検査データ転送装置30が、通信データを受信した際にCRC(Cyclic Redundancy Check)チェックを行い、エラーが発生したことが確認できた場合、その通信データをエラーデータとすることができる。
また、LINであれば、検査データ転送装置30が、通信データを受信した際に、受信データとチェックサムとの値を比較し、値が異なっていた場合の通信データをエラーデータとすることができる。
なお、CANネットワークのエラーフレームの代わりとしては、例えば、FlexRayであれば、検査データ転送装置30が、通信データを受信した際にCRC(Cyclic Redundancy Check)チェックを行い、エラーが発生したことが確認できた場合、その通信データをエラーデータとすることができる。
また、LINであれば、検査データ転送装置30が、通信データを受信した際に、受信データとチェックサムとの値を比較し、値が異なっていた場合の通信データをエラーデータとすることができる。
また、ゲートウェイ装置20および検査データ転送装置30に接続する車両内のネットワークは2本より多くてもよい。
また、実施の形態1では、第3のネットワーク80を無線通信としたが、これに代わる別の手段として、有線通信でも構わない。この場合、トンネルあるいは地下といった無線通信が困難である場所においても、検査を行うことができる。
実施の形態1によれば、エラーフレームの1つ前、または所定数前の通信データを基に検査データを生成し、その検査データで制御装置およびゲートウェイ装置20の検査を行うことにより、制御装置およびゲートウェイ装置20が異常な動作を起こすかどうかの試験を効率的に実施することができる。
したがって、車両に搭載された制御装置およびゲートウェイ装置20を運用時においても短時間で検査することができる。
したがって、車両に搭載された制御装置およびゲートウェイ装置20を運用時においても短時間で検査することができる。
なお、検査データ転送装置30および検査データ生成装置90は、ハードウェアの一例を図8に示すように、プロセッサ1000と記憶装置1001から構成される。記憶装置1001は図示していないが、ランダムアクセスメモリ等の揮発性記憶装置と、フラッシュメモリ等の不揮発性の補助記憶装置とを具備する。また、フラッシュメモリの代わりにハードディスクの補助記憶装置を具備してもよい。プロセッサ1000は、記憶装置1001から入力されたプログラムを実行する。この場合、補助記憶装置から揮発性記憶装置を介してプロセッサ1000にプログラムが入力される。また、プロセッサ1000は、演算結果等のデータを記憶装置1001の揮発性記憶装置に出力してもよいし、揮発性記憶装置を介して補助記憶装置にデータを保存してもよい。
本開示は、例示的な実施の形態が記載されているが、実施の形態に記載された様々な特徴、態様、及び機能は特定の実施の形態の適用に限られるのではなく、単独で、または様々な組み合わせで実施の形態に適用可能である。
従って、例示されていない無数の変形例が、本願明細書に開示される技術の範囲内において想定される。例えば、少なくとも1つの構成要素を変形する場合、追加する場合または省略する場合が含まれるものとする。
従って、例示されていない無数の変形例が、本願明細書に開示される技術の範囲内において想定される。例えば、少なくとも1つの構成要素を変形する場合、追加する場合または省略する場合が含まれるものとする。
10 車両、20 ゲートウェイ装置、30 検査データ転送装置、
40 第1の制御装置、50 第2の制御装置、60 第1のネットワーク、
70 第2のネットワーク、80 第3のネットワーク、90 検査データ生成装置、
110 ゲートウェイ処理部、120、240、310 第1の通信インタフェース部、
130、250、410 第2の通信インタフェース部、210 エラー検出部、
220 通信データ保持部、230 データ転送部、
260、530 第3の通信インタフェース部、510 生成基データ保持部、
520 検査データ生成部、540 検査部、800 マイコン、
810 送信用信号線(Tx)、820 受信用信号線(Rx)、
830 CANトランシーバIC、840 CAN−H、850 CAN−L、
860 CANネットワーク、870 終端抵抗、1000 プロセッサ、
1001 記憶装置
40 第1の制御装置、50 第2の制御装置、60 第1のネットワーク、
70 第2のネットワーク、80 第3のネットワーク、90 検査データ生成装置、
110 ゲートウェイ処理部、120、240、310 第1の通信インタフェース部、
130、250、410 第2の通信インタフェース部、210 エラー検出部、
220 通信データ保持部、230 データ転送部、
260、530 第3の通信インタフェース部、510 生成基データ保持部、
520 検査データ生成部、540 検査部、800 マイコン、
810 送信用信号線(Tx)、820 受信用信号線(Rx)、
830 CANトランシーバIC、840 CAN−H、850 CAN−L、
860 CANネットワーク、870 終端抵抗、1000 プロセッサ、
1001 記憶装置
Claims (5)
- 車両に搭載された制御装置およびゲートウェイ装置を検査する検査システムであって、
上記検査のための検査データを生成する検査データ生成装置、
この検査データ生成装置に車外ネットワークを介して接続され、上記検査データ生成装置が生成した検査データを上記車外ネットワークを介して受信して、上記制御装置および上記ゲートウェイ装置が接続された車内ネットワークへ転送する検査データ転送装置を備え、
上記検査データ転送装置は、
上記車内ネットワークに伝送される通信データを取得し、保持する通信データ保持部と、
上記通信データのエラーを検出するエラー検出部とを有し、
上記通信データのエラーが検出された場合に、上記通信データ保持部に保持された通信データのうち、エラーが検出された通信データの直前から所定数前までの通信データを、上記検査データ生成装置に転送し、
上記検査データ生成装置は、
上記検査データ転送装置から転送された上記通信データを保持する生成基データ保持部と、
この生成基データ保持部に保持された通信データを用いて、上記検査データを生成する検査データ生成部とを有し、
上記検査データ生成部により生成された上記検査データを上記検査データ転送装置へ送信することを特徴とする検査システム。 - 上記車内ネットワークは、上記ゲートウェイ装置によって通信プロトコル変換される第1のネットワークと第2のネットワークを有し、
上記検査データ生成部は、上記生成基データ保持部に保持された通信データのうち、エラーが検出された側のネットワークの上記エラーが検出された通信データの1つ以上前の通信データを基に、当該ネットワークに接続された上記制御装置および上記ゲートウェイ装置を検査するための検査データを生成することを特徴とする請求項1に記載の検査システム。 - 上記通信データ保持部の保持する上記通信データにはタイムスタンプが付与され、
上記検査データ生成部は、上記生成基データ保持部に保持された通信データのうち、エラーが検出された側でないネットワークの通信データで、かつ上記エラーが検出された通信データのタイムスタンプより1つ以上前の通信データを基に、上記エラーが検出された側でないネットワークに接続されている上記制御装置および上記ゲートウェイ装置を検査するための検査データを生成することを特徴とする請求項2に記載の検査システム。 - 上記検査データ転送装置は、上記検査データ生成装置から送信された検査データを、上記第1のネットワークおよび上記第2のネットワークのうち、エラーが検出された側のネットワークへ転送することを特徴とする請求項2または請求項3に記載の検査システム。
