JP6783578B2 - Vehicle control system - Google Patents

Vehicle control system Download PDF

Info

Publication number
JP6783578B2
JP6783578B2 JP2016153494A JP2016153494A JP6783578B2 JP 6783578 B2 JP6783578 B2 JP 6783578B2 JP 2016153494 A JP2016153494 A JP 2016153494A JP 2016153494 A JP2016153494 A JP 2016153494A JP 6783578 B2 JP6783578 B2 JP 6783578B2
Authority
JP
Japan
Prior art keywords
target value
unit
transmission target
communication path
value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016153494A
Other languages
Japanese (ja)
Other versions
JP2018023023A5 (en
JP2018023023A (en
Inventor
健太 小田原
健太 小田原
龍司 濱浦
龍司 濱浦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Subaru Corp
Original Assignee
Subaru Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Subaru Corp filed Critical Subaru Corp
Priority to JP2016153494A priority Critical patent/JP6783578B2/en
Publication of JP2018023023A publication Critical patent/JP2018023023A/en
Publication of JP2018023023A5 publication Critical patent/JP2018023023A5/ja
Application granted granted Critical
Publication of JP6783578B2 publication Critical patent/JP6783578B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Description

本発明は、バス通信路を介して複数の車載制御装置が通信可能に接続された車両制御システムに関するものであり、特には、バス通信路を介して送信される送信対象値の改竄について対処するための制御技術に関する。 The present invention relates to a vehicle control system in which a plurality of in-vehicle control devices are communicably connected via a bus communication path, and particularly deals with falsification of a transmission target value transmitted via the bus communication path. Regarding control technology for.

一般に、自動車等の車両には、車両に関する各種の制御を行う複数の制御ユニット(車載制御装置)がバス通信路を介して通信可能に接続された車両制御システムが構築されている。各制御ユニット間の通信方式としては、例えばCAN(Controller Area Network)通信方式が採用される。 Generally, in a vehicle such as an automobile, a vehicle control system is constructed in which a plurality of control units (vehicle-mounted control devices) that perform various controls related to the vehicle are connected so as to be communicable via a bus communication path. As a communication method between the control units, for example, a CAN (Controller Area Network) communication method is adopted.

例えばCAN通信方式が採用された車両制御システムでは、バス通信路を介してやりとりされるメッセージ(フレーム)内にチェックサムが含まれており、メッセージを受信した制御ユニットは該チェックサムによって受信メッセージの正しさを確認することが可能とされる。 For example, in a vehicle control system that employs the CAN communication method, a checksum is included in the message (frame) exchanged via the bus communication path, and the control unit that receives the message receives the message by the checksum. It is possible to confirm the correctness.

なお、関連する従来技術に関しては例えば下記特許文献1、2を挙げることができる。 Regarding the related prior art, for example, the following Patent Documents 1 and 2 can be mentioned.

特開2004−350137号公報Japanese Unexamined Patent Publication No. 2004-350137 特開2007−38904号公報JP-A-2007-38904

ここで、チェックサムは、ノイズ等による通信不良に起因した送受信データ間の変化有無を検出するのには好適であるが、いわゆるハッキング行為によってバス通信路上のメッセージが改竄(なりすまし)されるということも想定され、チェックサムごとメッセージが書き換える改竄が行われてしまうと、受信メッセージの正しさを確認することが不能となる虞がある。
車両制御システムにおいては、アクセル開度やエンジン回転数等といった車両情報が上記のメッセージによって制御ユニット間でやりとりされるが、上述のようにチェックサムごと書き換える改竄が行われた場合には、受信ユニット側で誤った車両情報に基づく制御が行われてしまい、車両の十分な安全性確保ができない虞がある。 Here, the checksum is suitable for detecting the presence or absence of a change between transmitted / received data due to communication failure due to noise or the like, but the message on the bus communication path is falsified (spoofed) by a so-called hacking act. If the message is tampered with by rewriting the message for each checksum, it may not be possible to confirm the correctness of the received message.
In the vehicle control system, vehicle information such as accelerator opening and engine speed is exchanged between control units by the above message, but if the control unit is tampered with as described above, the receiving unit is rewritten. Control based on incorrect vehicle information may be performed on the side, and sufficient vehicle safety may not be ensured.

