JP6631426B2 - In-vehicle communication system - Google Patents
In-vehicle communication system Download PDFInfo
- Publication number
- JP6631426B2 JP6631426B2 JP2016136155A JP2016136155A JP6631426B2 JP 6631426 B2 JP6631426 B2 JP 6631426B2 JP 2016136155 A JP2016136155 A JP 2016136155A JP 2016136155 A JP2016136155 A JP 2016136155A JP 6631426 B2 JP6631426 B2 JP 6631426B2
- Authority
- JP
- Japan
- Prior art keywords
- signal
- ecu
- node
- unit
- communication system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、車載通信システムに関する。 The present invention relates to an in-vehicle communication system.
車載通信システムは、自動車に対する様々な制御に利用される。しかしながら、近年、車載通信システムの脆弱性がしばしば指摘されている。特許文献1は、従来の車載通信システムが抱える脆弱性を克服するための技術を開示する。 The in-vehicle communication system is used for various controls on a vehicle. However, in recent years, the vulnerability of in-vehicle communication systems has often been pointed out. Patent Document 1 discloses a technique for overcoming the vulnerability of a conventional in-vehicle communication system.
特許文献1の開示技術は、車載通信システムに組み込まれた複数のエレクトロニックコントロールユニット(以下、「ECU」と称される)間でやりとりされる信号全てを、メッセージ認証符号を用いて符号化し、車載通信システムへの不正アクセスを防止する。 The technology disclosed in Patent Literature 1 encodes all signals exchanged between a plurality of electronic control units (hereinafter, referred to as “ECUs”) incorporated in an in-vehicle communication system using a message authentication code, and performs on-vehicle communication. Prevent unauthorized access to the communication system.
特許文献1の開示技術は、車載通信システム内でやりとりされる信号のビット数を増加させる。この結果、過大な通信負荷が、車載通信システムに加わることとなる。 The technology disclosed in Patent Literature 1 increases the number of bits of a signal exchanged in an in-vehicle communication system. As a result, an excessive communication load is added to the in-vehicle communication system.
本発明は、車載通信システムの通信負荷を過大にすることなく、車載通信システムへの不正なアクセスを阻害する技術を提供することを目的とする。 An object of the present invention is to provide a technique for preventing unauthorized access to an in-vehicle communication system without increasing the communication load of the in-vehicle communication system.
本発明の一局面に係る車載通信システムは、ノードの動作を阻害する外因が存在する場合において、複数のノード間で、ノードの動作を阻害する外因の存在を通知するように構築されている。車載通信システムは、前記外因の不存在下で状態信号を繰り返し出力する通信部をそれぞれ有する第1ノード及び第2ノードを備えている。前記外因の前記不存在下では、前記第1ノードの前記通信部は、前記第2ノードが前記第1ノードから前記状態信号を受信する受信間隔に対して定められた受信間隔閾値よりも小さな値に設定された送信間隔閾値に基づいて前記状態信号の送信タイミングを決定するとともに前記送信間隔閾値を前記受信間隔閾値を超えない範囲で変動させることにより、前記状態信号を不定の時間間隔で繰り返し出力するように構成されている。前記第2ノードの前記通信部が、前記受信間隔閾値によって定められた前記受信間隔以内に前記状態信号を受け取らないならば、前記第2ノードは、前記外因の存在を通知する通知信号を生成する。 An in-vehicle communication system according to one aspect of the present invention is configured to notify, among a plurality of nodes, the presence of an external factor that hinders the operation of a node, when there is an external factor that hinders the operation of the node. The in-vehicle communication system includes a first node and a second node each having a communication unit that repeatedly outputs a state signal in the absence of the external factor. In the absence of the external cause, the communication unit of the first node may have a value less than a reception interval threshold defined for a reception interval at which the second node receives the state signal from the first node. By determining the transmission timing of the status signal based on the transmission interval threshold set in, and varying the transmission interval threshold within a range not exceeding the reception interval threshold, repeatedly output the status signal at an indefinite time interval It is configured to If the communication unit of the second node does not receive the status signal within the reception interval defined by the reception interval threshold, the second node generates a notification signal that notifies the existence of the external cause. .
上記構成によれば、第1ノードの通信部は、第1ノードの動作を阻害する外因の不存在下で、状態信号を繰り返し出力するので、状態信号を受け取った第2ノードは、第1ノードが、外因に曝されていないことを知ることができる。この間、第2ノードは、外因に対処する処理をしなくてもよいので、車載通信システムの通信負荷は、過度に大きくならない。 According to the configuration, the communication unit of the first node repeatedly outputs the state signal in the absence of an external factor that hinders the operation of the first node. However, it can be known that they are not exposed to external factors. During this time, the second node does not need to perform processing to deal with external factors, so that the communication load of the vehicle-mounted communication system does not become excessively large.
第2ノードは、状態信号を所定期間受け取らないならば、不正なアクセスの存在を通知する通知信号を生成するので、車載通信システムは、不正なアクセスに対処する処理を実行しうる。 If the second node does not receive the status signal for a predetermined period, the second node generates a notification signal for notifying the presence of the unauthorized access , so that the in-vehicle communication system can execute a process for dealing with the unauthorized access .
通信部は、所定期間より短い時間間隔で状態信号を繰り返し出力するので、第2ノードは、所定期間内の状態信号の未受信を条件として、不正なアクセスの存在を適切に判断することができる。 Since the communication unit repeatedly outputs the status signal at a time interval shorter than the predetermined period, the second node can appropriately determine the presence of the unauthorized access on condition that the status signal is not received within the predetermined period. .
状態信号が送信される時間間隔は、不定であるので、状態信号を模擬する不正なアクセスは、車載通信システムに組み込まれにくくなる。 Since the time interval at which the status signal is transmitted is indefinite, unauthorized access that simulates the status signal is less likely to be incorporated into the onboard communication system.
上記構成に関して、車載通信システムは、前記第1ノードと前記第2ノードとを含む複数のノードに電気的に接続されたバスを更に備えてもよい。前記複数のノードは、互いに異なる識別子が付された信号を前記バスへそれぞれ出力してもよい。前記第1ノードは、前記状態信号と所定の制御対象の制御に用いられるデータ信号とに第1識別子を付して通信信号を生成する信号生成部と、前記通信部が前記第1ノード以外のノードから受け取った受信信号に付された識別子が、前記第1識別子であるか否かを判定する判定部と、を含んでいてもよい。前記判定部が、前記受信信号に付された前記識別子が前記第1識別子であると判定すると、前記通信部は前記状態信号の出力を停止するとともに、前記状態信号の前記出力の停止期間が前記受信間隔閾値によって定められた前記受信間隔を超えると、前記第2ノードは、前記通知信号を生成してもよい。 With respect to the above configuration, the in-vehicle communication system may further include a bus electrically connected to a plurality of nodes including the first node and the second node. The plurality of nodes may each output a signal with a different identifier to the bus. A signal generation unit that adds a first identifier to the state signal and a data signal used for controlling a predetermined control target to generate a communication signal, wherein the communication unit is a device other than the first node; A determination unit that determines whether an identifier added to a received signal received from the node is the first identifier. When the determination unit determines that the identifier attached to the received signal is the first identifier, the communication unit stops outputting the status signal, and the stop period of the output of the status signal is The second node may generate the notification signal when the reception interval exceeds a reception interval defined by a reception interval threshold.
