JP6922852B2 - 電子制御装置および電子制御システム - Google Patents

電子制御装置および電子制御システム Download PDF

Info

Publication number
JP6922852B2
JP6922852B2 JP2018112285A JP2018112285A JP6922852B2 JP 6922852 B2 JP6922852 B2 JP 6922852B2 JP 2018112285 A JP2018112285 A JP 2018112285A JP 2018112285 A JP2018112285 A JP 2018112285A JP 6922852 B2 JP6922852 B2 JP 6922852B2
Authority
JP
Japan
Prior art keywords
data
data frame
prediction
electronic control
abnormality
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018112285A
Other languages
English (en)
Other versions
JP2019216348A (ja
JP2019216348A5 (ja
Inventor
慎太郎 鵜飼
慎太郎 鵜飼
健司 菅島
健司 菅島
一夫 山岡
一夫 山岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2018112285A priority Critical patent/JP6922852B2/ja
Priority to PCT/JP2019/019866 priority patent/WO2019239798A1/ja
Publication of JP2019216348A publication Critical patent/JP2019216348A/ja
Publication of JP2019216348A5 publication Critical patent/JP2019216348A5/ja
Priority to US17/116,641 priority patent/US11582112B2/en
Application granted granted Critical
Publication of JP6922852B2 publication Critical patent/JP6922852B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/147Network analysis or design for predicting network behaviour
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • H04L12/40026Details regarding a bus guardian
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40143Bus networks involving priority mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Description

