▶ 株式会社オートネットワーク技術研究所の特許一覧 ▶ 住友電装株式会社の特許一覧 ▶ 住友電気工業株式会社の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2022171100
(43)【公開日】2022-11-11
(54)【発明の名称】車載通信システム、中継装置および中継方法
(51)【国際特許分類】
H04L 12/28 20060101AFI20221104BHJP
B60R 16/023 20060101ALI20221104BHJP
【FI】
H04L12/28 200Z
B60R16/023 Z
【審査請求】未請求
【請求項の数】8
【出願形態】OL
(21)【出願番号】P 2021077516
(22)【出願日】2021-04-30
(71)【出願人】
【識別番号】395011665
【氏名又は名称】株式会社オートネットワーク技術研究所
(71)【出願人】
【識別番号】000183406
【氏名又は名称】住友電装株式会社
(71)【出願人】
【識別番号】000002130
【氏名又は名称】住友電気工業株式会社
(74)【代理人】
【識別番号】110000682
【氏名又は名称】弁理士法人ワンディ-IPパ-トナ-ズ
(72)【発明者】
【氏名】大津 智弘
(72)【発明者】
【氏名】萩原 剛志
(72)【発明者】
【氏名】浦山 博史
(72)【発明者】
【氏名】呉 ダルマワン
(72)【発明者】
【氏名】菊地 慶剛
(72)【発明者】
【氏名】田中 秀幸
(72)【発明者】
【氏名】泉 達也
(72)【発明者】
【氏名】山本 祐輔
【テーマコード(参考)】
5K033
【Fターム(参考)】
5K033AA08
5K033BA06
5K033BA08
5K033DA15
5K033DB18
(57)【要約】
【課題】車載ネットワークにおけるセキュリティを向上させる。
【解決手段】車載通信システムは、複数の車載装置と、中継装置とを備え、第1の前記車載装置は、第2の前記車載装置との間において情報の送受信を行うための第2の前記車載装置宛のフレームを前記中継装置へ送信し、前記中継装置は、前記第1の車載装置および前記第2の車載装置の間における通信に要求される安全性のレベルである要求安全レベルと、前記第1の車載装置および前記第2の車載装置がそれぞれ有する車両の安全性に関する機能安全レベルに少なくとも基づくシステム安全レベルとの比較結果に基づいて、前記フレームの前記第2の車載装置への中継の可否を決定する。
【選択図】図1
【解決手段】車載通信システムは、複数の車載装置と、中継装置とを備え、第1の前記車載装置は、第2の前記車載装置との間において情報の送受信を行うための第2の前記車載装置宛のフレームを前記中継装置へ送信し、前記中継装置は、前記第1の車載装置および前記第2の車載装置の間における通信に要求される安全性のレベルである要求安全レベルと、前記第1の車載装置および前記第2の車載装置がそれぞれ有する車両の安全性に関する機能安全レベルに少なくとも基づくシステム安全レベルとの比較結果に基づいて、前記フレームの前記第2の車載装置への中継の可否を決定する。
【選択図】図1
【特許請求の範囲】
【請求項1】
複数の車載装置と、
中継装置とを備え、
第1の前記車載装置は、第2の前記車載装置との間において情報の送受信を行うための第2の前記車載装置宛のフレームを前記中継装置へ送信し、
前記中継装置は、前記第1の車載装置および前記第2の車載装置の間における通信に要求される安全性のレベルである要求安全レベルと、前記第1の車載装置および前記第2の車載装置がそれぞれ有する車両の安全性に関する機能安全レベルに少なくとも基づくシステム安全レベルとの比較結果に基づいて、前記フレームの前記第2の車載装置への中継の可否を決定する、車載通信システム。
中継装置とを備え、
第1の前記車載装置は、第2の前記車載装置との間において情報の送受信を行うための第2の前記車載装置宛のフレームを前記中継装置へ送信し、
前記中継装置は、前記第1の車載装置および前記第2の車載装置の間における通信に要求される安全性のレベルである要求安全レベルと、前記第1の車載装置および前記第2の車載装置がそれぞれ有する車両の安全性に関する機能安全レベルに少なくとも基づくシステム安全レベルとの比較結果に基づいて、前記フレームの前記第2の車載装置への中継の可否を決定する、車載通信システム。
【請求項2】
前記中継装置は、前記要求安全レベルと、前記フレームに付与される安全機構用のデータにさらに基づく前記システム安全レベルとの比較結果に基づいて、前記フレームの前記第2の車載装置への中継の可否を決定する、請求項1に記載の車載通信システム。
【請求項3】
前記中継装置は、前記車載装置の組と、前記システム安全レベルとの対応関係を示すシステム管理リストを記憶する記憶部を備え、
前記車載装置は、自己の前記機能安全レベルを前記中継装置へ通知し、
前記中継装置は、前記車載装置から通知された前記機能安全レベルに基づいて、前記記憶部における前記システム管理リストを更新する、請求項1または請求項2に記載の車載通信システム。
前記車載装置は、自己の前記機能安全レベルを前記中継装置へ通知し、
前記中継装置は、前記車載装置から通知された前記機能安全レベルに基づいて、前記記憶部における前記システム管理リストを更新する、請求項1または請求項2に記載の車載通信システム。
【請求項4】
前記中継装置は、前記車載装置間において送受信される情報の種類と、前記要求安全レベルとの対応関係を示すサービス管理リストを記憶する記憶部を備え、
前記車載装置は、自己および他の前記車載装置の間における通信に要求される前記要求安全レベルを前記中継装置へ通知し、
前記中継装置は、前記車載装置から通知された前記要求安全レベルに基づいて、前記記憶部における前記サービス管理リストを更新する、請求項1から請求項3のいずれか1項に記載の車載通信システム。
前記車載装置は、自己および他の前記車載装置の間における通信に要求される前記要求安全レベルを前記中継装置へ通知し、
前記中継装置は、前記車載装置から通知された前記要求安全レベルに基づいて、前記記憶部における前記サービス管理リストを更新する、請求項1から請求項3のいずれか1項に記載の車載通信システム。
【請求項5】
前記第1の車載装置は、SOME/IP(Scalable service-Oriented MiddlewarE over IP)に従うメッセージが格納された前記フレームを前記中継装置へ送信し、
前記中継装置は、前記メッセージに含まれるサービスIDに対応する前記要求安全レベルと、前記システム安全レベルとの比較結果に基づいて、前記フレームの前記第2の車載装置への中継の可否を決定する、請求項1から請求項4のいずれか1項に記載の車載通信システム。
前記中継装置は、前記メッセージに含まれるサービスIDに対応する前記要求安全レベルと、前記システム安全レベルとの比較結果に基づいて、前記フレームの前記第2の車載装置への中継の可否を決定する、請求項1から請求項4のいずれか1項に記載の車載通信システム。
【請求項6】
前記中継装置は、前記フレームの前記第2の車載装置への中継を行わないことを決定した場合、前記フレームの前記第2の車載装置への中継を行うために必要な条件を前記第1の車載装置へ通知する、請求項1から請求項5のいずれか1項に記載の車載通信システム。
【請求項7】
複数の車載装置を備える車載通信システムに用いられる中継装置であって、
前記車載装置間における通信に要求される安全性のレベルである要求安全レベルと、前記各車載装置が有する車両の安全性に関する機能安全レベルに少なくとも基づくシステム安全レベルとの比較結果に基づいて、前記車載装置間において情報の送受信を行うためのフレームの中継の可否に関する設定を行う設定部と、
前記設定部による設定の内容に従って、前記フレームの中継処理を行う中継部とを備える、中継装置。
前記車載装置間における通信に要求される安全性のレベルである要求安全レベルと、前記各車載装置が有する車両の安全性に関する機能安全レベルに少なくとも基づくシステム安全レベルとの比較結果に基づいて、前記車載装置間において情報の送受信を行うためのフレームの中継の可否に関する設定を行う設定部と、
前記設定部による設定の内容に従って、前記フレームの中継処理を行う中継部とを備える、中継装置。
【請求項8】
複数の車載装置を備える車載通信システムに用いられる中継装置における中継方法であって、
前記車載装置間における通信に要求される安全性のレベルである要求安全レベルと、前記各車載装置が有する車両の安全性に関する機能安全レベルに少なくとも基づくシステム安全レベルとの比較結果に基づいて、前記車載装置間において情報の送受信を行うためのフレームの中継の可否に関する設定を行うステップと、
設定した内容に従って、前記フレームの中継処理を行うステップとを含む、中継方法。
