JP2019146145A - 通信装置、通信方法及びプログラム - Google Patents
通信装置、通信方法及びプログラム Download PDFInfo
- Publication number
- JP2019146145A JP2019146145A JP2018197882A JP2018197882A JP2019146145A JP 2019146145 A JP2019146145 A JP 2019146145A JP 2018197882 A JP2018197882 A JP 2018197882A JP 2018197882 A JP2018197882 A JP 2018197882A JP 2019146145 A JP2019146145 A JP 2019146145A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- communication data
- bus
- network
- vehicle
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
【課題】外部の装置との通信の負荷及び当該装置のストレージ容量の削減を効果的に行うことができる通信装置を提供する。【解決手段】通信装置101は、システムにおける複数のECU104が接続されたネットワークに流れる通信データに基づいて、システムの稼働状態を判定する判定部309と、判定された稼働状態に対応するサンプリング方法に従って、通信データのサンプリングを行う制御部310と、サンプリングされた通信データを、システムの外部の装置に送信する送受信部301と、を備える。【選択図】図3
Description
本発明は、外部の装置との通信を行う通信装置、通信方法及びプログラムに関するものである。
従来、車載ネットワークに接続される電子制御ユニット(ECU:Electronic Control Unit)から得た情報を、車内の通信モジュールを介して外部サーバへ送信し、サーバで車両の故障解析を行うリモート診断システムが開発されている。また近年、自動車の車載ネットワークへの攻撃(ハッキング)に対して、ECUから得た情報を外部サーバへ送信し、収集、分析することで、攻撃者による不正なメッセージの送信等の攻撃の検知を行うなど、車両情報を車内で蓄積し、外部サーバへ送信することの重要性が高まっている。しかし、このような分析等のために、車両からサーバ装置等へ、車載ネットワークのバスに流れる全てのメッセージに係る情報を送信するには、かなり大きな通信帯域が必要となる。
特許文献1には、複数の電子制御ユニットの一部から送信するデータ量の総和が所定の値を超えないように、サーバ装置から送信されるデータ出力パターンに従って、送信するデータ量を変更させる通信方法が記載されている。これにより、車両とサーバ装置との通信の負荷及びサーバ装置のストレージ容量の削減が可能となる。
しかしながら、特許文献1記載の通信方法においては、データ出力パターンは車両の状態に依らずにサーバから送信されるため、例えば車両の状態が停車中であるのに対して、停車中であることによってほぼ0となっている車速を表す車両データの量を増加させるなど、車両の状態に依っては値の変化の少ない車両データを大量にサーバ装置等の車両の外部の装置へ送信する可能性がある。このため、車両の外部の装置との通信の負荷及び当該装置のストレージ容量の削減を効果的に行うことが難しいという課題がある。
本発明の目的は、外部の装置との通信の負荷及び当該装置のストレージ容量の削減を効果的に行うことができる通信装置等を提供することである。
上記目的を達成するために本発明の一態様に係る通信装置は、システムにおける複数の電子制御ユニットが接続されたネットワークに流れる通信データに基づいて、前記システムの稼働状態を判定する判定部と、前記判定された稼働状態に対応するサンプリング方法に従って、前記通信データのサンプリングを行う制御部と、前記サンプリングされた通信データを、前記システムの外部の装置に送信する送信部と、を備える。
また、上記目的を達成するために本発明の一態様に係る情報処理方法は、システムにおける複数の電子制御ユニットが接続されたネットワークに流れる通信データに基づいて、前記システムの稼働状態を判定し、前記判定された稼働状態に対応するサンプリング方法に従って、前記通信データのサンプリングを行い、前記サンプリングされた通信データを、前記システムの外部の装置に送信する。
また、上記目的を達成するために本発明の一態様に係るプログラムは、システムにおける複数の電子制御ユニットが接続されたネットワークに流れる通信データに基づいて、前記システムの稼働状態を判定する処理と、前記判定された稼働状態に対応するサンプリング方法に従って、前記通信データのサンプリングを行う処理と、前記サンプリングされた通信データを、前記システムの外部の装置に送信する処理と、をコンピュータに実行させるためのプログラムである。
本発明によれば、外部の装置との通信の負荷及び当該装置のストレージ容量の削減を効果的に行うことができる。
(実施の形態)
以下、本発明の実施の形態における通信システムについて図面を参照しながら説明する。
以下、本発明の実施の形態における通信システムについて図面を参照しながら説明する。
[1.1 通信システム10の構成]
図1は、実施の形態における通信システム10の構成図である。なお、図1には、通信システム10に接続されるサーバ装置11についても示されている。
図1は、実施の形態における通信システム10の構成図である。なお、図1には、通信システム10に接続されるサーバ装置11についても示されている。
通信システム10は、例えば、車両に搭載された車載ネットワークである。なお、以下では、車載ネットワークをネットワークとも呼ぶ場合もある。通信システム10は、例えば、CAN(Controller Area Network)プロトコルに従って通信する車載ネットワークの一例であり、制御装置、センサ、アクチュエータ、ユーザインタフェース装置等の各種機器が搭載された車両におけるネットワークである。通信システム10は、図1に示すように、通信装置101、外部通信ECU102、監視ECU103、複数のECU104及びCANバス105を備える。ここで、ECUとは、電子制御ユニット(Electronic Control Unit)を意味する。なお、通信装置101についても一種のECUである。
複数のECU104は、例えば、操舵制御ECU、ステアリングECU、エンジンECU、ブレーキECU、ドア開閉センサECU、ウィンドウ開閉センサECU等であるが、特に限定されない。
通信装置101及び各ECUは、例えば、プロセッサ(マイクロプロセッサ)、メモリ等のデジタル回路、アナログ回路、通信回路等を含む装置である。メモリは、ROM、RAM等であり、プロセッサにより実行される制御プログラム(ソフトウェアとしてのコンピュータプログラム)を記憶することができる。例えばプロセッサが、制御プログラム(コンピュータプログラム)に従って動作することにより、通信装置101及び各ECUは各種機能を実現することになる。通信装置101及び各ECUは、CANプロトコルに従って車両内のCANバス105を介して通信データの授受を行い得る。
通信装置101及び各ECUは、CANバス105に対して、CANのプロトコルに従った通信データを送受信する。例えば、通信装置101及び各ECUは、CANバス105から他のECUが送信した通信データを受信し、また、他のECUに送信したい内容を含む通信データを生成してCANバス105に送信する。具体的には、通信装置101及び各ECUは、受信した通信データの内容に応じた処理を行い、また、通信装置101及び各ECUに接続されている機器、センサ等の状態を示すデータ又は他のECUへの指示値(制御値)等のデータを含む通信データを生成して送信する。生成された通信データには、CANIDが含まれており、通信装置101及び各ECUは、自身に対して予め定められたCANIDを含む通信データのみを受信することができるため、目的のECUへと通信データを送信することができる。
通信システム10において、車載ネットワークを構成する通信装置101、外部通信ECU102、監視ECU103及び複数のECU104が、CANバス105によって接続されている。図1の例では、複数のCANバス105a、105b及び105cが、通信装置101を介してそれぞれ接続されている。なお、車載ネットワークはCANに限定される必要はなく、例えば、Ethernet(登録商標)やFlexRay(登録商標)に基づく通信ネットワークであってもよい。
車載ネットワークでは、通信装置101、外部通信ECU102、監視ECU103及び複数のECU104などの各構成要素が通信データ(例えばCANコマンド)を送受信することで、様々な機能を実現している。例えば、先進運転者支援システム(ADAS:Advanced Drive Assistance System)の一機能である駐車支援機能、車線維持支援機能又は衝突回避支援機能などは、ステアリング、アクセル又はブレーキなどのアクチュエータが電子制御化され、車載ネットワークを流れる通信データによりその制御が行われる。
通信装置101は、外部通信ECU102、監視ECU103及び複数のECU104が接続されたCANバス105と接続され、CANバス105から通信データを受信して、受信した通信データをCANIDによって指定されたCANバス105へ転送する。通信装置101は、ゲートウェイとも呼ばれる場合がある。通信装置101は、通信データをサンプリングする機能を有する。サンプリングとは、通信データを一定の割合で抽出することを意味する。通信データの抽出の仕方については特に限定されない。例えば、ある1つのCANバス105に流れる通信データをサンプリングする場合、当該CANバス105には、通信データとして複数のCANIDについてのデータがランダムな順序で流れており、各CANIDについて同じ割合で抽出される。サンプリングされた通信データにおいて、特定のCANIDについてのデータだけが偏って抽出されてしまうことを抑制するためである。なお、通信データを抽出する量については、サンプリング割合によって定められる。例えば、サンプリング割合が100%の場合には、通信データが100%(全て)抽出される(つまり、通信データが減らされない(間引かれない))。また、例えば、サンプリング割合が50%の場合には、通信データが50%(半分)抽出される(つまり、通信データが半分に減らされる(半分間引かれる))。
外部通信ECU102は、システム(車両)の外部の装置として例えばサーバ装置11と、インターネット等といった広域ネットワークを介して通信する外部通信機能を有する。外部通信ECU102は、分析機能を有するサーバ装置11に対して、通信装置101が記録する通信データを送信する。
サーバ装置11は、様々な車両における通信システム10における外部通信ECU102と通信する。サーバ装置11は、例えば、同種の複数の車両の各車載ネットワークで授受されたメッセージに係る情報を、各車両から受信して収集し、分析するコンピュータ等である。
監視ECU103は、車載ネットワークの状態が正常か否かを監視するECUである。監視ECU103は、複数のCANバス105から通信データを受信して、受信した通信データが正常か否かを判定し、判定結果を通信装置101へ通知する。通信装置101は判定結果を受信し、正常ではないと判定されたCANバス105の通信データを100%のサンプリング割合で抽出し、通信データを全てサーバ装置11へ送信する。監視ECU103は、例えば、異常を判定するための判定ルールを保持しており、通信データを判定ルールに照らし合わせることで、異常か否かを判定することができる。なお、通信装置101は、監視ECU103が有する機能を備えていてもよい。
複数のECU104は、CANプロトコルに従ってCANバス105を介してメッセージの授受を行う。例えば、センサに接続されたECU104から、センサで取得された情報に基づくデータを含むメッセージが周期的にCANバス105に送信される。メッセージが送信される周期は例えば数百ミリ秒等である。また、複数のECU104には、車両内のアクチュエータの制御内容を決定して制御するECU104が含まれる。例えば、当該ECU104が授受する通信データから、車両の走行状態を推定することが可能となる。
例えば、複数のECU104のうち同じ目的を達成するためのECU104については同じCANバス105に接続され得る。例えば、ADASに関連するECU104についてはCANバス105aに接続され、パワートレインに関連するECU104についてはCANバス105bに接続され、車両のボディ(ドア又はワイパー等)に関連するECU104についてはCANバス105cに接続される。
通信システム10では、CANプロトコルに従って各ECUがメッセージとしてのデータフレーム等といったフレームの授受を行う。CANプロトコルにおけるフレームには、データフレーム、リモートフレーム、オーバーロードフレーム及びエラーフレームがある。ここでは、通信データを含むメッセージとしてのデータフレームに着目して説明を行う。
[1.2 データフレームフォーマット]
以下、CANプロトコルに従ったネットワークで用いられるフレームの1つであるデータフレームについて説明する。
以下、CANプロトコルに従ったネットワークで用いられるフレームの1つであるデータフレームについて説明する。
図2は、CANプロトコルで規定されるデータフレームのフォーマットを示す図である。同図には、CANプロトコルで規定される標準IDフォーマットにおけるデータフレームを示している。データフレームは、SOF(Start Of Frame)、IDフィールド、RTR(Remote Transmission Request)、IDE(Identifier Extension)、予約ビット「r」、DLC(Data Length Code)、データフィールド、CRC(Cyclic Redundancy Check)シーケンス、CRCデリミタ「DEL」、ACK(Acknowledgement)スロット、ACKデリミタ「DEL」、及び、EOF(End Of Frame)の各フィールドで構成される。ここでは、SOF、RTR、IDE、予約ビット「r」、DLC、CRCシーケンス、CRCデリミタ「DEL」、ACKスロット、ACKデリミタ「DEL」、及び、EOFについての説明は省略する。
IDフィールドは、11bitで構成される、データの種類を示す値であるID(CANIDとも称する)を格納するフィールドである。複数のノードが同時に送信を開始した場合、このIDフィールドで通信調停を行うために、IDが小さい値を持つフレームが高い優先度となるよう設計されている。
データフィールドは、最大64bitで構成され、データを格納するフィールドである。
通信データを送信する各ECUは、車載ネットワーク(通信システム10)の仕様として予め定められた種類のデータをデータフィールドに格納し、その種類のデータに対応して予め定められたCANIDをIDフィールドに格納することでデータフレームを構築して送信することになる。車両メーカ等により、車載ネットワーク(通信システム10)の仕様として、通信データに用いられるCANIDと、対応するデータの構成等とが、予め定められている。
[1.3 通信装置101の構成]
続いて、通信装置101の詳細な構成を説明する。
続いて、通信装置101の詳細な構成を説明する。
図3は、実施の形態における通信装置101の構成図である。通信装置101は、図3に示すように、送受信部301、転送部302、記憶部303、判定部309及び制御部310を備える。
通信装置101は、具体的には図示されていないマイクロプロセッサ、及びRAM、ROM、ハードディスクなどから構成される。前記RAM、ROM、及びハードディスクにはコンピュータプログラムが記憶されており、前記マイクロプロセッサが前記プログラムに従って動作することにより、通信装置101はその機能を果たす。
なお、通信装置101の送受信部301、転送部302、記憶部303、判定部309及び制御部310等の各機能ブロックは、典型的には集積回路であるLSIとして実現される。これらは個別に1チップ化されてもよいし、1以上の機能ブロック、又は各機能ブロックの一部を含むように1チップ化されてもよい。また、監視ECU103が有する機能ブロックと通信装置101が有する各機能ブロックとが1チップ化されてもよい。
ここでは、LSIとしたが、集積度の違いにより、IC、システムLSI、スーパーLSI、ウルトラLSIと呼称されることもある。
また、集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。LSI製造後に、プログラムすることが可能なFPGA(Field Programmable Gate Array)や、LSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用してもよい。
さらには、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてありえる。
最後に、各機能ブロックは、ソフトウェアで実現されてもよいし、LSIとソフトウェアの組み合わせで実現されてもよい。また、ソフトウェアは耐タンパ化されていてもよい。
(1)送受信部301
送受信部301は、外部通信ECU102と接続される。送受信部301は、CANバス105に流れる通信データを受信した後、車両の外部の装置へ受信した通信データを送信し、あるいは、車両の外部の装置から送信された通信データを受信した後、CANバス105に対して受信した通信データを送信する。送受信部301は、サンプリングされた通信データを、車両の外部の装置に送信する送信部の一例である。
送受信部301は、外部通信ECU102と接続される。送受信部301は、CANバス105に流れる通信データを受信した後、車両の外部の装置へ受信した通信データを送信し、あるいは、車両の外部の装置から送信された通信データを受信した後、CANバス105に対して受信した通信データを送信する。送受信部301は、サンプリングされた通信データを、車両の外部の装置に送信する送信部の一例である。
(2)転送部302
転送部302は、送受信部301で受信した通信データを、転送リスト304(後述する)に基づき転送すべきCANバス105を決定し、送受信部301を介して、決定したCANバス105へ通信データを送信(転送)する。
転送部302は、送受信部301で受信した通信データを、転送リスト304(後述する)に基づき転送すべきCANバス105を決定し、送受信部301を介して、決定したCANバス105へ通信データを送信(転送)する。
(3)記憶部303
記憶部303は、通信データに付与されているCANIDと当該通信データを転送する転送先のCANバス105とが対となった転送リスト304と、車載ネットワークの状態(例えば各CANバス105)が異常な状態か否かを表す異常検知フラグ305と、走行状態に対応するサンプリング方法として走行状態に応じたサンプリング割合を記載した走行状態パターン306と、車両の現在の走行状態307と、各CANバス105のそれぞれについての通信データである通信ログ308と、を記憶する。転送リスト304の一例を図4に示す。
記憶部303は、通信データに付与されているCANIDと当該通信データを転送する転送先のCANバス105とが対となった転送リスト304と、車載ネットワークの状態(例えば各CANバス105)が異常な状態か否かを表す異常検知フラグ305と、走行状態に対応するサンプリング方法として走行状態に応じたサンプリング割合を記載した走行状態パターン306と、車両の現在の走行状態307と、各CANバス105のそれぞれについての通信データである通信ログ308と、を記憶する。転送リスト304の一例を図4に示す。
図4は、実施の形態における転送リスト304の一例を示す図である。
図4に示すように、転送リスト304は、通信データに付与されているCANIDと、当該通信データを転送する転送先のCANバス105が対となった転送リストを記憶している。図4の例では、CANIDが「0x011」の通信データをCANバス1へ転送し、CANIDが「0x021」及び「0x031」の通信データをCANバス2へ転送し、CANIDが「0x041」の通信データをCANバス3へ転送することを示している。以下では、CANバス1はCANバス105aであり、CANバス2はCANバス105bであり、CANバス3はCANバス105cであるとする。
異常検知フラグ305は、CANバス105ごとに対応付けられ、CANバスごとに正常か否かを示す複数のフラグであり、例えば、対応するCANバス105が正常な場合は0の値をとり、異常な場合は1の値をとる。例えば、監視ECU103が通信データの正常・異常判定を行い、CANバス105aとCANバス105cが異常、CANバス105bが正常と判定された場合、監視ECU103はその旨を通信装置101へ通知する。通信装置101は、監視ECU103から受信した通知に従い、異常と判定されたCANバス105aとCANバス105cに対応する異常検知フラグを1にし、正常と判定されたCANバス105bに対応する異常検知フラグを0にする。
走行状態パターン306は、通信データのサンプリング方法を示すものであり、様々な走行状態に応じて様々な走行状態パターン306が予め定義されている。走行状態は、CANバス105から受信する通信データの内容(車速、ADAS機能のON及びOFF又はネットワークの状態の正常及び異常の判定結果等)に対応するように定義されている。走行状態パターン306の例を図5A、図5B及び図6に示す。
図5Aは、実施の形態における正常時の走行状態に対応する走行状態パターンの一例を示す図である。
図5Aには、車両の走行状態として、車両が停車中であり、かつ、車載ネットワークの状態に異常がないときの走行状態パターン306が示されている。具体的には、車速が0km/hで、ADAS機能が全てOFF(クルーズコントロール(CC)及びパーキングアシスト(PA)などが全てOFF(CCフラグ、PAフラグ=0))であり、各CANバス105に異常がない(異常検知フラグ=0)場合の、停車中(異常なし)という状態名の走行状態パターン306が示されている。
図5Bは、実施の形態における正常時の走行状態に対応する走行状態パターンの他の一例を示す図である。
図5Bには、車両の走行状態として、車両が高速でクルーズコントロール発動中であり、かつ、車載ネットワークの状態に異常がないときの走行状態パターン306が示されている。具体的には、車速が80km/h以上で、クルーズコントロール(CC)が発動中(CCフラグ=1)で、前方に車両が存在(前方車有無フラグ=1)し、各CANバス105に異常がない(異常検知フラグ=0)場合の、高速でクルーズコントロール発動中(異常なし)という状態名の走行状態パターン306が示されている。
図6は、実施の形態における異常時の走行状態に対応する走行状態パターン306の一例を示す図である。
図6には、車両の走行状態として、車両が停車中であり、かつ、車載ネットワークの状態に異常があるときの走行状態パターン306が示されている。具体的には、車速が0km/hで、ADAS機能が全てOFF(クルーズコントロール(CC)及びパーキングアシスト(PA)などが全てOFF(フラグ=0))であり、CANバス1(CANバス105a)及びCANバス3(CANバス105c)に異常がある(異常検知フラグ=1)場合の、停車中(CANバス1、CANバス3異常あり)という状態名の走行状態パターン306が示されている。
走行状態パターン306が示すサンプリング方法では、複数のECU104のうちの1以上のECU104から構成されるグループごとにサンプリング割合が定められる。例えば、車載ネットワークにおいて、複数のECU104は、車両内のCANバス105によって互いに接続され、当該グループは、同じCANバス105に接続された1以上のECU104から構成される。つまり、CANバス105aについてのグループ、CANバス105bについてのグループ及びCANバス105cについてのグループについて、それぞれサンプリング割合が定められる。
サンプリング割合は、様々な走行状態に応じて予め定められた様々な走行状態パターン306において、重要度の高い通信データを多く車両の外部の装置へ送信するよう(サンプリング割合が大きくなるよう)、また、重要度の低い通信データの車両の外部の装置への送信量を少なくするよう(サンプリング割合が小さくなるよう)、CANバス105毎に定義されている。通信装置101の送受信部301にて受信される全ての通信データは、走行状態パターン306に定義されているサンプリング割合に従い、CANバス105毎にサンプリングされる。
例えば、車両停車中で、かつ、ADAS機能がOFFのときには(具体的には、図5Aの走行状態パターン306に示される車両条件では)、車速又はエンジン回転数などの走行系の通信データの値は、あまり変化しない。つまり、車速又はエンジン回転数など、変化の少ない通信データは意味のある情報を多く含まないと言える。言い換えると、この場合には、ADASに関連するECU104が接続されたCANバス105a、及び、パワートレインに関連するECU104が接続されたCANバス105bには、意味のある通信データが流れていないと言える。一方、ドアの開閉状態を表す情報又はドアロックの状態を表す情報など、ボディ関係の通信データは変化がある可能性がある。言い換えると、この場合には、車両のボディに関連するECU104が接続されたCANバス105cには、意味のある通信データが流れていると言える。つまり、車両が停車中の状態では、走行系の通信データが送信されるCANバス105a及び105bより、ボディ系の通信データが送信されるCANバス105cの通信データをサーバ装置11に送信する方が、通信データを解析する上で有益であると言える。このように、走行状態パターン306は、車両の走行状態に応じて意味のある通信データを多く含むCANバス105のサンプリング割合が大きくなるように定義されている。
また、サンプリング割合は、異常検知フラグ305の値に応じても定義される。攻撃者による不正なメッセージの送信等の攻撃の検知、及び、攻撃か否かの判断手法の確立のため、正常ではないCANバス105、つまり、異常検知フラグ305の値が1のCANバス105の通信データは、全て抽出されて、全ての通信データをサーバ装置11に送信するよう定義される。例えば、図6に示すように、異常検知フラグ305の値が1のCANバス105a及び105cのサンプリング割合は100%となっている。
現在の走行状態307は、後述する判定部309が、送受信部301が受信した通信データから判定した、車載ネットワークの正常又は異常の状態も含んだ車両の現在の状態を示す情報である。詳細は後述するが、受信する通信データが変化して、判定された現在の走行状態307が、複数の走行状態パターン306の中から前回選択された走行状態パターン306における車両条件を満たさない場合は、前回選択された走行状態パターン306が、複数の走行状態パターン306の中から現在の走行状態307に対応するものに更新される。
通信ログ308は、CANバス105毎の通信データであり、走行状態パターン306にて定義されるサンプリング割合に従ってサンプリングされた通信データが記憶部303に記録される。なお、少なくともサーバ装置11へサンプリングが行われた通信データが送信されればよく、記憶部303のストレージ容量が大きくなってしまうが、記憶部303にはサンプリング前の通信データが記憶されてもよい。
(4)判定部309
判定部309は、システム(車両)における複数のECU104が接続されたネットワークに流れる通信データに基づいて、システムの稼働状態(具体的には、車両の走行状態(現在の走行状態307))を判定する。また、判定部309は、当該ネットワークの状態が正常か否かを判定する。具体的には、判定部309は、送受信部301を介して受信する、監視ECU103による車載ネットワークの状態(具体的にはCANバス105)の正常・異常の判定結果から、各CANバス105が正常か異常かを判定する。例えば、判定部309は、通信データに含まれるメッセージが正常か否かを判定することで、ネットワークの状態が正常か否かを判定する。また、例えば、判定部309は、ネットワークにおけるCANバス105が正常か否かを判定することで、ネットワークの状態が正常か否かを判定する。なお、もともとは監視ECU103がこれらの判定を行っており、判定部309は、監視ECU103からこれらの判定結果を受信するため、判定部309もこれらの判定を行うことができる。また、判定部309は、送受信部301を介して受信する通信データから判定した現在の走行状態307が、選択された走行状態パターン306における車両条件を満たしているかを判定する。
判定部309は、システム(車両)における複数のECU104が接続されたネットワークに流れる通信データに基づいて、システムの稼働状態(具体的には、車両の走行状態(現在の走行状態307))を判定する。また、判定部309は、当該ネットワークの状態が正常か否かを判定する。具体的には、判定部309は、送受信部301を介して受信する、監視ECU103による車載ネットワークの状態(具体的にはCANバス105)の正常・異常の判定結果から、各CANバス105が正常か異常かを判定する。例えば、判定部309は、通信データに含まれるメッセージが正常か否かを判定することで、ネットワークの状態が正常か否かを判定する。また、例えば、判定部309は、ネットワークにおけるCANバス105が正常か否かを判定することで、ネットワークの状態が正常か否かを判定する。なお、もともとは監視ECU103がこれらの判定を行っており、判定部309は、監視ECU103からこれらの判定結果を受信するため、判定部309もこれらの判定を行うことができる。また、判定部309は、送受信部301を介して受信する通信データから判定した現在の走行状態307が、選択された走行状態パターン306における車両条件を満たしているかを判定する。
(5)制御部310
制御部310は、上記(1)〜(4)の各手段を管理、制御する。例えば、制御部310は、CANバス105から受信した通信データ及び異常検知フラグ305に応じて判定部309に判定された現在の走行状態307に対応する走行状態パターン306を複数の走行状態パターン306の中から選択する。なお、複数の走行状態パターン306の中から現在の走行状態307に対応する走行状態パターン306を選択することで、前回選択した走行状態パターン306が異なる走行状態パターン306へ切り替わることを走行状態パターン306の更新とも呼ぶ。制御部310は、更新等された最新の走行状態パターン306に定義されているサンプリング割合に従って、各CANバス105を流れる通信データをサンプリングし、サンプリングした通信データを、通信ログ308としてCANバス105毎に記憶部303に格納する。
制御部310は、上記(1)〜(4)の各手段を管理、制御する。例えば、制御部310は、CANバス105から受信した通信データ及び異常検知フラグ305に応じて判定部309に判定された現在の走行状態307に対応する走行状態パターン306を複数の走行状態パターン306の中から選択する。なお、複数の走行状態パターン306の中から現在の走行状態307に対応する走行状態パターン306を選択することで、前回選択した走行状態パターン306が異なる走行状態パターン306へ切り替わることを走行状態パターン306の更新とも呼ぶ。制御部310は、更新等された最新の走行状態パターン306に定義されているサンプリング割合に従って、各CANバス105を流れる通信データをサンプリングし、サンプリングした通信データを、通信ログ308としてCANバス105毎に記憶部303に格納する。
[1.4 グループの他の例]
なお、走行状態パターン306で定義されているサンプリング割合は、CANバス105のそれぞれに対応するグループごとに定められたが、これに限らない。これについて、図7及び8を用いて説明する。
なお、走行状態パターン306で定義されているサンプリング割合は、CANバス105のそれぞれに対応するグループごとに定められたが、これに限らない。これについて、図7及び8を用いて説明する。
図7は、実施の形態におけるグループの他の一例を示す図である。図8は、実施の形態における正常時の走行状態に対応する走行状態パターンの他の一例を示す図である。
例えば、サンプリング割合が定められるグループは、同じCANバス105に接続されたECU104だけで構成されなくてもよく、例えば、図7に示すグループEのようなグループであってもよい。また、図7に示すグループC及びDのように、同じCANバス105に接続されたECU104であっても、異なるグループに属するようにグループ分けがされてもよい。例えば、サンプリング割合が定められるグループは、通信データに含まれる同じ機能に関連するメッセージ(例えば同じCANID、又は、関連するCANIDについてのデータ)を送信する1以上のECU104から構成されてもよい。例えば、グループEにおけるCANバス105bに接続されたECU104とCANバス105cに接続されたECU104とは、同じ機能に関連するメッセージを送信する。同じ機能に関連するメッセージを送信するECUとは、例えば、舵角センサECU及びパワーステアリングECU等であり、これらは共にステアリングに関連するメッセージを送信するため、同じグループに属する。そして、サンプリング割合は、図8に示すように、走行状態パターン306において、CANバス105のそれぞれに対応するように定められたグループごとではなく、このようなグループA〜Eごとに定義されてもよい。
なお、以下では、グループをCANバス105のそれぞれに対応するように定められたグループとして説明する。
[1.5 通信システム10の動作]
次に、通信システム10が、CANバス105から受信した通信データを用いて、車両の走行状態に応じてCANバス105ごとに通信データをサンプリングし、サーバ装置11へ送信する場合の一例について、図9から図11を用いて説明する。
次に、通信システム10が、CANバス105から受信した通信データを用いて、車両の走行状態に応じてCANバス105ごとに通信データをサンプリングし、サーバ装置11へ送信する場合の一例について、図9から図11を用いて説明する。
まずは、サンプリング方法の決定方法について図9を用いて説明する。
図9は、実施の形態におけるサンプリング方法の決定方法の一例を示すフローチャートである。
まず、通信装置101は、ステップS901において、送受信部301により、監視ECU103、及び複数のECU104から送信される通信データを受信する。例えば、監視ECU103から送信される通信データには、ネットワークの状態が正常か否かの判定結果(具体的には各CANバス105が正常か否かの判定結果)が含まれ、また、複数のECU104から送信される通信データには車両の走行状態を判定するためのデータが含まれる。
次いで、ステップS902において、判定部309は、監視ECU103から送信される通信データに、CANバス105の異常を示す通知が含まれているか判定する。判定部309が通信データにCANバス105の異常を示す通知が含まれていると判定した場合(ステップS902でYES)、つまり、ネットワークの状態が異常である場合、ステップS903に進み、異常を示す通知が含まれていないと判定した場合(ステップS902でNO)、ステップS904に進む。
ステップS903において、通信装置101の制御部310は、異常の通知があったCANバス105に対応する異常検知フラグ305の値を1にする。
一方で、ステップS904において、通信装置101の制御部310は、異常の通知がないCANバス105に対応する異常検知フラグ305の値を0にする。
次いで、ステップS905において、判定部309は、複数のECU104から受信した通信データと異常検知フラグ305の値から車両の走行状態(現在の走行状態307)を判定する。例えば、判定部309は、複数のECU104から受信した通信データと異常検知フラグ305の値から、車両が走行中であるか、停車中であるか、車載ネットワークの状態が正常か異常かなどの現在の走行状態307を判定する。
ステップS906において、判定部309は、現在の走行状態307が、前回選択した走行状態パターン306における車両条件を満たしているか判定する。判定部309は、現在の走行状態307が当該車両条件を満たしていないと判定した場合(ステップS906でNO)、ステップS907に進み、現在の走行状態307が当該車両条件を満たしていると判定した場合(ステップS906でYES)、ステップS908に進む。
ステップS907において、制御部310は、複数の走行状態パターン306の中から、現在の走行状態307が車両条件を満たす走行状態パターン306を選択する、つまり、走行状態パターン306を更新する。
例えば、以前判定された走行状態が、車速が80km/h以上、CCフラグが1、前方車有無フラグが1、各CANバス105の異常検知フラグ305が0を示し、図9に示すフローチャートの開始時点で図5Bに示す走行状態パターン306が選択されているとする。そして、車両の走行状態が変わり、ステップS906において現在の走行状態307が、車速が0km/h、CCフラグが0、PAフラグが0、各CANバス105の異常検知フラグ305が0を示す場合、現在の走行状態307が図5Bに示す走行状態パターン306における車両条件を満たさない。このため、ステップS907において、現在の走行状態307を満たす走行状態パターン306として、複数の走行状態パターン306の中から図5Aに示す走行状態パターン306に更新される。
そして、ステップS908において、制御部310は、通信データのサンプリング方法を決定する。具体的には、制御部310は、選択されている走行状態パターン306が示すサンプリング割合が定義されたサンプリング方法を決定する。言い換えると、制御部310は、走行状態パターン306において定義されているサンプリング割合で各CANバス105に流れる通信データをサンプリングするサンプリング方法を決定する。
なお、これまでの説明では、車載ネットワークの状態(CANバス105が正常か否かの状態)も車両の走行状態の一部としていたが、車両の走行状態には、車載ネットワークの状態が含まれていなくてもよい。この場合、走行状態パターン306には、異常検知フラグ305についての情報が含まれなくなる。それに伴い、図6に示すような、車載ネットワークに異常がある場合の走行状態パターン306が存在しなくなる。また、この場合、判定部309は、ネットワークの状態が正常か否かの判定の結果には基づかないで、車両の走行状態を判定することになる。この場合のサンプリング方法の決定方法について図10を用いて説明する。
図10は、実施の形態におけるサンプリング方法の決定方法の他の一例を示すフローチャートである。
まず、通信装置101は、ステップS901において、送受信部301により、監視ECU103、及び複数のECU104から送信される通信データを受信する。例えば、監視ECU103から送信される通信データには、ネットワークの状態が正常か否かの判定結果(具体的には各CANバス105が正常か否かの判定結果)が含まれ、また、複数のECU104から送信される通信データには車両の走行状態を判定するためのデータが含まれる。
次いで、ステップS1001において、判定部309は、複数のECU104から受信した通信データから車両の走行状態(現在の走行状態307)を判定する。例えば、判定部309は、複数のECU104から受信した通信データから、車両が走行中であるか、停車中であるかなどの現在の走行状態307を判定する。なお、図9に示すステップS905では、判定部309は、異常検知フラグ305の値にも基づいて現在の走行状態307を判定し、例えば、異常検知フラグ305の値から車載ネットワークの状態が正常か異常かなどの現在の走行状態307も判定していた。つまり、図10に示すステップS1001においては、判定部309は、ネットワークの状態が正常か否かの判定の結果には基づかないで、車両の走行状態を判定する。
ステップS1002において、判定部309は、現在の走行状態307が、前回選択した走行状態パターン306における車両条件を満たしているか判定する。判定部309は、現在の走行状態307が当該車両条件を満たしていないと判定した場合(ステップS1002でNO)、ステップS1003に進み、現在の走行状態307が当該車両条件を満たしていると判定した場合(ステップS1002でYES)、ステップS1004に進む。
ステップS1003において、制御部310は、複数の走行状態パターン306の中から、現在の走行状態307が車両条件を満たす走行状態パターン306を選択する、つまり、走行状態パターン306を更新する。
そして、ステップS1004において、制御部310は、通信データのサンプリング方法を決定する。具体的には、制御部310は、選択されている走行状態パターン306が示すサンプリング割合が定義されたサンプリング方法を決定する。言い換えると、制御部310は、走行状態パターン306において定義されているサンプリング割合で各CANバス105に流れる通信データをサンプリングするサンプリング方法を決定する。
次いで、ステップS1005において、判定部309は、監視ECU103から送信される通信データに、CANバス105の異常を示す通知が含まれているか判定する。判定部309が通信データにCANバス105の異常を示す通知が含まれていると判定した場合(ステップS1005でYES)、つまり、ネットワークの状態が異常である場合、ステップS1006に進み、異常を示す通知が含まれていないと判定した場合(ステップS1005でNO)、サンプリング方法の決定処理が終了する。
ステップS1006において、制御部310は、ステップS1004において決定したサンプリング方法を変更する。具体的には、制御部310は、決定したサンプリング方法における各CANバス105のサンプリング割合のうち、異常のあるCANバス105についてのサンプリング割合を変更する。例えば、制御部310は、異常のあるCANバス105についてのサンプリング割合を100%にする。具体的には、ステップS1004において決定されたサンプリング方法における各CANバス105のサンプリング割合が図5Aに示すものであった場合に、CANバス105a及び105cに異常があったときには、CANバス105a及び105cのサンプリング割合を100%に変更する。つまり、この場合、最終的には、各CANバス105のサンプリング割合が図6に示すようなサンプリング割合となるサンプリング方法が決定される。
このように、車載ネットワークに異常がある場合の走行状態パターン306を準備しなくてもよく、ネットワークの状態に異常がある場合に、決定したサンプリング方法における当該異常に対応するグループのサンプリング割合を変更することで、サンプリング方法を変更してもよい。
次に、決定されたサンプリング方法(若しくは決定後に変更されたサンプリング方法)に応じた通信装置101の動作について図11を用いて説明する。
図11は、実施の形態における通信装置101の動作の一例を示すフローチャートである。
まず、ステップS1111において、制御部310は、判定された走行状態に対応するサンプリング方法(つまり、決定された、若しくは、決定後変更されたサンプリング方法)に従って、通信データのサンプリングを行う。具体的には、制御部310は、現在の走行状態307に対応する走行状態パターン306において定義されるCANバス105ごとのサンプリング割合に従い、各CANバス105から送受信部301が受信する通信データのサンプリングを行う。
次いで、ステップS1112において、制御部310は、サンプリングを行った通信データとして通信ログ308を、CANバス105ごとに記憶部303に記憶する。
そして、ステップS1113において、送受信部301は、サンプリングされた通信データを、サーバ装置11に送信する。
なお、ステップS1113での処理が開始されるタイミングは特に限定されない。例えば、所定の時間ごとに行われてもよいし、サーバ装置11からの要求に応じて行われてもよい。
[1.6 まとめ]
以上のように本実施の形態に係る通信装置101は、システム(車両)における複数のECU104が接続されたネットワークに流れる通信データに基づいて、システム(車両)の稼働(走行)状態を判定する判定部309と、判定された稼働(走行)状態に対応するサンプリング方法に従って、通信データのサンプリングを行う制御部310と、サンプリングされた通信データを、システム(車両)の外部の装置(サーバ装置11)に送信する送信部(送受信部301)と、を備える。
以上のように本実施の形態に係る通信装置101は、システム(車両)における複数のECU104が接続されたネットワークに流れる通信データに基づいて、システム(車両)の稼働(走行)状態を判定する判定部309と、判定された稼働(走行)状態に対応するサンプリング方法に従って、通信データのサンプリングを行う制御部310と、サンプリングされた通信データを、システム(車両)の外部の装置(サーバ装置11)に送信する送信部(送受信部301)と、を備える。
これによれば、車両等の稼働(走行)状態に応じて重要度の低い通信データについてはあまり抽出されないように(大きく間引かれるように)サンプリングをすることができ、重要度の高い通信データについては多く抽出されるように(あまり間引かれない(若しくは全く間引かない)ように)サンプリングをすることができる。つまり、車両等の稼働(走行)状態に応じて、重要度の高い通信データについてはデータ量をあまり減らさない(若しくは全く減らさない)ようにしつつ、重要度の低い通信データについてはデータ量を減らして車両の外部の装置へ送信されるため、外部の装置との通信の負荷及び当該装置のストレージ容量の削減を効果的に行うことができる。なお、車両等の外部の装置に送信された通信データは、故障解析又はサイバー攻撃の攻撃解析に活用することができる。
また、通信装置101は、さらに、記憶部303を備え、制御部310は、サンプリングを行った通信データを記憶部303に格納してもよい。
これによれば、記憶部303には、サンプリングされた通信データが保持されるため、記憶部303のストレージ容量を削減できる。
また、上記サンプリング方法では、複数のECU104のうちの1以上のECU104から構成されるグループごとにサンプリング割合が定められ、制御部310は、グループごとの通信データについて、当該グループに定められたサンプリング割合に応じてサンプリングを行ってもよい。
これによれば、例えば、ボディ関連のECU104の通信データについては、車両の走行中には重要度は低く車両の停車中には重要度が高く、また、パワートレイン関連のECU104の通信データについては、車両の走行中には重要度は高く車両の停車中には重要度が低いといったように、車両の走行状態によって各グループの通信データの重要度がそれぞれ異なる場合があるため、グループごとに通信データのサンプリングを効果的に行うことができる。
また、ネットワークにおいて、複数のECU104は、システム(車両)内のCANバス105によって互いに接続され、グループは、同じCANバス105に接続された1以上のECU104から構成されてもよい。
例えば、一般的に同じCANバス105に接続された1以上のECU104は、それぞれ同じような機能を有していることが多く、取り扱う通信データも同じようなものになることが多い。したがって、同じCANバス105に接続された1以上のECU104から構成されるグループごとに通信データのサンプリングを効果的に行うことができる。
また、グループは、通信データに含まれる同じ機能に関連するメッセージを送信する1以上のECU104から構成されていてもよい。
これによれば、同じ機能に関連するメッセージを送信する1以上のECU104から構成されるグループごとに通信データのサンプリングを効果的に行うことができる。
また、判定部309は、さらに、ネットワークの状態が正常か否かを判定し、当該判定の結果にも基づいて、システム(車両)の稼働(走行)状態を判定してもよい。
これによれば、ネットワークの状態が正常か否かの判定結果にも応じて車両の走行状態が判定されるため、サンプリング方法は、当該判定結果にも対応したものとなる。したがって、ネットワークの状態が正常か否かにも応じて通信データをサンプリングすることができる。
また、判定部309は、さらに、ネットワークの状態が正常か否かを判定し、制御部310は、ネットワークの状態が正常か否かに応じて、サンプリング方法を変更してもよい。
これによれば、ネットワークの状態が正常か否かの判定結果に応じてサンプリング方法が変更されるため、ネットワークの状態が正常か否かにも応じて通信データをサンプリングすることができる。
具体的には、判定部309は、通信データに含まれるメッセージが正常か否かを判定することで、ネットワークの状態が正常か否かを判定してもよい。また、ネットワークにおいて、複数のECU104は、車両内のCANバス105によって互いに接続され、判定部309は、ネットワークにおけるCANバス105が正常か否かを判定することで、ネットワークの状態が正常か否かを判定してもよい。
<他の実施の形態等>
以上のように、本発明に係る技術の例示として実施の形態を説明した。しかしながら、本発明に係る技術は、これに限定されず、適宜、変更、置き換え、付加、省略等を行った実施の形態にも適用可能である。例えば、以下のような変形例も本発明の一実施の形態に含まれる。
以上のように、本発明に係る技術の例示として実施の形態を説明した。しかしながら、本発明に係る技術は、これに限定されず、適宜、変更、置き換え、付加、省略等を行った実施の形態にも適用可能である。例えば、以下のような変形例も本発明の一実施の形態に含まれる。
(1)本発明の実施の形態において、監視ECU103がCANバス105を介して、通信装置101へ不正な通信データを検知した旨を通知する際に、通信データにメッセージ認証コード(MAC:Message Authentication Code)を付与して送信する構成でもよい。
(2)本発明の実施の形態において、監視ECU103は、CANバス105が正常の旨と異常の旨の両方を周期的に通信装置101へ通知することを想定しているが、異常を検知した時のみ通知するなど、イベント的に通知してもよい。
(3)本発明の実施の形態において、通信装置101は、CANバス105の正常・異常を監視ECU103からの通知を周期的に受信することを想定しているが、異常の旨の通知が一定時間受信できなければ正常と判断するなど、未着等を利用して判定してもよい。
(4)本発明の実施の形態において、通信装置101は、物理的には一つのECUを想定しているが、論理的に独立した機能モジュール(ソフトウェア)として監視ECU103などの別のECUに実装される構成でもよい。
(5)本発明の実施の形態において、通信装置101は、中継・転送機能を含む1つのECUを想定しているが、中継・転送機能は中継ECUなどの別のECUに実装される構成でもよい。
(6)本発明の実施の形態において、監視ECU103によって正常ではないと判定されたCANバス105の通信データは、サンプリングせず(つまり、サンプリング割合100%)でサーバ装置11に送信することを想定しているが、正常と判定されたCANバス105と同様、サンプリングするように定義されてもよい。
(7)本発明の実施の形態において、通信装置101と監視ECU103は、物理的には一つのECUに実装されており、論理的に独立した機能モジュール(ソフトウェアなど)として実装される構成でもよい。
(8)本発明の実施の形態において、CAN通信の代わりに、CANFD(CAN with Flexible Data rate)、TTCAN(Time Triggered CAN)、Ethernet、LIN(Local Interconnect Network)、MOST(Media Oriented Systems Transport)又はFlexRayなどの通信方式を用いる構成でもよい。
(9)通信装置101を構成する構成要素の一部又は全部は、通信装置101に脱着可能なICカード又は単体のモジュールから構成されているとしてもよい。前記ICカード又は前記モジュールは、マイクロプロセッサ、ROM、RAMなどから構成されるコンピュータシステムである。前記ICカード又は前記モジュールは、上記の超多機能LSIを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、前記ICカード又は前記モジュールは、その機能を達成する。このICカード又はこのモジュールは、耐タンパ性を有するとしてもよい。
(10)本発明の実施の形態において、監視ECU103は、CANバス105を介して通信装置101へ通信データの正常又は異常を検知した結果を通知したが、これに限らない。これについて図12を用いて説明する。
図12は、他の実施の形態における通信システム10aの構成図である。
実施の形態における通信システム10では、通信データの送受信には上述したように、CANバス105が用いられる。また、車載ネットワークの状態が正常であるか否かの監視ECU103による判定結果の送受信についても、CANバス105が用いられる。これに対して、通信システム10aでは、車載ネットワークの状態が正常であるか否かの監視ECU103による判定結果の送受信は、CANバス105とは異なる専用線106を介した通信が用いられる。例えば、専用線106は、外部と接続されないような通信線であり、外部からの攻撃に強い通信線である。
これによれば、監視ECU103による判定結果の送受信にCANバス105が用いられた場合にCANバス105に不正なノードが接続されて不正な情報がCANバス105に送信されたときには、当該判定結果が不正に書き換えられるおそれがある。そこで、当該判定結果の送受信は、例えば外部からの攻撃に強い専用線106を介した通信が用いられることで、当該判定結果が不正に書き換えられることを抑制できる。
(11)本発明は、通信装置101として実現できるだけでなく、通信装置101を構成する各構成要素が行うステップ(処理)を含む通信方法として実現できる。
具体的には、当該通信方法は、図9及び図11に示すように、システム(車両)における複数のECU104が接続されたネットワークに流れる通信データに基づいて、システム(車両)の稼働(走行)状態を判定し(ステップS905)、判定された稼働(走行)状態に対応するサンプリング方法に従って、通信データのサンプリングを行い(ステップS1111)、サンプリングされた通信データを、システム(車両)の外部の装置に送信する(ステップS1113)。
また、例えば、本発明は、これらのステップをコンピュータに実行させるためのコンピュータプログラムとして実現できる。また、例えば、これらのステップは、当該コンピュータプログラムからなるデジタル信号であるとしてもよい。
また、本発明は、前記コンピュータプログラム又は前記デジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、CD−ROM、MO、DVD、DVD−ROM、DVD−RAM、BD(Blu-ray(登録商標) Disc)、半導体メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されている前記デジタル信号であるとしてもよい。
また、本発明は、前記コンピュータプログラム又は前記デジタル信号を、電気通信回線、無線又は有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。
また、本発明は、マイクロプロセッサとメモリを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記憶しており、前記マイクロプロセッサは、前記コンピュータプログラムにしたがって動作するとしてもよい。
また、前記プログラム又は前記デジタル信号を前記記録媒体に記録して移送することにより、又は前記プログラム又は前記デジタル信号を前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。
(12)上記実施の形態及び上記変形例をそれぞれ組み合わせるとしてもよい。
(13)上記実施の形態では、本発明の適用例として車両(自動車)に搭載される車載ネットワークにおけるセキュリティ対策への適用について説明したが、本発明の適用範囲はこれに限られない。例えば、本発明は、自動車に限らず、建機、農機、船舶、鉄道又は飛行機などのモビリティにも適用してもよい。例えば、判定部309は、自動車等の車両に限らず、建機、農機、船舶、鉄道又は飛行機などのシステムにおける複数の電子制御ユニットが接続されたネットワークに流れる通信データに基づいて、当該システムの稼働状態を判定してもよい。また、制御部310は、判定された稼働状態に対応するサンプリング方法に従って、通信データのサンプリングを行ってもよい。また、送信部(送受信部301)は、サンプリングされた通信データを、当該システムの外部の装置に送信してもよい。
本発明は、自動車、建機、農機、船舶、鉄道又は飛行機などにおけるネットワークに流れる通信データをサーバ装置へ転送する装置に適用できる。
10、10a 通信システム
11 サーバ装置
101 通信装置
102 外部通信ECU
103 監視ECU
104 ECU
105、105a、105b、105c CANバス
106 専用線
301 送受信部
302 転送部
303 記憶部
304 転送リスト
305 異常検知フラグ
306 走行状態パターン
307 現在の走行状態
308 通信ログ
309 判定部
310 制御部
11 サーバ装置
101 通信装置
102 外部通信ECU
103 監視ECU
104 ECU
105、105a、105b、105c CANバス
106 専用線
301 送受信部
302 転送部
303 記憶部
304 転送リスト
305 異常検知フラグ
306 走行状態パターン
307 現在の走行状態
308 通信ログ
309 判定部
310 制御部
Claims (11)
- システムにおける複数の電子制御ユニットが接続されたネットワークに流れる通信データに基づいて、前記システムの稼働状態を判定する判定部と、
前記判定された稼働状態に対応するサンプリング方法に従って、前記通信データのサンプリングを行う制御部と、
前記サンプリングされた通信データを、前記システムの外部の装置に送信する送信部と、
を備える通信装置。 - 前記通信装置は、さらに、記憶部を備え、
前記制御部は、前記サンプリングを行った通信データを前記記憶部に格納する、
請求項1に記載の通信装置。 - 前記サンプリング方法では、前記複数の電子制御ユニットのうちの1以上の電子制御ユニットから構成されるグループごとにサンプリング割合が定められ、
前記制御部は、前記グループごとの前記通信データについて、当該グループに定められたサンプリング割合に応じてサンプリングを行う、
請求項1又は2に記載の通信装置。 - 前記ネットワークにおいて、前記複数の電子制御ユニットは、前記システム内のCANバスによって互いに接続され、
前記グループは、同じCANバスに接続された前記1以上の電子制御ユニットから構成される、
請求項3に記載の通信装置。 - 前記グループは、前記通信データに含まれる同じ機能に関連するメッセージを送信する前記1以上の電子制御ユニットから構成される、
請求項3又は4に記載の通信装置。 - 前記判定部は、さらに、前記ネットワークの状態が正常か否かを判定し、当該判定の結果にも基づいて、前記システムの稼働状態を判定する、
請求項1〜5のいずれか1項に記載の通信装置。 - 前記判定部は、さらに、前記ネットワークの状態が正常か否かを判定し、
前記制御部は、前記ネットワークの状態が正常か否かに応じて、前記サンプリング方法を変更する、
請求項1〜5のいずれか1項に記載の通信装置。 - 前記判定部は、前記通信データに含まれるメッセージが正常か否かを判定することで、前記ネットワークの状態が正常か否かを判定する、
請求項6又は7に記載の通信装置。 - 前記ネットワークにおいて、前記複数の電子制御ユニットは、前記システム内のCANバスによって互いに接続され、
前記判定部は、前記ネットワークにおけるCANバスが正常か否かを判定することで、前記ネットワークの状態が正常か否かを判定する、
請求項6〜8のいずれか1項に記載の通信装置。 - システムにおける複数の電子制御ユニットが接続されたネットワークに流れる通信データに基づいて、前記システムの稼働状態を判定し、
前記判定された稼働状態に対応するサンプリング方法に従って、前記通信データのサンプリングを行い、
前記サンプリングされた通信データを、前記システムの外部の装置に送信する、
通信方法。 - システムにおける複数の電子制御ユニットが接続されたネットワークに流れる通信データに基づいて、前記システムの稼働状態を判定する処理と、
前記判定された稼働状態に対応するサンプリング方法に従って、前記通信データのサンプリングを行う処理と、
前記サンプリングされた通信データを、前記システムの外部の装置に送信する処理と、
をコンピュータに実行させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/244,453 US20190217869A1 (en) | 2018-01-12 | 2019-01-10 | Control apparatus, control method, and program |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018028730 | 2018-02-21 | ||
| JP2018028730 | 2018-02-21 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2019146145A true JP2019146145A (ja) | 2019-08-29 |
Family
ID=67771354
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018197882A Pending JP2019146145A (ja) | 2018-01-12 | 2018-10-19 | 通信装置、通信方法及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2019146145A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021149651A1 (ja) * | 2020-01-20 | 2021-07-29 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 攻撃検知方法、攻撃検知システム、及びプログラム |
| WO2022085396A1 (ja) * | 2020-10-19 | 2022-04-28 | 株式会社オートネットワーク技術研究所 | 通信装置、通信方法及びコンピュータプログラム |
| WO2023136111A1 (ja) * | 2022-01-14 | 2023-07-20 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 異常検知装置及び異常検知方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002042288A (ja) * | 2000-07-26 | 2002-02-08 | Yazaki Corp | 運行状態記録装置及びそれを利用した運行管理システム |
| JP2007235313A (ja) * | 2006-02-28 | 2007-09-13 | Nissan Motor Co Ltd | 計測装置および該計測装置の計測方法 |
-
2018
- 2018-10-19 JP JP2018197882A patent/JP2019146145A/ja active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002042288A (ja) * | 2000-07-26 | 2002-02-08 | Yazaki Corp | 運行状態記録装置及びそれを利用した運行管理システム |
| JP2007235313A (ja) * | 2006-02-28 | 2007-09-13 | Nissan Motor Co Ltd | 計測装置および該計測装置の計測方法 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021149651A1 (ja) * | 2020-01-20 | 2021-07-29 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 攻撃検知方法、攻撃検知システム、及びプログラム |
| JP7588587B2 (ja) | 2020-01-20 | 2024-11-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 攻撃検知方法、攻撃検知システム、及びプログラム |
| WO2022085396A1 (ja) * | 2020-10-19 | 2022-04-28 | 株式会社オートネットワーク技術研究所 | 通信装置、通信方法及びコンピュータプログラム |
| CN116324927A (zh) * | 2020-10-19 | 2023-06-23 | 株式会社自动网络技术研究所 | 通信装置、通信方法及计算机程序 |
| JP7581765B2 (ja) | 2020-10-19 | 2024-11-13 | 株式会社オートネットワーク技術研究所 | 通信装置及び通信方法 |
| WO2023136111A1 (ja) * | 2022-01-14 | 2023-07-20 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 異常検知装置及び異常検知方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11539727B2 (en) | Abnormality detection apparatus and abnormality detection method | |
| CN111052681B (zh) | 异常检测电子控制单元、车载网络系统及异常检测方法 | |
| US10440120B2 (en) | System and method for anomaly detection in diagnostic sessions in an in-vehicle communication network | |
| JP6762347B2 (ja) | 交通手段に対するコンピュータ攻撃を阻止するためのシステムおよび方法 | |
| JP6807906B2 (ja) | 車両へのコンピュータ攻撃を阻止するためのルールを生成するシステムおよび方法 | |
| CN111066001B (zh) | 日志输出方法、日志输出装置以及存储介质 | |
| JP7030046B2 (ja) | 不正通信検知方法、不正通信検知システム及びプログラム | |
| CN105981336B (zh) | 不正常检测电子控制单元、车载网络系统以及不正常检测方法 | |
| US20190141070A1 (en) | Anomaly detection electronic control unit, onboard network system, and anomaly detection method | |
| US10581739B2 (en) | System for verification of unregistered device based on information of Ethernet switch and method for the same | |
| CN106031098A (zh) | 不正常帧应对方法、不正常检测电子控制单元以及车载网络系统 | |
| CN109076016B9 (zh) | 非法通信检测基准决定方法、决定系统以及记录介质 | |
| CN107534560A (zh) | 安全装置、攻击检测方法以及程序 | |
| JP2019047525A (ja) | 不正通信検知基準決定方法、不正通信検知基準決定システム及びプログラム | |
| WO2020021713A1 (ja) | 不正検知方法および不正検知電子制御装置 | |
| JP6839846B2 (ja) | 情報処理装置、情報処理方法及びプログラム | |
| CN109005678A (zh) | 非法通信检测方法、非法通信检测系统以及程序 | |
| JP2019008618A (ja) | 情報処理装置、情報処理方法及びプログラム | |
| WO2020085330A1 (ja) | 電子制御装置、電子制御方法及びプログラム | |
| JP2019146145A (ja) | 通信装置、通信方法及びプログラム | |
| CN114450683A (zh) | 异常检测方法、程序以及异常检测系统 | |
| CN111376848B (zh) | 不正常检测规则更新方法、电子控制单元和车载网络系统 | |
| JP2020039077A (ja) | 車両用通信装置 | |
| WO2018179630A1 (ja) | 情報処理装置、情報処理方法及びプログラム | |
| WO2020021714A1 (ja) | 不正防止方法およびセキュアスターカプラ |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210519 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220225 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220322 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20220920 |