WO2019225317A1

WO2019225317A1 - 車載通信装置及び通信方法

Info

Publication number: WO2019225317A1
Application number: PCT/JP2019/018428
Authority: WO
Inventors: 好邦下村
Original assignee: 住友電装株式会社
Priority date: 2018-05-22
Filing date: 2019-05-08
Publication date: 2019-11-28
Also published as: JP2019202605A

Abstract

車両の外部に存在する外部装置からの攻撃により生じる車両への悪影響を低減することができる車載通信装置及び通信方法を提供する。　本実施の形態に係る車載通信装置は、車両の外部に存在する外部装置との通信に係る処理を行う車外通信処理部及び前記車両の内部に設けられた他の車載機器との通信に係る処理を行う第１車内通信処理部を有する第１処理部と、前記車両の外部に存在する外部装置との通信に係る処理を行わず、前記車両の内部に設けられた他の車載機器との通信に係る処理を行う第２車内通信処理部を有する第２処理部とを備え、前記第１処理部は、前記車両の内部に設けられた他の車載機器の制御に係る第１処理を行い、前記第２処理部は、前記車両の内部に設けられた他の車載機器の制御に係る、前記第１処理とは異なる第２処理を行う。

Description

車載通信装置及び通信方法

　本開示は、車両の内外との通信を行う車載通信装置及び通信方法に関する。

　従来、車両に搭載された複数の車載機器は、ＣＡＮ（Controller Area Network）又はイーサネット（登録商標）等の車内ネットワークを介して接続され、他の車載機器との通信により情報交換を行って、車両の制御などを協働して行っている。また車両には、車両の外部に設けられたサーバ装置又は端末装置等との間で無線を介した通信を行う機能が設けられ、車両内外での情報交換が行われている。また車両には、例えば車両の検査又は整備等を実施するための端末装置を有線で接続するためのコネクタなどが設けられており、有線接続された端末装置を利用して作業者は車両の故障の有無などを確認することができる。

　特許文献１においては、車両外の故障診断装置と車載ネットワークとの間の通信経路に介在するゲートウェイが、故障診断装置と車内のＥＣＵ（Electronic Control Unit）との間における特定のセキュリテイ項目に関する特定通信を遮断するシステムが記載されています。ゲートウェイは、認証処理を伴う所定の操作が行われ、操作者が正規の実施者であると認証されたことを条件に特定通信を可能とする。

特開２０１３－１０７４５４号公報

　特許文献１に記載のシステムは、ゲートウェイが認証処理の可否を判定し、判定結果に応じて車両内外の通信の可否を制御する構成である。しかしながら、悪意のある者が不正に認証処理を突破した場合、不正な装置が車両内の装置に不正にアクセスすることが可能となる。このような状況において不正な装置が車両内の装置への攻撃を行った場合、例えば車両の走行制御などに悪影響を及ぼす虞がある。

　本開示は、斯かる事情に鑑みてなされたものであって、その目的とするところは、車両の外部に存在する外部装置からの攻撃により生じる車両への悪影響を低減することができる車載通信装置及び通信方法を提供することにある。

　本態様に係る車載通信装置は、車両の外部に存在する外部装置との通信に係る処理を行う車外通信処理部及び前記車両の内部に設けられた他の車載機器との通信に係る処理を行う第１車内通信処理部を有する第１処理部と、前記車両の外部に存在する外部装置との通信に係る処理を行わず、前記車両の内部に設けられた他の車載機器との通信に係る処理を行う第２車内通信処理部を有する第２処理部とを備え、前記第１処理部は、前記車両の内部に設けられた他の車載機器の制御に係る第１処理を行い、前記第２処理部は、前記車両の内部に設けられた他の車載機器の制御に係る、前記第１処理とは異なる第２処理を行う。

　本態様に係る通信方法は、第１処理部及び第２処理部を備える車載通信装置が、車両の外部に存在する外部装置及び前記車両の内部に設けられた他の車載機器との通信を行う通信方法であって、前記第１処理部が、前記車両の外部に存在する外部装置との通信に係る処理を行い、前記第１処理部が、前記車両の内部に設けられた他の車載機器との通信に係る処理を行い、前記第１処理部が、前記車両の内部に設けられた他の車載機器の制御に係る第１処理を行い、前記第２処理部が、前記車両の外部に存在する外部装置との通信に係る処理を行わず、前記車両の内部に設けられた他の車載機器との通信に係る処理を行い、前記第２処理部が、前記車両の内部に設けられた他の車載機器の制御に係る、前記第１処理とは異なる第２処理を行う。

　なお、本願は、このような特徴的な処理部を備える車載通信装置として実現することができるだけでなく、かかる特徴的な処理をステップとする通信方法として実現したり、かかるステップをコンピュータに実行させるためのコンピュータプログラムとして実現したりすることができる。また、車載通信装置の一部又は全部を実現する半導体集積回路として実現したり、車載通信装置を含むその他の装置又はシステムとして実現したりすることができる。

　上記によれば、車両の外部に存在する外部装置からの攻撃により生じる車両への悪影響を低減することができる。

本実施の形態に係る通信システムの構成を示すブロック図である。本実施の形態に係るゲートウェイの構成を示すブロック図である。本実施の形態に係る第１マイコンの構成を示すブロック図である。本実施の形態に係る第２マイコンの構成を示すブロック図である。第１マイコン及び第２マイコンの役割分担の一例を説明するための模式図である。第１マイコン及び第２マイコンの役割分担の一例を説明するための模式図である。本実施の形態に係るゲートウェイの第１マイコンが行う処理の手順を示すフローチャートである。本実施の形態に係るゲートウェイの第２マイコンが行う処理の手順を示すフローチャートである。本実施の形態に係るゲートウェイの第２マイコンが行う更新処理の手順を示すフローチャートである。

［本開示の実施の形態の説明］
　最初に本開示の実施態様を列記して説明する。また、以下に記載する実施形態の少なくとも一部を任意に組み合わせてもよい。

（１）本態様に係る車載通信装置は、車両の外部に存在する外部装置との通信に係る処理を行う車外通信処理部及び前記車両の内部に設けられた他の車載機器との通信に係る処理を行う第１車内通信処理部を有する第１処理部と、前記車両の外部に存在する外部装置との通信に係る処理を行わず、前記車両の内部に設けられた他の車載機器との通信に係る処理を行う第２車内通信処理部を有する第２処理部とを備え、前記第１処理部は、前記車両の内部に設けられた他の車載機器の制御に係る第１処理を行い、前記第２処理部は、前記車両の内部に設けられた他の車載機器の制御に係る、前記第１処理とは異なる第２処理を行う。

　本態様にあっては、車載通信装置が第１処理部及び第２処理部の２つの処理部を備える。第１処理部は、車両の外部に存在する外部装置との通信に係る処理を行うと共に、車両の内部に設けられた他の車載機器との通信に係る処理を行う。これに対して第２処理部は、車両の外部に存在する外部装置との通信に係る処理を行わず、車両の内部に設けられた他の車載機器との通信に係る処理を行う。車両の内部に設けられた他の車載機器の制御に係る処理として、第１処理部は第１処理を行い、第２処理部は第１処理とは異なる第２処理を行う。第２処理部は車両の外部に存在する外部装置との通信を行わないため、外部装置からの攻撃にさらされることがない。これにより車載通信装置が行う処理のうち、第２処理部が行う第２処理については外部からの攻撃に対する耐性を高めることができる。
　例えば、外部からの攻撃を受けた場合に車両の挙動に大きな悪影響が与えられる可能性がある処理を、第２処理として第２処理部に行わせることができる。これにより、外部からの攻撃により車両の挙動に大きな悪影響が与えられることを防止できる。
　なお車載通信装置による車両の外部に存在する外部装置との通信は、車載通信装置が直接的に外部装置と通信する構成であってもよく、車載通信装置が例えば無線通信装置などの他の装置を介して外部装置と通信する構成であってもよい。

（２）前記車両の内部に設けられた他の通信装置との通信を行うための通信線が複数接続され、前記第１処理部の前記第１車内通信処理部は、複数の前記通信線の全てを用いて通信を行い、前記第２処理部の前記第２車内通信処理部は、複数の前記通信線のうちの一部を用いて通信を行うことが好ましい。

　本態様にあっては、車載通信装置には車両に設けられた複数の通信線が接続される。第１処理部は、接続された全ての通信線を用いて他の車載機器との通信を行う。第２処理部は、接続された複数の通信線のうちの一部を用いて他の車載機器との通信を行う。これにより第２処理部が扱う通信線の数を低減することができ、第２処理部の小型化及び低価格化等が期待できる。

（３）前記第２処理には、前記車両の走行制御に係る処理を含むことが好ましい。

　本態様にあっては、外部装置との通信を行わない第２処理部が行う第２処理には、車両の走行制御に係る処理を含む。これにより、車両の走行制御に係る処理が外部からの攻撃による悪影響を受けることを抑制できる。

（４）前記第２処理には、前記車両の内部に設けられた他の車載機器が実行するプログラムを更新する処理を含むことが好ましい。

　本態様にあっては、外部装置との通信を行わない第２処理部が行う第２処理には、他の車載機器が実行するプログラムを更新する処理を含む。これにより、車載機器のプログラムの更新処理が外部からの攻撃による悪影響を受けることを抑制できる。

（５）前記第１処理部は、第１の識別情報が付されたメッセージを中継する処理を行い、前記第２処理部は、前記第１の識別情報とは異なる第２の識別情報が付されたメッセージを中継する処理を行うことが好ましい。

　本態様にあっては、車載通信装置は、複数の車載機器間で行われるメッセージの送受信の中継及び車両内外で行われるメッセージの送受信の中継を行う。第１処理部は、第１の識別情報が付されたメッセージを中継する処理を第１処理として行う。第２処理部は、第１の識別情報とは異なる第２の識別情報が付されたメッセージを中継する処理を第２処理として行う。例えば、メッセージに付される識別情報と、メッセージ中継の処理を行う処理部との対応などをテーブルに設定することによって、第１処理部が行う第１処理と第２処理部が行う第２処理とを容易に区別することが可能となる。

（６）本態様に係る通信方法は、第１処理部及び第２処理部を備える車載通信装置が、車両の外部に存在する外部装置及び前記車両の内部に設けられた他の車載機器との通信を行う通信方法であって、前記第１処理部が、前記車両の外部に存在する外部装置との通信に係る処理を行い、前記第１処理部が、前記車両の内部に設けられた他の車載機器との通信に係る処理を行い、前記第１処理部が、前記車両の内部に設けられた他の車載機器の制御に係る第１処理を行い、前記第２処理部が、前記車両の外部に存在する外部装置との通信に係る処理を行わず、前記車両の内部に設けられた他の車載機器との通信に係る処理を行い、前記第２処理部が、前記車両の内部に設けられた他の車載機器の制御に係る、前記第１処理とは異なる第２処理を行う。

　本態様にあっては、態様（１）と同様に、車載通信装置が行う処理のうち、第２処理部が行う第２処理については外部からの攻撃に対する耐性を高めることができる。

［本開示の実施形態の詳細］
　本開示の実施形態に係る車載通信装置の具体例を、以下に図面を参照しつつ説明する。なお、本開示はこれらの例示に限定されるものではなく、請求の範囲によって示され、請求の範囲と均等の意味及び範囲内でのすべての変更が含まれることが意図される。

　図１は、本実施の形態に係る通信システムの構成を示すブロック図である。本実施の形態に係る通信システムは、車両１に搭載されたゲートウェイ２と複数のＥＣＵ３とが複数の通信線１ａ～１ｃを介して接続され、通信線１ａ～１ｃ間のメッセージの送受信をゲートウェイ２が中継する構成である。図示の例では、各通信線１ａ～１ｃに対して２つのＥＣＵ３がそれぞれバス接続され、この３つの通信線１ａ～１ｃが１つのゲートウェイ２に接続されている。ただし、車両１に搭載されるＥＣＵ３の数、通信線１ａ～１ｃの数、各通信線１ａ～１ｃに接続されるＥＣＵ３の数等は、一例であって、これに限るものではない。

　またゲートウェイ２は、車両１の適所に設けられたコネクタ４に通信線１ｄを介して接続されている。コネクタ４には、例えば車両１のディーラ又は整備等に備えられた検査装置６が通信ケーブル６ａを介して接続される。コネクタ４に検査装置６が接続された場合、ゲートウェイ２は通信線１ｄ、コネクタ４及び通信ケーブル６ａを介して検査装置６との通信を行うことができる。ゲートウェイ２は、検査装置６から受信したメッセージを車両１のＥＣＵ３へ送信すると共に、ＥＣＵ３から受信したメッセージを検査装置６へ送信することにより、ＥＣＵ３及び検査装置６の間のメッセージ送受信を中継する。

　またゲートウェイ２は、車両１の適所に設けられたアンテナ５に通信線１ｅを介して接続されている。ゲートウェイ２は、アンテナ５にて無線信号の送受信を行うことによって、例えば公衆の携帯電話通信網又は無線ＬＡＮ等を介して車両１の外部に設けられたサーバ装置７などとの間で通信を行うことができる。ゲートウェイ２は、サーバ装置７から受信したメッセージを車両１のＥＣＵ３へ送信すると共に、ＥＣＵ３から受信したメッセージをサーバ装置７へ送信することにより、ＥＣＵ３及びサーバ装置７の間のメッセージ送受信を中継する。

　また本実施の形態に係るゲートウェイ２は、車両１に搭載されたＥＣＵ３が実行するプログラムを、例えばバージョンアップ又は不具合修正等のために、更新する処理を行う。ゲートウェイ２は、検査装置６又はサーバ装置７からＥＣＵ３の更新用プログラムを取得して記憶する。ゲートウェイ２は、例えば車両１が走行していない場合などの適宜のタイミングにて、記憶した更新用プログラムを読み出して更新対象のＥＣＵ３へ送信し、ＥＣＵ３に対して更新を行う指示を与えることで、ＥＣＵ３のプログラムを更新する処理を行う。

　図２は、本実施の形態に係るゲートウェイ２の構成を示すブロック図である。本実施の形態に係るゲートウェイ２は、第１マイコン（マイクロコントローラ）２１、第２マイコン２２及びＲＡＭ（Random Access Memory）２３等を備えて構成されている。マイコンは、例えばプロセッサ、メモリ及び通信ユニット等が１つのＩＣ（Integrated Circuit）として構成されたものであり、予め記憶したプログラムを実行することによって種々の演算処理及び制御処理等を行うことができる。本実施の形態に係るゲートウェイ２は第１マイコン２１及び第２マイコン２２の２つのマイコンを備えている。

　ＲＡＭ２３は、例えばＤＲＡＭ（Dynamic Random Access Memory）又はＳＲＡＭ（Static Random Access Memory）等のメモリ素子を用いて構成されている。ＲＡＭ２３は、第１マイコン２１及び第２マイコン２２のいずれからも読み書き可能な構成とされている。ＲＡＭ２３は、例えばゲートウェイ２が中継するメッセージの一時的な記憶、又は、ＥＣＵ３の更新用プログラムの一時的な記憶等に用いられる。ゲートウェイ２は、ＲＡＭ２３に代えて又はＲＡＭ２３とは別に、フラッシュメモリ又はＥＥＰＲＯＭ（Electrically Erasable Programmable Read Only Memory）等の不揮発性のメモリ素子を用いた記憶部を備えてもよい。

　またゲートウェイ２には、車両１に設けられた５つの通信線１ａ～１ｅを接続するための５つの接続部２５ａ～２５ｅを備えている。５つの接続部２５ａ～２５ｅは、ゲートウェイ２の筐体内に収容される回路基板に設けられた配線を介して、この回路基板上に搭載された第１マイコン２１の端子にそれぞれ電気的に接続されている。また２つの接続部２５ｂ及び２５ｃは、第２マイコン２２の端子にそれぞれ電気的に接続されている。即ち、第１マイコン２１には５つの通信線１ａ～１ｅが接続され、第２マイコン２２には２つの通信線１ｂ及び１ｃが接続される。このため、車両１の外部に存在する検査装置６及びサーバ装置７との通信に関する処理は第１マイコン２１が行い、第２マイコン２２はこの処理を行わない。

　図３は、本実施の形態に係る第１マイコン２１の構成を示すブロック図である。第１マイコン２１は、プロセッサ２１１、メモリ２１２、ＣＡＮ（Controller Area Network）通信部２１３、無線通信部２１４及びＩ／Ｆ（インタフェース）部２１５等を備えて構成されている。プロセッサ２１１は、メモリ２１２に記憶されたプログラムを読み出して実行することにより、種々の演算処理を行う演算処理装置である。

　メモリ２１２は、ＥＥＰＲＯＭ又はフラッシュメモリ等の不揮発性のメモリ素子を用いて構成され、プロセッサ２１１が実行する各種のプログラム及びこのプログラムを実行するために必要なデータ等を記憶する。本実施の形態においてメモリ２１２は、第１プログラム及び中継テーブルを記憶している。中継テーブルは、受信したメッセージに付されたＩＤと、このメッセージの送信先との対応が記憶されている。メッセージの送信先は、例えば通信線１ａ～１ｅ又は接続部２５ａ～２５ｅを識別する情報とすることができる。

　ＣＡＮ通信部２１３は、ＣＡＮの通信規格に基づくメッセージの送受信を行う。本実施の形態に係る第１マイコン２１はＣＡＮ通信部２１３を４つ備えており、４つのＣＡＮ通信部２１３は４つの通信線１ａ～１ｄに接続される。ＣＡＮ通信部２１３は、プロセッサ２１１から与えられたメッセージを、通信線１ａ～１ｄを介してＥＣＵ３又は検査装置６へ送信する。またＣＡＮ通信部２１３は、通信線１ａ～１ｄを介してＥＣＵ３又は検査装置６から受信したメッセージをプロセッサ２１１へ与える。

　無線通信部２１４は、例えば携帯電話通信網又は無線ＬＡＮ等の無線通信を行う。無線通信部２１４は、プロセッサ２１１から与えられたメッセージを変調した信号をアンテナ５へ出力することによりメッセージを送信する。また無線通信部２１４は、アンテナ５にて受信した信号を復調して得られたメッセージをプロセッサ２１１へ与える。本実施の形態においては、無線通信部２１４を第１マイコン２１が備える構成としたが、これに限るものではない。無線通信の機能を有する別のＩＣをゲートウェイ２が備え、第１マイコン２１がこのＩＣを制御して無線通信を行う構成としてもよい。また、無線通信の機能を有する無線通信装置をゲートウェイ２とは別に設け、第１マイコン２１が無線通信装置を利用して無線通信を行う構成としてもよい。この場合には第１マイコン２１には無線通信部２１４に代えてＣＡＮ通信部２１３が設けられ、ＣＡＮの通信規格により無線通信装置との通信を行う構成とすることができる。

　Ｉ／Ｆ部２１５は、ゲートウェイ２の回路基板に設けられた一又は複数の信号線を介してＲＡＭ２３に接続されている。プロセッサ２１１は、Ｉ／Ｆ部２１５を介して、ＲＡＭ２３に対するデータの読み出し及び書き込みを行うことができる。

　図４は、本実施の形態に係る第２マイコン２２の構成を示すブロック図である。第２マイコン２２は、プロセッサ２２１、メモリ２２２、ＣＡＮ通信部２２３及びＩ／Ｆ部２２４等を備えて構成されている。第２マイコン２２の構成は、第１マイコン２１から２つのＣＡＮ通信部２１３と無線通信部２１４とを除いた構成である。プロセッサ２２１は、メモリ２２２に記憶されたプログラムを読み出して実行することにより、種々の演算処理を行う演算処理装置である。

　メモリ２２２は、ＥＥＰＲＯＭ又はフラッシュメモリ等の不揮発性のメモリ素子を用いて構成され、プロセッサ２２１が実行する各種のプログラム及びこのプログラムを実行するために必要なデータ等を記憶する。本実施の形態においてメモリ２２２は、第２プログラム及び中継テーブルを記憶している。中継テーブルは、受信したメッセージに付されたＩＤと、このメッセージの送信先との対応が記憶されている。メッセージの送信先は、例えば通信線１ｂ，１ｃ又は接続部２５ｂ，２５ｃを識別する情報とすることができる。第２マイコン２２の中継テーブルの構成は、第１マイコン２１の中継テーブルの構成と同じであるが、テーブルに記憶されている情報が異なっている。

　ＣＡＮ通信部２２３は、ＣＡＮの通信規格に基づくメッセージの送受信を行う。本実施の形態に係る第２マイコン２２はＣＡＮ通信部２２３を２つ備えており、２つのＣＡＮ通信部２２３は２つの通信線１ｂ，１ｃに接続される。ＣＡＮ通信部２２３は、プロセッサ２２１から与えられたメッセージを、通信線１ｂ，１ｃを介してＥＣＵ３へ送信する。またＣＡＮ通信部２２３は、通信線１ｂ，１ｃを介してＥＣＵ３から受信したメッセージをプロセッサ２２１へ与える。

　Ｉ／Ｆ部２２４は、ゲートウェイ２の回路基板に設けられた一又は複数の信号線を介してＲＡＭ２３に接続されている。プロセッサ２２１は、Ｉ／Ｆ部２２４を介して、ＲＡＭ２３に対するデータの読み出し及び書き込みを行うことができる。

　図５は、第１マイコン２１及び第２マイコン２２の役割分担の一例を説明するための模式図である。本実施の形態に係るゲートウェイ２においては、第１マイコン２１が行う処理（第１処理）と、第２マイコン２２が行う処理（第２処理）とが区別されている。第１マイコン２１が行う処理は、車両の挙動に影響を与えない制御に関するメッセージの中継である。第１マイコン２１は、例えば車両１に搭載されたカメラ、カーナビゲーション、エアーコンディショナー、ライト及びワイパー等の制御に関するメッセージを中継する処理を行う。これに対して第２マイコン２２が行う処理は、車両の挙動に影響を与える制御に関するメッセージの中継である。第２マイコン２２は、例えば車両１のエンジン又はモータ等の原動機、及び、ブレーキ等の制御に関するメッセージを中継する処理を行う。

　また本実施の形態に係るゲートウェイ２は、車両１に搭載されたＥＣＵ３が実行するプログラムを更新する処理を行う。このプログラムの更新処理は、第２マイコン２２が行う。第２マイコン２２は、ＲＡＭ２３に記憶された更新用プログラムを、更新対象のＥＣＵ３へ送信し、このＥＣＵ３へ更新処理を開始する命令を送信することによって、ＥＣＵ３のプログラムを更新する。更新用プログラムは検査装置６又はサーバ装置７から取得するが、この更新用プログラムの取得処理は第１マイコン２１が行う。第１マイコン２１は、検査装置６又はサーバ装置７から取得した更新用プログラムをＲＡＭ２３に記憶する。即ち、本実施の形態において第２マイコン２２が行う更新処理は、更新用プログラムをＥＣＵ３へ送信する処理であり、更新用プログラムを取得する処理は含まない。

　本実施の形態においてはゲートウェイ２、ＥＣＵ３及び検査装置６はＣＡＮの通信規格に基づくメッセージの送受信を行うため、メッセージにはＩＤが付される。メッセージのＩＤは、図５に示すような制御対象毎に異なる値が設定され、第１マイコン２１及び第２マイコン２２はメッセージに付されたＩＤに基づいて自身が中継すべきメッセージであるか否かを判断することができる。第１マイコン２１のメモリ２１２の中継テーブルと、第２マイコン２２のメモリ２２２の中継テーブルとには、それぞれ中継すべきメッセージのＩＤと、中継先の通信線１ａ～１ｅを識別する情報とが対応付けて記憶されている。第１マイコン２１及び第２マイコン２２は、自身が記憶している中継テーブルに従ってメッセージの中継を行うことによって、図５に示す分担でメッセージを中継することができる。中継テーブルに記憶されるＩＤ及び中継先の対応情報は、車両１のシステムの設計者などが予め決定する。

　図６は、第１マイコン２１及び第２マイコン２２の役割分担の一例を説明するための模式図であり、第１マイコン２１及び第２マイコン２２が記憶している中継テーブルの一例を示したものである。ＣＡＮの通信規格のメッセージに付されるＩＤは、システムにおけるメッセージの優先度を表すものでもあり、その数値が小さいほど優先度が高い。図示の例では、システム中で送受信されるメッセージには１～５０のＩＤが付されるものとし、中継テーブルにはＩＤに対応する中継先として通信線１ａ～１ｅを識別する情報が記憶されている。

