WO2022224651A1

WO2022224651A1 - 車載通信装置、通信方法及びコンピュータプログラム

Info

Publication number: WO2022224651A1
Application number: PCT/JP2022/012311
Authority: WO
Inventors: 翔悟上口
Original assignee: 株式会社オートネットワーク技術研究所; 住友電装株式会社; 住友電気工業株式会社
Priority date: 2021-04-23
Filing date: 2022-03-17
Publication date: 2022-10-27
Also published as: JP2022167561A

Abstract

イーサネット（登録商標）の通信プロトコルによる車両内の通信を実現する車載通信装置、通信方法及びコンピュータプログラムを提供する。　本実施の形態に係る車載通信装置は、車両に配された通信線を介してイーサネットの通信プロトコルで通信を行う通信部と、前記通信部が受信するフレームに含まれる情報、及び、当該フレームの正否を判定するための情報を対応付けて記憶する記憶部と、前記通信部が受信したフレームに含まれる情報、及び、前記記憶部に対応付けて記憶された情報を基に、前記フレームの正否を判定する処理部とを備え、前記処理部は、前記通信部が受信したフレームが正当なフレームではないと判定した場合に、当該フレームを破棄する。

Description

車載通信装置、通信方法及びコンピュータプログラム

　本開示は、車両に搭載された複数の装置がイーサネット（登録商標）の通信プロトコルで通信を行う車載通信装置、通信方法及びコンピュータプログラムに関する。

　特許文献１においては、複数の通信バスに接続されているゲートウェイ装置が、外部との情報の入出力機能を有さないＥＣＵ（Electronic Control Unit）が接続されている通信バスを介した通信と、外部との情報の入出力機能を有するＥＣＵが接続されている通信バスを介した通信とを区別し、中継の要否を判断する通信システムが提案されている。ゲートウェイ装置は、外部からの情報について、不正アクセスが検知されなかった場合に、車両内へ送信する。

　特許文献２においては、複数のバス間でフレームを転送するゲートウェイと、各バスに接続された不正検知ＥＣＵとを備えるネットワーク通信システムが提案されている。不正検知ＥＣＵは、受信されたフレームの所定フィールドの内容が不正を示す所定条件に該当するか否かを判定し、所定条件に該当すると判定された場合にエラーフレームを送信し、エラーフレームを送信した回数をエラーフレームの対象のフレームのＩＤ毎に記録し、ＩＤ毎の回数が所定回数を超えている場合に報知を行う。不正検知ＥＣＵは、フレームの所定フィールドで表されるＩＤを、複数の不正検知ＥＣＵ毎に異なるＩＤリスト情報が示すＩＤと比較することにより所定条件に係る判定を行う。

特開２０１３－１８７５５５号公報特開２０１９－９７２０６号公報

　特許文献１に記載の通信システム及び特許文献２に記載のネットワーク通信システムは、ＣＡＮ（Controller Area Network）の通信プロトコルで通信を行うシステムである。近年、例えば自動運転機能を搭載するなど車両の高機能化が進められており、これに伴って車両内の装置間の通信の高速化が求められている。通信の高速化を実現するために、車両内の通信をＣＡＮ以外の通信プロトコル、例えばイーサネットの通信プロトコルを車両内の通信に採用することが検討されている。

　本開示は、斯かる事情に鑑みてなされたものであって、その目的とするところは、イーサネットの通信プロトコルによる車両内の通信を実現する車載通信装置、通信方法及びコンピュータプログラムを提供することにある。

　本態様に係る車載通信装置は、車両に配された通信線を介してイーサネットの通信プロトコルで通信を行う通信部と、前記通信部が受信するフレームに含まれる情報、及び、当該フレームの正否を判定するための情報を対応付けて記憶する記憶部と、前記通信部が受信したフレームに含まれる情報、及び、前記記憶部に対応付けて記憶された情報を基に、前記フレームの正否を判定する処理部とを備え、前記処理部は、前記通信部が受信したフレームが正当なフレームではないと判定した場合に、当該フレームを破棄する。

　本願は、このような特徴的な処理部を備える装置として実現することができるだけでなく、かかる特徴的な処理をステップとする方法として実現したり、かかるステップをコンピュータに実行させるためのコンピュータプログラムとして実現したりすることができる。これらの装置の一部又は全部を実現する半導体集積回路として実現したり、これらの装置を含むその他の装置又はシステムとして実現したりすることができる。

　上記によれば、イーサネットの通信プロトコルによる車両内の通信を実現することが期待できる。

実施の形態１に係る車載通信システムの構成を示す模式図である。実施の形態１に係る車載中継装置の構成を示すブロック図である。実施の形態１に係るＥＣＵの構成を示すブロック図である。実施の形態１に係る通信システムにおいて送受信されるフレームの構成を説明するための模式図である。実施の形態１に係る車載中継装置が記憶する判定条件テーブルの一例を示す模式図である。実施の形態１に係る車載中継装置が行うフレーム判定処理の手順を示すフローチャートである。実施の形態２に係る車載中継装置が行う判定条件の更新を説明するための模式図である。実施の形態２に係る車載中継装置が行う判定条件更新処理の手順を示すフローチャートである。

［本開示の実施の形態の説明］
　最初に本開示の実施態様を列記して説明する。以下に記載する実施形態の少なくとも一部を任意に組み合わせてもよい。

（１）本態様に係る車載通信装置は、車両に配された通信線を介してイーサネットの通信プロトコルで通信を行う通信部と、前記通信部が受信するフレームに含まれる情報、及び、当該フレームの正否を判定するための情報を対応付けて記憶する記憶部と、前記通信部が受信したフレームに含まれる情報、及び、前記記憶部に対応付けて記憶された情報を基に、前記フレームの正否を判定する処理部とを備え、前記処理部は、前記通信部が受信したフレームが正当なフレームではないと判定した場合に、当該フレームを破棄する。

　本態様にあっては、車載通信装置がイーサネットの通信プロトコルで通信を行う通信部を備え、通信線を介して接続された他の車載装置との間でイーサネットの通信プロトコルによるフレームの送受信を行う。車載通信装置は、フレームに含まれる情報と、このフレームの正否を判定するための情報との対応を記憶しており、記憶した情報に基づいて通信部が他の車載装置から受信したフレームの正否を判定する。受信したフレームが正当でないと判定した場合、車載通信装置はこの受信フレームを破棄する。これにより車載通信装置は、不正なフレームを排除して、イーサネットの通信を行うことができる。

（２）前記通信部を複数備え、前記処理部は、一の通信部にて受信したフレームを他の通信部から送信する中継処理を行い、前記一の通信部が受信したフレームが正当なフレームであると判定した場合に、当該フレームを中継し、前記一の通信部が受信したフレームが正当なフレームではないと判定した場合に、当該フレームを中継しないことが好ましい。

　本態様にあっては、車載通信装置が他の複数の車載装置の間でフレームを中継する処理を行う。この場合に車載通信装置は、正当と判定したフレームを中継すると共に、正当ではないと判定したフレームを中継しない。これにより車載通信装置は、不正なフレームが他の車載装置へ中継されることを防止でき、不正なフレームの影響が車両内で広く波及することを防止できる。

（３）前記処理部は、正当なフレームではないと判定したフレームに含まれる情報を記憶し、当該フレームの送信元から以後に送信されたフレームを破棄することが好ましい。

　本態様にあっては、正当でないと判定したフレームに含まれる情報を車載通信装置が記憶しておき、以後に同様の情報を有するフレームが送信された場合には、このフレームを破棄する。これにより車載通信装置は、正当ではないと一度判定したフレームについては、判定の処理を行うことなく同様のフレームを排除することができる。

（４）前記フレームに含まれる情報には、送信元の装置のＭＡＣアドレス、ＩＰアドレスもしくはポート番号、又は、受信先の装置のＭＡＣアドレス、ＩＰアドレスもしくはポート番号を含むことが好ましい。

　本態様にあっては、フレームに含まれる情報に、送信元の装置のＭＡＣ（Media Access Control）アドレス、ＩＰ（Internet Protocol）アドレスもしくはポート番号、又は、受信先の装置のＭＡＣアドレス、ＩＰアドレスもしくはポート番号を含む。車載通信装置は、これらの情報に基づいてフレームの種類等を判定することができ、フレームの種類等に対応付けられた条件に基づいて不正なフレームであるか否かを判定することができる。

（５）前記正否を判定するための情報には、フレームの受信間隔に対する閾値を含むことが好ましい。

　本態様にあっては、フレームの正否を判定するための情報として、周期的に送信されるフレームの受信間隔に対する閾値を含む。これにより車載通信装置は、周期的に送信されるフレームが、周期とは異なるタイミングで受信されたことを判定することができ、このようなフレームを正当ではないと判定することができる。

（６）前記正否を判定するための情報には、フレームのペイロードの値に対する閾値を含むことが好ましい。

　本態様にあっては、フレームの正否を判定するための情報として、フレームのペイロードの値に対する閾値を含む。これにより車載通信装置は、例えば制御値又はセンサの検出値等の情報をペイロードに含むフレームについて、これらの値が正当な範囲内であるか否かを判定することができ、正当な範囲から逸脱する値を有するフレームを正当ではないと判定することができる。

（７）前記処理部は、前記通信部が受信したフレームに関する情報を前記記憶部に記憶し、記憶した前記情報に基づいて、前記正否を判定するための情報を更新する処理を行うことが好ましい。

　本態様にあっては、車載通信装置が受信したフレームに関する情報を記憶部に記憶し、記憶した情報に基づいてフレームの正否を判定するための情報を更新する。車両の状況等に適した情報の更新を行うことによって、車載通信装置は、車両の状況等に適したフレームの正否判定を行うことができ、車両の状況等に適したイーサネットの通信を行うことができる。

（８）本態様に係る通信方法は、車両に配された通信線を介してイーサネットの通信プロトコルで通信を行う車載通信装置が、受信するフレームに含まれる情報、及び、当該フレームの正否を判定するための情報を記憶部に対応付けて記憶しておき、受信したフレームに含まれる情報、及び、前記記憶部に対応付けて記憶された情報を基に、前記フレームの正否を判定し、受信したフレームが正当なフレームではないと判定した場合に、当該フレームを破棄する。

　本態様にあっては、態様（１）と同様に、不正なフレームを排除して、イーサネットの通信を行うことができる。

（９）本態様に係るコンピュータプログラムは、コンピュータに、車両に配された通信線を介してイーサネットの通信プロトコルで通信を行わせるコンピュータプログラムであって、受信するフレームに含まれる情報、及び、当該フレームの正否を判定するための情報を記憶部に対応付けて記憶しておき、前記コンピュータに、受信したフレームに含まれる情報、及び、前記記憶部に対応付けて記憶された情報を基に、前記フレームの正否を判定し、受信したフレームが正当なフレームではないと判定した場合に、当該フレームを破棄する処理を実行させる。

［本開示の実施形態の詳細］
　本開示の実施形態に係る車載通信システムの具体例を、以下に図面を参照しつつ説明する。本開示はこれらの例示に限定されるものではなく、請求の範囲によって示され、請求の範囲と均等の意味及び範囲内でのすべての変更が含まれることが意図される。

＜システム構成＞
　図１は、実施の形態１に係る車載通信システムの構成を示す模式図である。本実施の形態に係る車載通信システムは、車両１に搭載された１つの車載中継装置３と、複数のＥＣＵ５とを備えて構成されている。本実施の形態に係る車載通信システムは、車載中継装置３を中心に、複数のＥＣＵ５がそれぞれ個別の通信線を介して接続された構成、いわゆるスター型のネットワーク構成が採用されている。本実施の形態に係る車載通信システムは、車載中継装置３及びＥＣＵ５は、イーサネット（登録商標）の通信プロトコルを用いて通信を行う。

　車載中継装置３は、いわゆるゲートウェイ等の装置であり、通信線を介して接続された複数のＥＣＵ５間の通信を中継する処理を行う。複数のＥＣＵ５は、それぞれ車両１内の適所に配置され、例えば車両１の走行に関する制御処理、車両１の周辺情報を収集する情報処理、又は、ユーザに対する情報提供処理等の種々の処理をそれぞれ行っている。ＥＣＵ５は、これらの処理を行う際に他のＥＣＵ５との情報交換が必要となった場合、車載中継装置３を介してフレーム（メッセージ又はデータ等）を送受信することによって、必要な情報を交換することができる。

　例えば車両１に不正な装置が搭載された場合、又は、正当なＥＣＵ５等の装置が不正なソフトウェア等により乗っ取られた場合等には、これら不正な装置が車両１のネットワークに対して不正なフレーム送信を行う虞がある。そこで本実施の形態に係る車載通信システムでは、各車載中継装置３及びＥＣＵ５に、不正なフレームを検出して排除する機能が備えられている。車載中継装置３及びＥＣＵ５は、車両内のネットワークにて送受信されるフレームに含まれる情報、例えば送信元のＭＡＣアドレス又はＩＰアドレス等の情報を基にこのフレームの種類を判定し、フレームの種類に応じて定められた条件に基づいてこのフレームの正否を判定する。車載中継装置３及びＥＣＵ５は、受信したフレームが正当なものであれば、このフレームに含まれる情報を用いて種々の処理を行う。これに対して受信したフレームが正当なものでなければ、車載中継装置３及びＥＣＵ５は、受信したフレームを破棄し、フレームに含まれる情報を用いる処理を行わない。

　図２は、実施の形態１に係る車載中継装置３の構成を示すブロック図である。本実施の形態に係る車載中継装置３は、処理部（プロセッサ）３１、記憶部（ストレージ）３２、及び、複数の通信部３３等を備えて構成されている。処理部３１は、例えばＣＰＵ（Central Processing Unit）又はＭＰＵ（Micro-Processing Unit）等の演算処理装置を用いて構成されている。処理部３１は、記憶部３２に記憶されたプログラムを読み出して実行することにより、種々の処理を行うことができる。本実施の形態において処理部３１は、記憶部３２に記憶されたプログラム３２ａを読み出して実行することにより、一のＥＣＵ５から受信したフレームを他のＥＣＵ５へ送信する中継処理、及び、受信したフレームの正否を判定する処理等の種々の処理を行う。

　記憶部３２は、例えばフラッシュメモリ又はＥＥＰＲＯＭ（Electrically Erasable Programmable Read Only Memory）等の不揮発性のメモリ素子を用いて構成されている。記憶部３２は、処理部３１が実行する各種のプログラム、及び、処理部３１の処理に必要な各種のデータを記憶する。本実施の形態において記憶部３２は、処理部３１が実行するプログラム３２ａと、車載通信システムにおいて送受信されるフレームの正否を判定するための判定条件テーブル３２ｂとを記憶している。

　プログラム（コンピュータプログラム、プログラム製品）３２ａは、例えば車載中継装置３の製造段階において記憶部３２に書き込まれてもよく、例えば遠隔のサーバ装置などが配信するものを車載中継装置３が通信にて取得してもよく、例えばメモリカード又は光ディスク等の記録媒体９９に記録されたプログラムを車載中継装置３が読み出して記憶部３２に記憶してもよく、例えば記録媒体９９に記録されたものを書込装置が読み出して車載中継装置３の記憶部３２に書き込んでもよい。プログラム３２ａは、ネットワークを介した配信の態様で提供されてもよく、記録媒体９９に記録された態様で提供されてもよい。

　各通信部３３は、それぞれ通信線が接続され、この通信線を介してＥＣＵ５との間で通信を行う。本実施の形態において通信部３３は、イーサネットの通信プロトコルに従ってフレームの送受信を行う。通信部３３は、通信線を介して１つのＥＣＵ５と接続され、ＥＣＵ５と一対一の通信を行う。通信部３３は、例えばイーサネットＰＨＹ（physical layer）又はイーサネットスイッチ等のＩＣ（Integrated Circuit）を用いて構成され得る。図２においては、車載中継装置３が複数の通信部３３を備えているが、これに限るものではなく、例えば複数の通信部３３の機能が１つのＩＣに集約されていてもよい。更には、処理部３１、記憶部３２及び複数の通信部３３が１つのＩＣに集約されていてもよい。通信部３３は、処理部３１からデジタルデータとして与えられた送信用のフレームを電気信号に変換して通信線へ出力することにより、このフレームの送信を行う。通信部３３は、通信線の電位をサンプリングして取得することにより、通信線上の電気信号をデジタルデータに変換し、変換したデータを受信したフレームとして処理部３１へ与える。

　本実施の形態に車載中継装置３は、記憶部３２に記憶されたプログラム３２ａを処理部３１が読み出して実行することにより、通信処理部３１ａ及び判定処理部３１ｂ等が処理部３１にソフトウェア的な機能部として実現される。通信処理部３１ａは、通信部３３にてＥＣＵ５から送信されたフレームを受信する処理、及び、受信したフレームを一又は複数の他の通信部３３から一又は複数の他のＥＣＵ５へ送信する処理を行う事によって、複数のＥＣＵ５の間のフレームの送受信を中継する。ただし通信処理部３１ａは、受信したフレームについて判定処理部３１ｂによる正否判定を行わせ、正当と判定されたフレームのみを他のＥＣＵ５へ中継する。

