WO2019239798A1

WO2019239798A1 - 電子制御装置および電子制御システム

Info

Publication number: WO2019239798A1
Application number: PCT/JP2019/019866
Authority: WO
Inventors: 慎太郎鵜飼; 健司菅島; 一夫山岡
Original assignee: 株式会社デンソー
Priority date: 2018-06-12
Filing date: 2019-05-20
Publication date: 2019-12-19
Also published as: US11582112B2; JP6922852B2; JP2019216348A; US20210092025A1

Abstract

電子制御装置（１００，２００）は、通信ネットワーク（１０１）を介して他電子制御装置（１０２）から送信されたデータフレームを受信する受信部（１０）と、データフレームを記憶する第１の記憶部（１１）と、データフレームに含まれるデータを予測し生成する予測生成方法を記憶する第２の記憶部（１２）と、データフレームの異常の有無を判定する異常判定部（１３）と、異常があると判定されたデータフレームに含まれるべき正常なデータと予測される予測データを、予測生成方法に基づき、第１の記憶部に記憶されたデータフレームに含まれるデータである過去データを用いて生成する予測データ生成部（１４）と、予測データを含む予測データフレームを通信ネットワークを介して送信する送信部（１５）と、を備える。

Description

電子制御装置および電子制御システム

関連出願の相互参照

　本出願は、２０１８年６月１２日に出願された日本特許出願番号２０１８－１１２２８５号に基づくもので、ここにその記載内容を援用する。

　本出願は、ネットワークを介した電子制御装置（ＥＣＵ：Electric Control Unit）の不正制御を抑止する技術に関するものであり、主として車両用の電子制御装置及び電子制御システムに用いるものである。

　近年、自動車には、ＣＡＮ（Controller Area Network）などの車載ネットワークで互いに接続された様々な種類の電子制御装置が搭載されている。これらの電子制御装置には、エンジンやハンドルといった車両の動作を制御するものが含まれているため、車両の安全性を確保するためには、第三者による不正なアクセスなどによって電子制御装置が不正制御されるのを予め防止する、あるいは、第三者によって行われた不正制御を無効化して抑制するための高いセキュリティが求められる。

　例えば、特許文献１には、車載システムにおいて不正フレームが送受信された場合に、ＬＩＦＯ（Last In First Out）制御を利用して不正フレームを無効化するための打ち消しフレームを送信し、電子制御装置が不正フレームによって制御されるのを防止する、フレームの監視装置が開示されている。特許文献１に記載の技術では、監視装置は、送受信されたフレームが不正フレームであると判別すると、その直前に受信した正規フレームと同じ内容のフレームを打ち消しフレームとして送信する。

特開２０１７－１６８９９３号公報

　特許文献１に記載の技術によれば、フレームの送信先である電子制御装置は、不正フレームの後に受信した打ち消しフレームに含まれる制御情報に基づいて制御されるため、当該電子制御装置が不正フレームによって制御されるのを防ぐことができる。ところで、不正フレームの直前の正規フレームが送受信されてから不正フレームあるいは打ち消しフレームが送信されるまでにはタイムラグがある。しかしながら、直前の正規フレームと同じ内容のフレームを打ち消しフレームとして使用した場合、このようなタイムラグによって生じうる車両状況の経時的な変化は考慮されない。そのため、発明者は、打ち消しフレームに含まれる制御情報として、直前の正規フレームに含まれる制御情報を使用することが適切ではないおそれがあるという課題を見出だした。

　そこで、本開示の目的は、データフレームに含まれるべき正常なデータを予測するとともに、予測したデータを含むフレームを用いて不正フレームを無効化することにある。

　本開示の一態様による電子制御装置は、通信ネットワークを介して他の電子制御装置から送信されたデータフレームを受信する受信部と、前記データフレームを記憶する第１の記憶部と、前記データフレームに含まれるデータを予測し生成する予測生成方法を記憶する第２の記憶部と、前記データフレームの異常の有無を判定する異常判定部と、前記異常があると判定された前記データフレームに含まれるべき正常なデータと予測される予測データを、前記予測生成方法に基づき、前記第１の記憶部に記憶された前記データフレームに含まれるデータである過去データを用いて生成する予測データ生成部と、前記予測データを含む予測データフレームを前記通信ネットワークを介して送信する送信部と、を備える。

　本開示の他の態様による電子制御システムは、通信ネットワークを介してデータフレームを送信する第１の電子制御装置と、前記データフレームを受信する受信部と、前記データフレームを記憶する第１の記憶部と、前記データフレームに含まれるデータを予測し生成する予測生成方法を記憶する第２の記憶部と、前記データフレームの異常の有無を判定する異常判定部と、前記異常があると判定された前記データフレームに含まれるべき正常なデータと予測される予測データを、前記予測生成方法に基づき、前記第１の記憶部に記憶された前記データフレームに含まれるデータである過去データを用いて生成する予測データ生成部と、前記予測データを含む予測データフレームを前記通信ネットワークを介して送信する送信部と、を備える第２の電子制御装置と、前記第１の電子制御装置から送信された前記データフレームと、前記第２の電子制御装置から送信された前記予測データフレームとを受信し、前記予測データフレームに基づいて制御を行う第３の電子制御装置と、を備える。

　本開示の他の態様による予測データ生成プログラムは、通信ネットワークを介して他の電子制御装置から送信されたデータフレームを受信し、前記データフレームを第１の記憶部に記憶し、前記データフレームの異常の有無を判定し、前記異常があると判定された前記データフレームに含まれるべき正常なデータと予測される予測データを、第２の記憶部に記憶された予測生成方法に基づき、前記第１の記憶部に記憶された前記データフレームに含まれるデータである過去データを用いて生成し、前記予測データを含む予測データフレームを前記通信ネットワークを介して送信する。

　本開示の他の態様による予測データ生成方法は、通信ネットワークを介して他の電子制御装置から送信されたデータフレームを受信し、前記データフレームを第１の記憶部に記憶し、前記データフレームの異常の有無を判定し、前記異常があると判定された前記データフレームに含まれるべき正常なデータと予測される予測データを、第２の記憶部に記憶された予測生成方法に基づき、前記第１の記憶部に記憶された前記データフレームに含まれるデータである過去データを用いて生成し、前記予測データを含む予測データフレームを前記通信ネットワークを介して送信する。

　なお、請求の範囲に付した括弧内の番号は、請求の範囲に記載の発明と後述の実施形態との対応関係を示すものであり、請求の範囲に記載の発明を限定する趣旨ではない。

　本開示の電子制御装置、電子制御システム、予測データ生成プログラム、および予測データ生成方法によれば、適切な内容のデータを含むフレームを用いて不正フレームを無効化することが可能となる。

