WO2023037711A1

WO2023037711A1 - 車載中継装置、車載中継方法および車載中継プログラム

Info

Publication number: WO2023037711A1
Application number: PCT/JP2022/025512
Authority: WO
Inventors: 小林拓也; 宮下之宏; 小林直人; 中島伸広
Original assignee: 株式会社オートネットワーク技術研究所; 住友電装株式会社; 住友電気工業株式会社
Priority date: 2021-09-07
Filing date: 2022-06-27
Publication date: 2023-03-16
Also published as: JP2023038577A

Abstract

車載中継装置は、車載装置からフレームを受信する受信部と、前記受信部により受信された前記フレームの中継処理を行う第１のＩＣ（Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）と、前記受信部により受信された前記フレームを監視することにより不正フレームを検知する検知処理を行う第２のＩＣとを備える。

Description

車載中継装置、車載中継方法および車載中継プログラム

　本開示は、車載中継装置、車載中継方法および車載中継プログラムに関する。
　この出願は、２０２１年９月７日に出願された日本出願特願２０２１－１４５３８０号を基礎とする優先権を主張し、その開示のすべてをここに取り込む。

　特許文献１（特開２００７－１６６３０２号公報）には、以下のような車載ネットワーク中継装置が開示されている。すなわち、車載ネットワーク中継装置は、複数のネットワークを備えると共に、通信フレームの最初の情報領域に該通信フレームの送信先を特定可能なＩＤが配置される通信プロトコルに従って、前記各ネットワークに接続された電子装置が通信を行う車載通信システムに用いられ、異なるネットワーク間で転送されるべき通信フレームを中継する車載ネットワーク中継装置であって、中継元のネットワークに接続された電子装置から該ネットワークへ送出された通信フレームを受信して、その通信フレームの各ビットを順次出力する受信手段と、前記受信手段から出力される通信フレームの各ビットを順次格納するバッファと、前記バッファと並行して動作し、前記受信手段から出力される通信フレームにおける前記ＩＤに基づいて、当該通信フレームを中継すべき中継先のネットワーク（以下、中継先ネットワークという）を決定する中継先決定手段と、前記中継先決定手段により中継先ネットワークが決定されると、その決定された中継先ネットワークにデータを送信するための送信手段へ、送信対象として、前記バッファに格納されている各ビットを先頭のビットから順に供給する中継転送手段と、を備えている。

　また、車載ネットワークのセキュリティ性を向上させるために、車載ネットワークにおいて送信された不正フレームを検知する技術が開発されている。たとえば、特許文献２（特開２０１７－１２３６３９号公報）には、以下のような監視電子制御ユニットが開示されている。すなわち、監視電子制御ユニットは、バスを介して通信を行う複数の電子制御ユニットを備える車載ネットワークシステムにおいて前記バスに接続された監視電子制御ユニットであって、第１識別子を有するフレームと、第１識別子とは異なる識別子を有するフレームとの内容の関係についての条件である第１条件を示す不正検知ルール情報を保持する不正検知ルール保持部と、前記バスからフレームを逐次受信する受信部と、前記受信部により前記バスから受信されたフレームの集合が、前記不正検知ルール情報が示す前記第１条件を満たすか否かを判定する不正判定部とを備える。

特開２００７－１６６３０２号公報特開２０１７－１２３６３９号公報

　本開示の車載中継装置は、車載装置からフレームを受信する受信部と、前記受信部により受信された前記フレームの中継処理を行う第１のＩＣ（Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）と、前記受信部により受信された前記フレームを監視することにより不正フレームを検知する検知処理を行う第２のＩＣとを備える。

　本開示の車載中継方法は、第１のＩＣおよび第２のＩＣを備える車載中継装置における車載中継方法であって、車載装置からフレームを受信するステップと、前記第１のＩＣが、前記フレームの中継処理を行うステップと、前記第２のＩＣが、前記フレームを監視することにより不正フレームを検知するステップとを含む。

　本開示の車載中継プログラムは、車載装置からフレームを受信する車載中継装置において用いられる車載中継プログラムであって、受信した前記フレームの中継処理を行う第１のＩＣと、受信した前記フレームを監視することにより不正フレームを検知する検知処理を行う第２のＩＣ、として機能させるためのプログラムである。

　本開示の一態様は、このような特徴的な処理部を備える車載中継装置として実現され得るだけでなく、車載中継装置の一部または全部を実現する半導体集積回路として実現され得たり、車載中継装置を含む車載通信システムとして実現され得る。

図１は、本開示の実施の形態に係る車載通信システムの構成を示す図である。図２は、本開示の実施の形態に係る車載通信システムにおける車載ＥＣＵにより送信されるＣＡＮフレームの一例を示す図である。図３は、本開示の実施の形態に係る車載中継装置の構成を示す図である。図４は、比較例に係る車載通信システムにおける中継処理のタイミングチャートを示す図である。図５は、本開示の実施の形態に係る車載通信システムにおける中継処理のタイミングチャートの一例を示す図である。図６は、本開示の実施の形態に係る車載通信システムにおける中継処理のタイミングチャートの一例を示す図である。図７は、本開示の実施の形態に係る車載中継装置が中継処理および検知処理を行う際の動作手順の一例を定めたフローチャートである。図８は、本開示の実施の形態に係る車載中継装置が検知処理を行う際の動作手順の一例を定めたフローチャートである。図９は、本開示の実施の形態に係る車載中継装置が不正フレームの中継処理の停止の確認を行う際の動作手順の一例を定めたフローチャートである。図１０は、本開示の実施の形態に係る車載中継装置が中継処理を行う際の動作手順の一例を定めたフローチャートである。図１１は、本開示の実施の形態の変形例に係る車載通信システムの構成を示す図である。図１２は、本開示の実施の形態の変形例に係る車載中継装置の構成を示す図である。図１３は、本開示の実施の形態の変形例に係る車載通信システムの構成を示す図である。図１４は、本開示の実施の形態の変形例に係る車載中継装置の構成を示す図である。

　従来、車載ネットワークにおいて中継処理を行う中継装置が開発されている。

　［本開示が解決しようとする課題］
　しかしながら、車載中継装置において不正フレームを検知する処理および中継処理を行う場合、車載中継装置における処理負荷が増大し、通信遅延が生じる場合がある。

　本開示は、上述の課題を解決するためになされたもので、その目的は、車載ネットワークにおける通信遅延を抑制しながらセキュリティ性を向上させることが可能な車載中継装置、車載中継方法および車載中継プログラムを提供することである。

　［本開示の効果］
　本開示によれば、車載ネットワークにおける通信遅延を抑制しながらセキュリティ性を向上させることができる。

　［本開示の実施形態の説明］
　最初に、本開示の実施形態の内容を列記して説明する。

　（１）本開示の実施の形態に係る車載中継装置は、車載装置からフレームを受信する受信部と、前記受信部により受信された前記フレームの中継処理を行う第１のＩＣと、前記受信部により受信された前記フレームを監視することにより不正フレームを検知する検知処理を行う第２のＩＣとを備える。

　このように、本開示の車載中継装置は、中継処理を行う第１のＩＣとは別に、検知処理を行う第２のＩＣを備える構成により、第１のＩＣにおいて中継処理および検知処理を行う構成と比べて、車載中継装置における処理負荷を分散し、第１のＩＣの処理負荷を低減することができる。したがって、本開示の車載中継装置は、車載ネットワークにおける通信遅延を抑制しながらセキュリティ性を向上させることができる。

　（２）前記第２のＩＣは、前記不正フレームを検知したことを示す検知結果を前記第１のＩＣへ通知してもよく、前記第１のＩＣは、前記第２のＩＣから通知された前記検知結果に基づいて、前記不正フレームの前記中継処理を停止してもよい。

　このような構成により、本開示の車載中継装置は、中継先の車載装置による不正フレームの受信を防止することができるので、セキュリティ性をより向上させることができる。

　（３）前記第１のＩＣは、プロセッサであり、前記第２のＩＣは、ＰＬＤ（Ｐｒｏｇｒａｍｍａｂｌｅ　Ｌｏｇｉｃ　Ｄｅｖｉｃｅ）から構成される回路を有してもよい。

　このような構成により、本開示の車載中継装置の製造者またはユーザは、中継処理を行う既存のプロセッサにより構成される車載中継装置に当該ＰＬＤを加えることより、高性能なプロセッサにアップグレードすることなく、セキュリティ性を向上させた車載中継装置を実現することができる。

　（４）前記第２のＩＣは、ＦＰＧＡ（Ｆｉｅｌｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）から構成される回路を有してもよい。

　このような構成により、本開示の車載中継装置の製造者またはユーザは、第２のＩＣにより行われる検知処理の内容をより柔軟に変更することができる。

　（５）前記第１のＩＣは、前記受信部により受信された前記フレームを取得して前記中継処理を行ってもよく、前記第２のＩＣは、前記第１のＩＣによる前記フレームの取得が完了する前に前記検知処理を行ってもよい。

　このような構成により、本開示の車載中継装置は、検知処理を行うことに起因して発生する中継遅延時間をより短くすることができる。

　（６）前記車載中継装置は、さらに、複数の通信ポートを備えてもよく、前記第１のＩＣは、前記受信部により前記複数の通信ポート経由でそれぞれ受信された複数の前記フレームの前記中継処理を行ってもよく、前記第２のＩＣは、前記受信部により前記複数の通信ポート経由でそれぞれ受信された前記複数のフレームを監視してもよい。

　このような構成により、本開示の車載中継装置は、中継処理の対象が広範で中継処理の処理負荷が大きい場合においても、通信遅延を許容可能なレベルに抑制しながらセキュリティ性を向上させることができる。

　（７）前記第２のＩＣは、前記不正フレームを検知したことを示す検知結果を前記第１のＩＣへ通知した場合、前記第１のＩＣにおいて前記不正フレームの前記中継処理が停止されたか否かを確認してもよい。

　このような構成により、本開示の車載中継装置は、何らかの要因により不正フレームの中継処理が停止されなかった場合において、不正フレームの中継処理が行われたことを検知し、たとえば、不正フレームの中継処理が行われたことをログとして記録したり、車載中継装置の外部の装置にアラートを送信したりすることができる。

　（８）前記受信部は、ＣＡＮ（Ｃｏｎｔｒｏｌｌｅｒ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）またはＣＡＮ　ＦＤ（ＣＡＮ　ｗｉｔｈ　Ｆｌｅｘｉｂｌｅ　Ｄａｔａ　ｒａｔｅ）の規格に従う前記フレームを受信し、受信した前記フレームを前記第２のＩＣへ出力してもよく、前記第２のＩＣは、前記受信部から受ける前記フレームのＩＤを取得した時点において、前記検知処理を開始してもよい。

　このような構成により、本開示の車載中継装置は、フレームのＥＯＦ（Ｅｎｄ　Ｏｆ　Ｆｒａｍｅ）を受信する前に検知処理を開始することができるので、検知処理を行うことに起因して発生する中継遅延時間をより短くすることができる。また、たとえば第１のＩＣが第２のＩＣから検知結果を受信する場合において第１のＩＣが当該検知結果の受信処理に要する時間は、検知処理に要する時間よりも短い。したがって、本開示の車載中継装置は、第１のＩＣにおいて検知処理を行う構成と比べて、中継遅延時間の発生を抑制しながら、第１のＩＣにおいて、検知結果に基づいて不正フレームの破棄等を行うことができる。

　（９）前記受信部は、ＣＡＮまたはＣＡＮ　ＦＤの規格に従う前記フレームを受信し、受信した前記フレームを前記第２のＩＣへ出力してもよく、前記第２のＩＣは、前記受信部から受ける前記フレームのＤＬＣ（Ｄａｔａ　Ｌｅｎｇｔｈ　Ｃｏｄｅ）を取得した時点において、前記検知処理を開始してもよい。

　このような構成により、本開示の車載中継装置は、フレームのＥＯＦを受信する前に検知処理を開始することができるので、検知処理を行うことに起因して発生する中継遅延時間をより短くすることができる。また、たとえば第１のＩＣが第２のＩＣから検知結果を受信する場合において第１のＩＣが当該検知結果の受信処理に要する時間は、検知処理に要する時間よりも短い。したがって、本開示の車載中継装置は、第１のＩＣにおいて検知処理を行う構成と比べて、中継遅延時間の発生を抑制しながら、第１のＩＣにおいて、検知結果に基づいて不正フレームの破棄等を行うことができる。

　（１０）本開示の実施の形態に係る車載中継方法は、第１のＩＣおよび第２のＩＣを備える車載中継装置における車載中継方法であって、車載装置からフレームを受信するステップと、前記第１のＩＣが、前記フレームの中継処理を行うステップと、前記第２のＩＣが、前記フレームを監視することにより不正フレームを検知するステップとを含む。

　このように、本開示の車載中継方法は、中継処理を行う第１のＩＣとは別に、検知処理を行う第２のＩＣを用いる車載中継方法により、第１のＩＣにおいて中継処理および検知処理を行う車載中継方法と比べて、車載中継装置における処理負荷を分散し、第１のＩＣの処理負荷を低減することができる。したがって、本開示の車載中継方法は、車載ネットワークにおける通信遅延を抑制しながらセキュリティ性を向上させることができる。

　（１１）本開示の実施の形態に係る車載中継プログラムは、車載装置からフレームを受信する車載中継装置において用いられる車載中継プログラムであって、受信した前記フレームの中継処理を行う第１のＩＣと、受信した前記フレームを監視することにより不正フレームを検知する検知処理を行う第２のＩＣ、として機能させるためのプログラムである。

　このように、本開示の車載中継プログラムは、中継処理を行う第１のＩＣとは別に、検知処理を行う第２のＩＣを備える構成により、第１のＩＣにおいて中継処理および検知処理を行う構成と比べて、車載中継装置における処理負荷を分散し、第１のＩＣの処理負荷を低減することができる。したがって、本開示の車載中継プログラムは、車載ネットワークにおける通信遅延を抑制しながらセキュリティ性を向上させることができる。

　以下、本開示の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。また、以下に記載する実施の形態の少なくとも一部を任意に組み合わせてもよい。

　［構成および基本動作］
　＜車載通信システム＞
　図１は、本開示の実施の形態に係る車載通信システムの構成を示す図である。図１を参照して、車載通信システム３０１は、車載中継装置１０１と、複数の車載ＥＣＵ（Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）１１１Ａと、複数の車載ＥＣＵ１１１Ｂとを備える。車載ＥＣＵ１１１Ａ，１１１Ｂは、車載装置の一例である。

　複数の車載ＥＣＵ１１１Ａは、ＣＡＮ（登録商標）の規格に従うバス１Ａを介して車載中継装置１０１に接続される。複数の車載ＥＣＵ１１１Ｂは、ＣＡＮの規格に従うバス１Ｂを介して車載中継装置１０１に接続される。

　車載ＥＣＵ１１１Ａ，１１１Ｂは、ＣＡＮの規格に従うフレームであるＣＡＮフレームの送受信を行う。

　図２は、本開示の実施の形態に係る車載通信システムにおける車載ＥＣＵにより送信されるＣＡＮフレームの一例を示す図である。図２を参照して、ＣＡＮフレームは、ＳＯＦ（Ｓｔａｒｔ　Ｏｆ　Ｆｒａｍｅ）フィールドと、ＩＤフィールドと、ＤＬＣフィールドと、データフィールド（以下、ＤＡＴフィールドとも称する）と、ＣＲＣ（Ｃｙｃｌｉｃ　Ｒｅｄｕｎｄａｎｃｙ　Ｃｈｅｃｋ）フィールドと、ＡＣＫフィールドと、ＥＯＦフィールドとをこの順に有する。

　車載ＥＣＵ１１１Ａは、定期的または不定期に、他の車載ＥＣＵ１１１Ａおよび車載ＥＣＵ１１１Ｂへ送信すべきデータがＤＡＴフィールドに格納されたＣＡＮフレームを生成し、生成したＣＡＮフレームをバス１Ａ経由で他の車載ＥＣＵ１１１Ａおよび車載中継装置１０１へ送信する。

　また、車載ＥＣＵ１１１Ｂは、定期的または不定期に、車載ＥＣＵ１１１Ａおよび他の車載ＥＣＵ１１１Ｂへ送信すべきデータがＤＡＴフィールドに格納されたＣＡＮフレームを生成し、生成したＣＡＮフレームをバス１Ｂ経由で他の車載ＥＣＵ１１１Ｂおよび車載中継装置１０１へ送信する。

　車載中継装置１０１は、バス１Ａ経由で車載ＥＣＵ１１１Ａから受信したＣＡＮフレームを車載ＥＣＵ１１１Ｂへ中継することが可能である。また、車載中継装置１０１は、バス１Ｂ経由で車載ＥＣＵ１１１Ｂから受信したＣＡＮフレームを車載ＥＣＵ１１１Ａへ中継することが可能である。

　［車載中継装置］
　図３は、本開示の実施の形態に係る車載中継装置の構成を示す図である。図３を参照して、車載中継装置１０１は、複数の通信ポート１０と、通信部２０と、中継用ＩＣ３０と、検知用ＩＣ４０とを備える。通信部２０は、受信部の一例である。中継用ＩＣ３０は、第１のＩＣの一例である。検知用ＩＣ４０は、第２のＩＣの一例である。たとえば、通信部２０、中継用ＩＣ３０および検知用ＩＣ４０は、基板の導電パターンを介して互いに接続されている。

　一例として、車載中継装置１０１は、通信ポート１０である通信ポート１０Ａ，１０Ｂを備える。通信ポート１０Ａには、バス１Ａが接続されている。通信ポート１０Ｂには、バス１Ｂが接続されている。

　通信部２０は、ＣＡＮトランシーバ２１Ａ，２１Ｂを含む。以下、ＣＡＮトランシーバ２１Ａ，２１Ｂの各々をＣＡＮトランシーバ２１とも称する。

　中継用ＩＣ３０は、ＣＡＮコントローラ３１Ａ，３１Ｂと、中継部３２と、記憶部３３とを含む。記憶部３３は、たとえば不揮発性メモリである。以下、ＣＡＮコントローラ３１Ａ，３１Ｂの各々をＣＡＮコントローラ３１とも称する。ＣＡＮコントローラ３１は、汎用のＣＡＮコントローラであり、ＣＡＮフレームの先頭のＳＯＦフィールドから末尾のＥＯＦフィールドまでの各フィールドのデータを受信してから当該ＣＡＮフレームを中継部３２へ出力する。たとえば、中継用ＩＣ３０は、プロセッサである。一例として、中継用ＩＣ３０は、マイクロコントローラである。

　検知用ＩＣ４０は、ＣＡＮコントローラ４１Ａ，４１Ｂと、検知部４２と、確認部４３と、記憶部４４とを含む。記憶部４４は、たとえば不揮発性メモリである。以下、ＣＡＮコントローラ４１Ａ，４１Ｂの各々をＣＡＮコントローラ４１とも称する。ＣＡＮコントローラ４１は、カスタム品であり、ＣＡＮフレームの受信途中までで取得した、当該ＣＡＮフレームに格納されている情報を取得して検知部４２へ出力することが可能である。たとえば、検知用ＩＣ４０は、ＰＬＤから構成される回路を有する。より詳細には、検知用ＩＣ４０は、ＦＰＧＡ、ＡＳＩＣ（Ａｐｐｌｉｃａｔｉｏｎ　Ｓｐｅｃｉｆｉｃ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）またはＣＰＬＤ（Ｃｏｍｐｌｅｘ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｌｏｇｉｃ　Ｄｅｖｉｃｅ）から構成される回路を有する。

　通信部２０は、車載ＥＣＵ１１１Ａ，１１１ＢからＣＡＮフレームを受信する。より詳細には、ＣＡＮトランシーバ２１Ａは、通信ポート１０Ａ経由で車載ＥＣＵ１１１ＡからＣＡＮフレームを受信する。ＣＡＮトランシーバ２１Ａは、受信したＣＡＮフレームを中継用ＩＣ３０および検知用ＩＣ４０へ出力する。また、ＣＡＮトランシーバ２１Ｂは、通信ポート１０Ｂ経由で車載ＥＣＵ１１１ＢからＣＡＮフレームを受信する。ＣＡＮトランシーバ２１Ｂは、受信したＣＡＮフレームを中継用ＩＣ３０および検知用ＩＣ４０へ出力する。

　たとえば、ＣＡＮトランシーバ２１は、受信したＣＡＮフレームを中継用ＩＣ３０および検知用ＩＣ４０へ出力する。すなわち、ＣＡＮフレームは、ＣＡＮトランシーバ２１から中継用ＩＣ３０および検知用ＩＣ４０へ並行して出力される。

　（中継処理）
　中継用ＩＣ３０は、通信部２０により受信されたＣＡＮフレームの中継処理を行う。たとえば、中継用ＩＣ３０は、通信部２０により複数の通信ポート１０経由でそれぞれ受信された複数のＣＡＮフレームの中継処理を行う。より詳細には、中継用ＩＣ３０は、通信部２０により通信ポート１０Ａ経由で受信されたＣＡＮフレームの中継処理と、通信部２０により通信ポート１０Ｂ経由で受信されたＣＡＮフレームの中継処理とを行う。

　中継用ＩＣ３０は、通信部２０により受信されたＣＡＮフレームを取得して中継処理を行う。

　より詳細には、ＣＡＮコントローラ３１Ａは、通信部２０におけるＣＡＮトランシーバ２１Ａにより受信されたＣＡＮフレームを取得する。具体的には、ＣＡＮコントローラ３１Ａは、ＣＡＮトランシーバ２１Ａから受けるＣＡＮフレームにおけるＳＯＦを受信することにより当該ＣＡＮフレームの先頭を検知し、ＣＡＮフレームの取得処理を開始する。そして、ＣＡＮコントローラ３１Ａは、ＣＡＮトランシーバ２１Ａから受けるＣＡＮフレームにおけるＥＯＦを受信して、当該ＣＡＮフレームの取得処理が完了したと判断し、取得したＣＡＮフレームを中継部３２へ出力する。

　中継部３２は、ＣＡＮコントローラ３１ＡからＣＡＮフレームを受けて、受けたＣＡＮフレームの内容を確認する受信確認処理を行う。具体的には、中継部３２は、受信確認処理において、たとえばＣＲＣフィールドに格納された情報を用いて、中継対象のＣＡＮフレームが正常に受信されたか否かを確認する。

　そして、中継部３２は、受信確認処理が完了すると、中継対象のＣＡＮフレームの中継処理を行う。具体的には、中継部３２は、ＣＡＮコントローラ３１Ａから受けた中継対象のＣＡＮフレームをＣＡＮコントローラ３１Ｂへ出力する。

　ＣＡＮコントローラ３１Ｂは、中継部３２からＣＡＮフレームを受けて、受けたＣＡＮフレームを通信部２０および検知用ＩＣ４０へ出力する。

　通信部２０におけるＣＡＮトランシーバ２１Ｂは、ＣＡＮコントローラ３１ＢからＣＡＮフレームを受けて、受けたＣＡＮフレームを通信ポート１０Ｂおよびバス１Ｂ経由で車載ＥＣＵ１１１Ｂへ送信する。

　また、ＣＡＮコントローラ３１Ｂは、通信部２０におけるＣＡＮトランシーバ２１Ｂにより受信されたＣＡＮフレームを取得する。具体的には、ＣＡＮコントローラ３１Ｂは、ＣＡＮトランシーバ２１Ｂから受けるＣＡＮフレームにおけるＳＯＦを受信することにより当該ＣＡＮフレームの先頭を検知し、ＣＡＮフレームの取得処理を開始する。そして、ＣＡＮコントローラ３１Ｂは、ＣＡＮトランシーバ２１Ｂから受けるＣＡＮフレームにおけるＥＯＦを受信して、当該ＣＡＮフレームの取得処理が完了したと判断し、取得したＣＡＮフレームを中継部３２へ出力する。

　中継部３２は、ＣＡＮコントローラ３１ＢからＣＡＮフレームを受けて、受けたＣＡＮフレームの内容を確認する受信確認処理を行う。

　そして、中継部３２は、受信確認処理が完了すると、中継対象のＣＡＮフレームの中継処理を行う。具体的には、中継部３２は、ＣＡＮコントローラ３１Ｂから受けた中継対象のＣＡＮフレームをＣＡＮコントローラ３１Ａへ出力する。

　ＣＡＮコントローラ３１Ａは、中継部３２からＣＡＮフレームを受けて、受けたＣＡＮフレームを通信部２０および検知用ＩＣ４０へ出力する。

　通信部２０におけるＣＡＮトランシーバ２１Ａは、ＣＡＮコントローラ３１ＡからＣＡＮフレームを受けて、受けたＣＡＮフレームを通信ポート１０Ａおよびバス１Ａ経由で車載ＥＣＵ１１１Ａへ送信する。

　（検知処理）
　検知用ＩＣ４０は、通信部２０により受信されたＣＡＮフレームを監視することにより不正フレームを検知する検知処理を行う。たとえば、検知用ＩＣ４０は、通信部２０により複数の通信ポート１０経由でそれぞれ受信された複数のＣＡＮフレームを監視する。詳細には、検知用ＩＣ４０は、通信部２０により通信ポート１０Ａ経由で受信されたＣＡＮフレームの監視と、通信部２０により通信ポート１０Ｂ経由で受信されたＣＡＮフレームの監視とを行う。

　より詳細には、検知用ＩＣ４０におけるＣＡＮコントローラ４１Ａは、通信部２０におけるＣＡＮトランシーバ２１により受信されたＣＡＮフレームに格納された情報を取得する。たとえば、ＣＡＮコントローラ４１Ａは、ＣＡＮトランシーバ２１から受けるＣＡＮフレームにおけるＳＯＦを受信することにより当該ＣＡＮフレームの先頭を検知し、当該ＣＡＮフレームにおける少なくともいずれか１つのフィールドに格納された情報を取得し、取得した情報を検知部４２へ出力する。

　（検知処理の具体例１）
　たとえば、検知用ＩＣ４０は、ＣＡＮフレームのＩＤフィールドに格納されたＩＤに基づいて検知処理を行う。

　より詳細には、ＣＡＮコントローラ４１Ａは、ＣＡＮトランシーバ２１から受けるＣＡＮフレームにおけるＩＤフィールドに格納された、当該ＣＡＮフレームのＩＤを取得し、取得したＩＤを示す受信フレーム情報を検知部４２へ出力する。

　検知部４２は、ＣＡＮコントローラ４１Ａから受けた受信フレーム情報に基づいて、検知処理を行う。より詳細には、検知部４２は、受けた受信フレーム情報に基づいて、通信部２０により受信されたＣＡＮフレームが不正フレームであるか否かを判断する。

　たとえば、記憶部４４は、車載中継装置１０１における中継処理の対象となる正当なＣＡＮフレームに格納されるＩＤの一覧を示すＩＤリストを記憶している。

　検知部４２は、ＣＡＮコントローラ４１Ａから受けた受信フレーム情報が示すＩＤと、記憶部４４におけるＩＤリストとを照合する。検知部４２は、当該受信フレーム情報が示すＩＤと一致するＩＤが当該ＩＤリストに含まれる場合、ＣＡＮコントローラ４１ＡがＣＡＮトランシーバ２１から受けたＣＡＮフレームは不正フレームではないと判断する。一方、検知部４２は、当該受信フレーム情報が示すＩＤと一致するＩＤが当該ＩＤリストに含まれない場合、ＣＡＮコントローラ４１ＡがＣＡＮトランシーバ２１から受けたＣＡＮフレームは不正フレームであると判断する。

　（検知処理の具体例２）
　たとえば、検知用ＩＣ４０は、ＣＡＮフレームのＤＬＣフィールドに格納されたＤＬＣに基づいて検知処理を行う。

　より詳細には、ＣＡＮコントローラ４１Ａは、ＣＡＮトランシーバ２１から受けるＣＡＮフレームにおけるＩＤフィールドおよびＤＬＣフィールドにそれぞれ格納された、当該ＣＡＮフレームのＩＤおよびＤＬＣを取得し、取得したＩＤおよびＤＬＣを示す受信フレーム情報を検知部４２へ出力する。

　たとえば、記憶部４４は、車載中継装置１０１における中継処理の対象となる正当なＣＡＮフレームに格納されるＤＬＣの一覧を示すＤＬＣリストを記憶している。

　検知部４２は、ＣＡＮコントローラ４１Ａから受けた受信フレーム情報が示すＤＬＣと、記憶部４４におけるＤＬＣリストとを照合する。検知部４２は、当該受信フレーム情報が示すＤＬＣと一致するＤＬＣが当該ＤＬＣリストに含まれる場合、ＣＡＮコントローラ４１ＡがＣＡＮトランシーバ２１から受けたＣＡＮフレームは不正フレームではないと判断する。一方、検知部４２は、当該受信フレーム情報が示すＤＬＣと一致するＤＬＣが当該ＤＬＣリストに含まれない場合、ＣＡＮコントローラ４１ＡがＣＡＮトランシーバ２１から受けたＣＡＮフレームは不正フレームであると判断する。

　（検知処理の具体例３）
　たとえば、検知用ＩＣ４０は、ＣＡＮフレームのＤＡＴフィールドに格納されたデータに基づいて検知処理を行う。

　より詳細には、ＣＡＮコントローラ４１Ａは、ＣＡＮトランシーバ２１から受けるＣＡＮフレームにおけるＩＤフィールドおよびＤＡＴフィールドにそれぞれ格納された、当該ＣＡＮフレームのＩＤおよびデータを取得し、取得したＩＤおよびデータを示す受信フレーム情報を検知部４２へ出力する。

　たとえば、記憶部４４は、車載中継装置１０１における中継処理の対象となる正当なＣＡＮフレームに格納されるデータの適正な数値範囲を示す数値リストを記憶している。

　検知部４２は、ＣＡＮコントローラ４１Ａから受けた受信フレーム情報が示すデータの値と、記憶部４４における数値リストが示す数値範囲とを照合する。検知部４２は、当該受信フレーム情報が示すデータの値が、当該数値リストが示す数値範囲に含まれる場合、ＣＡＮコントローラ４１ＡがＣＡＮトランシーバ２１から受けたＣＡＮフレームは不正フレームではないと判断する。一方、検知部４２は、当該受信フレーム情報が示すデータの値が、当該数値リストが示す数値範囲に含まれない場合、ＣＡＮコントローラ４１ＡがＣＡＮトランシーバ２１から受けたＣＡＮフレームは不正フレームであると判断する。

　なお、検知用ＩＣ４０は、ＣＡＮフレームのＣＲＣ、ＡＣＫまたはＥＯＦに基づいて検知処理を行う構成であってもよい。また、検知用ＩＣ４０は、ＩＤ、ＤＬＣ、ＤＡＴフィールドに格納されたデータ、ＣＲＣ、ＡＣＫおよびＥＯＦのうちの複数の情報を用いて検知処理を行う構成であってもよい。

　（中継処理の停止）
　検知部４２は、ＣＡＮコントローラ４１ＡがＣＡＮトランシーバ２１から受けたＣＡＮフレームは不正フレームであると判断した場合、ＣＡＮコントローラ４１Ａから受けた受信フレーム情報が示すＩＤを不正フレームのＩＤとして記憶部４４に保存する。

　たとえば、検知用ＩＣ４０は、不正フレームを検知したことを示す検知結果を中継用ＩＣ３０へ通知する。より詳細には、検知部４２は、ＣＡＮコントローラ４１ＡがＣＡＮトランシーバ２１から受けたＣＡＮフレームは不正フレームであると判断した場合、当該不正フレームのＩＤを示す不正検知情報を、たとえばＵＡＲＴ（Ｕｎｉｖｅｒｓａｌ　Ａｓｙｎｃｈｒｏｎｏｕｓ　Ｒｅｃｅｉｖｅｒ　Ｔｒａｎｓｍｉｔｔｅｒ）を用いた通信により中継用ＩＣ３０へ出力する。一方、検知部４２は、ＣＡＮコントローラ４１ＡがＣＡＮトランシーバ２１から受けたＣＡＮフレームは不正フレームではないと判断した場合、正常検知情報を、ＵＡＲＴを用いた通信により中継用ＩＣ３０へ出力する。

　たとえば、中継用ＩＣ３０は、検知用ＩＣ４０から通知された検知結果に基づいて、不正フレームの中継処理を停止する。より詳細には、中継用ＩＣ３０における中継部３２は、検知部４２から不正検知情報を受けた場合、受けた不正検知情報が示すＩＤを不正フレームのＩＤとして記憶部３３に保存する。一方、中継部３２は、検知部４２から正常検知情報を受けた場合、記憶部３３へのＩＤの保存を行わない。

　中継部３２は、ＣＡＮコントローラ３１ＡからＣＡＮフレームを受けて、受けたＣＡＮフレームの受信確認処理を完了すると、受けたＣＡＮフレームのＩＤフィールドに含まれるＩＤが記憶部３３における不正フレームのＩＤと一致するか否かを確認する。

　中継部３２は、ＣＡＮコントローラ３１Ａから受けたＣＡＮフレームのＩＤフィールドに含まれるＩＤが記憶部３３における不正フレームのＩＤと一致しないか、または記憶部３３に不正フレームのＩＤが保存されていない場合、ＣＡＮコントローラ３１Ａから受けたＣＡＮフレームは正当なＣＡＮフレームであると判断し、当該ＣＡＮフレームの中継処理を行う。

　一方、中継部３２は、ＣＡＮコントローラ３１Ａから受けたＣＡＮフレームのＩＤフィールドに含まれるＩＤが記憶部３３における不正フレームのＩＤが記憶部３３における不正フレームのＩＤと一致する場合、ＣＡＮコントローラ３１Ａから受けたＣＡＮフレームは不正フレームであると判断し、当該ＣＡＮフレームの中継処理を行うことなく、当該ＣＡＮフレームを破棄する。

　たとえば、検知用ＩＣ４０は、不正フレームを検知したことを示す検知結果を中継用ＩＣ３０へ通知した場合、中継用ＩＣ３０において当該不正フレームの中継処理が停止されたか否かを確認する。

　より詳細には、検知用ＩＣ４０におけるＣＡＮコントローラ４１Ｂは、中継用ＩＣ３０におけるＣＡＮコントローラ３１から出力されたＣＡＮフレームに格納された情報を取得する。たとえば、ＣＡＮコントローラ４１Ｂは、ＣＡＮコントローラ３１から受けるＣＡＮフレームにおけるＳＯＦを受信することにより当該ＣＡＮフレームの先頭を検知し、当該ＣＡＮフレームにおけるＩＤフィールドに格納された、当該ＣＡＮフレームのＩＤを取得し、取得したＩＤを示す送信フレーム情報を確認部４３へ出力する。

　確認部４３は、ＣＡＮコントローラ４１Ｂから送信フレーム情報を受けて、受けた送信フレーム情報が示すＩＤと、記憶部４４における不正フレームのＩＤとを照合する。

　確認部４３は、当該送信フレーム情報が示すＩＤと、記憶部４４における不正フレームのＩＤとが一致する場合、中継用ＩＣ３０において不正フレームの中継処理が停止されていないと判断する。この場合、たとえば、確認部４３は、当該送信フレーム情報が示すＩＤを示す異常ログ情報を作成して記憶部４４に保存する。また、たとえば、確認部４３は、不正フレームが中継されたことを示すアラート情報を車載中継装置１０１の外部の装置へ送信する。

　（中継遅延）
　図４は、比較例に係る車載通信システムにおける中継処理のタイミングチャートを示す図である。図４は、中継用ＩＣ３０が中継処理および検知処理を行う場合における中継処理のタイミングチャートを示している。

　図４を参照して、たとえば、車載ＥＣＵ１１１Ａは、時刻ｔ１１において、ＣＡＮフレームをバス１Ａ経由で他の車載ＥＣＵ１１１Ａおよび車載中継装置１０１へ送信する。

　中継用ＩＣ３０におけるＣＡＮコントローラ３１Ａは、時刻ｔ１１において、通信部２０におけるＣＡＮトランシーバ２１Ａから受けるＣＡＮフレームにおけるＳＯＦを受信することにより当該ＣＡＮフレームの先頭を検知し、ＣＡＮフレームの取得処理を開始する。そして、ＣＡＮコントローラ３１Ａは、時刻ｔ１１の後の時刻ｔ１２において、ＣＡＮトランシーバ２１Ａから受けるＣＡＮフレームにおけるＥＯＦを受信して、当該ＣＡＮフレームの取得処理が完了したと判断し、取得したＣＡＮフレームを中継部３２へ出力する。

　中継用ＩＣ３０における中継部３２は、ＣＡＮコントローラ３１ＡからＣＡＮフレームを受けて、受信確認処理、検知処理および中継処理をこの順に行う。

　そして、車載ＥＣＵ１１１Ａは、時刻ｔ１２の後の時刻ｔ１３において、ＣＡＮトランシーバ２１Ｂ、通信ポート１０Ｂおよびバス１Ｂ経由で中継用ＩＣ３０からＣＡＮフレームを受信する。

　したがって、比較例に係る車載通信システムにおける中継処理では、時刻ｔ１２から時刻ｔ１３までの長さの中継遅延時間が生じる。

　図５は、本開示の実施の形態に係る車載通信システムにおける中継処理のタイミングチャートの一例を示す図である。図５は、検知用ＩＣ４０が上述した検知処理の具体例１を行う場合のタイミングチャートを示している。

　図５を参照して、たとえば、車載ＥＣＵ１１１Ａは、時刻ｔ２１において、ＣＡＮフレームをバス１Ａ経由で他の車載ＥＣＵ１１１Ａおよび車載中継装置１０１へ送信する。

　中継用ＩＣ３０におけるＣＡＮコントローラ３１Ａは、時刻ｔ２１において、通信部２０におけるＣＡＮトランシーバ２１Ａから受けるＣＡＮフレームにおけるＳＯＦを受信することにより当該ＣＡＮフレームの先頭を検知し、ＣＡＮフレームの取得処理を開始する。

　また、検知用ＩＣ４０におけるＣＡＮコントローラ４１Ａは、時刻ｔ２１において、ＣＡＮトランシーバ２１Ａから受けるＣＡＮフレームにおけるＳＯＦを受信することにより当該ＣＡＮフレームの先頭を検知する。

　たとえば、検知用ＩＣ４０は、中継用ＩＣ３０によるＣＡＮフレームの取得が完了する前に検知処理を行う。たとえば、検知用ＩＣ４０は、ＣＡＮトランシーバ２１Ａから受けるＣＡＮフレームのＩＤを取得した時点において、検知処理を開始する。より詳細には、ＣＡＮコントローラ４１Ａは、時刻ｔ２１の後の時刻ｔ２２において、当該ＣＡＮフレームにおけるＩＤフィールドに格納された、当該ＣＡＮフレームのＩＤを取得し、取得したＩＤを示す受信フレーム情報を検知部４２へ出力する。検知部４２は、ＣＡＮコントローラ４１Ａから受けた受信フレーム情報に基づいて検知処理を開始し、時刻ｔ２２の後の時刻ｔ２３において検知処理を終了し、たとえば正常検知情報を中継用ＩＣ３０へ出力する。

　そして、中継用ＩＣ３０における中継部３２は、時刻ｔ２３の後の時刻ｔ２４において、検知部４２から正常検知情報を受ける。

　中継用ＩＣ３０におけるＣＡＮコントローラ３１Ａは、時刻ｔ２４の後の時刻ｔ２５において、ＣＡＮトランシーバ２１Ａから受けるＣＡＮフレームにおけるＥＯＦを受信して、当該ＣＡＮフレームの取得処理が完了したと判断し、取得したＣＡＮフレームを中継部３２へ出力する。

　中継用ＩＣ３０における中継部３２は、ＣＡＮコントローラ３１ＡからＣＡＮフレームを受けて、受信確認処理および中継処理をこの順に行う。たとえば、中継部３２は、ＣＡＮコントローラ３１Ａから受けたＣＡＮフレームのＩＤフィールドに含まれるＩＤが記憶部３３における不正フレームのＩＤと一致しないので、ＣＡＮコントローラ３１Ａから受けたＣＡＮフレームの中継処理を行う。

　そして、車載ＥＣＵ１１１Ａは、時刻ｔ２５の後の時刻ｔ２６において、ＣＡＮトランシーバ２１Ｂ、通信ポート１０Ｂおよびバス１Ｂ経由で中継用ＩＣ３０からＣＡＮフレームを受信する。

　したがって、車載通信システム３０１における中継処理では、時刻ｔ２５から時刻ｔ２６までの長さの中継遅延時間が生じる。

　図６は、本開示の実施の形態に係る車載通信システムにおける中継処理のタイミングチャートの一例を示す図である。図６は、検知用ＩＣ４０が上述した検知処理の具体例２を行う場合のタイミングチャートを示している。

　図６を参照して、たとえば、車載ＥＣＵ１１１Ａは、時刻ｔ３１において、ＣＡＮフレームをバス１Ａ経由で他の車載ＥＣＵ１１１Ａおよび車載中継装置１０１へ送信する。

　中継用ＩＣ３０におけるＣＡＮコントローラ３１Ａは、時刻ｔ３１において、通信部２０におけるＣＡＮトランシーバ２１Ａから受けるＣＡＮフレームにおけるＳＯＦを受信することにより当該ＣＡＮフレームの先頭を検知し、ＣＡＮフレームの取得処理を開始する。

　また、検知用ＩＣ４０におけるＣＡＮコントローラ４１Ａは、時刻ｔ３１において、ＣＡＮトランシーバ２１Ａから受けるＣＡＮフレームにおけるＳＯＦを受信することにより当該ＣＡＮフレームの先頭を検知する。

　たとえば、検知用ＩＣ４０は、中継用ＩＣ３０によるＣＡＮフレームの取得が完了する前に検知処理を行う。たとえば、検知用ＩＣ４０は、ＣＡＮトランシーバ２１Ａから受けるＣＡＮフレームのＤＬＣを取得した時点において、検知処理を開始する。より詳細には、ＣＡＮコントローラ４１Ａは、時刻ｔ３１の後の時刻ｔ３２において、当該ＣＡＮフレームにおけるＤＬＣフィールドに格納された、当該ＣＡＮフレームのＤＬＣを取得し、取得したＤＬＣを示す受信フレーム情報を検知部４２へ出力する。検知部４２は、ＣＡＮコントローラ４１Ａから受けた受信フレーム情報に基づいて検知処理を開始し、時刻ｔ３２の後の時刻ｔ３３において検知処理を終了し、たとえば正常検知情報を中継用ＩＣ３０へ出力する。

　そして、中継用ＩＣ３０における中継部３２は、時刻ｔ３３の後の時刻ｔ３４において、検知部４２から正常検知情報を受ける。

　中継用ＩＣ３０におけるＣＡＮコントローラ３１Ａは、時刻ｔ３４の後の時刻ｔ３５において、ＣＡＮトランシーバ２１Ａから受けるＣＡＮフレームにおけるＥＯＦを受信して、当該ＣＡＮフレームの取得処理が完了したと判断し、取得したＣＡＮフレームを中継部３２へ出力する。

　そして、車載ＥＣＵ１１１Ａは、時刻ｔ３５の後の時刻ｔ３６において、ＣＡＮトランシーバ２１Ｂ、通信ポート１０Ｂおよびバス１Ｂ経由で中継用ＩＣ３０からＣＡＮフレームを受信する。

　したがって、車載通信システム３０１における中継処理では、時刻ｔ３５から時刻ｔ３６までの長さの中継遅延時間が生じる。

　図４～図６を参照して、比較例に係る車載通信システムにおける中継処理では、中継用ＩＣ３０における受信確認処理、検知処理および中継処理に要する時間に対応する中継遅延時間が発生する。

　これに対して、車載通信システム３０１における中継処理では、検知用ＩＣ４０による検知処理が中継用ＩＣ３０によるＣＡＮフレームの取得処理と並行して行われるので、発生する中継遅延時間は、中継用ＩＣ３０における受信確認処理および中継処理に要する時間に抑えることができる。

　［動作の流れ］
　本開示の実施の形態に係る車載通信システムにおける各装置は、メモリを含むコンピュータを備え、当該コンピュータにおけるＣＰＵ等の演算処理部は、以下のフローチャートおよびシーケンスの各ステップの一部または全部を含むプログラムを当該メモリから読み出して実行する。これら複数の装置のプログラムは、それぞれ、外部からインストールすることができる。これら複数の装置のプログラムは、それぞれ、記録媒体に格納された状態でまたは通信回線を介して流通する。

　図７は、本開示の実施の形態に係る車載中継装置が中継処理および検知処理を行う際の動作手順の一例を定めたフローチャートである。

　図７を参照して、まず、車載中継装置１０１における通信部２０は、車載ＥＣＵ１１１Ａまたは車載ＥＣＵ１１１ＢからのＣＡＮフレームを待ち受け（ステップＳ１０２でＮＯ）、たとえば通信ポート１０Ａ経由で車載ＥＣＵ１１１ＡからＣＡＮフレームを受信すると（ステップＳ１０２でＹＥＳ）、受信したＣＡＮフレームを中継用ＩＣ３０および検知用ＩＣ４０へ出力する（ステップＳ１０４）。

　次に、検知用ＩＣ４０は、通信部２０により受信されたＣＡＮフレームを監視することにより不正フレームを検知する検知処理を行う（ステップＳ１０６）。

　次に、中継用ＩＣ３０は、通信部２０により受信されたＣＡＮフレームの中継処理を行う（ステップＳ１０８）。

　次に、通信部２０は、車載ＥＣＵ１１１Ａまたは車載ＥＣＵ１１１Ｂからの新たなＣＡＮフレームを待ち受ける（ステップＳ１０２でＮＯ）。

　図８は、本開示の実施の形態に係る車載中継装置が検知処理を行う際の動作手順の一例を定めたフローチャートである。図８は、検知用ＩＣ４０が上述した検知処理の具体例１を行う場合の、図７におけるステップＳ１０６の詳細を示している。

　図８を参照して、まず、車載中継装置１０１における検知用ＩＣ４０は、通信部２０から受けるＣＡＮフレームの先頭を待ち受け（ステップＳ２０２でＮＯ）、ＳＯＦを受信することによりＣＡＮフレームの先頭を検知すると（ステップＳ２０２でＹＥＳ）、たとえば当該ＣＡＮフレームにおけるＩＤフィールドに格納された、当該ＣＡＮフレームのＩＤを取得する（ステップＳ２０４）。

