WO2020059015A1 - 監視制御装置及び監視制御方法 - Google Patents

Abstract

監視制御装置（１００）は、第１電子制御装置（１１）及び第２電子制御装置（１２）により送信きされた第１データ送信信号及び第２データ送信信号を受信する受信部（１０１）と、第１送信信号の一部が第２送信信号により上書きされたことをエラーとして検知するエラー検知部（１０２）と、第２電子制御装置（１２）を特定する上書装置特定部（１０３）と、第２電子制御装置（１２）に停止信号を送信する送信部（１０４）と、車両（１）の状態を判別する状態判別部（１０５）と、第１電子制御装置（１１）を特定する送信装置特定部（１０６）と、第１電子制御装置（１１）が有する機能を特定する機能特定部（１０７）と、第１電子制御装置（１１）を復帰させるか否かを判定する復帰判定部（１０８）とを備え、送信部（１０４）は、復帰判定部（１０８）が第１電子制御装置（１１）を復帰させると判定した場合、第１電子制御装置（１１）に復帰信号を送信する。

Description

監視制御装置及び監視制御方法

　この発明は、監視制御装置及び監視制御方法に関するものである。

　車両に搭載される複数のＥＣＵ（Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）間の通信は、ＣＡＮ（Ｃｏｎｔｒｏｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）等の車載ネットワークを通じて行われている。ＣＡＮ等を通じた複数のＥＣＵ間の通信には、脆弱性があることが知られている。

　例えば、非特許文献１には、あるＥＣＵから送信された送信信号に含まれるレセシブビット（以下「劣性ビット」という。）の一部がドミナントビット（以下「優性ビット」という。）により上書きされた場合、当該ＥＣＵ又は他のＥＣＵが誤動作を引き起こす可能性がある旨が開示されている。

"Alert (ICS-ALERT-17-209-01) CAN Bus Standard Vulnerability"、［online］、２０１７年７月２８日、The National Cybersecurity and Communications Integration Center、［２０１８年８月１７日検索］、インターネット〈URL：https://ics-cert.us-cert.gov/alerts/ICS-ALERT-17-209-01〉

　送信信号を送信するＥＣＵ（以下「送信ＥＣＵ」という。）は、送信信号の一部を上書きするＥＣＵ（以下「上書ＥＣＵ」という。）により当該送信ＥＣＵが送信した送信信号の一部が上書きされた場合、送信エラーが発生したものとして、送信ＥＣＵに備えられたエラーカウンタの値を増加させる。エラーカウンタの値が予め定められた閾値を超えた送信ＥＣＵは、送信待機状態又はバスオフ状態等のバスへの信号送信を行わない送信不能状態となる。送信不能状態の送信ＥＣＵは、例えば、送信ＥＣＵ及び上書ＥＣＵとは異なる他のＥＣＵから送信された復帰信号を受信することにより、エラーカウンタの値をリセットして、送信可能状態に復帰することが可能である。
　しかしながら、送信不能状態となった送信ＥＣＵが復帰信号により復帰したとしても、上書ＥＣＵが送信信号の上書きを繰り返した場合、送信ＥＣＵは、再び送信不能状態となる。このように、従来の復帰方法には、送信ＥＣＵが無意味な復帰動作を繰り返してしまうという問題点があった。

　この発明は、上述の問題点を解決するためのもので、送信した送信信号の一部が上書ＥＣＵにより上書きされる送信ＥＣＵについて、当該送信ＥＣＵが無意味な復帰動作を繰り返すことを抑制できる監視制御装置を提供することを課題としている。

　この発明に係る監視制御装置は、車両に搭載された第１電子制御装置により送信された第１送信信号と、車両に搭載された第２電子制御装置により送信された第２送信信号とを受信する受信部と、第１送信信号と第２送信信号とに基づいて、第１送信信号の一部が第２送信信号によって上書きされたことをエラーとして検知するエラー検知部と、エラー検知部が検知したエラーを示す情報と、受信部が受信した第２送信信号とに基づいて、第２電子制御装置を特定する上書装置特定部と、第２電子制御装置を停止させる停止信号を当該第２電子制御装置に送信する送信部と、車両の状態を判別する状態判別部と、エラーを示す情報と第２送信信号とに基づいて、第１電子制御装置を特定する送信装置特定部と、第１電子制御装置が有する機能を特定する機能特定部と、状態判別部により判別された車両の状態と、機能特定部により特定された第１電子制御装置が有する機能とに基づいて、第１電子制御装置を復帰させるか否かを判定する復帰判定部と、を備え、送信部は、復帰判定部が第１電子制御装置を復帰させると判定した場合、第１電子制御装置を復帰させる復帰信号を当該第１電子制御装置に送信するように構成したものである。

　この発明によれば、送信した送信信号の一部が上書ＥＣＵにより上書きされる送信ＥＣＵについて、当該送信ＥＣＵが無意味な復帰動作を繰り返すことを抑制できる。

図１は、実施の形態１に係る監視制御装置が搭載された車両の要部の一例を示すブロック図である。 図２Ａ及び図２Ｂは、実施の形態１に係る監視制御装置のハードウェア構成の一例を示す図である。 図３は、実施の形態１に係る監視制御装置の処理の一例を説明するフローチャートである。 図４は、実施の形態２に係る監視制御装置が搭載された車両の要部の一例を示すブロック図である。 図５は、実施の形態２に係る監視制御装置の処理の一例を説明するフローチャートである。

　以下、この発明の実施の形態について、図面を参照しながら詳細に説明する。

実施の形態１．
　図１は、実施の形態１に係る監視制御装置１００が搭載された車両１の要部の一例を示すブロック図である。

　監視制御装置１００は、車両１に搭載されたＣＡＮ等の車載ネットワーク１０に接続されている。
　車載ネットワーク１０には、監視制御装置１００、第１電子制御装置１１、第２電子制御装置１２及び第３電子制御装置１３が接続されている。

　第１電子制御装置１１、第２電子制御装置１２及び第３電子制御装置１３は、それぞれ車両１に搭載されたＥＣＵである。
　実施の形態１では、車載ネットワーク１０には、一例として、監視制御装置１００以外に第１電子制御装置１１、第２電子制御装置１２及び第３電子制御装置１３の３つのＥＣＵが接続されているものとして説明するが、この限りではない。
　車載ネットワーク１０には、監視制御装置１００以外に少なくとも２つのＥＣＵが接続されていれば良く、少なくとも２つのＥＣＵのうちの、少なくともいずれか１つが上書ＥＣＵであり、他の少なくとも１つが上書きされる送信ＥＣＵとなる。ここでは、前者を第２電子制御装置１２と命名し、後者を第１電子制御装置１１と命名している。すなわち、例えば、車載ネットワーク１０には、第３電子制御装置１３が接続されていても接続されていなくても良く、また、例えば、第３電子制御装置１３とは異なる他のＥＣＵ（図示せず）が接続されていても良い。
　図１には、第１電子制御装置１１、第２電子制御装置１２及び第３電子制御装置１３の３つのＥＣＵのみを示すが、実施の形態１においては、当該ＥＣＵの他にも車載ネットワーク１０に接続されたＥＣＵが存在しているものとする

　第１電子制御装置１１、第２電子制御装置１２及び第３電子制御装置１３は、それぞれ予め定められたＩＤ（Ｉｄｅｎｔｉｆｉｅｒ）を有する。ＩＤは、例えば、各ＥＣＵの識別、又は各ＥＣＵにより送信された送信信号の識別等に用いられる。
　第１電子制御装置１１は、予め定められた機能を有する。第１電子制御装置１１が有する機能とは、例えば、エンジンにおける燃料噴射量若しくは点火時期、エンジンの停止若しくは再始動、蓄電池の充電、セキュリティシステム、トランスミッション、ステアリング、又は、エアバッグ等を制御する制御機能である。
　第１電子制御装置１１は、車載ネットワーク１０を介して監視制御装置１００及び第３電子制御装置１３等の車載ネットワーク１０に接続されたＥＣＵに、第１電子制御装置１１が行っている制御の内容、又は第１電子制御装置１１の動作の状態等を示す情報を含む送信信号（以下「第１送信信号」という。）を送信する。
　第１送信信号は、第１電子制御装置１１により送信された送信信号であることを識別可能にするために、予め定められた第１電子制御装置１１のＩＤを示す情報を含む。

　第１電子制御装置１１は、例えば、第１電子制御装置１１が有する機能を実現するために必要な情報をセンサ等から取得する。センサとは、例えば、カムポジションセンサ、スロットルポジションセンサ、アクセルポジションセンサ、吸気温センサ、水温センサ、車速センサ、又はバッテリ電圧センサ等である。また、例えば、第１電子制御装置１１は、第１電子制御装置１１が有する機能を実現するために、第３電子制御装置１３等の車載ネットワーク１０に接続された第２電子制御装置１２以外のＥＣＵから送信された送信信号を取得しても良い。
　第１電子制御装置１１は、エラーカウンタを有する。第１電子制御装置１１が有するエラーカウンタについては後述する。

　第３電子制御装置１３は、予め定められた機能を有する。第３電子制御装置１３は、第３電子制御装置１３が有する機能を実現するために、例えば、必要な情報をセンサ等から取得する。また、例えば、第３電子制御装置１３は、第３電子制御装置１３が有する機能を実現するために、第１電子制御装置１１等の車載ネットワーク１０に接続された第２電子制御装置以外のＥＣＵから送信された送信信号を取得しても良い。
　実施の形態１では、第３電子制御装置１３は、車載ネットワーク１０を介して第１電子制御装置１１から送信された第１送信信号を取得するものとして説明する。

　第２電子制御装置１２は、車載ネットワーク１０を介して監視制御装置１００、第１電子制御装置１１、及び第３電子制御装置１３等の車載ネットワーク１０に接続されたＥＣＵに、送信信号（以下「第２送信信号」という。）を送信する。
　第２電子制御装置１２は、特に、第１電子制御装置１１により送信された第１送信信号の一部を上書きすることにより第２送信信号を車載ネットワーク１０に送信するものである。
　第２電子制御装置１２による第１送信信号の上書きは、例えば、第１送信信号における劣性ビットを優性ビットに書き換えることにより行われる。劣性ビットとは、車載ネットワーク１０における送信信号を伝搬させる導線（以下「信号線」という。）において、電気的に劣性な電位を用いて送信された信号である。一方、優性ビットとは、車載ネットワーク１０の信号線において、電気的に優性な電位を用いて送信された信号である。

　第２電子制御装置１２は、例えば、第１信送信信号に含まれる第１電子制御装置１１のＩＤを示す情報を上書きしないように第１送信信号の一部を上書きする。第２電子制御装置１２は、上述のように第１送信信号の一部を上書きすることにより、第１電子制御装置１１に成りすまして、第１電子制御装置１１が第２送信信号を送信したかのように振る舞う。
　なお、第２電子制御装置１２は、正常な車載ネットワーク１０では存在することはない。例えば、第２電子制御装置１２は、悪意の第三者が、第２電子制御装置１２を車載ネットワーク１０に接続する、又は、正常に動作するＥＣＵにおいて動作するプログラムを変更する等の何らかのタイミングにおいて導入されるものである。

　第１電子制御装置１１は、第１電子制御装置１１が送信した第１送信信号と、車載ネットワーク１０の信号線における電位とを比較して、第１送信信号が正常に送信されたか否かを判定する。
　第１電子制御装置１１は、第２電子制御装置１２により第１送信信号の一部が上書きされ、信号線に第２送信信号が伝搬した場合、第１送信信号が正常に送信されなかったと判定して、第１電子制御装置１１のエラーカウンタの値を増加させる。
　第３電子制御装置１３は、第２電子制御装置１２により上書きされた第２送信信号を受信した場合、第２送信信号に含まれる情報が予め想定され得る情報でなかった場合、車載ネットワーク１０を介してエラー信号を送信しても良い。また、第１電子制御装置１１は、第３電子制御装置１３が送信したエラー信号を受信した場合、第１送信信号が正常に送信されなかったと判定して、第１電子制御装置１１のエラーカウンタの値を増加させても良い。

　第１電子制御装置１１は、第１電子制御装置１１のエラーカウンタの値が予め定められた閾値を超えた場合、送信待機状態又はバスオフ状態等の車載ネットワーク１０への信号送信を行わない送信不能状態となる。第１電子制御装置１１は、例えば、後述の監視制御装置１００から復帰信号を受信することにより、エラーカウンタの値をリセットして、送信可能状態に復帰することが可能である。

　監視制御装置１００について説明する。
　監視制御装置１００は、受信部１０１、エラー検知部１０２、上書装置特定部１０３、送信部１０４、状態判別部１０５、送信装置特定部１０６、機能特定部１０７、及び復帰判定部１０８を備える。

　受信部１０１は、第１電子制御装置１１により送信された第１送信信号と、第２電子制御装置１２により送信された第２送信信号とを受信する。
　より具体的には、例えば、受信部１０１は、車載ネットワーク１０を介して第１送信信号と第２送信信号とを車載ネットワーク１０の信号線の電位変化に基づいて受信する。

　エラー検知部１０２は、第１送信信号と第２送信信号とに基づいて、第１送信信号の一部が第２送信信号によって上書きされたことをエラーとして検知する。
　例えば、エラー検知部１０２は、受信部１０１により受信された第２送信信号に基づいて、第２送信信号に含まれる情報が正常な情報であるか否かを判定することで、第１送信信号の一部が第２送信信号によって上書きされたことをエラーとして検知する。より具体的には、例えば、エラー検知部１０２は、送信部１０４から送信された第１送信信号と受信部１０１により受信された第２送信信号とを比較することにより、第２送信信号に含まれる情報が正常な情報であるか否かを判定する。
　また、例えば、エラー検知部１０２は、第２送信信号を受信した第３電子制御装置１３により送信されたエラー信号を受信部１０１により受信し、受信部１０１により受信されたエラー信号に基づいて、第２送信信号に基づくエラーを検知しても良い。

　上書装置特定部１０３は、エラー検知部１０２が検知したエラーを示す情報と、受信部１０１が受信した第２送信信号とに基づいて、第２電子制御装置１２を特定する。
　より具体的には、例えば、上書装置特定部１０３は、Ｋｙｏｎｇ－Ｔａｋ　Ｃｈｏらにより「Ｖｉｄｅｎ：　Ａｔｔａｃｋｅｒ　Ｉｄｅｎｔｉｆｉｃａｔｉｏｎ　ｏｎ　Ｉｎ－Ｖｅｈｉｃｌｅ　Ｎｅｔｗｏｒｋｓ」（URL：https://kabru.eecs.umich.edu/wordpress/wp-content/uploads/ktcho_CCS17.pdf）に示された方法を用いて、第２電子制御装置１２を特定する。

　送信部１０４は、第２電子制御装置１２を停止させる停止信号を送信する。
　より具体的には、例えば、送信部１０４は、エラー検知部１０２が検知したエラーを示す情報と、受信部１０１が受信した第２送信信号とに基づいて、上書装置特定部１０３により特定された第２電子制御装置１２に停止信号を送信する。
　送信部１０４は、例えば、Ｓｔｅｐｈａｎ　Ｅｓｃｈらにより「Ｄｅａｃｔｉｖａｔｉｏｎ　ｏｆ　Ｉｎａｃｔｉｖｅ　ＥＣＵｓ」（URL：https://autotechreview.com/media/attachments/Cover___Deactivation_of_Inactive_ECUs.pdf）に示された方法を用いて、第２電子制御装置１２をシャットダウンするための停止信号を第２電子制御装置１２に送信する。
　例えば、第１送信信号に基づいて制御を行う第３電子制御装置１３等の車載ネットワーク１０に接続された第２電子制御装置１２以外のＥＣＵが、第２電子制御装置１２により第１送信信号の一部が上書きされた第２送信信号を受信した場合、第３電子制御装置１３又は当該ＥＣＵは、誤動作を行う可能性がある。したがって、監視制御装置１００は、送信部１０４から停止信号を送信して第２電子制御装置１２を停止することで、第３電子制御装置１３又は当該ＥＣＵの誤動作を抑制することができる。

　状態判別部１０５は、車両１の状態を判別する。
　より具体的には、例えば、状態判別部１０５は、カムポジションセンサ、スロットルポジションセンサ、アクセルポジションセンサ、吸気温センサ、水温センサ、車速センサ、又はバッテリ電圧センサ等のセンサから取得した情報に基づいて車両１の状態を判別する。また、例えば、状態判別部１０５は、第１電子制御装置１１又は第３電子制御装置１３等の車載ネットワーク１０に接続された第２電子制御装置１２以外のＥＣＵから取得した送信信号に含まれる情報に基づいて、車両１の状態を判別しても良い。
　例えば、車両１の状態とは、車両１が予め定められた速度以上で走行中の状態であるか否かである。ここで、予め定められた速度とは、例えば、時速３０キロメートル（以下「ｋｍ」と記載する。）である。予め定められた速度は、時速３０ｋｍに限るものではなく、例えば、時速３０ｋｍ未満の値であっても、時速３０ｋｍを超える値であっても良い。
　また、例えば、車両１の状態とは、車両１のアクセサリ電源がオフの状態であるか否かである。
　また、例えば、車両１の状態とは、車両１が停車中の状態であるか否かである。

　送信装置特定部１０６は、エラー検知部１０２が検知したエラーを示す情報と受信部１０１が受信した第２送信信号とに基づいて、第１電子制御装置１１を特定する。
　より具体的には、例えば、送信装置特定部１０６は、エラー検知部１０２が検知したエラーを示す情報と、受信部１０１が受信した第２送信信号に含まれる予め定められた第１電子制御装置１１のＩＤを示す情報とに基づいて、第１電子制御装置１１を特定する。

　機能特定部１０７は、第１電子制御装置１１が有する機能を特定する。
　具体的には、送信装置特定部１０６により特定された第１電子制御装置１１が有する機能を特定する。
　より具体的には、例えば、機能特定部１０７は、ＥＣＵが有する予め定められたＩＤを示す情報と、当該ＩＤごとに対応付けられた機能を示す情報とを含むＥＣＵ機能テーブルを参照して、送信装置特定部１０６により特定された第１電子制御装置１１が有する機能を特定する。
　ＥＣＵ機能テーブルは、例えば、機能特定部１０７に予め備えられている。ＥＣＵ機能テーブルは、機能特定部１０７に予め備えられたものに限るものではなく、機能特定部１０７が所定の記憶装置（図示せず）から読み出すものであっても良い。

　復帰判定部１０８は、状態判別部１０５により判別された車両１の状態と、機能特定部１０７により特定された第１電子制御装置１１が有する機能とに基づいて、第１電子制御装置１１を復帰させるか否かを判定する。
　送信部１０４は、復帰判定部１０８が第１電子制御装置１１を復帰させると判定した場合、第１電子制御装置１１を復帰させる復帰信号を送信する。
　例えば、送信部１０４が送信した停止信号により第２電子制御装置１２を停止させたとしても、第１電子制御装置１１は、既に送信不能状態となっている場合がある。監視制御装置１００は、復帰判定部１０８が復帰させると判定した第１電子制御装置１１に、送信部１０４が復帰信号を送信することにより、第１電子制御装置１１を送信可能状態に復帰させることができる。

　より具体的には、例えば、復帰判定部１０８は、状態判別部１０５により判別された車両１の状態が予め定められた速度以上で走行中の状態であり、且つ、機能特定部１０７により特定された第１電子制御装置１１が有する機能が車両１の走行制御に関係する機能であった場合、第１電子制御装置１１を復帰させると判定する。
　車両１の状態が予め定められた速度以上で走行中の状態であり、且つ、第１電子制御装置１１が有する機能が車両１の走行制御に関係する機能であった場合、復帰判定部１０８は、第１電子制御装置１１が現在の車両１の状態において必須のＥＣＵであると推定し、第１電子制御装置１１を復帰させると判定し、送信部１０４は、第１電子制御装置１１に復帰信号を送信する。
　このように構成することで、監視制御装置１００は、第１電子制御装置１１が現在の車両１の状態において必須のＥＣＵである第１電子制御装置１１を復帰させることができる。

　また、例えば、復帰判定部１０８は、状態判別部１０５により判別された車両１の状態がアクセサリ電源オフの状態であり、且つ、機能特定部１０７により特定された第１電子制御装置１１が有する機能が車両１のパーキングブレーキ制御又は車両１の駐車状態監視制御に関係する機能であった場合、第１電子制御装置１１を復帰させると判定する。
　車両１の状態がアクセサリ電源オフの状態であり、且つ、第１電子制御装置１１が有する機能が車両１のパーキングブレーキ制御又は車両１の駐車状態監視制御に関係する機能であった場合、復帰判定部１０８は、第１電子制御装置１１が現在の車両１の状態において必須のＥＣＵであると推定し、第１電子制御装置１１を復帰させると判定し、送信部１０４は、第１電子制御装置１１に復帰信号を送信する。
　このように構成することで、監視制御装置１００は、第１電子制御装置１１が現在の車両１の状態において必須のＥＣＵである第１電子制御装置１１を復帰させることができる。

　また、例えば、復帰判定部１０８は、状態判別部１０５により判別された車両１の状態が停車中の状態であり、且つ、機能特定部１０７により特定された第１電子制御装置１１が有する機能が車両１のブレーキ制御に関係する機能であった場合、第１電子制御装置１１を復帰させると判定する。
　車両１の状態が停車中の状態であり、且つ、第１電子制御装置１１が有する機能が車両１のブレーキ制御に関係する機能であった場合、復帰判定部１０８は、第１電子制御装置１１が現在の車両１の状態において必須のＥＣＵであると推定し、第１電子制御装置１１を復帰させると判定し、送信部１０４は、第１電子制御装置１１に復帰信号を送信する。
　このように構成することで、監視制御装置１００は、第１電子制御装置１１が現在の車両１の状態において必須のＥＣＵである第１電子制御装置１１を復帰させることができる。

　復帰判定部１０８は、第１電子制御装置１１を復帰させるか否かを判定する際に、受信部１０１が第１送信信号又は第２送信信号を予め定められた期間に亘って受信していない場合、第１電子制御装置１１を復帰させると判定するようにしても良い。予め定められた期間とは、例えば、５分間である。５分間は、一例に過ぎず、予め定められた期間は、５分間未満の期間であっても、５分間を超える期間であっても良い。また、予め定められた期間は、車両１の状態、又は第１電子制御装置１１が有する機能等に基づいて決定されるものであっても良い。
　このように構成することで、監視制御装置１００は、第１電子制御装置１１が送信不能状態であるか否かを推定し、第１電子制御装置１１が送信不能状態であると推定された場合に第１電子制御装置１１を復帰させるため、無駄な復帰信号の送信を抑制することができる。

　図２Ａ及び図２Ｂを参照して、実施の形態１に係る監視制御装置１００の要部のハードウェア構成について説明する。
　図２Ａ及び図２Ｂは、実施の形態１に係る監視制御装置１００の要部のハードウェア構成の一例を示す図である。

　図２Ａに示す如く、監視制御装置１００はコンピュータにより構成されており、当該コンピュータはプロセッサ２０１及びメモリ２０２を有している。メモリ２０２には、当該コンピュータを受信部１０１、エラー検知部１０２、上書装置特定部１０３、送信部１０４、状態判別部１０５、送信装置特定部１０６、機能特定部１０７、及び復帰判定部１０８として機能させるためのプログラムが記憶されている。メモリ２０２に記憶されているプログラムをプロセッサ２０１が読み出して実行することにより、受信部１０１、エラー検知部１０２、上書装置特定部１０３、送信部１０４、状態判別部１０５、送信装置特定部１０６、機能特定部１０７、及び復帰判定部１０８の機能が実現される。

　また、図２Ｂに示す如く、監視制御装置１００は処理回路２０３により構成されても良い。この場合、受信部１０１、エラー検知部１０２、上書装置特定部１０３、送信部１０４、状態判別部１０５、送信装置特定部１０６、機能特定部１０７、及び復帰判定部１０８の機能が処理回路２０３により実現されても良い。

　また、監視制御装置１００はプロセッサ２０１、メモリ２０２及び処理回路２０３により構成されても良い（不図示）。この場合、受信部１０１、エラー検知部１０２、上書装置特定部１０３、送信部１０４、状態判別部１０５、送信装置特定部１０６、機能特定部１０７、及び復帰判定部１０８の機能のうちの一部の機能がプロセッサ２０１及びメモリ２０２により実現されて、残余の機能が処理回路２０３により実現されるものであっても良い。

　プロセッサ２０１は、例えば、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）、ＧＰＵ（Ｇｒａｐｈｉｃｓ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）、マイクロプロセッサ、マイクロコントローラ又はＤＳＰ（Ｄｉｇｉｔａｌ　Ｓｉｇｎａｌ　Ｐｒｏｃｅｓｓｏｒ）を用いたものである。

　メモリ２０２は、例えば、半導体メモリ又は磁気ディスクを用いたものである。より具体的には、メモリ２０２は、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）、フラッシュメモリ、ＥＰＲＯＭ（Ｅｒａｓａｂｌｅ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）、ＥＥＰＲＯＭ（Ｅｌｅｃｔｒｉｃａｌｌｙ　Ｅｒａｓａｂｌｅ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｒｅａｄ－Ｏｎｌｙ　Ｍｅｍｏｒｙ）、ＳＳＤ（Ｓｏｌｉｄ　Ｓｔａｔｅ　Ｄｒｉｖｅ）又はＨＤＤ（Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ）などを用いたものである。

　処理回路２０３は、例えば、ＡＳＩＣ（Ａｐｐｌｉｃａｔｉｏｎ　Ｓｐｅｃｉｆｉｃ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）、ＰＬＤ（Ｐｒｏｇｒａｍｍａｂｌｅ　Ｌｏｇｉｃ　Ｄｅｖｉｃｅ）、ＦＰＧＡ（Ｆｉｅｌｄ－Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）、ＳｏＣ（Ｓｙｓｔｅｍ－ｏｎ－ａ－Ｃｈｉｐ）又はシステムＬＳＩ（Ｌａｒｇｅ－Ｓｃａｌｅ　Ｉｎｔｅｇｒａｔｉｏｎ）を用いたものである。

　図３を参照して、実施の形態１に係る監視制御装置１００の動作について説明する。
　図３は、実施の形態１に係る監視制御装置１００の処理の一例を説明するフローチャートである。
　監視制御装置１００は、当該フローチャートの処理を繰り返し行う。

　まず、ステップＳＴ３０１にて、受信部１０１は、上述のとおり、車載ネットワーク１０を介して第１電子制御装置１１又は第２電子制御装置１２等のＥＣＵにより送信された送信信号を受信する。
　次に、ステップＳＴ３０２にて、エラー検知部１０２は、上述のとおり、第１送信信号と第２送信信号とに基づいて、第１送信信号の一部が第２送信信号によって上書きされたことによるエラーを検知する。
　ステップＳＴ３０２にて、エラー検知部１０２が、第１送信信号の一部が第２送信信号によって上書きされたことによるエラーを検知しなかった場合、監視制御装置１００は、ステップＳＴ３０１の処理に戻る。
　ステップＳＴ３０２にて、エラー検知部１０２が、第１送信信号の一部が第２送信信号によって上書きされたことによるエラーを検知した場合、監視制御装置１００は、ステップＳＴ３０３の処理を行う。

　ステップＳＴ３０３にて、上書装置特定部１０３は、上述のとおり、エラー検知部１０２が検知したエラーを示す情報と、受信部１０１が受信した第２送信信号とに基づいて、第２電子制御装置１２を特定する。
　次に、ステップＳＴ３０４にて、送信部１０４は、上述のとおり、第２電子制御装置１２を停止させる停止信号を送信する。
　次に、ステップＳＴ３０５にて、状態判別部１０５は、上述のとおり、車両１の状態を判別する。
　次に、ステップＳＴ３０６にて、送信装置特定部１０６は、上述のとおり、エラー検知部１０２が検知したエラーを示す情報と受信部１０１が受信した第２送信信号とに基づいて、第１電子制御装置１１を特定する。
　次に、ステップＳＴ３０７にて、機能特定部１０７は、上述のとおり、第１電子制御装置１１が有する機能を特定する。

　次に、ステップＳＴ３０８にて、復帰判定部１０８は、上述のとおり、状態判別部１０５により判別された車両１の状態と、機能特定部１０７により特定された第１電子制御装置１１が有する機能とに基づいて、第１電子制御装置１１を復帰させるか否かを判定する。
　ステップＳＴ３０８にて、復帰判定部１０８が第１電子制御装置１１を復帰させないと判定した場合、監視制御装置１００は、当該フローチャートの処理を終了し、ステップＳＴ３０１の処理に戻って、当該フローチャートの処理を繰り返し行う。
　ステップＳＴ３０８にて、復帰判定部１０８が第１電子制御装置１１を復帰させると判定した場合、ステップＳＴ３０９にて、送信部１０４は、第１電子制御装置１１を復帰させる復帰信号を送信する。ステップＳＴ３０９の処理の後、監視制御装置１００は、当該フローチャートの処理を終了し、ステップＳＴ３０１の処理に戻って、当該フローチャートの処理を繰り返し行う。

　なお、ステップＳＴ３０３の処理は、ステップＳＴ３０４の処理より前に処理されれば、ステップＳＴ３０２の処理とステップＳＴ３０８の処理との間において、どのタイミングで処理されても良い。
　また、ステップＳＴ３０６の処理は、ステップＳＴ３０７の処理より前に処理されれば、ステップＳＴ３０２の処理とステップＳＴ３０８の処理との間において、どのタイミングで処理されても良い。

　以上のように、監視制御装置１００は、車両１に搭載された第１電子制御装置１１により送信された第１送信信号と、車両１に搭載された第２電子制御装置１２により送信された第２送信信号とを受信する受信部１０１と、第１送信信号と第２送信信号とに基づいて、第１送信信号の一部が第２送信信号によって上書きされたことをエラーとして検知するエラー検知部１０２と、エラー検知部１０２が検知したエラーを示す情報と、受信部１０１が受信した第２送信信号とに基づいて、第２電子制御装置１２を特定する上書装置特定部１０３と、第２電子制御装置１２を停止させる停止信号を当該第２電子制御装置１２に送信する送信部１０４と、車両１の状態を判別する状態判別部１０５と、エラーを示す情報と第２送信信号とに基づいて、第１電子制御装置１１を特定する送信装置特定部１０６と、第１電子制御装置１１が有する機能を特定する機能特定部１０７と、状態判別部１０５により判別された車両１の状態と、機能特定部１０７により特定された第１電子制御装置１１が有する機能とに基づいて、第１電子制御装置１１を復帰させるか否かを判定する復帰判定部１０８と、を備え、送信部１０４は、復帰判定部１０８が第１電子制御装置１１を復帰させると判定した場合、第１電子制御装置１１を復帰させる復帰信号を当該第１電子制御装置１１に送信するように構成した。

　このように構成することで、監視制御装置１００は、送信した送信信号の一部が上書ＥＣＵにより上書きされる送信ＥＣＵについて、当該送信ＥＣＵが無意味な復帰動作を繰り返すことを抑制できる。

実施の形態２．
　図４を参照して実施の形態２について説明する。
　図４は、実施の形態２に係る監視制御装置１００ｂが搭載された車両１の要部の一例を示すブロック図である。

