WO2023218815A1

WO2023218815A1 - 監視装置、車両監視方法および車両監視プログラム

Info

Publication number: WO2023218815A1
Application number: PCT/JP2023/014203
Authority: WO
Inventors: 相羽慎一
Original assignee: 株式会社オートネットワーク技術研究所; 住友電装株式会社; 住友電気工業株式会社
Priority date: 2022-05-12
Filing date: 2023-04-06
Publication date: 2023-11-16

Abstract

車両に搭載される監視装置であって、前記車両の車載ネットワークにおいて検知されたエラーの発生回数をカウントするカウンタのカウント値を監視する監視部と、前記監視部の監視結果に基づいて、前記カウント値の時間変化を示すパターン情報を生成するパターン情報生成部と、前記パターン情報生成部によって生成された前記パターン情報と、予め観測された前記カウント値の時間変化に基づく参照情報とに基づいて、前記車載ネットワークにおける異常を検知する異常検知部とを備える。

Description

監視装置、車両監視方法および車両監視プログラム

　本開示は、監視装置、車両監視方法および車両監視プログラムに関する。
　この出願は、２０２２年５月１２日に出願された日本出願特願２０２２－７８８８８号を基礎とする優先権を主張し、その開示のすべてをここに取り込む。

　特開２０１３－１３１９０７号公報（特許文献１）には、以下のような技術が開示されている。すなわち、複数の車載制御装置の間でデータの通信が行われる車両ネットワークにあってその通信データの監視を行う車両ネットワーク監視装置であって、前記車両ネットワークで用いられる通信プロトコルを運用する上で規定されたデータの通信形式の監視を通じて不正データを検知する監視部を備える。前記監視部は、エラーの検出に基づき前記車載制御装置が送信するエラーフレームの送信回数を前記データの通信形式として監視し、該監視するエラーフレームの送信回数が規定の送信回数を超えたことをもって、前記車両ネットワークに不正データが送信されている旨検知する。

特開２０１３－１３１９０７号公報

　本開示の監視装置は、車両に搭載される監視装置であって、前記車両の車載ネットワークにおいて検知されたエラーの発生回数をカウントするカウンタのカウント値を監視する監視部と、前記監視部の監視結果に基づいて、前記カウント値の時間変化を示すパターン情報を生成するパターン情報生成部と、前記パターン情報生成部によって生成された前記パターン情報と、予め観測された前記カウント値の時間変化に基づく参照情報とに基づいて、前記車載ネットワークにおける異常を検知する異常検知部とを備える。

　本開示の車両監視方法は、車両に搭載される監視装置における車両監視方法であって、前記車両の車載ネットワークにおいて検知されたエラーの発生回数をカウントするカウンタのカウント値を監視するステップと、監視結果に基づいて、前記カウント値の時間変化を示すパターン情報を生成するステップと、生成した前記パターン情報と、予め観測された前記カウント値の時間変化に基づく参照情報とに基づいて、前記車載ネットワークにおける異常を検知するステップとを含む。

　本開示の車両監視プログラムは、車両に搭載される監視装置において用いられる車両監視プログラムであって、コンピュータを、前記車両の車載ネットワークにおいて検知されたエラーの発生回数をカウントするカウンタのカウント値を監視する監視部と、前記監視部の監視結果に基づいて、前記カウント値の時間変化を示すパターン情報を生成するパターン情報生成部と、前記パターン情報生成部によって生成された前記パターン情報と、予め観測された前記カウント値の時間変化に基づく参照情報とに基づいて、前記車載ネットワークにおける異常を検知する異常検知部、として機能させるためのプログラムである。

　本開示の一態様は、監視装置の一部または全部を実現する半導体集積回路として実現され得たり、監視装置を含むシステムとして実現され得る。

図１は、本開示の実施の形態に係る車両監視システムの構成を示す図である。図２は、本開示の実施の形態に係る車載通信システムの構成を示す図である。図３は、本開示の実施の形態に係る車載通信システムにおけるゲートウェイ装置の構成を示す図である。図４は、本開示の実施の形態に係る車載通信システムにおけるエラーカウンタのカウント値の推移および異常検出タイミングの一例を示す図である。図５は、本開示の実施の形態に係るゲートウェイ装置が車載ネットワークにおける異常を検知する際の動作手順の一例を定めたフローチャートである。図６は、本開示の実施の形態に係るゲートウェイ装置が停止制御を行う際の動作手順の一例を定めたフローチャートである。

　従来、車載ネットワークにおけるセキュリティを向上させるための技術が開発されている。

　［本開示が解決しようとする課題］
　このような特許文献１に記載の技術を超えて、車両の異常についてのより正確な判断を可能とする技術が望まれる。

　本開示は、上述の課題を解決するためになされたもので、その目的は、車両の異常をより正確に判断することが可能な監視装置、車両監視方法および車両監視プログラムを提供することである。

　［本開示の効果］
　本開示によれば、車両の異常をより正確に判断することができる。

　［本開示の実施形態の説明］
　最初に、本開示の実施形態の内容を列記して説明する。
　（１）本開示の実施の形態に係る監視装置は、車両に搭載される監視装置であって、前記車両の車載ネットワークにおいて検知されたエラーの発生回数をカウントするカウンタのカウント値を監視する監視部と、前記監視部の監視結果に基づいて、前記カウント値の時間変化を示すパターン情報を生成するパターン情報生成部と、前記パターン情報生成部によって生成された前記パターン情報と、予め観測された前記カウント値の時間変化に基づく参照情報とに基づいて、前記車載ネットワークにおける異常を検知する異常検知部とを備える。

　車両においては、通常時においても、各種機器およびワイヤーハーネスから発生する電磁波等によるエラーが発生する場合がある。このため、エラー発生回数が所定の閾値を超えた場合に異常と判断する方法では、異常を誤検知する可能性がある。これに対して、上記のように、エラー発生のカウント値の時間変化を用いて異常を検知する構成により、エラー発生回数の自然増加による誤検知を防ぐことができ、車両の異常をより正確に判断することができる。

　（２）上記（１）において、前記参照情報は、予め観測された前記カウント値の時間変化を示すパターン情報であってもよく、前記異常検知部は、前記パターン情報生成部によって生成された前記パターン情報と、前記参照情報との比較を行い、比較結果に基づいて、前記車載ネットワークにおける異常を検知してもよい。

　このような構成により、２つのパターン情報を比較する簡易な処理で車両の異常を検知することができる。

　（３）上記（２）において、前記異常検知部は、前記パターン情報生成部によって生成された前記パターン情報と前記参照情報とに基づいて前記異常を検知する第１の異常検知処理、および前記カウント値と所定の閾値との比較結果に基づいて前記異常を検知する第２の異常検知処理を行うことが可能であってもよく、前記参照情報における前記カウント値の最大値は、前記所定の閾値より小さくてもよい。

　このような構成により、カウント値が所定の閾値に達するまで待つことなく、カウント値の増加傾向から異常を検知することができる。すなわち、カウント値が所定の閾値に達する時刻より前の時刻において異常を検知することができ、たとえば、車載ネットワークが攻撃を受ける時間を短くし、車両に対するサイバー攻撃等による影響を抑制することができる。

　（４）上記（１）から（３）のいずれかにおいて、前記異常検知部は、前記パターン情報生成部によって生成された前記パターン情報と前記参照情報とに基づいて前記異常を検知する第１の異常検知処理、および前記カウント値と所定の閾値との比較結果に基づいて前記異常を検知する第２の異常検知処理を並行して行ってもよい。

　このような構成により、閾値を用いる方法およびパターン情報を用いる方法の、より多面的な異常検知を行うことができる。

　（５）上記（１）から（４）のいずれかにおいて、前記エラーは、前記車載ネットワークにおける通信に関するエラーであってもよい。

　このような構成により、車両に対するサイバー攻撃による異常をより正確に検知することができる。

　（６）上記（５）において、前記エラーは、ＣＡＮ（Ｃｏｎｔｒｏｌｌｅｒ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）の規格に従うＣＲＣ（Ｃｙｃｌｉｃ　Ｒｅｄｕｎｄａｎｃｙ　Ｃｈｅｃｋ）によるエラーであってもよい。

　このような構成により、車両において広く用いられているバス規格に従う既存の仕組みを利用して、異常検知を容易に行うことができる。

　（７）上記（２）において、前記異常検知部は、統計分析の手法を用いて前記比較を行うことにより前記異常を検知してもよい。

　このような構成により、２つのパターン情報の比較を統計処理を用いてより正確に行うことができる。

　（８）上記（１）において、前記参照情報は、予め観測された前記カウント値の時間変化を用いて機械学習により作成された学習モデルであってもよく、前記異常検知部は、前記パターン情報生成部によって生成された前記パターン情報を前記学習モデルに与えることにより、前記車載ネットワークにおける異常を検知してもよい。

　このような構成により、２つのパターン情報を機械学習を用いてより正確に行うことができる。

　（９）上記（１）から（８）のいずれかにおいて、前記監視装置は、さらに、前記異常検知部が前記異常を検知した場合、所定の通知処理を行う異常処理部を備えてもよい。

　このような構成により、より広範な情報を把握可能な外部装置において当該異常を解析したり、ユーザにおいて車両への不正アクセスおよびデータ改ざん等があったことに気付かず、車両が多少の不具合に気付かない状態で使用し続けることを防いだりすることができる。