本発明は、ネットワークを介した電子制御装置(ECU:Electric Control Unit)の不正制御を抑止する技術に関するものであり、主として車両用の電子制御装置及び電子制御システムに用いるものである。
近年、自動車には、CAN(Controller Area Network)などの車載ネットワークで互いに接続された様々な種類の電子制御装置が搭載されている。これらの電子制御装置には、エンジンやハンドルといった車両の動作を制御するものが含まれているため、車両の安全性を確保するためには、第三者による不正なアクセスなどによって電子制御装置が不正制御されるのを予め防止する、あるいは、第三者によって行われた不正制御を無効化して抑制するための高いセキュリティが求められる。
例えば、特許文献1には、車載システムにおいて不正フレームが送受信された場合に、LIFO(Last In First Out)制御を利用して不正フレームを無効化するための打ち消しフレームを送信し、電子制御装置が不正フレームによって制御されるのを防止する、フレームの監視装置が開示されている。特許文献1に記載の技術では、監視装置は、送受信されたフレームが不正フレームであると判別すると、その直前に受信した正規フレームと同じ内容のフレームを打ち消しフレームとして送信する。
特開2017−168993号公報
特許文献1に記載の技術によれば、フレームの送信先である電子制御装置は、不正フレームの後に受信した打ち消しフレームに含まれる制御情報に基づいて制御されるため、当該電子制御装置が不正フレームによって制御されるのを防ぐことができる。ところで、不正フレームの直前の正規フレームが送受信されてから不正フレームあるいは打ち消しフレームが送信されるまでにはタイムラグがある。しかしながら、直前の正規フレームと同じ内容のフレームを打ち消しフレームとして使用した場合、このようなタイムラグによって生じうる車両状況の経時的な変化は考慮されない。そのため、打ち消しフレームに含まれる制御情報として、直前の正規フレームに含まれる制御情報を使用することが適切ではないおそれがある。
そこで、本発明の目的は、データフレームに含まれるべき正常なデータを予測するとともに、予測したデータを含むフレームを用いて不正フレームを無効化することにある。
上記課題を解決するために、本発明の電子制御装置は、
通信ネットワーク(101)を介して他の電子制御装置(102)から送信されたデータフレームを受信する受信部(10)と、
前記データフレームを記憶する第1の記憶部(11)と、
前記データフレームに含まれるデータを予測し生成する複数の予測生成方法を記憶する第2の記憶部(12)と、
前記データフレームの異常の有無を判定する異常判定部(13)と、
前記異常があると判定された前記データフレームに含まれるデータである異常データの種別に基づいて、前記複数の予測生成方法のうち1つの予測生成方法を選択するとともに、前記異常があると判定された前記データフレームに含まれるべき正常なデータと予測される予測データを、選択した前記予測生成方法に基づき、前記第1の記憶部に記憶された前記データフレームに含まれるデータである過去データを用いて生成する予測データ生成部(14)と、
前記予測データを含む予測データフレームを前記通信ネットワークを介して送信する送信部(15)と、を備える。
なお、特許請求の範囲、及び本項に記載した発明の構成要件に付した括弧内の番号は、本発明と後述の実施形態との対応関係を示すものであり、本発明を限定する趣旨ではない。
本発明の電子制御装置及び電子制御システムによれば、適切な内容のデータを含むフレームを用いて不正フレームを無効化することが可能となる。
本発明の実施形態1の電子制御システムの構成を説明する図 本発明の実施形態1の電子制御装置の構成を説明するブロック図 本発明のデータフレームのフォーマットの一例を示す図 本発明の生成方法記憶部の情報テーブルの一例を示す図 本発明の電子制御装置の動作を説明する図 本発明の電子制御装置の動作を説明する図 本発明の予測データ生成方法を説明する図 本発明の予測データ生成方法を説明する図 本発明の実施形態2の電子制御システムの構成を説明する図 本発明の実施形態3の電子制御装置の構成を説明するブロック図
以下、本発明の実施形態について、図面を参照して説明する。
なお、本発明とは、特許請求の範囲又は課題を解決するための手段の項に記載された発明を意味するものであり、以下の実施形態に限定されるものではない。また、少なくともかぎ括弧内の語句は、特許請求の範囲又は課題を解決するための手段の項に記載された語句を意味し、同じく以下の実施形態に限定されるものではない。
特許請求の範囲の従属項に記載の構成及び方法、従属項に記載の構成及び方法に対応する実施形態の構成及び方法、並びに特許請求の範囲に記載がなく実施形態のみに記載の構成及び方法は、本発明においては任意の構成及び方法である。特許請求の範囲の記載が実施形態の記載よりも広い場合における実施形態に記載の構成及び方法も、本発明の構成及び方法の例示であるという意味で、本発明においては任意の構成及び方法である。いずれの場合も、特許請求の範囲の独立項に記載することで、本発明の必須の構成及び方法となる。
実施形態に記載した効果は、本発明の例示としての実施形態の構成を有する場合の効果であり、必ずしも本発明が有する効果ではない。
複数の実施形態がある場合、各実施形態に開示の構成は各実施形態のみで閉じるものではなく、実施形態をまたいで組み合わせることが可能である。例えば一の実施形態に開示の構成を、他の実施形態に組み合わせても良い。また、複数の実施形態それぞれに開示の構成を集めて組み合わせても良い。
発明が解決しようとする課題に記載した課題は公知の課題ではなく、本発明者が独自に知見したものであり、本発明の構成及び方法と共に発明の進歩性を肯定する事実である。
(実施形態1)
図1は、複数の電子制御装置から構成される車両用の電子制御システム1を示している。図1に示す電子制御システム1では、複数の電子制御装置が通信ネットワーク101を介して接続されており、本発明の機能を有する電子制御装置100に加えて、2つの電子制御装置(送信元電子制御装置102、送信先電子制御装置103)を備えている。さらに、送信元電子制御装置102、送信先電子制御装置103は、自車両や周辺車両の状況を検知するセンサにそれぞれ接続されている。
電子制御システム1を構成する電子制御装置は、通信ネットワーク101を介して、センサから取得したデータ等を送受信する。通信ネットワーク101には、例えば、CAN(Controller Area Network)、LIN(Local Interconnect Network)といった通信方式の他、Ethernet(登録商標)やWi−Fi(登録商標)、Bluetooth(登録商標)等、任意の通信方式を用いることができるが、以下の例ではCANを用いる例を説明する。
電子制御装置100は、例えば、主に半導体装置で構成され、CPU(Central Processing Unit)、及びRAM(Random Access Memory)等の揮発性記憶部を有する、いわゆる情報処理装置として構成されていてもよい。この場合、情報処理装置はさらに、フラッシュメモリ等の不揮発性記憶部、通信ネットワーク等に接続されるネットワークインターフェース部等を有していてもよい。さらに、このような情報処理装置はパッケージ化された半導体装置であっても、配線基板において各半導体装置が配線接続された構成であってもよい。
なお、本実施形態では、電子制御システム1が、本発明の機能を発揮する専用の電子制御装置として電子制御装置100を有する例を説明する。しかしながら、本発明は必ずしも専用の電子制御装置によって実行されなくともよく、他の機能を有する電子制御装置がさらに本発明の機能を有するように構成してもよい。あるいは、車両に搭載された複数の通信ネットワーク間で行われるデータ通信の中継機能や、車両外部との通信機能を有するゲートウェイ(図示せず)が、本発明の機能を有するように構成してもよい。
さらに、図1では、電子制御システム1が、電子制御装置100、送信元電子制御装置102、及び送信先電子制御装置103のみを有する例を示しているが、当然のことながら、電子制御システム1は、通信ネットワーク101を介して接続された任意の数の電子制御装置を備えてもよい。
1.電子制御装置100の構成
本実施形態の電子制御装置100の構成を図2を用いて説明する。電子制御装置100は、受信部10、データフレーム記憶部11、生成方法記憶部12、異常判定部13、予測データ生成部14、及び、送信部15を備える。なお、本実施形態では、電子制御装置100が図2に示す全ての構成を備える例を説明するが、複数の電子制御装置をまたいで図2に示す構成が設けられていてもよい。
受信部10は、通信ネットワーク101を介して接続された2つ以上の電子制御装置間で送受信されるデータフレームを受信する。図1に示す電子制御システム1の場合、電子制御装置100の受信部10は、送信元電子制御装置102(本発明の「他の電子制御装置」に相当)から送信されたデータフレームを受信する。
