WO2020021715A1

WO2020021715A1 - 不正対処方法、不正対処装置および通信システム

Info

Publication number: WO2020021715A1
Application number: PCT/JP2018/028297
Authority: WO
Inventors: 良浩氏家; 剛岸川; 平野　亮
Original assignee: パナソニックインテレクチュアルプロパティコーポレーションオブアメリカ
Priority date: 2018-07-27
Filing date: 2018-07-27
Publication date: 2020-01-30
Also published as: JP7362613B2; EP3832955A4; CN111543033A; JPWO2020022327A1; JP2023168558A; CN111543033B; EP3832955A1; WO2020022327A1; CN115296884A; US20210001793A1; US12083971B2

Abstract

タイムスロットに基づくタイムトリガー型の通信方式である車載ネットワークにおける不正対処方法であって、車載ネットワークには、１以上の電子制御装置が接続され、１以上の電子制御装置は予め定められた所定のタイムスロット内でフレームを送受信し、電子制御装置は、フレームの送受信を行うフレーム送受信ステップと、不正なフレームを検知する不正検知ステップ（Ｓ１００２）と、不正検知ステップの判定結果を元に、所定の条件を満たした時に、所定の設定に従い、送信フレームの切り替え処理を行う切り替え判定ステップ（Ｓ１００５）を備える。

Description

不正対処方法、不正対処装置および通信システム

　本発明は、車載ネットワーク上で通信異常発生時にもフレームを送信する方法、システム、及び、装置に関する。

　近年、自動車の中のシステムには、電子制御ユニット（以下、ＥＣＵ）と呼ばれる装置が多数配置されている。これらのＥＣＵをつなぐネットワークを車載ネットワークと呼ばれる。車載ネットワークには、多数の規格が存在する。その中でも、現在、主流となっているＣｏｎｔｒｏｌｌｅｒ　Ａｒｅａ　Ｎｅｔｗｏｒｋ（以下ＣＡＮ）よりも高速、高信頼プロトコルとして設計されたＦｌｅｘＲａｙという規格が存在する。

　ＦｌｅｘＲａｙでは２本のより線の電圧差により“０”の値と“１”の値を表す。バスに接続されているＥＣＵはノードと呼ばれる。バスに接続されている各ノードは、フレームと呼ばれるメッセージを送受信する。ＦｌｅｘＲａｙはＴｉｍｅ　Ｄｉｖｉｓｉｏｎ　Ｍｕｌｔｉｐｌｅ　Ａｃｃｅｓｓ（以下ＴＤＭＡ）方式であり、各ノードは予め決められたタイミングでフレームを送信する。

　ＦｌｅｘＲａｙでは、最大の時間単位であるサイクルが存在し、各ノードはグローバルタイムを同期している。サイクルは「静的セグメント」「動的セグメント」「シンボルウィンドウ」「ネットワークアイドルタイム」の４つのセグメントから構成され、動的セグメントとシンボルウィンドウはオプションである。各ノードは静的セグメントと動的セグメントにおいてフレームを送信する。静的セグメントと動的セグメントは、さらにスロットと呼ばれる１つのフレームを送信することができる時間から構成される。

　ＦｌｅｘＲａｙでは送信先や送信元を示す識別子は存在せず、送信ノードはフレーム毎に予め定められた送信タイミングであるスロット番号に基いてフレームを送信する。各受信ノードは予め決められたスロット番号のフレームのみを受信する。また、同一のスロット番号のフレームであっても、サイクルによって異なるフレームの通信を実現する「サイクルマルチプレキシング」と呼ばれる方法が用いられることもある。

　また、ＦｌｅｘＲａｙでは、ＣＡＮのように全てのノードが１つのバスに接続されるバス型ネットワークトポロジだけでなく、スターカプラを介したスター型のネットワークトポロジや、バス型とスター型のハイブリッド型のネットワークトポロジを設計することが可能である。

　一方、セキュリティに関しては、ＣＡＮでは、攻撃者がＣＡＮのバスにアクセスし、不正フレームを送信することで、ＥＣＵを不正制御するといった脅威が存在し、セキュリティ対策が検討されている。

　例えば特許文献１では、車載ネットワーク監視装置を提案しており、フレームがあらかじめ規定された通信間隔でＣＡＮに送信されているかを検出し、規定された通信間隔から外れるフレームを不正と判断することで、不正フレームによる制御を防止する方法が開示されている。

特許第５６６４７９９号公報

　しかしながら、特許文献１のような不正検知手法による方法は、ＴＤＭＡ方式を採用しているＦｌｅｘＲａｙでは、予め規定された通信間隔で通信を行うため、適用することができない。

　本発明は、上記課題を解決するため、不正に送信されるフレームを検知した後に、当該フレームを送信する通信スロットを切り替えることで、不正に送信されたフレームによる影響の範囲を低減することにより安全な車載ネットワークシステムを提供することを目的とする。

　上記目的を達成するために、本発明の一態様に関わる不正対処方法は、タイムスロットに基づくタイムトリガー型の通信方式である車載ネットワークにおける不正対処方法であって、前記車載ネットワークには、１以上の電子制御装置が接続され、前記各電子制御装置は予め定められた所定のタイムスロット内でフレームを送受信し、前記電子制御装置は、前記フレームの送受信を行うフレーム送受信ステップと、不正なフレームを検知する不正検知ステップと、前記不正検知ステップの判定結果を元に、所定の条件を満たした時に、所定の設定に従い、送信フレームの切り替え処理を行う切り替え判定ステップを備える。

　本発明によれば、車載ネットワークに、不正フレームが送信されたとしても、不正なフレームを検知した後に、対処することで車載ネットワークシステム全体として、安全な状態を維持することができる。

図１は、実施の形態１における車載ネットワークシステム１０の全体構成図である。図２は、実施の形態１におけるＦｌｅｘＲａｙ通信のサイクルを示す図である。図３は、実施の形態１におけるＦｌｅｘＲａｙ通信のフレームフォーマットを示す図である。図４は、実施の形態１におけるＥＣＵ２００ａの構成の一例を示す図である。図５は、実施の形態１におけるＦｌｅｘＲａｙ通信の通信用設定パラメータの一例を示す図である。図６は、実施の形態１におけるスターカプラ３００の構成の一例を示す図である。図７は、実施の形態１におけるＦｌｅｘＲａｙ通信にて送信されるフレームリストの一例を示す図である。図８は、実施の形態１におけるＦｌｅｘＲａｙ通信のフレーム送信スケジュールの一例を示す図である。図９は、実施の形態１における切り替えテーブルの一例を示す図である。図１０は、実施の形態１における切り替え通信のシーケンスの一例を示す図である。図１１は、実施の形態２における車載ネットワークシステム２０の全体構成図である。図１２は、実施の形態２におけるＥＣＵ１２００ａの構成の一例を示す図である。図１３は、実施の形態２における切り替えテーブルの一例を示す図である。図１４は、実施の形態２における切り替え通信のシーケンスの一例を示す図である。

　本発明の一実施様態の不正対処方法は、タイムスロットに基づくタイムトリガー型の通信方式である車載ネットワークにおける不正対処方法であって、前記車載ネットワークには、１以上の電子制御装置が接続され、前記各電子制御装置は予め定められた所定のタイムスロット内でフレームを送受信し、前記電子制御装置は、前記フレームの送受信を行うフレーム送受信ステップと、不正なフレームを検知する不正検知ステップと、前記不正検知ステップの判定結果を元に、所定の条件を満たした時に、所定の設定に従い、送信フレームの切り替え処理を行う切り替え判定ステップを備える。

　これにより、不正なフレームを検知した際に、切り替えにより車載ネットワークシステム全体として、安全な状態を維持することができる。

　さらに、本発明の一実施態様の不正対処方法は、前記不正検知ステップとして、所定の攻撃判定アルゴリズムにより、フレームの不正を判定することを特徴とする。

　これにより、当該車載ネットワークがサイバーセキュリティ攻撃を受けた場合でも、車載ネットワークシステム全体として、安全な状態を維持することができる。

　さらに、本発明の一実施態様の不正対処方法は、前記所定の設定として、切り替え元のスロットとして、静的スロット、または、動的スロット、のいずれか一つを指定することを特徴とする。

　これにより、特定のスロットが不正となっても、回避することが可能となる。

　さらに、本発明の一実施態様の不正対処方法は、前記所定の設定として、切り替え先のスロットとして、静的スロット、または、動的スロット、のいずれか一つを指定することを特徴とする。

　さらに、本発明の一実施態様の不正対処方法は、前記所定の設定として、切り替え先のスロットとして、フレームがまだ割り当てられていない空きスロットを指定することを特徴とする。

　これにより、全体として通信時間が増加することなく、通信をすることが可能となる。

　さらに、本発明の一実施態様の不正対処方法は、前記所定の設定として、切り替え先のスロットとして、既にフレームが割り当てられているスロットを指定することを特徴とする。

　これにより、元々空きスロットが存在しないような通信仕様の場合にでも、全体として通信時間が増加することなく、通信をすることが可能となる。

　さらに、本発明の一実施態様の不正対処方法は、前記所定の設定として、既に割り当てられているフレームのペイロードと、切り替えられたフレームのペイロードを結合することを特徴とする。

　これにより、さらに全体として通信時間が増加することなく、通信をすることが可能となる。

　さらに、本発明の一実施態様の不正対処方法は、前記所定の設定として、切り替え先のスロットとして、新たにスロットを追加することを特徴とする。

　これにより、通常時の通信仕様に依存することなく、通信することが可能となる。

　さらに、本発明の一実施態様の不正対処方法は、前記所定の設定として、既に割り当てられているフレームのペイロードと、切り替えられたフレームのペイロードを交換することを特徴とする。

　これにより、特定のペイロードの送受信を行うだけで通常時は複数スロットのフレームを送受信する必要のある情報を送受信することが可能となる。

　さらに、本発明の一実施態様の不正対処方法は、前記所定の条件として、前記通信方式に従ったエラーの発生を検知することで、切り替え処理を行うことを特徴とする。

　これにより、追加で通知用のフレームを用意する必要が無く、切り替え処理を行うことが可能となる。

　さらに、本発明の一実施態様の不正対処方法は、前記所定の条件として、前記不正が発生したフレーム以外のフレームを検知することで、切り替え処理を行うことを特徴とする。

　これにより、ネットワークプロトコルに依存することなく、切り替え処理を行うことが可能となる。

　さらに、本発明の一実施態様の不正対処方法は、前記所定の条件として、予め設定された前記車載ネットワークを搭載する車両の状態に応じて、切り替え処理を行うことを特徴とする。

　これにより、車両状態に応じて適切な切り替え処理を規定することが可能となり、通常時との差分を抑えることが可能となる。

　さらに、本発明の一実施態様の不正対処方法は、前記車両の状態として、駐車中と、停車中と、走行中と、のいずれか一つの状態であることを特徴とする。

　これにより、駐車中と、停車中と、走行中のいずれかの状態に応じて適切な切り替え処理を規定することが可能となり、通常時との差分を抑えることが可能となる。

　さらに、タイムスロットに基づくタイムトリガー型の通信方式である車載ネットワークにおける通信システムであって、前記車載ネットワークには、１以上の電子制御装置が接続され、前記各電子制御装置は予め定められた所定のタイムスロット内でフレームを送受信し、前記電子制御装置は、前記フレームの送受信を行うフレーム送受信ステップと、不正なフレームを検知する不正検知ステップと、前記不正検知ステップの判定結果を元に、所定の条件を満たした時に、所定の設定に従い、送信フレームの切り替え処理を行う切り替え判定ステップを備える、ことを特徴とする。

　さらに、タイムスロットに基づくタイムトリガー型の通信方式である車載ネットワークにおける通信システムにおいて、前記車載ネットワークに、１つ以上接続される電子制御装置であって、前記各電子制御装置は予め定められた所定のタイムスロット内でフレームを送受信し、前記フレームの送受信を行うフレーム送受信部と、不正なフレームを検知する不正検知部と、前記不正検知ステップの判定結果を元に、所定の条件を満たした時に、所定の設定に従い、送信フレームの切り替え処理を行う切り替え判定部を備える、ことを特徴とする。

　以下、図面を参照しながら、本発明の実施の形態に関わる不正対処方法について説明する。なお、以下で説明する実施の形態は、いずれも本発明の好ましい一具体例を示す。つまり、以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置および接続形態、ステップ、ステップの順序などは、本発明の一例であり、本発明を限定する主旨ではない。本発明は、請求の範囲の記載に基づいて特定される。したがって、以下の実施の形態における構成要素のうち、本発明の最上位概念を示す独立請求項に記載されていない構成要素は、本発明の課題を達成するために必ずしも必要ではないが、より好ましい形態を構成する構成要素として説明される。

　（実施の形態１）
　１．システムの構成
　ここでは、本発明の実施の形態として、車載ネットワークシステム１０について図面を参照しながら説明する。

　１．１　車載ネットワークシステム１０の全体構成
　図１は、本発明に係る車載ネットワークシステム１０の全体構成を示す図である。車載ネットワークシステム１０は、ＦｌｅｘＲａｙバス１００ａ、１００ｂ、１００ｃ、１００ｄと、各バスに接続される、ＥＣＵ２００ａ、２００ｂ、２００ｃ、２００ｄと、各ＥＣＵの制御対象である前方カメラ２１０、ギア２２０、ブレーキ２３０、後方カメラ２４０と、各ＦｌｅｘＲａｙバスを接続するスターカプラ３００と、から構成される。ＥＣＵ２００ａ～２００ｄは、ＦｌｅｘＲａｙバスを通じて、フレームの送受信を行うことで、車両の制御を実現する。また、ＦｌｅｘＲａｙバス１００ａ、１００ｂ、１００ｃ、１００ｄは、どのバスにも同じ信号が流れるようにスターカプラが信号の整形を行い、各ＥＣＵは、ＦｌｅｘＲａｙバスを通じて同期をとっている。

　１．２　ＦｌｅｘＲａｙサイクル
　図２は、本発明に係るＦｌｅｘＲａｙ通信のサイクルを示す図である。ＦｌｅｘＲａｙの通信はサイクル（Ｃｙｃｌｅ）と呼ばれる単位で行われ、サイクルの繰り返し回数（サイクルカウンタ）を各ノードが同期して保持しており、サイクルカウンタは０～６３の値をとる。サイクルカウンタが６３である次のサイクルはサイクルカウンタを０にリセットする。

　各サイクルは、静的セグメント（Ｓｔａｔｉｃ　ｓｅｇｍｅｎｔ）、動的セグメント（Ｄｙｎａｍｉｃ　ｓｅｇｍｅｎｔ）、シンボルウィンドウ（Ｓｙｍｂｏｌ　ｗｉｎｄｏｗ）、ネットワークアイドルタイム（ＮＩＴ）の４つのセグメントから構成される。各セグメントの時間は予め設計されたパラメータによって、ＦｌｅｘＲａｙネットワーク全体（クラスタ）で共通であるため、１サイクルの時間も同様にクラスタで共通である。

　静的セグメントは、複数のスロットから構成される。スロットの個数、および各スロットの時間はクラスタ内で共通である。またＦｌｅｘＲａｙフレームは１スロット内に１つのフレームが送信され、スロットの番号がフレームの識別子（Ｆｒａｍｅ　ＩＤ）となる。各ＥＣＵは予め定められたタイミング（スロット番号）で、フレームの送信を行うように設計されている。静的セグメント内で送信されるフレームを静的フレームとよぶ。静的フレームは、ペイロード長がクラスタ内で共通となっている。

　動的セグメントは、ミニスロットと呼ばれるスロットから構成される。ミニスロットにも同様にスロット番号が存在し、各ＥＣＵは、予め定められたタイミング（スロット番号）で送信を行うように設計されているが、静的セグメントと異なり、必ずしもフレームの送信を行う必要はない。動的セグメント内で送信されるフレーム動的フレームとよぶ。動的フレーは、ペイロード長として０～２５４の任意の値をとることができる。

　シンボルウィンドウは、シンボルと呼ばれる信号の送受信を行う時間帯である。

　ネットワークアイドルタイムは、通信を行わない時間帯であり、サイクルの最後に必ず設けられる。各ＥＣＵは、時刻の同期処理等を行う。

　１．３　フレームフォーマット
　図３は、本発明に係るＦｌｅｘＲａｙプロトコルのフレームフォーマットを示す図である。フレームは、Ｈｅａｄｅｒ　Ｓｅｇｍｅｎｔ、Ｐａｙｌｏａｄ　Ｓｅｇｍｅｎｔ、Ｔｒａｉｌｅｒ　Ｓｅｇｍｅｎｔの３つのセグメントから構成される。

　Ｈｅａｄｅｒ　ＳｅｇｍｅｎｔはＲｅｓｅｒｖｅｄ　ｂｉｔから始まり、フレームの種別を表すための、Ｐａｙｌｏａｄ　ｐｒｅａｍｂｌｅ　ｉｎｄｉｃａｔｏｒ、Ｎｕｌｌ　ｆｒａｍｅ　ｉｎｄｉｃａｔｏｒ、Ｓｙｎｃ　ｆｒａｍｅ　ｉｎｄｉｃａｔｏｒ、Ｓｔａｒｔｕｐ　ｆｒａｍｅ　ｉｎｄｉｃａｔｏｒがそれぞれ１ビットずつ含まれる。さらに１１ビットのＦｒａｍｅ　ＩＤと、７ビットのＰａｙｌｏａｄ　ｌｅｎｇｔｈ、１１ビットのＨｅａｄｅｒ　ＣＲＣ、６ビットのＣｙｃｌｅ　ｃｏｕｎｔから構成される。Ｆｒａｍｅ　ＩＤは、スロットＩＤとも呼ばれ、フレームの送信タイミング及び、フレームの内容を識別するために用いられる。Ｐａｙｌｏａｄ　ｌｅｎｇｔｈは最大１２７の値をとり得る。Ｐａｙｌｏａｄ　ＳｅｇｍｅｎｔにはＰａｙｌｏａｄ　ｌｅｎｇｔｈの値に２をかけたバイト数が格納される。Ｈｅａｄｅｒ　ＣＲＣはＳｙｎｃ　ｆｒａｍｅ　ｉｎｄｉｃａｔｏｒからＰａｙｌｏａｄ　ｌｅｎｇｔｈまでを含んだ値から計算されるチェックサムである。Ｃｙｃｌｅ　ｃｏｕｎｔは、現在のサイクル数が格納される。

　Ｐａｙｌｏａｄ　Ｓｅｇｍｅｎｔには、フレームの内容を表すデータが含まれる。Ｐａｙｌｏａｄ　ｌｅｎｇｔｈの値の２倍のバイト数が格納されており、最大で２５４バイトが格納される。

　Ｔｒａｉｌｅｒ　Ｓｅｇｍｅｎｔにはフレームの全てを含んだ値から計算されるＣＲＣが格納されている。

　１．４　ＥＣＵ２００ａの構成図
　図４は、本発明に係るＥＣＵ２００ａの構成を示す図である。なお、ＥＣＵ２００ｂ、ＥＣＵ２００ｃ、ＥＣＵ２００ｄも同様の構成であるので、ここでは説明を省略する。

　ＥＣＵ２００ａは、フレーム送受信部２０１と、通信用設定パラメータ保持部２０２と、フレーム解釈部２０３と、外部機器制御部２０４と、フレーム生成部２０５と、不正判定部２０６と、切り替え判定部２０７と、切り替えテーブル保持部２０８と、から構成される。

　フレーム送受信部２０１は、バス１００ａから受信した物理信号を、デジタル信号に復号することでフレームの情報を取得する。フレーム送受信部２０１は通信用設定パラメータ保持部２０２に保持される、通信用設定パラメータを参照することで、他のＥＣＵと時刻を同期し、正しくフレームを受信することができる。またフレーム送受信部２０１は、フレーム生成部２０５から、通知される送信フレーム要求に従い、予め定められたタイミングで、フレームを物理信号に変換して、バス１００ａに送信する。

　通信用設定パラメータ保持部２０２は、物理信号を正しく、デジタル信号に変換するための、クラスタ内で共通のパラメータが保持されている。図５に通信用設定パラメータ保持部２０２に保持される通信用設定パラメータの一例を示し、詳細は後述する。

　フレーム解釈部２０３は、フレーム送受信部２０１から通知される受信したフレームに含まれるペイロードを解釈し、ペイロードの内容に応じてＥＣＵ２００ａに接続される前方カメラ２１０の制御を行うために外部機器制御部２０４へ通知を行う。例えば、他のＥＣＵから通知される車両の速度の情報に基づいて、走行状態を判断し、走行状態に応じたカメラ撮影内容の調整を行う。また、フレームに含まれるＩＤ、ペイロードなどの受信内容を不正判定部２０６へ通知する。

　外部機器制御部２０４は、ＥＣＵ２００ａに接続される前方カメラ２１０の制御を行う。また前方カメラ２１０からの通知内容に応じて、他のＥＣＵに状態を通知するためのフレーム送信要求をフレーム生成部２０５に通知する。例えば、前方の歩行者の有無を通知する。

　フレーム生成部２０５は、通知された信号に基づいて、フレームの生成を行い、フレーム送受信部２０１へ送信要求を行う。

　不正判定部２０６は、フレーム解釈部２０３から通知されるＩＤ、ペイロードなどの受信内容を基に、受信したフレームが不正かどうかを判定する。本実施例では、シンタックスエラーなどのエラーを同一ＩＤにて受信した場合、不正と判定する。不正と判定された場合、その旨を切り替え判定部２０７と、フレーム生成部２０５へと通知する。

　切り替え判定部２０７は、不正判定部２０６から通知される判定結果を基に、切り替えテーブル保持部２０８から通知される切り替えテーブルの内容を参照し、送信内容を変更するよう、フレーム生成部２０５へと通知する。

　切り替えテーブル保持部２０８は、不正検知結果に応じて送信内容を切り替えるために必要となる切り替えテーブルを保持する。

　１．５　通信用設定パラメータの一例
　図５は、通信用設定パラメータ保持部２０２に格納されている通信用設定パラメータの一例を示している。通信用設定パラメータとしては、通信の速度を表すボーレートが１０Ｍｂｐｓであることと、静的セグメントのスロットＩＤが１～５０であること、動的セグメントのスロットＩＤが５１～１００であることを示している。また静的スロットのペイロード長が８（つまり１６バイト）であることが示されている。これらの値は、クラスタ内のＥＣＵ全てに共有されており、これらの値を元にＦｌｅｘＲａｙフレームの送受信を実現する。なお通信用設定パラメータの値は一例に過ぎず、別の値であっても構わない。また、ここで示したパラメータも一例に過ぎず、図５に記載のないパラメータ（例えば、各セグメントの長さや、スロットの長さ等）が含まれていてもよいし、逆に記載されているパラメータの一部が含まれていなくてもよい。

　１．６　スターカプラ３００の構成図
　図６は、スターカプラ３００の構成図である。スターカプラ３００は、トランシーバ部３０１ａ、３０１ｂ、３０１ｃ、３０１ｄとルーティング部３０２とから構成される。なお、トランシーバ部３０１ｂ、３０１ｃ、３０１ｄは、トランシーバ部３０１ａと同様のため、説明を省略する。

　トランシーバ部３０１ａは、バス１００ａから受信した物理信号を、デジタル信号に変換し、ルーティング部３０２へ通知する。またデジタル信号をルーティング部３０２から通知された場合は、通知されたデジタル信号を、物理信号へ変換し、バス１００ａへ転送する。

　ルーティング部３０２は、トランシーバ部３０１ａから通知されたデジタル信号を、トランシーバ部３０１ａを除くトランシーバ部３０１ｂ、３０１ｃ、３０１ｄ、３０１ｅへ転送する。同様にトランシーバ部３０１ｂからデジタル信号を通知された場合は、トランシーバ部３０１ｂを除く、トランシーバ部に対して、デジタル信号を通知する。ルーティング部は複数のトランシーバ部から、デジタル信号を受信した場合は、最初にデジタル信号を受信したバスからの信号を、他のトランシーバ部へ通知する。

　１．７　フレームリストの一例
　図７は、ＥＣＵ２００ａによって送受信されるフレームリストの一例を示している。

　図７では、スロットＩＤとＣｙｃｌｅ　ｏｆｆｓｅｔ、Ｃｙｃｌｅ　ｒｅｃｅｐｔｉｏｎ、フレーム名、フレームに含まれるペイロード情報が保持されている。Ｃｙｃｌｅ　ｏｆｆｓｅｔとＣｙｃｌｅ　ｒｅｃｅｐｔｉｏｎは、サイクル多重化（サイクルマルチプレキシング）と呼ばれる同じスロットＩＤであっても異なる内容のフレームを送受信する方法が用いられるときに対象のフレームを抽出するために必要な情報である。例えば、スロットＩＤが９８のフレームには２つのフレーム名が存在し、それぞれのフレームで前方カメラ情報１、前方カメラ情報２の異なる内容を通知する。前方カメラ情報１ではＣｙｃｌｅ　ｏｆｆｓｅｔが０で、Ｃｙｃｌｅ　ｒｅｃｅｐｔｉｏｎが２である。これはサイクルカウンタが０からスタートし、２サイクルごとに当該フレームを送信することを意味する。つまり前方カメラ情報１が通知されるフレームＣが送信されるのは、サイクルカウンタが、０、２、４、６、・・・、５８、６０、６２のスロットＩＤが９８のときに送信されることを示している。同様に前方カメラ情報２を含むフレームＤは、サイクルカウンタが１、３、５、・・・５９、６１、６３のスロットＩＤが９９のときに送信される。上記のように異なるフレームを同一スロットＩＤで送信する方法をサイクルマルチ多重化とよぶ。同様に、スロットＩＤが９９のフレームにも２つのフレーム名が存在し、それぞれのフレームで後方カメラ情報１、後方カメラ情報２の異なる内容を通知する。後方カメラ情報１を含むフレームＥは、サイクルカウンタが０、２、４、・・・、５８、６０、６２のサイクルＩＤが９９の時に送信され、後方カメラ情報２が含まれるフレームＦは、サイクルカウンタが１、３、５、・・・、５９、６１、６３のサイクルＩＤが９９の時に送信される。

　図７では、スロットＩＤが１であり、Ｃｙｃｌｅ　Ｏｆｆｓｅｔが０、Ｃｙｃｌｅ　ｒｅｃｅｐｔｉｏｎが１（つまり全てのサイクルで同一フレームが送信される。）のフレームはフレーム名がＡであり、フレームＡのペイロードには速度に関する情報が含まれることを示している。スロットＩＤが２には、フレームが送信されないことを示している。スロットＩＤが３であり、Ｃｙｃｌｅ　Ｏｆｆｓｅｔが０、Ｃｙｃｌｅ　Ｒｅｃｅｐｔｉｏｎが２（つまりサイクルカウンタが偶数のときのみ送信される）のフレームはフレーム名がＢであり、フレームＢのペイロードにはギア状態に関する情報が含まれることを示している。スロットＩＤが９８であり、Ｃｙｃｌｅ　Ｏｆｆｓｅｔが０、Ｃｙｃｌｅ　ｒｅｃｅｐｔｉｏｎが２のフレームはフレーム名がＣであり、フレームＣのペイロードには前方カメラ情報１に関する情報が含まれることを示している。スロットＩＤが９８であり、Ｃｙｃｌｅ　Ｏｆｆｓｅｔが１、Ｃｙｃｌｅ　ｒｅｃｅｐｔｉｏｎが２のフレームはフレーム名がＤであり、フレームＤのペイロードには前方カメラ情報２に関する情報が含まれることを示している。スロットＩＤが９９であり、Ｃｙｃｌｅ　Ｏｆｆｓｅｔが０、Ｃｙｃｌｅ　ｒｅｃｅｐｔｉｏｎが２のフレームはフレーム名がＥであり、フレームＥのペイロードには後方カメラ情報１に関する情報が含まれることを示している。スロットＩＤが９９であり、Ｃｙｃｌｅ　Ｏｆｆｓｅｔが１、Ｃｙｃｌｅ　ｒｅｃｅｐｔｉｏｎが２のフレームはフレーム名がＦであり、フレームＦのペイロードには後方カメラ情報２に関する情報が含まれることを示している。また、フレームＡおよびＢは静的セグメント内で送信される静的フレームであり、フレームＣからフレームＦは動的セグメント内で送信される動的フレームである。

　図８に、図７のフレームリストの例におけるフレーム送信スケジュールを示している。横軸がスロットＩＤを示しており、縦軸がサイクルを示している。スロットＩＤとサイクルで定まるセルには、送信されるフレーム名が記載されている。図では、フレームＣからフレームＦは、所定のサイクルで送信されているが、当該フレームは動的フレームであるため、送信されない場合もある。

　１．８　切り替えテーブルの一例
　図９は、切り替えテーブルの一例を示している。本実施例では、ＩＤが１、３、９８、９９のフレームにて不正が発生した場合に、それぞれＩＤが９７、１００、９９、９８へと切り替える内容を示している。

　１．９　切り替え通信シーケンスの一例
　図１０は、ＥＣＵ２００ａにて不正を検知し、切り替えを実施するシーケンスの一例を示している。

　（Ｓ１００１）ＥＣＵ２００ａは、ＦｌｅｘＲａｙにおけるエラーの有無を検出する。

　（Ｓ１００２）ＥＣＵ２００ａは、同一ＩＤによるエラーかどうかを判断するためのカウンタによって、同一ＩＤによるエラーが複数回発生しているかどうかを判断する。

　（Ｓ１００３）ＥＣＵ２００ａは、対象ＩＤのエラーカウンタをカウントアップする。

　（Ｓ１００４）ＥＣＵ２００ａは、切り替えテーブルを参照し、対象ＩＤに該当する切り替え処理を発見する。

　（Ｓ１００５）ＥＣＵ２００ａは、ＩＤ設定の切り替えを実施する。

　（Ｓ１００６）ＥＣＵ２００ａは、対象ＩＤのエラーカウンタをクリアする。

　１．１０　実施の形態１の効果
　実施の形態１で示した不正対処方法は、不正を検知したＥＣＵが切り替えテーブルを用いて、送信するフレームの送信スロットを動的に変更することで、不正なフレームによる通信妨害を回避し、通常の通信を維持することができる。また、予め空けておいた通信スロットを有効活用することで、通信量を増加させることなく、フレームを送信することが可能となる。

　（実施の形態２）
　２．システムの構成
　ここでは、本発明の実施の形態として、車載ネットワークシステム２０について図面を参照しながら説明する。

　２．１　車載ネットワークシステム２０の全体構成
　図１１は、本発明に係る車載ネットワークシステム２０の全体構成を示す図である。車載ネットワークシステム２０は、ＦｌｅｘＲａｙバス１００ａ、１００ｂ、１００ｃ、１００ｄと、各バスに接続される、ＥＣＵ１２００ａ、１２００ｂ、１２００ｃ、１２００ｄと、各ＥＣＵの制御対象である前方カメラ２１０、ギア２２０、ブレーキ２３０、後方カメラ２４０と、各ＦｌｅｘＲａｙバスを接続するスターカプラ３００と、から構成される。なお、実施の形態１と同一の構成要素は、同一の番号を付与し、説明を省略する。

　２．２　ＥＣＵ１２００ａの構成図
　図１２は、本発明に係るＥＣＵ１２００ａの構成を示す図である。なお、ＥＣＵ１２００ｂ、ＥＣＵ１２００ｃ、ＥＣＵ１２００ｄも同様の構成であるので、ここでは説明を省略する。

　ＥＣＵ１２００ａは、フレーム送受信部２０１と、通信用設定パラメータ保持部２０２と、フレーム解釈部１２０３と、外部機器制御部２０４と、フレーム生成部２０５と、不正判定部２０６と、切り替え判定部１２０７と、切り替えテーブル保持部２０８と、車両状態判定部１２０９と、から構成される。なお、実施の形態１と同一の構成要素は、同一の番号を付与し、説明を省略する。

　フレーム解釈部１２０３は、フレーム送受信部２０１から通知される受信したフレームに含まれるペイロードを解釈し、ペイロードの内容に応じてＥＣＵ２００ａに接続される前方カメラ２１０の制御を行うために外部機器制御部２０４へ通知を行う。例えば、他のＥＣＵから通知される車両の速度の情報に基づいて、走行状態を判断し、走行状態に応じたカメラ撮影内容の調整を行う。また、フレームに含まれるＩＤ、ペイロードなどの受信内容を不正判定部２０６と、車両状態判定部１２０９と、へ通知する。

　切り替え判定部１２０７は、不正判定部２０６から通知される判定結果と、車両状態判定部１２０９から通知される車両状態と、を基に、切り替えテーブル保持部２０８から通知される切り替えテーブルの内容を参照し、送信内容を変更するよう、フレーム生成部２０５へと通知する。

　車両状態判定部１２０９は、フレーム解釈部１２０３から通知されるＩＤ、ペイロードなどの受信内容を基に、現在の車両の状態を判定する。例えば、他ＥＣＵが判定した結果をペイロードとして含むフレームを受信しても良いし、速度やギアなどの情報を元に各ＥＣＵの車両判定部１２０９で判定するとしても良い。

　２．３　切り替えテーブルの一例
　図１３は、切り替えテーブルの一例を示している。本実施例では、車両の状態がどんな状態であっても、ＩＤが１、３、それぞれＩＤが９７、１００へと切り替える内容を示している。また、車両の状態が走行中の場合のみ、ＩＤが９８、９９、それぞれＩＤが９９、９８へと切り替える内容を示している。

　２．４　切り替え通信シーケンスの一例
　図１４は、ＥＣＵ１２００ａにて不正を検知し、切り替えを実施するシーケンスの一例を示している。なお、図１０と同一の処理ステップには同一の番号を付与し、説明を省略する。
（Ｓ２００７）ＥＣＵ１２００ａは、現在の車両状態と切り替えテーブルを比較し、対象ＩＤを切り替える必要があるかどうかを判定する。

　２．５　実施の形態２の効果
　実施の形態２で示した不正対処方法は、不正を検知したＥＣＵが特定の車両状態に対応した切り替えテーブルを用いて、送信するフレームの送信スロットを動的に変更することで、不正なフレームによる通信妨害を回避し、通常の通信を維持することができる。また、予め空けておいた通信スロットを有効活用することで、通信量を増加させることなく、フレームを送信することが可能となる。また、特定の車両状態に限定することで、通常時の通信からの変更を最小限に抑え、通常の通信を維持することができる。

　３．　その他変形例
　なお、本発明を上記各実施の形態に基づいて説明してきたが、本発明は、上記各実施の形態に限定されないのはもちろんである。以下のような場合も本発明に含まれる。

　（１）上記実施の形態１では、切り替えテーブルは静的に保持している例を示したが、通信開始後、空いているスロットを動的に探索の上、作成するとしても良い。また、その際には、通信開始時にお互いのテーブルを共有するための同期フレームを新たに送信するとしてもよい。

　（２）上記実施の形態１では、切り替え前のスロットから、切り替え後のスロットへ、送信フレームを切り替える例を示したが、両方送信し続けるとしても良い。また、その場合には両スロットにて送信されるフレームの内容を比較の上、同一だった場合のみ採用する、あるいは両スロットにて送信されるフレームの内容に差異があった場合、切り替え後のスロットにて送信されるフレームの内容のみ採用するとしても良い。

　（３）上記実施の形態では、フレームのエラーを検知することで、切り替えを行いましたが、不正検知方法はこれに限定しない。予め決められたペイロードから外れる場合に検知するとしても良いし、前フレームからの差分が急な場合に不正と判断するとしても良い。また上記のような不正検知結果を、予め双方にて決めておいた別スロットで通信相手に通知するとしても良い。

　（４）上記実施の形態では、切り替えるＩＤを静的スロットから動的スロットへと切り替える例を示したが、動的スロットから静的スロットへ、または、動的スロット同士、または静的スロット同士で切り替えるとしても良い。

　（５）上記実施の形態では、切り替える内容をＩＤ毎にしたが、ペイロードの位置を切り替えるとしても良い。元々空きとなっているペイロード位置に変更しても良いし、元々あるペイロード位置とスイッチするとしても良い。

　（６）上記の実施の形態では、車載ネットワークとしてＦｌｅｘＲａｙプロトコルを用いていたが、これに限るものではない。例えば、ＣＡＮ－ＦＤ（ＣＡＮ　ｗｉｔｈ　Ｆｒｅｘｉｂｌｅ　Ｄａｔａ　Ｒａｔｅ）、Ｅｔｈｅｒｎｅｔ、ＬＩＮ（Ｌｏｃａｌ　Ｉｎｔｅｒｃｏｎｎｅｃｔ　Ｎｅｔｗｏｒｋ）、ＭＯＳＴ（Ｍｅｄｉａ　Ｏｒｉｅｎｔｅｄ　Ｓｙｓｔｅｍｓ　Ｔｒａｎｓｐｏｒｔ）などを用いてもよい。あるいはこれらのネットワークをサブネットワークとして、組み合わせたネットワークであってもよい。

　（７）上記の実施の形態における各装置は、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭ、ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。ＲＡＭまたはハードディスクユニットには、コンピュータプログラムが記録されている。マイクロプロセッサが、前記コンピュータプログラムにしたがって動作することにより、各装置は、その機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。

　（８）上記の実施の形態における各装置は、構成する構成要素の一部または全部は、１個のシステムＬＳＩ（Ｌａｒｇｅ　Ｓｃａｌｅ　Ｉｎｔｅｇｒａｔｉｏｎ：大規模集積回路）から構成されているとしてもよい。システムＬＳＩは、複数の構成部を１個のチップ上に集積して製造された超多機能ＬＳＩであり、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭなどを含んで構成されるコンピュータシステムである。ＲＡＭには、コンピュータプログラムが記録されている。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、システムＬＳＩは、その機能を達成する。

　また、上記の各装置を構成する構成要素の各部は、個別に１チップ化されていても良いし、一部又はすべてを含むように１チップ化されてもよい。

　また、ここでは、システムＬＳＩとしたが、集積度の違いにより、ＩＣ、ＬＳＩ、スーパーＬＳＩ、ウルトラＬＳＩと呼称されることもある。また、集積回路化の手法はＬＳＩに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。ＬＳＩ製造後に、プログラムすることが可能なＦＰＧＡ（Ｆｉｅｌｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）や、ＬＳＩ内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサーを利用しても良い。

　さらには、半導体技術の進歩又は派生する別技術によりＬＳＩに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてありえる。

　（９）上記の各装置を構成する構成要素の一部または全部は、各装置に脱着可能なＩＣカードまたは単体のモジュールから構成されているとしてもよい。ＩＣカードまたは前記モジュールは、マイクロプロセッサ、ＲＯＭ、ＲＡＭなどから構成されるコンピュータシステムである。ＩＣカードまたは前記モジュールは、上記の超多機能ＬＳＩを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、ＩＣカードまたは前記モジュールは、その機能を達成する。このＩＣカードまたはこのモジュールは、耐タンパ性を有するとしてもよい。

　（１０）本発明は、上記に示す方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、前記コンピュータプログラムからなるデジタル信号であるとしてもよい。

　また、本発明は、コンピュータプログラムまたはデジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、ＣＤ－ＲＯＭ、ＭＯ、ＤＶＤ、ＤＶＤ－ＲＯＭ、ＤＶＤ－ＲＡＭ、ＢＤ（Ｂｌｕ－ｒａｙ（登録商標）　Ｄｉｓｃ）、半導体メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されている前記デジタル信号であるとしてもよい。

　また、本発明は、前記コンピュータプログラムまたは前記デジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。

　また、本発明は、マイクロプロセッサとメモリを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記録しており、前記マイクロプロセッサは、前記コンピュータプログラムにしたがって動作するとしてもよい。

　また、前記プログラムまたは前記デジタル信号を前記記録媒体に記録して移送することにより、または前記プログラムまたは前記デジタル信号を前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。

　（１１）上記実施の形態及び上記変形例をそれぞれ組み合わせるとしてもよい。

　本発明は、車載ネットワークシステム全体として、安全な状態を維持することができる。

　１０、２０　車載ネットワークシステム
　１００ａ、１００ｂ、１００ｃ、１００ｄ　バス
　２００ａ、２００ｂ、２００ｃ、２００ｄ、１２００ａ、１２００ｂ、１２００ｃ、１２００ｄ　ＥＣＵ
　２１０　前方カメラ
　２２０　ギア
　２３０　ブレーキ
　２４０　後方カメラ
　３００　スターカプラ

Claims

　タイムスロットに基づくタイムトリガー型の通信方式である車載ネットワークにおける不正対処方法であって、
　前記車載ネットワークには、１以上の電子制御装置が接続され、
　前記１以上の電子制御装置は予め定められた所定のタイムスロット内でフレームを送受信し、
　前記電子制御装置は、
　前記フレームの送受信を行うフレーム送受信ステップと、
　不正なフレームを検知する不正検知ステップと、
　前記不正検知ステップの判定結果を元に、所定の条件を満たした時に、所定の設定に従い、送信フレームの切り替え処理を行う切り替え判定ステップを備える、
　ことを特徴とする不正対処方法。
　前記不正検知ステップは、
　所定の攻撃判定アルゴリズムにより、フレームの不正を判定する、
　ことを特徴とする請求項１記載の不正対処方法。
　前記所定の設定とは、
　切り替え元のスロットとして、静的スロット、または、動的スロット、のいずれか一つを指定する、
　ことを特徴とする請求項１記載の不正対処方法。
　前記所定の設定とは、
　切り替え先のスロットとして、静的スロット、または、動的スロット、のいずれか一つを指定する、
　ことを特徴とする請求項１記載の不正対処方法。
　前記所定の設定とは、
　切り替え先のスロットとして、フレームがまだ割り当てられていない空きスロットを指定する、
　ことを特徴とする請求項１記載の不正対処方法。
　前記所定の設定とは、
　切り替え先のスロットとして、既にフレームが割り当てられているスロットを指定する、
　ことを特徴とする請求項１記載の不正対処方法。
　前記所定の設定とは、
　切り替え先のスロットとして、新たにスロットを追加する、
　ことを特徴とする請求項１記載の不正対処方法。
　前記所定の設定とは、
　既に割り当てられているフレームのペイロードと、切り替えられたフレームのペイロードを結合する、
　ことを特徴とする請求項６記載の不正対処方法。
　前記所定の設定とは、
　既に割り当てられているフレームのペイロードと、切り替えられたフレームのペイロードを交換する、
　ことを特徴とする請求項１記載の不正対処方法。
　前記所定の条件とは、
　前記通信方式に従ったエラーの発生を検知することで、切り替え処理を行う、
　ことを特徴とする請求項１記載の不正対処方法。
　前記所定の条件とは、
　前記不正が発生したフレーム以外のフレームを検知することで、切り替え処理を行う、
　ことを特徴とする請求項１記載の不正対処方法。
　前記所定の条件とは、
　予め設定された前記車載ネットワークを搭載する車両の状態に応じて、切り替え処理を行う、
　ことを特徴とする請求項１記載の不正対処方法。
　前記車両の状態とは駐車中と、停車中と、走行中と、のいずれか一つの状態である、
　ことを特徴とする請求項１２記載の不正対処方法。
　タイムスロットに基づくタイムトリガー型の通信方式である車載ネットワークにおける通信システムであって、
　前記車載ネットワークには、１以上の電子制御装置が接続され、
　前記１以上の電子制御装置は予め定められた所定のタイムスロット内でフレームを送受信し、
　前記電子制御装置は、
　前記フレームの送受信を行うフレーム送受信ステップと、
　不正なフレームを検知する不正検知ステップと、
　前記不正検知ステップの判定結果を元に、所定の条件を満たした時に、所定の設定に従い、送信フレームの切り替え処理を行う切り替え判定ステップを備える、
　ことを特徴とする通信システム。
　タイムスロットに基づくタイムトリガー型の通信方式である車載ネットワークにおける通信システムにおいて、
　前記車載ネットワークに、１つ以上接続される電子制御装置であって、
　前記１以上の電子制御装置は予め定められた所定のタイムスロット内でフレームを送受信し、
　前記フレームの送受信を行うフレーム送受信部と、
　不正なフレームを検知する不正検知部と、
　前記不正検知ステップの判定結果を元に、所定の条件を満たした時に、所定の設定に従い、送信フレームの切り替え処理を行う切り替え判定部を備える、
　ことを特徴とする不正対処装置。