JP6889196B2 - 車両用通信システム - Google Patents

車両用通信システム Download PDF

Info

Publication number
JP6889196B2
JP6889196B2 JP2019048615A JP2019048615A JP6889196B2 JP 6889196 B2 JP6889196 B2 JP 6889196B2 JP 2019048615 A JP2019048615 A JP 2019048615A JP 2019048615 A JP2019048615 A JP 2019048615A JP 6889196 B2 JP6889196 B2 JP 6889196B2
Authority
JP
Japan
Prior art keywords
cpu
transfer
built
frame
external
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019048615A
Other languages
English (en)
Other versions
JP2020150495A (ja
Inventor
貴弘 中原
貴弘 中原
貴之 上田
貴之 上田
曜 ▲柳▼田
曜 ▲柳▼田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yazaki Corp
Original Assignee
Yazaki Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yazaki Corp filed Critical Yazaki Corp
Priority to JP2019048615A priority Critical patent/JP6889196B2/ja
Priority to US16/785,722 priority patent/US11535179B2/en
Priority to EP20156990.2A priority patent/EP3709167B1/en
Priority to CN202010091075.0A priority patent/CN111694299B/zh
Publication of JP2020150495A publication Critical patent/JP2020150495A/ja
Application granted granted Critical
Publication of JP6889196B2 publication Critical patent/JP6889196B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • B60R16/0231Circuits relating to the driving or the functioning of the vehicle
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • G06F11/0772Means for error signaling, e.g. using interrupts, exception flags, dedicated error registers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1415Saving, restoring, recovering or retrying at system level
    • G06F11/142Reconfiguring to eliminate the error
    • G06F11/1428Reconfiguring to eliminate the error with loss of hardware functionality
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/2002Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where interconnections or communication control functionality are redundant
    • G06F11/2005Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where interconnections or communication control functionality are redundant using redundant communication controllers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2035Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant without idle spare hardware
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2048Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant where the redundant components share neither address space nor persistent storage
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0654Management of faults, events, alarms or notifications using network fault recovery
    • H04L41/0663Performing the actions predefined by failover planning, e.g. switching to standby network elements
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/26Pc applications
    • G05B2219/2637Vehicle, car, auto, wheelchair
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Automation & Control Theory (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Mechanical Engineering (AREA)
  • Computing Systems (AREA)
  • Medical Informatics (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、車両用通信システムに関する。
従来、車両用通信システムとして、例えば、特許文献1には、車両に搭載され、車両内の高速通信線と低速通信線との間でデータの中継を行う中継装置を備えた通信システムが開示されている。この中継装置は、データを中継するための情報が記載されたテーブルと、当該テーブルに基づいてデータを中継するCPUとを備えている。
特開2017−118407号公報
ところで、上述の特許文献1に記載の通信システムは、例えば、中継装置のCPUが異常である場合でも、データの中継を継続できるようにすることが望まれている。
そこで、本発明は、上記に鑑みてなされたものであって、情報を適正に転送することができる車両用通信システムを提供することを目的とする。
上述した課題を解決し、目的を達成するために、本発明に係る車両用通信システムは、内蔵制御部を有し車両に搭載され機器に接続され前記機器に情報を転送する転送処理を行う制御回路、及び、前記制御回路の外側に設けられ前記制御回路に接続され前記内蔵制御部よりも情報処理能力が高く前記転送処理を行うように指令する転送指令処理を実行可能であり且つ前記転送指令処理を実行する際に転送対象の情報のセキュリティを確保するセキュリティ処理を実行可能である外付制御部、を含んで構成される転送ユニットを備え、前記内蔵制御部は、前記外付制御部の動作を監視し、前記外付制御部が異常である場合、前記外付制御部の代わりに前記転送指令処理を実行することを特徴とする。
上記車両用通信システムにおいて、前記内蔵制御部は、前記外付制御部が異常である場合、前記外付制御部の機能を無効とし前記外付制御部の代わりに前記転送指令処理を実行し且つ前記セキュリティ処理を実行しないことが好ましい。
上記車両用通信システムにおいて、前記転送ユニットは、複数設けられ、複数の前記転送ユニットは、第1転送ユニットと、前記第1転送ユニットにより送信された情報を転送する第2転送ユニットとを含み、前記第1転送ユニットは、当該第1転送ユニットの前記外付制御部が正常である場合、自らの前記外付制御部により前記セキュリティ処理を実行しセキュリティを確保したセキュリティ確保情報を前記第2転送ユニットに送信し、前記第2転送ユニットは、前記第1転送ユニットにより送信された前記セキュリティ確保情報を、前記セキュリティ処理を実行せずに転送し、前記第1転送ユニットは、当該第1転送ユニットの前記外付制御部が異常である場合、前記セキュリティ処理を実行していないセキュリティ未確保情報を前記第2転送ユニットに送信し、前記第2転送ユニットは、前記第1転送ユニットにより送信された前記セキュリティ未確保情報に対して、自らの前記外付制御部により前記セキュリティ処理を実行して転送することが好ましい。
本発明に係る車両用通信システムは、外付制御部が異常である場合、内蔵制御部が外付制御部の代わりに転送指令処理を実行するので情報を適正に転送することができる。
図1は、実施形態に係る車両用通信システムの構成例及び動作例を示すブロック図である。 図2は、実施形態に係る車両用通信システムの動作例を示すブロック図である。 図3は、実施形態に係るスイッチングハブの構成例及び動作例を示すブロック図である。 図4は、実施形態に係るスイッチングハブの動作例を示すブロック図である。 図5は、実施形態に係るフレームの構成例を示す図である。 図6は、実施形態に係るエラーコード追加時のフレームの構成例を示す図である。 図7は、実施形態に係る車両用通信システムの正常時の動作例を示すブロック図である。 図8は、実施形態に係る車両用通信システムの異常時(その1)の動作例を示すブロック図である。 図9は、実施形態に係る車両用通信システムの異常時(その2)の動作例を示すブロック図である。 図10は、実施形態に係る車両用通信システムの動作例を示すフローチャートである。
本発明を実施するための形態(実施形態)につき、図面を参照しつつ詳細に説明する。以下の実施形態に記載した内容により本発明が限定されるものではない。また、以下に記載した構成要素には、当業者が容易に想定できるもの、実質的に同一のものが含まれる。更に、以下に記載した構成は適宜組み合わせることが可能である。また、本発明の要旨を逸脱しない範囲で構成の種々の省略、置換又は変更を行うことができる。
〔実施形態〕
図面を参照しながら実施形態に係る車両用通信システム100について説明する。図1は、実施形態に係る車両用通信システム100の構成例及び動作例を示すブロック図である。図2は、実施形態に係る車両用通信システム100の動作例を示すブロック図である。図3は、実施形態に係るスイッチングハブ1の構成例及び動作例を示すブロック図である。図4は、実施形態に係るスイッチングハブ1の動作例を示すブロック図である。図5は、実施形態に係るフレームF1の構成例を示す図である。図6は、実施形態に係るエラーコード追加時のフレームF2の構成例を示す図である。
車両用通信システム100は、車両に搭載され、当該車両に設けられた複数の通信機器2、3を通信可能に接続するシステムである。車両用通信システム100は、複数の転送ユニットとしての複数のスイッチングハブ1を備えている。各スイッチングハブ1は、複数の通信機器2、3を接続し、当該複数の通信機器2、3に情報を転送するものである。各スイッチングハブ1は、車両に設けられた通信ネットワークである車載LAN(Local Area Network)を構成している。車載LANは、例えば、Ethernet(登録商標)の通信規格が採用されているが、これに限定されない。
複数のスイッチングハブ1は、図1〜図4に示すように、入出力I/F10と、メモリ20と、制御回路としてのスイッチIC50と、外付CPU30と、設定回路40(図3等参照)とを備えている。複数のスイッチングハブ1は、第1スイッチングハブ1Aと、第2スイッチングハブ1Bとを含んで構成される。第1スイッチングハブ1Aは、第1入出力I/F10Aと、第1メモリ20Aと、第1外付CPU30Aと、設定回路40と、第1スイッチIC50Aとを備えている。
第1入出力I/F10Aは、各種機器と接続されるインターフェースである。第1入出力I/F10Aは、第1スイッチIC50Aに設けられ、且つ、通信線を介して通信機器2等に接続されている。第1入出力I/F10Aは、ポート11a〜11dを含んで構成される。ポート11a、11bは、それぞれ通信線を介して通信機器2a、2bに接続されている。ポート11cは、通信線を介して第2スイッチングハブ1Bに接続されている。ポート11dは、通信線を介して第1外付CPU30Aに接続されている。
第1メモリ20Aは、情報を記憶するものである。第1メモリ20Aは、例えば、不揮発性のメモリであり、磁気記憶装置、光ディスク、フラッシュメモリ等により構成される。第1メモリ20Aは、第1スイッチIC50Aの外部に設けられ、通信線を介して第1スイッチIC50Aに接続されている。第1メモリ20Aには、第1外付CPU30A及び第1スイッチIC50Aを動作させるためのプログラムや情報が記憶されている。第1メモリ20Aには、例えば、第1外付CPU30Aが正常の場合に適用される正常モード用のプログラム及び正常モード用のルーテイングテーブル、第1外付CPU30Aが異常の場合に適用されるセーフモード用のプログラム及びセーフモード用のルーテイングテーブル等が記憶されている。
各ルーテイングテーブルは、情報を転送する際に用いられる。ルーテイングテーブルには、各通信機器2等のMACアドレスと、第1入出力I/F10Aのポート番号とが対応づけられている。例えば、通信機器2aのMACアドレスとポート11aのポート番号とが対応付けられ、通信機器2bのMACアドレスとポート11bのポート番号とが対応付けられ、第2スイッチングハブ1BのMACアドレスとポート11cのポート番号とが対応付けられ、第1外付CPU30AのMACアドレスとポート11dのポート番号とが対応付けられている。
第1外付CPU30Aは、転送指令処理及びセキュリティ処理を行うものである。第1外付CPU30Aは、例えば、第1スイッチIC50Aの基板とは異なる基板に、トランジスタ、抵抗、コンデンサ等の素子を形成した電子部品である。第1外付CPU30Aは、第1スイッチIC50Aの外側に設けられ、通信線を介してスイッチIC50に接続されている。つまり、第1外付CPU30Aは、第1スイッチIC50Aに外付けされている。第1外付CPU30Aは、後述する第1内蔵CPU51Aよりも情報処理能力が高い。つまり、第1外付CPU30Aは、第1内蔵CPU51Aよりも情報を演算する演算能力が高い。第1外付CPU30Aは、例えば、CPUを動作させるクロック周波数が第1内蔵CPU51Aよりも高く、CPUのコア数が第1内蔵CPU51Aよりも多く、キャッシュメモリの容量が第1内蔵CPU51Aよりも大きいことが好ましい。
第1外付CPU30Aは、各種機器に情報を転送する転送処理を行うように指令する転送指令処理を実行する。第1外付CPU30Aは、例えば、第1メモリ20Aに記憶された正常用のルーテイングテーブルに基づいて、各種機器に情報を転送する指令を行う転送指令処理を実行する。第1外付CPU30Aは、例えば、通信機器2からEthernetのフレームF1(図5参照)が出力された場合、正常用のルーテイングを参照する。ここで、フレームF1には、周知のように、プリアンブル、SFD、MACアドレス、VLANタグ、タイプフィールド、ペイロード、CRC等のフィールドが含まれている(図5参照)。第1外付CPU30Aは、EthernetのフレームF1に含まれるMACアドレスと、正常用のルーテイングテーブルに登録された各種機器のMACアドレスと比較する。そして、第1外付CPU30Aは、フレームF1のMACアドレスと一致する各種機器のMACアドレスを検出し、検出した各種機器のMACアドレスに対応づけられたポート番号を取得する。そして、第1外付CPU30Aは、取得したポート番号が示すポート11a〜11cにEthernetのフレームF1を転送することを指令する転送指令信号を第1内蔵CPU51Aに出力する。
第1外付CPU30Aは、更に、転送指令処理を実行する際に転送対象の情報のセキュリティを確保するセキュリティ処理を実行する。第1外付CPU30Aは、例えば、不審なフレームF1を破棄することによりセキュリティ処理を実行する。具体的には、第1外付CPU30Aは、転送対象のフレームF1のMACアドレスと予め定められた通過許可のMACアドレスとを比較し、転送対象のフレームF1のMACアドレスが通過許可のMACアドレスに一致しない場合、転送対象のフレームF1を不審なフレームF1と判定し、当該不審なフレームF1を破棄する。一方、第1外付CPU30Aは、転送対象のフレームF1のMACアドレスが通過許可のMACアドレスに一致する場合、転送対象のフレームF1を信用のあるフレームF1と判定し、当該フレームF1を破棄しない。
また、第1外付CPU30Aは、動作確認用のリンク情報L(図3等参照)を第1内蔵CPU51Aに出力する。第1外付CPU30Aは、例えば、当該第1外付CPU30Aのメイン処理1回に対して1つのパルス信号をリンク情報Lとして第1内蔵CPU51Aに出力する。第1外付CPU30Aは、当該第1外付CPU30Aが正常である場合、一定周期のパルス信号をリンク情報Lとして第1内蔵CPU51Aに出力する(図3参照)。一方、第1外付CPU30Aは、当該第1外付CPU30Aが異常である場合、不定周期のパルス信号やパルス信号が途絶した信号をリンク情報Lとして第1内蔵CPU51Aに出力する(図4参照)。
設定回路40は、入出力I/F10(ポート11d)の通信を許可又は不可に設定するものである。設定回路40は、第1内蔵CPU51A及びポート11dに接続され、第1内蔵CPU51Aから出力される指令に基づいて、ポート11dを制御する。設定回路40は、第1内蔵CPU51Aから、第1外付CPU30Aにより行われる通信を不可にする指令が出力された場合、ポート11dの通信を不可にする。一方、設定回路40は、第1内蔵CPU51Aから、第1外付CPU30Aにより行われる通信を不可にする指令が出力されていない場合、ポート11dの通信許可を継続する。
第1スイッチIC50Aは、各種機器に接続され、当該各種機器に情報を転送する転送処理を行うものである。第1スイッチIC50Aは、トランジスタ、抵抗、コンデンサ等の素子を基板に形成した電子部品である。第1スイッチIC50Aは、第1内蔵CPU51Aを含んで構成される。第1内蔵CPU51Aは、第1スイッチIC50Aの基板に搭載され、当該第1スイッチIC50Aに内蔵されている。第1内蔵CPU51Aは、第1メモリ20A及び設定回路40に接続され、更に、第1入出力I/F10Aを介して第1外付CPU30A、通信機器2、及び、第2スイッチングハブ1Bに接続されている。
第1内蔵CPU51Aは、各種機器に情報を転送する転送処理を行う。第1内蔵CPU51Aは、第1外付CPU30Aが正常である場合、第1メモリ20Aに記憶された正常用のプログラムに基づいて動作する。第1内蔵CPU51Aは、例えば、第1外付CPU30Aから出力された転送指令信号に基づいて転送対象の情報を各ポート11a〜11dに出力する。第1内蔵CPU51Aは、例えば、転送指令信号が転送対象の情報をポート11aに出力することを表す場合、当該転送対象の情報をポート11aに出力し、転送指令信号が転送対象の情報をポート11bに出力することを表す場合、当該転送対象の情報をポート11bに出力する。なお、転送対象の情報を各ポート11a〜11dに出力する制御は、第1内蔵CPU51Aとは異なるCPUにより行ってもよい。
第1内蔵CPU51Aは、更に、第1外付CPU30Aの動作を監視する。第1内蔵CPU51Aは、例えば、図3に示すように、第1外付CPU30Aから出力されるリンク情報Lに基づいて第1外付CPU30Aの動作を監視する。第1内蔵CPU51Aは、第1外付CPU30Aから出力されるリンク情報Lに基づいて、第1外付CPU30Aの正常又は異常を判定する。第1内蔵CPU51Aは、例えば、リンク情報Lが一定周期のパルス信号である場合、第1外付CPU30Aが正常であると判定する。一方、第1内蔵CPU51Aは、リンク情報Lが不定周期のパルス信号やパルス信号が途絶した信号を表す場合、第1外付CPU30Aが異常であると判定する。
第1内蔵CPU51Aは、第1外付CPU30Aが異常である場合、第1メモリ20Aに記憶されたセーフモード用のプログラム及びセーフモード用のルーテイングテーブルに基づいて動作する。この場合、第1内蔵CPU51Aは、第1外付CPU30Aの機能を無効とする。第1内蔵CPU51Aは、例えば、第1外付CPU30Aにより行われる通信を不可にする指令を設定回路40に出力する。そして、第1内蔵CPU51Aは、第1外付CPU30Aの代わりに転送指令処理を実行する。第1内蔵CPU51Aは、例えば、セーフモード用のルーテイングテーブルに基づいて、各通信機器2等に情報を転送する指令を行う転送指令処理を実行する。第1内蔵CPU51Aは、転送指令処理により自ら定めた転送指令に基づいて、転送対象の情報を各ポート11a〜11dに出力する。このとき、第1内蔵CPU51Aは、情報処理能力が不足している関係で、不審なフレームF1を破棄するセキュリティ処理を実行しない。
次に、第2スイッチングハブ1Bについて説明する。第2スイッチングハブ1Bは、上述した第1スイッチングハブ1Aと同様に構成されている。なお、以下の第2スイッチングハブ1Bの説明では、第1スイッチングハブ1Aと同様な構成の説明については可能な限り省略する。第2スイッチングハブ1Bは、第2入出力I/F10Bと、第2メモリ20Bと、第2スイッチIC50Bと、設定回路40と、第2外付CPU30Bとを備えている。
第2入出力I/F10Bは、各種機器と接続されるインターフェースである。第2入出力I/F10Bは、ポート12a〜12dを含んで構成される。
第2メモリ20Bは、情報を記憶するものである。第2メモリ20Bは、第2スイッチIC50Bの外部に設けられ、通信線を介して第2スイッチIC50Bに接続されている。第2メモリ20Bには、第2外付CPU30B及び第2スイッチIC50Bを動作させるためのプログラムや情報が記憶されている。第2メモリ20Bには、例えば、第2外付CPU30Bが正常の場合に適用される正常モード用のプログラム及び正常モード用のルーテイングテーブルや、第2外付CPU30Bが異常の場合に適用されるセーフモード用のプログラム及びセーフモード用のルーテイングテーブル等が記憶されている。
第2外付CPU30Bは、転送指令処理及びセキュリティ処理を行うものである。第2外付CPU30Bは、第2スイッチIC50Bの外側に設けられ、通信線を介して第2スイッチIC50Bに接続されている。第2外付CPU30Bは、後述する第2内蔵CPU51Bよりも情報処理能力が高い。
第2外付CPU30Bは、通信機器3に情報を転送する指令を行う転送指令処理を実行する。第2外付CPU30Bは、例えば、第2メモリ20Bに記憶された正常用のルーテイングテーブルに基づいて、各種機器に情報を転送する指令を行う転送指令処理を実行する。第2外付CPU30Bは、更に、転送指令処理を実行する際に転送対象の情報のセキュリティを確保するセキュリティ処理を実行する。第2外付CPU30Bは、例えば、不審なフレームF1を破棄することによりセキュリティ処理を実行する。また、第2外付CPU30Bは、動作確認用のリンク情報Lを第2内蔵CPU51Bに出力する。
第2スイッチIC50Bは、各種機器に接続され、当該各種機器に情報を転送する転送処理を行うものである。第2スイッチIC50Bは、トランジスタ、抵抗、コンデンサ等の素子を基板に形成した電子部品である。第2スイッチIC50Bは、第2内蔵CPU51Bを含んで構成される。第2内蔵CPU51Bは、第2スイッチIC50Bの基板に搭載され、当該第2スイッチIC50Bに内蔵されている。第2内蔵CPU51Bは、第2メモリ20B及び設定回路40に接続され、更に、第2入出力I/F10Bを介して第2外付CPU30B、通信機器3、及び、第1スイッチングハブ1Aに接続されている。
第2内蔵CPU51Bは、各種機器に情報を転送する転送処理を行う。第2内蔵CPU51Bは、第2外付CPU30Bが正常である場合、第2メモリ20Bに記憶された正常用のプログラムに基づいて動作する。第2内蔵CPU51Bは、例えば、第2外付CPU30Bから出力された転送指令信号に基づいて転送対象の情報を各ポート12a〜12dに出力する。なお、転送対象の情報を各ポート12a〜12dに出力する制御は、第2内蔵CPU51Bとは異なるCPUにより行ってもよい。
第2内蔵CPU51Bは、更に、外付CPU30の動作を監視する。第2内蔵CPU51Bは、例えば、第2外付CPU30Bから出力されるリンク情報Lに基づいて第2外付CPU30Bの動作を監視し、第2外付CPU30Bの正常又は異常を判定する。
第2内蔵CPU51Bは、第2外付CPU30Bが異常である場合、第2メモリ20Bに記憶されたセーフモード用のプログラム及びセーフモード用のルーテイングテーブルに基づいて動作する。この場合、第2内蔵CPU51Bは、第2外付CPU30Bの機能を無効とする。そして、第2内蔵CPU51Bは、第2外付CPU30Bの代わりに転送指令処理を実行する。第2内蔵CPU51Bは、例えば、セーフモード用のルーテイングテーブルに基づいて、各種機器に情報を転送する指令を行う転送指令処理を実行する。第2内蔵CPU51Bは、転送指令処理により自ら定めた転送指令に基づいて、転送対象の情報を各ポート12a〜12dに出力する。このとき、第2内蔵CPU51Bは、情報処理能力が不足している関係で、上述の不審なフレームF1を破棄するセキュリティ処理を実行しない。
次に、車両用通信システム100の正常時の動作例について説明する。図7は、実施形態に係る車両用通信システム100の正常時の動作例を示すブロック図である。この例では、車両用通信システム100は、第1及び第2スイッチングハブ1A、1Bに加えて第3スイッチングハブ1Cを備えている。第3スイッチングハブ1Cは、入出力I/F10と、第3メモリ20Cと、第3外付CPU30Cと、設定回路40と、第3スイッチIC50Cとを備えている。入出力I/F10は、ポート13a〜13dを備えている。第3スイッチングハブ1Cは、第3スイッチIC50Cがポート13dを介して第3外付CPU30Cに接続され、第3スイッチIC50Cがポート13aを介して第1スイッチングハブ1Aに接続され、第3スイッチIC50Cがポート13cを介して第2スイッチングハブ1Bに接続されている。
第1外付CPU30Aは、例えば、図7に示すように、当該第1外付CPU30Aが正常である場合、セキュリティ処理を実行する。例えば、第1外付CPU30Aは、通信機器2から出力されたフレームF1のMACアドレスと予め定められた通過許可のMACアドレスとを比較し、転送対象のフレームF1のMACアドレスが通過許可のMACアドレスに一致しない場合、転送対象のフレームF1を不審なフレームF1と判定し、当該不審なフレームF1を破棄する。一方、第1外付CPU30Aは、転送対象のフレームF1のMACアドレスが通過許可のMACアドレスに一致する場合、転送対象のフレームF1を信用のあるフレームと判定し、当該フレームF1を破棄しない。
第1外付CPU30Aは、フレームF1が信用のあるフレームである場合、第1メモリ20Aに記憶された正常用のルーテイングテーブルに基づいて、通信機器2から出力されたフレームF1を転送する指令を行う転送指令処理を実行する。第1外付CPU30Aは、例えば、フレームF1に含まれるMACアドレスと、正常用のルーテイングテーブルに登録された各種機器のMACアドレスと比較する。そして、第1外付CPU30Aは、フレームF1のMACアドレスと一致する第2スイッチングハブ1BのMACアドレスを検出し、検出した第2スイッチングハブ1BのMACアドレスに対応づけられたポート番号を取得する。そして、第1外付CPU30Aは、取得したポート番号が示すポート11cにフレームF1を転送することを指令する転送指令信号を第1内蔵CPU51Aに出力する。第1内蔵CPU51Aは、転送指令信号が転送対象の情報をポート11cに出力することを表す場合、当該転送対象のフレームF1をポート11cに出力し第2スイッチングハブ1BにフレームF1を転送する(図7参照)。
第2スイッチングハブ1Bの第2外付CPU30Bは、第1内蔵CPU51AからフレームF1が出力された場合、当該フレームF1に含まれるMACアドレスと、正常用のルーテイングテーブルに登録された各種機器のMACアドレスと比較する。そして、第2外付CPU30Bは、フレームF1のMACアドレスと一致する通信機器3のMACアドレスを検出し、検出した通信機器3のMACアドレスに対応づけられたポート番号を取得する。そして、第2外付CPU30Bは、取得したポート番号が示すポート12aにフレームF1を転送することを指令する転送指令信号を第2内蔵CPU51Bに出力する。第2内蔵CPU51Bは、転送指令信号が転送対象のフレームF1をポート12aに出力することを表す場合、当該転送対象のフレームF1をポート12aに出力する(図7参照)。なお、第2外付CPU30Bは、第1外付CPU30Aによりセキュリティ処理が既に実施されているので、セキュリティ処理を実施しなくてもよいが、これに限定されない。車両用通信システム100は、2重のフェールセーフを行う場合には、第2外付CPU30Bにおいてもセキュリティ処理を行うようにする。
次に、車両用通信システム100の異常時の動作例について説明する。図8は、実施形態に係る車両用通信システム100の異常時(その1)の動作例を示すブロック図である。車両用通信システム100において、例えば、図8に示すように、第1外付CPU30Aが異常である例について説明する。この場合、第1スイッチIC50Aの第1内蔵CPU51Aは、第1外付CPU30Aにより行われる通信を不可にする指令を設定回路40に出力する。設定回路40は、第1内蔵CPU51Aから、第1外付CPU30Aにより行われる通信を不可にする指令が出力された場合、ポート11dを通信不可に設定する。