図3は、通信ネットワーク101を介して送受信されるデータフレームのフォーマットの一例を示している。図3に示すデータフレームは、CANで通信されるデータフレームの識別情報(以下、フレームID)を有するIDフィールド(CAN−ID)、データフィールドの長さを示す長さフィールド(DLC)、及び1以上のシグナル部を有するデータフィールドから構成されている。データフィールドの各シグナル部には、データ、例えばセンサから取得した車速や圧力といったデータが格納される。また、フレームIDは、シグナル部に含まれるデータの種別に応じて割り当てられる特定の識別情報である。つまり、シグナル部に含まれるデータの種別が同じデータフレームには、同じフレームIDが割り当てられる。
データフレーム記憶部11(本発明の「第1の記憶部」に相当)は、受信部10で受信した「データフレームを記憶」する。このデータフレーム記憶部11は、受信部10にて受信したデータフレームに含まれる内容の全てを記憶してもよく、データフレームの一部のみ、例えば、フレームID及びシグナル部に格納されたデータのみを記憶してもよい。データフレーム記憶部11はさらに、受信部10におけるデータフレームの受信時刻をデータフレームに紐付けて記憶してもよい。
なお、以下に説明する本実施形態では、データフレーム記憶部11は、後述する異常判定部13で異常がないと判定された全てのデータフレームを記憶している。しかしながら、データフレーム記憶部11は、特定のフレームIDを有するデータフレームや、特定のシグナル部に格納されたデータのみを記憶してもよく、さらには、メモリ容量を確保するために、データフレームを一定期間のみ、又は一定数のみ記憶するように構成してもよい。
ここで、本発明の「データフレームを記憶」とは、データフレーム全てを記憶する場合の他、データフレームに含まれる内容の一部のみを記憶する場合をも含む。
生成方法記憶部12(本発明の「第2の記憶部」に相当)は、データフレームに含まれるデータを予測して生成する方法(以下、予測生成方法)を記憶する。予測生成方法は、電子制御装置100が以下に説明する動作を実行する前に生成方法記憶部12に予め書き込まれ、記憶される。したがって、予測生成方法は例えば、工場から出荷される前に車両製造工場又は電子制御装置の製造工場等によって書き込まれる、あるいは、工場から出荷した後にディーラーによって書き込まれ、あるいは更新される。
図4は、生成方法記憶部12に記憶される予測生成方法が示された情報テーブルの一例を示している。図4では、生成方法記憶部12は、予測生成方法の他に、この予測生成方法によって生成される予測データの種別に対して割り当てられるフレームID(0x001など)、予測データが格納されるシグナル部を示す情報(シグナルAなど)、このシグナル部のデータフレームにおける位置を示すシグナル部開始点、このシグナル部のビット長、及び、予測生成に必要なデータリスト、例えば、予測生成方法に使用されるデータや、そのデータのデータフレーム記憶部11における記憶先を示す情報、を記憶している。
しかしながら、図4に示す情報テーブルは一例にすぎず、生成方法記憶部12は、図4に示す以外の情報を記憶していてもよい。
異常判定部13は、受信部10で受信した「データフレームの異常」の有無を判定する。
ここで、本発明の「データフレームの異常」とは、データフレーム自体又はデータフレームの内容に異常がある場合の他、データフレームが送信又は受信されたタイミングが正常ではない場合をも含む。
なお、異常判定部13がデータフレームに異常があるかどうかを判定する方法は任意である。一例として、異常判定部13は、データフレームの受信時刻に基づいてデータフレームに異常があるかどうかを判定してもよい。
例えば、データフレームには、特定の電子制御装置から一定周期で送信されるものがある。このようなデータフレームについては、データフレームの送信周期と、受信部10が最新のデータフレームを受信した受信時刻とに基づいて、次のデータフレームの受信予定時刻を算出することができる。しかしながら、受信予定時刻と、次のデータフレームの実際の受信時刻とに大きなずれがある場合、このデータフレームは正常に送信されたものではない可能性が高い。そこで、異常判定部13は、受信予定時刻と実際の受信時刻との間の差異が一定以上の場合には、この受信時刻に受信したデータフレームには異常があると判定する。
あるいは、受信予定時刻付近に複数のデータフレームを受信した場合についても、これらのデータフレームの一部又は全てに異常がある可能性が高い。そこで、このような場合も、異常判定部13は、受信予定時刻付近に受信した複数のデータフレームの一部又は全てに異常があると判定する。
予測データ生成部14は、生成方法記憶部12に記憶されている予測生成方法に基づいて、異常があると判定されたデータフレームに「含まれるべき正常なデータ」と予測される予測データを生成する。この予測データは、例えば、異常があると判定されたデータフレームが所定のフレーム送信時刻(本発明の「所定の送信時刻」に相当)に送信されると仮定した場合に当該データフレームに含まれるべき正常なデータである。図4に示すとおり、生成方法記憶部12は情報テーブルに複数の予測生成方法を記憶しているため、予測データ生成部14は、情報テーブルの中から、異常があると判定されたデータフレームに含まれる車速や圧力といった具体的なデータの種別に基づいて予測生成方法を選択し、選択した予測生成方法に基づいて予測データを生成する。この予測データは、予測データ生成部14がデータフレーム記憶部11に記憶されたデータフレームから予測データの生成に必要なデータ(本発明の「過去データ」に相当)を取得し、これらのデータに演算などを施すことによって生成される。
なお、図4に示す実施形態では、生成方法記憶部12が、予測生成方法と共に予測生成に必要なデータを示すデータリストを記憶しているため、予測データ生成部14はデータリストに示されたデータをデータフレーム記憶部11から読み出して取得すればよい。しかしながら、生成方法記憶部12に記憶される情報テーブルにデータリストが含まれていない場合には、予測データ生成部14は、生成方法記憶部12から読み出した予測生成方法に基づいて、この予測生成方法を実行するのに必要なデータを判定し、その判定結果に基づいて、データフレーム記憶部11から必要なデータを取得してもよい。
ここで、本発明のデータフレームに「含まれるべき正常なデータ」は、異常があると判定されたデータフレームが送信元電子制御装置から送信されたときに本来含まれているであろうデータに限定されない。例えば、「含まれるべき正常なデータ」は、送信元電子制御装置の相違、送信時刻の相違、又は送信するデータの種類や属性等を考慮して予測・生成されるデータをも含み、一例として、異常があると判定されたデータフレームが、送信元電子制御装置から送信された送信時刻とは異なる時刻に送信されたと仮定したときに含まれているであろうデータが挙げられる。
予測データ生成部14はさらに、生成方法記憶部12の情報テーブルに示すシグナル部の情報に基づいて、生成した予測データを所定のシグナル部に格納するとともに、シグナル部の開始点を示す情報、及び、シグナルのビット長を示す情報に基づいて、シグナル部をデータフレームの所定の位置に配置することにより、予測データを含む予測データフレームを生成する。
なお、データフレームがデータフィールド内に複数のシグナル部を有する場合には、予測データ生成部14は、複数のシグナル部それぞれに格納する予測データを、それぞれの予測生成方法に基づいて生成する。そして、生成した予測データをそれぞれのシグナル部に格納するとともに、各シグナル部を所定の位置に配置して予測データフレームを生成する。
送信部15は、予測データ生成部14にて生成した予測データフレームを送信する。なお、予測データ生成部14が、予測データとして、所定のフレーム送信時刻に送信されると仮定した場合にデータフレームに含まれるべき正常なデータを生成する場合、送信部15は、当該所定のフレーム送信時刻に予測データフレームを送信する。ここで、フレーム送信時刻は、異常があると判定した時刻に予測データフレームの生成及び送信までに要する時間を足した時刻であり、例えば予測データを生成した後に、遅滞なく、当該予測データを含む予測データフレームを送信できる時刻であるが、この他、予測データの生成後所定のウェイトを挟んだ時刻であってもよい。つまり、所定の送信時刻は、異常検知(他の電子制御装置が送信と略同一)後に、電子制御装置(100)が予測データフレームを送信するまでのタイムラグに相当する。また、電子制御装置100の処理速度によっては、フレーム送信時刻と、異常があると判定した時刻は実質的に同時刻であると評価してもよい。
2.電子制御装置100の動作
次に、図5、6を用いて電子制御装置100の動作を説明する。図5は受信部10にて受信したデータフレームに異常がない場合、図6はデータフレームに異常がある場合の動作をそれぞれ示している。
受信部10は、通信ネットワーク101を介して接続された電子制御装置間で送受信されるデータフレームを受信する(S101)。データフレームを受信すると、受信部10は、受信したデータフレームに異常があるかどうかの判定を異常判定部13に要求する(S102)。このとき、受信部10は、異常判定の要求と併せて、受信したデータフレームや、その受信時刻を異常判定部13に通知してもよい。そして、S102の要求を受信した異常判定部13は、受信したデータフレームの異常の有無を判定する(S103)。
図5に示すようにデータフレームに異常がないと判定した場合には、異常判定部13は、データフレームに異常がないことを示す判定結果を受信部10に通知する(S104)。そして、受信部10は、S101にて受信したデータフレームをデータフレーム記憶部11に記憶させる(S105)。
