WO2020066693A1

WO2020066693A1 - 中継装置システム及び中継装置

Info

Publication number: WO2020066693A1
Application number: PCT/JP2019/036078
Authority: WO
Inventors: 裕通安則
Original assignee: 株式会社オートネットワーク技術研究所; 住友電装株式会社; 住友電気工業株式会社
Priority date: 2018-09-25
Filing date: 2019-09-13
Publication date: 2020-04-02
Also published as: US20210399942A1; CN112703706A; JP2020053778A; US11784871B2; CN112703706B; JP7074004B2

Abstract

中継装置システムは、車両に搭載される中継装置システムであって、前記車両の外部に設けられた通信装置と無線通信する無線中継装置と、前記無線中継装置に対し前記通信装置を上流側として、前記無線中継装置の下流側に直列に接続される複数の有線中継装置とを備え、前記複数の有線中継装置夫々は、前記車両に搭載される車載装置を制御するためのＥＣＵと通信可能に接続する通信部を含む。

Description

中継装置システム及び中継装置

　本開示は、中継装置システム及び中継装置に関する。
　本出願は、２０１８年９月２５日出願の日本出願第２０１８－１７９４６２号に基づく優先権を主張し、前記日本出願に記載された全ての記載内容を援用するものである。

　車両には、エンジン制御等のパワー・トレーン系、エアコン制御等のボディー系等の車載機器を制御するためのＥＣＵ（Electronic Control Unit）が搭載されている。更に、自動運転機能を有する車両の場合、自動運転を行うための車載機器を制御するＥＣＵが搭載されている。これらＥＣＵ群は、ＣＡＮ（Controller Area Network）又はＥｔｈｅｒｎｅｔ（登録商標）等による車内ネットワークにて接続されると共に、無線機能を有する中継装置（ＴＣＵ／Telematics. Communication Unit）により外部ネットワークを介して、車両外に位置する通信装置（提供装置）と接続される（例えば特許文献１）。

　特許文献１の中継装置は、車両外に位置する通信装置を上流側として、下流側は、車両の車内ネットワーク（内部ネットワーク）を構成する２つのセグメント夫々に接続されており、当該２つのセグメント夫々に接続されているＥＣＵ（電子制御装置）と通信可能に接続してある。

特開２０１７－９７８５１号公報

　本開示の一態様に係る中継装置システムは、車両に搭載される中継装置システムであって、前記車両の外部に設けられた通信装置と無線通信する無線中継装置と、前記無線中継装置に対し前記通信装置を上流側として、前記無線中継装置の下流側に直列に接続される複数の有線中継装置とを備え、前記複数の有線中継装置夫々は、前記車両に搭載される車載装置を制御するためのＥＣＵと通信可能に接続する通信部を含む。

実施形態１に係る中継装置システムの構成を示す模式図である。無線中継装置及び有線中継装置の構成を示すブロック図である。ＥＣＵの走行安全性の優先度に関する説明図である。実施形態１に係る制御部の処理を示すフローチャートである。変形例に係る無線中継装置及び有線中継装置の構成を示すブロック図である。

［本開示が解決しようとする課題］
　特許文献１の中継装置は、当該中継装置に各ＥＣＵが接続されているため、堅牢性を欠く可能性があることが懸念される。

　本開示は斯かる事情に鑑みてなされたものであり、車外からの不正な通信による攻撃に対する堅牢性を向上させることができる中継装置システム、中継装置を提供することを目的とする。

［本開示の効果］
　本開示の一態様によれば、複数の有線中継装置は、無線中継装置に対し通信装置を上流側として、無線中継装置の下流側に直列に接続されている。従って、無線中継装置が車外からの不正な通信により攻撃され異常となった場合であっても、無線中継装置の下流側に直列に接続されている複数の有線中継装置夫々が、順次に当該攻撃に対する防壁となることにより、当該攻撃に対する堅牢性を向上させることができる。

［本開示の実施形態の説明］
　最初に本開示の実施態様を列挙して説明する。また、以下に記載する実施形態の少なくとも一部を任意に組み合わせてもよい。

（１）本開示の一態様に係る中継装置システムは、車両に搭載される中継装置システムであって、前記車両の外部に設けられた通信装置と無線通信する無線中継装置と、前記無線中継装置に対し前記通信装置を上流側として、前記無線中継装置の下流側に直列に接続される複数の有線中継装置とを備え、前記複数の有線中継装置夫々は、前記車両に搭載される車載装置を制御するためのＥＣＵと通信可能に接続する通信部を含む。

　本態様にあたっては、複数の有線中継装置は、無線中継装置に対し通信装置を上流側として、無線中継装置の下流側に直列に接続されている。従って、無線中継装置が車外からの不正な通信により攻撃され異常となった場合であっても、無線中継装置の下流側に直列に接続されている複数の有線中継装置夫々が、順次に当該攻撃に対する防壁となることにより、当該攻撃に対する堅牢性を向上させることができる。

（２）本開示の一態様に係る中継装置システムは、前記複数の有線中継装置の内の第１有線中継装置に接続されるＥＣＵは、前記第１有線中継装置の下流側に直接接続される第２有線中継装置に接続されるＥＣＵよりも、前記車両の走行安全性に関する優先度が低い。

　本態様にあたっては、第１有線中継装置に接続されるＥＣＵの優先度は、第１有線中継装置の下流側に直接接続される第２有線中継装置に接続されるＥＣＵの優先度よりも低くしてある。従って、最上流に位置する無線中継装置が車外からの不正な通信により攻撃された場合であっても、車両の走行安全性に関する優先度が高いＥＣＵを接続する有線中継装置を下流側に配置することにより、当該優先度が高いＥＣＵを保護することで、当該攻撃に対する堅牢性を向上させることができる。

（３）本開示の一態様に係る中継装置システムは、前記ＥＣＵの走行安全性に関する優先度は、ＩＳＯ２６２６２のＡＳＩＬ（Automotive Safety Integrity Level）に基づき決定される。

　本態様にあたっては、走行安全性に関する優先度は、ＩＳＯ２６２６２のＡＳＩＬに基づき決定されるため、ＩＳＯ２６２６２に対応したＥＣＵの機能安全を促進することができる中継装置システムを提供することができる。

（４）本開示の一態様に係る中継装置システムは、前記ＥＣＵは、前記車両の走行制御のための走行制御系ＥＣＵを含み、前記走行制御系ＥＣＵを接続する有線中継装置は、下流側に接続される。

　本態様にあたっては、走行制御系ＥＣＵを接続する有線中継装置は、下流側に接続されるため、当該走行制御系ＥＣＵを効率的に保護することができる。

（５）本開示の一態様に係る中継装置システムは、前記無線中継装置及び前記複数の有線中継装置夫々は、自装置の通信を遮断する通信遮断部を含み、前記複数の有線中継装置夫々は、自装置の上流側に接続された他の有線中継装置又は前記無線中継装置の異常判定を行う判定部と、前記判定部が、前記他の有線中継装置又は前記無線中継装置が異常と判定した場合、異常と判定した前記他の有線中継装置又は前記無線中継装置の通信遮断部に、通信を遮断する信号を出力する信号出力部とを含む。

　本態様にあたっては、無線中継装置及び有線中継装置夫々は、自装置の通信を遮断する通信遮断部を含む。有線中継装置夫々の判定部は、上流側に接続された他の有線中継装置又は無線中継装置の異常判定を行い、異常と判定した場合、有線中継装置夫々の信号出力部は、通信を遮断する信号を出力する。従って、異常となった無線中継装置又は有線中継装置を通信不可の状態にし、異常となった無線中継装置又は有線中継装置よりも下流に位置する有線中継装置を保護することにより、堅牢性を向上させることができる。また、下流に位置する有線中継装置には、走行安全性に関する優先度が高いＥＣＵを接続することにより、無線中継装置が車外からの不正な通信により攻撃され異常となった場合であっても、当該優先度が高いＥＣＵを効率的に保護し、車両の走行安全性が阻害されることを抑制することができる。

（６）本開示の一態様に係る中継装置システムは、前記通信遮断部は、前記自装置の通信に関する電源をオン又はオフに切換えるスイッチを含み、前記信号出力部は、前記スイッチに前記電源をオフにするオフ信号を出力して通信を遮断する。

　本態様にあたっては、通信遮断部は、自装置の通信に関する電源をオン又はオフに切換えるスイッチを含むため、通信遮断部を簡易に構成することができる。

（７）本開示の一態様に係る中継装置システムは、前記信号出力部は、前記オフ信号を出力してから所定期間が経過した後、又は所定動作が実施された後、前記オフ信号を出力した前記スイッチに前記電源をオンにするオン信号を出力し、通信を再開させる。

　本態様にあたっては、信号出力部は、オフ信号を出力してから所定期間が経過した後、オフ信号を出力したスイッチに、電源をオンにするオン信号を出力するため、無線中継装置又は有線中継装置の異常が一時的な場合は、当該無線中継装置又は有線中継装置の通信を再開させて復旧させることができる。通信を再開させた後、判定部は、通信を再開した有線中継装置等の異常判定を行うため、異常が継続している場合は、当該有線中継装置等の電源をオフにし、当該有線中継装置等の下流に接続される他の有線中継装置を保護することができる。

（８）本開示の一態様に係る中継装置は、車両内に載置され、前記車両の外部に設けられた通信装置と無線通信する中継装置を含み、互いに直列に通信可能に接続される複数の中継装置の内の、いずれかの中継装置であって、自装置と、前記自装置に直接接続された他の中継装置との間にて、前記自装置の通信の遮断に関する信号の受信又は、前記他の中継装置の通信の遮断に関する信号の出力を行う。

　本態様にあたっては、自装置に接続された他の中継装置との間にて、自装置の通信の遮断に関する信号の受信又は、他の中継装置の通信の遮断に関する信号の出力を行うことにより、これら中継装置により構成される中継装置システムの堅牢性を向上させることができる。

（９）本開示の一態様に係る中継装置は、前記車両の外部に設けられた通信装置と無線通信する無線中継装置を含み、前記通信装置を上流側として、他の中継装置に対し最上流に接続され、自装置に直接接続された他の中継装置から出力された通信の遮断に関する信号を受信して、自装置の通信の遮断を行う通信遮断部を備える。

　本態様にあたっては、自装置に直接接続された他の中継装置から出力された通信の遮断に関する信号を受信して、自装置の通信の遮断を行う通信遮断部を備えることにより、これら中継装置により構成される中継装置システムの堅牢性を向上させることができる。

（１０）本開示の一態様に係る中継装置は、前記車両に搭載される車載装置を制御するためのＥＣＵと通信可能に接続する通信部を含み、前記車両の外部に設けられた通信装置と無線通信する中継装置を上流側として、自装置の下流側に直接接続された下流側の中継装置から出力された通信の遮断に関する信号を受信して、自装置の通信の遮断を行う通信遮断部と、自装置の上流側に直接接続された上流側の中継装置の異常判定を行う判定部と、前記判定部が、前記上流側の中継装置が異常と判定した場合、前記上流側の中継装置に通信の遮断に関する信号を出力する信号出力部とを含む。

　本態様にあたっては、通信遮断部が、自装置の下流側に直接接続された下流側の中継装置から出力された通信の遮断に関する信号を受信して、自装置の通信の遮断を行うことにより、これら中継装置により構成される中継装置システムの堅牢性を向上させることができる。

（１１）本開示の一態様に係る中継装置は、前記車両に搭載される車載装置を制御するためのＥＣＵと通信可能に接続する通信部を含み、前記車両の外部に設けられた通信装置と無線通信する中継装置を上流側として、最下流に接続され、自装置の上流側に直接接続された上流側の中継装置の異常判定を行う判定部と、前記判定部が、前記上流側の中継装置が異常と判定した場合、前記上流側の中継装置に通信の遮断に関する信号を出力する信号出力部とを含む。

　本態様にあたっては、判定部が、自装置の上流側に直接接続される上流側の中継装置が異常と判定した場合、上流側の中継装置に通信の遮断に関する信号を出力することにより、これら中継装置により構成される中継装置システムの堅牢性を向上させることができる。

［本開示の実施形態の詳細］
　本開示をその実施の形態を示す図面に基づいて具体的に説明する。本開示の実施形態に係る中継装置システムＳ及び中継装置を、以下に図面を参照しつつ説明する。なお、本開示はこれらの例示に限定されるものではなく、請求の範囲によって示され、請求の範囲と均等の意味及び範囲内でのすべての変更が含まれることが意図される。

（実施形態１）
　以下、実施の形態について図面に基づいて説明する。図１は、実施形態１に係る中継装置システムＳの構成を示す模式図である。中継装置システムＳは、車両１に搭載されており、無線中継装置１０及び複数の有線中継装置２０を含む。無線中継装置１０及び３台の有線中継装置２０は、蓄電装置５と、電源線４によって互いに並列に接続されており、蓄電装置５からの電力が供給される。

　無線中継装置１０は、車外にある通信装置（図示せず）と無線通信するためのアンテナ１０２に接続されている。無線中継装置１０及び有線中継装置２０夫々は、無線中継装置１０を一端として、直列に接続されている。従って、車外にある通信装置を上流側とした場合、無線中継装置１０は最上流に位置し、無線中継装置１０の下流側に有線中継装置２０夫々が直列に接続される。無線中継装置１０は、下流側に位置する有線中継装置２０と、例えばＥｔｈｅｒｎｅｔ等の通信線３により接続されている。有線中継装置２０は、上流側に位置する無線中継装置１０又は他の有線中継装置２０と、例えばＥｔｈｅｒｎｅｔ等の通信線３により接続されている。更に、最下流に位置する有線中継装置２０以外の有線中継装置２０は、下流側に位置する他の有線中継装置２０と、通信線３により接続されている。このように、無線中継装置１０及び有線中継装置２０夫々が通信線３により接続されることによって、無線中継装置１０及び有線中継装置２０夫々を直列に接続するネットワークトポロジーが形成される。無線中継装置１０は、車外にある通信装置と無線通信し、当該無線通信により受信した各種データを、有線中継装置２０に送信（中継）する。

　有線中継装置２０は、車載装置を制御するＥＣＵ３０（Electronic Control Unit）と、例えばＣＡＮ（Controller Area Network／登録商標）又はＥｔｈｅｒｎｅｔ等のＥＣＵ用配線２によって通信可能に接続されている。図１において、無線中継装置１０を上流側として３つの有線中継装置２０が直列に接続されており、これら３つの有線中継装置２０夫々に接続されるＥＣＵ３０は、上流側から下流側に向けて、車両１の走行安全性に関する優先度が高くなるようにしてある。すなわち、最下流側に接続されている有線中継装置２０のＥＣＵ３０は、他の有線中継装置２０のＥＣＵ３０よりも、車両１の走行安全性に関する優先度が高い。又、無線中継装置１０に直接接続されている有線中継装置２０のＥＣＵ３０は、他の有線中継装置２０のＥＣＵ３０よりも、車両１の走行安全性に関する優先度が低い。なお、直列に接続される有線中継装置２０は、３つに限定されず、２つ以上であればよい。

　有線中継装置２０は、無線中継装置１０から送信されたデータ、すなわち無線中継装置１０によって中継された車外の通信装置からのデータを受信し、自装置に接続されるＥＣＵ３０に送信する。従って、ＥＣＵ３０は、無線中継装置１０及び有線中継装置２０を介して、車外の通信装置と通信する。無線中継装置１０及び有線中継装置２０は、ＥＣＵ３０と車外の通信装置との間の通信を中継する。

　有線中継装置２０は、自装置の上流側に直接接続された無線中継装置１０又は有線中継装置２０に対し、当該無線中継装置１０又は有線中継装置２０の通信を遮断するための信号を出力する信号出力部２０３を含む。有線中継装置２０は、自装置の上流側に直接接続された無線中継装置１０又は有線中継装置２０を監視し、当該無線中継装置１０又は有線中継装置２０に異常が発生した場合、信号出力部２０３は、信号性を介して信号を出力し、異常が発生した無線中継装置１０又は有線中継装置２０の通信を遮断する。従って、自装置と、自装置の上流側に直接接続された無線中継装置１０又は有線中継装置２０との通信が遮断される。これら通信の遮断に関する事項の詳細は、後述する。

　図２は、無線中継装置１０及び有線中継装置２０の構成を示すブロック図である。無線中継装置１０は、無線通信部１０１、制御部１０３、記憶部１０４、有線通信部１０５、電源部１０６及び電源スイッチ１０７を含み、アンテナ１０２に接続されている。なお、無線中継装置１０は、当該アンテナ１０２を含むものであってもよい。

　無線通信部１０１は、車外の通信装置と無線通信するためのアンテナ１０２と、ハーネス等により接続されている。無線通信部１０１は、例えば５Ｇ、４Ｇ又はＬＴＥ等の所定の広域通信規格を用いて、車外の通信装置と無線通信するものであり、例えばＴＣＵ（Telematics Communication Unit）と称される通信デバイスである。

　制御部１０３は、ＣＰＵ（Central Processing Unit）又はＭＰＵ（Micro Processing Unit）等により構成してあり、記憶部１０４に予め記憶された制御プログラム及びデータを読み出して実行することにより、種々の制御処理及び演算処理等を行うようにしてある。制御部１０３は、内部バス１０９により無線通信部１０１、有線通信部１０５及び記憶部１０４と通信可能に接続されている。制御部１０３は、制御プログラムを実行することにより、無線通信部１０１及び有線通信部１０５との間で通信されるデータを中継する制御を行う。

　制御プログラムには、自装置のセキュリティを確保するためのセキュリティプログラムが含まれている。制御部１０３は、セキュリティプログラムを実行することにより、例えばＤｏＳ攻撃、ウィルス又はワーム等を含むデータによる車外からの不正な通信（攻撃）に対応し、自装置のセキュリティを確保（セキュアな通信状態を担保）するようにセキュリティ機能を発揮する。

　記憶部１０４は、ＲＡＭ（Random Access Memory）等の揮発性のメモリ素子又は、ＲＯＭ（Read Only Memory）、ＥＥＰＲＯＭ（Electrically Erasable Programmable ROM）若しくはフラッシュメモリ等の不揮発性のメモリ素子により構成してあり、制御プログラム及び処理時に参照するデータがあらかじめ記憶してある。記憶部１０４に記憶された制御プログラムは、無線中継装置１０が読み取り可能な記録媒体（図示せず）から読み出された制御プログラムを記憶したものであってもよい。また、図示しない通信網に接続されている図示しない外部コンピュータから制御プログラムをダウンロードし、記憶部１０４に記憶させたものであってもよい。記憶部１０４には、有線中継装置２０又はＥＣＵ３０と通信するための経路情報が、例えばテーブル形式にて記憶されている。当該経路情報は、無線中継装置１０、有線中継装置２０及び有線中継装置２０に接続されたＥＣＵ３０のアドレスが含まれている。従って、記憶部１０４に記憶されている経路情報を参照することにより、制御部１０３は、ＥＣＵ３０と車外の通信装置との間の通信を中継することができる。

