WO2023157939A1

WO2023157939A1 - 車載通信線接続装置

Info

Publication number: WO2023157939A1
Application number: PCT/JP2023/005605
Authority: WO
Inventors: 宏武田代; 曜 ▲柳▼田; 昭義金澤
Original assignee: 矢崎総業株式会社
Priority date: 2022-02-21
Filing date: 2023-02-16
Publication date: 2023-08-24
Also published as: US20240364714A1; CN118525486A; JP2023121610A

Abstract

ワイヤハーネスの複数系統の通信線が集中する位置（Ｐｃ１）に、ジョイントコネクタの代わりに機能代行ユニット（４０）を取り付ける。機能代行ユニット（４０）は複数系統のＣＡＮバスを接続するための複数の端子を有し、各端子の位置とＣＡＮ信号が通過した経路の領域を区別することで、不正な機器から送出された不正な信号を検出し遮断する。

Description

車載通信線接続装置

　本開示は、車載通信線接続装置に関し、特に車両上の通信ネットワークへの不正な機器の接続に対する安全対策のための技術に関する。

　近年、ＣＡＮインベーダーと呼ばれる手法で車両盗難が行われる事例が増えている。この手口は、車両の外側から不正な機器を車両上のＣＡＮ(Controller Area Network)のコネクタなどに接続し、例えばスマートキーからの信号を認識する正規の車載ＥＣＵなどになりすました信号を車両側のネットワークに送り込んで車載機器の誤動作を誘発させるものである。

　一方、例えば特許文献１には、車両においてセキュリティ対策を高めることが可能な電子制御システムが開示されている。この電子制御システムは、車両に搭載されるＣＡＮバスと、車両の状態に関する情報を示す車両状態信号の通信のみに用いられる配線である専用線を介して車両状態信号を受信し、当該車両状態信号に基づいて制御指示信号をＣＡＮバスに送信するＡＤＡＳ制御ＥＣＵと、ＣＡＮバスを介してＡＤＡＳ制御ＥＣＵから送信された制御指示信号を受信し、当該制御指示信号に基づいて車両の駆動に関する制御を行うアクチュエータＥＣＵとを備える。

日本国特開２０２０－１０８１３２号公報

　特許文献１に開示されている技術を用いる場合には、ＣＡＮバスから独立している専用線を介して車両状態信号の通信ができる。つまり、二重化された通信線を同時に利用して通信できる。そのため、例えば車両の外部に接続された不正な機器により、なりすましの不正な信号がＣＡＮバスに送り込まれた場合であっても、その信号がなりすましであることを検知することが比較的容易になると考えられる。

　しかしながら、特許文献１の技術を用いる場合は、様々な車載機器の間を接続するワイヤハーネスに、既存の電線の他に新たに専用線を物理的に追加しなければならない。したがって、例えば新たな車両用のワイヤハーネスを製造する場合には、ワイヤハーネスの仕様を再設計する必要がある。具体的には、専用線の追加に伴ってワイヤハーネスの外装部材の形状を適切に変更したり、ワイヤハーネスの組み立て順序を適切に変更する必要があるので、様々な箇所にその影響が派生する。

　また、既存の車両におけるセキュリティ対策として特許文献１の技術を採用する場合は、既存のワイヤハーネスの外側に新たな専用線を物理的に追加しなければならないので、専用線の配索、専用線と他の回路との接続、専用線を保護するための外装材の追加などの様々な作業が必要になる。つまり、新たに専用線を追加することは実際には容易ではなく、既存の車両においては簡単なセキュリティ対策の実現が困難である。

　本開示は、上述した事情に鑑みてなされたものであり、その目的は、車両上のワイヤハーネスの構造に大きな影響を与える電線の追加を伴うことなく、車両上の通信ネットワークへの不正な侵入を防止することが容易な車載通信線接続装置を提供することにある。

　本開示に係る上記目的は、下記構成により達成される。
　車両上で不正な外部機器のアクセスが物理的に困難な第１領域に配索される第１共通通信線と、
　前記車両上で不正な外部機器のアクセスが物理的に容易な第２領域に少なくとも一部分が配索される第２共通通信線と、
　前記第１共通通信線と、前記第２共通通信線とを物理的に接続する共通コネクタ部と、
　前記第１領域に配置される１つ以上の第１車載機器と前記第１共通通信線とを接続可能な第１接続部と、
　前記第１共通通信線と、前記第１共通通信線よりも上位の系統の通信を管理する上位管理部とを接続可能な上位接続部と、
　前記共通コネクタ部の内部もしくはその近傍に配置され、少なくとも前記第２共通通信線から前記第１共通通信線に向かう方向の不正通信を監視する代行管理部と、
　を備える車載通信線接続装置。

　本開示の車載通信線接続装置によれば、車両上の通信ネットワークへの不正な侵入を防止することが容易になる。しかも、車両上のワイヤハーネスの構造に大きな影響を与える電線の追加は不要である。

　以上、本開示について簡潔に説明した。更に、以下に説明される開示を実施するための形態（以下、「実施形態」という。）を添付の図面を参照して通読することにより、本開示の詳細は更に明確化されるであろう。

図１は、実施形態に係る車載通信線接続装置を搭載した車両上の主要な構成要素の配置例を示す平面図である。図２は、車両上の通信ネットワークの構成例を示すブロック図である。図３は、実施形態に係る車載通信線接続装置に含まれる機能代行ユニットの構成例を示すブロック図である。図４は、機能代行ユニットの外観の例を示す斜視図である。図５は、機能代行ユニットにおける制御の概要を示すフローチャートである。図６は、ジョイントコネクタを用いた通信ネットワークの構成例を示すブロック図である。図７は、図６の通信ネットワークにおける通信動作の例を示すタイムチャートである。図８は、ジョイントコネクタを用いた通信ネットワークの構成例を示すブロック図である。図９は、図８の通信ネットワークにおける通信動作の例を示すタイムチャートである。図１０は、ジョイントコネクタの代わりに機能代行ユニットを接続した通信ネットワークの構成例を示すブロック図である。図１１は、図１０の通信ネットワークにおける通信動作の例を示すタイムチャートである。図１２は、ジョイントコネクタの代わりに機能代行ユニットを接続した通信ネットワークの構成例を示すブロック図である。図１３は、図１２の通信ネットワークにおける通信動作の例を示すタイムチャートである。

　本開示に関する具体的な実施形態について、各図を参照しながら以下に説明する。

　図１は、実施形態に係る車載通信線接続装置を搭載した車両上の主要な構成要素の配置例を示す平面図である。図１において、左側および右側がそれぞれ車両１０の前側および後側を表している。また、本実施形態では、車載通信線接続装置は車両上に配索されたワイヤハーネスを含む通信システムとして構成してある。

　車両１０は、その車体の前側にエンジンルーム１０ａを有し、中央部に車室１０ｂを有する。エンジンルーム１０ａと車室１０ｂは、互いに仕切りで区画され独立した空間を形成している。また、車両１０は、車室１０ｂの左右に開閉可能な複数のドア１０ｃを前後に備える。ドア１０ｃが閉じてロック状態になると、車両１０の外側から車室１０ｂ内への不正侵入は困難になる。

　一方、エンジンルーム１０ａの上側は開閉可能なボンネットで覆われているが、エンジンルーム１０ａの下側は開放された状態になっている。したがって、エンジンルーム１０ａ内に配索されているワイヤハーネスなどに不正な機器を接続することは比較的容易である。したがって、不正な侵入者により車両盗難の被害を受ける場合には、エンジンルーム１０ａ内の機器やワイヤハーネスが攻撃の際の侵入経路になりやすい。

　図１に示した例では、複数の車載機器２１、２２がエンジンルーム１０ａ内に配置されている。また、エンジンルーム１０ａ内の各車載機器２１、２２は、ワイヤハーネス３１を介して車室１０ｂ側と接続されている。

　一方、車室１０ｂ内や荷室側にも複数の車載機器２３、２４、２５、２６、２７が配置されている。また、セントラルゲートウェイ（ＣＧＷ）１１の機能を果たす特別な電子制御ユニット（ＥＣＵ）が車室１０ｂ側に配置されている。

　セントラルゲートウェイ１１は、車両１０上の複数系統（ボディ系、ＡＤＡＳ系、パワトレ・シャシ系等）の間で通信の相互接続を可能にすると共に、無線通信網を経由した外部からの通信による不正な信号の侵入を阻止するためのセキュリティ機能を有している。

　図１に示した例では、車載機器２３、２４、２５、２６、及び２７に、それぞれワイヤハーネス３３、３８、３４、３７、及び３５の一端が接続されている。また、ワイヤハーネス３７及び３８の他端は、セントラルゲートウェイ１１と接続されている。

　一般的な構成の車載システムの場合、複数のワイヤハーネス３１、３２、３３、３４、３５、及び３６が集まる接続位置Ｐｃ１には、ジョイントコネクタ（Ｊ／Ｃ）と呼ばれるコネクタが配置され、ワイヤハーネス３１、３２、３３、３４、３５、及び３６の通信線が接続位置Ｐｃ１で電気的に共通に接続される。

　本実施形態の車載通信線接続装置においては、接続位置Ｐｃ１にジョイントコネクタの代わりに機能代行ユニット４０が接続されている。後述するように、この機能代行ユニット４０は、エンジンルーム１０ａ側からの不正侵入を防止するためのセキュリティ機能を有している。つまり、セントラルゲートウェイ１１が対応できない箇所のセキュリティに関するゲートウェイの機能を代行する機能が機能代行ユニット４０に備わっている。
　図１の例では、複数のワイヤハーネス３１～３６の通信線の一端がそれぞれ機能代行ユニット４０と接続されている。

　図２は、車両１０上の通信ネットワークの構成例を示すブロック図である。
　図２に示した例では、セントラルゲートウェイ１１に複数系統の共通通信線であるＣＡＮバス１２及び１３が接続されている。また、一方のＣＡＮバス１２に複数のＥＣＵ１４Ａ～１４Ｄ及びＥＣＵ１５Ａ及び１５Ｃが接続されている。

　ＣＡＮバス１２は、例えば図１中のワイヤハーネス３１～３５に含めることができる。各ワイヤハーネス３１～３５は、通常は１組以上のＣＡＮバス、電源ライン、及びグランド線を含むように構成される。

　図２に示した例では、４つのＥＣＵ１４Ａ～１４Ｄの通信線（ＣＡＮバス）が接続位置Ｐｃ１に集中してこの位置で共通に接続されている。また、３つのＥＣＵ１５Ａ～１５Ｃの通信線（ＣＡＮバス）が接続位置Ｐｃ２に集中してこの位置で共通に接続されている。なお、各ＣＡＮバスは通常は１対のツイストペア線により構成される。

　例えば、図２中の接続位置Ｐｃ１に一般的なジョイントコネクタを設置した場合には、４つのＥＣＵ１４Ａ～１４Ｄの全ての通信線が共通に接続され、且つＥＣＵ１４Ａ～１４ＤがＣＡＮバス１２と直接接続される。

　一方、図１に示したように接続位置Ｐｃ１に機能代行ユニット４０を設置した場合には、ＥＣＵ１４Ａ～１４ＤのそれぞれのＣＡＮ通信は、機能代行ユニット４０により中継されてからＣＡＮバス１２と接続される。

　図３は、実施形態に係る車載通信線接続装置に含まれる機能代行ユニット４０の構成例を示すブロック図である。
　図３に示した例では、機能代行ユニット４０は、他の回路と接続するために８個の端子Ｔ１、Ｔ２、Ｔ３、Ｔ４、Ｔ５、Ｔ６、Ｔ７、及びＴ９を有している。７個の端子Ｔ１～Ｔ７は、それぞれ異なる系統のワイヤハーネス上のＣＡＮバスと接続するために利用される。端子Ｔ９は、電源（＋Ｂ）及びグランド（ＧＮＤ）と接続するために利用される。

　本実施形態では、７個の端子Ｔ１～Ｔ７のうち端子Ｔ１～Ｔ３はＡ系統ＳＡに属し、端子Ｔ４～Ｔ７はＢ系統ＳＢに属するように機能代行ユニット４０で管理される。ここで、Ａ系統ＳＡは少なくとも一部分がエンジンルーム１０ａ内に配索されるワイヤハーネスに相当する。また、Ｂ系統ＳＢは車室１０ｂ内に配索されるワイヤハーネスに相当する。

　したがって、例えば図１中に示したワイヤハーネス３１は、機能代行ユニット４０の端子Ｔ１～Ｔ３のいずれか１つに接続されるようになっている。また、例えば図１中に示した各ワイヤハーネス３３、３４、３６は、機能代行ユニット４０の端子Ｔ４～Ｔ７のいずれか１つに接続されるようになっている。

　機能代行ユニット４０は、その内部に、マイクロコンピュータ（マイコン）４１、及びＣＡＮ用のインタフェース（Ｉ／Ｆ）４２～４８を備えている。
　マイクロコンピュータ４１は、ＣＡＮ送受信部４１ａ、ＣＡＮ信号監視部４１ｂ、不正信号検出部４１ｃ、信号遮断部４１ｄ、及び通知部４１ｅの各機能を備えている。これらの機能は、例えば予め組み込まれたプログラムをマイクロコンピュータ４１が実行することにより実現する。

　ＣＡＮ送受信部４１ａは、端子Ｔ１～Ｔ７のそれぞれから入力されたＣＡＮ信号を受信すると共に、問題がない場合は受信した信号をそのまま中継して他の端子Ｔ１～Ｔ７へ送出する。

　ＣＡＮ信号監視部４１ｂは、ＣＡＮ送受信部４１ａが受信した各ＣＡＮ信号について、入力された端子の位置、入力された端子の系統（ＳＡ／ＳＢ）、現れたタイミング、信号の種類、信号の内容などを監視することができる。

　なお、ＣＡＮ信号監視部４１ｂが監視する信号の内容については、信号フレームの一部分、例えば各信号フレームの先頭部分にあるＩＤフィールドの内容だけを処理の対象にする場合もある。一部分だけを監視対象にすることで、信号フレームの全体をチェックする場合と比べて、機能代行ユニット４０内部における処理の所要時間を短縮し、機能代行ユニット４０が送出する信号の遅延を減らすことができる。

　不正信号検出部４１ｃは、ＣＡＮ信号監視部４１ｂの監視状態と事前に定めた不正判定条件とに基づいて、ＣＡＮ送受信部４１ａが受信した各ＣＡＮ信号の中から不正なＣＡＮ信号を検出する。例えば、不正信号検出部４１ｃは、車両１０上のＣＡＮバスに接続されたなりすましの機器から送出される不正なＣＡＮ信号を検出する。

　信号遮断部４１ｄは、不正信号検出部４１ｃが不正なＣＡＮ信号を検出した場合に、該当する信号が機能代行ユニット４０の外側に送出されないように遮断する。具体的には、ＣＡＮ送受信部４１ａがＣＡＮ信号を中継する機能を部分的に遮断することで、不正なＣＡＮ信号の送出を防止できる。
　通知部４１ｅは、信号遮断部４１ｄが不正なＣＡＮ信号を検出した場合に、その情報を上位のＥＣＵへ通知する。

　図４は、機能代行ユニット４０の外観の例を示す斜視図である。

　図４に示した機能代行ユニット４０は、端子Ｔ１～Ｔ７、及びＴ９を接続するためのコネクタを有している。したがって、複数系統のワイヤハーネスの各通信線（ＣＡＮバスのツイストペア線）を端子Ｔ１～Ｔ７のいずれかに接続することができ、ワイヤハーネスの電源線およびグランドを端子Ｔ９に接続することができる。

　したがって、図４の機能代行ユニット４０は、複数系統のワイヤハーネスを互いに接続するために、図１中の接続位置Ｐｃ１に一般的なジョイントコネクタの代わりに接続することができる。

　図５は、機能代行ユニット４０における制御の概要を示すフローチャートである。機能代行ユニット４０内のマイクロコンピュータ４１が図５の制御を実施する。図５の制御について以下に説明する。

　マイクロコンピュータ４１は、車両１０が停止中か否かをＳ１１で識別し、停止中ならＳ１２の処理に進み、停止中でなければＳ１７の処理に進む。例えば、車両１０の走行速度の情報をＣＡＮバスを経由して他のＥＣＵから取得することで、車両１０が停止中か否かを識別できる。勿論、走行速度以外の情報に基づいて識別することも可能である。

　マイクロコンピュータ４１のＣＡＮ信号監視部４１ｂは、端子Ｔ１～Ｔ７のいずれかで他のＥＣＵからのＣＡＮ信号を受信したか否かをＳ１２で識別し、受信した場合は次のＳ１３の処理に進む。

　ＣＡＮ信号監視部４１ｂは、他のＥＣＵから受信したＣＡＮ信号が入力された通信ポートをＳ１３で識別する。すなわち、ＣＡＮ信号監視部４１ｂは、端子Ｔ１～Ｔ７のどの位置から機能代行ユニット４０にＣＡＮ信号が入力されたのかをＳ１３で特定する。

　また、ＣＡＮ信号監視部４１ｂは、他のＥＣＵから受信したＣＡＮ信号が入力された経路の領域の違いをＳ１４で識別する。具体的には、ＣＡＮ信号監視部４１ｂは、エンジンルーム１０ａを通過する経路のワイヤハーネスが接続されるＡ系統ＳＡに属する端子Ｔ１～Ｔ３から入力されたＣＡＮ信号と、エンジンルーム１０ａを通過しない経路のワイヤハーネスが接続されるＢ系統ＳＢに属する端子Ｔ４～Ｔ７から入力されたＣＡＮ信号とを区別する。

　マイクロコンピュータ４１の不正信号検出部４１ｃは、Ｓ１３で特定された通信ポート、Ｓ１４で特定された領域の区分、入力されたＣＡＮ信号の種類や内容、受信したタイミングなどと、事前に定めた不正判定条件とに基づいて、不正なＣＡＮ信号か否かを受信したそれぞれのＣＡＮ信号についてＳ１５で識別する。

　不正信号検出部４１ｃが比較する不正判定条件は、通信ポートの端子毎、領域毎に、それぞれに接続される正規の車載機器の特性や仕様を考慮して事前に決定し、不正条件テーブルＴＢ１に個別に保持しておくことができる。

　例えば、スマートキーの照合機能を有する特定のＥＣＵが必ず車室１０ｂ内に設置される仕様の車両であることを前提にすると、スマートキーの照合を目的とする種類のＣＡＮ信号が、エンジンルーム１０ａを通過する経路を経由して機能代行ユニット４０に入力されることはない。このような条件を逸脱したＣＡＮ信号が機能代行ユニット４０に入力された場合には、このＣＡＮ信号を不正とみなすことができる。

　マイクロコンピュータ４１は、不正信号検出部４１ｃが不正なＣＡＮ信号を検出した場合はＳ１５からＳ１６の処理に進み、不正なＣＡＮ信号を検出しない場合はＳ１７の処理に進む。

　マイクロコンピュータ４１の信号遮断部４１ｄは、不正信号検出部４１ｃが検出した不正なＣＡＮ信号をＳ１６で遮断し、それが下流側のＣＡＮバスに出力されないように処理する。また、通知部４１ｅは不正なＣＡＮ信号が検出されたことを上位ＥＣＵに対して通知する。

　不正なＣＡＮ信号が検出されない場合は、ＣＡＮ送受信部４１ａは受信したＣＡＮ信号を中継し、そのまま下流側のＣＡＮバスに出力する（Ｓ１７）。例えば、端子Ｔ１から機能代行ユニット４０にＣＡＮ信号が入力された場合には、中継により生成した入力と同じＣＡＮ信号を他の端子Ｔ２～Ｔ７のそれぞれに出力する。あるいは、特にセキュリティを重視するような状況では信号毎に指定された宛先に応じて端子Ｔ２～Ｔ７のうち必要な箇所に対してのみＣＡＮ信号を送出することもできる。

　次に、ジョイントコネクタを用いた通信ネットワークおよび実施形態の車載通信線接続装置の通信ネットワークの構成例および動作例をそれぞれ説明する。

＜ジョイントコネクタを用いた通信ネットワークの場合＞
＜正常な動作の場合＞
　図６は、ジョイントコネクタを用いた通信ネットワークの構成例を示すブロック図である。図７は、図６の通信ネットワークにおける通信動作の例を示すタイムチャートである。

　図６の通信ネットワークにおいては、前述の機能代行ユニット４０と同様に７個の端子Ｔ１～Ｔ７を有するジョイントコネクタ５０が接続位置Ｐｃ１に配置されている。７個の端子Ｔ１～Ｔ７の電気回路は、ジョイントコネクタ５０の内部で共通に接続されている。したがって、例えば端子Ｔ１から入力されたＣＡＮ信号は、ジョイントコネクタ５０の内部を通過して他の端子Ｔ２～Ｔ７のそれぞれに出力される。

　図６の例では、ＥＣＵ５１、５２、及び５３がそれぞれエンジンルーム１０ａ内にあり、ＥＣＵ５４、５５、５６、及び５７がそれぞれ車室１０ｂ側にある。また、ＥＣＵ５２はエンジン制御の機能を有し、ＥＣＵ５５はドア開閉許可の機能を有し、ＥＣＵ５６は正規のスマートキーからの無線信号を受信して処理する機能を有している。

　ＥＣＵ５１はＣＡＮバス３１Ａを経由してジョイントコネクタ５０の端子Ｔ３と接続され、ＥＣＵ５２はＣＡＮバス３１Ｂを経由してジョイントコネクタ５０の端子Ｔ２と接続され、ＥＣＵ５３はＣＡＮバス３１Ｃを経由してジョイントコネクタ５０の端子Ｔ１と接続されている。また、ＥＣＵ５４はＣＡＮバス３３Ａを経由してジョイントコネクタ５０の端子Ｔ４と接続され、ＥＣＵ５５はＣＡＮバス３３Ｂを経由してジョイントコネクタ５０の端子Ｔ５と接続され、ＥＣＵ５６はＣＡＮバス３３Ｃを経由してジョイントコネクタ５０の端子Ｔ６と接続され、ＥＣＵ５７はＣＡＮバス３３Ｄを経由してジョイントコネクタ５０の端子Ｔ７と接続されている。

　図６に示すように、正規のスマートキーをユーザがＥＣＵ５６に近づけると、ＥＣＵ５６はスマートキーの無線信号を受信してキーの照合を行う。そしてＥＣＵ５６は照合結果を示すＣＡＮ信号をＣＡＮバス３３Ｃに送出する。ＣＡＮバス３３Ｃに送出されたＣＡＮ信号は、端子Ｔ６からジョイントコネクタ５０に入力され、そのコネクタ内部を通過して他の端子Ｔ１～Ｔ５、Ｔ７にそれぞれ出力される。

　この場合、ＥＣＵ５６により送出されたＣＡＮ信号は、ジョイントコネクタ５０の端子Ｔ５、及びＣＡＮバス３３Ｂを経由してＥＣＵ５５に入力される。したがって、ＥＣＵ５５は、ＥＣＵ５６から出力されたＣＡＮ信号によりスマートキーの照合結果を確認し、ドア１０ｃの解錠を許可する。

　つまり、図７に示すように、正規のスマートキーの無線信号がＥＣＵ５６で受信され、ＥＣＵ５６はその照合結果をＣＡＮの送信信号（Ｔｘ）としてジョイントコネクタ５０の端子Ｔ６に与える。ＥＣＵ５６から送出されたＣＡＮの信号は、ジョイントコネクタ５０の端子Ｔ６に受信信号（Ｒｘ）として入力され、ジョイントコネクタ５０の内部を通過してそのまま端子Ｔ５から送信信号として出力される。ＥＣＵ５５は、ジョイントコネクタ５０の端子Ｔ５から送出されたＣＡＮの信号を受信信号として取得する。

＜不正侵入の場合＞
　図８は、ジョイントコネクタを用いた通信ネットワークの構成例を示すブロック図である。図９は、図８の通信ネットワークにおける通信動作の例を示すタイムチャートである。

　図８に示した構成においては、正規のスマートキーが存在せず、代わりに不正ななりすまし機器６０がＣＡＮバス３１Ｂに不正に接続された場合を想定している。それ以外の構成は図６と同様である。

　つまり、図８中のＣＡＮバス３１Ｂはエンジンルーム１０ａ内に露出した状態で配索されているので、ドア１０ｃが施錠されている状態であっても、停止状態の車両１０のＣＡＮバス３１Ｂに対して侵入者がなりすまし機器６０を取り付けることが可能である。

　この場合、なりすまし機器６０はＥＣＵ５６になりすまし、正規のスマートキーからの信号を受信した場合にＥＣＵ５６が出力するＣＡＮ信号とほぼ一致するように細工されたなりすましの（偽の）ＣＡＮ信号をＣＡＮバス３１Ｂに送出する。

　なりすまし機器６０が送出したなりすましのＣＡＮ信号は、ＣＡＮバス３１Ｂからジョイントコネクタ５０の端子Ｔ２に入力され、ジョイントコネクタ５０の内部をそのまま通過して端子Ｔ５から出力される。したがって、なりすましのＣＡＮ信号がＣＡＮバス３３Ｂを経由してＥＣＵ５５に入力され、ＥＣＵ５５が誤動作する。すなわち、正規のスマートキーが存在しないにもかかわらず、ＥＣＵ５５はなりすまし機器６０からの信号を受け付けてドア１０ｃの解錠を許可する。

　つまり、図９に示すように、正規のスマートキーからの無線信号を受信していないので、ＥＣＵ５６はジョイントコネクタ５０の端子Ｔ６に正規のＣＡＮ信号を送信しないが、なりすまし機器６０から送出された偽のＣＡＮ信号がジョイントコネクタ５０の端子Ｔ２に現れる。この偽のＣＡＮ信号がジョイントコネクタ５０の内部を通過して端子Ｔ５から出力されるため、ＥＣＵ５５が偽のＣＡＮ信号を受信してしまう。

　そして、偽のＣＡＮ信号が正規のＣＡＮ信号とほぼ一致する場合には、なりすましを検知することができず、ドア１０ｃの解錠許可を発生してしまう。その結果、侵入者が不正にドア１０ｃを開けて車両１０に乗り込み、エンジンを始動することも可能になる。

＜実施形態の車載通信線接続装置の通信ネットワークの場合＞
＜正常な動作の場合＞
　図１０は、ジョイントコネクタの代わりに機能代行ユニット４０を接続した通信ネットワークの構成例を示すブロック図である。図１１は、図１０の通信ネットワークにおける通信動作の例を示すタイムチャートである。

　図１０の通信ネットワークの構成は、ジョイントコネクタ５０の代わりに機能代行ユニット４０が接続されている点以外は図６と同様である。

　図１０の例では、ＥＣＵ５１、５２、及び５３がそれぞれエンジンルーム１０ａ内にあり、ＥＣＵ５４、５５、５６、及び５７がそれぞれ車室１０ｂ側にある。また、ＥＣＵ５２はエンジン制御の機能を有し、ＥＣＵ５５はドア開閉許可の機能を有し、ＥＣＵ５６は正規のスマートキーからの無線信号を受信して処理する機能を有している。

　ＥＣＵ５１はＣＡＮバス３１Ａを経由して機能代行ユニット４０の端子Ｔ３と接続され、ＥＣＵ５２はＣＡＮバス３１Ｂを経由して機能代行ユニット４０の端子Ｔ２と接続され、ＥＣＵ５３はＣＡＮバス３１Ｃを経由して機能代行ユニット４０の端子Ｔ１と接続されている。また、ＥＣＵ５４はＣＡＮバス３３Ａを経由して機能代行ユニット４０の端子Ｔ４と接続され、ＥＣＵ５５はＣＡＮバス３３Ｂを経由して機能代行ユニット４０の端子Ｔ５と接続され、ＥＣＵ５６はＣＡＮバス３３Ｃを経由して機能代行ユニット４０の端子Ｔ６と接続され、ＥＣＵ５７はＣＡＮバス３３Ｄを経由して機能代行ユニット４０の端子Ｔ７と接続されている。

　また、各ＣＡＮバス３１Ａ、３１Ｂ、３１Ｃは、エンジンルーム１０ａ内に配索されているので、機能代行ユニット４０の端子Ｔ１～Ｔ３はＡ系統ＳＡに区分されている。また、各ＣＡＮバス３３Ａ、３３Ｂ、３３Ｃ、３３Ｄは、エンジンルーム１０ａ内を通過しないように配索されているので、機能代行ユニット４０の端子Ｔ４～Ｔ７はＢ系統ＳＢに区分されている。

　図１０に示すように、正規のスマートキーをユーザがＥＣＵ５６に近づけると、ＥＣＵ５６は、スマートキーの無線信号を受信してキーの照合を行う。そしてＥＣＵ５６は、照合結果を示すＣＡＮ信号をＣＡＮバス３３Ｃに送出する。ＣＡＮバス３３Ｃに送出されたＣＡＮ信号は、端子Ｔ６から機能代行ユニット４０に入力される。

　ここで、端子Ｔ６はＢ系統ＳＢ側に割り当てられているので、機能代行ユニット４０のマイクロコンピュータ４１は、端子Ｔ６に入力されたＣＡＮ信号を正規の信号として認識できる。したがって、機能代行ユニット４０は、端子Ｔ６に入力されたＣＡＮ信号をＣＡＮ送受信部４１ａで中継して（Ｓ１７）、端子Ｔ５に送出する。

　したがって、ＥＣＵ５６の送出したＣＡＮ信号と同じＣＡＮ信号が機能代行ユニット４０の端子Ｔ５、及びＣＡＮバス３３Ｂを経由してＥＣＵ５５に入力される。そのため、ＥＣＵ５５は、ＥＣＵ５６から出力されたＣＡＮ信号によりスマートキーの照合結果を確認し、ドア１０ｃの解錠を許可する。

　つまり、図１１に示すように、正規のスマートキーの無線信号がＥＣＵ５６で受信され、その照合結果をＥＣＵ５６がＣＡＮの送信信号（Ｔｘ）として機能代行ユニット４０の端子Ｔ６に与える。機能代行ユニット４０は、端子Ｔ６から入力されたＣＡＮ信号を監視して正常な信号と不正な信号とを区別する。

　正常な信号が端子Ｔ６に入力された場合は、端子Ｔ６以外のチャネル、すなわち端子Ｔ１～Ｔ５、及びＴ７の全て、あるいはそれらの一部分に対して機能代行ユニット４０の内部で中継したＣＡＮ信号を送出する。

　なお、この中継の際に機能代行ユニット４０内部の信号処理に伴う遅延が発生するので、図１１に示すように端子Ｔ５に送出されるＣＡＮ信号のタイミングは、端子Ｔ６に入力されたＣＡＮ信号に対して少し遅延する。但し、機能代行ユニット４０の内部における処理の負荷を減らすことで遅延時間を短縮することが可能である。例えば、ＣＡＮ信号の監視対象を信号フレームのＩＤフィールドなど一部分のみに限定することで、遅延を減らすことができる。
　ＥＣＵ５５は、機能代行ユニット４０の端子Ｔ５から送出されたＣＡＮの信号を受信信号として取得し、ドア１０ｃの解錠を許可する。

＜不正侵入の場合＞
　図１２は、ジョイントコネクタの代わりに機能代行ユニット４０を接続した通信ネットワークの構成例を示すブロック図である。図１３は、図１２の通信ネットワークにおける通信動作の例を示すタイムチャートである。

　図１２に示した構成においては、正規のスマートキーが存在せず、代わりに不正ななりすまし機器６０がＣＡＮバス３１Ｂに不正に接続された場合を想定している。それ以外の構成は図１０と同様である。

　つまり、図１２中のＣＡＮバス３１Ｂはエンジンルーム１０ａ内に露出した状態で配索されているので、ドア１０ｃが施錠されている状態であっても、停止状態の車両１０のＣＡＮバス３１Ｂに対して侵入者がなりすまし機器６０を取り付けることが可能である。

　なりすまし機器６０が送出したなりすましのＣＡＮ信号は、ＣＡＮバス３１Ｂから機能代行ユニット４０の端子Ｔ２に入力される。

　機能代行ユニット４０のＣＡＮ信号監視部４１ｂは、端子Ｔ２に入力されたＣＡＮ信号を受信して監視する。また、このＣＡＮ信号を受信した端子Ｔ２の番号や、それに割り当てられたワイヤハーネスの系統（ＳＡ）を認識する（Ｓ１３、Ｓ１４）。

　ここで、なりすまし機器６０が送出したなりすましのＣＡＮ信号は、スマートキーの照合に関するものであるが、車両１０の仕様上、スマートキーの信号を処理する正規のＥＣＵ５６は車室１０ｂ内に存在し、正規のＣＡＮ信号をＢ系統ＳＢに属する端子Ｔ６に送出する。したがって、機能代行ユニット４０のＣＡＮ信号監視部４１ｂはエンジンルーム１０ａ側から入力されたありえない経路からのＣＡＮ信号を端子Ｔ２で受信したことを検知する。したがって、このＣＡＮ信号を不正信号検出部４１ｃが不正な信号であると判断し、信号遮断部４１ｄがこの偽のＣＡＮ信号を機能代行ユニット４０の内部で遮断する。そのため、なりすまし機器６０の送出したなりすましのＣＡＮ信号がＥＣＵ５５に届くことはなく、ドア１０ｃの施錠状態が維持される。

　図１３に示した動作について説明する。図１３の状況においては、正規のスマートキーがＥＣＵ５６の近傍に存在しないので、ＥＣＵ５６はＣＡＮ信号を送出しない。つまり、機能代行ユニット４０の端子Ｔ６には正規のＣＡＮ信号が入力されない。

　一方、なりすまし機器６０はＥＣＵ５６になりすましたＣＡＮ信号を送出する。このなりすましのＣＡＮ信号は、端子Ｔ２から機能代行ユニット４０に入力される。機能代行ユニット４０内のＣＡＮ信号監視部４１ｂは、スマートキーの照合などを表すＣＡＮ信号があり得ない経路から入力されたことを確認し、これを不正信号検出部４１ｃが不正な信号として検出する。

　また、不正信号検出部４１ｃが不正な信号を検出すると信号遮断部４１ｄが不正な信号を遮断するので、なりすまし機器６０から送出された偽のＣＡＮ信号が機能代行ユニット４０を通過して出力されることはなく、ＥＣＵ５５はドア１０ｃの解錠を許可しない。また、通知部４１ｅは、不正な信号が検出されたことを示す情報をＣＡＮ信号により上位のメータＥＣＵに通知する。

　メータＥＣＵは、機能代行ユニット４０から通知された情報に基づき、不正侵入を表す情報を表示する。また、所定のセキュリティアラームが鳴動するようにメータＥＣＵが制御する。更に、所定のデータセンタなどで車両１０を管理している場合には、メータＥＣＵからデータセンタに通知を送り、異常の発生を知らせる。また、事前に登録したユーザのスマートホンがある場合には、メータＥＣＵからユーザのスマートホンに対して、あるいはデータセンタからユーザのスマートホンに対して異常の発生を知らせる。

　以上のように、実施形態に係る車載通信線接続装置においては、ワイヤハーネス全体の中の接続位置Ｐｃ１に配置された機能代行ユニット４０が、エンジンルーム１０ａの領域からワイヤハーネス３１を介して侵入する不正なＣＡＮ信号と、車室１０ｂ内の領域から各ワイヤハーネス３３～３６を介して入力される正規のＣＡＮ信号とを区別することができる。したがって、侵入者によりエンジンルーム１０ａ内になりすまし機器６０が接続された場合に、なりすまし機器６０からの攻撃を機能代行ユニット４０で自動的に検知して遮断することができる。

　また、ワイヤハーネスに機能代行ユニット４０を接続した場合には、機能代行ユニット４０の内部で各ＣＡＮ信号を中継してから出力するので、中継に伴って信号の遅延が発生する。しかし、図５に示した処理のように、ＣＡＮ信号の監視を車両の停止中だけに限定することで、車両の走行中は発生する信号遅延を最小化できる。

　車両の盗難が発生するのは、通常は車両の停止中であり、施錠状態でも外部に露出しているエンジンルーム１０ａの領域でワイヤハーネス３１等に接続されるなりすまし機器６０からの攻撃に起因するので、ＣＡＮ信号の監視を車両の停止中だけに限定しても攻撃を避けることができる。

　また、車両の停止中におけるＣＡＮ信号の監視対象を信号フレームの一部分（ＩＤフィールドなど）だけに限定することで、車両の停止中であっても遅延時間を減らすことができる。

　また、ワイヤハーネスに機能代行ユニット４０を接続した場合には、既存のＣＡＮバスをそのまま利用するので、それ以外の特別な通信線を追加することなく車両１０に盗難対策を施すことが可能になる。したがって、既存の車両に盗難対策機能を付加する場合に必要なワイヤハーネスの配索などの作業を最小化できる。また、盗難対策機能を装備した新たな車両用のワイヤハーネスを設計する際に、既存のワイヤハーネスとの構成の違いがほとんどないので、設計作業の負担が軽減される。また、ワイヤハーネスの製造工程の変更も最小限で済む。

　また、ワイヤハーネスに機能代行ユニット４０を接続した場合には、複数系統の通信線が共通に接続されるＣＡＮバスの通信ネットワークであっても、機能代行ユニット４０内で系統毎に信号を区別できるので、車両１０上に搭載された様々な車載機器の故障検知が容易になる。また、様々なオプション機器をＣＡＮバスに接続する場合に接続作業が容易になり、機器毎の特性に合わせた安全対策も機能代行ユニット４０内部のソフトウェアを更新するだけで対応可能になる。

　上述の車載通信線接続装置に関する特徴的な事項について、以下の［１］～［５］に簡潔に纏めて列挙する。
［１］　車両（１０）上で不正な外部機器のアクセスが物理的に困難な第１領域（車室１０ｂ）に配索される第１共通通信線（ワイヤハーネス３３～３６）と、
　前記車両上で不正な外部機器のアクセスが物理的に容易な第２領域（エンジンルーム１０ａ）に少なくとも一部分が配索される第２共通通信線（ワイヤハーネス３１）と、
　前記第１共通通信線と、前記第２共通通信線とを物理的に接続する共通コネクタ部（接続位置Ｐｃ１、端子Ｔ１～Ｔ３）と、
　前記第１領域に配置される１つ以上の第１車載機器と前記第１共通通信線とを接続可能な第１接続部（端子Ｔ４～Ｔ６）と、
　前記第１共通通信線と、前記第１共通通信線よりも上位の系統の通信を管理する上位管理部（セントラルゲートウェイ１１）とを接続可能な上位接続部（端子Ｔ７）と、
　前記共通コネクタ部の内部もしくはその近傍に配置され、少なくとも前記第２共通通信線から前記第１共通通信線に向かう方向の不正通信を監視する代行管理部（機能代行ユニット４０）と、
　を備える車載通信線接続装置。

　上記［１］の構成の車載通信線接続装置によれば、前記代行管理部が既存の通信線を利用して車両上の前記第１領域の信号と前記第２領域の信号とを区別できるので、特別な通信線を追加することなく、前記第２領域から侵入する不正な信号の識別が可能になる。したがって、車両盗難防止などの対策が容易になる。すなわち、既存の車両においては、既存のワイヤハーネスにジョイントコネクタ５０の代わりに機能代行ユニット４０を取り付けるだけでよい。また、新たな車両のために車両盗難防止対策する場合には、ワイヤハーネスの構成（特に通信線の数）をほとんど変更する必要がないので、ワイヤハーネスの再設計が容易になり、製造工程の変更もごく僅かで済む。

［２］　前記代行管理部（マイクロコンピュータ４１）は、少なくとも前記車両が停止状態か否かを識別し（Ｓ１１）、前記車両が停止状態である場合に限り、前記第２共通通信線から入力された通信を監視して不正通信の有無を識別する（Ｓ１２～Ｓ１５）、
　上記［１］に記載の車載通信線接続装置。

　上記［２］の構成の車載通信線接続装置によれば、車両が走行しているときには不正信号の監視処理が不要になるので、通信する信号に発生する遅延の最小化が容易であり、走行中に車載システムの応答性が低下するのを避けることが可能になる。また、車両の盗難が発生する原因は車両の停止中に発生するので、車両が走行しているときに不正信号の監視を省略しても問題は発生しないと考えられる。

［３］　前記第２共通通信線は、少なくとも一部分が前記車両のエンジンルーム（１０ａ）内に配索される、
　上記［１］又は［２］に記載の車載通信線接続装置。

　上記［３］の構成の車載通信線接続装置によれば、侵入者によりエンジンルーム内に不正な機器が取り付けられた場合に、不正な機器から送出される不正な信号と、車室内の正規の機器から送出される正しい信号とを識別できるので、不正な機器のなりすましによる被害を防止できる。

［４］　前記代行管理部は、前記第２共通通信線から入力された通信信号の監視により不正通信を検知した場合に、該当する通信信号を前記第１共通通信線から遮断する遮断機能
（信号遮断部４１ｄ）を有する、
　上記［１］から［３］のいずれかに記載の車載通信線接続装置。

　上記［４］の構成の車載通信線接続装置によれば、不正な機器から発生した不正な信号が前記代行管理部を通過して下流側に送信されるのを防止できるので、下流側の車載機器に特別な安全対策機能を付加する必要がなくなる。

［５］　前記代行管理部は、前記第２共通通信線に属する複数系統の通信線が前記共通コネクタ部の複数の端子にそれぞれ接続されている場合に、端子毎に事前に割り当てられた識別条件（不正条件テーブルＴＢ１）と、それぞれの端子に現れた通信信号の状態とを比較して不正通信の有無を識別する（Ｓ１３～Ｓ１５）、
　上記［１］から［４］のいずれかに記載の車載通信線接続装置。

　上記［５］の構成の車載通信線接続装置によれば、端子毎にそれぞれ独立した条件で不正通信か否かを識別できるので、それぞれの端子に接続される正規の車載機器の特性（信号の種類、タイミングなど）を考慮して不正の判定精度を上げることが容易になる。

　なお、本開示は、上述した実施形態に限定されるものではなく、適宜、変形、改良、等が可能である。その他、上述した実施形態における各構成要素の材質、形状、寸法、数、配置箇所、等は本発明を達成できるものであれば任意であり、限定されない。

　なお、本出願は、２０２２年２月２１日出願の日本特許出願（特願２０２２－０２５０４９）に基づくものであり、その内容は本出願の中に参照として援用される。

　１０　車両
　１０ａ　エンジンルーム
　１０ｂ　車室
　１０ｃ　ドア
　１１　セントラルゲートウェイ
　１２，１３　ＣＡＮバス
　１４Ａ，１４Ｂ，１４Ｃ，１４Ｄ　ＥＣＵ
　１５Ａ，１５Ｂ，１５Ｃ　ＥＣＵ
　２１，２２，２３，２４，２５，２６，２７　車載機器
　３１，３２，３３，３４，３５，３６，３７，３８　ワイヤハーネス
　３１Ａ，３１Ｂ，３１Ｃ　ＣＡＮバス
　３３Ａ，３３Ｂ，３３Ｃ，３３Ｄ　ＣＡＮバス
　４０　機能代行ユニット
　４１　マイクロコンピュータ
　４１ａ　ＣＡＮ送受信部
　４１ｂ　ＣＡＮ信号監視部
　４１ｃ　不正信号検出部
　４１ｄ　信号遮断部
　４１ｅ　通知部
　４２，４３，４４，４５，４６，４７，４８　インタフェース
　５０　ジョイントコネクタ
　５１，５２，５３，５４，５５，５６，５７　ＥＣＵ
　６０　なりすまし機器
　Ｐｃ１，Ｐｃ２　接続位置
　ＳＡ　Ａ系統
　ＳＢ　Ｂ系統
　Ｔ１，Ｔ２，Ｔ３，Ｔ４，Ｔ５，Ｔ６，Ｔ７，Ｔ９　端子
　ＴＢ１　不正条件テーブル

Claims

　車両上で不正な外部機器のアクセスが物理的に困難な第１領域に配索される第１共通通信線と、
　前記車両上で不正な外部機器のアクセスが物理的に容易な第２領域に少なくとも一部分が配索される第２共通通信線と、
　前記第１共通通信線と、前記第２共通通信線とを物理的に接続する共通コネクタ部と、
　前記第１領域に配置される１つ以上の第１車載機器と前記第１共通通信線とを接続可能な第１接続部と、
　前記第１共通通信線と、前記第１共通通信線よりも上位の系統の通信を管理する上位管理部とを接続可能な上位接続部と、
　前記共通コネクタ部の内部もしくはその近傍に配置され、少なくとも前記第２共通通信線から前記第１共通通信線に向かう方向の不正通信を監視する代行管理部と、
　を備える車載通信線接続装置。
　前記代行管理部は、少なくとも前記車両が停止状態か否かを識別し、前記車両が停止状態である場合に限り、前記第２共通通信線から入力された通信を監視して不正通信の有無を識別する、
　請求項１に記載の車載通信線接続装置。
　前記第２共通通信線は、少なくとも一部分が前記車両のエンジンルーム内に配索される、
　請求項１又は請求項２に記載の車載通信線接続装置。
　前記代行管理部は、前記第２共通通信線から入力された通信信号の監視により不正通信を検知した場合に、該当する通信信号を前記第１共通通信線から遮断する遮断機能を有する、
　請求項１から請求項３のいずれか１項に記載の車載通信線接続装置。
　前記代行管理部は、前記第２共通通信線に属する複数系統の通信線が前記共通コネクタ部の複数の端子にそれぞれ接続されている場合に、端子毎に事前に割り当てられた識別条件と、それぞれの端子に現れた通信信号の状態とを比較して不正通信の有無を識別する、
　請求項１から請求項４のいずれか１項に記載の車載通信線接続装置。