　判定処理部３１ｂは、通信部３３が受信したフレームの正否を判定する処理を行う。判定処理部３１ｂは、受信したフレームに含まれるＭＡＣアドレス及びＩＰアドレス等の情報に基づいて記憶部３２に記憶された判定条件テーブル３２ｂを参照して判定条件を取得し、受信したフレームがこの判定条件を満たすか否かに基づいて、このフレームが正当なものであるか否かを判定する。判定処理部３１ｂは、フレームの正否の判定結果を通信処理部３１ａへ与える。

　図３は、実施の形態１に係るＥＣＵ５の構成を示すブロック図である。本図においては、ＥＣＵ５の通信機能に関する機能部を図示し、それ以外の機能（例えば制御対象に対する制御処理又はセンサによる検知処理等の各ＥＣＵ５に個別の機能）に関する機能部の図示は省略している。本実施の形態に係るＥＣＵ５は、処理部（プロセッサ）５１、記憶部（ストレージ）５２及び通信部５３等を備えて構成されている。本実施の形態に係るＥＣＵ５の処理部５１、記憶部５２及び通信部５３等の構成は、車載中継装置３の処理部３１、記憶部３２及び通信部３３等の構成と略同じであるため、詳細な説明は省略する。ただし本実施の形態に係るＥＣＵ５は通信部５３を１つ備え、通信処理部３１ａは車載中継装置３との通信に関する処理を行い、フレームを中継する処理は行わない。

　本実施の形態に係る通信システムでは、受信したフレームの正否を判定する処理を、車載中継装置３及びＥＣＵ５の両方が行うものとするが、これに限るものではない。受信したフレームの正否を判定する処理を、車載中継装置３又はＥＣＵ５のいずれか一方が行ってもよい。

＜フレーム正否判定処理＞
　図４は、実施の形態１に係る通信システムにおいて送受信されるフレームの構成を説明するための模式図である。本実施の形態に係る車載中継装置３及びＥＣＵ５が送受信するフレームは、数バイト～数十バイトのサイズのデータであり、ヘッダ及びペイロード等の情報格納領域が含まれている。ヘッダ領域には、例えば送信元ＭＡＣ、宛先ＭＡＣ、送信元ＩＰ、宛先ＩＰ、送信元ポート及び宛先ポート等の情報が含まれている。ペイロード領域には、例えば車両１の走行制御に係る制御値、又は、車両１に搭載されたセンサの検出値等の情報が含まれている。

　送信元ＭＡＣは、送信元となる車載中継装置３又はＥＣＵ５に対して一意に付されたＭＡＣアドレスである。送信元ＩＰは、送信元となる車載中継装置３又はＥＣＵ５に対して一意に付されたＩＰアドレスである。送信元ポートは、送信元となる車載中継装置３又はＥＣＵ５において、フレームの内容又は処理の種別等に応じて予め定められた複数のポート番号のうちの１つである。フレームを生成した車載中継装置３又はＥＣＵ５は、自身に付されたＭＡＣアドレス及びＩＰアドレスを送信元ＭＡＣ及び送信元ＩＰとしてフレームのヘッダ領域に格納すると共に、フレームの内容又は処理の種別等に応じたポート番号を送信元ポートとしてヘッダ領域に格納する。

　宛先ＭＡＣは、フレームの送信先となる（フレームを受信する）車載中継装置３又はＥＣＵ５のＭＡＣアドレスである。宛先ＩＰは、送信先となる車載中継装置３又はＥＣＵ５のＩＰアドレスである。宛先ポートは、送信先となる車載中継装置３又はＥＣＵ５において、フレームの内容又は処理の種別等に応じて予め定められた複数のポート番号のうちの１つである。フレームを生成した車載中継装置３又はＥＣＵ５は、このフレームの送信先となる車載中継装置３又はＥＣＵ５のＭＡＣアドレス及びＩＰアドレスを宛先ＭＡＣ及び宛先ＩＰとしてフレームのヘッダ領域に格納すると共に、フレームの内容又は処理の種別等に応じたポート番号を宛先ポートとしてヘッダ領域に格納する。

　フレームのペイロード領域は、固定長又は可変長のいずれであってもよく、一又は複数の制御値又は検出値等が格納される。制御値には、例えば車両１のステアリングの舵角、エンジンの燃料噴射量、ブレーキの操作量、又は、ヘッドライトのオン／オフ等の種々の値が含まれ得る。検出値には、例えば車両１の速度、エンジンの回転数、タイヤの空気圧、又は、車両１の周辺の障害物の有無等の種々の値が含まれ得る。ペイロード領域には、制御値及び検出値以外の種々の情報が格納されてよい。

　図４に示すフレームの構成及びフレーム内に格納される情報は一例であって、これに限るものではない。

　図５は、実施の形態１に係る車載中継装置３が記憶する判定条件テーブル３２ｂの一例を示す模式図である。本実施の形態に係るＥＣＵ５は、同様の判定条件テーブル５２ｂを記憶している。本実施の形態に係る判定条件テーブル３２ｂは、受信したフレームに含まれる「フレーム情報」と、このフレームの正否を判定するための「判定条件」とを対応付けて記憶している。