　有線通信部１０５は、例えばＥｔｈｅｒｎｅｔの通信ポート等の入出力Ｉ／Ｆであり、物理層のプロトコルは、例えば１００ＢＡＳＥ－Ｔ１又は１０００ＢＡＳＥ－Ｔ１等のＩＥＥＥの規格によるものである。

　電源部１０６は、蓄電装置５（図１参照）から印加された電圧を、制御部１０３及び有線通信部１０５等の無線中継装置１０に含まれる各部位の作動電圧に変換して分配し、電源ライン１０８を介してこれら各部位に電力を供給する。

　電源部１０６と蓄電装置５とを接続する電源ライン１０８には、電源スイッチ１０７が設けられている。電源スイッチ１０７は、機械式リレー又は、ＦＥＴ（Field effect transistor）等の半導体スイッチにより構成される。電源スイッチ１０７は、例えば、車両１のイグニッションスイッチ（ＩＧスイッチ）に連動して常時オンにされており、後述する下流側に直接接続された有線中継装置２０からの信号によって、オフ又はオンに制御される。電源スイッチ１０７は、自装置の通信を遮断する通信遮断部に相当する。

　有線中継装置２０は、制御部２０１、記憶部２０２、信号出力部２０３、電源部２０５、電源スイッチ２０６、２つの有線通信部２０７、及びＥＣＵ用通信部２０８を含む。

　有線中継装置２０の制御部２０１は、上述の無線中継装置１０の制御部１０３と同様の構成によるものである。有線中継装置２０の制御部２０１は、内部バス２１０により記憶部２０２、信号出力部２０３、有線通信部２０７及びＥＣＵ用通信部２０８と通信可能に接続されている。制御部２０１は、記憶部２０２に記録された制御プログラム及びデータを読み出して実行することにより、２つの有線通信部２０７との間又は、有線通信部２０７とＥＣＵ用通信部２０８との間で通信されるデータを中継する制御を行う。

　有線中継装置２０の制御プログラムにも、無線中継装置１０の制御プログラムと同様に自装置のセキュリティを確保するためのセキュリティプログラムが含まれている。有線中継装置２０の制御部２０１は、ウィルスを含むデータ等の不正な通信（攻撃）に対応し、自装置のセキュリティを確保するようにセキュリティ機能を発揮する。

　有線中継装置２０の記憶部２０２は、上述の無線中継装置１０の記憶部１０４と同様の構成によるものである。有線中継装置２０の記憶部２０２には、無線中継装置１０の記憶部１０４と同様に有線中継装置２０又はＥＣＵ３０と通信するための経路情報が、例えばテーブル形式にて記憶されている。当該経路情報は、無線中継装置１０、有線中継装置２０及び有線中継装置２０に接続されたＥＣＵ３０のアドレスが含まれている。有線中継装置２０は、例えばレイヤー２スイッチ、又はレイヤー３スイッチとして機能する。有線中継装置２０がレイヤー２スイッチとして機能する場合、無線中継装置１０、有線中継装又はＥＣＵ３０のＭＡＣアドレスが経路情報として記憶部２０２に記憶される。有線中継装置２０がレイヤー３スイッチとして機能する場合、無線中継装置１０、有線中継装置２０又はＥＣＵ３０のＩＰアドレスが経路情報として記憶部２０２に記憶される。従って、記憶部２０２に記憶されている経路情報を参照することにより、有線中継装置２０の制御部２０１は、自装置に接続されたＥＣＵ３０と車外の通信装置との間の通信、又は自装置に接続されたＥＣＵ３０と他の有線中継装置２０に接続されたＥＣＵ３０との通信を中継することができる。

　有線中継装置２０は、上流側及び下流側に対応する２つの有線通信部２０７を含む。この２つの有線通信部２０７は、無線中継装置１０の有線通信部１０５と同様の規格のものであり、例えばＥｔｈｅｒｎｅｔの通信ポート等の入出力Ｉ／Ｆであり、物理層のプロトコルは、例えば１００ＢＡＳＥ－Ｔ１又は１０００ＢＡＳＥ－Ｔ１等である。

　信号出力部２０３は、制御部２０１からの指令に基づいて、自装置の上流側に直接接続されている他の有線中継装置２０又は無線中継装置１０の電源スイッチ２０６に対し、当該スイッチをオフ又はオンにする信号を出力する信号出力回路である。

　信号出力部２０３と、自装置の上流側に直接接続されている他の有線中継装置２０又は無線中継装置１０の電源スイッチ２０６、１０７とは、信号線２０４により接続されている。例えば、当該電源スイッチ２０６、１０７がＦＥＴ（Field effect transistor）にて構成されている場合、信号出力部２０３は、ＦＥＴのゲート端子と信号線２０４により接続されており、信号出力部２０３から出力される信号、すなわちゲート端子に印加する電圧によって、ＦＥＴをオフ又はオンに切換える。

　なお、図２において信号出力部２０３は、制御部２０１とは別個のブロック（デバイス）として記載してあるが、これに限定されない。制御部２０１は信号出力回路を含むマイコンとして一体的に構成され、制御部２０１が信号出力部２０３の機能を発揮するものであってもよい。

　有線中継装置２０の電源部２０５は、蓄電装置５から印加された電圧を、制御部２０１及び有線通信部２０７等の有線中継装置２０に含まれる各部位の作動電圧に変換して分配し、電源ライン２０９を介してこれら各部位に電力を供給する。

　有線中継装置２０の電源部２０５と、蓄電装置５とを接続する電源ライン２０９には、電源スイッチ２０６が設けられている。有線中継装置２０の電源スイッチ２０６は、上述の無線中継装置１０の電源スイッチ１０７と同様に、機械式リレー又は半導体スイッチにより構成される。電源スイッチ２０６は、例えば、車両１のイグニッションスイッチ（ＩＧスイッチ）に連動して常時オンにされており、下流側に直接接続された有線中継装置２０からの信号によって、オフ又はオンに制御される。電源スイッチ２０６は、自装置の通信を遮断する通信遮断部に相当する。

　ＥＣＵ用通信部２０８は、Ｅｔｈｅｒｎｅｔ又はＣＡＮ等の所定の通信プロトコルに対応した入出力Ｉ／Ｆである。ＥＣＵ用通信部２０８と、ＥＣＵ３０夫々とは、例えばＣＡＮケーブル等のＥＣＵ用配線２によって通信可能に接続されている。ＥＣＵ用通信部２０８は、有線中継装置２０とＥＣＵ３０とを通信可能に接続する通信部に相当する。

　有線中継装置２０は、自装置の上流に直接接続された他の有線中継装置２０又は無線中継装置１０の異常判定を行う判定部を含む。判定部は、他の有線中継装置２０又は無線中継装置１０を監視し、これら他の有線中継装置２０又は無線中継装置１０が例えばウィルス等によって異常な状態となった場合、異常判定を行う。判定部による他の有線中継装置２０又は無線中継装置１０の監視及び異常判定は、例えば上流側に直接接続された他の有線中継装置２０又は無線中継装置１０内で実行しているセキュリティプログラム又は自己診断プログラム（ダイアグプロセス）との間でプロセス間通信を行い監視し、プロセス間通信の結果に基づき異常判定する。又は、判定部は、周期的に上流側に直接接続された他の有線中継装置２０又は無線中継装置１０にポーリング通信を行い、チェックサムを実行させて、実行結果の応答を確認して監視及び異常判定を行ってもよい。又は、判定部は、上流側に直接接続された他の有線中継装置２０又は無線中継装置１０から送信されたデータを取得し、取得したデータの認証鍵の正当性を評価することにより、異常判定を行ってもよい。又は、判定部は、無線中継装置１０及び有線中継装置２０がＩＤＳ（Intrusion Detection System）の機能を有する場合、上流側に直接接続された他の有線中継装置２０又は無線中継装置１０から送信されたＩＤＳ（Intrusion Detection System）に関するデータを取得し、取得したデータを評価することにより、異常判定を行ってもよい。

　このような異常は、無線中継装置１０及び有線中継装置２０のセキュリティ機能が、車外からのウィルス等の攻撃により突破、すなわち機能不全にされた場合に発生する。判定部が、上流側に直接接続された他の有線中継装置２０又は無線中継装置１０に異常が発生したと判定した場合、制御部２０１からの指令に基づいて、信号出力部２０３は、当該上流側に直接接続された他の有線中継装置２０又は無線中継装置１０の電源スイッチ２０６、１０７をオフにする信号、すなわち通信を遮断する信号を出力する。従って、異常が発生した無線中継装置１０又は有線中継装置２０の電源をオフにして通信を遮断することにより、異常が発生した無線中継装置１０又は有線中継装置２０よりも、下流側に位置する有線中継装置２０に異常が発生することを防止することができる。有線中継装置２０の制御部２０１は、制御プログラムを実行することにより、判定部として機能する。

　複数の有線中継装置２０夫々には、ＥＣＵ用通信部２０８を介してＥＣＵ３０が接続される。ＥＣＵ３０は、対応する車載装置を制御するためのプログラム及び当該プログラムを実行するためのマイコン等により構成される。

　図３は、ＥＣＵ３０の走行安全性の優先度に関する説明図である。ＥＣＵ３０における車両１の走行安全性に関する優先度は、対応する車載装置及び実行するプログラムの機能に基づいて決定されるものであり、例えばＩＳＯ２６２６２のＡＳＩＬ（Automotive Safety Integrity Level）に基づいて決定されるものであってもよい。図３に示すごとく、ＡＳＩＬのレベルは、ＱＭ、ＡＳＩＬ－Ａ，ＡＳＩＬ－Ｂ，ＡＳＩＬ－Ｃ，ＡＳＩＬ－Ｄのレベルに分類される。ＱＭレベルは、ＩＳＯ２６２６２による機能安全を適用しなくてもよい通常の品質管理である。ＡＳＩＬ－ＡからＤのレベルにおいては、ＩＳＯ２６２６２による機能安全の適用が必要となるレベルであり、ＡＳＩＬ－ＡからＡＳＩＬ－Ｄになるについて、機能安全要件が厳しくなる。すなわち、ＱＭレベルの優先度が最も低く、ＡＳＩＬ－Ｄレベルの優先度が最も高いとみなすことができる。

　各ＡＳＩＬレベルに対応したＥＣＵ３０として、例えば、ＱＭレベルに相当するＥＣＵ３０は、カーナビゲーションやＴＶ等の動画データ又はストリームデータを制御するエンターテイメント系ＥＣＵ３０、カーエアコンを制御するエアコンＥＣＵ３０である。ＡＳＩＬ－Ａレベルに相当するＥＣＵ３０は、座席の位置制御又はドアミラーの制御等を行うボディー系ＥＣＵ３０である。ＡＳＩＬ－Ｂレベルに相当するＥＣＵ３０は、エンジン又はモータ等の駆動制御等に関する走行制御系ＥＣＵ３０である。ＡＳＩＬ－Ｃレベルに相当するＥＣＵ３０は、ハンドル制御又はブレーキ制御等に関する走行制御系ＥＣＵ３０である。ＡＳＩＬ－Ｄレベルに相当するＥＣＵ３０は、自動運転制御に関する自動運転系ＥＣＵ３０である。

　なお、ＥＣＵ３０における車両１の走行安全性に関する優先度は、自動運転系ＥＣＵ３０を最も高い優先度とし、車両１の旋回（曲がる）又は停止に関する制御を行うＥＣＵ３０を次に高い優先度とし、車両１の走行（走る）に関する制御を行うＥＣＵ３０をその次に高い優先度とする。そして、これら以外に関する制御を行うＥＣＵ３０を最も低い優先度とするものであってもよい。

　直列に接続された複数の複数の有線中継装置２０夫々には、車両１の走行安全性に関する優先度に応じたＥＣＵ３０が接続される。例えば、エンターテイメント系ＥＣＵ３０又はエアコンＥＣＵ３０等の優先度が最も低いＥＣＵ３０は、無線中継装置１０に直接接続された有線中継装置２０のＥＣＵ用通信部２０８に接続される。自動運転系ＥＣＵ３０又は走行制御系ＥＣＵ３０等の優先度が高いＥＣＵ３０は、最下流に位置する有線中継装置２０のＥＣＵ用通信部２０８に接続される。ボディー系ＥＣＵ３０等の優先度が中程度のＥＣＵ３０は、直列に構成されたネットワークトポロジーの中間に位置する有線中継装置２０のＥＣＵ用通信部２０８に接続される。

