WO2023084624A1

WO2023084624A1 - 車載制御装置

Info

Publication number: WO2023084624A1
Application number: PCT/JP2021/041268
Authority: WO
Inventors: 康次郎近松; 裕司奥山; 俊憲松井
Original assignee: 三菱電機株式会社
Priority date: 2021-11-10
Filing date: 2021-11-10
Publication date: 2023-05-19
Also published as: JP7408033B2; JPWO2023084624A1

Abstract

通信データの正常時のルールを記憶する一次記憶部（１１１）と、一次記憶部（１１１）に記憶されているルールの一部を記憶する二次記憶部（１１２）と、通信データが正常か否かを監視する監視部（１１３）と、監視対象の通信データと一致したルールおよび一致した回数を記録する参照ルール記録部（１１４）と、一次記憶部（１１１）に記憶されているルールと参照ルール記録部（１１４）の記録に基づいて、二次記憶部（１１２）に記憶されているルールを更新するルール更新部（１１５）を備えている。

Description

車載制御装置

　本願は、車載制御装置に関するものである。

　一般に、車両には、ＥＣＵ（ＥｌｅｃｔｒｏｎｉｃＣｏｎｔｒｏｌＵｎｉｔ）と呼ばれる電子制御装置が複数搭載され、各ＥＣＵ間が、有線または無線によって通信が可能なネットワークに接続されることで、車載システムを構築している。

　近年、車載システムはネットワークを介して車外の装置と接続されるようになり、悪意のある者がネットワークを悪用し、ネットワークを介して外部から車載システムに侵入される恐れがある。車載システムに侵入されると、ＥＣＵの制御プログラムが改ざんされ、制御を乗っ取られることにより、車両のユーザが意図しない不利益を被る恐れがある。

　従来の車載システムでは、一部の制御装置が故障した場合でも、故障によって発生した異常を検知し、フェールセーフによって機能を縮退するなど、車両が安全に走行できるように、異常対処方法が考えられている。

　しかし、サイバー攻撃によりＥＣＵのプログラムが改ざんされ、故障による異常を検知する仕組みを変更される、もしくは検知対象となる情報を異常な値から正常な値に書き換えられると、異常を検知することが困難になる。

　そこで、サイバー攻撃を受けた際に車両の異常を検知する仕組みとして、ネットワークを流れる通信データを監視して異常を検知する仕組みが検討されている。通信データを監視する仕組みとしては、予め通信データの正常時のルールを定義しておき、そのルールに基づいて送受信する通信データが正常かどうかを判断し、不正な通信データであった場合に異常として検知する方法などが検討されている。

　しかし、通信データの送受信ごとにその通信データが正常かどうかを判断し異常を検知する場合、通信データが膨大であるとデータ処理が増大する課題がある。そこで、サイバー攻撃を受けても処理負荷を抑えつつ、誤検知あるいは見逃しがないよう異常を検知する必要がある。

　特許文献１では、車両の状態に応じて通信データの監視方法を変えることで、データ処理の負荷を増大させず、異常を検知することが可能な制御装置を開示している。

特許第６５３１０１１号公報

　しかしながら、正常時の通信データに基づいて異常を検知する場合、予め正常時の車両状態に対応した通信データに関するルールを全て定義しておく必要があり、監視時には全てのルールを網羅的に参照するため、通信データによっては監視処理の負荷が大きくなる。

　特許文献１に記載されている技術では、状態ごとにルールを定義する場合、状態ごとに定義された全てのルールを網羅的に参照することに変わりはなく、通信データによっては監視処理の負荷が大きくなる可能性がある。また、複数の状態において参照されるルールについては、ルールを冗長に定義することになる。また、状態ごとのルールの切り替え、通信データの送受信、監視処理の実行などのタイミングによっては、誤検知あるいは見逃しが発生する可能性がある。

　本願は、このような問題を解決するためになされたものであり、ネットワークを流れる通信データに合わせて効率良くルールを参照することで、監視処理の負荷を抑えつつ通信データの異常を検知することができ、また、ルールの冗長な定義を抑えることができ、さらに、予め定義されたルールの範囲内においては、誤検知あるいは見逃しが発生しない車載制御装置を得ることを目的とする。

　本願に開示される車載制御装置は、通信データを送受信する通信部と、通信部で送受信する通信データの正常時のルールを記憶する一次記憶部と、一次記憶部に記憶されているルールの一部を記憶する二次記憶部と、二次記憶部に記憶されているルールに基づいて、通信部で送受信する通信データが正常か否かを監視し、二次記憶部に記憶されているルールの中に該当するルールがなかった場合に、一次記憶部に記憶されているルールに基づいて、通信部で送受信する通信データが正常か否かを監視する監視部と、監視部で監視して正常だった場合に、一次記憶部に記憶されているルールから、監視対象の通信データと一致したルールおよび一致した回数を記録する参照ルール記録部と、一次記憶部に記憶されているルールと参照ルール記録部の記録に基づいて、二次記憶部に記憶されているルールを更新するルール更新部とを備えている。

　本願の車載制御装置によれば、正常時の通信データに関するルールが膨大である場合でも、ルールを冗長に定義することなく、ネットワークを流れる通信データに合わせて、効率良くルールを参照しながら監視処理を行うことで、処理負荷を抑えつつ通信データの異常を検知することができる。

実施の形態１に係る車載制御装置の構成を示すブロック図である。実施の形態１に係る車載制御装置の一次記憶部に記憶されているルールを示す図である。実施の形態１に係る車載制御装置の二次記憶部に記憶されているルールを示す図である。実施の形態１に係る車載制御装置における参照ルール記録部の記録を示す図である。実施の形態１に係る車載制御装置の監視処理の流れを示すフロー図である。実施の形態１に係る車載制御装置のルール更新処理の流れを示すフロー図である。実施の形態２に係る車載制御装置の構成を示すブロック図である。実施の形態２に係る車載制御装置の一次記憶部に記憶されているルールを示す図である。実施の形態２に係る車載制御装置の二次記憶部に記憶されているルール（通常走行中）を示す図である。実施の形態２に係る車載制御装置の二次記憶部に記憶されているルール（診断中）を示す図である。実施の形態２に係る車載制御装置におけるバス負荷監視部の監視結果を示す図である。実施の形態２に係る車載制御装置の監視処理の流れを示すフロー図である。実施の形態２に係る車載制御装置のルール更新処理の流れを示すフロー図である。実施の形態に係る車載制御装置のハードウェア構成の一例を示す図である。

　以下、本願に開示される車載制御装置の実施の形態について、図面を用いて説明する。以下では、車載制御装置の具体例として、複数の異なる車載ネットワークに接続され、異なる車載ネットワーク間でデータを通信する際に、中継する役割を担うゲートウェイに適用する場合について、詳細に説明する。本実施の形態は、制御対象である車両の車載制御装置における侵入検知システムとして適用可能である。なお、各実施の形態において、同一もしくは相当する部分は同一符号で示し、重複する説明は省略する。

実施の形態１．
　図１は、実施の形態１に係る車載制御装置として用いられるゲートウェイの構成の一例を示した図である。ゲートウェイ１００は、通信部１１０、一次記憶部１１１、二次記憶部１１２、監視部１１３、参照ルール記録部１１４、ルール更新部１１５を備えて構成されている。また、通信部１１０は、複数の車載ネットワーク１０２を介して、複数の車載制御装置１０１と繋がっている。なお、図１に示す構成あるいはネットワークアーキテクチャは一例であり、通信部１１０と一次記憶部１１１と二次記憶部１１２と監視部１１３と参照ルール記録部１１４、ルール更新部１１５を備えており、一つ以上の車載ネットワーク１０２を介して、一つ以上の車載制御装置１０１と繋がっていれば、必ずしも図１の通りでなくてもよい。

　以下、ゲートウェイ（車載制御装置）１００の各構成要素とその機能について簡単に説明する。

　通信部１１０は、接続されている車載ネットワーク１０２を介して、各車載制御装置１０１と通信データの送受信を行う。車載ネットワーク１０２については、例えばＣＡＮ（Ｃｏｎｔｒｏｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）あるいはＥｔｈｅｒｎｅｔ（登録商標）などが考えられるが、これに限るものではない。また、車載制御装置についても、車載制御装置間の通信をゲートウェイする機能に限らず、例えばエンジン制御装置あるいはＥＰＳ（Ｅｌｅｃｔｒｉｃ　Ｐｏｗｅｒ　Ｓｔｅｅｒｉｎｇ：電動パワーステアリング）制御装置、ＡＤＡＳ（Ａｄｖａｎｃｅｄ　Ｄｒｉｖｅｒ　Ａｓｓｉｓｔａｎｃｅ　Ｓｙｓｔｅｍ：先進運転支援システム）制御装置などが考えられるが、これに限るものではない。

　一次記憶部１１１は、通信部１１０を介して送受信する通信データから予め定義された正常時の通信データに関するルールを記憶する。具体的には、例えばＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）などである。また、このルールは、複数の車載制御装置１０１にわたって記憶されてもよい。

　二次記憶部１１２は、一次記憶部１１１に記憶されているルールの一部を記憶する。記憶するルールについては、後述のルール更新部１１５により更新される。一次記憶部１１１よりアクセス速度あるいは処理速度の速いものが望ましい。具体的には、例えばＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）などである。

　監視部１１３は、二次記憶部１１２に記憶されているルールに基づいて、通信部１１０で送受信する通信データが正常か否かを監視する。また、二次記憶部１１２に記憶されているルールで一致するものがなかった場合、一次記憶部１１１に記憶されているルールに基づいて、通信データが正常か否かを監視する。二次記憶部１１２および一次記憶部１１１に記憶されているいずれのルールにも一致するものがなかった場合、監視対象の通信データを異常として検知する。通信データを監視した結果については、ゲートウェイ１００に搭載されている他の機能に通知してもよいし、通信部１１０から車載ネットワーク１０２を介して車載制御装置１０１に通知してもよい。なお、図１において、ゲートウェイ１００に搭載されている他の機能については、図示を省略している。

　参照ルール記録部１１４は、一次記憶部１１１に記憶されている全てのルールについて、通信データと一致した回数を記録する。監視部１１３で監視処理を行って正常だった場合に、監視対象の通信データと一致したルールについて、一致した回数を増やす。

　ルール更新部１１５は、参照ルール記録部１１４の記録に基づいて、二次記憶部１１２に記憶されているルールを更新する。ここで、ルールの更新とは、一次記憶部１１１に記憶されているルールを二次記憶部１１２に追加する、二次記憶部１１２に記憶されているルールを削除する、二次記憶部１１２に記憶されているルールの順序を並び替えるなどである。

　図２および図３を用いて、本実施の形態１に係る一次記憶部１１１および二次記憶部１１２が記憶するルールの構成について説明する。

　図２および図３に示すように、一次記憶部１１１および二次記憶部１１２が記憶するルールには、ネットワークを流れる通信データが正常か否かを判定するための項目が記載されている。一次記憶部１１１および二次記憶部１１２が記憶するルールは、ルール番号、データＩＤ、送信元、送信先、データサイズ、データなどの項目を有する。これらの項目は任意であり、ルールを一意に特定することができ、通信データが正常か否かを判定できる項目であれば、その他の項目でも構わない。

　図２に示すように、一次記憶部１１１が記憶するルールは５つである。二次記憶部１１２が記憶するルールは、図３に示すように、一次記憶部１１１が記憶するルールの一部（３つ）であり、また記憶する順序については任意であり、一次記憶部１１１に記憶されている順序と同じであってもよいし、異なる順序で記憶させてもよい。

　図４を用いて、本実施の形態１に係る参照ルール記録部１１４の記録について説明する。

　図４に示すように、参照ルール記録部１１４は、一次記憶部１１１に記憶されている全てのルールについて、監視処理において監視対象の通信データと一致した回数を記録している。図４においては、ルール番号および一致回数が項目として記録されているが、一次記憶部１１１に記憶されているルールを一意に特定することができ、監視処理において監視対象の通信データと各ルールが一致した回数がわかる項目であれば、これに限るものではない。

　次に、実施の形態１に係るゲートウェイ１００の監視処理の一連の流れについて図５を用いて説明し、ルール更新処理の一連の流れについて図６を用いて説明する。また、監視処理とルール更新処理は独立して実行されるため、それぞれの処理は任意のタイミングで実行される。

　図５において、ステップＳ５０１において、通信部１１０は、車載ネットワーク１０２を介して、車載制御装置１０１からの通信データを送受信する。図５において、通信データの送受信ごとに監視処理を行っているが、監視処理を実行するタイミングは、通信データの送受信ごとに行ってもよいし、あるいはデータ構造の一種であるキューなどを用いて通信データを蓄積し、一定のタイミングでまとめて行ってもよい。

　ステップＳ５０２およびステップＳ５０３において、監視部１１３は、二次記憶部１１２に記憶されているルールに基づいて、ステップＳ５０１において送受信する通信データが正常か否かを判定する。送受信する通信データと二次記憶部１１２に記憶されているルールを順に比較していき、いずれかのルールと一致するかどうかを判定する。一致したルールがあれば、その時点でステップＳ５０４に進み、記憶されている全てのルールと不一致だった場合はステップＳ５０６に進む。

　ステップＳ５０６およびステップＳ５０７において、監視部１１３は、一次記憶部１１１に記憶されているルールに基づいて、ステップＳ５０１において送受信する通信データが正常か否かを判定する。送受信する通信データと一次記憶部１１１に記憶されているルールを順に比較していき、いずれかのルールと一致するかどうかを判定する。一致したルールがあれば、その時点でステップＳ５０４に進み、記憶されている全てのルールと不一致だった場合はステップＳ５０８に進む。

　また、ステップＳ５０６およびステップＳ５０７において、送受信する通信データと一次記憶部１１１に記憶されているルールを比較する際に、ステップＳ５０２およびステップＳ５０３において既に比較されたルールについては、比較を行わないことが望ましい。

　ステップＳ５０４において、監視部１１３は、送受信する通信データが二次記憶部１１２および一次記憶部１１１に記憶されているいずれかのルールと一致したとして、監視対象の通信データが正常であると判定する。正常と判定した結果は、ゲートウェイ１００に搭載されている他の機能に通知してもよいし、通信部１１０から車載ネットワーク１０２を介して車載制御装置１０１に通知してもよい。

　ステップＳ５０５において、ステップＳ５０２およびステップＳ５０３またはステップＳ５０６およびステップＳ５０７において一致したルールについて、参照ルール記録部１１４の記録から該当するルールの一致回数を１増やすように加算する。

　ステップＳ５０８において、監視部１１３は、送受信する通信データが二次記憶部１１２および一次記憶部１１１に記憶されているいずれのルールとも一致しなかったとして、監視対象の通信データが異常であると判定する。異常と判定した結果は、ゲートウェイ１００に搭載されている他の機能に通知してもよいし、通信部１１０から車載ネットワーク１０２を介して車載制御装置１０１に通知してもよい。

　続いて、図６において、ステップＳ６０１において、参照ルール記録部１１４の記録を取得する。

　ステップＳ６０２において、ステップＳ６０１において取得した参照ルール記録に基づいて、二次記憶部１１２に記憶されているルールを更新する。図２、図３および図４の例では、一致回数が１以上のルールを一致回数の多い順に並び替えて、二次記憶部１１２に記憶している。

　図６において、ルール更新処理を実行するタイミングについては、監視処理と併せて動的に実行してもよいし、イグニッションオフ時、車両診断時、ＯＴＡ（Ｏｖｅｒ　Ｔｈｅ　Ａｉｒ）によるソフトウェア更新時などと併せて静的に実行してもよい。

　このように、本実施の形態１に係る車載制御装置によれば、監視処理において一致頻度の高いルールを優先的に参照するようになるため、効率良くルールを参照しネットワークを流れる通信データを監視することができるため、監視処理の負荷を抑えることができる。

　さらに、二次記憶部に記憶されているルールのみが一次記憶部に記憶されているルールと重複することになり、ルールの重複度は最大でも２となるため、ルールの冗長な定義を抑えることができる。

　さらに、監視処理において、予め定義されてルールについては全て使用しているため、予め定義されたルールの範囲内においては、誤検知あるいは見逃しが発生することはない。

実施の形態２．
　次に、実施の形態２に係る車載制御装置について、図７から図１３までを用いて説明する。

　図７は、実施の形態２に係るゲートウェイの構成の一例を示した図である。ゲートウェイ１００が、バス負荷監視部１１６、通信データ解析部１１７、状態判定部１１８を備える点が、図１と異なる。なお、図７に示す構成あるいはネットワークアーキテクチャは一例であり、必ずしも図７の通りでなくてもよい。

　以下、ゲートウェイ１００の各構成要素とその機能について、実施の形態１と異なる点を簡単に説明する。

　ルール更新部１１５は、一次記憶部１１１に記憶されている各ルールに対応する通信データの重要度、参照ルール記録部１１４の記録、バス負荷監視部１１６の監視結果、通信データ解析部１１７の解析結果、状態判定部１１８の判定結果に基づいて、二次記憶部１１２に記憶されているルールを更新する。

　バス負荷監視部１１６は、通信部１１０に接続された全ての車載ネットワーク１０２について、各バスの負荷状況を監視し、監視した結果をルール更新部１１５に通知する。

　通信データ解析部１１７は、監視部１１３で監視処理を行って異常を検知した場合に、監視対象の通信データを解析し、解析した結果をルール更新部１１５に通知する。通信データの解析では、例えばデータＩＤ、送信元、送信先、データサイズ、データなどの監視処理において異常の原因となった項目を特定する。これらの項目は任意であるが、ルール更新部１１５では、異常の原因となった項目に基づいてルールを更新するため、一次記憶部１１１に記憶されているルールの項目と同様であることが望ましい。

　状態判定部１１８は、現在の車両の状態を判定し、判定した結果をルール更新部１１５に通知する。車両の状態としては、例えば通常走行中、高速走行中、自動運転中、縮退運転中、診断中、ソフトウェア更新中、省電力モードなどが考えられるが、車両の状態に応じてネットワークを流れる通信データが大きく変化するものが望ましい。

　図8、図９、図１０を用いて、本実施の形態２に係る一次記憶部１１１および二次記憶部１１２が記憶するルールの構成について説明する。

　図８、図９、図１０に示すように、一次記憶部１１１および二次記憶部１１２が記憶するルールには、ネットワークを流れる通信データが正常か否かを判定するための項目およびルール更新部１１５が二次記憶部１１２に記憶されているルールを更新する際に参照する項目が記載されている。一次記憶部１１１および二次記憶部１１２が記憶するルールは、ルール番号、データＩＤ、送信元、送信先、データサイズ、データ、バス番号、車両の状態、通信データの重要度などの項目を有する。これらの項目は任意であり、ルールを一意に特定することができ、通信データが正常か否かを判定できる項目であり、かつどのバスをどの車両の状態において流れる通信データか、また各ルールに対応する通信データの重要度を特定できる項目であれば、その他の項目でも構わない。
　図８は、一次記憶部１１１のルールを表しており、図９は、二次記憶部１１２のルール（通常走行中）を表しており、図１０は、二次記憶部１１２のルール（診断中）を表している。

　ここで、通信データの重要度とは、例えばその通信データに異常が発生した場合の車両に対する影響度を示しており、具体的には車両の走行制御に関する通信データなどであれば、異常が発生した場合に重大な事故に繋がる可能性が高いため、重要度を高く設定する。一方、インフォテインメントシステムに関する通信データなどであれば、異常が発生した場合でも重大な事故に繋がる可能性は低いため、重要度を低く設定する。その他にも、例えばその通信データの情報が漏洩した場合の車両あるいはユーザに対する影響度を示しており、具体的には特権アカウントの情報、暗号通信に用いられる鍵、ユーザのプライバシーに関する通信データなどであれば、その情報が漏洩した場合に悪用され重大なインシデントに繋がる可能性が高いため、重要度を高く設定する。一方、死活監視における周期的なやり取り、スイッチのオン／オフ、センサー値に関する通信データなどであれば、その情報が漏洩した場合でも悪用されにくく重大なインシデントに繋がる可能性は低いため、重要度を低く設定する。なお、これらの指標は一例であり、重要度の高い通信データを優先的に監視することで、有益な効果が得られる指標であれば、これらに限るものではない。

　図１１を用いて、本実施の形態２に係るバス負荷監視部１１６におけるバスの監視結果について説明する。

　図１１に示すように、バス負荷監視部１１６がルール更新部１１５に通知する監視結果には、通信部１１０に接続される全てのバスについての負荷状況が含まれる。バス負荷監視部１１６が通知する監視結果は、バス番号、負荷などの項目を有する。これらの項目は任意であり、バスを一意に特定することができ、バスの負荷状況を表すことができる項目であれば、その他の項目でも構わない。

　次に、実施の形態２に係るゲートウェイ１００の監視処理の一連の流れについて図１２を用いて説明し、ルール更新処理の一連の流れについて図１３を用いて説明する。実施の形態１と異なる点についてのみ説明し、実施の形態１と同じ点については説明を省略する。また、監視処理とルール更新処理は独立して実行されるため、それぞれの処理は任意のタイミングで実行される。

　図１２において、ステップＳ１２０１～ステップＳ１２０８は、図５におけるステップＳ５０１～ステップＳ５０８と同じステップ処理内容である。図１２のステップＳ１２０９において、通信データ解析部１１７は、監視部１１３で異常として検知した通信データの解析を行い、異常の原因となったルールの項目を特定する。解析した結果は、後述するルール更新処理において、ルール更新部１１５に通知する。

　続いて、図１３において、ステップＳ１３０１は、図６のステップＳ６０１と同じ処理を実行し、ステップＳ１３０２において、バス負荷監視部１１６は、通信部１１０に接続されている全てのバスについて、バスの負荷状況を監視する。監視した結果は、ルール更新部１１５に通知する。

　ステップＳ１３０３において、ルール更新部１１５は、監視処理における図１２のステップＳ１２０９で通信データ解析部１１７が解析した結果を取得する。

　ステップＳ１３０４において、状態判定部１１８は、現在の車両の状態を判定し、判定した結果をルール更新部１１５に通知する。

　ステップＳ１３０５において、ルール更新部１１５は、参照ルール記録部１１４の記録、バス負荷監視部１１６の監視結果、通信データ解析部１１７の解析結果、状態判定部１１８の判定結果、通信データの重要度に基づいて、二次記憶部１１２に記憶されているルールを更新する。

　ルール更新のロジックとしては、例えば状態判定部１１８の判定結果から、現在の車両の状態と一致するルールだけを二次記憶部１１２に記憶する。また、負荷が高いバスについては、想定される通信データ以外の通信データ、すなわち不正な通信データが流れている可能性が高いため、バス負荷監視部１１６の監視結果から、負荷の高いバスを流れる通信データのルールを優先的に更新する。複数のバスを流れる通信データのルールについては、流れるバスの中で最も負荷の高いバスを基準とする。また、通信データの重要度から、重要度の高い順にルールを並び替える。また、通信データ解析部１１７の解析結果から、異常の原因となっている項目において同様の値を持つルールを優先的に更新する。例えば、通信データの異常の原因が送信元であった場合、送信元が異常となっている可能性が高く、以降その送信元から送信される通信データについては、異常である可能性が高いと考えられる。そのため、その送信元と同様の送信元を持つルールを優先的に更新する。

　図８～図１１では、現在の車両の状態と一致するルールのみを二次記憶部１１２に記憶し、負荷の高いバス順にルールを並び替えたうえで、さらにバスごとに通信データの重要度の高い順にルールを並び替えている。なお、図８～図１１における基準ごとのルール更新のロジックあるいは複数の基準間の優先度については一例であり、これに限るものではない。

　なお、図１３におけるルール更新処理の一連の流れについては一例であり、全ての基準に基づいてルールを更新してもよいし、一部の基準に基づいてルールを更新してもよい。また、一部の基準に基づいてルールを更新する場合、参照しない基準の通知および取得に対応するステップについては、省略しても構わない。

　ステップＳ１３０５において、参照ルール記録部１１４の記録だけでなく、バス負荷監視部１１６の監視結果、通信データ解析部１１７の解析結果、状態判定部１１８の判定結果、通信データの重要度といった複数の基準に基づいて、二次記憶部１１２に記憶されているルールを更新している点が、図６のステップＳ６０２と異なる。

　このように、本実施の形態２に係る車載制御装置によれば、現在の車両の状態に合わせて、車両の状態に応じた通信データについて優先的に監視することができ、監視処理の負荷を抑えることができる。

　さらに、バスの負荷状況に合わせて、負荷の高いバスを流れる通信データについて優先的に監視することができ、また異常として検知した通信データにおける異常の原因に合わせて、異常の原因と同様の要素を持つ通信データについて優先的に監視できるため、異常を早く検知することができる。

　さらに、通信データの重要度に合わせて、重要度の高い通信データについて優先的に監視することができるため、異常が発生した場合の車両に対する影響あるいは情報が漏洩した場合の車両あるいはユーザに対する影響を小さくすることができる。

　なお、ゲートウェイ（車載制御装置）１００は、ハードウェアの一例を図１４に示すように、プロセッサ１００１と記憶装置１００２から構成される。記憶装置１００２は、例えば、ランダムアクセスメモリ等の揮発性記憶装置と、フラッシュメモリ等の不揮発性の補助記憶装置とを具備する。また、フラッシュメモリの代わりにハードディスクの補助記憶装置を具備してもよい。プロセッサ１００１は、記憶装置１００２から入力されたプログラムを実行する。この場合、補助記憶装置から揮発性記憶装置を介してプロセッサ１００１にプログラムが入力される。また、プロセッサ１００１は、演算結果等のデータを記憶装置１００２の揮発性記憶装置に出力してもよいし、揮発性記憶装置を介して補助記憶装置にデータを保存してもよい。

　本願は、様々な例示的な実施の形態及び実施例が記載されているが、１つ、または複数の実施の形態に記載された様々な特徴、態様、及び機能は特定の実施の形態の適用に限られるのではなく、単独で、または様々な組み合わせで実施の形態に適用可能である。
　従って、例示されていない無数の変形例が、本願明細書に開示される技術の範囲内において想定される。例えば、少なくとも１つの構成要素を変形する場合、追加する場合または省略する場合、さらには、少なくとも１つの構成要素を抽出し、他の実施の形態の構成要素と組み合わせる場合が含まれるものとする。

　１００　ゲートウェイ（車載制御装置）、１０１　車載制御装置、１０２　車載ネットワーク、１１０　通信部、１１１　一次記憶部、１１２　二次記憶部、１１３　監視部、１１４　参照ルール記録部、１１５　ルール更新部、１１６　バス負荷監視部、１１７　通信データ解析部、１１８　状態判定部

Claims

　複数の制御装置間でデータの通信を行う車載制御装置において、
通信データを送受信する通信部と、
前記通信部で送受信する通信データの正常時のルールを記憶する一次記憶部と、
前記一次記憶部に記憶されているルールの一部を記憶する二次記憶部と、
前記二次記憶部に記憶されているルールに基づいて、前記通信部で送受信する通信データが正常か否かを監視し、前記二次記憶部に記憶されているルールの中に該当するルールがなかった場合に、前記一次記憶部に記憶されているルールに基づいて、前記通信部で送受信する通信データが正常か否かを監視する監視部と、
前記監視部で監視して正常だった場合に、前記一次記憶部に記憶されているルールから、監視対象の通信データと一致したルールおよび一致した回数を記録する参照ルール記録部と、
前記一次記憶部に記憶されているルールと前記参照ルール記録部の記録に基づいて、前記二次記憶部に記憶されているルールを更新するルール更新部と、
を備えたことを特徴とする車載制御装置。
　前記一次記憶部に記憶されているルールは、項目としてルールの監視対象となる通信データの重要度を含み、前記ルール更新部は、前記通信データの重要度に基づいて、前記二次記憶部に記憶されているルールを更新することを特徴とする請求項１に記載の車載制御装置。
　前記一次記憶部に記憶されているルールは、項目としてルールの監視対象となる通信データが流れるバスの情報を含み、前記通信部に接続される全てのバスについて、バスの負荷状況を監視するバス負荷監視部を備え、前記ルール更新部は、前記バス負荷監視部の監視結果に基づいて、前記二次記憶部に記憶されているルールを更新することを特徴とする請求項１または請求項２に記載の車載制御装置。
　前記監視部で監視した結果、異常として検知された通信データについて、異常の原因を特定する通信データ解析部を備え、前記ルール更新部は、前記通信データ解析部の解析結果に基づいて、前記二次記憶部に記憶されているルールを更新することを特徴とする請求項１から請求項３のいずれか１項に記載の車載制御装置。
　前記一次記憶部に記憶されているルールは、項目としてルールの監視対象となる通信データを送受信するときの車両の状態を含み、現在の車両の状態を判定する状態判定部を備え、前記ルール更新部は、前記状態判定部の判定結果に基づいて、前記二次記憶部に記憶されているルールを更新することを特徴とする請求項１から請求項４のいずれか１項に記載の車載制御装置。