WO2024004594A1

WO2024004594A1 - 中継装置、情報処理方法及び車載システム

Info

Publication number: WO2024004594A1
Application number: PCT/JP2023/021590
Authority: WO
Inventors: 慎一相羽
Original assignee: 株式会社オートネットワーク技術研究所; 住友電装株式会社; 住友電気工業株式会社
Priority date: 2022-06-28
Filing date: 2023-06-09
Publication date: 2024-01-04
Also published as: JP2024004312A

Abstract

中継装置は、車両に搭載され、複数の車載ＥＣＵと通信可能に接続された中継装置であって、前記車載ＥＣＵに接続される複数の通信部と、前記通信部を介して前記車載ＥＣＵ間にて送受信される通信データの中継に関する制御を行う制御部とを備え、前記複数の車載ＥＣＵは、前記通信データに対する監視機能を有する監視ＥＣＵを含み、前記制御部は、前記通信部を介して前記通信データを取得し、取得した前記通信データから、前記監視ＥＣＵが不正なデータを検知するために用いるシグナル情報を抽出し、抽出した前記シグナル情報に基づき生成した生成データを、前記監視ＥＣＵに出力する。

Description

中継装置、情報処理方法及び車載システム

　本開示は、中継装置、情報処理方法及び車載システムに関する。
　本出願は、２０２２年６月２８日出願の日本出願第２０２２－１０３９１３号に基づく優先権を主張し、前記日本出願に記載された全ての記載内容を援用するものである。

　従来、車両に搭載された複数の車載ＥＣＵ（Electronic Control Unit）間の通信には、ＣＡＮの通信プロトコルが広く採用されている。車両の多機能化及び高機能化に伴って、搭載される車載ＥＣＵの数が増加する傾向となるが、当該車載ＥＣＵをグループ（セグメント）に分けて車両ネットワークを構成し、同一グループとなる複数の車載ＥＣＵは共通の通信線で接続され相互にデータの送受信を行うと共に、異なるグループの車載ＥＣＵ間のデータの送受信は、車載中継装置（ゲートウェイ）によって中継される（例えば、特許文献１）。特許文献１の車両ネットワークには、車載中継装置（ゲートウェイ）に加え、車両ネットワークのセグメント夫々に接続され、車両ネットワークに流れる不正なデータ（メッセージ）を検知する車両ネットワーク監視装置を備えている。当該車両ネットワーク監視装置は、不正なデータ（メッセージ）を検知したとき、車載制御装置（車載ＥＣＵ）に対して警告情報（メッセージコード）を送信する。

特開２０１３－１３１９０７号公報

　本開示の一態様に係る中継装置は、車両に搭載され、複数の車載ＥＣＵと通信可能に接続された中継装置であって、前記車載ＥＣＵに接続される複数の通信部と、前記通信部を介して前記車載ＥＣＵ間にて送受信される通信データの中継に関する制御を行う制御部とを備え、前記複数の車載ＥＣＵは、前記通信データに対する監視機能を有する監視ＥＣＵを含み、前記制御部は、前記通信部を介して前記通信データを取得し、取得した前記通信データから、前記監視ＥＣＵが不正なデータを検知するために用いるシグナル情報を抽出し、抽出した前記シグナル情報に基づき生成した生成データを、前記監視ＥＣＵに出力する。

実施形態１に係る中継装置を含む車載システム構成を例示する模式図である。中継装置等の内部構成を例示するブロック図である。中継装置の制御部の処理を例示するフローチャートである。実施形態２（所定期間内にシグナル取得）に係る中継装置の制御部の処理を例示するフローチャートである。実施形態３（相関テーブルにてシグナル特定）に係る中継装置の制御部の処理を例示するフローチャートである。相関テーブルを例示した説明図である。

［本開示が解決しようとする課題］
　特許文献１の車載中継装置（ゲートウェイ）は、セグメントに接続される車両ネットワーク監視装置に対し、当該車両ネットワーク監視装置が不正なデータ（メッセージ）を検知するための有効な情報を送信する点について、考慮されていない。

　本開示は、監視ＥＣＵ（監視装置）が不正なデータを検知するために用いる情報を送信することができる中継装置等を提供することを目的とする。

［本開示の効果］
　本開示の一態様によれば、監視ＥＣＵが不正なデータを検知するために用いる情報を送信する中継装置等を提供することができる。

［本開示の実施形態の説明］
　最初に本開示の実施態様を列挙して説明する。また、以下に記載する実施形態の少なくとも一部を任意に組み合わせてもよい。

（１）本開示の一態様に係る中継装置は、車両に搭載され、複数の車載ＥＣＵと通信可能に接続された中継装置であって、前記車載ＥＣＵに接続される複数の通信部と、前記通信部を介して前記車載ＥＣＵ間にて送受信される通信データの中継に関する制御を行う制御部とを備え、前記複数の車載ＥＣＵは、前記通信データに対する監視機能を有する監視ＥＣＵを含み、前記制御部は、前記通信部を介して前記通信データを取得し、取得した前記通信データから、前記監視ＥＣＵが不正なデータを検知するために用いるシグナル情報を抽出し、抽出した前記シグナル情報に基づき生成した生成データを、前記監視ＥＣＵに出力する。

　本態様にあたっては、中継装置が備える複数の通信部それぞれには、１つ以上の車載ＥＣＵが接続され、中継装置の制御部は、これら通信部それぞれに接続される車載ＥＣＵ間にて送受信される通信データの中継に関する制御（処理）を行う。中継装置と通信可能に接続される複数の車載ＥＣＵにおけるいずれかの車載ＥＣＵは、通信データに対する監視機能を有する監視ＥＣＵとして機能する。当該監視ＥＣＵは、自ＥＣＵ（監視ＥＣＵ）が取得（受信）した通信データが、不正なデータであるか否かを判定するＩＤＳ（Intrusion Detection System）として機能し、中継装置及び車載ＥＣＵが接続される車載ネットワークに対し、不正なプログラム又は装置による侵入検知を行うものであってもよい。中継装置の制御部は、自装置が備える全ての通信部を介して取得した通信データから、監視ＥＣＵが不正なデータを検知するために用いるシグナル情報を抽出する。そして、中継装置の制御部は、抽出したシグナル情報に基づき生成した生成データを、監視ＥＣＵに出力するため、監視装置が不正なデータを検知するための有効な情報を効率的に送信することができる。中継装置が備える複数の通信部それぞれに接続される通信線それぞれにより、複数のセグメントが形成されるものとなる。監視ＥＣＵは、いずれかのセグメント（通信線）に接続されるため、当該セグメント（通信線）に流れる（伝送される）通信データのみを取得することができる。これに対し、中継装置の制御部が、全ての通信部、すなわち全てのセグメント（通信線）から取得した通信データにより抽出したシグナル情報を用いて生成した生成データを、監視ＥＣＵに出力する。これにより、監視ＥＣＵは、直接、取得（受信）できない通信データに含まれるシグナル情報を取得できるものとなり、通信データに対する監視機能を効率的に発揮することができる。

（２）本開示の一態様に係る中継装置は、前記監視ＥＣＵは、取得した通信データが不正なデータであるか否かを、該通信データに含まれるシグナル情報に対し、相関関係を有する他のシグナル情報を用いて判定するものであり、前記制御部によって抽出される前記シグナル情報は、前記他のシグナル情報に相当する。

　本態様にあたっては、監視ＥＣＵは、取得した通信データが不正なデータであるか否かを、該通信データに含まれるシグナル情報に対し、例えば相関係数の絶対値が０．７以上等、相関関係を有する他のシグナル情報を用いて判定することにより、通信データに対する監視を行う。車載ネットワークにおける各車載ＥＣＵの接続形態又はネットワークトポロジーによっては、監視ＥＣＵの監視対象、すなわち不正であるか否かの判定対象の通信データに含まれるシグナルに対し、相関関係を有する他のシグナル情報を含む通信データが、当該監視ＥＣＵによって取得できない場合が懸念される。このような場合であっても、制御部によって抽出されるシグナル情報は、所定値以上（例えば相関係数の絶対値が０．７以上）の相関関係を有する他のシグナル情報に相当するため、監視装置が不正なデータを検知するための有効な情報（他のシグナル情報が含まれる生成データ）を、効率的に送信することができる。

（３）本開示の一態様に係る中継装置は、前記制御部は、前記監視ＥＣＵから要求信号を取得した際、前記要求信号に応じて、取得した前記通信データから前記シグナル情報を抽出し、抽出した前記シグナル情報に基づき生成した生成データを、前記監視ＥＣＵに出力する。

　本態様にあたっては、中継装置の制御部は、監視ＥＣＵからの要求（要求信号）に応じて、シグナル情報を含む生成データの生成及び出力するため、各種の監視ＥＣＵに対し汎用的に対応することができる。更に、中継装置は、監視ＥＣＵからの要求にタイムリーに応答することができ、監視ＥＣＵに対し過剰に生成データを出力することなどによって処理負荷が増加することを抑制することができる。

（４）本開示の一態様に係る中継装置は、前記制御部は、取得した前記要求信号に基づき、抽出対象となる前記他のシグナル情報を含む通信データの取得可否を判定し、取得可能と判定した場合、前記生成データを前記監視ＥＣＵに出力し、取得不可と判定した場合、前記生成データを出力できない旨を前記監視ＥＣＵに通知する。

　本態様にあたっては、中継装置の制御部は、監視ＥＣＵから要求信号を取得した際、当該要求信号にて要求されるシグナル情報（抽出対象となる他のシグナル情報）を含む通信データを取得できるか否かを判定する。車載ネットワークの通信が、例えば、ＣＡＮ（Controller Area Network）又はＣＡＮ－ＦＤである場合、監視ＥＣＵから要求信号には、抽出対象を示すＣＡＮ－ＩＤ（メッセージＩＤ）及び当該ＣＡＮ－ＩＤのメッセージのペイロードにおいてシグナル情報が格納される格納ビット番地が含まれる。中継装置の制御部は、例えば、記憶部に記憶されている経路情報（ルーティングテーブル）を参照することにより、要求信号にて要求されるシグナル情報を含むＣＡＮ－ＩＤのメッセージが、経路情報（ルーティングテーブル）に含まれているか否かを判定する。経路情報（ルーティングテーブル）は、中継装置の制御部が中継処理を行う際に参照する情報であり、制御部は、経路情報（ルーティングテーブル）に含まれているＣＡＮ－ＩＤの通信データは取得可能であると判定する。制御部は、経路情報（ルーティングテーブル）に含まれていないＣＡＮ－ＩＤの通信データは取得不可能であると判定する。制御部は、取得不可と判定した場合、生成データを出力できない旨を監視ＥＣＵに通知するため、監視ＥＣＵが当該生成データを不要に待ち受けることを防止することができる。

（５）本開示の一態様に係る中継装置は、前記制御部は、複数の前記通信データを取得し、複数の前記通信データそれぞれから前記シグナル情報を抽出し、抽出した複数の前記シグナル情報に基づき、前記生成データを生成する。

　本態様にあたっては、中継装置の制御部は、取得した複数の通信データそれぞれからシグナル情報を抽出することにより、複数のシグナル情報を抽出する。これら複数のシグナル情報を用いて、単一の生成データを生成するため、監視ＥＣＵにて不正なデータを検知するにあたり必要な複数のシグナル情報をパッケージ化して、当該監視ＥＣＵに出力（送信）することができる。このように複数のシグナル情報がパッケージ化された生成データを監視ＥＣＵに送信することにより、監視ＥＣＵによる当該複数のシグナル情報の取得処理を効率化でき、不正なデータの検知に関する処理負荷を低減することができる。

（６）本開示の一態様に係る中継装置は、前記制御部は、複数の前記シグナル情報を抽出するための複数の前記通信データを、所定期間内に取得した場合、抽出した複数の前記シグナル情報に基づき、前記生成データを生成する。

　本態様にあたっては、通信データに含まれるシグナル情報の種類が同じ（同じＣＡＮ－ＩＤ及び格納ビット番地）であっても、車両の制御状態等が変化すれば、時間経過と共に当該シグナル情報の内容も変化することが想定され、当該変化は相関関係に影響を与えるものとなる。従って、複数の通信データそれぞれからシグナル情報を抽出するにあたり、これら複数の通信データを取得する期間（取得期間）は、車両の制御状態等の変化が実質的に無い期間内となることが要求される。これに対し、制御部は、複数のシグナル情報を抽出するための複数の通信データを、所定期間内に取得した場合、これらシグナル情報を用いて生成データを生成するため、抽出した複数のシグナル情報における相関関係を担保しつつ、生成データを生成及び監視ＥＣＵに出力することができる。

（７）本開示の一態様に係る中継装置は、前記シグナル情報は、前記車両の制御に関する物理量又は状態量を含む。

　本態様にあたっては、通信データに含まれるシグナル情報は、車両の制御に関する物理量（センサ値：車速、バッテリー温度等）又は状態量（アクチュエータの状態：エンジン回転数、ハンドル回転角度等）を含むため、当該車両の制御状態に応じたシグナル情報の内容に対する相関関係に基づき、監視ＥＣＵは、取得した通信データが、不正なデータであるか否かを判定することができる。

（８）本開示の一態様に係る情報処理方法は、車両に搭載され、複数の車載ＥＣＵ及び前記車載ＥＣＵ間にて送受信される通信データに対する監視機能を有する監視ＥＣＵと通信可能に接続され、前記車載ＥＣＵ間にて送受信される通信データの中継に関する制御を行うコンピュータに、前記通信データを取得し、取得した前記通信データから、前記監視ＥＣＵが不正なデータを検知するために用いるシグナル情報を抽出し、抽出した前記シグナル情報に基づき生成した生成データを、前記監視ＥＣＵに出力する。

　本態様にあたっては、コンピュータを、監視ＥＣＵが不正なデータを検知するための有効な情報を送信する中継装置として機能させる情報処理方法を提供することができる。

（９）本開示の一態様に係る車載システムは、車両に搭載され、車載ＥＣＵ間にて送受信される通信データを中継する中継装置と、前記車載ＥＣＵ間にて送受信される通信データに対する監視機能を有する監視ＥＣＵとを含む車載システムであって、前記中継装置は、前記監視ＥＣＵから取得した要求信号に応じて、取得した前記通信データからシグナル情報を抽出し、抽出した前記シグナル情報に基づき生成した生成データを、前記監視ＥＣＵに出力する。

　本態様にあたっては、監視ＥＣＵが不正なデータを検知するための有効な情報を送信する中継装置を含む車載システムを提供することができる。

［本開示の実施形態の詳細］
　本開示をその実施の形態を示す図面に基づいて具体的に説明する。本開示の実施形態に係る中継装置２を、以下に図面を参照しつつ説明する。なお、本開示はこれらの例示に限定されるものではなく、請求の範囲によって示され、請求の範囲と均等の意味及び範囲内での全ての変更が含まれることが意図される。

（実施形態１）
　以下、実施の形態について図面に基づいて説明する。図１は、実施形態１に係る中継装置２を含む車載システムＳ構成を例示する模式図である。図２は、中継装置２等の内部構成を例示するブロック図である。車載更新システムＳは、車両Ｃに搭載された中継装置２、車載ＥＣＵ３及び監視ＥＣＵ３１を含む。これら中継装置２、車載ＥＣＵ３及び監視ＥＣＵ３１は、複数の通信線４１にて構成される車載ネットワーク４を介して、通信可能に接続される。

　中継装置２は、更に車外通信装置１に接続され、当該車外通信装置１を介して外部サーバＳ１と通信可能に接続されるものであってもよい。外部サーバＳ１は、例えばインターネット又は公衆回線網等の車外ネットワークＮに接続されているサーバ等のコンピュータであり、ＲＡＭ（Random Access Memory）、ＲＯＭ（Read Only Memory）又はハードディスク等による記憶部を備える。

　車外通信部は、４Ｇ、ＬＴＥ、５Ｇ、ＷｉＦｉ等の移動体通信のプロトコルを用いて無線通信をするための通信装置であり、アンテナを介して外部サーバＳ１とデータの送受信を行う。車外通信装置１と外部サーバＳ１との通信は、例えば公衆回線網又はインターネット等の外部ネットワークを介して行われる。

　中継装置２は、制御部２０、記憶部２３、入出力Ｉ／Ｆ２１、及び通信部２２を含む。中継装置２は、例えば、制御系の車載ＥＣＵ３、安全系の車載ＥＣＵ３及び、ボディ系の車載ＥＣＵ３等の複数の系統のバス（セグメント）を統括し、これらバス（セグメント）間での車載ＥＣＵ３同士の通信を中継するゲートウェイである。すなわち、中継装置２には、これら複数のバス（セグメント）を構成する通信線４１それぞれが接続され、当該中継装置２によって集約される複数の通信線４１（セグメント）により車載ネットワーク４が構成される。中継装置２は、ＣＡＮ（Controller Area Network）又はＣＡＮ－ＦＤプロトコルの中継においてはＣＡＮゲートウェイとして機能し、ＴＣＰ／ＩＰプロトコルの中継においてはレイヤー２スイッチ又はレイヤー３スイッチとして機能する。中継装置２は、通信に関する中継に加え、二次電池等の電源装置から出力された電力を分配及び中継し、自装置に接続されるアクチュエータ等の車載器に電力を供給する電力分配装置としても機能するＰＬＢ（Power Lan Box）であってもよい。又は、中継装置２は、車両Ｃ全体をコントロールするボディＥＣＵの一機能部として構成されるものであってもよい。又は、中継装置２は、例えばヴィークルコンピュータ等の中央制御装置にて構成され、車両Ｃの全体的な制御を行う統合ＥＣＵであってもよい。

　制御部２０は、ＣＰＵ（Central Processing Unit）又はＭＰＵ（Micro Processing Unit）等により構成してあり、記憶部２３に予め記憶された制御プログラムＰ（プログラム製品）及びデータを読み出して実行することにより、種々の制御処理及び演算処理等を行うようにしてある。

　記憶部２３は、ＲＡＭ（Random Access Memory）等の揮発性のメモリ素子又は、ＲＯＭ（Read Only Memory）、ＥＥＰＲＯＭ（Electrically Erasable Programmable ROM）若しくはフラッシュメモリ等の不揮発性のメモリ素子により構成される。記憶部２３に記憶された制御プログラムＰ（プログラム製品）は、中継装置２が読み取り可能な記録媒体Ｍから読み出された制御プログラムＰ（プログラム製品）を記憶したものであってもよい。また、図示しない通信網に接続されている図示しない外部コンピュータから制御プログラムＰをダウンロードし、記憶部２３に記憶させたものであってもよい。

　入出力Ｉ／Ｆ２１は、例えばシリアル通信するための通信インターフェイスである。入出力Ｉ／Ｆ２１を介して、中継装置２は、車外通信装置１、又はＨＭＩ（Human machine interface）装置等の表示装置と通信可能に接続されるものであってもよい。

　通信部２２は、例えばＣＡＮ、ＣＡＮ－ＦＤ又はイーサネット（Ethernet／登録商標）等の通信プロトコルを用いた入出力インターフェイスであり、制御部２０は、通信部２２を介して車載ネットワーク４に接続されている車載ＥＣＵ３又は他の中継装置２等の車載機器と相互に通信する。通信部２２は、複数個（本実施形態では３個）設けられており、通信部２２夫々に、車載ネットワーク４を構成する通信線４１（セグメント）が接続されている。このように通信部２２を複数個設けることにより車載ネットワーク４を複数個のセグメントに分け、例えば車載ＥＣＵ３の機能（制御系機能、安全系機能、ボディ系機能）に応じて、個々の車載ＥＣＵ３を各セグメントに接続する。

　車載ＥＣＵ３は、中継装置２と同様に制御部、記憶部及び通信部（図示せず）を含む。車載ＥＣＵ３には、例えば、エンジン回転数、モータ回転数、ハンドル回転角又は、加速度等の車両Ｃの走行に関する状態を示す状態量を検出する状態量センサが接続されている。車載ＥＣＵ３は、当該状態量センサから取得したセンサ値（状態量）をペイロードに格納した通信データを、車載ネットワーク４を介して他の車載ＥＣＵ３に出力（送信）する。このように通信データに含まれる（ペイロードに格納される）状態量等が、シグナル情報に相当する。

　監視ＥＣＵ３１は、車載ＥＣＵ３又は中継装置２と同様に制御部、記憶部及び通信部（図示せず）を含む。当該監視ＥＣＵ３１は、自ＥＣＵ（監視ＥＣＵ３１）が取得（受信）した通信データ（監視対象の通信データ）が、不正なデータであるか否かを判定するＩＤＳ（Intrusion Detection System）として機能し、中継装置２及び車載ＥＣＵ３が接続される車載ネットワーク４に対し、不正なプログラム又は装置による侵入検知を行う。監視ＥＣＵ３１による監視対象の通信データに対する判定処理の詳細は、後述する。

　図３は、中継装置２の制御部２０の処理を例示するフローチャートである。中継装置２の制御部２０、及び監視ＥＣＵ３１の制御部は、車両Ｃが起動状態（ＩＧスイッチがオン）又は停止状態（ＩＧスイッチがオフ）において、常時的に以下の処理を行う。

　中継装置２の制御部２０は、要求信号を取得したか否かを判定する（Ｓ１０１）。要求信号を取得していない場合（Ｓ１０１：ＮＯ）、中継装置２の制御部２０は、再度Ｓ１０１の処理を実行すべく、ループ処理を行う。当該ループ処理を行うことにより、中継装置２の制御部２０は、監視ＥＣＵ３１から出力（送信）される要求信号を待ち受ける処理を継続する。

　要求信号を取得した場合（Ｓ１０１：ＹＥＳ）、中継装置２の制御部２０は、抽出対象のシグナル情報を含む通信データの取得が可能であるか否かを判定する（Ｓ１０２）。監視ＥＣＵ３１から出力（送信）された要求信号には、抽出対象となるシグナル情報、及び当該シグナル情報を含む通信データの種類（メッセージＩＤ等）に関する情報が含まれている。例えば、通信データがＣＡＮメッセージである場合、要求信号は、ＣＡＮ－ＩＤ（メッセージＩＤ）及び、当該ＣＡＮ－ＩＤのＣＡＮメッセージに含まれるペイロードにおいて、抽出対象となるシグナル情報が格納されているビット番地（格納ビット番地）又はブロック番号等が含まれている。このように抽出対象となるシグナル情報は、ＣＡＮ－ＩＤ及び格納ビット番地の組み合わせにて特定されるものとなる。

　通信データはＣＡＮメッセージである場合に限定されず、ＩＰパケット（ＴＣＰ／ＩＰ）であってもよい。この場合、通信データの種類は、ＩＰパケットのヘッダに含まれるＴＣＰポート番号、ＵＤＰポート番号、送信元アドレス、送信先アドレス、又は、これらの組み合わせによるものであってもよい。その上で、抽出対象となるシグナル情報は、ＩＰパケットに含まれるペイロードにおいて、当該シグナル情報が格納されている格納ビット番地により特定される。このように監視ＥＣＵ３１から出力（送信）される要求信号は、抽出対象となるシグナル情報を特定するための情報（通信データの種類及び格納ビット番地等）を含む。

　中継装置２の制御部２０は、取得した要求信号に基づき特定した通信データ（抽出対象のシグナル情報を含む通信データ）を、取得（受信）できるか否かを判定する。取得した要求信号に基づき特定した通信データの種類（メッセージＩＤ等）であっても、当該種類の通信データを中継装置２が受信できない場合が、想定される。これに対し、中継装置２は、例えば、記憶部２３に記憶されている経路情報（ルーティングテーブル）を参照することにより、要求信号に基づき特定した通信データの種類（メッセージＩＤ等）を取得できるか否を判定する。

　経路情報（ルーティングテーブル）には、中継装置２の制御部２０が、中継処理を行う際に用いる情報が列挙されている。当該情報は、例えば、中継対象となる通信データの種類（メッセージＩＤ等）、及び中継先となる通信部２２のデバイス番号（セグメント番号）を含む。このように経路情報には、中継装置２の制御部２０が、受信する通信データの種類（メッセージＩＤ等）に関する情報が含まれている。

　中継装置２の制御部２０は、取得した要求信号に基づき特定した通信データの種類（メッセージＩＤ等）が、経路情報に含まれている場合、抽出対象のシグナル情報を含む通信データの取得は可能であると判定する。中継装置２の制御部２０は、取得した要求信号に基づき特定した通信データの種類（メッセージＩＤ等）が、経路情報に含まれていない場合、抽出対象のシグナル情報を含む通信データの取得は不可であると判定する。又は、中継装置２の記憶部２３には、要求信号にて要求される抽出対象のシグナル情報それぞれに対し、受信可否を示す可否フラグが設定されたシグナル受信可否テーブルが記憶されているものであってもよい。その上で、中継装置２の制御部２０は、当該シグナル受信可否テーブルを参照することにより、抽出対象のシグナル情報を含む通信データの取得が可能であるか否かを判定するものであってもよい。

　通信データの取得が可能である場合（Ｓ１０２：ＹＥＳ）、中継装置２の制御部２０は、要求信号に応じて、通信データを取得する（Ｓ１０３）。要求信号には、１つ以上のシグナル情報が含まれており、中継装置２の制御部２０は、要求信号に応じて、特定した１つ以上の通信データを取得する。中継装置２の制御部２０は、複数の通信部２２を介して、これら通信部２２それぞれに接続されている車載ＥＣＵ３間にて送受信される通信データの中継処理を、定常的に実行している。中継装置２の制御部２０は、当該中継処理を行う際に受信した通信データのうち、要求信号に基づき特定される通信データ（シグナル情報を含む通信データ）を、本処理の対象データとして取得する。例えば、要求信号にて要求されるシグナル情報が３つである場合、中継装置２の制御部２０は、これらシグナル情報それぞれを含む３つの通信データを取得するものであってもよい。

　中継装置２の制御部２０は、取得した通信データに基づき生成データを生成する（Ｓ１０４）。例えば通信データがＣＡＮメッセージである場合、中継装置２の制御部２０は、要求信号に含まれるＣＡＮ－ＩＤ及び格納ビット番地の組み合わせ（抽出対象となるシグナル情報を特定するための情報）に基づき、取得した通信データ（ＣＡＮメッセージ）から、シグナル情報の値又は内容を抽出する。抽出した単一又は複数のシグナル情報は、監視ＥＣＵ３１の監視対象（不正なデータであるか否かの判定対象）となる通信データに含まれるシグナル情報（判定対象シグナル情報）と比較することにより、当該判定対象シグナル情報の適否を判定するために用いられる。すなわち、監視ＥＣＵ３１は、自ＥＣＵ（監視ＥＣＵ３１）が取得した通信データが不正なデータであるか否かを、該通信データに含まれるシグナル情報に対し、相関関係を有する他のシグナル情報を用いて判定するものであり、中継装置２の制御部２０によって抽出されるシグナル情報は、当該他のシグナル情報に相当する。

　これらシグナル情報間が相関関係を有するとは、判定対象シグナル情報と、中継装置２の制御部２０によって抽出されるシグナル情報との相関係数の絶対値は、例えば０．７以上等、所定値以上であることとを意味するものであってもよい。更に推定精度を向上させるにあたり、当該所定値は、０．９とすることが望ましい。更に好ましくは、当該所定値は、０．９７とするのが良い。相関係数は、例えば、算式（相関係数＝複数のデータに含まれる第１データの値と、複数のデータに含まれる第１データ以外の第２データの値との共分散／（第１データの値の標準偏差　×　第２データの値の標準偏差））を用いることにより算出することができる。相関係数夫々の絶対値を所定値以上とすることにより、正又は負の相関において、互いに相関が高い状態量となる複数のデータを抽出することができる。第２データが第１データに対し負の相関となる場合、相関係数は、負（マイナス）の値となるが、この値に－１を乗算することにより、正の相関となる第２データとして用いることができる。

　中継装置２の制御部２０は、要求信号に応じて取得した１つ以上の通信データから抽出した１つ以上のシグナル情報を用いて、生成データを生成する。抽出したシグナル情報それぞれは、当該生成データのペイロードに格納される。要求信号には、抽出した複数のシグナル情報をペイロードの領域に格納する際の格納ビット番地等が、含まれるものであってもよい。この場合、中継装置２の制御部２０は、当該格納ビット番地に基づき、これら複数のシグナル情報をペイロードの領域に格納する。要求信号には、生成データのヘッダに含まれるメッセージＩＤ（ＣＡＮ－ＩＤ）又はポート番号等が含むものであってもよい。この場合、中継装置２の制御部２０は、当該メッセージＩＤ等をヘッダに含めて、生成データを生成する。このように要求信号には、抽出したシグナル情報を生成データに含めるあたり、当該生成データのヘッダ情報（メッセージＩＤ等）及びフレームフォーマット（ペイロードにてシグナル情報を格納する際の格納ビット番地等）が含まれている。その上で、中継装置２の制御部２０は、要求信号にて指定されたフォーマットに応じて生成データを生成し、監視ＥＣＵ３１に送信するため、監視ＥＣＵ３１の仕様等に柔軟に対応することができ、各種の監視ＥＣＵ３１に対し汎用的に対応することができる。

　中継装置２の制御部２０は、監視ＥＣＵ３１に生成した生成データを出力する（Ｓ１０５）。中継装置２の制御部２０は、監視ＥＣＵ３１からの要求信号に応じて生成した生成データを、車載ネットワーク４を介して当該監視ＥＣＵ３１に出力する。中継装置２から出力（送信）された生成データを取得（受信）した監視ＥＣＵ３１は、当該生成データに含まれる１つ以上のシグナル情報と、自ＥＣＵ（監視ＥＣＵ３１）が取得した監視対象の通信データに含まれるシグナル情報（判定対象シグナル情報）とを比較することにより、当該判定対象シグナル情報の適否を判定する。

　通信データの取得が不可である場合（Ｓ１０２：ＮＯ）、中継装置２の制御部２０は、監視ＥＣＵ３１に生成データを出力できない旨を通知する（Ｓ１０２１）。通信データの取得が不可である場合、すなわち通信データの種類が、受信する通信データの種類群に含まれない場合、中継装置２の制御部２０は、要求信号にて特定されるシグナル情報を含む通信データは、受信対象外の通信データであるため、当該シグナル情報を含む生成データを出力できない旨を示す信号（抽出不可信号）を生成する。そして、中継装置２の制御部２０は、当該抽出不可信号を出力することにより、監視ＥＣＵ３１に通知するものであってもよい。