なお、図5に示す実施形態では、異常がないと判定されたデータフレームのみをデータフレーム記憶部11に記憶しているが、受信部10で受信した全てのデータフレームをデータフレーム記憶部11に記憶してもよい。
これに対し、図6に示すように、S103で異常の有無を判定した結果、データフレームに異常があると判定した場合、異常判定部13は、予測データ生成部14に対して、予測データの生成を要求する(S114)。このとき、異常判定部13は、異常があると判定したデータフレームのフレームIDや、フレーム受信時刻、データフレームに含まれるデータなどを予測データ生成部14に通知してもよい。
異常判定部13から予測データの生成要求を受信した予測データ生成部14は、生成方法記憶部12に記憶されている情報テーブルから、異常があると判定したデータフレームに含まれるデータに基づいて、予測生成方法や、予測生成に必要なデータを示すデータリストなどを読み出す(S115)。
このとき、予測データ生成部14は、データの種別に応じて割り当てられたフレームIDを用いて、異常があると判定したデータフレームに含まれるデータに対応する予測生成方法を選択し、読み出してもよい。例えば、異常があると判定したデータフレームのフレームIDが「0x001」の場合は、図4に示す情報テーブルの中から一番目のデータを読み出す。また、フレームIDが「0x002」の場合には、図4に示す情報テーブルの中から二番目と三番目のデータを読み出す。
S115において、生成方法記憶部12の情報テーブルから予測生成方法などを読み出した予測データ生成部14は、読み出した予測生成方法を実行するのに必要なデータをデータフレーム記憶部11から読み出す(S116)。
次いで、予測データ生成部14は、S115で読み出した予測生成方法に基づき、データフレーム記憶部11から読み出したデータ(本発明の「過去データ」に相当)を用いて予測データを生成する(S117)。予測データ生成部14はさらに、生成した予測データを含む予測データフレームを生成する(S118)。
そして、予測データ生成部14は、生成した予測データフレームを送信することを送信部15に対して要求する(S119)。送信部15は、予測データ生成部14から送信要求を受信すると、予測データフレームを送信する(S120)。
なお、送信先電子制御装置103は、S101にて受信部10が受信したデータフレームと同じデータフレームを受信した後、S120にて送信部15から送信された予測データフレームを受信する。送信先電子制御装置103は、LIFO制御によって、受信したデータフレームの中から最新のものを読み出すとともに、そのデータフレームに含まれるデータに基づいて制御を行う。つまり、送信先電子制御装置103は、先に受信したデータフレームによって制御される前に、S120において送信部15から送信された予測データフレームを受信した場合、この予測データフレームによって制御される。
3.予測生成方法に基づく予測データの生成
次に、生成方法記憶部12に記憶される予測生成方法を例示し、具体的な予測データの生成方法を説明する。なお、以下に示す予測生成方法は代表例にすぎず、本発明において使用される予測生成方法は以下に示す例に限定されるものではない。
(a)異常データと同じ種別のデータから予測される予測データの生成
データフレーム記憶部11に記憶されているデータのうち、異常があると判定されたデータフレームに含まれる異常データと同じ種別のデータから予測される予測データを生成する方法を説明する。
例えば、異常データが車両の舵角に関するデータの場合に、以下の式(1)に示す予測生成方法に基づいて、過去の舵角に関するデータを用いて予測データAを生成する。
A=a+(a−a)/T×(t−t)・・・(1)
ここで、aはデータフレーム記憶部11に記憶されているデータフレームに含まれる舵角に関する最新のデータであり、aはデータフレーム記憶部11に記憶されているデータフレームに含まれる舵角に関するデータであって、aの次に新しいデータである。Tは舵角に関するデータを含むデータフレームの送信周期である。また、tは予測データ生成部14にて生成したデータフレームを送信部15から送信することを予定している予定送信時刻であり、tは受信部10がaを含むデータフレームを受信した受信時刻である。なお、予定送信時刻tは、異常があると判定されたデータフレームの受信時刻と、予測データを含むデータフレームを生成して送信するまでに要する時間とを加算することで算出することができる。
なお、生成方法記憶部12が予測生成に必要なデータリストを記憶している場合、上記の例では、図4に示す情報テーブルの一番目に示すように、データリストにはa、a、及びtが記載されており、予測データ生成部14は、これらのデータをデータフレーム記憶部11から読み出し、式(1)に基づいて予測データAを生成する。
図7は、この予測生成方法を説明する図である。従来技術では、不正フレームを無効化するデータフレームの内容が、その直前に受信したデータフレームと同じであるため、電子制御装置は予定送信時刻tにaのデータを送信することになる。しかしながら、aからaへと舵角が経時的に増加していることを鑑みれば、図7の破線に示すように、予定送信時刻tの舵角はaよりも増加する可能性が高い。そこで、式(1)に示す予測生成方法に基づいて予定送信時刻t時点の舵角を予測し、予測データAを生成する。
例えば、データフレーム記憶部11に記憶されている舵角aが30.0°、舵角aの受信時刻tが10.00秒、舵角aが29.0°であり、データフレームの送信周期Tが1.0秒、異常があると判定されたデータフレームの受信時刻が10.05秒、データフレームの送信までに要する時間が0.05秒の場合を検討する。
この場合、舵角の予測データAは、式(1)に基づいて30.1°と算出される。したがって、送信部15は、予定送信時刻10.10秒(10.05+0.05秒)に、生成した30.1°の予測データを含む予測データフレームを送信する。
別の例では、データフレーム記憶部11に記憶されているデータのうち、異常データと同じ種別のデータの平均に基づいて予測データを生成してもよい。
例えば、車両のフォグランプの点灯状態は一般に頻繁に変化することはない。したがって、異常があると判定されたデータフレームに含まれているであろうデータ、あるいは、異常データフレームが所定のフレーム送信時刻に送信されたと仮定したときに、当該データフレームに含まれるべき正常なデータはいずれも、過去のフォグランプの点灯状態と同じである可能性が高い。そこで、異常があると判定されたデータフレームに含まれる異常データが車両のフォグランプの点灯状態を示すデータの場合、過去のフォグランプの点灯状態を示すデータの平均から予測データを生成する。具体的には、データフレーム記憶部11に、過去のフォグランプの点灯状態を示す10個のデータが記憶されており、そのうち9個がフォグランプの点灯を示し、1個がフォグランプの非点灯を示している場合、予測データ生成部14は、平均以上のデータであるフォグランプの点灯を示すデータを予測データとして生成する。
(b)異常データと異なる種別のデータから予測される予測データの生成
(a)では、異常データと同じ種別のデータから予測される予測データを生成したが、異常データと異なる種別のデータから予測される予測データを生成してもよい。
例えば、異常データが車速に関するデータの場合、以下の式(2)に示す予測生成方法に基づいて、過去の車速のデータ及び車速以外のデータを用いて予測データBを生成する。
B=b+c×(t−t)・・・(2)
ここで、bはデータフレーム記憶部に記憶されている車速に関する最新のデータであり、cはデータフレーム記憶部に記憶されている加速度に関する最新のデータである。また、tは受信部10がbを含むデータフレームを受信した受信時刻である。
なお、生成方法記憶部12が予測生成に必要なデータリストを記憶している場合、図4に示す情報テーブルの二番目に示すように、データリストにはb、c、及びtが記載されており、予測データ生成部14はこれらのデータをデータフレーム記憶部11から読み出し、式(2)に基づいて予測データBを生成する。
例えば、データフレーム記憶部11に記憶されている車速bが30.0km/h、bの受信時刻tが10.00秒、加速度cが1.0m/sであり、異常があると判定されたデータフレームの受信時刻が10.05秒、データフレームの送信までに要する時間が0.05秒の場合を検討する。
この場合、車速の予測データBは、式(2)に基づいて30.36km/hと算出される。したがって、送信部15は、送信時刻10.10秒に、30.36km/hの予測データを含む予測データフレームを送信する。
上記の例では、異常データが車速に関するデータの場合に、過去の車速のデータに加えて、車速以外のデータ(加速度のデータ)を用いて予測データを生成した。しかしながら、以下に示すように、異常データとは全く異なる種別のデータのみを用いて予測データを生成してもよい。
例えば、運転支援システムを搭載する車両では、自車両の速度や、自車両の前方を走行する車両(以下、前方車両)の速度、前方車両との車間距離といった、複数の要因を複合的に判断してブレーキ要求を生成する。そのため、異常データがブレーキ要求に関するデータの場合には、過去のブレーキ要求に関するデータとは全く異なるデータを用いて予測データを生成することが望ましい。以下に、ブレーキ要求である予測データの予測生成方法の一例を示す。図8は、この予測生成方法を説明する図である。