第1内蔵CPU51Aは、ポート11dを通信不可に設定後、第1外付CPU30Aの代わりに転送指令処理を実行する。第1内蔵CPU51Aは、例えば、セーフモード用のルーテイングテーブルに基づいて、各種機器に情報を転送する指令を行う転送指令処理を実行する。第1内蔵CPU51Aは、例えば、通信機器2からフレームF1が出力された場合、セーフモード用のルーテイングテーブルを参照する。そして、第1内蔵CPU51Aは、フレームF1に含まれるMACアドレスと、セーフモード用のルーテイングテーブルに登録された各種機器のMACアドレスと比較する。そして、第1外付CPU30Aは、フレームF1のMACアドレスと一致する第2スイッチングハブ1BのMACアドレスを検出し、検出した第2スイッチングハブ1BのMACアドレスに対応づけられたポート番号を取得する。ここで、第1内蔵CPU51Aは、第1外付CPU30Aが異常でありセーフモードで動作していることを表すエラーコードECを、フレームF1のペイロードのフィールドに追加したフレームF2(図6参照)を生成する。第1内蔵CPU51Aは、取得したポート番号が示すポート11cにフレームF2を転送することを指令を行う転送指令処理を実行する。第1内蔵CPU51Aは、転送指令処理により自ら定めた転送指令に基づいて、転送対象のフレームF2をポート11cに出力し、フレームF2を第2スイッチングハブ1Bに転送する。このとき、第1内蔵CPU51Aは、情報処理能力が不足している関係で、セキュリティ処理を実行しない。
第2スイッチングハブ1Bの第2外付CPU30Bは、フレームF2のペイロードのフィールドにエラーコードECが追加されているので、セーフモード用のプログラム及びセーフモード用のルーテイングテーブルに基づいて動作する。第2外付CPU30Bは、フレームF2の転送元(第1スイッチングハブ1A)でセキュリティ処理が実施されていないので、代わりにセキュリティ処理を実施する。例えば、第2外付CPU30Bは、第1スイッチングハブ1Aから出力されたフレームF2のMACアドレスと予め定められた通過許可のMACアドレスとを比較し、転送対象のフレームF2のMACアドレスが通過許可のMACアドレスに一致しない場合、転送対象のフレームF2を不審なフレームF2と判定し、当該不審なフレームF2を破棄する。一方、第2外付CPU30Bは、転送対象のフレームF2のMACアドレスが通過許可のMACアドレスに一致する場合、転送対象のフレームF2を信用のあるフレームと判定し、当該フレームF2を破棄しない。
第2外付CPU30Bは、フレームF2が信用のあるフレームである場合、セーフモード用のルーテイングテーブルに基づいて、第1スイッチングハブ1Aから出力されたフレームF2を転送する指令を行う転送指令処理を実行する。第2外付CPU30Bは、例えば、フレームF2に含まれるMACアドレスと、セーフモード用のルーテイングテーブルに登録された各種機器のMACアドレスと比較する。そして、第2外付CPU30Bは、フレームF2のMACアドレスと一致する通信機器3のMACアドレスを検出し、検出した通信機器3のMACアドレスに対応づけられたポート番号を取得する。そして、第2外付CPU30Bは、取得したポート番号が示すポート12aにフレームF2を転送することを指令する転送指令信号を第2内蔵CPU51Bに出力する。第2内蔵CPU51Bは、転送指令信号が転送対象の情報をポート12aに出力することを表す場合、当該転送対象のフレームF2をポート12aに出力し通信機器3にフレームF2を転送する(図8参照)。
次に、車両用通信システム100の異常時の他の動作例について説明する。図9は、実施形態に係る車両用通信システム100の異常時(その2)の動作例を示すブロック図である。車両用通信システム100において、例えば、図9に示すように、第1外付CPU30Aが異常である例について説明する。図9に示す例では、第1外付CPU30Aの異常時に、第3スイッチングハブ1Cによりセキュリティ処理を行う例について説明する。なお、第1外付CPU30Aの異常時にセキュリティ処理を行うスイッチングハブ1の選定は、設計により予め定めておいてもよいし、通信負荷の高低を判定して適宜切り替えるようにしてもよい。例えば、中央CPU(図示省略)は、複数のスイッチングハブ1の通信負荷を監視し、複数のスイッチングハブ1の中で、通信負荷が相対的に小さいスイッチングハブ1にセキュリティ処理を行わせる。例えば、中央CPUは、第2スイッチングハブ1B及び第3スイッチングハブ1Cの通信負荷を監視し、第1外付CPU30Aの異常時に、第3スイッチングハブ1Cが第2スイッチングハブ1Bよりも通信負荷が小さい場合、第3スイッチングハブ1Cにセキュリティ処理を行わせる。
図9に示す第1スイッチIC50Aの第1内蔵CPU51Aは、第1外付CPU30Aの異常時に、当該第1外付CPU30Aにより行われる通信を不可にする指令を設定回路40に出力する。設定回路40は、第1内蔵CPU51Aから、第1外付CPU30Aにより行われる通信を不可にする指令が出力された場合、ポート11dを通信不可に設定する。
第1内蔵CPU51Aは、第1外付CPU30Aの代わりに転送指令処理を実行する。第1内蔵CPU51Aは、例えば、第1外付CPU30Aが異常でありセーフモードで動作していることを表すエラーコードECを、フレームF1のペイロードのフィールドに追加したフレームF2を生成する。そして、第1内蔵CPU51Aは、取得したポート番号が示すポート11eにフレームF2を転送することを指令を行う転送指令処理を実行する。第1内蔵CPU51Aは、転送指令処理により自ら定めた転送指令に基づいて、転送対象のフレームF2をポート11eに出力し、フレームF2を第3スイッチングハブ1Cに転送する。このとき、第1内蔵CPU51Aは、情報処理能力が不足している関係で、セキュリティ処理を実行しない。
第3スイッチングハブ1Cの第3外付CPU30Cは、フレームF2の転送元(第1スイッチングハブ1A)でセキュリティ処理が実施されていないので、代わりにセキュリティ処理を実施する。例えば、第3外付CPU30Cは、第1スイッチングハブ1Aから出力されたフレームF2のMACアドレスと予め定められた通過許可のMACアドレスとを比較し、転送対象のフレームF2のMACアドレスが通過許可のMACアドレスに一致しない場合、転送対象のフレームF2を不審なフレームF2と判定し、当該不審なフレームF2を破棄する。一方、第3外付CPU30Cは、転送対象のフレームF2のMACアドレスが通過許可のMACアドレスに一致する場合、転送対象のフレームF2を信用のあるフレームと判定し、当該フレームF2を破棄しない。
第3外付CPU30Cは、フレームF2が信用のあるフレームである場合、セーフモード用のルーテイングテーブルに基づいて、第1スイッチングハブ1Aから出力されたフレームF2を転送する指令を行う転送指令処理を実行する。第3外付CPU30cは、例えば、フレームF2に含まれるMACアドレスと、セーフモード用のルーテイングテーブルに登録された各種機器のMACアドレスと比較する。そして、第3外付CPU30Cは、フレームF2のMACアドレスと一致する第2スイッチングハブ1BのMACアドレスを検出し、検出した第2スイッチングハブ1BのMACアドレスに対応づけられたポート番号を取得する。そして、第3外付CPU30Cは、取得したポート番号が示すポート13cにフレームF2を転送することを指令する転送指令信号を第3内蔵CPU(図示省略)に出力する。第3内蔵CPUは、転送指令信号が転送対象のフレームF2をポート13cに出力することを表す場合、当該転送対象のフレームF2をポート13cに出力し第2スイッチングハブ1BにフレームF2を転送する(図9参照)。
