WO2020179050A1

WO2020179050A1 - 通信監視装置、通信監視方法及び通信監視プログラム

Info

Publication number: WO2020179050A1
Application number: PCT/JP2019/009020
Authority: WO
Inventors: 直輝伊藤
Original assignee: 三菱電機株式会社
Priority date: 2019-03-07
Filing date: 2019-03-07
Publication date: 2020-09-10
Also published as: TW202034659A

Abstract

通信監視装置（２０）は、機能安全規格における安全通信を実現するための通信プロトコルで実装されているエラー対策に対応する複数のエラー判定条件であって、複数のエラー種別に対応する複数のエラー判定条件それぞれにより、通信装置（１０）によって受信されたメッセージの通信エラーが判定された判定結果を取得する。通信監視装置（２０）は、判定結果に基づき複数のエラー種別それぞれの安全性を判定し、判定された結果を通知する。

Description

通信監視装置、通信監視方法及び通信監視プログラム

　この発明は、機能安全規格における安全通信を実現するための通信プロトコルが実行された通信装置における通信の安全性を監視する技術に関する。

　ファクトリーオートメーションの分野において、工場内の作業員の安全を担保するための機能安全システムの構成要素の１つに、機能安全規格である国際規格ＩＥＣ６１７８４－３（非特許文献１）で定められる安全通信がある。ここで、機能安全とは、安全を確保する機能を導入して実現される、許容可能なレベルの安全のことである。

　安全通信では、安全通信層（ＳＣＬ：Ｓａｆｅｔｙ　Ｃｏｍｍｕｎｉｃａｔｉｏｎ　Ｌａｙｅｒ）と呼ばれる上位の通信層が独自に通信エラーへの対策を行う。これにより、下位のブラックチャネルと呼ばれる通信層に依存しない信頼性の高い通信手段が提供される。
　安全通信の信頼性を示す指標はＳＩＬ（Ｓａｆｅｔｙ　Ｉｎｔｅｇｒｉｔｙ　Ｌｅｖｅｌ）と呼ばれる。例えば、ＳＩＬ３を達成するためには、安全通信層が備える通信エラー対策でもエラーを検出できないレートが１０^－９／ｈ（ｈｏｕｒ）より小さいことが要求される。エラーを検出できない確率は残存エラー率と呼ばれ、残存エラー率を１時間あたりのレートにしたものが残存エラーレートと呼ばれる。
　機能安全規格を満たす安全システムは、安全システムの全ての要素で危険な故障が発生するレートの合計が、目標値以下となるように設計される。安全通信では、危険な故障が発生するレートとは、残存エラーレートである。

　特許文献１には、通信において発生し得る不具合現象と、不具合現象が故障に起因するかセキュリティアタックに起因するかの原因の確認方法と、対応する対策方法とが規定された対策テーブルを設けることが記載されている。特許文献１には、不具合現象が発生したことが検出された場合には、対策テーブルに規定される確認方法に基づいて検出された不具合現象の原因を判断し、対応する対策方法に沿って対策することが記載されている。

特開２０１７－１５２７６号公報

ＩＥＣ６１７８４－３　Ｅｄｉｔｉｏｎ　３．１　２０１７－０８

　安全通信における残存エラーレートの計算で使用する設計値は、国際規格ＩＥＣ６１７８４－３で定められている。一部の設計値については、固定的な値が採用されている。しかし、特定のエラーが多発するような状況下では、一部の値が設計値を超えた状態でシステムが運用される場合がある。この場合、現実には残存エラーレートが目標値を超えた状態にも関わらず、残存エラーレートが目標値を超えていないものとしてシステムが運用されてしまう可能性がある。

　特許文献１には、対策テーブルの具体的な作成方法については記載されておらず、安全通信における残存エラーレートの合計が目標値以下に収まっているかを確認することは記載されていない。そのため、特許文献１に記載された技術を用いても、残存エラーレートが目標値を超えた状態でシステムが運用されていることを特定することはできない。

　この発明は、機能安全規格における安全通信を実現するための通信プロトコルが実行された通信装置において、通信の安全性を適切に監視可能にすることを目的とする。

　この発明に係る通信監視装置は、
　機能安全規格における安全通信を実現するための通信プロトコルで実装されているエラー対策に対応する複数のエラー判定条件であって、複数のエラー種別に対応する複数のエラー判定条件それぞれにより、通信装置によって受信されたメッセージの通信エラーが判定された判定結果を取得し、前記判定結果に基づき前記複数のエラー種別それぞれの安全性を判定する安全性判定部と、
　前記安全性判定部によって判定された結果を通知する通知部と
を備える。

　この発明では、安全通信を実現するための通信プロトコルで実装されているエラー対策に対応する複数の判定条件それぞれによる判定結果に基づき、複数のエラー種別それぞれの安全性が判定され、判定結果が通知される。これにより、機能安全規格における安全通信を実現するための通信プロトコルが実行された通信装置において、通信の安全性を適切に監視可能にすることが可能である。

実施の形態１に係る安全通信を実現するための通信プロトコルで実装されているエラー対策の例を示す図。実施の形態１に係る通信システム１００の構成図。実施の形態１に係る通信装置１０及び通信監視装置２０のハードウェア構成図。実施の形態１に係る通信監視装置２０機能構成図。実施の形態１に係るＳＰＤＵの構成図。実施の形態１に係る管理パラメータ２２１の説明図。実施の形態１に係るエラー判定条件２２２の説明図。実施の形態１に係る安全判定条件２２３の説明図。実施の形態１に係る通信監視装置２０の動作を示すフローチャート。実施の形態１に係る通信エラー判定処理のフローチャート。実施の形態１に係る通知情報の説明図。実施の形態２に係る管理パラメータ２２１の説明図。実施の形態３に係る通信装置１０及び通信監視装置２０の機能構成図。

　実施の形態１．
　＊＊＊準備＊＊＊
　実施の形態１に係る通信システム１００では、機能安全規格における安全通信を実現するための通信プロトコルが少なくとも一部の通信装置１０に実装されている。実施の形態１では、国際規格ＩＥＣ６１７８４－３に準拠した通信プロトコルが少なくとも一部の通信装置１０に実装されているとする。
　そこで、通信システム１００の説明の前提として、国際規格ＩＥＣ６１７８４－３に定められた安全通信における残存エラーレートの計算方法の基本的な考え方について説明する。

　国際規格ＩＥＣ６１７８４－３では、通信プロトコルで実装されているエラー種別に対応するエラー対策に応じて残存エラーレートを計算している。
　国際規格ＩＥＣ６１７８４－３に定義された通信エラーのエラー種別としては、以下がある。
〇破損：メッセージが破損すること。〇意図しない繰り返し：メッセージが繰り返されること。〇順序不正：予め決められたシーケンスが不正となること。〇喪失：メッセージが受信されないこと。〇受容できない遅延：許可された到着時間幅を超えて遅れること。〇挿入：望まれない送信元又は不明な送信元からのメッセージを受信すること。〇成りすまし：安全通信ではないメッセージを安全通信のメッセージとして受信すること。〇アドレッシング：メッセージが正しくない受信者に送られ、それが正しいものとして扱われること。

　国際規格ＩＥＣ６１７８４－３に定義されたエラー対策としては、以下がある。
〇シーケンス番号：メッセージ毎に変化する番号のこと。〇タイムスタンプ：時刻同期に基づいたタイムスタンプをメッセージ中に含めること。〇期待時間：連続したメッセージ間の遅延が予め定義された値を超えているか確認すること。〇コネクション認証：安全通信の送信者及び受信者の少なくとも一方が一意な識別子を持つこと。〇フィードバックメッセージ：メッセージの受信を確認するためにフィードバックメッセージを送ること。〇データ完全性保証：ハッシュ関数による検査及び冗長検査（ＣＲＣ：Ｃｙｃｌｉｃ　Ｒｅｄｕｎｄａｎｃｙ　Ｃｈｅｃｋ）といった検査を行うこと。〇クロスチェックによる冗長化：メッセージに含める安全データを２回送信し、有効性を２つのメッセージ間でチェックすること。〇異なるデータ完全性保証システム：安全通信と、非安全通信とが混在する場合、それぞれ異なるデータ完全性保証を行うこと。

　安全通信を実現するための通信プロトコルでは、例えば図１に示すように、各エラー種別の通信エラーに対応するエラー対策が定められている。
　図１では、以下のようにエラー対策が定められている。
　〇破損に対しては、データ完全性保証により対策する。〇意図しない繰り返しに対しては、タイムスタンプにより対策する。〇順序不正に対しては、タイムスタンプにより対策する。〇喪失に対しては、タイムスタンプにより対策する。〇受容できない遅延に対しては、タイムスタンプと、期待時間とにより対策する。〇挿入に対しては、タイムスタンプにより対策する。〇成りすましに対しては、コネクション認証と、異なるデータ完全性保証システムとにより対策する。〇アドレッシングに対しては、コネクション認証により対策する。

　国際規格ＩＥＣ６１７８４－３では、安全通信における残存エラーレートは、以下の式１により計算される。
　（式１）λ_ＳＣＬ＝λ_ＳＣ×ｍ
　ここで、λ_ＳＣＬは、安全通信層の１時間あたりの残存エラーレートである。λ_ＳＣは、安全コネクションの１時間あたりの残存エラーレートである。ｍは、安全コネクション数である。

　λ_ＳＣは、式２により計算される。
　（式２）λ_ＳＣ＝ＲＲ_Ｉ＋ＲＲ_Ａ＋ＲＲ_Ｔ＋ＲＲ_Ｍ
　ここで、ＲＲ_Ｉは、データ完全性に関する１時間あたりの残存エラーレートである。ＲＲ_Ａは、認証に関する１時間あたりの残存エラーレートである。ＲＲ_Ｔは、適時性に関する１時間あたりの残存エラーレートである。ＲＲ_Ｍは、成りすましに関する１時間あたりの残存エラーレートである。

　ＲＲ_ＩとＲＲ_ＡとＲＲ_ＴとＲＲ_Ｍとについての計算方法は、通信プロトコルによって異なる。ここでは、ＲＲ_ＩとＲＲ_ＡとＲＲ_ＴとＲＲ_Ｍとは、以下の式によって計算されると仮定する。
　なお、通信プロトコルがさらに固有の対策を講じることがある。つまり、以下の式の値から、さらに固有の対策を考慮した値が計算されることがある。しかし、ここでは以下の式の値がそのまま使用されるとする。

　（式３）ＲＲ_Ｉ＝ＲＰ_Ｉ×ｖ
　ここで、ＲＲ_Ｉは、データ完全性に関する１時間あたりの残存エラーレートである。ＲＰ_Ｉは、データ完全性に関する残存エラー率である。ｖは、１時間あたりの安全通信のメッセージ数である。

　（式４）ＲＲ_Ａ＝ＲＰ_Ｉ×２^－ＬＡ×Ｒ_Ａ
　ここで、ＲＲ_Ａは、認証に関する１時間あたりの残存エラーレートである。ＲＰ_Ｉは、データ完全性に関する残存エラー率である。ＬＡは、コネクション認証に使用する認証コード（Ａ－Ｃｏｄｅ）のビット長である。Ｒ_Ａは、安全通信のメッセージが不正に配送されるレートである。ここでは、Ｒ_Ａは、通信システム１００の安全通信層を持つノード１つ当たり１０^－３／ｈとする。

　（式５）ＲＲ_Ｔ＝２^－ＬＴ×ｗ×Ｒ_Ｔ
　ここで、ＲＲ_Ｔは、適時性に関する１時間あたりの残存エラーレートである。ＬＴは、タイムスタンプ又はシーケンス番号（Ｔ－Ｃｏｄｅ）のビット長である。ｗは、受容するタイムスタンプ又はシーケンス番号の幅である。例えば、タイムスタンプが１つの値のみ有効な場合には、ｗは１である。Ｒ_Ｔは、安全通信のメッセージが不正に配送されるレートである。ここでは、Ｒ_Ｔは、通信システム１００に含まれるストアアンドフォーワード機能を持つ中継ノード１つ当たり１０^－３／ｈとする。

　（式６）ＲＲ_Ｍ＝２^－ｒ×２^－ＬＡ×２^－ＬＴ×ｗ×ＲＰ_Ｕ×Ｒ_Ｍ
　ここで、ＲＲ_Ｍは、成りすましに関する１時間あたりの残存エラーレートである。ｒは、ＣＲＣのビット長である。ＬＡは、コネクション認証に使用する認証コード（Ａ－Ｃｏｄｅ）のビット長である。ＬＴは、タイムスタンプ又はシーケンス番号（Ｔ－Ｃｏｄｅ）のビット長である。ｗは、受容するタイムスタンプ又はシーケンス番号の幅である。ＲＰ_Ｕは、一意性を持つフィールドによる適切なメッセージの区別に関する残存エラー率である。Ｒ_Ｍは、安全通信のメッセージが不正に配送されるレートである。ここでは、Ｒ_Ｍは、通信システム１００の安全通信層を持たないノード１つ当たり１０^－３／ｈとする。

　以上のように、残存エラーレートの計算に当たり、一部に固定的な設計値が採用されている。そのため、特定のエラー種別のエラーが多発するような状況下では、一部の値が設計値を超えた状態で通信システム１００が運用される場合がある。例えば、特定のエラー種別のエラーが多発するような状況としては、低品質な中継機器による配送遅延が多発する状況と、非安全のランダムなメッセージを広域に送信するノードの存在する状況と等が考えられる。メッセージを広域に送信するとは、例えば、ブロードキャスト送信することである。
　その結果、特定のエラー種別のエラーが多発するような状況下では、現実には、残存エラーレートが目標値を超えた状態で通信システム１００が運用される可能性がある。

　＊＊＊構成の説明＊＊＊
　図２を参照して、実施の形態１に係る通信システム１００の構成を説明する。
　通信システム１００は、複数の通信装置１０と、通信監視装置２０と、１つ以上の中継装置３０とを備える。複数の通信装置１０は、中継装置３０を介して、Ｅｔｈｅｒｎｅｔ（登録商標）といった通信路４０により接続されている。
　複数の通信装置１０のうち、少なくとも一部の通信装置１０は、安全通信層であるＳＣＬが実装され、安全通信を実現するための通信プロトコルが実装されている。残りの通信装置１０は、安全通信層であるＳＣＬが実装されていない。ＳＣＬが実装された少なくとも一部の通信装置１０には、通信監視装置２０が接続されている。

　図２では、通信システム１００は、通信装置１０Ａから通信装置１０Ｆの６台の通信装置１０を備える。通信装置１０Ａから通信装置１０Ｃの３台の通信装置１０は、ＳＣＬが実装され、安全通信を実現するための通信プロトコルが実装されている。残りの通信装置１０Ｄから通信装置１０Ｆの３台の通信装置１０は、ＳＣＬが実装されていない。また、通信装置１０Ａと通信装置１０Ｂとの間には、安全通信のためのコネクションである安全コネクションがＳＣＬ間で確立されている。
　ＳＣＬが実装された通信装置１０Ａから通信装置１０Ｃの３台の通信装置１０のうち、安全コネクションが確立された通信装置１０Ａ及び通信装置１０Ｂには、通信監視装置２０が接続されている。具体的には、通信装置１０Ａには通信監視装置２０Ａが接続され、通信装置１０Ｂには通信監視装置２０Ｂが接続されている。

　図３を参照して、実施の形態１に係る通信装置１０及び通信監視装置２０のハードウェア構成を説明する。
　図３では、図２における通信装置１０Ａ及び通信装置１０Ｂのように、通信監視装置２０が接続された通信装置１０が示されている。なお、通信装置Ｃから通信装置Ｆのように、通信監視装置２０が接続されていない通信装置１０も、通信装置１０のハードウェア構成は、通信監視装置２０が接続された通信装置１０と同じである。

　通信装置１０は、演算装置１１と、記憶装置１２と、通信インタフェース１３とのハードウェアを備える。演算装置１１は、バスを介して他のハードウェアと接続されており、他のハードウェアを制御する。

　通信監視装置２０は、演算装置２１と、記憶装置２２と、通信インタフェース２３とのハードウェアを備える。演算装置２１は、バスを介して他のハードウェアと接続されており、他のハードウェアを制御する。

　演算装置１１，２１は、プロセッシングを行うＩＣ（Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）である。演算装置１１，２１は、具体例としては、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）である。

　記憶装置１２，２２は、データを記憶する装置である。記憶装置１２，２２は、具体例としては、ＳＲＡＭ（Ｓｔａｔｉｃ　Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）、ＤＲＡＭ（Ｄｙｎａｍｉｃ　Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）といったメモリである。

　通信インタフェース１３，２３は、他の通信装置１０と通信監視装置２０と中継装置３０といった外部の装置と通信するためのインタフェースである。通信インタフェース１４は、具体例としては、Ｅｔｈｅｒｎｅｔ（登録商標）のポートである。

　通信装置１０と通信監視装置２０とは、通信インタフェース１３とバスと通信インタフェース２３とを介して接続されている。また、通信装置１０は、中継装置３０と通信インタフェース１３と通信路４０とを介して接続されている。

　図４を参照して、実施の形態１に係る通信監視装置２０機能構成を説明する。
　通信監視装置２０は、機能構成要素として、計測部２１１と、通信エラー判定部２１２と、安全性判定部２１３と、通知部２１４とを備える。通信監視装置２０の各機能構成要素の機能はソフトウェアにより実現される。
　記憶装置２２には、通信監視装置２０の各機能構成要素の機能を実現するプログラムが格納されている。このプログラムは、演算装置２１により読み込まれ、演算装置２１によって実行される。これにより、通信監視装置２０の各機能構成要素の機能が実現される。

　また、記憶装置２２には、管理パラメータ２２１と、複数のエラー判定条件２２２と、複数の安全判定条件２２３とが記憶される。

　なお、通信装置１０及び通信監視装置２０は、内部構成が多重化されていてもよいし、各構成要素について自己診断するための機能を持っていてもよい。また、図３では、通信装置１０の外部に通信監視装置２０が接続された構成としたが、通信装置１０の内部に通信監視装置２０が設けられてもよい。また、通信装置１０に通信監視装置２０の機能構成要素がソフトウェアとして実装されていてもよい。

　＊＊＊動作の説明＊＊＊
　図５から図１１を参照して、実施の形態１に係る通信監視装置２０の動作を説明する。
　実施の形態１に係る通信監視装置２０の動作は、実施の形態１に係る通信監視方法に相当する。また、実施の形態１に係る通信監視装置２０の動作は、実施の形態１に係る通信監視プログラムの処理に相当する。

　以下の説明では、図２においてＳＣＬ間で安全コネクションが確立されている通信装置１０Ａと通信装置１０Ｂとの間で安全通信で使用するメッセージ（ＳＰＤＵ：Ｓａｆｅｔｙ　Ｐｒｏｔｏｃｏｌ　Ｄａｔａ　Ｕｎｉｔ）が周期的に通信される場合を想定する。

　図５を参照して、実施の形態１に係るＳＰＤＵの構成を説明する。
　ＳＰＤＵは、認証コード（Ａ－Ｃｏｄｅ）と、タイムスタンプ（Ｔ－Ｃｏｄｅ）と、固定値（Ｕ－Ｃｏｄｅ）と、安全データ（Ｄａｔａ）と、ＣＲＣとを含む。
　Ｔ－Ｃｏｄｅは、タイムスタンプではなくシーケンス番号でもよい。また、Ａ－ＣｏｄｅとＴ－Ｃｏｄｅとの少なくともいずれかについて、その一部又は全体をＳＰＤＵに含めずに各通信装置１０が暗黙的に共有するようにしてもよい。

　図６を参照して、実施の形態１に係る管理パラメータ２２１について説明する。
　管理パラメータ２２１は、ＳＰＤＵの監視に必要な１つ以上のパラメータと値との組である。ここでは、管理パラメータ２２１は、パラメータとして、残存エラーレート（λ_ＳＣ）と、ビットエラー率（Ｐ_ｅ）と、認証エラーレート（Ｒ_Ａ）と、適時性エラーレート（Ｒ_Ｔ）と、成りすましエラーレート（Ｒ_Ｍ）と、通信周期（ｖ）と、認証エラー発生要素数（ｘ_Ａ）と、適時性エラー発生要素数（ｘ_Ｔ）と、成りすましエラー発生要素数（ｘ_Ｍ）と、各種エラー警告（Ｅｒｒｏｒ_Ｉ，Ｅｒｒｏｒ_Ａ，Ｅｒｒｏｒ_Ｔ，Ｅｒｒｏｒ_Ｍ）の基準とを含む。

　管理パラメータ２２１の値は、通信システム１００のシステム設計者等によって設定される。各値は、安全通信の設計値、又は、設計値よりも保守的な値が設定される。図６では、各値は以下のように設定されている。
　〇残存エラーレートは、ＳＩＬ３を対象とする場合を想定して、１０^－９に設定されている。〇ビットエラー率は、ＩＥＣ６１７８４－３の指針に従い、１０^－２に設定されている。〇認証エラーレートと適時性エラーレートと成りすましエラーレートとは、ＩＥＣ６１７８４－３の指針に従い、発生要素１つ当たり１０^－３に設定されている。〇通信周期は、システムに応じて異なるが、ここでは１ｍｓ（ミリ秒）に設定されている。
　〇各エラーの発生要素数は、システムに応じて異なる。認証エラー発生要素数は、対象とする通信装置１０以外のＳＣＬを実装した通信装置１０の数である。認証エラー発生要素数は、図２の構成では通信装置１０Ｃの１台である。適時性エラー発生要素数は、ストアアンドフォーワード機能を持った中継機器の数である。適時性エラー発生要素数は、図２の構成ではスイッチＡ及びスイッチＢの２台である。成りすましエラー発生要素数は、ＳＣＬを実装していない通信装置１０の数である。成りすましエラー発生要素数は、図２の構成では通信装置１０Ｄから通信装置１０Ｆの３台である。
　〇各種エラー警告は、エラー警告を通知する条件である。ここでは、Ｅｒｒｏｒ_Ｉに関してはビットエラー率が設定されている。Ｅｒｒｏｒ_Ａに関しては認証エラーレートが設定されている。Ｅｒｒｏｒ_Ｔに関しては適時性エラーレートが設定されている。Ｅｒｒｏｒ_Ｍに関しては成りすましエラーレートが設定されている。しかし、これに限らず任意の値が設定されてもよい。任意の値とは、例えば、より保守的な監視用の値、又は、設計した残存エラーレートを超えないように別途監視用途に設計された値が考えられる。

　図７を参照して、実施の形態１に係るエラー判定条件２２２について説明する。
　エラー判定条件２２２は、通信システム１００のシステム設計者等によって設定される条件であり、ＳＰＤＵが通信エラーに該当するか否かを判定するための条件である。エラー判定条件２２２は、機能安全規格における安全通信を実現するための通信プロトコルで実装されているエラー対策に対応して、複数のエラー種別それぞれについて設定される。

　例えば、採用されている通信プロトコルが図１に示すエラー対策を行っているとする。この場合には、図７に示すように、複数のエラー判定条件２２２が設定される。
　エラー判定条件２２２Ａは、ＳＰＤＵのＣＲＣチェックを行った結果がＮＧである場合には、破損又は成りすましの通信エラーと判定する条件である。エラー判定条件２２２Ｂは、認証コードチェック（Ａ－Ｃｏｄｅチェック）を行った結果がＮＧである場合には、成りすまし又はアドレッシングの通信エラーと判定する条件である。エラー判定条件２２２Ｃは、タイムスタンプチェック（Ｔ－Ｃｏｄｅチェック）を行った結果がＮＧである場合には、意図しない繰り返しと、順序不正と、喪失と、受容できない遅延と、挿入とのいずれかの通信エラーであると判定する条件である。エラー判定条件２２２Ｄは、固定値チェック（Ｕ－Ｃｏｄｅチェック）を行った結果がＮＧであった場合には、成りすましの通信エラーと判定する条件である。
　エラー判定条件２２２Ａからエラー判定条件２２２Ｃは、図１に示す通信エラーへの対策の解釈から導かれる。例えば、データ完全性保障はＣＲＣチェックにより実現されるので、ＣＲＣチェックを行った結果がＮＧである場合には、データ完全性保障に対応する破損の通信エラーである可能性があることになる。
　また、エラー判定条件２２２Ｄは、ＩＥＣ６１７８４－３の式の解釈から導かれる。具体的には、式６に示すように、成りすましに関する１時間あたりの残存エラーレートＲＲ_Ｍを計算する際、一意性を持つフィールドによる適切なメッセージの区別に関する残存エラー率ＲＰ_Ｕが用いられている。このことから、固定値チェックを行った結果がＮＧであった場合には、成りすましの通信エラーである可能性があることになる。