予測データ生成部14は、以下に示す式(3)〜式(8)を実行して予測データを生成する。まず、以下の式(3)にしたがって、前方車両に対する自車両の相対加速度arを算出する。
ar=(vr−vr)/(t−t)・・・(3)
ここで、vrはデータフレーム記憶部11に記憶されている前方車両との相対速度に関する最新のデータであり、vrはデータフレーム記憶部11に記憶されている前方車両との相対速度に関するデータであって、vrの次に新しいデータである。また、t、tはそれぞれ、受信部10におけるvr、vrの受信時刻である。なお、arは、図8に示すように、t、t間の相対速度の変化率に相当する。
次に、式(3)で算出した相対加速度arを用いて、以下の式(4)から前方車両の加速度a1を算出する。
a1=a0−ar・・・(4)
ここで、a0はデータフレーム記憶部11に記憶されている自車両の加速度に関するデータである。
次いで、式(4)で算出した前方車両の加速度a1と、緊急ブレーキをかけた場合の加速度gとを用いて、式(5)に基づいて緊急ブレーキ時の前方車両に対する自車両の相対加速度arを算出する。なお、この緊急ブレーキをかけた場合の加速度は予め設定されていてもよく、あるいは、車速に基づいて演算により算出してもよい。
ar=g−a1・・・(5)
なお、arは、図8に示すように、t後の相対速度の変化率に相当する。
さらに、式(3)で使用した相対速度vrと、式(5)で算出した緊急ブレーキ時の相対加速度arとを用いて式(6)を演算し、緊急ブレーキをかけた場合に、前方車両に対する自車両の相対速度が0になる、つまり、前方車両と自車両の速度が等しくなるまでに要する時間Δtを算出する。
Δt=−vr/ar・・・(6)
次に、式(5)で算出した、緊急ブレーキをかけた場合の前方車両に対する自車両の相対加速度arと、式(6)で算出した時間Δtとを用いて、緊急ブレーキをかけたときに前方車両に対する自車両の相対速度が0になるまでに要すると予想される予想制動距離Rを、式(7)に基づいて算出する。
=vr×Δt+1/2・ar×Δt・・・(7)
ここで、式(7)で求めた予想制動距離Rと、データフレーム記憶部に記憶されている前方車両と自車両の間の実際の車間距離Rとを比較する。ここで、予想制動距離Rが実際の車間距離Rよりも大きい場合、前方車両に対する自車両の相対速度が0になり、前方車両と自車両の速度が等しくなる前に、自車両は前方車両に衝突してしまうおそれがある。そこで、R>Rの場合には、予測データ生成部14は、予測データとしてブレーキ要求があることを示すデータを生成する。これに対し、上記一連の演算をした結果、R<=Rの場合、前方車両と自車両の速度が等しくなった時点で、前方車両と自車両の間の車間距離は十分に確保できている。そこで、予測データ生成部14は、予測データとしてブレーキ要求がないことを示すデータを生成する。
そして、異常があると判定されたデータフレームに含まれているであろうデータ、あるいは、異常データフレームが所定のフレーム送信時刻に送信されたと仮定したときに、当該データフレームに含まれるべき正常なデータとして、ブレーキ要求の有無を示すデータを送信する。
以上の例では、予測データとして、舵角、フォグランプの点灯状態、車速、及びブレーキ要求を生成する例を説明した。しかしながら、上述したデータの種別は例示にすぎず、予測データとして任意のデータを生成することができる。例えば、車速のように連続的に数値が変化しうるエンジン回転数を予測データとして生成してもよい。あるいは、フォグランプの点灯状態のように離散値で示されるデータとして、例えば、ACC(Adaptive Cruise Control)のON/OFFを示すデータを予測データとして生成してもよい。また、異常データと異なる種別のデータを用いた予測生成方法の一例として車速を示したが、車速の予測データを生成するために、加速度のデータを使用せず、過去の車速のデータのみを用いてもよい。
さらに、以上の例では、データが線形変化することを前提とした予測生成方法や、平均を利用した予測生成方法を示したが、本発明の予測生成方法は例示したものに限定されるものではなく、任意の方法を用いることができる。例えば、データフレーム記憶部に記憶されている複数のデータを用いて、最小二乗法によって予測データを生成してもよい。
また、本発明は、送信部15から送信するデータフレームに、予測生成方法に基づいて生成された予測データが含まれていれば足り、予測データ以外のデータが含まれていてもよい。
例えば、車両の識別情報は経時的に変化するものではないため、車両の識別情報が格納されるシグナル部には常に一定のデータが格納される。このような場合、予測データ生成部14は、本発明の予測生成方法に基づいて生成された予測データをシグナル部Aに格納し、車両の識別情報のように、予測生成方法に基づいて生成される予測データとは異なるデータをシグナル部Bに格納してデータフレームを生成する。
例えば、予測データ生成部14は、車両の識別情報をメモリに記憶しておき、生成した予測データに車両の識別情報を付加して予測データフレームを生成してもよい。あるいは、車両の識別情報のように常に一定のデータについても、本発明の予測データと同様の方法を用いて生成してもよい。この場合、図4に示す情報テーブルの三番目に示すように、生成方法記憶部はC=cの予測生成方法を記憶する。ここで、cは、データフレーム記憶部に記憶されている車両の識別情報に関する最新のデータである。つまり、車両の識別情報などのデータについては、常に、データフレーム記憶部に記憶されている最新のデータと同じ値がシグナル部に格納される。そして、予測データ生成部14は、予測生成方法に基づいて生成された予測データを格納したシグナル部と、車両の識別情報のように常に一体のデータを格納したシグナル部とを組み合わせて、予測データフレームを生成する。
上記実施形態1によれば、不正フレームを無効化するデータフレームに含まれるデータを、当該データフレームに含まれるべき正常なデータの予測データとすることにより、送信先電子制御装置の制御を適切に行うことが可能となる。
さらに、予測データをデータフレームの送信時刻のデータとすることにより、経時的に変化するデータ等についても、送信時点の状態に適した情報で送信先電子制御装置の制御を行うことが可能となる。
(実施形態2)
上記実施形態1では、予測データ生成部14は、データフレーム記憶部11に記憶されたデータフレームを主として予測データを生成する構成であった。しかしながら、予測データ生成部14はさらに、電子制御装置100に接続されたセンサ等から直接的にデータを取得し、このデータを用いて予測データを生成してもよい。
図9は、本実施形態の電子制御システムを示している。図1に示す電子制御システムとは異なり、電子制御装置100にはセンサ(本発明の「センサ装置」に相当)104が接続されている。なお、図9では、電子制御装置100にセンサ104にのみ接続されているが、当然のことながら、電子制御装置100は複数のセンサに接続されてもよい。さらに、電子制御装置100は、送信元電子制御装置102又は送信先電子制御装置103に接続されているセンサに接続されていてもよい。
電子制御装置100に接続されるセンサ104は、車両の状態を示すデータ(本発明の「車両データ」に相当)、例えば、前方車両と自車両との車間距離を検出する測距センサである。この場合、上記実施形態1で例示した、ブレーキ要求を予測データとして生成する際、前方車両と自車両の間の実際の車間距離Rについて、データフレーム記憶部11に記憶されたデータフレームを読み出さず、センサ104から車間距離Rのデータを受け取り、このデータと式(7)で求めた予想制動距離Rとを比較してもよい。
なお、当然のことながら、電子制御装置100が接続されるセンサは上記の例による測距センサに限定されるものではなく、任意のセンサと接続することができる。
実施形態2によれば、本発明の電子制御装置100は、センサから直接的にデータを取得して予測データを生成することができるため、予測データを生成するのに適切な数のデータフレームがデータフレーム記憶部11に記憶されていない場合、例えば、車両を起動した直後であって、予測データを生成するのに十分な数のデータフレームがデータフレーム記憶部11に記憶されていないような場合であっても、センサから直接取得したデータを併せて用いることにより、電子制御装置100は予測データを生成することが可能となる。さらに、電子制御装置100は、センサから直接的にデータを取得することにより、最新のデータを利用して予測データを生成することができるため、予測データの確からしさを向上させることができ、さらには、最新のデータを用いて送信先電子制御装置の制御を適切に行うことが可能となる。
(実施形態3)
上記実施形態1では、データフレームに異常がある場合には必ず、予測データ生成部14にて予測データを生成する構成を説明した。しかしながら、予測データ生成部14は、データフレームに異常がある場合であっても、特定の条件を満たす場合に限り予測データを生成する構成としてもよい。
図10は、本実施形態3の電子制御装置200である。図2に示す電子制御装置100と同じ構成については同じ符号を付し、説明は省略する。図10に示す電子制御装置200は、図2に示す構成に加えてデータ生成判定部16を備えている。