第2スイッチングハブ1Bの第2外付CPU30Bは、フレームF2のペイロードのフィールドにエラーコードECが追加されているので、セーフモード用のプログラム及びセーフモード用のルーテイングテーブルに基づいて動作する。第2外付CPU30Bは、フレームF2の転送元(第3スイッチングハブ1C)でセキュリティ処理が実施されているので、セキュリティ処理を実施しない。
第2外付CPU30Bは、セーフモード用のルーテイングテーブルに基づいて、第1スイッチングハブ1Aから出力されたフレームF2を転送する指令を行う転送指令処理を実行する。第2外付CPU30Bは、例えば、フレームF2のMACアドレスと一致する通信機器3のMACアドレスに対応づけられたポート番号を取得する。そして、第2外付CPU30Bは、取得したポート番号が示すポート12aにフレームF2を転送することを指令する転送指令信号を第2内蔵CPU51Bに出力する。第2内蔵CPU51Bは、転送指令信号が転送対象の情報をポート12aに出力することを表す場合、当該転送対象のフレームF2をポート12aに出力し通信機器3にフレームF2を転送する(図9参照)。
次に、フローチャートを参照しながら、車両用通信システム100の動作例について説明する。図10は、実施形態に係る車両用通信システム100の動作例を示すフローチャートである。車両用通信システム100は、通信機器2から情報を受信する(ステップS1)。例えば、外付CPU30は、通信機器2からフレームF1を受信する。次に、外付CPU30は、セキュリティ処理及び転送指令処理を実行する(ステップS2)。次に、内蔵CPU51は、外付CPU30のリンク情報Lを取得し(ステップS3)、外付CPU30が正常であるか否かを判定する(ステップS4)。内蔵CPU51は、外付CPU30が正常である場合(ステップS4;Yes)、外付CPU30の通信許可を継続し(ステップS5)、対応するポート11a〜11eへ転送対象の情報を転送する(ステップS6)。
上記ステップS4で、内蔵CPU51は、外付CPU30が異常である場合(ステップS4;No)、設定回路40に通信不可を指示し(ステップS7)、外付CPU30の通信を不可にする(ステップS8)。そして、内蔵CPU51は、転送指令処理を実施し(ステップS9)、フレームF1内のペイロードにエラーコードECを追加する(ステップS10)。次に、車両用通信システム100は、必要に応じて通信ルートを切り替える(ステップS11)。車両用通信システム100は、例えば、通信負荷に応じて、第1スイッチングハブ1Aから第2スイッチングハブ1Bに通信する第1通信ルートから、第1スイッチングハブ1Aから第3スイッチングハブ1Cを介して第2スイッチングハブ1Bに通信する第2通信ルートに切り替える。そして、車両用通信システム100は、メータやマルチディスプレイ等にエラー表示を行い、車両の搭乗者に異常を通知する(S12)。
以上のように、実施形態に係る車両用通信システム100は、車両に搭載され、スイッチIC50及び外付CPU30を含んで構成されるスイッチングハブ1を備える。スイッチIC50は、内蔵CPU31を有し、通信機器2に情報を転送する転送処理を行う。外付CPU30は、スイッチIC50の外側に設けられ、スイッチIC50に接続され、内蔵CPU31よりも情報処理能力が高い。外付CPU30は、上記転送処理を行うように指令する転送指令処理を実行可能であり、且つ、転送指令処理を実行する際に転送対象の情報のセキュリティを確保するセキュリティ処理を実行可能である。内蔵CPU31は、外付CPU30の動作を監視し、外付CPU30が異常である場合、外付CPU30の代わりに転送指令処理を実行する。
ここで、従来のスイッチングハブは、外付CPU30に異常が生じた場合、バックアップ用として機能するサブCPUを搭載しているが、部品点数の増加やユニットの大型化を招いていた。これに対して、実施形態に係るスイッチングハブ1は、外付CPU30に異常が生じた場合、内蔵CPU31により転送指令処理を実行するので、バックアップ用のサブCPUを搭載する必要がなく、部品点数の増加やユニットの大型化を抑制することができると共に軽量化することができる。また、実施形態に係るスイッチングハブ1は、外付CPU30に異常が生じた場合、転送指令処理を継続することができ、信頼性の低下を抑制できる。この結果、車両用通信システム100は、情報を適正に転送することができる。
上記車両用通信システム100において、内蔵CPU31は、外付CPU30が異常である場合、外付CPU30の機能を無効とし外付CPU30の代わりに転送指令処理を実行し且つセキュリティ処理を実行しない。この構成により、スイッチングハブ1は、外付CPU30に異常が生じた場合、転送指令処理を継続することができ、信頼性の低下を抑制できる。
上記車両用通信システム100において、スイッチングハブ1は、複数設けられ、複数のスイッチングハブ1は、少なくとも、第1スイッチングハブ1Aと、第1スイッチングハブ1Aにより送信された情報を転送する第2スイッチングハブ1Bとを含んで構成される。第1スイッチングハブ1Aは、当該第1スイッチングハブ1Aの第1外付CPU30Aが正常である場合、自らの第1外付CPU30Aによりセキュリティ処理を実行し、セキュリティを確保したセキュリティ確保情報(フレームF1)を第2スイッチングハブ1Bに送信する。第2スイッチングハブ1Bは、第1スイッチングハブ1Aにより送信されたセキュリティ確保情報(フレームF1)を、セキュリティ処理を実行せずに転送する。一方、第1スイッチングハブ1Aは、当該第1スイッチングハブ1Aの第1外付CPU30Aが異常である場合、セキュリティ処理を実行していないセキュリティ未確保情報(フレームF2)を第2スイッチングハブ1Bに送信する。第2スイッチングハブ1Bは、第1スイッチングハブ1Aに送信されたセキュリティ未確保情報(フレームF2)に対して、自らの第2外付CPU30Bによりセキュリティ処理を実行して転送する。この構成により、車両用通信システム100は、第1スイッチングハブ1Aの第1外付CPU30Aに異常が生じた場合でも、他の第2スイッチングハブ1Bによりセキュリティ処理を実行することができるので、セキュリティの低下を抑制することができる。
上記説明において、外付CPU30は、転送指令処理及びセキュリティ処理を実行する例について説明したが、これに限定されず、例えば、接続機器の設定を自動的に行うプラグ・アンド・プレイ等のその他の処理を実行してもよい。
内蔵CPU31は、外付CPU30が異常である場合、外付CPU30の機能を無効とする例について説明したが、これに限定されず、内蔵CPU31とは異なる処理部により外付CPU30の機能を無効としてもよい。
転送ユニットは、ルーテイングテーブルに基づいて特定のポートに情報を転送するスイッチングハブ1である例について説明したが、これに限定されず、例えば、全てのポートに情報を転送するハブであってもよい。
メモリ20は、スイッチIC50の外部に設けられる例について説明したが、これに限定されず、スイッチIC50に内蔵されていてもよい。
車両用通信システム100は、第1外付CPU30A及び第2外付CPU30Bの両方が異常であり、第2スイッチングハブ2Bよりも後段にスイッチングハブ1が存在する場合、後段のスイッチングハブ1によりセキュリティ処理を実施するようにしてもよい。
スイッチングハブ1は、自らの外付CPU30が異常である場合、転送対象の情報がセキュリティ処理を実施されているか否かにかかわらず、情報処理能力が不足している関係で、セキュリティ処理を実施せずに情報を転送する。
1 スイッチングハブ(転送ユニット)
1A 第1スイッチングハブ(第1転送ユニット)
1B 第2スイッチングハブ(第2転送ユニット)
2 通信機器(機器)
30 外付CPU(外付制御部)
50 スイッチIC(制御回路)
51 内蔵CPU(内蔵制御部)
100 車両用通信システム

