処理中

しばらくお待ちください...

設定

設定

出願の表示

1. WO2020105657 - 車載中継装置及び中継方法

Document

明 細 書

発明の名称 車載中継装置及び中継方法

技術分野

0001  

背景技術

0002   0003  

先行技術文献

特許文献

0004  

発明の概要

0005  

図面の簡単な説明

0006  

発明を実施するための形態

0007   0008   0009   0010   0011   0012   0013   0014   0015   0016   0017   0018   0019   0020   0021   0022   0023   0024   0025   0026   0027   0028   0029   0030   0031   0032   0033   0034   0035   0036   0037   0038   0039   0040   0041   0042   0043   0044   0045   0046   0047   0048   0049   0050   0051   0052   0053   0054   0055   0056   0057   0058   0059   0060   0061   0062   0063   0064   0065   0066   0067   0068   0069   0070   0071   0072   0073   0074   0075   0076   0077  

符号の説明

0078  

請求の範囲

1   2   3   4   5   6   7   8  

図面

1   2   3   4   5   6  

明 細 書

発明の名称 : 車載中継装置及び中継方法

技術分野

[0001]
 本開示は、車載中継装置及び中継方法に関する。
 本出願は、2018年11月22日出願の日本出願第2018-219312号に基づく優先権を主張し、前記日本出願に記載された全ての記載内容を援用するものである。

背景技術

[0002]
 従来、車両に搭載された複数の車載ECU(Electronic Control Unit)間の通信には、CANの通信プロトコルが広く採用されている。車両の多機能化及び高機能化に伴って、搭載される車載ECUの数が増加する傾向となるが、当該車載ECUをグループ(セグメント)に分けて車両ネットワークを構成し、同一グループとなる複数の車載ECUは共通の通信線で接続され相互にデータの送受信を行うと共に、異なるグループの車載ECU間のデータの送受信は、車載中継装置(ゲートウェイ)によって中継される(例えば、特許文献1)。
[0003]
 特許文献1の車両ネットワークには、車載中継装置(ゲートウェイ)に加え、車両ネットワークのセグメント夫々に接続され、車両ネットワークに流れる不正なデータ(メッセージ)を検知する車両ネットワーク監視装置を備えている。当該車両ネットワーク監視装置は、不正なデータ(メッセージ)を検知したとき、車載制御装置(車載ECU)に対して警告情報(メッセージコード)を送信する。

先行技術文献

特許文献

[0004]
特許文献1 : 特開2013-131907号公報

発明の概要

[0005]
 本開示の一態様に係る車載中継装置は、車両に搭載され、複数の車載ECUと通信するための通信線が接続される車内通信部を複数備え、前記車載ECUから送信されるメッセージを前記車内通信部間にて中継する車載中継装置であって、
 前記メッセージの中継を制御する制御部を備え、
 前記制御部は、前記メッセージの正否を判定し、不正と判定したメッセージのメッセージ識別子を、前記複数の車載ECUに送信される既存メッセージのデータフィールド内の空き領域に格納して送信する。

図面の簡単な説明

[0006]
[図1] 実施形態1に係る車載中継装置を含むシステム構成を例示する模式図である。
[図2] 車載中継装置等の内部構成を例示するブロック図である。
[図3] CANメッセージのフレームの一態様を例示する説明図である。
[図4] 車載ECUの構成情報の一態様を例示する説明図である。
[図5] 車載中継装置の制御部の処理を例示するフローチャートである。
[図6] 実施形態2に係る車載中継装置の制御部の処理を例示するフローチャートである。

発明を実施するための形態

[0007]
[本開示が解決しようとする課題]
 特許文献1の車両ネットワーク監視装置は、当該警告情報(メッセージコード)により車両ネットワークのトラフィックが増加するという問題点がある。
[0008]
 本開示の目的は、不正なデータ(メッセージ)が検出されたことを車載ECUに通知するにあたり、車両ネットワーク(車内LAN)のトラフィックの増加を抑制することができる車載中継装置等を提供する。
[0009]
[本開示の効果]
 本開示の一態様によれば、不正なデータ(メッセージ)が検出されたことを車載ECUに通知するにあたり、車両ネットワーク(車内LAN)のトラフィックの増加を抑制することができる車載中継装置等を提供することができる。
[0010]
[本開示の実施形態の説明]
 最初に本開示の実施態様を列挙して説明する。また、以下に記載する実施形態の少なくとも一部を任意に組み合わせてもよい。
[0011]
(1)本開示の一態様に係る車載中継装置は、車両に搭載され、複数の車載ECUと通信するための通信線が接続される車内通信部を複数備え、前記車載ECUから送信されるメッセージを前記車内通信部間にて中継する車載中継装置であって、
 前記メッセージの中継を制御する制御部を備え、
 前記制御部は、前記メッセージの正否を判定し、不正と判定したメッセージのメッセージ識別子を、前記複数の車載ECUに送信される既存メッセージのデータフィールド内の空き領域に格納して送信する。
[0012]
 本態様にあたっては、制御部は、不正と判定したメッセージのメッセージ識別子を、複数の車載ECUに送信される既存メッセージにおける例えばデータフィールド内の空き領域に格納して送信する。従って、不正と判定したメッセージのメッセージ識別子を複数の車載ECUに送信するための専用のメッセージを送信することを不要とし、中継装置及び車載ECUが接続される通信線(車内LAN)のトラフィックの増加を抑制することができる。
[0013]
(2)本開示の一態様に係る車載中継装置は、前記既存メッセージは、前記制御部が生成したメッセージである。
[0014]
 本態様にあたっては、既存メッセージは、制御部が生成したメッセージであるため、車載中継装置は、車載ECU間におけるメッセージの中継タイミングに制限されることなく、自装置が生成するメッセージのデータフィールド内の空き領域に不正と判定したメッセージのメッセージ識別子を格納して送信することができる。このように車載ECU間にて中継するメッセージ以外のメッセージである制御部が生成したメッセージを、既存メッセージとすることにより、当該既存メッセージを効率的に送信することができる。更に、既存メッセージを制御部が生成したメッセージとする場合、車載ECUが生成したメッセージを加工しないため、車載ECUが生成するメッセージに影響が発生することを防止することができる。
[0015]
(3)本開示の一態様に係る車載中継装置は、前記既存メッセージは、前記複数の車載ECUの内のいずれかの車載ECUから他の車載ECUに中継するメッセージである。
[0016]
 本態様にあたっては、既存メッセージは、複数の車載ECUの内のいずれかの車載ECUから他の車載ECUに中継するメッセージであるため、車載中継装置による中継処理の一部として中継するメッセージのデータフィールド内の空き領域に不正と判定したメッセージのメッセージ識別子を格納して送信することができる。このように車載ECU間にて中継するメッセージを、既存メッセージとすることにより、当該既存メッセージを効率的に送信することができる。
[0017]
(4)本開示の一態様に係る車載中継装置は、前記既存メッセージは、前記車載ECUへ定期的に送信されるメッセージである。
[0018]
 本態様にあたっては、既存メッセージは、例えば、ポーリング用のメッセージ(ポーリング用フレーム)、車載ECU又は他の車載中継装置等のアライブ情報を確認するためのネットワーク管理フレーム(NMフレーム)等、定期的に送信されるメッセージである。従って、車載中継装置は、いずれかのメッセージを不正と判定した場合、比較的に早期に、当該定期的に送信される既存のメッセージのデータフィールド内の空き領域に不正と判定したメッセージのメッセージ識別子を格納して送信することができる。
[0019]
(5)本開示の一態様に係る車載中継装置は、前記既存メッセージは、前記車載ECUにおけるアクティブとスリープとの判断に基づいて送信されるメッセージである。
[0020]
 本態様にあたっては、既存メッセージは、何らかのイベント等によって生じるメッセージであり、例えば、スリープモードの通信装置を通常モードに遷移させるメッセージ(ウェイクアップメッセージ)又は、通常モードの通信装置をスリープモードに遷移させるメッセージ(スリープメッセージ)等、車載ECUにおけるアクティブとスリープとの判断に基づいて送信されるメッセージである。従って、車載ECUにおけるアクティブとスリープとの判断に基づいて送信されるメッセージのデータフィールド内の空き領域を利用して、不正と判定したメッセージのメッセージ識別子を効率的に送信することができる。
[0021]
(6)本開示の一態様に係る車載中継装置は、前記車載ECUのECU識別子と、前記車載ECUがメッセージを送信する際に当該メッセージに含められるメッセージ識別子とが、関連づけられて記憶されている記憶部を備え、
 前記制御部は、前記メッセージの正否を判定した後、前記記憶部を参照することによって前記不正と判定したメッセージのメッセージ識別子に関連付けられているECU識別子を読み出し、
 前記読み出したECU識別子に対応する車載ECUがメッセージを送信する際に、前記読み出したECU識別子に対応するメッセージ識別子を全て読み出して前記メッセージの前記空き領域に格納して送信する。
[0022]
 本態様にあたっては、制御部は、不正と判定したメッセージのメッセージ識別子から、当該メッセージを送信するECU識別子の車載ECUを読み出し、読み出したECU識別子の車載ECUから送信させるメッセージにおいて含まれる全てのメッセージ識別子を、複数の車載ECUに送信する。当該読み出したECU識別子の車載ECUは、ウィルス等により不正な処理を行う可能性が高いものであるところ、当該車載ECUから送信されるメッセージに含まれるメッセージ識別子を、既存メッセージの空き領域に格納して複数の車載ECUに送信するため、このような不正な車載ECUから送信されるメッセージに効率的に対応することができる。
[0023]
(7)本開示の一態様に係る車載中継装置は、前記制御部は、前記メッセージの正否の判定によって不正と判定されたメッセージのメッセージ識別子と同一のメッセージ識別子が含まれるメッセージを取得し、
 前記取得したメッセージが正当であると判定した場合、前記取得したメッセージのメッセージ識別子を前記空き領域に格納して送信する。
[0024]
 本態様にあたっては、制御部は、以前の処理において不正と判定したメッセージのメッセージ識別子が含まれるメッセージを取得した場合であっても、当該取得したメッセージの正否を判定する。当該判定により、取得したメッセージが正当である場合、制御部は、取得したメッセージのメッセージ識別子を既存メッセージの空き領域に格納して送信する。従って、不正と判定したメッセージを送信する車載ECUが排除等された後、当該不正と判定したメッセージのメッセージ識別子と同一のメッセージ識別子を含む正当なメッセージが、正常な車載ECUから送信された場合、車載中継装置及び車載ECUは、当該正当なメッセージを適切に取り扱うことができる。
[0025]
(8)本開示の一態様に係る車載中継装置は、車両に搭載される複数の車載ECUから送信されるメッセージを中継する中継方法であって、
 車両に搭載される複数の車載ECUから送信されるメッセージを取得し、
 取得した前記メッセージの正否を判定し、
 不正と判定したメッセージのメッセージ識別子を、前記複数の車載ECUに送信される既存メッセージのデータフィールド内の空き領域に格納して送信する。
[0026]
 本態様にあたっては、不正なデータ(メッセージ)が検出されたことを車載ECUに通知するにあたり、車両ネットワーク(車内LAN)のトラフィックの増加を抑制する中継方法を提供することができる。
[0027]
 本態様にあたっては、コンピュータを車載中継装置として機能させることができる。
[0028]
[本開示の実施形態の詳細]
 本開示をその実施の形態を示す図面に基づいて具体的に説明する。本開示の実施形態に係る車載中継装置2を、以下に図面を参照しつつ説明する。なお、本開示はこれらの例示に限定されるものではなく、請求の範囲によって示され、請求の範囲と均等の意味及び範囲内でのすべての変更が含まれることが意図される。
[0029]
(実施形態1)
 以下、実施の形態について図面に基づいて説明する。図1は、実施形態1に係る車載中継装置2を含むシステム構成を例示する模式図である。図2は、車載中継装置2等の内部構成を例示するブロック図である。車両Cには、車外通信装置1、車載中継装置2及び車載中継装置2と通信可能に接続された複数の車載ECU3が搭載されている。車載中継装置2は、これら複数の車載ECU3間において送受信されるメッセージを中継する。又、車載中継装置2は、車外通信装置1を介して車外ネットワークNに接続されたプログラム提供装置S1から取得したプログラム又はデータを、車両Cに搭載されている車載ECU3(Electronic Control Unit)に送信するものであってもよい。
[0030]
 プログラム提供装置S1は、例えばインターネット又は公衆回線網等の車外ネットワークNに接続されているサーバ等のコンピュータであり、RAM(Random Access Memory)、ROM(Read Only Memory)又はハードディスク等による記憶部S11を備え、車外の外部サーバに相当する。プログラム提供装置S1には、車載ECU3の製造メーカ等によって作成された当該車載ECU3を制御するためのプログラム又はデータが、記憶部S11に保存されている。当該プログラム又はデータは、更新プログラムとして車両Cに送信され、車両Cに搭載されている車載ECU3のプログラム又はデータを更新するために用いられる。このように構成されたプログラム提供装置S1(外部サーバ)は、OTA(Over The Air)サーバとも称される。車両に搭載される車載ECU3は、プログラム提供装置S1から無線通信により送信された更新プログラムを取得し、当該更新プログラムを実行するプログラムとして適用することにより、自ECUが実行するプログラムを更新(リプロ)することができる。
[0031]
 車両Cには、車外通信装置1、車載中継装置2、表示装置5、及び種々の車載機器を制御するための複数の車載ECU3が搭載されている。車外通信装置1と車載中継装置2とは、例えばシリアルケーブル等のハーネスにより通信可能に接続されている。車載中継装置2及び車載ECU3は、CAN(Control Area Network/登録商標)等の通信プロトコルに対応した車内LAN4によって通信可能に接続されている。
[0032]
 車外通信装置1は、車外通信部11及び、車載中継装置2と通信するための入出力I/F(インターフェイス)12を含む。車外通信部11は、3G、LTE、4G、WiFi等の移動体通信のプロトコルを用いて無線通信をするための通信装置であり、車外通信部11に接続されたアンテナ13を介してプログラム提供装置S1とデータの送受信を行う。車外通信装置1とプログラム提供装置S1との通信は、例えば公衆回線網又はインターネット等の外部ネットワークを介して行われる。
[0033]
 入出力I/F12は、車載中継装置2と、例えばシリアル通信するための通信インターフェイスである。車外通信装置1と車載中継装置2とは、入出力I/F12及び入出力I/F12に接続されたシリアルケーブル等のハーネスを介して相互に通信する。本実施形態では、車外通信装置1は、車載中継装置2と別装置とし、入出力I/F12等によってこれら装置を通信可能に接続しているが、これに限定されない。車外通信装置1は、車載中継装置2の一構成部位として、車載中継装置2に内蔵されるものであってもよい。
[0034]
 車載中継装置2は、制御部20、記憶部21、車内通信部23及び入出力I/F24を含む。車載中継装置2は、例えば、制御系の車載ECU3、安全系の車載ECU3及び、ボディ系の車載ECU3等の複数の系統の通信線41(CANバス/CANケーブル)によるセグメントを統括し、これらセグメント間での車載ECU3同士の通信を中継するゲートウェイ(中継器)である。又は、車載中継装置2は、車両C全体をコントロールするボディECUの一機能部として構成されるものであってもよい。
[0035]
 記憶部21は、RAM(Random Access Memory)等の揮発性のメモリ素子又は、ROM(Read Only Memory)、EEPROM(Electrically Erasable Programmable ROM)若しくはフラッシュメモリ等の不揮発性のメモリ素子により構成してあり、制御プログラム及び処理時に参照するデータがあらかじめ記憶してある。記憶部21に記憶された制御プログラムは、車載中継装置2が読み取り可能な記録媒体22から読み出された制御プログラムを記憶したものであってもよい。また、図示しない通信網に接続されている図示しない外部コンピュータから制御プログラムをダウンロードし、記憶部21に記憶させたものであってもよい。記憶部21には、車両Cに搭載される全ての車載ECU3の構成情報及び中継処理を行うにあたり用いる経路情報(ルーティングテーブル)が記憶される。
[0036]
 車内通信部23は、例えば、CAN(Control Area Network)の通信プロトコルを用いた入出力インターフェイス(CANトランシーバ)であり、制御部20は、車内通信部23を介して車内LAN4に接続されている車載ECU3又は他の中継装置等の車載機器と相互に通信する。車内通信部23は、複数個(図面上では3つ)設けられており、車内通信部23夫々に、車内LAN4を構成する通信線41が接続されている。このように車内通信部23を複数個設けることにより、車内LAN4を複数個のセグメントに分け、各セグメントに車載ECU夫々を、当該車載ECUの機能(制御系機能、安全系機能、ボディ系機能)に応じて接続する。
[0037]
 制御部20は、CPU(Central Processing Unit)又はMPU(Micro Processing Unit)等により構成してあり、記憶部21に予め記憶された制御プログラム及びデータを読み出して実行することにより、種々の制御処理及び演算処理等を行うようにしてある。制御部20は、通信線41夫々に接続されている車載ECU3から送信されるメッセージを受信、又は当該車載ECU3に対しメッセージを送信するものであり、例えばCANコントローラとして機能する。又、制御部20は、受信したメッセージ内に含まれるCAN-ID等のメッセージ識別子を参照し、参照したメッセージ識別子(CAN-ID)及び記憶部21に記憶してある経路情報(ルーティングテーブル)に基づいて送信先となるセグメントに対応する車内通信部23を特定する。そして、制御部20は、特定した車内通信部23から、当該受信したメッセージを送信することにより、該メッセージを中継するCANゲートウェイとして機能する。制御部20はCANコントローラとして機能するとしたがこれに限定されない。車内通信部23がCANトランシーバ及びCANコントローラとして機能するものであってもよい。
[0038]
 制御部20は、受信したメッセージを解析等することにより、当該メッセージの正否を判定する判定部として機能する。メッセージの正否の判定において、不正なメッセージとは、例えば、車外通信装置1等を介して車外から侵入したウィルス等により異常な状態となった車載ECU又は不正に交換された車載ECU等の不正な車載ECUから送信されるメッセージである。制御部20は、受信したメッセージに対し、診断プログラム(ダイアグプロセス)を実行、又はIDS(Intrusion Detection System)の機能を発揮することにより、当該メッセージを解析し正否を判定する。又は、制御部20は、メッセージを送信するにあたり規程されている送信周期とは、異なる周期で送信されているメッセージを不正なメッセージとして判定してもよい。制御部20は、このような手法により受信したメッセージを解析等して正否を判定し、例えば、正当(正常)な車載ECU3になりすました不正(異常)な車載ECU3から送信されたメッセージを、不正なメッセージとして判定することができる。詳細は後述するが、制御部20は、不正と判定したメッセージに含まれるCAN-ID等のメッセージ識別子を、定期的又は不定期に送信しているウェイクアップ時のメッセージ等、既存メッセージのデータフィールド内の空き領域に格納し、全ての車載ECU3に対し送信(通知)する。すなわち、既存メッセージは、不正と判定したエラーメッセージではなく、当該エラーメッセージ以外のメッセージであり、制御部20が生成したメッセージ、又は車載ECU3によって生成されたメッセージであって制御部20により中継されるメッセージであってもよい。又は、制御部20と車載ECU3とが生成した両方のメッセージであってもよい。
[0039]
 車載ECU3は、制御部30、記憶部31及び、車載中継装置2の車内通信部23と同様の車内通信部32を含む。記憶部31は、RAM(Random Access Memory)等の揮発性のメモリ素子又は、ROM(Read Only Memory)、EEPROM(Electrically Erasable Programmable ROM)若しくはフラッシュメモリ等の不揮発性のメモリ素子により構成してあり、車載ECU3のプログラム又はデータが記憶されている。車載ECU3の記憶部31には、車載中継装置2から送信された既存メッセージのデータフィールド内の空き領域に格納されたメッセージ識別子が、記憶される。
[0040]
 車載ECU3の制御部30は、CPU(Central Processing Unit)又はMPU(Micro Processing Unit)等により構成してあり、記憶部31に記憶されたプログラム及びデータを読み出し実行して制御処理等を行い、当該車載ECU3を含む車載機器又はアクチュエータ等が制御される。車載ECU3の制御部30は、車載中継装置2から送信された既存メッセージのデータフィールド内の空き領域に格納されているメッセージ識別子を記憶部31に記憶することにより、当該メッセージ識別子と同じメッセージ識別子を含むメッセージは、不正なメッセージであり車載中継装置2により中継されないメッセージであることを認識する。
[0041]
 表示装置5は、例えばカーナビゲーションのディスプレイ等のHMI(Human Machine Interface)装置である。表示装置5は、車載中継装置2の入出力I/F24とシリアルケーブル等のハーネスにより通信可能に接続されている。表示装置5には、車載中継装置2の制御部20から入出力I/F24を介して出力されたデータ又は情報が表示される。車載中継装置2は、上述のごとく、受信したメッセージが不正なメッセージであると判定した場合、当該不正なメッセージに含まれるメッセージ識別子等の情報を表示装置5に送信し、表示装置5に当該情報を表示させるものであってもよい。表示装置5に当該情報を表示させることにより、車両Cの操作者に不正なメッセージを検出したことを報知することができる。表示装置5と車載中継装置2との接続形態は、入出力I/F24等による接続形態に限定されず、表示装置5と車載中継装置2とは、車内LAN4を介した接続形態であってもよい。
[0042]
 車載中継装置2の入出力I/F24には、シリアルケーブル等のワイヤーハーネスにより、車両Cの起動又は停止を行うIGスイッチ6(イグニッションスイッチ)が通信可能に接続されている。IGスイッチ6がオン又はオフにされた場合、IGスイッチ6から出力(送信)された信号を、車載中継装置2の制御部20は、入出力I/F24を介して取得(受信)する。車載中継装置2の制御部20は、取得した信号に基づき、当該IGスイッチ6のオン又はオフに関する情報を、車内通信部23を介して全ての車載ECU3に送信する。又、車載中継装置2は、IGスイッチ6がオンとなっている場合、IGスイッチ6がオン状態であることを示すメッセージを、定期的又は不定期に全ての車載ECU3に送信する。車載ECU3は、車載中継装置2から送信された情報に基づき、IGスイッチ6のオン又はオフに関する情報を取得し、取得した情報に基づき所定の動作を行う。例えば、IGスイッチ6がオン状態であることを示すメッセージを受信した車載ECUは、自ECUを省電力に対応したスリープ状態に遷移、スリープ状態を継続、又はアクティブ状態に遷移させるか否かの判断を行う。IGスイッチのオンオフに起因する既存メッセージは、アクティブ状態からスリープ状態に遷移する場合、スリープ状態を継続する場合、スリープ状態からアクティブ状態に遷移する場合において用いられるメッセージであり、不正と判定したメッセージのメッセージ識別子をデータフィールド内の空き領域に格納して送信する際に用いられる既存メッセージに含まれるものである。このようなメッセージは、ウェイクアップ時又はスリープ時に送信されるものであり、ウェイクアップメッセージ又はスリープメッセージと称される。これらウェイクアップメッセージ及びスリープメッセージは、定期的に送信されるネットワーク管理フレーム(NWフレーム)又は不定期に送信されるイベントフレームによって送信されるものであってもよい。このように、定期的又は不定期に送信されるウェイクアップメッセージ等は、CANによる複数の車載ECU3及び車載中継装置2の通信において既に用いられているメッセージであり、既存メッセージに含まれる。
[0043]
 図3は、CANメッセージのフレームの一態様を例示する説明図である。CANは、ISO11898等により規定されている通信プロトコルであり、送受信されるCANメッセージ(フレーム)のフレームタイプは、データフレーム、リモートフレーム、エラーフレーム及びオーバーロードフレームに分類される。図3おいては、これらフレームタイプにおいて、データフレームの一態様を例示する。CANメッセージのデータフレームは、CAN-ID、DLC、DATA(データ)及びCRCの4つのフィールドに分類される。CAN-IDフィールドには、メッセージを識別し、メッセージの優先順位を示す(決定)するためのメッセージ識別子が格納される。メッセージ識別子は、CAN-ID又はアービトレーションIDと称され、例えば11bitのデータで表される。車載中継装置2及び車載ECU3は、受信したメッセージのCAN-IDフィールドに格納されているメッセージ識別子(CAN-ID)を抽出(参照)し、当該メッセージ識別子に基づいてメッセージに対する処理の要否を判定する。DLCフィールドには、データ長コードを示す情報が格納されるものであり、DATAフィールド(データフィールド)に格納されるデータのバイト数を示す。DATAフィールドには、8byteまでのコンテンツデータが格納される。CRCフィールドには、巡回冗長検査コードとリセッシブデリミタビットが格納され、DATAフィールドに格納されるコンテンツデータ等がビット反転した場合等のエラー検出に用いられる。なお、データフレームのCANメッセージには、上記フィールド以外にSOF(Start Of Frame)、IDE(Identifier Extension)及びACKが含まれるが、これについての説明は省略する。
[0044]
 ウェイクアップ時に送信されるメッセージ(ウェイクアップメッセージ)は、データフレームに属するメッセージである。当該ウェイクアップメッセージは、IGスイッチ6のオン等によるイベントをトリガーとして、車載中継装置2が、車内通信部23に接続される全ての車載ECU3に対し定期的又は不定期に送信するものである。ウェイクアップメッセージのDATAフィールド(データフィールド)において、8byteの全ての領域が使用されておらず、空き領域(空きビット領域)が存在している。車載中継装置2は、当該DATAフィールド(データフィールド)の空き領域に、不正と判定したメッセージのメッセージ識別子(CAN-ID)を格納し、ウェイクアップメッセージを送信する。ウェイクアップメッセージは、マルチキャストにより全ての車載ECU3に送信されものであり、車載ECU3夫々は、ウェイクアップメッセージを受信することができる。当該ウェイクアップメッセージは、車載ECU3がスリープ状態に遷移するかを判断させるため、車載中継装置2が定期的又は不定期に送信している既存メッセージである。
[0045]
 このように定期的又は不定期に送信している既存メッセージの空き領域に、不正と判定したメッセージのメッセージ識別子を格納して送信することにより、不正と判定したメッセージのメッセージ識別子を送信するための専用のメッセージを生成し送信する処理を不要とすることができる。すなわち、車載中継装置2は、不正と判定したメッセージのメッセージ識別子を送信にあたり、既存メッセージの当該空き領域を有効活用することにより、車載ECU3が接続される車内LAN4のトラフィックの増加を抑制することができる。又、車載中継装置2は、不正と判定したメッセージのメッセージ識別子を送信するための専用のメッセージを生成しないため、車載中継装置2の制御部20の処理負荷を低減することができる。
[0046]
 車載中継装置2が定期的又は不定期に送信している既存メッセージは、ウェイクアップメッセージであるとしたが、これに限定されない。既存メッセージは、不正と判定したメッセージのメッセージ識別子を送信する目的以外の目的を有し、車載中継装置2が定期的又は不定期に送信しているメッセージであればよい。例えば、車載ECU3の状態を確認するために定期的又は不定期に送信するポーリング用のメッセージ、車載ECU3の構成情報の送信を要求するために定期的又は不定期に送信するメッセージ、何らかのイベントに起因して不定期に送信するメッセージ等は、当該既存メッセージに含まれる。又は、既存メッセージは、車内LAN4に接続される車載ECU3又は他の車載中継装置等のアライブ情報を確認するためのネットワーク管理フレーム(NMフレーム)であってもよい。既存メッセージは、ウェイクアップメッセージ、ネットワーク管理フレーム等の車載中継装置2の制御部20が生成するメッセージに限定されず、車載ECU3によって生成され、当該制御部20によって中継されるメッセージであってもよい。
[0047]
 図4は、車載ECU3の構成情報の一態様を例示する説明図である。車載中継装置2には、車内通信部23に接続された全ての車載ECU3の構成情報が記憶されている。当該構成情報は、例えば図4に示す表の項目によって示される情報群(構成情報マスターテーブル)によるものである。構成情報は、例えば車載ECU3の製造番号(シリアル番号)及び、各車載ECU3が送信するメッセージに含めるCAN-ID(メッセージ識別子)を含み、個々の車載ECU3において重複しないように設定された連番等によるECU-ID(ECU識別子)に関連付けられて管理される。
[0048]
 車載中継装置2は、受信したメッセージのCAN-IDフィールドに格納されているCAN-ID(メッセージ識別子)を抽出し、記憶部21に記憶されている車載ECU3の構成情報(構成情報マスターテーブル)を参照し、抽出したCAN-IDをメッセージに含める車載ECU3を読み出し、特定(導出)する。更に、車載中継装置2は、特定した車載ECU3が送信するメッセージに含める全てのCAN-IDを特定することができる。例えば、抽出したCAN-ID(メッセージ識別子)が2である場合、CAN-IDが2であるメッセージを送信した車載ECU3は、ECU-IDが003の車載ECU3であると、車載中継装置2は特定することができる。更に、車載中継装置2は、特定した車載中継装置2が送信するメッセージに含める(CAN-IDフィールドに格納する)CAN-ID(メッセージ識別子)は、2及び9であると特定することができる。この様に車載ECU3夫々と、当該車載ECU3夫々が送信するメッセージに含めるCAN-ID(メッセージ識別子)とを関連づけて記憶又は管理することにより、受信したメッセージから抽出したCAN-IDに基づき、当該メッセージを送信した車載ECU3及び当該車載ECU3が用いる全てのCAN-IDを特定することができる。
[0049]
 図5は、車載中継装置2の制御部20の処理を例示するフローチャートである。車載中継装置2の制御部20は、車両Cが起動状態(IGスイッチ6がオン)又は停止状態(IGスイッチ6がオフ)において、常時的に以下の処理を行う。
[0050]
 車載中継装置2の制御部20は、メッセージを取得する(S10)。制御部20は、いずれかの車載ECU3から送信されたメッセージを、車内通信部23を介して受信することにより取得し、取得したメッセージを記憶部21に記憶する。
[0051]
 車載中継装置2の制御部20は、メッセージは不正であるかの判定を行う(S11)。制御部20は、例えばIDS等の機能を発揮することにより取得したメッセージを解析し、当該メッセージが不正な車載ECU3から送信された不正なメッセージであるか否かの判定、すなわち当該メッセージの正否の判定を行う。
[0052]
 不正なメッセージであると判定した場合(S11:YES)、車載中継装置2の制御部20は、メッセージ識別子を記憶する(S12)。制御部20は、不正なメッセージであると判定した場合、当該メッセージのCAN-IDフィールドに格納されているCAN-ID(メッセージ識別子)を抽出し、当該CAN-ID(メッセージ識別子)を中継禁止とするメッセージ識別子(中継禁止メッセージ識別子)として、記憶部21に記憶する。
[0053]
 車載中継装置2の制御部20は、既存メッセージの送信タイミングであるかの判定を行う(S13)。制御部20は、現時点が既存メッセージの送信タイミングであるかの判定として、IGスイッチ6のオン等の所定の動作が実行されたか否かを判定する。又は、制御部20は、計時機能を発揮し、IGスイッチ6がオン状態において所定の周期が経過したか否かに基づき、現時点が既存メッセージの送信タイミングであるか否かを判定する。制御部20は、例えば、IGスイッチ6のオン等の所定の動作が実行された又は、IGスイッチ6がオン状態において所定の周期が経過した場合、現時点が既存メッセージの送信タイミングであると判定する。
[0054]
 既存メッセージの送信タイミングでないと判定した場合(S13:NO)、車載中継装置2の制御部20は、再度S13の処理を実行すべくループ処理を行う。すなわち、制御部20は、既存メッセージの送信タイミングとなるまで待機処理を行う。制御部20は、当該待機処理を行っている間においても、車載ECU3から送信されたメッセージを取得し、取得したメッセージが不正であるか否かの判定を行い、不正なメッセージを検出した場合は、当該メッセージのメッセージ識別子を記憶部21に記憶して、当該記憶部21に記憶される中継禁止メッセージ識別子を追加するものであってもよい。
[0055]
 既存メッセージの送信タイミングであると判定した場合(S13:YES)、車載中継装置2の制御部20は、既存メッセージのデータフィールド内の空き領域にメッセージ識別子を格納して送信する(S14)。制御部20は、現時点が既存メッセージの送信タイミングであると判定した場合、例えばウェイクアップメッセージ等の既存メッセージのDATAフィールドの空き領域に、記憶部21に記憶されている中継禁止メッセージ識別子を格納し、当該既存メッセージを、車載ECU3に送信する。制御部20は、当該空き領域に中継禁止メッセージ識別子を格納するにあたり、中継禁止メッセージ識別子と同一のメッセージ識別子を含む(CAN-IDフィールドに格納する)メッセージは、不正なメッセージである旨を示す情報も、当該空き領域に併せて格納してもよい。
[0056]
 不正なメッセージのメッセージ識別子を送信する目的以外の目的で定期的又は不定期に送信される既存メッセージの空き領域を利用することにより、車載中継装置2の制御部20が、不正なメッセージのメッセージ識別子を送信するための専用のメッセージを生成及び送信することを不要とすることができる。従って、車載中継装置2の処理負荷を低減させると共に、車内LAN4のトラフィックの増加を抑制することができる。
[0057]
 既存メッセージを受信した車載ECU3は、既存メッセージのDATAフィールドに格納されている中継禁止メッセージ識別子を抽出し、自ECUの記憶部31に記憶する。当該中継禁止メッセージ識別子を記憶部31に記憶した車載ECU3は、中継禁止メッセージ識別子と同じメッセージ識別子が、CAN-IDフィールドに含まれているメッセージは、不正なメッセージであると認識することができる。従って、車載ECU3は、中継禁止メッセージ識別子と同じメッセージ識別子が含まれる不正なメッセージが自ECUに対し送信された場合であっても、当該不正なメッセージを自ECUの制御に用いることなく破棄する処理を行う。又、中継禁止メッセージ識別子を記憶部31に記憶した車載ECU3は、中継禁止メッセージ識別子と同じメッセージ識別子がCAN-IDフィールドに含まれているメッセージは、車載中継装置2によって中継されないメッセージであると認識する。
[0058]
 車載中継装置2の制御部20は、メッセージ識別子を含むメッセージの中継を禁止する(S15)。制御部20は、中継禁止メッセージ識別子と同一のメッセージ識別子を含む(CAN-IDフィールドに格納する)メッセージの中継を禁止する。中継禁止メッセージ識別子と同一のメッセージ識別子を含むメッセージの中継を禁止することにより、不正な車載ECU3から送信された不正なメッセージが、当該不正な車載ECU3が接続される通信線41(セグメント)とは異なる通信線41(セグメント)に接続される車載ECU3に送信(中継)されることを抑制することができる。
[0059]
 不正なメッセージではないと判定した場合(S11:NO)、すなわち取得したメッセージは正当なメッセージであると判定した場合、車載中継装置2の制御部20は、中継禁止メッセージ識別子に該当するかの判定を行う(S111)。制御部20は、受信したメッセージは正当なメッセージであると判定した場合、当該メッセージのCAN-IDフィールドに格納されているメッセージ識別子(CAN-ID)と、記憶部21に記憶している中継禁止メッセージ識別子とを対比し、当該メッセージ識別子(CAN-ID)が、中継禁止メッセージ識別子に該当するか否かの判定を行う。
[0060]
 中継禁止メッセージ識別子に該当する場合(S111:YES)、車載中継装置2の制御部20は、既存メッセージの空き領域にメッセージ識別子を格納して送信する(S112)。受信したメッセージのメッセージ識別子が、記憶部21に記憶してある中継禁止メッセージ識別子に該当する場合、当該メッセージ識別子を含むメッセージは、不正なメッセージであると、これ以前の処理において判定したものである。しかしながら、このような判定をした後に、不正なメッセージを送信していた不正な車載ECU3が正当な車載ECU3に交換され、又は車載ECU3が実行するプログラムを復旧させることにより、車載ECU3が正常な状態となる場合がある。制御部20は、中継禁止メッセージ識別子と同一のメッセージ識別子を含む(CAN-IDフィールドに格納した)メッセージであっても、不正なメッセージでないと判定した場合、既存メッセージの空き領域に当該メッセージ識別子及び当該メッセージ識別子を含むメッセージは正当なメッセージである旨を示す情報を格納して、車載ECU3に送信する。又は、制御部20は、車載ECU3に対し、正常と判定したメッセージ(不正でないと判定したメッセージ)のメッセージ識別子に対する中継禁止処理等、不正メッセージとして処理する制御は無効である(解除された)旨を示す情報を格納して、車載ECU3に送信するものであってもよい。制御部20は、既存メッセージの空き領域に正当と判定したメッセージのメッセージ識別子等を格納して送信するにあたり、処理S13と同様に既存メッセージの送信タイミングに基づき、送信処理を行うものであってもよい。
[0061]
 車載中継装置2から送信された既存メッセージを受信した車載ECU3は、当該既存メッセージの空き領域に格納されたメッセージ識別子及び当該メッセージ識別子を含むメッセージは正当なメッセージである旨を示す情報に基づき、以降に受信するメッセージの処理を行う。すなわち、車載ECU3は、当該メッセージ識別子を含むメッセージを受信し、必要に応じて自ECUの制御等に用いる。
[0062]
 車載中継装置2の制御部20は、中継禁止メッセージ識別子として記憶部21に記憶したメッセージ識別子であっても、以降に当該メッセージ識別子を含むメッセージの正否を判定し、メッセージが正当(正常)であると判定した場合は、当該中継禁止メッセージ識別子を記憶部21から削除する。
[0063]
 車載中継装置2の制御部20は、メッセージ識別子を含むメッセージの中継を再開する(S113)。中継禁止メッセージ識別子として記憶部21に記憶されていたメッセージ識別子は、記憶部21から削除されている。従って制御部20は、当該メッセージ識別子を含む(CAN-IDフィールドに格納した)メッセージを、記憶部21に記憶してある経路情報に基づき中継先となる車内通信部23を特定し、特定した車内通信部23を介して当該メッセージを送信して中継する処理を再開する。
[0064]
 この様に、中継禁止メッセージ識別子として記憶部21に記憶したメッセージ識別子であっても、以降に当該メッセージ識別子を含むメッセージの正否を判定し、メッセージが正当(正常)であると判定した場合は、当該中継禁止メッセージ識別子を記憶部21から削除し、中継を再開する。従って、不正なメッセージを送信していた不正(異常)な車載ECU3が、正当なメッセージを送信する正当(正常)な車載ECU3に復旧した場合、車載ECU3又は車載中継装置2は、復旧した正当な車載ECU3から送信されるメッセージを受信又は中継することができる。又、車載中継装置2の記憶部21に記憶される中継禁止メッセージ識別子が増加しつづけ、当該記憶部21の領域が逼迫することを抑制することができる。
[0065]
 中継禁止メッセージ識別子に該当しない場合(S111:NO)、車載中継装置2の制御部20は、メッセージを中継する(S1111)。中継禁止メッセージ識別子に該当しない場合、制御部20は、当該メッセージは正当なメッセージであるとして、CAN-IDフィールドに含まれるメッセージ識別子(CAN-ID)に基づき、中継する処理を行う。
[0066]
 制御部20は、S15,S113又はS1111の処理を実行した後、再度S10の処理を実行すべくループ処理を行う。
[0067]
 車載中継装置2の制御部20は、定期的又は不定期に送信する既存メッセージの空き領域を利用して、不正と判定したメッセージのメッセージ識別子を車載ECU3に送信するため、車内LAN4のトラフィックが増加することを抑制することができる。又、不正と判定したメッセージのメッセージ識別子と同一のメッセージ識別子を含むメッセージであっても、当該メッセージが正当であると判定した場合、当該メッセージ識別子が正当なメッセージである旨を示す情報を、既存メッセージの空き領域に格納して車載ECU3に送信する。従って、車内LAN4のトラフィックが増加することを抑制しつつ、当該メッセージ識別子を含む正当なメッセージを車載ECU3又は車載中継装置2が受信又は中継できるようにすることができる。
[0068]
 既存メッセージとして、例えばIGスイッチ6がオン等にされるタイミング(ウェイクアップ時)にて車載中継装置2が送信するウェイクアップメッセージを用いることにより、ウェイクアップメッセージのDATAフィールドの空き領域を利用して、不正と判定したメッセージのメッセージ識別子を車載ECU3に送信することができる。
[0069]
 本実施形態において、車載中継装置2及び車載ECU3の通信プロトコルはCANを基に記載したが、これに限定されない。車載中継装置2及び車載ECU3の通信は、CAN以外の通信プロトコルであってもよく、マルチキャスト又はブロードキャストにより、データフィールドに空き領域がある既存メッセージを、複数の車載ECU3に送信することができる通信プロトコルを用いるものであればよい。
[0070]
(実施形態2)
 図6は、実施形態2に係る車載中継装置2の制御部20の処理を例示するフローチャートである。実施形態2に係る車載中継装置2の制御部20の処理は、不正と判定したメッセージを送信した車載ECU3を特定し、特定した車載ECU3がメッセージに含める可能性があるメッセージ識別子を、中継禁止メッセージ識別子として取り扱う点で実施形態1と異なる。
[0071]
 車載中継装置2の制御部20は、実施形態1の(S10,S11)の処理と同様に、(S20,S21)の処理を行う。
[0072]
 不正なメッセージであると判定した場合(S21:YES)、車載中継装置2の制御部20は、メッセージを送信した車載ECU3を特定する(S22)。制御部20は、受信したメッセージのCAN-IDフィールドに格納されているメッセージ識別子(CAN-ID)を抽出し、抽出したメッセージ識別子と、記憶部21に記憶してある車載ECU3の構成情報(構成情報マスターテーブル/図4参照)を参照して、当該メッセージ識別子をメッセージに含める(CAN-IDフィールドに格納する)車載ECU3を特定する。
[0073]
 車載中継装置2の制御部20は、メッセージ識別子を記憶する(S23)。制御部20は、記憶部21に記憶してある車載ECU3の構成情報を参照し、特定した車載ECU3が送信するメッセージに含める可能性のある全てのメッセージ識別子(CAN-ID)を特定し、特定した全てのメッセージ識別子(CAN-ID)を、中継禁止メッセージ識別子として記憶部21に記憶する。
[0074]
 不正なメッセージを送信した車載ECU3は、不正(異常)な車載ECU3である蓋然性が高い。そこで、車載中継装置2の制御部20は、不正(異常)な車載ECU3を特定し、当該不正(異常)な車載ECU3がメッセージを送信する際に含める可能性のある全てのメッセージ識別子(CAN-ID)を中継禁止メッセージ識別子として記憶部21に記憶する。これにより、当該不正(異常)な車載ECU3からの不正なメッセージの中継を禁止する等、当該不正(異常)な車載ECU3に効率的に対応することできる。
[0075]
 車載中継装置2の制御部20は、実施形態1の(S13,S14,S15)の処理と同様に、(S24,S25,S26)の処理を行う。なお、S25で送信及びS26で中継を禁止するメッセージ識別子(CAN-ID)は、S22で特定した不正(異常)な車載ECU3が送信するメッセージに含める全てのメッセージ識別子(CAN-ID)である。車載中継装置2から送信された既存メッセージを受信した車載ECU3は、既存メッセージの空き領域に格納されたメッセージ識別子(CAN-ID)に基づき、不正(異常)な車載ECU3から送信される不正なメッセージを破棄等する、適切に対応することができる
[0076]
 不正なメッセージではないと判定した場合(S21:NO)、車載中継装置2の制御部20は、実施形態1の(S111,S112,S1111,S113)の処理と同様に、(S211,S212,S2111,S213)の処理を行う。制御部20は、実施形態1の処理と同様に、S26,S213又はS2111の処理を実行した後、再度S20の処理を実行すべくループ処理を行う。
[0077]
 今回開示された実施形態はすべての点で例示であって、制限的なものではないと考えられるべきである。本発明の範囲は、上記した意味ではなく、請求の範囲によって示され、請求の範囲と均等の意味及び範囲内でのすべての変更が含まれることが意図される。

符号の説明

[0078]
 C 車両
 S1 プログラム提供装置
 S11 記憶部
 1 車外通信装置
 11 車外通信部
 12 入出力I/F
 13 アンテナ
 2 車載中継装置
 20 制御部
 21 記憶部
 22 記録媒体
 23 車内通信部(CANトランシーバ)
 24 入出力I/F
 3 車載ECU
 30 制御部
 31 記憶部
 32 車内通信部(CANトランシーバ)
 4 車内LAN
 41 通信線
 5 表示装置
 6 IGスイッチ

請求の範囲

[請求項1]
 車両に搭載され、複数の車載ECUと通信するための通信線が接続される車内通信部を複数備え、前記車載ECUから送信されるメッセージを前記車内通信部間にて中継する車載中継装置であって、
 前記メッセージの中継を制御する制御部を備え、
 前記制御部は、前記メッセージの正否を判定し、不正と判定したメッセージのメッセージ識別子を、前記複数の車載ECUに送信される既存メッセージのデータフィールド内の空き領域に格納して送信する
 車載中継装置。
[請求項2]
 前記既存メッセージは、前記制御部が生成したメッセージである
 請求項1に記載の車載中継装置。
[請求項3]
 前記既存メッセージは、前記複数の車載ECUの内のいずれかの車載ECUから他の車載ECUに中継するメッセージである
 請求項1又は請求項2に記載の車載中継装置。
[請求項4]
 前記既存メッセージは、前記車載ECUへ定期的に送信されるメッセージである
 請求項1から請求項3のいずれか一つに記載の車載中継装置。
[請求項5]
 前記既存メッセージは、前記車載ECUにおけるアクティブとスリープとの判断に基づいて送信されるメッセージである
 請求項1から請求項4のいずれか一つに記載の車載中継装置。
[請求項6]
 前記車載ECUのECU識別子と、前記車載ECUがメッセージを送信する際に当該メッセージに含められるメッセージ識別子とが、関連づけられて記憶されている記憶部を備え、
 前記制御部は、前記メッセージの正否を判定した後、前記記憶部を参照することによって前記不正と判定したメッセージのメッセージ識別子に関連付けられているECU識別子を読み出し、
 前記読み出したECU識別子に対応する車載ECUがメッセージを送信する際に、前記読み出したECU識別子に対応するメッセージ識別子を全て読み出して前記メッセージの前記空き領域に格納して送信する
 請求項1から請求項5のいずれか一つに記載の車載中継装置。
[請求項7]
 前記制御部は、前記メッセージの正否の判定によって不正と判定されたメッセージのメッセージ識別子と同一のメッセージ識別子が含まれるメッセージを取得し、
 前記取得したメッセージが正当であると判定した場合、前記取得したメッセージのメッセージ識別子を前記空き領域に格納して送信する
 請求項1から請求項6のいずれか一つに記載の車載中継装置。
[請求項8]
 車両に搭載される複数の車載ECUから送信されるメッセージを中継する中継方法であって、
 車両に搭載される複数の車載ECUから送信されるメッセージを取得し、
 取得した前記メッセージの正否を判定し、
 不正と判定したメッセージのメッセージ識別子を、前記複数の車載ECUに送信される既存メッセージのデータフィールド内の空き領域に格納して送信する
 中継方法。

図面

[ 図 1]

[ 図 2]

[ 図 3]

[ 図 4]

[ 図 5]

[ 図 6]