上記構成によれば、バスに電気的に接続された複数のノードは、互いに異なる識別子が付された信号を出力するので、第1ノードは、不正なアクセスの不存在下では、他のノードから第1識別子が付された信号を受け取らない。第1ノードの判定部が、第1ノード以外のノードからの受信信号に付された識別子が第1識別子であると判定すると、通信部は、状態信号の出力を停止するので、第2ノードは、不正なアクセスの存在を適切に検出することができる。 According to the above configuration, the plurality of nodes electrically connected to the bus output signals with different identifiers, so that the first node cannot receive signals from other nodes in the absence of unauthorized access. It does not receive the signal with the first identifier. When the determining unit of the first node determines that the identifier added to the received signal from a node other than the first node is the first identifier, the communication unit stops outputting the status signal. Thus, the presence of unauthorized access can be properly detected.
上記構成に関して、前記信号生成部は、前記状態信号を符号化する一方で前記データ信号を符号化しない。 With respect to the above configuration, the signal generation unit does not encode the data signal while encoding the state signal .
上記構成によれば、信号生成部は、状態信号を符号化するので、状態信号の内容は、解析されにくい。したがって、状態信号を模擬する不正なアクセスは、車載通信システムに組み込まれにくくなる。 According to the above configuration, since the signal generation unit encodes the state signal, the content of the state signal is difficult to analyze. Therefore, an unauthorized access that simulates a state signal is less likely to be incorporated into a vehicle-mounted communication system.
上記構成に関して、前記第1ノード及び前記第2ノードそれぞれは、エンジンを制御するように設計されたエレクトロニックコントロールユニットであってもよい。 With respect to the above configuration, each of the first node and the second node may be an electronic control unit designed to control an engine.
上記構成によれば、第1ノード及び第2ノードは、エンジンを制御するように設計されたエレクトロニックコントロールユニットであるので、エンジンへの制御に対する不正な処理は阻害される。 According to the above configuration, since the first node and the second node are electronic control units designed to control the engine, unauthorized processing for controlling the engine is prevented.
上記構成に関して、前記第1ノード及び前記第2ノードそれぞれは、ブレーキを制御するように設計されたエレクトロニックコントロールユニットであってもよい。 Regarding the above configuration, each of the first node and the second node may be an electronic control unit designed to control a brake.
上記構成によれば、第1ノード及び第2ノードは、ブレーキを制御するように設計されたエレクトロニックコントロールユニットであるので、ブレーキへの制御に対する不正な処理は阻害される。 According to the above configuration, since the first node and the second node are the electronic control units designed to control the brake, an illegal process for controlling the brake is inhibited.
上述の技術は、車載通信システムの通信負荷を過大にすることなく、車載通信システムへの不正なアクセスを阻害することに貢献する。 The above-described technology contributes to preventing unauthorized access to the in-vehicle communication system without increasing the communication load of the in-vehicle communication system.
<第1実施形態>
車載通信システムの正常な動作を妨げる外因の不存在が、車載通信システムに組み込まれた複数のECUに通知されるならば、これらのECUは、外因に対処するための処理を実行しなくてもよい。したがって、外因が不存在である間、車載通信システムの通信負荷は、低い水準に維持される。第1実施形態において、正常な動作を妨げる外因の不存在を通知する機能を有する例示的な車載通信システムが説明される。
<First embodiment>
If a plurality of ECUs incorporated in the in-vehicle communication system are notified of the absence of an external factor that hinders the normal operation of the in-vehicle communication system, these ECUs do not need to execute processing for dealing with the external factors. Good. Therefore, the communication load of the in-vehicle communication system is maintained at a low level while no external factors are present. In the first embodiment, an exemplary in-vehicle communication system having a function of notifying the absence of an external factor that prevents normal operation will be described.
図1は、第1実施形態の車載通信システム(以下、通信システム100と称される)の概念的なブロック図である。図1を参照して、通信システム100が説明される。
FIG. 1 is a conceptual block diagram of a vehicle-mounted communication system (hereinafter, referred to as a communication system 100) of the first embodiment. With reference to FIG. 1, a
通信システム100は、複数のECUと、バス120と、を備える。図1は、複数のECUとして、2つのECU111,112を示す。ECU111,112は、バス120によって、通信可能に接続されている。ECU111は、状態信号CDSをバス120へ出力する。ECU112は、バス120を通じて、状態信号CDSを受け取る。通信システム100は、既知のコントローラエリアネットワーク(CAN:Control Area Network)の技術に基づいて構築されてもよい。
The
図1に示される如く、状態信号CDSは、ECU111からバス120へ繰り返し出力される。状態信号CDSの送信間隔は、一定であってもよいし、不定であってもよい。
As shown in FIG. 1, state signal CDS is repeatedly output from ECU 111 to
図2は、通信システム100の概念的なブロック図である。図1及び図2を参照して、通信システム100が更に説明される。
FIG. 2 is a conceptual block diagram of the
図1は、ECU111の動作を阻害する外因の不存在下での通信システム100を示す一方で、図2は、外因の存在下での通信システム100を示す。図1を参照して説明された如く、ECU111は、外因の不存在下では、状態信号CDSを繰り返し出力する。一方、ECU111は、外因の存在下では、状態信号CDSを出力しない。本実施形態において、第1ノードは、ECU111によって例示される。
FIG. 1 shows the
ECU111の動作を阻害する外因として、ECU111とバス120との間の接続解除、ECU111の正常な動作を妨げる他のECUの存在、ECU111になりすまし、不適切な信号をバス120に出力する他のECUの存在やECU111の故障が例示される。本実施形態の原理は、ECU111の動作を阻害する特定の外因に限定されない。
As external factors that hinder the operation of the
<第2実施形態>
ECUは、第1実施形態に関連して説明された状態信号の通信原理のために、様々な機能構成を有してもよい。第2実施形態において、ECUの例示的な機能構成が説明される。
<Second embodiment>
The ECU may have various functional configurations due to the communication principle of the state signal described in relation to the first embodiment. In the second embodiment, an exemplary functional configuration of the ECU will be described.
図3は、第2実施形態のECU200の機能構成を表す概略的なブロック図である。図1及び図3を参照して、ECU200が説明される。第1実施形態の説明は、第1実施形態と同一の符号が付された要素に援用される。
FIG. 3 is a schematic block diagram illustrating a functional configuration of the
ECU200の機能構成は、図1を参照して説明されたECU111,112の両方に適用可能である。したがって、ECU200に関する説明は、ECU111,112それぞれに援用されてもよい。
The functional configuration of
ECU200は、通信部210と、判定部220と、信号生成部230と、を含む。通信部210は、送信部211と、受信部212と、を含む。状態信号は、送信部211からバス120へ出力される(図1のECU111を参照)。受信部212は、他のECUが出力した状態信号を、バス120を通じて受け取る(図1のECU112を参照)。通信部210は、一般的なECUが有するトランシーバであってもよい。判定部220は、一般的なECUが有するCPU(Central Processing Unit)であってもよい。信号生成部230は、一般的なECUが有するCANコントローラであってもよい。
判定部220は、リセット部221と第2計時部222とを含む。第2計時部222は、計時する。リセット部221は、他のECUが出力した状態信号を、受信部212から受け取る。リセット部221は、受信部212から受け取った状態信号に応じて、リセット信号を生成する。リセット信号は、リセット部221から第2計時部222へ出力される。第2計時部222は、リセット信号に応じて、計時値をゼロに設定する。
The
受信部212が、他のECUから状態信号を受け取らないならば、計時値は増加し続ける。計時値が、所定の閾値を超えると、第2計時部222は、トリガ信号を生成する。トリガ信号は、第2計時部222から信号生成部230へ出力される。
If the receiving
信号生成部230は、通知信号生成部231と、第1計時部232と、状態信号生成部233と、を含む。通知信号生成部231は、トリガ信号を、第2計時部222から受け取る。通知信号生成部231は、トリガ信号に応じて、通知信号を生成する。
The
図3は、警告動作部AMPを示す。通知信号は、通知信号生成部231から警告動作部AMPへ出力される。警告動作部AMPは、通知信号に応じて、所定の警告動作を行う。警告動作部AMPは、インスツルメントパネルに組み込まれた警告表示板であってもよい。この場合、警告表示板は、通知信号に応じて、他のECUに異常が生じたことを表す情報を表示する。本実施形態の原理は、警告動作部AMPとして用いられる特定の装置に限定されない。
FIG. 3 shows the warning operation unit AMP. The notification signal is output from the notification
第1計時部232は、計時する。計時値が所定値になると、第1計時部232は、要求信号を生成する。要求信号は、第1計時部232から状態信号生成部233へ出力される。状態信号生成部233は、要求信号に応じて、状態信号を生成する。状態信号生成部233は、一般的なパケット信号のフォーマットに基づいて、状態信号を生成してもよい。状態信号は、状態信号生成部233から送信部211へ伝達される。その後、状態信号は、送信部211からバス120へ出力される。
The
図4は、状態信号の生成処理の概略的なフローチャートである。図3及び図4を参照して、状態信号の生成処理が説明される。 FIG. 4 is a schematic flowchart of the state signal generation processing. With reference to FIG. 3 and FIG. 4, the generation processing of the state signal will be described.