Claims (3)

  1. 内蔵制御部を有し車両に搭載され機器に接続され前記機器に情報を転送する転送処理を行う制御回路、及び、前記制御回路の外側に設けられ前記制御回路に接続され前記内蔵制御部よりも情報処理能力が高く前記転送処理を行うように指令する転送指令処理を実行可能であり且つ前記転送指令処理を実行する際に転送対象の情報のセキュリティを確保するセキュリティ処理を実行可能である外付制御部、を含んで構成される転送ユニットを備え、
    前記内蔵制御部は、前記外付制御部の動作を監視し、前記外付制御部が異常である場合、前記外付制御部の代わりに前記転送指令処理を実行することを特徴とする車両用通信システム。
  2. 前記内蔵制御部は、前記外付制御部が異常である場合、前記外付制御部の機能を無効とし前記外付制御部の代わりに前記転送指令処理を実行し且つ前記セキュリティ処理を実行しない請求項1に記載の車両用通信システム。
  3. 前記転送ユニットは、複数設けられ、
    複数の前記転送ユニットは、第1転送ユニットと、前記第1転送ユニットにより送信された情報を転送する第2転送ユニットとを含み、
    前記第1転送ユニットは、当該第1転送ユニットの前記外付制御部が正常である場合、自らの前記外付制御部により前記セキュリティ処理を実行しセキュリティを確保したセキュリティ確保情報を前記第2転送ユニットに送信し、前記第2転送ユニットは、前記第1転送ユニットにより送信された前記セキュリティ確保情報を、前記セキュリティ処理を実行せずに転送し、
    前記第1転送ユニットは、当該第1転送ユニットの前記外付制御部が異常である場合、前記セキュリティ処理を実行していないセキュリティ未確保情報を前記第2転送ユニットに送信し、前記第2転送ユニットは、前記第1転送ユニットにより送信された前記セキュリティ未確保情報に対して、自らの前記外付制御部により前記セキュリティ処理を実行して転送する請求項1又は2に記載の車両用通信システム。
JP2019048615A 2019-03-15 2019-03-15 車両用通信システム Active JP6889196B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2019048615A JP6889196B2 (ja) 2019-03-15 2019-03-15 車両用通信システム
US16/785,722 US11535179B2 (en) 2019-03-15 2020-02-10 Vehicle communication system
EP20156990.2A EP3709167B1 (en) 2019-03-15 2020-02-12 Vehicle communication system
CN202010091075.0A CN111694299B (zh) 2019-03-15 2020-02-13 车辆用通信系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019048615A JP6889196B2 (ja) 2019-03-15 2019-03-15 車両用通信システム