　実施の形態２に係る監視制御装置１００ｂの構成には、実施の形態１に係る監視制御装置１００の構成と比較して、停止判定部１０９及び切替部１１０が追加されている。
　実施の形態２に係る監視制御装置１００ｂの構成において、実施の形態１に係る監視制御装置１００と同様の構成については、同じ符号を付して重複した説明を省略する。すなわち、図１に記載した符号と同じ符号を付した図４の構成については、説明を省略する。

　監視制御装置１００ｂは、受信部１０１、エラー検知部１０２、上書装置特定部１０３、送信部１０４ｂ、状態判別部１０５、送信装置特定部１０６、機能特定部１０７、復帰判定部１０８ｂ、停止判定部１０９、及び切替部１１０を備える。

　停止判定部１０９は、状態判別部１０５により判別された車両１の状態と、機能特定部１０７により特定された第１電子制御装置１１が有する機能とに基づいて、第１電子制御装置１１を停止させるか否かを判定する。
　送信部１０４ｂは、上述の送信部１０４と同様に、第２電子制御装置１２を停止させる停止信号を送信する。また、送信部１０４ｂは、上述の送信部１０４と同様に、上述のとおり、復帰判定部１０８ｂが第１電子制御装置１１を復帰させると判定した場合、第１電子制御装置１１を復帰させる復帰信号を送信する。更に、送信部１０４ｂは、停止判定部１０９が第１電子制御装置１１を停止させると判定した場合、第１電子制御装置１１を停止させる停止信号を送信する。
　より具体的には、例えば、停止判定部１０９は、状態判別部１０５により判別された車両１の状態がアクセサリ電源オフの状態であり、且つ、機能特定部１０７により特定された第１電子制御装置１１が有する機能が車両１を始動させる始動制御、又は車両１を走行させる走行制御に関係する機能であった場合、第１電子制御装置１１を停止させると判定する。

　例えば、送信部１０４ｂが送信した停止信号により第２電子制御装置１２を停止させたとしても、所定の時間が経過した際、又はエンジンが始動した際等のタイミングで第２電子制御装置１２が復帰してしまう場合がある。
　停止判定部１０９は、例えば、車両１の状態がアクセサリ電源オフの状態であり、且つ、第１電子制御装置１１が有する機能が車両１を始動させる始動制御、又は車両１を走行させる走行制御に関係する機能であった場合、現在の車両１の状態において、第１電子制御装置１１が動作するべきでないＥＣＵであると推定し、第１電子制御装置１１を停止させると判定し、送信部１０４ｂは、第１電子制御装置１１に停止信号を送信する。
　送信部１０４ｂは、例えば、上述の「Ｄｅａｃｔｉｖａｔｉｏｎ　ｏｆ　Ｉｎａｃｔｉｖｅ　ＥＣＵｓ」に示された方法を用いて、第１電子制御装置１１をシャットダウンするための停止信号を第１電子制御装置１１に送信する。
　監視制御装置１００ｂは、第１電子制御装置１１を停止させておくことで、第２電子制御装置１２が復帰してしまったとしても、第２電子制御装置１２が第１電子制御装置１１に成りすまして第２送信信号を送信できないようにすることができる。

　切替部１１０は、車両１を所定の走行制限の下で走行可能にする非常モードに切り替える。
　より具体的には、例えば、切替部１１０は、車両１の乗員、所有者又は整備士等による操作入力に基づいて、車両１を所定の走行制限の下で走行可能にする非常モードに切り替える。すなわち、切替部１１０は、例えば、車両１の乗員、所有者又は整備士等により非常モードに切り替える操作入力が行われるまで待機する。
　また、復帰判定部１０８ｂは、送信部１０４ｂにより第１電子制御装置１１を停止させる停止信号が送信されてから、切替部１１０により車両１が非常モードに切り替えられるまで、第１電子制御装置１１を復帰させないと判定する。
　切替部１１０により車両１が非常モードに切り替えられた場合、復帰判定部１０８ｂは、第１電子制御装置１１を復帰させると判定する。

　復帰判定部１０８ｂが第１電子制御装置１１を復帰させると判定した場合、送信部１０４ｂは、第１電子制御装置１１を復帰させる復帰信号を第１電子制御装置１１に送信する。
　送信部１０４ｂが送信した停止信号により第１電子制御装置１１を停止させた場合において送信部１０４ｂが復帰信号を第１電子制御装置１１に送信する場合、送信部１０４ｂは、例えば、上述の「Ｄｅａｃｔｉｖａｔｉｏｎ　ｏｆ　Ｉｎａｃｔｉｖｅ　ＥＣＵｓ」に示された方法を用いて、第１電子制御装置１１を起動するための復帰信号を第１電子制御装置１１に送信する。
　所定の走行制限とは、例えば、車両１が時速３０ｋｍ以上の速度で走行できないようにするものである。所定の走行制限において、車両１が時速３０ｋｍ以上の速度で走行できないようにすることは、一例であり、時速３０ｋｍ未満であっても、時速３０ｋｍを超える速度であっても良い。

　なお、実施の形態２に係る監視制御装置１００ｂにおける受信部１０１、エラー検知部１０２、上書装置特定部１０３、送信部１０４ｂ、状態判別部１０５、送信装置特定部１０６、機能特定部１０７、復帰判定部１０８ｂ、停止判定部１０９、及び切替部１１０の各機能は、実施の形態１において図２Ａ及び図２Ｂに一例を示したハードウェア構成におけるプロセッサ２０１及びメモリ２０２により実現されるものであっても良く、又は処理回路２０３により実現されるものであっても良い。

　図５を参照して、実施の形態２に係る監視制御装置１００ｂの動作について説明する。
　図５は、実施の形態２に係る監視制御装置１００ｂの処理の一例を説明するフローチャートである。
　監視制御装置１００ｂは、当該フローチャートの処理を繰り返し行う。
　なお、ステップＳＴ５０１からステップＳＴ５０９までの処理は、図３を参照して説明したステップＳＴ３０１からステップＳＴ３０９までの処理と同等であるため、説明を省略する。

　ステップＳＴ５０８にて、復帰判定部１０８ｂが第１電子制御装置１１を復帰させないと判定した場合、監視制御装置１００ｂは、ステップＳＴ５１０の処理を行う。
　ステップＳＴ５０８にて、復帰判定部１０８ｂが第１電子制御装置１１を復帰させると判定した場合、ステップＳＴ５０９にて、送信部１０４ｂは、第１電子制御装置１１を復帰させる復帰信号を送信する。ステップＳＴ５０９の処理の後、監視制御装置１００ｂは、ステップＳＴ５１０の処理を行う。