(ステップS110)
ECU200は、車載通信システムの起動処理の完了を待つ。起動処理が完了すると、ステップS120が実行される。
(Step S110)
(ステップS120)
第1計時部232は、計時を開始する。この結果、計時値「T1」は、ゼロから増加する。計時の開始の後、ステップS130が実行される。
(Step S120)
The
(ステップS130)
第1計時部232は、計時値「T1」が、閾値「TH1」を超えるのを待つ。計時値「T1」が、閾値「TH1」を超えると、ステップS140が実行される。
(Step S130)
The
(ステップS140)
第1計時部232は、要求信号を生成する。要求信号は、第1計時部232から状態信号生成部233へ伝達される。要求信号の伝達の後、ステップS150が実行される。
(Step S140)
The
(ステップS150)
状態信号生成部233は、要求信号に応じて、状態信号を生成する。状態信号は、状態信号生成部233から送信部211へ伝達される。その後、送信部211は、状態信号を、バス120へ出力する。バス120への状態信号の出力の後、ステップS160が実行される。
(Step S150)
The
(ステップS160)
車載通信システムがシャットダウンされるならば、状態信号の生成処理は終了する。他の場合には、ステップS120が実行される。
(Step S160)
If the in-vehicle communication system is shut down, the status signal generation processing ends. Otherwise, step S120 is performed.
図5は、他のECUの適切な動作を阻害する外因を検出するための検出処理の概略的なフローチャートである。図3乃至図5を参照して、検出処理が説明される。 FIG. 5 is a schematic flowchart of a detection process for detecting an external factor that hinders an appropriate operation of another ECU. The detection process will be described with reference to FIGS.
(ステップS210)
ECU200は、車載通信システムの起動処理の完了を待つ。起動処理が完了すると、ステップS220が実行される。
(Step S210)
(ステップS220)
第2計時部222は、計時を開始する。この結果、計時値「T2」は、ゼロから増加する。計時の開始の後、ステップS230が実行される。
(Step S220)
The second timing section 222 starts timing. As a result, the clock value “T2” increases from zero. After the start of the timing, step S230 is executed.
(ステップS230)
受信部212が、バス120を通じて、状態信号を受け取るならば、状態信号は、受信部212からリセット部221へ伝達される。この場合、ステップS220が実行される。他の場合には、ステップS240が実行される。
(Step S230)
If the receiving
(ステップS240)
第2計時部222は、計時値「T2」が、閾値「TH2」を超えているか否かを判定する。計時値「T2」が、閾値「TH2」を超えていると、ステップS250が実行される。他の場合には、ステップS230が実行される。
(Step S240)
The second clock unit 222 determines whether the clock value “T2” exceeds the threshold “TH2”. When the time value “T2” exceeds the threshold value “TH2”, step S250 is executed. Otherwise, step S230 is performed.
(ステップS250)
第2計時部222は、トリガ信号を生成する。トリガ信号は、第2計時部222から通知信号生成部231へ伝達される。通知信号生成部231へのトリガ信号の伝達の後、ステップS260が実行される。
(Step S250)
The second timer 222 generates a trigger signal. The trigger signal is transmitted from the second timer 222 to the
(ステップS260)
通知信号生成部231は、トリガ信号に応じて、通知信号を生成する。通知信号は、通知信号生成部231から警告動作部AMPへ出力される。警告動作部AMPは、通知信号に応じて、所定の警告動作を実行する。
(Step S260)
The
本実施形態において、閾値「TH1」,「TH2」はともに、一定値である。ステップS240で用いられる閾値「TH2」は、図4を参照して説明された閾値「TH1」よりも大きな値に設定される。車載通信システムに組み込まれた複数のECUが、ECU200と同様の機能構成(図3を参照)を有するならば、状態信号の出力の時間間隔は、ステップS250の実行の要否の決定のために用いられる期間(閾値「TH2」によって定められる期間)よりも短くなる。したがって、状態信号が繰り返し出力されているならば、通知信号は生成されない。本実施形態において、所定期間は、閾値「TH2」によって定められる期間によって例示される。 In the present embodiment, the thresholds “TH1” and “TH2” are both constant values. The threshold “TH2” used in step S240 is set to a value larger than the threshold “TH1” described with reference to FIG. If the plurality of ECUs incorporated in the in-vehicle communication system have the same functional configuration as that of ECU 200 (see FIG. 3), the time interval of the output of the state signal is determined in order to determine whether or not to execute step S250. It is shorter than the period used (the period determined by the threshold “TH2”). Therefore, if the status signal is repeatedly output, no notification signal is generated. In the present embodiment, the predetermined period is exemplified by a period determined by the threshold “TH2”.
<第3実施形態>
第2実施形態に関連して説明された状態信号の生成処理において用いられる閾値は、一定である。代替的に、閾値は、変動してもよい。この場合、状態信号の出力の時間間隔は、不定になる。第3実施形態において、閾値を変動させる例示的な生成処理が説明される。
<Third embodiment>
The threshold value used in the state signal generation processing described in relation to the second embodiment is constant. Alternatively, the threshold may vary. In this case, the time interval of the output of the state signal becomes indefinite. In the third embodiment, an exemplary generation process for changing a threshold will be described.
図6は、閾値「TH1」を変動させる処理を表すフローチャートである。図3、図4及び図6を参照して、状態信号の生成処理が説明される。 FIG. 6 is a flowchart illustrating a process of changing the threshold “TH1”. With reference to FIG. 3, FIG. 4, and FIG. 6, the generation processing of the state signal will be described.
図6に示される処理は、図4のステップS130において実行される。 The process shown in FIG. 6 is executed in step S130 in FIG.
(ステップS131)
第1計時部232は、所定の値「TH」にランダム関数から得られた値を加算し、閾値「TH1」を設定する。値「TH」は、一定である。第1計時部232は、ランダム関数に代えて、他の関数から得られた値を用いて、閾値「TH1」を設定してもよい。例えば、計時値「T1」を変数とする関数は、閾値「TH1」を設定するために好適に利用可能である。閾値「TH1」の設定の後、ステップS132が実行される。
(Step S131)
The
(ステップS132)
第1計時部232は、閾値「TH1」が、閾値「TH2」よりも小さいか否かを判定する。閾値「TH1」が、閾値「TH2」よりも小さいならば、ステップS133が実行される。他の場合には、ステップS131が実行される。
(Step S132)
The
(ステップS133)
第1計時部232は、閾値「TH1」を計時値「T1」と比較する。
(Step S133)
The
<第4実施形態>
バスに不正に追加されたECUは、正規のECUの正常な動作を阻害する外因のうちの1つである。第4実施形態において、バスへのECUの不正な接続を検出する例示的な技術が説明される。
<Fourth embodiment>
An ECU that has been illegally added to the bus is one of the external factors that hinders the normal operation of the legitimate ECU. In the fourth embodiment, an example technique for detecting unauthorized connection of an ECU to a bus will be described.