Publications (2)

Publication Number Publication Date
JP2020150495A JP2020150495A (ja) 2020-09-17
JP6889196B2 true JP6889196B2 (ja) 2021-06-18

Family

ID=69581941

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019048615A Active JP6889196B2 (ja) 2019-03-15 2019-03-15 車両用通信システム

Country Status (4)

Country Link
US (1) US11535179B2 (ja)
EP (1) EP3709167B1 (ja)
JP (1) JP6889196B2 (ja)
CN (1) CN111694299B (ja)

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002307983A (ja) * 2001-04-16 2002-10-23 Denso Corp 車両制御システム
JP2004179772A (ja) * 2002-11-25 2004-06-24 Sumitomo Electric Ind Ltd 車載ゲートウェイ装置及び車載通信システム
JP5720162B2 (ja) * 2010-03-19 2015-05-20 ヤマハ株式会社 通信システム、スイッチングハブ、およびルータ
JP5651442B2 (ja) * 2010-11-29 2015-01-14 矢崎総業株式会社 動作支援装置、電子機器、電子制御装置、及び、制御システム
JP6024564B2 (ja) * 2013-03-28 2016-11-16 株式会社オートネットワーク技術研究所 車載通信システム
EP3023304B1 (en) * 2014-09-25 2018-01-31 NSK Ltd. Vehicle-mounted electronic device control device and control method
JP6390520B2 (ja) * 2015-06-02 2018-09-19 株式会社デンソー 車載通信システム
JP6544230B2 (ja) 2015-12-25 2019-07-17 株式会社デンソー 通信システム
JP6424870B2 (ja) 2016-09-27 2018-11-21 住友電気工業株式会社 ゲートウェイ、車載通信システム、通信制御方法および通信制御プログラム
JP2018157463A (ja) * 2017-03-21 2018-10-04 オムロンオートモーティブエレクトロニクス株式会社 車載通信システム、通信管理装置、車両制御装置
JP6926708B2 (ja) * 2017-06-14 2021-08-25 住友電気工業株式会社 車載通信システム、スイッチ装置、通信制御方法および通信制御プログラム

Also Published As

Publication number Publication date
EP3709167A1 (en) 2020-09-16
JP2020150495A (ja) 2020-09-17
EP3709167B1 (en) 2021-08-18
CN111694299A (zh) 2020-09-22
US20200290532A1 (en) 2020-09-17
US11535179B2 (en) 2022-12-27
CN111694299B (zh) 2023-04-28

Similar Documents

Publication Publication Date Title
JP4532421B2 (ja) ネットワーク中継装置
JP2006506862A (ja) 例えば車両におけるサブネットワークを接続するためのゲートウェイユニット
WO2016101488A1 (zh) 一种三态内容可寻址存储器tcam查表方法及装置
CN111510398A (zh) 用于控制平面网络中的冗余连接的控制设备和方法
CN111585835B (zh) 一种带外管理系统的控制方法、装置和存储介质
JP5408361B2 (ja) スイッチ装置、情報処理装置、スイッチ装置の制御方法及びプログラム
JP6889196B2 (ja) 車両用通信システム
CN108008657B (zh) 一种控制板和交换板总线直连的负载均衡冗余交换系统
US10097457B1 (en) Resolving a mismatch among control plane parameter values received from multiple routing control devices
US20210243046A1 (en) Vehicle relay device
US10432424B2 (en) Ring network system and network node
JP2010166488A (ja) ネットワーク中継装置
US11431623B2 (en) Method for configuring private line service, device, and storage medium
US20180013671A1 (en) Embedded communications network of a vehicle
JP2018106459A (ja) マイクロコンピュータ、論理回路
US10735310B2 (en) Controller, method for adjusting flow rule, and network communication system
JP5299261B2 (ja) 電子制御装置
JP7205439B2 (ja) 電子制御装置
US11757799B2 (en) Line monitor device and network switch
US20180069725A1 (en) In-vehicle control device
US20230016684A1 (en) Communications Method and Related Apparatus
KR102111359B1 (ko) Ota 애드온 장치
JP2003324497A (ja) 通信システム及び通信制御装置
JP2020150494A (ja) 車両用通信システム
KR100295894B1 (ko) 엘리베이터의 군관리 제어장치

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200716

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210513

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210518

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210520

R150 Certificate of patent or registration of utility model

Ref document number: 6889196

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250