(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2023-01-18
(54)【発明の名称】ネットワーク内の時刻同期を無許可の変更に対して保護するための方法
(51)【国際特許分類】
H04L 7/00 20060101AFI20230111BHJP
【FI】
H04L7/00 990
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2022525950
(86)(22)【出願日】2020-11-04
(85)【翻訳文提出日】2022-05-02
(86)【国際出願番号】 EP2020080934
(87)【国際公開番号】W WO2021089607
(87)【国際公開日】2021-05-14
(31)【優先権主張番号】102019217035.8
(32)【優先日】2019-11-05
(33)【優先権主張国・地域又は機関】DE
(81)【指定国・地域】
(71)【出願人】
【識別番号】508097870
【氏名又は名称】コンチネンタル オートモーティヴ ゲゼルシャフト ミット ベシュレンクテル ハフツング
【氏名又は名称原語表記】Continental Automotive GmbH
【住所又は居所原語表記】Vahrenwalder Strasse 9, D-30165 Hannover, Germany
(74)【代理人】
【識別番号】100114890
【氏名又は名称】アインゼル・フェリックス=ラインハルト
(74)【代理人】
【識別番号】100098501
【氏名又は名称】森田 拓
(74)【代理人】
【識別番号】100116403
【氏名又は名称】前川 純一
(74)【代理人】
【識別番号】100134315
【氏名又は名称】永島 秀郎
(74)【代理人】
【識別番号】100162880
【氏名又は名称】上島 類
(72)【発明者】
【氏名】ヘルゲ ツィナー
(72)【発明者】
【氏名】ユリアン ブラント
【テーマコード(参考)】
5K047
【Fターム(参考)】
5K047AA18
5K047KK03
(57)【要約】
本発明は、ネットワークの時刻同期を、ベース時間領域のグランドマスタークロックに対する無許可の変更に対して保護するための方法であって、ネットワーク装置の物理的通信インターフェースを、それによりネットワークの最良の時間において情報が一斉配信され得る時刻同期メッセージの到着について監視するステップを含む方法に関する。時刻同期メッセージが、当初設定及び同期されたベース時間領域について適正である場合、時刻同期メッセージが、現在のグランドマスタークロックのものに対して改善された時間パラメータを有する新しいグランドマスタークロックを伝えているかどうかがチェックされる。これが該当する場合、ネットワーク装置によって仮想ベース時間領域が開始され、仮想時間領域に関して、必要なリクエスト及び応答のみがネットワーク装置によって送信され、及び時刻同期メッセージで受信された時間パラメータが検証される。検証が、提案された新しいグランドマスタークロックが信頼できるか又は適正であることを明らかにする場合、ネットワーク装置は、仮想領域を終了させ、グランドマスタークロックに関連するその保存された情報を更新し、且つこの時点において、新しい時間パラメータに基づく時刻同期メッセージをネットワークに送信する。そうでなければ、それは、ベース時間領域の新しいグランドマスタークロックとしてその時間を拒否する。
【特許請求の範囲】
【請求項1】
ネットワーク(100)内の時刻同期を、ベース時間領域のグランドマスタークロックへの無許可の変更に対して保護するための方法(200)であって、
- 第1のネットワーク装置の物理的通信インターフェースを、第2のネットワーク装置からの時刻同期に関連するメッセージの到着について監視すること(202)であって、前記メッセージは、前記ネットワーク内の最良のクロックに関連する情報を広めるために使用される、監視すること(202)、
- 前記時刻同期に関連するメッセージが、前記当初設定及び同期されたベース時間領域に当てはまるかどうかを判断するための第1のチェックを実施すること(204)、及びこれが該当する場合、
- 前記時刻同期に関連するメッセージが、前記現在のグランドマスタークロックのものよりも良好なクロックパラメータを有する新しいグランドマスタークロックをアナウンスするかどうかを判断するための第2のチェックを実施すること(208)、及びこれが該当する場合、
- 前記第1のネットワーク装置が仮想ベース時間領域を開始すること(218)であって、前記第1のネットワーク装置は、前記第2のネットワーク装置の前記時刻同期に関連するメッセージに基づく時刻同期に関連するメッセージを前記ネットワークの残りの部分に転送せず、前記仮想ベース時間領域に関して、必要なリクエスト及び応答についてのみ、前記第1のネットワーク装置から前記第2のネットワーク装置に送信される、開始すること(218)、
- 前記第2のネットワーク装置によって送信された前記クロックパラメータを検証すること(220)
を含み、
前記検証が、前記第2のネットワーク装置によって提案された前記グランドマスタークロックが信頼できるか又は適正であることを明らかにする場合、前記第1のネットワーク装置は、前記仮想時間領域を停止し(222)、前記グランドマスタークロックに関連するその保存された情報を更新し(224)、且つこの時点以降、前記新しいクロックパラメータに基づく時刻同期に関連するメッセージを前記ネットワークに送信するか、又はそうでなければ前記クロックを前記ベース時間領域の前記新しいグランドマスタークロックとして拒否する(226)、