図7は、不正なECUが組み込まれた通信システム101の概念的なブロック図である。上述の実施形態の説明は、上述の実施形態と同一の符号が付された要素に援用される。
FIG. 7 is a conceptual block diagram of the
第1実施形態と同様に、通信システム101は、ECU111,112とバス120とを備える。第1実施形態の説明は、これらの要素に援用される。
As in the first embodiment, the
通信システム101は、ECU113,114,115を更に備える。ECU111,112と同様に、ECU113,114,115それぞれは、バス120に電気的に接続されている。ECU111,112,113,114は、正規品である一方で、ECU115は、バス120に不正に取り付けられている。
The
ECU111,112,113,114それぞれは、バス120にデータ信号を出力する。データ信号は、パケット信号であってもよい。データ信号は、バス120を通じて、ECU111,112,113,114間でやりとりされる。本実施形態において、複数のノードは、ECU111,112,113,114によって例示される。車載通信システムは、4未満のECUを有してもよいし、4を超えるECUを有してもよい。本実施形態の原理は、いくつのECUが車載通信システムに組み込まれるかによっては何ら限定されない。
Each of the
ECU111,112,113,114は、車両のエンジンを制御するために用いられてもよい。代替的に、ECU111,112,113,114は、車両のナビゲーションシステムを制御するために用いられてもよい。更に代替的に、ECU111,112,113,114は、車両のブレーキを制御するために用いられてもよい。更に代替的に、ECU111,112,113,114は、車両のエアコンディショナを制御するために用いられてもよい。本実施形態の原理は、ECU111,112,113,114それぞれの特定の制御対象に限定されない。
図7に示される如く、ECU111,112,113,114からバス120へ出力されるデータ信号には、互いに異なる識別子が付される。本実施形態において、互いに異なる識別子が付された信号は、ECU111,112,113,114から出力されるデータ信号によって例示される。
As shown in FIG. 7, data signals output from
ECU111から出力されるデータ信号には、「ID111」との識別子が付されている。「ID111」との識別子が、バス120から取得されたデータ信号に付されているならば、ECU112,113,114は、データ信号が、エンジンを制御するための制御因子に関する情報(データ(W111,X111,Y111,Z111))を含んでいると認識してもよい。ECU112,113,114が、ECU111が制御対象とする制御因子に関する情報を必要とするならば、ECU112,113,114は、「ID111」との識別子が付されたデータ信号を取り込む。本実施形態において、第1ノードは、ECU111によって例示される。第1識別子は、識別子「ID111」によって例示される。通信信号は、ECU111から出力されるデータ信号によって例示される。
The data signal output from the
ECU112から出力されるデータ信号には、「ID112」との識別子が付されている。「ID112」との識別子が、バス120から取得されたデータ信号に付されているならば、ECU111,113,114は、データ信号が、エンジンを制御するための他のもう1つの制御因子に関する情報(データ(W112,X112,Y112,Z112))を含んでいると認識してもよい。ECU111,113,114が、ECU112が制御対象とする制御因子に関する情報を必要とするならば、ECU111,113,114は、「ID112」との識別子が付されたデータ信号を取り込む。
The data signal output from the
ECU113から出力されるデータ信号には、「ID113」との識別子が付されている。「ID113」との識別子が、バス120から取得されたデータ信号に付されているならば、ECU111,112,114は、データ信号が、エンジンを制御するための他のもう1つの制御因子に関する情報(データ(W113,X113,Y113,Z113))を含んでいると認識してもよい。ECU111,112,114が、ECU113が制御対象とする制御因子に関する情報を必要とするならば、ECU111,112,114は、「ID113」との識別子が付されたデータ信号を取り込む。
The data signal output from the
ECU114から出力されるデータ信号には、「ID114」との識別子が付されている。「ID114」との識別子が、バス120から取得されたデータ信号に付されているならば、ECU111,112,113は、データ信号が、エンジンを制御するための他のもう1つの制御因子に関する情報(データ(W114,X114,Y114,Z114))を含んでいると認識してもよい。ECU111,112,113が、ECU114が制御対象とする制御因子に関する情報を必要とするならば、ECU111,112,113は、「ID114」との識別子が付されたデータ信号を取り込む。
The data signal output from the
ECU111,112,113,114と同様に、ECU115は、データ信号を、バス120へ出力する。ECU115から出力されたデータ信号は、通信システム101が搭載された車両のエンジンの不適切な動作を引き起こしうるデータ(W115,X115,Y115,Z115)を含んでいる。
Similarly to the
ECU115から出力されたデータ信号には、ECU111によって付される識別子と同一の識別子「ID111」が付されている。したがって、ECU112,113,114は、ECU115から出力されたデータ信号が、ECU111が制御対象とする制御因子に関する情報を含んでいると認識しうる。一方、ECU111は、自身が固有に付すはずの識別子「ID111」が、ECU111が送信していないデータ信号に付されているので、ECU115から出力されたデータ信号を、不正な信号として認識し得る。本実施形態において、第1ノード以外のノードは、ECU112,113,114,115のうち1つによって例示される。
The data signal output from the
図8は、ECU200Aの例示的な機能構成を表す概略的なブロック図である。ECU200Aの機能構成は、ECU111,112,113,114それぞれに適用されてもよい。図4、図5、図7及び図8を参照して、ECU200Aが説明される。上述の実施形態の説明は、上述の実施形態と同一の符号が付された要素に援用される。
FIG. 8 is a schematic block diagram illustrating an exemplary functional configuration of
ECU200Aは、通信部210Aと、判定部220Aと、信号生成部230Aと、データ処理部240と、を含む。通信部210Aは、一般的なECUが有するトランシーバであってもよい。判定部220A及びデータ処理部240は、一般的なECUが有するCPUであってもよい。信号生成部230Aは、一般的なECUが有するCANコントローラであってもよい。
通信部210Aは、送信部211Aと受信部212Aとを含む。第2実施形態と同様に、送信部211Aは、状態信号を、バス120へ出力する。加えて、送信部211Aは、データ信号を、バス120へ出力する。第2実施形態と同様に、受信部212Aは、バス120を通じて、状態信号を受け取る。加えて、受信部212Aは、バス120を通じて、他のECUから出力されたデータ信号を受け取る。受信部212Aが受け取った状態信号及びデータ信号は、判定部220Aへ伝達される。本実施形態において、受信信号は、受信部212Aが受け取った状態信号又はデータ信号によって例示される。
判定部220Aは、第1判定部223と、第2判定部224と、第3判定部225と、を更に含む。第1判定部223は、状態信号及びデータ信号を、受信部212Aから受け取る。第1判定部223は、受信部212Aからの信号が、状態信号であるかデータ信号であるかを判定する。受信部212Aからの信号が、状態信号であるならば、状態信号は、第1判定部223から第3判定部225へ伝達される。その後、第3判定部225は、バス120に接続された他のECUが状態信号を適切に出力しているか否かを判定する。バス120に接続された他のECUのうち1つが所定期間に亘って状態信号を出力していないならば、トリガ信号を生成する。受信部212Aからの信号がデータ信号であるならば、データ信号は、第1判定部223から第2判定部224へ伝達される。
The determining
