JP2022138678A - vehicle system - Google Patents

vehicle system Download PDF

Info

Publication number
JP2022138678A
JP2022138678A JP2021038694A JP2021038694A JP2022138678A JP 2022138678 A JP2022138678 A JP 2022138678A JP 2021038694 A JP2021038694 A JP 2021038694A JP 2021038694 A JP2021038694 A JP 2021038694A JP 2022138678 A JP2022138678 A JP 2022138678A
Authority
JP
Japan
Prior art keywords
ecu
message
electronic control
vehicle
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2021038694A
Other languages
Japanese (ja)
Inventor
恒一 川口
Koichi Kawaguchi
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toyota Motor Corp
Original Assignee
Toyota Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toyota Motor Corp filed Critical Toyota Motor Corp
Priority to JP2021038694A priority Critical patent/JP2022138678A/en
Publication of JP2022138678A publication Critical patent/JP2022138678A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Abstract

To correct an abnormality occurring in an electronic control unit early.SOLUTION: A vehicle system includes multiple electronic control units. Each of the multiple electronic control units detects existence of an electronic control unit, which operates in an abnormal manner, of other electronic control units and sends a reset signal to the electronic control unit when detecting the existence of the electronic control unit operating in the abnormal manner.SELECTED DRAWING: Figure 2

Description

本発明は、車両に関する。 The present invention relates to vehicles.

近年、自動車の電子制御化が進んでいる。これに関連し、特許文献1には、車両が有する電子制御ユニットによって送信された異常なメッセージを検知可能な車載ネットワークシステムが開示されている。 In recent years, automobiles are being electronically controlled. In relation to this, Patent Literature 1 discloses an in-vehicle network system capable of detecting an abnormal message sent by an electronic control unit of the vehicle.

特開2006-191338号公報JP 2006-191338 A

本開示は、電子制御ユニットに発生した異常を早期に復旧させることを目的とする。 An object of the present disclosure is to quickly recover from an abnormality that has occurred in an electronic control unit.

本開示の一態様は、複数の電子制御ユニットを含む車両システムである。具体的には、前記複数の電子制御ユニットのそれぞれが、他の電子制御ユニットのうち、異常な動作を行っている電子制御ユニットが存在することを検出することと、前記異常な動作を行っている電子制御ユニットの存在を検出した場合に、当該電子制御ユニットに対してリセット信号を送信することと、を実行する。 One aspect of the present disclosure is a vehicle system that includes multiple electronic control units. Specifically, each of the plurality of electronic control units detects that there is an electronic control unit performing an abnormal operation among the other electronic control units, and performs the abnormal operation. and sending a reset signal to the electronic control unit when the presence of the electronic control unit is detected.

また、他の態様として、上記の車両システムが実行する方法をコンピュータに実行させるためのプログラム、または、該プログラムを非一時的に記憶したコンピュータ可読記憶媒体が挙げられる。 Another aspect includes a program for causing a computer to execute the method executed by the vehicle system, or a computer-readable storage medium that non-temporarily stores the program.

本開示によれば、電子制御ユニットに発生した異常を早期に復旧させることができる。 According to the present disclosure, it is possible to quickly recover from an abnormality that has occurred in the electronic control unit.

実施形態に係る車両システムのシステム構成図。1 is a system configuration diagram of a vehicle system according to an embodiment; FIG. 車両が有する構成要素を示したブロック図。FIG. 2 is a block diagram showing components of a vehicle; FIG. ゲートウェイが有する制御部の論理構成を示したブロック図。FIG. 3 is a block diagram showing the logical configuration of a control section of the gateway; ECUが有する制御部および記憶部の論理構成を示したブロック図。FIG. 2 is a block diagram showing the logical configuration of a control section and a storage section of an ECU; 記憶部に記憶されるデータベースの例。An example of a database stored in the storage unit. ゲートウェイが実行する第一の処理のフローチャート。4 is a flowchart of first processing executed by the gateway; ECUが実行する第一の処理のフローチャート。4 is a flowchart of first processing executed by an ECU; ECUが実行する第二の処理のフローチャート。4 is a flowchart of second processing executed by an ECU;

本開示の一態様は、複数の電子制御ユニットを含む車両システムである。具体的には、前記複数の電子制御ユニットのそれぞれが、他の電子制御ユニットのうち、異常な動作を行っている電子制御ユニットが存在することを検出することと、前記異常な動作を行っている電子制御ユニットの存在を検出した場合に、当該電子制御ユニットに対してリセット信号を送信することと、を実行する。 One aspect of the present disclosure is a vehicle system that includes multiple electronic control units. Specifically, each of the plurality of electronic control units detects that there is an electronic control unit performing an abnormal operation among the other electronic control units, and performs the abnormal operation. and sending a reset signal to the electronic control unit when the presence of the electronic control unit is detected.

電子制御ユニットは、例えば、車載ネットワークに接続され、車両が有するコンポーネントを制御するコンピュータである。複数の電子制御ユニットのそれぞれは、車両に搭載されている他の電子制御ユニットのうち、異常な動作、すなわち、想定外の動作を行っている電子制御ユニットが存在することを検出し、検出した電子制御ユニットに対してリセット信号を送信する。 The electronic control unit is, for example, a computer that is connected to an on-board network and controls components that the vehicle has. Each of the plurality of electronic control units detects and detects that there is an electronic control unit that is performing an abnormal operation, that is, an unexpected operation, among the other electronic control units installed in the vehicle. Send a reset signal to the electronic control unit.

車両に搭載されている複数の電子制御ユニットの動作を監視し、異常な動作を行っている電子制御ユニットを特定する装置が知られている。異常な動作を行っている電子制御ユニットがあることは、例えば、複数の電子制御ユニットが送信したメッセージに基づいて判定することができる。 A device is known that monitors the operations of a plurality of electronic control units mounted on a vehicle and identifies an electronic control unit that is operating abnormally. The presence of an electronic control unit operating abnormally can be determined, for example, based on messages sent by a plurality of electronic control units.

しかし、単一の装置が監視を行った場合、当該装置自体が動作異常に陥ってしまったケースに対応することができない。また、監視を行う装置が正常に動作している場合であっても、システムの負荷状態によっては、適切なタイミングで異常を検知できないケースが発生しうる。 However, when a single device performs monitoring, it is not possible to deal with a case where the device itself has malfunctioned. Moreover, even if the monitoring device is operating normally, there may be cases where an abnormality cannot be detected at an appropriate timing depending on the load state of the system.

そこで、本開示に係る車両システムでは、システムを構成する複数の電子制御ユニットのそれぞれが、他の電子制御ユニットを相互に監視し、異常な動作を行っている電子制御ユニットが存在することを検出した場合に、必要に応じてリセット信号を送信する。
このように、異常が疑われる電子制御ユニットに対してリセット信号を送信する権限を複数の電子制御ユニットに与えることで、異常発生時においてシステムの早期正常化を果たすことができる。 Therefore, in the vehicle system according to the present disclosure, each of the plurality of electronic control units configuring the system mutually monitors the other electronic control units, and detects that there is an electronic control unit that is performing an abnormal operation. reset signal if necessary.
In this way, by authorizing a plurality of electronic control units to transmit a reset signal to an electronic control unit suspected of having an abnormality, it is possible to quickly normalize the system when an abnormality occurs.

以下、図面に基づいて、本開示の実施の形態を説明する。以下の実施形態の構成は例示であり、本開示は実施形態の構成に限定されない。 Embodiments of the present disclosure will be described below based on the drawings. The configurations of the following embodiments are examples, and the present disclosure is not limited to the configurations of the embodiments.

(第一の実施形態)
第一の実施形態に係る車両システムの概要について、図1を参照しながら説明する。本実施形態に係る車両システムは、車両1を含んで構成される。 (First embodiment)
An overview of the vehicle system according to the first embodiment will be described with reference to FIG. A vehicle system according to this embodiment includes a vehicle 1 .

車両1は、外部装置との通信機能を有するコネクティッドカーである。車両1は、複数の電子制御ユニット(Electronic Control Unit,ECUとも称する)と、当該複数の電
子制御ユニットを管理するコンピュータであるゲートウェイを含んで構成される。ゲートウェイは、自車両の内外における通信を中継する機能を有する。 A vehicle 1 is a connected car having a communication function with an external device. The vehicle 1 includes a plurality of electronic control units (also called ECUs) and a gateway, which is a computer that manages the plurality of electronic control units. The gateway has a function of relaying communication inside and outside the own vehicle.

システムの構成要素について、詳しく説明する。
図2は、図1に示した車両1のハードウェア構成の一例を概略的に示したブロック図である。車両1は、ゲートウェイ10および複数のECU(ECU20A,ECU20B,ECU20C…)を有して構成される。車両が有する複数のECUとして、例えば、エンジンECU、ボディECU、パワートレインECU、または、ハイブリッドECUなどを挙げることができる。なお、図2には、複数のECUを例示しているが、互いを区別する必要がない場合、これらをECU20と総称する。 The components of the system are explained in detail.
FIG. 2 is a block diagram schematically showing an example of the hardware configuration of vehicle 1 shown in FIG. The vehicle 1 includes a gateway 10 and a plurality of ECUs (ECU 20A, ECU 20B, ECU 20C...). A plurality of ECUs that a vehicle has may include, for example, an engine ECU, a body ECU, a powertrain ECU, a hybrid ECU, and the like. Although FIG. 2 exemplifies a plurality of ECUs, these are collectively referred to as ECUs 20 when there is no need to distinguish between them.

これらの構成要素は、車載ネットワーク(CANバス)によって相互に接続される。本実施形態では、車両1は、複数の通信バス(CANバス30A,30B)を備えており、複数のECUが、いずれかの通信バスに接続される。接続された複数のECUは、CANバスを介して互いにデータを送受信する。なお、図2には、複数のCANバスを例示しているが、互いを区別する必要がない場合、これらをCANバス30と総称する。 These components are interconnected by an on-board network (CAN bus). In this embodiment, the vehicle 1 has multiple communication buses (CAN buses 30A and 30B), and multiple ECUs are connected to one of the communication buses. A plurality of connected ECUs transmit and receive data to and from each other via the CAN bus. Although FIG. 2 exemplifies a plurality of CAN buses, they are collectively referred to as CAN bus 30 when there is no need to distinguish between them.

ゲートウェイ10は、複数のECU間においてデータを中継する中継装置として機能す
る。また、ゲートウェイ10は、車両1を外部のネットワークに接続する装置としても機能する。ゲートウェイ10を介することで、車両1が有する複数のECU20は、異なるCANバスに接続された他のECU20、および、車両外部のネットワークと通信を行うことができる。以下、車両1の外部のネットワークを、単にネットワーク、または、外部ネットワークと称する。外部ネットワークとして、例えば、インターネット等の広域ネットワークが挙げられる。 The gateway 10 functions as a relay device that relays data between multiple ECUs. The gateway 10 also functions as a device that connects the vehicle 1 to an external network. Through the gateway 10, the plurality of ECUs 20 of the vehicle 1 can communicate with other ECUs 20 connected to different CAN buses and networks outside the vehicle. Hereinafter, the network outside the vehicle 1 is simply referred to as a network or an external network. External networks include, for example, wide area networks such as the Internet.

ゲートウェイ10は、制御部11と、記憶部12と、複数のCANバスと通信を行うインタフェースである通信部13Aと、外部ネットワークと通信を行うインタフェースである通信部13Bと、を含んで構成される。 The gateway 10 includes a control unit 11, a storage unit 12, a communication unit 13A as an interface for communicating with a plurality of CAN buses, and a communication unit 13B as an interface for communicating with an external network. .

ゲートウェイ10は、CPU(Central Processing Unit)やGPU(Graphics Processing Unit)等のプロセッサ、RAMやROM等の主記憶装置、EPROMやディスクド
ライブ、リムーバブルメディア等の補助記憶装置を有するコンピュータとして構成することができる。ただし、一部または全部の機能はASICやFPGAのようなハードウェア回路によって実現されてもよい。 The gateway 10 can be configured as a computer having a processor such as a CPU (Central Processing Unit) or GPU (Graphics Processing Unit), a main storage device such as RAM or ROM, an auxiliary storage device such as EPROM, disk drive, or removable media. can. However, some or all of the functions may be realized by hardware circuits such as ASIC and FPGA.

制御部11は、所定のプログラムを実行することで、ゲートウェイ10の各種機能を実現する演算ユニット(プロセッサ)である。
記憶部12は、主記憶装置および補助記憶装置を含むメモリ装置である。補助記憶装置には、オペレーティングシステム(OS)、各種プログラム、各種テーブル等が格納され、そこに格納されたプログラムを主記憶装置にロードして実行することによって、後述するような、所定の目的に合致した各機能を実現することができる。 The control unit 11 is an arithmetic unit (processor) that realizes various functions of the gateway 10 by executing a predetermined program.
The storage unit 12 is a memory device including a main storage device and an auxiliary storage device. The auxiliary storage device stores an operating system (OS), various programs, various tables, etc. By loading the programs stored there into the main storage device and executing them, it is possible to achieve a predetermined purpose as described later. Each matching function can be realized.

ゲートウェイ10は、車両1が有する複数のECU間で行われる通信を仲介する機能を有する。例えば、車両1が有する第一のECU(ECU20Aとする)が、第二のECU(ECU20Bとする)との通信を必要とする場合、ゲートウェイ10は、第一のECU20Aから送信されたデータを、第二のECU20Bに転送する。この際、送信先のECUが、送信元のECUと異なるCANバスに接続されていた場合、ゲートウェイ10は、データを適切なCANバスに送出する。 The gateway 10 has a function of mediating communication between multiple ECUs of the vehicle 1 . For example, when a first ECU (ECU 20A) of the vehicle 1 needs to communicate with a second ECU (ECU 20B), the gateway 10 receives data transmitted from the first ECU 20A, Transfer to the second ECU 20B. At this time, if the destination ECU is connected to a CAN bus different from that of the source ECU, the gateway 10 sends the data to an appropriate CAN bus.

また、ゲートウェイ10は、外部ネットワークと車両1との通信を仲介する機能を有する。例えば、車両1が有するECU20が、外部ネットワークとの通信を必要とする場合、ゲートウェイ10は、当該ECU20から送信されたデータを外部ネットワークに転送する。また、外部ネットワークから送信されたデータを受信し、当該データを適切なECU20に転送する。これにより、例えば、リモート操作による空調の起動など、各種コネクティッドサービスを提供することができる。 The gateway 10 also has a function of mediating communication between an external network and the vehicle 1 . For example, when the ECU 20 of the vehicle 1 requires communication with an external network, the gateway 10 transfers data transmitted from the ECU 20 to the external network. It also receives data transmitted from an external network and transfers the data to the appropriate ECU 20 . As a result, it is possible to provide various connected services such as activation of air conditioning by remote operation, for example.

さらに、ゲートウェイ10は、自装置に固有な機能を実行することができる。例えば、ゲートウェイ10は、セキュリティシステムの監視機能や通話機能を有しており、車内で発生したトリガに基づいて、セキュリティ通報や緊急通報等を行うことができる。 In addition, the gateway 10 can perform functions unique to its own device. For example, the gateway 10 has a security system monitoring function and a call function, and can make a security report, an emergency call, etc., based on a trigger generated in the vehicle.

通信部13Aは、ゲートウェイ10を車載ネットワークに接続する通信インタフェースである。通信部13Aは、制御部11によって生成されたメッセージをCANバスに送信する処理と、CANバスから受信したメッセージ制御部11に送信する処理を実行する。
通信部13Bは、ゲートウェイ10を外部ネットワークに接続する通信インタフェースである。通信部13Bは、制御部11によって生成された所定形式のメッセージを外部ネットワークに送信する処理と、外部ネットワークから受信したメッセージを制御部11に送信する処理を実行する。 The communication unit 13A is a communication interface that connects the gateway 10 to an in-vehicle network. 13 A of communication parts perform the process which transmits the message produced|generated by the control part 11 to a CAN bus, and the process which transmits to the message control part 11 received from the CAN bus.
The communication unit 13B is a communication interface that connects the gateway 10 to an external network. The communication unit 13B executes a process of transmitting a message in a predetermined format generated by the control unit 11 to an external network and a process of transmitting a message received from the external network to the control unit 11. FIG.

外部ネットワークとして、例えば、移動体通信ネットワークや、V2Xネットワークが挙げられる。移動体通信ネットワークは、3G、4G(LTE)、5G等の移動体通信規格によって、広域ネットワーク上にあるコンピュータと無線通信を行うためのネットワークである。V2Xネットワークとは、他の車両に搭載された情報端末、路側装置、歩行者が所持する携帯端末などと通信を行うためのネットワークである。
本実施形態では、単一の通信部13Bを例示しているが、ゲートウェイ10が、異なる通信規格を持つ複数の外部ネットワークと通信する場合、通信部13Bは複数の通信モジュールを含んで構成されてもよい。
さらに、通信部13Bは、ローカルネットワークと通信可能に構成されてもよい。ローカルネットワークとは、Wi-Fi(登録商標)、Bluetooth(登録商標)などの無線通信規格によって、車両の近傍にあるコンピュータと通信を行うためのネットワークである。 Examples of external networks include mobile communication networks and V2X networks. A mobile communication network is a network for performing wireless communication with computers on a wide area network according to mobile communication standards such as 3G, 4G (LTE), and 5G. A V2X network is a network for communicating with information terminals mounted on other vehicles, roadside devices, mobile terminals possessed by pedestrians, and the like.
In this embodiment, a single communication unit 13B is exemplified, but when the gateway 10 communicates with a plurality of external networks having different communication standards, the communication unit 13B is configured including a plurality of communication modules. good too.
Furthermore, the communication unit 13B may be configured to be communicable with a local network. A local network is a network for communicating with a computer in the vicinity of a vehicle by wireless communication standards such as Wi-Fi (registered trademark) and Bluetooth (registered trademark).

制御部11が実行する処理について、より詳しく説明する。図3は、ゲートウェイ10の論理構成を示した図である。
制御部11は、機能モジュールとして、機能実行部111およびデータ中継部112を有している。各機能モジュールは、記憶部12に記憶されたプログラムをCPU等によって実行することで実現してもよい。 Processing executed by the control unit 11 will be described in more detail. FIG. 3 is a diagram showing the logical configuration of the gateway 10. As shown in FIG.
The control unit 11 has a function execution unit 111 and a data relay unit 112 as functional modules. Each functional module may be realized by executing a program stored in the storage unit 12 by a CPU or the like.

機能実行部111は、ゲートウェイ10に独自な機能を実行する。このような機能として、例えば、事故等の発生時に緊急通報を行う機能、車外から車両コンポーネントをリモート操作する機能、セキュリティ機能などが挙げられる。これらの機能を実行するため、機能実行部111は、外部データ(例えば、エアバッグの動作信号、セキュリティ監視信号、GPSモジュールから送信された位置情報など)を取得可能に構成されていてもよい。 The function execution unit 111 executes functions unique to the gateway 10 . Such functions include, for example, a function of making an emergency call when an accident or the like occurs, a function of remotely operating vehicle components from outside the vehicle, a security function, and the like. In order to execute these functions, the function execution unit 111 may be configured to be able to acquire external data (for example, an airbag operating signal, a security monitoring signal, location information transmitted from a GPS module, etc.).

データ中継部112は、第一のECUによってCANバス30に送出されたメッセージを受信し、必要に応じて、宛先である第二のECUに転送する処理を実行する。また、データ中継部112は、ECU20から外部装置に向けて送信されたメッセージを外部ネットワークに転送する処理、および、外部装置からECU20に向けて送信されたメッセージをECU20に転送する処理を実行する。
データ中継部112は、メッセージの転送に関するルール(転送ルール)に従ってメッセージの転送を行ってもよい。転送ルールは、例えば、記憶部12に予め記憶させることができる。これにより、ゲートウェイ10は、ファイアウォールとして機能することもできる。 The data relay unit 112 receives the message sent to the CAN bus 30 by the first ECU, and executes processing for transferring the message to the destination second ECU as necessary. The data relay unit 112 also executes a process of transferring a message sent from the ECU 20 to an external device to an external network, and a process of transferring a message sent from the external device to the ECU 20 to the ECU 20.
The data relay unit 112 may transfer the message according to a rule (transfer rule) regarding message transfer. The transfer rule can be pre-stored in the storage unit 12, for example. This allows the gateway 10 to function as a firewall as well.

次に、ECU20について説明する。
ECU20は、車両1が有するコンポーネントを制御する電子制御ユニットである。複数のECU20は、例えば、エンジン系統、電装系統、パワートレイン系統など、それぞれ異なる系統のコンポーネントを制御する。ECU20は、規定されたメッセージを生成し、車載ネットワークを介して周期的に送受信する機能を有する。 Next, the ECU 20 will be explained.
The ECU 20 is an electronic control unit that controls components of the vehicle 1 . The plurality of ECUs 20 control components of different systems, such as an engine system, an electrical system, and a powertrain system. The ECU 20 has a function of generating a prescribed message and periodically transmitting/receiving it via the in-vehicle network.

ECU20は、制御部21と、記憶部22と、CANバス30と通信を行うインタフェースである通信部23と、を含んで構成される。 The ECU 20 includes a control section 21 , a storage section 22 , and a communication section 23 which is an interface for communicating with the CAN bus 30 .

ECU20は、ゲートウェイ10と同様に、CPUやGPU等のプロセッサ、RAMやROM等の主記憶装置、EPROMやディスクドライブ、リムーバブルメディア等の補助記憶装置を有するコンピュータとして構成することができる。 As with the gateway 10, the ECU 20 can be configured as a computer having a processor such as a CPU or GPU, a main storage device such as a RAM or ROM, an auxiliary storage device such as an EPROM, disk drive, or removable media.

本実施形態では、ECU20は、制御部21および記憶部22を有して構成される。
制御部21は、所定のプログラムを実行することで、ECU20の各種機能を実現する演算ユニット(プロセッサ)である。記憶部22は、主記憶装置および補助記憶装置を含むメモリ装置である。それらの構成は、制御部11および記憶部12と同様であるため、詳細な説明は省略する。 In this embodiment, the ECU 20 includes a control section 21 and a storage section 22 .
The control unit 21 is an arithmetic unit (processor) that implements various functions of the ECU 20 by executing a predetermined program. The memory unit 22 is a memory device including a main memory device and an auxiliary memory device. Since their configurations are the same as those of the control unit 11 and the storage unit 12, detailed description thereof will be omitted.

制御部21が実行する処理について、より詳しく説明する。図4は、ECU20の論理構成を示した図である。
制御部21は、機能モジュールとして、機能実行部211、および、異常判定部212を有している。各機能モジュールは、記憶部22に記憶されたプログラムをCPU等によって実行することで実現してもよい。
記憶部22は、制御部21が実行するプログラムのほか、メッセージDB221を記憶している。 Processing executed by the control unit 21 will be described in more detail. FIG. 4 is a diagram showing the logical configuration of the ECU 20. As shown in FIG.
The control unit 21 has a function execution unit 211 and an abnormality determination unit 212 as functional modules. Each functional module may be realized by executing a program stored in the storage unit 22 by a CPU or the like.
The storage unit 22 stores a message DB 221 in addition to programs executed by the control unit 21 .

