知財求人 - 知財ポータルサイト「IP Force」
▶ 株式会社オートネットワーク技術研究所の特許一覧 ▶ 住友電装株式会社の特許一覧 ▶ 住友電気工業株式会社の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024004312
(43)【公開日】2024-01-16
(54)【発明の名称】中継装置、情報処理方法及び車載システム
(51)【国際特許分類】
H04L 12/28 20060101AFI20240109BHJP
H04L 43/02 20220101ALI20240109BHJP
【FI】
H04L12/28 200Z
H04L43/02
H04L12/28 100A
【審査請求】未請求
【請求項の数】9
【出願形態】OL
(21)【出願番号】P 2022103913
(22)【出願日】2022-06-28
(71)【出願人】
【識別番号】395011665
【氏名又は名称】株式会社オートネットワーク技術研究所
(71)【出願人】
【識別番号】000183406
【氏名又は名称】住友電装株式会社
(71)【出願人】
【識別番号】000002130
【氏名又は名称】住友電気工業株式会社
(74)【代理人】
【識別番号】100114557
【弁理士】
【氏名又は名称】河野 英仁
(74)【代理人】
【識別番号】100078868
【弁理士】
【氏名又は名称】河野 登夫
(72)【発明者】
【氏名】相羽 慎一
【テーマコード(参考)】
5K033
【Fターム(参考)】
5K033AA08
5K033BA06
5K033DA01
5K033EA02
5K033EA03
5K033EA07
(57)【要約】
【課題】監視ECUが不正なデータを検知するために用いる情報を送信する中継装置等を提供する。
【解決手段】中継装置は、車両に搭載され、複数の車載ECUと通信可能に接続された中継装置であって、前記車載ECUに接続される複数の通信部と、前記通信部を介して前記車載ECU間にて送受信される通信データの中継に関する制御を行う制御部とを備え、前記複数の車載ECUは、前記通信データに対する監視機能を有する監視ECUを含み、前記制御部は、前記通信部を介して前記通信データを取得し、取得した前記通信データから、前記監視ECUが不正なデータを検知するために用いるシグナル情報を抽出し、抽出した前記シグナル情報に基づき生成した生成データを、前記監視ECUに出力する。
【選択図】図1
【解決手段】中継装置は、車両に搭載され、複数の車載ECUと通信可能に接続された中継装置であって、前記車載ECUに接続される複数の通信部と、前記通信部を介して前記車載ECU間にて送受信される通信データの中継に関する制御を行う制御部とを備え、前記複数の車載ECUは、前記通信データに対する監視機能を有する監視ECUを含み、前記制御部は、前記通信部を介して前記通信データを取得し、取得した前記通信データから、前記監視ECUが不正なデータを検知するために用いるシグナル情報を抽出し、抽出した前記シグナル情報に基づき生成した生成データを、前記監視ECUに出力する。
【選択図】図1
【特許請求の範囲】
【請求項1】
車両に搭載され、複数の車載ECUと通信可能に接続された中継装置であって、
前記車載ECUに接続される複数の通信部と、
前記通信部を介して前記車載ECU間にて送受信される通信データの中継に関する制御を行う制御部とを備え、
前記複数の車載ECUは、前記通信データに対する監視機能を有する監視ECUを含み、
前記制御部は、
前記通信部を介して前記通信データを取得し、
取得した前記通信データから、前記監視ECUが不正なデータを検知するために用いるシグナル情報を抽出し、
抽出した前記シグナル情報に基づき生成した生成データを、前記監視ECUに出力する
中継装置。
前記車載ECUに接続される複数の通信部と、
前記通信部を介して前記車載ECU間にて送受信される通信データの中継に関する制御を行う制御部とを備え、
前記複数の車載ECUは、前記通信データに対する監視機能を有する監視ECUを含み、
前記制御部は、
前記通信部を介して前記通信データを取得し、
取得した前記通信データから、前記監視ECUが不正なデータを検知するために用いるシグナル情報を抽出し、
抽出した前記シグナル情報に基づき生成した生成データを、前記監視ECUに出力する
中継装置。
【請求項2】
前記監視ECUは、取得した通信データが不正なデータであるか否かを、該通信データに含まれるシグナル情報に対し、相関関係を有する他のシグナル情報を用いて判定するものであり、
前記制御部によって抽出される前記シグナル情報は、前記他のシグナル情報に相当する
請求項1に記載の中継装置。
前記制御部によって抽出される前記シグナル情報は、前記他のシグナル情報に相当する
請求項1に記載の中継装置。
【請求項3】
前記制御部は、前記監視ECUから要求信号を取得した際、
前記要求信号に応じて、取得した前記通信データから前記シグナル情報を抽出し、
抽出した前記シグナル情報に基づき生成した生成データを、前記監視ECUに出力する
請求項2に記載の中継装置。
前記要求信号に応じて、取得した前記通信データから前記シグナル情報を抽出し、
抽出した前記シグナル情報に基づき生成した生成データを、前記監視ECUに出力する
請求項2に記載の中継装置。
【請求項4】
前記制御部は、
取得した前記要求信号に基づき、抽出対象となる前記他のシグナル情報を含む通信データの取得可否を判定し、
取得可能と判定した場合、前記生成データを前記監視ECUに出力し、
取得不可と判定した場合、前記生成データを出力できない旨を前記監視ECUに通知する
請求項3に記載の中継装置。
取得した前記要求信号に基づき、抽出対象となる前記他のシグナル情報を含む通信データの取得可否を判定し、
取得可能と判定した場合、前記生成データを前記監視ECUに出力し、
取得不可と判定した場合、前記生成データを出力できない旨を前記監視ECUに通知する
請求項3に記載の中継装置。
【請求項5】
前記制御部は、
複数の前記通信データを取得し、
複数の前記通信データそれぞれから前記シグナル情報を抽出し、
抽出した複数の前記シグナル情報に基づき、前記生成データを生成する
請求項1から請求項4のいずれか1項に記載の中継装置。
複数の前記通信データを取得し、
複数の前記通信データそれぞれから前記シグナル情報を抽出し、
抽出した複数の前記シグナル情報に基づき、前記生成データを生成する
請求項1から請求項4のいずれか1項に記載の中継装置。
【請求項6】
前記制御部は、複数の前記シグナル情報を抽出するための複数の前記通信データを、所定期間内に取得した場合、抽出した複数の前記シグナル情報に基づき、前記生成データを生成する
請求項5に記載の中継装置。
請求項5に記載の中継装置。
【請求項7】
前記シグナル情報は、前記車両の制御に関する物理量又は状態量を含む