第2判定部224は、データ信号に付された識別子を参照する。データ信号が、データ処理部240によって実行される処理に必要とされる情報を含んでいることを、識別子が表すならば、第2判定部224は、データ信号に含まれるデータをデータ処理部240へ出力する。データ信号が、データ処理部240によって実行される処理とは無関係な情報を含んでいることを、識別子が表すならば、第2判定部224は、データ信号に含まれるデータの伝達を遮断する。
The
たとえば、ECU111のデータ処理部240は、ECU112,113から出力されたデータ信号に含まれるデータを必要とする一方で、ECU114からの出力されたデータ信号に含まれるデータを必要としなくてもよい。この場合、識別子「ID112」又は「ID113」が、第1判定部223からのデータ信号に付されているならば、ECU111の第2判定部224は、データ(W112,X112,Y112,Z112)又はデータ(W113,X113,Y113,Z113)を、ECU111のデータ処理部240へ伝達する。識別子「ID114」が、第1判定部223からのデータ信号に付されているならば、ECU111の第2判定部224は、受信部212Aが受け取ったデータ信号の伝達を遮断する。
For example, the
受信部212Aから受け取ったデータ信号に付された識別子が、信号生成部230Aによって付されるはずの識別子に一致するならば、判定部220Aは、受信部212Aが受け取ったデータ信号が不正であると判定してもよい。たとえば、ECU111の第2判定部224は、ECU111の第1判定部223からのデータ信号に、識別子「ID111」が付されているならば、ECU111の第2判定部224は、不正なデータ信号が存在していると判定することができる。この場合、ECU111の第2判定部224は、停止信号を生成する。停止信号は、第2判定部224から信号生成部230Aへ出力される。
If the identifier given to the data signal received from receiving
データ処理部240は、第2判定部224からデータ処理部240へのデータの伝達に応じて、所定の処理を行う。たとえば、データ処理部240は、制御対象(たとえば、エンジン)の制御に必要とされる情報を得るための演算処理を実行してもよい。本実施形態の原理は、データ処理部240が実行する特定の処理に限定されない。
The
データ処理部240の演算処理の結果が、他のECUに必要とされる情報であるならば、データ処理部240は、演算結果を表すデータ信号の生成を要求する要求信号を生成する。データ処理部240は、演算結果を表す情報を要求信号に含める。要求信号は、データ処理部240から信号生成部230Aへ出力される。
If the result of the arithmetic processing of
第2実施形態と同様に、信号生成部230Aは、通知信号生成部231を含む。第2実施形態の説明は、通知信号生成部231に援用される。
As in the second embodiment, the
信号生成部230Aは、第1計時部232Aと、状態信号生成部233Aと、データ信号生成部234と、を含む。上述の停止信号は、第2判定部224から第1計時部232Aへ伝達される。第1計時部232Aは、停止信号の不存在下では、図4を参照して説明されたステップS120乃至ステップS140の処理を実行する。状態信号生成部233Aは、ステップS120乃至ステップS140の実行に応じて、ステップS150を実行する。このとき、状態信号生成部233Aは、ECU200Aに固有に割り当てられた識別子を、状態信号に付す。たとえば、ECU111の状態信号生成部233Aは、識別子「ID111」を状態信号に付す。ECU112の状態信号生成部233Aは、識別子「ID112」を状態信号に付す。ECU113の状態信号生成部233Aは、識別子「ID113」を状態信号に付す。ECU114の状態信号生成部233Aは、識別子「ID114」を状態信号に付す。
The
第1計時部232Aは、停止信号に応じて、計時を停止する。この結果、状態信号生成部233Aは、状態信号を以後生成しない。したがって、ECU200A以外の正規のECUは、車載通信システム内での異常の発生を認識することができる。
The
データ処理部240は、要求信号をデータ信号生成部234へ伝達する。データ信号生成部234は、要求信号が表す演算結果を表すデータ信号を生成する。データ信号生成部234は、ECU200Aに固有に割り当てられた識別子を、データ信号に付す。たとえば、ECU111のデータ信号生成部234は、識別子「ID111」をデータ信号に付す。ECU112のデータ信号生成部234は、識別子「ID112」をデータ信号に付す。ECU113のデータ信号生成部234は、識別子「ID113」をデータ信号に付す。ECU114のデータ信号生成部234は、識別子「ID114」をデータ信号に付す。
データ信号は、データ信号生成部234から送信部211Aへ伝達される。その後、送信部211Aは、データ信号を、バス120へ出力する。
The data signal is transmitted from data signal
図9は、第1判定部223の処理を表す概略的なフローチャートである。図8及び図9を参照して、第1判定部223の処理が説明される。
FIG. 9 is a schematic flowchart illustrating the process of the
(ステップS310)
第1判定部223は、受信部212Aからの信号伝達を待つ。受信部212Aからの信号伝達の後、ステップS320が実行される。
(Step S310)
The
(ステップS320)
第1判定部223は、受信部212Aからの信号が、状態信号であるか否かを判定する。受信部212Aからの信号が、状態信号であるならば、ステップS330が実行される。
(Step S320)
The
(ステップS330)
第1判定部223は、第3判定部225へ状態信号を伝達する。
(Step S330)
The
(ステップS340)
第1判定部223は、第3判定部225へデータ信号を伝達する。
(Step S340)
The
図10は、第2判定部224の処理を表す概略的なフローチャートである。図8及び図10を参照して、第2判定部224の処理が説明される。
FIG. 10 is a schematic flowchart illustrating the processing of the
(ステップS410)
第2判定部224は、第1判定部223からのデータ信号の伝達を待つ。第1判定部223からのデータ信号の伝達があるならば、ステップS420が実行される。
(Step S410)
The
(ステップS420)
第2判定部224は、データ信号に付された識別子を参照し、データ信号が含むデータが、データ処理部240によって必要とされているか否かを判定する。データ信号が含むデータが、データ処理部240によって必要とされているならば、ステップS430が実行される。他の場合には、第2判定部224は、処理を終了する。
(Step S420)
The
(ステップS430)
データ信号が含むデータは、第2判定部224からデータ処理部240へ伝達される。
(Step S430)
Data included in the data signal is transmitted from
図11は、ECU111の第3判定部225の処理を表す概略的なフローチャートである。図7、図8及び図10を参照して、ECU111の第3判定部225の処理が説明される。
FIG. 11 is a schematic flowchart illustrating the processing of the
(ステップS505)
ECU111の第3判定部225は、車載通信システムの起動処理の完了を待つ。起動処理が完了すると、ステップS510が実行される。
(Step S505)
The
(ステップS510)
ECU111の第3判定部225は、計時を開始する。この結果、計時値「T112」,「T113」,「T114」は、ゼロから増加する。計時値「T112」は、ECU112に対応している。計時値「T113」は、ECU113に対応している。計時値「T114」は、ECU114に対応している。計時の開始の後、ステップS515が実行される。
(Step S510)
The
(ステップS515)
ECU111の第3判定部225は、ECU111の第1判定部223からの状態信号の伝達を待つ。ECU111の第1判定部223からの状態信号の伝達があると、ステップS520が実行される。他の場合には、ステップS560が実行される。
(Step S515)
The
(ステップS520)
ECU111の第3判定部225は、状態信号に付された識別子を参照し、状態信号が、ECU112から出力されているか否かを判定する。状態信号が、ECU112から出力されているならば、ステップS525が実行される。他の場合には、ステップS530が実行される。
(Step S520)
The
(ステップS525)
ECU111の第3判定部225は、ECU112に関して、計時を再開始する。この結果、計時値「T112」は、ゼロから増加する。計時の再開始の後、ステップS515が実行される。
(Step S525)
The