　判定条件テーブル３２ｂの「フレーム情報」は、図４に示したフレームのヘッダ領域に格納される送信元ＭＡＣ、宛先ＭＡＣ、送信元ＩＰ、宛先ＩＰ、送信元ポート及び宛先ポート等の情報である。本実施の形態に係る車載通信システムでは、これらの６つの情報の組み合わせに基づいてフレームの種類を特定している。ただしフレームの種類の特定は、上記の６つの情報のうちの１つ～５つの情報に基づいて行われてもよく、上記の６つの情報とは異なる情報に基づいて行われてもよく、上記の６つの情報の少なくとも１つと上記の６つとは異なる少なくとも１つの情報との組み合わせに基づいて行われてもよい。

　判定条件テーブル３２ｂの「判定条件」には、本実施の形態に係る車載通信システムでは、「受信間隔」及び「ペイロード値」の２つの条件が含まれ得る。「受信間隔」は、「フレーム情報」で特定される正当なフレームを受信する間隔であり、所定の時間範囲が例えば「Ｔ１～Ｔ２」及び「Ｔ３～Ｔ４」等のように上限及び下限を定める２つの閾値を用いて設定される。「受信間隔」の判定条件は、例えば「Ｔ５以上」又は「Ｔ６以下」等のように、上限又は下限のみが設定されてもよい。

　本実施の形態に係る車載通信システムにおいて、各ＥＣＵ５は、自身の処理にて得られた制御値又は検出値等の情報を、その情報の種別に応じた送信周期でフレームとして繰り返し送信している。判定条件テーブル３２ｂの「受信間隔」には、フレームの種別毎に予め決定される送信周期を基に、このフレームの送受信の処理等に伴って発生する遅延時間を考慮した範囲が、本実施の形態に係る車載通信システムの設計者等により予め設定される。

　ＥＣＵ５が送信するフレームには、周期的に送信されるフレームの他に、何らかのイベントの発生に応じて送信される非周期のフレームが含まれ得る。このようなフレームについては、判定条件テーブル３２ｂに「受信間隔」の判定条件は設定されない。

　判定条件テーブル３２ｂの「ペイロード値」の判定条件は、フレームのペイロード領域に格納される制御値又は検出値等の値に対する正当な範囲であり、例えば「Ａ１～Ａ２」及び「Ａ３～Ａ４」等のように上限及び下限を定める２つの閾値を用いて設定される。「ペイロード値」の判定条件は、「Ａ５以上」又は「Ａ６以下」等のように、上限又は下限のみが設定されてもよい。フレームのペイロード領域には複数の値が格納される場合があり、このような場合には複数の値に対して同じ閾値を用いて正当であるか否かの判定が行われてもよく、値毎に異なる閾値が判定条件テーブル３２ｂに記憶されていてもよい。

　車載中継装置３は、ＥＣＵ５が送信したフレームを受信した場合、受信したフレームのヘッダ領域に格納されている「送信元ＭＡＣ」～「宛先ポート」の情報を取得する。車載中継装置３は、取得した情報を基に記憶部３２の判定条件テーブル３２ｂを参照し、受信したフレームの種類に対応する判定条件を取得する。車載中継装置３は、フレームの種類毎に、前回のフレーム受信からの経過時間を計測しており、前回のフレーム受信から今回のフレーム受信までの時間を受信間隔として取得する。車載中継装置３は、フレームの受信間隔が判定条件テーブル３２ｂに設定された受信間隔の判定条件を満たすか否かを判定することにより、受信したフレームが正当なフレームであるか否かを判定する。

　受信したフレームが正当なフレームであると判定した場合、車載中継装置３は、このフレームを利用する処理、即ちこのフレームを他のＥＣＵ５へ送信する中継処理を行う。車載中継装置３は、受信したフレームのヘッダ領域に格納された情報に基づいて、このフレームの中継先のＥＣＵ５を決定し、決定したＥＣＵ５へこのフレームを送信する。

　受信したフレームが正当なフレームではないと判定した場合、車載中継装置３は、このフレームを破棄する。本実施の形態においてフレームの破棄は、車載中継装置３のメモリ等からこのフレームの情報を消去する事を要求するものではなく、車載中継装置３がこのフレームを以後の処理に利用しない、即ち他のＥＣＵ５へ中継しない事で足りる。ただし、車載中継装置３は、正当でないと判定したフレームをメモリ等から消去するフレームを破棄してもよい。

　本実施の形態に係る車載中継装置３は、正当ではないと判定したフレームの「送信元ＭＡＣ」～「宛先ポート」のフレーム情報を拒否リストに登録する。拒否リストは、例えば車載中継装置３の記憶部３２に設けられ、受信を拒否するフレーム情報を記憶する。車載中継装置３は、受信したフレームのヘッダ領域に格納された情報を取得し、この情報が拒否リストに登録されているか否かを調べ、拒否リストに登録されていればこのフレームの受信を拒否する。この際に車載中継装置３は、フレームが判定条件テーブル３２ｂに設定された判定条件を満たすか否かの判定は行わずに、拒否リストに登録されたフレームを破棄する。

　車載中継装置３はＥＣＵ５からのフレームを受信して拒否リストに登録されているか否かを判定しており、本実施の形態においてフレームの受信拒否は、拒否リストに登録されたフレームを以後の処理に利用しない事で足りる。ただし、車載中継装置３は、例えばフレームのヘッダ領域まで受信した段階で拒否リストを参照してこのフレームを受信するか否かを判定し、受信しないと判定した場合にはこのフレームのペイロード領域の受信を行わないことでフレームの受信拒否を行ってもよい。車載中継装置３は、拒否リストに情報を登録することによるフレームの受信拒否の処理を行わなくてよく、この場合には受信したフレームに対して判定条件テーブル３２ｂの判定条件を用いた正否判定を行う。

　図６は、実施の形態１に係る車載中継装置３が行うフレーム判定処理の手順を示すフローチャートである。本実施の形態に係る車載中継装置３の処理部３１の通信処理部３１ａは、いずれかの通信部３３にてＥＣＵ５からのフレームを受信したか否かを判定する（ステップＳ１）。フレームを受信していない場合（Ｓ１：ＮＯ）、通信処理部３１ａは、フレームを受信するまで待機する。フレームを受信した場合（Ｓ１：ＹＥＳ）、通信処理部３１ａは、受信したフレームに含まれるヘッダの情報及びペイロードの情報等を取得する（ステップＳ２）。

　処理部３１の判定処理部３１ｂは、ステップＳ２にて取得したフレームのヘッダの情報を基に、このフレームの情報が受信の拒否リストに登録された情報に該当するか否かを判定する（ステップＳ３）。フレームの情報が拒否リストに該当する場合（Ｓ３：ＹＥＳ）、判定処理部３１ｂは、受信したフレームを破棄して（ステップＳ１０）、処理を終了する。

　受信したフレームの情報が拒否リストに該当しない場合（Ｓ３：ＮＯ）、判定処理部３１ｂは、前回に同じ種類のフレームを受信してから今回のフレームを受信するまでの時間、即ちフレームの受信間隔を測定する（ステップＳ４）。判定処理部３１ｂは、ステップＳ２にて取得したフレーム情報に基づいて判定条件テーブル３２ｂを参照し、受信したフレームの種類に対応する判定条件を取得する（ステップＳ５）。判定処理部３１ｂは、ステップＳ４にて測定した受信間隔及びステップＳ２にて取得したフレームの情報（ペイロード領域に格納された制御値又は検出値等の値）がステップＳ５にて取得した判定条件を満たすか否かに基づいて、受信したフレームが正当なものであるか否かを判定する（ステップＳ６）。受信したフレームが正当なものである場合（Ｓ６：ＹＥＳ）、通信処理部３１ａは、受信したフレームを他のＥＣＵ５へ送信することによりフレームを中継し（ステップＳ７）、処理を終了する。

　受信したフレームが正当なものでない場合（Ｓ６：ＮＯ）、判定処理部３１ｂは、正当でないと判定したフレームの情報を、例えば後の解析処理等に用いるログとして記憶部３２に記憶する（ステップＳ８）。判定処理部３１ｂは、正当でないと判定したフレームのヘッダの情報を拒否リストに登録することによって、このフレームと同じ種類のフレームを受信拒否に設定する（ステップＳ９）。判定処理部３１ｂは、正当でないと判定したフレームを破棄して（ステップＳ１０）、処理を終了する。

＜まとめ＞
　以上の構成の本実施の形態に係る車載通信システムでは、車載中継装置３がイーサネットの通信プロトコルで通信を行う通信部３３を備え、通信線を介して接続されたＥＣＵ５との間で、イーサネットの通信プロトコルによるフレームの送受信を行う。車載中継装置３は、フレームに含まれる情報と、このフレームの正否を判定するための情報との対応を判定条件テーブル３２ｂに記憶しており、記憶した情報に基づいて受信フレームの正否を判定する。受信したフレームが正当でないと判定した場合、車載中継装置３は、この受信フレームを破棄する。ＥＣＵ５も同様に、受信フレームの正否を判定し、正当でないフレームを破棄する処理を行う。これにより車載中継装置３は、不正なフレームを排除して、ＥＣＵ５との間でイーサネットの通信を行うことができる。

　また本実施の形態に係る車載通信システムでは、車載中継装置３が複数のＥＣＵ５の間でフレームを中継する処理を行う。この場合に車載中継装置３は、正当と判定したフレームを中継すると共に、正当ではないと判定したフレームを中継しない。これにより車載中継装置３は、不正なフレームが他のＥＣＵ５へ中継されることを防止でき、不正なフレームの影響が車両１内で広く波及することを防止できる。

　また本実施の形態に係る車載通信システムでは、正当でないと判定したフレームのヘッダ領域に格納された情報を車載中継装置３が拒否リストに登録しておき、以後に同様の情報を有するフレームの受信を拒否する（フレームを受信しても破棄する）。これにより車載中継装置３は、正当でないと一度判定したフレームについては、以後に同様の判定を行うことなく、同種類のフレームを破棄することができる。

　また本実施の形態に係る車載通信システムでは、フレームのヘッダ領域に送信元ＭＡＣ、宛先ＭＡＣ、送信元ＩＰ、宛先ＩＰ、送信元ポート及び宛先ポート等の情報が格納される。車載中継装置３は、これらの情報を基に受信したフレームの種類を判断して判定条件テーブル３２ｂから対応する判定条件を取得し、取得した判定条件に基づいて受信したフレームの正否を判定することができる。

　また本実施の形態に係る車載通信システムでは、受信したフレームの正否を判定するための情報として、周期的に送信されるフレームの受信間隔に対する閾値が判定条件テーブル３２ｂに記憶される。これにより車載中継装置３は、周期的に送信されるフレームが、周期とは異なるタイミングで受信されたことを判定することができ、このようなフレームを正当ではないと判定することができる。

　また本実施の形態に係る車載通信システムでは、受信したフレームの正否を判定するための情報として、フレームのペイロード領域に格納される値に対する閾値が判定条件テーブル３２ｂに記憶される。これにより車載中継装置３は、例えばフレームのペイロード領域に含まれる制御値又は検出値等の値が正当な範囲内であるか否かを判定することができ、相当な範囲から逸脱する値を有するフレームを正当ではないと判定することができる。

　本実施の形態において、図１に示した車載通信システムのネットワーク構成、車両１に搭載される装置の種類及び数等は、一例であってこれに限るものではない。また図４に示したフレームの構成、図５に示した判定条件テーブル３２ｂの構成及びその値等は、一例であってこれに限るものではない。

＜実施の形態２＞
　実施の形態２に係る情報処理システムでは、車載中継装置３が有する判定条件テーブル３２ｂ（ＥＣＵ５が有する判定条件テーブル５２ｂ）の判定条件を更新する処理を、車載中継装置３（ＥＣＵ５）が行う。実施の形態２に係る車載中継装置３は、受信したフレームが正当なフレームであると判定した場合に、このフレームに関する情報を記憶部３２にログとして記憶する。ログとして記憶する情報には、例えば受信したフレームのヘッダ領域に格納された情報、ペイロード領域に格納された情報、及び、前回のフレームの受信からの経過時間（即ち受信間隔）等が含まれ得る。

　実施の形態２に係る車載中継装置３は、ログとして記憶したこれらの情報に基づいて、所定のタイミングで判定条件テーブル３２ｂの判定条件を更新する。車載中継装置３は、例えば車両１のイグニッションスイッチがオンもしくはオフされたタイミングで、例えばイグニッションスイッチのオンもしくはオフが所定回数行われたタイミングで、例えば１週間に１回もしくは１ヶ月に１回等の所定の周期で、例えばログとして記憶した情報の量が閾値を超えたタイミング等の、種々のタイミングで判定条件の更新を行ってよい。上記のタイミングは一例であってこれに限るものではなく、車載中継装置３は、どのようなタイミングで判定条件の更新を行ってもよい。

　図７は、実施の形態２に係る車載中継装置３が行う判定条件の更新を説明するための模式図である。図７に示す例は、判定条件テーブル３２ｂの「受信間隔」の判定条件を更新する場合の例である。車載中継装置３は、正当と判定したフレームについて、フレームの種別毎（即ちヘッダ領域に格納された情報の組み合わせ毎）に受信間隔をログとして記憶している。判定条件の更新を行うタイミングに至った場合、車載中継装置３は、ログとして記憶した受信間隔の情報を集計する。図７には、正当なフレームの受信間隔を横軸とし、縦軸を正当なフレームの受信回数としたグラフを示している。図７のグラフには、更新前の閾値（上限値及び下限値の２つの閾値）を「旧閾値」のラベルを付した破線で示し、更新後の閾値を「新閾値」のラベルを付した一点鎖線で示している。

　車載中継装置３は、受信間隔の集計結果に基づいて、受信間隔の最大値と閾値の上限値とのマージンを算出すると共に、受信間隔の最小値と閾値の下限値とのマージンを算出する。算出したこれらのマージンが予め定められた更新閾値より大きい場合（即ちフレームの受信間隔が閾値の範囲に対して余裕がある場合）、閾値の範囲を狭める方向へ閾値の上限値及び下限値を更新する。算出したこれらのマージンが予め定められた更新閾値より小さい場合（即ちフレームの受信間隔が閾値の範囲に対して余裕がない場合）、閾値の範囲を広げる方向へ閾値の上限値及び下限値を更新する。このときに車載中継装置３は、予め定められた更新値（例えば閾値のＸ％又は受信間隔の平均値のＹ％等の値）だけ閾値を増減させることで更新を行う。

　本例では、フレームの受信間隔の判定条件についての更新を説明したが、ペイロード値の判定条件に付いても同様の方法で更新処理を行うことができるため、説明は省略する。各ＥＣＵ５についても同様の方法で判定条件の更新処理を行うことができる。ただし、例えば車載中継装置３が更新処理を行ってその結果を各ＥＣＵ５へ通知し、各ＥＣＵ５は車載中継装置３からの通知に応じて自身の判定条件テーブル５２ｂの判定条件を更新してもよい。

　図８は、実施の形態２に係る車載中継装置３が行う判定条件更新処理の手順を示すフローチャートである。実施の形態２に係る車載中継装置３の処理部３１は、いずれかの通信部３３にてＥＣＵ５から正当なフレームを受信したか否かを判定する（ステップＳ２１）。ステップＳ２１の判定は、図６に示したフローチャートのステップＳ６の判定と兼ねることができる。正当なフレームを受信していない場合（Ｓ２１：ＮＯ）、処理部３１は、正当なフレームを受信するまで待機する。正当なフレームを受信した場合（Ｓ２１：ＹＥＳ）、処理部３１は、受信したフレームに関して受信間隔及びペイロード値等の情報をログとして記憶部３２に記憶する（ステップＳ２２）。

　次いで処理部３１は、判定条件テーブル３２ｂの判定条件を更新する所定のタイミングに至ったか否かを判定する（ステップＳ２３）。更新タイミングに至っていない場合（Ｓ２３：ＮＯ）、処理部３１は、処理を終了する。更新タイミングに至った場合（Ｓ２３：ＹＥＳ）、処理部３１は、ログとして記憶部３２に記憶した情報と、判定条件テーブル３２ｂに設定された判定条件の閾値とを読み出す（ステップＳ２４）。

　処理部３１は、ログとして記憶された情報を集計して受信間隔及びペイロード値について上限値及び下限値を取得し、判定条件テーブル３２ｂに設定された判定条件の上限及び下限の閾値と比較することによって、判定条件に余裕があるか否かを判定する（ステップＳ２５）。判定条件に余裕がある場合（Ｓ２５：ＹＥＳ）、処理部３１は、判定条件を狭める（厳しくする）方向へ閾値を更新し（ステップＳ２６）、処理を終了する。判定条件に余裕がない場合（Ｓ２５：ＮＯ）、処理部３１は、判定条件を広げる（緩める）方向へ閾値を更新し（ステップＳ２７）、処理を終了する。

　以上の構成の実施の形態２に係る車載通信システムでは、車載中継装置３が受信した正当なフレームに関する情報を記憶部に記憶し、記憶した情報に基づいて判定条件テーブル３２ｂに設定された判定条件を更新する処理を行う。これにより車載中継装置３は、車両１の状況等に適した判定条件の更新を行うことができ、車両１の状況等に適したフレームの正否判定を行うことができ、車両１の状況等に適したイーサネットの通信を行うことができる。

　なお実施の形態２においては、車載中継装置３が正当と判定したフレームの情報をログとして記憶する構成としたが、これに限るものではなく、正当ではないと判定したフレームの情報もログとして記憶してよい。車載中継装置３は、正当と判定したフレーム及び正当ではないと判定したフレームの情報に基づいて、判定条件の更新を行ってよい。例えば車載中継装置３は、正当なフレームの情報及び閾値のマージンと、正当ではないと判定したフレームの情報及び閾値のマージンとが同程度となるように、閾値を更新することができる。

　また、実施の形態２に係る車載通信システムのその他の構成は、実施の形態１に係る車載通信システムと同様であるため、同様の箇所には同じ符号を付し、詳細な説明を省略する。

　車載通信装置は、マイクロプロセッサ、ＲＯＭ及びＲＡＭ等を含んで構成されるコンピュータを備える。マイクロプロセッサ等の演算処理部は、図６，図８に示すような、シーケンス図又はフローチャートの各ステップの一部又は全部を含むコンピュータプログラム（プログラム製品）を、ＲＯＭ、ＲＡＭ等の記憶部からそれぞれ読み出して実行してよい。これら複数の装置のコンピュータプログラムは、それぞれ、外部のサーバ装置等からインストールすることができる。また、これらのコンピュータプログラムは、それぞれ、ＣＤ－ＲＯＭ、ＤＶＤ－ＲＯＭ、半導体メモリ等の記録媒体に格納された状態で流通する。

　今回開示された実施形態はすべての点で例示であって、制限的なものではないと考えられるべきである。本開示の範囲は、上記した意味ではなく、請求の範囲によって示され、請求の範囲と均等の意味及び範囲内でのすべての変更が含まれることが意図される。

　１　車両
　３　車載中継装置（車載通信装置）
　５　ＥＣＵ（車載通信装置）
　３１　処理部
　３１ａ　通信処理部
　３１ｂ　判定処理部
　３２　記憶部
　３２ａ　プログラム
　３２ｂ　判定条件テーブル
　３３　通信部
　５１　処理部
　５１ａ　通信処理部
　５１ｂ　判定処理部
　５２　記憶部
　５２ａ　プログラム
　５２ｂ　判定条件テーブル
　５３　通信部
　９９　記録媒体

Claims

　車両に配された通信線を介してイーサネットの通信プロトコルで通信を行う通信部と、
　前記通信部が受信するフレームに含まれる情報、及び、当該フレームの正否を判定するための情報を対応付けて記憶する記憶部と、
　前記通信部が受信したフレームに含まれる情報、及び、前記記憶部に対応付けて記憶された情報を基に、前記フレームの正否を判定する処理部と
　を備え、
　前記処理部は、前記通信部が受信したフレームが正当なフレームではないと判定した場合に、当該フレームを破棄する、
　車載通信装置。
　前記通信部を複数備え、
　前記処理部は、
　一の通信部にて受信したフレームを他の通信部から送信する中継処理を行い、
　前記一の通信部が受信したフレームが正当なフレームであると判定した場合に、当該フレームを中継し、
　前記一の通信部が受信したフレームが正当なフレームではないと判定した場合に、当該フレームを中継しない、
　請求項１に記載の車載通信装置。
　前記処理部は、
　正当なフレームではないと判定したフレームに含まれる情報を記憶し、
　当該フレームの送信元から以後に送信されたフレームを破棄する、
　請求項１又は請求項２に記載の車載通信装置。
　前記フレームに含まれる情報には、送信元の装置のＭＡＣアドレス、ＩＰアドレスもしくはポート番号、又は、受信先の装置のＭＡＣアドレス、ＩＰアドレスもしくはポート番号を含む、
　請求項１から請求項３までのいずれか１つに記載の車載通信装置。
　前記正否を判定するための情報には、フレームの受信間隔に対する閾値を含む、
　請求項１から請求項４までのいずれか１つに記載の車載通信装置。
　前記正否を判定するための情報には、フレームのペイロードの値に対する閾値を含む、
　請求項１から請求項５までのいずれか１つに記載の車載通信装置。
　前記処理部は、
　前記通信部が受信したフレームに関する情報を前記記憶部に記憶し、
　記憶した前記情報に基づいて、前記正否を判定するための情報を更新する処理を行う、
　請求項１から請求項６までのいずれか１つに記載の車載通信装置。
　車両に配された通信線を介してイーサネットの通信プロトコルで通信を行う車載通信装置が、
　受信するフレームに含まれる情報、及び、当該フレームの正否を判定するための情報を記憶部に対応付けて記憶しておき、
　受信したフレームに含まれる情報、及び、前記記憶部に対応付けて記憶された情報を基に、前記フレームの正否を判定し、
　受信したフレームが正当なフレームではないと判定した場合に、当該フレームを破棄する、
　通信方法。
　コンピュータに、車両に配された通信線を介してイーサネットの通信プロトコルで通信を行わせるコンピュータプログラムであって、
　受信するフレームに含まれる情報、及び、当該フレームの正否を判定するための情報を記憶部に対応付けて記憶しておき、
　前記コンピュータに、
　受信したフレームに含まれる情報、及び、前記記憶部に対応付けて記憶された情報を基に、前記フレームの正否を判定し、
　受信したフレームが正当なフレームではないと判定した場合に、当該フレームを破棄する
　処理を実行させる、コンピュータプログラム。