　図８を参照して、実施の形態１に係る安全判定条件２２３を説明する。
　安全判定条件２２３は、通信システム１００のシステム設計者等によって設定される条件であり、エラー判定条件２２２に基づく判定結果から複数のエラー種別それぞれの安全性を判定する条件である。

　例えば、図７に示すエラー判定条件２２２が設定されているとする。この場合には、図８に示すように、複数の安全判定条件２２３が設定される。
　安全判定条件２２３Ａは、基準時間（ここでは、１時間とする）に受信したＳＰＤＵの件数に対する、ＣＲＣチェックを行った結果がＮＧである件数が基準数Ａよりも多い場合には、破損又は成りすましのエラー種別について安全性が低い状態であると判定する条件である。ここでは、基準数Ａは、ビットエラー率Ｐ_ｅが用いられている。
　安全判定条件２２３Ｂは、基準時間当たりの認証コードチェックを行った結果がＮＧである件数が基準数Ｂよりも多い場合には、成りすまし又はアドレッシングのエラー種別について安全性が低い状態であると判定する条件である。ここでは、基準数Ｂは、認証エラーレートＲ_Ａが用いられている。
　安全判定条件２２３Ｃは、基準時間当たりのタイムスタンプチェックを行った結果がＮＧである件数が基準数Ｃよりも多い場合には、意図しない繰り返しと、順序不正と、喪失と、受容できない遅延と、挿入とのいずれかのエラー種別について安全性が低い状態であると判定する条件である。ここでは、基準数Ｃは、適時性エラーレートＲ_Ｔが用いられている。
　安全判定条件２２３Ｄは、基準時間当たりの固定値チェックを行った結果がＮＧである件数が基準数Ｄよりも多い場合には、成りすましのエラー種別について安全性が低い状態であると判定する条件である。ここでは、基準数Ｄは、成りすましエラーレートＲ_Ｍが用いられている。

　図９を参照して、実施の形態１に係る通信監視装置２０の動作を説明する。
　図９に示す動作の前提として、通信システム１００のシステム設計者等によって、管理パラメータ２２１と複数のエラー判定条件２２２と複数の安全判定条件２２３とが記憶装置１２に設定されているものとする。ここでは、図６に示すように管理パラメータ２２１が設定され、図７に示すように複数のエラー判定条件２２２が設定され、図８に示すように複数の安全判定条件２２３が設定されているものとする。なお、エラー判定条件２２２を設定する前提として、通信装置１０Ａ及び通信装置１０Ｂの間で用いられる通信プロトコルが決定されている必要がある。

　ここでは、通信装置１０Ａに接続された通信監視装置２０Ａが、通信監視装置２０Ａが通信装置１０Ｂから受信したＳＰＤＵを監視する動作を説明する。

　（ステップＳ１１：計測処理）
　計測部２１１は、通信装置１０Ａが受信したＳＰＤＵを取得する。ここでは、通信装置１０Ａは、受信したＳＰＤＵを複製して通信監視装置２０Ａに転送する、又は、通信装置１０Ａに送信されたＳＰＤＵが通信監視装置２０Ａにも送信されるように構成されているものとする。
　すると、計測部２１１は、受信したＳＰＤＵの数を計測するとともに、安全通信が稼働している稼働時間を計測する。計測部２１１は、計測されたＳＰＤＵの数及び稼働時間を記憶装置１２に書き込む。また、通信監視装置２０が起動して初回の実行時には、各エラー判定条件２２２についてのエラー数（データ完全性エラー数Ｅｒｒｏｒ_Ｉと、認証エラー数Ｅｒｒｏｒ_Ａと、適時性エラー数Ｅｒｒｏｒ_Ｔと、成りすましエラー数Ｅｒｒｏｒ_Ｍ）を０に初期化する。

　（ステップＳ１２：通信エラー判定処理）
　通信エラー判定部２１２は、複数のエラー判定条件２２２それぞれにより、通信装置１０Ａによって受信されたＳＰＤＵの通信エラーの判定を行う。

　図１０を参照して具体的に説明する。
　ステップＳ１２１で通信エラー判定部２１２は、エラー判定条件２２２Ａに従いＣＲＣチェックを行う。通信エラー判定部２１２は、ＣＲＣチェックを行った結果がＯＫである場合には、処理をステップＳ１２２に進める。一方、通信エラー判定部２１２は、ＣＲＣチェックを行った結果がＮＧである場合には、データ完全性エラー数Ｅｒｒｏｒ_Ｉに１加算して処理を終了する。
　ステップＳ１２２で通信エラー判定部２１２は、エラー判定条件２２２Ｂに従い認証コードチェックを行う。通信エラー判定部２１２は、認証コードチェックを行った結果がＯＫである場合には、処理をステップＳ１２３に進める。一方、通信エラー判定部２１２は、認証コードチェックを行った結果がＮＧである場合には、認証エラー数Ｅｒｒｏｒ_Ａに１加算して処理を終了する。
　ステップＳ１２３で通信エラー判定部２１２は、エラー判定条件２２２Ｃに従いタイムスタンプチェックを行う。通信エラー判定部２１２は、タイムスタンプチェックを行った結果がＯＫである場合には、処理をステップＳ１２４に進める。一方、通信エラー判定部２１２は、タイムスタンプチェックを行った結果がＮＧである場合には、適時性エラー数Ｅｒｒｏｒ_Ｔに１加算して処理を終了する。
　ステップＳ１２４で通信エラー判定部２１２は、エラー判定条件２２２Ｄに従い固定値チェックを行う。通信エラー判定部２１２は、固定値チェックを行った結果がＯＫである場合には、処理を終了する。一方、通信エラー判定部２１２は、固定値チェックを行った結果がＮＧである場合には、成りすましエラー数Ｅｒｒｏｒ_Ｍに１加算して処理を終了する。

　（ステップＳ１３：安全性判定処理）
　安全性判定部２１３は、ステップＳ１２で通信エラー判定部２１２によって判定された判定結果を取得し、判定結果に基づき複数のエラー種別それぞれの安全性を判定する。

　図８を参照して具体的に説明する。
　（１）ＣＲＣチェックに関わる安全状態判定（安全判定条件２２３Ａ）
　安全性判定部２１３は、安全判定条件２２３Ａに従い、ＣＲＣチェックを行った結果がＮＧである件数が基準数Ａよりも多い場合には、破損又は成りすましのエラー種別について安全性が低い状態であると判定する。ここでは、基準数Ａは、ビットエラー率Ｐ_ｅである。
　例えば、受信したＳＰＤＵが９００個であり、ＣＲＣチェックを行った結果がＮＧであることを示すＥｒｒｏｒ_Ｉが１０件であったとする。この場合、ＣＲＣチェックに関わる安全状態は、１０／９００＝０．０１１１１がビットエラー率Ｐ_ｅ＝１０^－２（図６参照）より大きいため、破損又は成りすましであることを示すエラー警告の対象となる。
　なお、厳密にはＥｒｒｏｒ_Ｉは、ＳＰＤＵのうちのいくつかのビットがエラーになり、データ完全性エラーが発生したことを示している。今回の仮定ではＳＰＤＵ単位で換算（つまり、ＳＰＤＵすべてのビットがエラーになったこととして計上）しており、ビットエラー率Ｐ_ｅと比較することは保守的である。比較する値はユーザーが監視用途として別途設計してもよい。

　（２）認証コードチェックに関わる安全状態判定（安全判定条件２２３Ｂ）
　安全性判定部２１３は、安全判定条件２２３Ｂに従い、基準時間当たりの認証コードチェックを行った結果がＮＧである件数が基準数Ｂよりも多い場合には、成りすまし又はアドレッシングのエラー種別について安全性が低い状態であると判定する。ここでは、基準数Ｂは、認証エラーレートＲ_Ａである。
　例えば、稼働時間が１００時間であり、稼働時間におけるＥｒｒｏｒ_Ａが０であったとする。この場合、認証コードチェックに関わる安全状態は、０／１００＝０が認証エラーレートＲ_Ａ＝１０^－３×１より小さいため、成りすまし又はアドレッシングであることを示すエラー警告の対象とはならない。

　（３）適時性コードチェックに関わる安全状態判定（安全判定条件２２３Ｃ）
　安全性判定部２１３は、安全判定条件２２３Ｃに従い、基準時間当たりのタイムスタンプチェックを行った結果がＮＧである件数が基準数Ｃよりも多い場合には、意図しない繰り返しと、順序不正と、喪失と、受容できない遅延と、挿入とのいずれかのエラー種別について安全性が低い状態であると判定する。ここでは、基準数Ｃは、適時性エラーレートＲ_Ｔである。
　例えば、稼働時間が１００時間であり、稼働時間におけるＥｒｒｏｒ_Ｔが４であったとする。この場合、認証コードチェックに関わる安全状態は、４／１００＝０．０４が適時性エラーレートＲ_Ｔ＝１０^－３×２より大きいため、意図しない繰り返しと、順序不正と、喪失と、受容できない遅延と、挿入とのいずれかであることを示すエラー警告の対象とする。

　（４）固定値チェックに関わる安全状態判定（安全判定条件２２３Ｄ）
　安全性判定部２１３は、安全判定条件２２３Ｄに従い、基準時間当たりの固定値チェックを行った結果がＮＧである件数が基準数Ｄよりも多い場合には、成りすましのエラー種別について安全性が低い状態であると判定する。ここでは、基準数Ｄは、成りすましエラーレートＲ_Ｍである。
　例えば、稼働時間が１００時間であり、稼働時間におけるＥｒｒｏｒ_Ｍが１であったとする。この場合、固定値チェックに関わる安全状態は、１／１００＝０．０１が成りすましエラーレートＲ_Ｍ＝１０^－３×３より大きいため、成りすましであることを示すエラー警告の対象とする。

　（ステップＳ１４：通知処理）
　通知部２１４は、ステップＳ１３で安全性判定部２１３によって判定された結果を通知する。
　具体例としては、通知部２１４は、図１１に示すように、各安全判定条件２２３についての情報を表形式として表示装置に出力する。図１１では、安全判定条件２２３毎に、対策と、ＮＧ頻度と、基準と、警告と、ＮＧ時の要因候補とを出力している。対策は、機能安全規格における安全通信を実現するための通信プロトコルで実装されているエラー対策を示す。ＮＧ頻度は、エラー判定条件２２２で通信エラーと判定された頻度の計算方法を示す。基準は、エラー警告の対象とするか否かの基準であり、ＮＧ頻度と対比する基準を示す。警告は、エラー警告の対象となっている（図１１では×）か、なっていない（図１１では〇）かを示す。ＮＧ時の要因候補は、警告がどのエラー種別に関するエラー警告であるかを示す。
　通知部２１４は、通信監視装置２０に設けられた表示装置に情報を出力してもよいし、通信路４０を介して接続された外部の表示装置に情報を出力してもよい。また、通知部２１４は、表示に限らず、音声といった他の手段により通知してもよい。

　＊＊＊実施の形態１の効果＊＊＊
　以上のように、実施の形態１に係る通信監視装置２０は、機能安全規格における安全通信を実現するための通信プロトコルで実装されているエラー対策に対応する複数のエラー判定条件により、通信装置１０によって受信されたメッセージであるＳＰＤＵの通信エラーを判定する。そして、通信監視装置２０は、判定結果に基づき複数のエラー種別それぞれの安全性を判定し、通知する。
　これにより、特定のエラーが多発するような通信システム１００の運用状況下において、警告を参照することで要因を特定し、解消することを容易に実施可能である。その結果、残存エラーレートを目標値以内に抑えた状態で通信システム１００を運用することが可能になる。

　＊＊＊他の構成＊＊＊
　＜変形例１＞
　実施の形態１では、各機能構成要素がソフトウェアで実現された。しかし、変形例１として、各機能構成要素はハードウェアで実現されてもよい。この変形例１について、実施の形態１と異なる点を説明する。

　各機能構成要素がハードウェアで実現される場合には、通信装置１０は、演算装置１１と記憶装置１２とに代えて、電子回路を備える。電子回路は、各機能構成要素と、記憶装置１２との機能とを実現する専用の回路である。

　各機能構成要素がハードウェアで実現される場合には、通信監視装置２０は、演算装置２１と記憶装置２２とに代えて、電子回路を備える。電子回路は、各機能構成要素と、記憶装置２２との機能とを実現する専用の回路である。

　電子回路としては、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ロジックＩＣ、ＧＡ（Ｇａｔｅ　Ａｒｒａｙ）、ＡＳＩＣ（Ａｐｐｌｉｃａｔｉｏｎ　Ｓｐｅｃｉｆｉｃ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）、ＦＰＧＡ（Ｆｉｅｌｄ－Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）が想定される。
　各機能構成要素を１つの電子回路で実現してもよいし、各機能構成要素を複数の電子回路に分散させて実現してもよい。

　＜変形例２＞
　変形例２として、一部の各機能構成要素がハードウェアで実現され、他の各機能構成要素がソフトウェアで実現されてもよい。

　演算装置１１，２１と電子回路とを処理回路という。つまり、各機能構成要素の機能は、処理回路により実現される。

　実施の形態２．
　実施の形態２は、通信監視装置２０が残存エラーレートを計算して通知する点が実施の形態１と異なる。実施の形態２では、この異なる点を説明し、同一の点については説明を省略する。

　＊＊＊動作の説明＊＊＊
　図１２を参照して、実施の形態２に係る管理パラメータ２２１について説明する。
　管理パラメータ２２１は、残存エラーレートの計算に必要なパラメータが追加されている点が図６に示す管理パラメータ２２１と異なる。
　具体的には、管理パラメータ２２１は、残存エラーレートｔｍｐλ_ＳＣと、データ完全性残存エラーレートｔｍｐＲＲ_Ｉと、認証残存エラーレートｔｍｐＲＲ_Ａと、適時性残存エラーレートｔｍｐＲＲ_Ｔと、成りすまし残存エラーレートｔｍｐＲＲ_Ｍと、認証コード長ＬＡと、タイムスタンプコード長ＬＴと、受容タイムスタンプ幅ｗと、ＣＲＣコード長ｒと、固定値に関わる残存エラー率ＲＰ_Ｕと、データ完全性エラー確率ｔｍｐＲＰ_Ｉとが追加されている。

　残存エラーレートｔｍｐλ_ＳＣは、運用時における一時的な残存エラーレートである。データ完全性残存エラーレートｔｍｐＲＲ_Ｉは、運用時における一時的なデータ完全性に関わる残存エラーレートである。認証残存エラーレートｔｍｐＲＲ_Ａは、運用時における一時的な認証に関わる残存エラーレートである。適時性残存エラーレートｔｍｐＲＲ_Ｔは、運用時における一時的な適時性に関わる残存エラーレートである。成りすまし残存エラーレートｔｍｐＲＲ_Ｍは、運用時における一時的な成りすましに関わる残存エラーレートである。
　認証コード長ＬＡは、認証コードの長さであり、例えば１６ｂｉｔの認証コードの場合には１６とする。タイムスタンプコード長ＬＴは、タイムスタンプコードの長さであり、例えば１６ｂｉｔのタイムスタンプの場合には１６とする。受容タイムスタンプ幅ｗは、受容するタイムスタンプの幅であり、例えばタイムスタンプが１つの値のみ有効である場合には１とする。ＣＲＣコード長ｒは、ＣＲＣコードの長さであり、例えばＣＲＣが３２ｂｉｔの場合には３２とする。
　固定値残存エラー率ＲＰ_Ｕは、固定値に関わる残存エラー率であり、例えば固定値を持つフィールドが無い場合には１とする。なお、２ｂｉｔの値のうち１つの値、例えば０ｂ００しかとらないフィールドの場合は１／２^２＝１／４となる。データ完全性残存エラー確率ｔｍｐＲＰ_Ｉは、運用時における一時的なデータ完全性の残存エラー確率である。ここでは適切なＣＲＣ多項式を選択したと仮定し、データ完全性残存エラー確率ｔｍｐＲＰ_Ｉは上限値の２^－ｒとする。なお、データ完全性残存エラー確率ｔｍｐＲＰ_Ｉは、ビットエラー率とメッセージ長といった情報によって値が異なるため、これらを考慮し厳密な値が採用されてもよい。

　図９を参照して、実施の形態２に係る通信監視装置２０の動作を説明する。
　ステップＳ１１及びステップＳ１２までの処理は、実施の形態１と同じである。

　（ステップＳ１３：安全性判定処理）
　安全性判定部２１３は、実施の形態１と同様に、各安全判定条件２２３により各エラー種別の安全性を判定する。そして、安全性判定部２１３は、各安全判定条件２２３により各エラー種別の安全性を判定する際に計算された値を用いて、残存エラーレートｔｍｐλ_ＳＣを計算する。

　図８を参照して具体的に説明する。
　図８では、例として、ＣＲＣチェックに関わる安全状態ｔｍｐＰ_ｅが０．０１１１であり、認証コードチェックに関わる安全状態ｔｍｐＲ_Ａが０であり、タイムスタンプチェックに関わる安全状態ｔｍｐＲ_Ｔが０．０４であり、成りすましチェックに関わる安全状態ｔｍｐＲ_Ｍが０．０１であった。このうち、ＣＲＣチェックに関わる安全状態ｔｍｐＰ_ｅと、タイムスタンプチェックに関わる安全状態ｔｍｐＲ_Ｔと、成りすましチェックに関わる安全状態ｔｍｐＲ_Ｍとは、基準数よりも多い状態であった。
　安全性判定部２１３は、これらの値と、管理パラメータ２２１に記憶された値とを用いて、残存エラーレートｔｍｐλ_ＳＣを計算する。そして、安全性判定部２１３は、残存エラーレートｔｍｐλ_ＳＣが目標値（図１２では、１０^－９）内に抑えられているか否かを判定する。

　（ステップＳ１４：通知処理）
　通知部２１４は、実施の形態１と同様に、ステップＳ１３で安全性判定部２１３によって判定された結果を通知する。また、通知部２１４は、ステップＳ１３で残存エラーレートｔｍｐλ_ＳＣが目標値内に抑えられていない場合には、通信装置１０の安全通信層又は安全アプリケーションに割り込み通知を行うことにより、通信システム１００を安全状態に遷移させる。