(ステップS530)
ECU111の第3判定部225は、計時値「T112」が閾値「TH2」を超えているか否かを判定する。計時値「T112」が閾値「TH2」を超えているならば、ステップS565が実行される。他の場合には、ステップS535が実行される。
(Step S530)
The
(ステップS535)
ECU111の第3判定部225は、状態信号に付された識別子を参照し、状態信号が、ECU113から出力されているか否かを判定する。状態信号が、ECU113から出力されているならば、ステップS540が実行される。他の場合には、ステップS545が実行される。
(Step S535)
The
(ステップS540)
ECU111の第3判定部225は、ECU113に関して、計時を再開始する。この結果、計時値「T113」は、ゼロから増加する。計時の再開始の後、ステップS515が実行される。
(Step S540)
The
(ステップS545)
ECU111の第3判定部225は、計時値「T113」が閾値「TH2」を超えているか否かを判定する。計時値「T113」が閾値「TH2」を超えているならば、ステップS565が実行される。他の場合には、ステップS550が実行される。
(Step S545)
The
(ステップS550)
ECU111の第3判定部225は、計時値「T114」が閾値「TH2」を超えているか否かを判定する。計時値「T114」が閾値「TH2」を超えているならば、ステップS565が実行される。他の場合には、ステップS555が実行される。
(Step S550)
The
(ステップS555)
ECU111の第3判定部225は、ECU114に関して、計時を再開始する。この結果、計時値「T114」は、ゼロから増加する。計時の再開始の後、ステップS515が実行される。
(Step S555)
The
(ステップS560)
ECU111の第3判定部225は、計時値「T112」,「T113」,「T114」のうち少なくとも1つが閾値「TH2」を超えているか否かを判定する。計時値「T112」,「T113」,「T114」のうち少なくとも1つが閾値「TH2」を超えているならば、ステップS565が実行される。他の場合には、ステップS515が実行される。
(Step S560)
The
(ステップS565)
ECU111の第3判定部225は、トリガ信号を生成する。トリガ信号は、その後、ECU111の第3判定部225からECU111の通知信号生成部231へ伝達される。
(Step S565)
The
<第5実施形態>
状態信号のみが符号化処理を受けるならば、車載通信システムの通信負荷はあまり大きくならない。したがって、状態信号を選択的に符号化する技術が、上述の実施形態に組み込まれてもよい。第5実施形態において符号化技術は、他の様々な技術であってもよい。
<Fifth embodiment>
If only the status signal is subjected to the encoding process, the communication load of the in-vehicle communication system is not so large. Accordingly, techniques for selectively encoding state signals may be incorporated into the embodiments described above. Coding techniques have you to the fifth embodiment may be a variety of other techniques.
図12は、第5実施形態のECU200Bの例示的な機能構成を表す概略的なブロック図である。ECU200Bの機能構成は、図7を参照して説明されたECU111,112,113,114それぞれに適用されてもよい。図7、図9及び図12を参照して、ECU200Bが説明される。上述の実施形態の説明は、上述の実施形態と同一の符号が付された要素に援用される。
FIG. 12 is a schematic block diagram illustrating an exemplary functional configuration of an
第4実施形態と同様に、ECU200Bは、通信部210Aと、データ処理部240と、を含む。第4実施形態の説明は、これらの要素に援用される。
As in the fourth embodiment, the
ECU200Bは、判定部220Bと、信号生成部230Bと、を更に含む。判定部220B及びデータ処理部240は、一般的なECUが有するCPUであってもよい。信号生成部230Bは、一般的なECUが有するCANコントローラであってもよい。
第4実施形態と同様に、判定部220Bは、第2判定部224と第3判定部225とを含む。第4実施形態の説明は、これらの要素に援用される。
As in the fourth embodiment, the determining
判定部220Bは、第1判定部223Bと、復号部226と、を含む。受信部212Aは、バス120を通じて、状態信号を受け取る。本実施形態において、状態信号は、符号化されている一方で、データ信号は符号化されていない。したがって、第1判定部223Bは、データ信号の識別子を参照することができる一方で、状態信号の識別子を参照することはできない。第1判定部223Bが、図9を参照して説明されたステップS320において、受信部212Aからの信号の識別子を参照することができないならば、受信部212Aからの信号を状態信号として判定してもよい。この場合、受信部212Aからの信号は、第1判定部223Bを通じて、復号部226へ出力される。
The determining
第4実施形態と同様に、信号生成部230Bは、第1計時部232Aと、状態信号生成部233Aと、データ信号生成部234と、を更に含む。第4実施形態の説明は、これらの要素に援用される。
As in the fourth embodiment, the
信号生成部230Bは、通知信号生成部231Bと、符号化部235と、を更に含む。符号化部235は、状態信号生成部233Aが生成した状態信号を、所定の符号化技術を用いて符号化する。符号化された状態信号は、符号化部235から送信部211Aへ伝達される。その後、送信部211Aは、符号化された状態信号を、バス120へ出力する。
The
復号部226は、所定の復号技術を用いて、第1判定部223Bから伝達された信号を復号する。信号が、適切に復号されるならば、復号された信号は、第3判定部225へ出力される。信号の復号が失敗するならば、第1判定部223Bから伝達された信号は、不正なECUに由来するリスクがある。この場合、復号部226は、トリガ信号を生成する。トリガ信号は、その後、復号部226から通知信号生成部231Bへ伝達される。
The
第2実施形態と同様に、通知信号生成部231Bは、第2計時部222から受け取ったトリガ信号に応じて、通知信号を生成する。加えて、通知信号生成部231Bは、復号部226から受け取ったトリガ信号に応じて、通知信号を生成する。
As in the second embodiment, the
<第6実施形態>
上述の実施形態に説明された技術は、車載通信システムに搭載された複数のECUのうち一部に適用されてもよい。不正アクセスが深刻な事態を引き起こし得るECUにのみ、上述の実施形態に関連して説明された技術が適用されるならば、車載通信システムへの通信負荷の増大は抑制される。第6実施形態において、不正アクセスを検知する機能を有するECUと、不正アクセスの検知機能を有さないECUと、を含む車載通信システムが説明される。
<Sixth embodiment>
The technology described in the above embodiment may be applied to a part of a plurality of ECUs mounted on the in-vehicle communication system. If the technology described in connection with the above-described embodiment is applied only to an ECU in which unauthorized access may cause a serious situation, an increase in the communication load on the in-vehicle communication system is suppressed. In the sixth embodiment, an in-vehicle communication system including an ECU having a function of detecting unauthorized access and an ECU having no function of detecting unauthorized access will be described.
