WO2020085330A1 - 電子制御装置、電子制御方法及びプログラム - Google Patents

Abstract

移動体における少なくとも１つのバス（１１０）に接続された電子制御装置（１）は、移動体の挙動を制御する制御部（６０）と、少なくとも１つのバス（１１０）に流れる、移動体の挙動に関する制御内容を識別するための識別情報を含む通信データの異常を検知する異常検知部（１０）と、当該検知の結果に応じた少なくとも１つの識別情報を取得する取得部（４０）と、を備える。

Description

電子制御装置、電子制御方法及びプログラム

　本開示は、車両等の移動体の異常時の制御に関する電子制御装置、電子制御方法及びプログラムに関する。

　例えば、ＣＡＮ（Controller Area Network）プロトコルに従って車両内のバスを介してＣＡＮフレームの送受信を行う複数の電子制御ユニット（ＥＣＵ：Electronic Control Unit）を備える車載ネットワークシステムにおいて、遠隔からサイバー攻撃が行われると、車載ネットワークシステムを搭載した車両等の移動体は、攻撃者に乗っ取られて移動体の乗員又はコントロールセンター等による制御が不能となる場合がある。そこで、例えば、車載ネットワークシステムにおける異常を検知し、検知された異常に関連するＣＡＮＩＤを含むＣＡＮフレームを破棄する技術が開示されている（例えば特許文献１）。これにより、攻撃者による不正なＣＡＮフレームが破棄されるため、移動体が攻撃者に乗っ取られてしまうことを抑制できる。

国際公開第２０１８／０７０１５５号

　車両等の移動体に異常が発生したときに、移動体を安全に停止させることが求められている。上記特許文献１に開示された技術では、検知された異常に関連するＣＡＮＩＤを含む全てのＣＡＮフレームが破棄されるため、例えば、先進運転支援システム（ＡＤＡＳ：Advanced Drive Assistance System）による移動体の制御のためのＣＡＮフレームも破棄されてしまい得る。この場合、ＡＤＡＳ制御又は自動緊急停止等を行うことができず、移動体を安全に停止させることができないことがある。

　そこで、本開示は、移動体に異常が発生したときに移動体を安全に停止させることができる電子制御装置等を提供する。

　上記目的を達成するために本発明の一態様に係る電子制御装置は、移動体における少なくとも１つのバスに接続された電子制御装置であって、前記少なくとも１つのバスに流れる、前記移動体に関する制御内容を識別するための識別情報を含む通信データの異常を検知する異常検知部と、前記検知の結果に応じた少なくとも１つの識別情報を取得する取得部と、前記少なくとも１つの識別情報を含む通信データを無効化する無効化部と、前記少なくとも１つの識別情報に基づいて前記移動体を制御する制御部と、を備える。

　また、上記目的を達成するために本発明の一態様に係る電子制御方法は、移動体における少なくとも１つのバスに接続された電子制御装置における電子制御方法であって、前記少なくとも１つのバスに流れる、前記移動体に関する制御内容を識別するための識別情報を含む通信データの異常を検知し、前記検知の結果に応じた少なくとも１つの識別情報を取得し、前記少なくとも１つの識別情報を含む通信データを無効化し、前記少なくとも１つの識別情報に基づいて前記移動体を制御する。

　また、上記目的を達成するために本発明の一態様に係るプログラムは、上記の電子制御方法をコンピュータに実行させるプログラムである。

　本開示によれば、移動体に異常が発生したときに移動体を安全に停止させることができる。

図１は、実施の形態における電子制御装置の一例を示す構成図である。 図２は、ＣＡＮプロトコルで規定されるデータフォーマットを示す図である。 図３は、車両の状態と車両の制御内容との対応関係の一例を示すテーブルである。 図４は、車両の制御内容と識別情報との対応関係の一例を示すテーブルである。 図５は、実施の形態における電子制御装置の動作の一例を示すフローチャートである。 図６は、実施の形態における電子制御装置の動作を説明するための図である。 図７は、実施の形態の変形例１における電子制御装置の一例を示す構成図である。 図８は、実施の形態の変形例２における電子制御装置の一例を示す構成図である。 図９は、実施の形態の変形例３における電子制御装置の一例を示す構成図である。 図１０は、その他の実施の形態における電子制御システムの一例を示す構成図である。 図１１は、その他の実施の形態における電子制御装置の一例を示す構成図である。

　（実施の形態）
　以下、実施の形態における電子制御装置について図面を参照しながら説明する。

　［１　電子制御装置の構成］
　図１は、実施の形態における電子制御装置１の一例を示す構成図である。なお、図１には、電子制御装置１に接続される構成についても示されている。

　電子制御装置１は、例えば、移動体に搭載される装置である。以下では、移動体を自動車等の車両として説明するが、移動体は、自動車に限らず建機、農機、船舶、鉄道、ロボット又は飛行機などであってもよい。

　電子制御装置１は、例えば、ＣＡＮプロトコルに従って通信する車載ネットワークに接続されるＥＣＵの一例である。車載ネットワークは、制御装置、センサ、アクチュエータ、ユーザインタフェース装置等の各種機器が搭載された車両におけるネットワークである。電子制御装置１は、車両における少なくとも１つのバスに接続される。少なくとも１つのバスには、車両に関する制御内容を識別するための識別情報を含む通信データが流れる。本実施の形態では、電子制御装置１は、少なくとも１つのバスとして、少なくとも２つのバスに接続され、具体的には、図１に示すように、２つのバス１１０及び１２０に接続される。本実施の形態では、バス１１０及び１２０、通信データ並びに識別情報は、それぞれＣＡＮプロトコルに従ったＣＡＮバス、ＣＡＮフレーム及びＣＡＮＩＤである。

　少なくとも２つのバス（バス１１０及び１２０）には、電子制御装置１を含む複数のＥＣＵが接続される。例えば、図１には、複数のＥＣＵの一例として、電子制御装置１、ＡＤＡＳＥＣＵ１１１（運転支援装置）、カメラＥＣＵ１１２、センサＥＣＵ１１３、ブレーキＥＣＵ１２１、エンジンＥＣＵ１２２、ステアリングＥＣＵ１２３及びゲートウェイＥＣＵ１５０（ゲートウェイ装置）が示されている。なお、車両におけるバスには、これらのＥＣＵ以外にもいくつものＥＣＵが接続され得るが、ここでは、一例としてこれらのＥＣＵのみを示している。

　電子制御装置１を含む複数のＥＣＵは、それぞれ、例えば、プロセッサ及びメモリ等のデジタル回路、アナログ回路及び通信回路等を含む装置である。メモリは、ＲＯＭ、ＲＡＭ等であり、プロセッサにより実行されるプログラムを記憶することができる。例えばプロセッサが、プログラムに従って動作することにより、電子制御装置１及び各ＥＣＵは各種機能を実現することになる。電子制御装置１及び各ＥＣＵは、ＣＡＮプロトコルに従って車両内のバス１１０及び１２０を介して通信データの送受信を行う。

　ゲートウェイＥＣＵ１５０は、一のバスから他のバスへ通信データを転送するゲートウェイ装置である。ここでは、少なくとも２つのバス（バス１１０及び１２０）には、ゲートウェイＥＣＵ１５０が接続され、ゲートウェイＥＣＵ１５０は、バス１１０からバス１２０へ通信データを転送し、また、バス１２０からバス１１０へ通信データを転送する。なお、電子制御装置１が、ゲートウェイＥＣＵ１５０の機能を有していてもよい。

　例えば、ＡＤＡＳＥＣＵ１１１は、カメラＥＣＵ１１２及びセンサＥＣＵ１１３からバス１１０を介して車両の周囲のセンシング結果を取得する。当該センシング結果は、例えば、カメラ、ＬＩＤＡＲ（Light Detection and Ranging）、レーダー又はソナーなどの車両の周囲環境についてのセンサ情報である。ＡＤＡＳＥＣＵ１１１は、当該センサ情報を用いて、例えば、パーキングアシスト、クルーズコントロール又は衝突被害軽減ブレーキ等のＡＤＡＳ制御を行うための識別情報（ＣＡＮＩＤ）を含む通信データ（ＣＡＮフレーム）を生成し、当該通信データをバス１１０、ゲートウェイＥＣＵ１５０及びバス１２０を介してブレーキＥＣＵ１２１、エンジンＥＣＵ１２２及びステアリングＥＣＵ１２３等へ送信する。これにより、ブレーキＥＣＵ１２１、エンジンＥＣＵ１２２及びステアリングＥＣＵ１２３等が制御されてＡＤＡＳ制御が行われる。

　電子制御装置１は、異常検知部１０、動作判定部２０、走行状態特定部３０、取得部４０、無効化部５０、制御部６０、送受信部７０及び記憶部８０を備える。送受信部７０は、電子制御装置１が有する通信回路等により実現される。送受信部７０は、バス１１０及び１２０に接続され、バス１１０及び１２０から通信データを受信し、また、バス１１０及び１２０へ通信データを送信する。記憶部８０は、ＲＯＭ、ＲＡＭ等のメモリであり、プロセッサにより実行されるプログラムを記憶する。また、記憶部８０は、後述する、車両の状態と車両の制御内容との対応関係を示すテーブル及び車両の制御内容と識別情報との対応関係を示すテーブルを記憶する。なお、電子制御装置１は、１つのメモリを有していてもよく、また、複数のメモリを有していてもよく、ここでは、１つ又は複数のメモリを記憶部８０として示している。例えば、電子制御装置１が有するプロセッサが、記憶部８０に記憶されたプログラムに従って動作することにより、異常検知部１０、動作判定部２０、走行状態特定部３０、取得部４０、無効化部５０及び制御部６０等の機能構成要素が実現される。

　異常検知部１０は、少なくとも１つのバス（ここではバス１１０及び１２０）に流れる、車両の挙動に関する制御内容を識別するための識別情報を含む通信データの異常を検知する。具体的には、異常検知部１０は、送受信部７０を介して受信された、バス１１０及び１２０に流れる、ＣＡＮＩＤを含むＣＡＮフレームの異常を検知する。異常検知部１０は、例えば、ＣＡＮフレームに含まれるＣＡＮＩＤ、ＤＬＣ及びデータフィールド内の制御パラメータや、ＣＡＮフレーム自体の受信周期や受信頻度などを確認し、当該ＣＡＮフレームが正常動作時と比べて、正常か否かを判断する。なお、通信データの異常を検知する方法については、一般的に開示されている任意の方法でよく、ここではその説明は省略する。異常検知部１０が検知した異常についてのログ（異常ログと呼ぶ）は、例えば記憶部８０に記憶される。

　動作判定部２０は、異常ログに基づいて、車両が異常となっているか否かを判定する。動作判定部２０は、車両が異常で安全走行が困難となっている場合には、電子制御装置１を縮退動作モードへ移行させる。縮退動作モードは、車両の縮退制御を行うモードである。縮退制御とは、車両を安全に停止させるための制御のことであり、車両を車道の端（路肩）に寄せるようにステアリングを制御したり、車両を減速させるためにエンジン又はブレーキを制御したりすることである。動作判定部２０は、異常ログがある一定以上たまった場合に、車両が異常で安全走行が困難となっていると判定する。１つの異常ログだけからでは、具体的にどのような異常が発生しているか、また、本当に異常が発生しているか等を判定するのが難しいためである。なお、動作判定部２０は、致命的な異常が発生した場合に、車両が異常で安全走行が困難となっていると判定してもよい。

　走行状態特定部３０は、車両の状態（走行状態）を特定する。例えば、走行状態特定部３０は、送受信部７０を介して受信された、カメラＥＣＵ１１２及びセンサＥＣＵ１１３等のセンシング結果を用いて車両の状態を特定する。走行状態特定部３０は、車両の状態として、具体的には、車両の車速、どの車線を走行しているか、又は、前方、後方若しくは左右に他の車両が存在するか等を特定する。走行状態特定部３０は、例えば、カメラＥＣＵ１１２及びセンサＥＣＵ１１３等のセンシング結果のうち、異常検知部１０によって異常が検知されなかった通信データによって、車両の状態を特定する。異常が検知された通信データが用いられた場合、当該通信データが不正に書き換えられていることで、車両の状態を正しく特定できないおそれがあるためである。

　取得部４０は、異常検知部１０の異常の検知の結果に応じた少なくとも１つの識別情報を取得する。識別情報は、上述したように、車両に関する制御内容を識別するための情報であり、具体的にはＣＡＮＩＤである。異常検知部１０の異常の検知の結果に応じた少なくとも１つの識別情報は、例えば、異常が検知された通信データに含まれる識別情報（具体的には攻撃者からバス１１０等へ注入された異常フレームに含まれるＣＡＮＩＤ等）、異常が検知された通信データが流れるバスに接続されたＥＣＵが送受信する通信データに含まれる識別情報（具体的には異常が検知されたＣＡＮフレームが流れるバス１１０に接続されたＡＤＡＳＥＣＵ１１１が送受信するＡＤＡＳフレームに含まれるＣＡＮＩＤ等）、又は、検知された異常に対応するための通信データ（縮退制御を行うための通信データ）に含められる識別情報（具体的にはブレーキＥＣＵ１２１、エンジンＥＣＵ１２２又はステアリングＥＣＵ１２３等に縮退制御を行わせるためのフレームに含められるＣＡＮＩＤ等）等を含む。取得部４０は、少なくとも１つの識別情報として、複数の識別情報を取得してもよい。取得部４０は、例えば、異常検知部１０の異常の検知の結果と、車両の状態と車両の制御内容との対応関係を示すテーブル及び車両の制御内容と識別情報との対応関係を示すテーブルに基づいて決定された少なくとも１つの識別情報を取得する。これらのテーブルについては後述する。

　無効化部５０は、異常が検知された少なくとも１つの識別情報を含む通信データを無効化する。具体的には、無効化部５０は、少なくとも１つのバス（ここではバス１１０及び１２０）に流れる当該通信データを無効化する。詳細は後述する図５及び図６で説明するが、無効化部５０は、例えばエラーフレームを発行し、当該エラーフレームを異常が検知された通信データが流れるバスへ、送受信部７０を介して送信することで、当該バスに流れている少なくとも１つの識別情報を含む通信データを無効化する。

　制御部６０は、車両の挙動を制御する。例えば、制御部６０は、取得部４０が取得する少なくとも１つの識別情報によって識別される制御内容に関して、車両の挙動を制御する。具体的には、制御部６０は、異常検知部１０に検知された異常に対応するための通信データに含められる識別情報に基づいて車両を制御する。制御部６０の動作については、後述する図５及び図６で説明する。

　［２　データフレームフォーマット］
　以下、ＣＡＮプロトコルに従ったネットワークで用いられる通信データ（ＣＡＮフレーム）の１つであるデータフレームについて説明する。

　図２は、ＣＡＮプロトコルで規定されるデータフレームのフォーマットを示す図である。同図には、ＣＡＮプロトコルで規定される標準ＩＤフォーマットにおけるデータフレームを示している。データフレームは、ＳＯＦ（Start Of Frame）、ＩＤフィールド、ＲＴＲ（Remote Transmission Request）、ＩＤＥ（Identifier Extension）、予約ビット「ｒ」、ＤＬＣ（Data Length Code）、データフィールド、ＣＲＣ（Cyclic Redundancy Check）シーケンス、ＣＲＣデリミタ「ＤＥＬ」、ＡＣＫ（Acknowledgement）スロット、ＡＣＫデリミタ「ＤＥＬ」、及び、ＥＯＦ（End Of Frame）の各フィールドで構成される。ここでは、ＳＯＦ、ＲＴＲ、ＩＤＥ、予約ビット「ｒ」、ＤＬＣ、ＣＲＣシーケンス、ＣＲＣデリミタ「ＤＥＬ」、ＡＣＫスロット、ＡＣＫデリミタ「ＤＥＬ」、及び、ＥＯＦについての説明は省略する。

　ＩＤフィールドは、１１ｂｉｔで構成される、データの種類を示す値であるＣＡＮＩＤを格納するフィールドである。複数のノードが同時に送信を開始した場合、このＩＤフィールドで通信調停を行うために、ＩＤが小さい値を持つフレームが高い優先度となるよう設計されている。

　データフィールドは、最大６４ｂｉｔで構成され、データを格納するフィールドである。

　ＣＡＮフレームを送信する各ＥＣＵは、車載ネットワークの仕様として予め定められた種類のデータをデータフィールドに格納し、その種類のデータに対応して予め定められたＣＡＮＩＤをＩＤフィールドに格納することでデータフレームを構築して送信することになる。車両メーカ等により、車載ネットワークの仕様として、ＣＡＮフレームに用いられるＣＡＮＩＤと、対応するデータの構成等とが予め定められている。

　［３　車両の状態と車両の制御内容との対応関係を示すテーブル］
　以下、取得部４０が取得する少なくとも１つの識別情報を決定する際に用いられる、車両の状態と車両の制御内容との対応関係を示すテーブルについて、図３を用いて説明する。

　図３は、車両の状態と車両の制御内容との対応関係の一例を示すテーブルである。具体的には、図３は、車両の走行状態と車両の縮退制御の内容との対応関係を示すテーブルである。例えば、当該テーブルは、記憶部８０に予め記憶されている。

　例えば、動作判定部２０により車両に異常が発生したと判定されたときに、走行状態特定部３０により特定された車両の走行状態と当該テーブルとによって、縮退制御の内容が決定される。以下では、縮退制御として、車両を路肩へ停止させるための制御について説明する。

　例えば、車両に異常が発生したときの車両の走行状態が、車両が走行車線を走行中の状態、かつ、車両の後方に車両が存在しない状態の場合には、路肩寄せ及び急減速を行うという縮退制御の内容が決定される。車両が走行車線を走行中であるため、車両を当該走行車線の路肩に寄せることができ、また、後方に車両が存在していないことから急減速することができるためである。

　例えば、車両に異常が発生したときの車両の走行状態が、車両が走行車線を走行中の状態、かつ、車両の後方に車両が存在する状態の場合には、路肩寄せ及びゆっくり減速を行うという縮退制御の内容が決定される。車両が走行車線を走行中であるため、車両を当該走行車線の路肩に寄せることができ、また、後方に車両が存在していることから、後方の車両の追突防止のため急減速できずゆっくり減速する必要があるためである。

　また、例えば、車両に異常が発生したときの車両の走行状態が、車両が追越車線を走行中の状態、かつ、走行車線に車両が存在しない状態の場合には、走行車線へ車線変更をするという縮退制御の内容が決定される。車両に異常が発生したときに車両が追越車線を走行しており、車両を路肩に寄せるためには、まず走行車線へ車線変更をする必要があり、走行車線に車両が存在していないことから、走行車線に車線変更をすることができるためである。

　また、例えば、車両に異常が発生したときの車両の走行状態が、車両が追越車線を走行中の状態、かつ、走行車線に車両が存在する状態の場合には、ゆっくり減速するという縮退制御の内容が決定される。車両に異常が発生したときに車両が追越車線を走行しており、車両を路肩に寄せるためには、まず走行車線へ車線変更をする必要があるが、走行車線に車両が存在していることから、走行車線に車線変更をすることができず、ゆっくり減速しながら走行車線への車線変更が可能なタイミングまで待つためである。

　なお、縮退制御中であること又は縮退制御を行おうとしていることを外部に知らせるために、ハザード又はストップランプ等の点灯をこれらの制御に合わせて行ってもよい。

　このように、車両の走行状態を当該テーブルに照合することで、縮退制御を決定できる。

　［４　車両の制御内容と識別情報との対応関係を示すテーブル］
　以下、取得部４０が取得する識別情報を決定する際に用いられる、車両の制御内容と識別情報との対応関係を示すテーブルについて、図４を用いて説明する。

　図４は、車両の制御内容と識別情報との対応関係の一例を示すテーブルである。具体的には、図４には、縮退制御の内容と識別情報としてＣＡＮＩＤとの対応関係だけでなく、各縮退制御を行うＥＣＵ及び各縮退制御の詳細な内容として、各縮退制御が行われる周期及び制御変化量が示されている。例えば、これらの縮退制御のうちの「ゆっくり減速」について着目して説明する。「ゆっくり減速」という縮退制御の場合には、エンジンブレーキによる減速を行うため、エンジン制御を行うＣＡＮフレームであるＣＡＮＩＤ「０ｘ１２３」が対応付けられており、ＣＡＮＩＤ「０ｘ１２３」によって、エンジンＥＣＵ１２２に対して「２０　ｍｓ」の周期で現在の車速に対して「ｍ　ｋｍ／ｓ」の変化量で車速が減少するように制御させる制御内容を識別することができる。つまり、ＣＡＮＩＤ「０ｘ１２３」を含むＣＡＮフレームをバス１２０に送信することで、エンジンＥＣＵ１２２は、当該ＣＡＮフレームを取得し、ＣＡＮＩＤ「０ｘ１２３」によって識別される上記制御内容を行うことができる。

　このように、縮退制御を当該テーブルに照合することで、識別情報を決定できる。したがって、特定された車両の状態と、車両の状態と車両の制御内容との対応関係を示すテーブルと、車両の制御内容と識別情報との対応関係を示すテーブルとに応じて、少なくとも１つの識別情報を決定することができ、取得部４０は決定された少なくとも１つの識別情報を取得することができる。なお、当該決定は電子制御装置１が備える機能構成要素のいずれが行ってもよい。例えば、取得部４０は、走行状態特定部３０が特定した車両の走行状態と、記憶部８０に記憶された上記各テーブルとに応じて識別情報を決定し、決定した識別情報を取得してもよい。

　なお、取得部４０は、車両の走行状態と上記各テーブルとに応じて決定される識別情報の他に、異常が検知された通信データに含まれる識別情報（具体的には攻撃者からバス１１０等へ注入された異常フレームに含まれるＣＡＮＩＤ等）、又は、異常が検知された通信データが流れるバスに接続されたＥＣＵが送受信する通信データに含まれる識別情報（具体的には異常が検知されたＣＡＮフレームが流れるバス１１０に接続されたＡＤＡＳＥＣＵ１１１が送受信するＡＤＡＳフレームに含まれるＣＡＮＩＤ等）を取得する。

　［５　電子制御装置の動作］
　次に、電子制御装置１の動作について、図５及び図６を用いて説明する。

　図５は、実施の形態における電子制御装置１の動作の一例を示すフローチャートである。

　まず、送受信部７０は、ＣＡＮフレーム（通信データ）をバス１１０及び１２０から受信する（ステップＳ１０１）。例えば、様々なＣＡＮＩＤのＣＡＮフレームが、バス１１０及び１２０上を数ミリ秒等の周期で次々と流れており、ステップＳ１０１での処理が数ミリ秒等の間隔で繰り返し行われることで、当該様々なＣＡＮＩＤのＣＡＮフレームのそれぞれが受信される。

　次に、電子制御装置１は、電子制御装置１が縮退動作モードとなっているか否かを判定する（ステップＳ１０２）。なお、当該判定は、電子制御装置１が備える機能構成要素のいずれに行われてもよく、ここでは、電子制御装置１が当該判定を行うとしている。なお、以降についても、電子制御装置１が備える機能構成要素のいずれが行ってもよい判定については、電子制御装置１が行うとしている。後述するステップＳ１３において車両に異常があると判定されている場合には、電子制御装置１は縮退動作モードとなる。

　電子制御装置１が縮退動作モードとなっていない場合（ステップＳ１０２でＮＯ）、つまり、車両に異常がないと判定されている場合、動作判定部２０は、異常検知部１０が検知し蓄積した異常ログに基づいて、車両に異常があるか否かを判定する（ステップＳ１０３）。例えば、上述したように、動作判定部２０は、記憶部８０に異常ログがある一定以上たまっているか否かに応じて車両に異常があるか否かを判定する。

　車両に異常がない場合（ステップＳ１０３でＮＯ）、次のＣＡＮフレームの受信待ちをして、再度ステップＳ１０１からの処理が行われる。

　車両に異常がある場合（ステップＳ１０３でＹＥＳ）、取得部４０は、異常の検知の結果に応じた制御対象ＩＤを取得する（ステップＳ１０３）。なお、ＣＡＮＩＤは、車両に関する制御内容を識別するための識別情報であり、制御内容を識別することで制御対象（つまり制御されるＥＣＵ）も識別できることから、制御対象ＩＤとも呼んでいる。当該制御対象ＩＤは、上述したように、異常が検知されたＣＡＮフレームに含まれるＣＡＮＩＤ、異常が検知されたＣＡＮフレームが流れるバスに接続されたＥＣＵが送受信するＣＡＮフレームに含まれるＣＡＮＩＤ、又は、検知された異常に対応するためのＣＡＮフレームに含められるＣＡＮＩＤ等である。

　車両に異常があることから、電子制御装置１は当該異常に対応するための縮退制御を行うモードである縮退動作モードへ移行する（ステップＳ１０５）。そして、次のＣＡＮフレームの受信待ちをして、再度ステップＳ１０１からの処理が行われる。これにより、以降、ステップＳ１０２での処理は、ＹＥＳへと進むことになる。

　送受信部７０が次のＣＡＮフレームを受信し（ステップＳ１０１）、電子制御装置１が縮退動作モードとなっている場合（ステップＳ１０２でＹＥＳ）、電子制御装置１は、ステップＳ１０１で受信したＣＡＮフレームに、取得部４０に取得された制御対象ＩＤが含まれているか否か判定する（ステップＳ１０６）。

　ステップＳ１０１で受信したＣＡＮフレームに、当該制御対象ＩＤが含まれていない場合（ステップＳ１０６でＮＯ）、次のＣＡＮフレームの受信待ちをして、再度ステップＳ１０１からの処理が行われ、再度ステップＳ１０６での判定が行われる。

　ステップＳ１０１で受信したＣＡＮフレームに、当該制御対象ＩＤが含まれている場合（ステップＳ１０６でＹＥＳ）、無効化部５０は、バスに流れている、当該制御対象ＩＤを含む当該ＣＡＮフレームを無効化する（ステップＳ１０７）。ステップＳ１０７での処理について図６を用いて説明する。

　図６は、実施の形態における電子制御装置１の動作を説明するための図である。図６では、信号（情報）の流れを実線又は破線の矢印Ａ～Ｄで示している。また、図６には、電子制御装置１が接続された車載ネットワークへの攻撃を行う攻撃者３００を模式的に示している。

　図６では、攻撃者３００がバス１１０に矢印Ｂで示すＣＡＮフレーム（異常フレーム）を注入しており、バス１１０においてＣＡＮフレームの異常が検知されている。このため、制御対象ＩＤは、異常の検知の結果に応じた少なくとも１つの識別情報として、例えば、異常が検知された矢印Ｂで示すＣＡＮフレームに含まれるＣＡＮＩＤを含む。また、バス１１０においてＣＡＮフレームの異常が検知されたため、当該制御対象ＩＤは、異常の検知の結果に応じた少なくとも１つの識別情報として、異常が検知されたＣＡＮフレームが流れるバス１１０に接続されたＥＣＵ（例えばＡＤＡＳＥＣＵ１１１）が送受信する矢印Ｃで示すＣＡＮフレームに含まれるＣＡＮＩＤを含む。このように、制御対象ＩＤは、複数存在していてもよい。無効化部５０は、バス１１０に流れているこれらの制御対象ＩＤを含むＣＡＮフレームを無効化するために、バス１１０へ矢印Ａで示す当該ＣＡＮフレームを無効化するための無効化情報（ここでは例えばエラーフレーム）を、送受信部７０を介して送信する。これにより、バス１１０においてこれらの制御対象ＩＤを含むＣＡＮフレームを無効化できる。