　＊＊＊実施の形態２の効果＊＊＊
　以上のように、実施の形態２に係る通信監視装置２０は、残存エラーレートｔｍｐλ_ＳＣを計算し、残存エラーレートｔｍｐλ_ＳＣが目標値内に抑えられているか否かを判定する。そして、通信監視装置２０は、残存エラーレートｔｍｐλ_ＳＣが目標値内に抑えられていない場合には、通信装置１０に割り込み通知を行う。これにより、高い残存エラーレートのまま通信システム１００が運用され続けることを防止可能である。

　実施の形態３．
　実施の形態３は、通信監視装置２０を通信装置１０の内部に構築する点が実施の形態１，２と異なる。実施の形態３では、この異なる点を説明し、同一の点については説明を省略する。

　＊＊＊構成の説明＊＊＊
　図１３を参照して、実施の形態３に係る通信装置１０の機能構成を説明する。
　通信装置１０は、通信監視装置２０の機能構成要素である、計測部２１１と、通信エラー判定部２１２と、安全性判定部２１３と、通知部２１４とを備える。
　また、記憶装置１２には、管理パラメータ２２１Ａ及び管理パラメータ２２１Ｂと、エラー判定条件２２２と、安全判定条件２２３とが記憶される。

　安全通信層であるＳＣＬは、残存エラーレートを計算するために、各エラー種別の通信エラーの判定に必要なパラメータの計測及び計算を行っている。そして、通信装置１０の構成によっては、ＳＣＬによって得られたパラメータを記憶装置１２に記憶している場合がある。
　そこで、実施の形態３では、通信監視装置２０が備えていた機能構成要素のうちの計測部２１１及び通信エラー判定部２１２をＳＣＬの機能により実現する。管理パラメータ２２１のうち、通信エラー判定部２１２が必要な一部のパラメータを管理パラメータ２２１Ａとして、エラー判定条件２２２とともに記憶装置１２におけるＳＣＬの参照可能な領域に記憶した。そして、残りの機能構成要素である安全性判定部２１３及び通知部２１４を通信装置１０に追加した。管理パラメータ２２１のうち、安全性判定部２１３が必要な一部のパラメータを管理パラメータ２２１Ｂとして、安全判定条件２２３とともに記憶装置２２に記憶した。

　＊＊＊動作の説明＊＊＊
　図９を参照して、実施の形態３に係る通信装置１０の動作を説明する。
　ステップＳ１１からステップＳ１４の処理が通信装置１０によって実行される。この際、ステップＳ１２の判定結果をＳＣＬから安全性判定部２１３へ送信する方法としては、単純に安全Ｉ／Ｏ（Ｉｎｐｕｔ／Ｏｕｔｐｕｔ）を用いた通知を用いることができる。しかし、別途、専用の通信手段を設ける等してもよい。

　＊＊＊実施の形態３の効果＊＊＊
　以上のように、実施の形態３では、通信エラーの判定機能を通信装置１０が備える。これにより、低コストに通信監視装置２０の機能を構築可能である。

　また、ＳＣＬによっては、通信プロトコルに基づいた通信エラー判定が可能な場合がある。例えば、タイムスタンプチェックのＮＧ時の要因が、意図しない繰り返しと、順序不正と、喪失と、受容できない遅延と、挿入とのいずれであるかまで絞り込む判定が行われている場合がある。このような場合には、より具体的な警告を行うことが可能である。

　１０　通信装置、１１　演算装置、１２　記憶装置、１３　通信インタフェース、２０　通信監視装置、２１　演算装置、２２　記憶装置、２３　通信インタフェース、２１１　計測部、２１２　通信エラー判定部、２１３　安全性判定部、２１４　通知部、２２１　管理パラメータ、２２２　エラー判定条件、２２３　安全判定条件、３０　中継装置、４０　通信路、１００　通信システム。

Claims

　機能安全規格における安全通信を実現するための通信プロトコルで実装されているエラー対策に対応する複数のエラー判定条件であって、複数のエラー種別についての複数のエラー判定条件それぞれにより、通信装置によって受信されたメッセージの通信エラーを判定する通信エラー判定部と、
　前記通信エラー判定部によって通信エラーが判定された判定結果に基づき、前記複数のエラー種別それぞれの安全性を判定する安全性判定部と、
　前記安全性判定部によって安全性が判定された結果を通知する通知部と
を備える通信監視装置。
　前記安全性判定部は、前記複数のエラー種別それぞれを対象として、対象のエラー種別について、基準期間に前記通信装置によって受信されたメッセージの通信エラーが判定された前記判定結果と、前記安全通信における残存エラーレートの計算に使用されるパラメータのうちの前記対象のエラー種別に対応するパラメータとを比較して、前記対象のエラー種別の安全性を判定する
請求項１に記載の通信監視装置。
　前記安全性判定部は、前記判定結果に基づき、前記安全通信における残存エラーレートを計算し、
　前記通知部は、前記安全性判定部によって計算された残存エラーレートが基準レートよりも悪い場合に通知する
請求項１又は２に記載の通信監視装置。
　前記通知部は、前記残存エラーレートが前記基準レートよりも悪い場合に、前記通信装置において前記安全通信を実現する安全通信層に対して通知を行う
請求項３に記載の通信監視装置。
　通信エラー判定部が、機能安全規格における安全通信を実現するための通信プロトコルで実装されているエラー対策に対応する複数のエラー判定条件であって、複数のエラー種別についての複数のエラー判定条件それぞれにより、通信装置によって受信されたメッセージの通信エラーを判定し、
　安全性判定部が、通信エラーが判定された判定結果に基づき、前記複数のエラー種別それぞれの安全性を判定し、
　通知部が、安全性が判定された結果を通知すると
を備える通信監視方法。
　機能安全規格における安全通信を実現するための通信プロトコルで実装されているエラー対策に対応する複数のエラー判定条件であって、複数のエラー種別についての複数のエラー判定条件それぞれにより、通信装置によって受信されたメッセージの通信エラーを判定する通信エラー判定処理と、
　前記通信エラー判定処理によって通信エラーが判定された判定結果に基づき、前記複数のエラー種別それぞれの安全性を判定する安全性判定処理と、
　前記安全性判定処理によって安全性が判定された結果を通知する通知処理と
を実行する通信監視装置としてコンピュータを機能させる通信監視プログラム。