図13は、第6実施形態の車載通信システム(以下、通信システム100Cと称される)の概念的なブロック図である。上述の実施形態の説明は、上述の実施形態と同一の符号が付された要素に援用される。図12及び図13を参照して、通信システム100Cが説明される。
FIG. 13 is a conceptual block diagram of a vehicle-mounted communication system (hereinafter, referred to as a
通信システム100Cは、ゲートウェイECU300と、バス121,122,123,124,125と、ECU311〜314,321〜324,331〜334,341〜344,351〜354と、を含む。バス121,122,123,124,125は、ゲートウェイECU300に接続される。
ECU311〜314は、バス121に接続される。ECU311〜314は、協働して、通信システム100Cが搭載された車両のエンジンを制御する。ECU321〜324は、バス122に接続される。ECU321〜324は、協働して、通信システム100Cが搭載された車両のブレーキを制御する。ECU331〜334は、バス123に接続される。ECU331〜334は、協働して、通信システム100Cが搭載された車両のナビゲーションシステムを制御する。ECU341〜344は、バス124に接続される。ECU341〜344は、協働して、通信システム100Cが搭載された車両のエアコンディショナを制御する。ECU351〜354は、バス125に接続される。ECU351〜354は、協働して、通信システム100Cが搭載された車両の先進運転支援システム(ADAS:ADVANCED Driver Assistance Systems)を制御する。
The
ゲートウェイECU300及びECU311〜314,321〜324それぞれは、図12を参照して説明されたECU200Bと同様の機能構成を有する。したがって、ECU200Bの説明は、ゲートウェイECU300及びECU311〜314,321〜324に援用される。一方、ECU331〜334,341〜344,351〜354それぞれは、一般的なECUであってもよい。
Each of
エンジンの制御に影響を与える不正アクセスが生じたとき、ゲートウェイECU300及びECU311〜314のうち少なくとも1つは、通知信号を生成する。ゲートウェイECU300及びECU311〜314のうち少なくとも他のもう1つは、通知信号を生成し、車両を運転する運転者に警告を与えることができる。
When an unauthorized access that affects the control of the engine occurs, at least one of the
ブレーキの制御に影響を与える不正アクセスが生じたとき、ゲートウェイECU300及びECU321〜324のうち少なくとも1つは、通知信号を生成する。ゲートウェイECU300及びECU321〜324のうち少なくとも他のもう1つは、通知信号を生成し、車両を運転する運転者に警告を与えることができる。
When an unauthorized access that affects the brake control occurs, at least one of the
<第7実施形態>
車載通信システムは、複数のECU間の通信を統括的に管理及び制御するドメインマスタECUを含んでもよい。第7実施形態において、ドメインマスタECUを含む車載通信システムが説明される。
<Seventh embodiment>
The in-vehicle communication system may include a domain master ECU that comprehensively manages and controls communication between a plurality of ECUs. In the seventh embodiment, an in-vehicle communication system including a domain master ECU will be described.
図14は、第7実施形態の車載通信システム(以下、通信システム100Dと称される)の概念的なブロック図である。上述の実施形態の説明は、上述の実施形態と同一の符号が付された要素に援用される。図14を参照して、通信システム100Dが説明される。
FIG. 14 is a conceptual block diagram of a vehicle-mounted communication system (hereinafter, referred to as a
第6実施形態と同様に、通信システム100Dは、ゲートウェイECU300と、バス121,122,123と、ECU312〜314,322〜324,332〜334と、を含む。第6実施形態の説明は、これらの要素に援用される。
As in the sixth embodiment, the
通信システム100Dは、ドメインマスタECU315,325,335を更に含む。ドメインマスタECU315は、バス121に接続される。ドメインマスタECU325は、バス122に接続される。ドメインマスタECU335は、バス123に接続される。
ドメインマスタECU315は、ECU312〜314を統括的に管理及び制御する。たとえば、ドメインマスタECU315は、ECU312〜314から受け取った情報をまとめ、ゲートウェイECU300へ伝達してもよい。ドメインマスタECU315がまとめた情報は、その後、ゲートウェイECU300を通じて、バス122,123のうち少なくとも一方に伝達される。
The
ドメインマスタECU325は、ECU322〜324を統括的に管理及び制御する。たとえば、ドメインマスタECU325は、ECU322〜324から受け取った情報をまとめ、ゲートウェイECU300へ伝達してもよい。ドメインマスタECU325がまとめた情報は、その後、ゲートウェイECU300を通じて、バス121,123のうち少なくとも一方に伝達される。
The
ドメインマスタECU335は、ECU332〜334を統括的に管理及び制御する。たとえば、ドメインマスタECU335は、ECU332〜334から受け取った情報をまとめ、ゲートウェイECU300へ伝達してもよい。ドメインマスタECU335がまとめた情報は、その後、ゲートウェイECU300を通じて、バス121,122のうち少なくとも一方に伝達される。
The
<第8実施形態>
ドメインマスタECU間の通信は、Ethernetといった高速通信技術に依存してもよい。この場合、ゲートウェイECUは必要とされない。第8実施形態において、ドメインマスタECU間で高速通信を行う車載通信システムが説明される。
<Eighth embodiment>
Communication between the domain master ECUs may depend on a high-speed communication technology such as Ethernet. In this case, no gateway ECU is needed. In the eighth embodiment, an in-vehicle communication system that performs high-speed communication between domain master ECUs will be described.
図15は、第8実施形態の車載通信システム(以下、通信システム100Eと称される)の概念的なブロック図である。上述の実施形態の説明は、上述の実施形態と同一の符号が付された要素に援用される。図15を参照して、通信システム100Eが説明される。
FIG. 15 is a conceptual block diagram of a vehicle-mounted communication system (hereinafter, referred to as a
第7実施形態と同様に、通信システム100Eは、バス121,122,123と、ECU312〜314,322〜324,332〜334と、ドメインマスタECU315,325,335と、を含む。第7実施形態の説明は、これらの要素に援用される。
As in the seventh embodiment, the
通信システム100Eは、高速通信回線301を更に含む。高速通信回線301は、一般的なEthernet回線であってもよい。
The
通信システム100Eは、ドメインマスタECU315,325,335それぞれに接続される。通信システム100Eは、ドメインマスタECU315,325,335間の相互の情報伝達を可能にする。
The
第7実施形態に関連して説明された如く、ドメインマスタECU315は、ECU312〜314を統括的に管理及び制御する。ECU315は、ECU312〜314から受け取った情報をまとめ、高速通信回線301へ出力する。ドメインマスタECU315によってまとめられた情報は、その後、高速通信回路301を通じて、ドメインマスタECU325,335のうち少なくとも1つに伝達される。
As described in relation to the seventh embodiment, the
第7実施形態に関連して説明された如く、ドメインマスタECU325は、ECU322〜324を統括的に管理及び制御する。ドメインマスタECU325は、ECU322〜324から受け取った情報をまとめ、高速通信回線301へ出力する。ドメインマスタECU325によってまとめられた情報は、その後、高速通信回路301を通じて、ドメインマスタECU315,335のうち少なくとも1つに伝達される。
As described in relation to the seventh embodiment, the
第7実施形態に関連して説明された如く、ドメインマスタECU335は、ECU332〜334を統括的に管理及び制御する。ドメインマスタECU335は、ECU332〜334から受け取った情報をまとめ、高速通信回線301へ出力する。ドメインマスタECU335によってまとめられた情報は、その後、高速通信回路301を通じて、ドメインマスタECU315,325のうち少なくとも1つに伝達される。
As described in relation to the seventh embodiment, the
上述の様々な実施形態の原理は、車両に対する要求に適合するように、組み合わされてもよい。上述の様々な実施形態のうち1つに関連して説明された様々な特徴のうち一部が、他のもう1つの実施形態に関連して説明された制御装置に適用されてもよい。 The principles of the various embodiments described above may be combined to suit the needs of the vehicle. Some of the various features described in relation to one of the various embodiments described above may be applied to the controller described in connection with another alternative embodiment.
上述の実施形態の原理は、様々な車両の制御に好適に利用される。 The principle of the above-described embodiment is suitably used for control of various vehicles.