　（１０）上記（１）から（９）のいずれかにおいて、前記異常検知部が前記異常を検知した場合、前記車載ネットワークからの前記監視装置におけるデータ受信を停止する制御を行う異常処理部を備えてもよい。

　このような構成により、たとえば監視装置が車載ネットワークにおけるゲートウェイ装置等に設けられる場合に、車両に対するサイバー攻撃等による影響を抑制することができる。

　（１１）上記（１０）において、前記異常処理部は、前記停止制御を行ってから所定時間経過後、前記停止制御を解除する。

　このような構成により、たとえば車両に対するサイバー攻撃等による影響を抑制しながら、車載ネットワークにおける通信の継続を図ることができる。

　（１２）上記（１１）において、前記参照情報は、予め観測された前記カウント値の時間変化を示すパターン情報であり、前記異常検知部は、前記パターン情報生成部によって生成された前記パターン情報と、前記参照情報との比較を行い、比較結果に基づいて、前記車載ネットワークにおける異常を検知し、前記異常処理部は、前記比較結果に応じて前記所定時間を設定する。

　このような構成により、２つのパターン情報の不一致度合いに応じて、データ受信の停止期間を適切な長さに設定することができる。

　（１３）本開示の実施の形態に係る車両監視方法は、車両に搭載される監視装置における車両監視方法であって、前記車両の車載ネットワークにおいて検知されたエラーの発生回数をカウントするカウンタのカウント値を監視するステップと、監視結果に基づいて、前記カウント値の時間変化を示すパターン情報を生成するステップと、生成した前記パターン情報と、予め観測された前記カウント値の時間変化に基づく参照情報とに基づいて、前記車載ネットワークにおける異常を検知するステップとを含む。

　（１４）本開示の実施の形態に係る車両監視プログラムは、車両に搭載される監視装置において用いられる車両監視プログラムであって、コンピュータを、前記車両の車載ネットワークにおいて検知されたエラーの発生回数をカウントするカウンタのカウント値を監視する監視部と、前記監視部の監視結果に基づいて、前記カウント値の時間変化を示すパターン情報を生成するパターン情報生成部と、前記パターン情報生成部によって生成された前記パターン情報と、予め観測された前記カウント値の時間変化に基づく参照情報とに基づいて、前記車載ネットワークにおける異常を検知する異常検知部、として機能させるためのプログラムである。

　以下、本開示の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。また、以下に記載する実施形態の少なくとも一部を任意に組み合わせてもよい。

［構成および動作］
　図１は、本開示の実施の形態に係る車両監視システムの構成を示す図である。図１を参照して、車両監視システム４０１は、１または複数の車載通信システム２０１と、外部装置の一例である管理サーバ３０１とを備える。車載通信システム２０１は、車両９０に搭載される。

　車載通信システム２０１は、車両９０の車載ネットワークにおけるエラーの発生状況を監視し、監視結果に基づいて、車両９０における車載ネットワークの異常を検知する。そして、車載通信システム２０１は、異常を検知した場合、当該発生状況に基づいて生成された異常発生情報を外部ネットワーク５０１経由で管理サーバ３０１へ送信する。

　管理サーバ３０１は、車載通信システム２０１から送信された異常発生情報を受信し、当該異常発生情報を解析し、解析結果に基づいて、たとえば、車両９０への不正アクセスおよびデータ改ざん等があった旨をユーザに通知する処理を行う。

　図２は、本開示の実施の形態に係る車載通信システムの構成を示す図である。図２を参照して、車載通信システム２０１は、監視装置の一例であるゲートウェイ装置１０１と、１または複数の車載装置２０２と、車外通信装置１５１とを備える。たとえば、車載ネットワーク２５１は、ゲートウェイ装置１０１と、１または複数の車載装置２０２とにより構成される。図２では、車載ネットワーク２５１が１つのゲートウェイ装置１０１および３つの車載装置２０２を含む例が示されている。

　ゲートウェイ装置１０１は、たとえばバス８１を介して車載装置と接続される。具体的には、バス８１は、たとえば、ＣＡＮ（Ｃｏｎｔｒｏｌｌｅｒ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）（登録商標）、ＣＡＮ　ＦＤ（ＣＡＮ　ｗｉｔｈ　Ｆｌｅｘｉｂｌｅ　Ｄａｔａ　Ｒａｔｅ）、ＣＡＮ　ＸＬ、ＦｌｅｘＲａｙ（登録商標）、ＭＯＳＴ（Ｍｅｄｉａ　Ｏｒｉｅｎｔｅｄ　Ｓｙｓｔｅｍｓ　Ｔｒａｎｓｐｏｒｔ）（登録商標）、イーサネット（登録商標）、およびＬＩＮ（Ｌｏｃａｌ　Ｉｎｔｅｒｃｏｎｎｅｃｔ　Ｎｅｔｗｏｒｋ）等の規格に従うバスである。

　車載装置２０２は、センサ、アクチュエータ、カメラ、ＧＰＳ（Ｇｌｏｂａｌ　Ｐｏｓｉｔｉｏｎｉｎｇ　Ｓｙｓｔｅｍ）受信機、ナビゲーション装置、自動運転処理ＥＣＵ（Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）、ＡＤＡＳ（Ａｄｖａｎｃｅｄ　Ｄｒｉｖｉｎｇ　Ａｓｓｉｓｔａｎｔ　Ｓｙｓｔｅｍ）ＥＣＵ、ワイパー制御デバイス、エンジン制御デバイス、ＡＴ（Ａｕｔｏｍａｔｉｃ　Ｔｒａｎｓｍｉｓｓｉｏｎ）制御デバイス、ＨＥＶ（Ｈｙｂｒｉｄ　Ｅｌｅｃｔｒｉｃ　Ｖｅｈｉｃｌｅ）制御デバイス、ブレーキ制御デバイス、シャーシ制御デバイス、ステアリング制御デバイス、計器表示制御デバイスおよびメンテナンス用デバイス等である。

　ゲートウェイ装置１０１は、複数の車載装置２０２、および車外通信装置１５１と接続されており、各車載装置２０２および車外通信装置１５１と通信を行うことが可能である。なお、ゲートウェイ装置１０１に限らず、車載ネットワーク２５１において、たとえば、各車載装置２０２の動作を制御する統合ＥＣＵが監視装置の一例として設けられてもよい。

　車載装置２０２は、たとえば、定期的または不定期に、車両９０に関する計測結果などを示す車両関連情報および自己のＩＤをフレームに格納し、バス８１に接続された他の車載装置２０２へ送信する。なお、車載装置２０２は、ゲートウェイ装置１０１へフレームを送信するか、またはゲートウェイ装置１０１および図示しないケーブルもしくはバスを介して図示しない他の車載装置へフレームを送信する構成であってもよい。

　図３は、本開示の実施の形態に係る車載通信システムにおけるゲートウェイ装置の構成を示す図である。図３を参照して、ゲートウェイ装置１０１は、通信処理部１と、監視部２と、パターン情報生成部３と、異常検知部６と、異常処理部７と、エラーカウンタ８と、記憶部９とを備える。記憶部９は、たとえば不揮発性メモリである。

　車載装置２０２間でバス８１を介してフレームが直接送受信される場合、通信処理部１は、車載装置２０２からバス８１を介して他の車載装置２０２へ送信されるフレームを並行して受信する。なお、通信処理部１は、車載装置２０２および車外通信装置１５１等の車載装置間で伝送されるフレームを中継する中継処理を行うために当該フレームを受信する構成であってもよい。

　監視部２は、車両９０の車載ネットワーク２５１において検知されたエラー、すなわち誤りまたは失敗の発生回数をカウントするエラーカウンタ８のカウント値ＣＮを監視する。

　たとえば、当該エラーは、車載ネットワーク２５１における通信に関するエラーである。具体的には、たとえば、当該エラーは、ＣＡＮの規格に従うＣＲＣ（Ｃｙｃｌｉｃ　Ｒｅｄｕｎｄａｎｃｙ　Ｃｈｅｃｋ）によるエラーである。

　より詳細には、通信処理部１は、車載装置２０２からバス８１経由でフレームを受信すると、受信したフレームに関するエラーを検出する処理を行う。通信処理部１は、当該エラーを検出した場合、当該フレームの受信時刻を示すエラー発生通知を監視部２へ出力する。

　監視部２は、通信処理部１からエラー発生通知を受けて、エラーカウンタ８をカウントアップする。監視部２は、カウントアップ後のエラーカウンタ８のカウント値ＣＮ、および当該エラー発生通知の示す受信時刻の組を記憶部９に保存する。これにより、車載ネットワーク２５１におけるエラー発生状況のログが収集され、記憶部９に保存される。なお、監視部２がエラーカウンタ８をカウントアップする構成に限らず、監視部２以外の他のユニットがエラーカウンタ８をカウントアップする構成であってもよい。