図１は、実施形態１の電子制御システムの構成を説明する図であり、図２は、実施形態１の電子制御装置の構成を説明するブロック図であり、図３は、データフレームのフォーマットの一例を示す図であり、図４は、生成方法記憶部の情報テーブルの一例を示す図であり、図５は、実施形態１の電子制御装置の動作を説明する図であり、図６は、実施形態１の電子制御装置の動作を説明する図であり、図７は、予測データ生成方法を説明する図であり、図８は、予測データ生成方法を説明する図であり、図９は、実施形態２の電子制御システムの構成を説明する図であり、図１０は、実施形態３の電子制御装置の構成を説明するブロック図である。

　以下、本開示の実施形態について、図面を参照して説明する。
　なお、本開示とは、以下の実施形態に限定されるものではない。また、少なくともダブルクォーテーション内の語句は、請求の範囲に記載された語句を意味し、同じく以下の実施形態に限定されるものではない。
　請求の範囲の従属項に記載の構成及び方法、従属項に記載の構成及び方法に対応する実施形態の構成及び方法、並びに請求の範囲に記載がなく実施形態のみに記載の構成及び方法は、本発明においては任意の構成及び方法である。請求の範囲の記載が実施形態の記載よりも広い場合における実施形態に記載の構成及び方法も、本発明の構成及び方法の例示であるという意味で、本発明においては任意の構成及び方法である。いずれの場合も、請求の範囲の独立項に記載することで、本発明の必須の構成及び方法となる。
　実施形態に記載した効果は、本開示の例示としての実施形態の構成を有する場合の効果であり、必ずしも本開示が有する効果ではない。
　複数の実施形態がある場合、各実施形態に開示の構成は各実施形態のみで閉じるものではなく、実施形態をまたいで組み合わせることが可能である。例えば一の実施形態に開示の構成を、他の実施形態に組み合わせても良い。また、複数の実施形態それぞれに開示の構成を集めて組み合わせても良い。
　本開示に記載した課題は公知の課題ではなく、本発明者が独自に知見したものであり、本開示の構成及び方法と共に発明の進歩性を肯定する事実である。

（実施形態１）
　図１は、複数の電子制御装置から構成される車両用の電子制御システム１を示している。図１に示す電子制御システム１では、複数の電子制御装置が通信ネットワーク１０１を介して接続されており、本実施形態で説明する機能を有する電子制御装置１００に加えて、２つの電子制御装置（送信元電子制御装置１０２、送信先電子制御装置１０３）を備えている。さらに、送信元電子制御装置１０２、送信先電子制御装置１０３は、自車両や周辺車両の状況を検知するセンサにそれぞれ接続されている。

　電子制御システム１を構成する電子制御装置は、通信ネットワーク１０１を介して、センサから取得したデータ等を送受信する。通信ネットワーク１０１には、例えば、ＣＡＮ（Controller Area Network）、ＬＩＮ（Local Interconnect Network）といった通信方式の他、Ｅｔｈｅｒｎｅｔ（登録商標）やＷｉ－Ｆｉ（登録商標）、Ｂｌｕｅｔｏｏｔｈ（登録商標）等、任意の通信方式を用いることができるが、以下の例ではＣＡＮを用いる例を説明する。

　電子制御装置１００は、例えば、主に半導体装置で構成され、ＣＰＵ（Central Processing Unit）、及びＲＡＭ（Random Access Memory）等の揮発性記憶部を有する、いわゆる情報処理装置として構成されていてもよい。この場合、情報処理装置はさらに、フラッシュメモリ等の不揮発性記憶部、通信ネットワーク等に接続されるネットワークインターフェース部等を有していてもよい。さらに、このような情報処理装置はパッケージ化された半導体装置であっても、配線基板において各半導体装置が配線接続された構成であってもよい。

　なお、本実施形態では、電子制御システム１が、本実施形態で説明する機能を発揮する専用の電子制御装置として電子制御装置１００を有する例を説明する。しかしながら、電子制御装置１００は必ずしも専用の電子制御装置でなくともよく、他の機能を有する電子制御装置がさらに本実施形態で説明する機能を有するように構成してもよい。あるいは、車両に搭載された複数の通信ネットワーク間で行われるデータ通信の中継機能や、車両外部との通信機能を有するゲートウェイ（図示せず）が、本実施形態の機能を有するように構成してもよい。

　さらに、図１では、電子制御システム１が、電子制御装置１００、送信元電子制御装置１０２、及び送信先電子制御装置１０３のみを有する例を示しているが、当然のことながら、電子制御システム１は、通信ネットワーク１０１を介して接続された任意の数の電子制御装置を備えてもよい。

１．電子制御装置１００の構成
　本実施形態の電子制御装置１００の構成を図２を用いて説明する。電子制御装置１００は、受信部１０、データフレーム記憶部１１、生成方法記憶部１２、異常判定部１３、予測データ生成部１４、及び、送信部１５を備える。なお、本実施形態では、電子制御装置１００が図２に示す全ての構成を備える例を説明するが、複数の電子制御装置をまたいで図２に示す構成が設けられていてもよい。

　受信部１０は、通信ネットワーク１０１を介して接続された２つ以上の電子制御装置間で送受信されるデータフレームを受信する。図１に示す電子制御システム１の場合、電子制御装置１００の受信部１０は、送信元電子制御装置１０２（他の電子制御装置に相当）から送信されたデータフレームを受信する。

　図３は、通信ネットワーク１０１を介して送受信されるデータフレームのフォーマットの一例を示している。図３に示すデータフレームは、ＣＡＮで通信されるデータフレームの識別情報（以下、フレームＩＤ）を有するＩＤフィールド（ＣＡＮ－ＩＤ）、データフィールドの長さを示す長さフィールド（ＤＬＣ）、及び１以上のシグナル部を有するデータフィールドから構成されている。データフィールドの各シグナル部には、データ、例えばセンサから取得した車速や圧力といったデータが格納される。また、フレームＩＤは、シグナル部に含まれるデータの種別に応じて割り当てられる特定の識別情報である。つまり、シグナル部に含まれるデータの種別が同じデータフレームには、同じフレームＩＤが割り当てられる。

　データフレーム記憶部１１（第１の記憶部に相当）は、受信部１０で受信した“データフレームを記憶”する。このデータフレーム記憶部１１は、受信部１０にて受信したデータフレームに含まれる内容の全てを記憶してもよく、データフレームの一部のみ、例えば、フレームＩＤ及びシグナル部に格納されたデータのみを記憶してもよい。データフレーム記憶部１１はさらに、受信部１０におけるデータフレームの受信時刻をデータフレームに紐付けて記憶してもよい。
　なお、以下に説明する本実施形態では、データフレーム記憶部１１は、後述する異常判定部１３で異常がないと判定された全てのデータフレームを記憶している。しかしながら、データフレーム記憶部１１は、特定のフレームＩＤを有するデータフレームや、特定のシグナル部に格納されたデータのみを記憶してもよく、さらには、メモリ容量を確保するために、データフレームを一定期間のみ、又は一定数のみ記憶するように構成してもよい。
　ここで、本開示の“データフレームを記憶”とは、データフレーム全てを記憶する場合の他、データフレームに含まれる内容の一部のみを記憶する場合をも含む。

