IP Force 特許公報掲載プロジェクト 2022.1.31 β版

知財求人 - 知財ポータルサイト「IP Force」

▶ 株式会社オートネットワーク技術研究所の特許一覧 ▶ 住友電装株式会社の特許一覧 ▶ 住友電気工業株式会社の特許一覧

<>
  • 特許-中継装置システム及び中継装置 図1
  • 特許-中継装置システム及び中継装置 図2
  • 特許-中継装置システム及び中継装置 図3
  • 特許-中継装置システム及び中継装置 図4
  • 特許-中継装置システム及び中継装置 図5
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-05-16
(45)【発行日】2022-05-24
(54)【発明の名称】中継装置システム及び中継装置
(51)【国際特許分類】
   H04L 12/28 20060101AFI20220517BHJP
   H04B 3/36 20060101ALI20220517BHJP
   B60R 16/023 20060101ALI20220517BHJP
【FI】
H04L12/28 200Z
H04B3/36
B60R16/023 P
【請求項の数】 10
(21)【出願番号】P 2018179462
(22)【出願日】2018-09-25
(65)【公開番号】P2020053778
(43)【公開日】2020-04-02
【審査請求日】2020-12-24
(73)【特許権者】
【識別番号】395011665
【氏名又は名称】株式会社オートネットワーク技術研究所
(73)【特許権者】
【識別番号】000183406
【氏名又は名称】住友電装株式会社
(73)【特許権者】
【識別番号】000002130
【氏名又は名称】住友電気工業株式会社
(74)【代理人】
【識別番号】100114557
【弁理士】
【氏名又は名称】河野 英仁
(74)【代理人】
【識別番号】100078868
【弁理士】
【氏名又は名称】河野 登夫
(72)【発明者】
【氏名】安則 裕通
【審査官】大石 博見
(56)【参考文献】
【文献】特開2014-165641(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/28
H04B 3/36
B60R 16/023
(57)【特許請求の範囲】
【請求項1】
車両に搭載される中継装置システムであって、
前記車両の外部に設けられた通信装置と無線通信する無線中継装置と、
前記無線中継装置に対し前記通信装置を上流側として、前記無線中継装置の下流側に直列に接続される複数の有線中継装置とを備え、
前記複数の有線中継装置夫々は、前記車両に搭載される車載装置を制御するためのECUと通信可能に接続する通信部を含み、
前記複数の有線中継装置の内の第1有線中継装置に接続されるECUは、前記第1有線中継装置の下流側に直接接続される第2有線中継装置に接続されるECUよりも、前記車両の走行安全性に関する優先度が低い
中継装置システム。
【請求項2】
前記ECUの走行安全性に関する優先度は、ISO26262のASIL(Automotive Safety Integrity Level)に基づき決定される
請求項に記載の中継装置システム。
【請求項3】
車両に搭載される中継装置システムであって、
前記車両の外部に設けられた通信装置と無線通信する無線中継装置と、
前記無線中継装置に対し前記通信装置を上流側として、前記無線中継装置の下流側に直列に接続される複数の有線中継装置とを備え、
前記複数の有線中継装置夫々は、前記車両に搭載される車載装置を制御するためのECUと通信可能に接続する通信部を含み、
前記ECUは、前記車両の走行制御のための走行制御系ECUを含み、前記走行制御系ECUを接続する有線中継装置は、下流側に接続される
中継装置システム。
【請求項4】
車両に搭載される中継装置システムであって、
前記車両の外部に設けられた通信装置と無線通信する無線中継装置と、
前記無線中継装置に対し前記通信装置を上流側として、前記無線中継装置の下流側に直列に接続される複数の有線中継装置とを備え、
前記複数の有線中継装置夫々は、前記車両に搭載される車載装置を制御するためのECUと通信可能に接続する通信部を含み、
前記無線中継装置及び前記複数の有線中継装置夫々は、自装置の通信を遮断する通信遮断部を含み、
前記複数の有線中継装置夫々は、
自装置の上流側に接続された他の有線中継装置又は前記無線中継装置の異常判定を行う判定部と、
前記判定部が、前記他の有線中継装置又は前記無線中継装置が異常と判定した場合、異常と判定した前記他の有線中継装置又は前記無線中継装置の通信遮断部に、通信を遮断する信号を出力する信号出力部とを含む
中継装置システム。
【請求項5】
前記通信遮断部は、前記自装置の通信に関する電源をオン又はオフに切換えるスイッチを含み、
前記信号出力部は、前記スイッチに前記電源をオフにするオフ信号を出力して通信を遮断する
請求項に記載の中継装置システム。
【請求項6】
前記信号出力部は、前記オフ信号を出力してから所定期間が経過した後、又は所定動作が実施された後、前記オフ信号を出力した前記スイッチに前記電源をオンにするオン信号を出力し、通信を再開させる
請求項に記載の中継装置システム。
【請求項7】
車両内に載置され、前記車両の外部に設けられた通信装置と無線通信する中継装置を含み、互いに直列に通信可能に接続される複数の中継装置の内の、いずれかの中継装置であって、
自装置と、前記自装置に直接接続された他の中継装置との間にて、前記自装置の通信の遮断に関する信号の受信又は、前記他の中継装置の通信の遮断に関する信号の出力を行う
中継装置。
【請求項8】
前記車両の外部に設けられた通信装置と無線通信する無線中継装置を含み、
前記通信装置を上流側として、他の中継装置に対し最上流に接続され、自装置に直接接続された他の中継装置から出力された通信の遮断に関する信号を受信して、自装置の通信の遮断を行う通信遮断部を備える
請求項に記載の中継装置。
【請求項9】
前記車両に搭載される車載装置を制御するためのECUと通信可能に接続する通信部を含み、
前記車両の外部に設けられた通信装置と無線通信する中継装置を上流側として、自装置の下流側に直接接続された下流側の中継装置から出力された通信の遮断に関する信号を受信して、自装置の通信の遮断を行う通信遮断部と、
自装置の上流側に直接接続された上流側の中継装置の異常判定を行う判定部と、
前記判定部が、前記上流側の中継装置が異常と判定した場合、前記上流側の中継装置に通信の遮断に関する信号を出力する信号出力部と
を含む請求項に記載の中継装置。
【請求項10】
前記車両に搭載される車載装置を制御するためのECUと通信可能に接続する通信部を含み、前記車両の外部に設けられた通信装置と無線通信する中継装置を上流側として、最下流に接続され、
自装置の上流側に直接接続された上流側の中継装置の異常判定を行う判定部と、
前記判定部が、前記上流側の中継装置が異常と判定した場合、前記上流側の中継装置に通信の遮断に関する信号を出力する信号出力部と
を含む請求項に記載の中継装置。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、中継装置システム及び中継装置に関する。
【背景技術】
【0002】
車両には、エンジン制御等のパワー・トレーン系、エアコン制御等のボディー系等の車載機器を制御するためのECU(Electronic Control Unit)が搭載されている。更に、自動運転機能を有する車両の場合、自動運転を行うための車載機器を制御するECUが搭載されている。これらECU群は、CAN(Controller Area Network)又はEthernet(登録商標)等による車内ネットワークにて接続されると共に、無線機能を有する中継装置(TCU/Telematics. Communication Unit)により外部ネットワークを介して、車両外に位置する通信装置(提供装置)と接続される(例えば特許文献1)。
【0003】
特許文献1の中継装置は、車両外に位置する通信装置を上流側として、下流側は、車両の車内ネットワーク(内部ネットワーク)を構成する2つのセグメント夫々に接続されており、当該2つのセグメント夫々に接続されているECU(電子制御装置)と通信可能に接続してある。
【先行技術文献】
【特許文献】
【0004】
【文献】特開2017-97851号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、特許文献1の中継装置は、当該中継装置に各ECUが接続されているため、堅牢性を欠く可能性があることが懸念される。
【0006】
本発明は斯かる事情に鑑みてなされたものであり、車外からの不正な通信による攻撃に対する堅牢性を向上させることができる中継装置システム、中継装置を提供することを目的とする。
【課題を解決するための手段】
【0007】
本開示の一態様に係る中継装置システムは、車両に搭載される中継装置システムであって、前記車両の外部に設けられた通信装置と無線通信する無線中継装置と、前記無線中継装置に対し前記通信装置を上流側として、前記無線中継装置の下流側に直列に接続される複数の有線中継装置とを備え、前記複数の有線中継装置夫々は、前記車両に搭載される車載装置を制御するためのECUと通信可能に接続する通信部を含み、前記複数の有線中継装置の内の第1有線中継装置に接続されるECUは、前記第1有線中継装置の下流側に直接接続される第2有線中継装置に接続されるECUよりも、前記車両の走行安全性に関する優先度が低い。又は、前記ECUは、前記車両の走行制御のための走行制御系ECUを含み、前記走行制御系ECUを接続する有線中継装置は、下流側に接続される。又は、前記複数の有線中継装置夫々は、自装置の上流側に接続された他の有線中継装置又は前記無線中継装置の異常判定を行う判定部と、前記判定部が、前記他の有線中継装置又は前記無線中継装置が異常と判定した場合、異常と判定した前記他の有線中継装置又は前記無線中継装置の通信遮断部に、通信を遮断する信号を出力する信号出力部とを含む
【発明の効果】
【0008】
本開示の一態様によれば、複数の有線中継装置は、無線中継装置に対し通信装置を上流側として、無線中継装置の下流側に直列に接続されている。従って、無線中継装置が車外からの不正な通信により攻撃され異常となった場合であっても、無線中継装置の下流側に直列に接続されている複数の有線中継装置夫々が、順次に当該攻撃に対する防壁となることにより、当該攻撃に対する堅牢性を向上させることができる。
【図面の簡単な説明】
【0009】
図1】実施形態1に係る中継装置システムの構成を示す模式図である。
図2】無線中継装置及び有線中継装置の構成を示すブロック図である。
図3】ECUの走行安全性の優先度に関する説明図である。
図4】実施形態1に係る制御部の処理を示すフローチャートである。
図5】変形例に係る無線中継装置及び有線中継装置の構成を示すブロック図である。
【発明を実施するための形態】
【0010】
[本発明の実施形態の説明]
最初に本開示の実施態様を列挙して説明する。また、以下に記載する実施形態の少なくとも一部を任意に組み合わせてもよい。
【0011】
(1)本開示の一態様に係る中継装置システムは、車両に搭載される中継装置システムであって、前記車両の外部に設けられた通信装置と無線通信する無線中継装置と、前記無線中継装置に対し前記通信装置を上流側として、前記無線中継装置の下流側に直列に接続される複数の有線中継装置とを備え、前記複数の有線中継装置夫々は、前記車両に搭載される車載装置を制御するためのECUと通信可能に接続する通信部を含む。
【0012】
本態様にあたっては、複数の有線中継装置は、無線中継装置に対し通信装置を上流側として、無線中継装置の下流側に直列に接続されている。従って、無線中継装置が車外からの不正な通信により攻撃され異常となった場合であっても、無線中継装置の下流側に直列に接続されている複数の有線中継装置夫々が、順次に当該攻撃に対する防壁となることにより、当該攻撃に対する堅牢性を向上させることができる。
【0013】
(2)本開示の一態様に係る中継装置システムは、前記複数の有線中継装置の内の第1有線中継装置に接続されるECUは、前記第1有線中継装置の下流側に直接接続される第2有線中継装置に接続されるECUよりも、前記車両の走行安全性に関する優先度が低い。
【0014】
本態様にあたっては、第1有線中継装置に接続されるECUの優先度は、第1有線中継装置の下流側に直接接続される第2有線中継装置に接続されるECUの優先度よりも低くしてある。従って、最上流に位置する無線中継装置が車外からの不正な通信により攻撃された場合であっても、車両の走行安全性に関する優先度が高いECUを接続する有線中継装置を下流側に配置することにより、当該優先度が高いECUを保護することで、当該攻撃に対する堅牢性を向上させることができる。
【0015】
(3)本開示の一態様に係る中継装置システムは、前記ECUの走行安全性に関する優先度は、ISO26262のASIL(Automotive Safety Integrity Level)に基づき決定される。
【0016】
本態様にあたっては、走行安全性に関する優先度は、ISO26262のASILに基づき決定されるため、ISO26262に対応したECUの機能安全を促進することができる中継装置システムを提供することができる。
【0017】
(4)本開示の一態様に係る中継装置システムは、前記ECUは、前記車両の走行制御のための走行制御系ECUを含み、前記走行制御系ECUを接続する有線中継装置は、下流側に接続される。
【0018】
本態様にあたっては、走行制御系ECUを接続する有線中継装置は、下流側に接続されるため、当該走行制御系ECUを効率的に保護することができる。
【0019】
(5)本開示の一態様に係る中継装置システムは、前記無線中継装置及び前記複数の有線中継装置夫々は、自装置の通信を遮断する通信遮断部を含み、前記複数の有線中継装置夫々は、自装置の上流側に接続された他の有線中継装置又は前記無線中継装置の異常判定を行う判定部と、前記判定部が、前記他の有線中継装置又は前記無線中継装置が異常と判定した場合、異常と判定した前記他の有線中継装置又は前記無線中継装置の通信遮断部に、通信を遮断する信号を出力する信号出力部とを含む。
【0020】
本態様にあたっては、無線中継装置及び有線中継装置夫々は、自装置の通信を遮断する通信遮断部を含む。有線中継装置夫々の判定部は、上流側に接続された他の有線中継装置又は無線中継装置の異常判定を行い、異常と判定した場合、有線中継装置夫々の信号出力部は、通信を遮断する信号を出力する。従って、異常となった無線中継装置又は有線中継装置を通信不可の状態にし、異常となった無線中継装置又は有線中継装置よりも下流に位置する有線中継装置を保護することにより、堅牢性を向上させることができる。また、下流に位置する有線中継装置には、走行安全性に関する優先度が高いECUを接続することにより、無線中継装置が車外からの不正な通信により攻撃され異常となった場合であっても、当該優先度が高いECUを効率的に保護し、車両の走行安全性が阻害されることを抑制することができる。
【0021】
(6)本開示の一態様に係る中継装置システムは、前記通信遮断部は、前記自装置の通信に関する電源をオン又はオフに切換えるスイッチを含み、前記信号出力部は、前記スイッチに前記電源をオフにするオフ信号を出力して通信を遮断する。
【0022】
本態様にあたっては、通信遮断部は、自装置の通信に関する電源をオン又はオフに切換えるスイッチを含むため、通信遮断部を簡易に構成することができる。
【0023】
(7)本開示の一態様に係る中継装置システムは、前記信号出力部は、前記オフ信号を出力してから所定期間が経過した後、又は所定動作が実施された後、前記オフ信号を出力した前記スイッチに前記電源をオンにするオン信号を出力し、通信を再開させる。
【0024】
本態様にあたっては、信号出力部は、オフ信号を出力してから所定期間が経過した後、オフ信号を出力したスイッチに、電源をオンにするオン信号を出力するため、無線中継装置又は有線中継装置の異常が一時的な場合は、当該無線中継装置又は有線中継装置の通信を再開させて復旧させることができる。通信を再開させた後、判定部は、通信を再開した有線中継装置等の異常判定を行うため、異常が継続している場合は、当該有線中継装置等の電源をオフにし、当該有線中継装置等の下流に接続される他の有線中継装置を保護することができる。
【0025】
(8)本開示の一態様に係る中継装置は、車両内に載置され、前記車両の外部に設けられた通信装置と無線通信する中継装置を含み、互いに直列に通信可能に接続される複数の中継装置の内の、いずれかの中継装置であって、自装置と、前記自装置に直接接続された他の中継装置との間にて、前記自装置の通信の遮断に関する信号の受信又は、前記他の中継装置の通信の遮断に関する信号の出力を行う。
【0026】
本態様にあたっては、自装置に接続された他の中継装置との間にて、自装置の通信の遮断に関する信号の受信又は、他の中継装置の通信の遮断に関する信号の出力を行うことにより、これら中継装置により構成される中継装置システムの堅牢性を向上させることができる。
【0027】
(9)本開示の一態様に係る中継装置は、前記車両の外部に設けられた通信装置と無線通信する無線中継装置を含み、前記通信装置を上流側として、他の中継装置に対し最上流に接続され、自装置に直接接続された他の中継装置から出力された通信の遮断に関する信号を受信して、自装置の通信の遮断を行う通信遮断部を備える。
【0028】
本態様にあたっては、自装置に直接接続された他の中継装置から出力された通信の遮断に関する信号を受信して、自装置の通信の遮断を行う通信遮断部を備えることにより、これら中継装置により構成される中継装置システムの堅牢性を向上させることができる。
【0029】
(10)本開示の一態様に係る中継装置は、前記車両に搭載される車載装置を制御するためのECUと通信可能に接続する通信部を含み、前記車両の外部に設けられた通信装置と無線通信する中継装置を上流側として、自装置の下流側に直接接続された下流側の中継装置から出力された通信の遮断に関する信号を受信して、自装置の通信の遮断を行う通信遮断部と、自装置の上流側に直接接続された上流側の中継装置の異常判定を行う判定部と、前記判定部が、前記上流側の中継装置が異常と判定した場合、前記上流側の中継装置に通信の遮断に関する信号を出力する信号出力部とを含む。
【0030】
本態様にあたっては、通信遮断部が、自装置の下流側に直接接続された下流側の中継装置から出力された通信の遮断に関する信号を受信して、自装置の通信の遮断を行うことにより、これら中継装置により構成される中継装置システムの堅牢性を向上させることができる。
【0031】
(11)本開示の一態様に係る中継装置は、前記車両に搭載される車載装置を制御するためのECUと通信可能に接続する通信部を含み、前記車両の外部に設けられた通信装置と無線通信する中継装置を上流側として、最下流に接続され、自装置の上流側に直接接続された上流側の中継装置の異常判定を行う判定部と、前記判定部が、前記上流側の中継装置が異常と判定した場合、前記上流側の中継装置に通信の遮断に関する信号を出力する信号出力部とを含む。
【0032】
本態様にあたっては、判定部が、自装置の上流側に直接接続される上流側の中継装置が異常と判定した場合、上流側の中継装置に通信の遮断に関する信号を出力することにより、これら中継装置により構成される中継装置システムの堅牢性を向上させることができる。
【0033】
[本発明の実施形態の詳細]
本発明をその実施の形態を示す図面に基づいて具体的に説明する。本開示の実施形態に係る中継装置システムS及び中継装置を、以下に図面を参照しつつ説明する。なお、本発明はこれらの例示に限定されるものではなく、特許請求の範囲によって示され、特許請求の範囲と均等の意味及び範囲内でのすべての変更が含まれることが意図される。
【0034】
(実施形態1)
以下、実施の形態について図面に基づいて説明する。図1は、実施形態1に係る中継装置システムSの構成を示す模式図である。中継装置システムSは、車両1に搭載されており、無線中継装置10及び複数の有線中継装置20を含む。無線中継装置10及び3台の有線中継装置20は、蓄電装置5と、電源線4によって互いに並列に接続されており、蓄電装置5からの電力が供給される。
【0035】
無線中継装置10は、車外にある通信装置(図示せず)と無線通信するためのアンテナ102に接続されている。無線中継装置10及び有線中継装置20夫々は、無線中継装置10を一端として、直列に接続されている。従って、車外にある通信装置を上流側とした場合、無線中継装置10は最上流に位置し、無線中継装置10の下流側に有線中継装置20夫々が直列に接続される。無線中継装置10は、下流側に位置する有線中継装置20と、例えばEthernet等の通信線3により接続されている。有線中継装置20は、上流側に位置する無線中継装置10又は他の有線中継装置20と、例えばEthernet等の通信線3により接続されている。更に、最下流に位置する有線中継装置20以外の有線中継装置20は、下流側に位置する他の有線中継装置20と、通信線3により接続されている。このように、無線中継装置10及び有線中継装置20夫々が通信線3により接続されることによって、無線中継装置10及び有線中継装置20夫々を直列に接続するネットワークトポロジーが形成される。無線中継装置10は、車外にある通信装置と無線通信し、当該無線通信により受信した各種データを、有線中継装置20に送信(中継)する。
【0036】
有線中継装置20は、車載装置を制御するECU30(Electronic Control Unit)と、例えばCAN(Controller Area Network/登録商標)又はEthernet等のECU用配線2によって通信可能に接続されている。図1において、無線中継装置10を上流側として3つの有線中継装置20が直列に接続されており、これら3つの有線中継装置20夫々に接続されるECU30は、上流側から下流側に向けて、車両1の走行安全性に関する優先度が高くなるようにしてある。すなわち、最下流側に接続されている有線中継装置20のECU30は、他の有線中継装置20のECU30よりも、車両1の走行安全性に関する優先度が高い。又、無線中継装置10に直接接続されている有線中継装置20のECU30は、他の有線中継装置20のECU30よりも、車両1の走行安全性に関する優先度が低い。なお、直列に接続される有線中継装置20は、3つに限定されず、2つ以上であればよい。
【0037】
有線中継装置20は、無線中継装置10から送信されたデータ、すなわち無線中継装置10によって中継された車外の通信装置からのデータを受信し、自装置に接続されるECU30に送信する。従って、ECU30は、無線中継装置10及び有線中継装置20を介して、車外の通信装置と通信する。無線中継装置10及び有線中継装置20は、ECU30と車外の通信装置との間の通信を中継する。
【0038】
有線中継装置20は、自装置の上流側に直接接続された無線中継装置10又は有線中継装置20に対し、当該無線中継装置10又は有線中継装置20の通信を遮断するための信号を出力する信号出力部203を含む。有線中継装置20は、自装置の上流側に直接接続された無線中継装置10又は有線中継装置20を監視し、当該無線中継装置10又は有線中継装置20に異常が発生した場合、信号出力部203は、信号性を介して信号を出力し、異常が発生した無線中継装置10又は有線中継装置20の通信を遮断する。従って、自装置と、自装置の上流側に直接接続された無線中継装置10又は有線中継装置20との通信が遮断される。これら通信の遮断に関する事項の詳細は、後述する。
【0039】
図2は、無線中継装置10及び有線中継装置20の構成を示すブロック図である。無線中継装置10は、無線通信部101、制御部103、記憶部104、有線通信部105、電源部106及び電源スイッチ107を含み、アンテナ102に接続されている。なお、無線中継装置10は、当該アンテナ102を含むものであってもよい。
【0040】
無線通信部101は、車外の通信装置と無線通信するためのアンテナ102と、ハーネス等により接続されている。無線通信部101は、例えば5G、4G又はLTE等の所定の広域通信規格を用いて、車外の通信装置と無線通信するものであり、例えばTCU(Telematics Communication Unit)と称される通信デバイスである。
【0041】
制御部103は、CPU(Central Processing Unit)又はMPU(Micro Processing Unit)等により構成してあり、記憶部104に予め記憶された制御プログラム及びデータを読み出して実行することにより、種々の制御処理及び演算処理等を行うようにしてある。制御部103は、内部バス109により無線通信部101、有線通信部105及び記憶部104と通信可能に接続されている。制御部103は、制御プログラムを実行することにより、無線通信部101及び有線通信部105との間で通信されるデータを中継する制御を行う。
【0042】
制御プログラムには、自装置のセキュリティを確保するためのセキュリティプログラムが含まれている。制御部103は、セキュリティプログラムを実行することにより、例えばDoS攻撃、ウィルス又はワーム等を含むデータによる車外からの不正な通信(攻撃)に対応し、自装置のセキュリティを確保(セキュアな通信状態を担保)するようにセキュリティ機能を発揮する。
【0043】
記憶部104は、RAM(Random Access Memory)等の揮発性のメモリ素子又は、ROM(Read Only Memory)、EEPROM(Electrically Erasable Programmable ROM)若しくはフラッシュメモリ等の不揮発性のメモリ素子により構成してあり、制御プログラム及び処理時に参照するデータがあらかじめ記憶してある。記憶部104に記憶された制御プログラムは、無線中継装置10が読み取り可能な記録媒体(図示せず)から読み出された制御プログラムを記憶したものであってもよい。また、図示しない通信網に接続されている図示しない外部コンピュータから制御プログラムをダウンロードし、記憶部104に記憶させたものであってもよい。記憶部104には、有線中継装置20又はECU30と通信するための経路情報が、例えばテーブル形式にて記憶されている。当該経路情報は、無線中継装置10、有線中継装置20及び有線中継装置20に接続されたECU30のアドレスが含まれている。従って、記憶部104に記憶されている経路情報を参照することにより、制御部103は、ECU30と車外の通信装置との間の通信を中継することができる。
【0044】
有線通信部105は、例えばEthernetの通信ポート等の入出力I/Fであり、物理層のプロトコルは、例えば100BASE-T1又は1000BASE-T1等のIEEEの規格によるものである。
【0045】
電源部106は、蓄電装置5(図1参照)から印加された電圧を、制御部103及び有線通信部105等の無線中継装置10に含まれる各部位の作動電圧に変換して分配し、電源ライン108を介してこれら各部位に電力を供給する。
【0046】
電源部106と蓄電装置5とを接続する電源ライン108には、電源スイッチ107が設けられている。電源スイッチ107は、機械式リレー又は、FET(Field effect transistor)等の半導体スイッチにより構成される。電源スイッチ107は、例えば、車両1のイグニッションスイッチ(IGスイッチ)に連動して常時オンにされており、後述する下流側に直接接続された有線中継装置20からの信号によって、オフ又はオンに制御される。電源スイッチ107は、自装置の通信を遮断する通信遮断部に相当する。
【0047】
有線中継装置20は、制御部201、記憶部202、信号出力部203、電源部205、電源スイッチ206、2つの有線通信部207、及びECU用通信部208を含む。
【0048】
有線中継装置20の制御部201は、上述の無線中継装置10の制御部103と同様の構成によるものである。有線中継装置20の制御部201は、内部バス210により記憶部202、信号出力部203、有線通信部207及びECU用通信部208と通信可能に接続されている。制御部201は、記憶部202に記録された制御プログラム及びデータを読み出して実行することにより、2つの有線通信部207との間又は、有線通信部207とECU用通信部208との間で通信されるデータを中継する制御を行う。
【0049】
有線中継装置20の制御プログラムにも、無線中継装置10の制御プログラムと同様に自装置のセキュリティを確保するためのセキュリティプログラムが含まれている。有線中継装置20の制御部201は、ウィルスを含むデータ等の不正な通信(攻撃)に対応し、自装置のセキュリティを確保するようにセキュリティ機能を発揮する。
【0050】
有線中継装置20の記憶部202は、上述の無線中継装置10の記憶部104と同様の構成によるものである。有線中継装置20の記憶部202には、無線中継装置10の記憶部104と同様に有線中継装置20又はECU30と通信するための経路情報が、例えばテーブル形式にて記憶されている。当該経路情報は、無線中継装置10、有線中継装置20及び有線中継装置20に接続されたECU30のアドレスが含まれている。有線中継装置20は、例えばレイヤー2スイッチ、又はレイヤー3スイッチとして機能する。有線中継装置20がレイヤー2スイッチとして機能する場合、無線中継装置10、有線中継装置20又はECU30のMACアドレスが経路情報として記憶部202に記憶される。有線中継装置20がレイヤー3スイッチとして機能する場合、無線中継装置10、有線中継装置20又はECU30のIPアドレスが経路情報として記憶部202に記憶される。従って、記憶部202に記憶されている経路情報を参照することにより、有線中継装置20の制御部201は、自装置に接続されたECU30と車外の通信装置との間の通信、又は自装置に接続されたECU30と他の有線中継装置20に接続されたECU30との通信を中継することができる。
【0051】
有線中継装置20は、上流側及び下流側に対応する2つの有線通信部207を含む。この2つの有線通信部207は、無線中継装置10の有線通信部105と同様の規格のものであり、例えばEthernetの通信ポート等の入出力I/Fであり、物理層のプロトコルは、例えば100BASE-T1又は1000BASE-T1等である。
【0052】
信号出力部203は、制御部201からの指令に基づいて、自装置の上流側に直接接続されている他の有線中継装置20又は無線中継装置10の電源スイッチ206に対し、当該スイッチをオフ又はオンにする信号を出力する信号出力回路である。
【0053】
信号出力部203と、自装置の上流側に直接接続されている他の有線中継装置20又は無線中継装置10の電源スイッチ206、107とは、信号線204により接続されている。例えば、当該電源スイッチ206、107がFET(Field effect transistor)にて構成されている場合、信号出力部203は、FETのゲート端子と信号線204により接続されており、信号出力部203から出力される信号、すなわちゲート端子に印加する電圧によって、FETをオフ又はオンに切換える。
【0054】
なお、図2において信号出力部203は、制御部201とは別個のブロック(デバイス)として記載してあるが、これに限定されない。制御部201は信号出力回路を含むマイコンとして一体的に構成され、制御部201が信号出力部203の機能を発揮するものであってもよい。
【0055】
有線中継装置20の電源部205は、蓄電装置5から印加された電圧を、制御部201及び有線通信部207等の有線中継装置20に含まれる各部位の作動電圧に変換して分配し、電源ライン209を介してこれら各部位に電力を供給する。
【0056】
有線中継装置20の電源部205と、蓄電装置5とを接続する電源ライン209には、電源スイッチ206が設けられている。有線中継装置20の電源スイッチ206は、上述の無線中継装置10の電源スイッチ107と同様に、機械式リレー又は半導体スイッチにより構成される。電源スイッチ206は、例えば、車両1のイグニッションスイッチ(IGスイッチ)に連動して常時オンにされており、下流側に直接接続された有線中継装置20からの信号によって、オフ又はオンに制御される。電源スイッチ206は、自装置の通信を遮断する通信遮断部に相当する。
【0057】
ECU用通信部208は、Ethernet又はCAN等の所定の通信プロトコルに対応した入出力I/Fである。ECU用通信部208と、ECU30夫々とは、例えばCANケーブル等のECU用配線2によって通信可能に接続されている。ECU用通信部208は、有線中継装置20とECU30とを通信可能に接続する通信部に相当する。
【0058】
有線中継装置20は、自装置の上流に直接接続された他の有線中継装置20又は無線中継装置10の異常判定を行う判定部を含む。判定部は、他の有線中継装置20又は無線中継装置10を監視し、これら他の有線中継装置20又は無線中継装置10が例えばウィルス等によって異常な状態となった場合、異常判定を行う。判定部による他の有線中継装置20又は無線中継装置10の監視及び異常判定は、例えば上流側に直接接続された他の有線中継装置20又は無線中継装置10内で実行しているセキュリティプログラム又は自己診断プログラム(ダイアグプロセス)との間でプロセス間通信を行い監視し、プロセス間通信の結果に基づき異常判定する。又は、判定部は、周期的に上流側に直接接続された他の有線中継装置20又は無線中継装置10にポーリング通信を行い、チェックサムを実行させて、実行結果の応答を確認して監視及び異常判定を行ってもよい。又は、判定部は、上流側に直接接続された他の有線中継装置20又は無線中継装置10から送信されたデータを取得し、取得したデータの認証鍵の正当性を評価することにより、異常判定を行ってもよい。又は、判定部は、無線中継装置10及び有線中継装置20がIDS(Intrusion Detection System)の機能を有する場合、上流側に直接接続された他の有線中継装置20又は無線中継装置10から送信されたIDS(Intrusion Detection System)に関するデータを取得し、取得したデータを評価することにより、異常判定を行ってもよい。
【0059】
このような異常は、無線中継装置10及び有線中継装置20のセキュリティ機能が、車外からのウィルス等の攻撃により突破、すなわち機能不全にされた場合に発生する。判定部が、上流側に直接接続された他の有線中継装置20又は無線中継装置10に異常が発生したと判定した場合、制御部201からの指令に基づいて、信号出力部203は、当該上流側に直接接続された他の有線中継装置20又は無線中継装置10の電源スイッチ206、107をオフにする信号、すなわち通信を遮断する信号を出力する。従って、異常が発生した無線中継装置10又は有線中継装置20の電源をオフにして通信を遮断することにより、異常が発生した無線中継装置10又は有線中継装置20よりも、下流側に位置する有線中継装置20に異常が発生することを防止することができる。有線中継装置20の制御部201は、制御プログラムを実行することにより、判定部として機能する。
【0060】
複数の有線中継装置20夫々には、ECU用通信部208を介してECU30が接続される。ECU30は、対応する車載装置を制御するためのプログラム及び当該プログラムを実行するためのマイコン等により構成される。
【0061】
図3は、ECU30の走行安全性の優先度に関する説明図である。ECU30における車両1の走行安全性に関する優先度は、対応する車載装置及び実行するプログラムの機能に基づいて決定されるものであり、例えばISO26262のASIL(Automotive Safety Integrity Level)に基づいて決定されるものであってもよい。図3に示すごとく、
ASILのレベルは、QM、ASIL-A,ASIL-B,ASIL-C,ASIL-Dのレベルに分類される。QMレベルは、ISO26262による機能安全を適用しなくてもよい通常の品質管理である。ASIL-AからDのレベルにおいては、ISO26262による機能安全の適用が必要となるレベルであり、ASIL-AからASIL-Dになるについて、機能安全要件が厳しくなる。すなわち、QMレベルの優先度が最も低く、ASIL-Dレベルの優先度が最も高いとみなすことができる。
【0062】
各ASILレベルに対応したECU30として、例えば、QMレベルに相当するECU30は、カーナビゲーションやTV等の動画データ又はストリームデータを制御するエンターテイメント系ECU30、カーエアコンを制御するエアコンECU30である。ASIL-Aレベルに相当するECU30は、座席の位置制御又はドアミラーの制御等を行うボディー系ECU30である。ASIL-Bレベルに相当するECU30は、エンジン又はモータ等の駆動制御等に関する走行制御系ECU30である。ASIL-Cレベルに相当するECU30は、ハンドル制御又はブレーキ制御等に関する走行制御系ECU30である。ASIL-Dレベルに相当するECU30は、自動運転制御に関する自動運転系ECU30である。
【0063】
なお、ECU30における車両1の走行安全性に関する優先度は、自動運転系ECU30を最も高い優先度とし、車両1の旋回(曲がる)又は停止に関する制御を行うECU30を次に高い優先度とし、車両1の走行(走る)に関する制御を行うECU30をその次に高い優先度とする。そして、これら以外に関する制御を行うECU30を最も低い優先度とするものであってもよい。
【0064】
直列に接続された複数の複数の有線中継装置20夫々には、車両1の走行安全性に関する優先度に応じたECU30が接続される。例えば、エンターテイメント系ECU30又はエアコンECU30等の優先度が最も低いECU30は、無線中継装置10に直接接続された有線中継装置20のECU用通信部208に接続される。自動運転系ECU30又は走行制御系ECU30等の優先度が高いECU30は、最下流に位置する有線中継装置20のECU用通信部208に接続される。ボディー系ECU30等の優先度が中程度のECU30は、直列に構成されたネットワークトポロジーの中間に位置する有線中継装置20のECU用通信部208に接続される。
【0065】
無線中継装置10の有線通信部105と、無線中継装置10の下流側に直接接続されている有線中継装置20の上流側の有線通信部207とは、通信線3によって接続されている。有線中継装置20同士においては、上流側に位置する有線中継装置20の下流側の有線通信部207と、下流側に位置する有線中継装置20の上流側の有線通信部207とによって、これら有線通信部207間に配策された通信線3によって接続されている。
【0066】
有線中継装置20の2つの有線通信部207夫々は、内部バス210によって制御部201に接続されており、2つの有線通信部207に流れるデータは、制御部201を介して通信、すなわち制御部201によって中継されるものとなる。従って、最下流に位置する有線中継装置20が、車外の通信装置との間で通信する場合、当該通信装置との通信のデータは、無線中継装置10及び他の有線中継装置20によって中継されて、最下流に位置する有線中継装置20に送信される。すなわち、無線中継装置10及び複数の有線中継装置20夫々は、無線中継装置10を一端として直列に接続されており、これら直列に接続された無線中継装置10及び複数の有線中継装置20による通信は、バケツリレー方式によって行われる。従って、無線中継装置10が受信して中継する車外の通信装置からのデータを、例えば最下流に位置する有線中継装置20が受信するためには、当該有線中継装置20の上流側に位置する他の有線中継装置20夫々が中継する。
【0067】
有線中継装置20夫々は、セキュリティ機能を有しているため、車外からの不正な通信等による攻撃を受けた場合であっても、自装置の上流側に位置する他の有線中継装置20夫々が、順次に当該攻撃に対するファイヤーウォール的な防壁となることにより堅牢性を向上させることができる。
【0068】
更に、車両1の走行安全性に関する優先度が高いECU30を接続する有線中継装置20を下流側に配置することにより、当該優先度が高いECU30を保護することで、当該攻撃に対する堅牢性を向上させることができる。
【0069】
又、車両1の走行安全性に関する優先度が高いECU30として、例えば車両1の走行制御のための走行制御系ECU30又は自動運転を行うための自動運転系ECU30を接続する有線中継装置20を下流側に接続することで、走行制御系ECU30又自動運転系ECU30を効率的に保護することができる。
【0070】
なお、図1又は図2に示すごとく、最下流に接続される有線中継装置20は、上流側に位置する他の有線中継装置20と接続するための有線通信部207のみを有するものであってもよい。また、最下流に接続される有線中継装置20は、電源スイッチ206を有さないものであってもよい。最下流に接続される有線中継装置20は、例えば、自動運転系ECU30等の車両1の走行安全性に関する優先度が最も高いECU30が接続されるため、自装置の上流に接続される他の有線中継装置20との通信が遮断された場合であっても、これら優先度が最も高いECU30間の通信を担保することができる
【0071】
図4は、実施形態1に係る制御部201の処理を示すフローチャートである。有線中継装置20の制御部201は、定常的に又はイグニッションスイッチ(IGスイッチ)がオンにされた場合等の所定の入力信号に基づき、以下の処理を行う。
【0072】
有線中継装置20夫々の制御部201は、自装置の上流側に直接接続された他の有線中継装置20又は無線中継装置10の監視を開始する(S01)。すなわち、無線中継装置10の下流側に直接接続されている有線中継装置20は、無線中継装置10を監視する。当該有線中継装置20以外の有線中継装置20は、自装置の上流側に直接接続された他の有線中継装置20を監視する。制御部201による自装置の上流側に直接接続された他の有線中継装置20又は無線中継装置10の監視は、例えば、当該他の有線中継装置20又は無線中継装置10へのポーリング、他の有線中継装置20又は無線中継装置10から送信されたデータの取得又は、他の有線中継装置20又は無線中継装置10にて実行されている自己診断プログラムとのプロセス間通信等の種々の方法によって行われる。
【0073】
制御部201は、上流側に直接接続された他の有線中継装置20又は無線中継装置10に異常があるか否かの判定を行う(S02)。制御部201は、例えば、ポーリング通信に対する当該他の有線中継装置20又は無線中継装置10からの応答を確認して、確認結果に基づき異常判定を行う。又は、制御部201は、当該他の有線中継装置20又は無線中継装置10から送信されたデータの認証鍵の正当性を評価すること等により、様々な方法による異常判定を行うものであってもよい。
【0074】
異常ではない、すなわち正常であると判定した場合(S02:NO)、制御部201は、再度S01の処理を実行すべくループ処理を行う。
【0075】
異常であると判定した場合(S02:YES)、制御部201は、自装置の上流側に直接接続された他の有線中継装置20又は無線中継装置10に対し、通信を遮断する信号を出力する(S03)。制御部201による指令を受けて、信号出力部203は、自装置の上流側に直接接続された他の有線中継装置20又は無線中継装置10の電源スイッチ206、107に対し、当該電源スイッチ206、107をオフにする信号を出力する。出力された信号を受けた当該他の有線中継装置20又は無線中継装置10の電源スイッチ206、107は、オフにされる。従って、当該信号の出力を行った制御部201を含む有線中継装置20と、当該有線中継装置20の上流側に直接接続された他の有線中継装置20又は無線中継装置10との通信は、遮断される。
【0076】
電源スイッチ206、107がオフにされた有線中継装置20又は無線中継装置10は、例えばウィルス等により正常に動作しない状態となっており、他の有線中継装置20又はECU30に対しても、ウィルス等を伝搬させてしまうことが懸念される。これに対し、異常が発生した有線中継装置20又は無線中継装置10の電源をオフにすることで、他の有線中継装置20又はECU30との通信を遮断し、これら他の有線中継装置20又はECU30にウィルス等が伝搬することを防止することができる。
【0077】
通信を遮断する信号の出力を行った制御部201は、当該信号の出力に関する情報又は異常判定に関する情報を記憶部202に記憶してもよい。当該信号の出力に関する情報等は、例えば、検知した異常の内容、異常と判定した他の有線中継装置20又は無線中継装置10からの通信のデータ等、異常が発生した要因の分析に用いられる情報である。更に当該信号の出力に関する情報等は、異常が発生した時刻又は時点を関連付けて、記憶部202に記憶されてもよい。
【0078】
制御部201は、所定時間が経過、又は所定動作が実施されたかを判定する(S04)。所定時間とは、予め記憶部202に記憶されている時間であり、例えば5分等である。所定動作とは、例えば車両1のイグニッションスイッチが、オフ及びオンにされる動作である。
【0079】
所定時間が経過してない、又は所定動作が実施されていない場合(S04:NO)、制御部201は、再度S04の処理を行うべく、ループ処理を行う。すなわち、通信を遮断する信号の出力を行った制御部201は、所定時間が経過するまで、又は所定動作が実施されるまでの間、待機処理を行う。
【0080】
所定時間が経過、又は所定動作が実施された場合(S04:YES)、通信を遮断する信号の出力を行った制御部201は、通信を再開する信号を出力する(S05)。異常と判定された無線中継装置10又は有線中継装置20であっても、当該異常が一過性の場合は、所定時間が経過、又は所定動作が実施された後に復旧することもあり得る。従って、自装置の上流に直接接続されている無線中継装置10又は他の有線中継装置20に異常が発生したと判定し、通信を遮断する信号を出力し、これら無線中継装置10又は他の有線中継装置20との通信を遮断した場合であっても、通信を再開する信号を出力することで、これら無線中継装置10又は他の有線中継装置20の復旧を確認することができる。
【0081】
制御部201は、再度S01の処理を実行すべくループ処理を行う。従って、通信を再開する信号を受信した無線中継装置10又は他の有線中継装置20が復旧せず、再度異常と判定した場合、これら無線中継装置10又は他の有線中継装置20の通信を再度遮断することができる。
【0082】
なお、本実施例において、通信を遮断する信号の出力を行った制御部201は、所定時間が経過、又は所定動作が実施された場合、通信を再開する信号を出力するとしたが、これに限定されない。通信を遮断する信号の出力を行った制御部201は、以降、通信を再開する信号を出力しなくてもよい。又は、通信を遮断する信号の出力を行った制御部201は、通信を再開する信号を出力した回数を記憶し、当該回数が所定値を越えた場合、以降は、通信を再開する信号を出力しない制御を行ってもよい。復旧の見込みが低い無線中継装置10又は有線中継装置20の通信を遮断する状態を維持することにより、中継装置システムSの堅牢性を担保することができる。
【0083】
電源スイッチ206、107がオフにされた有線中継装置20又は無線中継装置10は、例えばウィルス等により正常に動作しない状態となっており、他の有線中継装置20又はECU30に対しても、ウィルス等を伝搬させてしまうことが懸念される。これに対し、異常が発生した有線中継装置20又は無線中継装置10の電源をオフにすることで、他の有線中継装置20又はECU30との通信を遮断し、これら他の有線中継装置20又はECU30にウィルス等が伝搬することを防止することができる。
【0084】
車外からの通信は、無線中継装置10を介して行われるため、無線中継装置10が攻撃されセキュリティ機能が不全となり、異常な状態となる場合がある。そして、次に無線中継装置10の下流側に直接接続された有線中継装置20が攻撃され、同様にセキュリティ機能が不全となり、異常な状態となった場合であっても、当該異常となった有線中継装置20の下流側に直接接続された有線中継装置20は、この異常を検知し、当該異常となった有線中継装置20の電源をオフする。当該異常となった有線中継装置20の電源をオフにすることにより通信は遮断され、当該異常となった有線中継装置20よりも、下流側に接続された他の有線中継装置20及びECU30を保護することができる。
【0085】
無線中継装置10及び有線中継装置20を直列に接続しバケツリレー方式によって通信すると共に、有線中継装置20夫々が、自装置の上流側に直接接続された無線中継装置10又は有線中継装置20の電源をオフにして通信を遮断することにより、有線中継装置20夫々を防壁として機能させることができる。有線中継装置20夫々を防壁として機能させることにより、下流側に位置する有線中継装置20に接続される走行安全性に関する優先度の高いECU30を効果的に保護することができる。
【0086】
(変形例)
図5は、変形例に係る無線中継装置10及び有線中継装置20の構成を示すブロック図である。変形例に係る無線中継装置10及び有線中継装置20は、電源部205と有線通信部207との間に更に第2電源スイッチ111、211を含む点で、実施形態1と異なる。
【0087】
無線中継装置10及び有線中継装置20は、実施形態1と同様に、無線中継装置10を最上流として、直列に接続される。無線中継装置10及び有線中継装置20は、電源部205と有線通信部207との間に更に第2電源スイッチ111、211を含む。
【0088】
有線中継装置20の信号出力部203は、上流側に直接接続された無線中継装置10又は有線中継装置20の第2電源スイッチ111、211と、信号線204によって接続されている。変形例の信号出力部203は、実施形態1の信号出力部203と同様に、上流側に直接接続された無線中継装置10又は有線中継装置20に異常が発生した場合、上流側に直接接続された無線中継装置10又は有線中継装置20の第2電源スイッチ111、211に信号を出力し、当該第2電源スイッチ111、211をオフにする。
【0089】
第2電源スイッチ111、211がオフにされることにより、有線通信部207への電力が供給されなくなり、有線通信部207は機能を停止する。有線中継装置20においては、第2電源スイッチ211が設けられている有線通信部207は、下流側の有線通信部207である。
【0090】
このように、電源部205と有線通信部207との間に設けられた第2電源スイッチ111、211をオフにすることで、自装置と、自装置の上流側に直接接続された無線中継装置10又は有線中継装置20との間の通信を遮断しつつ、当該無線中継装置10又は有線中継装置20の制御部103、201への電力の供給は継続することができる。従って、当該無線中継装置10又は有線中継装置20の制御部103、201は、自己診断プログラム等を実行し、異常な状態から正常な状態に復旧する場合がある。正常な状態に復旧した後は、制御部103、201は、自装置の電源部205と有線通信部207との間に設けられた第2電源スイッチ111、211をオンにする。当該第2電源スイッチ111、211がオンにされることにより、無線中継装置10又は他の有線中継装置20との通信を再開することができる。
【0091】
なお、図5に示すごとく、変形例の無線中継装置10及び有線中継装置20は、電源部205と蓄電装置5との間に設けられた電源スイッチ107、206と、電源部106、205と有線通信部105、207との間に設けられた第2電源スイッチ111、211を含むものとしてあるが、これに限定されない。変形例の無線中継装置10及び有線中継装置20は、電源部106、205と有線通信部105、207との間に設けられた第2電源スイッチ111、211のみを含むものであってもよい。
【0092】
今回開示された実施形態はすべての点で例示であって、制限的なものではないと考えられるべきである。本発明の範囲は、上記した意味ではなく、特許請求の範囲によって示され、特許請求の範囲と均等の意味及び範囲内でのすべての変更が含まれることが意図される。
【符号の説明】
【0093】
S 中継装置システム
1 車両
2 ECU用配線
3 通信線
4 電源線
5 蓄電装置
10 無線中継装置(中継装置)
101 無線通信部
102 アンテナ
103 制御部
104 記憶部
105 有線通信部
106 電源部
107 電源スイッチ(通信遮断部、スイッチ)
108 電源ライン
109 内部バス
111 第2電源スイッチ(通信遮断部、スイッチ)
20 有線中継装置(第1有線中継装置、第2有線中継装置、中継装置)
201 制御部(判定部)
202 記憶部
203 信号出力部
204 信号線
205 電源部
206 電源スイッチ(通信遮断部、スイッチ)
207 有線通信部
208 ECU用通信部
209 電源ライン
210 内部バス
211 第2電源スイッチ(通信遮断部、スイッチ)
30 ECU
図1
図2
図3
図4
図5