　ステップＳＴ５１０にて、停止判定部１０９は、上述のとおり、第１電子制御装置１１が有する機能が車両１を始動させる始動制御、又は車両１を走行させる走行制御に関係する機能であるか否かを判定する。
　ステップＳＴ５１０にて、停止判定部１０９が、第１電子制御装置１１が有する機能が車両１を始動させる始動制御、又は車両１を走行させる走行制御に関係する機能でないと判定した場合、監視制御装置１００ｂは、当該フローチャートの処理を終了し、ステップＳＴ５０１の処理に戻って、当該フローチャートの処理を繰り返し行う。
　ステップＳＴ５１０にて、停止判定部１０９が、第１電子制御装置１１が有する機能が車両１を始動させる始動制御、又は車両１を走行させる走行制御に関係する機能であると判定した場合、ステップＳＴ５１１にて、状態判別部１０５は、上述のとおり、車両１の状態を判別する。

　次に、ステップＳＴ５１２にて、停止判定部１０９は、上述のとおり、状態判別部１０５により判別された車両１の状態と、機能特定部１０７により特定された第１電子制御装置１１が有する機能とに基づいて、第１電子制御装置１１を停止させるか否かを判定する。
　ステップＳＴ５１２にて、停止判定部１０９が、第１電子制御装置１１を停止させないと判定した場合、監視制御装置１００ｂは、当該フローチャートの処理を終了し、ステップＳＴ５０１の処理に戻って、当該フローチャートの処理を繰り返し行う。
　ステップＳＴ５１２にて、停止判定部１０９が、第１電子制御装置１１を停止させると判定した場合、ステップＳＴ５１３にて、送信部１０４ｂは、上述のとおり、第１電子制御装置１１に停止信号を送信する。

　次に、ステップＳＴ５１４にて、切替部１１０は、上述のとおり、非常モードに切り替える操作入力が行われるまで待機する。
　ステップＳＴ５１４にて、上述のとおり、非常モードに切り替える操作入力が行われた場合、ステップＳＴ５１５にて、切替部１１０は、車両１を所定の走行制限の下で走行可能にする非常モードに切り替える。
　次に、ステップＳＴ５１６にて、送信部１０４ｂは、第１電子制御装置１１に復帰信号を送信する。

　以上のように、監視制御装置１００ｂは、車両１に搭載された第１電子制御装置１１により送信された第１データ送信信号と、車両１に搭載された第２電子制御装置１２により送信された第２データ送信信号と、を受信する受信部１０１と、第１送信信号と第２送信信号とに基づいて、第１送信信号の一部が第２送信信号によって上書きされたことをエラーとして検知するエラー検知部１０２と、エラー検知部１０２が検知したエラーを示す情報と、受信部１０１が受信した第２データ送信信号とに基づいて、第２電子制御装置１２を特定する上書装置特定部１０３と、第２電子制御装置１２を停止させる停止信号を当該第２電子制御装置に送信する送信部１０４ｂと、車両１の状態を判別する状態判別部１０５と、エラーを示す情報と第２データ送信信号とに基づいて、第１電子制御装置１１を特定する送信装置特定部１０６と、第１電子制御装置１１が有する機能を特定する機能特定部１０７と、状態判別部１０５により判別された車両１の状態と、機能特定部１０７により特定された第１電子制御装置１１が有する機能とに基づいて、第１電子制御装置１１を復帰させるか否かを判定する復帰判定部１０８ｂと、状態判別部１０５により判別された車両１の状態と、機能特定部１０７により特定された第１電子制御装置１１が有する機能とに基づいて、第１電子制御装置１１を停止させるか否かを判定する停止判定部１０９とを備え、送信部１０４ｂは、復帰判定部１０８ｂが第１電子制御装置１１を復帰させると判定した場合、第１電子制御装置１１を復帰させる復帰信号を送信し、停止判定部１０９が第１電子制御装置１１を停止させると判定した場合、第１電子制御装置１１を停止させる停止信号を送信するように構成した。
　更に、監視制御装置１００ｂは、上述の構成に加えて、車両１を所定の走行制限の下で走行可能にする非常モードに切り替える切替部１１０を備え、復帰判定部１０８ｂは、送信部１０４ｂにより第１電子制御装置１１を停止させる停止信号が送信されてから、切替部１１０により車両１が非常モードに切り替えられるまで、第１電子制御装置１１を復帰させないと判定するように構成した。

　第２電子制御装置１２による第２送信信号の送信を根本的に停止させるためには、車載ネットワーク１０から物理的に取り外すか、又は、第２送信信号を送信しないように修理するかを行う必要がある。そのために、車両１を整備工場等の施設まで移動させることが望まれる。以上のように構成することで、監視制御装置１００ｂは、送信した送信信号の一部が上書ＥＣＵにより上書きされる送信ＥＣＵについて、当該送信ＥＣＵが無意味な復帰動作を繰り返すことを抑制しつつ、車両１を整備工場等の施設まで移動できる状態にすることを可能にする。

　なお、これまでに説明した実施の形態において、監視制御装置１００又は監視制御装置１００ｂは、表示装置又は音声出力装置等の出力装置（図示せず）に、第２電子制御装置１２の有無、第１電子制御装置１１及び第２電子制御装置１２の動作状態、又は、非常モードへの切り替え等に関する情報を出力するための出力制御部（図示せず）を備えてもよい。
　このように構成することで、車両１の乗員に対して、車両１の修理又は整備等の必要性を通知することが可能となる。

　また、監視制御装置１００又は監視制御装置１００ｂは、複数のＣＡＮを有する車載ネットワーク１０において、監視制御装置１００又は監視制御装置１００ｂが接続されたＣＡＮと、当該ＣＡＮとは異なる他のＣＡＮと間の通信を行うためのゲートウェイ機能を有するものであっても良い。
　監視制御装置１００又は監視制御装置１００ｂがゲートウェイ機能を有することで、第２電子制御装置１２による第２送信信号を他のＣＡＮに送信することを抑制することができる。

　また、この発明はその発明の範囲内において、各実施の形態の自由な組み合わせ、あるいは各実施の形態の任意の構成要素の変形、もしくは各実施の形態において任意の構成要素の省略が可能である。