　図５に示すように、電子制御装置１は、無効化されたＣＡＮフレームが正しい送信周期で送信されたものであったか否かを判定する（ステップＳ１０８）。バスに流れるＣＡＮフレームは、通常は一定の周期で送信されるが、攻撃者３００から当該一定の周期と異なるタイミングでＣＡＮフレームが注入される場合がある。後述するステップＳ１０９での処理において、無効化されたＣＡＮフレームが送信されたタイミングにおいて車両が制御されるが、無効化されたＣＡＮフレームが正しい送信周期で送信されたものでなかった場合、当該一定の周期とずれて車両の制御が行われることになり、正しく車両を制御できないおそれがある。そこで、ステップＳ１０８において、無効化されたＣＡＮフレームが正しい送信周期で送信されたものであったか否かが判定される。

　無効化されたＣＡＮフレームが正しい送信周期で送信されたものでなかった場合（ステップＳ１０８でＮＯ）、次のＣＡＮフレームの受信待ちをして、再度ステップＳ１０１からの処理が行われ、再度ステップＳ１０６での判定が行われる。

　無効化されたＣＡＮフレームが正しい送信周期で送信されたものであった場合（ステップＳ１０８でＹＥＳ）、制御部６０は、制御対象ＩＤに基づいて車両を制御する（ステップＳ１０９）。ここでの制御対象ＩＤは、異常の検知の結果に応じた少なくとも１つの識別情報として、例えば、検知された異常に対応するためのＣＡＮフレームに含められるＣＡＮＩＤである。例えば、制御部６０は、縮退制御を行うためのＣＡＮＩＤとして、図４に示すＣＡＮＩＤ「０ｘ２３４」を含むＣＡＮフレームを生成し、図６における矢印Ｄに示すように、送受信部７０を介してバス１２０へ当該ＣＡＮフレームを送信する。これにより、ブレーキＥＣＵ１２１は、当該ＣＡＮフレームを取得し、当該ＣＡＮフレームに基づいて車両が急減速するようにブレーキを制御する。また、例えば、制御部６０は、縮退制御を行うためのＣＡＮＩＤとして、図４に示すＣＡＮＩＤ「０ｘ３４５」を含むＣＡＮフレームを生成し、送受信部７０を介してバス１２０へ当該ＣＡＮフレームを送信する。これにより、ステアリングＥＣＵ１２３は、当該ＣＡＮフレームを取得し、当該ＣＡＮフレームに基づいて車両が路肩寄せ又は車線変更をするようにステアリングを制御する。

　このように、ＡＤＡＳＥＣＵ１１１からのＣＡＮフレームが無効化されたとしても、本来ＡＤＡＳＥＣＵ１１１によって行われるような制御を電子制御装置１によって行うことができ、車両に異常が発生したときに車両を安全に停止させることができる。

　次に、電子制御装置１は、車両が停止したか、又は、異常が解消したか否かを判定する（ステップＳ１１０）。車両が停止していないか、又は、異常が解消していない場合（ステップＳ１１０でＮＯ）、図４に示すように、縮退制御を行うためのＣＡＮフレームは、特定の周期ごとの各ＥＣＵへの制御変化量を含むため、ステップＳ１０１からステップＳ１０９までの処理が当該特定の周期ごとに行われる。これにより、徐々に車両の車速が落ちていき最終的に車両が停止し（ステップＳ１１０でＹＥＳ）、処理が終了する。また、車両の減速中に異常が解消した場合には（ステップＳ１１０でＹＥＳ）、車両に異常がなくなり停止する必要がないため処理が終了する。

　［６　変形例１］
　なお、制御対象ＩＤを含むＣＡＮフレームを無効化するための無効化情報としてエラーフレームがバスに送信されることで、バス上で制御対象ＩＤを含むＣＡＮフレームが無効化されたが、ゲートウェイＥＣＵ１５０において無効化されてもよい。これについて変形例１として、図７を用いて説明する。

　図７は、実施の形態の変形例１における電子制御装置１の一例を示す構成図である。変形例１では、電子制御装置１に専用線１３０が接続されており、無効化部５０からの無効化情報の送信先がゲートウェイＥＣＵ１５０である。これらの点以外は、上記実施の形態におけるものと同じであるため、説明は省略する。

　電子制御装置１は、ゲートウェイＥＣＵ１５０と少なくとも２つのバス（ここではバス１１０及び１２０）とは異なる専用線１３０で接続され、無効化部５０は、無効化情報を、ゲートウェイＥＣＵ１５０に対して専用線１３０を介して送信する。例えば、専用線１３０は、外部と接続されないような通信線であり、外部からの攻撃に強い通信線である。例えば、専用線１３０は、イーサネット（登録商標）において用いられる通信線である。図７に示すように、ゲートウェイＥＣＵ１５０において、矢印Ｂ及びＣに示すようなＣＡＮフレームを遮断することができ、例えば、バス１１０からバス１２０へ当該ＣＡＮフレームが転送されることを抑制できる。

　［７　変形例２］
　また、図３に示す車両の状態と車両の制御内容との対応関係を示すテーブル、及び、図４に示す車両の制御内容と識別情報との対応関係を示すテーブルは、電子制御装置１が備える記憶部８０に記憶されていたが、ＡＤＡＳＥＣＵ１１１が備える記憶部（メモリ等）に記憶されていてもよい。これについて変形例２として、図８を用いて説明する。

　図８は、実施の形態の変形例２における電子制御装置１の一例を示す構成図である。

　変形例２では、電子制御装置１は、少なくとも１つのバス（ここではバス１１０及び１２０）とは異なる専用線１４０でＡＤＡＳＥＣＵ１１１と接続され、取得部４０は、ＡＤＡＳＥＣＵ１１１が決定した少なくとも１つの識別情報を取得する。これらの点以外は、上記実施の形態におけるものと同じであるため、説明は省略する。

　異常検知部１０は、専用線１４０を介してＡＤＡＳＥＣＵ１１１へ検知の結果を通知する。例えば、専用線１４０は、イーサネット（登録商標）において用いられる通信線である。

　ＡＤＡＳＥＣＵ１１１は、異常検知部１０から送受信部７０及び専用線１４０を介して異常の検知の結果を取得する。ＡＤＡＳＥＣＵ１１１は、例えば、カメラＥＣＵ１１２及びセンサＥＣＵ１１３等のセンシング結果のうち、異常検知部１０によって異常が検知されなかった通信データによって、車両の状態を特定する。ＡＤＡＳＥＣＵ１１１は、車両の状態として、具体的には、車両の車速、どの車線を走行しているか、又は、前方、後方若しくは左右に他の車両が存在するか等を特定する。また、ＡＤＡＳＥＣＵ１１１は、動作判定部２０から、車両が異常となっているか否かの判定の結果を、送受信部７０及び専用線１４０を介して取得する。

　ＡＤＡＳＥＣＵ１１１は、動作判定部２０により車両に異常が発生したと判定されたときに、ＡＤＡＳＥＣＵ１１１が特定した車両の走行状態と、ＡＤＡＳＥＣＵ１１１に記憶された車両の状態と車両の制御内容との対応関係を示すテーブルとによって、縮退制御の内容を決定する。

　また、ＡＤＡＳＥＣＵ１１１は、決定した縮退制御の内容を、ＡＤＡＳＥＣＵ１１１に記憶された車両の制御内容と識別情報との対応関係を示すテーブルに照合することで、少なくとも１つの識別情報を決定する。ＡＤＡＳＥＣＵ１１１は、決定した少なくとも１つの識別情報を電子制御装置１へ送信する。