　生成方法記憶部１２（第２の記憶部に相当）は、データフレームに含まれるデータを予測して生成する方法（以下、予測生成方法）を記憶する。予測生成方法は、電子制御装置１００が以下に説明する動作を実行する前に生成方法記憶部１２に予め書き込まれ、記憶される。したがって、予測生成方法は例えば、工場から出荷される前に車両製造工場又は電子制御装置の製造工場等によって書き込まれる、あるいは、工場から出荷した後にディーラーによって書き込まれ、あるいは更新される。

　図４は、生成方法記憶部１２に記憶される予測生成方法が示された情報テーブルの一例を示している。図４では、生成方法記憶部１２は、予測生成方法の他に、この予測生成方法によって生成される予測データの種別に対して割り当てられるフレームＩＤ（例えば、０ｘ００１など）、予測データが格納されるシグナル部を示す情報（例えば、シグナルＡなど）、このシグナル部のデータフレームにおける位置を示すシグナル部開始点、このシグナル部のビット長、及び、予測生成に必要なデータリスト、例えば、予測生成方法に使用されるデータや、そのデータのデータフレーム記憶部１１における記憶先を示す情報、を記憶している。
　しかしながら、図４に示す情報テーブルは一例にすぎず、生成方法記憶部１２は、図４に示す以外の情報を記憶していてもよい。

　異常判定部１３は、受信部１０で受信した“データフレームの異常”の有無を判定する。
　ここで、本開示の“データフレームの異常”とは、データフレーム自体又はデータフレームの内容に異常がある場合の他、データフレームが送信又は受信されたタイミングが正常ではない場合をも含む。

　なお、異常判定部１３がデータフレームに異常があるかどうかを判定する方法は任意である。一例として、異常判定部１３は、データフレームの受信時刻に基づいてデータフレームに異常があるかどうかを判定してもよい。
　例えば、データフレームには、特定の電子制御装置から一定周期で送信されるものがある。このようなデータフレームについては、データフレームの送信周期と、受信部１０が最新のデータフレームを受信した受信時刻とに基づいて、次のデータフレームの受信予定時刻を算出することができる。しかしながら、受信予定時刻と、次のデータフレームの実際の受信時刻とに大きなずれがある場合、このデータフレームは正常に送信されたものではない可能性が高い。そこで、異常判定部１３は、受信予定時刻と実際の受信時刻との間の差異が一定以上の場合には、この受信時刻に受信したデータフレームには異常があると判定する。
　あるいは、受信予定時刻付近に複数のデータフレームを受信した場合についても、これらのデータフレームの一部又は全てに異常がある可能性が高い。そこで、このような場合も、異常判定部１３は、受信予定時刻付近に受信した複数のデータフレームの一部又は全てに異常があると判定する。

　予測データ生成部１４は、生成方法記憶部１２に記憶されている予測生成方法に基づいて、異常があると判定されたデータフレームに“含まれるべき正常なデータ”と予測される予測データを生成する。この予測データは、例えば、異常があると判定されたデータフレームが所定のフレーム送信時刻（所定の送信時刻に相当）に送信されると仮定した場合に当該データフレームに含まれるべき正常なデータである。図４に示すとおり、生成方法記憶部１２は情報テーブルに複数の予測生成方法を記憶しているため、予測データ生成部１４は、情報テーブルの中から、異常があると判定されたデータフレームに含まれる車速や圧力といった具体的なデータの種別に基づいて予測生成方法を選択し、選択した予測生成方法に基づいて予測データを生成する。この予測データは、予測データ生成部１４がデータフレーム記憶部１１に記憶されたデータフレームから予測データの生成に必要なデータ（過去データに相当）を取得し、これらのデータに演算などを施すことによって生成される。
　なお、図４に示す実施形態では、生成方法記憶部１２が、予測生成方法と共に予測生成に必要なデータを示すデータリストを記憶しているため、予測データ生成部１４はデータリストに示されたデータをデータフレーム記憶部１１から読み出して取得すればよい。しかしながら、生成方法記憶部１２に記憶される情報テーブルにデータリストが含まれていない場合には、予測データ生成部１４は、生成方法記憶部１２から読み出した予測生成方法に基づいて、この予測生成方法を実行するのに必要なデータを判定し、その判定結果に基づいて、データフレーム記憶部１１から必要なデータを取得してもよい。
　ここで、本開示のデータフレームに“含まれるべき正常なデータ”は、異常があると判定されたデータフレームが送信元電子制御装置から送信されたときに本来含まれているであろうデータに限定されない。例えば、“含まれるべき正常なデータ”は、送信元電子制御装置の相違、送信時刻の相違、又は送信するデータの種類や属性等を考慮して予測・生成されるデータをも含み、一例として、異常があると判定されたデータフレームが、送信元電子制御装置から送信された送信時刻とは異なる時刻に送信されたと仮定したときに含まれているであろうデータが挙げられる。

　予測データ生成部１４はさらに、生成方法記憶部１２の情報テーブルに示すシグナル部の情報に基づいて、生成した予測データを所定のシグナル部に格納するとともに、シグナル部の開始点を示す情報、及び、シグナルのビット長を示す情報に基づいて、シグナル部をデータフレームの所定の位置に配置することにより、予測データを含む予測データフレームを生成する。
　なお、データフレームがデータフィールド内に複数のシグナル部を有する場合には、予測データ生成部１４は、複数のシグナル部それぞれに格納する予測データを、それぞれの予測生成方法に基づいて生成する。そして、生成した予測データをそれぞれのシグナル部に格納するとともに、各シグナル部を所定の位置に配置して予測データフレームを生成する。

　送信部１５は、予測データ生成部１４にて生成した予測データフレームを送信する。なお、予測データ生成部１４が、予測データとして、所定のフレーム送信時刻に送信されると仮定した場合にデータフレームに含まれるべき正常なデータを生成する場合、送信部１５は、当該所定のフレーム送信時刻に予測データフレームを送信する。ここで、フレーム送信時刻は、異常があると判定した時刻に予測データフレームの生成及び送信までに要する時間を足した時刻であり、例えば予測データを生成した後に、遅滞なく、当該予測データを含む予測データフレームを送信できる時刻であるが、この他、予測データの生成後所定のウェイトを挟んだ時刻であってもよい。つまり、所定の送信時刻は、異常検知後に、電子制御装置１００が予測データフレームを送信するまでのタイムラグに相当する。また、電子制御装置１００の処理速度によっては、フレーム送信時刻と、異常があると判定した時刻は実質的に同時刻であると評価してもよい。なお、異常検知の時刻は、他の電子制御装置がデータフレームを送信する時刻と略同一である。

２．電子制御装置１００の動作
　次に、図５、６を用いて電子制御装置１００の動作を説明する。図５は受信部１０にて受信したデータフレームに異常がない場合、図６はデータフレームに異常がある場合の動作をそれぞれ示している。

　受信部１０は、通信ネットワーク１０１を介して接続された電子制御装置間で送受信されるデータフレームを受信する（Ｓ１０１）。データフレームを受信すると、受信部１０は、受信したデータフレームに異常があるかどうかの判定を異常判定部１３に要求する（Ｓ１０２）。このとき、受信部１０は、異常判定の要求と併せて、受信したデータフレームや、その受信時刻を異常判定部１３に通知してもよい。そして、Ｓ１０２の要求を受信した異常判定部１３は、受信したデータフレームの異常の有無を判定する（Ｓ１０３）。

　図５に示すようにデータフレームに異常がないと判定した場合には、異常判定部１３は、データフレームに異常がないことを示す判定結果を受信部１０に通知する（Ｓ１０４）。そして、受信部１０は、Ｓ１０１にて受信したデータフレームをデータフレーム記憶部１１に記憶させる（Ｓ１０５）。
　なお、図５に示す実施形態では、異常がないと判定されたデータフレームのみをデータフレーム記憶部１１に記憶しているが、受信部１０で受信した全てのデータフレームをデータフレーム記憶部１１に記憶してもよい。

　これに対し、図６に示すように、Ｓ１０３で異常の有無を判定した結果、データフレームに異常があると判定した場合、異常判定部１３は、予測データ生成部１４に対して、予測データの生成を要求する（Ｓ１１４）。このとき、異常判定部１３は、異常があると判定したデータフレームのフレームＩＤや、フレーム受信時刻、データフレームに含まれるデータなどを予測データ生成部１４に通知してもよい。

　異常判定部１３から予測データの生成要求を受信した予測データ生成部１４は、生成方法記憶部１２に記憶されている情報テーブルから、異常があると判定したデータフレームに含まれるデータに基づいて、予測生成方法や、予測生成に必要なデータを示すデータリストなどを読み出す（Ｓ１１５）。

　このとき、予測データ生成部１４は、データの種別に応じて割り当てられたフレームＩＤを用いて、異常があると判定したデータフレームに含まれるデータに対応する予測生成方法を選択し、読み出してもよい。例えば、異常があると判定したデータフレームのフレームＩＤが「０ｘ００１」の場合は、図４に示す情報テーブルの中から一番目のデータを読み出す。また、フレームＩＤが「０ｘ００２」の場合には、図４に示す情報テーブルの中から二番目と三番目のデータを読み出す。

　Ｓ１１５において、生成方法記憶部１２の情報テーブルから予測生成方法などを読み出した予測データ生成部１４は、読み出した予測生成方法を実行するのに必要なデータをデータフレーム記憶部１１から読み出す（Ｓ１１６）。

　次いで、予測データ生成部１４は、Ｓ１１５で読み出した予測生成方法に基づき、データフレーム記憶部１１から読み出したデータ（過去データに相当）を用いて予測データを生成する（Ｓ１１７）。予測データ生成部１４はさらに、生成した予測データを含む予測データフレームを生成する（Ｓ１１８）。

　そして、予測データ生成部１４は、生成した予測データフレームを送信することを送信部１５に対して要求する（Ｓ１１９）。送信部１５は、予測データ生成部１４から送信要求を受信すると、予測データフレームを送信する（Ｓ１２０）。

　なお、送信先電子制御装置１０３は、Ｓ１０１にて受信部１０が受信したデータフレームと同じデータフレームを受信した後、Ｓ１２０にて送信部１５から送信された予測データフレームを受信する。送信先電子制御装置１０３は、ＬＩＦＯ制御によって、受信したデータフレームの中から最新のものを読み出すとともに、そのデータフレームに含まれるデータに基づいて制御を行う。つまり、送信先電子制御装置１０３は、先に受信したデータフレームによって制御される前に、Ｓ１２０において送信部１５から送信された予測データフレームを受信した場合、この予測データフレームによって制御される。

３．予測生成方法に基づく予測データの生成
　次に、生成方法記憶部１２に記憶される予測生成方法を例示し、具体的な予測データの生成方法を説明する。なお、以下に示す予測生成方法は代表例にすぎず、本実施形態において使用される予測生成方法は以下に示す例に限定されるものではない。

（ａ）異常データと同じ種別のデータから予測される予測データの生成
　データフレーム記憶部１１に記憶されているデータのうち、異常があると判定されたデータフレームに含まれる異常データと同じ種別のデータから予測される予測データを生成する方法を説明する。

　例えば、異常データが車両の舵角に関するデータの場合に、以下の式（１）に示す予測生成方法に基づいて、過去の舵角に関するデータを用いて予測データＡを生成する。
　Ａ＝ａ_１＋（ａ_１－ａ_２）／Ｔ×（ｔ_０－ｔ_１）・・・（１）
　ここで、ａ_１はデータフレーム記憶部１１に記憶されているデータフレームに含まれる舵角に関する最新のデータであり、ａ_２はデータフレーム記憶部１１に記憶されているデータフレームに含まれる舵角に関するデータであって、ａ_１の次に新しいデータである。Ｔは舵角に関するデータを含むデータフレームの送信周期である。また、ｔ_０は予測データ生成部１４にて生成したデータフレームを送信部１５から送信することを予定している予定送信時刻であり、ｔ_１は受信部１０がａ_１を含むデータフレームを受信した受信時刻である。なお、予定送信時刻ｔ_０は、異常があると判定されたデータフレームの受信時刻と、予測データを含むデータフレームを生成して送信するまでに要する時間とを加算することで算出することができる。

　なお、生成方法記憶部１２が予測生成に必要なデータリストを記憶している場合、上記の例では、図４に示す情報テーブルの一番目に示すように、データリストにはａ_１、ａ_２、及びｔ_１が記載されており、予測データ生成部１４は、これらのデータをデータフレーム記憶部１１から読み出し、式（１）に基づいて予測データＡを生成する。

　図７は、この予測生成方法を説明する図である。従来技術では、不正フレームを無効化するデータフレームの内容が、その直前に受信したデータフレームと同じであるため、電子制御装置は予定送信時刻ｔ_０にａ_１のデータを送信することになる。しかしながら、ａ_２からａ_１へと舵角が経時的に増加していることを鑑みれば、図７の破線に示すように、予定送信時刻ｔ_０の舵角はａ_１よりも増加する可能性が高い。そこで、式（１）に示す予測生成方法に基づいて予定送信時刻ｔ_０時点の舵角を予測し、予測データＡを生成する。

　例えば、データフレーム記憶部１１に記憶されている舵角ａ_１が３０．０°、舵角ａ_１の受信時刻ｔ_１が１０．００秒、舵角ａ_２が２９．０°であり、データフレームの送信周期Ｔが１．０秒、異常があると判定されたデータフレームの受信時刻が１０．０５秒、データフレームの送信までに要する時間が０．０５秒の場合を検討する。
　この場合、舵角の予測データＡは、式（１）に基づいて３０．１°と算出される。したがって、送信部１５は、予定送信時刻１０．１０秒（１０．０５＋０．０５秒）に、生成した３０．１°の予測データを含む予測データフレームを送信する。