請求項1から請求項4のいずれか1項に記載の中継装置。
請求項1から請求項4のいずれか1項に記載の中継装置。
【請求項8】
車両に搭載され、複数の車載ECU及び前記車載ECU間にて送受信される通信データに対する監視機能を有する監視ECUと通信可能に接続され、前記車載ECU間にて送受信される通信データの中継に関する制御を行うコンピュータに、
前記通信データを取得し、
取得した前記通信データから、前記監視ECUが不正なデータを検知するために用いるシグナル情報を抽出し、
抽出した前記シグナル情報に基づき生成した生成データを、前記監視ECUに出力する
情報処理方法。
前記通信データを取得し、
取得した前記通信データから、前記監視ECUが不正なデータを検知するために用いるシグナル情報を抽出し、
抽出した前記シグナル情報に基づき生成した生成データを、前記監視ECUに出力する
情報処理方法。
【請求項9】
車両に搭載され、車載ECU間にて送受信される通信データを中継する中継装置と、前記車載ECU間にて送受信される通信データに対する監視機能を有する監視ECUとを含む車載システムであって、
前記中継装置は、
前記監視ECUから取得した要求信号に応じて、取得した前記通信データからシグナル情報を抽出し、
抽出した前記シグナル情報に基づき生成した生成データを、前記監視ECUに出力する
車載システム。
前記中継装置は、
前記監視ECUから取得した要求信号に応じて、取得した前記通信データからシグナル情報を抽出し、
抽出した前記シグナル情報に基づき生成した生成データを、前記監視ECUに出力する
車載システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、中継装置、情報処理方法及び車載システムに関する。
【背景技術】
【0002】
従来、車両に搭載された複数の車載ECU(Electronic Control Unit)間の通信には、CANの通信プロトコルが広く採用されている。車両の多機能化及び高機能化に伴って、搭載される車載ECUの数が増加する傾向となるが、当該車載ECUをグループ(セグメント)に分けて車両ネットワークを構成し、同一グループとなる複数の車載ECUは共通の通信線で接続され相互にデータの送受信を行うと共に、異なるグループの車載ECU間のデータの送受信は、車載中継装置(ゲートウェイ)によって中継される(例えば、特許文献1)。特許文献1の車両ネットワークには、車載中継装置(ゲートウェイ)に加え、車両ネットワークのセグメント夫々に接続され、車両ネットワークに流れる不正なデータ(メッセージ)を検知する車両ネットワーク監視装置を備えている。当該車両ネットワーク監視装置は、不正なデータ(メッセージ)を検知したとき、車載制御装置(車載ECU)に対して警告情報(メッセージコード)を送信する。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2013-131907号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、特許文献1の車載中継装置(ゲートウェイ)は、セグメントに接続される車両ネットワーク監視装置に対し、当該車両ネットワーク監視装置が不正なデータ(メッセージ)を検知するための有効な情報を送信する点について、考慮されていない。
【0005】
本開示は、監視ECU(監視装置)が不正なデータを検知するために用いる情報を送信することができる中継装置等を提供することを目的とする。
【課題を解決するための手段】
【0006】
本開示の一態様に係る中継装置は、車両に搭載され、複数の車載ECUと通信可能に接続された中継装置であって、前記車載ECUに接続される複数の通信部と、前記通信部を介して前記車載ECU間にて送受信される通信データの中継に関する制御を行う制御部とを備え、前記複数の車載ECUは、前記通信データに対する監視機能を有する監視ECUを含み、前記制御部は、前記通信部を介して前記通信データを取得し、取得した前記通信データから、前記監視ECUが不正なデータを検知するために用いるシグナル情報を抽出し、抽出した前記シグナル情報に基づき生成した生成データを、前記監視ECUに出力する。
【発明の効果】
【0007】
本開示の一態様によれば、監視ECUが不正なデータを検知するために用いる情報を送信する中継装置等を提供することができる。
【図面の簡単な説明】
【0008】
【図1】実施形態1に係る中継装置を含む車載システム構成を例示する模式図である。
【図2】中継装置等の内部構成を例示するブロック図である。
【図3】中継装置の制御部の処理を例示するフローチャートである。
【図4】実施形態2(所定期間内にシグナル取得)に係る中継装置の制御部の処理を例示するフローチャートである。
【図5】実施形態3(相関テーブルにてシグナル特定)に係る中継装置の制御部の処理を例示するフローチャートである。
【図6】相関テーブルを例示した説明図である。
【発明を実施するための形態】
【0009】
[本発明の実施形態の説明]
最初に本開示の実施態様を列挙して説明する。また、以下に記載する実施形態の少なくとも一部を任意に組み合わせてもよい。
最初に本開示の実施態様を列挙して説明する。また、以下に記載する実施形態の少なくとも一部を任意に組み合わせてもよい。
【0010】
(1)本開示の一態様に係る中継装置は、車両に搭載され、複数の車載ECUと通信可能に接続された中継装置であって、前記車載ECUに接続される複数の通信部と、前記通信部を介して前記車載ECU間にて送受信される通信データの中継に関する制御を行う制御部とを備え、前記複数の車載ECUは、前記通信データに対する監視機能を有する監視ECUを含み、前記制御部は、前記通信部を介して前記通信データを取得し、取得した前記通信データから、前記監視ECUが不正なデータを検知するために用いるシグナル情報を抽出し、抽出した前記シグナル情報に基づき生成した生成データを、前記監視ECUに出力する。
【0011】
本態様にあたっては、中継装置が備える複数の通信部それぞれには、1つ以上の車載ECUが接続され、中継装置の制御部は、これら通信部それぞれに接続される車載ECU間にて送受信される通信データの中継に関する制御(処理)を行う。中継装置と通信可能に接続される複数の車載ECUにおけるいずれかの車載ECUは、通信データに対する監視機能を有する監視ECUとして機能する。当該監視ECUは、自ECU(監視ECU)が取得(受信)した通信データが、不正なデータであるか否かを判定するIDS(Intrusion Detection System)として機能し、中継装置及び車載ECUが接続される車載ネットワークに対し、不正なプログラム又は装置による侵入検知を行うものであってもよい。中継装置の制御部は、自装置が備える全ての通信部を介して取得した通信データから、監視ECUが不正なデータを検知するために用いるシグナル情報を抽出する。そして、中継装置の制御部は、抽出したシグナル情報に基づき生成した生成データを、監視ECUに出力するため、監視装置が不正なデータを検知するための有効な情報を効率的に送信することができる。中継装置が備える複数の通信部それぞれに接続される通信線それぞれにより、複数のセグメントが形成されるものとなる。監視ECUは、いずれかのセグメント(通信線)に接続されるため、当該セグメント(通信線)に流れる(伝送される)通信データのみを取得することができる。これに対し、中継装置の制御部が、全ての通信部、すなわち全てのセグメント(通信線)から取得した通信データにより抽出したシグナル情報を用いて生成した生成データを、監視ECUに出力する。これにより、監視ECUは、直接、取得(受信)できない通信データに含まれるシグナル情報を取得できるものとなり、通信データに対する監視機能を効率的に発揮することができる。
【0012】
(2)本開示の一態様に係る中継装置は、前記監視ECUは、取得した通信データが不正なデータであるか否かを、該通信データに含まれるシグナル情報に対し、相関関係を有する他のシグナル情報を用いて判定するものであり、前記制御部によって抽出される前記シグナル情報は、前記他のシグナル情報に相当する。
【0013】
本態様にあたっては、監視ECUは、取得した通信データが不正なデータであるか否かを、該通信データに含まれるシグナル情報に対し、例えば相関係数の絶対値が0.7以上等、相関関係を有する他のシグナル情報を用いて判定することにより、通信データに対する監視を行う。車載ネットワークにおける各車載ECUの接続形態又はネットワークトポロジーによっては、監視ECUの監視対象、すなわち不正であるか否かの判定対象の通信データに含まれるシグナルに対し、相関関係を有する他のシグナル情報を含む通信データが、当該監視ECUによって取得できない場合が懸念される。このような場合であっても、制御部によって抽出されるシグナル情報は、所定値以上(例えば相関係数の絶対値が0.7以上)の相関関係を有する他のシグナル情報に相当するため、監視装置が不正なデータを検知するための有効な情報(他のシグナル情報が含まれる生成データ)を、効率的に送信することができる。
【0014】
(3)本開示の一態様に係る中継装置は、前記制御部は、前記監視ECUから要求信号を取得した際、前記要求信号に応じて、取得した前記通信データから前記シグナル情報を抽出し、抽出した前記シグナル情報に基づき生成した生成データを、前記監視ECUに出力する。
【0015】
本態様にあたっては、中継装置の制御部は、監視ECUからの要求(要求信号)に応じて、シグナル情報を含む生成データの生成及び出力するため、各種の監視ECUに対し汎用的に対応することができる。更に、中継装置は、監視ECUからの要求にタイムリーに応答することができ、監視ECUに対し過剰に生成データを出力することなどによって処理負荷が増加することを抑制することができる。
【0016】
(4)本開示の一態様に係る中継装置は、前記制御部は、取得した前記要求信号に基づき、抽出対象となる前記他のシグナル情報を含む通信データの取得可否を判定し、取得可能と判定した場合、前記生成データを前記監視ECUに出力し、取得不可と判定した場合、前記生成データを出力できない旨を前記監視ECUに通知する。
【0017】
本態様にあたっては、中継装置の制御部は、監視ECUから要求信号を取得した際、当該要求信号にて要求されるシグナル情報(抽出対象となる他のシグナル情報)を含む通信データを取得できるか否かを判定する。車載ネットワークの通信が、例えば、CAN(Controller Area Network)又はCAN-FDである場合、監視ECUから要求信号には、抽出対象を示すCAN-ID(メッセージID)及び当該CAN-IDのメッセージのペイロードにおいてシグナル情報が格納される格納ビット番地が含まれる。中継装置の制御部は、例えば、記憶部に記憶されている経路情報(ルーティングテーブル)を参照することにより、要求信号にて要求されるシグナル情報を含むCAN-IDのメッセージが、経路情報(ルーティングテーブル)に含まれているか否かを判定する。経路情報(ルーティングテーブル)は、中継装置の制御部が中継処理を行う際に参照する情報であり、制御部は、経路情報(ルーティングテーブル)に含まれているCAN-IDの通信データは取得可能であると判定する。制御部は、経路情報(ルーティングテーブル)に含まれていないCAN-IDの通信データは取得不可能であると判定する。制御部は、取得不可と判定した場合、生成データを出力できない旨を監視ECUに通知するため、監視ECUが当該生成データを不要に待ち受けることを防止することができる。
【0018】
(5)本開示の一態様に係る中継装置は、前記制御部は、複数の前記通信データを取得し、複数の前記通信データそれぞれから前記シグナル情報を抽出し、抽出した複数の前記シグナル情報に基づき、前記生成データを生成する。
【0019】
本態様にあたっては、中継装置の制御部は、取得した複数の通信データそれぞれからシグナル情報を抽出することにより、複数のシグナル情報を抽出する。これら複数のシグナル情報を用いて、単一の生成データを生成するため、監視ECUにて不正なデータを検知するにあたり必要な複数のシグナル情報をパッケージ化して、当該監視ECUに出力(送信)することができる。このように複数のシグナル情報がパッケージ化された生成データを監視ECUに送信することにより、監視ECUによる当該複数のシグナル情報の取得処理を効率化でき、不正なデータの検知に関する処理負荷を低減することができる。
【0020】
(6)本開示の一態様に係る中継装置は、前記制御部は、複数の前記シグナル情報を抽出するための複数の前記通信データを、所定期間内に取得した場合、抽出した複数の前記シグナル情報に基づき、前記生成データを生成する。
【0021】
本態様にあたっては、通信データに含まれるシグナル情報の種類が同じ(同じCAN-ID及び格納ビット番地)であっても、車両の制御状態等が変化すれば、時間経過と共に当該シグナル情報の内容も変化することが想定され、当該変化は相関関係に影響を与えるものとなる。従って、複数の通信データそれぞれからシグナル情報を抽出するにあたり、これら複数の通信データを取得する期間(取得期間)は、車両の制御状態等の変化が実質的に無い期間内となることが要求される。これに対し、制御部は、複数のシグナル情報を抽出するための複数の通信データを、所定期間内に取得した場合、これらシグナル情報を用いて生成データを生成するため、抽出した複数のシグナル情報における相関関係を担保しつつ、生成データを生成及び監視ECUに出力することができる。
【0022】
(7)本開示の一態様に係る中継装置は、前記シグナル情報は、前記車両の制御に関する物理量又は状態量を含む。
【0023】