　本実施形態において、Ｓ１０１と、Ｓ１０２とをシーケンシャルな処理として記載したが、これに限定されない。中継装置２の制御部２０は、要求信号を取得したと判定した場合（Ｓ１０１：ＹＥＳ）、Ｓ１０２からＳ１０５までの処理を行うためのサブプロセスを生成することにより、要求信号の取得処理（Ｓ１０１）と、生成データの生成及び出力する処理（Ｓ１０２からＳ１０５）とを並行して行うものであってもよい。

　監視ＥＣＵ３１の制御部は、要求信号を出力する（Ｔ１０１）。監視ＥＣＵ３１の制御部は、例えば、監視対象の通信データを取得（受信）した場合、比較対象として用いる１つ以上のシグナル情報を特定する情報（メッセージＩＤ及び格納ビット番地等）を含めた要求信号を生成し、中継装置２に出力する。又は、監視ＥＣＵ３１の制御部は、周期的又は定常的に、要求信号の生成及び出力するものであってもよい。

　監視ＥＣＵ３１の制御部は、生成データを取得したか否かを判定する（Ｔ１０２）。監視ＥＣＵ３１の制御部は、中継装置２からの生成データを待ち受ける処理を継続しており、中継装置２から生成データが出力された場合、当該生成データを取得する。

　生成データを取得した場合（Ｔ１０２：ＹＥＳ）、監視ＥＣＵ３１の制御部は、取得した生成データを用いて、不正データの検出を行う（Ｔ１０３）。中継装置２からの生成データを取得した場合、監視ＥＣＵ３１の制御部は、当該生成データにペイロードに含まれる１つ以上のシグナル情報を抽出する。監視ＥＣＵ３１の制御部は、抽出したシグナル情報に基づき、判定対象シグナル情報に対応する推定値を導出する。

　監視ＥＣＵ３１の制御部は、導出した推定値と、判定対象シグナル情報とを比較し、当該比較結果に基づき、判定対象シグナル情報の適否を判定する。監視ＥＣＵ３１の制御部は、例えば、判定対象シグナル情報の内容（値）と、導出した推定値との差異が所定値以内である場合、判定対象シグナル情報は正当であると判定し、所定値を超える場合、判定対象シグナル情報は不正であると判定するものであてもよい。判定対象シグナル情報が正当と判定された場合、監視対象の通信データは正当であり、判定対象シグナル情報が不正と判定された場合、監視対象の通信データは不正であると判定される。

　監視ＥＣＵ３１は、このように比較対象となるシグナル情報を含む通信データを、監視ＥＣＵ３１が直接的に取得（受信）できない場合であっても、生成データを取得することにより当該シグナル情報を取得できるものとなり、監視対象の通信データに対する監視機能を効率的に発揮することができる。

　生成データを取得しなかった場合（Ｔ１０２：ＮＯ）、すなわち、生成データを出力できない旨の通知を受信（取得）した場合、監視ＥＣＵ３１の制御部は、次回からの要求信号の出力を停止する（Ｔ１０２１）。生成データを取得しなかった場合、監視ＥＣＵ３１の制御部は、生成データを出力できない旨の通知を取得（抽出不可信号を受信）するものとなる。抽出不可信号を受信した監視ＥＣＵ３１の制御部は、中継装置２に対する要求信号の出力を停止するため、これ以降、要求信号の出力は実行されない。これにより、中継装置２における処理負荷を、低減することができる。

（実施形態２）
　図４は、実施形態２（所定期間内にシグナル取得）に係る中継装置２の制御部２０の処理を例示するフローチャートである。中継装置２の制御部２０、及び監視ＥＣＵ３１の制御部は、実施形態１と同様に、車両Ｃが起動状態（ＩＧスイッチがオン）又は停止状態（ＩＧスイッチがオフ）において、常時的に以下の処理を行う。中継装置２の制御部２０は、実施形態１の処理Ｓ１０１からＳ１０３と同様に、Ｓ２０１からＳ２０３の処理を行う。

　中継装置２の制御部２０は、要求信号にて要求される全てのシグナル情報を抽出するための全ての通信データを、所定期間内に取得したか否かを判定する（Ｓ２０４）。通信データに含まれるシグナル情報の種類が同じ（同じＣＡＮ－ＩＤ及び格納ビット番地）であっても、車両Ｃの制御状態等が変化すれば、時間経過と共に当該シグナル情報の内容又は値等も変化することが想定され、当該変化は相関関係に影響を与えるものとなる。当該車両Ｃの制御に関する物理量又は状態量は、例えば、車速又はバッテリー温度等のセンサ値から成る物理量、エンジン回転数又はハンドル回転角度等のアクチュエータの状態を示す状態量である。

　このように、通信データに含まれるシグナル情報は、車両Ｃの制御に関する物理量又は状態量を含むため、当該車両Ｃの制御状態に応じたシグナル情報の内容は、時間経過と共に変化することが想定される。従って、複数の通信データそれぞれからシグナル情報を抽出するにあたり、これら複数の通信データを取得する期間（取得期間）は、車両Ｃの制御状態等の変化が実質的に無い期間内となることが要求されものであり、更に、監視ＥＣＵ３１による監視対処の通信データの取得時点（受信時点）と同時期となることが要求される。本実施形態において、同時期とは、これら取得時点が完全一致する場合に限定されず、監視ＥＣＵ３１による判定精度上、許容される範囲にて同じ期間であれば良いことを意図する。

　中継装置２の制御部２０は、例えば、要求信号の受信時点を起算点として、記憶部２３に予め記憶されている所定期間の値に基づき、要求信号にて要求される全てのシグナル情報を抽出するための全ての通信データを、所定期間内に取得したか否かを判定する。又は、当該所定期間の値は、要求信号に含まれているものであってもよい。この場合、中継装置２の制御部２０は、要求信号に含まれている所定期間の値に基づき、シグナル情報を抽出するための全ての通信データを、所定期間内に取得したか否かを判定する。所定期間内に取得したか否かを判定するにあたり、中継装置２の制御部２０は、当該全ての通信データの受信に要した期間（取得期間）が、所定期間以内であるかを判定するものであってもよい。又は、中継装置２の制御部２０は、当該所定期間にて取得（受信）した通信データが、要求信号にて要求される全てのシグナル情報を抽出するための全ての通信データを充足するか否かにより、判定するものであってもよい。

　所定期間内に取得した場合（Ｓ２０４：ＹＥＳ）、中継装置２の制御部２０は、実施形態１の処理Ｓ１０４からＳ１０５と同様に、Ｓ２０５からＳ２０６の処理を行う。これにより、実施形態１と同様に、中継装置２の制御部２０は、生成データの生成及び出力を行う。

　所定期間内に取得しなかった場合（Ｓ２０４：ＮＯ）、中継装置２の制御部２０は、所定期間内にて、要求信号にて要求される全てのシグナル情報を抽出するための全ての通信データを取得できなかったため、生成データを出力できない旨の通知を監視ＥＣＵ３１に出力する（Ｓ２０４１）。所定期間内に取得しなかった場合、中継装置２の制御部２０は、所定期間内にシグナル情報を抽出するための全ての通信データを取得できなかった旨を示す信号（期間内不可信号）を生成し、期間内不可信号を出力することにより、監視ＥＣＵ３１に通知するものであってもよい。

　監視ＥＣＵ３１の制御部は、実施形態１の処理Ｔ１０１からＴ１０２と同様に、Ｔ２０１からＴ２０２の処理を行う。生成データを取得した場合（Ｔ２０２：ＹＥＳ）、監視ＥＣＵ３１の制御部は、実施形態１と同様に、取得した生成データを用いて、不正データの検出を行う（Ｔ２０３）。

　生成データを取得しなかった場合（Ｔ２０２：ＮＯ）、すなわち、生成データを出力できない旨の通知（抽出不可信号）、又は所定時間内に通信データを取得できない旨の通知（期間内不可信号）を受信（取得）した場合、監視ＥＣＵ３１の制御部は、通知内容に応じた処理を実行する（Ｔ２０２１）。監視ＥＣＵ３１の制御部は、生成データを出力できない旨の通知（抽出不可信号）を受信（取得）した場合、実施形態１のＴ１０２１と同様に、次回からの要求信号の出力を停止するものであってもよい。

　監視ＥＣＵ３１の制御部は、所定時間内に通信データを取得できない旨の通知（期間内不可信号）を受信（取得）した場合、中継装置２から生成データを取得できなかったため、今回取得（受信）した監視対象の通信データに対する判定処理が実行できなかった旨を示す処理結果を、当該監視対象の通信データの受信時点と関連付けて、監視ＥＣＵ３１の記憶部に記憶するものであってもよい。又は、監視ＥＣＵ３１の制御部は、所定時間内に通信データを取得できない旨の通知（期間内不可信号）を受信（取得）した場合、再度Ｔ２０１からの処理を実行すべく、ループ処理を行うものであってもよい。

　監視ＥＣＵ３１の制御部が監視対象の通信データに対する判定処理を行う際、中継装置２から取得した生成データに含まれるシグナル情報と、当該監視対象の通信データに含まれるシグナル情報とは、実質的に同じ受信時点（受信期間）となる時期的対応関係を有する。これにより、監視ＥＣＵ３１の制御部による判定処理の精度を、向上させることができる。

（実施形態３）
　図５は、実施形態３（相関テーブルにてシグナル特定）に係る中継装置２の制御部２０の処理を例示するフローチャートである。中継装置２の制御部２０、及び監視ＥＣＵ３１の制御部は、実施形態１と同様に、車両Ｃが起動状態（ＩＧスイッチがオン）又は停止状態（ＩＧスイッチがオフ）において、常時的に以下の処理を行う。

　中継装置２の制御部２０は、抽出対象のシグナル情報を特定する（Ｓ３０１）。中継装置２の制御部２０は、実施形態１にて説明した要求信号を取得することなく、例えば、中継装置２の記憶部２３等、アクセス可能な記憶領域に記憶されている相関テーブルを参照することにより、シグナル情報を特定する。

　図６は、相関テーブルを例示した説明図である。当該相関テーブルには、監視ＥＣＵ３１に応じて抽出するシグナル情報が、例えばリスト形式（テーブル形式）等にて格納されている。相関テーブルは、管理項目（フィールド）として、例えば、監視ＥＣＵＩＤ、セグメント番号、送信周期、及び抽出対象シグナルを含む。

　監視ＥＣＵＩＤの管理項目には、車載システムＳに含まれる複数の監視ＥＣＵ３１それぞれを一意に特定するための識別子（ＩＤ）が格納される。セグメント番号の管理項目には、対応する監視ＥＣＵ３１（監視ＥＣＵＩＤ）が接続される通信線４１のセグメント番号が格納される。通信線４１のセグメント番号は、当該通信線４１が接続される中継装置２の通信部２２のデバイス番号に対応する。送信周期の管理項目には、対応する監視ＥＣＵ３１（監視ＥＣＵＩＤ）に対し、生成データを送信（出力）する送信周期が格納される。

　抽出対象シグナルの管理項目には、対応する監視ＥＣＵ３１（監視ＥＣＵＩＤ）が監視対象の通信データに含まれるシグナル情報を判定する際に用いる通信データの種類及び当該通信データに含まれるシグナル情報（抽出対象のシグナル情報を特定する情報）が格納される。通信データがＣＡＮメッセージである場合、通信データの種類及びシグナル情報は、例えば、ＣＡＮ－ＩＤ（メッセージＩＤ）及び、当該ＣＡＮ－ＩＤのＣＡＮメッセージに含まれるペイロードにおいて、抽出対象となるシグナル情報が格納されている格納ビット番地等にて定義されるものであってもよい。中継装置２の制御部２０は、相関テーブルを参照することにより、個々の監視ＥＣＵ３１の判定処理にて必要とされるシグナル情報及び当該シグナル情報を含む通信データの種類を特定することができる。

　中継装置２の制御部２０は、実施形態１のＳ１０３からＳ１０５と同様に、Ｓ３０２からＳ３０４の処理を行う。中継装置２の制御部２０は、相関テーブルを参照することにより、個々の監視ＥＣＵ３１毎の生成データを生成し、生成した生成データそれぞれを、それぞれの監視ＥＣＵ３１に出力する。中継装置２の制御部２０は、各監視ＥＣＵ３１毎に生成データを生成及び出力するにあたり、相関テーブルに定義されている各監視ＥＣＵ３１毎の送信周期に応じて、これら処理を行うものであってもよい。監視ＥＣＵ３１又は車載ＥＣＵ３が、例えば、外部サーバＳ１から送信される更新プログラムによってリプログラミングされた場合、中継装置２の制御部２０は、当該更新プログラムによるリプログラミングに応じて、相関テーブルを更新するものであってもよい。

　監視ＥＣＵ３１の制御部は、中継装置２から出力（送信）された生成データを取得（受信）する（Ｔ３０１）。監視ＥＣＵ３１の制御部は、中継装置２からの生成データを待ち受ける処理を継続しており、中継装置２から生成データが出力された場合、当該生成データを取得する。監視ＥＣＵ３１の制御部は、実施形態１のＴ１０３と同様に、取得した生成データを用いて、不正データの検出を行う（Ｔ３０２）。

　車載システムＳが複数の監視ＥＣＵ３１を含み、各監視ＥＣＵ３１それぞれが、中継装置２の通信部２２それぞれに接続されている場合、個々の監視ＥＣＵ３１は、異なる種類の通信データを監視対象としていることが想定される。これに対し、相関テーブルには、監視ＥＣＵ３１それぞれが判定を行う際に必要とするシグナル情報が、定義されている。

　中継装置２の制御部２０は、記憶部２３等、アクセス可能な記憶領域に記憶されている相関テーブルに基づき、監視ＥＣＵ３１に応じて抽出するシグナル情報を特定し、特定したシグナル情報を、通信部２２を介して取得した通信データから抽出する。このように、中継装置２の制御部２０は、相関テーブルを参照することにより、各監視ＥＣＵ３１それぞれに応じた適切な処理を効率的に行うことができる。

　今回開示された実施形態は全ての点で例示であって、制限的なものではないと考えられるべきである。本発明の範囲は、上記した意味ではなく、請求の範囲によって示され、請求の範囲と均等の意味及び範囲内での全ての変更が含まれることが意図される。

　請求の範囲に記載されている複数の請求項に関して、引用形式に関わらず、相互に組み合わせることが可能である。請求の範囲では、複数の請求項に従属する多項従属請求項を記載してもよい。多項従属請求項に従属する多項従属請求項を記載してもよい。多項従属請求項に従属する多項従属請求項が記載されていない場合であっても、これは、多項従属請求項に従属する多項従属請求項の記載を制限するものではない。

　Ｓ　車載システム
　Ｃ　車両
　Ｓ１　外部サーバ
　１　車外通信装置
　２　中継装置
　２０　制御部
　２１　入出力Ｉ／Ｆ
　２２　通信部
　２３　記憶部
　Ｍ　記録媒体
　Ｐ　制御プログラム（プログラム製品）
　３　車載ＥＣＵ
　３１　監視ＥＣＵ
　４　車載ネットワーク
　４１　通信線

Claims

　車両に搭載され、複数の車載ＥＣＵと通信可能に接続された中継装置であって、
　前記車載ＥＣＵに接続される複数の通信部と、
　前記通信部を介して前記車載ＥＣＵ間にて送受信される通信データの中継に関する制御を行う制御部とを備え、
　前記複数の車載ＥＣＵは、前記通信データに対する監視機能を有する監視ＥＣＵを含み、
　前記制御部は、
　前記通信部を介して前記通信データを取得し、
　取得した前記通信データから、前記監視ＥＣＵが不正なデータを検知するために用いるシグナル情報を抽出し、
　抽出した前記シグナル情報に基づき生成した生成データを、前記監視ＥＣＵに出力する
　中継装置。
　前記監視ＥＣＵは、取得した通信データが不正なデータであるか否かを、該通信データに含まれるシグナル情報に対し、相関関係を有する他のシグナル情報を用いて判定するものであり、
　前記制御部によって抽出される前記シグナル情報は、前記他のシグナル情報に相当する
　請求項１に記載の中継装置。
　前記制御部は、前記監視ＥＣＵから要求信号を取得した際、
　前記要求信号に応じて、取得した前記通信データから前記シグナル情報を抽出し、
　抽出した前記シグナル情報に基づき生成した生成データを、前記監視ＥＣＵに出力する
　請求項２に記載の中継装置。
　前記制御部は、
　取得した前記要求信号に基づき、抽出対象となる前記他のシグナル情報を含む通信データの取得可否を判定し、
　取得可能と判定した場合、前記生成データを前記監視ＥＣＵに出力し、
　取得不可と判定した場合、前記生成データを出力できない旨を前記監視ＥＣＵに通知する
　請求項３に記載の中継装置。
　前記制御部は、
　複数の前記通信データを取得し、
　複数の前記通信データそれぞれから前記シグナル情報を抽出し、
　抽出した複数の前記シグナル情報に基づき、前記生成データを生成する
　請求項１から請求項４のいずれか１項に記載の中継装置。
　前記制御部は、複数の前記シグナル情報を抽出するための複数の前記通信データを、所定期間内に取得した場合、抽出した複数の前記シグナル情報に基づき、前記生成データを生成する
　請求項５に記載の中継装置。
　前記シグナル情報は、前記車両の制御に関する物理量又は状態量を含む
　請求項１から請求項４のいずれか１項に記載の中継装置。
　車両に搭載され、複数の車載ＥＣＵ及び前記車載ＥＣＵ間にて送受信される通信データに対する監視機能を有する監視ＥＣＵと通信可能に接続され、前記車載ＥＣＵ間にて送受信される通信データの中継に関する制御を行うコンピュータに、
　前記通信データを取得し、
　取得した前記通信データから、前記監視ＥＣＵが不正なデータを検知するために用いるシグナル情報を抽出し、
　抽出した前記シグナル情報に基づき生成した生成データを、前記監視ＥＣＵに出力する
　情報処理方法。
　車両に搭載され、車載ＥＣＵ間にて送受信される通信データを中継する中継装置と、前記車載ＥＣＵ間にて送受信される通信データに対する監視機能を有する監視ＥＣＵとを含む車載システムであって、
　前記中継装置は、
　前記監視ＥＣＵから取得した要求信号に応じて、取得した前記通信データからシグナル情報を抽出し、
　抽出した前記シグナル情報に基づき生成した生成データを、前記監視ＥＣＵに出力する
　車載システム。