　そして、取得部４０は、ＡＤＡＳＥＣＵ１１１が異常検知部１０から通知された検知の結果に応じて決定した少なくとも１つの識別情報を、ＡＤＡＳＥＣＵ１１１から取得する。

　このように、ＡＤＡＳＥＣＵ１１１に異常検知部１０の検知の結果を通知し、ＡＤＡＳＥＣＵに少なくとも１つの識別情報を決定させて、取得部４０は、ＡＤＡＳＥＣＵ１１１が決定した少なくとも１つの識別情報を取得してもよい。

　［８　変形例３］
　また、電子制御装置１は、外部入力部１６０に接続されていてもよい。これについて変形例３として、図９を用いて説明する。

　図９は、実施の形態の変形例３における電子制御装置１の一例を示す構成図である。

　変形例３では、電子制御装置１は、外部入力部１６０に少なくとも１つのバス（ここではバス１１０及び１２０）とは異なる通信線で接続され、制御部６０は、さらに、外部入力部１６０への操作に応じて車両を制御する。例えば、外部入力部１６０は、車両に異常が発生したときに車両の乗員に操作される緊急停止装置等である。異常検知部１０が検知できないような異常又は未知の攻撃に対して、車両の乗員自身が状況を判断して外部入力部１６０を操作することで、車両を制御（例えば緊急停止等）することができる。

　［９　まとめ］
　以上説明したように、本実施の形態に係る電子制御装置１は、移動体（車両）における少なくとも１つのバス１１０に接続されたシステムである。電子制御装置１は、移動体の挙動を制御する制御部６０と、少なくとも１つのバス１１０に流れる、移動体の挙動に関する制御内容を識別するための識別情報を含む通信データの異常を検知する異常検知部１０と、当該検知の結果に応じた少なくとも１つの識別情報を取得する取得部４０と、を備える。また、制御部６０は、取得部４０が取得する少なくとも１つの識別情報によって識別される制御内容に関して、移動体の挙動を制御してもよい。また、電子制御装置１は、異常が検知された少なくとも１つの識別情報を含む通信データを無効化する無効化部５０をさらに備えていてもよい。

　例えば、移動体におけるバス１１０において発生した異常を具体的に特定することは難しい。そこで、例えば、異常の検知の結果に応じた少なくとも１つの識別情報として、異常に関連し得る全ての識別情報が取得され、取得された識別情報を含む通信データが全て無効化される。このように、不正な通信データのみをピンポイントで無効化することは難しいため、正常な通信データも含めて無効化される。このとき、例えば、ＡＤＡＳ制御又は自動緊急停止等に関する識別情報を含む通信データも無効化されＡＤＡＳＥＣＵ１１１による移動体の制御が不能となる場合がある。これに対して、本開示によれば、無効化された識別情報に基づいて、ＡＤＡＳＥＣＵ１１１の代わりに電子制御装置１が移動体を制御する。つまり、ＡＤＡＳ制御等に関する識別情報を含む通信データが無効化されたとしても、その無効化された識別情報による制御を別途電子制御装置１によって行うことができる。したがって、移動体の異常に対応するためにＡＤＡＳ制御又は自動緊急停止等の移動体を安全に停止させる制御に関連する識別情報が無効化されたとしても、別途移動体を安全に停止させるための制御を行うことができる。このように、移動体に異常が発生したときに移動体を安全に停止させることができる。

　具体的には、少なくとも１つの識別情報は、異常が検知された通信データに含まれる識別情報、異常が検知された通信データが流れるバス１１０に接続された装置（ＥＣＵ）が送受信する通信データに含まれる識別情報、又は、検知された異常に対応するための通信データに含められる識別情報を含み、制御部６０は、検知された異常に対応するための通信データに含められる識別情報に基づいて移動体を制御してもよい。

　また、電子制御装置１は、少なくとも２つのバス１１０及び１２０に接続され、少なくとも２つのバス１１０及び１２０には、一のバスから他のバスへ通信データを転送するゲートウェイ装置（ゲートウェイＥＣＵ１５０）が接続され、無効化部５０は、少なくとも１つの識別情報を含む通信データを無効化するための無効化情報をゲートウェイＥＣＵ１５０に対して送信してもよい。

　例えば、バス１１０又は１２０へＤｏＳ（Denial of Attack）攻撃等がされた場合に、バス１１０又は１２０へエラーフレームを送信することで通信データの無効化を行うと、バス１１０又は１２０への負荷が大きくなる。これに対して、ゲートウェイＥＣＵ１５０に無効化情報が送信されることで、ゲートウェイＥＣＵ１５０は、無効化情報に基づいて無効化の対象となる通信データをゲートウェイＥＣＵ１５０において遮断することができる。したがって、バス１１０又は１２０への負荷を抑制しつつ通信データの無効化（一のバスから他のバスへの通信データの転送の遮断）が可能となる。

　また、電子制御装置１は、ゲートウェイＥＣＵ１５０と少なくとも２つのバス１１０及び１２０とは異なる専用線１３０で接続され、無効化部５０は、無効化情報を、ゲートウェイＥＣＵ１５０に対して専用線１３０を介して送信してもよい。

　これによれば、例えば、無効化情報の送信にＣＡＮ通信に用いられるバス１１０が用いられた場合に、バス１１０に不正なノードが接続されて不正な情報がバス１１０に送信されたときには、無効化情報が不正に書き換えられるおそれがある。そこで、無効化情報の送信は、例えば外部からの攻撃に強い専用線１３０を介した通信が用いられることで、無効化情報が不正に書き換えられることを抑制できる。

　また、無効化部５０は、無効化情報を、ゲートウェイＥＣＵ１５０に対して、少なくとも２つのバス１１０及び１２０のうち異常が検知されなかった通信データが流れているバス１２０を介して送信してもよい。

　これによれば、無効化情報の送信は、異常が検知された通信データが流れているバス１１０ではなく、異常が検知されなかった通信データが流れているバス１２０を介した通信が用いられることで、安全に無効化情報をゲートウェイＥＣＵ１５０へ送信できる。

　また、少なくとも１つのバス１１０には、移動体の運転を支援するための運転支援装置（ＡＤＡＳＥＣＵ１１１）が接続され、電子制御装置１は、少なくとも１つのバス１１０とは異なる専用線１４０でＡＤＡＳＥＣＵ１１１と接続され、異常検知部１０は、専用線１４０を介してＡＤＡＳＥＣＵ１１１へ検知の結果を通知し、取得部４０は、ＡＤＡＳＥＣＵ１１１が、通知された当該検知の結果に応じて決定した少なくとも１つの識別情報をＡＤＡＳＥＣＵ１１１から取得してもよい。

　ＡＤＡＳＥＣＵ１１１は、多くのセンサが接続され、また、これらのセンサからのセンサ情報についての高い演算処理能力を有するため、このようなＡＤＡＳＥＣＵ１１１に検知の結果に応じた少なくとも１つの識別情報を決定させることで、移動体のより安全な制御が可能となる。