　別の例では、データフレーム記憶部１１に記憶されているデータのうち、異常データと同じ種別のデータの平均に基づいて予測データを生成してもよい。
　例えば、車両のフォグランプの点灯状態は一般に頻繁に変化することはない。したがって、異常があると判定されたデータフレームに含まれているであろうデータ、あるいは、異常データフレームが所定のフレーム送信時刻に送信されたと仮定したときに、当該データフレームに含まれるべき正常なデータはいずれも、過去のフォグランプの点灯状態と同じである可能性が高い。そこで、異常があると判定されたデータフレームに含まれる異常データが車両のフォグランプの点灯状態を示すデータの場合、過去のフォグランプの点灯状態を示すデータの平均から予測データを生成する。具体的には、データフレーム記憶部１１に、過去のフォグランプの点灯状態を示す１０個のデータが記憶されており、そのうち９個がフォグランプの点灯を示し、１個がフォグランプの非点灯を示している場合、予測データ生成部１４は、平均以上のデータであるフォグランプの点灯を示すデータを予測データとして生成する。

（ｂ）異常データと異なる種別のデータから予測される予測データの生成
　（ａ）では、異常データと同じ種別のデータから予測される予測データを生成したが、異常データと異なる種別のデータから予測される予測データを生成してもよい。

　例えば、異常データが車速に関するデータの場合、以下の式（２）に示す予測生成方法に基づいて、過去の車速のデータ及び車速以外のデータを用いて予測データＢを生成する。
　Ｂ＝ｂ_１＋ｃ_１×（ｔ_０－ｔ_１）・・・（２）
　ここで、ｂ_１はデータフレーム記憶部に記憶されている車速に関する最新のデータであり、ｃ_１はデータフレーム記憶部に記憶されている加速度に関する最新のデータである。また、ｔ_１は受信部１０がｂ_１を含むデータフレームを受信した受信時刻である。

　なお、生成方法記憶部１２が予測生成に必要なデータリストを記憶している場合、図４に示す情報テーブルの二番目に示すように、データリストにはｂ_１、ｃ_１、及びｔ_１が記載されており、予測データ生成部１４はこれらのデータをデータフレーム記憶部１１から読み出し、式（２）に基づいて予測データＢを生成する。

　例えば、データフレーム記憶部１１に記憶されている車速ｂ_１が３０．０ｋｍ／ｈ、ｂ_１の受信時刻ｔ_１が１０．００秒、加速度ｃ_１が１．０ｍ／ｓ^２であり、異常があると判定されたデータフレームの受信時刻が１０．０５秒、データフレームの送信までに要する時間が０．０５秒の場合を検討する。
　この場合、車速の予測データＢは、式（２）に基づいて３０．３６ｋｍ／ｈと算出される。したがって、送信部１５は、送信時刻１０．１０秒に、３０．３６ｋｍ／ｈの予測データを含む予測データフレームを送信する。

　上記の例では、異常データが車速に関するデータの場合に、過去の車速のデータに加えて、車速以外のデータ（例えば、加速度のデータ）を用いて予測データを生成した。しかしながら、以下に示すように、異常データとは全く異なる種別のデータのみを用いて予測データを生成してもよい。

　例えば、運転支援システムを搭載する車両では、自車両の速度や、自車両の前方を走行する車両（以下、前方車両）の速度、前方車両との車間距離といった、複数の要因を複合的に判断してブレーキ要求を生成する。そのため、異常データがブレーキ要求に関するデータの場合には、過去のブレーキ要求に関するデータとは全く異なるデータを用いて予測データを生成することが望ましい。以下に、ブレーキ要求である予測データの予測生成方法の一例を示す。図８は、この予測生成方法を説明する図である。

　予測データ生成部１４は、以下に示す式（３）～式（８）を実行して予測データを生成する。まず、以下の式（３）にしたがって、前方車両に対する自車両の相対加速度ａｒ_１を算出する。
　ａｒ_１＝（ｖｒ_１－ｖｒ_２）／（ｔ_１－ｔ_２）・・・（３）
　ここで、ｖｒ_１はデータフレーム記憶部１１に記憶されている前方車両との相対速度に関する最新のデータであり、ｖｒ_２はデータフレーム記憶部１１に記憶されている前方車両との相対速度に関するデータであって、ｖｒ_１の次に新しいデータである。また、ｔ_１、ｔ_２はそれぞれ、受信部１０におけるｖｒ_１、ｖｒ_２の受信時刻である。なお、ａｒ_１は、図８に示すように、ｔ_１、ｔ_２間の相対速度の変化率に相当する。

　次に、式（３）で算出した相対加速度ａｒ_１を用いて、以下の式（４）から前方車両の加速度ａ１を算出する。
　ａ１＝ａ０－ａｒ_１・・・（４）
　ここで、ａ０はデータフレーム記憶部１１に記憶されている自車両の加速度に関するデータである。

　次いで、式（４）で算出した前方車両の加速度ａ１と、緊急ブレーキをかけた場合の加速度ｇとを用いて、式（５）に基づいて緊急ブレーキ時の前方車両に対する自車両の相対加速度ａｒ_０を算出する。なお、この緊急ブレーキをかけた場合の加速度は予め設定されていてもよく、あるいは、車速に基づいて演算により算出してもよい。
　ａｒ_０＝ｇ－ａ１・・・（５）
　なお、ａｒ_０は、図８に示すように、ｔ_１後の相対速度の変化率に相当する。

　さらに、式（３）で使用した相対速度ｖｒ_１と、式（５）で算出した緊急ブレーキ時の相対加速度ａｒ_０とを用いて式（６）を演算し、緊急ブレーキをかけた場合に、前方車両に対する自車両の相対速度が０になる、つまり、前方車両と自車両の速度が等しくなるまでに要する時間Δｔを算出する。
　Δｔ＝－ｖｒ_１／ａｒ_０・・・（６）

　次に、式（５）で算出した、緊急ブレーキをかけた場合の前方車両に対する自車両の相対加速度ａｒ_０と、式（６）で算出した時間Δｔとを用いて、緊急ブレーキをかけたときに前方車両に対する自車両の相対速度が０になるまでに要すると予想される予想制動距離Ｒ_０を、式（７）に基づいて算出する。
　Ｒ_０＝ｖｒ_１×Δｔ＋１／２・ａｒ_０×Δｔ^２・・・（７）

