車載通信システム、通信管理装置、車両制御装置

本発明は、車両に構築されたネットワークにおいて、車両制御装置間の通信を通信管理装置により管理する車載通信システムに関する。

たとえば自動四輪車などの車両には、複数の車両制御装置が搭載されている。車両制御装置は、ECU(Electronic Control Unit)から構成されている。各車両制御装置は、CAN(Controller Area Network)やLIN(Local Interconnect Network)などの、車両に構築されたネットワークの所定のノードに接続されている。各車両制御装置は、制御対象の車載機器の制御などに必要な情報を、他の車両制御装置に対して送受信する。そして、車両制御装置同士は相互に通信することにより、協調動作する。車両制御装置間の通信を管理するため、ネットワークには、通信管理装置が接続されている。通信管理装置も、各車両制御装置と通信を行う。

車両に複数のネットワークが構築される場合もある。この場合、通信管理装置を複数のネットワークに接続して、異なるネットワークにそれぞれ接続された車両制御装置間の通信を、通信管理装置を経由させることにより可能にしている。具体的には、異なるネットワークにそれぞれ接続された車両制御装置間の通信時に、通信管理装置は、一方のネットワーク上の車両制御装置から受信した情報をフィルタリング処理して、該情報を他方のネットワーク上の車両制御装置に中継(送信)したり、または該情報を除外(非送信)したりする。また、一方のネットワークと他方のネットワークとで通信プロトコルが異なる場合は、これらのネットワークを跨る車両制御装置間の通信時に、情報の通信プロトコルが通信管理装置により変換処理される。

そのような通信管理装置によるフィルタリング処理および/または通信プロトコル変換処理は、まとめてゲートウェイ処理と呼ばれている。通信管理装置もECUから構成されている。通信管理装置は、ゲートウェイ装置やゲートウェイECUや通信管理ECUなどと呼ばれている。これに対して、車両制御装置は、ローカル装置やローカルECUなどと呼ばれている。上記のような通信管理装置と複数の車両制御装置とから構成された車載通信システムは、たとえば特許文献1〜3に開示されている。

車載通信システムにおいては、不正行為の意図を持った者(以下、「不正者」という。)が不正な装置をネットワーク上に設けて、該不正な装置から不正な情報を送信することにより、車両制御装置間の通信が妨害されたり、車両制御装置が誤動作したりするなどの問題がある。このため、特許文献1〜3では、通信管理装置が、車両制御装置から受信した情報(データや信号を含む)に基づいて、異常を検出する。

特許文献1では、ゲートウェイECUが、一方のローカルECUからのメッセージの受信完了時または受信途中に、メッセージに含まれる信頼性が確認できるデータや信号により、通信信頼性を判断する。この時点で、ゲートウェイECUは、通信結果が正常な場合は、他方のローカルECUに対するゲートウェイ送信を継続する。対して、通信結果が異常な場合は、ゲートウェイ送信を中断するか、または異常メッセージをゲートウェイ送信データに付加する。

特許文献2では、監視装置が、所定の期間に亘って通信線の電圧を複数回サンプリングし、その結果に基づいて通信線に接続された複数のローカルECUの異常を検出する。そして、監視装置が、複数のローカルECUに異常を通知して、通信線に対する所定の情報送信を行うことにより、複数のローカルECUによる情報の受信を妨げる。

特許文献3では、通信管理ECUが、各ローカルECUから識別情報を受信して、通信可能なローカルECUをリストに登録する。また、通信管理ECUは、各ローカルECUと隣接する接続ポート(ノード)に対する他のローカルECUの接続状態を示す隣接ポート情報を、各ローカルECUから受信する。そして、通信管理ECUは、隣接ポート情報に対応するローカルECUがリストに未登録の場合は、該ローカルECUを通信障害発生中としてリストに登録し、該リストをローカルECUに送信する。ローカルECUは、リストを参照することで、協調動作する相手方のローカルECUが、通信障害発生中なのか、あるいは車両に非搭載なのかを把握して、動作可能となる。

特開2015−88941号公報

特開2016−131325号公報

特開2005−204084号公報

従来の車載通信システムでは、通信管理装置を介した車両制御装置間の通信時に、安全性確保の観点から、通信管理装置が、車両制御装置から受信した情報に基づいて異常を検出すると、車両制御装置間の通信を停止させたり、該情報を中継しなかったりする対策がとられている。しかし、これによると、車両制御装置で必要な情報であるにもかかわらず、該情報が車両制御装置で受信されず、該車両制御装置が適切に制御を行えなくなる可能性がある。

また、通信管理装置が、いずれかの車両制御装置から受信した情報に基づいて異常を検出すると、該情報を異常通知とともに、他の車両制御装置へ送信する場合がある。しかし、この場合、たとえばDOS攻撃(Denial of Service attack)のような、大量の情報が不正な装置から送り付けられる異常が発生したときに、該大量の情報を通信管理装置や車両制御装置が処理したり、ネットワークが高負荷状態となったりするため、他の通信が困難になってしまう。また、たとえば、車両制御装置を誤動作させる不正な情報が不正な装置から送り付けられる異常が発生したときに、該不正な情報が通信管理装置により中継されるため、該不正な情報を受信した車両制御装置が誤動作してしまう。

さらに、通信管理装置が、異常の検出時に安全を確保するため、車両制御装置間の通信を停止させたり、所定の情報送信により車両制御装置間の通信を妨げたりするなどの、車両制御装置に対する制御を行うと、通信管理装置の負担が大きくなってしまう。

本発明の課題は、通信管理装置を介した車両制御装置間の通信時に、通信性および安全性を確保しつつ、通信管理装置の負担を軽減することである。

本発明による車載通信システムは、車両に構築されたネットワークに接続されて相互に通信を行い、車両の各部を制御する複数の車両制御装置と、前記ネットワークに接続されて、車両制御装置間の通信を管理する通信管理装置とから構成される。車両制御装置間の通信時に、いずれかの車両制御装置から送信された情報は、通信管理装置を経由して、他の車両制御装置で受信される。通信管理装置は、車両制御装置間の通信時に、いずれかの車両制御装置から受信した受信情報に基づいて、異常および該異常の種類を検出する異常検出部と、異常の種類に応じて、該異常の種類を他の車両制御装置に通知する異常通知部と、異常の種類に応じて、受信情報を他の車両制御装置に送信する送信制御部とを備えている。車両制御装置は、通信管理装置から通知された異常の種類に応じて所定の制御を実行する。

また、本発明の通信管理装置は、車両に構築されたネットワークに接続され、このネットワークに複数接続された車両制御装置間の通信を管理する通信管理装置であって、車両制御装置間の通信時に、いずれかの車両制御装置から送信された情報を受信して、該受信情報を他の車両制御装置へ送信する。この通信管理装置は、車両制御装置間の通信時に、いずれかの車両制御装置から受信した受信情報に基づいて、異常および該異常の種類を検出する異常検出部と、異常の種類に応じて、該異常の種類を他の車両制御装置に通知する異常通知部と、異常の種類に応じて、受信情報を他の車両制御装置に送信する送信制御部とを備えている。

また、本発明の車両制御装置は、車両に構築されたネットワークに複数接続されて相互に通信を行い、車両の各部を制御する装置である。車両制御装置間の通信時に、いずれかの車両制御装置から送信された情報は、ネットワークに接続された通信管理装置を経由して、他の車両制御装置で受信される。車両制御装置は、上記送信された情報に基づいて通信管理装置が検出した異常および該異常の種類を含んだ異常通知メッセージを、通信管理装置から受信し、また、異常の種類に応じて、上記送信された情報を通信管理装置から受信する。そして、車両制御装置は、異常通知メッセージに含まれている異常の種類に応じて所定の制御を実行する。

本発明によると、通信管理装置が、いずれかの車両制御装置から受信した受信情報に基づいて異常および該異常の種類を検出し、該異常の種類に応じて、他の車両制御装置に該異常の種類を通知する。また、通信管理装置が、前記異常の種類に応じて、前記受信情報を他の車両制御装置に送信する。そして、車両制御装置が、通信管理装置から通知された異常の種類に応じて所定の制御を実行し、また、他の車両制御装置から通信管理装置を介して受信した情報に基づいて、所定の制御を実行する。このため、通信管理装置を介した車両制御装置間の通信時に、発生した異常の種類に応じて、通信管理装置および車両制御装置を適切に動作させて、車両制御装置間の通信性および車両制御装置の安全性を確保することができる。また、通信管理装置が、異常の検出に応じて車両制御装置に対する制御を行うのではなく、車両制御装置が、通知された異常の種類に応じて自ら制御を行う。つまり、車両制御装置が、通信管理装置から通知される異常の種類に応じて、自身の振る舞いを判断して、自発的に動作するので、通信管理装置の負担を軽減することができる。

本発明では、上記車載通信システムにおいて、ネットワークは車両に複数構築され、各ネットワークには、複数の車両制御装置と、単一で共通の通信管理装置とが接続され、通信管理装置の異常通知部は、異常検出部により検出された異常の種類に応じて、各車両制御装置に対して該異常の種類を通知してもよい。

また、本発明では、上記車載通信システムにおいて、車両制御装置は、通信管理装置から通知された異常の種類に応じて、通信の安全性を確保するためのセキュリティ動作を切り替えてもよい。

また、本発明では、上記車載通信システムにおいて、通信管理装置は、異常が検出された車両制御装置から再度受信した情報に基づいて、異常検出部により異常を検出しなくなった場合、異常の種類を通知した車両制御装置に対して、異常通知部により異常の解消を通知してもよい。車両制御装置は、通信管理装置から異常の解消が通知されたことに応じて、異常の種類が通知される前の制御状態に復帰する。

また、本発明では、上記車載通信システムにおいて、通信管理装置の異常通知部は、異常の種類の通知または異常の解消の通知を、所定の周期で複数回実行してもよい。

また、本発明では、上記車載通信システムにおいて、通信管理装置の異常検出部が、異常の種類として、正常な通信を妨害する周期で一定量を超える大量の情報が送り込まれる周期異常を検出した場合、異常通知部は周期異常を通知せず、 送信制御部は前記大量の情報を破棄してもよい。

また、本発明では、上記車載通信システムにおいて、通信管理装置の異常検出部が、異常の種類として、いずれかの車両制御装置から受信した受信情報に含まれる送信元の識別情報が未定義である識別情報異常を検出した場合、異常通知部は、識別情報異常を通知せず、送信制御部は、受信情報を他の車両制御装置に送信してもよい。この場合、車両制御装置は、通信管理装置を介して受信した情報に基づいて識別情報異常を検出して、該情報に含まれる未定義の識別情報を記憶し、以後、当該未定義の識別情報を含んだ情報を受信しても、該情報を処理の対象外としてもよい。

さらに、本発明では、上記車載通信システムにおいて、通信管理装置の異常検出部が、異常の種類として、いずれかの車両制御装置から受信した情報が不正である不正情報異常を検出した場合、異常通知部は、不正情報異常と受信情報に含まれる送信元の識別情報とを含んだ異常メッセージを、車両制御装置に対して通知し、送信制御部は、受信情報を他の車両制御装置に対して送信してもよい。なお、受信した情報の不正とは、たとえば、該情報の内容、形式、受信タイミング、または送信元が、規定外またはそのときの車両状態に対して正当でないことをいう。この場合、異常メッセージが通知された車両制御装置は、該異常メッセージに含まれる送信元の識別情報を不正な識別情報として記憶し、以後、当該不正な識別情報を含んだ情報の受信時に、該受信情報の認証を行い、該認証が成功すると、該受信情報に基づいて前記所定の制御を実行してもよい。

本発明によれば、通信管理装置を介した車両制御装置間の通信時に、通信性および安全性を確保しつつ、通信管理装置の負担を軽減することができる。

本発明の実施形態による車載通信システムの構成図である。

図1のゲートウェイECUの構成図である。

図1のローカルECUの構成図である。

図1の車載通信システムの動作を示したフローチャートである。

図1のローカルECU間で通信される情報の一例を示した図である。

図1のゲートウェイECUからローカルECUに送られるメッセージの一例を示した図である。

図1の車載通信システムで生じる通信異常状態の一例を示した図である。

図1の車載通信システムで生じる通信異常状態の一例を示した図である。

図1のゲートウェイECUの記憶内容の一例を示した図である。

図1のローカルECUの記憶内容の一例を示した図である。

以下、本発明の実施形態につき、図面を参照しながら説明する。各図において、同一の部分または対応する部分には、同一符号を付してある。

まず、実施形態の車載通信システム100の構成を、図1を参照しながら説明する。

図1は、車載通信システム100の構成図である。車載通信システム100は、自動四輪車から成る車両30に搭載されている。車載通信システム100は、1個のゲートウェイECU(Electronic Control Unit)1と複数のローカルECU2₍₁₎〜ECU2₍₁₀₎とから構成されている。以下では、ECU2₍₁₎〜ECU2₍₁₀₎をまとめてECU2と表記する。

車両30には、CAN(controller area network)やLIN(Local Interconnect Network)などのバス型のネットワークが複数構築されている。各バス4A〜4Cのネットワークには、複数のローカルECU2が接続されている。

たとえば、図1では、バス4Aのネットワークに設けられた各所定の接続ノードには、ローカルECU2₍₁₎〜ECU2₍₃₎がそれぞれ接続されている。また、バス4Bのネットワークに設けられた各所定の接続ノードには、ローカルECU2₍₄₎〜ECU2₍₇₎がそれぞれ接続されている。さらに、バス4Cのネットワークに設けられた各所定の接続ノードには、ローカルECU2₍₈₎〜ECU2₍₁₀₎がそれぞれ接続されている。

各ローカルECU2は、車両30の各部を制御する。詳しくは、各ローカルECU2は、車両30に搭載されたエンジン、ブレーキ、パワーステアリング装置、エアコン、エアバッグなどの制御対象ごとに割り当てられており、これらの動作を制御する。また、各ローカルECU2は通信を行い、車載機器の動作の制御などに必要な情報を、他のローカルECU2に対して送受信する。また、各ローカルECU2は、他のローカルECU2との通信の安全性を確保するためのセキュリティ動作も行う。そして、ローカルECU2同士は相互に通信することにより、協調動作する。

バス4A〜4Cのネットワークには、単一で共通のゲートウェイECU1が接続されている。詳しくは、ゲートウェイECU1は、各バス4A〜4Cの所定の接続ノードに接続されている。ゲートウェイECU1は、ローカルECU2間の通信を管理する。ゲートウェイECU1による通信の管理は、同一ネットワーク内に限らず、異なるネットワーク間でも行われる。

ゲートウェイECU1は、各ローカルECU2に対して情報を送受信する。同一ネットワークにそれぞれ接続されたローカルECU2間の通信時に、いずれかのローカルECU2から送信された情報が、直接他のローカルECU2で受信される場合と、ゲートウェイECU1を経由して、他のローカルECU2で受信される場合とがある。異なるネットワークにそれぞれ接続されたローカルECU2間の通信時には、いずれかのローカルECU2から送信された情報が、ゲートウェイECU1を経由して、他のローカルECU2で受信される。つまり、ローカルECU2間の通信は、直接またはゲートウェイECU1を介して可能になっている。

ゲートウェイECU1を介したローカルECU2間の通信時に、ゲートウェイECU1は、いずれかのローカルECU2から受信した情報をフィルタリング処理して、該情報を他のローカルECU2に対して中継(送信)したり、または該情報を除外(非送信および破棄)したりする。

同一のネットワークに接続された複数のローカルECU2の通信プロトコルは同一であるが、異なるネットワークに接続された複数のローカルECU2の通信プロトコルは、同一である場合と、異なっている場合とがある。異なるネットワークに接続された複数のローカルECU2の通信プロトコルが異なっている場合は、該ローカルECU2間の通信時に、ゲートウェイECU1により通信プロトコルが変換処理される。

上記のようなゲートウェイECU1によるフィルタリング処理および/または通信プロトコル変換処理は、まとめてゲートウェイ処理と呼ばれている。ゲートウェイECU1は、本発明の「通信管理装置」の一例である。ローカルECU2は、本発明の「車両制御装置」の一例である。

ゲートウェイECU1には、OBDII(On Board Diagnosis second generation)ポート5が接続されている。OBDIIポート5には、図示しない故障診断装置がコネクタやケーブルを介して接続される。これにより、たとえば、故障診断装置がゲートウェイECU1を経由して、各ローカルECU2から車載機器の故障診断情報を取得したり、各ローカルECU2に対して自己診断用のプログラムを書き換えたりすることができる。

次に、ゲートウェイECU1の構成を、図2を参照しながら説明する。

図2は、ゲートウェイECU1の構成図である。ゲートウェイECU1には、制御部11、記憶部15、通信部16、およびOBDIIインタフェイス19が備わっている。

制御部11は、CPUとメモリなどから構成されている。記憶部15は、不揮発性のメモリから構成されている。記憶部15には、各バス4A〜4Cのネットワークに関する情報、各バス4A〜4Cのネットワーク接続された各ローカルECU2のID(識別情報)、ゲートウェイECU1のID、および通信異常に関する情報などが、予め記憶されている。制御部11は、記憶部15に対して情報を読み出したり、情報を記憶させたりする。

通信部16は、各ローカルECU2と通信を行うための受信部17および送信部18から構成されている。受信部17は、各ローカルECU2から情報を受信するための受信回路を備えている。また、送信部18は、各ローカルECU2に情報を送信するための送信回路を備えている。OBDIIインタフェイス19は、前述した故障診断装置と通信するための通信回路を備えている。

制御部11には、異常検出部12、異常通知部13、およびゲートウェイ部14が備わっている。ゲートウェイECU1を介したローカルECU2間の通信時に、異常検出部12は、受信部17によりローカルECU2から受信した情報に基づいて、他のローカルECU2にかかわる通信上の異常の有無を検出し、異常が有ることを検出した場合は、さらに該異常の種類を検出する。制御部11は、異常検出部12の検出結果から、異常のあるローカルECU2および異常が解消したローカルECU2を判断する。

異常通知部13は、異常検出部12により検出された異常の種類に応じて、該異常の種類を含んだ異常メッセージを、送信部18によりローカルECU2に通知する。この通知は、全ての種類の異常について行われるのではなく、異常の種類によって、通知される場合と通知されない場合とがある(詳細は後述)。また、異常通知部13は、通知した異常が、その後解消されたと制御部11により判断されると、該異常が解消されたことを示す異常解消メッセージを、送信部18によりローカルECU2に通知する。

ゲートウェイECU1を介したローカルECU2間の通信時に、ゲートウェイ部14は、受信部17によりいずれかのローカルECU2から受信した情報をフィルタリング処理して、該情報を他のローカルECU2に送信するか否かを判断する。このとき、ゲートウェイ部14は、いずれかのローカルECU2から受信した情報を送信すると判断した場合、該情報を送信部18により他のローカルECU2に送信する(中継処理)。また、ゲートウェイ部14は、いずれかのローカルECU2から受信した情報を送信しないと判断した場合、該情報を他のローカルECU2に送信せずに、破棄する(除外処理)。

また、通信プロトコルが異なるローカルECU2間の通信時に、ゲートウェイ部14は、受信部17によりいずれかのローカルECU2から受信した情報の通信プロトコルを、他のローカルECU2が受信可能な通信プロトコルに変換する(通信プロトコル変換処理)。

さらに、ゲートウェイ部14は、異常検出部12により検出された異常の種類に応じて、受信部17によりいずれかのローカルECU2から受信した情報を、他のローカルECU2に送信するか否かを判断する。このとき、ゲートウェイ部14は、異常の種類に応じて、いずれかのローカルECU2から受信した情報を送信すると判断した場合、該情報を送信部18により他のローカルECU2に送信する。また、ゲートウェイ部14は、異常の種類に応じて、いずれかのローカルECU2から受信した情報を送信しないと判断した場合、該情報を他のローカルECU2に送信せずに、破棄する。ゲートウェイ部14は、本発明の「送信制御部」の一例である。

次に、ローカルECU2の構成を、図3を参照しながら説明する。

図3は、ローカルECU2の構成図である。ローカルECU2には、制御部21、記憶部25、および通信部26が備わっている。

制御部21は、CPUとメモリなどから構成されている。記憶部25は、不揮発性のメモリから構成されている。記憶部25には、各バス4A〜4Cのネットワークに関する情報、各バス4A〜4Cのネットワーク接続された各ローカルECU2のIDやゲートウェイECU1のID、および通信異常に関する情報などが、予め記憶されている。制御部21は、記憶部25に対して情報を読み出したり、情報を記憶させたりする。

通信部26は、他のローカルECU2やゲートウェイECU1と通信を行うための受信部27および送信部28から構成されている。受信部27は、他のローカルECU2やゲートウェイECU1から情報を受信するための受信回路を備えている。また、送信部28は、他のローカルECU2やゲートウェイECU1に情報を送信するための送信回路を備えている。

制御部21は、制御対象の車載機器の動作を制御する。また、制御部21は、車載機器の動作の制御などに必要な情報を、通信部26により他のローカルECU2に対して送受信する。制御部21には、異常検出部22、セキュリティ切替部23、および情報認証部24が備わっている。

ゲートウェイECU1からローカルECU2に対して、前述した異常メッセージが送信されると、該異常メッセージが受信部27により受信される。このとき、異常検出部22が、受信された異常メッセージに基づいて、他のローカルECU2にかかわる通信上の異常の発生と該異常の種類を検出する。また、異常検出部22は、他のローカルECU2から送信された情報を受信部27により受信したときに、該情報に基づいて異常の有無を検出し、異常が有れば該異常の種類を検出する。セキュリティ切替部23は、異常検出部22により検出された異常の種類に応じて、他のローカルECU2との通信の安全性を確保するためのセキュリティ動作を切り替える。

また、ゲートウェイECU1からローカルECU2に対して、前述した異常解消メッセージが送信されると、該異常解消メッセージが受信部27により受信される。このとき、異常検出部22が、異常解消メッセージに基づいて、他のローカルECU2にかかわる通信上の異常が解消したことを検出する。また、異常検出部22は、他のローカルECU2から受信部27により受信した情報に基づいて、前に検出した異常が解消したことも検出する。セキュリティ切替部23は、異常検出部22により検出された異常の解消に応じて、セキュリティ動作を異常メッセージの通知前または異常検出部22自身による異常検出前の制御状態に復帰させる。

情報認証部24は、他のローカルECU2に対してゲートウェイECU1を経由しまたは経由せずに通信する情報の認証を行う。具体的には、情報認証部24は、受信部27により受信された情報に含まれる暗号化キーやカウンタ情報などの認証情報に基づいて、該情報の認証を行う。この情報認証部24による情報の認証は、セキュリティ動作の一例であって、セキュリティ切替部23により実行・非実行が切り替えられる。情報認証部24による情報の認証が実行された場合、受信部27により受信した情報の認証が成功したときにだけ、制御部21が、該情報に基づいて車載機器の制御を実行する。

次に、車載通信システム100の動作を、図4〜図9を参照しながら説明する。

図4は、車載通信システム100の動作を示したフローチャートである。図4では、ゲートウェイECU1を介したローカルECU2間の通信時における、ゲートウェイECU1、情報の送信元のローカルECU2、および受信側のローカルECU2の動作を示している。なお、受信側のローカルECU2とは、送信元のローカルECU2以外の車載通信システム100に組み込まれたローカルECU2であって、送信元のローカルECU2が送信した情報を、ゲートウェイECU1を介して受信するローカルECU2のことである。つまり、受信側のローカルECU2には、送信元のローカルECU2が送信した情報を必要とするローカルECU2と、該情報を必要としないローカルECU2が含まれる。

まず、送信元のローカルECU2が、少なくとも1つの他のローカルECU2に対する情報を送信部28により送信する(図4のステップS1)。このとき、送信元のローカルECU2が正常な状態である場合は、該送信元のローカルECU2から、正常な情報が送信される。

図5は、ローカルECU2間で通信される情報の一例を示した図である。図5(a)に示す情報は、図4のステップS1で正常な状態の送信元のローカルECU2から送信される情報である。この図5(a)の情報には、送信元のローカルECU2のIDと制御データなどが含まれている。制御データは、ローカルECU2が制御対象の車載機器の動作を制御するために必要なデータなどである。

一方、不正者により送信元のローカルECU2が攻撃されて、送信元のローカルECU2が異常な状態になった場合は、図4のステップS1で、送信元のローカルECU2から異常な情報が送信される。この異常な情報には、たとえば、図5(a)に示した正常な情報と形式が異なる情報が含まれる。また、たとえば、図5(a)に示した正常な情報と形式は同じであるが、ローカルECU2のIDや制御データなどがあり得ない内容となっているような情報も、上記異常な情報に含まれる。

送信元のローカルECU2が異常な状態になるケースとして、たとえば、不正者がOBDIIポート5に不正な装置を接続して、該不正な装置により送信元のローカルECU2の制御プログラムを不正なプログラムに書き換えるケースがある。また、たとえば、不正者がいずれかのバス4A〜4Cの接続ノードに接続されていたローカルECU2を取り外して、該接続ノードに偽のローカルECUを接続するケースもある。このように送信元のローカルECU2が異常な状態になった場合、たとえば図7Aや図7Bに示すように、車載通信システム100が通信異常状態となる。

図7Aおよび図7Bは、車載通信システム100で生じる通信異常状態の一例を示した図である。図7Aの場合は、不正者により制御プログラムが不正なプログラムに書き換えられて、異常な状態となった送信元のローカルECU2₍₃₎が、接続されているバス4Aに対してDOS攻撃(Denial of Service attack)を行う。DOS攻撃は、ネットワークの正常な通信を妨害する周期で、一定量を超える大量の情報をネットワークに送り込む周期異常の一例である。このDOS攻撃により、バス4Aのネットワークが高負荷状態になる。また、バス4Aに接続されたゲートウェイECU1やローカルECU2に大量の情報が送り込まれるので、該ECU1、2が大量の情報を処理しようとした場合には、該ECU1、2が高負荷状態となる。これらの結果、バス4Aのネットワーク内の他の通信が困難になる。また、ゲートウェイECU1を介した、バス4Aのネットワークと他のバス4B、4Cのネットワークとの間の他の通信も困難になる。さらに、ゲートウェイECU1が高負荷状態になった場合には、バス4Bのネットワークとバス4Cのネットワークとの間の他の通信も困難になる。

図7Aの通信異常状態において、たとえば、車両30のエンジンを始動させるために、車両30の利用者がスタートスイッチ(図示省略)をオン操作したとする。すると、バス4A上のBCM(Body Control Module)から成るローカルECU2₍₁₎から、バス4Bに接続されたECM(Engine Control Module)から成るローカルECU2₍₆₎に対するエンジンの始動要求(制御データ)を含んだ情報が送信される。しかし、バス4AまたはゲートウェイECU1が高負荷状態にあるため、ローカルECU2₍₁₎から送信した情報が、ローカルECU2₍₆₎で受信され難くなる。エンジンの始動要求を含んだ情報がローカルECU2₍₆₎で受信されない限り、ローカルECU2₍₆₎によりエンジンが始動されることはない。

また、図7Bの場合は、不正者によりローカルECU2₍₁₎が取り換えられて、異常な状態となったローカルECU2₍₁₎が偽のBCMになりすます。そして、ローカルECU2₍₁₎が、図示しない携帯機(電子キー)の認証を行うことなく、DRM(Door Rock Module)から成るローカルECU2₍₁₀₎に対し、偽のドア解錠要求を含んだ情報を送信する。このなりすまし異常は、後述する不正情報異常の一例である。

図7Bの通信異常状態において、たとえば、ローカルECU2₍₁₎から送信された偽のドア解錠要求を含んだ情報が、ゲートウェイECU1により中継されて、DRMから成るローカルECU2₍₁₀₎で受信されたとする。この場合、車両30の正当な利用者の意図に反して、ローカルECU2₍₁₀₎により車両30のドアが解錠されて、不正者の車内への進入が可能になってしまう。

図4に示すように、送信元のローカルECU2から送信された情報が、ゲートウェイECU1の受信部17により受信されると(図4のステップS2:YES)、異常検出部12が、該情報に基づいて異常検出処理を実行する(図4のステップS3)。このとき、異常検出部12は、送信元のローカルECU2から受信した情報に基づいて、異常の有無および異常の種類を検出する。

送信元のローカルECU2から送信された情報が正常な情報であれば、該情報を受信したゲートウェイECU1の異常検出部12が、該情報に基づいて異常を検出しない(図4のステップS4:NO)。この場合、制御部11は、記憶部15の記憶内容を参照して、送信元のローカルECU2の異常記録が記憶されているか否かを判断する(図4のステップS9)。

図8は、ゲートウェイECU1の記憶部15の記憶内容の一例を示した図である。記憶部15の所定の記憶領域には、図8に示すような、通信異常に関する通信異常テーブルT1が記憶されている。当該通信異常テーブルT1において、「異常の種類」は、異常検出部12により検出可能な異常の種類を示している。本例では、「異常の種類」として、「周期異常」、「未定義ID異常」、および「不正情報異常」が挙げられている。

「周期異常」は、たとえば前述のDOS攻撃のように、正常な通信を妨害する周期で大量の情報がローカルECU2など(正常なローカルECU2と異常なまたは偽のローカルECUとを含む)から送り込まれる異常のことである。「未定義ID異常」は、ローカルECU2などからの受信情報に含まれている送信元のIDが未定義(未登録)である異常のことである。他の例として、ローカルECU2からの受信情報に、送信元のIDが含まれていない異常も、「未定義ID異常」に含めてもよい。未定義ID異常は、本発明の「識別情報異常」の一例である。

「不正情報異常」は、ローカルECU2などから受信した受信情報の内容、形式、受信タイミング、または送信元が不正である異常のことである。たとえば、受信情報の内容の不正とは、そのときの車両30の状態に対して、制御データが、ローカルECU2間で通信されるはずのないデータを含んでいることである。受信情報の形式の不正とは、情報のレングスや容量が規定外であったり、受信情報に含まれるデータなどの配列が規定外であったりすることである。受信タイミングの不正とは、バス4A〜4C間のシーケンスが規定外であることである。送信元の不正とは、情報の送信元のネットワークがバス4A〜4C以外のネットワークであることや、情報の送信元がローカルECU2以外の不明な装置であることなどである。図7Bで説明したなりすまし異常は、なりすました偽のローカルECU2が送信した情報の制御データの内容や受信タイミングが不正となるため、「不正情報異常」に含まれる。

図8の通信異常テーブルT1の「ゲートウェイ対応動作」は、各異常の種類に応じたゲートウェイECU1の制御動作を示している。この詳細は後述する。「該当ECUID」は、各異常の種類が検出された情報の送信元のローカルECU2のIDを示している。

たとえば、図4のステップS2で受信した情報に含まれる送信元のローカルECU2のIDと一致するIDが、通信異常テーブルT1の「該当ECUID」の欄に無ければ、制御部11は、送信元のローカルECU2の異常記録は記憶されていないと判断する(図4のステップS9:NO)。この場合、ゲートウェイ部14が、通常時のゲートウェイ処理を実行する(図4のステップS13)。このとき、送信元のローカルECU2から受信した情報が、ゲートウェイ部14によりフィルタリング処理(および/または通信プロトコル変換処理)されて、他の受信側のローカルECU2に送信され、または非送信とされる。

ローカルECU2は、自身が接続されているバス4A〜4Cに対して、常に所定の周期で受信部27により情報の受信を試みる。そして、受信部27により情報を受信すると、制御部21が、該情報に基づいて、自身にとって必要な情報を受信したか否かを判断する(図4のステップS21)。このため、たとえば、図4のステップS13により、送信元のローカルECU2から送信された情報が、ゲートウェイECU1により中継されて、受信側のローカルECU2に送信されると、当該情報が、受信側のローカルECU2の受信部27で受信される。そして、制御部21が必要な情報を受信しなかったと判断した(図4のステップS21:NO)受信側のローカルECU2では、当該受信情報が破棄される。対して、制御部21が必要な情報を受信したと判断した(図4のステップS21:YES)受信側のローカルECU2では、異常検出部22が、当該受信情報に基づいて、異常検出処理を実行する(図4のステップS22)。このとき、異常検出部22は、送信元のローカルECU2からゲートウェイECU1を介して受信した情報に基づいて、「未定義ID異常」の有無を検出する。

たとえば、送信元のローカルECU2から送信された情報が正常な情報であれば、該情報をゲートウェイECU1を介して必要な情報として受信した受信側のローカルECU2の異常検出部22は、該情報に基づいて異常を検出しない(図4のステップS23:NO)。この場合、制御部21は、記憶部25の記憶内容を参照して、送信元のローカルECU2の異常記録が記憶されているか否かを判断する(図4のステップS26)。

図9は、ローカルECU2の記憶部25の記憶内容の一例を示した図である。記憶部25の所定の記憶領域には、図9に示すような、通信異常に関する通信異常テーブルT2が記憶されている。当該通信異常テーブルT2において、「異常の種類」として、本例では、「周期異常」、「未定義ID異常」、および「不正情報異常」が挙げられている。このうち、「未定義ID異常」だけが、ローカルECU2が自身(異常検出部22)で検出可能な異常である。「不正情報異常」は、ゲートウェイECU1により検出された後、ローカルECU2に通知される異常である(図8参照)。「周期異常」は、ゲートウェイECU1により検出されるが、ローカルECU2には通知されない異常である(図8参照)。本例では、「周期異常」は、ローカルECU2が気付かない異常である。他の例として、ローカルECU2が自身で「周期異常」を検出してもよい。

通信異常テーブルT2の「ローカル対応動作」は、各異常の種類に応じたローカルECU2のセキュリティ上の制御動作を示している。「該当ECUID」は、各異常の種類が検出された送信元のローカルECU2のIDを示している。なお、「周期異常」は、ローカルECU2が気付かない異常であるため、「周期異常」に対応する「ローカル対応動作」は設定されておらず、「周期異常」に対応する「該当ECUID」は常に記録のない状態である。図9では、非設定および非記録の状態を横線(−)で示している。「ローカル対応動作」における横線の表示欄は、異常が検出されても対応動作を行わないことを表している。

たとえば、図4のステップS21で受信した情報の送信元のローカルECU2のIDと一致するIDが、通信異常テーブルT2の「該当ECUID」の欄に無ければ、受信側のローカルECU2の制御部21は、送信元のローカルECU2の異常記録は記憶されていないと判断する(図4のステップS26:NO)。この場合、制御部21は、送信元のローカルECU2からゲートウェイECU1を介して受信した情報に基づいて、制御対象の車載機器の制御を実行する(図4のステップS29)。

一方、送信元のローカルECU2から送信された情報が異常な情報であれば、該情報を受信したゲートウェイECU1の異常検出部12が、図4のステップS3で、該情報に基づいて異常を検出し、さらに該異常の種類も検出する。このように、異常検出部12により異常が検出されると(図4のステップS4:YES)、制御部11が、該異常の内容を記憶部15に記録する(図4のステップS5)。具体的には、記憶部15に記憶された通信異常テーブルT1(図8)において、異常検出部12により検出された異常の種類に対応する「該当ECUID」の欄に、異常が検出された情報を送信した送信元(以下、「異常情報送信元」という。)のローカルECU2のIDを記録する。

次に、異常通知部13が、異常検出部12により検出された異常の種類に応じて、1回目の異常通知処理を実行する(図4のステップS6)。このとき、異常通知部13は、記憶部15に記憶された通信異常テーブルT1(図8)を参照し、異常検出部12により検出された異常の種類に応じて、該異常の種類を含んだ異常メッセージの通知/非通知を決定する。そして、通知と決定した場合は、送信部18により異常メッセージを各ローカルECU2に通知し、非通知と決定した場合は、異常メッセージを各ローカルECU2に通知しない。

具体的には、図8の通信異常テーブルT1に示すように、異常検出部12により「周期異常」や「未定義ID異常」が検出された場合は、異常通知部13は、異常メッセージを各ローカルECU2に通知しない。また、異常検出部12により「不正情報異常」が検出された場合は、異常通知部13は、該不正情報異常の内容を含んだ異常メッセージを各ローカルECU2に通知する。異常メッセージの通知先は、送信元のローカルECU2以外の、車載通信システム100に組み込まれた受信側の各ローカルECU2である。

図6は、ゲートウェイECU1からローカルECU2に通知されるメッセージの一例を示した図である。図6(a)は、ゲートウェイECU1がローカルECU2に通知する異常メッセージである。この異常メッセージには、ゲートウェイECU1のID、異常検出対象のローカルECU2のID、異常有りの検出結果、および異常の種類の検出結果などが含まれている。

1回目の異常通知処理を実行してから所定時間経過後に、異常通知部13は、2回目の異常通知処理を実行する(図4のステップS7)。この2回目の異常通知処理は、上述した1回目の異常通知処理と同様である。このため、たとえば、1回目の異常通知処理で、異常メッセージがローカルECU2に送信された場合は、2回目の異常通知処理でも、同一の異常メッセージがローカルECU2に送信される。他の例として、各回の異常通知処理で通知される異常メッセージ(図6(a))に、何回目の通知であるかを示す情報を含めてもよい。

その後、ゲートウェイ部14が、異常検出部12により検出された異常の種類に応じて、異常時のゲートウェイ処理を実行する(図4のステップS8)。このとき、ゲートウェイ部14は、記憶部15に記憶された通信異常テーブルT1(図8)を参照し、異常検出部12により検出された異常の種類に応じて、送信元のローカルECU2から受信した情報をゲートウェイ処理する。

具体的には、図8の通信異常テーブルT1に示すように、異常検出部12により「周期異常」が検出された場合は、送信元のローカルECU2から受信した情報(大量の情報)が、ゲートウェイ部14により、フィルタリング処理されることなく破棄される。対して、異常検出部12により「未定義ID異常」や「不正情報異常」が検出された場合は、送信元のローカルECU2から受信した受信情報が、ゲートウェイ部14によりフィルタリング処理(および/または通信プロトコル変換処理)されて、受信側のローカルECU2に送信され、または非送信とされる。

ゲートウェイECU1が受信側のローカルECU2に送信(中継)する情報の形式は、図5(a)の送信元のローカルECU2から送信された情報の形式とほぼ同一である(図示省略)。他の例として、ゲートウェイECU1が受信側のローカルECU2に送信する情報に、図5(a)の内容以外に、ゲートウェイECU1により中継されたことを示す情報が含まれていてもよい。

受信側のローカルECU2では、たとえば、前述したゲートウェイECU1の1回目または2回目の異常通知処理により、ゲートウェイECU1から送信された異常メッセージを、受信部27により受信する(図4のステップS31:YES)。すると、異常検出部22が、該異常メッセージに基づいて、異常の発生と該異常の種類を検出する。そして、制御部21が、異常検出部22により検出された異常の内容を、記憶部25に記録する(図4のステップS32)。

前述したように、ゲートウェイECU1からの異常メッセージには、異常の種類として「不正情報異常」だけが含まれている。このため、図4のステップS32では、記憶部15に記憶された通信異常テーブルT1(図8)において、「不正情報異常」の行の右端にある「該当ECUID」の欄(以下、「不正情報異常のID欄」という。)に、異常情報送信元のローカルECU2のIDを記録する。

そして、セキュリティ切替部23が、異常検出部22により検出された異常の種類(不正情報異常)と、記憶部25に記憶された通信異常テーブルT2(図9)とに基づいて、セキュリティ切替処理を実行する(図4のステップS33)。このとき、通信異常テーブルT2の「不正情報異常」とローカルECU2自身の立場とに従って、セキュリティ切替部23がセキュリティ動作を切り替える。

図9において、通信異常テーブルT2の「不正情報異常」の欄に示すように、たとえば、車載通信システム100の第1範囲(後述)にあるローカルECU2では、セキュリティ切替部23により情報認証モードに移行する。情報認証モードでは、まず制御部21が、ゲートウェイECU1からの異常メッセージに含まれる検出対象のローカルECU2のIDを不正なIDとして、通信異常テーブルT2の不正情報異常のID欄に記録する。それから、以後、該不正なIDに対応するローカルECU2との通信時に、情報認証部24が、ゲートウェイECU1を介して受信した受信情報から、図5(b)に示すように該受信情報に含まれる認証情報(暗号化キーやカウンタ情報など)を検出して、該認証情報に基づいて受信情報の認証を行う。そして、当該認証が成功した場合にだけ、制御部21が、受信情報に基づいて車載機器の制御を実行する。

「第1範囲にあるローカルECU」とは、たとえば、異常メッセージ(図6(a))で示される、検出対象のローカルECU2と同一ネットワークにあるローカルECU2、および、検出対象のローカルECU2と同一ネットワークにはないが、検出対象のローカルECU2から送信された情報が必要なローカルECU2のことである。なお、各ローカルECU2では、通信する必要のある他のECU1、2に関する情報(IDなど)が、予め記憶部25に記憶されている。また、ローカルECU2間で通信する情報には、図5(b)に示すように常に認証情報を含めてもよいし、ローカルECU2が情報認証モードに移行してから、他のローカルECU2に対して、以後送信する情報に認証情報を含めてもらうようにしてもよい。

また、たとえば、車載通信システム100の第2範囲(後述)にあるローカルECU2では、セキュリティ切替部23によりCRC(Cyclic Redundancy Check;巡回冗長検査)チェックモードに移行する。CRCチェックモードでは、ローカルECU2間の通信時に、送信元のローカルECU2の制御部21が、情報のデータ列をもとにして所定の演算を行ってチェック値を算出し、該チェック値を送信情報に付加する(図5(c)のCRCチェック値)。そして、受信側のローカルECU2の制御部21が、受信した必要な情報のデータ列をもとにして所定の演算を行って求めた値を、チェック値と比較することにより、情報の正当性を判断する。

「第2範囲にあるローカルECU」とは、たとえば、異常メッセージ(図6(a))で示される検出対象のローカルECU2から送信された情報が必要なローカルECU2と同一ネットワークにあるローカルECU2のことである。なお、ローカルECU2間で通信する情報には、図5(c)に示すように常にCRCチェック値を含めてもよいし、ローカルECU2がCRCチェックモードに移行してから、他のローカルECU2に対して、以後送信する情報にCRCチェック値を含めてもらうようにしてもよい。

また、たとえば、車載通信システム100の第3範囲にあるローカルECU2では、セキュリティ切替部23によりセキュリティ動作を切り替えない。つまり、現状のセキュリティ動作が維持される。「第3範囲にあるローカルECU」とは、第1範囲および第2範囲に含まれないローカルECU2のことである。具体的には、たとえば、検出対象のローカルECU2および検出対象のローカルECU2から送信された情報が必要なローカルECU2に対して、同一ネットワークにないローカルECU2のことである。

受信側のローカルECU2では、たとえば、前述したゲートウェイECU1の異常時のゲートウェイ処理により、ゲートウェイECU1から送信された情報を、受信部27により受信する。そして、制御部21が必要な情報を受信したと判断した(図4のステップS21:YES)受信側のローカルECU2では、異常検出部22が、当該受信情報に基づいて、未定義IDの異常検出処理を実行する(図4のステップS22)。

このとき、受信情報に未定義のIDが含まれていれば、異常検出部22が、異常(未定義ID異常)を検出する(図4のステップS23:YES)。この場合、制御部21が、該異常の内容を記憶部25に記録する(図4のステップS24)。具体的には、記憶部25に記憶された通信異常テーブルT2(図9)において、「未定義ID異常」の行の右端にある「該当ECUID」の欄(以下、「未定義ID異常のID欄」という。)に、異常情報送信元のローカルECU2のIDを記録する。

そして、セキュリティ切替部23が、検出された異常の種類(未定義ID異常)と通信異常テーブルT2とに基づいて、セキュリティ切替処理を実行する(図4のステップS25)。このとき、図9の通信異常テーブルT2の「未定義ID異常」とローカルECU2自身の立場とに従って、受信側のローカルECU2のセキュリティ切替部23がセキュリティ動作を切り替える。

前述したように、送信元のローカルECU2から送信された情報が必要なローカルECU2は、車載通信システム100の第1範囲にあるローカルECU2であるため、セキュリティ切替部23によりフィルタリングレベルが強化される。具体的には、まず、当該ローカルECU2の制御部21が、送信元のローカルECU2からゲートウェイECU1を介して受信した情報に含まれる未定義のIDを、図9の未定義ID異常のID欄に記録する。そして、以後、同一の未定義のIDを含んだ情報を受信しても、該情報を受信および制御の処理の対象外とする。

また、制御部21が、送信元のローカルECU2からゲートウェイECU1を介して受信した情報に基づいて、制御対象の車載機器の制御を実行する(図4のステップS29)。このとき、当該受信情報に基づいて「未定義ID異常」を検出した場合と、検出しなかった場合とで、制御の内容を異ならせてもよい。

一方、送信元のローカルECU2からゲートウェイECU1を介して受信した情報に、未定義のIDが含まれていなければ、異常検出部22が、異常を検出しない(図4のステップS23:NO)。この場合、制御部21が、記憶部25に送信元のローカルECU2の異常記録が記憶されているか否かを判断する(図4のステップS26)。

このとき、通信異常テーブルT2(図9)の未定義ID異常のID欄に、図4のステップS21で受信した情報の送信元のローカルECU2のIDと一致するIDが有った場合、制御部21は、記憶部25に送信元のローカルECU2の異常記録が記憶されていると判断する(図4のステップS26:YES)。この場合、制御部21は、「未定義ID異常」が解消したと判断し、送信元のローカルECU2の異常記録を消去する(図4のステップS27)。すなわち、通信異常テーブルT2の未定義ID異常のID欄から、送信元のローカルECU2のIDを消去する。

そして、セキュリティ切替部23が、セキュリティ復帰処理を実行する(図4のステップS28)。このとき、セキュリティ切替部23は、セキュリティ動作を通常時の状態に復帰させる。つまり、情報を受信する際のフィルタリングレベルが通常レベルに戻される。この後、制御部21が、送信元のローカルECU2からゲートウェイECU1を介して受信した情報に基づいて、制御対象の車載機器の制御を実行する(図4のステップS29)。

その後、再び送信元のローカルECU2から情報が送信される(図4のステップS1)。すると、該情報がゲートウェイECU1の受信部17により受信され(図4のステップS2:YES)、異常検出部12が、該情報に基づいて異常検出処理を実行する(図4のステップS3)。このとき、異常検出部12が異常を検出しなければ(図4のステップS4:NO)、制御部11が、記憶部15に送信元のローカルECU2の異常記録が記憶されているか否かを判断する(図4のステップS9)。

たとえば、図4のステップS2で受信した情報の送信元のローカルECU2のIDと一致するIDが、通信異常テーブルT1の「該当ECUID」の欄に有れば、制御部11は、送信元のローカルECU2の異常記録は記憶されていると判断する(図4のステップS9:YES)。この場合、制御部11は、送信元のローカルECU2から再度受信した情報に基づいて、異常が無いことを検出したので、送信元のローカルECU2の異常が解消したと判断し、該当する送信元のローカルECU2の異常記録を消去する(図4のステップS10)。

次に、異常通知部13が、1回目の異常解消通知処理を実行する(図4のステップS11)。このとき、異常通知部13は、前に異常メッセージを通知したローカルECU2に対して、該異常が解消したことを示す異常解消メッセージを送信部18により通知する。

図6(b)に示す情報は、ゲートウェイECU1がローカルECU2に対して通知する異常解消メッセージである。この異常解消メッセージには、ゲートウェイECU1のID、検出対象のローカルECU2のID、異常無しの検出結果、および異常解消の検出結果などが含まれている。解消した異常の種類も、異常解消メッセージに含めてもよい。

1回目の異常解消通知処理を実行してから所定時間経過後に、異常通知部13は、2回目の異常解消通知処理を実行する(図4のステップS12)。この2回目の異常解消通知処理は、上述した1回目の異常解消通知処理と同様である。このため、たとえば、1回目の異常解消通知処理で、異常解消メッセージがローカルECU2に送信された場合は、2回目の異常解消通知処理でも、同一の異常解消メッセージがローカルECU2に送信される。他の例として、各回の異常解消通知処理で通知される異常解消メッセージに、何回目の通知であるかを示す情報を含めてもよい。

その後、ゲートウェイ部14が、通常時のゲートウェイ処理を実行する(図4のステップS13)。これにより、送信元のローカルECU2から受信した情報が、ゲートウェイ部14によりフィルタリング処理されて、受信側のローカルECU2に送信され、または非送信とされる。

受信側のローカルECU2では、たとえば、前述したゲートウェイECU1の1回目または2回目の異常解消通知処理により、ゲートウェイECU1から送信された異常解消メッセージを、受信部27により受信する(図4のステップS34:YES)。すると、制御部21が、該異常解消メッセージに基づいて、送信元のローカルECU2に関する異常(不正情報異常)が解消されたと判断する。そして、制御部21は、記憶部25に記憶された通信異常テーブルT2(図9)の、送信元のローカルECU2の異常記録(ID)を消去する(図4のステップS35)。具体的には、通信異常テーブルT2の不正情報異常のID欄から、送信元のローカルECU2のIDを消去する。

それから、セキュリティ切替部23が、セキュリティ復帰処理を実行する(図4のステップS36)。このとき、セキュリティ切替部23は、セキュリティ動作を通常時の状態に復帰させる。つまり、セキュリティ動作を、今回解消された異常の種類を示した異常メッセージが通知される前の状態に戻す。

また、受信側のローカルECU2では、ゲートウェイECU1による通常時のゲートウェイ処理(図4のステップS13)により送信(中継)された情報を、受信部27により受信する。そして、制御部21が、必要な情報を受信したと判断すると(図4のステップS21:YES)、前述した手順で、図4のステップS22〜ステップS29の処理が実行される。

以上の実施形態によると、ゲートウェイECU1が、いずれかのローカルECU2から受信した情報に基づいて異常および該異常の種類を検出し、該異常の種類に応じて、他のローカルECU2に異常の種類を通知する。また、ゲートウェイECU1が、異常の種類に応じて、受信した情報を他のローカルECU2に送信する。そして、ローカルECU2が、ゲートウェイECU1から通知された異常の種類に応じて、セキュリティ動作などの制御を実行し、また、他のローカルECU2からゲートウェイECU1を介して受信した情報に基づいて、制御対象の制御を実行する。

このため、ゲートウェイECU1を介したローカルECU2間の通信時に、発生した異常の種類に応じて、ゲートウェイECU1およびローカルECU2を適切に動作させて、ローカルECU2間の通信性およびローカルECU2の安全性を確保することができる。また、ゲートウェイECU1が、異常の検出に応じてローカルECU2に対する制御を行うのではなく、ローカルECU2が、通知された異常の種類に応じて自ら制御を行う。つまり、ローカルECU2が、ゲートウェイECU1から通知される異常の種類に応じて、自身の振る舞いを判断して、自発的に動作するので、ゲートウェイECU1の負担を軽減することができる。

また、以上の実施形態では、ゲートウェイECU1を介したローカルECU2間の通信時の異常の種類に応じて、情報が必要なローカルECU2だけでなく、他の各ローカルECU2にも、異常の種類を通知する。このため、これら各ローカルECU2を、車載通信システム100で生じた異常の種類に応じて適切に動作させることができる。また、ゲートウェイECU1が、異常情報送信元のローカルECU2以外の全てのローカルECU2に対して、異常の種類を通知するので、通知先を特定のローカルECU2に設定する場合より、ゲートウェイECU1の負担を軽減することができる。

また、以上の実施形態では、ローカルECU2が、ゲートウェイECU1から通知された異常の種類に応じて、セキュリティ動作を切り替える。このため、情報の送信元のローカルECU2において生じた異常の種類に応じて、各ローカルECU2の通信時のセキュリティ動作を適切に切り替えて、通信の安全性をより向上させることができる。

また、以上の実施形態では、異常情報送信元のローカルECU2から再度受信した情報に基づいて、異常検出部12により異常を検出しなかった場合に、異常の種類を通知したローカルECU2に対して、異常通知部13により異常の解消を通知する。ローカルECU2は、ゲートウェイECU1から異常の解消が通知されたことに応じて、異常の種類が通知される前の制御状態に復帰する。このため、ローカルECU2間の通信の異常が解消した時に、各ローカルECU2を通常の制御状態に復帰させて、ローカルECU2間の通信性を向上させることができる。また、ローカルECU2で異常時のセキュリティ動作を実行すると、ローカルECU2の処理負担が大きくなるが、以上の実施形態では、異常が解消したときに、ローカルECU2が通常の制御状態に復帰するので、ローカルECU2の処理負担を軽減することができる。

また、以上の実施形態では、ゲートウェイECU1の異常通知部13が、異常通知処理および異常解消通知処理を、所定の周期でそれぞれ複数回実行する。このため、異常の種類を含んだ異常メッセージおよび異常解消メッセージを、通知先のローカルECU2に確実に通知して、該ローカルECU2において適切に制御を実行させることができる。

また、以上の実施形態では、ゲートウェイECU1の異常検出部12が、DOS攻撃のような周期異常を検出すると、受信した情報を破棄する。このため、周期異常によりゲートウェイECU1に大量の情報が送り込まれても、ゲートウェイECU1が高負荷状態になるのを抑制して、ゲートウェイECU1を介した他のローカルECU2間の通信を可能にし、該ローカルECU2で適切に制御を実行させることができる。

また、以上の実施形態では、ゲートウェイECU1の異常検出部12が、異常の種類として、未定義ID異常を検出した場合、異常通知部13は、該未定義ID異常を各ローカルECU2に通知しないが、ゲートウェイ部14が、該未定義のIDを含んだ情報を受信側のローカルECU2に送信する。そして、ローカルECU2は、ゲートウェイECU1から受信した情報に基づいて、未定義のIDと未定義ID異常を検出すると、以後、該未定義のIDを含んだ受信情報を処理の対象外とする。つまり、送信元のローカルECU2から受信した情報に、ゲートウェイECU1で未定義のIDが含まれていても、該情報をゲートウェイECU1により受信側のローカルECU2に送信するので、通信性を確保することができる。また、ローカルECU2では、送信元のローカルECU2からゲートウェイECU1を介して受信した情報に、ローカルECU2で未定義のIDが含まれていると、以後、該未定義のIDを含んだ受信情報を処理の対象外とするので、ローカルECU2の安全性を確保することができる。さらに、車載通信システム100の各ネットワーク上あり得ない不正な装置から送信された情報が、各ローカルECU2で処理の対象外として扱われるので、ゲートウェイECU1の負担を軽減することができる。

さらに、以上の実施形態では、ゲートウェイECU1の異常検出部12が、異常の種類として、不正情報異常を検出した場合、異常通知部13が、該不正情報異常と該異常の検出対象(送信元)のローカルECU2のIDとを含んだ異常メッセージを各ローカルECU2に通知する。また、ゲートウェイ部14が、送信元のローカルECU2から受信した情報を、受信側のローカルECU2に送信する。そして、ローカルECU2は、ゲートウェイECU1から受信した異常メッセージに含まれる検出対象のローカルECU2のIDを不正なIDとして記憶し、以後、該不正なIDを含んだ情報の受信時に、該情報の認証を行い、該認証が成功すると、該情報に基づいて制御を実行する。つまり、送信元のローカルECU2から受信した情報が不正な情報であっても、該情報が異常メッセージとともに、ゲートウェイECU1により受信側のローカルECU2に送信されるので、通信性を確保することができる。また、ローカルECU2では、ゲートウェイECU1から通知された異常メッセージにより不正なIDを検出し、以後、該不正なIDを含んだ情報を受信しても、該情報の認証を行って、該認証が成功したときにだけ、該情報に基づいて制御を実行するので、ローカルECU2および制御対象の車載機器の安全性を確保することができる。さらに、車載通信システム100のネットワーク上のローカルECU2になりすました不正な装置から送信された不正な情報に対して、各ローカルECU2で認証して、信頼性のある情報であるか否かを判別するので、ゲートウェイECU1の負担を軽減することができる。

本発明は、上述した以外にも種々の実施形態を採用することができる。たとえば、以上の実施形態では、ゲートウェイECU1で検出した異常の種類に応じて、該異常が検出されたローカルECU2以外の各ローカルECU2に、異常の種類を含んだ異常メッセージを通知した例を示したが、本発明はこれのみに限定されるものではない。これ以外に、たとえば、ゲートウェイECUが、いずれかのローカルECUからの受信情報に基づいて検出した異常の種類に応じて、該受信情報が必要なローカルECUに対してだけ、異常メッセージを通知してもよい。また、異常検出部が検出した異常の種類に応じて、異常情報送信元のローカルECUまたは異常情報が必要なローカルECUと同一のネットワークにあるローカルECUなどのような、特定のローカルECUに対して、異常メッセージを通知してもよい。さらに、異常情報送信元のローカルECUに対しても、異常メッセージを通知してもよい。つまり、異常メッセージは、少なくとも異常情報が必要なローカルECUに通知すればよい。また、異常解消メッセージは、異常メッセージの通知先と同一の通知先に通知すればよい。

また、以上の実施形態では、ゲートウェイECU1が、異常通知処理と異常解消通知処理をそれぞれ所定の周期で2回実行した例を示したが、本発明はこれのみに限定されるものではない。異常通知処理と異常解消通知処理は、それぞれ1回だけ実行してもよいし、3回以上実行してもよい。つまり、異常の種類などを含んだ異常メッセージと、異常の解消を示す異常解消メッセージの通知回数は、1回以上であればよい。異常通知処理と異常解消通知処理の実行回数を少なくすると、ゲートウェイECU1の処理負担を軽減することができる。また、異常通知処理と異常解消通知処理の実行回数を多くすると、異常メッセージや異常解消メッセージの通知回数が多くなるので、通知先のローカルECUでの受信性を向上させることができる。

また、以上の実施形態では、ゲートウェイECU1が受信側のローカルECU2に対して、異常・異常解消のメッセージと、中継する情報とを、別々に送信した例を示したが、本発明はこれのみに限定されるものではない。これ以外に、たとえば、ゲートウェイECU1が、検出した異常の種類に応じて、異常・異常解消のメッセージと中継する情報とを送信する場合には、異常・異常解消のメッセージと中継する情報とをまとめて、受信側のローカルECU2に送信してもよい。

また、以上の実施形態では、ローカルECU2が、ゲートウェイECU1から通知された異常の種類に応じて、セキュリティ動作を切り替えた例を示したが、本発明はこれのみに限定されるものではない。これ以外に、たとえば、ローカルECU2が、ゲートウェイECU1から通知された異常の種類に応じて、セキュリティ動作以外の制御や、制御対象の車載機器の制御を切り替えてもよい。

また、以上の実施形態では、ゲートウェイECU1の異常検出部12が、周期異常、未定義ID異常、または不正情報異常を検出した例を示したが、本発明はこれのみに限定されるものではない。これらの異常とその他の通信上の異常のうち、少なくとも2つ以上を、異常検出部12で検出すればよい。そして、その異常の種類に応じたゲートウェイECU1の動作(異常通知処理、異常解消通知処理、およびゲートウェイ処理など)や、ローカルECU2の動作(セキュリティ切替および車載機器制御など)を、予め設定しておけばよい。

また、以上の実施形態では、受信側のローカルECU2のうち、送信元のローカルECU2から送信された情報が必要なローカルECU2が、該情報をゲートウェイECU1を介して受信して、該情報に基づいて異常の有無を検出した例を示したが(図4のステップS21〜S23)、本発明はこれのみに限定されるものではない。これ以外に、たとえば、受信側の各ローカルECU2が、送信元のローカルECU2からゲートウェイECU1を介して情報を受信したときに、該情報の要否にかかわらず、該情報に基づいて異常の有無を検出してもよい。この場合、異常の有無の検出後に、該検出結果に基づいて、図4のステップS24〜S28のような、異常の内容の記録処理、異常記録の確認処理、およびセキュリティ切替処理などを実行すればよい。またこの後、受信側の各ローカルECU2が、前記受信情報が制御対象の車載機器の制御に必要な情報であるか否かを判断し、必要な情報ならば、該情報に基づいて制御対象の車載機器の制御を実行し(図4のステップS29)、不要な情報ならば、制御対象の車載機器の制御を実行せずに、該情報を破棄すればよい。また、他の例として、ゲートウェイECU1を介さない、ローカルECU2間の通信時に、情報の送信元のローカルECU2から受信した情報に基づいて、受信側のローカルECU2が異常を検出し、該異常の種類に応じてセキュリティ切替などの制御を行ってもよい。さらに、ローカルECU2が検出する異常は、未定義ID異常に限らず、DOS攻撃のような周期異常、不正情報異常、またはその他の異常であってもよい。

また、以上の実施形態では、ゲートウェイECU1が送信元のローカルECU2から受信した情報を中継(転送)する場合、該情報を他の全てのローカルECU2が受信可能なように送信した例を示したが、本発明はこれのみに限定されるものではない。これ以外に、たとえば、送信元のローカルECUが送信する情報(図5)に、該情報の送信先(宛先)のローカルECUまたはネットワークを示すデータ(IDやポートやバスなどの識別情報)を含めておき、送信元のローカルECUから情報を受信したゲートウェイECUが、該情報に含まれる送信先のデータに基づいて、送信先のローカルECUまたはネットワークだけに情報を送信(転送)してもよい。

また、以上の実施形態では、通信管理装置としてゲートウェイECU1を用い、車両制御装置としてローカルECU2を用いた例を示したが、本発明はこれのみに限定されるものではない。その他の通信可能な装置を通信管理装置や車両制御装置として用いてもよい。

さらに、以上の実施形態では、自動四輪車から成る車両30に搭載される車載通信システム100に、本発明を適用した例を挙げた。然るに、たとえば自動二輪車や大型自動車などの他の車両に搭載される車載通信システムに対しても、本発明は適用が可能である。

1 ゲートウェイECU(通信管理装置) 2、2₍₁₎〜2₍₁₀₎ ローカルECU(車両制御装置) 12 異常検出部 13 異常通知部 14 ゲートウェイ部(送信制御部) 30 車両 100 車載通信システム