　また、電子制御装置１は、移動体に異常が発生したときに移動体の乗員に操作される外部入力部１６０に、少なくとも１つのバス１１０とは異なる通信線で接続され、制御部６０は、さらに、外部入力部１６０への操作に応じて移動体を制御してもよい。

　これによれば、例えば、乗員による判断が必要な緊急停止等の移動体への強制的な制御を行うことができる。

　また、少なくとも１つの識別情報は、異常が検知されなかった通信データによって特定される移動体の状態に対応した制御内容を識別するための情報であってもよい。

　例えば、異常が検知された通信データによって、移動体の制御内容が決定されると、移動体を安全に停止させることができないおそれがある。これに対して、正常な通信データを用いて安全に停止するための制御内容を決定することができるため、移動体を安全に停止させることができる。

　（その他の実施の形態）
　以上のように、本開示に係る技術の例示として実施の形態を説明した。しかしながら、本開示に係る技術は、これに限定されず、適宜、変更、置き換え、付加、省略等を行った実施の形態にも適用可能である。例えば、以下のような変形例も本開示の一実施の形態に含まれる。

　例えば、本開示は、車両等の移動体に搭載される１つの装置（例えばＥＣＵ）である電子制御装置１によって実現されたが、これに限らない。例えば、本開示は、移動体に搭載される電子制御装置と、移動体の外部に設けられ、当該電子制御装置と通信可能なサーバ等（管理センタ等）からなる電子制御システムによって実現されてもよい。これについて、図１０を用いて説明する。

　図１０は、その他の実施の形態における電子制御システム１ａの一例を示す構成図である。

　電子制御システム１ａは、移動体に搭載される電子制御装置１００と、移動体の外部に設けられるサーバ１０１とを備える。実施の形態における電子制御装置１が備える構成要素は、電子制御装置１００とサーバ１０１とに分散配置されている。具体的には、異常検知部１０及び動作判定部２０はサーバ１０１に備えられ、その他の構成要素は電子制御装置１００に備えられる。また、電子制御システム１ａは、通信部９０を備える。その他の点は、実施の形態における電子制御システム１におけるものと同じであるため説明は省略する。

　通信部９０は、外部ネットワーク（例えば、インターネット）に接続され、サーバ１０１との間で通信データを送受信する。これにより、電子制御システム１ａは、サーバ１０１を用いた機能を実現することができる。例えば、当該機能により、より詳細に異常の検知を行ったり、より正確に移動体に異常が発生しているかの判定を行ったりすることが可能となる。なお、電子制御装置１００とサーバ１０１との通信には、無線通信、或いは、有線通信のいかなる通信プロトコルを適用してもよい。

　このように、実施の形態における電子制御装置１の構成要素が、電子制御システム１ａにおいて複数の装置（ここでは、電子制御装置１００及びサーバ１０１）に分散して配置されてもよい。

　さらに、例えば、本開示は、セントラルＥＣＵやドメインコントローラなどの機能集約型の電子制御装置により実現されてもよい。これについて、図１１を用いて説明する。

　図１１は、その他の実施の形態における電子制御装置１ｂの一例を示す構成図である。電子制御装置１ｂは、バス１１０及び１２０を介して、ＺｏｎｅＥＣＵ１２４及び１２５と接続されている。また、ＺｏｎｅＥＣＵ１２４は、カメラ１１２０及びセンサ１１３０と接続されている。また、ＺｏｎｅＥＣＵ１２５は、ブレーキ１２１０、エンジン１２２０及びステアリング１２３０と接続されている。

　電子制御装置１ｂの制御部６０には、これらのＥＣＵに接続された各種センサや各種アクチュエータに関する各種制御機構が集約される。すなわち、電子制御装置１ｂは、ＺｏｎｅＥＣＵ１２４及び１２５と通信を行いながら協働して、個別のアクチュエータＥＣＵやセンサＥＣＵを統合したセントラルＥＣＵとして動作する。より具体的には、制御部６０は、ＺｏｎｅＥＣＵ１２４及び１２５と通信を行いながら協働して、カメラ１１２０、センサ１１３０、ブレーキ１２１０、エンジン１２２０及びステアリング１２３０などの挙動を制御する。そして、異常検知部１０は、バス１１０及び１２０に流れるカメラ１１２０、センサ１１３０、ブレーキ１２１０、エンジン１２２０及びステアリング１２３０などに関する制御内容を表す通信データにおける異常を検知することができる。この通信データには、例えば異常が検知されたＣＡＮデータや、異常が検知されたＣＡＮデータが流れるバスに接続された装置が送受信するＣＡＮデータや、検知された異常に対応するためのＣＡＮデータなどが含まれ、ＣＡＮＩＤによって制御内容が識別され得る。そして、取得部４０は、例えばこのＣＡＮＩＤを取得することができる。

　また、制御部６０は、実施の形態において説明したとおり、動作判定部２０による動作の判定結果や走行状態特定部３０における走行状態の特定内容などに基づいて、ＡＤＡＳ制御と同様の制御を行うことができる。例えば、制御部６０は、異常検知部１０による異常検知の結果や、動作判定部２０による動作の判定結果や走行状態特定部３０における走行状態の特定内容などを総合的に考慮して、移動体の挙動を制御することができる。また、例えば、異常が検知されたＣＡＮＩＤによって識別される制御内容に関して、車両の挙動を制御してもよい。なお、この制御部６０は、実施の形態において説明したＡＤＡＳＥＣＵ１１１によるＡＤＡＳ制御を行うことができる。

　また、電子制御装置１ｂは、ＧＷ/送受信部７０ａを備えている。ＧＷ/送受信部７０ａは、実施の形態における送受信部７０の機能に加え、ゲートウェイＥＣＵ１５０と同様の機能を備えている。ゲートウェイＥＣＵとしての機能については、ゲートウェイＥＣＵ１５０と同様であり、詳細な説明は省略する。

　その他の点は、実施の形態における電子制御装置１におけるものと同じであるため説明は省略する。

　また、上記実施の形態において、ＣＡＮ通信の代わりに、ＣＡＮの拡張フォーマット、ＣＡＮＦＤ（CAN with Flexible Data rate）、ＴＴＣＡＮ（Time Triggered CAN）、Ｅｔｈｅｒｎｅｔ（登録商標）、ＬＩＮ（Local Interconnect Network）、ＭＯＳＴ（Media Oriented Systems Transport）、ＦｌｅｘＲａｙなどの通信方式を用いる構成でもよい。

　なお、本開示は、電子制御装置１及び電子制御システム１ａとして実現できるだけでなく、電子制御装置１及び電子制御システム１ａを構成する各構成要素が行うステップ（処理）を含む電子制御方法として実現できる。

　具体的には、電子制御方法は、移動体に関する制御内容を識別するための識別情報を含む通信データが流れる、移動体における少なくとも１つのバス１１０に接続された電子制御装置１（電子制御システム１ａ）における電子制御方法である。図５に示すように、電子制御方法は、少なくとも１つのバス１１０に流れている通信データの異常を検知し（ステップＳ１０３）、当該検知の結果に応じた少なくとも１つの識別情報を取得し（ステップＳ１０４）、移動体の挙動を制御する（ステップＳ１０９）。