- 上記検査データ転送装置は、上記検査データ生成装置から送信された検査データを、上記第1のネットワークおよび上記第2のネットワークのうち、エラーが検出されていないネットワークへ転送することを特徴とする請求項2または請求項3に記載の検査システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018193114A JP6611891B1 (ja) | 2018-10-12 | 2018-10-12 | 検査システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018193114A JP6611891B1 (ja) | 2018-10-12 | 2018-10-12 | 検査システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP6611891B1 true JP6611891B1 (ja) | 2019-11-27 |
| JP2020061695A JP2020061695A (ja) | 2020-04-16 |
Family
ID=68692065
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018193114A Active JP6611891B1 (ja) | 2018-10-12 | 2018-10-12 | 検査システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6611891B1 (ja) |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3306354B2 (ja) * | 1997-10-14 | 2002-07-24 | 三洋電機株式会社 | 移動局及び移動体通信システム |
| JP2003274008A (ja) * | 2002-03-14 | 2003-09-26 | Sharp Corp | コードレス電話機及び携帯端末装置 |
| US8452481B2 (en) * | 2008-02-29 | 2013-05-28 | Autonetworks Technologies, Ltd. | Vehicle information recording apparatus, vehicle information communication system and vehicle information communication method |
| JP6263437B2 (ja) * | 2014-05-07 | 2018-01-17 | 日立オートモティブシステムズ株式会社 | 検査装置、検査システム及び検査方法 |
| JP6349244B2 (ja) * | 2014-12-18 | 2018-06-27 | 日立オートモティブシステムズ株式会社 | 車載ネットワークの試験装置 |
| JP2018098707A (ja) * | 2016-12-15 | 2018-06-21 | 富士通株式会社 | 通信ノード試験装置、通信ノード試験方法およびプログラム |
-
2018
- 2018-10-12 JP JP2018193114A patent/JP6611891B1/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2020061695A (ja) | 2020-04-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6487406B2 (ja) | ネットワーク通信システム | |
| JP6477281B2 (ja) | 車載中継装置、車載通信システム及び中継プログラム | |
| WO2017038500A1 (ja) | 中継装置 | |
| JP7182559B2 (ja) | ログ出力方法、ログ出力装置及びプログラム | |
| EP3772839B1 (en) | Security module for a serial communications device | |
| CN112347023A (zh) | 用于can节点的安全模块 | |
| CN112347022A (zh) | 用于can节点的安全模块 | |
| US20170300444A1 (en) | Message Translator | |
| US11647045B2 (en) | Monitoring a network connection for eavesdropping | |
| US10348746B2 (en) | Incident detection system including gateway device and server | |
| CN112583786B (zh) | 用于警报的方法、发送器设备和接收器设备 | |
| JP6611891B1 (ja) | 検査システム | |
| JP2016134834A (ja) | 車載ゲートウェイ装置及び車載ネットワークシステム | |
| JP7024069B2 (ja) | 車両の制御機器に対する攻撃を検出する方法 | |
| JP6633157B1 (ja) | 検査システム | |
| EP4231594A1 (en) | Relay device, communication network system and communication control method | |
| JP4774684B2 (ja) | 通信システム、暗号化/復号中継装置、及び通信制御装置 | |
| WO2022185828A1 (ja) | 車両用装置、サーバ、及び通信管理方法 | |
| JP2016208536A (ja) | 通信システム、通信制御装置及び不正情報送信防止方法 | |
| JP6149716B2 (ja) | 車載ネットワークシステム | |
| Kypraios | Security solutions for denial of service attacks in smart vehicles. | |
| JP2023038577A (ja) | 車載中継装置、車載中継方法および車載中継プログラム | |
| JP2020043520A (ja) | 中継装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181012 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190709 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190716 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190731 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20191001 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20191029 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6611891 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |