防止不正常控制系统、监视装置以及防止不正常控制方法转让专利
申请号 : CN201980066276.0
文献号 : CN112823494B
文献日 : 2022-04-29
发明人 : 岸川刚 , 平野亮 , 氏家良浩
申请人 : 松下电器(美国)知识产权公司
摘要 :
在时间触发型通信方式的车载网络的防止不正常控制系统中,第1错误监视装置具有:第1帧收发部,其接收在车载网络中流动的帧;和第1错误检测部,其在检测到在第1帧收发部所接收到的帧中产生了错误的情况下,使得发送用于通知在帧中产生了错误的错误通知帧,第2错误监视装置分别具有:第2帧收发部,其接收错误通知帧;和第2错误检测部,其在关于所接收到的错误通知帧所包含的产生了错误的所述帧未检测到自身分支中的错误的情况下,将所述帧作为无效化对象帧,使一个以上的第2错误监视装置向使以后的该帧的接收无效化的无效化模式转变。
权利要求 :
1.一种防止不正常控制系统,是基于时隙的时间触发型的通信方式的车载网络中的防止不正常控制系统,
在所述车载网络上按各分支连接有分别在预定的时隙内收发帧的一个以上的电子控制装置,
所述防止不正常控制系统按各所述分支具备错误监视装置,所述错误监视装置中的第1错误监视装置具有:第1帧收发部,其接收在所述车载网络中流动的帧;和第1错误检测部,其检测在所述第1帧收发部所接收到的帧中是否产生了错误,在检测到在所述第1帧收发部所接收到的帧中产生了错误的情况下,使所述第1帧收发部发送用于通知在所述帧中产生了错误的错误通知帧,所述错误通知帧包含能够对产生了错误的所述帧的种类进行识别的信息,
所述错误监视装置中的与所述第1错误监视装置不同的一个以上的第2错误监视装置分别具有:
第2帧收发部,其接收所述错误通知帧;和第2错误检测部,其在关于所接收到的所述错误通知帧所包含的产生了错误的所述帧未检测到自身分支中的错误的情况下,将所述帧作为无效化对象帧,使所述一个以上的第2错误监视装置向使以后的所述帧的接收无效化的无效化模式转变。
2.根据权利要求1所述的防止不正常控制系统,在所述一个以上的第2错误监视装置各自中,所述第2帧收发部在所述车载网络的预定的时隙内收发帧,所述第2错误检测部通过在所述一个以上的第2错误监视装置为所述无效化模式的情况下,使所述第2帧收发部不接收所述无效化对象帧的帧、或者使所述第2帧收发部在与所述无效化对象帧相同的时隙中进行同一标识符的帧的发送,从而使所述无效化对象帧的接收无效化。
3.根据权利要求2所述的防止不正常控制系统,在所述第1错误监视装置中,
所述第1错误检测部在关于所述第1帧收发部所发送的所述错误通知帧所包含的产生了错误的所述帧检测到未从所述一个以上的第2错误监视装置接收到用于通知在自身分支中产生了错误的错误通知帧的情况下,使所述第1帧收发部发送使所述一个以上的第2错误监视装置分别向所述无效化模式转变的无效化模式变更帧,在所述一个以上的第2错误监视装置各自中,所述第2错误检测部在检测到所述第2帧收发部接收到了所述无效化模式变更帧的情况下,认为是未检测到所述自身分支中的错误的情况,使所述一个以上的第2错误监视装置向所述无效化模式转变。
4.根据权利要求2所述的防止不正常控制系统,在所述第1错误监视装置中,
所述第1错误检测部在关于所述第1帧收发部所发送的所述错误通知帧所包含的产生了错误的所述帧检测到未从所述一个以上的第2错误监视装置接收到用于通知在自身分支中产生了错误的错误通知帧的情况下,使所述第1帧收发部发送使所述一个以上的第2错误监视装置分别向所述无效化模式转变的无效化模式变更帧,所述第1错误检测部进一步检测在所述第1帧收发部所发送的所述无效化模式变更帧中是否产生了错误,在检测到在该无效化模式变更帧中产生了错误的情况下,使所述第1帧收发部发送用于通知关于所述无效化模式变更帧的收发而产生了异常的错误通知异常帧,在所述一个以上的第2错误监视装置各自中,所述第2错误检测部在检测到所述第2帧收发部接收到了所述错误通知异常帧的情况下,使所述一个以上的第2错误监视装置向所述无效化模式转变。
5.根据权利要求2所述的防止不正常控制系统,所述一个以上的第2错误监视装置分别还具备错误状态保持部,所述错误状态保持部按帧的类别保持错误的检测次数和错误通知帧的接收次数中的至少一方,在所述第1错误监视装置中,
所述第1错误检测部进一步检测在所述第1帧收发部所发送的所述错误通知帧中是否产生了错误,在检测到在该错误通知帧中产生了错误的情况下,使所述第1帧收发部发送用于通知关于所述错误通知帧的收发而产生了异常的错误通知异常帧,在所述一个以上的第2错误监视装置各自中,所述第2错误检测部在所述第2帧收发部接收到所述错误通知异常帧的情况下,将保持于所述错误状态保持部的所述检测次数和所述接收次数中的任一方为预定数以上的帧作为所述无效化对象帧,使所述一个以上的第2错误监视装置向所述无效化模式转变。
6.根据权利要求1~5中任一项所述的防止不正常控制系统,所述时间触发型的通信方式是FlexRay协议,所述错误是由FlexRay协议确定的SyncError、ContentError、BoundaryViolation以及TxConflict中的任一个。
7.根据权利要求6所述的防止不正常控制系统,所述车载网络由具有星形耦合器的星型拓扑构成,经由所述星形耦合器对多个分支进行帧的收发,
所述错误通知帧是FlexRay协议中的动态帧,所述第1帧收发部根据连接所述第1错误监视装置的分支,决定发送所述错误通知帧的周期数。
8.根据权利要求7所述的防止不正常控制系统,在所述第1错误监视装置中,
通过使所述第1帧收发部发送使多个分支中的一个分支无效化的无效化切换帧,使连接于所述一个分支的至少一个第2错误监视装置转变为所述无效化模式,创造出使与所述一个分支以外的一个以上的分支连接的至少一个第2错误监视装置不转变为所述无效化模式的期间,检测在该期间中从所述一个以上的第2错误监视装置接收的错误通知帧的个数,通过在从使所述第1帧收发部发送了所述无效化切换帧时起经过预定的时间后,使所述第1帧收发部发送使所述一个以上的分支中的一个分支无效化的无效化切换帧,从而使所述第1帧收发部发送使所述多个分支分别按次序无效化的无效化切换帧,将检测为所述错误通知帧的个数最大的一个分支判定为不正常分支。
9.根据权利要求8所述的防止不正常控制系统,所述无效化切换帧包含表示使得转变为所述无效化模式的有效化标志、和对使得转变为所述无效化模式的分支进行识别的值。
10.根据权利要求9所述的防止不正常控制系统,在所述一个以上的第2错误监视装置各自中,所述第2错误检测部在所述第2帧收发部接收到所述无效化切换帧、根据所述无效化切换帧所包含的所述值识别的分支与连接有该第2错误监视装置的分支一致的情况下,使该第2错误监视装置向所述无效化模式转变。
11.根据权利要求1所述的防止不正常控制系统,在所述一个以上的第2错误监视装置各自中,所述第2帧收发部在所述车载网络的预定的时隙内发送第1帧,所述第2错误检测部在所述一个以上的第2错误监视装置为所述无效化模式的情况下,通过使所述第2帧收发部在所述预定的时隙内以比预先确定的发送开始定时早的发送开始定时发送所述第1帧,从而使所述无效化对象帧的接收无效化。
12.一种监视装置,是基于时隙的时间触发型的通信方式的车载网络中的监视装置,在所述车载网络上按各分支连接有分别在预定的时隙内收发帧的一个以上的电子控制装置,
所述监视装置按各所述分支来设置,具备:帧收发部,其接收为了通知在所述帧中产生了错误而发送的错误通知帧,所述错误通知帧包含能够在所述车载网络中流动的帧产生了错误的情况下对产生了错误的所述帧的种类进行识别的信息;和
错误检测部,其在关于所接收到的所述错误通知帧所包含的产生了错误的所述帧未检测到自身分支中的错误的情况下,将所述帧作为无效化对象帧,使所述监视装置向使以后的所述帧的接收无效化的无效化模式转变。
13.根据权利要求12所述的监视装置,所述帧收发部接收在所述车载网络中流动的帧,所述错误检测部检测在所述帧收发部所接收到的第1帧中是否产生了错误,在检测到在所述帧收发部所接收到的所述第1帧中产生了错误的情况下,使所述帧收发部发送用于通知在所述第1帧中产生了错误的第1错误通知帧,所述第1错误通知帧包含能够对产生了错误的所述第1帧的种类进行识别的信息。
14.一种防止不正常控制方法,是防止不正常控制系统中的防止不正常控制方法,所述防止不正常控制系统是基于时隙的时间触发型的通信方式的车载网络中的防止不正常控制系统,
在所述车载网络上按各分支连接有分别在预定的时隙内收发帧的一个以上的电子控制装置,
所述防止不正常控制系统按各所述分支而具备错误监视装置,所述防止不正常控制方法包括:
第1帧收发步骤,所述错误监视装置中的第1错误监视装置接收在所述车载网络中流动的帧;
第1错误检测步骤,所述第1错误监视装置检测在所述第1帧收发步骤中接收到的帧中是否产生了错误,在检测到在所述第1帧收发步骤中接收到的帧中产生了错误的情况下,使得在所述第1帧收发步骤中发送用于通知在所述帧中产生了错误的错误通知帧,所述错误通知帧包含能够对产生了错误的所述帧的种类进行识别的信息;
第2帧收发步骤,所述错误监视装置中的与所述第1错误监视装置不同的一个以上的第
2错误监视装置分别接收所述错误通知帧;以及第2错误检测步骤,在所述一个以上的第2错误监视装置分别关于在所述第2帧收发步骤中接收到的所述错误通知帧所包含的产生了错误的所述帧未检测到自身分支中的错误的情况下,将所述帧作为无效化对象帧,使所述一个以上的第2错误监视装置向使以后的所述帧的接收无效化的无效化模式转变。
说明书 :
防止不正常控制系统、监视装置以及防止不正常控制方法
技术领域
[0001] 本公开涉及使车载网络中的不正常帧的发送无效化的防止不正常控制系统、监视装置以及防止不正常控制方法。
背景技术
[0002] 近年来,在汽车中的系统配置有大量的被称为电子控制单元(以下记载为ECU)的装置。连接这些ECU的网络被称为车载网络。
[0003] 车载网络存在大量的标准。其中也存在作为比当前成为主流的控制器局域网络(Controller Area Network(以下记载为CAN))高速、高可靠性的协议所设计的FlexRay这
一标准。
一标准。
[0004] 在FlexRay中,通过两条线的电压差表示“0”的值和“1”的值。连接于总线的ECU被称为节点,收发被称为帧的消息。FlexRay是时分多址(Time Division Multiple Access
(以下记载为TDMA))方式,各节点在预先确定的定时发送帧。
(以下记载为TDMA))方式,各节点在预先确定的定时发送帧。
[0005] 在FlexRay中,存在作为最大的时间单位的周期,各节点对全局时间(global time)进行了同步。周期由“静态片段”、“动态片段”、“符号窗口(Symbol window)”以及“网
络空闲时间(Network Idle Time)”这四个片段(segment)构成。动态片段和符号窗口是可
选项。静态片段和动态片段进一步由被称为时隙(slot)的能够发送一个帧的时间构成。各
节点在静态片段和动态片段中以预先规定的定时发送帧。
络空闲时间(Network Idle Time)”这四个片段(segment)构成。动态片段和符号窗口是可
选项。静态片段和动态片段进一步由被称为时隙(slot)的能够发送一个帧的时间构成。各
节点在静态片段和动态片段中以预先规定的定时发送帧。
[0006] 在FlexRay中,不存在表示发送目的地和发送源的标识符。发送节点基于按各帧预先确定的发送定时即时隙编号来发送帧。各接收节点仅接收预先决定的时隙编号的帧。此
外,即使是基于同一时隙编号来发送的帧,通过使用实现根据周期而不同的帧的通信的被
称为“周期多路复用”的方法,能够以同一时隙编号在不同的定时进行发送。
外,即使是基于同一时隙编号来发送的帧,通过使用实现根据周期而不同的帧的通信的被
称为“周期多路复用”的方法,能够以同一时隙编号在不同的定时进行发送。
[0007] 这样,在FlexRay中采用了基于时隙的时间触发型的通信方式。
[0008] 另外,对于FlexRay,不限于如CAN那样全部节点连接于一个总线的总线型网络拓扑,也可以由经由了星形耦合器的星型的网络拓扑或者总线型与星型的混合型的网络拓扑
来构成。
来构成。
[0009] 例如在星型的网络拓扑中,在被称为分支的多个总线中,通过星形耦合器对各分支的信号进行路由选择,实现网络的同步。星形耦合器为在各分支的信号中对最先被发送
来的信号进行路由选择的标准。因此,在某分支内存在不正常的ECU、在正常ECU发送正常帧
之前不正常的ECU先发送了不正常帧的情况下,根据星形耦合器的标准,正常帧会被忽略,
不正常帧会被路由选择。并且,由于不正常帧被进行了路由选择,可能会引起车辆的不正常
控制。
来的信号进行路由选择的标准。因此,在某分支内存在不正常的ECU、在正常ECU发送正常帧
之前不正常的ECU先发送了不正常帧的情况下,根据星形耦合器的标准,正常帧会被忽略,
不正常帧会被路由选择。并且,由于不正常帧被进行了路由选择,可能会引起车辆的不正常
控制。
[0010] 在这样的状况下,例如专利文献1提出了对车载网络的不正常帧进行检测的不正常检测方法及其防止方法。更具体而言,在专利文献1中公开了如下的车载网络监视装置:
通过检测是否以预先规定的通信间隔发送了帧,将偏离了所规定的通信间隔的帧判断为不
正常,从而防止由不正常帧引起的控制。
通过检测是否以预先规定的通信间隔发送了帧,将偏离了所规定的通信间隔的帧判断为不
正常,从而防止由不正常帧引起的控制。
[0011] 现有技术文献
[0012] 专利文献1:日本特许第5664799号公报
发明内容
[0013] 发明要解决的技术问题
[0014] 然而,在采用了时间触发型的通信方式的FlexRay中,由于以预先规定的通信间隔进行通信,因此,具有某特定的标识符的帧的接收间隔总是为一定。因此,如专利文献1所公
开那样的不正常检测方法无法应用于FlexRay的车载网络。
开那样的不正常检测方法无法应用于FlexRay的车载网络。
[0015] 本公开是鉴于上述状况而完成的,因此,提供一种能够使车载网络中的不正常帧的发送无效化的防止不正常控制系统、监视装置以及防止不正常控制方法。
[0016] 用于解决问题的技术方案
[0017] 为了解决上述问题,本公开的一个技术方案涉及的防止不正常控制系统是基于时隙的时间触发型的通信方式的车载网络中的防止不正常控制系统,在所述车载网络上按各
分支连接有分别在预定的时隙内收发帧的一个以上的电子控制装置,所述防止不正常控制
系统按各所述分支具备错误监视装置,所述错误监视装置中的第1错误监视装置具有:第1
帧收发部,其接收在所述车载网络中流动的帧;和第1错误检测部,其检测在所述第1帧收发
部所接收到的帧中是否产生了错误,在检测到在所述第1帧收发部所接收到的帧中产生了
错误的情况下,使所述第1帧收发部发送用于通知在所述帧中产生了错误的错误通知帧,所
述错误通知帧包含能够对产生了错误的所述帧的种类进行识别的信息,所述错误监视装置
中的与所述第1错误监视装置不同的一个以上的第2错误监视装置分别具有:第2帧收发部,
其接收所述错误通知帧;和第2错误检测部,其在关于所接收到的所述错误通知帧所包含的
产生了错误的所述帧未检测到自身分支中的错误的情况下,将所述帧作为无效化对象帧,
使所述一个以上的第2错误监视装置向使以后的所述帧的接收无效化的无效化模式转变。
分支连接有分别在预定的时隙内收发帧的一个以上的电子控制装置,所述防止不正常控制
系统按各所述分支具备错误监视装置,所述错误监视装置中的第1错误监视装置具有:第1
帧收发部,其接收在所述车载网络中流动的帧;和第1错误检测部,其检测在所述第1帧收发
部所接收到的帧中是否产生了错误,在检测到在所述第1帧收发部所接收到的帧中产生了
错误的情况下,使所述第1帧收发部发送用于通知在所述帧中产生了错误的错误通知帧,所
述错误通知帧包含能够对产生了错误的所述帧的种类进行识别的信息,所述错误监视装置
中的与所述第1错误监视装置不同的一个以上的第2错误监视装置分别具有:第2帧收发部,
其接收所述错误通知帧;和第2错误检测部,其在关于所接收到的所述错误通知帧所包含的
产生了错误的所述帧未检测到自身分支中的错误的情况下,将所述帧作为无效化对象帧,
使所述一个以上的第2错误监视装置向使以后的所述帧的接收无效化的无效化模式转变。
[0018] 另外,为了解决上述问题,本公开的一个技术方案涉及的监视装置是基于时隙的时间触发型的通信方式的车载网络中的监视装置,在所述车载网络上按各分支连接有分别
在预定的时隙内收发帧的一个以上的电子控制装置,所述监视装置按各所述分支来设置,
具备:帧收发部,其接收为了通知在所述帧中产生了错误而发送的错误通知帧,所述错误通
知帧包含能够在所述车载网络中流动的帧产生了错误的情况下对产生了错误的所述帧的
种类进行识别的信息;和错误检测部,其在关于所接收到的所述错误通知帧所包含的产生
了错误的所述帧未检测到自身分支中的错误的情况下,将所述帧作为无效化对象帧,使所
述监视装置向使以后的所述帧的接收无效化的无效化模式转变。
在预定的时隙内收发帧的一个以上的电子控制装置,所述监视装置按各所述分支来设置,
具备:帧收发部,其接收为了通知在所述帧中产生了错误而发送的错误通知帧,所述错误通
知帧包含能够在所述车载网络中流动的帧产生了错误的情况下对产生了错误的所述帧的
种类进行识别的信息;和错误检测部,其在关于所接收到的所述错误通知帧所包含的产生
了错误的所述帧未检测到自身分支中的错误的情况下,将所述帧作为无效化对象帧,使所
述监视装置向使以后的所述帧的接收无效化的无效化模式转变。
[0019] 另外,为了解决上述问题,本公开的一个技术方案涉及的防止不正常控制方法是防止不正常控制系统中的防止不正常控制方法,所述防止不正常控制系统是基于时隙的时
间触发型的通信方式的车载网络中的防止不正常控制系统,在所述车载网络上按各分支连
接有分别在预定的时隙内收发帧的一个以上的电子控制装置,所述防止不正常控制系统按
各所述分支而具备错误监视装置,所述防止不正常控制方法包括:第1帧收发步骤,所述错
误监视装置中的第1错误监视装置接收在所述车载网络中流动的帧;第1错误检测步骤,所
述第1错误监视装置检测在所述第1帧收发步骤中接收到的帧中是否产生了错误,在检测到
在所述第1帧收发步骤中接收到的帧中产生了错误的情况下,使得在所述第1帧收发步骤中
发送用于通知在所述帧中产生了错误的错误通知帧,所述错误通知帧包含能够对产生了错
误的所述帧的种类进行识别的信息;第2帧收发步骤,所述错误监视装置中的与所述第1错
误监视装置不同的一个以上的第2错误监视装置分别接收所述错误通知帧;以及第2错误检
测步骤,在所述一个以上的第2错误监视装置分别关于在所述第2帧收发步骤中接收到的所
述错误通知帧所包含的产生了错误的所述帧未检测到自身分支中的错误的情况下,将所述
帧作为无效化对象帧,使所述一个以上的第2错误监视装置向使以后的所述帧的接收无效
化的无效化模式转变。
间触发型的通信方式的车载网络中的防止不正常控制系统,在所述车载网络上按各分支连
接有分别在预定的时隙内收发帧的一个以上的电子控制装置,所述防止不正常控制系统按
各所述分支而具备错误监视装置,所述防止不正常控制方法包括:第1帧收发步骤,所述错
误监视装置中的第1错误监视装置接收在所述车载网络中流动的帧;第1错误检测步骤,所
述第1错误监视装置检测在所述第1帧收发步骤中接收到的帧中是否产生了错误,在检测到
在所述第1帧收发步骤中接收到的帧中产生了错误的情况下,使得在所述第1帧收发步骤中
发送用于通知在所述帧中产生了错误的错误通知帧,所述错误通知帧包含能够对产生了错
误的所述帧的种类进行识别的信息;第2帧收发步骤,所述错误监视装置中的与所述第1错
误监视装置不同的一个以上的第2错误监视装置分别接收所述错误通知帧;以及第2错误检
测步骤,在所述一个以上的第2错误监视装置分别关于在所述第2帧收发步骤中接收到的所
述错误通知帧所包含的产生了错误的所述帧未检测到自身分支中的错误的情况下,将所述
帧作为无效化对象帧,使所述一个以上的第2错误监视装置向使以后的所述帧的接收无效
化的无效化模式转变。
[0020] 此外,这些普遍性的或者具体的技术方案既可以由装置、系统、集成电路、计算机程序或者能够由计算机读取的CD-ROM等的记录介质来实现,也可以由装置、系统、方法、计
算机程序以及记录介质的任意的组合来实现。
算机程序以及记录介质的任意的组合来实现。
[0021] 发明的效果
[0022] 根据本公开的防止不正常控制系统等,能够使车载网络中的不正常帧的发送无效化。由此,作为车载网络系统整体,能够维持安全的状态。
附图说明
[0023] 图1是表示实施方式涉及的车载网络系统的整体构成的图。
[0024] 图2是表示实施方式涉及的FlexRay通信的周期的图。
[0025] 图3是表示实施方式涉及的FlexRay协议的帧格式的图。
[0026] 图4是表示实施方式涉及的ECU的构成的图。
[0027] 图5是表示实施方式涉及的监视ECU的构成的一个例子的图。
[0028] 图6是表示实施方式涉及的星形耦合器的构成的图。
[0029] 图7是表示实施方式涉及的通信用设定参数的一个例子的图。
[0030] 图8是表示实施方式涉及的静态帧的正常ID列表的一个例子的图。
[0031] 图9是表示实施方式涉及的动态帧的正常ID列表的一个例子的图。
[0032] 图10是表示实施方式涉及的分支状态的一个例子的图。
[0033] 图11A是表示实施方式涉及的错误通知帧的一个例子的图。
[0034] 图11B是表示实施方式涉及的错误通知异常帧的一个例子的图。
[0035] 图12是表示实施方式涉及的监视ECU的处理的流程图。
[0036] 图13A是表示本实施方式涉及的ECU被攻击者劫持了控制时到监视ECU转变为无效化模式为止的动作时序的一个例子的图。
[0037] 图13B是表示本实施方式涉及的ECU被攻击者劫持了控制时监视ECU转变为无效化模式之后的动作时序的一个例子的图。
[0038] 图14A是表示实施方式涉及的ECU被攻击者劫持了控制时到监视ECU发送无效化模式变更帧为止的动作时序的一个例子的图。
[0039] 图14B是表示实施方式涉及的监视ECU发送的无效化模式变更帧被进行了伪装时的动作时序的一个例子的图。
[0040] 图15是表示实施方式的变形例涉及的无效化切换帧的一个例子的图。
[0041] 图16A是表示实施方式的变形例涉及的防止不正常控制系统通过将各分支依次切换为无效化模式来确定存在不正常的ECU的分支的动作时序的一个例子的图。
[0042] 图16B是表示实施方式的变形例涉及的防止不正常控制系统通过将各分支依次切换为无效化模式来确定存在不正常的ECU的分支的动作时序的一个例子的图。
[0043] 图16C是表示实施方式的变形例涉及的防止不正常控制系统通过将各分支依次切换为无效化模式来确定存在不正常的ECU的分支的动作时序的一个例子的图。
[0044] 图16D是表示实施方式的变形例涉及的防止不正常控制系统通过将各分支依次切换为无效化模式来确定存在不正常的ECU的分支的动作时序的一个例子的图。
[0045] 标号说明
[0046] 10 车载网络系统
[0047] 100a、100b、100c、100d 分支
[0048] 200a、200b、200c、200d ECU
[0049] 201、401 帧收发部
[0050] 202 帧解释部
[0051] 203 外部设备控制部
[0052] 204 帧生成部
[0053] 205 通信用设定参数保持部
[0054] 210 方向盘
[0055] 220 传动装置
[0056] 230 外部通信模块
[0057] 240 摄像头
[0058] 300 星形耦合器
[0059] 301a、301b、301c、301d 收发器部
[0060] 302 路由选择部
[0061] 400a、400b、400c、400d 监视ECU
[0062] 402 错误检测部
[0063] 403 正常ID列表保持部
[0064] 404 分支状态保持部
具体实施方式
[0065] 本公开的一个技术方案涉及的防止不正常控制系统是基于时隙的时间触发型的通信方式的车载网络中的防止不正常控制系统,在所述车载网络上按各分支连接有分别在
预定的时隙内收发帧的一个以上的电子控制装置,所述防止不正常控制系统按各所述分支
具备错误监视装置,所述错误监视装置中的第1错误监视装置具有:第1帧收发部,其接收在
所述车载网络中流动的帧;和第1错误检测部,其检测在所述第1帧收发部所接收到的帧中
是否产生了错误,在检测到在所述第1帧收发部所接收到的帧中产生了错误的情况下,使所
述第1帧收发部发送用于通知在所述帧中产生了错误的错误通知帧,所述错误通知帧包含
能够对产生了错误的所述帧的种类进行识别的信息,所述错误监视装置中的与所述第1错
误监视装置不同的一个以上的第2错误监视装置分别具有:第2帧收发部,其接收所述错误
通知帧;和第2错误检测部,其在关于所接收到的所述错误通知帧所包含的产生了错误的所
述帧未检测到自身分支中的错误的情况下,将所述帧作为无效化对象帧,使所述一个以上
的第2错误监视装置向使以后的所述帧的接收无效化的无效化模式转变。
预定的时隙内收发帧的一个以上的电子控制装置,所述防止不正常控制系统按各所述分支
具备错误监视装置,所述错误监视装置中的第1错误监视装置具有:第1帧收发部,其接收在
所述车载网络中流动的帧;和第1错误检测部,其检测在所述第1帧收发部所接收到的帧中
是否产生了错误,在检测到在所述第1帧收发部所接收到的帧中产生了错误的情况下,使所
述第1帧收发部发送用于通知在所述帧中产生了错误的错误通知帧,所述错误通知帧包含
能够对产生了错误的所述帧的种类进行识别的信息,所述错误监视装置中的与所述第1错
误监视装置不同的一个以上的第2错误监视装置分别具有:第2帧收发部,其接收所述错误
通知帧;和第2错误检测部,其在关于所接收到的所述错误通知帧所包含的产生了错误的所
述帧未检测到自身分支中的错误的情况下,将所述帧作为无效化对象帧,使所述一个以上
的第2错误监视装置向使以后的所述帧的接收无效化的无效化模式转变。
[0066] 由此,能够使基于时隙的时间触发型的通信方式的车载网络中的不正常帧的发送无效化。更具体而言,本公开的防止不正常控制系统等基于车载网络中的错误产生状况的
不匹配,对发送了不正常帧这一情况进行检测。并且,通过在检测到发送了不正常帧的情况
下使以后的不正常帧的接收无效化,使不正常帧的发送无效化。这样,通过实现故障安全功
能,能够提高车载网络的安全性。
不匹配,对发送了不正常帧这一情况进行检测。并且,通过在检测到发送了不正常帧的情况
下使以后的不正常帧的接收无效化,使不正常帧的发送无效化。这样,通过实现故障安全功
能,能够提高车载网络的安全性。
[0067] 另外,也可以为,在所述一个以上的第2错误监视装置各自中,所述第2帧收发部在所述车载网络的预定的时隙内收发帧,所述第2错误检测部通过在所述一个以上的第2错误
监视装置为所述无效化模式的情况下,使所述第2帧收发部不接收所述无效化对象帧的帧、
或者使所述第2帧收发部在与所述无效化对象帧相同的时隙中进行同一标识符的帧的发
送,从而使所述无效化对象帧的接收无效化。
监视装置为所述无效化模式的情况下,使所述第2帧收发部不接收所述无效化对象帧的帧、
或者使所述第2帧收发部在与所述无效化对象帧相同的时隙中进行同一标识符的帧的发
送,从而使所述无效化对象帧的接收无效化。
[0068] 由此,能够适当地使不正常的帧无效化,因此,能够提高车载网络的安全性。
[0069] 另外,也可以为,在所述第1错误监视装置中,所述第1错误检测部在关于所述第1帧收发部所发送的所述错误通知帧所包含的产生了错误的所述帧检测到未从所述一个以
上的第2错误监视装置接收到用于通知在自身分支中产生了错误的错误通知帧的情况下,
使所述第1帧收发部发送使所述一个以上的第2错误监视装置分别向所述无效化模式转变
的无效化模式变更帧,在所述一个以上的第2错误监视装置各自中,所述第2错误检测部在
检测到所述第2帧收发部接收到了所述无效化模式变更帧的情况下,认为是未检测到所述
自身分支中的错误的情况,使所述一个以上的第2错误监视装置向所述无效化模式转变。
上的第2错误监视装置接收到用于通知在自身分支中产生了错误的错误通知帧的情况下,
使所述第1帧收发部发送使所述一个以上的第2错误监视装置分别向所述无效化模式转变
的无效化模式变更帧,在所述一个以上的第2错误监视装置各自中,所述第2错误检测部在
检测到所述第2帧收发部接收到了所述无效化模式变更帧的情况下,认为是未检测到所述
自身分支中的错误的情况,使所述一个以上的第2错误监视装置向所述无效化模式转变。
[0070] 由此,即使为进行错误通知的帧被伪装为了不正常的帧,也能够使不正常的帧无效化。由此,能够提高车载网络的安全性。
[0071] 另外,也可以为,在所述第1错误监视装置中,所述第1错误检测部在关于所述第1帧收发部所发送的所述错误通知帧所包含的产生了错误的所述帧检测到未从所述一个以
上的第2错误监视装置接收到用于通知在自身分支中产生了错误的错误通知帧的情况下,
使所述第1帧收发部发送使所述一个以上的第2错误监视装置分别向所述无效化模式转变
的无效化模式变更帧,所述第1错误检测部进一步检测在所述第1帧收发部所发送的所述无
效化模式变更帧中是否产生了错误,在检测到在该无效化模式变更帧中产生了错误的情况
下,使所述第1帧收发部发送用于通知关于所述无效化模式变更帧的收发而产生了异常的
错误通知异常帧,在所述一个以上的第2错误监视装置各自中,所述第2错误检测部在检测
到所述第2帧收发部接收到了所述错误通知异常帧的情况下,使所述一个以上的第2错误监
视装置向所述无效化模式转变。
上的第2错误监视装置接收到用于通知在自身分支中产生了错误的错误通知帧的情况下,
使所述第1帧收发部发送使所述一个以上的第2错误监视装置分别向所述无效化模式转变
的无效化模式变更帧,所述第1错误检测部进一步检测在所述第1帧收发部所发送的所述无
效化模式变更帧中是否产生了错误,在检测到在该无效化模式变更帧中产生了错误的情况
下,使所述第1帧收发部发送用于通知关于所述无效化模式变更帧的收发而产生了异常的
错误通知异常帧,在所述一个以上的第2错误监视装置各自中,所述第2错误检测部在检测
到所述第2帧收发部接收到了所述错误通知异常帧的情况下,使所述一个以上的第2错误监
视装置向所述无效化模式转变。
[0072] 由此,即使为进行错误通知的帧被伪装为了不正常的帧,也能够使不正常的帧无效化。由此,能够提高车载网络的安全性。
[0073] 另外,也可以为,所述一个以上的第2错误监视装置分别还具备错误状态保持部,所述错误状态保持部按帧的类别保持错误的检测次数和错误通知帧的接收次数中的至少
一方,在所述第1错误监视装置中,所述第1错误检测部进一步检测在所述第1帧收发部所发
送的所述错误通知帧中是否产生了错误,在检测到在该错误通知帧中产生了错误的情况
下,使所述第1帧收发部发送用于通知关于所述错误通知帧的收发而产生了异常的错误通
知异常帧,在所述一个以上的第2错误监视装置各自中,所述第2错误检测部在所述第2帧收
发部接收到所述错误通知异常帧的情况下,将保持于所述错误状态保持部的所述检测次数
和所述接收次数中的某一方为预定数以上的帧作为所述无效化对象帧,使所述一个以上的
第2错误监视装置向所述无效化模式转变。
一方,在所述第1错误监视装置中,所述第1错误检测部进一步检测在所述第1帧收发部所发
送的所述错误通知帧中是否产生了错误,在检测到在该错误通知帧中产生了错误的情况
下,使所述第1帧收发部发送用于通知关于所述错误通知帧的收发而产生了异常的错误通
知异常帧,在所述一个以上的第2错误监视装置各自中,所述第2错误检测部在所述第2帧收
发部接收到所述错误通知异常帧的情况下,将保持于所述错误状态保持部的所述检测次数
和所述接收次数中的某一方为预定数以上的帧作为所述无效化对象帧,使所述一个以上的
第2错误监视装置向所述无效化模式转变。
[0074] 由此,即使为进行错误通知的帧被伪装为了不正常的帧,也能够使不正常的帧无效化。进一步,能够不发送无效化模式变更帧而向无效化模式转变,因此,在希望更早地使
不正常的帧无效化的情况下是有效的。由此,能够进一步提高车载网络的安全性。
不正常的帧无效化的情况下是有效的。由此,能够进一步提高车载网络的安全性。
[0075] 另外,也可以为,所述时间触发型的通信方式是FlexRay协议,所述错误是由FlexRay协议确定的SyncError(同步错误)、ContentError(内容错误)、BoundaryViolation
(边界违规)以及TxConflict(发送冲突)中的任一个。
(边界违规)以及TxConflict(发送冲突)中的任一个。
[0076] 由此,能够使搭载了FlexRay的车载网络中的不正常帧的发送无效化。
[0077] 另外,也可以为,所述车载网络由具有星形耦合器的星型拓扑构成,经由所述星形耦合器对多个分支进行帧的收发,所述错误通知帧是FlexRay协议中的动态帧,所述第1帧
收发部根据连接所述第1错误监视装置的分支,决定发送所述错误通知帧的周期数。
收发部根据连接所述第1错误监视装置的分支,决定发送所述错误通知帧的周期数。
[0078] 由此,在星型FlexRay中,能够在高效地利用时隙ID的同时,进行错误通知帧的收发。由此,能够在保持车载网络的设计的自由度的同时,适当地使不正常的帧无效化,能够
提高安全性。
提高安全性。
[0079] 另外,也可以为,在所述第1错误监视装置中,通过使所述第1帧收发部发送使多个分支中的一个分支无效化的无效化切换帧,使连接于所述一个分支的至少一个第2错误监
视装置转变为所述无效化模式,创造出使与所述一个分支以外的一个以上的分支连接的至
少一个第2错误监视装置不转变为所述无效化模式的期间,检测在该期间中从所述一个以
上的第2错误监视装置接收的错误通知帧的个数,通过在从使所述第1帧收发部发送了所述
无效化切换帧时起经过预定的时间后,使所述第1帧收发部发送使所述一个以上的分支中
的一个分支无效化的无效化切换帧,从而使所述第1帧收发部发送使所述多个分支分别按
次序无效化的无效化切换帧,将检测为所述错误通知帧的个数最大的一个分支判定为不正
常分支。
视装置转变为所述无效化模式,创造出使与所述一个分支以外的一个以上的分支连接的至
少一个第2错误监视装置不转变为所述无效化模式的期间,检测在该期间中从所述一个以
上的第2错误监视装置接收的错误通知帧的个数,通过在从使所述第1帧收发部发送了所述
无效化切换帧时起经过预定的时间后,使所述第1帧收发部发送使所述一个以上的分支中
的一个分支无效化的无效化切换帧,从而使所述第1帧收发部发送使所述多个分支分别按
次序无效化的无效化切换帧,将检测为所述错误通知帧的个数最大的一个分支判定为不正
常分支。
[0080] 由此,能明确发送了不正常帧的分支,得到有益于应对的信息,因此,能够使车载网络中的不正常帧的发送无效化。
[0081] 另外,所述无效化切换帧也可以包括表示使得转变为所述无效化模式的有效化标志、和对使得转变为所述无效化模式的分支进行识别的值。
[0082] 另外,也可以为,在所述一个以上的第2错误监视装置各自中,所述第2错误检测部在所述第2帧收发部接收所述无效化切换帧、根据所述无效化切换帧所包含的所述值识别
的分支与连接有该第2错误监视装置的分支一致的情况下,使该第2错误监视装置向所述无
效化模式转变。
的分支与连接有该第2错误监视装置的分支一致的情况下,使该第2错误监视装置向所述无
效化模式转变。
[0083] 另外,也可以为,在所述一个以上的第2错误监视装置各自中,所述第2帧收发部在所述车载网络的预定的时隙内发送第1帧,所述第2错误检测部在所述一个以上的第2错误
监视装置为所述无效化模式的情况下,通过使所述第2帧收发部在所述预定的时隙内以比
预先确定的发送开始定时早的发送开始定时发送所述第1帧,从而使所述无效化对象帧的
接收无效化。
监视装置为所述无效化模式的情况下,通过使所述第2帧收发部在所述预定的时隙内以比
预先确定的发送开始定时早的发送开始定时发送所述第1帧,从而使所述无效化对象帧的
接收无效化。
[0084] 由此,正常帧的发送开始定时比不正常帧早,能够抑制由不正常帧引起的影响。也即是,能够使车载网络中的不正常帧的发送无效化。
[0085] 另外,本公开的一个技术方案涉及的监视装置是基于时隙的时间触发型的通信方式的车载网络中的监视装置,在所述车载网络上按各分支连接有分别在预定的时隙内收发
帧的一个以上的电子控制装置,所述监视装置按各所述分支来设置,具备:帧收发部,其接
收为了通知在所述帧中产生了错误而发送的错误通知帧,所述错误通知帧包含能够在所述
车载网络中流动的帧产生了错误的情况下对产生了错误的所述帧的种类进行识别的信息;
和错误检测部,其在关于所接收到的所述错误通知帧所包含的产生了错误的所述帧未检测
到自身分支中的错误的情况下,将所述帧作为无效化对象帧,使所述监视装置向使以后的
所述帧的接收无效化的无效化模式转变。
帧的一个以上的电子控制装置,所述监视装置按各所述分支来设置,具备:帧收发部,其接
收为了通知在所述帧中产生了错误而发送的错误通知帧,所述错误通知帧包含能够在所述
车载网络中流动的帧产生了错误的情况下对产生了错误的所述帧的种类进行识别的信息;
和错误检测部,其在关于所接收到的所述错误通知帧所包含的产生了错误的所述帧未检测
到自身分支中的错误的情况下,将所述帧作为无效化对象帧,使所述监视装置向使以后的
所述帧的接收无效化的无效化模式转变。
[0086] 由此,通过基于错误的产生状况的不匹配,检测不正常帧的发送并使之无效化,能够提高车载网络系统的安全性。
[0087] 另外,本公开的一个技术方案涉及的防止不正常控制方法是防止不正常控制系统中的防止不正常控制方法,所述防止不正常控制系统是基于时隙的时间触发型的通信方式
的车载网络中的防止不正常控制系统,在所述车载网络上按各分支而连接有分别在预定的
时隙内收发帧的一个以上的电子控制装置,所述防止不正常控制系统按各所述分支而具备
错误监视装置,所述防止不正常控制方法包括:第1帧收发步骤,所述错误监视装置中的第1
错误监视装置接收在所述车载网络中流动的帧;第1错误检测步骤,所述第1错误监视装置
检测在所述第1帧收发步骤中接收到的帧中是否产生了错误,在检测到在所述第1帧收发步
骤中接收到的帧中产生了错误的情况下,使得在所述第1帧收发步骤中发送用于通知在所
述帧中产生了错误的错误通知帧,所述错误通知帧包含能够对产生了错误的所述帧的种类
进行识别的信息;第2帧收发步骤,所述错误监视装置中的与所述第1错误监视装置不同的
一个以上的第2错误监视装置分别接收所述错误通知帧;以及第2错误检测步骤,在所述一
个以上的第2错误监视装置分别关于在所述第2帧收发步骤中接收到的所述错误通知帧所
包含的产生了错误的所述帧未检测到自身分支中的错误的情况下,将所述帧作为无效化对
象帧,使所述一个以上的第2错误监视装置向使以后的所述帧的接收无效化的无效化模式
转变。
的车载网络中的防止不正常控制系统,在所述车载网络上按各分支而连接有分别在预定的
时隙内收发帧的一个以上的电子控制装置,所述防止不正常控制系统按各所述分支而具备
错误监视装置,所述防止不正常控制方法包括:第1帧收发步骤,所述错误监视装置中的第1
错误监视装置接收在所述车载网络中流动的帧;第1错误检测步骤,所述第1错误监视装置
检测在所述第1帧收发步骤中接收到的帧中是否产生了错误,在检测到在所述第1帧收发步
骤中接收到的帧中产生了错误的情况下,使得在所述第1帧收发步骤中发送用于通知在所
述帧中产生了错误的错误通知帧,所述错误通知帧包含能够对产生了错误的所述帧的种类
进行识别的信息;第2帧收发步骤,所述错误监视装置中的与所述第1错误监视装置不同的
一个以上的第2错误监视装置分别接收所述错误通知帧;以及第2错误检测步骤,在所述一
个以上的第2错误监视装置分别关于在所述第2帧收发步骤中接收到的所述错误通知帧所
包含的产生了错误的所述帧未检测到自身分支中的错误的情况下,将所述帧作为无效化对
象帧,使所述一个以上的第2错误监视装置向使以后的所述帧的接收无效化的无效化模式
转变。
[0088] 以下,参照附图对本实施方式涉及的车载网络系统进行说明。在此所示的实施方式均表示本公开的一个具体例。因此,以下的实施方式中所示的数值、构成要素、构成要素
的配置及连接形态以及步骤(工序)及步骤的顺序等是一个例子,并不对本公开进行限定。
关于以下的实施方式的构成要素中的未记载于独立权利要求的构成要素,是可以任意地添
加的构成要素。另外,各图是示意图,并不一定严密地进行了图示。
的配置及连接形态以及步骤(工序)及步骤的顺序等是一个例子,并不对本公开进行限定。
关于以下的实施方式的构成要素中的未记载于独立权利要求的构成要素,是可以任意地添
加的构成要素。另外,各图是示意图,并不一定严密地进行了图示。
[0089] (实施方式1)
[0090] 1.系统的构成
[0091] 以下,参照附图对本实施方式涉及的车载网络中的防止不正常控制系统进行说明。
[0092] 1.1车载网络系统10的整体构成
[0093] 图1是表示本实施方式涉及的车载网络系统10的整体构成的图。
[0094] 车载网络系统10具有基于时隙的时间触发型的通信方式的车载网络,该车载网络由具有星形耦合器的星型拓扑构成,经由星形耦合器对多个分支进行帧的收发。在车载网
络分别按各分支连接有在预定的时隙内收发帧的一个以上的电子控制装置。另外,车载网
络系统10按各分支具备错误监视装置。此外,基于时隙的时间触发型的通信方式例如为
FlexRay协议。
络分别按各分支连接有在预定的时隙内收发帧的一个以上的电子控制装置。另外,车载网
络系统10按各分支具备错误监视装置。此外,基于时隙的时间触发型的通信方式例如为
FlexRay协议。
[0095] 在本实施方式中,如图1所示,车载网络系统10具备分支100a、100b、100c、100d、ECU200a、200b、200c、200d、监视ECU400a、400b、400c、400d、方向盘210、传动装置(gear)
220、外部通信模块230、摄像头240以及星形耦合器300。
220、外部通信模块230、摄像头240以及星形耦合器300。
[0096] ECU200a~200d与所对应的分支连接,通过分支进行帧的收发,由此实现车辆的控制。在图1所示的例子中,ECU200a对作为控制对象的方向盘210进行控制,ECU200b对作为控
制对象的传动装置220进行控制。ECU200c对作为控制对象的外部通信模块230进行控制,
ECU200d对作为控制对象的摄像头240进行控制。ECU200a~200d被称为节点。ECU200a~
200d的详细将在后面进行描述。
制对象的传动装置220进行控制。ECU200c对作为控制对象的外部通信模块230进行控制,
ECU200d对作为控制对象的摄像头240进行控制。ECU200a~200d被称为节点。ECU200a~
200d的详细将在后面进行描述。
[0097] 监视ECU400a、400b、400c、400d是错误监视装置的一个例子,与各分支连接。监视ECU400a、400b、400c、400d通过对各个分支100a、100b、100c、100d进行观测,对不正常帧的
发送进行检测,并且,进行不正常帧的无效化。详细将在后面进行描述。
发送进行检测,并且,进行不正常帧的无效化。详细将在后面进行描述。
[0098] 星形耦合器300将分支100a、100b、100c、100d连接。星形耦合器300进行信号的整形以使得在分支100a、100b、100c、100d流动相同的信号。在车载网络系统10中,通过具备星
形耦合器300,ECU200a、200b、200c、200d通过分支100a、100b、100c、100d取得了时刻的同
步。详细将在后面进行描述。
形耦合器300,ECU200a、200b、200c、200d通过分支100a、100b、100c、100d取得了时刻的同
步。详细将在后面进行描述。
[0099] 1.2 FlexRay通信
[0100] 图2是表示本实施方式涉及的FlexRay通信的周期的图。FlexRay通信(FlexRay协议)以图2所示的被称为周期(Cycle)的单位进行。各节点同步地保持有周期的反复次数(周
期计数)。该周期计数取0~63的值。在周期计数例如为63的情况下,下一周期将周期计数器
复位为0来进行计数。
期计数)。该周期计数取0~63的值。在周期计数例如为63的情况下,下一周期将周期计数器
复位为0来进行计数。
[0101] 如图2所示,各周期由静态片段(Static segment)、动态片段(Dynamic segment)、符号窗口(Symbol window)、网络空闲时间(NIT)这四个片段构成。
[0102] 各片段的时间通过预先设计的参数,在FlexRay网络整体(簇(cluster))是共同的。一个周期的时间也同样地在簇是共同的。
[0103] 静态片段由多个时隙构成。时隙的个数以及各时隙的时间在簇内是共同的。
[0104] 另外,对于在FlexRay通信中发送的帧,在1个时隙内发送一个帧,因此,时隙的编号(时隙编号)成为帧的标识符(Frame ID)。在本实施方式中,ECU200a、200b、200c、200d被
设计为以预先确定的定时(时隙编号)进行帧的发送。将在静态片段内发送的帧称为静态
帧。静态帧的有效载荷长度在簇内是共同的。
设计为以预先确定的定时(时隙编号)进行帧的发送。将在静态片段内发送的帧称为静态
帧。静态帧的有效载荷长度在簇内是共同的。
[0105] 动态片段虽未图示,但由被称为小型(mini)时隙的时隙构成。在小型时隙也同样地存在时隙编号。在本实施方式中,ECU200a、200b、200c、200d被设计为以预先确定的定时
(时隙编号)进行发送,但与静态片段不同,不需要必须进行帧的发送。在动态片段内发送的
帧被称为动态帧。动态帧可以取0~254的任意的值来作为有效载荷长度。
(时隙编号)进行发送,但与静态片段不同,不需要必须进行帧的发送。在动态片段内发送的
帧被称为动态帧。动态帧可以取0~254的任意的值来作为有效载荷长度。
[0106] 符号窗口是进行被称为符号的信号的收发的时间段。
[0107] 网络空闲时间(NIT)是不进行通信的时间段,必须设置在周期的最后。ECU200a、200b、200c、200d进行时刻的同步处理等。
[0108] 1.3帧格式
[0109] 图3是表示本实施方式涉及的FlexRay协议的帧格式的图。帧格式是在静态帧以及动态帧都一样的格式。帧由Header Segment(标头片段)、Payload Segment(有效载荷片段)
以及Trailer Segment(尾片段)这三个片段构成。
以及Trailer Segment(尾片段)这三个片段构成。
[0110] Header Segment从Reserved bit(保留位)开始分别一位一位地包含Payload preamble indicator(有效载荷指示)、Null frame indicator(空帧指示)、Sync frame
indicator(同步帧指示)以及Startup frame indicator(起始帧指示)。Payload preamble
indicator、Null frame indicator、Sync frame indicator以及Startup frame
indicator用于表示帧的类别。
indicator(同步帧指示)以及Startup frame indicator(起始帧指示)。Payload preamble
indicator、Null frame indicator、Sync frame indicator以及Startup frame
indicator用于表示帧的类别。
[0111] Header Segment进一步由11位(bit)的Frame ID、7位的Payload length(有效载荷长度)、11位的Header CRC(头CRC)以及6位的Cycle count(周期计数)构成。
[0112] Frame ID也被称为时隙ID,被使用于对帧的发送定时以及帧的内容进行识别。
[0113] Payload length可以取最大127的值。
[0114] 在Payload Segment保存有对Payload length的值乘以2而得到的字节数。
[0115] Header CRC是根据包含了Sync frame indicator~Payload length的值而计算的校验和。
[0116] Cycle count保存当前的周期数。
[0117] Payload Segment包含表示帧的内容的数据。在Payload Segment保存有Payload length的值的2倍的字节数,最大保存有254字节。
[0118] 在Trailer Segment保存有根据包含全部帧的值而计算的CRC。
[0119] 1.4 ECU200a的构成图
[0120] 图4是表示本实施方式涉及的ECU200a的构成的图。此外,ECU200b、ECU200c、ECU200d是与ECU200a同样的构成,因此,省略这些的说明。
[0121] ECU200a连接于分支100a,通过分支100a进行帧的收发,由此实现方向盘210的控制。如图4所示,ECU200a具备帧收发部201、帧解释部202、外部设备控制部203、帧生成部204
以及通信用设定参数保持部205。
以及通信用设定参数保持部205。
[0122] 帧收发部201接收在车载网络的分支100a中流动的帧。更具体而言,帧收发部201通过将从分支100a接收到的帧所包含的物理信号解码为数字信号,取得帧的信息。帧收发
部201通过对保持于通信用设定参数保持部205的通信用设定参数进行参照,与其他ECU进
行时刻的同步,正确地接收帧。
部201通过对保持于通信用设定参数保持部205的通信用设定参数进行参照,与其他ECU进
行时刻的同步,正确地接收帧。
[0123] 另外,帧收发部201向车载网络的分支100a发送帧。更具体而言,帧收发部201按照从帧生成部204通知的发送帧要求,以预先确定的定时将帧变换为物理信号并发送给分支
100a。
100a。
[0124] 帧解释部202对帧收发部201接收到的帧所包含的有效载荷进行解释,为了根据有效载荷的内容进行连接于ECU200a的方向盘210的控制,对外部设备控制部203进行通知。帧
解释部202例如通过基于从其他ECU通知的车辆的速度的信息来判断行驶状态,实现与行驶
状态相应的方向盘的辅助控制,基于自动停车模式时的转向操舵指示信号,实现方向盘的
自动操舵。
解释部202例如通过基于从其他ECU通知的车辆的速度的信息来判断行驶状态,实现与行驶
状态相应的方向盘的辅助控制,基于自动停车模式时的转向操舵指示信号,实现方向盘的
自动操舵。
[0125] 外部设备控制部203进行连接于ECU200a的方向盘210的控制。另外,外部设备控制部203对方向盘210的状态进行监视,对帧生成部204通知用于向其他ECU通知状态的帧发送
要求。例如,外部设备控制部203对帧生成部204通知用于通知方向盘210的角度的帧要求。
要求。例如,外部设备控制部203对帧生成部204通知用于通知方向盘210的角度的帧要求。
[0126] 帧生成部204基于从外部设备控制部203通知来的信号,进行帧的生成,对帧收发部201进行发送要求。
[0127] 通信用设定参数保持部205保持有用于正确地将物理信号变换为数字信号的、在簇内共同的参数。通信用设定参数的详细将在后面进行描述。
[0128] 1.5监视ECU400a的构成图
[0129] 图5是表示本实施方式涉及的监视ECU400a的构成的一个例子的图。此外,监视ECU400b、400c、400d是与监视ECU400a同样的构成,因此,省略这些的说明。另外,关于监视
ECU400a的构成中的与ECU200a同样的构成,赋予相同的编号而省略其说明。
ECU400a的构成中的与ECU200a同样的构成,赋予相同的编号而省略其说明。
[0130] 监视ECU400a是错误监视装置的一个例子,也是第1错误监视装置或者第2错误监视装置的一个例子。监视ECU400a连接于分支100a。监视ECU400a在上面进行了描述,通过对
分支100a进行观测,对不正常帧的发送进行检测,并且,进行不正常帧的无效化。如图5所
示,监视ECU400a具备帧生成部204、通信用设定参数保持部205、帧收发部401、错误检测部
402、正常ID列表保持部403以及分支状态保持部404。对与图4同样的要素赋予同一标号。
分支100a进行观测,对不正常帧的发送进行检测,并且,进行不正常帧的无效化。如图5所
示,监视ECU400a具备帧生成部204、通信用设定参数保持部205、帧收发部401、错误检测部
402、正常ID列表保持部403以及分支状态保持部404。对与图4同样的要素赋予同一标号。
[0131] <帧收发部401>
[0132] 帧收发部401在车载网络的预定的时隙内接收在车载网络中流动的帧,在车载网络的预定的时隙内向车载网络发送帧。帧收发部401对车载网络的分支100a收发帧。更具体
而言,接收在车载网络的分支100a中流动的帧,向车载网络的分支100a发送帧。帧收发部
401通过将从分支100a接收到的帧所包含的物理信号解码为数字信号,取得帧的信息。帧收
发部401通过对保持于通信用设定参数保持部205的通信用设定参数进行参照,与其他ECU
进行时刻的同步,正确地接收帧。帧收发部401按照从帧生成部204通知的发送帧要求,以预
先确定的定时将帧变换为物理信号,并发送给分支100a。
而言,接收在车载网络的分支100a中流动的帧,向车载网络的分支100a发送帧。帧收发部
401通过将从分支100a接收到的帧所包含的物理信号解码为数字信号,取得帧的信息。帧收
发部401通过对保持于通信用设定参数保持部205的通信用设定参数进行参照,与其他ECU
进行时刻的同步,正确地接收帧。帧收发部401按照从帧生成部204通知的发送帧要求,以预
先确定的定时将帧变换为物理信号,并发送给分支100a。
[0133] 进一步,帧收发部401例如作为帧而收发错误通知帧或者无效化模式变更帧,该错误通知帧用于通知在所接收到的帧产生了错误这一情况,该无效化模式变更帧使对象的监
视ECU400b~400d分别向无效化模式转变。帧收发部401与连接监视ECU400a的分支相应地,
决定用于发送错误通知帧或者无效化模式变更帧的周期数。
视ECU400b~400d分别向无效化模式转变。帧收发部401与连接监视ECU400a的分支相应地,
决定用于发送错误通知帧或者无效化模式变更帧的周期数。
[0134] 另外,帧收发部401例如作为帧而收发错误通知异常帧,该错误通知异常帧用于通知关于无效化模式变更帧或者错误通知帧的收发而产生了异常这一情况。
[0135] <错误检测部402>
[0136] 错误检测部402当被从帧收发部401通知帧收发部401所接收到的帧时,检测是否无误地接收到被通知的帧。此外,错误检测部402根据在由FlexRay协议确定的TxConflict、
SyntaxError、ContentError以及BoundaryViolation中的任一个中某个标志是否成立,对
在帧中是否产生了错误进行检测。
SyntaxError、ContentError以及BoundaryViolation中的任一个中某个标志是否成立,对
在帧中是否产生了错误进行检测。
[0137] 错误检测部402在检测到在帧收发部401所接收到的帧中产生了错误的情况下,对于存在于自身分支以外的其他分支的ECU,使得在自身分支中进行用于通知在特定ID的帧
产生了错误的帧的发送。更详细而言,错误检测部402通过对帧生成部204进行使得发送用
于通知在特定ID的帧产生了错误的帧之意的通知,使帧收发部401发送该帧。
产生了错误的帧的发送。更详细而言,错误检测部402通过对帧生成部204进行使得发送用
于通知在特定ID的帧产生了错误的帧之意的通知,使帧收发部401发送该帧。
[0138] 更具体而言,错误检测部402检测帧收发部401所接收到的帧是否产生了错误。错误检测部402在检测到在帧收发部401所接收到的帧产生了错误的情况下,使帧收发部401
发送错误通知帧,该错误通知帧包含能够对产生了错误的帧的种类进行识别的信息。
发送错误通知帧,该错误通知帧包含能够对产生了错误的帧的种类进行识别的信息。
[0139] 错误检测部402也可以在接收到无效化模式变更帧的情况下以及接收到错误通知异常帧的情况下,使帧收发部401发送用于在其他分支100a~100c中使产生了错误的ID的
帧无效化的对象ID的帧。
帧无效化的对象ID的帧。
[0140] 具体而言,设为错误检测部402关于帧收发部401所发送的错误通知帧所包含的产生了错误的帧,检测到了未从其他监视ECU400b~400d接收到用于通知在自身分支100a中
产生了错误的错误通知帧。在该情况下,错误检测部402也可以使帧收发部401发送无效化
模式变更帧,该无效化模式变更帧使其他监视ECU400b~400d分别向无效化模式转变。进一
步,错误检测部402检测在帧收发部401所发送的无效化模式变更帧中是否产生了错误。错
误检测部402在检测到在该无效化模式变更帧中产生了错误的情况下,使帧收发部401发送
错误通知异常帧,该错误通知异常帧用于通知关于无效化模式变更帧的收发而产生了异常
这一情况。
产生了错误的错误通知帧。在该情况下,错误检测部402也可以使帧收发部401发送无效化
模式变更帧,该无效化模式变更帧使其他监视ECU400b~400d分别向无效化模式转变。进一
步,错误检测部402检测在帧收发部401所发送的无效化模式变更帧中是否产生了错误。错
误检测部402在检测到在该无效化模式变更帧中产生了错误的情况下,使帧收发部401发送
错误通知异常帧,该错误通知异常帧用于通知关于无效化模式变更帧的收发而产生了异常
这一情况。
[0141] 另外,错误检测部402也可以在检测到帧收发部401接收到无效化模式变更帧的情况下,使监视ECU400a向无效化模式转变。
[0142] 另外,错误检测部402在检测到帧收发部401接收到错误通知异常帧的情况下,使监视ECU400a向无效化模式转变。
[0143] 在此,错误检测部402也可以通过在监视ECU400a转变为无效化模式的情况下,使帧收发部401不接收无效化对象帧的帧,从而使无效化对象帧的接收无效化。另外,错误检
测部402也可以通过在监视ECU400a转变为无效化模式的情况下,使帧收发部401在与无效
化对象帧相同的时隙中进行同一标识符的帧的发送,从而使无效化对象帧的接收无效化。
另外,对于错误检测部402,设为监视ECU400a转变为无效化模式,帧收发部401在车载网络
的预定的时隙内发送第1帧。在该情况下,错误检测部402也可以通过使帧收发部401在预定
的时隙内以比预先确定的发送开始定时早的发送开始定时发送第1帧,从而使无效化对象
帧的接收无效化。
测部402也可以通过在监视ECU400a转变为无效化模式的情况下,使帧收发部401在与无效
化对象帧相同的时隙中进行同一标识符的帧的发送,从而使无效化对象帧的接收无效化。
另外,对于错误检测部402,设为监视ECU400a转变为无效化模式,帧收发部401在车载网络
的预定的时隙内发送第1帧。在该情况下,错误检测部402也可以通过使帧收发部401在预定
的时隙内以比预先确定的发送开始定时早的发送开始定时发送第1帧,从而使无效化对象
帧的接收无效化。
[0144] 此外,设为错误检测部402关于在帧收发部401所接收到的错误通知帧所包含的在其他分支中产生了错误的帧,未检测到自身分支(分支100a)中的错误。在该情况下,错误检
测部402也可以将帧作为无效化对象帧,使监视ECU400a向使以后的帧的接收无效化的无效
化模式转变。
测部402也可以将帧作为无效化对象帧,使监视ECU400a向使以后的帧的接收无效化的无效
化模式转变。
[0145] 另外,设为错误检测部402在检测到在帧收发部401所接收到的帧中产生了错误时进一步被通知了在其他分支100b~100d中也在该ID的帧产生了错误。在该情况下,错误检
测部402判断为产生由故障等导致的通信异常,向故障模式转变即可。在此,故障模式是指
使通过驾驶辅助功能进行的自动控制功能关闭的模式、也即是使关于自动控制的帧无效的
模式。
测部402判断为产生由故障等导致的通信异常,向故障模式转变即可。在此,故障模式是指
使通过驾驶辅助功能进行的自动控制功能关闭的模式、也即是使关于自动控制的帧无效的
模式。
[0146] <正常ID列表保持部403>
[0147] 正常ID列表保持部403保存有与各ECU发送的帧有关的ID的列表。正常ID列表的详细将在后面进行描述。
[0148] <分支状态保持部404>
[0149] 分支状态保持部404被保持于监视ECU400a,保存有存在于车载网络的分支的信息、各分支中的错误的产生状况以及当前的模式等。分支状态保持部404所保存的分支状态
的详细将在后面进行描述。
的详细将在后面进行描述。
[0150] 1.6星形耦合器300的构成图
[0151] 图6是表示本实施方式涉及的星形耦合器300的构成的图。星形耦合器300与分支100a~100d连接,在上面进行了描述,进行信号的整形以使得在分支100a、100b、100c、100d
中流动相同的信号。星形耦合器300将以同一定时(同一时隙内)最先开始了发送的帧传送
给发送了该帧的分支以外的全部分支。如图6所示,星形耦合器300具备收发器部301a、
301b、301c、301d和路由选择部302。
中流动相同的信号。星形耦合器300将以同一定时(同一时隙内)最先开始了发送的帧传送
给发送了该帧的分支以外的全部分支。如图6所示,星形耦合器300具备收发器部301a、
301b、301c、301d和路由选择部302。
[0152] 收发器部301a与分支100a连接,将从分支100a接收到的物理信号变换为数字信号,并向路由选择部302进行通知。另外,收发器部301a在被从路由选择部302通知了数字信
号的情况下,将所被通知的数字信号变换为物理信号,并传送给分支100a。
号的情况下,将所被通知的数字信号变换为物理信号,并传送给分支100a。
[0153] 路由选择部302向除了收发器部301a以外的收发器部301b、301c、301d传送从收发器部301a通知的数字信号。同样地,路由选择部302在被从收发器部301b通知了数字信号的
情况下,对除了收发器部301b以外的收发器部301a、301c、301d传送数字信号。这样,路由选
择部302将从收发器部301a、301c、301d中的一个收发器部通知来的帧传送至收发器部
301a、301c、301d中的除了该一个收发器部以外的收发器部。
情况下,对除了收发器部301b以外的收发器部301a、301c、301d传送数字信号。这样,路由选
择部302将从收发器部301a、301c、301d中的一个收发器部通知来的帧传送至收发器部
301a、301c、301d中的除了该一个收发器部以外的收发器部。
[0154] 此外,路由选择部302在从多个收发器部中的至少两个以上接收到数字信号的情况下,向其他收发器部传送来自最初接收到数字信号的收发器部的信号。
[0155] 1.7通信用设定参数的一个例子
[0156] 图7是表示本实施方式涉及的通信用设定参数的一个例子的图。
[0157] 如上所述,通信用设定参数被保存于监视ECU400a~400d以及ECU200a~200d的通信用设定参数保持部205。如图7所示,通信用设定参数包括表示通信的速度的波特率、静态
片段时隙ID、动态片段时隙ID以及静态时隙有效载荷长度等。在图7所示的通信用设定参数
中,波特率为10Mbps,静态片段的时隙ID为1~50,动态片段的时隙ID为51~100。另外,静态
时隙的有效载荷长度为8(也即是16字节)。这些通信用设定参数的值在簇内的全部ECU是共
享的,基于这些值实现FlexRay帧的收发。
片段时隙ID、动态片段时隙ID以及静态时隙有效载荷长度等。在图7所示的通信用设定参数
中,波特率为10Mbps,静态片段的时隙ID为1~50,动态片段的时隙ID为51~100。另外,静态
时隙的有效载荷长度为8(也即是16字节)。这些通信用设定参数的值在簇内的全部ECU是共
享的,基于这些值实现FlexRay帧的收发。
[0158] 此外,图7所示的通信用设定参数的值不过是一个例子,也可以是其他值。另外,图7所示的通信用设定参数的项目也不过是一个例子,例如既可以包括各片段的长度以及/或
者时隙的长度等,也可以不包括所记载的参数的一部分。
者时隙的长度等,也可以不包括所记载的参数的一部分。
[0159] 1.8正常ID列表的一个例子
[0160] 图8是表示本实施方式涉及的静态帧的正常ID列表的一个例子的图。图8所示的静态帧的正常ID列表被保存于监视ECU400a所保持的正常ID列表保持部403。
[0161] 如图8所示,静态帧的正常ID列表保持有时隙ID、Cycle offset(周期偏移)、Cycle reception(周期接待)、发送源分支信息以及帧所包含的有效载荷信息。
[0162] Cycle offset和Cycle reception是为了在使用被称为周期复用化(周期多路复用)的在相同的时隙ID中收发不同内容的帧的方法时提取对象的帧所需要的信息。例如图8
所示的时隙ID为3的帧的Cycle offset为0、Cycle reception为2。这表示从周期编号为0开
始,在间隔为2即2、4、……、62的情况下发送帧。
所示的时隙ID为3的帧的Cycle offset为0、Cycle reception为2。这表示从周期编号为0开
始,在间隔为2即2、4、……、62的情况下发送帧。
[0163] 更详细而言,在图8所示的正常ID列表中,示出了时隙ID为1的帧的Cycle offset为0、Cycle reception为1,因此,在全部周期(1、2、……、62)发送帧。进一步,对于时隙ID为
1的帧,示出了帧的发送源分支为分支100b,有效载荷包含与速度有关的信息。另外,示出了
时隙ID为2的帧为空栏,因此,不被发送。
1的帧,示出了帧的发送源分支为分支100b,有效载荷包含与速度有关的信息。另外,示出了
时隙ID为2的帧为空栏,因此,不被发送。
[0164] 另外,如上所述,时隙ID为3的帧的Cycle offset为0,Cycle reception为2。这示出了从周期编号为0开始,仅在间隔为2即2、4、……、62的情况下、也即是仅在周期计数器为
偶数的情况下进行发送。进一步,对于时隙ID为3的帧,示出了帧的发送源分支为分支100a,
有效载荷包含与方向盘角度有关的信息。同样地,时隙ID为4的帧的Cycle offset为1,
Cycle reception为2。这示出了从周期编号为1开始,仅在间隔为2即3、5、……、61的情况
下、也即是仅在周期计数器为奇数时进行发送。进一步,对于时隙ID为4的帧,示出了帧的发
送源分支为分支100b,有效载荷包含与传动装置状态有关的信息。
偶数的情况下进行发送。进一步,对于时隙ID为3的帧,示出了帧的发送源分支为分支100a,
有效载荷包含与方向盘角度有关的信息。同样地,时隙ID为4的帧的Cycle offset为1,
Cycle reception为2。这示出了从周期编号为1开始,仅在间隔为2即3、5、……、61的情况
下、也即是仅在周期计数器为奇数时进行发送。进一步,对于时隙ID为4的帧,示出了帧的发
送源分支为分支100b,有效载荷包含与传动装置状态有关的信息。
[0165] 另外,示出了时隙ID为5的帧的Cycle offset为0,Cycle reception为1,帧的发送源分支为分支100b,有效载荷包含与制动器油压有关的信息。示出了时隙ID为6的帧的
Cycle offset为2,Cycle reception为4,帧的发送源分支为分支100d,有效载荷包含与方
向盘操舵指示有关的信息。
Cycle offset为2,Cycle reception为4,帧的发送源分支为分支100d,有效载荷包含与方
向盘操舵指示有关的信息。
[0166] 图9表示本实施方式涉及的动态帧的正常ID列表的一个例子。图9所示的动态帧的正常ID列表被保存于监视ECU400a所保持的正常ID列表保持部403。图9所示的动态帧的正
常ID列表保持有与图8同样的信息即时隙ID、Cycle offset、Cycle reception、发送源分支
信息以及帧所包含的有效载荷信息。
常ID列表保持有与图8同样的信息即时隙ID、Cycle offset、Cycle reception、发送源分支
信息以及帧所包含的有效载荷信息。
[0167] 图9所示的动态帧的正常ID列表中示出了存在4个(4种)帧的时隙ID为51的帧(动态帧)。
[0168] 示出了第一个帧的Cycle offset为1,Cycle reception为8,帧的发送源分支为分支100a。进一步,有效载荷包含表示第一个帧是通知在分支100a中在ID为1的帧产生了错误
的帧的信息。同样地,示出了第二个帧的Cycle offset为2,Cycle reception为8,帧的发送
源分支为分支100b。进一步,有效载荷包含表示第二个帧是通知在分支100b中在ID为1的帧
产生了错误的帧的信息。示出了第三个帧的Cycle offset为3,Cycle reception为8,帧的
发送源分支为分支100c。进一步,有效载荷包含表示第二个帧是通知在分支100c中在ID为1
的帧产生了错误的信息。示出了第四个帧的Cycle offset为4,Cycle reception为8,帧的
发送源分支为分支100d。进一步,有效载荷包含表示第二个帧是通知在分支100d中在ID为1
的帧产生了错误的帧的信息。
的帧的信息。同样地,示出了第二个帧的Cycle offset为2,Cycle reception为8,帧的发送
源分支为分支100b。进一步,有效载荷包含表示第二个帧是通知在分支100b中在ID为1的帧
产生了错误的帧的信息。示出了第三个帧的Cycle offset为3,Cycle reception为8,帧的
发送源分支为分支100c。进一步,有效载荷包含表示第二个帧是通知在分支100c中在ID为1
的帧产生了错误的信息。示出了第四个帧的Cycle offset为4,Cycle reception为8,帧的
发送源分支为分支100d。进一步,有效载荷包含表示第二个帧是通知在分支100d中在ID为1
的帧产生了错误的帧的信息。
[0169] 这样,在时隙ID为51的帧中,通过对一个时隙ID改变Cycle offset,能够变更发送源分支。
[0170] 另外,在图9所示的动态帧的正常ID列表中的时隙ID为53的帧中,示出了Cycle offset对应于发送源分支,Cycle reception为8,帧的发送源分支是全部分支。进一步,有
效载荷包含表示时隙ID为53的帧是通知在全部分支中在ID为3的帧产生了错误的帧的信
息。
效载荷包含表示时隙ID为53的帧是通知在全部分支中在ID为3的帧产生了错误的帧的信
息。
[0171] 另外,示出了即使是时隙ID为56的帧,Cycle offset也对应于发送源分支,Cycle reception也为8,帧的发送源分支也为全部分支。进一步,有效载荷包含表示时隙ID为56的
帧是通知在全部分支中在ID为6的帧产生了错误的帧的信息。也即是,示出了时隙ID为56的
帧是错误通知帧。
帧是通知在全部分支中在ID为6的帧产生了错误的帧的信息。也即是,示出了时隙ID为56的
帧是错误通知帧。
[0172] 进一步,在时隙ID为100的帧中,示出了Cycle offset对应于发送源分支,Cycle reception为8,帧的发送源分支为全部分支。进一步,示出了有效载荷包含在错误通知帧产
生了异常的通知。也即是,示出了时隙ID为100的帧为错误通知异常帧。
生了异常的通知。也即是,示出了时隙ID为100的帧为错误通知异常帧。
[0173] 1.9分支状态的一个例子
[0174] 图10是表示本实施方式涉及的分支状态的一个例子的图。图10所示的分支状态被保存于监视ECU400a的分支状态保持部404。
[0175] 在图10所示的分支状态中,示出了监视ECU400a所在的分支为100a,模式为通常。另外,在图10所示的分支状态中,关于时隙ID为1的帧,对自身分支表示了成为了错误的帧
的次数(接收次数),对其他分支表示了错误通知帧的接收数(接收次数)。在图10所示的例
子中,示出了关于时隙ID为1的帧,在分支100a中,成为了错误的帧的次数为0,来自其他分
支的错误通知帧的接收数在分支100b、分支100c以及分支100d中为0。同样地,关于时隙ID
为3的帧,示出了在分支100a中成为了错误的帧的次数为10,错误通知帧的接收数在分支
100b、分支100c以及分支100d中为0。
的次数(接收次数),对其他分支表示了错误通知帧的接收数(接收次数)。在图10所示的例
子中,示出了关于时隙ID为1的帧,在分支100a中,成为了错误的帧的次数为0,来自其他分
支的错误通知帧的接收数在分支100b、分支100c以及分支100d中为0。同样地,关于时隙ID
为3的帧,示出了在分支100a中成为了错误的帧的次数为10,错误通知帧的接收数在分支
100b、分支100c以及分支100d中为0。
[0176] 1.10错误通知帧和错误通知异常帧的例子
[0177] 图11A是表示本实施方式涉及的错误通知帧的一个例子的图。在图11A中示出了对使用图9说明过的时隙ID为6的帧的错误进行通知的时隙ID56的错误通知帧。错误通知帧是
FlexRay协议中的动态帧。
FlexRay协议中的动态帧。
[0178] 图11A所示的错误通知帧的Cycle(周期)为17,有效载荷被设为0x01010100来进行发送。有效载荷的第1字节的0x01表示错误通知帧的发送源分支,0x01表示从分支100a发送
了帧。有效载荷的第2字节表示时隙ID56的帧的内容,0x01表示该帧是错误通知帧。在第2字
节的值为2的情况下,成为对其他监视ECU要求模式的变更的帧。在本实施方式中,表示是使
得向无效化模式转变的无效化模式变更帧。另外,有效载荷的第3字节为错误信息,0x01表
示产生了SyntaxError(语法错误)。有效载荷的第4字节表示模式切换信息,0x00表示是通
常模式。
了帧。有效载荷的第2字节表示时隙ID56的帧的内容,0x01表示该帧是错误通知帧。在第2字
节的值为2的情况下,成为对其他监视ECU要求模式的变更的帧。在本实施方式中,表示是使
得向无效化模式转变的无效化模式变更帧。另外,有效载荷的第3字节为错误信息,0x01表
示产生了SyntaxError(语法错误)。有效载荷的第4字节表示模式切换信息,0x00表示是通
常模式。
[0179] 此外,根据时隙ID56的帧(即错误通知帧)的Cycle为17也可知从分支100a发送了帧。这是由于,即使为不正常的ECU对错误通知帧的有效载荷进行伪装来进行了发送,监视
ECU也能够仅通过时隙ID和周期信息来准确地掌握关于特定ID的帧产生了错误这一情况。
ECU也能够仅通过时隙ID和周期信息来准确地掌握关于特定ID的帧产生了错误这一情况。
[0180] 换言之,在未产生错误的正常状态(通常时)下,时隙ID为56的帧(即错误通知帧)不被进行收发。另一方面,在时隙ID为6的帧产生了错误时,发送时隙ID为56的帧(错误通知
帧)。由此,在接收到时隙ID为56的帧的时间点,与帧的有效载荷值无关地,监视ECU能够掌
握在时隙ID为6的帧产生了错误。
帧)。由此,在接收到时隙ID为56的帧的时间点,与帧的有效载荷值无关地,监视ECU能够掌
握在时隙ID为6的帧产生了错误。
[0181] 图11B是表示本实施方式涉及的错误通知异常帧的一个例子的图。图11B中示出了使用图9说明过的时隙ID为100的错误通知异常帧。错误通知异常帧在错误通知帧(或者无
效化模式变更帧)的收发(也即是通信)中产生了异常的情况下被进行发送。例如是错误通
知帧成为错误而未被进行发送的情况、或者尽管未发送错误通知帧但自身的监视ECU接收
到应该发送的错误通知帧的情况等。
效化模式变更帧)的收发(也即是通信)中产生了异常的情况下被进行发送。例如是错误通
知帧成为错误而未被进行发送的情况、或者尽管未发送错误通知帧但自身的监视ECU接收
到应该发送的错误通知帧的情况等。
[0182] 示出了图11B所示的错误通知异常帧的时隙ID为100,Cycle为1,有效载荷为0x01010038。有效载荷的第1字节表示发送源分支,根据是0x01表示了发送源分支为分支
100a。也即是,图11B所示的错误通知异常帧意味着分支100a为发送源。有效载荷的第2字节
表示异常代码,0x01表示错误通知帧的发送未能发送。有效载荷的第3字节、第4字节的2个
字节表示产生了错误通知异常的错误通知帧的时隙ID,根据是0x38示出了在十进制下在56
的错误通知帧产生了异常。
100a。也即是,图11B所示的错误通知异常帧意味着分支100a为发送源。有效载荷的第2字节
表示异常代码,0x01表示错误通知帧的发送未能发送。有效载荷的第3字节、第4字节的2个
字节表示产生了错误通知异常的错误通知帧的时隙ID,根据是0x38示出了在十进制下在56
的错误通知帧产生了异常。
[0183] 此外,错误通知异常帧与错误通知帧同样地在通常时(未产生错误的正常状态下)不被进行收发。另一方面,错误通知异常帧在错误通知帧(或者无效化模式变更帧)的收发
中产生了异常的情况下被发送。并且,监视ECU在接收到错误通知异常帧的时间点,基于错
误通知异常帧,向无效化模式转变。
中产生了异常的情况下被发送。并且,监视ECU在接收到错误通知异常帧的时间点,基于错
误通知异常帧,向无效化模式转变。
[0184] 1.11监视ECU400a的动作
[0185] 图12是表示本实施方式涉及的监视ECU400a的处理的流程图。
[0186] 监视ECU400a接收在分支100a中流动的帧,在关于所接收到的帧检测到产生了错误的情况下,对与该帧对应的时隙ID的错误次数进行更新(S1001)。
[0187] 接着,监视ECU400a确认例如图10所示的分支状态下的各时隙ID的错误次数中是否具有例如10等的预定数以上的错误次数。(S1002)。
[0188] 在步骤S1002中,在具有预定数以上的错误次数的情况下(S1002:是),监视ECU400a向分支100a发送错误通知帧(S1003)。
[0189] 接着,监视ECU400a关于检测到产生了错误的帧(产生了错误的帧),确认是否是自身分支为发送源的帧(S1004)。在此,监视ECU400a能够根据与产生了错误的帧对应的时隙
ID,确认是否是自身分支(分支100a)为发送源的帧。
ID,确认是否是自身分支(分支100a)为发送源的帧。
[0190] 在步骤S1004中,在产生了错误的帧的发送源为自身分支的情况下(S1004:是),监视ECU400a将其他分支(分支100b~100d)中的错误通知帧的接收进行待机1周期(1时隙单
位的期间)的时间(S1005)。此外,在步骤S1004中,在产生了错误的帧的发送源不是自身分
支的情况下(S1004:否),监视ECU400a结束处理。
位的期间)的时间(S1005)。此外,在步骤S1004中,在产生了错误的帧的发送源不是自身分
支的情况下(S1004:否),监视ECU400a结束处理。
[0191] 接着,监视ECU400a确认是否在所对应的时隙ID的帧中从全部分支100a~100c发送了错误通知帧(S1006),该错误通知帧通知产生了错误这一情况。
[0192] 在步骤S1006中,在确认到从全部分支发送了错误通知帧的情况下(S1006:是),监视ECU400a判断为在车载网络系统中产生了通信异常(S1007),向故障模式转变而结束处
理。
理。
[0193] 另一方面,在步骤S1006中确认到未从全部分支发送错误通知帧的情况下(S1006:否),监视ECU400a判断为在其他分支发送了不正常帧,发送无效化模式变更帧(S1008)。
[0194] 接着,监视ECU400a确认无效化模式变更帧是否被无误地进行了发送(S1009)。
[0195] 在步骤S1009中,在确认到无误地完成了无效化模式变更帧的发送的情况下(S1009:是),监视ECU400a结束处理。
[0196] 另一方面,在步骤S1009中确认到未能无误地发送无效化模式变更帧的情况下(S1009:否),监视ECU400a认为在其他分支发送了不正常帧,发送错误通知异常帧(S1012)。
[0197] 此外,在步骤S1002中没有预定数以上的错误次数的情况下(S1002:否),监视ECU400a确认是否接收到无效化模式变更帧(S1010)。
[0198] 在步骤S1010中确认到接收到无效化模式变更帧的情况下(S1010:是),监视ECU400a确认所接收到的无效化模式变更帧是否为自身应该发送的帧(S1011)。
[0199] 在步骤S1011中确认到接收到自身应该发送的无效化模式变更帧的情况下(S1011:是),监视ECU400a判断为由其他分支发送了不正常帧,发送错误通知异常帧
(S1012)。
(S1012)。
[0200] 另一方面,在步骤S1011中确认到未接收到自身应该发送的无效化模式变更帧的情况下(S1011:否),监视ECU400a转变为无效化模式,开始与对象ID相同的帧的发送
(S1014)。由此,监视ECU400a能够通过发送与不正常帧相同的时隙ID的帧来使得与不正常
帧产生冲突,因此,能够进行不正常帧的无效化。
(S1014)。由此,监视ECU400a能够通过发送与不正常帧相同的时隙ID的帧来使得与不正常
帧产生冲突,因此,能够进行不正常帧的无效化。
[0201] 另外,在步骤S1010中确认到未接收到无效化模式变更帧的情况下(S1010:否),监视ECU400a确认是否接收到错误通知异常帧(S1013)。
[0202] 在步骤S1013中确认到未接收到错误通知异常帧的情况下(S1013:否),监视ECU400a结束处理。此外,在步骤S1013中确认到接收到了错误通知异常帧的情况下(S1013:
是),监视ECU400a转变为无效化模式,开始与对象ID相同的帧的发送(S1014)。在此,监视
ECU400a作为与对象ID相同的帧的发送,开始保存于分支状态保持部404的、各时隙ID的错
误通知帧接收数不为0的时隙ID中的帧的发送。由此,监视ECU400a能够通过发送与不正常
帧相同的时隙ID的帧来使得与不正常帧产生冲突,因此,能够进行不正常帧的无效化。
是),监视ECU400a转变为无效化模式,开始与对象ID相同的帧的发送(S1014)。在此,监视
ECU400a作为与对象ID相同的帧的发送,开始保存于分支状态保持部404的、各时隙ID的错
误通知帧接收数不为0的时隙ID中的帧的发送。由此,监视ECU400a能够通过发送与不正常
帧相同的时隙ID的帧来使得与不正常帧产生冲突,因此,能够进行不正常帧的无效化。
[0203] 1.12整体时序图
[0204] 接着,使用图13A和图13B对本实施方式涉及的防止不正常控制系统的整体时序进行说明。
[0205] 图13A是表示本实施方式涉及的ECU被攻击者劫持了控制时到监视ECU转变为无效化模式为止的动作时序的一个例子的图。图13B是表示本实施方式涉及的ECU被攻击者劫持
了控制时监视ECU转变为无效化模式之后的动作时序的一个例子的图。此外,由虚线包围的
范围内表示1个时隙单位即同一时隙ID的期间。另外,在图13A和图13B中省略了监视
ECU400b。监视ECU400b进行与监视ECU400a、400c、400d同样的动作,但为了使以下的说明简
洁而加以省略。
了控制时监视ECU转变为无效化模式之后的动作时序的一个例子的图。此外,由虚线包围的
范围内表示1个时隙单位即同一时隙ID的期间。另外,在图13A和图13B中省略了监视
ECU400b。监视ECU400b进行与监视ECU400a、400c、400d同样的动作,但为了使以下的说明简
洁而加以省略。
[0206] 首先,ECU200c经由外部通信模块230被攻击者劫持控制,被攻击者劫持了控制的ECU200c设为向ECU200a发送不正常的方向盘操舵指示帧(伪装帧),想要引起不正常的方向
盘操舵。
盘操舵。
[0207] 于是,如图13A所示,被劫持了控制的ECU200c发送方向盘操舵指示帧(伪装帧)(S1101)。
[0208] 接着,未被攻击者劫持控制的(也即是正常的)ECU200d发送作为通常帧的方向盘操舵指示帧。更具体而言,正常的ECU200d向ECU200c稍稍延迟地发送方向盘操舵指示帧(通
常帧)(S1102)。
常帧)(S1102)。
[0209] 接着,星形耦合器300传送在同一时隙ID的期间被进行了发送的帧中最先被开始了发送的帧,因此,将作为先被开始了发送的不正常帧的方向盘操舵指示帧(伪装帧)传送
至其他分支100a、100d(S1103)。
至其他分支100a、100d(S1103)。
[0210] 于是,在连接有ECU200d的分支100d中,从星形耦合器300传送来的伪装帧和ECU200d所发送的通常帧发生冲突,产生错误(S1104)。在此,监视ECU400d检测到产生了由
帧冲突导致的错误这一情况。
帧冲突导致的错误这一情况。
[0211] 另外,在连接有ECU200a的分支100a中,接收到作为不正常帧的方向盘操舵指示帧(伪装帧)(S1105)。在此,ECU200a和监视ECU400a接收方向盘操舵指示帧(伪装帧)。
[0212] 接着,ECU200a基于作为不正常帧的方向盘操舵指示帧(伪装帧)来执行方向盘操舵指示(S1106)。由此,引起对车的不正常的控制。
[0213] 接着,在接下来的时隙单位的期间中,监视ECU400d首先基于在分支100d中产生了的错误,发送错误通知帧(S1107)。具体而言,监视ECU400d检测到在所接收到的帧中产生了
错误,因此,发送错误通知帧。并且,监视ECU400d将来自其他分支100a、100c的错误通知帧
的接收进行待机直到当前的时隙单位的期间(周期的量)结束。
错误,因此,发送错误通知帧。并且,监视ECU400d将来自其他分支100a、100c的错误通知帧
的接收进行待机直到当前的时隙单位的期间(周期的量)结束。
[0214] 接着,星形耦合器300向其他分支100a、100c传送错误通知帧(S1108)。
[0215] 接着,监视ECU400a和监视ECU400c接收在分支100a和分支100c中流动的错误通知帧,对内部的分支状态进行更新(S1109)。此外,监视ECU400a和监视ECU400c由于在进行了
更新的分支状态中各时隙ID的错误次数没有预定数以上的错误次数,因此,不发送错误通
知帧。
更新的分支状态中各时隙ID的错误次数没有预定数以上的错误次数,因此,不发送错误通
知帧。
[0216] 接着,在接下来的时隙单位的期间中,首先,监视ECU400d由于没有从其他分支100a、100c发送来错误通知帧,因此,判断为在其他分支100a中接收到不正常的帧。并且,监
视ECU400d发送无效化模式变更帧(S1110)。
视ECU400d发送无效化模式变更帧(S1110)。
[0217] 接着,星形耦合器300向分支100a和分支100c传送无效化模式变更帧(S1111)。
[0218] 于是,监视ECU400a和监视ECU400c接收无效化模式变更帧,由于所接收到的无效化模式变更帧也不是自身应该发送了的帧,因此,转变为无效化模式(S1112)。监视ECU400a
和监视ECU400c转变为了无效化模式,因此,在接下来的时隙单位的期间中,作为通过无效
化模式变更帧得到的时隙ID的帧,发送方向盘操舵指示帧(无效化帧)。此外,通过无效化模
式变更帧得到的时隙ID对应于与不正常帧相同的时隙ID。
和监视ECU400c转变为了无效化模式,因此,在接下来的时隙单位的期间中,作为通过无效
化模式变更帧得到的时隙ID的帧,发送方向盘操舵指示帧(无效化帧)。此外,通过无效化模
式变更帧得到的时隙ID对应于与不正常帧相同的时隙ID。
[0219] 接着,在接下来的时隙单位的期间中,首先,如图13B所示,设为ECU200c再次发送了不正常的方向盘操舵指示帧(伪装帧)(S1113)。
[0220] 于是,星形耦合器300开始作为不正常帧的方向盘操舵指示帧(伪装帧)的传送(S1114)。
[0221] 在此,转变为无效化模式的监视ECU400a、400c发送方向盘操舵指示帧(无效化帧),监视ECU400d(或者ECU200d)发送方向盘操舵指示帧(通常帧)(S1115)。
[0222] 于是,在分支100c中,已经开始发送的伪装帧和监视ECU400c发送的无效化帧发生冲突,产生错误(S1116)。
[0223] 于是,星形耦合器300将帧发生了冲突的信号传送至其他分支100d、100a(S1117)。
[0224] 接着,在分支100a和分支100d中,通过星形耦合器300传送来的信号和在分支100a中流动的无效化帧以及在分支100d中流动的通常帧发生冲突,产生错误(S1118)。
[0225] 接着,ECU200a由于在步骤S1114中开始传送的方向盘操舵指示帧(伪装帧)产生了错误,因此,将该帧即方向盘操舵指示帧作为无效的帧来处理(S1119)。这样,成为不引起对
于车的不正常的方向盘控制。
于车的不正常的方向盘控制。
[0226] 1.13无效化模式变更帧伪装时的时序图
[0227] 以下,对监视ECU要发送的无效化模式变更帧被进行了伪装时的时序进行说明。
[0228] 图14A是表示本实施方式涉及的ECU被攻击者劫持了控制时到监视ECU发送无效化模式变更帧为止的动作时序的一个例子的图。图14B是表示本实施方式涉及的监视ECU发送
的无效化模式变更帧被进行了伪装时的动作时序的一个例子的图。对与图13A同样的要素
赋予同一标号,省略详细的说明。即,图14A的步骤S1101~步骤2201与图13A是同样的,因此
省略说明。
的无效化模式变更帧被进行了伪装时的动作时序的一个例子的图。对与图13A同样的要素
赋予同一标号,省略详细的说明。即,图14A的步骤S1101~步骤2201与图13A是同样的,因此
省略说明。
[0229] 在图14B中,与图13B不同,示出了无效化模式变更帧也被ECU200c进行了伪装、监视ECU无法正常地转变为无效化模式的情况下的时序。
[0230] 即,如图13B所示,设为ECU200c发送了无效化模式变更帧(伪装帧)以使得其他监视ECU400a、400d不向无效化模式转变(S1210)。
[0231] 接着,监视ECU400d发送作为通常帧的无效化模式变更帧。更具体而言,监视ECU400d稍稍延迟地发送用于使其他监视ECU400a、400c转变为无效化模式的无效化模式变
更帧(通常帧)(S1211)。
更帧(通常帧)(S1211)。
[0232] 接着,星形耦合器300传送无效化模式变更帧(伪装帧),该无效化模式变更帧(伪装帧)是先开始了发送的不正常帧(S1212)。
[0233] 接着,在连接有监视ECU400d的分支100d中,监视ECU400d所发送的无效化模式变更帧(通常帧)和作为被进行了传送的不正常帧的无效化模式变更帧(伪装帧)发生冲突,产
生错误。于是,监视ECU400d对产生了由帧冲突导致的错误这一情况、即帧错误进行检测
(S1213)。
生错误。于是,监视ECU400d对产生了由帧冲突导致的错误这一情况、即帧错误进行检测
(S1213)。
[0234] 另外,监视ECU400a和监视ECU400c接收作为不正常帧的无效化模式变更帧(伪装帧)(S1214)。由于监视ECU400a和监视ECU400c接收到伪装帧,因此虽然不转变为无效化模
式,但对分支状态进行更新。在此,对于作为不正常帧的无效化模式变更帧自身,在其他分
支的管理ECU检测到错误的情况下,被作为与检测到错误的帧相同的时隙ID来进行发送。因
此,监视ECU400a和监视ECU400c能够检测因所接收到的伪装帧而产生错误这一情况,因此,
当接收伪装帧时,对分支状态进行更新。
式,但对分支状态进行更新。在此,对于作为不正常帧的无效化模式变更帧自身,在其他分
支的管理ECU检测到错误的情况下,被作为与检测到错误的帧相同的时隙ID来进行发送。因
此,监视ECU400a和监视ECU400c能够检测因所接收到的伪装帧而产生错误这一情况,因此,
当接收伪装帧时,对分支状态进行更新。
[0235] 接着,在接下来的时隙单位的期间中,首先,监视ECU400d发送错误通知异常帧(S1215)。更具体而言,监视ECU400d由于在之前的时隙单位的期间中未能无误地发送无效
化模式变更帧(通常帧),因此,发送错误通知异常帧。
化模式变更帧(通常帧),因此,发送错误通知异常帧。
[0236] 接着,星形耦合器300将错误通知异常帧传送至其他分支100a、100c(S1216)。
[0237] 于是,监视ECU400a和监视ECU400c接收在分支100a和分支100c中流动的错误通知异常帧,因此,监视ECU400a、400c转变为无效化模式(S1217)。
[0238] 这样,即使是在无效化模式变更帧被不正常的ECU进行了伪装的情况下,通过各监视ECU也转变为无效化模式,能够使伪装帧(不正常帧)无效化。
[0239] 此外,虽省略说明,但在错误通知帧和错误通知异常帧被不正常的ECU进行了伪装的情况下也同样地能够通过各监视ECU转变为无效化模式来进行无效化。
[0240] 2.效果等
[0241] 如上所述,根据本公开的防止不正常控制系统以及防止不正常控制方法,能够使基于时隙的时间触发型的通信方式的车载网络中的不正常帧的发送无效化。更具体而言,
本公开的防止不正常控制系统等能够基于车载网络中的错误产生状况的不匹配,对发送了
不正常帧这一情况进行检测。并且,在检测到发送了不正常帧的情况下,通过使以后的不正
常帧的接收无效化,能够使不正常帧的发送无效化。这样能够实现故障安全功能,因此,能
够提高车载网络的安全性。
本公开的防止不正常控制系统等能够基于车载网络中的错误产生状况的不匹配,对发送了
不正常帧这一情况进行检测。并且,在检测到发送了不正常帧的情况下,通过使以后的不正
常帧的接收无效化,能够使不正常帧的发送无效化。这样能够实现故障安全功能,因此,能
够提高车载网络的安全性。
[0242] 在此,作为无效化方法,通过在与不正常帧相同的时隙中,使得进行同一标识符的帧的发送,使不正常帧的接收无效化。也即是,通过发送与不正常帧相同的时隙ID的帧,使
帧发生冲突来使之无效化。由此,能够适当地使不正常帧无效化,因此,能够提高车载网络
的安全性。
帧发生冲突来使之无效化。由此,能够适当地使不正常帧无效化,因此,能够提高车载网络
的安全性。
[0243] 此外,作为无效化方法,也可以通过在帧接收时忽略该ID的帧等、使得不接收不正常帧的帧,从而使车载网络中的不正常帧的发送无效化。另外,也可以通过使正常帧的发送
开始定时比不正常帧提前,抑制由不正常帧引起的影响。也即是,也可以设为在正常的ECU
中,通过将帧的发送定时提前,可要求星形耦合器传送正常ECU所发送的帧。这样,也可以使
车载网络中的不正常帧的发送无效化。
开始定时比不正常帧提前,抑制由不正常帧引起的影响。也即是,也可以设为在正常的ECU
中,通过将帧的发送定时提前,可要求星形耦合器传送正常ECU所发送的帧。这样,也可以使
车载网络中的不正常帧的发送无效化。
[0244] 另外,根据本公开的防止不正常控制系统以及防止不正常控制方法,即使为进行错误通知的帧被伪装为了不正常帧,也能够使该不正常帧无效化。由此,能够提高车载网络
的安全性。
的安全性。
[0245] 另外,基于时隙的时间触发型的通信方式例如为星型FlexRay,因此,根据本公开的防止不正常控制系统以及防止不正常控制方法,能够在高效地利用时隙ID的同时,进行
错误通知帧的收发。由此,能够在保持车载网络的设计的自由度的同时,适当地使不正常帧
无效化,能够提高安全性。
错误通知帧的收发。由此,能够在保持车载网络的设计的自由度的同时,适当地使不正常帧
无效化,能够提高安全性。
[0246] (其他变形例)
[0247] (1)在上述的实施方式中,设为基于时隙的时间触发型的通信方式的车载网络由星型的网络拓扑构成来进行了说明,但不限于此。该车载网络例如也可以由总线型、星型与
总线型的混合等的网络拓扑来构成。此外,总线型为对在成为发送源的ECU被劫持了控制时
使该ECU所发送的帧无效化这一情况有效的网络拓扑。
总线型的混合等的网络拓扑来构成。此外,总线型为对在成为发送源的ECU被劫持了控制时
使该ECU所发送的帧无效化这一情况有效的网络拓扑。
[0248] (2)在上述的实施方式中,错误检测部仅存在于监视ECU,但不限于此。错误检测部也可以存在于各ECU上。由此,各ECU能够检测帧的错误,因此,能够在ECU自身抑制基于不正
常帧的控制。另外,由于不需要另外设置监视ECU,因此,在车载网络的省空间、省电力、省成
本方面是有效的。进一步,由于能够按各分支来监视各ECU原本接收的帧的范围,因此,不需
要用一个监视ECU监视在分支内流动的全部帧,在处理负荷的分散方面是有效的。
常帧的控制。另外,由于不需要另外设置监视ECU,因此,在车载网络的省空间、省电力、省成
本方面是有效的。进一步,由于能够按各分支来监视各ECU原本接收的帧的范围,因此,不需
要用一个监视ECU监视在分支内流动的全部帧,在处理负荷的分散方面是有效的。
[0249] (3)在上述的实施方式中,按各分支构成有监视ECU,但不限于此。至少两个监视ECU(第1错误监视ECU、第2错误监视ECU)构成于车载网络的不同的分支即可。
[0250] 例如,监视ECU是基于时隙的时间触发型的通信方式的车载网络中的监视装置,在车载网络上按各分支而连接有分别在预定的时隙内收发帧的一个以上的电子控制装置。该
监视装置按各分支来设置,具备:帧收发部,其接收为了通知在帧中产生了错误而被进行了
发送的错误通知帧,该错误通知帧包含能够在车载网络中流动的帧产生了错误的情况下对
产生了错误的帧的种类进行识别的信息;和错误检测部,其在关于所接收到的错误通知帧
所包含的产生了错误的帧未检测到自身分支中的错误的情况下,将该帧作为无效化对象
帧,使监视装置向使以后的该帧的接收无效化的无效化模式转变。
监视装置按各分支来设置,具备:帧收发部,其接收为了通知在帧中产生了错误而被进行了
发送的错误通知帧,该错误通知帧包含能够在车载网络中流动的帧产生了错误的情况下对
产生了错误的帧的种类进行识别的信息;和错误检测部,其在关于所接收到的错误通知帧
所包含的产生了错误的帧未检测到自身分支中的错误的情况下,将该帧作为无效化对象
帧,使监视装置向使以后的该帧的接收无效化的无效化模式转变。
[0251] 此外,在监视ECU中进一步可以为,帧收发部接收在车载网络中流动的帧,错误检测部检测在帧收发部所接收到的第1帧中是否产生了错误,在检测到在帧收发部所接收到
的第1帧中产生了错误的情况下,使帧收发部发送用于通知在第1帧中产生了错误的第1错
误通知帧,该第1错误通知帧包含能够对产生了错误的第1帧的种类进行识别的信息。
的第1帧中产生了错误的情况下,使帧收发部发送用于通知在第1帧中产生了错误的第1错
误通知帧,该第1错误通知帧包含能够对产生了错误的第1帧的种类进行识别的信息。
[0252] (4)在上述的实施方式中,监视ECU基于帧的错误检测状态,发送无效化模式变更帧,但不限于此。监视ECU也可以不限于帧的错误检测状态而发送无效化模式变更帧。
[0253] 例如,也可以在帧所包含的消息认证码不正常的情况下,在基于预定的异常检测方法而判断为了帧不正常的情况下,监视ECU也可以发送用于使该ID的帧无效化的无效化
模式变更帧。由此,即使为由于攻击者直接夺取成为发送源的ECU的控制等、未检测到帧的
错误而发送了不正常的帧,也能够使不正常的帧无效化,因此,安全性进一步提高。
模式变更帧。由此,即使为由于攻击者直接夺取成为发送源的ECU的控制等、未检测到帧的
错误而发送了不正常的帧,也能够使不正常的帧无效化,因此,安全性进一步提高。
[0254] (5)在上述的实施方式中,对动态帧分配了错误通知帧、无效化模式变更帧、错误通知异常帧,但也可以分配给静态帧。但是,分配给动态帧为好。这是由于,即使为不正常的
ECU伪装发送了错误通知帧,其他监视ECU也能够在发送了伪装的帧的时间点掌握产生了错
误这一情况。其结果,不正常的ECU难以使错误通知帧无效化,安全性提高。
ECU伪装发送了错误通知帧,其他监视ECU也能够在发送了伪装的帧的时间点掌握产生了错
误这一情况。其结果,不正常的ECU难以使错误通知帧无效化,安全性提高。
[0255] (6)在上述的实施方式中,根据监视ECU所在的分支,决定了发送错误通知帧、无效化模式变更帧以及错误通知异常帧的周期,但也可以不是根据分支来决定进行发送的周
期。
期。
[0256] 例如,也可以对按各分支而不同的ID分配上述的帧。但是,根据分支来决定进行发送的周期为好。这是由于,能够高效地利用有限的ID的空间。
[0257] (7)在上述的实施方式中,以无效化模式变更帧为起点,监视ECU向无效化模式进行了转变,但也可以不以无效化模式变更帧为起点而向无效化模式进行转变。以下,更具体
地进行说明。
地进行说明。
[0258] 例如,设为在车载网络的不同的分支构成有至少2个监视ECU(第1错误监视ECU、一个以上的第2错误监视ECU),在这些监视ECU至少分别构成有错误检测部和帧收发部。在该
情况下,一个以上的第2错误监视装置各自也可以还具备错误状态保持部,该错误状态保持
部按帧的类别保持错误的检测次数和错误通知帧的接收次数中的至少一方。并且,在第1错
误监视装置中,第1错误检测部也可以进一步检测在第1帧收发部所发送的错误通知帧中是
否产生了错误,在检测到在该错误通知帧中产生了错误的情况下,使第1帧收发部发送错误
通知异常帧,该错误通知异常帧用于通知关于错误通知帧的收发而产生了异常。另外,在一
个以上的第2错误监视装置各自中,第2错误检测部在第2帧收发部接收到错误通知异常帧
的情况下,将保持于错误状态保持部的检测次数和接收次数中的任一个为预定数以上的帧
作为无效化对象帧,使该一个以上的第2错误监视装置向无效化模式转变即可。
情况下,一个以上的第2错误监视装置各自也可以还具备错误状态保持部,该错误状态保持
部按帧的类别保持错误的检测次数和错误通知帧的接收次数中的至少一方。并且,在第1错
误监视装置中,第1错误检测部也可以进一步检测在第1帧收发部所发送的错误通知帧中是
否产生了错误,在检测到在该错误通知帧中产生了错误的情况下,使第1帧收发部发送错误
通知异常帧,该错误通知异常帧用于通知关于错误通知帧的收发而产生了异常。另外,在一
个以上的第2错误监视装置各自中,第2错误检测部在第2帧收发部接收到错误通知异常帧
的情况下,将保持于错误状态保持部的检测次数和接收次数中的任一个为预定数以上的帧
作为无效化对象帧,使该一个以上的第2错误监视装置向无效化模式转变即可。
[0259] 由此,即使为进行错误通知的帧被伪装为了不正常的帧,也能够使不正常的帧无效化。进一步,能够不发送无效化模式变更帧而向无效化模式进行转变,因此,在希望更早
地使不正常的帧无效化的情况下是有效的。由此,能够进一步提高车载网络的安全性。
地使不正常的帧无效化的情况下是有效的。由此,能够进一步提高车载网络的安全性。
[0260] 此外,不仅是无效化模式变更帧,监视ECU也可以不以错误通知异常帧为起点而向无效化模式进行转变。例如设为:在一个以上的其他监视ECU接收到一个监视ECU所发送的
错误通知帧的阶段中,其他监视ECU在与错误通知帧对应的ID中未检测错误而进行了接收。
在该情况下,其他监视ECU也可以认为产生了不匹配而转变为无效化模式。另外,也可以在
上述的阶段中,根据错误通知帧的接收数来转变为无效化模式。
错误通知帧的阶段中,其他监视ECU在与错误通知帧对应的ID中未检测错误而进行了接收。
在该情况下,其他监视ECU也可以认为产生了不匹配而转变为无效化模式。另外,也可以在
上述的阶段中,根据错误通知帧的接收数来转变为无效化模式。
[0261] 由此,能够不发送无效化模式变更帧而向无效化模式进行转变,在希望更早地使不正常的帧无效化的情况下是有效的。进一步,通过根据错误通知帧的接收数来判断通信
故障和不正常帧的发送,能够进行与异常状况相应的适当的应对。
故障和不正常帧的发送,能够进行与异常状况相应的适当的应对。
[0262] (8)在上述的实施方式中,监视ECU对错误检测次数进行了计数来作为分支状态,但不限于此。监视ECU也可以为仅在预定的时间内对作为分支状态所计数的错误的检测次
数进行计数。例如也可以为按每64个周期而对值进行复位等。由此,能够排除掉过去的错误
检测的影响,是有效的。
数进行计数。例如也可以为按每64个周期而对值进行复位等。由此,能够排除掉过去的错误
检测的影响,是有效的。
[0263] (9)在上述的实施方式中,为了使帧无效化,发送了具有同一时隙ID的帧,但被发送的帧、即具有同一时隙ID的帧也可以是空帧,什么帧都是可以的。
[0264] (10)在上述的实施方式中,通过错误通知帧的接收,监视ECU对分支状态进行了更新,但不限于此。监视ECU也可以在错误通知帧被检测为错误的情况下也对分支状态进行更
新。
新。
[0265] 由此,即使为由于不正常的ECU使错误通知帧无效化而引起了帧的冲突,也能够与有效载荷的内容无关地检测错误。也即是,在安全性提高上是有效的。
[0266] (11)在上述的实施方式中,某分支的监视ECU对其他的全部分支的监视ECU发送了无效化模式变更帧,但不限于此。也可以是某分支的监视ECU例如通过在有效载荷中将一部
分监视ECU包含于接收地址等,仅使一部分监视ECU转变为无效化模式。
分监视ECU包含于接收地址等,仅使一部分监视ECU转变为无效化模式。
[0267] 进一步,例如也可以是某分支的监视ECU在其他分支的各个分支中将监视ECU依次切换无效化模式。也可以是某分支的监视ECU在按各分支切换为了无效化模式时,根据所接
收到的错误通知帧的个数来确定不正常的ECU所在的分支。以下,对此更具体地进行说明。
收到的错误通知帧的个数来确定不正常的ECU所在的分支。以下,对此更具体地进行说明。
[0268] 例如设为:在车载网络的不同的分支构成有至少两个监视ECU(第1错误监视ECU、一个以上的第2错误监视ECU),在这些监视ECU分别至少构成有错误检测部和帧收发部。在
该情况下,也可以为,在第1错误监视装置中,通过使第1帧收发部发送使多个分支中的一个
分支无效化的无效化切换帧,从而使与该一个分支连接的至少一个第2错误监视装置转变
为无效化模式,创造出使与该一个分支以外的一个以上的分支连接的至少一个第2错误监
视装置不转变为无效化模式的期间。并且,在该期间中检测从一个以上的第2错误监视装置
接收的错误通知帧的个数即可。进一步,在第1错误监视装置中,通过在从使第1帧收发部发
送了无效化切换帧时起经过预定的时间后,使第1帧收发部发送使一个以上的分支中的一
个分支无效化的无效化切换帧,从而使第1帧收发部发送使多个分支分别按次序无效化的
无效化切换帧。最后,将检测为从一个以上的第2错误监视装置接收的错误通知帧的个数最
大的一个分支判定为不正常分支。在此,无效化切换帧包括表示使得转变为无效化模式的
有效化标志、和对使得转变为无效化模式的分支进行识别的值。在一个以上的第2错误监视
装置各自中,第2错误检测部在第2帧收发部接收无效化切换帧、根据无效化切换帧所包含
的值识别的分支与连接有该第2错误监视装置的分支一致的情况下,使该第2错误监视装置
向无效化模式转变即可。
该情况下,也可以为,在第1错误监视装置中,通过使第1帧收发部发送使多个分支中的一个
分支无效化的无效化切换帧,从而使与该一个分支连接的至少一个第2错误监视装置转变
为无效化模式,创造出使与该一个分支以外的一个以上的分支连接的至少一个第2错误监
视装置不转变为无效化模式的期间。并且,在该期间中检测从一个以上的第2错误监视装置
接收的错误通知帧的个数即可。进一步,在第1错误监视装置中,通过在从使第1帧收发部发
送了无效化切换帧时起经过预定的时间后,使第1帧收发部发送使一个以上的分支中的一
个分支无效化的无效化切换帧,从而使第1帧收发部发送使多个分支分别按次序无效化的
无效化切换帧。最后,将检测为从一个以上的第2错误监视装置接收的错误通知帧的个数最
大的一个分支判定为不正常分支。在此,无效化切换帧包括表示使得转变为无效化模式的
有效化标志、和对使得转变为无效化模式的分支进行识别的值。在一个以上的第2错误监视
装置各自中,第2错误检测部在第2帧收发部接收无效化切换帧、根据无效化切换帧所包含
的值识别的分支与连接有该第2错误监视装置的分支一致的情况下,使该第2错误监视装置
向无效化模式转变即可。
[0269] 以下,使用图15~图16D,对在各分支中根据对无效化模式进行了切换时的错误通知帧的个数来确定不正常的ECU所在的分支的方法的一个例子进行说明。
[0270] 图15是表示本实施方式的变形例涉及的无效化切换帧的一个例子的图。对与图11A同样的要素赋予同一标号,省略详细的说明。图15所示的无效化切换帧相对于图11A所
示的错误通知帧,增加了发送目的地分支的项目。此外,表示使得转变为无效化模式的有效
化标志相当于在有效载荷中包含有表示模式变更要求的帧内容和表示无效化模式的模式
切换信息。由此,图15所示的无效化切换帧是为了将分支100d作为发送源分支、将分支100a
作为发送目的地分支来使发送目的地分支转变为无效化模式所发送的。此外,在图15所示
的无效化切换帧中,在有效载荷中包含有表示模式变更要求的帧内容和表示通常模式的模
式切换信息的情况下,称为通常模式变更帧。
示的错误通知帧,增加了发送目的地分支的项目。此外,表示使得转变为无效化模式的有效
化标志相当于在有效载荷中包含有表示模式变更要求的帧内容和表示无效化模式的模式
切换信息。由此,图15所示的无效化切换帧是为了将分支100d作为发送源分支、将分支100a
作为发送目的地分支来使发送目的地分支转变为无效化模式所发送的。此外,在图15所示
的无效化切换帧中,在有效载荷中包含有表示模式变更要求的帧内容和表示通常模式的模
式切换信息的情况下,称为通常模式变更帧。
[0271] 图16A~图16D是表示本实施方式的变形例涉及的防止不正常控制系统通过依次将各分支切换为无效化模式来确定不正常的ECU所在的分支的动作时序的一个例子的图。
此外,由虚线包围的范围内表示1个时隙单位、即同一时隙ID的期间。
此外,由虚线包围的范围内表示1个时隙单位、即同一时隙ID的期间。
[0272] 在以下中,与上述的实施方式同样地,设为ECU200c经由外部通信模块230而被攻击者劫持控制、被攻击者劫持了控制的ECU200c发送不正常的方向盘操舵指示帧等的伪装
帧来进行说明。
帧来进行说明。
[0273] 首先,如图16A所示,ECU200d向分支100a发送无效化切换帧(S1310)。在此,在图15所示的无效化切换帧中,发送目的地分支被设定为100a,发送源分支被设定为100d。
[0274] 接着,星形耦合器300将无效化切换帧传送至其他分支100a~100c(S1311)。
[0275] 接着,监视ECU400a接收无效化切换帧,转变为无效化模式(S1312)。此外,监视ECU400b、400c也接收无效化切换帧,但由于自己不是接收地址而将其废弃。也即是,监视
ECU400b、400c不转变为无效化模式。
ECU400b、400c不转变为无效化模式。
[0276] 接着,在接下来的时隙单位的期间中,首先设为被劫持了控制的ECU200c发送伪装帧(S1313)。
[0277] 接着,星形耦合器300将伪装帧传送至其他分支100a、100b、100d(S1314)。
[0278] 接着,未被攻击者劫持控制的(也即是正常的)ECU200d发送通常帧,转变为了无效化模式的监视ECU400a发送无效化帧(S1315)。
[0279] 于是,在连接有ECU200a的分支100a和连接有ECU200d的分支100d中产生帧冲突错误(S1316)。更具体而言,在连接有ECU200a的分支100a中,从星形耦合器300传送来的伪装
帧和ECU200a所发送的无效化帧发生冲突,产生错误。在连接有ECU200d的分支100d中,从星
形耦合器300传送来的伪装帧和ECU200d所发送的通常帧发生冲突,产生错误。此外,监视
ECU400a、400d对帧冲突错误的产生进行检测。
帧和ECU200a所发送的无效化帧发生冲突,产生错误。在连接有ECU200d的分支100d中,从星
形耦合器300传送来的伪装帧和ECU200d所发送的通常帧发生冲突,产生错误。此外,监视
ECU400a、400d对帧冲突错误的产生进行检测。
[0280] 接着,在接下来的时隙单位的期间中,首先,监视ECU400a基于在分支100a中产生的错误,发送错误通知帧(S1317)。
[0281] 接着,星形耦合器300将错误通知帧传送至分支100d(S1318)。
[0282] 于是,监视ECU400d接收在分支100d中流动的错误通知帧,对分支状态下的错误通知接收数进行更新(S1319)。
[0283] 这样,监视ECU400d发送使多个分支中的一个分支无效化的无效化切换帧,使与该一个分支连接的监视ECU400a转变为无效化模式,创造出使与该一个分支以外的分支连接
的监视ECU400b、400c不转变为无效化模式的期间。并且,在该期间中检测从监视ECU400a接
收的错误通知帧。
的监视ECU400b、400c不转变为无效化模式的期间。并且,在该期间中检测从监视ECU400a接
收的错误通知帧。
[0284] 接着,如图16B所示,在接下来的时隙单位的期间中,首先,ECU200d向分支100a发送通常模式变更帧(S1320)。在此,对于通常模式变更帧,在图15中,发送目的地分支被设定
为100a,发送源分支被设定为100d,在有效载荷的帧内容设定有模式变更要求,在模式切换
信息设定有通常模式。
为100a,发送源分支被设定为100d,在有效载荷的帧内容设定有模式变更要求,在模式切换
信息设定有通常模式。
[0285] 接着,星形耦合器300将通常模式变更帧传送至分支100a(S1321)。
[0286] 接着,监视ECU400a接收通常模式变更帧,从无效化模式转变为通常模式(S1322)。
[0287] 接着,在接下来的时隙单位的期间中,首先,ECU200d向分支100b发送无效化切换帧(S1323)。详细为如上述的那样,因此省略说明。
[0288] 接着,当星形耦合器300将无效化切换帧传送至其他分支100a~100c时(S1324),监视ECU400b接收无效化切换帧,转变为无效化模式(S1325)。
[0289] 接着,在接下来的时隙单位的期间中设为:首先,被劫持了控制的ECU200c发送伪装帧(S1326)。
[0290] 接着,星形耦合器300将伪装帧传送至其他分支100a、100b、100d(S1327)。
[0291] 接着,正常的ECU200d发送通常帧,转变为了无效化模式的监视ECU400a发送无效化帧(S1328)。
[0292] 于是,在连接有ECU200b的分支100b和连接有ECU200d的分支100d中,产生帧冲突错误(S1329)。此外,监视ECU400b、400d与步骤S1316同样地对帧冲突错误的产生进行检测。
[0293] 接着,在接下来的时隙单位的期间中,首先,监视ECU400b基于在分支100a中产生的错误,发送错误通知帧(S1330)。
[0294] 接着,当星形耦合器300将错误通知帧传送至分支100d时(S1331),监视ECU400d接收在分支100d中流动的错误通知帧,对分支状态下的错误通知接收数进行更新(S1332)。
[0295] 接着,如图16C所示,在接下来的时隙单位的期间中,与上述同样地,使监视ECU400b转变为通常模式(S1333)。
[0296] 接着,在接下来的时隙单位的期间中,与上述同样地,使监视ECU400c转变为无效化模式(S1334)。
[0297] 接着,在接下来的时隙单位的期间中设为:首先,被劫持了控制的ECU200c发送伪装帧(S1335)。
[0298] 接着,星形耦合器300开始传送处理、即伪装帧的传送(S1336)。
[0299] 在此,转变为无效化模式的监视ECU400c发送无效化帧(S1337)。
[0300] 于是,在分支100c中,已经开始发送的伪装帧和监视ECU400c所发送的无效化帧发生冲突,产生错误(S1338)。
[0301] 于是,星形耦合器300将表示产生了帧冲突错误之意的信号传送至其他分支100d、100a(S1339)。
[0302] 在该情况下,在接下来的时隙单位的期间中,监视ECU400a基于在分支100a中产生了的错误,发送错误通知帧,在监视ECU400d中接收错误通知帧,对分支状态下的错误通知
接收数进行更新(S1340)。
接收数进行更新(S1340)。
[0303] 另外,在接下来的时隙单位的期间中,同样地,监视ECU400b基于在分支100b中产生了的错误,发送错误通知帧,在监视ECU400d中接收错误通知帧,对分支状态下的错误通
知接收数进行更新(S1341)。
知接收数进行更新(S1341)。
[0304] 另外,在接下来的时隙单位的期间中,同样地,监视ECU400c基于在分支100c中产生了的错误,发送错误通知帧,在监视ECU400d中接收错误通知帧,对分支状态下的错误通
知接收数进行更新(S1342)。
知接收数进行更新(S1342)。
[0305] 接着,如图16D所示,在接下来的时隙单位的期间中,与上述同样地,使监视ECU400c转变为通常模式(S1343)。
[0306] 如以上所述,监视ECU400d能够在各分支中对切换了无效化模式时的错误通知帧的个数进行计数。在图16A~图16D所示的例子中,在分支100c的无效化模式时,错误通知数
为最大的3次,因此,监视ECU400d能够确定为分支100c是不正常分支(异常分支)。也即是,
监视ECU400d发送使多个分支分别按次序无效化的无效化切换帧,将检测为了所接收到的
错误通知帧的个数最大的一个分支判定为不正常分支即可。换言之,能够在错误通知帧成
为了最大时,判定为成为无效化模式的监视ECU所在的分支是不正常的ECU所在的不正常分
支。
为最大的3次,因此,监视ECU400d能够确定为分支100c是不正常分支(异常分支)。也即是,
监视ECU400d发送使多个分支分别按次序无效化的无效化切换帧,将检测为了所接收到的
错误通知帧的个数最大的一个分支判定为不正常分支即可。换言之,能够在错误通知帧成
为了最大时,判定为成为无效化模式的监视ECU所在的分支是不正常的ECU所在的不正常分
支。
[0307] (12)另外,在上述的实施方式中,分支状态以明文进行了保存,但也可以被加密来进行保持。
[0308] (13)另外,在上述的实施方式中,错误通知帧、无效化模式变更帧以及错误通知异常帧设为被保持明文状态地进行通信来进行了说明,但不限于此。这些帧既可以被加密来
进行通信,也可以对这些帧附加消息认证码来进行通信。由此,能够安全地实现错误通知帧
的通信、模式的切换,能够期待安全性的提高。
进行通信,也可以对这些帧附加消息认证码来进行通信。由此,能够安全地实现错误通知帧
的通信、模式的切换,能够期待安全性的提高。
[0309] (14)在上述的实施方式中,向无效化模式的转变是以无效化模式变更帧等的帧的接收为起点来进行的,但实际的转变也可以为根据如下那样的条件来进行。即,也可以根据
包括行驶中和停止中等的车辆的状态、控制帧或者状态帧这样的帧的属性,决定是否实际
地向无效化模式转变。由此,能够根据需要来执行与不正常的控制有关的帧的无效化,实现
省电力。
包括行驶中和停止中等的车辆的状态、控制帧或者状态帧这样的帧的属性,决定是否实际
地向无效化模式转变。由此,能够根据需要来执行与不正常的控制有关的帧的无效化,实现
省电力。
[0310] (15)在上述的实施方式中,使用了FlexRay协议来作为车载网络,但不限于此。例如,也可以使用CAN、CAN-FD(CAN with Frexible Data Rate,具有灵活数据速率的CAN)、
Ethernet、LIN(Local Interconnect Network,内部互联网络)、MOST(Media Oriented
Systems Transport,面向媒体的系统传输)等。或者,也可以是将这些网络作为子网络来组
合而得到的网络。特别是对于采用了时间触发方式的网络是有效的。
Ethernet、LIN(Local Interconnect Network,内部互联网络)、MOST(Media Oriented
Systems Transport,面向媒体的系统传输)等。或者,也可以是将这些网络作为子网络来组
合而得到的网络。特别是对于采用了时间触发方式的网络是有效的。
[0311] (其他实施方式)
[0312] 此外,基于上述的实施方式以及变形例对本公开进行了说明,但本公开当然不限定于这些。如以下那样的情况也包含于本公开。
[0313] (1)具体而言,上述的实施方式中的各装置是由微处理器、ROM、RAM、硬盘单元、显示器单元、键盘、鼠标等构成的计算机系统。在RAM或者硬盘单元中记录有计算机程序。通过
微处理器按照计算机程序进行动作,各装置达成其功能。在此,计算机程序是为了达成预定
的功能而组合多个表示对于计算机的指令的命令代码来构成的。
微处理器按照计算机程序进行动作,各装置达成其功能。在此,计算机程序是为了达成预定
的功能而组合多个表示对于计算机的指令的命令代码来构成的。
[0314] (2)构成上述的实施方式中的各装置的构成要素的一部分或者全部也可以由一个系统LSI(Large Scale Integration:大规模集成电路)构成。系统LSI是在一个芯片上集成
多个构成部而制造的超多功能LSI,具体而言为包括微处理器、ROM、RAM等来构成的计算机
系统。在RAM中记录计算机程序。通过微处理器按照计算机程序进行动作,系统LSI达成其功
能。
多个构成部而制造的超多功能LSI,具体而言为包括微处理器、ROM、RAM等来构成的计算机
系统。在RAM中记录计算机程序。通过微处理器按照计算机程序进行动作,系统LSI达成其功
能。
[0315] 另外,构成上述的各装置的构成要素的各部既可以个别地单芯片化,也可以以包括一部分或者全部的方式单芯片化。
[0316] 另外,在此设为了系统LSI,但有时根据集成度的不同,也被称为IC、LSI、超大LSI(super LSI)、甚大LSI(ultra LSI)。另外,集成电路化的方法并不限于LSI,也可以由专用
电路或者通用处理器来实现。也可以利用能够在LSI制造后进行编程的FPGA(Field
Programmable Gate Array,现场可编程门阵列)、或者能够对LSI内部的电路单元的连接、
设定进行重构的可重构处理器。
电路或者通用处理器来实现。也可以利用能够在LSI制造后进行编程的FPGA(Field
Programmable Gate Array,现场可编程门阵列)、或者能够对LSI内部的电路单元的连接、
设定进行重构的可重构处理器。
[0317] 进一步,若通过半导体技术的进步或者派生的其他技术而对LSI进行替换的集成电路化的技术出现,则当然也可以使用该技术进行功能块的集成化。生物技术的应用等也
具有可能性。
具有可能性。
[0318] (3)构成上述的各装置的构成要素的一部分或者全部也可以设为由能够装卸于各装置的IC卡或者单体的模块来构成。IC卡或者模块是由微处理器、ROM、RAM等构成的计算机
系统。IC卡或者模块也可以设为包括上述的超多功能LSI。通过微处理器按照计算机程序进
行动作,IC卡或者模块达成其功能。该IC卡或者该模块也可以为具有抗篡改性。
系统。IC卡或者模块也可以设为包括上述的超多功能LSI。通过微处理器按照计算机程序进
行动作,IC卡或者模块达成其功能。该IC卡或者该模块也可以为具有抗篡改性。
[0319] (4)本公开也可以设为是上述所示的方法。另外,既可以设为是通过计算机实现这些方法的计算机程序,也可以设为是由计算机程序构成的数字信号。
[0320] 另外,本公开也可以设为将计算机程序或者数字信号记录于计算机能够读取的记录介质、例如软盘、硬盘、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(注册商标)
Disc)、半导体存储器等。另外,也可以设为是记录于这些记录介质的数字信号。
Disc)、半导体存储器等。另外,也可以设为是记录于这些记录介质的数字信号。
[0321] 另外,本公开也可以设为经由以电通信线路、无线或者有线通信线路、互联网为代表的网络、数据广播等传输计算机程序或者数字信号。
[0322] 另外,本公开也可以设为是具备微处理器和存储器的计算机系统,存储器记录上述计算机程序,微处理器按照计算机程序进行动作。
[0323] 另外,也可以为通过将程序或者数字信号记录于记录介质来进行运送,或者通过经由网络等传送程序或者数字信号,从而通过独立的其他计算机系统进行实施。
[0324] (5)也可以对上述实施方式和上述变形例分别进行组合。
[0325] 产业上的可利用性
[0326] 本公开提供对在车载网络中流动的帧进行观测、检测不正常的帧并进行无效化的安全的车载网络系统。由此,作为车载网络系统整体,能够维持安全的状态。