　パターン情報生成部３は、監視部２の監視結果に基づいて、カウント値ＣＮの時間変化を示す時系列データであるパターン情報（以下、エラーログ情報とも称する。）を生成し、異常検知部６へ出力する。より詳細には、パターン情報生成部３は、記憶部９に保存された上記ログに基づいてエラーログ情報を生成する。エラーログ情報は、エラーの発生状況たとえばカウント値ＣＮの増加傾向を示す。エラーログ情報は、たとえば１秒または１０秒の期間の時系列データである。

　異常検知部６は、パターン情報生成部３によって生成されたエラーログ情報と、予め観測されたカウント値ＣＮの時間変化に基づく参照情報とに基づいて、車載ネットワーク２５１における異常を検知する。異常検知部６は、当該異常を検知した場合、異常が発生した旨を異常処理部７に通知し、当該異常に対応するエラーログ情報を異常処理部７へ出力する。

　より詳細には、参照情報は、予め観測されたカウント値ＣＮの時間変化を示すパターン情報である。異常検知部６は、パターン情報生成部３から受けたエラーログ情報と、記憶部９に保存された参照情報との比較を行い、比較結果に基づいて、車載ネットワーク２５１における異常を検知する。

　一例として、参照情報は、車両９０の出荷前においてテスト走行等により収集したエラーカウンタ８のカウント値ＣＮに基づいて作成される。

　車両９０においては、通常時においても、各種機器およびワイヤーハーネスから発生する電磁波等によるエラーが発生する場合がある。このため、参照情報として、何らかのエラー発生状況を示すパターン情報を得ることが可能である。

　たとえば、異常検知部６は、統計分析の手法を用いて上記比較を行うことにより異常を検知する。具体的には、統計分析は、たとえば分散分析または線形回帰分析である。

　なお、参照情報は、予め観測されたカウント値ＣＮの時間変化を用いて機械学習により作成された学習モデルであってもよい。すなわち、異常検知部６は、パターン情報生成部３によって生成されたパターン情報を学習モデルに与えることにより、車載ネットワーク２５１における異常を検知する構成であってもよい。

　具体的には、異常検知部６は、機械学習の一例として、ディープラーニング（Ｄｅｅｐ　Ｌｅａｒｎｉｎｇ）の手法に沿った学習モデルを用いる。

　異常処理部７は、異常検知部６が異常を検知した場合、所定の通知処理を行う。より詳細には、異常処理部７は、異常検知部６から通知を受けて、たとえば異常検知部６から受けたエラーログ情報を示す異常発生情報を通信処理部１へ出力する。

　なお、異常処理部７は、異常を検知していない状態において、定期的または不定期に、正常である旨を示す情報を通信処理部１へ出力する構成であってもよい。

　通信処理部１は、異常処理部７から受けた異常発生情報を車外通信装置１５１へ出力する。

　車外通信装置１５１は、ＷｉＦｉ（登録商標）またはＬＴＥ（登録商標）（Ｌｏｎｇ　Ｔｅｒｍ　Ｅｖｏｌｕｔｉｏｎ）などの通信方式に従って、図示しない無線基地局と無線通信を行うことにより、図１に示す外部ネットワーク５０１経由で管理サーバ３０１と通信を行う。

　たとえば、車外通信装置１５１は、ゲートウェイ装置１０１における通信処理部１から異常発生情報を受信して、当該異常発生情報を外部ネットワーク５０１経由で管理サーバ３０１へ送信する。

　管理サーバ３０１は、車外通信装置１５１から送信された異常発生情報を外部ネットワーク５０１経由で受信し、当該異常発生情報を解析する。そして、管理サーバ３０１は、たとえば、解析結果を示す解析情報を外部ネットワーク５０１経由で図示しないユーザ端末または車両９０へ送信する。

　なお、通知処理の他の例として、異常処理部７は、異常発生情報を通信処理部１経由でナビゲーション装置である車載装置２０２へ送信し、当該ナビゲーション装置を用いて異常発生情報の内容をユーザに通知する構成であってもよい。また、異常処理部７は、異常発生情報を通信処理部１経由で特定の車載装置２０２へ送信するか、またはブロードキャストする構成であってもよい。

　また、異常処理部７は、異常検知部６が異常を検知した場合、車載ネットワーク２５１からのゲートウェイ装置１０１におけるデータ受信を停止する停止制御を行う構成であってもよい。

　より詳細には、異常処理部７は、停止制御の一例として、バス遮断を行う、すなわち、通信処理部１を制御することにより、通信処理部１においてバス８１から到着するフレームをすべて破棄する。たとえば、異常処理部７は、バス遮断を行ってから所定時間経過後、バス遮断を解除して通常状態に戻す。

　なお、異常処理部７は、異常検知部６によるエラーログ情報と参照情報との比較結果に応じて上記所定時間（以下、復帰時間とも称する。）を設定する構成であってもよい。具体的には、たとえば、異常検知部６は、エラーログ情報と参照情報とが一致しないと判断した場合、異常が発生した旨および両者の不一致度合いを異常処理部７に通知する。たとえば、異常処理部７は、当該不一致度合いが大きい場合、復帰時間を大きい値に設定し、当該不一致度合いが小さい場合、復帰時間を小さい値に設定する。不一致度合いは、たとえば、上記各種分析により得られるスコア、またはパターン比較における不一致回数である。

　図４は、本開示の実施の形態に係る車載通信システムにおけるエラーカウンタのカウント値の推移および異常検出タイミングの一例を示す図である。図４において、横軸は時間を示し、縦軸はカウント値ＣＮを示す。

　図４を参照して、カウント値ＣＮと所定の閾値ＴｈＣとの比較結果に基づく異常検知処理を行う比較例では、時刻ｔ２においてカウント値ＣＮが閾値ＴｈＣ以上となり、車載ネットワーク２５１における異常が検知される。

　これに対して、ゲートウェイ装置１０１では、カウント値ＣＮの時間変化を示すエラーログ情報と、予め観測されたカウント値ＣＮの時間変化に基づく参照情報とに基づいて異常を検知する構成により、カウント値ＣＮが所定の閾値に達するまで待つことなく、カウント値ＣＮの増加傾向から異常を検知することができる。すなわち、たとえば図４に示すような、カウント値ＣＮが閾値ＴｈＣに達する時刻ｔ２より前の時刻ｔ１において異常を検知することができる。たとえば異常処理部７が上述のようなバス遮断を行う場合、比較例と比べて、車載ネットワーク２５１がＤｏＳ攻撃（Ｄｅｎｉａｌ－ｏｆ－ｓｅｒｖｉｃｅ　ａｔｔａｃｋ）等を受ける時間を短くすることができるため、車載ネットワーク２５１への不正機器の取り付け等を難化させることができる。

［変形例］
　異常検知部６は、パターン情報生成部３によって生成されたパターン情報と参照情報とに基づいて異常を検知する第１の異常検知処理、およびカウント値ＣＮと所定の閾値ＴｈＣとの比較結果に基づいて異常を検知する第２の異常検知処理を行うことが可能であってもよい。

　すなわち、異常検知部６は、第１の異常検知処理および第２の異常検知処理のいずれか一方を選択的に行うことが可能な構成であってもよい。

　そして、参照情報におけるカウント値ＣＮの最大値は、所定の閾値ＴｈＣより小さい。たとえば、図４に示す例では、当該最大値はＣＮ１である。

　なお、異常検知部６は、第１の異常検知処理および第２の異常検知処理を並行して行う構成であってもよい。

　［動作の流れ］
　図５は、本開示の実施の形態に係るゲートウェイ装置が車載ネットワークにおける異常を検知する際の動作手順の一例を定めたフローチャートである。

　図５を参照して、まず、ゲートウェイ装置１０１は、車載ネットワーク２５１におけるエラーカウンタ８のカウント値ＣＮを監視し、車載ネットワーク２５１におけるエラー発生状況のログを収集し、記憶部９に保存する（ステップＳ１）。

　次に、ゲートウェイ装置１０１は、監視結果に基づいて、たとえば記憶部９に保存されたログに基づいて、カウント値ＣＮの時間変化を示す時系列データであるパターン情報すなわちエラーログ情報を生成する（ステップＳ２）。

　次に、ゲートウェイ装置１０１は、記憶部９に保存された参照情報、たとえば予め観測されたエラーカウンタ８のカウント値ＣＮの時間変化を示すパターン情報を記憶部９から取得する（ステップＳ３）。

　次に、ゲートウェイ装置１０１は、生成したエラーログ情報と参照情報とを比較し、両者が一致しないと判断した場合（ステップＳ４でＮＯ）、上述のような異常処理を行う（ステップＳ５）。

　ゲートウェイ装置１０１は、生成したエラーログ情報と参照情報とが一致すると判断した場合（ステップＳ４でＹＥＳ）、または異常処理を行った後（ステップＳ５）、カウント値ＣＮの監視およびログ収集を引き続き行う（ステップＳ１）。

　図６は、本開示の実施の形態に係るゲートウェイ装置が停止制御を行う際の動作手順の一例を定めたフローチャートである。

　図６を参照して、まず、ゲートウェイ装置１０１は、上述のように車載ネットワーク２５１における異常を検知した場合、車載ネットワーク２５１からのゲートウェイ装置１０１におけるデータ受信を停止する停止制御を行う（ステップＳ１１）。

　次に、ゲートウェイ装置１０１は、エラーログ情報および参照情報の不一致度合いが大きい場合（ステップＳ１２でＹＥＳ）、復帰時間をＴＬに設定し（ステップＳ１３）、当該不一致度合いが小さい場合（ステップＳ１２でＮＯ）、復帰時間をＴＬより小さいＴＳに設定する（ステップＳ１４）。

　次に、ゲートウェイ装置１０１は、停止制御を開始してから復帰時間が経過すると（ステップＳ１５でＹＥＳ）、停止制御を解除して通常状態に戻す（ステップＳ１６）。

　なお、本開示の実施の形態に係る車載通信システムでは、ゲートウェイ装置１０１がエラーカウンタ８を備える構成であるとしたが、これに限定するものではない。ゲートウェイ装置１０１は、エラーカウンタ８を備えず、監視部２が、車載装置２０２等が備えるエラーカウンタのカウント値ＣＮを取得する構成であってもよい。

　また、エラーカウンタは、受信フレームにおけるエラーの発生回数を示す構成に限らず、たとえば車載装置２０２の受信フレームにおいてエラーが発生した場合に当該車載装置２０２から送信されるエラーフレームの、ゲートウェイ装置１０１における受信回数を示すものであってもよい。

　上述の実施形態の各処理（各機能）は、１または複数のプロセッサを含む処理回路（Ｃｉｒｃｕｉｔｒｙ）により実現される。上記処理回路は、上記１または複数のプロセッサに加え、１または複数のメモリ、各種アナログ回路、各種デジタル回路が組み合わされた集積回路等で構成されてもよい。上記１または複数のメモリは、上記各処理を上記１または複数のプロセッサに実行させるプログラム（命令）を格納する。上記１または複数のプロセッサは、上記１または複数のメモリから読み出した上記プログラムに従い上記各処理を実行してもよいし、予め上記各処理を実行するように設計された論理回路に従って上記各処理を実行してもよい。上記プロセッサは、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）、ＧＰＵ（Ｇｒａｐｈｉｃｓ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）、ＤＳＰ（Ｄｉｇｉｔａｌ　Ｓｉｇｎａｌ　Ｐｒｏｃｅｓｓｏｒ）、ＦＰＧＡ（Ｆｉｅｌｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）、およびＡＳＩＣ（Ａｐｐｌｉｃａｔｉｏｎ　Ｓｐｅｃｉｆｉｃ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）等、コンピュータの制御に適合する種々のプロセッサであってよい。なお、物理的に分離した上記複数のプロセッサが互いに協働して上記各処理を実行してもよい。たとえば、物理的に分離した複数のコンピュータのそれぞれに搭載された上記プロセッサがＬＡＮ（Ｌｏｃａｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）、ＷＡＮ　（Ｗｉｄｅ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）、およびインターネット等のネットワークを介して互いに協働して上記各処理を実行してもよい。上記プログラムは、外部のサーバ装置等から上記ネットワークを介して上記メモリにインストールされても構わないし、ＣＤ－ＲＯＭ（Ｃｏｍｐａｃｔ　Ｄｉｓｃ　Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）、ＤＶＤ－ＲＯＭ（Ｄｉｇｉｔａｌ　Ｖｅｒｓａｔｉｌｅ　Ｄｉｓｋ　Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）、および半導体メモリ等の記録媒体に格納された状態で流通し、上記記録媒体から上記メモリにインストールされても構わない。

　上記実施の形態は、すべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記説明ではなく請求の範囲によって示され、請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。

　以上の説明は、以下に付記する特徴を含む。
　［付記１］
　車両に搭載される監視装置であって、
　処理回路を備え、
　前記処理回路は、
　前記車両の車載ネットワークにおいて検知されたエラーの発生回数をカウントするカウンタのカウント値を監視し、
　監視結果に基づいて、前記カウント値の時間変化を示すパターン情報を生成し、
　生成した前記パターン情報と、予め観測された前記カウント値の時間変化に基づく参照情報とに基づいて、前記車載ネットワークにおける異常を検知する、監視装置。

　１　通信処理部
　２　監視部
　３　パターン情報生成部
　６　異常検知部
　７　異常処理部
　８　エラーカウンタ
　９　記憶部
　８１　バス
　９０　車両
　１０１　ゲートウェイ装置
　１５１　車外通信装置
　２０１　車載通信システム
　２０２　車載装置
　２５１　車載ネットワーク
　３０１　管理サーバ
　４０１　車両監視システム

Claims

　車両に搭載される監視装置であって、
　前記車両の車載ネットワークにおいて検知されたエラーの発生回数をカウントするカウンタのカウント値を監視する監視部と、
　前記監視部の監視結果に基づいて、前記カウント値の時間変化を示すパターン情報を生成するパターン情報生成部と、
　前記パターン情報生成部によって生成された前記パターン情報と、予め観測された前記カウント値の時間変化に基づく参照情報とに基づいて、前記車載ネットワークにおける異常を検知する異常検知部とを備える、監視装置。
　前記参照情報は、予め観測された前記カウント値の時間変化を示すパターン情報であり、
　前記異常検知部は、前記パターン情報生成部によって生成された前記パターン情報と、前記参照情報との比較を行い、比較結果に基づいて、前記車載ネットワークにおける異常を検知する、請求項１に記載の監視装置。
　前記異常検知部は、前記パターン情報生成部によって生成された前記パターン情報と前記参照情報とに基づいて前記異常を検知する第１の異常検知処理、および前記カウント値と所定の閾値との比較結果に基づいて前記異常を検知する第２の異常検知処理を行うことが可能であり、
　前記参照情報における前記カウント値の最大値は、前記所定の閾値より小さい、請求項２に記載の監視装置。
　前記異常検知部は、前記パターン情報生成部によって生成された前記パターン情報と前記参照情報とに基づいて前記異常を検知する第１の異常検知処理、および前記カウント値と所定の閾値との比較結果に基づいて前記異常を検知する第２の異常検知処理を並行して行う、請求項１から請求項３のいずれか１項に記載の監視装置。
　前記エラーは、前記車載ネットワークにおける通信に関するエラーである、請求項１から請求項４のいずれか１項に記載の監視装置。
　前記エラーは、ＣＡＮ（Ｃｏｎｔｒｏｌｌｅｒ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）の規格に従うＣＲＣ（Ｃｙｃｌｉｃ　Ｒｅｄｕｎｄａｎｃｙ　Ｃｈｅｃｋ）によるエラーである、請求項５に記載の監視装置。
　前記異常検知部は、統計分析の手法を用いて前記比較を行うことにより前記異常を検知する、請求項２に記載の監視装置。
　前記参照情報は、予め観測された前記カウント値の時間変化を用いて機械学習により作成された学習モデルであり、
　前記異常検知部は、前記パターン情報生成部によって生成された前記パターン情報を前記学習モデルに与えることにより、前記車載ネットワークにおける異常を検知する、請求項１に記載の監視装置。
　前記監視装置は、さらに、
　前記異常検知部が前記異常を検知した場合、所定の通知処理を行う異常処理部を備える、請求項１から請求項８のいずれか１項に記載の監視装置。
　前記監視装置は、さらに、
　前記異常検知部が前記異常を検知した場合、前記車載ネットワークからの前記監視装置におけるデータ受信を停止する停止制御を行う異常処理部を備える、請求項１から請求項９のいずれか１項に記載の監視装置。
　前記異常処理部は、前記停止制御を行ってから所定時間経過後、前記停止制御を解除する、請求項１０に記載の監視装置。
　前記参照情報は、予め観測された前記カウント値の時間変化を示すパターン情報であり、
　前記異常検知部は、前記パターン情報生成部によって生成された前記パターン情報と、前記参照情報との比較を行い、比較結果に基づいて、前記車載ネットワークにおける異常を検知し、
　前記異常処理部は、前記比較結果に応じて前記所定時間を設定する、請求項１１に記載の監視装置。
　車両に搭載される監視装置における車両監視方法であって、
　前記車両の車載ネットワークにおいて検知されたエラーの発生回数をカウントするカウンタのカウント値を監視するステップと、
　監視結果に基づいて、前記カウント値の時間変化を示すパターン情報を生成するステップと、
　生成した前記パターン情報と、予め観測された前記カウント値の時間変化に基づく参照情報とに基づいて、前記車載ネットワークにおける異常を検知するステップとを含む、車両監視方法。
　車両に搭載される監視装置において用いられる車両監視プログラムであって、
　コンピュータを、
　前記車両の車載ネットワークにおいて検知されたエラーの発生回数をカウントするカウンタのカウント値を監視する監視部と、
　前記監視部の監視結果に基づいて、前記カウント値の時間変化を示すパターン情報を生成するパターン情報生成部と、
　前記パターン情報生成部によって生成された前記パターン情報と、予め観測された前記カウント値の時間変化に基づく参照情報とに基づいて、前記車載ネットワークにおける異常を検知する異常検知部、
として機能させるための、車両監視プログラム。