データ生成判定部16(本発明の「判定部」に相当)は、異常判定部13がデータフレームに異常があると判定すると、予測データ生成部14における予測データの生成を実行するか否かを判定してその判定結果を予測データ生成部14に通知する。そして、データ生成判定部16から通知された判定結果が、予測データを生成することを示している場合に、予測データ生成部14は上述した実施形態に基づいて予測データを生成する。
第1の例として、データ生成判定部16は、異常があると判定されたデータフレームに含まれるデータの種別が、予め設定されたデータの種別である場合に限り、予測データの生成を実行すると判定をする。例えば、車速、エンジンの回転数、舵角といったデータは、車両の走行に直接的に関連するデータであり、車両の安全性に影響を与える。そのため、車両の安全走行を実現するためには、このようなデータを含むデータフレームが不正に送信された場合に、不正なデータフレームによって電子制御装置が制御されるのを抑止することが望ましい。
そこで、車両の安全性に関わるデータなどの特定のデータを予め設定し、異常があると判定されたデータフレームに含まれるデータの種別と、設定されたデータの種別とが同じ場合には、データ生成判定部16は、予測データを生成すると判定する。
第2の例では、データ生成判定部16は、データフレーム記憶部11に記憶されているデータフレームのうち、異常があると判定されたデータフレームに含まれるデータと同じ種別の最新のデータと、異常データと、の差分に基づいて、予測データを生成するかどうかを判定してもよい。
例えば、データ生成判定部16は、異常データと最新のデータとの差分と、予め設定された許容差分とを比較し、差分が許容差分以上の場合には、予測データを生成すると判定する。具体的には、車速に関するデータについて許容差分が5km/hに設定されている場合に、異常データが65km/hの車速を示しており、データフレーム記憶部11に記憶されている最新のデータが50km/hの車速を示しているとする。この場合、異常データと最新のデータの差分は15km/hであり、許容差分以上である。したがって、データ生成判定部16は、予測データを生成すると判定し、その判定結果を予測データ生成部14に通知する。
これに対し、異常データが52km/hの車速を示しており、データフレーム記憶部11に記憶されている最新のデータが50km/hの車速を示している場合、異常データと最新のデータの差分は2km/hであり、許容差分以下であるため、データ生成判定部16は、予測データの生成を実行しないと判定し、その判定結果を予測データ生成部14に通知する。
異常があると判定されたデータフレームが複数のシグナル部を含む場合には、特定のシグナル部(例えば、シグナル部A)に格納された異常データについてのみ、データフレーム記憶部11に記憶されている最新のデータとの差分と許容差分とを比較してもよい。この場合、データ生成判定部16は、予測データを生成するかどうかの判定において、シグナル部A以外のシグナル部(例えば、シグナル部B)に格納された異常データを考慮しない。
第3の例では、データ生成判定部16はさらに、通信ネットワーク101の負荷をモニタし、通信ネットワーク101の負荷に基づいて予測データを生成するかどうかを判定してもよい。
本発明の電子制御装置100において予測データを生成する場合、生成した予測データを含む予測データフレームを送信することにより、通信ネットワーク101の負荷は増加する。そのため、通信ネットワーク101の負荷が高い状態にある場合、予測データフレームを送信することによって、より重要なデータフレームの送受信が妨げられるおそれがある。
そこで、データ生成判定部16は、例えば、通信ネットワーク101の負荷と、予め設定された通信ネットワークの負荷の閾値とを比較し、通信ネットワーク101の負荷が閾値よりも低い場合には予測データの生成を実行すると判定し、通信ネットワーク101の負荷が閾値よりも高い場合には予測データの生成を実行しないと判定し、これらの判定結果を予測データ生成部14に通知する。
第4の例では、データ生成判定部16はさらに、異常があると判定されたデータフレームを受信部10が受信した「受信頻度」をモニタし、この受信頻度に基づいて予測データを生成するかどうかを判定してもよい。
ここで、「受信頻度」とは、例えば、異常があるデータフレームを一定期間内に受信した回数、あるいは、異常があるデータフレームを連続して受信した回数のように“回数”を示す場合、及び、異常があるデータフレームの受信間隔のように“間隔”を示す場合のいずれも含む。
例えば、異常があると判定されたデータフレームを複数回にわたり連続して受信した場合、予測データ生成部14は、異常があると判定されたデータフレーム全てに対して予測データを生成せず、受信した複数のデータフレームのうち一定数毎、あるいは一定時間毎に予測データを生成し、この予測データを含む予測データフレームを送信部15から送信してもよい。
送信先電子制御装置103は、LIFO制御により、受信したデータフレームの中から最新のものを読み出し、そのデータフレームに含まれるデータに基づいて制御を行う。つまり、電子制御装置100が予測データを含む予測データフレームを複数送信しても、送信先電子制御装置103は最新の予測データフレームのみを使用し、その他の予測データフレームは無効となる。このように、送信先電子制御装置103によって使用されない予測データフレームを電子制御装置100が送信することにより、通信ネットワーク101の負荷が増加して、より重要なデータフレームの送受信が妨げられるおそれがある。特に、異常があるデータフレームを連続して受信し、それに伴って予測データフレームを連続して送信すると、通信ネットワーク101の負荷は急激に増大してしまう。
そこで、データ生成判定部16は、一定期間内に、あるいは、連続的に異常があるデータフレームを受信した回数をモニタしてカウントするとともに、カウントした受信回数と、予め設定された閾値回数とを比較する。そして、カウントした受信回数が閾値回数よりも高い場合には、一定回数又は一定時間にわたり予測データの生成を実行しないと判定する。一方、一定回数又は一定時間が経過すると、予測データの生成を実行することを判定し、これらの判定結果を予測データ生成部14に通知する。なお、予測データを生成するかどうかの判定基準となる閾値回数や時間は、データの種別によって異なっていてもよい。
(総括)
以上、本発明の実施形態における電子制御装置及び電子制御システムの特徴について説明した。
上記実施形態で使用した用語は例示であるので、同義の用語、あるいは同義の機能を含む用語に置き換えてもよい。
実施形態の説明に用いたブロック図は、電子制御装置等の構成を機能毎に分類及び整理したものである。これらの機能ブロックは、ハードウェア又はソフトウェアの任意の組み合わせで実現される。また、機能を示したものであることから、かかるブロック図は方法の発明の開示としても把握できるものである。
各実施形態に記載した処理、フロー、及び方法として把握できる機能ブロックについては、一のステップで他のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えても良い。
各実施形態、及び本発明で使用する「第1」「第2」の用語は、同種の2以上の構成や方法を区別するために使用しており、順序や優劣を限定するものではない。
各実施形態は、車両に搭載される車両用の電子制御装置及び電子制御システムを前提としているが、本明細書は、車両用以外の専用又は汎用の電子制御システムを含めた情報処理システム、及び専用又は汎用の電子制御装置を含めた情報処理装置も開示するものである。
また、本発明の電子制御装置の形態の例として、半導体、電子回路、モジュール、マイクロコンピュータが挙げられる。またこれらにアンテナや通信用インターフェースなど、必要な機能を追加してもよい。また、カーナビゲーションシステム、スマートフォン、パーソナルコンピュータ、携帯情報端末のような形態をとることも可能である。
加えて、本発明は、各実施形態で説明した構成及び機能を有する専用のハードウェアで実現できるだけでなく、メモリやハードディスク等の記憶媒体に記憶した本発明を実現するためのプログラム、及びこれを実行可能な専用又は汎用CPU及びメモリ等を有する汎用のハードウェアとの組み合わせとしても実現できる。
専用や汎用のハードウェアの記憶媒体(外部記憶装置(ハードディスク、USBメモリ、CD/BD等)、内部記憶装置(RAM、ROM等))に格納されるプログラムは、記憶媒体を介して、あるいは記憶媒体を介さずにサーバから通信回線を経由して、専用又は汎用のハードウェアに提供することもできる。これにより、プログラムのアップグレードを通じて常に最新の機能を提供することができる。
本発明の電子制御装置は、主として自動車に搭載される車両用電子制御装置として説明したが、自動二輪車、電動機付自転車、鉄道はもちろん、船舶、航空機等、移動する移動体全般に適用することが可能である。
1 電子制御システム、100,200 電子制御装置、101 通信ネットワーク、102 送信元電子制御装置、103 送信先電子制御装置、104 センサ、10 受信部、11 データフレーム記憶部、12 生成方法記憶部、13 異常判定部、14 予測データ生成部、15 送信部、16 データ生成判定部