　ここで、式（７）で求めた予想制動距離Ｒ_０と、データフレーム記憶部に記憶されている前方車両と自車両の間の実際の車間距離Ｒとを比較する。ここで、予想制動距離Ｒ_０が実際の車間距離Ｒよりも大きい場合、前方車両に対する自車両の相対速度が０になり、前方車両と自車両の速度が等しくなる前に、自車両は前方車両に衝突してしまうおそれがある。そこで、Ｒ_０＞Ｒの場合には、予測データ生成部１４は、予測データとしてブレーキ要求があることを示すデータを生成する。これに対し、上記一連の演算をした結果、Ｒ_０＜＝Ｒの場合、前方車両と自車両の速度が等しくなった時点で、前方車両と自車両の間の車間距離は十分に確保できている。そこで、予測データ生成部１４は、予測データとしてブレーキ要求がないことを示すデータを生成する。
　そして、異常があると判定されたデータフレームに含まれているであろうデータ、あるいは、異常データフレームが所定のフレーム送信時刻に送信されたと仮定したときに、当該データフレームに含まれるべき正常なデータとして、ブレーキ要求の有無を示すデータを送信する。

　以上の例では、予測データとして、舵角、フォグランプの点灯状態、車速、及びブレーキ要求を生成する例を説明した。しかしながら、上述したデータの種別は例示にすぎず、予測データとして任意のデータを生成することができる。例えば、車速のように連続的に数値が変化しうるエンジン回転数を予測データとして生成してもよい。あるいは、フォグランプの点灯状態のように離散値で示されるデータとして、例えば、ＡＣＣ（Adaptive Cruise Control）のＯＮ／ＯＦＦを示すデータを予測データとして生成してもよい。また、異常データと異なる種別のデータを用いた予測生成方法の一例として車速を示したが、車速の予測データを生成するために、加速度のデータを使用せず、過去の車速のデータのみを用いてもよい。

　さらに、以上の例では、データが線形変化することを前提とした予測生成方法や、平均を利用した予測生成方法を示したが、本実施形態の予測生成方法は例示したものに限定されるものではなく、任意の方法を用いることができる。例えば、データフレーム記憶部に記憶されている複数のデータを用いて、最小二乗法によって予測データを生成してもよい。

　また、本実施形態は、送信部１５から送信するデータフレームに、予測生成方法に基づいて生成された予測データが含まれていれば足り、予測データ以外のデータが含まれていてもよい。
　例えば、車両の識別情報は経時的に変化するものではないため、車両の識別情報が格納されるシグナル部には常に一定のデータが格納される。このような場合、予測データ生成部１４は、本実施形態の予測生成方法に基づいて生成された予測データをシグナル部Ａに格納し、車両の識別情報のように、予測生成方法に基づいて生成される予測データとは異なるデータをシグナル部Ｂに格納してデータフレームを生成する。

　例えば、予測データ生成部１４は、車両の識別情報をメモリに記憶しておき、生成した予測データに車両の識別情報を付加して予測データフレームを生成してもよい。あるいは、車両の識別情報のように常に一定のデータについても、本実施形態の予測データと同様の方法を用いて生成してもよい。この場合、図４に示す情報テーブルの三番目に示すように、生成方法記憶部はＣ＝ｃ_１の予測生成方法を記憶する。ここで、ｃ_１は、データフレーム記憶部に記憶されている車両の識別情報に関する最新のデータである。つまり、車両の識別情報などのデータについては、常に、データフレーム記憶部に記憶されている最新のデータと同じ値がシグナル部に格納される。そして、予測データ生成部１４は、予測生成方法に基づいて生成された予測データを格納したシグナル部と、車両の識別情報のように常に一体のデータを格納したシグナル部とを組み合わせて、予測データフレームを生成する。

　上記実施形態１によれば、不正フレームを無効化するデータフレームに含まれるデータを、当該データフレームに含まれるべき正常なデータの予測データとすることにより、送信先電子制御装置の制御を適切に行うことが可能となる。
　さらに、予測データをデータフレームの送信時刻のデータとすることにより、経時的に変化するデータ等についても、送信時点の状態に適した情報で送信先電子制御装置の制御を行うことが可能となる。

（実施形態２）
　上記実施形態１では、予測データ生成部１４は、データフレーム記憶部１１に記憶されたデータフレームを主として予測データを生成する構成であった。しかしながら、予測データ生成部１４はさらに、電子制御装置１００に接続されたセンサ等から直接的にデータを取得し、このデータを用いて予測データを生成してもよい。

　図９は、本実施形態の電子制御システムを示している。図１に示す電子制御システムとは異なり、電子制御装置１００にはセンサ（センサ装置に相当）１０４が接続されている。なお、図９では、電子制御装置１００にセンサ１０４にのみ接続されているが、当然のことながら、電子制御装置１００は複数のセンサに接続されてもよい。さらに、電子制御装置１００は、送信元電子制御装置１０２又は送信先電子制御装置１０３に接続されているセンサに接続されていてもよい。

　電子制御装置１００に接続されるセンサ１０４は、車両の状態を示すデータ（車両データに相当）、例えば、前方車両と自車両との車間距離を検出する測距センサである。この場合、上記実施形態１で例示した、ブレーキ要求を予測データとして生成する際、前方車両と自車両の間の実際の車間距離Ｒについて、データフレーム記憶部１１に記憶されたデータフレームを読み出さず、センサ１０４から車間距離Ｒのデータを受け取り、このデータと式（７）で求めた予想制動距離Ｒ_０とを比較してもよい。
　なお、当然のことながら、電子制御装置１００が接続されるセンサは上記の例による測距センサに限定されるものではなく、任意のセンサと接続することができる。

　実施形態２によれば、電子制御装置１００は、センサから直接的にデータを取得して予測データを生成することができるため、予測データを生成するのに適切な数のデータフレームがデータフレーム記憶部１１に記憶されていない場合、例えば、車両を起動した直後であって、予測データを生成するのに十分な数のデータフレームがデータフレーム記憶部１１に記憶されていないような場合であっても、センサから直接取得したデータを併せて用いることにより、電子制御装置１００は予測データを生成することが可能となる。さらに、電子制御装置１００は、センサから直接的にデータを取得することにより、最新のデータを利用して予測データを生成することができるため、予測データの確からしさを向上させることができ、さらには、最新のデータを用いて送信先電子制御装置の制御を適切に行うことが可能となる。

（実施形態３）
　上記実施形態１では、データフレームに異常がある場合には必ず、予測データ生成部１４にて予測データを生成する構成を説明した。しかしながら、予測データ生成部１４は、データフレームに異常がある場合であっても、特定の条件を満たす場合に限り予測データを生成する構成としてもよい。

　図１０は、本実施形態３の電子制御装置２００である。図２に示す電子制御装置１００と同じ構成については同じ符号を付し、説明は省略する。図１０に示す電子制御装置２００は、図２に示す構成に加えてデータ生成判定部１６を備えている。

　データ生成判定部１６（判定部に相当）は、異常判定部１３がデータフレームに異常があると判定すると、予測データ生成部１４における予測データの生成を実行するか否かを判定してその判定結果を予測データ生成部１４に通知する。そして、データ生成判定部１６から通知された判定結果が、予測データを生成することを示している場合に、予測データ生成部１４は上述した実施形態に基づいて予測データを生成する。

