特許7160103 | 知財ポータル「IP Force」

知財求人 - 知財ポータルサイト「IP Force」

▶ 住友電気工業株式会社の特許一覧

特許7160103車載通信システム、データ取得装置、管理装置および監視方法

書誌要約請求の範囲詳細な説明課題実施例実施するための形態図面の説明

目に優しい文字サイズ小中大 PDF Top

< >

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】

(24)【登録日】2022-10-17

(45)【発行日】2022-10-25

(54)【発明の名称】車載通信システム、データ取得装置、管理装置および監視方法

(51)【国際特許分類】

H04L 41/00 20220101AFI20221018BHJP

B60R 16/02 20060101ALI20221018BHJP

B60R 16/023 20060101ALI20221018BHJP

H04L 12/28 20060101ALI20221018BHJP

H04L 43/02 20220101ALI20221018BHJP

【ＦＩ】

H04L41/00

B60R16/02 650J

B60R16/023 P

H04L12/28 100A

H04L43/02

【請求項の数】 13

(21)【出願番号】P 2020540040

(86)(22)【出願日】2019-03-20

(86)【国際出願番号】 JP2019011692

(87)【国際公開番号】W WO2020044638

(87)【国際公開日】2020-03-05

【審査請求日】2021-09-03

(31)【優先権主張番号】P 2018160940

(32)【優先日】2018-08-30

(33)【優先権主張国・地域又は機関】JP

(73)【特許権者】

【識別番号】000002130

【氏名又は名称】住友電気工業株式会社

(74)【代理人】

【識別番号】110000682

【氏名又は名称】弁理士法人ワンディ－ＩＰパ－トナ－ズ

(72)【発明者】

【氏名】礒山芳一

(72)【発明者】

【氏名】畑洋一

【審査官】鈴木肇

(56)【参考文献】

【文献】特開２０１７－０５０６４４（ＪＰ，Ａ）

【文献】特開２０１５－１３６１０７（ＪＰ，Ａ）

【文献】特開２０１９－１８０００５（ＪＰ，Ａ）

【文献】特開２０１８－０１６１０６（ＪＰ，Ａ）

【文献】特開２０１７－０２８４１０（ＪＰ，Ａ）

【文献】特開２０１８－１８２７１３（ＪＰ，Ａ）

(58)【調査した分野】(Int.Cl.，ＤＢ名)

Ｈ０４Ｌ１２／００－１３／１８

Ｈ０４Ｌ４１／００－４９／９０５７

Ｈ０４Ｌ６１／００－６５／８０

Ｈ０４Ｌ６９／００－６９／４０

Ｂ６０Ｒ１６／００－１７／０２

(57)【特許請求の範囲】

【請求項1】

車両に搭載される車載通信システムであって、
前記車両における制御ネットワークに接続される複数の機能部と、
前記車両におけるセキュリティネットワークに接続される管理装置とを備え、
前記制御ネットワークから前記セキュリティネットワークへの通信が一部制限されており、
前記車載通信システムは、さらに、
前記制御ネットワークにおいて伝送されるデータを取得して前記管理装置へ送信するデータ取得装置を備え、
前記管理装置は、前記データ取得装置から受信した前記データに基づいて、前記制御ネットワークに関する異常を検知し、
前記データ取得装置は、前記管理装置によって前記異常が検知された場合、前記機能部を前記制御ネットワークから切り離す制御を行う、車載通信システム。

【請求項2】

前記データ取得装置は、前記管理装置によって異常が検知された場合、前記制御ネットワークに関する制御を行う、請求項１に記載の車載通信システム。

【請求項3】

前記データ取得装置は、前記管理装置によって異常が検知された場合、前記制御ネットワークにおける経路を切り替える制御を行う、請求項１または請求項２に記載の車載通信システム。

【請求項4】

前記管理装置は、異常を検知した場合、前記機能部を制御する、請求項１から請求項３のいずれか１項に記載の車載通信システム。

【請求項5】

前記管理装置は、異常を検知した場合、前記機能部の動作を、前記車両の走行の安全サイドに向けて変更する、請求項４に記載の車載通信システム。

【請求項6】

前記管理装置は、異常を検知した場合、異常を通知する制御を行う、請求項１から請求項５のいずれか１項に記載の車載通信システム。

【請求項7】

車両に搭載される車載通信システムであって、
前記車両における制御ネットワークに接続される複数の機能部と、
前記車両におけるセキュリティネットワークに接続される管理装置と通信可能であり、前記制御ネットワークにおいて伝送されるデータを取得するデータ取得装置とを備え、
前記データ取得装置は、前記制御ネットワークから前記セキュリティネットワークへの通信を一部制限し、
前記データ取得装置は、前記制御ネットワークにおける経路間を接続するコネクタであり、取得した前記データに基づいて、前記制御ネットワークに関する異常を検知する、車載通信システム。

【請求項8】

車両に搭載され、複数の機能部が制御ネットワークに接続され、管理装置がセキュリティネットワークに接続される車載通信システムにおけるデータ取得装置であって、
前記制御ネットワークから前記セキュリティネットワークへの通信が一部制限されており、
前記制御ネットワークにおいて伝送されるデータを取得する取得部と、
前記取得部によって取得された前記データを前記管理装置へ送信する送信部とを備え、
前記管理装置は、前記データ取得装置から受信した前記データに基づいて、前記制御ネットワークに関する異常を検知し、
前記データ取得装置は、前記管理装置によって前記異常が検知された場合、前記機能部を前記制御ネットワークから切り離す制御を行う、データ取得装置。

【請求項9】

前記データ取得装置は、前記制御ネットワークにおける経路間を接続するコネクタである、請求項８に記載のデータ取得装置。

【請求項10】

前記データ取得装置は、前記機能部に含まれる、請求項８に記載のデータ取得装置。

【請求項11】

車両に搭載され、セキュリティネットワークに接続され、前記車両において、複数の機能部が制御ネットワークに接続され、前記制御ネットワークから前記セキュリティネットワークへの通信が一部制限される車載通信システムにおける管理装置であって、
前記車載通信システムは、前記制御ネットワークにおいて伝送されるデータを取得して前記管理装置へ送信するデータ取得装置を備え、
前記制御ネットワークにおいて伝送されるデータを取得する通信部と、
前記通信部によって取得された前記データに基づいて、前記制御ネットワークに関する異常を検知する処理部とを備え、
前記処理部は、前記異常を検知した場合、前記機能部を前記制御ネットワークから切り離すための異常通知を前記データ取得装置へ送信する、管理装置。

【請求項12】

車両に搭載され、前記車両における制御ネットワークに接続される複数の機能部と、前記車両におけるセキュリティネットワークに接続される管理装置と、データ取得装置とを備える車載通信システムにおける監視方法であって、
前記制御ネットワークから前記セキュリティネットワークへの通信が一部制限されており、
前記データ取得装置が、前記制御ネットワークにおいて伝送されるデータを取得するステップと、
前記データ取得装置が、取得したデータを前記管理装置へ送信するステップと、
前記管理装置が、前記データ取得装置から受信した前記データに基づいて、前記制御ネットワークに関する異常を検知するステップと、
前記データ取得装置が、前記管理装置によって前記異常が検知された場合、前記機能部を前記制御ネットワークから切り離す制御を行うステップとを含む、監視方法。

【請求項13】

車両に搭載され、前記車両における制御ネットワークに接続される複数の機能部と、前記車両におけるセキュリティネットワークに接続される管理装置と通信可能なデータ取得装置とを備える車載通信システムにおける監視方法であって、
前記データ取得装置は、前記制御ネットワークから前記セキュリティネットワークへの通信を一部制限し、
前記データ取得装置は、前記制御ネットワークにおける経路間を接続するコネクタであり、
前記データ取得装置が、前記制御ネットワークにおいて伝送されるデータを取得するステップと、
前記データ取得装置が、取得した前記データに基づいて、前記制御ネットワークに関する異常を検知するステップとを含む、監視方法。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、車載通信システム、データ取得装置、管理装置および監視方法に関する。
この出願は、２０１８年８月３０日に出願された日本出願特願２０１８－１６０９４０号を基礎とする優先権を主張し、その開示のすべてをここに取り込む。

【背景技術】

【0002】

特開２０１３－１３１９０７号公報号（特許文献１）には、以下のような車両ネットワーク監視装置が開示されている。すなわち、車両ネットワーク監視装置は、複数の車載制御装置の間でデータの通信が行われる車両ネットワークにあってその通信データの監視を行う車両ネットワーク監視装置であって、前記車両ネットワークで用いられる通信プロトコルを運用する上で規定されたデータの通信形式の監視を通じて不正データを検知する監視部を備える。

【0003】

また、特開２０１７－１１２５９０号公報（特許文献２）には、以下のような通信装置が開示されている。すなわち、通信装置は、ネットワークにおけるメッセージを送受信する通信部と、前記通信部において受信されたメッセージから複数の監視項目の値を検出し、前記複数の監視項目の各検出値が各基準範囲に収まっているか否かを判定して、不正メッセージを検知する第１不正検知部と、を備え、前記複数の監視項目ごとに、第１基準範囲と、前記第１基準範囲より範囲が狭い第２基準範囲とが設定され、前記第１不正検知部は、前記各検出値のいずれかが前記第１基準範囲外の値であるとき、前記メッセージを不正メッセージと判定し、前記各検出値のいずれかが前記第１基準範囲内でかつ前記第２基準範囲外の値であるとき、所定の規則を満たす場合に前記メッセージを不正メッセージと判定する。

【先行技術文献】

【特許文献】

【0004】

【文献】特開２０１３－１３１９０７号公報

【文献】特開２０１７－１１２５９０号公報

【発明の概要】

【0005】

（１）本開示の車載通信システムは、車両に搭載される車載通信システムであって、前記車両における制御ネットワークに接続される複数の機能部と、前記車両におけるセキュリティネットワークに接続される管理装置とを備え、前記制御ネットワークから前記セキュリティネットワークへの通信が一部制限されており、前記車載通信システムは、さらに、前記制御ネットワークにおいて伝送されるデータを取得して前記管理装置へ送信するデータ取得装置を備え、前記管理装置は、前記データ取得装置から受信した前記データに基づいて、前記制御ネットワークに関する異常を検知する。

【0006】

（８）本開示の車載通信システムは、車両に搭載される車載通信システムであって、前記車両における制御ネットワークに接続される複数の機能部と、前記車両におけるセキュリティネットワークに接続される管理装置と通信可能であり、前記制御ネットワークにおいて伝送されるデータを取得するデータ取得装置とを備え、前記制御ネットワークから前記セキュリティネットワークへの通信が一部制限されており、前記データ取得装置は、前記制御ネットワークにおける経路間を接続するコネクタであり、取得した前記データに基づいて、前記制御ネットワークに関する異常を検知する。

【0007】

（９）本開示のデータ取得装置は、車両に搭載され、複数の機能部が制御ネットワークに接続され、管理装置がセキュリティネットワークに接続される車載通信システムにおけるデータ取得装置であって、前記制御ネットワークから前記セキュリティネットワークへの通信が一部制限されており、前記制御ネットワークにおいて伝送されるデータを取得する取得部と、前記取得部によって取得された前記データを前記管理装置へ送信する送信部とを備える。

【0008】

（１２）本開示の管理装置は、車両に搭載され、セキュリティネットワークに接続され、前記車両において、複数の機能部が制御ネットワークに接続され、前記制御ネットワークから前記セキュリティネットワークへの通信が一部制限される車載通信システムにおける管理装置であって、前記制御ネットワークにおいて伝送されるデータを取得する通信部と、前記通信部によって取得された前記データに基づいて、前記制御ネットワークに関する異常を検知する処理部とを備える。

【0009】

（１３）本開示の監視方法は、車両に搭載され、前記車両における制御ネットワークに接続される複数の機能部と、前記車両におけるセキュリティネットワークに接続される管理装置とを備える車載通信システムにおける監視方法であって、前記制御ネットワークから前記セキュリティネットワークへの通信が一部制限されており、前記制御ネットワークにおいて伝送されるデータを取得するステップと、取得したデータを前記管理装置へ送信するステップと、前記管理装置が、受信した前記データに基づいて、前記制御ネットワークに関する異常を検知するステップとを含む。

【0010】

（１４）本開示の監視方法は、車両に搭載され、前記車両における制御ネットワークに接続される複数の機能部と、前記車両におけるセキュリティネットワークに接続される管理装置と通信可能なデータ取得装置とを備える車載通信システムにおける監視方法であって、前記制御ネットワークから前記セキュリティネットワークへの通信が一部制限されており、前記データ取得装置は、前記制御ネットワークにおける経路間を接続するコネクタであり、前記データ取得装置が、前記制御ネットワークにおいて伝送されるデータを取得するステップと、前記データ取得装置が、取得した前記データに基づいて、前記制御ネットワークに関する異常を検知するステップとを含む。

【0011】

本開示の一態様は、このような特徴的な処理部を備える車載通信システムとして実現され得るだけでなく、かかる特徴的な処理のステップをコンピュータに実行させるためのプログラムとして実現され得る。また、本開示の一態様は、車載通信システムの一部または全部を実現する半導体集積回路として実現され得る。

【0012】

本開示の一態様は、このような特徴的な処理部を備えるデータ取得装置として実現され得るだけでなく、かかる特徴的な処理をステップとする方法として実現され得たり、かかるステップをコンピュータに実行させるためのプログラムとして実現され得る。また、本開示の一態様は、データ取得装置の一部または全部を実現する半導体集積回路として実現され得る。

【0013】

本開示の一態様は、このような特徴的な処理部を備える管理装置として実現され得るだけでなく、かかる特徴的な処理をステップとする方法として実現され得たり、かかるステップをコンピュータに実行させるためのプログラムとして実現され得る。また、本開示の一態様は、管理装置の一部または全部を実現する半導体集積回路として実現され得る。

【図面の簡単な説明】

【0014】

【図1】図１は、本発明の第１の実施の形態に係る車載通信システムの構成の一例を示す図である。

【図2】図２は、本発明の第１の実施の形態に係る車載通信システムの一部の構成の一例を示す図である。

【図3】図３は、本発明の第１の実施の形態に係るデータ取得装置の構成の一例を示す図である。

【図4】図４は、本発明の第１の実施の形態に係る車載通信システムにおける管理装置の構成の一例を示す図である。

【図5】図５は、本発明の第１の実施の形態に係る車載通信システムにおけるセンサ情報の一例を示す図である。

【図6】図６は、本発明の第１の実施の形態に係る車載通信システムにおける制御情報の一例を示す図である。

【図7】図７は、本発明の第１の実施の形態に係る車載通信システムにおけるセンサ情報における角速度と制御情報におけるモータ速度との関係の一例を示す図である。

【図8】図８は、本発明の第１の実施の形態に係る車載通信システムにおけるセンサ情報における角速度フィールドの値に基づく駆動量と制御情報における駆動量の関係の一例を示す図である。

【図9】図９は、本発明の第１の実施の形態に係る車載通信システムの一部の構成の他の例を示す図である。

【図10】図１０は、本発明の第１の実施の形態に係るデータ取得装置の構成の他の例を示す図である。

【図11】図１１は、本発明の第１の実施の形態に係る車載通信システムにおける異常検知および異常に対する処理のシーケンスの一例を示す図である。

【図12】図１２は、本発明の第１の実施の形態に係る車載通信システムの変形例１における一部の構成を示す図である。

【図13】図１３は、本発明の第１の実施の形態に係る車載通信システムの変形例１におけるデータ取得装置の構成の一例を示す図である。

【図14】図１４は、本発明の第１の実施の形態に係る車載通信システムの変形例１における異常検知および異常に対する処理のシーケンスを示す図である。

【図15】図１５は、本発明の第１の実施の形態に係る車載通信システムの変形例２の構成を示す図である。

【図16】図１６は、本発明の第２の実施の形態に係る車載通信システムの構成の一例を示す図である。

【図17】図１７は、本発明の第２の実施の形態に係る車載通信システムの一部の構成の一例を示す図である。

【図18】図１８は、本発明の第２の実施の形態に係るデータ取得装置の構成の一例を示す図である。

【図19】図１９は、本発明の第２の実施の形態に係る車載通信システムにおける異常検知および異常に対する処理のシーケンスの一例を示す図である。

【発明を実施するための形態】

【0015】

従来、車載ネットワークにおける不正な通信を検知する車載ネットワークシステムが開発されている。

【0016】

［本開示が解決しようとする課題］
特許文献１および特許文献２に記載の技術を超えて、セキュリティ性をより向上させた車載ネットワークを構築可能な技術が望まれる。

【0017】

本開示は、上述の課題を解決するためになされたもので、その目的は、セキュリティ性をより向上させた車載ネットワークを構築することが可能な車載通信システム、データ取得装置、管理装置および監視方法を提供することである。

【0018】

［本開示の効果］
本開示によれば、セキュリティ性をより向上させた車載ネットワークを構築することができる。

【0019】

［本願発明の実施形態の説明］
最初に、本発明の実施形態の内容を列記して説明する。

【0020】

（１）本発明の実施の形態に係る車載通信システムは、車両に搭載される車載通信システムであって、前記車両における制御ネットワークに接続される複数の機能部と、前記車両におけるセキュリティネットワークに接続される管理装置とを備え、前記制御ネットワークから前記セキュリティネットワークへの通信が一部制限されており、前記車載通信システムは、さらに、前記制御ネットワークにおいて伝送されるデータを取得して前記管理装置へ送信するデータ取得装置を備え、前記管理装置は、前記データ取得装置から受信した前記データに基づいて、前記制御ネットワークに関する異常を検知する。

【0021】

このように、機能部間の情報伝送用の制御ネットワークおよび監視用のセキュリティネットワークを分離して通信を制限する構成により、制御ネットワークにおける異常の影響が抑えられるセキュリティネットワークを用いて、セキュリティ性を向上しながら車両における異常を検知することができる。したがって、セキュリティ性をより向上させた車載ネットワークを構築することができる。

【0022】

（２）好ましくは、前記データ取得装置は、前記管理装置によって異常が検知された場合、前記制御ネットワークに関する制御を行う。

【0023】

このような構成により、たとえば、不正なデータが制御ネットワークにおいて伝送されることを防ぐことができるため、異常の影響を抑えることができる。

【0024】

（３）より好ましくは、前記データ取得装置は、前記管理装置によって異常が検知された場合、前記機能部を前記制御ネットワークから切り離す制御を行う。

【0025】

このような構成により、不正なデータの伝送経路を遮断することができる。たとえば、異常が検知された機能部からの不正なデータが制御ネットワークにおいて伝送されることを防いだり、正常な機能部が不正なデータを受信することを防いだりすることができる。

【0026】

（４）より好ましくは、前記データ取得装置は、前記管理装置によって異常が検知された場合、前記制御ネットワークにおける経路を切り替える制御を行う。

【0027】

このような構成により、たとえば、検知した異常に対応する伝送経路の代わりに他の伝送経路を用いることで、車載通信システムにおいて正常な動作を継続させることができる。

【0028】

（５）好ましくは、前記管理装置は、異常を検知した場合、前記機能部を制御する。

【0029】

このような構成により、たとえば、異常が検知された機能部の動作を停止させたり、正常な機能部において、不正なデータが受信されないように当該機能部の動作を停止したりすることができるため、異常の影響を抑えることができる。

【0030】

（６）好ましくは、前記管理装置は、異常を検知した場合、前記機能部の動作を、前記車両の走行の安全サイドに向けて変更する。

【0031】

このような構成により、不正なデータの受信による機能部の誤動作を抑制し、車両の安定した走行を確保することができる。

【0032】

（７）好ましくは、前記管理装置は、異常を検知した場合、異常を通知する制御を行う。

【0033】

このような構成により、たとえば、車両の運転手において、操作不能の原因が制御ネットワークの異常によるものであることが認識可能になるため、状況を詳細に把握することできる。

【0034】

（８）本発明の実施の形態に係る車載通信システムは、車両に搭載される車載通信システムであって、前記車両における制御ネットワークに接続される複数の機能部と、前記車両におけるセキュリティネットワークに接続される管理装置と通信可能であり、前記制御ネットワークにおいて伝送されるデータを取得するデータ取得装置とを備え、前記制御ネットワークから前記セキュリティネットワークへの通信が一部制限されており、前記データ取得装置は、前記制御ネットワークにおける経路間を接続するコネクタであり、取得した前記データに基づいて、前記制御ネットワークに関する異常を検知する。

【0035】

このように、機能部間の情報伝送用の制御ネットワークおよび監視用のセキュリティネットワークを分離して通信を制限する構成により、制御ネットワークにおける異常の影響が抑えられるセキュリティネットワークを用いて、セキュリティ性を向上しながら車両における異常を検知することができる。また、データ取得装置を、たとえば既存の機能部を備える車載通信システム等に容易に後付けすることができ、また、機能部を簡易化することができる。したがって、セキュリティ性をより向上させた車載ネットワークを構築することができる。

【0036】

（９）本発明の実施の形態に係るデータ取得装置は、車両に搭載され、複数の機能部が制御ネットワークに接続され、管理装置がセキュリティネットワークに接続される車載通信システムにおけるデータ取得装置であって、前記制御ネットワークから前記セキュリティネットワークへの通信が一部制限されており、前記制御ネットワークにおいて伝送されるデータを取得する取得部と、前記取得部によって取得された前記データを前記管理装置へ送信する送信部とを備える。

【0037】

【0038】

（１０）好ましくは、前記データ取得装置は、前記制御ネットワークにおける経路間を接続するコネクタである。

【0039】

このような構成により、データ取得装置を、たとえば既存の機能部を備える車載通信システム等に容易に後付けすることができ、また、機能部を簡易化することができる。

【0040】

（１１）好ましくは、前記データ取得装置は、前記機能部に含まれる。

【0041】

このような構成により、車載通信システムの構成を簡易化することができる。

【0042】

（１２）本発明の実施の形態に係る管理装置は、車両に搭載され、セキュリティネットワークに接続され、前記車両において、複数の機能部が制御ネットワークに接続され、前記制御ネットワークから前記セキュリティネットワークへの通信が一部制限される車載通信システムにおける管理装置であって、前記制御ネットワークにおいて伝送されるデータを取得する通信部と、前記通信部によって取得された前記データに基づいて、前記制御ネットワークに関する異常を検知する処理部とを備える。

【0043】

このように、機能部間の情報伝送用の制御ネットワークおよび監視用のセキュリティネットワークを分離して通信を制限する構成により、制御ネットワークにおける異常の影響が抑えられるセキュリティネットワークを用いて、セキュリティ性を向上しながら車両における異常を検知することができる。また、種々の異常を１つの装置において一括して検知することができる。したがって、セキュリティ性をより向上させた車載ネットワークを構築することができる。

【0044】

（１３）本発明の実施の形態に係る監視方法は、車両に搭載され、前記車両における制御ネットワークに接続される複数の機能部と、前記車両におけるセキュリティネットワークに接続される管理装置とを備える車載通信システムにおける監視方法であって、前記制御ネットワークから前記セキュリティネットワークへの通信が一部制限されており、前記制御ネットワークにおいて伝送されるデータを取得するステップと、取得したデータを前記管理装置へ送信するステップと、前記管理装置が、受信した前記データに基づいて、前記制御ネットワークに関する異常を検知するステップとを含む。

【0045】

【0046】

（１４）本発明の実施の形態に係る監視方法は、車両に搭載され、前記車両における制御ネットワークに接続される複数の機能部と、前記車両におけるセキュリティネットワークに接続される管理装置と通信可能なデータ取得装置とを備える車載通信システムにおける監視方法であって、前記制御ネットワークから前記セキュリティネットワークへの通信が一部制限されており、前記データ取得装置は、前記制御ネットワークにおける経路間を接続するコネクタであり、前記データ取得装置が、前記制御ネットワークにおいて伝送されるデータを取得するステップと、前記データ取得装置が、取得した前記データに基づいて、前記制御ネットワークに関する異常を検知するステップとを含む。

【0047】

【0048】

以下、本発明の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。また、以下に記載する実施の形態の少なくとも一部を任意に組み合わせてもよい。

【0049】

＜第１の実施の形態＞
［構成および基本動作］
図１は、本発明の第１の実施の形態に係る車載通信システムの構成の一例を示す図である。

【0050】

図１を参照して、車載通信システム３０１は、複数の機能部１１１と、管理装置１２１と、複数のデータ取得装置１３１とを備える。複数の機能部１１１は、一例として、セントラルゲートウェイ１０１およびＴＣＵ（ＴｅｌｅｍａｔｉｃｓＣｏｍｍｕｎｉｃａｔｉｏｎＵｎｉｔ）を含む。

【0051】

車載通信システム３０１は、車両１に搭載される。セントラルゲートウェイ１０１以外の複数の機能部１１１は、たとえば、ＣＡＮ（ＣｏｎｔｒｏｌｌｅｒＡｒｅａＮｅｔｗｏｒｋ）（登録商標）の規格に従うＣＡＮバス、またはイーサネット（登録商標）ケーブル等の制御ネットワーク１０を介して、セントラルゲートウェイ１０１と接続されている。

【0052】

また、機能部１１１は、たとえば、自動運転ＥＣＵ（ＥｌｅｃｔｒｏｎｉｃＣｏｎｔｒｏｌＵｎｉｔ）、運転支援装置およびセンサ等であり、セントラルゲートウェイ１０１を介して他の機能部１１１と通信を行うことが可能である。

【0053】

セントラルゲートウェイ１０１は、たとえば、異なる制御ネットワーク１０にそれぞれ接続されたセントラルゲートウェイ１０１以外の機能部１１１間における情報の中継処理を行う。

【0054】

セントラルゲートウェイ１０１および機能部１１１は、制御ネットワーク１０を介して互いに通信する。セントラルゲートウェイ１０１および機能部１１１間では、たとえば、各種機能部１１１を制御するための制御情報等のやり取りが行われる。

【0055】

また、データ取得装置１３１は、セントラルゲートウェイ１０１以外の各機能部１１１間、またはセントラルゲートウェイ１０１および他の機能部１１１間に接続されている。

【0056】

管理装置１２１は、セキュリティネットワーク２０を介して各データ取得装置１３１と接続されている。

【0057】

制御ネットワーク１０からセキュリティネットワーク２０への通信は、一部制限されている。すなわち、機能部１１１は、自己の作成したデータを制御ネットワーク１０を介して他の機能部１１１へ送信できる一方で、セキュリティネットワーク２０を介して管理装置１２１へ送信することができない。

【0058】

データ取得装置１３１は、制御ネットワーク１０において伝送されるデータを取得して管理装置１２１へ送信する。

【0059】

図２は、本発明の第１の実施の形態に係る車載通信システムの一部の構成の一例を示す図である。図２は、車両１のステアリングの操作を補助するパワーステアリングの機能を示している。

【0060】

図２を参照して、機能部１１１の一例である、舵角センサ１１１Ａ、制御ユニット１１１Ｂおよびセントラルゲートウェイ１０１は、制御ネットワーク１０を介して互いに接続されている。

【0061】

また、機能部１１１の一例である、セントラルゲートウェイ１０１および駆動ユニット１１１Ｃは、制御ネットワーク１０を介して互いに接続されている。駆動ユニット１１１Ｃは、ステアリングの操作をアシストするためのモータ１５１を有する。

【0062】

また、データ取得装置１３１Ａは、舵角センサ１１１Ａおよび制御ユニット１１１Ｂ間に接続されている。データ取得装置１３１Ｂは、制御ユニット１１１Ｂおよびセントラルゲートウェイ１０１間に接続されている。データ取得装置１３１Ｃは、セントラルゲートウェイ１０１および駆動ユニット１１１Ｃ間に接続されている。

【0063】

舵角センサ１１１Ａは、たとえば、ステアリングの操作における操舵角の角速度およびステアリング操作の方向等を検知し、検知した角速度および方向を示すセンサ情報をデータ取得装置１３１Ａを介して制御ユニット１１１Ｂへ送信する。

【0064】

制御ユニット１１１Ｂは、たとえば、データ取得装置１３１Ａを介して舵角センサ１１１Ａから受信したセンサ情報に基づいて、パワーステリングのアシスト量を算出し、算出したアシスト量に基づいて、モータ１５１の回転を制御するための方向、モータ速度および駆動量を含む制御情報を作成する。

【0065】

そして、制御ユニット１１１Ｂは、作成した制御情報をデータ取得装置１３１Ｂ、セントラルゲートウェイ１０１およびデータ取得装置１３１Ｃを介して駆動ユニット１１１Ｃへ送信する。

【0066】

駆動ユニット１１１Ｃは、たとえば、データ取得装置１３１Ｂ、セントラルゲートウェイ１０１およびデータ取得装置１３１Ｃを介して制御ユニット１１１Ｂから受信した制御情報に基づいて、自己が有するモータ１５１の回転を制御する。

【0067】

図３は、本発明の第１の実施の形態に係るデータ取得装置の構成の一例を示す図である。

【0068】

図３を参照して、データ取得装置１３１は、たとえば、制御ネットワーク１０における経路間を接続するコネクタである。

【0069】

より詳細には、データ取得装置１３１は、取得部３１と、送信部３２と、受信部３３と、スイッチ３４とを備える。取得部３１は、処理部３５を含む。取得部３１、送信部３２、受信部３３およびスイッチ３４は、たとえば、基板１４１に実装される。

【0070】

基板１４１は、制御ネットワーク１０として用いられるワイヤハーネス２１，２２を介して各機能部１１１またはセントラルゲートウェイ１０１と接続され、セキュリティネットワーク２０として用いられるワイヤハーネス２３を介して管理装置１２１と接続される。

【0071】

図２および図３を参照して、データ取得装置１３１Ａにおける取得部３１は、制御ネットワーク１０において伝送されるセンサ情報を取得する。

【0072】

具体的には、舵角センサ１１１Ａから送信されたセンサ情報は、データ取得装置１３１Ａにおいて、ワイヤハーネス２１、スイッチ３４およびワイヤハーネス２２経由で制御ユニット１１１Ｂへ伝送される。

【0073】

データ取得装置１３１Ａにおけるスイッチ３４は、ワイヤハーネス２１とワイヤハーネス２２との間に接続されている。

【0074】

スイッチ３４は、処理部３５の制御に従い、ワイヤハーネス２１とワイヤハーネス２２とを接続するか否かを切り替える。

【0075】

処理部３５は、通常状態において、スイッチ３４をオンしてワイヤハーネス２１とワイヤハーネス２２とを接続する。これにより、ワイヤハーネス２１からのセンサ情報がワイヤハーネス２２へ伝送される。

【0076】

データ取得装置１３１Ａにおける取得部３１は、たとえば、データ取得装置１３１Ａにおいて伝送されるセンサ情報をワイヤハーネス２１およびスイッチ３４間において取得し、取得したセンサ情報を送信部３２へ出力する。

【0077】

また、データ取得装置１３１Ｂにおける取得部３１は、制御ネットワーク１０において伝送される制御情報を取得する。

【0078】

具体的には、制御ユニット１１１Ｂから送信された制御情報は、データ取得装置１３１Ｂにおいて、ワイヤハーネス２１、スイッチ３４およびワイヤハーネス２２経由でセントラルゲートウェイ１０１へ伝送される。

【0079】

データ取得装置１３１Ｂおけるスイッチ３４は、ワイヤハーネス２１とワイヤハーネス２２との間に接続されている。

【0080】

スイッチ３４は、処理部３５の制御に従い、ワイヤハーネス２１とワイヤハーネス２２とを接続するか否かを切り替える。

【0081】

処理部３５は、通常状態において、スイッチ３４をオンしてワイヤハーネス２１とワイヤハーネス２２とを接続する。これにより、ワイヤハーネス２１からの制御情報がワイヤハーネス２２へ伝送される。

【0082】

データ取得装置１３１Ｂにおける取得部３１は、たとえば、データ取得装置１３１Ｂにおいて伝送される制御情報をワイヤハーネス２１およびスイッチ３４間において取得し、取得した制御情報を送信部３２へ出力する。

【0083】

送信部３２は、取得部３１によって取得されたデータを管理装置１２１へ送信する。

【0084】

より詳細には、データ取得装置１３１Ａにおける送信部３２は、取得部３１から受けたセンサ情報を、セキュリティネットワーク２０として用いられるワイヤハーネス２３経由で管理装置１２１へ送信する。

【0085】

データ取得装置１３１Ｂにおける送信部３２は、取得部３１から受けた制御情報をワイヤハーネス２３を介して管理装置１２１へ送信する。

【0086】

また、データ取得装置１３１Ｃは、セントラルゲートウェイ１０１経由で駆動ユニット１１１Ｃへ伝送される制御情報を取得し、取得した制御情報を管理装置１２１へ送信する。

【0087】

管理装置１２１は、データ取得装置１３１から受信したデータに基づいて、制御ネットワーク１０に関する異常を検知する。

【0088】

より詳細には、管理装置１２１は、たとえば、データ取得装置１３１Ａから送信されたセンサ情報、およびデータ取得装置１３１Ｂから送信された制御情報を受信し、受信した各情報に基づいて、舵角センサ１１１Ａ、制御ユニット１１１Ｂおよび駆動ユニット１１１Ｃの異常を検知する。

【0089】

図４は、本発明の第１の実施の形態に係る車載通信システムにおける管理装置の構成の一例を示す図である。

【0090】

図４を参照して、管理装置１２１は、通信部４１と、記憶部４２と、処理部４３とを備える。

【0091】

［異常検知例１］
通信部４１は、制御ネットワークにおいて伝送されるデータを取得する。

【0092】

より詳細には、通信部４１は、データ取得装置１３１Ａから送信されたセンサ情報を受信し、受信したセンサ情報を記憶部４２に保存する。また、通信部４１は、データ取得装置１３１Ｂから送信された制御情報を受信し、受信した制御情報を記憶部４２に保存する。

【0093】

図５は、本発明の第１の実施の形態に係る車載通信システムにおけるセンサ情報の一例を示す図である。

【0094】

図５を参照して、センサ情報は、先頭から順に、方向フィールドと、角速度フィールドとで構成される。

【0095】

方向フィールドには、舵角センサ１１１Ａが検知した操舵角の方向を示す値が格納される。また、角速度フィールドには、舵角センサ１１１Ａが検知した操舵角の角速度を示す値が格納される。

【0096】

図６は、本発明の第１の実施の形態に係る車載通信システムにおける制御情報の一例を示す図である。

【0097】

図６を参照して、制御情報は、先頭から順に、ヘッダと、方向フィールドと、モータ速度フィールドと、駆動量フィールドと、デリミタとで構成される。

【0098】

方向フィールド、モータ速度フィールドおよび駆動量フィールドには、それぞれ、制御ユニット１１１Ｂによって設定された方向、モータ速度および駆動量を示す値が格納される。

【0099】

処理部４３は、通信部４１によって取得されたデータに基づいて、制御ネットワーク１０に関する異常を検知する。

【0100】

より詳細には、処理部４３は、たとえば、記憶部４２に保存した、センサ情報における方向フィールドの値と、制御情報における方向フィールドの値とを比較することにより、操舵角の方向とアシストの方向とが一致しているか否かを判定する。

【0101】

そして、処理部４３は、操舵角の方向とアシストの方向とが不一致であると判定した場合、制御ユニット１１１Ｂの異常を示す異常通知を作成し、作成した異常通知を制御情報の取得元であるデータ取得装置１３１Ｂへ通信部４１およびセキュリティネットワーク２０を介して送信する。

【0102】

図７は、本発明の第１の実施の形態に係る車載通信システムにおけるセンサ情報における角速度と制御情報におけるモータ速度との関係の一例を示す図である。図７において、横軸はセンサ情報における角速度を示し、縦軸は制御情報におけるモータ速度を示す。

【0103】

図７を参照して、センサ情報における角速度と制御情報におけるモータ速度との関係は、比例関係である。

【0104】

処理部４３は、たとえば、制御情報におけるモータ速度フィールドの値が、センサ情報における角速度フィールドの値に対して、図７に示す上限Ｌ１および下限Ｌ２の範囲に含まれない場合、制御ユニット１１１Ｂが異常であると判定する。

【0105】

そして、処理部４３は、制御ユニット１１１Ｂの異常を示す異常通知を作成し、作成した異常通知を制御情報の取得元であるデータ取得装置１３１Ｂへ通信部４１およびセキュリティネットワーク２０を介して送信する。

【0106】

図８は、本発明の第１の実施の形態に係る車載通信システムにおけるセンサ情報における角速度フィールドの値に基づく駆動量と制御情報における駆動量の関係の一例を示す図である。図８において、横軸はセンサ情報における角速度フィールドの値に基づく駆動量を示し、縦軸は制御情報における駆動量を示す。

【0107】

図８を参照して、センサ情報における角速度フィールドの値に基づく駆動量、具体的には角速度フィールドの値に単位時間すなわち所定時間を乗算した値と制御情報における駆動量との関係は、比例関係である。

【0108】

処理部４３は、たとえば、制御情報における駆動量フィールドの値が、センサ情報における角速度フィールドの値に単位時間すなわち所定時間を乗算した値に対して、図８に示す上限Ｌ３および下限Ｌ４の範囲に含まれない場合、制御ユニット１１１Ｂが異常であると判定する。

【0109】

そして、処理部４３は、判定結果に基づいて、制御ユニット１１１Ｂの異常を示す異常通知を作成し、作成した異常通知を制御情報の取得元であるデータ取得装置１３１Ｂへ通信部４１およびセキュリティネットワーク２０を介して送信する。

【0110】

［異常検知例２］
処理部４３は、たとえば、所定時間の間に、通信部４１を介して受信したデータ取得装置１３１Ｂからの制御情報の数をカウントする。

【0111】

制御ユニット１１１Ｂから送信される制御情報の数は、たとえば、制御ユニット１１１Ｂが乗っ取られたり、制御ユニット１１１Ｂが不正な機能部に交換されたりすることにより、大量の不正なデータを送信するＤＯＳ攻撃（ＤｅｎｉａｌｏｆＳｅｒｖｉｃｅａｔｔａｃｋ）を行うように制御された場合には、非常に大きくなる。

【0112】

処理部４３は、たとえば、カウント値が所定の閾値以上である場合、制御ユニット１１１Ｂが異常であると判定する。

【0113】

【0114】

たとえば、データ取得装置１３１Ｂは、管理装置１２１によって異常が検知された場合、制御ネットワーク１０に関する制御を行う。

【0115】

より詳細には、データ取得装置１３１Ｂにおける受信部３３は、管理装置１２１から送信された異常通知をワイヤハーネス２３を介して受信し、受信した異常通知を取得部３１における処理部３５へ出力する。

【0116】

［制御例１］
処理部３５は、受信部３３から受けた異常通知に従ってスイッチ３４をオフすることにより、たとえば異常通知の示す機能部１１１である制御ユニット１１１Ｂを制御ネットワーク１０から切り離す制御を行う。

【0117】

より詳細には、処理部３５は、スイッチ３４をオフすることにより、制御ユニット１１１Ｂからの制御情報を駆動ユニット１１１Ｃへ伝送する経路をデータ取得装置１３１Ｂにおいて遮断する。

【0118】

これにより、駆動ユニット１１１Ｃへ制御情報が伝送されなくなるため、車両１においてパワーステアリングの使用は不可能となる。しかしながら、車両１の運転手は、ステアリングの操作自体は可能であるため、車両１の運転を継続することができる。

【0119】

［制御例２］
処理部３５は、受信部３３から受けた異常通知に従って、たとえば、制御ネットワーク１０における経路を切り替える制御を行う構成であってもよい。

【0120】

図９は、本発明の第１の実施の形態に係る車載通信システムの一部の構成の他の例を示す図である。

【0121】

図９に示す車載通信システム３０１は、図２に示す車載通信システム３０１と比べて、さらに、予備系の制御ユニット１１１Ｄを備え、データ取得装置１３１Ｃの代わりにデータ取得装置１３１であるデータ取得装置１３１Ｄを備える。

【0122】

制御ユニット１１１Ｄは、たとえば、管理装置１２１から送信された制御ユニット１１１Ｂの異常を示す異常通知を受信して動作を開始する。

【0123】

より詳細には、制御ユニット１１１Ｄは、たとえば、管理装置１２１から送信された制御ユニット１１１Ｂの異常を示す異常通知を受信して、舵角センサ１１１Ａから受信したセンサ情報に基づいて、パワーステリングのアシスト量を算出し、算出したアシスト量に基づいて、モータ１５１の回転を制御するための方向、モータ速度および駆動量を含む制御情報を作成する。

【0124】

そして、制御ユニット１１１Ｄは、作成した制御情報をデータ取得装置１３１Ｄを介して駆動ユニット１１１Ｃへ送信する。

【0125】

図１０は、本発明の第１の実施の形態に係るデータ取得装置の構成の他の例を示す図である。

【0126】

図１０を参照して、データ取得装置１３１Ｄは、図３に示すデータ取得装置１３１と比べて、さらに、ワイヤハーネス２４を介して制御ユニット１１１Ｄと接続され、スイッチ３４の代わりにスイッチ３６を備える。

【0127】

データ取得装置１３１Ｄにおけるスイッチ３６は、ワイヤハーネス２１とワイヤハーネス２２との間およびワイヤハーネス２１とワイヤハーネス２４との間に接続されている。

【0128】

スイッチ３６は、処理部３５の制御に従い、ワイヤハーネス２２をワイヤハーネス２１に接続するかワイヤハーネス２４に接続するかを切り替える。

【0129】

処理部３５は、通常状態において、ワイヤハーネス２２の接続先がワイヤハーネス２１となるようにスイッチ３６を制御する。

【0130】

これにより、通常状態において、ワイヤハーネス２１からの制御情報がワイヤハーネス２２へ伝送される。すなわち、制御ユニット１１１Ｂから送信された制御情報がデータ取得装置１３１Ｂ、セントラルゲートウェイ１０１、ワイヤハーネス２１、スイッチ３６およびワイヤハーネス２２経由で駆動ユニット１１１Ｃへ伝送される。

【0131】

処理部３５は、受信部３３から受けた異常通知に従って、ワイヤハーネス２２の接続先がワイヤハーネス２４となるようにスイッチ３６を制御する。これにより、制御ユニット１１１Ｄから送信された制御情報がワイヤハーネス２４、スイッチ３６およびワイヤハーネス２２経由で駆動ユニット１１１Ｃへ伝送される。

【0132】

なお、舵角センサ１１１Ａおよび制御ユニット１１１Ｄ間にデータ取得装置１３１が接続されてもよい。

【0133】

また、データ取得装置１３１は、スイッチ３４またはスイッチ３６の代わりにリレーを含む構成であってもよい。この場合、処理部３５は、受信部３３から受けた異常通知に従ってリレーを制御する。

【0134】

また、データ取得装置１３１は、スイッチ３４またはスイッチ３６を含まない構成であってもよい。この場合、車載通信システム３０１は、たとえば、各データ取得装置１３１におけるスイッチ３４またはスイッチ３６に相当する複数のスイッチを含むジャンクションボックスを備える。各データ取得装置１３１は、ジャンクションボックスにおける各スイッチを制御することにより、制御ネットワーク１０に関する制御を行う。また、ジャンクションボックスは、管理装置１２１を含む構成であってもよい。

【0135】

また、管理装置１２１は、たとえば、異常を検知した場合、搭乗者等に異常を通知する制御を行う。

【0136】

より詳細には、管理装置１２１における処理部４３は、作成した異常通知を、たとえば、車両１のダッシュボードにおける画面等に表示させる機能を有する機能部１１１である、表示制御装置へ、通信部４１およびセキュリティネットワーク２０を介して送信する。

【0137】

表示制御装置は、管理装置１２１から送信された異常通知を受信し、受信した異常通知に従って、搭乗者等に異常を通知する画面を、車両１のダッシュボードにおけるディスプレイ等に表示する処理を行う。

【0138】

また、処理部４３は、作成した上記異常通知を、たとえば、車両１の外部におけるサーバ等と無線通信を行うことが可能な機能部１１１である、ＴＣＵ等の車外通信装置へ通信部４１を介して送信する。

【0139】

車外通信装置は、管理装置１２１から送信された異常通知を受信し、受信した異常通知を、たとえば、ＬＴＥ（ＬｏｎｇＴｅｒｍＥｖｏｌｕｔｉｏｎ）または３Ｇ等の通信規格に従う無線信号に含めて、無線基地局装置経由でセキュリティオペレーションセンターに設置されているサーバ等へ送信する。

【0140】

これにより、たとえば、セキュリティオペレーションセンターにおいて、異常通知の示す異常内容を可視化し、オペレータが異常に対処することができる。

【0141】

［動作の流れ］
車載通信システムにおける各装置は、メモリを含むコンピュータを備え、当該コンピュータにおけるＣＰＵ等の演算処理部は、以下のシーケンス図またはフローチャートの各ステップの一部または全部を含むプログラムを当該メモリからそれぞれ読み出して実行する。これら複数の装置のプログラムは、それぞれ、外部からインストールすることができる。これら複数の装置のプログラムは、それぞれ、記録媒体に格納された状態で流通する。

【0142】

図１１は、本発明の第１の実施の形態に係る車載通信システムにおける異常検知および異常に対する処理のシーケンスの一例を示す図である。図１１は、１つの管理装置１２１および１つのデータ取得装置１３１の動作を代表的に示す。

【0143】

図１１を参照して、まず、データ取得装置１３１は、制御ネットワーク１０において伝送される、センサ情報および制御情報等のデータを取得する（ステップＳ１０１）。

【0144】

次に、データ取得装置１３１は、取得したデータを管理装置１２１へ送信する（ステップＳ１０２）。

【0145】

次に、管理装置１２１は、データ取得装置１３１から送信されたデータを受信し、受信したデータに基づいて、制御ネットワーク１０に関する異常を検知する（ステップＳ１０３）。

【0146】

次に、管理装置１２１は、制御ネットワーク１０に関する異常を検知した場合、異常を示す異常通知を作成し、作成した異常通知をデータ取得装置１３１へ送信する（ステップＳ１０４）。

【0147】

次に、データ取得装置１３１は、管理装置１２１から送信された異常通知を受信し、受信した異常通知に従って、異常が検知された機能部１１１を制御ネットワーク１０から切り離す制御、および制御ネットワーク１０における経路を切り替える制御等の制御ネットワーク１０に関する制御を行う（ステップＳ１０５）。

【0148】

［変形例１］
図１２は、本発明の第１の実施の形態に係る車載通信システムの変形例１における一部の構成を示す図である。

【0149】

図１２を参照して、車載通信システム３０１の変形例１は、図２に示す車載通信システム３０１と比べて、データ取得装置１３１Ａ，１３１Ｂ，１３１Ｃの代わりに、それぞれデータ取得装置１３１であるデータ取得装置１３１Ｅ，１３１Ｆ，１３１Ｇを備える。以下、データ取得装置１３１Ｅ，１３１Ｆ，１３１Ｇの各々を、データ取得装置１３１とも称する。

【0150】

管理装置１２１は、異常を検知した場合、データ取得装置１３１を介して機能部１１１を制御する。

【0151】

たとえば、管理装置１２１は、異常を検知した場合、機能部１１１の動作を、車両１の走行の安全サイドに向けて変更する。

【0152】

より詳細には、管理装置１２１は、たとえば、機能部１１１の異常を検知した場合、当該異常が検知された機能部１１１に対応する他の機能部１１１の制御を行う。

【0153】

具体的には、管理装置１２１は、たとえば、制御ユニット１１１Ｂの異常を検知した場合、制御ユニット１１１Ｂからの制御情報を受信する駆動ユニット１１１Ｃへの電力の供給を停止させる制御を行う。

【0154】

図１３は、本発明の第１の実施の形態に係る車載通信システムの変形例１におけるデータ取得装置の構成の一例を示す図である。

【0155】

図１３を参照して、データ取得装置１３１Ｇは、図３に示すデータ取得装置１３１と比べて、さらに、スイッチ３７を含む。

【0156】

データ取得装置１３１Ｇでは、たとえば、図示しない電源ユニットから専用のケーブルを介して電力が供給される。電源ユニットからの電力は、ワイヤハーネス２１～２３のいずれかを介してデータ取得装置１３１へ供給されてもよい。

【0157】

スイッチ３７は、電源ユニットからの電力が供給されるコネクタＣＮとワイヤハーネス２２との間に接続されている。

【0158】

データ取得装置１３１Ｇは、たとえば、図示しない電源ユニットからの電力をスイッチ３７およびワイヤハーネス２２経由で、または、スイッチ３７およびワイヤハーネス２２と異なるケーブル経由で機能部１１１へ供給する。

【0159】

図１２および図１３を参照して、管理装置１２１は、たとえば、データ取得装置１３１におけるスイッチ３７を制御することにより、機能部１１１へ電源を供給するかを否かを切り替える。

【0160】

より詳細には、スイッチ３７は、管理装置１２１の制御に従い、コネクタＣＮとワイヤハーネス２２とを接続するか否かを切り替える。

【0161】

処理部３５は、通常状態において、スイッチ３７をオンしてコネクタＣＮとワイヤハーネス２２とを接続する。これにより、電源ユニットからの電力がワイヤハーネス２２へ伝送される。

【0162】

具体的には、管理装置１２１における処理部４３は、たとえば、制御ユニット１１１Ｂの異常を検知した場合、データ取得装置１３１Ｇにおけるスイッチ３７を切り替えるための切り替え指示を作成し、作成した切り替え指示を通信部４１およびワイヤハーネス２３を介してデータ取得装置１３１Ｇにおけるスイッチ３７へ送信することにより、データ取得装置１３１Ｇにおけるスイッチ３７をオフする。

【0163】

なお、処理部４３は、たとえば、ワイヤハーネス２３と異なるケーブル経由で切り替え指示をデータ取得装置１３１Ｇにおけるスイッチ３７へ送信してもよい。

【0164】

これにより、駆動ユニット１１１Ｃにおけるモータ１５１への電力の供給が停止されて不正な制御情報の影響を除去することができるため、たとえば、不正な制御情報による駆動ユニット１１１Ｃの誤動作を防ぎ、車両１の走行を安全サイドに向けることができる。車両１においてパワーステアリングの使用は不可能となる。しかしながら、車両１の運転手は、ステアリングの操作自体は可能であるため、車両１の運転を継続することができる。

【0165】

なお、管理装置１２１は、機能部１１１の異常を検知した場合、当該異常が検知された機能部１１１に対応する他の機能部１１１を制御する構成に限らず、異常が検知された機能部１１１を制御する構成であってもよい。

【0166】

具体的には、管理装置１２１は、たとえば、制御ユニット１１１Ｂの異常を検知した場合、制御ユニット１１１Ｂを制御してもよい。

【0167】

図１４は、本発明の第１の実施の形態に係る車載通信システムの変形例１における異常検知および異常に対する処理のシーケンスを示す図である。図１４は、１つの管理装置１２１および１つのデータ取得装置１３１の動作を代表的に示す。

【0168】

図１４を参照して、まず、データ取得装置１３１は、制御ネットワーク１０において伝送されるセンサ情報および制御情報等のデータを取得する（ステップＳ２０１）。

【0169】

次に、データ取得装置１３１は、取得したデータを管理装置１２１へ送信する（ステップＳ２０２）。

【0170】

次に、管理装置１２１は、データ取得装置１３１から送信されたデータを受信し、受信したデータに基づいて、制御ネットワーク１０に関する異常を検知する（ステップＳ２０３）。

【0171】

次に、管理装置１２１は、制御ネットワーク１０に関する異常を検知した場合、当該異常に対応する機能部１１１を制御するための切り替え指示を作成し、作成した切り替え指示をデータ取得装置１３１へ送信することにより当該機能部１１１を制御する（ステップＳ２０４）。

【0172】

［変形例２］
管理装置１２１は、データ取得装置１３１を介して機能部１１１を制御する構成に限らず、機能部１１１を直接制御する構成であってもよい。

【0173】

図１５は、本発明の第１の実施の形態に係る車載通信システムの変形例２の構成を示す図である。

【0174】

図１５を参照して、車載通信システム３０１の変形例２は、セントラルゲートウェイ１０１と、複数の機能部１１１と、管理装置１２１と、複数のデータ取得装置１３１とを備える。

【0175】

セントラルゲートウェイ１０１および機能部１１１は、たとえば、制御ネットワーク１０を介して互いに接続されている。

【0176】

また、管理装置１２１は、セキュリティネットワーク２０を介して、セントラルゲートウェイ１０１、各機能部１１１および各データ取得装置１３１と接続されている。

【0177】

機能部１１１は、たとえば、データ取得装置１３１におけるスイッチ３７に相当する図示しないスイッチを含む。

【0178】

管理装置１２１は、各機能部１１１が有する当該スイッチを制御する。より詳細には、管理装置１２１おける処理部４３は、たとえば、機能部１１１の異常を検知した場合、切り替え指示を作成し、作成した切り替え指示を通信部４１およびセキュリティネットワーク２０を介して当該機能部１１１へ送信することにより、当該機能部１１１におけるスイッチをオフする。

【0179】

なお、本発明の第１の実施の形態に係る車載通信システムでは、管理装置１２１は、異常を検知した場合、機能部１１１の動作を、車両１の走行の安全サイドに向けて変更し、車両１の走行を継続する構成であるとしたが、これに限定するものではない。管理装置１２１は、異常を検知した場合、たとえば、機能部１１１の動作を、車両１の走行停止に向けて変更する構成であってもよい。

【0180】

また、本発明の第１の実施の形態に係る車載通信システムでは、管理装置１２１は、異常を検知した場合、搭乗者等に異常を通知する制御を行う構成であるとしたが、これに限定するものではない。管理装置１２１は、異常を検知した場合、異常を通知しない構成であってもよい。

【0181】

ところで、特許文献１および特許文献２に記載の技術を超えて、セキュリティ性をより向上させた車載ネットワークを構築する技術が望まれる。

【0182】

これに対して、本発明の第１の実施の形態に係る車載通信システムでは、複数の機能部１１１は、車両１における制御ネットワーク１０に接続される。管理装置１２１は、車両１におけるセキュリティネットワーク２０に接続される。制御ネットワーク１０からセキュリティネットワーク２０への通信は、一部制限される。データ取得装置１３１は、制御ネットワーク１０において伝送されるデータを取得して管理装置１２１へ送信する。管理装置１２１は、データ取得装置１３１から受信したデータに基づいて、制御ネットワーク１０に関する異常を検知する。

【0183】

このように、機能部１１１間の情報伝送用の制御ネットワーク１０および監視用のセキュリティネットワーク２０を分離して通信を制限する構成により、制御ネットワーク１０における異常の影響が抑えられるセキュリティネットワーク２０を用いて、セキュリティ性を向上しながら車両１における異常を検知することができる。また、管理装置１２１において異常を検知する構成により、種々の異常を１つの装置において一括して検知することができる。

【0184】

したがって、本発明の第１の実施の形態に係る車載通信システムでは、セキュリティ性をより向上させた車載ネットワークを構築することができる。

【0185】

また、本発明の第１の実施の形態に係る車載通信システムでは、データ取得装置１３１は、管理装置１２１によって異常が検知された場合、制御ネットワーク１０に関する制御を行う。

【0186】

このような構成により、たとえば、不正なデータが制御ネットワーク１０において伝送されることを防ぐことができるため、異常の影響を抑えることができる。

【0187】

また、本発明の第１の実施の形態に係る車載通信システムでは、データ取得装置１３１は、管理装置１２１によって異常が検知された場合、機能部１１１を制御ネットワーク１０から切り離す制御を行う。

【0188】

このような構成により、不正なデータの伝送経路を遮断することができる。たとえば、異常が検知された機能部１１１からの不正なデータが制御ネットワーク１０において伝送されることを防いだり、正常な機能部１１１が不正なデータを受信することを防いだりすることができる。

【0189】

また、本発明の第１の実施の形態に係る車載通信システムでは、データ取得装置１３１は、管理装置１２１によって異常が検知された場合、制御ネットワーク１０における経路を切り替える制御を行う。

【0190】

このような構成により、たとえば、検知した異常に対応する伝送経路の代わりに他の伝送経路を用いることで、車載通信システム３０１において正常な動作を継続させることができる。

【0191】

また、本発明の第１の実施の形態に係る車載通信システムでは、管理装置１２１は、異常を検知した場合、機能部１１１を制御する。

【0192】

このような構成により、たとえば、異常が検知された機能部１１１の動作を停止させたり、正常な機能部１１１において、不正なデータが受信されないように当該機能部１１１の動作を停止したりすることができるため、異常の影響を抑えることができる。

【0193】

また、本発明の第１の実施の形態に係る車載通信システムでは、管理装置１２１は、異常を検知した場合、機能部１１１の動作を、車両１の走行の安全サイドに向けて変更する。

【0194】

このような構成により、不正なデータの受信による機能部１１１の誤動作を抑制し、車両１の安定した走行を確保することができる。

【0195】

また、本発明の第１の実施の形態に係る車載通信システムでは、管理装置１２１は、異常を検知した場合、異常を通知する制御を行う。

【0196】

このような構成により、たとえば、車両１の運転手において、操作不能の原因が制御ネットワーク１０の異常によるものであることが認識可能になるため、状況を詳細に把握することできる。

【0197】

また、本発明の第１の実施の形態に係るデータ取得装置では、制御ネットワーク１０からセキュリティネットワーク２０への通信は、一部制限される。取得部３１は、制御ネットワーク１０において伝送されるデータを取得する。送信部３２は、取得部３１によって取得されたデータを管理装置１２１へ送信する。

【0198】

【0199】

したがって、本発明の第１の実施の形態に係るデータ取得装置では、セキュリティ性をより向上させた車載ネットワークを構築することができる。

【0200】

また、本発明の第１の実施の形態に係るデータ取得装置は、制御ネットワーク１０における経路間を接続するコネクタである。

【0201】

このような構成により、データ取得装置１３１を、たとえば既存の機能部１１１を備える車載通信システム等に容易に後付けすることができ、また、機能部１１１を簡易化することができる。

【0202】

また、本発明の第１の実施の形態に係る管理装置では、通信部４１は、制御ネットワーク１０において伝送されるデータを取得する。処理部４３は、通信部４１によって取得されたデータに基づいて、制御ネットワーク１０に関する異常を検知する。

【0203】

【0204】

したがって、本発明の第１の実施の形態に係る管理装置では、セキュリティ性をより向上させた車載ネットワークを構築することができる。

【0205】

また、本発明の第１の実施の形態に係る車載通信システムにおける監視方法では、まず、制御ネットワーク１０において伝送されるデータを取得する。次に、取得したデータを管理装置１２１へ送信する。次に、管理装置１２１が、受信したデータに基づいて、制御ネットワーク１０に関する異常を検知する。

【0206】

【0207】

したがって、本発明の第１の実施の形態に係る車載通信システムにおける監視方法では、セキュリティ性をより向上させた車載ネットワークを構築することができる。

【0208】

次に、本発明の他の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。

【0209】

＜第２の実施の形態＞
本実施の形態は、第１の実施の形態に係る車載通信システムと比べてデータ取得装置の設置場所が異なる車載通信システムに関する。以下で説明する内容以外は第１の実施の形態に係る車載通信システムと同様である。

【0210】

図１６は、本発明の第２の実施の形態に係る車載通信システムの構成の一例を示す図である。

【0211】

図１６を参照して、車載通信システム３０２は、複数の機能部１１１と、管理装置１２１とを備える。各機能部１１１は、データ取得装置１３２を含む。複数の機能部１１１は、一例として、セントラルゲートウェイ１０１およびＴＣＵ（ＴｅｌｅｍａｔｉｃｓＣｏｍｍｕｎｉｃａｔｉｏｎＵｎｉｔ）を含む。

【0212】

車載通信システム３０２は、車両１に搭載される。セントラルゲートウェイ１０１以外の複数の機能部１１１は、たとえば、ＣＡＮ（ＣｏｎｔｒｏｌｌｅｒＡｒｅａＮｅｔｗｏｒｋ）（登録商標）の規格に従うＣＡＮバス、またはイーサネット（登録商標）ケーブル等の制御ネットワーク１０を介して、セントラルゲートウェイ１０１と接続されている。

【0213】

管理装置１２１は、セキュリティネットワーク２０により各データ取得装置１３２と接続されている。

【0214】

図１７は、本発明の第２の実施の形態に係る車載通信システムの一部の構成の一例を示す図である。

【0215】

図１７を参照して、機能部１１１の一例である、舵角センサ１１１Ａ、制御ユニット１１１Ｂおよびセントラルゲートウェイ１０１は、制御ネットワーク１０を介して互いに接続されている。

【0216】

【0217】

また、データ取得装置１３２Ａは、舵角センサ１１１Ａに含まれる。データ取得装置１３２Ｂは、制御ユニット１１１Ｂに含まれる。データ取得装置１３２Ｃは、駆動ユニット１１１Ｃに含まれる。

【0218】

データ取得装置１３２は、制御ネットワーク１０において伝送されるデータを取得する。

【0219】

図１８は、本発明の第２の実施の形態に係るデータ取得装置の構成の一例を示す図である。

【0220】

図１７および図１８を参照して、データ取得装置１３２Ｃは、取得部５１と、送信部５２と、受信部５３と、スイッチ５４とを備える。取得部５１は、処理部５５を含む。データ取得装置１３２Ｃは、制御ネットワーク１０として用いられるワイヤハーネス２１を介して、セントラルゲートウェイ１０１と接続され、セキュリティネットワーク２０として用いられるハーネス２３を介して管理装置１２１と接続される。

【0221】

制御ユニット１１１Ｂから送信された制御情報は、セントラルゲートウェイ１０１を介して、データ取得装置１３２Ｃにおいて、ワイヤハーネス２１およびスイッチ５４経由でたとえば駆動ユニット１１１Ｃにおける図示しない処理部へ伝送される。

【0222】

データ取得装置１３２Ｃおけるスイッチ５４は、ワイヤハーネス２１と、駆動ユニット１１１Ｃにおける処理部との間に接続されている。

【0223】

スイッチ５４は、処理部５５の制御に従い、ワイヤハーネス２１と駆動ユニット１１１Ｃにおける処理部とを接続するか否かを切り替える。

【0224】

処理部５５は、通常状態において、スイッチ５４をオンしてワイヤハーネス２１と駆動ユニット１１１Ｃにおける処理部とを接続する。これにより、ワイヤハーネス２１からの制御情報が駆動ユニット１１１Ｃにおける処理部へ伝送される。

【0225】

データ取得装置１３２Ｃにおける取得部５１は、たとえば、データ取得装置１３２Ｃにおいて伝送される制御情報をワイヤハーネス２１およびスイッチ５４間において取得する。

【0226】

そして、取得部５１における処理部５５は、たとえば、所定時間の間に取得部５１が取得した制御情報の数をカウントする。

【0227】

そして、処理部５５は、取得したデータに基づいて、制御ネットワーク１０に関する異常を検知する。

【0228】

より詳細には、処理部５５は、たとえば、上記制御情報の数のカウント値が所定の閾値以上である場合、制御ユニット１１１Ｂが異常であると判定する。すなわち、処理部５５は、制御ユニット１１１Ｂの異常を検知し、検知結果を送信部５２へ出力する。

【0229】

送信部５２は、処理部５５から受けた検知結果を、ワイヤハーネス２３を介して管理装置１２１へ送信する。

【0230】

管理装置１２１は、データ取得装置１３２Ｃにおける送信部５２から送信された検知結果をワイヤハーネス２３を介して受信し、受信した検知結果に応じた処理を行う。

【0231】

より詳細には、管理装置１２１における処理部４３は、データ取得装置１３２Ｃから送信された検知結果をワイヤハーネス２３および通信部４１を介して受信する。

【0232】

処理部４３は、受信した検知結果に基づいて、たとえば、制御ユニット１１１Ｂの異常を示す異常通知を作成し、作成した異常通知を制御情報の取得元であるデータ取得装置１３２Ｃへ通信部４１およびワイヤハーネス２３を介して送信する。

【0233】

データ取得装置１３２Ｃにおける受信部５３は、管理装置１２１から送信された異常通知をワイヤハーネス２３を介して受信し、受信した異常通知を取得部５１における処理部５５へ出力する。

【0234】

処理部５５は、受信部５３から受けた異常通知に従ってスイッチ５４をオフすることにより、たとえば、異常通知の示す機能部１１１である駆動ユニット１１１Ｃを制御ネットワーク１０から切り離す制御を行う。

【0235】

より詳細には、処理部５５は、スイッチ５４をオフすることにより、制御ユニット１１１Ｂからの制御情報を駆動ユニット１１１Ｃへ伝送する経路をデータ取得装置１３２Ｃにおいて遮断する。これにより、駆動ユニット１１１Ｃにおける処理部へ制御情報が伝送されなくなる。

【0236】

図１９は、本発明の第２の実施の形態に係る車載通信システムにおける異常検知および異常に対する処理のシーケンスの一例を示す図である。図１９は、１つの管理装置１２１および１つのデータ取得装置１３２の動作を代表的に示す。

【0237】

図１９を参照して、まず、データ取得装置１３２は、制御ネットワーク１０において伝送されるデータを取得する（ステップＳ３０１）。

【0238】

次に、データ取得装置１３２は、取得したデータに基づいて、制御ネットワーク１０に関する異常を検知した場合（ステップＳ３０２）、検知結果を管理装置１２１へ送信する（ステップＳ３０３）。

【0239】

次に、管理装置１２１は、データ取得装置１３２から送信された検知結果を受信し、受信した検知結果に応じて、対応の機能部１１１の異常を示す異常通知を作成し、作成した異常通知をデータ取得装置１３２へ送信する（ステップＳ３０４）。

【0240】

次に、データ取得装置１３２は、管理装置１２１から送信された異常通知を受信し、受信した異常通知に従って、異常が検知された機能部１１１を制御ネットワーク１０から切り離す制御等の制御ネットワーク１０に関する制御を行う（ステップＳ３０５）。

【0241】

なお、本発明の第２の実施の形態に係る車載通信システムでは、データ取得装置１３２は、制御ネットワーク１０に関する制御として、異常通知の示す機能部１１１を制御ネットワーク１０から切り離す制御を行う構成であるとしたが、これに限定するものではない。データ取得装置１３２は、制御ネットワーク１０に関する制御として、制御ネットワーク１０における経路を切り替える制御を行う構成であってもよい。

【0242】

また、本発明の第２の実施の形態に係る車載通信システムでは、管理装置１２１は、検知結果に応じた処理として、異常通知をデータ取得装置１３２へ送信する構成であるとしたが、これに限定するものではない。管理装置１２１は、検知結果に応じた処理として、当該検知結果の示す機能部１１１、または検知結果の示す機能部１１１に対応する他の機能部１１１を制御する構成であってもよい。

【0243】

具体的には、管理装置１２１は、たとえば、当該検知結果の示す機能部１１１への電力の供給を遮断するために、当該機能部１１１が有するスイッチを切り替えるための切り替え指示等を当該機能部１１１へ送信してもよい。

【0244】

以上のように、本発明の第２の実施の形態に係る車載通信システムでは、複数の機能部１１１は、車両１における制御ネットワーク１０に接続される。データ取得装置１３２は、車両１におけるセキュリティネットワーク２０に接続される管理装置１２１と通信可能である。本発明の第２の実施の形態に係る車載通信システムにおいて、制御ネットワーク１０からセキュリティネットワーク２０への通信が一部制限されている。データ取得装置１３２は、制御ネットワーク１０において伝送されるデータを取得する。データ取得装置１３２は、制御ネットワーク１０における経路間を接続するコネクタであり、取得したデータに基づいて、制御ネットワーク１０に関する異常を検知する。

【0245】

このように、機能部１１１間の情報伝送用の制御ネットワーク１０および監視用のセキュリティネットワーク２０を分離して通信を制限する構成により、制御ネットワーク１０における異常の影響が抑えられるセキュリティネットワーク２０を用いて、セキュリティ性を向上しながら車両１における異常を検知することができる。また、データ取得装置１３２において異常を検知する構成により、車載通信システム３０１における処理負荷を分散させることができる。また、データ取得装置１３２をたとえば既存の機能部１１１を備える車載通信システム等に容易に後付けすることができ、また、機能部１１１を簡易化することができる。

【0246】

したがって、本発明の第２の実施の形態に係る車載通信システムでは、セキュリティ性をより向上させた車載ネットワークを構築することができる。

【0247】

また、本発明の第２の実施の形態に係る車載通信システムでは、データ取得装置１３２は、機能部１１１に含まれる。

【0248】

このような構成により、車載通信システム３０１の構成を簡易化することができる。

【0249】

また、本発明の第２の実施の形態に係る車載通信システムにおける監視方法では、まず、データ取得装置１３２が、制御ネットワーク１０において伝送されるデータを取得する。次に、データ取得装置１３２が、取得したデータに基づいて、制御ネットワーク１０に関する異常を検知する。

【0250】

このように、機能部１１１間の情報伝送用の制御ネットワーク１０および監視用のセキュリティネットワーク２０を分離して通信を制限する構成により、制御ネットワーク１０における異常の影響が抑えられるセキュリティネットワーク２０を用いて、セキュリティ性を向上しながら車両１における異常を検知することができる。また、データ取得装置１３２において異常を検知する構成により、車載通信システム３０１における処理負荷を分散させることができる。

【0251】

したがって、本発明の第２の実施の形態に係る車載通信システムにおける監視方法では、セキュリティ性をより向上させた車載ネットワークを構築することができる。

【0252】

その他の構成および動作は第１の実施の形態に係る車載通信システムと同様であるため、ここでは詳細な説明を繰り返さない。

【0253】

上記実施の形態は、すべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記説明ではなく請求の範囲によって示され、請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。

【0254】

以上の説明は、以下に付記する特徴を含む。
［付記１］
車両に搭載される車載通信システムであって、
前記車両における制御ネットワークに接続される複数の機能部と、
前記車両におけるセキュリティネットワークに接続される管理装置とを備え、
前記制御ネットワークから前記セキュリティネットワークへの通信が一部制限されており、
前記車載通信システムは、さらに、
前記制御ネットワークにおいて伝送されるデータを取得して前記管理装置へ送信するデータ取得装置を備え、
前記管理装置は、前記データ取得装置から受信した前記データに基づいて、前記制御ネットワークに関する異常を検知し、
前記データ取得装置は、前記データを取得して前記セキュリティネットワーク経由で前記管理装置へ送信する、車載通信システム。

【0255】

［付記２］
車両に搭載される車載通信システムであって、
前記車両における制御ネットワークに接続される複数の機能部と、
前記車両におけるセキュリティネットワークに接続される管理装置と通信可能であり、前記制御ネットワークにおいて伝送されるデータを取得するデータ取得装置とを備え、
前記制御ネットワークから前記セキュリティネットワークへの通信が一部制限されており、
前記データ取得装置は、前記制御ネットワークにおける経路間を接続するコネクタであり、取得した前記データに基づいて、前記制御ネットワークに関する異常を検知し、
前記データ取得装置は、検知結果を前記セキュリティネットワーク経由で前記管理装置へ送信する、車載通信システム。

【0256】

［付記３］
車両に搭載され、複数の機能部が制御ネットワークに接続され、管理装置がセキュリティネットワークに接続される車載通信システムにおけるデータ取得装置であって、
前記制御ネットワークから前記セキュリティネットワークへの通信が一部制限されており、
前記制御ネットワークにおいて伝送されるデータを取得する取得部と、
前記取得部によって取得された前記データを前記管理装置へ送信する送信部とを備え、
前記送信部は、前記データを前記セキュリティネットワーク経由で前記管理装置へ送信する、データ取得装置。

【0257】

［付記４］
車両に搭載され、セキュリティネットワークに接続され、前記車両において、複数の機能部が制御ネットワークに接続され、前記制御ネットワークから前記セキュリティネットワークへの通信が一部制限される車載通信システムにおける管理装置であって、
前記制御ネットワークにおいて伝送されるデータを取得する通信部と、
前記通信部によって取得された前記データに基づいて、前記制御ネットワークに関する異常を検知する処理部とを備え、
前記通信部は、前記セキュリティネットワーク経由で送信されるデータを取得する、管理装置。

【符号の説明】

【0258】

１０制御ネットワーク
２０セキュリティネットワーク
２１，２２，２３，２４ワイヤハーネス
３１，５１取得部
３２，５２送信部
３３，５３受信部
３４，３６，３７，５４スイッチ
３５，４３，５５処理部
４１通信部
４２記憶部
１０１セントラルゲートウェイ
１１１機能部
１２１管理装置
１３１，１３２データ取得装置
１４１基板
３０１，３０２車載通信システム

【図1】