Claims (14)

  1. 通信ネットワーク(101)を介して他の電子制御装置(102)から送信されたデータフレームを受信する受信部(10)と、
    前記データフレームを記憶する第1の記憶部(11)と、
    前記データフレームに含まれるデータを予測し生成する複数の予測生成方法を記憶する第2の記憶部(12)と、
    前記データフレームの異常の有無を判定する異常判定部(13)と、
    記異常があると判定された前記データフレームに含まれるデータである異常データの種別に基づいて、前記複数の予測生成方法のうち1つの予測生成方法を選択するとともに、前記異常があると判定された前記データフレームに含まれるべき正常なデータと予測される予測データを、選択した前記予測生成方法に基づき、前記第1の記憶部に記憶された前記データフレームに含まれるデータである過去データを用いて生成する予測データ生成部(14)と、
    前記予測データを含む予測データフレームを前記通信ネットワークを介して送信する送信部(15)と、
    を備える電子制御装置(100,200)
  2. 通信ネットワーク(101)を介して他の電子制御装置(102)から送信されたデータフレームを受信する受信部(10)と、
    前記データフレームを記憶する第1の記憶部(11)と、
    前記データフレームに含まれるデータを予測し生成する予測生成方法を記憶する第2の記憶部(12)と、
    前記データフレームの異常の有無を判定する異常判定部(13)と、
    前記異常があると判定された前記データフレームに含まれるべき正常なデータと予測される予測データを、前記予測生成方法に基づき、前記第1の記憶部に記憶された前記データフレームに含まれるデータであり、且つ、前記異常があると判定された前記データフレームに含まれるデータである異常データと異なる種別のデータである過去データを用いて生成する予測データ生成部(14)と
    前記予測データを含む予測データフレームを前記通信ネットワークを介して送信する送信部(15)と、
    を備える電子制御装置(100,200)
  3. 前記送信部は、前記予測データの生成後である所定の送信時刻に前記予測データフレームを送信し、
    前記予測データ生成部は、前記予測データとして、前記異常があると判定された前記データフレームが前記他の電子制御装置から前記所定の送信時刻に送信されると仮定した場合に前記データフレームに含まれるべき正常なデータを生成する、
    請求項1又は2に記載の電子制御装置。
  4. 前記予測データ生成部はさらに、前記所定の送信時刻を用いて前記予測データを生成する、
    請求項に記載の電子制御装置。
  5. 前記予測データ生成部は、前記異常があると判定された前記データフレームに含まれるデータである異常データと同じ種別の前記過去データから予測される前記予測データを生成する、
    請求項1に記載の電子制御装置。
  6. 車両に搭載される電子制御装置であって、前記車両の状態を示す車両データを検出するセンサ装置(104)に接続されており、
    前記予測データ生成部はさらに、前記車両データを用いて前記予測データを生成する、
    請求項1又は2に記載の電子制御装置。
  7. 前記異常があると判定された前記データフレームに含まれるデータである異常データの種別に基づいて、前記予測データを生成するかどうかを判定する判定部(16)をさらに備える、
    請求項1又は2に記載の電子制御装置(200)。
  8. 前記異常があると判定された前記データフレームに含まれるデータである異常データと、前記異常データと同じ種別の前記過去データのうち最新のデータとの差分に基づいて、前記予測データを生成するかどうかを判定する判定部(16)をさらに備える、
    請求項1又は2に記載の電子制御装置(200)。
  9. 前記通信ネットワークの負荷をモニタし、前記負荷に基づいて前記予測データを生成するかどうかを判定する判定部(16)をさらに備える、
    請求項1又は2に記載の電子制御装置(200)。
  10. 前記異常があると判定された前記データフレームの受信頻度をモニタし、前記受信頻度に基づいて前記予測データを生成するかどうかを判定する判定部(16)をさらに備える、
    請求項1又は2に記載の電子制御装置(200)。
  11. 通信ネットワーク(101)を介してデータフレームを送信する第1の電子制御装置(102)と、
    前記データフレームを受信する受信部(10)と、
    前記データフレームを記憶する第1の記憶部(11)と、
    前記データフレームに含まれるデータを予測し生成する複数の予測生成方法を記憶する第2の記憶部(12)と、
    前記データフレームの異常の有無を判定する異常判定部(13)と、
    前記異常があると判定された前記データフレームに含まれるデータである異常データの種別に基づいて、前記複数の予測生成方法から1の予測生成方法を選択するとともに、前記異常があると判定された前記データフレームに含まれるべき正常なデータと予測される予測データを、選択した前記予測生成方法に基づき、前記第1の記憶部に記憶された前記データフレームに含まれるデータである過去データを用いて生成する予測データ生成部(14)と、
    前記予測データを含む予測データフレームを前記通信ネットワークを介して送信する送信部(15)と、
    を備える第2の電子制御装置(100)と、
    前記第1の電子制御装置から送信された前記データフレームと、前記第2の電子制御装置から送信された前記予測データフレームとを受信し、前記予測データフレームに基づいて制御を行う第3の電子制御装置(103)と、
    を備える、電子制御システム(1)。
  12. 車両に搭載される電子制御システムであって、
    前記第2の電子制御装置に接続された、前記車両の状態を示す車両データを検出するセンサ装置をさらに備え、
    前記予測データ生成部は、前記車両データを用いて前記予測データを生成する、
    請求項11記載の電子制御システム。
  13. 通信ネットワークを介して他の電子制御装置から送信されたデータフレームを受信するステップと、
    前記データフレームを第1の記憶部に記憶するステップと、
    前記データフレームの異常の有無を判定するステップと、
    前記異常があると判定された前記データフレームに含まれるデータである異常データの種別に基づいて、第2の記憶部に記憶された複数の予測生成方法から1の予測生成方法を選択するとともに、前記異常があると判定された前記データフレームに含まれるべき正常なデータと予測される予測データを、選択した前記予測生成方法に基づき、前記第1の記憶部に記憶された前記データフレームに含まれるデータである過去データを用いて生成するステップと、
    前記予測データを含む予測データフレームを前記通信ネットワークを介して送信するステップと、
    を含む、予測データ生成プログラム。
  14. 通信ネットワークを介して他の電子制御装置から送信されたデータフレームを受信するステップと、
    前記データフレームを第1の記憶部に記憶するステップと、
    前記データフレームの異常の有無を判定するステップと、
    前記異常があると判定された前記データフレームに含まれるデータである異常データの種別に基づいて、第2の記憶部に記憶された複数の予測生成方法から1の予測生成方法を選択するとともに、前記異常があると判定された前記データフレームに含まれるべき正常なデータと予測される予測データを、選択した前記予測生成方法に基づき、前記第1の記憶部に記憶された前記データフレームに含まれるデータである過去データを用いて生成するステップと、
    前記予測データを含む予測データフレームを前記通信ネットワークを介して送信するステップと、
    を含む、予測データ生成方法。
JP2018112285A 2018-06-12 2018-06-12 電子制御装置および電子制御システム Active JP6922852B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2018112285A JP6922852B2 (ja) 2018-06-12 2018-06-12 電子制御装置および電子制御システム
PCT/JP2019/019866 WO2019239798A1 (ja) 2018-06-12 2019-05-20 電子制御装置および電子制御システム
US17/116,641 US11582112B2 (en) 2018-06-12 2020-12-09 Electronic control unit and electronic control system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018112285A JP6922852B2 (ja) 2018-06-12 2018-06-12 電子制御装置および電子制御システム