　第１の例として、データ生成判定部１６は、異常があると判定されたデータフレームに含まれるデータの種別が、予め設定されたデータの種別である場合に限り、予測データの生成を実行すると判定をする。例えば、車速、エンジンの回転数、舵角といったデータは、車両の走行に直接的に関連するデータであり、車両の安全性に影響を与える。そのため、車両の安全走行を実現するためには、このようなデータを含むデータフレームが不正に送信された場合に、不正なデータフレームによって電子制御装置が制御されるのを抑止することが望ましい。

　そこで、車両の安全性に関わるデータなどの特定のデータを予め設定し、異常があると判定されたデータフレームに含まれるデータの種別と、設定されたデータの種別とが同じ場合には、データ生成判定部１６は、予測データを生成すると判定する。

　第２の例では、データ生成判定部１６は、データフレーム記憶部１１に記憶されているデータフレームのうち、異常があると判定されたデータフレームに含まれるデータと同じ種別の最新のデータと、異常データと、の差分に基づいて、予測データを生成するかどうかを判定してもよい。

　例えば、データ生成判定部１６は、異常データと最新のデータとの差分と、予め設定された許容差分とを比較し、差分が許容差分以上の場合には、予測データを生成すると判定する。具体的には、車速に関するデータについて許容差分が５ｋｍ／ｈに設定されている場合に、異常データが６５ｋｍ／ｈの車速を示しており、データフレーム記憶部１１に記憶されている最新のデータが５０ｋｍ／ｈの車速を示しているとする。この場合、異常データと最新のデータの差分は１５ｋｍ／ｈであり、許容差分以上である。したがって、データ生成判定部１６は、予測データを生成すると判定し、その判定結果を予測データ生成部１４に通知する。
　これに対し、異常データが５２ｋｍ／ｈの車速を示しており、データフレーム記憶部１１に記憶されている最新のデータが５０ｋｍ／ｈの車速を示している場合、異常データと最新のデータの差分は２ｋｍ／ｈであり、許容差分以下であるため、データ生成判定部１６は、予測データの生成を実行しないと判定し、その判定結果を予測データ生成部１４に通知する。

　異常があると判定されたデータフレームが複数のシグナル部を含む場合には、特定のシグナル部（例えば、シグナル部Ａ）に格納された異常データについてのみ、データフレーム記憶部１１に記憶されている最新のデータとの差分と許容差分とを比較してもよい。この場合、データ生成判定部１６は、予測データを生成するかどうかの判定において、シグナル部Ａ以外のシグナル部（例えば、シグナル部Ｂ）に格納された異常データを考慮しない。

　第３の例では、データ生成判定部１６はさらに、通信ネットワーク１０１の負荷をモニタし、通信ネットワーク１０１の負荷に基づいて予測データを生成するかどうかを判定してもよい。

　本実施形態の電子制御装置１００において予測データを生成する場合、生成した予測データを含む予測データフレームを送信することにより、通信ネットワーク１０１の負荷は増加する。そのため、通信ネットワーク１０１の負荷が高い状態にある場合、予測データフレームを送信することによって、より重要なデータフレームの送受信が妨げられるおそれがある。
　そこで、データ生成判定部１６は、例えば、通信ネットワーク１０１の負荷と、予め設定された通信ネットワークの負荷の閾値とを比較し、通信ネットワーク１０１の負荷が閾値よりも低い場合には予測データの生成を実行すると判定し、通信ネットワーク１０１の負荷が閾値よりも高い場合には予測データの生成を実行しないと判定し、これらの判定結果を予測データ生成部１４に通知する。

　第４の例では、データ生成判定部１６はさらに、異常があると判定されたデータフレームを受信部１０が受信した“受信頻度”をモニタし、この受信頻度に基づいて予測データを生成するかどうかを判定してもよい。
　ここで、“受信頻度”とは、例えば、異常があるデータフレームを一定期間内に受信した回数、あるいは、異常があるデータフレームを連続して受信した回数のように“回数”を示す場合、及び、異常があるデータフレームの受信間隔のように“間隔”を示す場合のいずれも含む。

　例えば、異常があると判定されたデータフレームを複数回にわたり連続して受信した場合、予測データ生成部１４は、異常があると判定されたデータフレーム全てに対して予測データを生成せず、受信した複数のデータフレームのうち一定数毎、あるいは一定時間毎に予測データを生成し、この予測データを含む予測データフレームを送信部１５から送信してもよい。

　送信先電子制御装置１０３は、ＬＩＦＯ制御により、受信したデータフレームの中から最新のものを読み出し、そのデータフレームに含まれるデータに基づいて制御を行う。つまり、電子制御装置１００が予測データを含む予測データフレームを複数送信しても、送信先電子制御装置１０３は最新の予測データフレームのみを使用し、その他の予測データフレームは無効となる。このように、送信先電子制御装置１０３によって使用されない予測データフレームを電子制御装置１００が送信することにより、通信ネットワーク１０１の負荷が増加して、より重要なデータフレームの送受信が妨げられるおそれがある。特に、異常があるデータフレームを連続して受信し、それに伴って予測データフレームを連続して送信すると、通信ネットワーク１０１の負荷は急激に増大してしまう。
　そこで、データ生成判定部１６は、一定期間内に、あるいは、連続的に異常があるデータフレームを受信した回数をモニタしてカウントするとともに、カウントした受信回数と、予め設定された閾値回数とを比較する。そして、カウントした受信回数が閾値回数よりも高い場合には、一定回数又は一定時間にわたり予測データの生成を実行しないと判定する。一方、一定回数又は一定時間が経過すると、予測データの生成を実行することを判定し、これらの判定結果を予測データ生成部１４に通知する。なお、予測データを生成するかどうかの判定基準となる閾値回数や時間は、データの種別によって異なっていてもよい。

（総括）
　以上、各実施形態における電子制御装置及び電子制御システムについて説明した。

　上記実施形態で使用した用語は例示であるので、同義の用語、あるいは同義の機能を含む用語に置き換えてもよい。

　実施形態の説明に用いたブロック図は、電子制御装置等の構成を機能毎に分類及び整理したものである。これらの機能ブロックは、ハードウェア又はソフトウェアの任意の組み合わせで実現される。また、機能を示したものであることから、かかるブロック図は方法の発明の開示としても把握できるものである。

　各実施形態に記載した処理、フロー、及び方法として把握できる機能ブロックについては、一のステップで他のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えても良い。

　各実施形態、及び請求の範囲で使用する「第１」「第２」の用語は、同種の２以上の構成や方法を区別するために使用しており、順序や優劣を限定するものではない。

　各実施形態は、車両に搭載される車両用の電子制御装置及び電子制御システムを前提としているが、本明細書は、車両用以外の専用又は汎用の電子制御システムを含めた情報処理システム、及び専用又は汎用の電子制御装置を含めた情報処理装置も開示するものである。

　また、本開示の電子制御装置の形態の例として、半導体、電子回路、モジュール、マイクロコンピュータが挙げられる。またこれらにアンテナや通信用インターフェースなど、必要な機能を追加してもよい。また、カーナビゲーションシステム、スマートフォン、パーソナルコンピュータ、携帯情報端末のような形態をとることも可能である。

