7868494 車載ネットワーク

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】

(24)【登録日】2026-05-25

(45)【発行日】2026-06-02

(54)【発明の名称】車載ネットワーク

(51)【国際特許分類】

   H04L 12/22 20060101AFI20260526BHJP

   B60R 16/023 20060101ALI20260526BHJP

   H04L 12/28 20060101ALI20260526BHJP

   H04L 12/66 20060101ALI20260526BHJP

   G06F 21/55 20130101ALN20260526BHJP

【ＦＩ】

H04L12/22

B60R16/023 P

H04L12/28 200Z

H04L12/28 100A

H04L12/66

G06F21/55

【請求項の数】 2

(21)【出願番号】P 2022203900

(22)【出願日】2022-12-21

(65)【公開番号】P2024088884

(43)【公開日】2024-07-03

【審査請求日】2025-01-22

(73)【特許権者】

【識別番号】000003207

【氏名又は名称】トヨタ自動車株式会社

(74)【代理人】

【識別番号】110000947

【氏名又は名称】弁理士法人あーく事務所

(72)【発明者】

【氏名】後藤 慶太

【審査官】吉田 歩

(56)【参考文献】

【文献】特表２０２２－５０８１６５（ＪＰ，Ａ）

【文献】国際公開第２０１８／１７８９８４（ＷＯ，Ａ１）

【文献】米国特許出願公開第２０２０／０３８９３３９（ＵＳ，Ａ１）

【文献】特開２０１９－０５４４２７（ＪＰ，Ａ）

(58)【調査した分野】(Int.Cl.，ＤＢ名)

Ｈ０４Ｌ １２／２２

Ｂ６０Ｒ １６／０２３

Ｈ０４Ｌ １２／２８

Ｈ０４Ｌ １２／６６

Ｇ０６Ｆ ２１／５５

(57)【特許請求の範囲】

【請求項1】

複数のバスそれぞれに複数のＥＣＵが接続されて成る車載ネットワークであって、
前記複数のバスに接続され、前記各バスそれぞれに対して必要な情報のみを選択して前記各バスに個別に転送するセントラルゲートウェイを備えていると共に、
前記複数のバスとして、それぞれ電源から給電されるパワートレイン系バス、メディア系バス、シャシー系バス、および、ボデー系バスを備えており、
前記複数のＥＣＵは、
外部からのアクセス難易度が低いＥＣＵと、
前記ボデー系バスに接続されてスマートキーを携帯したユーザの接近に伴ってイモビ解除指令信号を送信するボデーＥＣＵ、および、同じく前記ボデー系バスに接続されてイモビライザの作動を制御すると共に前記ボデーＥＣＵから前記イモビ解除指令信号を受信することに伴って前記イモビライザの作動を解除する照合ＥＣＵを含んでおり、
前記ボデーＥＣＵおよび前記照合ＥＣＵは、セキュリティソフトウェアによる対策が講じられていないＥＣＵであって、
前記各ＥＣＵのうち、接続される電線の本数が多いＥＣＵほど前記電線の長さを優先的に短くするように配設位置が前記電源の近くに設定されており、
前記各ＥＣＵの配設位置に応じて当該各ＥＣＵ同士が前記電線とコネクタとで接続されており、
前記各ＥＣＵのうち、前記外部からのアクセス難易度が低いＥＣＵを、セキュリティリスク有りＥＣＵとして、前記各バスのうち前記ボデー系バスとは別のバスであって前記セントラルゲートウェイから前記イモビライザの作動を解除させる情報を受けることのないバスに接続したレイアウトとなっていることを特徴とする車載ネットワーク。

【請求項2】

請求項１記載の車載ネットワークにおいて、
前記セキュリティリスク有りＥＣＵはランプＥＣＵであることを特徴とする車載ネットワーク。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は車載ネットワークに係る。特に、本発明は、車載ネットワークへの不正アクセスによる悪影響を抑制するための対策に関する。

【背景技術】

【0002】

近年、車両に搭載された各種ＥＣＵ（Electronic Control Unit）同士の間での通信を行う車載ネットワークとして、車両の高性能化に伴ってＥＣＵの搭載個数が増加することに鑑みられてＣＡＮ（Controller Area Network）等の通信プロトコルを利用したものが普及している。

【0003】

このような車載ネットワークにあっては、悪意のある第三者が不正アクセスし、車両盗難防止機能（所謂イモビ機能）の停止およびそれに伴う車両の盗難被害等が懸念されている。

【0004】

特許文献１には、不正アクセスを検知する技術が開示されている。具体的には、車載ネットワークを搭載する第一車両および第二車両それぞれの車載ネットワークの異常を解析した結果である異常解析結果を取得し、第一車両および第二車両それぞれについて、車載ネットワークに接続されるＥＣＵのうち、異常解析結果が示す異常データと関連度の高い一次ＥＣＵを特定し、一次ＥＣＵが接続されているバスに接続されている複数のＥＣＵを二次ＥＣＵ群として特定し、第一車両について特定された二次ＥＣＵ群および第二車両について特定された二次ＥＣＵ群のいずれにも含まれる所定の条件を満たすＥＣＵを異常関連ＥＣＵとして特定し、その異常関連ＥＣＵを示す情報を出力することが開示されている。

【先行技術文献】

【特許文献】

【0005】

【文献】特開２０１９－１２９５２７号公報

【発明の概要】

【発明が解決しようとする課題】

【0006】

しかしながら、特許文献１に開示されている技術は、ソフト的にシステムアーキテクチャとしてセキュリティを担保しているシステムに対して、不正アクセスされたときの解析を行うものとなっている。このため、異常なデータであると判断できない状況（例えば、搭載されているＥＣＵになりすますことによる通信データの送信や、サービス・一般専業のツールを偽った攻撃）に対しては検知できず、セキュリティ面で改良の余地があった。特に、今後普及が予測されるＣＡＳＥ（Connected、Autonomous、Shared & Services、Electric）等の技術を利用するＭａａｓ（Mobility as a Service）車両によるカーシェアリングに鑑みた場合、前述した車両の盗難被害ばかりでなく、カーシェアリングの決済情報の改ざんも懸念されることになり、不正アクセスによる被害が複数ユーザに及ぶ虞があることからカーシェアリングの実用性に支障を来す虞がある。このため、これまでにない堅牢なセキュリティ対策が求められていた。

【0007】

本発明の発明者は、この点に鑑み、堅牢なセキュリティ対策を図ることができるＥＣＵレイアウトを構築するといった知見に基づき本発明に至った。

【0008】

本発明は、かかる点に鑑みてなされたものであり、その目的とするところは、不正アクセスによる悪影響を抑制することができる車載ネットワークを提供することにある。

【課題を解決するための手段】

【0009】

前記の目的を達成するための本発明の解決手段は、複数のバスそれぞれに複数のＥＣＵが接続されて成る車載ネットワークを前提とする。そして、この車載ネットワークは、前記複数のバスに接続され、前記各バスそれぞれに対して必要な情報のみを選択して前記各バスに個別に転送するセントラルゲートウェイを備えていると共に、前記複数のバスとして、それぞれ電源から給電されるパワートレイン系バス、メディア系バス、シャシー系バス、および、ボデー系バスを備えており、前記複数のＥＣＵは、外部からのアクセス難易度が低いＥＣＵと、前記ボデー系バスに接続されてスマートキーを携帯したユーザの接近に伴ってイモビ解除指令信号を送信するボデーＥＣＵ、および、同じく前記ボデー系バスに接続されてイモビライザの作動を制御すると共に前記ボデーＥＣＵから前記イモビ解除指令信号を受信することに伴って前記イモビライザの作動を解除する照合ＥＣＵを含んでおり、前記ボデーＥＣＵおよび前記照合ＥＣＵは、セキュリティソフトウェアによる対策が講じられていないＥＣＵであって、前記各ＥＣＵのうち、接続される電線の本数が多いＥＣＵほど前記電線の長さを優先的に短くするように配設位置が前記電源の近くに設定されており、前記各ＥＣＵの配設位置に応じて当該各ＥＣＵ同士が前記電線とコネクタとで接続されており、前記各ＥＣＵのうち、前記外部からのアクセス難易度が低いＥＣＵを、セキュリティリスク有りＥＣＵとして、前記各バスのうち前記ボデー系バスとは別のバスであって前記セントラルゲートウェイから前記イモビライザの作動を解除させる情報を受けることのないバスに接続したレイアウトとなっていることを特徴とする。

【0010】

ここでいう「外部からのアクセス難易度が低いＥＣＵ」とは、物理的に外部からのアクセス難易度が低いＥＣＵであって、例えば外部からのアクセスのために要する作業時間が所定時間未満であるものや、外部からのアクセスのために要する作業工数（部品の取り外し工数等）が所定数未満であるものとして、配設場所等に応じて規定されるものである。

【0011】

前記特定事項によれば、セキュリティリスク有りＥＣＵをボデー系バスとは別のバスに接続したことにより、このＥＣＵに接続していたコネクタからセキュリティレベルが高くないＥＣＵへの不正アクセスを抑制することが可能になる。つまり、不正アクセス（セキュリティレベルが高くないＥＣＵへの不正アクセス）を物理的に抑制できる車載ネットワークを構築することができ、「なりすまし」等に対する堅牢なセキュリティ対策を図ることができる。

【0013】

セキュリティソフトウェアによる対策が講じられているＥＣＵにあっては、当該ＥＣＵが接続しているバスに不正アクセスされても問題は生じ難いが、セキュリティソフトウェアによる対策が講じられていないＥＣＵが接続しているバスに不正アクセスされた場合には、車両の盗難等の被害が懸念されることになる。このため、本解決手段では、このセキュリティソフトウェアによる対策が講じられていないＥＣＵが接続しているバスに対する不正アクセスによる悪影響を抑制するべく、セキュリティリスク有りＥＣＵを、各バスのうちボデー系バスとは別のバスであってセントラルゲートウェイからイモビライザの作動を解除させる情報を受けることのないバスに接続するようにしている。

【0014】

また、前記セキュリティリスク有りＥＣＵはランプＥＣＵである。

【0015】

ランプＥＣＵは、車両前端部付近に配置されていることから、このランプＥＣＵに接続されるコネクタに対しては比較的容易に不正アクセスされてしまう虞がある。このため、本解決手段では、このランプＥＣＵがセキュリティレベルが高くないＥＣＵ（ボデーＥＣＵおよび照合ＥＣＵ）と同じバス上に配置されないようにし、これによって、悪意のある第三者の外部機器がボデーＥＣＵになりすますことによる照合ＥＣＵへの不正アクセスを抑制するようにしている。

【発明の効果】

【0016】

本発明では、外部からのアクセス難易度が低いＥＣＵを、セキュリティリスク有りＥＣＵとして、各バスのうちボデー系バスとは別のバスに接続したレイアウトとすることにより、このＥＣＵに接続していたコネクタからセキュリティレベルが高くないＥＣＵへの不正アクセスを抑制することを可能にしている。これにより、堅牢なセキュリティ対策を図ることができるＥＣＵレイアウトを構築することができる。

【図面の簡単な説明】

【0017】

【図1】実施形態においてＥＣＵのレイアウト転換が行われる前の仮車載ネットワークの概略構成を示す図である。

【図2】ＥＣＵレイアウトの決定方法の手順を示すフローチャート図である。

【図3】実施形態においてＥＣＵのレイアウト転換が行われた後の構築車載ネットワークの概略構成を示す図である。

【発明を実施するための形態】

【0018】

以下、本発明の実施の形態を図面に基づいて説明する。本実施形態は、通信プロトコルとしてＣＡＮを使用した車載ネットワークについて説明する。

【0019】

－車載ネットワークの概略構成－
本実施形態に係る車載ネットワークについて説明する。

【0020】

本発明は、前述したように、外部からのアクセス難易度が低いＥＣＵ（本発明でいうセキュリティリスク有りＥＣＵ）が、セキュリティレベルが高くないＥＣＵと同じバス上に配置されている場合に、当該セキュリティリスク有りＥＣＵを別のバス上にレイアウト転換（レイアウト変更）されて成る車載ネットワークを特徴としている。以下では、ＥＣＵのレイアウト転換前の車載ネットワークを仮車載ネットワークと呼び、ＥＣＵのレイアウト転換後の車載ネットワークを構築車載ネットワークと呼ぶこととする。

【0021】

先ず、車載ネットワーク全体の概略構成について仮車載ネットワークを例に挙げて説明する。図１は仮車載ネットワーク（以下、単に車載ネットワークと呼ぶ場合もある）１’の概略構成を示す図である。この図１に示すように、車載ネットワーク１’は、パワートレイン系バスＰＢ、メディア系バスＭＢ、シャシー系バスＣＢ、ボデー系バスＢＢ等といった各バス毎に、複数のＥＣＵ１１～４４が接続されてネットワーク化されている。各バスＰＢ，ＭＢ，ＣＢ，ＢＢには、用途に応じて各種の電源系統が適用される。

【0022】

パワートレイン系バスＰＢは、エンジンの制御を司るエンジンＥＣＵ１１、変速機の制御を司る変速機ＥＣＵ１２等といった主に動力制御に関するパワートレイン系ＥＣＵ群が接続された系統である。その他、電源ＥＣＵ、ハイブリッドシステムＥＣＵ、モータＥＣＵ等が接続される場合もある。このパワートレイン系バスＰＢは、キースイッチがＩＧまたはスタートの位置にあるときに電源が供給されるイグニッション電源（ＩＧ系）により各装置が作動するものとなっている。

【0023】

メディア系バスＭＢは、音響機器の制御を司る音響ＥＣＵ２１、カーナビゲーションシステムの制御を司るナビゲーションＥＣＵ２２等といった主に情報に関するメディア系ＥＣＵ群が接続された系統である。その他、映像ＥＣＵ、電話ＥＣＵ等が接続される場合もある。このメディア系バスＭＢは、キースイッチがＡＣＣまたはＩＧの位置にあるときに電源が供給されるアクセサリ電源（ＡＣＣ系）により各装置が作動するものとなっている。

【0024】

シャシー系バスＣＢは、タイヤの空気圧を監視するＴＰＭＳ(Tire Pressure Monitoring System)ＥＣＵ３１、車両周辺の障害物との相対的な接近の通報を行う接近通報ＥＣＵ３２等といった主に走行のための制御に関するシャシー系ＥＣＵ群が接続された系統である。その他、エアバッグＥＣＵ等が接続される場合もある。このシャシー系バスＣＢは、前記イグニッション電源（ＩＧ系）により各装置が作動するものとなっている。

【0025】

ボデー系バスＢＢは、ボデー系の各機器を制御すると共に照合ＥＣＵにイモビ解除指令信号を送信可能な（例えばスマートキーを携帯したユーザの接近に伴ってイモビ解除指令信号を送信する）ボデーＥＣＵ４１、イモビライザの作動を制御すると共にボデーＥＣＵ４１からイモビ解除指令信号を受信することに伴ってイモビライザの作動を解除する照合ＥＣＵ４２、ヘッドランプの点灯制御を司るランプＥＣＵ４３、ドアの施錠および解錠を行うドアＥＣＵ４４等といった主に内装品の制御に関するボデー系ＥＣＵ群が接続された系統である。その他、メータＥＣＵ等が接続される場合もある。このボデー系バスＢＢは、キースイッチの位置に関わらず常に電源が供給されるバッテリ電源（Ｂ系）により各装置が作動するものとなっている。

【0026】

各バスＰＢ，ＭＢ，ＣＢ，ＢＢそれぞれは、各バスＰＢ，ＭＢ，ＣＢ，ＢＢ毎に共通の情報を共有するものとなっている。そして、これらバスＰＢ，ＭＢ，ＣＢ，ＢＢは、セントラルゲートウェイ５に接続されている。

【0027】

セントラルゲートウェイ５は、周知のＣＰＵ，ＲＯＭ，ＲＡＭ，入出力インタフェース等（図示省略）を備えたマイクロコンピュータからなる。また、セントラルゲートウェイ５は、複数のＥＣＵ１１～４４間で相互通信する情報の中継機能および情報の監視機能を有しており、各バスＰＢ，ＭＢ，ＣＢ，ＢＢそれぞれに対して必要な情報のみを選択して各バスＰＢ，ＭＢ，ＣＢ，ＢＢに個別に情報を転送するようになっている。

【0028】

－ＥＣＵレイアウトの決定方法－
次に、本実施形態の特徴であるＥＣＵレイアウトの決定方法について説明する。具体的なＥＣＵレイアウトの決定方法について説明する前に、本発明の技術的思想の概要について説明する。

【0029】

通信プロトコルとして例えばＣＡＮを使用した車載ネットワーク１’にあっては、一般的に、コスト削減等の目的から電源線や通信線等のワイヤハーネス（電線）の長さをできるだけ短くできるように各ＥＣＵ１１～４４の配設位置を決定し、また、各ＥＣＵ１１～４４を電線に接続するためのコネクタの数をできるだけ少なくできるように電線による分割形態を決定している。このようにして車載ネットワーク１’が構築されている。

【0030】

また、悪意のある第三者が不正アクセスすることによる車両走行に対する悪影響（車両の走る、曲がる、止まるといった各機能に対する悪影響）を回避するために、例えばパワートレイン系バスＰＢにはセキュリティソフトウェアによる対策（ファイヤウォール等のセキュリティ対策）が講じられている。このため、このパワートレイン系バスＰＢに不正アクセスされても問題は生じ難い。

【0031】

これに対し、セキュリティ対策が講じられていない系統のバスに不正アクセスされた場合には、前述した「なりすまし」等によってイモビライザの作動が解除（車両盗難防止機能が停止）してしまったり、カーシェアリングの場合に決済情報が改ざんされてしまって不正アクセスによる被害が複数ユーザに及んでしまったりする虞がある。例えば仮車載ネットワーク１’におけるランプＥＣＵ４３は、車両前端部付近に配置されていることから、このランプＥＣＵ４３に接続されるコネクタに対しては比較的容易に不正アクセスされてしまう虞がある（外部からのアクセス難易度が他のＥＣＵに比べて低いものとなっている）。そして、ボデーＥＣＵになりすました機器がこのコネクタ（ランプＥＣＵ４３に接続されていたコネクタ）に不正アクセスされると、照合ＥＣＵ４２がイモビライザの作動を解除することによる車両の盗難が懸念される状況となってしまう。つまり、一般に、ボデーＥＣＵ４１や照合ＥＣＵ４２はコンソール内等に収容されていることから外部からのアクセス難易度が比較的高くなってはいるものの、同じバス（ボデー系バスＢＢ）上にあるランプＥＣＵ４３が外部からのアクセス難易度が低いものであることから、このランプＥＣＵ４３に接続されていたコネクタを介して照合ＥＣＵ４２に不正アクセスされてしまう可能性がある。

【0032】

本実施形態は、この点に鑑み、比較的容易に不正アクセスされやすい位置にあるＥＣＵ（例えばランプＥＣＵ４３）に対し、不正アクセスを回避する点からレイアウト転換が必要であるか否かを判断し、必要に応じてレイアウト転換を行って、堅牢なセキュリティ対策を図るものとなっている。以下、ＥＣＵレイアウトの決定方法について具体的に説明する。

【0033】

図２は、本実施形態に係るＥＣＵレイアウトの決定方法の手順を示すフローチャートである。このフローチャートにあっては、ステップＳＴ１～ステップＳＴ５が各種ＥＣＵ１１～４４の基本レイアウト、および、各ＥＣＵ１１～４４に接続される電線の分割形態を決定するステップである。つまり、仮車載ネットワーク１’を構築するステップである。そして、ステップＳＴ６～ステップＳＴ１０が本実施形態における特徴部分であるＥＣＵレイアウトを決定する（図１に示すレイアウトからの転換を決定する）ステップである。つまり、必要に応じてＥＣＵレイアウトを転換して構築車載ネットワーク１（図３を参照）を構築するステップである。

【0034】

先ず、ステップＳＴ１において、車載ネットワーク１’上に存在する、または、設計段階において車載ネットワーク１’を構築する場合に必要となる電子部品（搭載電子部品）の情報を収集する。具体的には、電子部品の種類および個数の情報を収集する。ここでいう電子部品は、各ＥＣＵ１１～４４だけでなく、各種の電子機器やセンサ類も含まれる。

【0035】

ステップＳＴ２では、車載ネットワーク１’の各構成部品の原価を考慮し、各ＥＣＵ１１～４４を搭載するに当たって必要となる電線（電源線や通信線等のワイヤハーネス）の本数および電線の径を確認する。

【0036】

ステップＳＴ３では、各ＥＣＵ１１～４４のコストによる順位付けを行う。一般的には、複雑な制御を司るＥＣＵや高い安全性が要求される制御を司るＥＣＵはコストが高く、単純な制御を司るＥＣＵはコストが低いものとなっている。例えばエンジンＥＣＵ１１や変速機ＥＣＵ１２等はＥＣＵ自体のコストが高いばかりでなく、送受信する情報量が多いことから接続される電線の本数が多く且つ電線の径も大きいために、搭載するに当たってのコストが高いものとなっている。一方、例えばランプＥＣＵ４３やドアＥＣＵ４４等はＥＣＵ自体のコストが低いばかりでなく、送受信する情報量が比較的少ないことから接続される電線の本数が少なく且つ電線の径も小さいために、搭載するに当たってのコストが低いものとなっている。

【0037】

ステップＳＴ４では、前述したコスト（電線の本数および電線の径に起因するコスト）に基づき、最適なレイアウトを決定する。ここで最適なレイアウトとしては、各ＥＣＵ１１～４４を搭載するに当たって必要となる電線に係るコストの低廉化を実現するためのレイアウトである。例えば、径が小さい電線は単位長さ当たりのコストが低く、径が大きい電線は単位長さ当たりのコストが高いことを考慮し、径が大きい電線の長さを優先的に短くするように各ＥＣＵ１１～４４のレイアウトを決定する。具体的には、接続される電線の本数が多く且つ電線の径も大きいＥＣＵ（搭載するに当たってのコストが高いＥＣＵ）については、できるだけ電源（バッテリ）近くにレイアウトするようにし、それ以外のＥＣＵ（搭載するに当たってのコストが低いＥＣＵ）については、必ずしも電源近くにレイアウトする必要がないものとする。

【0038】

ステップＳＴ５では、ステップＳＴ４で決定した各ＥＣＵ１１～４４のレイアウトを実現するための電線の分割形態を決定し、それに伴う分割位置に配置されるコネクタの位置およびコネクタの個数を決定する。

【0039】

以上のステップＳＴ１～ステップＳＴ５によってコストを優先することによる前述した仮車載ネットワーク１’が決定されることになる。

【0040】

このようにして仮車載ネットワーク１’が決定された後、ステップＳＴ６では、当該仮車載ネットワーク１’において、セキュリティリスクの判定が行われる。具体的には、外部からのアクセス難易度が低いＥＣＵの存在について判定する。ここでは、車両前端部付近に配置されていることに起因してアクセス難易度が低くなっているランプＥＣＵ４３がそれに該当することになる。

【0041】

ステップＳＴ７では、アクセス難易度が低いＥＣＵが存在しているか否かを判定する。つまり、セキュリティリスクの有るＥＣＵ（本発明でいうセキュリティリスク有りＥＣＵ）が存在しているか否かを判定する。

【0042】

セキュリティリスク有りＥＣＵが存在しておらず、ステップＳＴ７でＮＯ判定された場合には（例えば全てのＥＣＵが、外部からのアクセス難易度が比較的高いものである場合には）ステップＳＴ８に移り、レイアウト転換すべきＥＣＵは存在していないと判断し、仮車載ネットワーク１’をそのまま構築車載ネットワーク１として決定する。

【0043】

一方、セキュリティリスク有りＥＣＵが存在しており、ステップＳＴ７でＹＥＳ判定された場合には、ステップＳＴ９に移り、セキュリティリスク有りＥＣＵの接続位置を再検討する。具体的には、セキュリティリスク有りＥＣＵを抽出すると共に、該セキュリティリスク有りＥＣＵが接続されているバスを確認し、そのバスが、セキュリティ対策が講じられていない系統のバス（セキュリティレベルが高くないＥＣＵと同じバス）であるか否かを確認する。具体的には、前述したようにアクセス難易度が低くなっているランプＥＣＵ４３はセキュリティ対策が講じられていないボデー系バスＢＢに接続されているため、この場合、ランプＥＣＵ４３を該当ＥＣＵ（本発明でいうセキュリティリスク有りＥＣＵ）であるとして抽出され、このランプＥＣＵ４３の接続位置が再検討されることになる。

【0044】

そして、ステップＳＴ１０では、このランプＥＣＵ４３を他のバス上にレイアウト転換することで構築車載ネットワーク１が決定されることになる。具体的に、照合ＥＣＵ４２がイモビライザの作動を解除させる情報を必要としていない（セントラルゲートウェイ５から当該情報を受けることのない）バス上にランプＥＣＵ４３をレイアウト転換することで構築車載ネットワーク１が決定されることになる。図３は、このようにして決定された構築車載ネットワーク１の概略構成であって、ランプＥＣＵ４３をシャシー系バスＣＢ上にレイアウト転換している。この図３における破線は、レイアウト転換前のランプＥＣＵ４３のレイアウト位置を示している。尚、このようにランプＥＣＵ４３をシャシー系バスＣＢ上にレイアウト転換するに当たっては、車体上におけるランプＥＣＵ４３の配設位置を仮車載ネットワーク１’と同じ位置に維持しながらも電線の配策によって当該ランプＥＣＵ４３をシャシー系バスＣＢ上に接続するといったレイアウト転換であってもよいし、車体上におけるランプＥＣＵ４３の配設位置を仮車載ネットワーク１’よりも車体の奥側（不正アクセスされ難い位置）に変更すると共に電線の配策によって当該ランプＥＣＵ４３をシャシー系バスＣＢ上に接続するといったレイアウト転換であってもよい。

【0045】

－実施形態の効果－
以上説明したように、本実施形態では、セキュリティリスク有りＥＣＵ（ランプＥＣＵ４３）を別のバス（シャシー系バスＣＢ）上にレイアウト転換することにより、このＥＣＵ（ランプＥＣＵ４３）に接続していたコネクタからセキュリティレベルが高くないＥＣＵ（照合ＥＣＵ４２）への不正アクセスを抑制することを可能にしている。これにより、不正アクセスによる車両の盗難を防止することができ、堅牢なセキュリティ対策を図ることができるＥＣＵレイアウトを構築することができる。

【0046】

－他の実施形態－
尚、本発明は、前記実施形態に限定されるものではなく、特許請求の範囲および該範囲と均等の範囲で包含される全ての変形や応用が可能である。

【0047】

例えば、前記実施形態では、アクセス難易度が低いＥＣＵをランプＥＣＵ４３としていた。本発明はこれに限定されるものではない。例えば、アクセス難易度が低いＥＣＵを接近通報ＥＣＵ３２とするものであってもよい。

【0048】

また、前記実施形態では、複数のＥＣＵ１１～４４のうち１個のＥＣＵ（ランプＥＣＵ４３）のみをレイアウト転換することにより構築車載ネットワーク１を構成するようにしていた。これに限らず、複数のＥＣＵをレイアウト転換することにより構築車載ネットワーク１を構成するようにしてもよい。

【0049】

また、堅牢なセキュリティ対策を図るための方法として、前述した実施形態における手順とは逆の手順とするものであって、不正アクセスによるリスクを確認した上で、コネクタの配設位置を決定するものとしてもよい。つまり、不正アクセスによるリスクの確認、各ＥＣＵの搭載位置および電線の分割形態の決定を行った上で、不正アクセスによる影響を受ける電子部品およびそれに関係する電線を繋ぐコネクタの配設位置を不正アクセスによる影響を受けない位置として決定するものとしてもよい。また、ボデー系バスＢＢ（仮車載ネットワーク１’においてセキュリティレベルが高くないバス）に接続する各ＥＣＵや該ＥＣＵによって制御される機器にセキュリティ対策を講じる（セキュリティソフトウェアによる対策を講じる）ものとしたり、既にセキュリティ対策が講じられているものに対してセキュリティソフトウェアのアップデートを行うことによってセキュリティを担保するものとしてもよい。

【産業上の利用可能性】

【0050】

本発明は、不正アクセスによる悪影響を抑制する車載ネットワークに適用可能である。

【符号の説明】

【0051】

１ 構築車載ネットワーク
１’ 仮車載ネットワーク
１１ エンジンＥＣＵ
１２ 変速機ＥＣＵ
２１ 音響ＥＣＵ
２２ ナビゲーションＥＣＵ
３１ ＴＰＭＳＥＣＵ
３２ 接近通報ＥＣＵ
４１ ボデーＥＣＵ
４２ 照合ＥＣＵ
４３ ランプＥＣＵ
４４ ドアＥＣＵ
ＰＢ パワートレイン系バス
ＭＢ メディア系バス
ＣＢ シャシー系バス
ＢＢ ボデー系バス

【図1】

【図2】

【図3】