機能実行部211は、ECU20に独自な機能を実行する。具体的には、他のECU20と通信を行うためのメッセージを周期的に生成し、通信部23を介して当該メッセージを送受信する。また、送受信されたメッセージに基づいて、車両コンポーネントに対する制御を実行する。機能実行部211が実行する機能は、ECUごとに異なってもよい。 The function execution unit 211 executes functions unique to the ECU 20 . Specifically, it periodically generates a message for communicating with another ECU 20 and transmits/receives the message via the communication unit 23 . It also performs control over vehicle components based on the messages sent and received. The functions executed by the function execution unit 211 may differ for each ECU.

異常判定部212は、自装置が通信を行っている相手側のECU20が異常動作を起こしていることを検出する。異常動作を起こしているECUが存在することは、例えば、相手側のECUによって送信されたメッセージに基づいて検出することができる。
例えば、送受信のシーケンスや周期が、規定された手順に沿っていないメッセージを受信した場合や、動作すべきでないECUが電力を消費していることが検出された場合、異常動作を起こしているECUが存在することが疑われる。
異常判定部212は、後述するメッセージDB221に記録された情報に基づいて、異常動作を起こしているECUの存在を検出する。また、異常判定部212は、異常動作を起こしているECUが検出された場合に、当該ECUに対してリセット信号を送信する。
リセット信号とは、ECU20を初期状態にリセットすることを指示する信号である。 The abnormality determination unit 212 detects that the ECU 20 on the other side with which the own device is communicating has caused an abnormal operation. The presence of a malfunctioning ECU can be detected, for example, based on a message sent by the counterpart ECU.
For example, when receiving a message whose transmission/reception sequence or cycle does not follow a prescribed procedure, or when it is detected that an ECU that should not operate is consuming power, the ECU that is operating abnormally is suspected to exist.
The abnormality determination unit 212 detects the existence of an ECU that is operating abnormally, based on information recorded in a message DB 221, which will be described later. Further, when an ECU that is operating abnormally is detected, the abnormality determination unit 212 transmits a reset signal to the ECU.
A reset signal is a signal that instructs to reset the ECU 20 to an initial state.

次に、記憶部22に記憶されるデータについて説明する。記憶部22は、メッセージDB221を記憶する。
メッセージDB221は、自装置が送受信するメッセージの、送受信にかかる規則(ルール)を記録するデータベースである。
図5は、メッセージDB221に格納されるデータの例である。図示したように、メッセージDB221には、ルールの種別、送信元ECUの識別子、送信先ECUの識別子、ルールの内容などが格納される。ルールとは、例えば、送信周期、送信タイミング、受信周期、受信タイミング、メッセージのフォーマットなどである。
異常判定部212は、これらのルールと、送受信されたメッセージとを照合することで、規定された手順に沿っていないメッセージの存在を検出することができる。これにより、異常動作を起こしているECU20の存在を検出することができる。 Next, data stored in the storage unit 22 will be described. Storage unit 22 stores message DB 221 .
The message DB 221 is a database that records rules for transmission/reception of messages transmitted/received by the device itself.
FIG. 5 is an example of data stored in the message DB 221. As shown in FIG. As illustrated, the message DB 221 stores the type of rule, the identifier of the source ECU, the identifier of the destination ECU, the content of the rule, and the like. Rules include, for example, transmission cycle, transmission timing, reception cycle, reception timing, message format, and the like.
The anomaly determination unit 212 can detect the existence of a message that does not comply with the prescribed procedures by comparing these rules with the transmitted and received messages. This makes it possible to detect the presence of the ECU 20 that is operating abnormally.

メッセージDB221は、プロセッサによって実行されるデータベース管理システム(DBMS)のプログラムが、記憶装置に記憶されるデータを管理することで構築される。メッセージDB221は、例えばリレーショナルデータベースである。 The message DB 221 is constructed by a database management system (DBMS) program executed by a processor managing data stored in a storage device. The message DB 221 is, for example, a relational database.

通信部23は、ECU20を車載ネットワーク(CANバス)に接続する通信インタフェースである。通信部23は、制御部21によって生成された所定形式のメッセージをCANバスに送信する処理と、CANバスから受信したメッセージを制御部21に送信する処理を実行する。 The communication unit 23 is a communication interface that connects the ECU 20 to an in-vehicle network (CAN bus). The communication unit 23 executes a process of transmitting a message in a predetermined format generated by the control unit 21 to the CAN bus and a process of transmitting a message received from the CAN bus to the control unit 21 .

CANバス30は、CAN(Controller Area Network)プロトコルに基づく車載ネッ
トワークを構成する通信バスである。なお、本例では、二つのCANバス30Aおよび30Bが例示されているが、車載ネットワークは、三つ以上の通信バスを有していてもよい。複数のCANバスは、ゲートウェイ10によって互いに接続される。 The CAN bus 30 is a communication bus that constitutes an in-vehicle network based on the CAN (Controller Area Network) protocol. Although two CAN buses 30A and 30B are illustrated in this example, the in-vehicle network may have three or more communication buses. Multiple CAN buses are connected to each other by a gateway 10 .

次に、ゲートウェイ10が行う処理について説明する。ゲートウェイ10は、車載された複数のECU20が送受信するメッセージの中継を行う。 Next, processing performed by the gateway 10 will be described. The gateway 10 relays messages transmitted and received by a plurality of ECUs 20 mounted on the vehicle.

図6は、ゲートウェイ10が行う処理を説明するフローチャートである。図示した処理は、車両システムの起動中において周期的に実行される。
なお、ここでは、メッセージの送信元を第一の装置、メッセージの送信先を第二の装置と称する。第一の装置と第二の装置の組み合わせは、車載されたECU20同士であってもよいし、ECU20と外部装置であってもよい。 FIG. 6 is a flowchart for explaining the processing performed by the gateway 10. As shown in FIG. The illustrated processing is periodically executed during activation of the vehicle system.
Here, the source of the message is called the first device, and the destination of the message is called the second device. The combination of the first device and the second device may be the ECUs 20 mounted on the vehicle, or the ECU 20 and an external device.

まず、ステップS11で、データ中継部112が、メッセージの送信元である第一の装置からメッセージを受信する。 First, in step S11, the data relay unit 112 receives a message from the first device that is the source of the message.