　加えて、本開示は、各実施形態で説明した構成及び機能を有する専用のハードウェアで実現できるだけでなく、メモリやハードディスク等の記憶媒体に記憶した本開示を実現するためのプログラム、及びこれを実行可能な専用又は汎用ＣＰＵ及びメモリ等を有する汎用のハードウェアとの組み合わせとしても実現できる。

　専用や汎用のハードウェアの記憶媒体（外部記憶装置（ハードディスク、ＵＳＢメモリ、ＣＤ／ＢＤ等）、内部記憶装置（ＲＡＭ、ＲＯＭ等）、非遷移的実体的記録媒体（non-transitory tangible storage medium））に格納されるプログラムは、記憶媒体を介して、あるいは記憶媒体を介さずにサーバから通信回線を経由して、専用又は汎用のハードウェアに提供することもできる。これにより、プログラムのアップグレードを通じて常に最新の機能を提供することができる。

　本開示の電子制御装置は、主として自動車に搭載される車両用電子制御装置として説明したが、自動二輪車、電動機付自転車、鉄道はもちろん、船舶、航空機等、移動する移動体全般に適用することが可能である。

Claims

　通信ネットワーク（１０１）を介して他の電子制御装置（１０２）から送信されたデータフレームを受信する受信部（１０）と、
　前記データフレームを記憶する第１の記憶部（１１）と、
　前記データフレームに含まれるデータを予測し生成する予測生成方法を記憶する第２の記憶部（１２）と、
　前記データフレームの異常の有無を判定する異常判定部（１３）と、
　前記異常があると判定された前記データフレームに含まれるべき正常なデータと予測される予測データを、前記予測生成方法に基づき、前記第１の記憶部に記憶された前記データフレームに含まれるデータである過去データを用いて生成する予測データ生成部（１４）と、
　前記予測データを含む予測データフレームを前記通信ネットワークを介して送信する送信部（１５）と、
　を備える電子制御装置（１００，２００）。
　前記第２の記憶部は複数の予測生成方法を記憶しており、
　前記予測データ生成部は、前記異常があると判定された前記データフレームに含まれるデータである異常データの種別に基づいて、前記複数の予測生成方法のうち１つの予測生成方法を選択する、
　請求項１に記載の電子制御装置。
　前記送信部は、前記予測データの生成後である所定の送信時刻に前記予測データフレームを送信し、
　前記予測データ生成部は、前記予測データとして、前記異常があると判定された前記データフレームが前記他の電子制御装置から前記所定の送信時刻に送信されると仮定した場合に前記データフレームに含まれるべき正常なデータを生成する、
　請求項１に記載の電子制御装置。
　前記予測データ生成部はさらに、前記所定の送信時刻を用いて前記予測データを生成する、
　請求項３に記載の電子制御装置。
　前記予測データ生成部は、前記異常があると判定された前記データフレームに含まれるデータである異常データと同じ種別の前記過去データから予測される前記予測データを生成する、
　請求項１に記載の電子制御装置。
　前記予測データ生成部は、前記異常があると判定された前記データフレームに含まれるデータである異常データと異なる種別の前記過去データから予測される前記予測データを生成する、
　請求項１に記載の電子制御装置。
　車両に搭載される電子制御装置であって、前記車両の状態を示す車両データを検出するセンサ装置（１０４）に接続されており、
　前記予測データ生成部はさらに、前記車両データを用いて前記予測データを生成する、
　請求項１に記載の電子制御装置。
　前記異常があると判定された前記データフレームに含まれるデータである異常データの種別に基づいて、前記予測データを生成するかどうかを判定する判定部（１６）をさらに備える、
　請求項１に記載の電子制御装置（２００）。
　前記異常があると判定された前記データフレームに含まれるデータである異常データと、前記異常データと同じ種別の前記過去データのうち最新のデータとの差分に基づいて、前記予測データを生成するかどうかを判定する判定部（１６）をさらに備える、
　請求項１に記載の電子制御装置（２００）。
　前記通信ネットワークの負荷をモニタし、前記負荷に基づいて前記予測データを生成するかどうかを判定する判定部（１６）をさらに備える、
　請求項１に記載の電子制御装置（２００）。
　前記異常があると判定された前記データフレームの受信頻度をモニタし、前記受信頻度に基づいて前記予測データを生成するかどうかを判定する判定部（１６）をさらに備える、
　請求項１に記載の電子制御装置（２００）。
　通信ネットワーク（１０１）を介してデータフレームを送信する第１の電子制御装置（１０２）と、
　　前記データフレームを受信する受信部（１０）と、
　　前記データフレームを記憶する第１の記憶部（１１）と、
　　前記データフレームに含まれるデータを予測し生成する予測生成方法を記憶する第２の記憶部（１２）と、
　　前記データフレームの異常の有無を判定する異常判定部（１３）と、
　　前記異常があると判定された前記データフレームに含まれるべき正常なデータと予測される予測データを、前記予測生成方法に基づき、前記第１の記憶部に記憶された前記データフレームに含まれるデータである過去データを用いて生成する予測データ生成部（１４）と、
　　前記予測データを含む予測データフレームを前記通信ネットワークを介して送信する送信部（１５）と、
　を備える第２の電子制御装置（１００）と、
　前記第１の電子制御装置から送信された前記データフレームと、前記第２の電子制御装置から送信された前記予測データフレームとを受信し、前記予測データフレームに基づいて制御を行う第３の電子制御装置（１０３）と、
　を備える、電子制御システム（１）。
　車両に搭載される電子制御システムであって、
　前記第２の電子制御装置に接続された、前記車両の状態を示す車両データを検出するセンサ装置をさらに備え、
　前記予測データ生成部は、前記車両データを用いて前記予測データを生成する、
　請求項１２記載の電子制御システム。
　通信ネットワークを介して他の電子制御装置から送信されたデータフレームを受信し、
　前記データフレームを第１の記憶部に記憶し、
　前記データフレームの異常の有無を判定し、
　前記異常があると判定された前記データフレームに含まれるべき正常なデータと予測される予測データを、第２の記憶部に記憶された予測生成方法に基づき、前記第１の記憶部に記憶された前記データフレームに含まれるデータである過去データを用いて生成し、
　前記予測データを含む予測データフレームを前記通信ネットワークを介して送信する、予測データ生成プログラム。
　通信ネットワークを介して他の電子制御装置から送信されたデータフレームを受信し、
　前記データフレームを第１の記憶部に記憶し、
　前記データフレームの異常の有無を判定し、
　前記異常があると判定された前記データフレームに含まれるべき正常なデータと予測される予測データを、第２の記憶部に記憶された予測生成方法に基づき、前記第１の記憶部に記憶された前記データフレームに含まれるデータである過去データを用いて生成し、
　前記予測データを含む予測データフレームを前記通信ネットワークを介して送信する、予測データ生成方法。