そこで、本発明は、バス通信路を介して車載制御装置間でやりとりされるメッセージが改竄された場合にも車両の安全性確保が図られるようにすることを目的とする。 Therefore, an object of the present invention is to ensure the safety of the vehicle even when the message exchanged between the in-vehicle control devices via the bus communication path is falsified.

本発明に係る車両制御システムは、バス通信路を介して複数の車載制御装置が通信可能に接続された車両制御システムであって、前記車載制御装置のうち少なくとも一つの前記車載制御装置が、送信対象値を含むメッセージを前記バス通信路に送出する送出部と、前記送信対象値を保持する保持部と、前記バス通信路に送出された前記メッセージを取得し、該取得したメッセージに含まれる前記送信対象値と前記保持部により保持された前記送信対象値とを比較した結果に基づき、前記バス通信路に送出された前記送信対象値の改竄有無を判定する改竄判定部と、前記改竄判定部により改竄有りと判定されたことに応じて前記改竄判定部により改竄有りと判定された前記送信対象値の識別情報を含む第一通知メッセージを前記バス通信路に送出する第一通知部と、を備え、前記車載制御装置のうち少なくとも一つの前記車載制御装置が、前記バス通信路に送出された前記第一通知メッセージを受信する受信部と、前記受信部が受信した前記第一通知メッセージに基づき識別される前記送信対象値が特定種類の値であるか否かを判定する第二対象値判定部と、を備えるものである。
The vehicle control system according to the present invention is a vehicle control system in which a plurality of vehicle-mounted control devices are communicably connected via a bus communication path, and at least one of the vehicle-mounted control devices transmits. A sending unit that sends a message including a target value to the bus communication path, a holding unit that holds the transmission target value, and the message sent to the bus communication path are acquired and included in the acquired message. Based on the result of comparing the transmission target value and the transmission target value held by the holding unit, a tampering determination unit for determining whether or not the transmission target value sent to the bus communication path has been tampered with, and the tampering determination unit. The first notification unit that sends the first notification message including the identification information of the transmission target value determined to be tampered by the tampering determination unit to the bus communication path in response to the determination that the tampering has occurred. At least one of the vehicle-mounted control devices is based on a receiving unit that receives the first notification message sent to the bus communication path and the first notification message received by the receiving unit. It is provided with a second target value determining unit for determining whether or not the identified transmission target value is a value of a specific type .

上記の改竄判定部により、チェックサムごと書き換えるメッセージの改竄有無を適正に判定することが可能とされる。そして、上記の第一通知部により、メッセージ改竄があった旨をバス通信路に接続された他の車載制御装置に通知可能とされ、該通知を受けた他の車載制御装置は、例えばフェールセーフモードに移行する等、改竄値を用いた車両制御を行わない措置をとることが可能とされる。
また、送信対象値の送信元となる車載制御装置に特定種類の値か否かを判定させる必要がなくなる。
The above-mentioned falsification determination unit makes it possible to appropriately determine whether or not the message to be rewritten for each checksum has been tampered with. Then, the first notification unit described above makes it possible to notify other in-vehicle control devices connected to the bus communication path that the message has been tampered with, and the other in-vehicle control device that has received the notification is, for example, in fail-safe mode. It is possible to take measures that do not control the vehicle using falsified values, such as shifting to.
Further, it is not necessary to have the in-vehicle control device, which is the source of the transmission target value, determine whether or not the value is of a specific type.