ステップS12では、データ中継部112が、メッセージ転送の妥当性をチェックする。本ステップでは、受信したメッセージが、所定の転送ルールを満たしているか否かを判定する。 At step S12, the data relay unit 112 checks the validity of the message transfer. In this step, it is determined whether or not the received message satisfies a predetermined transfer rule.

ステップS13では、データ中継部112が、メッセージを転送する必要があるか否かを判定する。例えば、第一の装置であるECU20Aと、第二の装置であるECU20Bが異なるバスに接続されている場合であって、メッセージが転送ルールを満たしている場合、肯定判定がなされる。
本ステップで肯定判定がなされた場合、処理はステップS14へ遷移し、受信したメッセージを、第二の装置が接続されたバス(第二の装置がECUである場合)、または、外部ネットワーク(第二の装置が外部装置である場合)に送出する。本ステップで否定判定がなされた場合、メッセージの転送は必要ないため、処理を終了させる。 In step S13, the data relay unit 112 determines whether or not it is necessary to transfer the message. For example, when the ECU 20A, which is the first device, and the ECU 20B, which is the second device, are connected to different buses and the message satisfies the transfer rule, an affirmative determination is made.
If an affirmative determination is made in this step, the process transitions to step S14, and the received message is transferred to the bus to which the second device is connected (if the second device is an ECU) or the external network (the second device). (if the second device is an external device). If a negative determination is made in this step, there is no need to transfer the message, so the process is terminated.

車載された特定の装置が、車載ネットワークを流れるメッセージを監視する技術が知られている。例えば、図6の処理において、ゲートウェイ10が、受信したメッセージの妥当性を検証し、異常が認められる場合に対処を行う事が考えられる。
しかし、単一の装置に監視を行わせると、異常の検出が適切なタイミングで行えない場合がある。また、全てのメッセージについて送受信の規則を記憶させなければならない。
そこで、本実施形態に係る車両システムでは、メッセージの監視を、ゲートウェイ10に行わせるのではなく、複数のECU20によって分散して行わせる。 A technology is known in which a specific device installed in a vehicle monitors messages flowing through an in-vehicle network. For example, in the processing of FIG. 6, the gateway 10 may verify the validity of the received message and take action if an abnormality is recognized.
However, if a single device is used for monitoring, it may not be possible to detect abnormalities at appropriate timing. Also, the rules of transmission and reception must be stored for all messages.
Therefore, in the vehicle system according to the present embodiment, message monitoring is not performed by the gateway 10 but is performed by a plurality of ECUs 20 in a distributed manner.

複数のECU20が行う処理について説明する。ECU20は、自己が送受信するメッセージの妥当性をチェックし、異常なメッセージを検出した場合に、通信を行っている相手側のECU20において異常が発生していると判定し、当該ECU20に対してリセット信号を送信する。
なお、ここでは、異常動作を起こしているか否かの判定対象であるECUをECU20Aとし、当該判定を行うECU(すなわち、メッセージの妥当性をチェックするECU)をECU20Bとする。 Processing performed by the plurality of ECUs 20 will be described. The ECU 20 checks the validity of messages sent and received by itself, and if an abnormal message is detected, determines that an abnormality has occurred in the ECU 20 on the other side of communication, and resets the ECU 20. Send a signal.
Here, it is assumed that the ECU to be determined whether or not an abnormal operation is occurring is the ECU 20A, and the ECU that performs the determination (that is, the ECU that checks the validity of the message) is the ECU 20B.

図7は、ECU20Bが行う処理を説明するフローチャートである。図示した処理は、ECU20Bが、他のECU20Aからメッセージを受信したタイミングで実行される。
まず、ステップS21で、機能実行部211が、メッセージの送信元であるECU(第一のECU20A)からメッセージを受信する。受信したメッセージは、異常判定部21
2に転送される。 FIG. 7 is a flowchart for explaining the processing performed by the ECU 20B. The illustrated process is executed at the timing when the ECU 20B receives a message from the other ECU 20A.
First, in step S21, the function execution unit 211 receives a message from the ECU (first ECU 20A) that is the transmission source of the message. The received message is sent to the abnormality determination unit 21
2.

次に、ステップS22で、異常判定部212が、受信したメッセージの妥当性をチェックする。メッセージの妥当性は、受信したメッセージと、メッセージDB221に記憶されたルールとを照合することでチェックすることができる。例えば、メッセージを受信したタイミングや手順がルールから逸脱していた場合、異常なメッセージを受信したと判定することができる。 Next, in step S22, the abnormality determination unit 212 checks the validity of the received message. The validity of the message can be checked by comparing the received message with the rules stored in the message DB 221 . For example, if the timing or procedure for receiving a message deviates from the rules, it can be determined that an abnormal message has been received.

ステップS23では、第一のECU20Aから送信されたメッセージが正常であるか否かを判定する。ここで、メッセージが異常であると判定された場合、処理はステップS25へ遷移し、異常判定部212が、異常メッセージを送信したECU20Aに対してリセット信号を送信する。メッセージが正常であると判定された場合、処理はステップS24へ遷移する。
ステップS24では、機能実行部211が、受信したメッセージを処理する。 In step S23, it is determined whether or not the message transmitted from the first ECU 20A is normal. Here, when it is determined that the message is abnormal, the process transitions to step S25, and the abnormality determination unit 212 transmits a reset signal to the ECU 20A that transmitted the abnormal message. If the message is determined to be normal, the process transitions to step S24.
At step S24, the function executing unit 211 processes the received message.

かかる処理によると、車載ネットワークを介して受信したメッセージに異常が認められる場合に、当該異常なメッセージを送信したECUに対してリセット信号を送信し、復旧させることができる。 According to such processing, when an abnormality is recognized in a message received via an in-vehicle network, a reset signal can be transmitted to the ECU that transmitted the abnormal message to restore the system.