Publications (3)

Publication Number Publication Date
JP2019216348A JP2019216348A (ja) 2019-12-19
JP2019216348A5 JP2019216348A5 (ja) 2020-09-03
JP6922852B2 true JP6922852B2 (ja) 2021-08-18

Family

ID=68842529

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018112285A Active JP6922852B2 (ja) 2018-06-12 2018-06-12 電子制御装置および電子制御システム

Country Status (3)

Country Link
US (1) US11582112B2 (ja)
JP (1) JP6922852B2 (ja)
WO (1) WO2019239798A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7347141B2 (ja) * 2019-11-13 2023-09-20 株式会社オートネットワーク技術研究所 車載通信装置及び情報置換方法
JP7466396B2 (ja) * 2020-07-28 2024-04-12 株式会社Soken 車両制御装置
JP2023002193A (ja) * 2021-06-22 2023-01-10 トヨタ自動車株式会社 センタ、otaマスタ、システム、方法、プログラム、及び車両

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3649452B2 (ja) * 1992-12-28 2005-05-18 富士通テン株式会社 電子機器の制御装置
JP2007043256A (ja) * 2005-08-01 2007-02-15 Calsonic Kansei Corp ゲートウェイ装置
JP2007081484A (ja) * 2005-09-09 2007-03-29 Auto Network Gijutsu Kenkyusho:Kk ゲートウェイ、通信制御ユニットおよび周期データの代理送信方法
US8356241B2 (en) 2007-04-05 2013-01-15 Autonetworks Technologies, Ltd. Relay connection unit mounted in vehicle
DE112013007129B4 (de) * 2013-05-31 2021-08-12 Toyota Jidosha Kabushiki Kaisha Bewegungstrajektorienvorhersagevorrichtung und Bewegungstrajektorienvorhersageverfahren
JP6299208B2 (ja) * 2013-12-26 2018-03-28 トヨタ自動車株式会社 車両周辺状況推定装置
JP6032195B2 (ja) * 2013-12-26 2016-11-24 トヨタ自動車株式会社 センサ異常検出装置
JP5972951B2 (ja) * 2014-10-28 2016-08-17 三菱重工業株式会社 補機制御装置、制御システム、過給機、制御方法及びプログラム
JP6429202B2 (ja) * 2016-02-10 2018-11-28 本田技研工業株式会社 車両、車両制御装置、車両制御方法、および車両制御プログラム
JP6404848B2 (ja) 2016-03-15 2018-10-17 本田技研工業株式会社 監視装置、及び、通信システム
JP6497349B2 (ja) * 2016-04-13 2019-04-10 トヨタ自動車株式会社 車両走行制御装置
JP6460349B2 (ja) * 2016-04-13 2019-01-30 トヨタ自動車株式会社 車両走行制御装置
JP6280662B2 (ja) 2016-07-05 2018-02-14 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正制御抑止方法、不正制御抑止装置及び車載ネットワークシステム
JP6849528B2 (ja) 2016-07-28 2021-03-24 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America フレーム伝送阻止装置、フレーム伝送阻止方法及び車載ネットワークシステム
JP6717723B2 (ja) * 2016-10-12 2020-07-01 矢崎総業株式会社 車両システム
US20180152475A1 (en) * 2016-11-30 2018-05-31 Foundation Of Soongsil University-Industry Cooperation Ddos attack detection system based on svm-som combination and method thereof
JP6565893B2 (ja) * 2016-12-26 2019-08-28 トヨタ自動車株式会社 運転支援装置
JP6189004B1 (ja) * 2017-01-24 2017-08-30 三菱電機株式会社 共用バックアップユニットおよび制御システム
US10598104B2 (en) * 2017-02-03 2020-03-24 Achates Power, Inc. Mass airflow sensor monitoring using supercharger airflow characteristics in an opposed-piston engine
CN106911511B (zh) * 2017-03-10 2019-09-13 网宿科技股份有限公司 一种cdn客户源站的防护方法和系统
JP6494821B2 (ja) * 2017-04-07 2019-04-03 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正通信検知基準決定方法、不正通信検知基準決定システム及びプログラム
JP6815925B2 (ja) * 2017-04-24 2021-01-20 日立オートモティブシステムズ株式会社 車両の電子制御装置
JP6993559B2 (ja) * 2017-05-16 2022-01-13 富士通株式会社 トラフィック管理装置、トラフィック管理方法およびプログラム
JP6638695B2 (ja) * 2017-05-18 2020-01-29 トヨタ自動車株式会社 自動運転システム

Also Published As

Publication number Publication date
JP2019216348A (ja) 2019-12-19
US11582112B2 (en) 2023-02-14
WO2019239798A1 (ja) 2019-12-19
US20210092025A1 (en) 2021-03-25

Similar Documents

Publication Publication Date Title
US11582112B2 (en) Electronic control unit and electronic control system
JP7410223B2 (ja) 不正検知サーバ、及び、方法
JP7430734B2 (ja) 車両内通信システム、車両内通信方法、およびデバイス
JP7231559B2 (ja) 異常検知電子制御ユニット、車載ネットワークシステム及び異常検知方法
WO2017038351A1 (ja) 車載ネットワーク装置
JP6558703B2 (ja) 制御装置、制御システム、及びプログラム
JP2017079406A (ja) 車載記録システム及び車載制御装置
JP7452397B2 (ja) 電子制御装置、時刻情報提供方法、時刻情報提供プログラム、及び電子制御システム
JP2009289204A (ja) 車載データ記録システム及び車載データ記録方法
CN107878307A (zh) 一种预防车辆被追尾的装置
US11636002B2 (en) Information processing device and information processing method
JP2019075781A (ja) データバスによってメッセージシーケンスを送信するための方法及び装置並びにこうして送信されるメッセージシーケンスに対する攻撃を認識するための方法及び装置
JP6674312B2 (ja) ゲートウェイ装置
JP6760137B2 (ja) 通信装置及び通信端末装置
JP2010062883A (ja) 車両動作検証システム及び車載ゲートウェイ装置
JP6913869B2 (ja) 監視装置、監視システムおよびコンピュータプログラム
JP2019209961A (ja) 情報処理装置、監視方法、プログラム及びゲートウェイ装置
JP7344050B2 (ja) 車両案内システム
JP7052350B2 (ja) 通信装置及び通信端末装置
KR20180009221A (ko) 차량 센서 고장 검출 장치 및 방법
JP2010028356A (ja) 車載ネットワークの通信管理装置
JP2019172261A (ja) 制御装置、制御システム、及び制御プログラム
JP2020068506A (ja) 電子制御装置、電子制御システム及びプログラム
JP7276122B2 (ja) 運転制御システム
JP6519829B1 (ja) 電子制御装置、監視方法、プログラム及びゲートウェイ装置

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200717

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200717

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210629

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210712

R151 Written notification of patent or utility model registration

Ref document number: 6922852

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151