　例えば、図６に示すＩＤ及び中継先の対応関係のうち、ＩＤが１～１９の情報が第２マイコン２２の中継テーブルとしてメモリ２２２に記憶され、ＩＤが２０～５０の情報が第１マイコン２１の中継テーブルとしてメモリ２１２に記憶される。第１マイコン２１及び第２マイコン２２は、メッセージを受信した場合にこのメッセージに含まれるＩＤを取得して自身の中継テーブルを参照し、ＩＤが中継テーブルに登録されている場合にこのメッセージを中継先へ送信する。受信したメッセージのＩＤが自身の中継テーブルに登録されていない場合、第１マイコン２１及び第２マイコン２２は、このメッセージを破棄すればよい。

　図６に示す例では、ＩＤの優先度の高低に基づきＩＤが１～５０のメッセージを、ＩＤが１～１９のメッセージと、ＩＤが２０～５０のメッセージとに二分して２つのマイコンに割り当てている。しかし図５に示した分担でメッセージを２つのマイコンに割り当てた場合、必ずしも図６に示すようなメッセージの二分が実現されるとは限らない。例えば、ＩＤ１～１９，２５のメッセージを第２マイコン２２が中継し、ＩＤ２０～２４，２６～５０のメッセージを第１マイコン２１が中継するなどのように、各マイコンに割り当てられるメッセージのＩＤが非連続となってもよい。あるいは逆に、図５の分担に従って第２マイコン２２が中継すべきメッセージの中で最も優先度が低い（ＩＤの値が大きい）メッセージを調べ、このＩＤを境界としてメッセージを二分して２つのマイコンに割り当ててもよい。

　図７は、本実施の形態に係るゲートウェイ２の第１マイコン２１が行う処理の手順を示すフローチャートである。本実施の形態に係るゲートウェイ２の第１マイコン２１のプロセッサ２１１は、ＣＡＮ通信部２１３又は無線通信部２１４のいずれかにてメッセージを受信したか否かを判定する（ステップＳ１）。メッセージを受信していない場合（Ｓ１：ＮＯ）、プロセッサ２１１は、メッセージを受信するまで待機する。

　メッセージを受信した場合（Ｓ１：ＹＥＳ）、プロセッサ２１１は、受信したメッセージに含まれるＩＤを取得する（ステップＳ２）。プロセッサ２１１は、取得したＩＤに基づいて、メモリ２１２に記憶した中継テーブルを参照する（ステップＳ３）。プロセッサ２１１は、ステップＳ２にて取得したＩＤが中継テーブルに含まれているか否かを判定することによって、ステップＳ１にて受信したメッセージが中継対象であるか否かを判定する（ステップＳ４）。受信したメッセージが中継対象である場合（Ｓ４：ＹＥＳ）、プロセッサ２１１は、中継テーブルにおいて受信メッセージのＩＤに対応付けられた中継先を特定し、この中継先へメッセージを送信し（ステップＳ５）、処理を終了する。

　受信したメッセージが中継対象でない場合（Ｓ４：ＮＯ）、プロセッサ２１１は、受信したメッセージが車両１に搭載されたＥＣＵ３の更新用プログラムであるか否かを判定する（ステップＳ６）。受信したメッセージが更新用プログラムであるか否かは、例えばメッセージのヘッダに情報が含まれているものとする。受信したメッセージが更新用プログラムである場合（Ｓ６：ＹＥＳ）、プロセッサ２１１は、受信した更新用プログラムをＲＡＭ２３に記憶し（ステップＳ７）、処理を終了する。また、受信したメッセージが更新用プログラムでない場合（Ｓ６：ＮＯ）、プロセッサ２１１は、受信したメッセージを破棄し（ステップＳ８）、処理を終了する。

　図８は、本実施の形態に係るゲートウェイ２の第２マイコン２２が行う処理の手順を示すフローチャートである。本実施の形態に係るゲートウェイ２の第２マイコン２２のプロセッサ２２１は、ＣＡＮ通信部２２３のいずれかにてメッセージを受信したか否かを判定する（ステップＳ２１）。メッセージを受信していない場合（Ｓ２１：ＮＯ）、プロセッサ２２１は、メッセージを受信するまで待機する。

　メッセージを受信した場合（Ｓ２１：ＹＥＳ）、プロセッサ２２１は、受信したメッセージに含まれるＩＤを取得する（ステップＳ２２）。プロセッサ２２１は、取得したＩＤに基づいて、メモリ２２２に記憶した中継テーブルを参照する（ステップＳ２３）。プロセッサ２２１は、ステップＳ２２にて取得したＩＤが中継テーブルに含まれているか否かを判定することによって、ステップＳ２１にて受信したメッセージが中継対象であるか否かを判定する（ステップＳ２４）。受信したメッセージが中継対象である場合（Ｓ２４：ＹＥＳ）、プロセッサ２２１は、中継テーブルにおいて受信メッセージのＩＤに対応付けられた中継先を特定し、この中継先へメッセージを送信し（ステップＳ２５）、処理を終了する。また、受信したメッセージが中継対象でない場合（Ｓ２４：ＮＯ）、プロセッサ２１１は、受信したメッセージを破棄し（ステップＳ２６）、処理を終了する。