前記車載装置間における通信に要求される安全性のレベルである要求安全レベルと、前記各車載装置が有する車両の安全性に関する機能安全レベルに少なくとも基づくシステム安全レベルとの比較結果に基づいて、前記車載装置間において情報の送受信を行うためのフレームの中継の可否に関する設定を行うステップと、
設定した内容に従って、前記フレームの中継処理を行うステップとを含む、中継方法。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、車載通信システム、中継装置および中継方法に関する。
【背景技術】
【0002】
車載ネットワークの構成の柔軟な変更を可能とする技術が開発されている。たとえば、特許文献1(国際公開第2020/145334号)には、以下のような技術が開示されている。すなわち、車両用制御装置は、複数の中継器からなる車両ネットワークが内部に構築された車両の状態と前記複数の中継器それぞれに設定する制御内容を対応付けた制御シナリオに基づき、前記複数の中継器を制御する。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】国際公開第2020/145334号
【特許文献2】国際公開第2020/179123号
【発明の概要】
【発明が解決しようとする課題】
【0004】
特許文献1および2の技術を超えて、車載ネットワークにおけるセキュリティを向上させることが可能な技術が望まれる。
【0005】
本開示は、上述の課題を解決するためになされたもので、その目的は、車載ネットワークにおけるセキュリティを向上させることが可能な車載通信システム、中継装置および中継方法を提供することである。
【課題を解決するための手段】
【0006】
本開示の車載通信システムは、複数の車載装置と、中継装置とを備え、第1の前記車載装置は、第2の前記車載装置との間において情報の送受信を行うための第2の前記車載装置宛のフレームを前記中継装置へ送信し、前記中継装置は、前記第1の車載装置および前記第2の車載装置の間における通信に要求される安全性のレベルである要求安全レベルと、前記第1の車載装置および前記第2の車載装置がそれぞれ有する車両の安全性に関する機能安全レベルに少なくとも基づくシステム安全レベルとの比較結果に基づいて、前記フレームの前記第2の車載装置への中継の可否を決定する。
【0007】
本開示の中継装置は、複数の車載装置を備える車載通信システムに用いられる中継装置であって、前記車載装置間における通信に要求される安全性のレベルである要求安全レベルと、前記各車載装置が有する車両の安全性に関する機能安全レベルに少なくとも基づくシステム安全レベルとの比較結果に基づいて、前記車載装置間において情報の送受信を行うためのフレームの中継の可否に関する設定を行う設定部と、前記設定部による設定の内容に従って、前記フレームの中継処理を行う中継部とを備える。
【0008】
本開示の中継方法は、複数の車載装置を備える車載通信システムに用いられる中継装置における中継方法であって、前記車載装置間における通信に要求される安全性のレベルである要求安全レベルと、前記各車載装置が有する車両の安全性に関する機能安全レベルに少なくとも基づくシステム安全レベルとの比較結果に基づいて、前記車載装置間において情報の送受信を行うためのフレームの中継の可否に関する設定を行うステップと、設定した内容に従って、前記フレームの中継処理を行うステップとを含む。
【0009】
本開示は、このような特徴的な処理部を備える中継装置として実現され得るだけでなく、中継装置の一部または全部を実現する半導体集積回路として実現され得たり、中継装置における処理のステップをコンピュータに実行させるためのプログラムとして実現され得たり、中継装置を備える車載通信システムの一部または全部を実現する半導体集積回路として実現され得たり、車載通信システムにおける処理をステップとする中継方法として実現され得たり、車載通信システムにおける処理のステップをコンピュータに実行させるためのプログラムとして実現され得る。
【発明の効果】
【0010】
本開示によれば、車載ネットワークにおけるセキュリティを向上させることができる。
【図面の簡単な説明】
【0011】
【発明を実施するための形態】
【0012】
最初に、本開示の実施形態の内容を列記して説明する。
【0013】
(1)本開示の実施の形態に係る車載通信システムは、複数の車載装置と、中継装置とを備え、第1の前記車載装置は、第2の前記車載装置との間において情報の送受信を行うための第2の前記車載装置宛のフレームを前記中継装置へ送信し、前記中継装置は、前記第1の車載装置および前記第2の車載装置の間における通信に要求される安全性のレベルである要求安全レベルと、前記第1の車載装置および前記第2の車載装置がそれぞれ有する車両の安全性に関する機能安全レベルに少なくとも基づくシステム安全レベルとの比較結果に基づいて、前記フレームの前記第2の車載装置への中継の可否を決定する。
【0014】
このように、車載装置間における通信に要求される要求安全レベルと、各車載装置が有する機能安全レベルに基づくシステム安全レベルとの比較結果に基づいてフレームの中継の可否を決定する構成により、車載装置間における通信の要求安全レベルの大きさを考慮してフレームの中継の可否を決定することができるので、たとえば、車載装置間における通信の要求安全レベルが高い場合に車載装置間におけるフレームのやり取りが行われないようにすることができる。したがって、車載ネットワークにおけるセキュリティを向上させることができる。
【0015】
(2)好ましくは、前記中継装置は、前記要求安全レベルと、前記フレームに付与される安全機構用のデータにさらに基づく前記システム安全レベルとの比較結果に基づいて、前記フレームの前記第2の車載装置への中継の可否を決定する。
【0016】
このような構成により、車載装置が有する機能安全レベルに加えて、フレームに付与される安全機構用のデータを用いて、車載装置間におけるフレームの中継の可否の判断をより適切に行うことができる。
【0017】
(3)好ましくは、前記中継装置は、前記車載装置の組と、前記システム安全レベルとの対応関係を示すシステム管理リストを記憶する記憶部を備え、前記車載装置は、自己の前記機能安全レベルを前記中継装置へ通知し、前記中継装置は、前記車載装置から通知された前記機能安全レベルに基づいて、前記記憶部における前記システム管理リストを更新する。
【0018】
このような構成により、車載装置の機能安全レベルの変更に伴って、記憶部におけるシステム管理リストが示すシステム安全レベルを更新することができるので、たとえば、車載装置のソフトウェアが更新されることにより機能安全レベルが変更された場合においても、変更後の機能安全レベルを反映したシステム安全レベルに基づいて、車載装置間におけるフレームの中継の可否の判断をより適切に行うことができる。
【0019】
(4)好ましくは、前記中継装置は、前記車載装置間において送受信される情報の種類と、前記要求安全レベルとの対応関係を示すサービス管理リストを記憶する記憶部を備え、前記車載装置は、自己および他の前記車載装置の間における通信に要求される前記要求安全レベルを前記中継装置へ通知し、前記中継装置は、前記車載装置から通知された前記要求安全レベルに基づいて、前記記憶部における前記サービス管理リストを更新する。
【0020】
このような構成により、車載装置間において新たな種類の情報の送受信が行われる場合においても、車載装置から通知された要求安全レベルに基づいて、車載装置間におけるフレームの中継の可否の判断を適切に行うことができる。
【0021】
(5)好ましくは、前記第1の車載装置は、SOME/IP(Scalable service-Oriented MiddlewarE over IP)に従うメッセージが格納された前記フレームを前記中継装置へ送信し、前記中継装置は、前記メッセージに含まれるサービスIDに対応する前記要求安全レベルと、前記システム安全レベルとの比較結果に基づいて、前記フレームの前記第2の車載装置への中継の可否を決定する。
【0022】
このような構成により、車載装置間における、SOME/IPに従うメッセージが格納されたフレームの中継の可否の判断を適切に行うことができる。
【0023】
(6)好ましくは、前記中継装置は、前記フレームの前記第2の車載装置への中継を行わないことを決定した場合、前記フレームの前記第2の車載装置への中継を行うために必要な条件を前記第1の車載装置へ通知する。
【0024】
このような構成により、車載装置間における通信の要求安全レベルを考慮して車載装置間におけるフレームの中継を行わないと決定した場合において、中継装置において中継を行うことが可能なフレームの再送信を第2の車載装置に促すことができる。
【0025】
(7)本開示の実施の形態に係る中継装置は、複数の車載装置を備える車載通信システムに用いられる中継装置であって、前記車載装置間における通信に要求される安全性のレベルである要求安全レベルと、前記各車載装置が有する車両の安全性に関する機能安全レベルに少なくとも基づくシステム安全レベルとの比較結果に基づいて、前記車載装置間において情報の送受信を行うためのフレームの中継の可否に関する設定を行う設定部と、前記設定部による設定の内容に従って、前記フレームの中継処理を行う中継部とを備える。
【0026】
このように、車載装置間における通信に要求される要求安全レベルと、各車載装置が有する機能安全レベルに基づくシステム安全レベルとの比較結果に基づいてフレームの中継の可否に関する設定を行う構成により、車載装置間における通信の要求安全レベルの大きさを考慮してフレームの中継の可否に関する設定を行うことができるので、たとえば、車載装置間における通信の要求安全レベルが高い場合に車載装置間におけるフレームのやり取りが行われないようにすることができる。したがって、車載ネットワークにおけるセキュリティを向上させることができる。
【0027】
(8)本開示の実施の形態に係る中継方法は、複数の車載装置を備える車載通信システムに用いられる中継装置における中継方法であって、前記車載装置間における通信に要求される安全性のレベルである要求安全レベルと、前記各車載装置が有する車両の安全性に関する機能安全レベルに少なくとも基づくシステム安全レベルとの比較結果に基づいて、前記車載装置間において情報の送受信を行うためのフレームの中継の可否に関する設定を行うステップと、設定した内容に従って、前記フレームの中継処理を行うステップとを含む。
【0028】
このように、車載装置間における通信に要求される要求安全レベルと、各車載装置が有する機能安全レベルに基づくシステム安全レベルとの比較結果に基づいてフレームの中継の可否に関する設定を行う方法により、車載装置間における通信の要求安全レベルの大きさを考慮してフレームの中継の可否に関する設定を行うことができるので、たとえば、車載装置間における通信の要求安全レベルが高い場合に車載装置間におけるフレームのやり取りが行われないようにすることができる。したがって、車載ネットワークにおけるセキュリティを向上させることができる。
【0029】
以下、本開示の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。また、以下に記載する実施の形態の少なくとも一部を任意に組み合わせてもよい。
【0030】
[構成および基本動作]
図1は、本開示の実施の形態に係る車載通信システムの構成を示す図である。図1を参照して、車載通信システム301は、中継装置101と、複数の車載ECU111とを備える。たとえば、車載通信システム301は、車載ECU111として、車載ECU111A,111Bを備える。車載通信システム301は、2つの車載ECU111を備える構成であってもよいし、3つ以上の車載ECU111を備える構成であってもよい。車載ECU111は、車載装置の一例である。車載通信システム301は、車両1に搭載される。
図1は、本開示の実施の形態に係る車載通信システムの構成を示す図である。図1を参照して、車載通信システム301は、中継装置101と、複数の車載ECU111とを備える。たとえば、車載通信システム301は、車載ECU111として、車載ECU111A,111Bを備える。車載通信システム301は、2つの車載ECU111を備える構成であってもよいし、3つ以上の車載ECU111を備える構成であってもよい。車載ECU111は、車載装置の一例である。車載通信システム301は、車両1に搭載される。
【0031】
中継装置101は、車載通信システム301に用いられる。中継装置101は、ケーブル2を介して各車載ECU111と接続されている。ケーブル2は、たとえば、イーサネット(登録商標)の規格に従うケーブルである。中継装置101および車載ECU111は、車載ネットワークを構成する。
【0032】
車載ECU111は、たとえば、電動パワーステアリング(Electric Power Steering:EPS)、ブレーキ制御装置、アクセル制御装置、ステアリング制御装置、運転支援システム(Advanced Driver-Assistance System:ADAS)における各種装置への指示等を行う運転支援装置、またはセンサ等である。
【0033】
中継装置101は、車載ECU111と通信を行うことが可能である。中継装置101は、たとえば、異なるケーブル2に接続された複数の車載ECU111間においてやり取りされる情報を中継する中継処理を行う。
【0034】
たとえば、車載ECU111は、定期的に、LLDP(Link Layer Discovery Protocol)に従うフレームであるLLDPフレームを生成し、生成したLLDPフレームに自己のMACアドレスおよび自己のIPアドレスを含めて中継装置101へ送信する。
【0035】
中継装置101は、車載ECU111からLLDPフレームを受信し、受信したLLDPフレームから、自己に接続された車載ECU111のMACアドレスおよびIPアドレス等の各種情報を取得する。以下では、車載ECU111AのMACアドレスは「MAC_A」であり、車載ECU111BのMACアドレスは「MAC_B」であるものとする。
【0036】
(SOME/IP)
車載通信システム301においては、たとえば、イーサネットプロトコル群のアプリケーション層のプロトコルであるSOME/IPに従って、メッセージの送受信が行われる。より詳細には、車載ECU111は、各種情報が格納されたメッセージを1または複数のフレームに格納し、当該フレームを、SOME/IPに従って中継装置101経由で他の車載ECU111へ送信することが可能である。
車載通信システム301においては、たとえば、イーサネットプロトコル群のアプリケーション層のプロトコルであるSOME/IPに従って、メッセージの送受信が行われる。より詳細には、車載ECU111は、各種情報が格納されたメッセージを1または複数のフレームに格納し、当該フレームを、SOME/IPに従って中継装置101経由で他の車載ECU111へ送信することが可能である。
【0037】
以下、SOME/IPに従ってサービスの提供を行う側の車載ECU111を「サーバ」とも称する。また、サービスの提供を受ける側の車載ECU111を「クライアント」とも称する。車載ECU111は、サーバとしてのみ機能してもよいし、クライアントとしてのみ機能してもよいし、サービスの内容に応じてサーバまたはクライアントとして機能してもよい。以下では、一例として、車載ECU111Aはサーバであり、車載ECU111Bはクライアントであるものとする。
【0038】
たとえば、クライアントである車載ECU111Bがサービスの提供を受けようとする場合、当該サービスに対応するサービスIDを含むサービス探索メッセージを生成する。車載ECU111Bは、生成したサービス探索メッセージが格納されたフレームF1を中継装置101へ送信する。中継装置101は、車載ECU111Bから受信したフレームF1を車載ECU111A等の他の車載ECUへマルチキャストする。
【0039】
サービス探索メッセージを受信した車載ECU111のうち、サービス探索メッセージに付されたサービスIDに対応するサービスを提供可能な車載ECU111たとえば車載ECU111Aは、サーバとして、当該サービスに対応するサービスIDを含むサービス提供通知メッセージを生成する。車載ECU111Aは、生成したサービス提供通知メッセージが格納されたフレームF2を中継装置101へ送信する。中継装置101は、車載ECU111Aから受信したフレームF2をフレームF1の送信元の車載ECU111Bへ送信する。これにより、車載ECU111Aと車載ECU111Bとの間で通信接続を確立することができる。
【0040】
車載ECU111Aとの間で通信接続を確立した車載ECU111Bは、車載ECU111Aに対して周期的なサービスの提供を要求する場合、当該サービスに対応するサービスIDを含むサービス購読要求メッセージを生成する。車載ECU111Bは、生成したサービス購読要求メッセージが格納されたフレームF3を中継装置101へ送信する。中継装置101は、車載ECU111Bから受信したフレームF3を車載ECU111Aへ送信する。
【0041】
車載ECU111Aは、サービス購読要求メッセージを受信すると、受信したサービス購読要求メッセージに含まれる車載ECU111BのID等に基づいて、サービスの提供を許可するか否かを決定する。車載ECU111Aは、サービスの提供を許可することを決定した場合、当該サービスに対応するサービスIDを含むサービス購読許可メッセージを生成する。車載ECU111Aは、生成したサービス購読許可メッセージが格納されたフレームF4を中継装置101へ送信する。中継装置101は、車載ECU111Aから受信したフレームF4を車載ECU111Bへ送信する。
【0042】
そして、車載ECU111Aは、サービスとして提供する情報と、当該サービスに対応するサービスIDとを含むサービス提供メッセージを周期的に生成し、生成したサービス提供メッセージが格納されたフレームF5を中継装置101へ送信する。中継装置101は、車載ECU111Aから受信したフレームF5を車載ECU111Bへ送信する。一例として、センサである車載ECU111Aは、車両1の走行状態または周囲の状態に関するセンサ情報を含むサービス提供メッセージを運転支援装置である車載ECU111Bへ送信する。車載ECU111Bは、受信したサービス提供メッセージから、サービスとして提供されたセンサ情報を取得し、当該センサ情報を用いて、車両1の運転に関する各種制御情報を生成し、生成した各種制御情報をブレーキ制御装置およびステアリング制御装置等へ送信する。
【0043】
サービス探索メッセージ、サービス提供通知メッセージ、サービス購読要求メッセージ、サービス購読許可メッセージ、およびサービス提供メッセージは、SOME/IPに従うメッセージの一例である。フレームF1,F2,F3,F4,F5は、サーバとクライアントとの間において情報の送受信を行うためのフレームの一例である。
【0044】
車載ECU111は、当該車載ECU111の機能に応じて、「A」、「B」、「C」または「D」の機能安全レベルが割り当てられる。「D」が割り当てられた機能は最も高いレベルの安全方策が求められ、「A」が割り当てられた機能は求められる安全方策が最も低い。すなわち、車載ECU111の機能安全レベルは、「D」、「C」、「B」および「A」の順に高い。
【0045】
一例として、機能安全レベルは、ISO26262により規定されるASIL(Automotive Safety Integrity Level)である。
【0046】
なお、車載ECU111は、複数の機能を有する構成であってもよい。この場合、車載ECU111は、機能ごとの複数の機能安全レベルを有する。
【0047】
<課題>
ところで、車載通信システム301において、車載ネットワークの構成が変更されることにより、変更前は要求安全レベルの低い通信しか行わなかった車載ECU111が、変更前は要求安全レベルの高い通信しか行わなかった車載ECU111と通信を行う場合がある。
ところで、車載通信システム301において、車載ネットワークの構成が変更されることにより、変更前は要求安全レベルの低い通信しか行わなかった車載ECU111が、変更前は要求安全レベルの高い通信しか行わなかった車載ECU111と通信を行う場合がある。
【0048】
具体的には、一例として、車両1の外部のOTA(Over The Air)サーバからの更新データに基づいて、ある車載ECU111のソフトウェアが更新されることにより、当該車載ECU111の機能安全レベルが「B」から「D」に変更される場合がある。この場合、当該車載ECU111と、機能安全レベルが「D」である他の車載ECU111との間において新たに通信が開始される場合がある。
【0049】
また、他の例として、車載ネットワークに新たな車載ECU111が追加される場合がある。当該車載ECU111と、要求安全レベルの高い通信しか行わなかった既存の車載ECU111との間において新たに通信が開始される場合がある。
【0050】
従来、このように、要求安全レベルの低い通信しか行わなかった車載ECU111が要求安全レベルの高い通信を開始する場合において、セキュリティの観点から懸念が指摘されている。
【0051】
そこで、本開示の車載通信システム301および中継装置101では、以下のような構成および動作により、このような課題を解決する。
【0052】
<中継装置>
図2は、本開示の実施の形態に係る中継装置の構成を示す図である。図2を参照して、中継装置101は、通信ポート15A,15B,15Cと、中継部11と、設定部21と、更新部31と、通知部41と、記憶部51とを備える。以下、通信ポート15A,15B,15Cの各々を通信ポート15とも称する。なお、中継装置101は、2つの通信ポート15を備える構成であってもよいし、4つ以上の通信ポート15を備える構成であってもよい。
図2は、本開示の実施の形態に係る中継装置の構成を示す図である。図2を参照して、中継装置101は、通信ポート15A,15B,15Cと、中継部11と、設定部21と、更新部31と、通知部41と、記憶部51とを備える。以下、通信ポート15A,15B,15Cの各々を通信ポート15とも称する。なお、中継装置101は、2つの通信ポート15を備える構成であってもよいし、4つ以上の通信ポート15を備える構成であってもよい。
【0053】
中継部11は、たとえばスイッチIC(Integrated Circuit)により実現される。設定部21、更新部31および通知部41は、たとえば、CPU(Central Processing Unit)およびDSP(Digital Signal Processor)等のプロセッサにより実現される。記憶部51は、たとえば不揮発性メモリである。
【0054】
通信ポート15は、たとえばケーブル2を接続可能な端子である。なお、通信ポート15は、集積回路の端子であってもよい。通信ポート15Aは、ケーブル2を介して車載ECU111Aに接続されている。通信ポート15Bは、ケーブル2を介して車載ECU111Bに接続されている。
【0055】
中継部11は、車載ECU111から受信したフレームを他の車載ECU111へ中継することが可能である。すなわち、中継部11は、車載ECU111から送信されたフレームを、当該車載ECU111に対応する通信ポート15経由で受信し、受信したフレームに対して中継処理を行うことが可能である。
【0056】
たとえば、記憶部51には、通信ポート15のポート番号と、ケーブル2を介して通信ポート15に接続された車載ECU111のMAC(Media Access Control)アドレスとの対応関係を示すアドレステーブルが保存されている。中継部11は、記憶部51におけるアドレステーブルを用いて中継処理を行う。
【0057】
(システム管理リスト)
図3は、本開示の実施の形態に係る中継装置における記憶部が記憶するシステム管理リストの一例を示す図である。図3を参照して、記憶部51は、車載ECU111の組と、システム安全レベルとの対応関係を示すシステム管理リストLsyを記憶する。より詳細には、システム管理リストLsyは、2つの車載ECU111を構成要素として含む通信システムのシステムIDと、当該通信システムのシステム安全レベルとの対応関係を示している。通信システムのシステム安全レベルは、車載ECU111の機能安全レベルと同様に、「D」、「C」、「B」および「A」の順に高い。
図3は、本開示の実施の形態に係る中継装置における記憶部が記憶するシステム管理リストの一例を示す図である。図3を参照して、記憶部51は、車載ECU111の組と、システム安全レベルとの対応関係を示すシステム管理リストLsyを記憶する。より詳細には、システム管理リストLsyは、2つの車載ECU111を構成要素として含む通信システムのシステムIDと、当該通信システムのシステム安全レベルとの対応関係を示している。通信システムのシステム安全レベルは、車載ECU111の機能安全レベルと同様に、「D」、「C」、「B」および「A」の順に高い。
【0058】
通信システムのシステム安全レベルは、当該通信システムの構成要素である2つの車載ECU111がそれぞれ有する機能安全レベルに少なくとも基づいて設定される。たとえば、通信システムのシステム安全レベルは、当該通信システムの構成要素である車載ECU111間において送受信されるフレームに付与される安全機構用のデータにさらに基づいて設定される。
【0059】
より詳細には、車載ECU111Aは、安全機構としてECC(Error Correction Code)等を有しており、車載ECU111Aの機能安全レベルは「B」である。また、車載ECU111Bは、安全機構としてECC等を有しており、車載ECU111Bの機能安全レベルは「C」である。そして、システムIDが「S001」である通信システムのシステム安全レベルは、当該通信システムの構成要素である車載ECU111A,111Bの各機能安全レベルに基づいて、「B」に設定されている。
【0060】
また、システムIDが「S002」である通信システムのシステム安全レベルは、当該通信システムの構成要素である車載ECU111A,111Bの各機能安全レベル、および車載ECU111A,111B間において送受信されるフレームに安全機構用のデータとして付与されるCRC(Cyclic Redundancy Check)に基づいて、「C」に設定されている。
【0061】
(サービス管理リスト)
図4は、本開示の実施の形態に係る中継装置における記憶部が記憶するサービス管理リストの一例を示す図である。図4を参照して、記憶部51は、車載ECU111間において送受信される情報の種類と、車載ECU111間における通信に要求される安全性のレベルである要求安全レベルとの対応関係を示すサービス管理リストLseを記憶する。より詳細には、サービス管理リストLseは、SOME/IPに従うサービスのサービスIDと、車載ECU111間において当該サービスを行うための通信に要求される要求安全レベルとの対応関係を示している。要求安全レベルは、車載ECU111の機能安全レベルと同様に、「D」、「C」、「B」および「A」の順に高い。
図4は、本開示の実施の形態に係る中継装置における記憶部が記憶するサービス管理リストの一例を示す図である。図4を参照して、記憶部51は、車載ECU111間において送受信される情報の種類と、車載ECU111間における通信に要求される安全性のレベルである要求安全レベルとの対応関係を示すサービス管理リストLseを記憶する。より詳細には、サービス管理リストLseは、SOME/IPに従うサービスのサービスIDと、車載ECU111間において当該サービスを行うための通信に要求される要求安全レベルとの対応関係を示している。要求安全レベルは、車載ECU111の機能安全レベルと同様に、「D」、「C」、「B」および「A」の順に高い。
【0062】
たとえば、サービスIDが「2001」であるサービスに対応する要求安全レベルは「D」であるので、車載ECU111間において当該サービスを行うための通信には最も高いレベルの安全方策が求められる。
【0063】
たとえば、システム管理リストLsyおよびサービス管理リストLseは、車両1の製造者により作成され、車両1の出荷時に記憶部51に保存される。
【0064】
(システム管理リストの更新)
車載ECU111は、自己の機能安全レベルを中継装置101へ通知する。より詳細には、車載ECU111は、たとえば上述したLLDPフレームに自己の現在の機能安全レベルを示すレベル情報L1を含めて中継装置101へ送信する。
車載ECU111は、自己の機能安全レベルを中継装置101へ通知する。より詳細には、車載ECU111は、たとえば上述したLLDPフレームに自己の現在の機能安全レベルを示すレベル情報L1を含めて中継装置101へ送信する。
【0065】
たとえば、OTAサーバからの更新データに基づいて車載ECU111Aのソフトウェアが更新されることにより、車載ECU111Aの機能安全レベルが「B」から「C」に変更される。車載ECU111Aは、LLDPフレームに更新後の自己の機能安全レベルを示すレベル情報L1を含めて中継装置101へ送信する。
【0066】
また、たとえば、車載ネットワークに新たな車載ECU111である車載ECU111Cが追加される。より詳細には、車両1のユーザの操作により、車載ECU111Cがケーブル2を介して中継装置101における通信ポート15Cに接続される。車載ECU111Cは、LLDPフレームに自己のMACアドレス、自己のIPアドレスおよび自己の現在の機能安全レベルを示すレベル情報L1を含めて中継装置101へ送信する。以下では、車載ECU111CのMACアドレスは「MAC_C」であるものとする。
【0067】
中継部11は、対応の通信ポート15経由で車載ECU111からLLDPフレームを受信すると、受信したLLDPフレームからレベル情報L1を取得して更新部31へ出力する。
【0068】
更新部31は、車載ECU111から通知された機能安全レベルに基づいて、記憶部51におけるシステム管理リストLsyを更新する。より詳細には、更新部31は、中継部11からレベル情報L1を受けて、受けたレベル情報L1に基づいて、記憶部51におけるシステム管理リストLsyを更新する。
【0069】
図5は、本開示の実施の形態に係る中継装置における更新部による更新後のシステム管理リストの一例を示す図である。
【0070】
図5を参照して、更新部31は、中継部11経由で車載ECU111Aからレベル情報L1を受信すると、記憶部51のシステム管理リストLsyにおける車載ECU111Aの機能安全レベルを「B」から「C」に変更する。また、更新部31は、システムIDが「S001」である通信システムのシステム安全レベルを、車載ECU111Aの機能安全レベルの変更に伴って、「B」から「C」に変更する。また、更新部31は、システムIDが「S002」である通信システムのシステム安全レベルを、車載ECU111Aの機能安全レベルの変更に伴って、「C」から「D」に変更する。
【0071】
また、更新部31は、中継部11経由で車載ECU111Cからレベル情報L1を受信すると、記憶部51におけるシステム管理リストLsyに、車載ECU111A,111Cを構成要素として含む新たな通信システムのシステムIDである「S103」を追加し、当該通信システムのシステム安全レベルを、車載ECU111A,111Cの各機能安全レベルに基づいて、たとえば「B」に設定する。
【0072】
(サービス管理リストの更新)
車載ECU111は、自己および他の車載ECU111の間における通信に要求される要求安全レベルを中継装置101へ通知する。より詳細には、車載ECU111は、たとえばサービス探索メッセージが格納されたフレームF1に、当該サービス探索メッセージに含まれるサービスIDが示すサービスを行うための通信に要求される要求安全レベルを示すレベル情報L2を含めて中継装置101へ送信する。
車載ECU111は、自己および他の車載ECU111の間における通信に要求される要求安全レベルを中継装置101へ通知する。より詳細には、車載ECU111は、たとえばサービス探索メッセージが格納されたフレームF1に、当該サービス探索メッセージに含まれるサービスIDが示すサービスを行うための通信に要求される要求安全レベルを示すレベル情報L2を含めて中継装置101へ送信する。
【0073】
たとえば、車載ECU111Bは、サービスIDとして「3001」を含むサービス探索メッセージが格納されたフレームF1に、当該サービスIDが示すサービスを行うための通信に要求される要求安全レベルが「D」であることを示すレベル情報L2を含めて中継装置101へ送信する。
【0074】
中継部11は、対応の通信ポート15経由で車載ECU111からフレームF1を受信すると、受信したフレームF1からレベル情報L2を取得して更新部31へ出力する。
【0075】
更新部31は、車載ECU111から通知された要求安全レベルに基づいて、記憶部51におけるサービス管理リストLseを更新する。より詳細には、更新部31は、中継部11からレベル情報L2を受けて、受けたレベル情報L2に基づいて、記憶部51におけるサービス管理リストLseを更新する。
【0076】
図6は、本開示の実施の形態に係る中継装置における更新部による更新後のサービス管理リストの一例を示す図である。
【0077】
図6を参照して、更新部31は、中継部11経由で車載ECU111からレベル情報L2を受信すると、記憶部51におけるサービス管理リストLseに、サービスIDである「3001」を追加する。そして、更新部31は、レベル情報L2に基づいて、「3001」が示すサービスに対応する要求安全レベルを「D」に設定する。
【0078】
(設定処理)
設定部21は、要求安全レベルと、システム安全レベルとの比較結果に基づいて、中継部11による中継の可否に関する設定を行う。
設定部21は、要求安全レベルと、システム安全レベルとの比較結果に基づいて、中継部11による中継の可否に関する設定を行う。
【0079】
たとえば、中継部11は、通信ポート15B経由で車載ECU111Bからサービス探索メッセージが格納されたフレームF1を受信すると、受信したフレームF1からサービス探索メッセージを取得して設定部21へ出力する。そして、中継部11は、フレームF1を複数の通信ポート15経由でマルチキャストする。
【0080】
設定部21は、中継部11からサービス探索メッセージを受けて、受けたサービス探索メッセージからサービスIDを取得する。設定部21は、取得したサービスIDを用いて、中継部11による中継の可否に関する設定を行う。
【0081】
より詳細には、設定部21は、記憶部51におけるサービス管理リストLseから、取得したサービスIDに対応する要求安全レベルを取得する。そして、設定部21は、記憶部51におけるシステム管理リストLsyに基づいて、取得した要求安全レベル以上のシステム安全レベルを有する通信システムにおいて送受信される、当該サービスIDを含むメッセージが格納されたフレームの中継を許可する一方で、取得した要求安全レベル未満のシステム安全レベルを有する通信システムにおいて送受信される、当該サービスIDを含むメッセージが格納されたフレームの中継を許可しない旨の中継処理条件の設定を行う。
【0082】
一例として、設定部21は、サービス探索メッセージから取得したサービスIDが「2001」である場合、記憶部51におけるサービス管理リストLseから、「2001」に対応する要求安全レベルである「D」を取得する。
【0083】
そして、設定部21は、記憶部51におけるシステム管理リストLsyに基づいて、「D」以上のシステム安全レベルを有する通信システムにおいて送受信される、サービスIDとして「2001」を含むメッセージが格納されたフレームの中継を許可する一方で、「D」未満のシステム安全レベルを有する通信システムにおいて送受信される、サービスIDとして「2001」を含むメッセージが格納されたフレームの中継を許可しない旨の中継処理条件の設定を行う。
【0084】
すなわち、設定部21は、システムIDが「S002」である通信システムにおいて送受信される、サービスIDとして「2001」を含むメッセージが格納されたフレームの中継を許可する一方で、システムIDが「S001」または「S103」である通信システムにおいて送受信される、サービスIDとして「2001」を含むメッセージが格納されたフレームの中継を許可しない旨の中継処理条件の設定を行う。
【0085】
たとえば、中継部11は、ACL(Access Control List)を含む。
【0086】
設定部21は、サービスIDとして「2001」を含むメッセージが格納されたフレームにおいて、当該フレームの宛先MACアドレスが「MAC_A」または「MAC_B」であり、当該フレームの送信元MACアドレスが「MAC_A」または「MAC_B」であり、かつ当該フレームにCRCが含まれている旨の条件を満たす場合に当該フレームを中継する一方で、上記条件を満たさない場合に当該フレームを中継しない旨の中継処理条件を、中継部11におけるACLに設定する。
【0087】
(フレームF2,F3,F4,F5の中継処理)
中継部11は、設定部21における要求安全レベルとシステム安全レベルとの比較結果に基づいて、フレームF2,F3,F4,F5の中継の可否を決定する。すなわち、中継部11は、設定部21による設定の内容に従って、フレームF2,F3,F4,F5の中継処理を行う。
中継部11は、設定部21における要求安全レベルとシステム安全レベルとの比較結果に基づいて、フレームF2,F3,F4,F5の中継の可否を決定する。すなわち、中継部11は、設定部21による設定の内容に従って、フレームF2,F3,F4,F5の中継処理を行う。
【0088】
より詳細には、たとえば、中継部11は、サービスIDとして「2001」を含むサービス提供通知メッセージが格納され、宛先MACアドレスが「MAC_B」であり、送信元MACアドレスが「MAC_A」であり、かつCRCが含まれているフレームF2を通信ポート15A経由で車載ECU111Aから受信する。この場合、中継部11は、受信したフレームF2が上記中継処理条件を満たすので、当該フレームF2の中継処理を行う。具体的には、中継部11は、当該フレームF2を通信ポート15B経由で車載ECU111Bへ送信する。
【0089】
次に、たとえば、中継部11は、サービスIDとして「2001」を含むサービス購読要求メッセージが格納され、宛先MACアドレスが「MAC_A」であり、送信元MACアドレスが「MAC_B」であり、かつCRCが含まれているフレームF3を通信ポート15B経由で車載ECU111Bから受信する。この場合、中継部11は、受信したフレームF3が上記中継処理条件を満たすので、当該フレームF3の中継処理を行う。具体的には、中継部11は、当該フレームF3を通信ポート15A経由で車載ECU111Aへ送信する。
【0090】
あるいは、中継部11は、サービスIDとして「2001」を含むサービス購読要求メッセージが格納され、宛先MACアドレスが「MAC_A」であり、送信元MACアドレスが「MAC_B」であり、かつCRCが含まれてないフレームF3を通信ポート15B経由で車載ECU111Bから受信する。この場合、中継部11は、受信したフレームF3が上記中継処理条件を満たさないので、当該フレームF3の中継処理を行わない。
【0091】
また、たとえば、中継部11は、サービスIDとして「2001」を含むサービス提供通知メッセージが格納され、宛先MACアドレスが「MAC_C」であり、送信元MACアドレスが「MAC_A」であり、かつCRCが含まれているフレームF2を通信ポート15経由で車載ECU111Aから受信する。この場合、中継部11は、受信したフレームF2が上記中継処理条件を満たさないので、当該フレームF2の中継処理を行わない。
【0092】
中継部11は、フレームF4,F5についても同様に、受信したフレームが中継処理条件を満たす場合は当該フレームを対応の通信ポート15経由で宛先の車載ECU111へ送信する一方で、受信したフレームが中継処理条件を満たさない場合は当該フレームF2の中継処理を行わない。
【0093】
たとえば、中継部11は、中継処理条件を満たさないフレームを、通知部41へ出力する。
【0094】
通知部41は、中継部11によりフレームの中継を行わないことが決定された場合、当該フレームの宛先の車載ECU111への中継を行うために必要な条件を送信元の車載ECU111へ通知する。
【0095】
より詳細には、通知部41は、サービスIDとして「2001」を含むサービス購読要求メッセージが格納され、宛先MACアドレスが「MAC_A」であり、送信元MACアドレスが「MAC_B」であり、かつCRCが含まれてないフレームF3を中継部11から受ける。
【0096】
通知部41は、記憶部51におけるシステム管理リストLsyおよびサービス管理リストLseを参照し、当該フレームF3にCRCが含まれることにより通信システムのシステム安全レベルが「D」となり、システム安全レベルが要求安全レベル以上となることを認識する。
【0097】
そして、通知部41は、フレームF3の車載ECU111Aへの中継を行うために必要な条件として、フレームF3にCRCを含めるべき旨を示す中継条件情報を生成し、生成した中継条件情報を含む車載ECU111Bのフレームを生成し、生成したフレームを中継部11および通信ポート15B経由で車載ECU111Bへ送信する。
【0098】
車載ECU111Bは、中継装置101から当該フレームを受信し、受信したフレームから中継条件情報を取得する。たとえば、車載ECU111Bは、取得した中継条件情報に従い、フレームF3にCRCを含めて再送信する。
【0099】
[動作の流れ]
本開示の実施の形態に係る車載通信システムにおける各装置は、メモリを含むコンピュータを備え、当該コンピュータにおけるCPU等の演算処理部は、以下のシーケンスの各ステップの一部または全部を含むプログラムを当該メモリから読み出して実行する。これら複数の装置のプログラムは、それぞれ、外部からインストールすることができる。これら複数の装置のプログラムは、それぞれ、記録媒体に格納された状態でまたは通信回線を介して流通する。
本開示の実施の形態に係る車載通信システムにおける各装置は、メモリを含むコンピュータを備え、当該コンピュータにおけるCPU等の演算処理部は、以下のシーケンスの各ステップの一部または全部を含むプログラムを当該メモリから読み出して実行する。これら複数の装置のプログラムは、それぞれ、外部からインストールすることができる。これら複数の装置のプログラムは、それぞれ、記録媒体に格納された状態でまたは通信回線を介して流通する。
【0100】
図7は、本開示の実施の形態に係る中継装置が中継処理を行う際の動作手順の一例を定めたフローチャートである。
【0101】
図7を参照して、まず、中継装置101は、中継処理条件を設定する。より詳細には、中継装置101は、通信ポート15B経由で車載ECU111Bから受信したフレームF1からサービス探索メッセージを取得する。中継装置101は、サービス探索メッセージからサービスIDを取得し、記憶部51におけるサービス管理リストLseから、当該サービスIDに対応する要求安全レベルを取得する。そして、設定部21は、記憶部51におけるシステム管理リストLsyに基づいて、取得した要求安全レベル以上のシステム安全レベルを有する通信システムにおいて送受信される、当該サービスIDを含むメッセージが格納されたフレームの中継を許可する一方で、取得した要求安全レベル未満のシステム安全レベルを有する通信システムにおいて送受信される、当該サービスIDを含むメッセージが格納されたフレームの中継を許可しない旨の中継処理条件の設定を行う(ステップS102)。
【0102】
次に、中継装置101は、フレームF2,F3,F4,F5を待ち受け(ステップS104でNO)、たとえば通信ポート15A経由で車載ECU111AからフレームF2を受信すると(ステップS104でYES)、受信したフレームF2が中継処理条件を満たすか否かを判断する(ステップS106)。
【0103】
中継装置101は、受信したフレームF2が中継処理条件を満たす場合、当該フレームF2の中継処理を行う(ステップS108)。
【0104】
次に、中継装置101は、新たなフレームF2,F3,F4,F5を待ち受ける(ステップS104でNO)。
【0105】
一方、中継装置101は、受信したフレームF2が中継処理条件を満たさない場合、中継条件情報を生成し、生成した中継条件情報を含むフレームを生成して車載ECU111Aへ送信する(ステップS110)。
【0106】
次に、中継装置101は、当該フレームF2を破棄する(ステップS112)。
【0107】
次に、中継装置101は、新たなフレームF2,F3,F4,F5を待ち受ける(ステップS104でNO)。
【0108】
図8は、本開示の実施の形態に係る車載通信システムにおける通信のシーケンスの一例を示す図である。図8は、サーバである車載ECU111Aおよびクライアントである車載ECU111Bが中継装置101を介してフレームの送受信を行う際のシーケンスを示している。
【0109】
図8を参照して、まず、OTAサーバからの更新データに基づいて車載ECU111Aのソフトウェアが更新されることにより、車載ECU111Aの機能安全レベルが変更される(ステップS202)。
【0110】
次に、車載ECU111Aは、LLDPフレームに自己の現在の機能安全レベルを示すレベル情報L1を含めて中継装置101へ送信する(ステップS204)。
【0111】
また、車載ECU111Bは、LLDPフレームに自己の現在の機能安全レベルを示すレベル情報L1を含めて中継装置101へ送信する(ステップS206)。
【0112】
次に、中継装置101は、車載ECU111A,111Bの各々から受信したレベル情報L1に基づいて、記憶部51におけるシステム管理リストLsyを更新する(ステップS208)。
【0113】
次に、車載ECU111Bは、サービス探索メッセージが格納されたフレームF1を中継装置101へ送信する(ステップS210)。
【0114】
次に、中継装置101は、受信したフレームF1に格納されたサービス探索メッセージからサービスIDを取得し、記憶部51におけるサービス管理リストLseから、当該サービスIDに対応する要求安全レベルを取得する。そして、中継装置101は、取得した要求安全レベルおよび記憶部51におけるシステム管理リストLsyに基づいて、中継処理条件の設定を行う(ステップS212)。
【0115】
次に、中継装置101は、サービス探索メッセージが格納されたフレームF1を車載ECU111Aへ送信する。具体的には、中継装置101は、フレームF1をマルチキャストする(ステップS214)。
【0116】
次に、車載ECU111Aは、サービス提供通知メッセージが格納されたフレームF2を中継装置101へ送信する(ステップS216)。
【0117】
次に、中継装置101は、受信したフレームF2が、設定した中継処理条件を満たすので、当該フレームF2の中継処理を行う。具体的には、中継装置101は、サービス提供通知メッセージが格納された当該フレームF2を車載ECU111Bへ送信する(ステップS218)。
【0118】
次に、車載ECU111Bは、サービス購読要求メッセージが格納されたフレームF3を中継装置101へ送信する(ステップS220)。
【0119】
次に、中継装置101は、たとえばフレームF3にCRCが含まれていないことから当該フレームF3が中継処理条件を満たさないので、当該フレームF3の中継処理を行う代わりに、中継条件情報を含むフレームを車載ECU111Bへ送信する(ステップS222)。
【0120】
次に、中継装置101は、フレームF3を破棄する(ステップS224)。
【0121】
次に、車載ECU111Bは、中継装置101から受信したフレームから取得した中継条件情報に従い、サービス購読要求メッセージが格納された、CRCを含むフレームF3を中継装置101へ送信する(ステップS226)。
【0122】
次に、中継装置101は、受信したフレームF3にCRCが含まれており、フレームF3が中継処理条件を満たすので、当該フレームF3の中継処理を行う。具体的には、中継装置101は、サービス購読要求メッセージが格納された当該フレームF3を車載ECU111Aへ送信する(ステップS228)。
【0123】
次に、車載ECU111Aは、サービス購読許可メッセージが格納されたフレームF4を中継装置101へ送信する(ステップS230)。
【0124】
次に、中継装置101は、受信したフレームF4が、設定した中継処理条件を満たすので、当該フレームF4の中継処理を行う。具体的には、中継装置101は、サービス購読許可メッセージが格納された当該フレームF4を車載ECU111Bへ送信する(ステップS232)。
【0125】
次に、車載ECU111Aは、サービス提供メッセージが格納されたフレームF5を中継装置101へ送信する(ステップS234)。
【0126】
次に、中継装置101は、受信したフレームF5が、設定した中継処理条件を満たすので、当該フレームF5の中継処理を行う。具体的には、中継装置101は、サービス提供メッセージが格納された当該フレームF5を車載ECU111Bへ送信する(ステップS236)。
【0127】
図9は、本開示の実施の形態に係る車載通信システムにおける通信のシーケンスの他の例を示す図である。図9は、サーバである車載ECU111Aおよびクライアントである車載ECU111Cが中継装置101を介してフレームの送受信を行う際のシーケンスを示している。
【0128】
図9を参照して、まず、車載ネットワークに新たな車載ECU111Cが追加される(ステップS302)。
【0129】
次に、車載ECU111Aは、LLDPフレームに自己の現在の機能安全レベルを示すレベル情報L1を含めて中継装置101へ送信する(ステップS304)。
【0130】
また、車載ECU111Cは、LLDPフレームに自己の現在の機能安全レベルを示すレベル情報L1を含めて中継装置101へ送信する(ステップS306)。
【0131】
次に、中継装置101は、車載ECU111A,111Cの各々から受信したレベル情報L1に基づいて、記憶部51におけるシステム管理リストLsyを更新する(ステップS308)。
【0132】
次に、車載ECU111Cは、サービス探索メッセージが格納されたフレームF1を中継装置101へ送信する(ステップS310)。
【0133】
次に、中継装置101は、受信したフレームF1に格納されたサービス探索メッセージからサービスIDを取得し、記憶部51におけるサービス管理リストLseから、当該サービスIDに対応する要求安全レベルを取得する。そして、中継装置101は、取得した要求安全レベルおよび記憶部51におけるシステム管理リストLsyに基づいて、中継処理条件の設定を行う(ステップS312)。
【0134】
次に、中継装置101は、サービス探索メッセージが格納されたフレームF1を車載ECU111Aへ送信する。具体的には、中継装置101は、フレームF1をマルチキャストする(ステップS314)。
【0135】
次に、車載ECU111Aは、サービス提供通知メッセージが格納されたフレームF2を中継装置101へ送信する(ステップS316)。
【0136】
次に、中継装置101は、たとえばフレームF3の宛先MACアドレスが「MAC_C」であることから当該フレームF3が中継処理条件を満たさないので、フレームF3を破棄する(ステップS318)。
【0137】
なお、中継装置101は、ステップS316において、フレームF3を破棄することに加えて、システムIDが「S103」である通信システムのシステム安全レベルをデコンポジションする構成であってもよい。より詳細には、中継装置101は、たとえば、故障検出機構を追加すべき旨を示す中継条件情報を生成し、生成した中継条件情報を含むフレームを車載ECU111Cへ送信する。
【0138】
車載ECU111Cは、中継装置101から受信したフレームから取得した中継条件情報に従い、故障検出機構を追加する。これにより、システムIDが「S103」である通信システムのシステム安全レベルを上げることができるので、車載ECU111Aおよび車載ECU111C間において送受信されるフレームF2,F3,F4,F5が中継処理条件を満たすものとなり、中継装置101においてフレームF2,F3,F4,F5の中継処理を行うことができる。
【0139】
なお、本開示の実施の形態に係る車載通信システム301では、中継装置101における記憶部51は、車載ECU111の組と、車載ECU111間において送受信されるフレームに付与される安全機構用のデータにさらに基づいて設定されるシステム安全レベルとの対応関係を示すシステム管理リストLsyを記憶する構成であるとしたが、これに限定するものではない。記憶部51は、車載ECU111の組と、2つの車載ECU111がそれぞれ有する機能安全レベルのみに基づいて設定されるシステム安全レベルとの対応関係を示すシステム管理リストLsyを記憶する構成であってもよい。この場合、中継装置101は、要求安全レベルと、2つの車載ECU111がそれぞれ有する機能安全レベルのみに基づくシステム安全レベルとの比較結果に基づいて、フレームの中継の可否を決定する。
【0140】
また、本開示の実施の形態に係る車載通信システム301では、車載ECU111は、LLDPフレームにレベル情報L1を含めて中継装置101へ送信する構成であるとしたが、これに限定するものではない。車載ECU111は、自己の機能安全レベルの中継装置101への通知を行わない構成であってもよい。すなわち、車載ECU111は、LLDPフレームにレベル情報L1を含めない構成であってもよい。この場合、中継装置101における更新部31は、記憶部51におけるシステム管理リストLsyの更新を行わない構成であってもよい。
【0141】
また、車載ECU111は、LLDPフレームの代わりに、LLDP以外のプロトコルに従うフレームにレベル情報L1を含めて中継装置101へ送信する構成であってもよい。たとえば、車載ECU111は、SNMP(Simple Network Management Protocol)に従うフレームにレベル情報L1を含めて中継装置101へ送信する構成であってもよい。
【0142】
また、本開示の実施の形態に係る車載通信システム301では、車載ECU111は、サービス探索メッセージが格納されたフレームF1にレベル情報L2を含めて中継装置101へ送信する構成であるとしたが、これに限定するものではない。車載ECU111は、自己および他の車載ECU111の間における通信に要求される要求安全レベルの中継装置101への通知を行わない構成であってもよい。すなわち、車載ECU111は、フレームF1にレベル情報L2を含めない構成であってもよい。この場合、中継装置101における更新部31は、記憶部51におけるサービス管理リストLseの更新を行わない構成であってもよい。
【0143】
また、車載ECU111は、サービス探索メッセージが格納されたフレームF1の代わりに、フレームF1以外のフレームにレベル情報L2を含めて中継装置101へ送信する構成であってもよい。
【0144】
また、本開示の実施の形態に係る車載通信システム301では、中継装置101は、SOME/IPに従うメッセージが格納されたフレームF2,F3,F4,F5を受信し、当該メッセージに含まれるサービスIDに対応する要求安全レベルと、システム安全レベルとの比較結果に基づいて、フレームF2,F3,F4,F5の中継の可否を決定する構成であるとしたが、これに限定するものではない。中継装置101は、SOME/IPに従うメッセージが格納されたフレーム以外のフレームを受信し、受信したフレームの中継の可否を決定する構成であってもよい。
【0145】
また、本開示の実施の形態に係る車載通信システム301では、中継装置101は、フレームの中継を行わないことを決定した場合、当該フレームの宛先の車載ECU111への中継を行うために必要な条件を送信元の車載ECU111へ通知する構成であるとしたが、これに限定するものではない。中継装置101は、送信元の車載ECU111への当該条件の通知を行わない構成であってもよい。すなわち、中継装置101は、通知部41を備えない構成であってもよい。
【0146】
また、本開示の実施の形態に係る中継装置101では、設定部21は、中継部11により受信されたフレームF1に格納されたサービス探索メッセージからサービスIDを取得し、取得したサービスIDを用いて、中継処理条件の設定を行う構成であるとしたが、これに限定するものではない。設定部21は、予め、サービス管理リストLseにおける各サービスIDを用いて、中継処理条件の設定を行う構成であってもよい。
【0147】
また、本開示の実施の形態に係る中継装置101では、中継部11は、設定部21による設定の内容に従って、フレームの中継処理を行う構成であるとしたが、これに限定するものではない。たとえば、設定部21は、中継部11によりフレームが受信されるたびに、当該フレームの中継の可否を決定する構成であってもよい。具体的には、以下のような構成であってもよい。
【0148】
すなわち、中継部11は、車載ECU111からフレームを受信すると、受信したフレームを設定部21へ出力し、設定部21からの指示を受けるまで当該フレームの中継を保留する。
【0149】
設定部21は、要求安全レベルと、システム安全レベルとの比較結果に基づいて、フレームの中継の可否を決定する。具体的には、設定部21は、中継部11からフレームを受けて、受けたフレームに格納されたメッセージからサービスIDを取得し、記憶部51におけるサービス管理リストLseから、取得したサービスIDに対応する要求安全レベルを取得する。また、設定部21は、記憶部51におけるシステム管理リストLsyから、当該フレームの宛先MACアドレスおよび送信元MACアドレス等が示す通信システムのシステム安全レベルを取得する。そして、設定部21は、取得した要求安全レベルと取得したシステム安全レベルとを比較し、システム安全レベルが要求安全レベル以上である場合、フレームを中継すべき旨を示す中継指示を中継部11へ出力する一方で、システム安全レベルが要求安全レベル未満である場合、フレームを破棄すべき旨を示す破棄指示を中継部11へ出力する。
【0150】
中継部11は、設定部21による決定結果に基づいて、フレームの中継を行う。具体的には、設定部21から中継指示を受けた場合、中継を保留していたフレームを宛先の車載ECU111へ中継する。一方、設定部21から破棄指示を受けた場合、中継を保留していたフレームを中継することなく破棄する。
【0151】
上記実施の形態は、すべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記説明ではなく特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。
【0152】
以上の説明は、以下に付記する特徴を含む。
[付記1]
複数の車載装置と、
中継装置とを備え、
第1の前記車載装置は、第2の前記車載装置との間において情報の送受信を行うための第2の前記車載装置宛のフレームを前記中継装置へ送信し、
前記中継装置は、前記第1の車載装置および前記第2の車載装置の間における通信に要求される安全性のレベルである要求安全レベルと、前記第1の車載装置および前記第2の車載装置がそれぞれ有する車両の安全性に関する機能安全レベルに少なくとも基づくシステム安全レベルとの比較結果に基づいて、前記フレームの前記第2の車載装置への中継の可否を決定し、
前記中継装置は、前記比較結果に基づいて、中継の可否に関する設定を行い、設定した内容に従って前記フレームの中継処理を行う、車載通信システム。
[付記1]
複数の車載装置と、
中継装置とを備え、
第1の前記車載装置は、第2の前記車載装置との間において情報の送受信を行うための第2の前記車載装置宛のフレームを前記中継装置へ送信し、
前記中継装置は、前記第1の車載装置および前記第2の車載装置の間における通信に要求される安全性のレベルである要求安全レベルと、前記第1の車載装置および前記第2の車載装置がそれぞれ有する車両の安全性に関する機能安全レベルに少なくとも基づくシステム安全レベルとの比較結果に基づいて、前記フレームの前記第2の車載装置への中継の可否を決定し、
前記中継装置は、前記比較結果に基づいて、中継の可否に関する設定を行い、設定した内容に従って前記フレームの中継処理を行う、車載通信システム。
【0153】
[付記2]
複数の車載装置と、中継装置とを備える車載通信システムにおける通信方法であって、
第1の前記車載装置が、第2の前記車載装置との間において情報の送受信を行うための第2の前記車載装置宛のフレームを前記中継装置へ送信するステップと、
前記中継装置が、前記第1の車載装置および前記第2の車載装置の間における通信に要求される安全性のレベルである要求安全レベルと、前記第1の車載装置および前記第2の車載装置がそれぞれ有する車両の安全性に関する機能安全レベルに少なくとも基づくシステム安全レベルとの比較結果に基づいて、前記フレームの前記第2の車載装置への中継の可否を決定するステップとを含む、通信方法。
複数の車載装置と、中継装置とを備える車載通信システムにおける通信方法であって、
第1の前記車載装置が、第2の前記車載装置との間において情報の送受信を行うための第2の前記車載装置宛のフレームを前記中継装置へ送信するステップと、
前記中継装置が、前記第1の車載装置および前記第2の車載装置の間における通信に要求される安全性のレベルである要求安全レベルと、前記第1の車載装置および前記第2の車載装置がそれぞれ有する車両の安全性に関する機能安全レベルに少なくとも基づくシステム安全レベルとの比較結果に基づいて、前記フレームの前記第2の車載装置への中継の可否を決定するステップとを含む、通信方法。
【符号の説明】
【0154】
1 車両
2 ケーブル
11 中継部
15,15A,15B,15C 通信ポート
21 設定部
31 更新部
41 通知部
51 記憶部
101 中継装置
111,111A,111B 車載ECU
301 車載通信システム
Lsy システム管理リスト
Lse サービス管理リスト
2 ケーブル
11 中継部
15,15A,15B,15C 通信ポート
21 設定部
31 更新部
41 通知部
51 記憶部
101 中継装置
111,111A,111B 車載ECU
301 車載通信システム
Lsy システム管理リスト
Lse サービス管理リスト
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】