一方、図7に示した処理では、ルールから逸脱したメッセージを送信したECUがあることを検出することはできるが、通信相手であるECUの応答が無くなったことを検出することはできない。
そこで、ECU20Bは、通信相手であるECU20Aが正常に動作していることのチェックをメッセージの送信時にも行う。 On the other hand, in the processing shown in FIG. 7, it is possible to detect that there is an ECU that has sent a message that deviates from the rules, but it is not possible to detect that there is no response from the ECU that is the communication partner.
Therefore, the ECU 20B also checks whether the ECU 20A, which is the other party of communication, is operating normally when sending a message.

図8は、ECU20Bが行う処理を説明する第二のフローチャートである。図示した処理は、ECU20Bが、他のECU20Aに対してメッセージを送信するタイミングで実行される。 FIG. 8 is a second flowchart for explaining the processing performed by the ECU 20B. The illustrated process is executed at the timing when the ECU 20B transmits a message to the other ECU 20A.

まず、ステップS31で、機能実行部211が、メッセージの送信先であるECU(第一のECU20A)に対してメッセージを送信する。
次に、ステップS32で、機能実行部211が、送信したメッセージに対する応答(Ack)を取得する。応答は、異常判定部212に転送される。 First, in step S31, the function executing unit 211 transmits a message to the ECU (first ECU 20A) that is the destination of the message.
Next, in step S32, the function execution unit 211 acquires a response (Ack) to the transmitted message. The response is transferred to abnormality determination section 212 .

ステップS33では、異常判定部212が、第一のECU20Aから応答を受信したか否かを判定する。ここで、応答が所定の期間内に無かった場合、処理はステップS34へ遷移し、異常判定部212が、第一のECU20Aに対してリセット信号を送信する。応答が所定の期間内にあった場合、処理は終了する。 In step S33, the abnormality determination unit 212 determines whether or not a response has been received from the first ECU 20A. Here, if there is no response within the predetermined period, the process transitions to step S34, and the abnormality determination unit 212 transmits a reset signal to the first ECU 20A. If the response is within the predetermined period of time, the process ends.

以上説明したように、本実施形態では、メッセージを交換するECU20のそれぞれが、通信相手において異常が発生していないかを監視する。また、複数のECU20のそれぞれが、通信相手に異常を認めた場合、当該通信相手に対してリセット信号を送信する。すなわち、異常が発生したECU20に対してリセット信号を送信する権限を、ゲートウェイ10ではなく、複数のECU20に持たせる。これにより、異常の検知および復旧を早期に果たすことが可能になる。 As described above, in the present embodiment, each of the ECUs 20 exchanging messages monitors whether an abnormality has occurred in the other party of communication. Further, each of the plurality of ECUs 20 transmits a reset signal to the communication partner when it recognizes an abnormality in the communication partner. That is, not the gateway 10 but a plurality of ECUs 20 are given the authority to transmit a reset signal to the ECU 20 in which an abnormality has occurred. This makes it possible to quickly detect and recover from anomalies.

(第一の実施形態の変形例)
第一の実施形態では、複数のECU20のそれぞれが、通信相手である他のECU20を監視したが、監視対象は通信を行っている相手に限定されない。例えば、所定の通信バスに接続されているECU20が、自装置と同一の通信バスに接続されている他の複数の
ECU20を監視してもよい。 (Modified example of the first embodiment)
In the first embodiment, each of the plurality of ECUs 20 monitors another ECU 20 with which it communicates, but the monitored object is not limited to the other party with which it is communicating. For example, an ECU 20 connected to a predetermined communication bus may monitor a plurality of other ECUs 20 connected to the same communication bus as its own device.

また、第一の実施形態では、送受信されるメッセージの妥当性を検証することによって、異常動作を起こしているECUを検出したが、これ以外の要素によって、ECUの異常動作を検出してもよい。例えば、CANバス30、あるいは、各ECU20に流れている電流を測定することで、動作すべきでないタイミングで動作しているECU20があることを判定することができる。この場合、電流を測定するためのユニットないしモジュールを各ECU20(または車両1)に内蔵させてもよい。また、複数のECU20の動作条件に関するデータを記憶部22に記憶させ、当該データに基づいて、所定のECU20について、動作すべきタイミングとそうでないタイミングを識別してもよい。 In addition, in the first embodiment, an ECU that is operating abnormally is detected by verifying the validity of a message that is sent and received. . For example, by measuring the current flowing through the CAN bus 30 or each ECU 20, it is possible to determine that there is an ECU 20 that is operating at a timing when it should not operate. In this case, each ECU 20 (or vehicle 1) may incorporate a unit or module for measuring current. Alternatively, data relating to operating conditions of a plurality of ECUs 20 may be stored in the storage unit 22, and based on the data, the timing at which a predetermined ECU 20 should operate and the timing at which it should not operate may be identified.

また、第一の実施形態では、ECU20が異常判定部212によってリセット信号を送信したが、対象のECU20をリセットするためのトリガを生成することができれば、リセット信号を送信する主体は、必ずしも異常を検知したECU20でなくてもよい。 Further, in the first embodiment, the ECU 20 transmits the reset signal by the abnormality determination unit 212. However, if a trigger for resetting the target ECU 20 can be generated, the entity that transmits the reset signal does not necessarily detect the abnormality. It does not have to be the detected ECU 20 .

また、第一の実施形態では、異常動作を起こしているECUを検出する機能を複数のECU20に持たせたが、当該機能をゲートウェイ10にさらに持たせてもよい。かかる形態によると、監視のための負荷を車両システム内において分散させることができる。 In addition, in the first embodiment, the multiple ECUs 20 are provided with the function of detecting an ECU that is operating abnormally, but the gateway 10 may be provided with this function. According to this form, the load for monitoring can be distributed within the vehicle system.

(変形例)
上記の実施形態はあくまでも一例であって、本発明はその要旨を逸脱しない範囲内で適宜変更して実施しうる。
例えば、本開示において説明した処理や手段は、技術的な矛盾が生じない限りにおいて、自由に組み合わせて実施することができる。 (Modification)
The above embodiment is merely an example, and the present invention can be modified as appropriate without departing from the scope of the invention.
For example, the processes and means described in the present disclosure can be freely combined and implemented as long as there is no technical contradiction.

また、1つの装置が行うものとして説明した処理が、複数の装置によって分担して実行されてもよい。あるいは、異なる装置が行うものとして説明した処理が、1つの装置によって実行されても構わない。コンピュータシステムにおいて、各機能をどのようなハードウェア構成(サーバ構成)によって実現するかは柔軟に変更可能である。 Also, the processing described as being performed by one device may be shared and performed by a plurality of devices. Alternatively, processes described as being performed by different devices may be performed by one device. In a computer system, it is possible to flexibly change the hardware configuration (server configuration) to implement each function.

本開示は、上記の実施形態で説明した機能を実装したコンピュータプログラムをコンピュータに供給し、当該コンピュータが有する1つ以上のプロセッサがプログラムを読み出して実行することによっても実現可能である。このようなコンピュータプログラムは、コンピュータのシステムバスに接続可能な非一時的なコンピュータ可読記憶媒体によってコンピュータに提供されてもよいし、ネットワークを介してコンピュータに提供されてもよい。非一時的なコンピュータ可読記憶媒体は、例えば、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクドライブ(HDD)等)、光ディスク(CD-ROM、DVDディスク・ブルーレイディスク等)など任意のタイプのディスク、読み込み専用メモリ(ROM)、ランダムアクセスメモリ(RAM)、EPROM、EEPROM、磁気カード、フラッシュメモリ、光学式カード、電子的命令を格納するために適した任意のタイプの媒体を含む。 The present disclosure can also be implemented by supplying a computer program implementing the functions described in the above embodiments to a computer, and reading and executing the program by one or more processors of the computer. Such a computer program may be provided to the computer by a non-transitory computer-readable storage medium connectable to the system bus of the computer, or may be provided to the computer via a network. Non-transitory computer-readable storage media include, for example, magnetic disks (floppy (registered trademark) disks, hard disk drives (HDD), etc.), optical disks (CD-ROMs, DVD disks, Blu-ray disks, etc.), any type of disk, Including read only memory (ROM), random access memory (RAM), EPROM, EEPROM, magnetic cards, flash memory, optical cards, any type of medium suitable for storing electronic instructions.

1・・・車両
10・・・ゲートウェイ
11・・・制御部
12・・・記憶部
13・・・通信部
20・・・ECU
21・・・制御部
22・・・記憶部
23・・・通信部 DESCRIPTION OF SYMBOLS 1... Vehicle 10... Gateway 11... Control part 12... Storage part 13... Communication part 20... ECU
21... Control part 22... Storage part 23... Communication part

Claims (1)

複数の電子制御ユニットを含む車両システムであって、
前記複数の電子制御ユニットのそれぞれが、
他の電子制御ユニットのうち、異常な動作を行っている電子制御ユニットが存在することを検出することと、
前記異常な動作を行っている電子制御ユニットの存在を検出した場合に、当該電子制御ユニットに対してリセット信号を送信することと、
を実行する、車両システム。 A vehicle system including a plurality of electronic control units,
each of the plurality of electronic control units,
Detecting that there is an electronic control unit that is performing an abnormal operation among other electronic control units;
transmitting a reset signal to the electronic control unit when detecting the presence of the electronic control unit that is performing the abnormal operation;
A vehicle system that runs
JP2021038694A 2021-03-10 2021-03-10 vehicle system Pending JP2022138678A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2021038694A JP2022138678A (en) 2021-03-10 2021-03-10 vehicle system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021038694A JP2022138678A (en) 2021-03-10 2021-03-10 vehicle system

Publications (1)

Publication Number Publication Date
JP2022138678A true JP2022138678A (en) 2022-09-26

Family

ID=83399297

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021038694A Pending JP2022138678A (en) 2021-03-10 2021-03-10 vehicle system

Country Status (1)

Country Link
JP (1) JP2022138678A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20230094360A1 (en) * 2021-09-29 2023-03-30 Continental Automotive Systems, Inc. Method and electronic vehicle system for processing v2x messages

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20230094360A1 (en) * 2021-09-29 2023-03-30 Continental Automotive Systems, Inc. Method and electronic vehicle system for processing v2x messages

Similar Documents

Publication Publication Date Title
JP6585019B2 (en) Network monitoring device, network system and program
US10693905B2 (en) Invalidity detection electronic control unit, in-vehicle network system, and communication method
JP6578224B2 (en) In-vehicle system, program and controller
JP6807906B2 (en) Systems and methods to generate rules to prevent computer attacks on vehicles
JP5838983B2 (en) Information processing apparatus and information processing method
JP6762347B2 (en) Systems and methods to thwart computer attacks on transportation
JP7229783B2 (en) In-vehicle information processing device, vehicle information communication system, information processing method and program
JP2013131907A (en) Vehicle network monitoring device
JP2014027517A (en) Communication system and communication method
JP7182559B2 (en) Log output method, log output device and program
CN109104352B (en) Vehicle network operation protocol and method
WO2017098977A1 (en) Onboard communication device, abnormality notification system, and abnormality notification method
JP2014236248A (en) Electronic control device and electronic control system
JP2014045421A (en) Network system
KR20160009287A (en) Black box apparatus for diagnosing error of electronic control unit for vehicle and control method thereof
JP2013203236A (en) Data output device for vehicle
JP2019220770A (en) Electronic control device, monitoring method, program, and gateway device
JP6191397B2 (en) Communication relay device, communication relay processing
JP2022138678A (en) vehicle system
US20230087311A1 (en) System and method for detection and prevention of cyber attacks at in-vehicle networks
US11444922B2 (en) System for detecting control device security malfunctions
US20220157090A1 (en) On-vehicle security measure device, on-vehicle security measure method, and security measure system
JP2016055673A (en) Failure diagnosis device and electronic control device
US20200036738A1 (en) Method and device for detecting anomalies in a computer network
CN113169966A (en) Method for monitoring a data transmission system, data transmission system and motor vehicle

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20231219