　無線中継装置１０の有線通信部１０５と、無線中継装置１０の下流側に直接接続されている有線中継装置２０の上流側の有線通信部２０７とは、通信線３によって接続されている。有線中継装置２０同士においては、上流側に位置する有線中継装置２０の下流側の有線通信部２０７と、下流側に位置する有線中継装置２０の上流側の有線通信部２０７とによって、これら有線通信部２０７間に配策された通信線３によって接続されている。

　有線中継装置２０の２つの有線通信部２０７夫々は、内部バス２１０によって制御部２０１に接続されており、２つの有線通信部２０７に流れるデータは、制御部２０１を介して通信、すなわち制御部２０１によって中継されるものとなる。従って、最下流に位置する有線中継装置２０が、車外の通信装置との間で通信する場合、当該通信装置との通信のデータは、無線中継装置１０及び他の有線中継装置２０によって中継されて、最下流に位置する有線中継装置２０に送信される。すなわち、無線中継装置１０及び複数の有線中継装置２０夫々は、無線中継装置１０を一端として直列に接続されており、これら直列に接続された無線中継装置１０及び複数の有線中継装置２０による通信は、バケツリレー方式によって行われる。従って、無線中継装置１０が受信して中継する車外の通信装置からのデータを、例えば最下流に位置する有線中継装置２０が受信するためには、当該有線中継装置２０の上流側に位置する他の有線中継装置２０夫々が中継する。

　有線中継装置２０夫々は、セキュリティ機能を有しているため、車外からの不正な通信等による攻撃を受けた場合であっても、自装置の上流側に位置する他の有線中継装置２０夫々が、順次に当該攻撃に対するファイヤーウォール的な防壁となることにより堅牢性を向上させることができる。

　更に、車両１の走行安全性に関する優先度が高いＥＣＵ３０を接続する有線中継装置２０を下流側に配置することにより、当該優先度が高いＥＣＵ３０を保護することで、当該攻撃に対する堅牢性を向上させることができる。

　又、車両１の走行安全性に関する優先度が高いＥＣＵ３０として、例えば車両１の走行制御のための走行制御系ＥＣＵ３０又は自動運転を行うための自動運転系ＥＣＵ３０を接続する有線中継装置２０を下流側に接続することで、走行制御系ＥＣＵ３０又自動運転系ＥＣＵ３０を効率的に保護することができる。

　なお、図１に示すごとく、最下流に接続される有線中継装置２０は、上流側に位置する他の有線中継装置２０と接続するための有線通信部２０７のみを有するものであってもよい。また、最下流に接続される有線中継装置２０は、電源スイッチ２０６を有さないものであってもよい。最下流に接続される有線中継装置２０は、例えば、自動運転系ＥＣＵ３０等の車両１の走行安全性に関する優先度が最も高いＥＣＵ３０が接続されるため、自装置の上流に接続される他の有線中継装置２０との通信が遮断された場合であっても、これら優先度が最も高いＥＣＵ３０間の通信を担保することができる。

　図４は、実施形態１に係る制御部２０１の処理を示すフローチャートである。有線中継装置２０の制御部２０１は、定常的に又はイグニッションスイッチ（ＩＧスイッチ）がオンにされた場合等の所定の入力信号に基づき、以下の処理を行う。

　有線中継装置２０夫々の制御部２０１は、自装置の上流側に直接接続された他の有線中継装置２０又は無線中継装置１０の監視を開始する（Ｓ０１）。すなわち、無線中継装置１０の下流側に直接接続されている有線中継装置２０は、無線中継装置１０を監視する。当該有線中継装置２０以外の有線中継装置２０は、自装置の上流側に直接接続された他の有線中継装置２０を監視する。制御部２０１による自装置の上流側に直接接続された他の有線中継装置２０又は無線中継装置１０の監視は、例えば、当該他の有線中継装置２０又は無線中継装置１０へのポーリング、他の有線中継装置２０又は無線中継装置１０から送信されたデータの取得又は、他の有線中継装置２０又は無線中継装置１０にて実行されている自己診断プログラムとのプロセス間通信等の種々の方法によって行われる。

　制御部２０１は、上流側に直接接続された他の有線中継装置２０又は無線中継装置１０に異常があるか否かの判定を行う（Ｓ０２）。制御部２０１は、例えば、ポーリング通信に対する当該他の有線中継装置２０又は無線中継装置１０からの応答を確認して、確認結果に基づき異常判定を行う。又は、制御部２０１は、当該他の有線中継装置２０又は無線中継装置１０から送信されたデータの認証鍵の正当性を評価すること等により、様々な方法による異常判定を行うものであってもよい。

　異常ではない、すなわち正常であると判定した場合（Ｓ０２：ＮＯ）、制御部２０１は、再度Ｓ０１の処理を実行すべくループ処理を行う。

　異常であると判定した場合（Ｓ０２：ＹＥＳ）、制御部２０１は、自装置の上流側に直接接続された他の有線中継装置２０又は無線中継装置１０に対し、通信を遮断する信号を出力する（Ｓ０３）。制御部２０１による指令を受けて、信号出力部２０３は、自装置の上流側に直接接続された他の有線中継装置２０又は無線中継装置１０の電源スイッチ２０６、１０７に対し、当該電源スイッチ２０６、１０７をオフにする信号を出力する。出力された信号を受けた当該他の有線中継装置２０又は無線中継装置１０の電源スイッチ２０６、１０７は、オフにされる。従って、当該信号の出力を行った制御部２０１を含む有線中継装置２０と、当該有線中継装置２０の上流側に直接接続された他の有線中継装置２０又は無線中継装置１０との通信は、遮断される。

　電源スイッチ２０６、１０７がオフにされた有線中継装置２０又は無線中継装置１０は、例えばウィルス等により正常に動作しない状態となっており、他の有線中継装置２０又はＥＣＵ３０に対しても、ウィルス等を伝搬させてしまうことが懸念される。これに対し、異常が発生した有線中継装置２０又は無線中継装置１０の電源をオフにすることで、他の有線中継装置２０又はＥＣＵ３０との通信を遮断し、これら他の有線中継装置２０又はＥＣＵ３０にウィルス等が伝搬することを防止することができる。

　通信を遮断する信号の出力を行った制御部２０１は、当該信号の出力に関する情報又は異常判定に関する情報を記憶部２０２に記憶してもよい。当該信号の出力に関する情報等は、例えば、検知した異常の内容、異常と判定した他の有線中継装置２０又は無線中継装置１０からの通信のデータ等、異常が発生した要因の分析に用いられる情報である。更に当該信号の出力に関する情報等は、異常が発生した時刻又は時点を関連付けて、記憶部２０２に記憶されてもよい。

　制御部２０１は、所定時間が経過、又は所定動作が実施されたかを判定する（Ｓ０４）。所定時間とは、予め記憶部２０２に記憶されている時間であり、例えば５分等である。所定動作とは、例えば車両１のイグニッションスイッチが、オフ及びオンにされる動作である。

　所定時間が経過してない、又は所定動作が実施されていない場合（Ｓ０４：ＮＯ）、制御部２０１は、再度Ｓ０４の処理を行うべく、ループ処理を行う。すなわち、通信を遮断する信号の出力を行った制御部２０１は、所定時間が経過するまで、又は所定動作が実施されるまでの間、待機処理を行う。

　所定時間が経過、又は所定動作が実施された場合（Ｓ０４：ＹＥＳ）、通信を遮断する信号の出力を行った制御部２０１は、通信を再開する信号を出力する（Ｓ０５）。異常と判定された無線中継装置１０又は有線中継装置２０であっても、当該異常が一過性の場合は、所定時間が経過、又は所定動作が実施された後に復旧することもあり得る。従って、自装置の上流に直接接続されている無線中継装置１０又は他の有線中継装置２０に異常が発生したと判定し、通信を遮断する信号を出力し、これら無線中継装置１０又は他の有線中継装置２０との通信を遮断した場合であっても、通信を再開する信号を出力することで、これら無線中継装置１０又は他の有線中継装置２０の復旧を確認することができる。

　制御部２０１は、再度Ｓ０１の処理を実行すべくループ処理を行う。従って、通信を再開する信号を受信した無線中継装置１０又は他の有線中継装置２０が復旧せず、再度異常と判定した場合、これら無線中継装置１０又は他の有線中継装置２０の通信を再度遮断することができる。

　なお、本実施例において、通信を遮断する信号の出力を行った制御部２０１は、所定時間が経過、又は所定動作が実施された場合、通信を再開する信号を出力するとしたが、これに限定されない。通信を遮断する信号の出力を行った制御部２０１は、以降、通信を再開する信号を出力しなくてもよい。又は、通信を遮断する信号の出力を行った制御部２０１は、通信を再開する信号を出力した回数を記憶し、当該回数が所定値を越えた場合、以降は、通信を再開する信号を出力しない制御を行ってもよい。復旧の見込みが低い無線中継装置１０又は有線中継装置２０の通信を遮断する状態を維持することにより、中継装置システムＳの堅牢性を担保することができる。

　車外からの通信は、無線中継装置１０を介して行われるため、無線中継装置１０が攻撃されセキュリティ機能が不全となり、異常な状態となる場合がある。そして、次に無線中継装置１０の下流側に直接接続された有線中継装置２０が攻撃され、同様にセキュリティ機能が不全となり、異常な状態となった場合であっても、当該異常となった有線中継装置２０の下流側に直接接続された有線中継装置２０は、この異常を検知し、当該異常となった有線中継装置２０の電源をオフする。当該異常となった有線中継装置２０の電源をオフにすることにより通信は遮断され、当該異常となった有線中継装置２０よりも、下流側に接続された他の有線中継装置２０及びＥＣＵ３０を保護することができる。

　無線中継装置１０及び有線中継装置２０を直列に接続しバケツリレー方式によって通信すると共に、有線中継装置２０夫々が、自装置の上流側に直接接続された無線中継装置１０又は有線中継装置２０の電源をオフにして通信を遮断することにより、有線中継装置２０夫々を防壁として機能させることができる。有線中継装置２０夫々を防壁として機能させることにより、下流側に位置する有線中継装置２０に接続される走行安全性に関する優先度の高いＥＣＵ３０を効果的に保護することができる。

（変形例）
　図５は、変形例に係る無線中継装置１０及び有線中継装置２０の構成を示すブロック図である。変形例に係る無線中継装置１０及び有線中継装置２０は、電源部２０５と有線通信部２０７との間に更に第２電源スイッチ１１１、２１１を含む点で、実施形態１と異なる。

　無線中継装置１０及び有線中継装置２０は、実施形態１と同様に、無線中継装置１０を最上流として、直列に接続される。無線中継装置１０及び有線中継装置２０は、電源部２０５と有線通信部２０７との間に更に第２電源スイッチ１１１、２１１を含む。

　有線中継装置２０の信号出力部２０３は、上流側に直接接続された無線中継装置１０又は有線中継装置２０の第２電源スイッチ１１１、２１１と、信号線２０４によって接続されている。変形例の信号出力部２０３は、実施形態１の信号出力部２０３と同様に、上流側に直接接続された無線中継装置１０又は有線中継装置２０に異常が発生した場合、上流側に直接接続された無線中継装置１０又は有線中継装置２０の第２電源スイッチ１１１、２１１に信号を出力し、当該第２電源スイッチ１１１、２１１をオフにする。

　第２電源スイッチ１１１、２１１がオフにされることにより、有線通信部２０７への電力が供給されなくなり、有線通信部２０７は機能を停止する。有線中継装置２０においては、第２電源スイッチ２１１が設けられている有線通信部２０７は、下流側の有線通信部２０７である。

　このように、電源部２０５と有線通信部２０７との間に設けられた第２電源スイッチ１１１、２１１をオフにすることで、自装置と、自装置の上流側に直接接続された無線中継装置１０又は有線中継装置２０との間の通信を遮断しつつ、当該無線中継装置１０又は有線中継装置２０の制御部１０３、２０１への電力の供給は継続することができる。従って、当該無線中継装置１０又は有線中継装置２０の制御部１０３、２０１は、自己診断プログラム等を実行し、異常な状態から正常な状態に復旧する場合がある。正常な状態に復旧した後は、制御部１０３、２０１は、自装置の電源部２０５と有線通信部２０７との間に設けられた第２電源スイッチ１１１、２１１をオンにする。当該第２電源スイッチ１１１、２１１がオンにされることにより、無線中継装置１０又は他の有線中継装置２０との通信を再開することができる。

　なお、図５に示すごとく、変形例の無線中継装置１０及び有線中継装置２０は、電源部２０５と蓄電装置５との間に設けられた電源スイッチ１０７、２０６と、電源部１０６、２０５と有線通信部１０５、２０７との間に設けられた第２電源スイッチ１１１、２１１を含むものとしてあるが、これに限定されない。変形例の無線中継装置１０及び有線中継装置２０は、電源部１０６、２０５と有線通信部１０５、２０７との間に設けられた第２電源スイッチ１１１、２１１のみを含むものであってもよい。

　今回開示された実施形態はすべての点で例示であって、制限的なものではないと考えられるべきである。本発明の範囲は、上記した意味ではなく、請求の範囲によって示され、請求の範囲と均等の意味及び範囲内でのすべての変更が含まれることが意図される。

　Ｓ　中継装置システム
　１　車両
　２　ＥＣＵ用配線
　３　通信線
　４　電源線
　５　蓄電装置
　１０　無線中継装置（中継装置）
　１０１　無線通信部
　１０２　アンテナ
　１０３　制御部
　１０４　記憶部
　１０５　有線通信部
　１０６　電源部
　１０７　電源スイッチ（通信遮断部、スイッチ）
　１０８　電源ライン
　１０９　内部バス
　１１１　第２電源スイッチ（通信遮断部、スイッチ）
　２０　有線中継装置（第１有線中継装置、第２有線中継装置、中継装置）
　２０１　制御部（判定部）
　２０２　記憶部
　２０３　信号出力部
　２０４　信号線
　２０５　電源部
　２０６　電源スイッチ（通信遮断部、スイッチ）
　２０７　有線通信部
　２０８　ＥＣＵ用通信部
　２０９　電源ライン
　２１０　内部バス
　２１１　第２電源スイッチ（通信遮断部、スイッチ）
　３０　ＥＣＵ

Claims

　車両に搭載される中継装置システムであって、
　前記車両の外部に設けられた通信装置と無線通信する無線中継装置と、
　前記無線中継装置に対し前記通信装置を上流側として、前記無線中継装置の下流側に直列に接続される複数の有線中継装置とを備え、
　前記複数の有線中継装置夫々は、前記車両に搭載される車載装置を制御するためのＥＣＵと通信可能に接続する通信部を含む
　中継装置システム。
　前記複数の有線中継装置の内の第１有線中継装置に接続されるＥＣＵは、
　前記第１有線中継装置の下流側に直接接続される第２有線中継装置に接続されるＥＣＵよりも、前記車両の走行安全性に関する優先度が低い
　請求項１に記載の中継装置システム。
　前記ＥＣＵの走行安全性に関する優先度は、ＩＳＯ２６２６２のＡＳＩＬ（Automotive Safety Integrity Level）に基づき決定される
　請求項２に記載の中継装置システム。
　前記ＥＣＵは、前記車両の走行制御のための走行制御系ＥＣＵを含み、前記走行制御系ＥＣＵを接続する有線中継装置は、下流側に接続される
　請求項１から請求項３のいずれか一つに記載の中継装置システム。
　前記無線中継装置及び前記複数の有線中継装置夫々は、自装置の通信を遮断する通信遮断部を含み、
　前記複数の有線中継装置夫々は、
　自装置の上流側に接続された他の有線中継装置又は前記無線中継装置の異常判定を行う判定部と、
　前記判定部が、前記他の有線中継装置又は前記無線中継装置が異常と判定した場合、異常と判定した前記他の有線中継装置又は前記無線中継装置の通信遮断部に、通信を遮断する信号を出力する信号出力部とを含む
　請求項１から請求項４のいずれか一つに記載の中継装置システム。
　前記通信遮断部は、前記自装置の通信に関する電源をオン又はオフに切換えるスイッチを含み、
　前記信号出力部は、前記スイッチに前記電源をオフにするオフ信号を出力して通信を遮断する
　請求項５に記載の中継装置システム。
　前記信号出力部は、前記オフ信号を出力してから所定期間が経過した後、又は所定動作が実施された後、前記オフ信号を出力した前記スイッチに前記電源をオンにするオン信号を出力し、通信を再開させる
　請求項６に記載の中継装置システム。
　車両内に載置され、前記車両の外部に設けられた通信装置と無線通信する中継装置を含み、互いに直列に通信可能に接続される複数の中継装置の内の、いずれかの中継装置であって、
　自装置と、前記自装置に直接接続された他の中継装置との間にて、前記自装置の通信の遮断に関する信号の受信又は、前記他の中継装置の通信の遮断に関する信号の出力を行う
　中継装置。
　前記車両の外部に設けられた通信装置と無線通信する無線中継装置を含み、
　前記通信装置を上流側として、他の中継装置に対し最上流に接続され、自装置に直接接続された他の中継装置から出力された通信の遮断に関する信号を受信して、自装置の通信の遮断を行う通信遮断部を備える
　請求項８に記載の中継装置。
　前記車両に搭載される車載装置を制御するためのＥＣＵと通信可能に接続する通信部を含み、
　前記車両の外部に設けられた通信装置と無線通信する中継装置を上流側として、自装置の下流側に直接接続された下流側の中継装置から出力された通信の遮断に関する信号を受信して、自装置の通信の遮断を行う通信遮断部と、
　自装置の上流側に直接接続された上流側の中継装置の異常判定を行う判定部と、
　前記判定部が、前記上流側の中継装置が異常と判定した場合、前記上流側の中継装置に通信の遮断に関する信号を出力する信号出力部と
　を含む請求項８に記載の中継装置。
　前記車両に搭載される車載装置を制御するためのＥＣＵと通信可能に接続する通信部を含み、前記車両の外部に設けられた通信装置と無線通信する中継装置を上流側として、最下流に接続され、
　自装置の上流側に直接接続された上流側の中継装置の異常判定を行う判定部と、
　前記判定部が、前記上流側の中継装置が異常と判定した場合、前記上流側の中継装置に通信の遮断に関する信号を出力する信号出力部と
　を含む請求項８に記載の中継装置。