方法。
【請求項2】
前記仮想ベース時間領域が開始される(218)前に、
- 別個の時間領域の設定を提案する前記第2のネットワーク装置への応答を送信すること(212)と、
- 前記第2のネットワーク装置が前記追加の時間領域を受け入れるかどうかを判断するための第3のチェックを行うこと(214)と、
これが該当する場合、
- 前記第1のネットワーク装置が、前記追加の時間領域について前記第2のネットワーク装置から到着する前記時刻同期に関連するメッセージを無視、終了又は転送すること(216)、又は
これが該当しない場合、
- 前記第1のネットワーク装置が前記仮想ベース時間領域を開始し(218)、及び後続の方法ステップが実行されることと
を更に含む、請求項1に記載の方法。
【請求項3】
前記検証すること(220)は、
- 受信されたクロックパラメータを、前記第1のネットワーク装置に保存されている、前記時刻同期の初期化中に前記第2のネットワーク装置によって報告されたクロックパラメータと比較すること、
- クロッククラス及びクロック精度の許容可能な又は許容できない組み合わせのチェック、
- 前記第2のネットワーク装置によって送信される時刻同期に関連するメッセージに含まれる時間情報を、より長い期間にわたって前記元のグランドマスタークロックによって送信された時間情報と比較すること、又は
- より高次のプロトコルレベルで許可を受信すること
を含む、請求項1に記載の方法。
【請求項4】
前記拒否すること(226)は、
- 前記第2のネットワーク装置のAnnounceメッセージで送信されたものよりも良好なクロックを表すクロックパラメータを有するAnnounceメッセージを前記第2のネットワーク装置に送信すること、
- 更なるAnnounceメッセージが前記第2のネットワーク装置から到着し(228)、及び前記第2のネットワーク装置によってアナウンスされた前記新しいグランドマスタークロックの許可がより高次のプロトコルレベルで行われ(230)ない限り、前記仮想ベース時間領域を維持すること
を含む、請求項1に記載の方法。
【請求項5】
前記第1のチェック(204)が、前記第2のネットワーク装置から受信された前記時刻同期に関連するメッセージが前記ベース時間領域に当てはまらないことを明らかにする場合、
- 前記時刻同期に関連するメッセージが、以前に開始された仮想ベース時間領域に当てはまるかどうかをチェックすること(204a)と、
そうである場合、
- 前記第2のネットワーク装置によって送信された前記クロックパラメータを検証し(220)、及び後続の方法ステップを実施すること、又は
そうではない場合、
- 前記時刻同期に関連するメッセージを転送又は無視すること(206)と
を更に含む、請求項1に記載の方法。
【請求項6】
前記第2のチェック(208)が、受信されたAnnounceメッセージが、前記現在のグランドマスタークロックのものよりも良好なクロックパラメータを有する新しいグランドマスタークロックをアナウンスしないことを明らかにする場合、
- 前記Announceメッセージを無視すること(210)
を更に含む、請求項1に記載の方法。
【請求項7】
前記第2のネットワーク装置から前記第1のネットワーク装置に到着し、且つクロック同期に使用されないが、時間情報を備えるメッセージは、前記第1のネットワーク装置が、前記時間情報の不明な信頼性について前記メッセージに情報を追加した後、又は前記第1のネットワーク装置が、前記ネットワーク内の他の全てのネットワーク装置に対して、前記第2のネットワーク装置から到来するメッセージにおける前記時間情報の不明な信頼性について通知した後にのみ、前記第1のネットワーク装置によって転送される、請求項1に記載の方法。
【請求項8】
マイクロプロセッサ(402)、揮発性及び不揮発性メモリ(404、406)、1つ又は複数のデータライン又はデータバス(410)によって相互に通信可能に接続された2つ以上の通信インターフェース(408)を含むネットワーク装置(400)であって、請求項1~7のいずれか一項に記載の方法を実施するように構成されるネットワーク装置(400)。
【請求項9】
請求項8に記載の複数のネットワーク装置(104~112)を有するシステム(100)であって、前記ネットワーク装置の少なくとも1つ(102)は、請求項1~7のいずれか一項に記載の方法を実施するように構成される、システム(100)。
【請求項10】
請求項9に記載のシステム(100)を有する車両。
【請求項11】
コマンドを含むコンピュータプログラム製品であって、前記コマンドは、プログラムがコンピュータによって実行されると、前記コンピュータに、請求項1~7のいずれか一項に記載の方法を実施させる、コンピュータプログラム製品。
【請求項12】
請求項11に記載のコンピュータプログラム製品が保存されるコンピュータ可読データキャリア。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、特に車両の電気システムにおける、互いに時刻同期されるネットワーク装置を有する通信ネットワークに関する。
【背景技術】
【0002】
イーサネット技術は、車両において一層使用されており、車両内の古い又は独自のデータ接続及びデータバスに取って代わっている。イーサネット接続は、送信機と受信機との間でデータパケットを送信するためのOSIレイヤモデルのレイヤ3上の複数のネットワークプロトコルをサポートする。より上位のプロトコルレイヤでは、パケットへのデータストリームの分割、相互に通信するシステム間のプロセス通信、システム非依存の形式へのデータ変換及び最後に用途のための機能の提供が行われる。
【0003】
イーサネット接続によって相互に通信可能に接続された車両内のシステムは、送信の信頼性及びデータパケットのタイミングの連携について特に高い要求を行い得る。特に、車両の安全を最重視すべき用途、例えば自動運転又は運転者支援システムのためのセンサ情報及び制御情報の送信などについて、タイミングの連携に対して高い要求がなされる。
【0004】
時刻同期されたネットワーク装置が使用される範囲は、今後、更に増え、なぜなら、とりわけ安全機能及び便利な機能を提供するために、一層多くの制御ユニットが、異なるセンサからの合成及び評価されるセンサデータを送信するからである。異なるセンサからのセンサデータのこの合成は、センサ融合とも呼ばれる。センサデータを融合する際の特に重要な側面は、センサデータの時間的な関連付けである。用途に応じて、ミリ秒又はマイクロ秒の精度に基づいて関連付けられたセンサデータを融合することが必要である場合がある一方、他の用途では、ときに検出時刻間の時間間隔がより長くても許容される場合がある。検出時刻が、ナノ秒の領域の精度に基づいて関連付けられなければならないことも考えられる。しかしながら、センサ融合に必要なデータに加えて、例えば、車両の動作の監視中に取得され、保守の目的のため又は承認された適切な動作の記録を取るためにのみ使用されるデータも、正確なタイミングでデータを取得及び保存するという厳しい要件の対象となり得る。
【0005】
車両で採用される殆ど全てのイーサネット通信ネットワークは、ネットワーク内のグローバル時間基準を提供する時刻同期プロトコルを使用する。イーサネットネットワークにおける時刻同期は、例えば、Precision Time Protocol(PTP)に基づくIEEE 802.1AS規格で取り決められている。PTPは、ネットワーク内で最良のクロックを有するマスター/スレーブクロック階層を規定しており、最良のクロックは、グランドマスタークロックとも呼ばれる。このネットワーク内の他のネットワーク装置のための時間基準は、この最良のクロックであるグランドマスターから導き出される。この最良のクロックを見つけ出し、その情報をネットワークにアナウンスするために、Best Master Clock Algorithm(BMCA)が使用される。正確な同期を維持するために、IEEE 802.1AS対応システムは、ネットワーク内の最良のクロックに関する情報を含むアナウンスメッセージを隣接するノードに周期的に送信する。そのようなメッセージを受信した装置は、この情報を、その装置自体のクロックの特徴と比較し、且つ他のネットワーク装置のクロックに関する情報を含む別の物理インターフェースで既に受信されていることがあるメッセージと比較する。これらのメッセージに基づいて、時刻同期ツリーが構築される。この過程において、以降でポートとも呼ばれる各物理インターフェースは、4つの状態の1つを割り当てられる。「マスターポート」状態は、接続パートナーよりもグランドマスターまでのルートがより短いポートに与えられる。「スレーブポート」状態は、このネットワーク装置の他のいずれのポートも依然としてこの状態を有していない場合に割り当てられる。PTPプロトコルを完全にサポートすることができないポートは、「無効」状態を選択する。「受動」状態は、他の3つの状態のいずれも当てはまらない場合に選択される。
【0006】
PTPの変形例であるgeneralized Precision Time Protocol(gPTP)では、2つのネットワーク装置のそれぞれは、時刻同期の目的で常に直接的に相互に通信し、それらの2つのネットワーク装置のいずれも、時刻同期に関連する受信メッセージをネットワーク内の更なるネットワーク装置に単に転送するだけではない。代わりに、転送に先立ち、補正された時間情報を転送する前に、そのネットワーク装置は、受信した時間情報を受信ライン上及びそのネットワーク装置自体内での遅延について補正する。これらのネットワーク装置は、「時間認識システム」とも呼ばれる。
【0007】
図1は、第1のグランドマスタークロックに時刻同期された複数のネットワーク装置102、104、106、108、110及び112を有する車両ネットワーク100の例示的なブロック図を示す。ネットワーク装置102及び108、102及び104、104及び110、104及び106並びに106及び112は、いずれの場合においても、この場合、双方向の通信接続によって相互に接続される。ネットワーク装置104、106及び108は、双方向の通信接続により、図示されていない更なるネットワーク装置に更に接続される。ネットワーク装置102~112のそれぞれは、IEEE 802.1AS規格に従って同期することができるタイマーを有する。この規格で取り決められているBMCAを実行した後、ネットワーク装置112がシステム全体のグランドマスタークロックとして見出され、即ち、時刻同期に関連するメッセージがネットワーク装置112からネットワークに送信される。この場合、ネットワーク装置112は、ネットワーク装置112に直接的に接続されているネットワーク装置106及び図示されていない更なるネットワーク装置に対して、時刻同期に関連するメッセージを送信する。時刻同期に関連するメッセージの送信方向は、いずれの場合にも、通信接続の脇に示されている破線の矢印によって示されている。ネットワーク装置106は、ネットワーク装置112から受信した時間情報を、ネットワーク装置112との通信接続について以前に決定された遅延並びに補正及び転送のためにネットワーク装置106で必要とされる時間について補正し、それに応じて修正された時刻同期に関連するメッセージをネットワーク装置104及び図示されていない更なるネットワーク装置に送信する。時刻同期に関連するメッセージは、補正された時間情報だけでなく、システムのグランドマスタークロック、この場合にはネットワーク装置112に関する情報も含む。ネットワーク装置104は、これに応じて次の段階に進み、関連する遅延を補正した時刻同期に関連するメッセージをネットワーク装置110及び102に、且つ図示されていない更なるネットワーク装置にも改めて送信する。これに応じて、再度、ネットワーク装置102は、補正された時間情報をネットワーク装置108に送信する。転送前の時間情報のそれぞれの補正のため、ネットワーク装置内の全てのタイマーは、グランドマスタークロックの時刻と同期されるが、それぞれの転送前の時間情報の補正における個々の差異による残存する誤差のために異なる。グランドマスタークロックは、時刻同期に関連するメッセージをネットワークに周期的に送信し、このメッセージは、その後、上述したように更に配信される。
【0008】
IEEE 802.1AS規格では、タイミングシステム、即ちグランドマスターを任意の時点で変更することができる。この目的のために、Best Master Clock Algorithm(BMCA)が再び実行される。例えば、変更されたクロックパラメータで制御ユニットが動作するか、又は新しい制御ユニットがネットワークに追加された場合、BMCAが実行され、常に、現時点で最良のクロックパラメータを有するクロックがシステムのネットワーク装置によって選択される。BMCAはまた、ネットワーク装置のソフトウェアエラー若しくはハードウェアエラーによってトリガーされ得るか、又はソフトウェア若しくはハードウェアの適切な操作により攻撃者によって引き起こされ得る。そのようなケースが
図2に示されている。
【0009】
図2では、ネットワーク装置108は、ネットワーク装置112のものよりも良好なクロックのクロックパラメータを含むAnnounceメッセージをネットワーク装置102に送信する。ネットワーク装置102は、前記メッセージを他のネットワーク装置に送信し、それらの装置は、ローカルのクロックを新しいグランドマスタークロックに漸進的に同期させる。ネットワーク装置112は、もはやグランドマスタークロックではなくなり、むしろネットワーク装置108のクロックからの時間情報に基づく時刻同期に関連するメッセージを受信する。時刻同期の変更は、ネットワーク装置を表す矩形のハッチングにより、且つ時刻同期に関連するメッセージの伝搬を示す破線の矢印の幾つかの方向の変更により示されている。
【0010】
攻撃者が車両ネットワーク内の時刻同期を乗っ取り、個々の又は全てのネットワーク装置を不正確に同期させることに成功した場合、これは、車両の動作の安全性に危険な影響を及ぼす可能性がある。例えば、車両システムを制御するために複数の異なるセンサからのデータが組み合わされる場合、特定の時間における制御又はフィードバック制御介入のための有効なセンサデータベースを形成するために、センサデータを所定の時間ウィンドウ内で取り込むことが必要である。センサ融合のために必要な狭い時間ウィンドウ内で取り込まれていないが、攻撃者により改ざんされた時刻同期のため、時間ウィンドウ内のタイムスタンプを伴って提供された、タイミングの大きく異なるデータは、システムの障害、最悪の場合には事故に至る動作の混乱をもたらす可能性がある。
【0011】
ネットワークの時刻同期を使用することにより、通信ネットワークの構成又は構造の変化を認識するための幾つかの方式が従来技術から既知である。ネットワーク構成に対する無許可の変更には、例えば、メッセージを傍受し、変更されたメッセージを送信するネットワーク装置の介在が含まれ得る。これは、安全で適切な動作を妨げるか又は少なくとも混乱させるために用いられ得る。独国特許第102012216689B4号明細書は、通信ネットワーク内の時刻同期に関連するメッセージの遅延を監視することにより、この種の攻撃を識別することを提案している。2つのネットワーク装置間に後から接続され、メッセージを傍受及び転送する追加のネットワーク装置又はデータ転送に関連する方法でのネットワーク装置のソフトウェアの操作は、必然的に、転送されるメッセージが変更されていない場合でも、メッセージの遅延に変更を加え、これは、攻撃を識別できることを意味する。
【0012】
ネットワークの正確で安全な時間基準は、別の文脈でも非常に重要である。そのため、例えば独国特許出願公開第102014200558A1号明細書は、認証プロトコルによって保護された認証済タイミングの使用を含む、安全なネットワークアクセス保護について記載している。この場合、メッセージの遅延が決定され、時刻同期に関連するメッセージの妥当性が追加のプロトコルによって検証される。
【0013】