100,100C・・・・・・・・・・・・・・・通信システム
101・・・・・・・・・・・・・・・・・・・・通信システム
111〜115・・・・・・・・・・・・・・・・ECU
120〜125・・・・・・・・・・・・・・・・バス
200,200A,200B・・・・・・・・・・ECU
210,210A・・・・・・・・・・・・・・・通信部
220,220A,220B・・・・・・・・・・判定部
226・・・・・・・・・・・・・・・・・・・・復号部
230,230A,230B・・・・・・・・・・信号生成部
235・・・・・・・・・・・・・・・・・・・・符号化部
300・・・・・・・・・・・・・・・・・・・・ゲートウェイECU
311〜314・・・・・・・・・・・・・・・・ECU
321〜324・・・・・・・・・・・・・・・・ECU
331〜334・・・・・・・・・・・・・・・・ECU
341〜344・・・・・・・・・・・・・・・・ECU
351〜354・・・・・・・・・・・・・・・・ECU
CDS・・・・・・・・・・・・・・・・・・・・状態信号
100,
120-125
210, 210A ········
311 to 314 ... ECU
321-324 ... ECU
331-334 ... ECU
341-344 ... ECU
351-354 ... ECU
CDS ........................... State signal
Claims (5)
前記外因の不存在下で状態信号を繰り返し出力する通信部をそれぞれ有する第1ノード及び第2ノードを備え、
前記外因の前記不存在下では、前記第1ノードの前記通信部は、前記第2ノードが前記第1ノードから前記状態信号を受信する受信間隔に対して定められた受信間隔閾値よりも小さな値に設定された送信間隔閾値に基づいて前記状態信号の送信タイミングを決定するとともに前記送信間隔閾値を前記受信間隔閾値を超えない範囲で変動させることにより、前記状態信号を不定の時間間隔で繰り返し出力するように構成され、
前記第2ノードの前記通信部が、前記受信間隔閾値によって定められた前記受信間隔以内に前記状態信号を受け取らないならば、前記第2ノードは、前記外因の存在を通知する通知信号を生成する
車載通信システム。 When exogenous to inhibit operation of the node is present, a vehicle communication system that is constructed so as to notify the presence of the exogenous among a plurality of nodes,
A first node and a second node each having a communication unit that repeatedly outputs a state signal in the absence of the external cause,
In the absence of the external cause, the communication unit of the first node may have a value less than a reception interval threshold defined for a reception interval at which the second node receives the state signal from the first node. By determining the transmission timing of the status signal based on the transmission interval threshold set in, and varying the transmission interval threshold within a range not exceeding the reception interval threshold, repeatedly output the status signal at an indefinite time interval Is configured to
If the communication unit of the second node does not receive the status signal within the reception interval defined by the reception interval threshold, the second node generates a notification signal that notifies the existence of the external cause. In-vehicle communication system.
前記複数のノードは、互いに異なる識別子が付された信号を前記バスへそれぞれ出力し、
前記第1ノードは、前記状態信号と所定の制御対象の制御に用いられるデータ信号とに第1識別子を付して通信信号を生成する信号生成部と、前記通信部が前記第1ノード以外のノードから受け取った受信信号に付された識別子が、前記第1識別子であるか否かを判定する判定部と、を含み、
前記判定部が、前記受信信号に付された前記識別子が前記第1識別子であると判定すると、前記通信部は前記状態信号の出力を停止するとともに、前記状態信号の前記出力の停止期間が前記受信間隔閾値によって定められた前記受信間隔を超えると、前記第2ノードは、前記通知信号を生成する
請求項1に記載の車載通信システム。 A bus electrically connected to a plurality of nodes including the first node and the second node;
The plurality of nodes respectively output signals with different identifiers to the bus,
A signal generation unit that adds a first identifier to the state signal and a data signal used for controlling a predetermined control target to generate a communication signal, wherein the communication unit is a device other than the first node; A determination unit that determines whether an identifier attached to a received signal received from the node is the first identifier,
When the determination unit determines that the identifier attached to the received signal is the first identifier, the communication unit stops outputting the status signal, and the stop period of the output of the status signal is The in-vehicle communication system according to claim 1, wherein the second node generates the notification signal when the reception interval exceeds a reception interval defined by a reception interval threshold.
請求項2に記載の車載通信システム。 The in-vehicle communication system according to claim 2, wherein the signal generation unit encodes the state signal and does not encode the data signal.
請求項1乃至3のいずれか1項に記載の車載通信システム。 The in-vehicle communication system according to any one of claims 1 to 3, wherein each of the first node and the second node is an electronic control unit designed to control an engine.
請求項1乃至3のいずれか1項に記載の車載通信システム。 The in-vehicle communication system according to any one of claims 1 to 3, wherein each of the first node and the second node is an electronic control unit designed to control a brake.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016136155A JP6631426B2 (en) | 2016-07-08 | 2016-07-08 | In-vehicle communication system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016136155A JP6631426B2 (en) | 2016-07-08 | 2016-07-08 | In-vehicle communication system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018007208A JP2018007208A (en) | 2018-01-11 |
JP6631426B2 true JP6631426B2 (en) | 2020-01-15 |
Family
ID=60946692
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016136155A Active JP6631426B2 (en) | 2016-07-08 | 2016-07-08 | In-vehicle communication system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6631426B2 (en) |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0257450A (en) * | 1988-08-22 | 1990-02-27 | Daihatsu Motor Co Ltd | System for controlling vehicle |
JP4497089B2 (en) * | 2005-12-13 | 2010-07-07 | トヨタ自動車株式会社 | Control device for internal combustion engine |
JP4396723B2 (en) * | 2007-04-03 | 2010-01-13 | トヨタ自動車株式会社 | Energy saving operation promotion device |
JP5326897B2 (en) * | 2009-07-17 | 2013-10-30 | 株式会社デンソー | Communications system |
JP5408363B2 (en) * | 2011-06-01 | 2014-02-05 | トヨタ自動車株式会社 | Vehicle steering control device |
JP5522160B2 (en) * | 2011-12-21 | 2014-06-18 | トヨタ自動車株式会社 | Vehicle network monitoring device |
JP5942975B2 (en) * | 2013-12-24 | 2016-06-29 | 株式会社デンソー | Electronic control unit |
CN111934966B (en) * | 2014-12-01 | 2022-09-20 | 松下电器(美国)知识产权公司 | Abnormality detection electronic control unit, vehicle-mounted network system, and abnormality detection method |
-
2016
- 2016-07-08 JP JP2016136155A patent/JP6631426B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2018007208A (en) | 2018-01-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11636196B2 (en) | Misuse detection method, misuse detection electronic control unit, and misuse detection system | |
CN107431709B (en) | Attack recognition method, attack recognition device and bus system for automobile | |
JP6369341B2 (en) | In-vehicle communication system | |
US11394726B2 (en) | Method and apparatus for transmitting a message sequence over a data bus and method and apparatus for detecting an attack on a message sequence thus transmitted | |
Otsuka et al. | CAN security: Cost-effective intrusion detection for real-time control systems | |
JP2019068253A (en) | Abnormality detection device, abnormality detection method, program, and communication system | |
KR101972457B1 (en) | Method and System for detecting hacking attack based on the CAN protocol | |
US20180270136A1 (en) | Communications system | |
JP2008114806A (en) | On-vehicle device relay system, on-vehicle device relay method and relay device | |
JP6631426B2 (en) | In-vehicle communication system | |
JP5720618B2 (en) | Security equipment | |
JP2018007211A (en) | On-vehicle communication system | |
JPWO2018211790A1 (en) | ECU | |
JP6455220B2 (en) | Communications system | |
TWI569995B (en) | Information gateway and its interference with vehicle operation | |
JP6913869B2 (en) | Surveillance equipment, surveillance systems and computer programs | |
JP7103197B2 (en) | Communications system | |
JP2020096320A (en) | Illegal signal processing device | |
JP2018007204A (en) | Authentication system, fault diagnostic tool, on-vehicle communication system, and authentication method | |
JP2013121071A (en) | Relay system, and relay device and external device forming the same | |
CN112733123B (en) | Authorization management method and distributed management system | |
JP2005059809A (en) | On-vehicle system | |
JP5892889B2 (en) | Communication control device | |
JP6822090B2 (en) | Communications system | |
JP2002314556A (en) | Vehicle control system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170323 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180529 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180712 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20181204 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20181212 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190312 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20190723 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191018 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20191028 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20191112 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20191125 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6631426 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |