[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP7031568B2 - In-vehicle network system - Google Patents

In-vehicle network system Download PDF

Info

Publication number
JP7031568B2
JP7031568B2 JP2018223376A JP2018223376A JP7031568B2 JP 7031568 B2 JP7031568 B2 JP 7031568B2 JP 2018223376 A JP2018223376 A JP 2018223376A JP 2018223376 A JP2018223376 A JP 2018223376A JP 7031568 B2 JP7031568 B2 JP 7031568B2
Authority
JP
Japan
Prior art keywords
vehicle
communication
control device
network system
ecu
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018223376A
Other languages
Japanese (ja)
Other versions
JP2020088717A (en
Inventor
宏憲 白井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2018223376A priority Critical patent/JP7031568B2/en
Publication of JP2020088717A publication Critical patent/JP2020088717A/en
Application granted granted Critical
Publication of JP7031568B2 publication Critical patent/JP7031568B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本開示は、車載ネットワークシステムに関する。 The present disclosure relates to an in-vehicle network system.

特許文献1に記載の車両データ取得装置は、車両の停止中において、車両ネットワーク接続部と車両ネットワークとを接続状態にし、車両の走行中において、車両ネットワーク接続部と車両ネットワークとを切断状態にする。これにより、上記車両データ取得装置は、通信負荷が相対的に低い停車中において車両データを取得し、通信負荷が相対的に高い走行中において通信負荷の増大を抑制している。 The vehicle data acquisition device described in Patent Document 1 connects a vehicle network connection portion and a vehicle network while the vehicle is stopped, and disconnects the vehicle network connection portion and the vehicle network while the vehicle is running. .. As a result, the vehicle data acquisition device acquires vehicle data while the vehicle is stopped with a relatively low communication load, and suppresses an increase in the communication load during traveling with a relatively high communication load.

特開2015-101114号公報Japanese Unexamined Patent Publication No. 2015-101114

近年、車両に搭載する制御装置の増加に伴い、車載ネットワークシステムの通信負荷の制御だけでは不十分と考えられ、制御装置の追加やネットワーク構成の変更が可能な柔軟性の高い車載ネットワークシステムが望まれている。しかしながら、車載ネットワークシステムの柔軟性を高くすると、悪意のある制御装置が車載ネットワークシステムに参加しやすくなるため、車載ネットワークシステムの安全性が低下するおそれがある。 In recent years, with the increase in the number of control devices mounted on vehicles, it is considered insufficient to control the communication load of the in-vehicle network system, and a highly flexible in-vehicle network system that can add control devices and change the network configuration is desired. It is rare. However, if the flexibility of the vehicle-mounted network system is increased, a malicious control device can easily participate in the vehicle-mounted network system, which may reduce the safety of the vehicle-mounted network system.

本開示は、上記実情に鑑みてなされたものであり、柔軟性と安全性を両立した車載ネットワークシステムを提供することを目的とする。 The present disclosure has been made in view of the above circumstances, and an object of the present disclosure is to provide an in-vehicle network system having both flexibility and safety.

本開示の一態様は、車両に搭載された車載ネットワークシステム(500)であって、コントローラ(50)と、複数のスイッチ(51,52,53)と、制御装置群(11~13,21~25)と、を備える。コントローラは、オープンフロープロトコルに従って車載ネットワークシステムを制御する。複数のスイッチは、コントローラに第1通信線(70)を介して接続され、コントローラからの指示に応じて処理を実行する。複数のスイッチは、互いに異なるスイッチ間は、Ethernet(登録商標)プロトコルに従った第2通信線(80)で接続されている。制御装置群は、複数の制御装置を含み、複数のスイッチのそれぞれに第3通信線(100,200,300)を介して接続されている。コントローラは、車両の電源状態がイグニッションオンの場合に、車両の走行中は、車両の停止中よりも、制御装置間における通信ルートの再構築の制限を多くする。 One aspect of the present disclosure is an in-vehicle network system (500) mounted on a vehicle, which includes a controller (50), a plurality of switches (51, 52, 53), and a group of control devices (11 to 13, 21 to 11). 25) and. The controller controls the in-vehicle network system according to the OpenFlow protocol. The plurality of switches are connected to the controller via the first communication line (70), and perform processing in response to an instruction from the controller. The plurality of switches are connected to each other by a second communication line (80) according to the Ethernet (registered trademark) protocol. The control device group includes a plurality of control devices, and is connected to each of the plurality of switches via a third communication line (100, 200, 300). When the power state of the vehicle is the ignition on, the controller limits the reconstruction of the communication route between the control devices more while the vehicle is running than when the vehicle is stopped.

本開示の車載ネットワークシステムによれば、オープンフロープロトコルが用いられているため、制御装置の追加などに柔軟に対応することができる。一方、通常、制御装置の追加などは、イグニッションオンの車両の停車中に行われ走行中には行われない。よって、走行中における通信ルートの再構築の要求は、停車中における通信ルートの再構築の要求と比べて、悪意のある制御装置からの要求である可能性が高くなる。そのため、コントローラは、走行中において、停止中よりも通信ルートの再構築の制限を多くする。これにより、車載ネットワークシステムの安全性、ひいては車両の安全性を向上させることができる。したがって、柔軟性と安全性を両立した車載ネットワークシステムを実現することができる。 According to the in-vehicle network system of the present disclosure, since the open flow protocol is used, it is possible to flexibly cope with the addition of a control device and the like. On the other hand, normally, the addition of the control device is performed while the ignition-on vehicle is stopped and not while the vehicle is running. Therefore, the request for reconstructing the communication route while traveling is more likely to be a request from a malicious control device than the request for reconstructing the communication route while the vehicle is stopped. Therefore, the controller imposes more restrictions on the reconstruction of the communication route while the vehicle is running than when it is stopped. As a result, the safety of the in-vehicle network system and, by extension, the safety of the vehicle can be improved. Therefore, it is possible to realize an in-vehicle network system that has both flexibility and safety.

車載ネットワークシステムの構成を示す図である。It is a figure which shows the structure of an in-vehicle network system. コントローラが実行する通信ルートの再構築処理を示すフローチャートである。It is a flowchart which shows the reconstruction process of a communication route executed by a controller. 車両の停止中において、新規ECUの加入要求を受け入れる一例を示す図である。It is a figure which shows an example which accepts the addition request of a new ECU while the vehicle is stopped. 車両の走行中において、新規ECUの加入を拒否する一例を示す図である。It is a figure which shows an example which refuses to join a new ECU while a vehicle is running. 安全に関わるECUからの通信ルートの変更の要求を受け入れる一例を示す図である。It is a figure which shows an example which accepts the request of the communication route change from the ECU related to safety. 安全に関わるECUからの通信ルートの変更の要求を受け入れて通信ルートを再構築する手順を示すシーケンス図である。It is a sequence diagram which shows the procedure of accepting the request of the communication route change from the ECU related to safety, and reconstructing a communication route. 安全に関わらないECUからの通信ルートの変更の要求を拒否する一例を示す図である。It is a figure which shows an example which rejects a request of a communication route change from an ECU which is not concerned with safety. 安全に関わらないECUからの安全に関わるECUが関係しない通信ルートの変更要求を受け入れる一例を示す図である。It is a figure which shows an example which accepts the change request of the communication route which is not related to safety from the ECU which is not related to safety. 外部装置が新規加入を要求する一例を示す図である。It is a figure which shows an example which an external device requests a new subscription. 従来の車載ネットワークシステムの構成を示す図である。It is a figure which shows the structure of the conventional in-vehicle network system.

以下、図面を参照しながら、本開示を実施するための形態を説明する。
<1.構成>
まず、本実実施形態に係る車載ネットワークシステム(以下、ネットワークシステム)500の構成について、図1を参照して説明する。
Hereinafter, embodiments for carrying out the present disclosure will be described with reference to the drawings.
<1. Configuration>
First, the configuration of the in-vehicle network system (hereinafter, network system) 500 according to the present embodiment will be described with reference to FIG.

ネットワークシステム500は、コントローラ50と、第1~第3スイッチ51~53と、ECU11~13と、ECU21~25と、を備える。
コントローラ50は、CPU、ROM、RAM、半導体メモリ等の記憶部、及びI/O等を備えた、オープンフロープロトコルにおけるコントローラとして機能する。コントローラ50は、オープンフロープロトコルに従ってネットワークシステム500を制御する。
The network system 500 includes a controller 50, first to third switches 51 to 53, ECUs 11 to 13, and ECUs 21 to 25.
The controller 50 functions as a controller in an open flow protocol including a storage unit such as a CPU, ROM, RAM, and semiconductor memory, and I / O and the like. The controller 50 controls the network system 500 according to the OpenFlow protocol.

第1~第3スイッチ51~53は、CPU、ROM、RAM、半導体メモリ等の記憶部、及びI/O等を備え、オープンフロープロトコルにおけるスイッチとして機能する。第1~第3スイッチ51~53は、コントローラ50からの指令に応じて処理を実行する。コントローラ50と、第1~第3スイッチ51~53のそれぞれとは、フローコントロール用通信線70によって接続されている。これにより、コントローラ50と第1~第3スイッチ51~53との間で、オープンフロープロトコルに従ったオープンフローメッセージの送受信が行われる。本実施形態では、フローコントロール用通信線70が第1通信線に相当する。 The first to third switches 51 to 53 include a storage unit such as a CPU, ROM, RAM, and semiconductor memory, an I / O, and the like, and function as a switch in an open flow protocol. The first to third switches 51 to 53 execute processing in response to a command from the controller 50. The controller 50 and each of the first to third switches 51 to 53 are connected by a flow control communication line 70. As a result, the OpenFlow message is transmitted and received between the controller 50 and the first to third switches 51 to 53 according to the OpenFlow protocol. In the present embodiment, the flow control communication line 70 corresponds to the first communication line.

また、第1スイッチ51と第2スイッチ52との間、第1スイッチ51と第3スイッチ53との間、第2スイッチ52と第3スイッチ53との間は、それぞれ、Ethernet通信線80によって接続されている。Ethernet通信線80は、Ethernetプロトコルに従ったフレームを送信するための通信線である。なお、Ethernetは登録商標である。本実施形態では、Ethernet通信線80が第2通信線に相当する。 Further, the first switch 51 and the second switch 52, the first switch 51 and the third switch 53, and the second switch 52 and the third switch 53 are connected by an Ethernet communication line 80, respectively. Has been done. The Ethernet communication line 80 is a communication line for transmitting a frame according to the Ethernet protocol. Ethernet is a registered trademark. In this embodiment, the Ethernet communication line 80 corresponds to the second communication line.

ECU11~13及びECU21~25は、エンジンECU,ブレーキECU、自動運転ECU、エアコンECU、車内ランプECU、メータECUなど、それぞれ異なる制御を実行する制御装置である。 The ECUs 11 to 13 and the ECUs 21 to 25 are control devices that execute different controls such as an engine ECU, a brake ECU, an automatic operation ECU, an air conditioner ECU, an in-vehicle lamp ECU, and a meter ECU.

ECU11~13及びECU21~25は、車両における搭載位置に応じて、ECU11,21,22の第1制御装置群と、ECU12,23,24の第2制御装置群と、ECU13,25の第3制御装置群とに分けられている。各制御装置群には、互いに搭載位置が近いECUが属している。 The ECUs 11 to 13 and the ECUs 21 to 25 include the first control device group of the ECUs 11 and 21, 22 and the second control device group of the ECUs 12, 23 and 24, and the third control of the ECUs 13 and 25 according to the mounting position in the vehicle. It is divided into a group of devices. ECUs whose mounting positions are close to each other belong to each control device group.

また、ECU11~13及びECU21~25は、それぞれ、機能安全における重要度に基づいてランク付けされている。そして、コントローラ50は、付けられているランクに基づいて、ECU11~13及びECU21~25を、走行安全に関わるドメイン1と、走行安全に関わらないドメイン2とに分類する。ドメイン1には、例えば、エンジンECUやブレーキECU、自動運転ECUが属する。ドメイン2には、例えば、エアコンECUや車内ランプECU、メータECUが属する。本実施形態では、ECU11~13はドメイン1に属し、ECU21~25はドメイン2に属する。また、ドメイン1に属するECU11~13が第1制御装置に相当し、ドメイン2に属するECU21~25が第2制御装置に相当する。 Further, ECUs 11 to 13 and ECUs 21 to 25 are each ranked based on their importance in functional safety. Then, the controller 50 classifies the ECUs 11 to 13 and the ECUs 21 to 25 into a domain 1 related to driving safety and a domain 2 not related to driving safety based on the assigned rank. For example, an engine ECU, a brake ECU, and an automatic driving ECU belong to domain 1. For example, the air conditioner ECU, the in-vehicle lamp ECU, and the meter ECU belong to the domain 2. In this embodiment, ECUs 11 to 13 belong to domain 1, and ECUs 21 to 25 belong to domain 2. Further, the ECUs 11 to 13 belonging to the domain 1 correspond to the first control device, and the ECUs 21 to 25 belonging to the domain 2 correspond to the second control device.

第1制御装置群のECU11,21,22は、CAN通信線100によって第1スイッチ51に接続されている。CAN通信線は、CANプロトコルに従ったフレームを送信するための通信線である。なお、CANは登録商標である。第2制御装置群のECU12,23,24は、Ethernet通信線200によって第2スイッチ52に接続されている。第3制御装置群のECU13,25は、Ethernet通信線300によって第3スイッチ53に接続されている。本実施形態では、CAN通信線100、Ethernet通信線200,300が第3通信線に相当する。 The ECUs 11, 1, 2 and 22 of the first control device group are connected to the first switch 51 by the CAN communication line 100. The CAN communication line is a communication line for transmitting a frame according to the CAN protocol. CAN is a registered trademark. The ECUs 12, 23, and 24 of the second control device group are connected to the second switch 52 by the Ethernet communication line 200. The ECUs 13 and 25 of the third control device group are connected to the third switch 53 by the Ethernet communication line 300. In this embodiment, the CAN communication line 100 and the Ethernet communication lines 200 and 300 correspond to the third communication line.

すなわち、ネットワークシステム500は、EthernetネットワークとCANネットワークとが混在したネットワークシステムにオープンフロープロトコルを適用して構成されている。このように、ネットワークシステム500にオープンフロープロトコルを適用することにより、ネットワークシステム500に対するECUの追加や変更が容易になり、通信ルートの再構築を柔軟に実行できるようになっている。さらに、コントローラ50が、通信ルートの構築を適切に制御することにより、ネットワークシステム500の安全性も担保することができるようになっている。 That is, the network system 500 is configured by applying the OpenFlow protocol to a network system in which an Ethernet network and a CAN network are mixed. As described above, by applying the OpenFlow protocol to the network system 500, it becomes easy to add or change the ECU to the network system 500, and it is possible to flexibly reconstruct the communication route. Further, the controller 50 can ensure the safety of the network system 500 by appropriately controlling the construction of the communication route.

一方、オープンフロープロコルを適用していないネットワークシステム510を図10に示す。ネットワークシステム510では、第1制御装置群のECU11,21,22が、CAN信号線110によってEthernet_ECU151に接続されている。また、第2制御装置群のECU12,23,24が、Ethernet通信線210によってEthernet_ECU152に接続されている。また、第3制御装置群のECU13,25が、Ethernet通信線310によってEthernet_ECU153に接続されている。そして、Ethernet_ECU151~153は、互いにEthernet通信線170によって接続されている。Ethernet_ECU151~153は、Ethernetフレームを中継する中継装置として機能する。 On the other hand, FIG. 10 shows a network system 510 to which the OpenFlow Procol is not applied. In the network system 510, the ECUs 11, 1, 22 of the first control device group are connected to the Ethernet_ECU 151 by the CAN signal line 110. Further, the ECUs 12, 23, and 24 of the second control device group are connected to the Ethernet_ECU 152 by the Ethernet communication line 210. Further, the ECUs 13 and 25 of the third control device group are connected to the Ethernet_ECU 153 by the Ethernet communication line 310. The Ethernet_ECUs 151 to 153 are connected to each other by the Ethernet communication line 170. The Ethernet_ECUs 151 to 153 function as a relay device that relays the Ethernet frame.

ネットワークシステム510に採用できるルールとして、静的ルーティングと動的ルーティングがある。静的ルーティングは、ネットワークシステム510の全ECUに固定アドレスを割り振り、全ECUに固定アドレスを記憶させるとともに、ルーティング経路を事前に記憶させる。動的ルーティングは、Ethernetプロトコルに従い、各ECUが個別に情報を収集して、動的にネットワークを構築する。 There are static routing and dynamic routing as rules that can be adopted in the network system 510. In static routing, fixed addresses are assigned to all ECUs of the network system 510, fixed addresses are stored in all ECUs, and routing routes are stored in advance. In dynamic routing, each ECU collects information individually according to the Ethernet protocol to dynamically construct a network.

ネットワークシステム510に静的ルーティングを採用した場合、悪意のあるECUがなりすましで参加することが困難なため、ネットワークシステム510の安全性が高くなる。しかしながら、ECUを変更したり新規ECUを追加したりする場合に、他のECUに記憶されているルーティング経路等を書き換える必要があるため、手間がかかり、ネットワークシステム510の柔軟性が低くなる。 When static routing is adopted for the network system 510, it is difficult for a malicious ECU to participate by spoofing, so that the security of the network system 510 is increased. However, when the ECU is changed or a new ECU is added, it is necessary to rewrite the routing route or the like stored in the other ECU, which is troublesome and reduces the flexibility of the network system 510.

また、ネットワークシステム510に動的ルーティングを採用した場合、ECUの変更や新規ECUの追加が容易で、ネットワークシステム510の柔軟性が高くなる。しかしながら、ネットワークシステム510に容易に悪意のあるECUが参加できるため、ネットワークシステム510の安全性が低くなる。すなわち、ネットワークシステム510は、ネットワークシステム500とは異なり、安全性と柔軟性とを両立させることが困難である。 Further, when the dynamic routing is adopted for the network system 510, it is easy to change the ECU or add a new ECU, and the flexibility of the network system 510 is increased. However, since a malicious ECU can easily participate in the network system 510, the safety of the network system 510 is lowered. That is, unlike the network system 500, it is difficult for the network system 510 to achieve both safety and flexibility.

<2.処理>
次に、コントローラ50が実行する通信ルートの再構築処理について、図2のフローチャートを参照して説明する。コントローラ50は、電源状態がイグニッションオンのときだけでなく、イグニッションオフのときにも、車載バッテリから電力の供給を受けて、通信ルートの再構築処理を実行する。
<2. Processing>
Next, the process of reconstructing the communication route executed by the controller 50 will be described with reference to the flowchart of FIG. The controller 50 receives power from the vehicle-mounted battery and executes the communication route reconstruction process not only when the power state is the ignition on but also when the ignition is off.

まず、S10では、コントローラ50は、ネットワークシステム500の状態を収集する。具体的には、コントローラ50は、第1~第3スイッチ51~53へ、情報取得用のオープンフローメッセージを送信する。第1~第3スイッチ51~53は、コントローラ50から情報取得用のオープンフローメッセージを取得すると、要求に応じた情報を含むオープンフローメッセージを、コントローラ50へ送信する。コントローラ50は、収集したネットワーク状態に応じて、通信ルートを構築する。 First, in S10, the controller 50 collects the state of the network system 500. Specifically, the controller 50 transmits an information acquisition open flow message to the first to third switches 51 to 53. When the first to third switches 51 to 53 acquire the information acquisition open flow message from the controller 50, the first to third switches 51 to 53 transmit the open flow message including the information according to the request to the controller 50. The controller 50 builds a communication route according to the collected network state.

続いて、S20では、コントローラ50は、ECU11~13及びECU21~26からの通信ルートの再構築要求を待つ。
続いて、S30では、コントローラ50は、第1~第3スイッチ51~53を介して、ECU11~13及びECU21~26から通信ルートの再構築要求があるか否か判定する。再構築要求がない場合には、S10の処理へ戻り、再構築要求がある場合には、S40の処理へ進む。
Subsequently, in S20, the controller 50 waits for a request for reconstructing the communication route from the ECUs 11 to 13 and the ECUs 21 to 26.
Subsequently, in S30, the controller 50 determines whether or not there is a communication route reconstruction request from the ECUs 11 to 13 and the ECUs 21 to 26 via the first to third switches 51 to 53. If there is no reconstruction request, the process returns to S10, and if there is a reconstruction request, the process proceeds to S40.

S40では、コントローラ50は、再構築要求を受け付けるか否か判定する。コントローラ50がどのような再構築要求も受け付けてしまうと、悪意のあるECUが容易にネットワークシステム500に参加できることになり、ネットワークシステム500の安全性が低下する。ひいては、車両の走行安全性が低下する可能性がある。一方、コントローラ50がどのような再構築要求も拒否してしまうと、ネットワークシステム500の柔軟性が低下する。 In S40, the controller 50 determines whether or not to accept the reconstruction request. If the controller 50 accepts any reconstruction request, the malicious ECU can easily participate in the network system 500, and the safety of the network system 500 is lowered. As a result, the driving safety of the vehicle may be reduced. On the other hand, if the controller 50 rejects any restructuring request, the flexibility of the network system 500 is reduced.

そこで、コントローラ50は、ネットワークシステム500の安全性と柔軟性の両方を考慮して、所定のルールを用いて、再構築要求を受け付けるか否か判定する。具体的には、コントローラ50は、車両の電源状態、すなわち、イグニッションオフでバッテリ電源状態か、イグニッションオン状態かを認識する。そして、電源状態がイグニッションオンの場合に、車両の走行中は、車両の停止中よりも、通信ルートの再構築の制限を多くする。 Therefore, the controller 50 determines whether or not to accept the reconstruction request by using a predetermined rule in consideration of both the safety and flexibility of the network system 500. Specifically, the controller 50 recognizes the power state of the vehicle, that is, whether the ignition is off and the battery power state or the ignition is on. Then, when the power state is the ignition on, the restriction on the reconstruction of the communication route is increased while the vehicle is running than when the vehicle is stopped.

また、ドメイン2に属するECU21~25からの再構築要求に対しては、ドメイン1に属するECU11~13からの再構築要求に対してよりも、通信ルートの再構築の制限を多くする。 Further, for the reconstruction request from the ECUs 21 to 25 belonging to the domain 2, the restriction on the reconstruction of the communication route is increased as compared with the reconstruction request from the ECUs 11 to 13 belonging to the domain 1.

また、ドメイン1に属するECU11~13に関係する通信ルートの再構築要求に対しては、ドメイン1に属するECU11~13に関係しない通信ルートの再構築要求に対してよりも、通信ルートの再構築の制限を多くする。 Further, in response to a request for reconstructing a communication route related to ECUs 11 to 13 belonging to domain 1, reconstruction of a communication route is performed rather than in response to a request for reconstructing a communication route not related to ECUs 11 to 13 belonging to domain 1. Increase the restrictions.

また、コントローラ50は、ECU11~13及びECU21~25を、外部に通信で繋がるECUと、外部に通信で繋がらないECUとに分類する。外部に通信で繋がるECUは、例えば、外部の情報センターと通信を行うデータコミュニケーションモジュール(すなわち、DCM)などである。そして、外部に通信で繋がるECUからの再構築要求に対しては、外部に通信で繋がらないECUからの再構築要求に対してよりも、再構築の制限を多くする。 Further, the controller 50 classifies the ECUs 11 to 13 and the ECUs 21 to 25 into an ECU connected to the outside by communication and an ECU not connected to the outside by communication. The ECU connected to the outside by communication is, for example, a data communication module (that is, DCM) that communicates with an external information center. Then, for the reconstruction request from the ECU connected to the outside by communication, the restriction of reconstruction is increased more than to the reconstruction request from the ECU not connected to the outside by communication.

また、外部に通信で繋がるECUに関係する通信ルートの再構築要求に対しては、外部に通信で繋がるECUに関係しない通信ルートの再構築要求に対してよりも、再構築の制限を多くする。 In addition, for the request to reconstruct the communication route related to the ECU connected by communication to the outside, the restriction of reconstruction is increased more than to the request to reconstruct the communication route not related to the ECU connected to the outside by communication. ..

さらに、予め登録されている通信パターンから乖離し通信を行っているECUからの再構築要求に対しては、通信パターンから乖離しない通信を行っているECUからの再構築要求に対してよりも、通信ルートの再構築の制限を多くする。通常、ネットワークシステム500では、各ECUが、決まったECUと決まった通信を行うため、各ECUの通信パターンは予め決まっている。 Further, for a reconstruction request from an ECU that is performing communication that deviates from the communication pattern registered in advance, rather than a reconstruction request from an ECU that is performing communication that does not deviate from the communication pattern. Increase the restrictions on the reconstruction of communication routes. Normally, in the network system 500, each ECU performs a fixed communication with a fixed ECU, so that the communication pattern of each ECU is predetermined.

通信パターンは、ECU11~13及びECU21~25のそれぞれと、ECU11~13及びECU21~25のそれぞれが行う通信の通信量との対応関係を含む。また、通信パターンは、ECU11~13及びECU21~25のそれぞれと、ECU11~13及びECU21~25のそれぞれから送信されるメッセージのID(すなわち識別子)との対応関係を含む。ネットワークシステム500において送受信されるメッセージには、メッセージの種別ごとにIDが割り当てられている。 The communication pattern includes the correspondence between each of the ECUs 11 to 13 and the ECUs 21 to 25 and the communication amount of the communication performed by each of the ECUs 11 to 13 and the ECUs 21 to 25. Further, the communication pattern includes a correspondence relationship between each of the ECUs 11 to 13 and the ECUs 21 to 25 and an ID (that is, an identifier) of a message transmitted from each of the ECUs 11 to 13 and the ECUs 21 to 25. IDs are assigned to the messages sent and received in the network system 500 for each type of message.

コントローラ50は、例えば、通信量の差異が閾値以上の場合に、通信パターンが乖離していると判定する。また、コントローラ50は、メッセージIDが異なっている場合に、通信パターンが乖離していると判定する。 For example, when the difference in the amount of communication is equal to or greater than the threshold value, the controller 50 determines that the communication patterns are divergent. Further, the controller 50 determines that the communication patterns are different when the message IDs are different.

また、電源状態がイグニッションオフすなわちバッテリ電源状態の場合には、車両が無人の状態であるため、イグニッションオンの場合よりも、通信ルートン再構築要求に対する制限を多くする。なお、再構築要求を受け付けの可否判定の具体例については、後述する。 Further, when the power state is the ignition off, that is, the battery power state, the vehicle is in an unmanned state, so that there are more restrictions on the communication rooton reconstruction request than in the case of the ignition on. A specific example of determining whether or not to accept a reconstruction request will be described later.

S40において、再構築要求を拒否すると判定した場合は、S10の処理へ戻り、再構築要求を受け付けると判定した場合は、S50の処理へ進む。
S50では、コントローラ50は、再構築の対象である通信ルートの代わりとなる代替ルートを決定する。
If it is determined in S40 that the reconstruction request is rejected, the process returns to the process of S10, and if it is determined that the reconstruction request is accepted, the process proceeds to the process of S50.
In S50, the controller 50 determines an alternative route to replace the communication route to be reconstructed.

続いて、S60では、コントローラ50は、第1~第3スイッチ51~53に、S50で決定した代替ルートを指示する。これにより、再構築の対象である通信ルートの代わりに、代替ルートを用いて、ECU間での通信が行われる。S60の処理の終了後、S10の処理へ戻る。 Subsequently, in S60, the controller 50 instructs the first to third switches 51 to 53 of the alternative route determined in S50. As a result, communication between the ECUs is performed using an alternative route instead of the communication route that is the target of reconstruction. After the processing of S60 is completed, the process returns to the processing of S10.

<3.再構築要求の受け付けの可否判定>
次に、再構築要求の受け付けの可否判定の具体例について説明する。
図3は、電源状態がイグニッションオンの場合における車両の停止中に、第2スイッチ52に接続されたECU24が、第3スイッチ53に接続されたECU26に交換された場合のネットワークシステム500を示す。
<3. Judgment of acceptance of reconstruction request>
Next, a specific example of determining whether or not to accept the reconstruction request will be described.
FIG. 3 shows a network system 500 when the ECU 24 connected to the second switch 52 is replaced with the ECU 26 connected to the third switch 53 while the vehicle is stopped when the power supply state is the ignition on.

通常、ECUの交換や新規ECUの取り付けは、イグニッションオン時の停止中にディーラー等において行われる。ECUの交換や新規ECUの取り付けが行われると、交換されたECUや新規ECUが他のECUと通信を行うことができるように、コントローラ50に対して通信ルートの再構築が要求される。 Normally, the replacement of the ECU and the installation of a new ECU are performed by a dealer or the like while the ignition is stopped. When the ECU is replaced or a new ECU is installed, the controller 50 is required to reconstruct the communication route so that the replaced ECU or the new ECU can communicate with another ECU.

図3に示すように、ECU24からECU26への変更前、ECU24の通信対象はECU22であり、ECU24から第2スイッチ52及び第1スイッチ51を介してECU22へ至る通信ルートが構築されている。よって、ECU24からECU26へ変更した場合、ECU26とECU22が通信できるように、構築されている通信ルートを、ECU26から、第3スイッチ53及び第1スイッチ51を介してECU22へ至る通信ルートに変更する必要がある。そのため、ECU26は、第3スイッチ53を介して、コントローラ50へ通信ルートの再構築を要求する。 As shown in FIG. 3, before the change from the ECU 24 to the ECU 26, the communication target of the ECU 24 is the ECU 22, and a communication route from the ECU 24 to the ECU 22 via the second switch 52 and the first switch 51 is constructed. Therefore, when the ECU 24 is changed to the ECU 26, the communication route constructed so that the ECU 26 and the ECU 22 can communicate is changed to the communication route from the ECU 26 to the ECU 22 via the third switch 53 and the first switch 51. There is a need. Therefore, the ECU 26 requests the controller 50 to reconstruct the communication route via the third switch 53.

コントローラ50は、このようなイグニッションオン時の停止中に発生する再構築要求は許可して、代替ルートを構築する。これにより、ディーラーでの修理や改修等が妨げられない。 The controller 50 permits such a rebuild request that occurs during the stoppage when the ignition is turned on, and constructs an alternative route. As a result, repairs and repairs at the dealer are not hindered.

次に、図4は、イグニッションオンの場合における走行中に、ECU26が第3スイッチ53に接続された場合のネットワークシステム500を示す。
一般に、車両の走行中に新規ECUがネットワークシステム500に追加されることは考えられない。走行中にネットワークシステム500に新規ECUが追加された場合、悪意のあるECUから攻撃を受けている可能性が高い。
Next, FIG. 4 shows a network system 500 when the ECU 26 is connected to the third switch 53 during traveling in the case of ignition on.
In general, it is unlikely that a new ECU will be added to the network system 500 while the vehicle is running. If a new ECU is added to the network system 500 while driving, there is a high possibility that it is being attacked by a malicious ECU.

よって、コントローラ50は、イグニッションオン時の走行中において、ネットワークシステム500への新規のECU26の加入を拒否し、新規のECU26が接続されている第3スイッチ53へECU26からの通信を拒否するように指示する。第3スイッチ53は、コントローラ50からの指示に従い、既存のECU13,25からの通信のみを許可し、ECU26からの通信を破棄する。 Therefore, the controller 50 refuses to join the new ECU 26 to the network system 500 while the vehicle is running when the ignition is turned on, and refuses communication from the ECU 26 to the third switch 53 to which the new ECU 26 is connected. Instruct. The third switch 53 permits only the communication from the existing ECUs 13 and 25 according to the instruction from the controller 50, and discards the communication from the ECU 26.

図5は、第2スイッチ52と第3スイッチ53とを接続するEthernet通信線80に障害が発生した場合のネットワークシステム500を示す。ネットワークシステム500において、ECU13の通信対象はECU12であり、ECU13とECU12との間の通信ルートとして、第3スイッチ53、第2スイッチ52を経由する最短の通信ルートが構築されている。 FIG. 5 shows a network system 500 when a failure occurs in the Ethernet communication line 80 connecting the second switch 52 and the third switch 53. In the network system 500, the communication target of the ECU 13 is the ECU 12, and as a communication route between the ECU 13 and the ECU 12, the shortest communication route via the third switch 53 and the second switch 52 is constructed.

第2スイッチ52と第3スイッチ53とを接続するEthernet通信線80に障害が発生した場合、ECU13とECU12は既存の通信ルートでは通信できなくなる。ここで、ECU12は、カメラや赤外線、レーダ等のセンサを制御するセンサECUであり、ECU13は、センサ情報を基に動作する自動運転ECUである。ECU13は、ECU12と通信不可能になり、ECU12からのセンサ情報が途絶えると、動作できなくなる。ECU13が動作できなくなると、車両の走行安全に支障が生じる可能性がある。 If a failure occurs in the Ethernet communication line 80 connecting the second switch 52 and the third switch 53, the ECU 13 and the ECU 12 cannot communicate with each other through the existing communication route. Here, the ECU 12 is a sensor ECU that controls sensors such as a camera, infrared rays, and radar, and the ECU 13 is an automatic operation ECU that operates based on sensor information. The ECU 13 cannot communicate with the ECU 12, and cannot operate when the sensor information from the ECU 12 is interrupted. If the ECU 13 becomes inoperable, the running safety of the vehicle may be impaired.

よって、コントローラ50は、イグニッションオン時において、走行中と停止中のいずれの場合でも、ドメイン1に属するECU13からのドメイン1に属するECU12に関係する通信ルートの再構築の要求は受け付ける。そして、コントローラ50は、ECU13から、第3スイッチ53、第1スイッチ51、第2スイッチ52の順に経由して、ECU12へ至る代替ルートを決定し、代替ルートを第1~第3スイッチ51~53へ指示する。これにより、ECU13とECU12との間の通信が維持される。 Therefore, the controller 50 accepts the request for reconstructing the communication route related to the ECU 12 belonging to the domain 1 from the ECU 13 belonging to the domain 1 regardless of whether the vehicle is running or stopped when the ignition is turned on. Then, the controller 50 determines an alternative route from the ECU 13 to the ECU 12 via the third switch 53, the first switch 51, and the second switch 52 in this order, and determines the alternative route from the first to third switches 51 to 53. Instruct to. As a result, communication between the ECU 13 and the ECU 12 is maintained.

図6は、ECU12(すなわち、第1ECU)とECU13(すなわち、第2ECU)との間の通信路に障害が発生し、代替ルートを構築する場合の処理シーケンスを示す。
S100では、ECU12が、第2スイッチ52へ通信データを送信する。続いて、S110では、第2スイッチ52が、第3スイッチ53へ通信データを送信する。続いて、S120では、第3スイッチ53が、ECU13へ通信データを送信する。
FIG. 6 shows a processing sequence when a failure occurs in the communication path between the ECU 12 (that is, the first ECU) and the ECU 13 (that is, the second ECU) and an alternative route is constructed.
In S100, the ECU 12 transmits communication data to the second switch 52. Subsequently, in S110, the second switch 52 transmits communication data to the third switch 53. Subsequently, in S120, the third switch 53 transmits communication data to the ECU 13.

続いて、S130では、ECU13が、第3スイッチ53へ通信データの送信を要求するメッセージを送信する。続いて、S140では、第3スイッチ53が、第2スイッチ52へメッセージを送信する。続いて、S150では、第2スイッチ52が、ECU12へメッセージを送信する。 Subsequently, in S130, the ECU 13 transmits a message requesting transmission of communication data to the third switch 53. Subsequently, in S140, the third switch 53 transmits a message to the second switch 52. Subsequently, in S150, the second switch 52 transmits a message to the ECU 12.

S150の処理の後、第2スイッチ52と第3スイッチ53とを接続するEthernet通信線80に障害が発生すると、S160において、第2スイッチ52が、コントローラ50へ通信路異常を通知する。S170では、第3スイッチ53が、コントローラ50へ通信路異常を通知する。 After the processing of S150, when a failure occurs in the Ethernet communication line 80 connecting the second switch 52 and the third switch 53, the second switch 52 notifies the controller 50 of the communication path abnormality in S160. In S170, the third switch 53 notifies the controller 50 of the communication path abnormality.

S180では、ECU12が、第2スイッチ52へ通信データを送信する。続いて、S190では、通信ルートがまだ再構築されていないため、第2スイッチ52が、第3スイッチ53へ通信データを送信しようとするが、通信路断絶により通信データは消滅する。 In S180, the ECU 12 transmits communication data to the second switch 52. Subsequently, in S190, since the communication route has not been reconstructed yet, the second switch 52 tries to transmit the communication data to the third switch 53, but the communication data disappears due to the disconnection of the communication path.

続いて、S200では、ECU13が、通信データの送信を要求するメッセージを送信してから規定時間経過しても通信データを受信しないため、通信データの途絶を確認する。続いて、S210では、ECU13が、コントローラ50へ通信ルートの変更を要求する。 Subsequently, in S200, since the ECU 13 does not receive the communication data even after a lapse of a predetermined time after transmitting the message requesting the transmission of the communication data, the interruption of the communication data is confirmed. Subsequently, in S210, the ECU 13 requests the controller 50 to change the communication route.

続いて、S220では、コントローラ50が、通信ルートの変更要求を受理する。続いて、S230では、コントローラ50が、第1スイッチ51へ通信ルートの変更を指示する。S240では、コントローラ50が、第2スイッチ52へ通信ルートの変更を指示する。S250では、コントローラ50が、第3スイッチ53へ通信ルートの変更を指示する。 Subsequently, in S220, the controller 50 accepts the communication route change request. Subsequently, in S230, the controller 50 instructs the first switch 51 to change the communication route. In S240, the controller 50 instructs the second switch 52 to change the communication route. In S250, the controller 50 instructs the third switch 53 to change the communication route.

S260では、ECU12が、第2スイッチ52へ通信データを送信する。続いて、S270では、第2スイッチ52が、コントローラ50からの通信ルートの変更指示に従って、第3スイッチ53ではなく第1スイッチ51へ通信データを送信する。続いて、S280では、第1スイッチ51が、第3スイッチ53へ通信データを送信する。続いて、S290では、第3スイッチ53がECU13へ通信データを送信する。以上により、断絶した通信路を迂回して、ECU12からECU13へ通信データが送信される。 In S260, the ECU 12 transmits communication data to the second switch 52. Subsequently, in S270, the second switch 52 transmits communication data to the first switch 51 instead of the third switch 53 in accordance with the communication route change instruction from the controller 50. Subsequently, in S280, the first switch 51 transmits communication data to the third switch 53. Subsequently, in S290, the third switch 53 transmits communication data to the ECU 13. As a result, the communication data is transmitted from the ECU 12 to the ECU 13 by bypassing the disconnected communication path.

次に、図7は、ドメイン2に属するECU25から、ドメイン1に属するECUに関係する通信ルートの再構築が要求された場合のネットワークシステム500を示す図である。
ECU12とECU13との通信に無関係なEUC25からの、ECU12とECU13との間の通信ルートの変更要求は、許可した場合に、ECU12とECU13との通信が乱れる可能性がある。また、図5に示すように、ECU12とECU13との間の通信路に障害が発生している場合は、ECU12とECU13のいずれかから通信ルートの再構築が要求されるはずである。ECU25が、ECU25と無関係なECU12とECU13との間の通信ルートの変更を要求する場合、ECU25が改ざんされている可能性が高い。よって、コントローラ50は、ECU25からのECU12とECU13間の通信ルートの再構築要求を拒否する。
Next, FIG. 7 is a diagram showing a network system 500 when the ECU 25 belonging to the domain 2 requests the reconstruction of the communication route related to the ECU belonging to the domain 1.
If the request to change the communication route between the ECU 12 and the ECU 13 from the EUC 25, which is unrelated to the communication between the ECU 12 and the ECU 13, is permitted, the communication between the ECU 12 and the ECU 13 may be disturbed. Further, as shown in FIG. 5, when a failure occurs in the communication path between the ECU 12 and the ECU 13, either the ECU 12 or the ECU 13 should request the reconstruction of the communication route. When the ECU 25 requests a change in the communication route between the ECU 12 and the ECU 13 unrelated to the ECU 25, it is highly possible that the ECU 25 has been tampered with. Therefore, the controller 50 rejects the request for reconstructing the communication route between the ECU 12 and the ECU 13 from the ECU 25.

また、ECU25からのECU13との新規の通信ルートの構築要求は、許可した場合に、ECU13の処理が阻害される可能性がある。走行中に、ドメイン1に属するECU13の処理が阻害されると、車両の走行安全に支障が生じる可能性がある。よって、コントローラ50は、走行中において、ECU25からのECU13との新規の通信ルートの構築要求を拒否し、イグニッションオン時の停止中に、その新規の通信ルートの構築要求を許可する。 Further, if the request for constructing a new communication route with the ECU 13 from the ECU 25 is permitted, the processing of the ECU 13 may be hindered. If the processing of the ECU 13 belonging to the domain 1 is hindered during traveling, the traveling safety of the vehicle may be impaired. Therefore, the controller 50 rejects the request for constructing a new communication route from the ECU 25 to the ECU 13 while traveling, and permits the request for constructing the new communication route while the ignition is on.

すなわち、コントローラ50は、走行中に、ドメイン2に属するECUからのドメイン1に属するECUに関係する通信ルートの再構築の要求を拒否する。
図8は、ドメイン2に属するECU21が故障した場合のネットワークシステム500を示す。ECU21は車速センサECUであり、ECU23はGPS情報を有するECUである。ECU25は、メータECUであり、ECU21の車速情報に基づいて時速を表示している。
That is, the controller 50 rejects the request from the ECU belonging to the domain 2 to reconstruct the communication route related to the ECU belonging to the domain 1 while traveling.
FIG. 8 shows a network system 500 when the ECU 21 belonging to the domain 2 fails. The ECU 21 is a vehicle speed sensor ECU, and the ECU 23 is an ECU having GPS information. The ECU 25 is a meter ECU, and displays the speed per hour based on the vehicle speed information of the ECU 21.

ECU21が故障した場合、ECU25は、ECU21と通信できなくなり、ECU21から車速情報を取得できなくなる。よって、ECU25は、ECU23から車速情報に類似するGPS情報を取得するため、コントローラ50に通信ルートの変更を要求する。 If the ECU 21 fails, the ECU 25 cannot communicate with the ECU 21 and cannot acquire vehicle speed information from the ECU 21. Therefore, the ECU 25 requests the controller 50 to change the communication route in order to acquire GPS information similar to the vehicle speed information from the ECU 23.

ここで、コントローラ50は、ドメイン2に属するECUからのドメイン1に属するECUに関係しない通信ルートの変更要求は受け付ける。コントローラ50は、ECU25から、第3スイッチ53及び第2スイッチ52を経由してECU23に至る通信ルートが、ドメイン1に属するECU11~13に関係しないため、通信ルートの変更要求を受け付ける。そして、コントローラ50は、代替ルートを構築して、第2スイッチ52及び第3スイッチ53へ代替ルートを指示する。これにより、ECU25は、速度表示を維持することができる。 Here, the controller 50 accepts a request for changing a communication route not related to the ECU belonging to the domain 1 from the ECU belonging to the domain 2. Since the communication route from the ECU 25 to the ECU 23 via the third switch 53 and the second switch 52 is not related to the ECUs 11 to 13 belonging to the domain 1, the controller 50 accepts the request for changing the communication route. Then, the controller 50 constructs an alternative route and instructs the second switch 52 and the third switch 53 of the alternative route. As a result, the ECU 25 can maintain the speed display.

図9は、外部端末60が第3スイッチ53に接続された場合のネットワークシステム500を示す。
外部端末60は、例えば、スマートフォン、ノートパッド、ノートパソコンなどのモバイル通信機器である。通常、外部端末60は、車載オーディオ等の走行安全に関わらない機能を操作するために、ネットワークシステム500に接続され、ドメイン2に属するECUとの通信ルートの構築を要求する。
FIG. 9 shows a network system 500 when the external terminal 60 is connected to the third switch 53.
The external terminal 60 is a mobile communication device such as a smartphone, a notebook pad, or a notebook computer. Normally, the external terminal 60 is connected to the network system 500 and requests the construction of a communication route with the ECU belonging to the domain 2 in order to operate functions not related to driving safety such as in-vehicle audio.

コントローラ50は、イグニッションオン時において、走行中と停止中のいずれの場合でも、外部端末60からドメイン2に属するECUとの通信ルートの構築を要求された場合は要求を受け付け、通信ルートを構築する。 When the ignition is turned on, the controller 50 accepts the request and constructs the communication route when the external terminal 60 requests the construction of the communication route with the ECU belonging to the domain 2, regardless of whether the vehicle is running or stopped. ..

一方、外部端末60が、ドメイン1に属するECUに関係する通信ルートの構築を要求する場合、外部端末60が改ざんされている可能性がある。よって、コントローラ50は、イグニッションオン時において、走行中と停止中のいずれの場合でも、外部端末60からドメイン1に属するECUに関係する通信ルートの構築を要求された場合には、要求を拒否する。すなわち、コントローラ50は、ドメイン1に属するECUに関係する通信ルートを構築しない。 On the other hand, when the external terminal 60 requests the construction of a communication route related to the ECU belonging to the domain 1, the external terminal 60 may have been tampered with. Therefore, when the ignition is turned on, the controller 50 rejects the request when the external terminal 60 requests the construction of the communication route related to the ECU belonging to the domain 1, regardless of whether the vehicle is running or stopped. .. That is, the controller 50 does not build a communication route related to the ECU belonging to the domain 1.

また、コントローラ50は、走行中において、外部に通信で繋がるECUからの通信ルートの再構築の要求を拒否する。
また、コントローラ50は、走行中において、外部に通信で繋がるECUに関係する通信ルートの再構築の要求を拒否する。
Further, the controller 50 rejects the request for reconstructing the communication route from the ECU connected to the outside by communication while traveling.
Further, the controller 50 rejects the request for reconstructing the communication route related to the ECU connected to the outside by communication while traveling.

また、コントローラ50は、電源状態がイグニッションオフの場合には、ネットワークシステム500への新規ECUの加入を拒否する。さらに、コントローラ50は、電源状態がイグニッションオフの場合には、ネットワークシステム500への外部端末60の加入を拒否する。 Further, the controller 50 refuses to join the new ECU to the network system 500 when the power supply state is the ignition off. Further, the controller 50 refuses to join the external terminal 60 to the network system 500 when the power state is the ignition off.

<4.効果>
以上説明した本実施形態によれば、以下の効果が得られる。
(1)ネットワークシステム500は、オープンフロープロトコルが用いられているため、ECUの追加などに柔軟に対応することができる。一方、通常、ECUの追加などは、イグニッションオン時の停車中に行われ走行中には行われない。よって、走行中における通信ルートの再構築の要求は、停車中における通信ルートの再構築の要求と比べて、悪意のあるECUからの要求である可能性が高くなる。そのため、コントローラ50は、走行中において、停止中よりも通信ルートの再構築の制限を多くする。これにより、ネットワークシステム500の安全性、ひいては車両の安全性を向上させることができる。したがって、柔軟性と安全性を両立したネットワークシステム500を実現することができる。
<4. Effect>
According to the present embodiment described above, the following effects can be obtained.
(1) Since the network system 500 uses an open flow protocol, it can flexibly cope with the addition of an ECU or the like. On the other hand, normally, the addition of the ECU is performed while the vehicle is stopped when the ignition is on, and is not performed while the vehicle is running. Therefore, the request for reconstructing the communication route while traveling is more likely to be a request from a malicious ECU than the request for reconstructing the communication route while the vehicle is stopped. Therefore, the controller 50 limits the reconstruction of the communication route more during traveling than during stopping. As a result, the safety of the network system 500 and, by extension, the safety of the vehicle can be improved. Therefore, it is possible to realize a network system 500 that has both flexibility and safety.

(2)走行中において、コントローラ50が新規ECUの加入を拒否し、第1~第3スイッチ51~53が新規ECUからの通信を破棄することによって、ネットワークシステム500の安全性を向上させることができる。 (2) While driving, the controller 50 refuses to join the new ECU, and the first to third switches 51 to 53 discard the communication from the new ECU, thereby improving the safety of the network system 500. can.

(3)ドメイン2に属するECU21~25からの通信ルートの再構築の要求は、許可しなくても走行安全に支障が生じることがない。一方、ドメイン1に属するECUからの通信ルートの再構築の要求は、許可しない場合に走行安全に支障が生じる可能性がある。そこで、ドメイン2に属するECU21~25からの通信ルートの再構築の要求に対して、ドメイン1に属するECU11~13からの通信ルートの再構築の要求に対してよりも、制限を多くする。これにより、車両の安全性を担保しつつ、利便性を享受することができる。 (3) The request for reconstructing the communication route from the ECUs 21 to 25 belonging to the domain 2 does not hinder the running safety even if the request is not permitted. On the other hand, if the request for reconstructing the communication route from the ECU belonging to the domain 1 is not permitted, the driving safety may be hindered. Therefore, the request for reconstructing the communication route from the ECUs 21 to 25 belonging to the domain 2 is restricted more than the request for reconstructing the communication route from the ECUs 11 to 13 belonging to the domain 1. As a result, it is possible to enjoy convenience while ensuring the safety of the vehicle.

(4)ドメイン1に属するECU11~13に関係する通信ルートの再構築要求は、悪意のあるECUから出されていた場合に、受け付けると走行安全に支障が生じる可能性がある。一方、ドメイン1に属するECU11~13に関係しない通信ルートの再構築要求は、悪意のあるECUから出されていた場合に、受け付けても走行安全に支障が生じることがない。そこで、ECU11~13に関係する通信ルートの再構築の要求に対して、ECU11~13に関係しない通信ルートの再構築の要求に対してよりも、制限を多くすることにより、車両の安全性を担保しつつ、利便性を享受することができる。 (4) If a request for reconstructing a communication route related to ECUs 11 to 13 belonging to domain 1 is received from a malicious ECU, there is a possibility that driving safety will be impaired. On the other hand, even if the request for reconstructing the communication route not related to the ECUs 11 to 13 belonging to the domain 1 is received from the malicious ECU, the traveling safety is not hindered. Therefore, the safety of the vehicle can be improved by increasing the restrictions on the request for reconstructing the communication route related to the ECUs 11 to 13 more than the request for reconstructing the communication route not related to the ECUs 11 to 13. You can enjoy the convenience while guaranteeing it.

(5)ドメイン1に属するECU11~13関係する通信ルートに障害が発生した場合、ECU11~13から通信ルートの再構築の要求が出されれば、通信ルートが再構築される。一方、ドメイン2に属するECU21~25からECU11~13に関係する通信ルートの再構築の要求が出された場合、悪意のあるECUが、無関係な通信ルートの再構築を要求している可能性がある。また、再構築の要求を許可することによって、ECU11~13の処理が阻害されるおそれがある。よって、走行中において、ECU21~25からのECU11~13に関係する通信ルートの再構築の要求は拒否される。これにより、車両の安全性を担保することができる。 (5) When a failure occurs in the communication route related to the ECUs 11 to 13 belonging to the domain 1, the communication route is reconstructed if the ECU 11 to 13 issues a request to reconstruct the communication route. On the other hand, when a request for reconstructing the communication route related to the ECUs 11 to 13 is issued from the ECUs 21 to 25 belonging to the domain 2, there is a possibility that the malicious ECU is requesting the reconstruction of the irrelevant communication route. be. Further, by permitting the request for reconstruction, the processing of the ECUs 11 to 13 may be hindered. Therefore, while traveling, the request from the ECUs 21 to 25 to reconstruct the communication route related to the ECUs 11 to 13 is rejected. This makes it possible to ensure the safety of the vehicle.

(6)外部端末60からのドメイン1に属するECU11~13に関係しない通信ルートは構築され、外部端末60からのECU11~13に関係する通信ルートは構築されない。これにより、悪意のない外部端末60をネットワークシステム500に接続して利用することができるとともに、悪意のある外部端末60がネットワークシステム500に接続した場合に、外部端末60からの攻撃を防ぐことができる。よって、車両の安全性を担保しつつ、利便性を享受することができる。 (6) The communication route from the external terminal 60 not related to the ECUs 11 to 13 belonging to the domain 1 is constructed, and the communication route related to the ECUs 11 to 13 from the external terminal 60 is not constructed. As a result, a non-malicious external terminal 60 can be connected to the network system 500 and used, and when a malicious external terminal 60 is connected to the network system 500, an attack from the external terminal 60 can be prevented. can. Therefore, it is possible to enjoy convenience while ensuring the safety of the vehicle.

(7)外部と通信で繋がるECUは、外部に通信で繋がらないECUと比べて、攻撃を受けるリスクが高い。よって、外部と通信で繋がるECUからの通信ルートの再構築要求に対して、外部と通信で繋がらないECUからの通信ルートの再構築要求に対してよりも制限を多くする。これにより、ネットワークシステム500の安全性ひいては車両の安全性を担保しつつ、利便性を享受することができる。 (7) An ECU that is connected to the outside by communication has a higher risk of being attacked than an ECU that is not connected to the outside by communication. Therefore, the request for reconstructing the communication route from the ECU connected to the outside by communication is more restricted than the request to reconstruct the communication route from the ECU not connected to the outside by communication. As a result, it is possible to enjoy the convenience while ensuring the safety of the network system 500 and thus the safety of the vehicle.

(8)外部と通信で繋がるECUに関係する通信ルートの再構築要求に対して、外部と通信で繋がるECUに関係しない通信ルートの再構築要求に対してよりも制限を多くする。これにより、ネットワークシステム500の安全性ひいては車両の安全性を担保しつつ、利便性を享受することができる。 (8) The request for reconstructing the communication route related to the ECU connected to the outside by communication is restricted more than the request to reconstruct the communication route not related to the ECU connected to the outside by communication. As a result, it is possible to enjoy the convenience while ensuring the safety of the network system 500 and thus the safety of the vehicle.

(9)走行中において、外部と通信で繋がるECUからの通信ルートの再構築要求を拒否することにより、車両の安全性を向上させることができる。
(10)走行中において、外部と通信で繋がるECUに関係する通信ルートの再構築要求を拒否することにより、車両の安全性を向上させることができる。
(9) While traveling, the safety of the vehicle can be improved by rejecting the request for reconstructing the communication route from the ECU connected to the outside by communication.
(10) While traveling, the safety of the vehicle can be improved by rejecting the request for reconstructing the communication route related to the ECU connected to the outside by communication.

(11)ECUが、コントローラ50の記憶部に予め記憶されている通信パターンから乖離した通信を行っている場合、そのECUは改ざんされている可能性が高い。よって、そのECUからの通信ルートの再構築要求に対しては、通信パターンから乖離していない通信を行っているECUからの通信ルートの再構築要求に対してよりも制限される。これにより、ネットワークシステム500の安全性ひいては車両の安全性を担保しつつ、利便性を享受することができる。 (11) When the ECU performs communication deviating from the communication pattern stored in advance in the storage unit of the controller 50, it is highly possible that the ECU has been tampered with. Therefore, the request for reconstructing the communication route from the ECU is more restricted than the request for reconstructing the communication route from the ECU performing communication that does not deviate from the communication pattern. As a result, it is possible to enjoy the convenience while ensuring the safety of the network system 500 and thus the safety of the vehicle.

(12)通常、ネットワークシステム500では、各ECUは、決まったECUと決まった通信を行うため、通信量も決まった通信量から大きく異なることはない。よって、記憶されている通信量から乖離する通信量の通信を行っているECUは、改ざんされている可能性が高い。 (12) Normally, in the network system 500, since each ECU performs a fixed communication with a fixed ECU, the communication amount does not differ significantly from the fixed communication amount. Therefore, there is a high possibility that the ECU performing communication with a communication amount deviating from the stored communication amount has been tampered with.

(13)通常、ネットワークシステム500では、各ECUは、決まったECUに決まったメッセージを送信する。よって、記憶されているメッセージと異なるメッセージを送信するECUは、改ざんされている可能性が高い。 (13) Normally, in the network system 500, each ECU transmits a fixed message to a fixed ECU. Therefore, it is highly possible that the ECU that transmits a message different from the stored message has been tampered with.

(14)イグニッションオンの場合には、車両に運転手などが乗車している状態だが、イグニッションオフの場合には、車両は無人の状態である。車両が無人の状態において通信ルートの再構築の要求が出された場合には、車両に運転手などが乗車している状態において通信ルートの再構築の要求が出された場合と比べて、悪意のある攻撃である可能性が高い。よって、イグニッションオフの場合には、イグニッションオンの場合よりも、通信ルートの再構築の要求に対する制限を多くすることにより、ネットワークシステム500の安全性を担保しつつ、利便性を享受することができる。 (14) When the ignition is on, the driver or the like is in the vehicle, but when the ignition is off, the vehicle is unmanned. When a request to reconstruct the communication route is made when the vehicle is unmanned, it is malicious compared to the case where a request to reconstruct the communication route is made while the driver or the like is in the vehicle. There is a high possibility that it is an attack. Therefore, in the case of the ignition off, the convenience can be enjoyed while ensuring the safety of the network system 500 by increasing the restrictions on the request for reconstructing the communication route as compared with the case of the ignition on. ..

(15)イグニッションオフの場合には、ネットワークシステム500への新規ECU及び外部端末60の加入が拒否される。これにより、ネットワークシステム500の安全性を担保しつつ、利便性を享受することができる。 (15) When the ignition is turned off, the new ECU and the external terminal 60 are refused to join the network system 500. As a result, convenience can be enjoyed while ensuring the safety of the network system 500.

(他の実施形態)
以上、本開示を実施するための形態について説明したが、本開示は上述の実施形態に限定されることなく、種々変形して実施することができる。
(Other embodiments)
Although the embodiment for carrying out the present disclosure has been described above, the present disclosure is not limited to the above-described embodiment, and can be variously modified and carried out.

(a)上記実施形態では、ネットワークシステム500が、3個の第1~第3スイッチ51~53を備えているが、4個以上のスイッチを備えていてもよい。また、第1~第3スイッチ51~53のそれぞれと第1~第3制御装置群とは、CAN通信線で接続してもよいし、Ethernet通信線で接続してもよい。 (A) In the above embodiment, the network system 500 includes three first to third switches 51 to 53, but may include four or more switches. Further, each of the first to third switches 51 to 53 and the first to third control device groups may be connected by a CAN communication line or an Ethernet communication line.

(b)上記実施形態における1つの構成要素が有する複数の機能を、複数の構成要素によって実現したり、1つの構成要素が有する1つの機能を、複数の構成要素によって実現したりしてもよい。また、複数の構成要素が有する複数の機能を、1つの構成要素によって実現したり、複数の構成要素によって実現される1つの機能を、1つの構成要素によって実現したりしてもよい。また、上記実施形態の構成の一部を省略してもよい。また、上記実施形態の構成の少なくとも一部を、他の上記実施形態の構成に対して付加又は置換してもよい。 (B) A plurality of functions possessed by one component in the above embodiment may be realized by a plurality of components, or one function possessed by one component may be realized by a plurality of components. .. Further, a plurality of functions possessed by the plurality of components may be realized by one component, or one function realized by the plurality of components may be realized by one component. Further, a part of the configuration of the above embodiment may be omitted. Further, at least a part of the configuration of the above embodiment may be added or replaced with the configuration of the other above embodiment.

11~13,21~25…ECU、50…コントローラ、51…第1スイッチ、52…第2スイッチ、53…第3スイッチ、60…外部端末、70…フローコントロール用通信線、80…Ethernet通信線、100…CAN通信線、200,300…Ethernet通信線、500…車載ネットワークシステム。 11-13, 21-25 ... ECU, 50 ... controller, 51 ... 1st switch, 52 ... 2nd switch, 53 ... 3rd switch, 60 ... external terminal, 70 ... flow control communication line, 80 ... Ethernet communication line , 100 ... CAN communication line, 200, 300 ... Ethernet communication line, 500 ... In-vehicle network system.

Claims (16)

車両に搭載された車載ネットワークシステム(500)であって、
オープンフロープロトコルに従って前記車載ネットワークシステムを制御するコントローラ(50)と、
前記コントローラに第1通信線(70)を介して接続され、前記コントローラからの指示に応じて処理を実行する複数のスイッチであって、互いに異なるスイッチ間は、Ethernet(登録商標)プロトコルに従った第2通信線(80)で接続されている、複数のスイッチ(51,52,53)と、
複数の制御装置を含む制御装置群であって、前記複数のスイッチのそれぞれに第3通信線(100,200,300)を介して接続されている制御装置群(11~13,21~25)と、を備え、
前記コントローラは、前記車両の電源状態がイグニッションオンの場合に、前記車両の走行中は、前記車両の停止中よりも、前記制御装置間における通信ルートの再構築の制限を多くする、
車載ネットワークシステム。
An in-vehicle network system (500) mounted on a vehicle.
A controller (50) that controls the in-vehicle network system according to the OpenFlow protocol, and
A plurality of switches that are connected to the controller via the first communication line (70) and execute processing in response to an instruction from the controller, and the switches that are different from each other follow the Ethernet (registered trademark) protocol. With a plurality of switches (51, 52, 53) connected by the second communication line (80),
A control device group including a plurality of control devices, which are connected to each of the plurality of switches via a third communication line (100, 200, 300) (11 to 13, 21 to 25). And, with
When the power state of the vehicle is the ignition on, the controller makes more restrictions on the reconstruction of the communication route between the control devices while the vehicle is running than when the vehicle is stopped.
In-vehicle network system.
前記コントローラは、
前記車両の走行中において、前記車載ネットワークシステムへの新規の制御装置の加入を拒否する、
請求項1に記載の車載ネットワークシステム。
The controller
Refusing to join the new control device to the in-vehicle network system while the vehicle is running.
The in-vehicle network system according to claim 1.
前記コントローラは、
前記車載ネットワークシステムに含まれる前記制御装置を、前記車両の走行の安全に関わる第1制御装置(11~13)と、前記車両の走行の安全に関わらない第2制御装置(21~25)とに分類し、
前記第2制御装置からの通信ルートの再構築の要求に対しては、前記第1制御装置からの通信ルートの再構築の要求に対してよりも、再構築の制限を多くする、
請求項1又は2に記載の車載ネットワークシステム。
The controller
The control device included in the in-vehicle network system includes a first control device (11 to 13) related to the running safety of the vehicle and a second control device (21 to 25) not related to the running safety of the vehicle. Classified into
The request for reconstructing the communication route from the second control device has more restrictions on the reconstruction than the request for reconstructing the communication route from the first control device.
The vehicle-mounted network system according to claim 1 or 2.
前記コントローラは、
前記車載ネットワークシステムに含まれる前記制御装置を、前記車両の走行の安全に関わる第1制御装置と、前記車両の走行の安全に関わらない第2制御装置とに分類し、
前記第1制御装置に関係する通信ルートの再構築の要求に対しては、前記第1制御装置に関係しない通信ルートの再構築の要求に対してよりも、再構築の制限を多くする、
請求項1~3のいずれか1項に記載の車載ネットワークシステム。
The controller
The control device included in the in-vehicle network system is classified into a first control device related to the running safety of the vehicle and a second control device not related to the running safety of the vehicle.
For the request for rebuilding the communication route related to the first control device, the limitation of rebuilding is increased as compared with the request for rebuilding the communication route not related to the first control device.
The vehicle-mounted network system according to any one of claims 1 to 3.
前記コントローラは、
前記車両の走行中において、前記第2制御装置からの前記第1制御装置に関係する通信ルートの再構築の要求を拒否する、
請求項3又は4に記載の車載ネットワークシステム。
The controller
While the vehicle is running, the request from the second control device to reconstruct the communication route related to the first control device is rejected.
The vehicle-mounted network system according to claim 3 or 4.
前記コントローラは、
前記車載ネットワークシステムに新規に参加する外部端末(60)からの前記第1制御装置に関係する通信ルートを構築しない、
請求項3~5のいずれか1項に記載の車載ネットワークシステム。
The controller
The communication route related to the first control device from the external terminal (60) newly participating in the in-vehicle network system is not constructed.
The vehicle-mounted network system according to any one of claims 3 to 5.
前記コントローラは、
前記車載ネットワークシステムに含まれる前記制御装置を、外部に通信で繋がる第3制御装置と、外部に通信で繋がらない第4制御装置とに分類し、
前記第3制御装置からの通信ルートの再構築の要求に対しては、前記第4制御装置からの通信ルートの再構築の要求に対してよりも、再構築の制限を多くする、
請求項1~6のいずれか1項に記載の車載ネットワークシステム。
The controller
The control device included in the in-vehicle network system is classified into a third control device connected to the outside by communication and a fourth control device not connected to the outside by communication.
The request for reconstructing the communication route from the third control device has more restrictions on the reconstruction than the request for reconstructing the communication route from the fourth control device.
The vehicle-mounted network system according to any one of claims 1 to 6.
前記コントローラは、
前記車載ネットワークシステムに含まれる前記制御装置を、外部に通信で繋がる第3制御装置と、外部に通信で繋がらない第4制御装置とに分類し、
前記第3制御装置に関係する通信ルートの再構築の要求に対しては、前記第3制御装置に関係しない通信ルートの再構築の要求に対してよりも、再構築の制限を多くする、
請求項1~7のいずれか1項に記載の車載ネットワークシステム。
The controller
The control device included in the in-vehicle network system is classified into a third control device connected to the outside by communication and a fourth control device not connected to the outside by communication.
For the request for rebuilding the communication route related to the third control device, the limitation of rebuilding is increased as compared with the request for rebuilding the communication route not related to the third control device.
The vehicle-mounted network system according to any one of claims 1 to 7.
前記コントローラは、
前記車両の走行中において、前記第3制御装置からの通信ルートの再構築の要求を拒否する、
請求項7に記載の車載ネットワークシステム。
The controller
While the vehicle is running, the request for reconstructing the communication route from the third control device is rejected.
The vehicle-mounted network system according to claim 7.
前記コントローラは、
前記車両の走行中において、前記第3制御装置に関係する通信ルートの再構築の要求を拒否する、
請求項8に記載の車載ネットワークシステム。
The controller
While the vehicle is running, the request for reconstructing the communication route related to the third control device is rejected.
The vehicle-mounted network system according to claim 8.
前記複数のスイッチに接続された前記制御装置のそれぞれの通信パターンが記憶された記憶部を備え、
前記コントローラは、
前記記憶部に記憶されている前記通信パターンから乖離した通信を行っている前記制御装置からの通信ルートの再構築の要求に対して、前記通信パターンから乖離した通信を行っていない前記制御装置からの通信ルートの再構築の要求に対してよりも、再構築の制限を多くする、
請求項1~10のいずれか1項に記載の
A storage unit for storing each communication pattern of the control device connected to the plurality of switches is provided.
The controller
In response to a request for reconstructing a communication route from the control device that performs communication deviating from the communication pattern stored in the storage unit, the control device that does not perform communication deviating from the communication pattern More restrictions on rebuilding than on request to rebuild communication routes
The present invention according to any one of claims 1 to 10.
前記通信パターンは、前記制御装置のそれぞれと、前記制御装置のそれぞれの通信量との対応関係を含む、
請求項11に記載の車載ネットワークシステム。
The communication pattern includes a correspondence relationship between each of the control devices and each communication amount of the control device.
The vehicle-mounted network system according to claim 11.
前記制御装置から送信されるメッセージには、メッセージの種別ごとに識別子が割り当てられており、
前記通信パターンは、前記制御装置のそれぞれと、前記制御装置のそれぞれから送信されるメッセージの識別子との対応関係を含む、
請求項11に記載の車載ネットワークシステム。
An identifier is assigned to each message type sent from the control device.
The communication pattern includes a correspondence between each of the control devices and an identifier of a message transmitted from each of the control devices.
The vehicle-mounted network system according to claim 11.
前記コントローラは、
前記電源状態を認識し、前記電源状態がイグニッションオフの場合には、イグニッションオンの場合よりも、通信ルートの再構築の要求に対する制限を多くする、
請求項1~13のいずれか1項に記載の車載ネットワークシステム。
The controller
Recognizing the power state, when the power state is the ignition off, there are more restrictions on the request for rebuilding the communication route than when the ignition is on.
The vehicle-mounted network system according to any one of claims 1 to 13.
前記コントローラは、
前記電源状態がイグニッションオフの場合には、前記車載ネットワークシステムへの新規の制御装置及び外部端末の加入を拒否する、
請求項14に記載の車載ネットワークシステム。
The controller
When the power state is the ignition off, the new control device and the external terminal are refused to join the in-vehicle network system.
The vehicle-mounted network system according to claim 14.
前記外部端末は、モバイル通信機器である、
請求項6又は15に記載の車載ネットワークシステム。
The external terminal is a mobile communication device.
The vehicle-mounted network system according to claim 6 or 15.
JP2018223376A 2018-11-29 2018-11-29 In-vehicle network system Active JP7031568B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018223376A JP7031568B2 (en) 2018-11-29 2018-11-29 In-vehicle network system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018223376A JP7031568B2 (en) 2018-11-29 2018-11-29 In-vehicle network system

Publications (2)

Publication Number Publication Date
JP2020088717A JP2020088717A (en) 2020-06-04
JP7031568B2 true JP7031568B2 (en) 2022-03-08

Family

ID=70909130

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018223376A Active JP7031568B2 (en) 2018-11-29 2018-11-29 In-vehicle network system

Country Status (1)

Country Link
JP (1) JP7031568B2 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013051122A1 (en) 2011-10-05 2013-04-11 トヨタ自動車株式会社 In-vehicle network system
JP2018074547A (en) 2016-11-04 2018-05-10 トヨタ自動車株式会社 On-vehicle network system
JP2018093431A (en) 2016-12-06 2018-06-14 トヨタ自動車株式会社 Relay system

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013051122A1 (en) 2011-10-05 2013-04-11 トヨタ自動車株式会社 In-vehicle network system
JP2018074547A (en) 2016-11-04 2018-05-10 トヨタ自動車株式会社 On-vehicle network system
US20180131700A1 (en) 2016-11-04 2018-05-10 Toyota Jidosha Kabushiki Kaisha In-vehicle network system
CN108023872A (en) 2016-11-04 2018-05-11 丰田自动车株式会社 Vehicle netbios
JP2018093431A (en) 2016-12-06 2018-06-14 トヨタ自動車株式会社 Relay system

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
松本 浩幸,Ethernetと仮想化技術がクルマを変える(後編),日経エレクトロニクス,日本,日経BP社,2017年02月20日,第1177号,P94-96

Also Published As

Publication number Publication date
JP2020088717A (en) 2020-06-04

Similar Documents

Publication Publication Date Title
US10523683B2 (en) In-vehicle network system
JP6094439B2 (en) Vehicle control system
US9686126B2 (en) Automotive neural network
EP3923550A1 (en) In-vehicle communication system and method, and device
JP6460080B2 (en) In-vehicle network system
JP4483694B2 (en) Vehicle communication system
JP6471739B2 (en) In-vehicle communication system
KR20040032980A (en) Vehicle active network using multiple communication paths
CN112449322B (en) Vehicle-mounted control device
JP2004064626A (en) Communication system for vehicle
JP7201555B2 (en) In-vehicle network system
JP7031568B2 (en) In-vehicle network system
JP7252097B2 (en) In-vehicle network system
CA2879071A1 (en) Intra-train network management system
JP6981114B2 (en) Vehicle network system
JP2022066959A (en) Communication system and electronic control device
JP2017114406A (en) Network system
US11477047B2 (en) In-vehicle network system
US12143241B2 (en) Vehicle-mounted apparatus and a method for relaying
JP2020053780A (en) Relay device system
JP5267199B2 (en) Relay system and relay method
JP7513126B2 (en) Vehicle-mounted device and relay method
JP5120783B2 (en) Relay device, relay method executed by the device, and relay system comprising the device
JP2014171131A (en) Communication device using shared priority id

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210413

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20211222

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220125

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220207

R151 Written notification of patent or utility model registration

Ref document number: 7031568

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151