ネットワークにおける時刻同期機構及びプロトコルの使用は、二次的な目的で広く用いられるが、攻撃に対して時刻同期自体を保護することについて、これまで考えられていなかったか又はあまり考えられていなかった。
【発明の概要】
【発明が解決しようとする課題】
【0014】
従って、本発明の目的は、ネットワークにおける時刻同期の無許可の変更を少なくとも妨げる方法及びネットワーク装置を明示することである。
【課題を解決するための手段】
【0015】
この目的は、請求項1で規定される方法及び請求項8で規定されるネットワーク装置によって達成される。この方法及びシステムの改良形態及び更なる発展形態は、それぞれの従属請求項に規定される。
【0016】
本発明の時刻同期の保護は、主として、攻撃者又は初期同期後のハードウェア若しくはソフトウェアの不具合による、ネットワークのベース時間領域のグランドマスタークロックの望ましくない変更又は無許可の変更を防止するか又は少なくとも妨げることを対象とする。ここで、ベース時間領域とは、ネットワーク内の全てのネットワーク装置に適用される基本的な時間領域を指す。
【0017】
この説明では、通信接続とは、送信機と受信機との間の物理的又は論理的な接続を指す。通信接続は、ポート番号によって一意に特定することができる。ポート番号を使用して、あるエンドポイントから開始するか又はあるエンドポイントで終了する複数の異なる通信接続間を区別することができる。
【0018】
ネットワーク装置及びネットワークノードという用語は、それぞれの文脈が区別することを示唆しない限り、この説明中で同義に使用される。
【0019】
以降の説明では、例えばIEEE 802.1AS規格のBest Master Clock Algorithm(BMCA)に従い、ベース時間領域の正確で改ざんされていない初期化が行われることと、いずれのネットワーク装置がネットワークのベース時間領域のグランドマスタークロックを提供するか、及びグランドマスタークロックがどのようなクロックID及びクロックパラメータを有するかに関する情報をネットワーク内の全てのネットワーク装置が有することとを仮定する。各ネットワーク装置は、装置のいずれの物理インターフェースが、時刻同期に関連する有効なメッセージを配信するために使用されるかについての情報も有することができる。この初期状況は、
図1を参照して前述した状況に対応する。
【0020】
本発明による、ネットワーク内の時刻同期を無許可の変更に対して保護するための方法は、第1のネットワーク装置の全ての物理的な通信インターフェースを、ネットワーク内の最良のクロックに関連する情報を広めるために使用される、第2のネットワーク装置からのAnnounce、Sync又はFollowUpメッセージの到着について監視することを含む。通常、そのようなメッセージは、IEEE 802.1AS規格に基づいてネットワーク化されたシステム内で周期的に送信され、場合により転送される。
【0021】
時間情報は、受信されたAnnounce、Sync及びFollowUpメッセージから抽出され、とりわけGrandmaster Clock Class、Grandmaster Clock Accuracy、Grandmaster Priority1、Grandmaster Priority2及びCurrent UTC Offsetがそうである。更に、それらのメッセージは、ベース時間領域に当てはまるかどうかについて、第1のネットワーク装置によってチェックされる。これが該当せず、例えばAnnounce、Sync又はFollowUpメッセージが、第1のネットワーク装置が属していない別の時間領域に当てはまる場合、メッセージは、規格に従って転送され得る。そうでない場合、例えば、第2のネットワーク装置から到来する時刻同期に関連するメッセージについて、第1のネットワーク装置が既に前に開始した仮想ベース時間領域にメッセージが当てはまる場合、このメッセージは、前記メッセージで送信されたクロックパラメータを検証するために、後述するプロセスステップに転送され得るか又は拒絶され得る。
【0022】
Announceメッセージがベース時間領域に当てはまる場合、このAnnounceメッセージが、現在のグランドマスタークロックのものよりも良好なクロックパラメータを有する新しいグランドマスタークロックをアナウンスするかどうかを判断するためのチェックが行われる。これが該当しない場合、Announceメッセージは、無視され得るか、又はネットワークのグランドマスタークロックに関連する情報を含む時刻同期に関連するメッセージは、第1のネットワーク装置から第2のネットワーク装置に送信され得る。
【0023】
Announceメッセージで受信されたクロックパラメータが、より良好なパラメータを有するクロックを記述している場合、本発明は、前記ネットワーク装置によって送信された時刻同期に関連するメッセージに関して、第2のネットワーク装置をネットワークの残りの部分から分離することを含む。この分離は、第2のネットワーク装置によって提供される潜在的な新しいグランドマスタークロックが直ちにシステム内で採用若しくは作動されないこと又は更に時刻同期に関連する前記ネットワーク装置のメッセージが転送されないことを確実にするために使用され、なぜなら、第2のネットワーク装置が新しいタイマーとして安全で信頼できるかどうかが依然として不確かであり、望ましくない場合、システム全体は、数ミリ秒以内にときに信頼できないか又は不正確なクロックに切り替わるからである。