　例えば、電子制御方法におけるステップは、コンピュータ（コンピュータシステム）によって実行されてもよい。そして、本開示は、電子制御方法に含まれるステップを、コンピュータに実行させるためのプログラムとして実現できる。さらに、本開示は、そのプログラムを記録したＣＤ－ＲＯＭ等である非一時的なコンピュータ読み取り可能な記録媒体として実現できる。

　例えば、本開示が、プログラム（ソフトウェア）で実現される場合には、コンピュータのＣＰＵ、メモリ及び入出力回路等のハードウェア資源を利用してプログラムが実行されることによって、各ステップが実行される。つまり、ＣＰＵがデータをメモリ又は入出力回路等から取得して演算したり、演算結果をメモリ又は入出力回路等に出力したりすることによって、各ステップが実行される。

　また、上記実施の形態の電子制御装置１及び電子制御システム１ａに含まれる各構成要素は、専用又は汎用の回路として実現されてもよい。

　また、上記実施の形態の電子制御装置１及び電子制御システム１ａに含まれる各構成要素は、集積回路（ＩＣ：Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）であるＬＳＩ（Ｌａｒｇｅ　Ｓｃａｌｅ　Ｉｎｔｅｇｒａｔｉｏｎ）として実現されてもよい。

　また、集積回路はＬＳＩに限られず、専用回路又は汎用プロセッサで実現されてもよい。プログラム可能なＦＰＧＡ（Ｆｉｅｌｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）、又は、ＬＳＩ内部の回路セルの接続及び設定が再構成可能なリコンフィギュラブル・プロセッサが、利用されてもよい。

　さらに、半導体技術の進歩又は派生する別技術によりＬＳＩに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて、電子制御装置１及び電子制御システム１ａに含まれる各構成要素の集積回路化が行われてもよい。

　その他、実施の形態に対して当業者が思いつく各種変形を施して得られる形態や、本開示の趣旨を逸脱しない範囲で各実施の形態における構成要素及び機能を任意に組み合わせることで実現される形態も本開示に含まれる。

　本開示は、例えば、自動車、建機、農機、船舶、鉄道又は飛行機などにおけるネットワークに流れる通信データの異常に対応するための装置に適用できる。

　１、１ｂ、１００　電子制御装置
　１ａ　電子制御システム
　１０　異常検知部
　２０　動作判定部
　３０　走行状態特定部
　４０　取得部
　５０　無効化部
　６０　制御部
　７０　送受信部
　７０ａ　ＧＷ／送受信部
　８０　記憶部
　９０　通信部
　１０１　サーバ
　１１０、１２０　バス
　１１１　ＡＤＡＳＥＣＵ
　１１２　カメラＥＣＵ
　１１３　センサＥＣＵ
　１２１　ブレーキＥＣＵ
　１２２　エンジンＥＣＵ
　１２３　ステアリングＥＣＵ
　１２４、１２５　ＺｏｎｅＥＣＵ
　１３０、１４０　専用線
　１５０　ゲートウェイＥＣＵ
　１６０　外部入力部
　３００　攻撃者
　１１２０　カメラ
　１１３０　センサ
　１２１０　ブレーキ
　１２２０　エンジン
　１２３０　ステアリング

Claims (12)

1. 　移動体における少なくとも１つのバスに接続された電子制御装置であって、
   　前記移動体の挙動を制御する制御部と、
   　前記少なくとも１つのバスに流れる、前記移動体の前記挙動に関する制御内容を識別するための識別情報を含む通信データの異常を検知する異常検知部と、
   　前記検知の結果に応じた少なくとも１つの識別情報を取得する取得部と、
   　を備える電子制御装置。
2. 　前記制御部は、前記取得部が取得する前記少なくとも１つの識別情報によって識別される制御内容に関して、前記移動体の前記挙動を制御する、
   　請求項１に記載の電子制御装置。
3. 　前記異常が検知された前記少なくとも１つの識別情報を含む通信データを無効化する無効化部をさらに備える、
   　請求項１又は２に記載の電子制御装置。
4. 　前記少なくとも１つの識別情報は、異常が検知された通信データに含まれる識別情報、異常が検知された通信データが流れるバスに接続された装置が送受信する通信データに含まれる識別情報、又は、検知された異常に対応するための通信データに含められる識別情報を含み、
   　前記制御部は、前記検知された異常に対応するための通信データに含められる識別情報に基づいて前記移動体を制御する、
   　請求項１～３のいずれか１項に記載の電子制御装置。
5. 　前記電子制御装置は、少なくとも２つのバスに接続され、
   　前記少なくとも２つのバスには、一のバスから他のバスへ通信データを転送するゲートウェイ装置が接続され、
   　前記無効化部は、前記少なくとも１つの識別情報を含む通信データを無効化するための無効化情報を前記ゲートウェイ装置に対して送信する、
   　請求項３に記載の電子制御装置。
6. 　前記電子制御装置は、前記ゲートウェイ装置と前記少なくとも２つのバスとは異なる専用線で接続され、
   　前記無効化部は、前記無効化情報を、前記ゲートウェイ装置に対して前記専用線を介して送信する、
   　請求項５に記載の電子制御装置。
7. 　前記無効化部は、前記無効化情報を、前記ゲートウェイ装置に対して、前記少なくとも２つのバスのうち異常が検知されなかった通信データが流れているバスを介して送信する、
   　請求項５に記載の電子制御装置。
8. 　前記少なくとも１つのバスには、前記移動体の運転を支援するための運転支援装置が接続され、
   　前記電子制御装置は、前記少なくとも１つのバスとは異なる専用線で前記運転支援装置と接続され、
   　前記異常検知部は、前記専用線を介して前記運転支援装置へ前記検知の結果を通知し、
   　前記取得部は、前記運転支援装置が、通知された前記検知の結果に応じて決定した前記少なくとも１つの識別情報を前記運転支援装置から取得する、
   　請求項１～７のいずれか１項に記載の電子制御装置。
9. 　前記電子制御装置は、前記移動体に異常が発生したときに前記移動体の乗員に操作される外部入力部に、前記少なくとも１つのバスとは異なる通信線で接続され、
   　前記制御部は、さらに、前記外部入力部への操作に応じて前記移動体を制御する、
   　請求項１～８のいずれか１項に記載の電子制御装置。
10. 　前記少なくとも１つの識別情報は、異常が検知されなかった通信データによって特定される前記移動体の状態に対応した制御内容を識別するための情報である、
    　請求項１～９のいずれか１項に記載の電子制御装置。
11. 　移動体における少なくとも１つのバスに接続された電子制御装置における電子制御方法であって、
    　前記移動体の挙動を制御し、
    　前記少なくとも１つのバスに流れる、前記移動体の前記挙動に関する制御内容を識別するための識別情報を含む通信データの異常を検知し、
    　前記検知の結果に応じた少なくとも１つの識別情報を取得する、
    　電子制御方法。
12. 　請求項１１に記載の電子制御方法をコンピュータに実行させるプログラム。

Images