　次に、検知用ＩＣ４０は、取得したＩＤに基づいて検知処理を行う。具体的には、検知用ＩＣ４０は、取得したＩＤに基づいて、当該ＣＡＮフレームが不正フレームであるか否かを判断する（ステップＳ２０６）。

　次に、検知用ＩＣ４０は、当該ＣＡＮフレームが不正フレームではないと判断した場合（ステップＳ２０８でＮＯ）、正常検知情報を中継用ＩＣ３０へ出力する（ステップＳ２１０）。

　次に、検知用ＩＣ４０は、新たに通信部２０から受けるＣＡＮフレームの先頭を待ち受ける（ステップＳ２０２でＮＯ）。

　一方、検知用ＩＣ４０は、当該ＣＡＮフレームが不正フレームであると判断した場合（ステップＳ２０８でＹＥＳ）、当該ＣＡＮフレームのＩＤを不正フレームのＩＤとして記憶部４４に保存し、不正検知情報を中継用ＩＣ３０へ出力する（ステップＳ２１２）。

　図９は、本開示の実施の形態に係る車載中継装置が不正フレームの中継処理の停止の確認を行う際の動作手順の一例を定めたフローチャートである。

　図９を参照して、まず、車載中継装置１０１における検知用ＩＣ４０は、中継用ＩＣ３０からのＣＡＮフレームを待ち受け（ステップＳ２２２でＮＯ）、中継用ＩＣ３０からＣＡＮフレームを受信すると（ステップＳ２２２でＹＥＳ）、中継用ＩＣ３０において不正フレームの中継処理が停止されたか否かを確認する。より詳細には、検知用ＩＣ４０は、受信したＣＡＮフレームのＩＤが、不正フレームのＩＤと一致するか否かを確認する（ステップＳ２２４）。

　検知用ＩＣ４０は、受信したＣＡＮフレームのＩＤが、不正フレームのＩＤと一致する場合、受信したＣＡＮフレームは不正フレームであり、不正フレームの中継処理が停止されていないと判断し（ステップＳ２２６でＹＥＳ）、異常ログ情報を作成して記憶部４４に保存する（ステップＳ２２８）。

　次に、検知用ＩＣ４０は、中継用ＩＣ３０からの新たなＣＡＮフレームを待ち受ける（ステップＳ２２２でＮＯ）。

　一方、検知用ＩＣ４０は、受信したＣＡＮフレームのＩＤが、不正フレームのＩＤと一致しない場合、受信したＣＡＮフレームは不正フレームではないと判断し（ステップＳ２２６でＮＯ）、中継用ＩＣ３０からの新たなＣＡＮフレームを待ち受ける（ステップＳ２２２でＮＯ）。

　図１０は、本開示の実施の形態に係る車載中継装置が中継処理を行う際の動作手順の一例を定めたフローチャートである。図１０は、図７におけるステップＳ１０８の詳細を示している。

　図１０を参照して、まず、車載中継装置１０１における中継用ＩＣ３０は、通信部２０から受けるＣＡＮフレームの先頭を待ち受け（ステップＳ３０２でＮＯ）、ＳＯＦを受信することによりＣＡＮフレームの先頭を検知すると（ステップＳ３０２でＹＥＳ）、当該ＣＡＮフレームを取得する（ステップＳ３０４）。

　次に、中継用ＩＣ３０は、取得したＣＡＮフレームの内容を確認する受信確認処理を行う（ステップＳ３０６）。

　次に、中継用ＩＣ３０は、取得したＣＡＮフレームのＩＤフィールドに含まれるＩＤが記憶部３３における不正フレームのＩＤと一致する場合（ステップＳ３０８でＹＥＳ）、当該ＣＡＮフレームは不正フレームであると判断し、当該ＣＡＮフレームを破棄する（ステップＳ３１０）。

　次に、中継用ＩＣ３０は、新たに通信部２０から受けるＣＡＮフレームの先頭を待ち受ける（ステップＳ３０２でＮＯ）。

　一方、中継用ＩＣ３０は、取得したＣＡＮフレームのＩＤフィールドに含まれるＩＤが記憶部３３における不正フレームのＩＤと一致しないか、または記憶部３３に不正フレームのＩＤが保存されていない場合（ステップＳ３０８でＮＯ）、当該ＣＡＮフレームは正当なＣＡＮフレームであると判断し、当該ＣＡＮフレームの中継処理を行う（ステップＳ３１２）。

　なお、本開示の実施の形態に係る車載中継装置１０１では、検知用ＩＣ４０は、不正フレームを検知したことを示す検知結果を中継用ＩＣ３０へ通知する構成であるとしたが、これに限定するものではない。検知用ＩＣ４０は、中継用ＩＣ３０への検知結果の通知を行わない構成であってもよい。この場合、たとえば、検知用ＩＣ４０は、不正フレームのＩＤを示す不正検知情報を車載中継装置１０１の外部における装置へ送信する。

　また、本開示の実施の形態に係る車載中継装置１０１では、中継用ＩＣ３０はプロセッサであり、検知用ＩＣ４０はＰＬＤであるとしたが、これ限定するものではない。たとえば、中継用ＩＣ３０は、ＰＬＤであってもよい。また、たとえば、検知用ＩＣ４０は、プロセッサであってもよい。

　また、本開示の実施の形態に係る車載中継装置１０１では、検知用ＩＣ４０は、中継用ＩＣ３０によるＣＡＮフレームの取得が完了する前に検知処理を行う構成であるとしたが、これに限定するものではない。各ＩＣの処理能力等に起因して、検知用ＩＣ４０が、中継用ＩＣ３０によるＣＡＮフレームの取得が完了する前に検知処理を開始し、中継用ＩＣ３０によるＣＡＮフレームの取得が完了した後に検知処理を終了するタイミング関係であってもよい。また、検知用ＩＣ４０が、中継用ＩＣ３０によるＣＡＮフレームの取得が完了した後に検知処理を開始するタイミング関係であってもよい。

　また、本開示の実施の形態に係る車載中継装置１０１では、中継用ＩＣ３０は、通信部２０により通信ポート１０Ａ経由で受信されたＣＡＮフレームの中継処理と、通信部２０により通信ポート１０Ｂ経由で受信されたＣＡＮフレームの中継処理とを行う構成であるとしたが、これに限定するものではない。中継用ＩＣ３０は、通信部２０により通信ポート１０Ａ経由で受信されたＣＡＮフレームの中継処理、および通信部２０により通信ポート１０Ｂ経由で受信されたＣＡＮフレームの中継処理のいずれか一方を行わない構成であってもよい。

　また、本開示の実施の形態に係る車載中継装置１０１では、検知用ＩＣ４０は、通信部２０により通信ポート１０Ａ経由で受信されたＣＡＮフレームの監視と、通信部２０により通信ポート１０Ｂ経由で受信されたＣＡＮフレームの監視とを行う構成であるとしたが、これに限定するものではない。検知用ＩＣ４０は、通信部２０により通信ポート１０Ａ経由で受信されたＣＡＮフレームの監視、および通信部２０により通信ポート１０Ｂ経由で受信されたＣＡＮフレームの監視のいずれか一方を行わない構成であってもよい。

　また、本開示の実施の形態に係る車載中継装置１０１では、検知用ＩＣ４０は、確認部４３を含む構成であるとしたが、これに限定するものではない。検知用ＩＣ４０は、確認部４３を含まない構成であってもよい。

　また、本開示の実施の形態に係る車載通信システム３０１では、車載ＥＣＵ１１１Ａ，１１１Ｂが、ＣＡＮの規格に従うバス１Ａ，１Ｂを介して車載中継装置１０１にそれぞれ接続される構成であるとしたが、これに限定するものではない。車載ＥＣＵ１１１Ａおよび車載ＥＣＵ１１１Ｂは、ＣＡＮ以外の他の規格に従うバスを介して車載中継装置１０１にそれぞれ接続される構成であってもよい。

　たとえば、車載ＥＣＵ１１１Ａおよび車載ＥＣＵ１１１Ｂは、ＣＡＮ　ＦＤの規格に従うバスを介して車載中継装置１０１にそれぞれ接続される構成であってもよい。この場合、車載中継装置１０１における通信部２０は、ＣＡＮトランシーバ２１の代わりにＣＡＮ　ＦＤトランシーバを含み、中継用ＩＣ３０は、ＣＡＮコントローラ３１の代わりにＣＡＮ　ＦＤコントローラを含み、検知用ＩＣ４０は、ＣＡＮコントローラ４１の代わりにＣＡＮ　ＦＤコントローラを含む。

　また、たとえば、車載ＥＣＵ１１１Ａおよび車載ＥＣＵ１１１Ｂは、ＬＩＮ（Ｌｏｃａｌ　Ｉｎｔｅｒｃｏｎｎｅｃｔ　Ｎｅｔｗｏｒｋ）の規格に従うバスを介して車載中継装置１０１にそれぞれ接続される構成であってもよい。この場合、車載中継装置１０１における通信部２０は、ＣＡＮトランシーバ２１の代わりにＬＩＮトランシーバを含み、中継用ＩＣ３０は、ＣＡＮコントローラ３１の代わりにＬＩＮコントローラを含み、検知用ＩＣ４０は、ＣＡＮコントローラ４１の代わりにＬＩＮコントローラを含む。

　また、たとえば、車載ＥＣＵ１１１Ａおよび車載ＥＣＵ１１１Ｂは、ＣＸＰＩ（Ｃｌｏｃｋ　Ｅｘｔｅｎｓｉｏｎ　Ｐｅｒｉｐｈｅｒａｌ　Ｉｎｔｅｒｆａｃｅ）の規格に従うバスを介して車載中継装置１０１にそれぞれ接続される構成であってもよい。この場合、車載中継装置１０１における通信部２０は、ＣＡＮトランシーバ２１の代わりにＣＸＰＩトランシーバを含み、中継用ＩＣ３０は、ＣＡＮコントローラ３１の代わりにＣＸＰＩコントローラを含み、検知用ＩＣ４０は、ＣＡＮコントローラ４１の代わりにＣＸＰＩコントローラを含む。

　また、本開示の実施の形態に係る車載通信システム３０１は、互いに異なる規格に従うバスを介して車載中継装置１０１にそれぞれ接続される車載ＥＣＵを備える構成であってもよい。

　図１１は、本開示の実施の形態の変形例に係る車載通信システムの構成を示す図である。図１１を参照して、車載通信システム３０２は、車載通信システム３０１と比べて、車載中継装置１０１の代わりに車載中継装置１０２を備え、車載ＥＣＵ１１１Ｂの代わりに車載ＥＣＵ１１１Ｃを備える。車載ＥＣＵ１１１Ｃは、車載装置の一例である。

　複数の車載ＥＣＵ１１１Ｃは、ＬＩＮの規格に従うバス１Ｃを介して車載中継装置１０１に接続される。車載ＥＣＵ１１１Ｃは、定期的または不定期に、車載ＥＣＵ１１１Ａおよび他の車載ＥＣＵ１１１Ｃへ送信すべきデータが格納されたＬＩＮフレームを生成し、生成したＬＩＮフレームをバス１Ｃ経由で他の車載ＥＣＵ１１１Ｃおよび車載中継装置１０２へ送信する。

　図１２は、本開示の実施の形態の変形例に係る車載中継装置の構成を示す図である。図１２を参照して、車載中継装置１０２は、車載中継装置１０１と比べて、通信ポート１０Ｂの代わりに通信ポート１０Ｃを備え、通信部２０の代わりに通信部１２０を備え、中継用ＩＣ３０の代わりに中継用ＩＣ１３０を備え、検知用ＩＣ４０の代わりに検知用ＩＣ１４０を備える。通信ポート１０Ｃには、バス１Ｃが接続されている。

　通信部１２０は、通信部２０と比べて、ＣＡＮトランシーバ２１Ｂの代わりにＬＩＮトランシーバ２１Ｃを含む。中継用ＩＣ１３０は、中継用ＩＣ３０と比べて、ＣＡＮコントローラ３１Ｂの代わりにＬＩＮコントローラ３１Ｃを含み、中継部３２の代わりに中継部１３２を含む。検知用ＩＣ１４０は、検知用ＩＣ４０と比べて、検知部４２の代わりに検知部１４２を含み、確認部４３の代わりに確認部１４３を含み、ＬＩＮコントローラ１４１Ａ，１４１Ｂをさらに含む。

　通信部１２０におけるＬＩＮトランシーバ２１Ｃは、通信ポート１０Ｃ経由で車載ＥＣＵ１１１ＣからＬＩＮフレームを受信し、受信したＬＩＮフレームを中継用ＩＣ１３０および検知用ＩＣ１４０へ出力する。

　中継用ＩＣ１３０におけるＬＩＮコントローラ３１Ｃは、通信部１２０におけるＬＩＮトランシーバ２１Ｃにより受信されたＬＩＮフレームを取得し、取得したＬＩＮフレームを中継部１３２へ出力する。

　中継部１３２は、ＬＩＮコントローラ３１ＣからＬＩＮフレームを受けて、受けたＬＩＮフレームの内容を確認する受信確認処理を行い、受信確認処理が完了すると、中継対象のＬＩＮフレームの中継処理を行う。具体的には、中継部１３２は、ＬＩＮコントローラ３１Ｃから受けた中継対象のＬＩＮフレームをＣＡＮフレームに変換し、ＣＡＮコントローラ３１Ａへ出力する。

　また、中継部１３２は、ＣＡＮコントローラ３１ＡからＣＡＮフレームを受けて、受けたＣＡＮフレームの内容を確認する受信確認処理を行い、受信確認処理が完了すると、中継対象のＣＡＮフレームをＬＩＮフレームに変換してＬＩＮコントローラ３１Ｃへ出力する。

　ＬＩＮコントローラ３１Ｃは、中継部１３２からＬＩＮフレームを受けて、受けたＬＩＮフレームを通信部１２０および検知用ＩＣ１４０へ出力する。

　通信部１２０におけるＬＩＮトランシーバ２１Ｃは、ＬＩＮコントローラ３１ＣからＬＩＮフレームを受けて、受けたＬＩＮフレームを通信ポート１０Ｃおよびバス１Ｃ経由で車載ＥＣＵ１１１Ｃへ送信する。

　検知用ＩＣ１４０におけるＬＩＮコントローラ１４１Ａは、通信部１２０におけるＬＩＮトランシーバ２１Ｃにより受信されたＬＩＮフレームに格納された情報を取得する。たとえば、ＬＩＮコントローラ１４１Ａは、ＬＩＮトランシーバ２１Ｃから受けるＬＩＮフレームにおけるヘッダを受信することにより当該ＬＩＮフレームの先頭を検知し、当該ＬＩＮフレームにおける少なくともいずれか１つのフィールドに格納された情報を取得し、取得した情報を検知部１４２へ出力する。

　検知部１４２は、ＬＩＮコントローラ１４１Ａから受けた当該情報に基づいて、検知処理を行う。より詳細には、検知部１４２は、受けた情報に基づいて、通信部１２０により受信されたＬＩＮフレームが不正フレームであるか否かを判断する。

　検知用ＩＣ１４０におけるＬＩＮコントローラ１４１Ｂは、中継用ＩＣ１３０におけるＬＩＮコントローラ３１Ｃから出力されたＬＩＮフレームに格納された情報を取得する。たとえば、ＬＩＮコントローラ１４１Ｂは、ＬＩＮコントローラ３１Ｃから受けるＬＩＮフレームにおけるヘッダを受信することにより当該ＬＩＮフレームの先頭を検知し、当該ＬＩＮフレームにおける少なくともいずれか１つのフィールドに格納された情報を取得し、取得した情報を確認部１４３へ出力する。

　確認部１４３は、ＬＩＮコントローラ１４１Ｂから当該情報に基づいて、中継用ＩＣ１３０において不正フレームの中継処理が停止されたか否かを確認する。

　図１３は、本開示の実施の形態の変形例に係る車載通信システムの構成を示す図である。図１３を参照して、車載通信システム３０３は、車載通信システム３０１と比べて、車載中継装置１０１の代わりに車載中継装置１０３を備え、複数の車載ＥＣＵ１１１Ａおよび複数の車載ＥＣＵ１１１Ｂの代わりに車載ＥＣＵ１１１Ｄ，１１１Ｅを備える。車載ＥＣＵ１１１Ｄ，１１１Ｅは、車載装置の一例である。

　車載ＥＣＵ１１１Ｄ，１１１Ｅは、イーサネット（登録商標）ケーブル（以下、Ｅｔｈケーブルとも称する）１Ｄ，１Ｅを介して車載中継装置１０３にそれぞれ接続される。車載ＥＣＵ１１１Ｄは、定期的または不定期に、車載ＥＣＵ１１１Ｅへ送信すべきデータが格納されたイーサネットフレーム（以下、Ｅｔｈフレームとも称する）を生成し、生成したＥｔｈフレームをＥｔｈケーブル１Ｄ経由で車載中継装置１０３へ送信する。車載ＥＣＵ１１１Ｅは、定期的または不定期に、車載ＥＣＵ１１１Ｄへ送信すべきデータが格納されたＥｔｈフレームを生成し、生成したＥｔｈフレームをＥｔｈケーブル１Ｅ経由で車載中継装置１０３へ送信する。

　なお、車載通信システム３０３は、Ｅｔｈケーブルを介して車載中継装置１０３に接続される３つ以上の車載ＥＣＵを備える構成であってもよいし、イーサネット以外の他の規格に従うバスまたはケーブルを介して車載中継装置１０３に接続される車載ＥＣＵをさらに備える構成であってもよい。

　図１４は、本開示の実施の形態の変形例に係る車載中継装置の構成を示す図である。図１４を参照して、車載中継装置１０３は、車載中継装置１０１と比べて、通信ポート１０Ａ，１０Ｂの代わりに通信ポート１０Ｄ，１０Ｅを備え、通信部２０の代わりにスイッチ部２２０を備え、中継用ＩＣ３０の代わりに中継用ＩＣ２３０を備え、検知用ＩＣ４０の代わりに検知用ＩＣ２４０を備える。通信ポート１０Ｄには、Ｅｔｈケーブル１Ｄが接続されている。通信ポート１０Ｅには、Ｅｔｈケーブル１Ｅが接続されている。

　中継用ＩＣ２３０は、中継用ＩＣ３０と比べて、ＣＡＮコントローラ３１Ａ，３１Ｂの代わりにイーサネットコントローラ（以下、Ｅｔｈコントローラとも称する）３１Ｄ，３１Ｅを含み、中継部３２の代わりに中継部２３２を含む。検知用ＩＣ２４０は、検知用ＩＣ４０と比べて、ＣＡＮコントローラ４１Ａ，４１Ｂの代わりにＥｔｈコントローラ２４１Ａ，２４１Ｂを含み、検知部４２の代わりに検知部２４２を含み、確認部４３の代わりに確認部２４３を含む。

　スイッチ部２２０は、車載ＥＣＵ１１１Ｄから対応の通信ポート１０Ｄ経由でＥｔｈフレームを受信し、受信したＥｔｈフレームを中継用ＩＣ２３０および検知用ＩＣ２４０へ出力する。

　中継用ＩＣ２３０におけるＥｔｈコントローラ３１Ｄは、スイッチ部２２０により受信されたＥｔｈフレームを取得し、取得したＥｔｈフレームを中継部２３２へ出力する。

　中継部２３２は、Ｅｔｈコントローラ３１ＤからＥｔｈフレームを受けて、受けたＥｔｈフレームの内容を確認する受信確認処理を行い、受信確認処理が完了すると、中継対象のＥｔｈフレームの中継処理を行う。具体的には、中継部２３２は、Ｅｔｈコントローラ３１Ｄから受けた中継対象のＥｔｈフレームをＥｔｈコントローラ３１Ｅへ出力する。

　Ｅｔｈコントローラ３１Ｅは、中継部２３２からＥｔｈフレームを受けて、受けたＥｔｈフレームをスイッチ部２２０へ出力する。

　スイッチ部２２０は、Ｅｔｈコントローラ３１ＥからＥｔｈフレームを受けて、受けたＥｔｈフレームを宛先の車載ＥＣＵ１１１Ｅへ対応の通信ポート１０ＥおよびＥｔｈケーブル１Ｅ経由で送信する。また、スイッチ部２２０は、Ｅｔｈコントローラ３１Ｅから受けたＥｔｈフレームを検知用ＩＣ２４０へ出力する。

　検知用ＩＣ２４０におけるＥｔｈコントローラ２４１Ａは、スイッチ部２２０により受信されたＥｔｈフレームに格納された情報を取得する。たとえば、Ｅｔｈコントローラ２４１Ａは、スイッチ部２２０から受けるＥｔｈフレームにおけるヘッダたとえばプリアンブルを受信することにより当該Ｅｔｈフレームの先頭を検知し、当該Ｅｔｈフレームにおける少なくともいずれか１つのフィールドに格納された情報を取得し、取得した情報を検知部２４２へ出力する。一例として、Ｅｔｈコントローラ２４１Ａは、Ｅｔｈフレームにおける長さフィールドに格納された情報を取得し、取得した情報を検知部２４２へ出力する。

　検知部２４２は、Ｅｔｈコントローラ２４１Ａから受けた当該情報に基づいて、検知処理を行う。より詳細には、検知部２４２は、受けた情報に基づいて、スイッチ部２２０により受信されたＥｔｈフレームが不正フレームであるか否かを判断する。

　検知用ＩＣ２４０におけるＥｔｈコントローラ２４１Ｂは、スイッチ部２２０から出力されたＥｔｈフレームに格納された情報を取得する。たとえば、Ｅｔｈコントローラ２４１Ｂは、スイッチ部２２０から受けるＥｔｈフレームにおけるヘッダたとえばプリアンブルを受信することにより当該Ｅｔｈフレームの先頭を検知し、当該Ｅｔｈフレームにおける少なくともいずれか１つのフィールドに格納された情報を取得し、取得した情報を確認部２４３へ出力する。

　確認部２４３は、Ｅｔｈコントローラ２４１Ｂから受けた当該情報に基づいて、中継用ＩＣ２３０において当該不正フレームの中継処理が停止されたか否かを確認する。

　上記実施の形態は、すべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記説明ではなく請求の範囲によって示され、請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。

　以上の説明は、以下に付記する特徴を含む。
　［付記１］
　車載装置からフレームを受信する受信部と、
　前記受信部により受信された前記フレームの中継処理を行う第１のＩＣと、
　前記受信部により受信された前記フレームを監視することにより不正フレームを検知する検知処理を行う第２のＩＣとを備え、
　前記第１のＩＣは、前記受信部により受信された前記フレームを取得して前記中継処理を行い、
　前記第２のＩＣは、前記第１のＩＣによる前記フレームの取得処理と並行して前記検知処理を行う、車載中継装置。

　１Ａ，１Ｂ，１Ｃ　バス
　１Ｄ，１Ｅ　イーサネットケーブル
　１０Ａ，１０Ｂ，１０Ｃ，１０Ｄ，１０Ｅ，１０　通信ポート
　２０，１２０　通信部
　２１Ａ，２１Ｂ，２１　ＣＡＮトランシーバ
　２１Ｃ　ＬＩＮトランシーバ
　３０，１３０，２３０　中継用ＩＣ
　３１Ａ，３１Ｂ，３１　ＣＡＮコントローラ
　３１Ｃ　ＬＩＮコントローラ
　３１Ｄ，３１Ｅ　イーサネットコントローラ
　３２，１３２，２３２　中継部
　３３　記憶部
　４０，１４０，２４０　検知用ＩＣ
　４１Ａ，４１Ｂ，４１　ＣＡＮコントローラ
　４２，１４２，２４２　検知部
　４３，１４３，２４３　確認部
　４４　記憶部
　１０１，１０２，１０３　車載中継システム
　１１１Ａ，１１１Ｂ，１１１Ｃ　車載ＥＣＵ
　１４１Ａ，１４１Ｂ　ＬＩＮコントローラ
　２２０　スイッチ部
　２４１Ａ，２４１Ｂ　イーサネットコントローラ
　３０１，３０２，３０３　車載通信システム

Claims

　車載装置からフレームを受信する受信部と、
　前記受信部により受信された前記フレームの中継処理を行う第１のＩＣ（Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）と、
　前記受信部により受信された前記フレームを監視することにより不正フレームを検知する検知処理を行う第２のＩＣとを備える、車載中継装置。
　前記第２のＩＣは、前記不正フレームを検知したことを示す検知結果を前記第１のＩＣへ通知し、
　前記第１のＩＣは、前記第２のＩＣから通知された前記検知結果に基づいて、前記不正フレームの前記中継処理を停止する、請求項１に記載の車載中継装置。
　前記第１のＩＣは、プロセッサであり、
　前記第２のＩＣは、ＰＬＤ（Ｐｒｏｇｒａｍｍａｂｌｅ　Ｌｏｇｉｃ　Ｄｅｖｉｃｅ）から構成される回路を有する、請求項１または請求項２に記載の車載中継装置。
　前記第２のＩＣは、ＦＰＧＡ（Ｆｉｅｌｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）から構成される回路を有する、請求項３に記載の車載中継装置。
　前記第１のＩＣは、前記受信部により受信された前記フレームを取得して前記中継処理を行い、
　前記第２のＩＣは、前記第１のＩＣによる前記フレームの取得が完了する前に前記検知処理を行う、請求項１から請求項４のいずれか１項に記載の車載中継装置。
　前記車載中継装置は、さらに、
　複数の通信ポートを備え、
　前記第１のＩＣは、前記受信部により前記複数の通信ポート経由でそれぞれ受信された複数の前記フレームの前記中継処理を行い、
　前記第２のＩＣは、前記受信部により前記複数の通信ポート経由でそれぞれ受信された前記複数のフレームを監視する、請求項１から請求項５のいずれか１項に記載の車載中継装置。
　前記第２のＩＣは、前記不正フレームを検知したことを示す検知結果を前記第１のＩＣへ通知した場合、前記第１のＩＣにおいて前記不正フレームの前記中継処理が停止されたか否かを確認する、請求項２に記載の車載中継装置。
　前記受信部は、ＣＡＮ（Ｃｏｎｔｒｏｌｌｅｒ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）またはＣＡＮ　ＦＤ（ＣＡＮ　ｗｉｔｈ　Ｆｌｅｘｉｂｌｅ　Ｄａｔａ　ｒａｔｅ）の規格に従う前記フレームを受信し、受信した前記フレームを前記第２のＩＣへ出力し、
　前記第２のＩＣは、前記受信部から受ける前記フレームのＩＤ（Ｉｄｅｎｔｉｆｉｅｒ）を取得した時点において、前記検知処理を開始する、請求項１から請求項７のいずれか１項に記載の車載中継装置。
　前記受信部は、ＣＡＮまたはＣＡＮ　ＦＤの規格に従う前記フレームを受信し、受信した前記フレームを前記第２のＩＣへ出力し、
　前記第２のＩＣは、前記受信部から受ける前記フレームのＤＬＣ（Ｄａｔａ　Ｌｅｎｇｔｈ　Ｃｏｄｅ）を取得した時点において、前記検知処理を開始する、請求項１から請求項７のいずれか１項に記載の車載中継装置。
　第１のＩＣおよび第２のＩＣを備える車載中継装置における車載中継方法であって、
　車載装置からフレームを受信するステップと、
　前記第１のＩＣが、前記フレームの中継処理を行うステップと、
　前記第２のＩＣが、前記フレームを監視することにより不正フレームを検知するステップとを含む、車載中継方法。
　車載装置からフレームを受信する車載中継装置において用いられる車載中継プログラムであって、
　コンピュータを、
　受信した前記フレームの中継処理を行う第１のＩＣと、
　受信した前記フレームを監視することにより不正フレームを検知する検知処理を行う第２のＩＣ、
として機能させるための、車載中継プログラム。