　図９は、本実施の形態に係るゲートウェイ２の第２マイコン２２が行う更新処理の手順を示すフローチャートである。本実施の形態に係るゲートウェイ２の第２マイコン２２のプロセッサ２１１は、ＥＣＵ３のプログラムの更新処理を行う条件が成立したか否かを判定する（ステップＳ３１）。更新処理を行う条件は、例えばＲＡＭ２３に更新用プログラムが記憶されており、且つ、車両１のエンジン又はモータ等が停止中であることなどとすることができるが、この条件は一例であって、どのような条件であってもよい。更新処理を行う条件が成立していない場合（Ｓ３１：ＮＯ）、プロセッサ２２１は、条件が成立するまで待機する。

　更新処理を行う条件が成立した場合（Ｓ３１：ＹＥＳ）、プロセッサ２２１は、ＲＡＭ２３に記憶された更新用プログラムを読み出す（ステップＳ３２）。次いでプロセッサ２２１は、読み出した更新用プログラムを、更新処理の対象となるＥＣＵ３へ送信する（ステップＳ３３）。更新用プログラムの送信完了後、プロセッサ２２１は、更新処理を実行する命令をＥＣＵ３へ送信し（ステップＳ３４）、処理を終了する。

　以上の構成の本実施の形態に係るゲートウェイ２は、第１マイコン２１及び第２マイコン２２の２つのマイコンを備える。第１マイコン２１は、車両１の外部に存在する検査装置６及びサーバ装置７等との通信に係る処理を行うと共に、車両１の内部に設けられたＥＣＵ３との通信に係る処理を行う。これに対して第２マイコン２２は、車両１の外部に存在する検査装置６及びサーバ装置７等との通信に係る処理を行わず、車両１の内部に設けられたＥＣＵ３との通信に係る処理を行う。第２マイコン２２は、車両１の外部に存在する外部装置との通信を行わないため、外部装置からの攻撃にさらされることがない。これにより、ゲートウェイ２が行う処理のうち、第２マイコン２２が行う処理については、外部からの攻撃に対する耐性を高めることができる。

　また本実施の形態に係るゲートウェイ２は、複数の通信線１ａ～１ｅが接続される。第１マイコン２１は、接続された全ての通信線１ａ～１ｅを用いて通信を行う。第２マイコン２２は、接続された複数の通信線１ａ～１ｅのうちの一部の通信線１ｂ，１ｃを用いて通信を行う。これにより第２マイコン２２が扱う通信線の数を低減することができ、第２マイコン２２の小型化及び低価格化等が期待できる。

　また本実施の形態に係るゲートウェイ２は、車両１のＥＣＵ３の制御に係る処理として、第１マイコン２１は第１処理を行い、第２マイコン２２は第１処理とは異なる第２処理を行う。第２マイコン２２が行う第２処理は、例えば車両１の走行制御に係る処理とすることができる。これにより、車両１の走行制御に係る処理が外部からの攻撃による悪影響を受けることを抑制できる。

　また第２マイコン２２が行う第２処理は、例えばＥＣＵ３が実行するプログラムを更新する処理とすることができる。これにより、ＥＣＵ３のプログラムの更新処理が外部からの攻撃による悪影響を受けることを抑制できる。

　また本実施の形態に係るゲートウェイ２は、複数のＥＣＵ３の間で行われるメッセージの送受信の中継及び車両１の内外で行われるメッセージの送受信の中継を行う。ゲートウェイ２は、メッセージに対して付されるＩＤとメッセージの中継先との対応を、第１マイコン２１及び第２マイコン２２がそれぞれ中継テーブルとして記憶している。第１マイコン２１は自身の中継テーブルに設定されたＩＤのメッセージを中継する処理を第１処理として行い、第２マイコン２２は第１マイコン２１が中継するメッセージとは異なるＩＤが付されたメッセージを中継する処理を第２処理として行う。これにより、第１マイコン２１が第１処理として行うメッセージの中継処理と、第２マイコン２２が第２処理として行うメッセージの中継処理とを容易に区別することが可能となり、容易に設定することが可能となる。

　なお本実施の形態においては、１つのゲートウェイ２が第１マイコン２１及び第２マイコン２２を備える構成としたが、これに限るものではない。例えば通信システムは、第１マイコン２１を備える第１ゲートウェイと第２マイコン２２を備える第２ゲートウェイとを設ける構成としてもよい。またメッセージの中継などの処理を行う処理部をマイコンとしたが、これに限るものではなく、マイコン以外の種々の処理部であってよい。また車両１内の通信をＣＡＮの通信規格に従って行う構成としたが、これに限るものではなく、例えばイーサネット又はＦｌｅｘＲａｙ等の他の通信規格に従って車両１内の通信を行う構成としてもよい。またコネクタ４を介して検査装置６との通信を行う際の通信規格は、車両１のＥＣＵ３が通信を行う際の通信規格とは別のものを採用してもよい。またゲートウェイ２は通信線１ｅを介してアンテナ５に接続される構成としたが、これに限るものではなく、ゲートウェイ２がアンテナ５を内蔵していてもよい。