　この発明に係る監視制御装置は車両に適用することができる。

１　車両、１０　車載ネットワーク、１１　第１電子制御装置、１２　第２電子制御装置、１３　第３電子制御装置、１００、１００ｂ　監視制御装置、１０１　受信部、１０２　エラー検知部、１０３　上書装置特定部、１０４、１０４ｂ　送信部、１０５　状態判別部、１０６　送信装置特定部、１０７　機能特定部、１０８、１０８ｂ　復帰判定部、１０９　停止判定部、１１０　切替部、２０１　プロセッサ、２０２　メモリ、２０３　処理回路。

Claims (11)

1. 　車両に搭載された第１電子制御装置により送信された第１送信信号と、前記車両に搭載された第２電子制御装置により送信された第２送信信号とを受信する受信部と、
   　前記第１送信信号と前記第２送信信号とに基づいて、前記第１送信信号の一部が前記第２送信信号によって上書きされたことをエラーとして検知するエラー検知部と、
   　前記エラー検知部が検知した前記エラーを示す情報と、前記受信部が受信した前記第２送信信号とに基づいて、前記第２電子制御装置を特定する上書装置特定部と、
   　前記第２電子制御装置を停止させる停止信号を当該第２電子制御装置に送信する送信部と、
   　前記車両の状態を判別する状態判別部と、
   　前記エラーを示す情報と前記第２送信信号とに基づいて、前記第１電子制御装置を特定する送信装置特定部と、
   　前記第１電子制御装置が有する機能を特定する機能特定部と、
   　前記状態判別部により判別された前記車両の状態と、前記機能特定部により特定された前記第１電子制御装置が有する機能とに基づいて、前記第１電子制御装置を復帰させるか否かを判定する復帰判定部と、
   　を備え、
   　前記送信部は、前記復帰判定部が前記第１電子制御装置を復帰させると判定した場合、前記第１電子制御装置を復帰させる復帰信号を当該第１電子制御装置に送信すること
   　を特徴とする監視制御装置。
2. 　前記復帰判定部は、前記受信部が前記第１送信信号又は前記第２送信信号を予め定められた期間に亘って受信していない場合、前記第１電子制御装置を復帰させると判定すること
   　を特徴とする請求項１記載の監視制御装置。
3. 　前記復帰判定部は、前記状態判別部により判別された前記車両の状態が予め定められた速度以上で走行中の状態であり、且つ、前記機能特定部により特定された前記第１電子制御装置が有する機能が前記車両の走行制御に関係する機能であった場合、前記第１電子制御装置を復帰させると判定すること
   　を特徴とする請求項１記載の監視制御装置。
4. 　前記復帰判定部は、前記状態判別部により判別された前記車両の状態がアクセサリ電源オフの状態であり、且つ、前記機能特定部により特定された前記第１電子制御装置が有する機能が前記車両のパーキングブレーキ制御又は前記車両の駐車状態監視制御に関係する機能であった場合、前記第１電子制御装置を復帰させると判定すること
   　を特徴とする請求項１記載の監視制御装置。
5. 　前記復帰判定部は、前記状態判別部により判別された前記車両の状態が停車中の状態であり、且つ、前記機能特定部により特定された前記第１電子制御装置が有する機能が前記車両のブレーキ制御に関係する機能であった場合、前記第１電子制御装置を復帰させると判定すること
   　を特徴とする請求項１記載の監視制御装置。
6. 　前記状態判別部により判別された前記車両の状態と、前記機能特定部により特定された前記第１電子制御装置が有する機能とに基づいて、前記第１電子制御装置を停止させるか否かを判定する停止判定部を備え、
   　前記送信部は、前記停止判定部が前記第１電子制御装置を停止させると判定した場合、前記第１電子制御装置を停止させる停止信号を当該第１電子制御装置に送信すること
   　を特徴とする請求項１記載の監視制御装置。
7. 　前記停止判定部は、前記状態判別部により判別された前記車両の状態がアクセサリ電源オフの状態であり、且つ、前記機能特定部により特定された前記第１電子制御装置が有する機能が前記車両を始動させる始動制御、又は前記車両を走行させる走行制御に関係する機能であった場合、前記第１電子制御装置を停止させると判定すること
   　を特徴とする請求項６記載の監視制御装置。
8. 　前記車両を所定の走行制限の下で走行可能にする非常モードに切り替える切替部を備え、
   　前記復帰判定部は、前記送信部により前記第１電子制御装置を停止させる停止信号が送信されてから、前記切替部により前記車両が非常モードに切り替えられるまで、前記第１電子制御装置を復帰させないと判定すること
   　を特徴とする請求項６記載の監視制御装置。
9. 　前記エラー検知部は、前記受信部が受信した前記第２送信信号に基づいて、前記第２送信信号に基づく前記エラーを検知すること
   　を特徴とする請求項１記載の監視制御装置。
10. 　前記受信部は、前記第２送信信号を受信した第３電子制御装置により送信されたエラー信号を受信し、
    　前記エラー検知部は、前記受信部が受信したエラー信号に基づいて、前記第２送信信号に基づく前記エラーを検知すること
    　を特徴とする請求項１記載の監視制御装置。
11. 　受信部が、車両に搭載された第１電子制御装置により送信された第１送信信号と、前記車両に搭載された第２電子制御装置により送信された第２送信信号とを受信し、
    　エラー検知部が、前記第１送信信号と前記第２送信信号とに基づいて、前記第１送信信号の一部が前記第２送信信号によって上書きされたことをエラーとして検知し、
    　上書装置特定部が、前記エラー検知部が検知した前記エラーを示す情報と、前記受信部により受信された前記第２送信信号とに基づいて、前記第２電子制御装置を特定し、
    　送信部が、前記第２電子制御装置を停止させる停止信号を送信し、
    　状態判別部が、前記車両の状態を判別し、
    　送信装置特定部が、前記エラーを示す情報と前記第２送信信号とに基づいて、前記第１電子制御装置を特定し、
    　機能特定部が、前記第１電子制御装置が有する機能を特定し、
    　復帰判定部が、前記状態判別部により判別された前記車両の状態と、前記機能特定部により特定された前記第１電子制御装置が有する機能とに基づいて、前記第１電子制御装置を復帰させるか否かを判定し、
    　前記送信部は、前記復帰判定部が前記第１電子制御装置を復帰させると判定した場合、前記第１電子制御装置を復帰させる復帰信号を当該第１電子制御装置に送信すること
    　を特徴とする監視制御方法。

Images