本態様にあたっては、通信データに含まれるシグナル情報は、車両の制御に関する物理量(センサ値:車速、バッテリー温度等)又は状態量(アクチュエータの状態:エンジン回転数、ハンドル回転角度等)を含むため、当該車両の制御状態に応じたシグナル情報の内容に対する相関関係に基づき、監視ECUは、取得した通信データが、不正なデータであるか否かを判定することができる。
【0024】
(8)本開示の一態様に係る情報処理方法は、車両に搭載され、複数の車載ECU及び前記車載ECU間にて送受信される通信データに対する監視機能を有する監視ECUと通信可能に接続され、前記車載ECU間にて送受信される通信データの中継に関する制御を行うコンピュータに、前記通信データを取得し、取得した前記通信データから、前記監視ECUが不正なデータを検知するために用いるシグナル情報を抽出し、抽出した前記シグナル情報に基づき生成した生成データを、前記監視ECUに出力する。
【0025】
本態様にあたっては、コンピュータを、監視ECUが不正なデータを検知するための有効な情報を送信する中継装置として機能させる情報処理方法を提供することができる。
【0026】
(9)本開示の一態様に係る車載システムは、車両に搭載され、車載ECU間にて送受信される通信データを中継する中継装置と、前記車載ECU間にて送受信される通信データに対する監視機能を有する監視ECUとを含む車載システムであって、前記中継装置は、前記監視ECUから取得した要求信号に応じて、取得した前記通信データからシグナル情報を抽出し、抽出した前記シグナル情報に基づき生成した生成データを、前記監視ECUに出力する。
【0027】
本態様にあたっては、監視ECUが不正なデータを検知するための有効な情報を送信する中継装置を含む車載システムを提供することができる。
【0028】
[本開示の実施形態の詳細]
本開示をその実施の形態を示す図面に基づいて具体的に説明する。本開示の実施形態に係る中継装置2を、以下に図面を参照しつつ説明する。なお、本発明はこれらの例示に限定されるものではなく、特許請求の範囲によって示され、特許請求の範囲と均等の意味及び範囲内での全ての変更が含まれることが意図される。
本開示をその実施の形態を示す図面に基づいて具体的に説明する。本開示の実施形態に係る中継装置2を、以下に図面を参照しつつ説明する。なお、本発明はこれらの例示に限定されるものではなく、特許請求の範囲によって示され、特許請求の範囲と均等の意味及び範囲内での全ての変更が含まれることが意図される。
【0029】
(実施形態1)
以下、実施の形態について図面に基づいて説明する。図1は、実施形態1に係る中継装置2を含む車載システムS構成を例示する模式図である。図2は、中継装置2等の内部構成を例示するブロック図である。車載更新システムSは、車両Cに搭載された中継装置2、車載ECU3及び監視ECU31を含む。これら中継装置2、車載ECU3及び監視ECU31は、複数の通信線41にて構成される車載ネットワーク4を介して、通信可能に接続される。
以下、実施の形態について図面に基づいて説明する。図1は、実施形態1に係る中継装置2を含む車載システムS構成を例示する模式図である。図2は、中継装置2等の内部構成を例示するブロック図である。車載更新システムSは、車両Cに搭載された中継装置2、車載ECU3及び監視ECU31を含む。これら中継装置2、車載ECU3及び監視ECU31は、複数の通信線41にて構成される車載ネットワーク4を介して、通信可能に接続される。
【0030】
中継装置2は、更に車外通信装置1に接続され、当該車外通信装置1を介して外部サーバS1と通信可能に接続されるものであってもよい。外部サーバS1は、例えばインターネット又は公衆回線網等の車外ネットワークNに接続されているサーバ等のコンピュータであり、RAM(Random Access Memory)、ROM(Read Only Memory)又はハードディスク等による記憶部を備える。
【0031】
車外通信部は、4G、LTE、5G、WiFi等の移動体通信のプロトコルを用いて無線通信をするための通信装置であり、アンテナを介して外部サーバS1とデータの送受信を行う。車外通信装置1と外部サーバS1との通信は、例えば公衆回線網又はインターネット等の外部ネットワークを介して行われる。
【0032】
中継装置2は、制御部20、記憶部23、入出力I/F21、及び通信部22を含む。中継装置2は、例えば、制御系の車載ECU3、安全系の車載ECU3及び、ボディ系の車載ECU3等の複数の系統のバス(セグメント)を統括し、これらバス(セグメント)間での車載ECU3同士の通信を中継するゲートウェイである。すなわち、中継装置2には、これら複数のバス(セグメント)を構成する通信線41それぞれが接続され、当該中継装置2によって集約される複数の通信線41(セグメント)により車載ネットワーク4が構成される。中継装置2は、CAN(Controller Area Network)又はCAN-FDプロトコルの中継においてはCANゲートウェイとして機能し、TCP/IPプロトコルの中継においてはレイヤー2スイッチ又はレイヤー3スイッチとして機能する。中継装置2は、通信に関する中継に加え、二次電池等の電源装置から出力された電力を分配及び中継し、自装置に接続されるアクチュエータ等の車載器に電力を供給する電力分配装置としても機能するPLB(Power Lan Box)であってもよい。又は、中継装置2は、車両C全体をコントロールするボディECUの一機能部として構成されるものであってもよい。又は、中継装置2は、例えばヴィークルコンピュータ等の中央制御装置にて構成され、車両Cの全体的な制御を行う統合ECUであってもよい。
【0033】
制御部20は、CPU(Central Processing Unit)又はMPU(Micro Processing Unit)等により構成してあり、記憶部23に予め記憶された制御プログラムP(プログラム製品)及びデータを読み出して実行することにより、種々の制御処理及び演算処理等を行うようにしてある。
【0034】
記憶部23は、RAM(Random Access Memory)等の揮発性のメモリ素子又は、ROM(Read Only Memory)、EEPROM(Electrically Erasable Programmable ROM)若しくはフラッシュメモリ等の不揮発性のメモリ素子により構成される。記憶部23に記憶された制御プログラムP(プログラム製品)は、中継装置2が読み取り可能な記録媒体Mから読み出された制御プログラムP(プログラム製品)を記憶したものであってもよい。また、図示しない通信網に接続されている図示しない外部コンピュータから制御プログラムPをダウンロードし、記憶部23に記憶させたものであってもよい。
【0035】
入出力I/F21は、例えばシリアル通信するための通信インターフェイスである。入出力I/F21を介して、中継装置2は、車外通信装置1、又はHMI(Human machine interface)装置等の表示装置と通信可能に接続されるものであってもよい。
【0036】
通信部22は、例えばCAN、CAN-FD又はイーサネット(Ethernet/登録商標)等の通信プロトコルを用いた入出力インターフェイスであり、制御部20は、通信部22を介して車載ネットワーク4に接続されている車載ECU3又は他の中継装置2等の車載機器と相互に通信する。通信部22は、複数個(本実施形態では3個)設けられており、通信部22夫々に、車載ネットワーク4を構成する通信線41(セグメント)が接続されている。このように通信部22を複数個設けることにより車載ネットワーク4を複数個のセグメントに分け、例えば車載ECU3の機能(制御系機能、安全系機能、ボディ系機能)に応じて、個々の車載ECU3を各セグメントに接続する。
【0037】
車載ECU3は、中継装置2と同様に制御部、記憶部及び通信部(図示せず)を含む。車載ECU3には、例えば、エンジン回転数、モータ回転数、ハンドル回転角又は、加速度等の車両Cの走行に関する状態を示す状態量を検出する状態量センサが接続されている。車載ECU3は、当該状態量センサから取得したセンサ値(状態量)をペイロードに格納した通信データを、車載ネットワーク4を介して他の車載ECU3に出力(送信)する。このように通信データに含まれる(ペイロードに格納される)状態量等が、シグナル情報に相当する。
【0038】
監視ECU31は、車載ECU3又は中継装置2と同様に制御部、記憶部及び通信部(図示せず)を含む。当該監視ECU31は、自ECU(監視ECU31)が取得(受信)した通信データ(監視対象の通信データ)が、不正なデータであるか否かを判定するIDS(Intrusion Detection System)として機能し、中継装置2及び車載ECU3が接続される車載ネットワーク4に対し、不正なプログラム又は装置による侵入検知を行う。監視ECU31による監視対象の通信データに対する判定処理の詳細は、後述する。
【0039】
図3は、中継装置2の制御部20の処理を例示するフローチャートである。中継装置2の制御部20、及び監視ECU31の制御部は、車両Cが起動状態(IGスイッチがオン)又は停止状態(IGスイッチがオフ)において、常時的に以下の処理を行う。
【0040】
中継装置2の制御部20は、要求信号を取得したか否かを判定する(S101)。要求信号を取得していない場合(S101:NO)、中継装置2の制御部20は、再度S101の処理を実行すべく、ループ処理を行う。当該ループ処理を行うことにより、中継装置2の制御部20は、監視ECU31から出力(送信)される要求信号を待ち受ける処理を継続する。
【0041】
要求信号を取得した場合(S101:YES)、中継装置2の制御部20は、抽出対象のシグナル情報を含む通信データの取得が可能であるか否かを判定する(S102)。監視ECU31から出力(送信)された要求信号には、抽出対象となるシグナル情報、及び当該シグナル情報を含む通信データの種類(メッセージID等)に関する情報が含まれている。例えば、通信データがCANメッセージである場合、要求信号は、CAN-ID(メッセージID)及び、当該CAN-IDのCANメッセージに含まれるペイロードにおいて、抽出対象となるシグナル情報が格納されているビット番地(格納ビット番地)又はブロック番号等が含まれている。このように抽出対象となるシグナル情報は、CAN-ID及び格納ビット番地の組み合わせにて特定されるものとなる。
【0042】
通信データはCANメッセージである場合に限定されず、IPパケット(TCP/IP)であってもよい。この場合、通信データの種類は、IPパケットのヘッダに含まれるTCPポート番号、UDPポート番号、送信元アドレス、送信先アドレス、又は、これらの組み合わせによるものであってもよい。その上で、抽出対象となるシグナル情報は、IPパケットに含まれるペイロードにおいて、当該シグナル情報が格納されている格納ビット番地により特定される。このように監視ECU31から出力(送信)される要求信号は、抽出対象となるシグナル情報を特定するための情報(通信データの種類及び格納ビット番地等)を含む。
【0043】
中継装置2の制御部20は、取得した要求信号に基づき特定した通信データ(抽出対象のシグナル情報を含む通信データ)を、取得(受信)できるか否かを判定する。取得した要求信号に基づき特定した通信データの種類(メッセージID等)であっても、当該種類の通信データを中継装置2が受信できない場合が、想定される。これに対し、中継装置2は、例えば、記憶部23に記憶されている経路情報(ルーティングテーブル)を参照することにより、要求信号に基づき特定した通信データの種類(メッセージID等)を取得できるか否を判定する。
【0044】
経路情報(ルーティングテーブル)には、中継装置2の制御部20が、中継処理を行う際に用いる情報が列挙されている。当該情報は、例えば、中継対象となる通信データの種類(メッセージID等)、及び中継先となる通信部22のデバイス番号(セグメント番号)を含む。このように経路情報には、中継装置2の制御部20が、受信する通信データの種類(メッセージID等)に関する情報が含まれている。
【0045】
中継装置2の制御部20は、取得した要求信号に基づき特定した通信データの種類(メッセージID等)が、経路情報に含まれている場合、抽出対象のシグナル情報を含む通信データの取得は可能であると判定する。中継装置2の制御部20は、取得した要求信号に基づき特定した通信データの種類(メッセージID等)が、経路情報に含まれていない場合、抽出対象のシグナル情報を含む通信データの取得は不可であると判定する。又は、中継装置2の記憶部23には、要求信号にて要求される抽出対象のシグナル情報それぞれに対し、受信可否を示す可否フラグが設定されたシグナル受信可否テーブルが記憶されているものであってもよい。その上で、中継装置2の制御部20は、当該シグナル受信可否テーブルを参照することにより、抽出対象のシグナル情報を含む通信データの取得が可能であるか否かを判定するものであってもよい。
【0046】
通信データの取得が可能である場合(S102:YES)、中継装置2の制御部20は、要求信号に応じて、通信データを取得する(S103)。要求信号には、1つ以上のシグナル情報が含まれており、中継装置2の制御部20は、要求信号に応じて、特定した1つ以上の通信データを取得する。中継装置2の制御部20は、複数の通信部22を介して、これら通信部22それぞれに接続されている車載ECU3間にて送受信される通信データの中継処理を、定常的に実行している。中継装置2の制御部20は、当該中継処理を行う際に受信した通信データのうち、要求信号に基づき特定される通信データ(シグナル情報を含む通信データ)を、本処理の対象データとして取得する。例えば、要求信号にて要求されるシグナル情報が3つである場合、中継装置2の制御部20は、これらシグナル情報それぞれを含む3つの通信データを取得するものであってもよい。
【0047】
中継装置2の制御部20は、取得した通信データに基づき生成データを生成する(S104)。例えば通信データがCANメッセージである場合、中継装置2の制御部20は、要求信号に含まれるCAN-ID及び格納ビット番地の組み合わせ(抽出対象となるシグナル情報を特定するための情報)に基づき、取得した通信データ(CANメッセージ)から、シグナル情報の値又は内容を抽出する。抽出した単一又は複数のシグナル情報は、監視ECU31の監視対象(不正なデータであるか否かの判定対象)となる通信データに含まれるシグナル情報(判定対象シグナル情報)と比較することにより、当該判定対象シグナル情報の適否を判定するために用いられる。すなわち、監視ECU31は、自ECU(監視ECU31)が取得した通信データが不正なデータであるか否かを、該通信データに含まれるシグナル情報に対し、相関関係を有する他のシグナル情報を用いて判定するものであり、中継装置2の制御部20によって抽出されるシグナル情報は、当該他のシグナル情報に相当する。
【0048】
これらシグナル情報間が相関関係を有するとは、判定対象シグナル情報と、中継装置2の制御部20によって抽出されるシグナル情報との相関係数の絶対値は、例えば0.7以上等、所定値以上であることとを意味するものであってもよい。更に推定精度を向上させるにあたり、当該所定値は、0.9とすることが望ましい。更に好ましくは、当該所定値は、0.97とするのが良い。相関係数は、例えば、算式(相関係数=複数のデータに含まれる第1データの値と、複数のデータに含まれる第1データ以外の第2データの値との共分散/(第1データの値の標準偏差 × 第2データの値の標準偏差))を用いることにより算出することができる。相関係数夫々の絶対値を所定値以上とすることにより、正又は負の相関において、互いに相関が高い状態量となる複数のデータを抽出することができる。第2データが第1データに対し負の相関となる場合、相関係数は、負(マイナス)の値となるが、この値に-1を乗算することにより、正の相関となる第2データとして用いることができる。
【0049】
中継装置2の制御部20は、要求信号に応じて取得した1つ以上の通信データから抽出した1つ以上のシグナル情報を用いて、生成データを生成する。抽出したシグナル情報それぞれは、当該生成データのペイロードに格納される。要求信号には、抽出した複数のシグナル情報をペイロードの領域に格納する際の格納ビット番地等が、含まれるものであってもよい。この場合、中継装置2の制御部20は、当該格納ビット番地に基づき、これら複数のシグナル情報をペイロードの領域に格納する。要求信号には、生成データのヘッダに含まれるメッセージID(CAN-ID)又はポート番号等が含むものであってもよい。この場合、中継装置2の制御部20は、当該メッセージID等をヘッダに含めて、生成データを生成する。このように要求信号には、抽出したシグナル情報を生成データに含めるあたり、当該生成データのヘッダ情報(メッセージID等)及びフレームフォーマット(ペイロードにてシグナル情報を格納する際の格納ビット番地等)が含まれている。その上で、中継装置2の制御部20は、要求信号にて指定されたフォーマットに応じて生成データを生成し、監視ECU31に送信するため、監視ECU31の仕様等に柔軟に対応することができ、各種の監視ECU31に対し汎用的に対応することができる。
【0050】
中継装置2の制御部20は、監視ECU31に生成した生成データを出力する(S105)。中継装置2の制御部20は、監視ECU31からの要求信号に応じて生成した生成データを、車載ネットワーク4を介して当該監視ECU31に出力する。中継装置2から出力(送信)された生成データを取得(受信)した監視ECU31は、当該生成データに含まれる1つ以上のシグナル情報と、自ECU(監視ECU31)が取得した監視対象の通信データに含まれるシグナル情報(判定対象シグナル情報)とを比較することにより、当該判定対象シグナル情報の適否を判定する。
【0051】
通信データの取得が不可である場合(S102:NO)、中継装置2の制御部20は、監視ECU31に生成データを出力できない旨を通知する(S1021)。通信データの取得が不可である場合、すなわち通信データの種類が、受信する通信データの種類群に含まれない場合、中継装置2の制御部20は、要求信号にて特定されるシグナル情報を含む通信データは、受信対象外の通信データであるため、当該シグナル情報を含む生成データを出力できない旨を示す信号(抽出不可信号)を生成する。そして、中継装置2の制御部20は、当該抽出不可信号を出力することにより、監視ECU31に通知するものであってもよい。
【0052】
本実施形態において、S101と、S102とをシーケンシャルな処理として記載したが、これに限定されない。中継装置2の制御部20は、要求信号を取得したと判定した場合(S101:YES)、S102からS105までの処理を行うためのサブプロセスを生成することにより、要求信号の取得処理(S101)と、生成データの生成及び出力する処理(S102からS105)とを並行して行うものであってもよい。
【0053】
監視ECU31の制御部は、要求信号を出力する(T101)。監視ECU31の制御部は、例えば、監視対象の通信データを取得(受信)した場合、比較対象として用いる1つ以上のシグナル情報を特定する情報(メッセージID及び格納ビット番地等)を含めた要求信号を生成し、中継装置2に出力する。又は、監視ECU31の制御部は、周期的又は定常的に、要求信号の生成及び出力するものであってもよい。
【0054】
監視ECU31の制御部は、生成データを取得したか否かを判定する(T102)。監視ECU31の制御部は、中継装置2からの生成データを待ち受ける処理を継続しており、中継装置2から生成データが出力された場合、当該生成データを取得する。
【0055】
生成データを取得した場合(T102:YES)、監視ECU31の制御部は、取得した生成データを用いて、不正データの検出を行う(T103)。中継装置2からの生成データを取得した場合、監視ECU31の制御部は、当該生成データにペイロードに含まれる1つ以上のシグナル情報を抽出する。監視ECU31の制御部は、抽出したシグナル情報に基づき、判定対象シグナル情報に対応する推定値を導出する。
【0056】
監視ECU31の制御部は、導出した推定値と、判定対象シグナル情報とを比較し、当該比較結果に基づき、判定対象シグナル情報の適否を判定する。監視ECU31の制御部は、例えば、判定対象シグナル情報の内容(値)と、導出した推定値との差異が所定値以内である場合、判定対象シグナル情報は正当であると判定し、所定値を超える場合、判定対象シグナル情報は不正であると判定するものであてもよい。判定対象シグナル情報が正当と判定された場合、監視対象の通信データは正当であり、判定対象シグナル情報が不正と判定された場合、監視対象の通信データは不正であると判定される。
【0057】
監視ECU31は、このように比較対象となるシグナル情報を含む通信データを、監視ECU31が直接的に取得(受信)できない場合であっても、生成データを取得することにより当該シグナル情報を取得できるものとなり、監視対象の通信データに対する監視機能を効率的に発揮することができる。
【0058】
生成データを取得しなかった場合(T102:NO)、すなわち、生成データを出力できない旨の通知を受信(取得)した場合、監視ECU31の制御部は、次回からの要求信号の出力を停止する(T1021)。生成データを取得しなかった場合、監視ECU31の制御部は、生成データを出力できない旨の通知を取得(抽出不可信号を受信)するものとなる。抽出不可信号を受信した監視ECU31の制御部は、中継装置2に対する要求信号の出力を停止するため、これ以降、要求信号の出力は実行されない。これにより、中継装置2における処理負荷を、低減することができる。
【0059】
(実施形態2)
図4は、実施形態2(所定期間内にシグナル取得)に係る中継装置2の制御部20の処理を例示するフローチャートである。中継装置2の制御部20、及び監視ECU31の制御部は、実施形態1と同様に、車両Cが起動状態(IGスイッチがオン)又は停止状態(IGスイッチがオフ)において、常時的に以下の処理を行う。中継装置2の制御部20は、実施形態1の処理S101からS103と同様に、S201からS203の処理を行う。
図4は、実施形態2(所定期間内にシグナル取得)に係る中継装置2の制御部20の処理を例示するフローチャートである。中継装置2の制御部20、及び監視ECU31の制御部は、実施形態1と同様に、車両Cが起動状態(IGスイッチがオン)又は停止状態(IGスイッチがオフ)において、常時的に以下の処理を行う。中継装置2の制御部20は、実施形態1の処理S101からS103と同様に、S201からS203の処理を行う。
【0060】
中継装置2の制御部20は、要求信号にて要求される全てのシグナル情報を抽出するための全ての通信データを、所定期間内に取得したか否かを判定する(S204)。通信データに含まれるシグナル情報の種類が同じ(同じCAN-ID及び格納ビット番地)であっても、車両Cの制御状態等が変化すれば、時間経過と共に当該シグナル情報の内容又は値等も変化することが想定され、当該変化は相関関係に影響を与えるものとなる。当該車両Cの制御に関する物理量又は状態量は、例えば、車速又はバッテリー温度等のセンサ値から成る物理量、エンジン回転数又はハンドル回転角度等のアクチュエータの状態を示す状態量である。
【0061】
このように、通信データに含まれるシグナル情報は、車両Cの制御に関する物理量又は状態量を含むため、当該車両Cの制御状態に応じたシグナル情報の内容は、時間経過と共に変化することが想定される。従って、複数の通信データそれぞれからシグナル情報を抽出するにあたり、これら複数の通信データを取得する期間(取得期間)は、車両Cの制御状態等の変化が実質的に無い期間内となることが要求されものであり、更に、監視ECU31による監視対処の通信データの取得時点(受信時点)と同時期となることが要求される。本実施形態において、同時期とは、これら取得時点が完全一致する場合に限定されず、監視ECU31による判定精度上、許容される範囲にて同じ期間であれば良いことを意図する。
【0062】
中継装置2の制御部20は、例えば、要求信号の受信時点を起算点として、記憶部23に予め記憶されている所定期間の値に基づき、要求信号にて要求される全てのシグナル情報を抽出するための全ての通信データを、所定期間内に取得したか否かを判定する。又は、当該所定期間の値は、要求信号に含まれているものであってもよい。この場合、中継装置2の制御部20は、要求信号に含まれている所定期間の値に基づき、シグナル情報を抽出するための全ての通信データを、所定期間内に取得したか否かを判定する。所定期間内に取得したか否かを判定するにあたり、中継装置2の制御部20は、当該全ての通信データの受信に要した期間(取得期間)が、所定期間以内であるかを判定するものであってもよい。又は、中継装置2の制御部20は、当該所定期間にて取得(受信)した通信データが、要求信号にて要求される全てのシグナル情報を抽出するための全ての通信データを充足するか否かにより、判定するものであってもよい。
【0063】
所定期間内に取得した場合(S204:YES)、中継装置2の制御部20は、実施形態1の処理S104からS105と同様に、S205からS206の処理を行う。これにより、実施形態1と同様に、中継装置2の制御部20は、生成データの生成及び出力を行う。
【0064】
所定期間内に取得しなかった場合(S204:NO)、中継装置2の制御部20は、所定期間内にて、要求信号にて要求される全てのシグナル情報を抽出するための全ての通信データを取得できなかったため、生成データを出力できない旨の通知を監視ECU31に出力する(S2041)。所定期間内に取得しなかった場合、中継装置2の制御部20は、所定期間内にシグナル情報を抽出するための全ての通信データを取得できなかった旨を示す信号(期間内不可信号)を生成し、期間内不可信号を出力することにより、監視ECU31に通知するものであってもよい。
【0065】
監視ECU31の制御部は、実施形態1の処理T101からT102と同様に、T201からT202の処理を行う。生成データを取得した場合(T202:YES)、監視ECU31の制御部は、実施形態1と同様に、取得した生成データを用いて、不正データの検出を行う(T203)。
【0066】
生成データを取得しなかった場合(T202:NO)、すなわち、生成データを出力できない旨の通知(抽出不可信号)、又は所定時間内に通信データを取得できない旨の通知(期間内不可信号)を受信(取得)した場合、監視ECU31の制御部は、通知内容に応じた処理を実行する(T2021)。監視ECU31の制御部は、生成データを出力できない旨の通知(抽出不可信号)を受信(取得)した場合、実施形態1のT1021と同様に、次回からの要求信号の出力を停止するものであってもよい。
【0067】
監視ECU31の制御部は、所定時間内に通信データを取得できない旨の通知(期間内不可信号)を受信(取得)した場合、中継装置2から生成データを取得できなかったため、今回取得(受信)した監視対象の通信データに対する判定処理が実行できなかった旨を示す処理結果を、当該監視対象の通信データの受信時点と関連付けて、監視ECU31の記憶部に記憶するものであってもよい。又は、監視ECU31の制御部は、所定時間内に通信データを取得できない旨の通知(期間内不可信号)を受信(取得)した場合、再度T201からの処理を実行すべく、ループ処理を行うものであってもよい。
【0068】
監視ECU31の制御部が監視対象の通信データに対する判定処理を行う際、中継装置2から取得した生成データに含まれるシグナル情報と、当該監視対象の通信データに含まれるシグナル情報とは、実質的に同じ受信時点(受信期間)となる時期的対応関係を有する。これにより、監視ECU31の制御部による判定処理の精度を、向上させることができる。
【0069】
(実施形態3)
図5は、実施形態3(相関テーブルにてシグナル特定)に係る中継装置2の制御部20の処理を例示するフローチャートである。中継装置2の制御部20、及び監視ECU31の制御部は、実施形態1と同様に、車両Cが起動状態(IGスイッチがオン)又は停止状態(IGスイッチがオフ)において、常時的に以下の処理を行う。
図5は、実施形態3(相関テーブルにてシグナル特定)に係る中継装置2の制御部20の処理を例示するフローチャートである。中継装置2の制御部20、及び監視ECU31の制御部は、実施形態1と同様に、車両Cが起動状態(IGスイッチがオン)又は停止状態(IGスイッチがオフ)において、常時的に以下の処理を行う。
【0070】
中継装置2の制御部20は、抽出対象のシグナル情報を特定する(S301)。中継装置2の制御部20は、実施形態1にて説明した要求信号を取得することなく、例えば、中継装置2の記憶部23等、アクセス可能な記憶領域に記憶されている相関テーブルを参照することにより、シグナル情報を特定する。
【0071】
図6は、相関テーブルを例示した説明図である。当該相関テーブルには、監視ECU31に応じて抽出するシグナル情報が、例えばリスト形式(テーブル形式)等にて格納されている。相関テーブルは、管理項目(フィールド)として、例えば、監視ECUID、セグメント番号、送信周期、及び抽出対象シグナルを含む。
【0072】
監視ECUIDの管理項目には、車載システムSに含まれる複数の監視ECU31それぞれを一意に特定するための識別子(ID)が格納される。セグメント番号の管理項目には、対応する監視ECU31(監視ECUID)が接続される通信線41のセグメント番号が格納される。通信線41のセグメント番号は、当該通信線41が接続される中継装置2の通信部22のデバイス番号に対応する。送信周期の管理項目には、対応する監視ECU31(監視ECUID)に対し、生成データを送信(出力)する送信周期が格納される。
【0073】
抽出対象シグナルの管理項目には、対応する監視ECU31(監視ECUID)が監視対象の通信データに含まれるシグナル情報を判定する際に用いる通信データの種類及び当該通信データに含まれるシグナル情報(抽出対象のシグナル情報を特定する情報)が格納される。通信データがCANメッセージである場合、通信データの種類及びシグナル情報は、例えば、CAN-ID(メッセージID)及び、当該CAN-IDのCANメッセージに含まれるペイロードにおいて、抽出対象となるシグナル情報が格納されている格納ビット番地等にて定義されるものであってもよい。中継装置2の制御部20は、相関テーブルを参照することにより、個々の監視ECU31の判定処理にて必要とされるシグナル情報及び当該シグナル情報を含む通信データの種類を特定することができる。
【0074】
中継装置2の制御部20は、実施形態1のS103からS105と同様に、S302からS304の処理を行う。中継装置2の制御部20は、相関テーブルを参照することにより、個々の監視ECU31毎の生成データを生成し、生成した生成データそれぞれを、それぞれの監視ECU31に出力する。中継装置2の制御部20は、各監視ECU31毎に生成データを生成及び出力するにあたり、相関テーブルに定義されている各監視ECU31毎の送信周期に応じて、これら処理を行うものであってもよい。監視ECU31又は車載ECU3が、例えば、外部サーバS1から送信される更新プログラムによってリプログラミングされた場合、中継装置2の制御部20は、当該更新プログラムによるリプログラミングに応じて、相関テーブルを更新するものであってもよい。
【0075】
監視ECU31の制御部は、中継装置2から出力(送信)された生成データを取得(受信)する(T301)。監視ECU31の制御部は、中継装置2からの生成データを待ち受ける処理を継続しており、中継装置2から生成データが出力された場合、当該生成データを取得する。監視ECU31の制御部は、実施形態1のT103と同様に、取得した生成データを用いて、不正データの検出を行う(T302)。
【0076】
車載システムSが複数の監視ECU31を含み、各監視ECU31それぞれが、中継装置2の通信部22それぞれに接続されている場合、個々の監視ECU31は、異なる種類の通信データを監視対象としていることが想定される。これに対し、相関テーブルには、監視ECU31それぞれが判定を行う際に必要とするシグナル情報が、定義されている。
【0077】
中継装置2の制御部20は、記憶部23等、アクセス可能な記憶領域に記憶されている相関テーブルに基づき、監視ECU31に応じて抽出するシグナル情報を特定し、特定したシグナル情報を、通信部22を介して取得した通信データから抽出する。このように、中継装置2の制御部20は、相関テーブルを参照することにより、各監視ECU31それぞれに応じた適切な処理を効率的に行うことができる。
【0078】
今回開示された実施形態は全ての点で例示であって、制限的なものではないと考えられるべきである。本発明の範囲は、上記した意味ではなく、特許請求の範囲によって示され、特許請求の範囲と均等の意味及び範囲内での全ての変更が含まれることが意図される。
【0079】
特許請求の範囲に記載されている複数の請求項に関して、引用形式に関わらず、相互に組み合わせることが可能である。特許請求の範囲では、複数の請求項に従属する多項従属請求項を記載してもよい。多項従属請求項に従属する多項従属請求項を記載してもよい。多項従属請求項に従属する多項従属請求項が記載されていない場合であっても、これは、多項従属請求項に従属する多項従属請求項の記載を制限するものではない。
【符号の説明】
【0080】
S 車載システム
C 車両
S1 外部サーバ
1 車外通信装置
2 中継装置
20 制御部
21 入出力I/F
22 通信部
23 記憶部
M 記録媒体
P 制御プログラム(プログラム製品)
3 車載ECU
31 監視ECU
4 車載ネットワーク
41 通信線
C 車両
S1 外部サーバ
1 車外通信装置
2 中継装置
20 制御部
21 入出力I/F
22 通信部
23 記憶部
M 記録媒体
P 制御プログラム(プログラム製品)
3 車載ECU
31 監視ECU
4 車載ネットワーク
41 通信線
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】