この目的のために、第1のネットワーク装置は、第2のネットワーク装置から到着する時刻同期に関連するメッセージの仮想ベース時間領域を開始する。第2のネットワーク装置から到着する時刻同期に関連するメッセージに基づいて、第1のネットワーク装置は、第1のネットワーク装置に直接的に接続されている更なるネットワーク装置に対して、時刻同期に関連するその装置自体のメッセージを送信せず、IEEE 802.1AS規格に従って必要とされるリクエスト及び応答のみを第2のネットワーク装置に送信する。これまで適用されてきた時刻同期は、第2のネットワーク装置を除いて、第1のネットワーク装置及び他の全てのネットワーク装置により、変わらずに継続される。仮想ベース時間領域は、第2のネットワーク装置及び第1のネットワーク装置の残りの部分から分離されたエリアにのみ適用される。
【0024】
第1のネットワーク装置は、第2のネットワーク装置によって送信されたクロックパラメータの検証を更に実施する。これには、例えば、第1のネットワーク装置内に保存されている、時刻同期の初期化中に第2のネットワーク装置によって報告されたクロックパラメータとの比較、クロッククラス及びクロック精度の許容可能な若しくは許容されない組み合わせのチェック、又は第2のネットワーク装置によって送信された時刻同期に関連するメッセージに含まれる時間情報と、長期間にわたって元のグランドマスタークロックによって送信された時間情報との比較、又は関連するインターフェースを介して連続的に受信された時刻同期に関連するメッセージにおいて、異なるクロックパラメータが繰り返し送信されているかどうかのチェックが含まれ得る。検証の過程において、新しいグランドマスタークロックは、例えば、システムに一時的に接続されている適切な権限を有する制御ユニットにより、より上位のプロトコルレベルで許可され得る。許可は、より高次の権限を備えたネットワーク装置への適切なメッセージによって第1のネットワーク装置によってリクエストされ得る。検証が、第2のネットワーク装置によって提案されたグランドマスタークロックが信頼できるか又は適正であることを明らかにする場合、第1のネットワーク装置は、仮想ベース時間領域を停止し、グランドマスタークロックのために保存された情報を更新し、且つ新しいクロックパラメータに基づく時刻同期に関連するメッセージをネットワークに送信する。そうでない場合、第1のネットワーク装置は、新しいグランドマスタークロックとしてクロックを拒否する。
【0025】
拒否には、例えば、第1のネットワーク装置自体が、第2のネットワーク装置によって提案されたクロックよりも良好なクロックを有することを明言する、時刻同期に関連するメッセージを第2のネットワーク装置に送信することが含まれ得る。次いで、第2のネットワーク装置は、その装置のSync、Announce又はFollowUpメッセージを送信することを直ちに止めなければならない。これが該当する場合、仮想時間領域は、停止され、この方法は、時刻同期に関連する到着メッセージの監視を続行する。第2のネットワーク装置が、「より良好な」クロックを有する第1のネットワーク装置からの「応答」にも関わらず、自らのSync、Announce又はFollowUpメッセージの送信を止めない場合、第2のネットワーク装置がSync、Announce若しくはFollowUpメッセージの送信を止めるまで、又は第2のネットワーク装置によって報告されるクロックの正当性がより高次のプロトコルレベルで認められるまで、第2のネットワーク装置から到来する時刻同期に関連するメッセージをネットワークの残りの部分から分離するために仮想時間領域が維持される。
【0026】
第1のネットワーク装置が仮想ベース時間領域を開始する前に、第1のネットワーク装置は、第2のネットワーク装置がグランドマスタークロックとして機能する別個の時間領域を設定するという提案を含むメッセージを第2のネットワーク装置に送信し得る。第2のネットワーク装置がこの提案を受け入れる場合、第1のネットワーク装置は、別個の時間領域を実行する。この場合、第1のネットワーク装置は、必ずしも、別個の時間領域の時刻同期に関連するメッセージをネットワークに転送する必要はなく、第1のネットワーク装置は、第2のネットワーク装置に知らせることなく、単にメッセージを終了又は無視し得る。しかしながら、特定の場合、第1のネットワーク装置は、例えば、別個の時間領域に適用される時刻同期に関連するメッセージをチェックすることを意図しているネットワーク装置にこれらのメッセージを転送し得る。この場合、メッセージは、例えば、別個の領域番号を施される。第2のネットワーク装置がこの提案を受け入れない場合、第1のネットワーク装置は、上述のように仮想ベース時間領域を開始し、且つ更なる方法ステップを実施する。
【0027】
第1のネットワーク装置が仮想ベース時間領域を開始した場合でも、第1のネットワーク装置は、第2のネットワーク装置から到来する時間に関係しない通信情報を、通常の方法でネットワークを介してそれぞれの受信装置に転送し得る。第1のネットワーク装置は、例えば、明らかに安全性に関係した用途を対象としたタイムスタンプを有するメッセージなど、時間が決定的に影響するメッセージを拒否し得るか、又は第1のネットワーク装置は、第2のネットワーク装置から到来するメッセージが、少なくとも関連する時間情報に関して信頼できないことを他のネットワーク装置に示すメッセージをネットワークに送信し得る。第1のネットワーク装置が、その装置自体のタイムスタンプを有するメッセージを提供すること及び適切な方法でメッセージを識別することも可能である。この目的のために、メッセージ又はヘッダー内にフラグ又は他のフィールドが用意され得る。
【0028】
本発明によるコンピュータプログラム製品は、コンピュータによって実行されると、そのコンピュータに、上述した方法の1つ又は複数の改良形態及び更なる発展形態を実行させる命令を含む。
【0029】
コンピュータプログラム製品は、コンピュータ可読データキャリアに保存することができる。データキャリアは、例えば、ハードディスク、CD、DVD又はフラッシュメモリなどとしての物理的な実施形態であり得るが、しかしながら、データキャリアは、適切な受信機によりコンピュータによって受信することができ、且つコンピュータのメモリに保存することができる、変調された電気信号、電磁信号又は光信号を含み得る。
【0030】
本発明による方法を実装するネットワーク装置は、マイクロプロセッサ並びに不揮発性及び揮発性のメモリだけではなく、少なくとも2つの物理的通信インターフェースを含む。ネットワーク装置の要素は、1つ又は複数のデータライン又はデータバスによって相互に通信可能に接続される。ネットワーク装置は、インターフェース上で時刻同期に関連するメッセージを受信し、上述した方法を使用してAnnounce、Sync又はFollowUpメッセージのチェックを実行し、必要に応じて分離を行うように構成される。
【0031】
通信ネットワークによって接続された複数のネットワーク装置を有する本発明によるシステムは、上述した本発明による方法を実施するように構成された少なくとも1つのネットワーク装置を含む。
【0032】
本発明による方法を有利に使用して、例えば自動運転又は運転者支援システムのためのセンサデータを送信する場合に必要とされるような、特に安全性に関係したネットワーク内の通信接続の時刻同期の信頼性を向上させることができる。
【0033】
本発明による方法は、既存のネットワーク装置を使用して実装することができ、この場合、別個の時間領域を設定及び動作させるために、ソフトウェアの適合のみが必要となり得る。その結果、実装のために生じるのは、仮にあったとしても追加の低いコストのみである。既存のシステムでも、適切に改変されたソフトウェアにより、本方法を実施するように構成することができる。本発明による方法の更なる利点は、それぞれの基礎をなすハードウェアプラットフォームが複数の別個の時間領域及びPTPの設定又は動作をサポートする限り、ハードウェアプラットフォームとは無関係であることである。
【0034】
本発明について、図面を参照して例として以下に説明する。
【図面の簡単な説明】
【0035】
【
図1】第1のグランドマスタークロックに時刻同期された複数のネットワーク装置を有する車両ネットワークの例示的なブロック図を示す。
【
図2】
図1の複数の時刻同期されたネットワーク装置を有する車両ネットワークの例示的なブロック図を示し、第1のグランドマスタークロックは、第2のグランドマスタークロックに取って代わられている。
【
図3】本発明による方法の一態様が実施された場合の、複数の時刻同期されたネットワーク装置を有する車両ネットワークの例示的なブロック図を示す。
【
図4】本発明による方法の一実施形態の概略フローチャートを示す。
【
図5】本発明による方法を実施するように構成されたネットワーク装置の例示的なブロック図を示す。
【発明を実施するための形態】
【0036】
図では、同一の又は類似の要素は、同じ参照符号によって参照され得る。
【0037】
図1及び
図2については、既にこれまでに説明しているため、この時点で再度の説明はしない。
【0038】
図3は、本発明による方法の一態様が実施された場合の、複数の時刻同期されたネットワーク装置を有する車両ネットワーク100の例示的なブロック図を示す。
図2を参照して前述したように、ネットワーク装置108は、より良好なクロックパラメータを有するクロックをアナウンスするAnnounceメッセージをネットワーク装置102に送信している。IEEE 802.1AS規格に規定された方法に基づいて、このクロックは、ネットワーク全体のグランドマスタークロックになるであろう。単純な改ざんを妨げるか又は防止するために、ネットワーク装置102は、ネットワーク装置108によって提案されたクロックがグランドマスタークロックとして機能する仮想時間領域を開始する。他のネットワーク装置の場合、ネットワーク装置112によって提供されるクロックは、以前のようにグランドマスタークロックである。ネットワーク装置102によってもたらされる、現在の時間領域と仮想時間領域とへの時間領域の分割は、ネットワーク装置102の部分ハッチングによって示されている。破線の矢印は、ネットワーク又は仮想時間領域のグランドマスタークロックからの時刻同期に関連するメッセージの送信方向を示す。
【0039】
図4は、第1のネットワーク装置における本発明による方法200の一実施形態の概略フローチャートを示す。ステップ202では、インターフェースは、まず、第1のネットワーク装置に接続された第2のネットワーク装置からのAnnounce、Sync又はFollowUpメッセージについて監視される。そのような時刻同期に関連するメッセージが到着すると、そのメッセージは、当初設定及び同期されたベース時間領域に当てはまるかどうかがまずチェックされる。これが該当しない場合、ステップ204の「いいえ」分岐になり、ステップ204aでは、時刻同期に関連するメッセージが、以前に開始された仮想ベース時間領域に当てはまるかどうかを判断するためのチェックが行われる。これが該当しない場合、ステップ204aの「いいえ」分岐になり、時刻同期に関連するメッセージは、ステップ206で転送される。ステップ204でのチェックが、時刻同期に関連するメッセージがベース時間領域に当てはまることを明らかにする場合、ステップ204の「はい」分岐になり、次にステップ208では、時刻同期に関連するメッセージが、現在のグランドマスタークロックのものよりも良好なクロックパラメータを有する新しいグランドマスタークロックをアナウンスするかどうかを判断するためのチェックが行われる。これが該当しない場合、ステップ208の「いいえ」分岐になり、ステップ210では、メッセージは、拒否又は無視され、監視が続行する。ステップ208でのチェックが、現在のグランドマスタークロックのものよりも良好なクロックパラメータを有する新しいグランドマスタークロックがアナウンスされることを明らかにする場合、ステップ208の「はい」分岐になり、ステップ218では、第1のネットワーク装置により仮想ベース時間領域が開始される。ステップ218で仮想ベース時間領域を開始する前に、ステップ212では、第1のネットワーク装置は、任意選択的に、別個の時間領域を設定することを第2のネットワーク装置に提案することができる。第2のネットワーク装置がこの提案を受け入れた場合、ステップ214の「はい」分岐になり、第1のネットワーク装置は、別個の時間領域を実行し、この別個の時間領域に当てはまる時刻同期に関連するメッセージを必要に応じてネットワークの残りの部分に転送することができる。第2のネットワーク装置が、別個の時間領域を設定するためのこの提案を受け入れなかった場合、ステップ214の「いいえ」分岐になり、第1のネットワーク装置は、仮想ベース時間領域を開始する。次いで、ステップ220において、仮想ベース時間領域では、第2のネットワーク装置によって送信されたクロックパラメータが検証される。ステップ204aでのチェックが、第2のネットワーク装置から受信された時刻同期に関連するメッセージが、以前に設定された仮想ベース時間領域に当てはまることを既に明らかにしている場合、ステップ204aの「はい」分岐になり、この方法は、ステップ208及び場合によりステップ214でのチェックを飛び越し、ステップ220でクロックパラメータの検証を直ちに続行する。ステップ220での検証が、第2のネットワーク装置によって提案されたグランドマスタークロックが信頼できるか又は適正であることを明らかにする場合、ステップ220の「はい」分岐になり、第1のネットワーク装置は、ステップ222で仮想時間領域を打ち切り、ステップ224でグランドマスタークロックに関する保存された情報を更新し、且つこの時点以降、新しいクロックパラメータに基づく時刻同期に関連するメッセージをネットワークに送信する。ステップ220での検証が、第2のネットワーク装置によって提案されたグランドマスタークロックが信頼できないか又は不適正であることを明らかにする場合、ステップ220の「いいえ」分岐になり、ステップ226では、第1のネットワーク装置は、ベース時間領域のグランドマスタークロックとして、第2のネットワーク装置によって提案されたクロックを拒否する。この拒否には、第1のネットワーク装置が、第2のネットワーク装置からの時刻同期に関連するメッセージで送信されたものよりも良好なクロックを表すクロックパラメータを有するAnnounceメッセージを第2のネットワーク装置に送信することが含まれ得る。仮想ベース時間領域は、Announce、Sync又はFollowUpメッセージが第2のネットワーク装置から到着し、且つより高次のプロトコルレベルで許可が行われない限り、維持される。該当するチェックは、ステップ228及び230で行われる。
【0040】
図5は、本発明による方法を実施するように構成されたネットワーク装置400の例示的なブロック図を示す。ネットワーク装置400は、マイクロプロセッサ402だけでなく、揮発性及び不揮発性メモリ404、406並びに2つの通信インターフェース408も含む。ネットワーク装置の要素は、1つ又は複数のデータ接続若しくはデータバス410によって相互に通信可能に接続される。不揮発性メモリ406は、マイクロプロセッサ402によって実行されると、本発明による方法の少なくとも1つの改良形態を実施するプログラム命令を含む。
【符号の説明】
【0041】
100 ネットワーク
102~112 ネットワーク装置
200 方法
202 時刻同期に関連するメッセージを監視する
204 ベース時間領域のチェック
204a 仮想ベース時間領域のチェック
206 仮想ベース時間領域での転送
208 クロックパラメータのチェック
210 拒否/無視
212 別個の時間領域を提案する
214 別個の時間領域が受け入れられたかどうかをチェックする
216 転送する
218 仮想ベース時間領域を開始する
220 クロックパラメータの検証
222 仮想時間領域を停止する
224 保存されたクロックパラメータを更新する
226 新しいクロックを拒否する
228 仮想時間領域を維持する
230 新しいクロックの許可をチェックする
400 ネットワーク装置
402 マイクロプロセッサ
404 RAM
406 ROM
408 通信インターフェース
410 バス
【国際調査報告】