　またゲートウェイ２が行う処理には、第１マイコン２１が行う第１処理及び第２マイコン２２が行う第２処理の他に、第１マイコン２１及び第２マイコン２２が行う第３処理が含まれていてもよい。例えば、ゲートウェイ２が中継するメッセージには、第１マイコン２１のみが中継するメッセージ及び第２マイコン２２のみが中継するメッセージの他に、第１マイコン２１及び第２マイコン２２が中継するメッセージが含まれていてよい。例えばＩＤ１～１０のメッセージを第２マイコン２２のみが中継し、ＩＤ１１～２９のメッセージを第１マイコン２１又は第２マイコン２２のいずれかが中継し、ＩＤ３０～５０のメッセージを第１マイコン２１のみが中継する構成とすることができる。この場合、ＩＤ１１～２９のメッセージをいずれのマイコンが中継するかは、例えばメッセージを受信した時点におけるマイコンの処理負荷などに基づいて決定され得る。

　通信システムにおける各装置は、マイクロプロセッサ、ＲＯＭ及びＲＡＭ等を含んで構成されるコンピュータを備える。マイクロプロセッサ等の演算処理部は、図７～図９に示すような、シーケンス図またはフローチャートの各ステップの一部又は全部を含むコンピュータプログラムを、ＲＯＭ、ＲＡＭ等の記憶部からそれぞれ読み出して実行する。これら複数の装置のコンピュータプログラムは、それぞれ、外部のサーバ装置等からインストールすることができる。また、これら複数の装置のコンピュータプログラムは、それぞれ、ＣＤ－ＲＯＭ、ＤＶＤ－ＲＯＭ、半導体メモリ等の記録媒体に格納された状態で流通する。

　今回開示された実施形態はすべての点で例示であって、制限的なものではないと考えられるべきである。本開示の範囲は、上記した意味ではなく、請求の範囲によって示され、請求の範囲と均等の意味及び範囲内でのすべての変更が含まれることが意図される。

　１　車両
　１ａ～１ｅ　通信線
　２　ゲートウェイ（車載通信装置）
　３　ＥＣＵ（他の通信装置）
　４　コネクタ
　５　アンテナ
　６　検査装置（外部装置）
　６ａ　通信ケーブル
　７　サーバ装置（外部装置）
　２１　第１マイコン（第１処理部）
　２２　第２マイコン（第２処理部）
　２３　ＲＡＭ
　２５ａ～２５ｅ　接続部
　２１１　プロセッサ
　２１２　メモリ
　２１３　ＣＡＮ通信部（車外通信処理部、第１車内通信処理部）
　２１４　無線通信部（車外通信処理部）
　２１５　Ｉ／Ｆ部
　２２１　プロセッサ
　２２２　メモリ
　２２３　ＣＡＮ通信部（第２車内通信処理部）

Claims

　車両の外部に存在する外部装置との通信に係る処理を行う車外通信処理部及び前記車両の内部に設けられた他の車載機器との通信に係る処理を行う第１車内通信処理部を有する第１処理部と、
　前記車両の外部に存在する外部装置との通信に係る処理を行わず、前記車両の内部に設けられた他の車載機器との通信に係る処理を行う第２車内通信処理部を有する第２処理部と
　を備え、
　前記第１処理部は、前記車両の内部に設けられた他の車載機器の制御に係る第１処理を行い、
　前記第２処理部は、前記車両の内部に設けられた他の車載機器の制御に係る、前記第１処理とは異なる第２処理を行う、車載通信装置。
　前記車両の内部に設けられた他の通信装置との通信を行うための通信線が複数接続され、
　前記第１処理部の前記第１車内通信処理部は、複数の前記通信線の全てを用いて通信を行い、
　前記第２処理部の前記第２車内通信処理部は、複数の前記通信線のうちの一部を用いて通信を行う、請求項１に記載の車載通信装置。
　前記第２処理には、前記車両の走行制御に係る処理を含む、請求項１又は請求項２に記載の車載通信装置。
　前記第２処理には、前記車両の内部に設けられた他の車載機器が実行するプログラムを更新する処理を含む、請求項１から請求項３までのいずれか１項に記載の車載通信装置。
　前記第１処理部は、第１の識別情報が付されたメッセージを中継する処理を行い、
　前記第２処理部は、前記第１の識別情報とは異なる第２の識別情報が付されたメッセージを中継する処理を行う、請求項１から請求項４までのいずれか１項に記載の車載通信装置。
　第１処理部及び第２処理部を備える車載通信装置が、車両の外部に存在する外部装置及び前記車両の内部に設けられた他の車載機器との通信を行う通信方法であって、
　前記第１処理部が、前記車両の外部に存在する外部装置との通信に係る処理を行い、
　前記第１処理部が、前記車両の内部に設けられた他の車載機器との通信に係る処理を行い、
　前記第１処理部が、前記車両の内部に設けられた他の車載機器の制御に係る第１処理を行い、
　前記第２処理部が、前記車両の外部に存在する外部装置との通信に係る処理を行わず、前記車両の内部に設けられた他の車載機器との通信に係る処理を行い、
　前記第２処理部が、前記車両の内部に設けられた他の車載機器の制御に係る、前記第１処理とは異なる第２処理を行う、通信方法。