本発明に係る車両制御システムは、バス通信路を介して複数の車載制御装置が通信可能に接続された車両制御システムであって、
前記車載制御装置のうち少なくとも一つの前記車載制御装置が、
送信対象値を含むメッセージを前記バス通信路に送出する送出部と、
前記送信対象値を保持する保持部と、
前記バス通信路に送出された前記メッセージを取得し、該取得したメッセージに含まれる前記送信対象値と前記保持部により保持された前記送信対象値とを比較した結果に基づき、前記バス通信路に送出された前記送信対象値の改竄有無を判定する改竄判定部と、
前記改竄判定部により改竄有りと判定されたことに応じて、前記改竄判定部により改竄有りと判定された前記送信対象値の識別情報を含む第一通知メッセージを前記バス通信路に送出する第一通知部と、を備え、
前記車載制御装置のうち少なくとも一つの前記車載制御装置が、
前記バス通信路に送出された前記第一通知メッセージを受信する受信部と、
前記受信部によって異なる前記送信対象値についての前記第一通知メッセージが受信された場合に、受信された各前記第一通知メッセージに基づき識別される前記改竄有りと判定された前記送信対象値の組合せが特定組合せであるか否かを判定する対象組合せ判定と、前記対象組合せ判定部により前記特定組合せであると判定されたことに応じて、前記第一通知メッセージとは異なる第二通知メッセージを前記バス通信路に送出する第二通知部と、を備えるものである。
これにより、単体の改竄により安全性確保が困難となると予測される送信対象値の改竄以外の多様な改竄に対して安全性確保を図ることが可能とされる。
The vehicle control system according to the present invention is a vehicle control system in which a plurality of in-vehicle control devices are communicably connected via a bus communication path.
At least one of the in-vehicle control devices is
A transmission unit that sends a message including a transmission target value to the bus communication path, and a transmission unit.
A holding unit that holds the transmission target value and
Based on the result of acquiring the message sent to the bus communication path and comparing the transmission target value included in the acquired message with the transmission target value held by the holding unit, the bus communication path A falsification determination unit that determines whether or not the transmitted target value has been tampered with,
In response to the falsification determination unit determining that the falsification has occurred, the first notification message including the identification information of the transmission target value determined to be falsified by the falsification determination unit is sent to the bus communication path. With a notification section,
At least one of the in-vehicle control devices is
A receiving unit that receives the first notification message sent to the bus communication path, and
When the first notification message about the transmission target value that differs depending on the receiving unit is received, the combination of the transmission target values determined to be tampered with, which is identified based on each received first notification message. A target combination determination unit that determines whether or not is a specific combination, and a second notification message that is different from the first notification message according to the determination by the target combination determination unit that is the specific combination. It is provided with a second notification unit for sending to the bus communication path.
As a result, it is possible to ensure safety against various falsifications other than falsification of the transmission target value, which is expected to be difficult to ensure safety due to falsification of a single unit.

本発明に係る車両制御システムは、バス通信路を介して複数の車載制御装置が通信可能に接続された車両制御システムであって、前記車載制御装置のうち少なくとも一つの前記車載制御装置が、送信対象値を含むメッセージを前記バス通信路に送出する送出部と、前記送信対象値を保持する保持部と、前記バス通信路に送出された前記メッセージを取得し、該取得したメッセージに含まれる前記送信対象値と前記保持部により保持された前記送信対象値とを比較した結果に基づき、前記バス通信路に送出された前記送信対象値の改竄有無を判定する改竄判定部と、前記改竄判定部により改竄有りと判定されたことに応じて第一通知メッセージを前記バス通信路に送出する第一通知部と、を備え、前記第一通知部は、前記改竄有りと判定された前記送信対象値の真値を含む前記第一通知メッセージを前記バス通信路に送出するものである。
これにより、改竄に対して車両の安全性確保を図る上で、車両制御を中断せずに真値に基づき適正な車両制御を継続して行うことが可能とされる。 The vehicle control system according to the present invention is a vehicle control system in which a plurality of vehicle-mounted control devices are communicably connected via a bus communication path, and at least one of the vehicle-mounted control devices transmits. A transmission unit that sends a message including a target value to the bus communication path, a holding unit that holds the transmission target value, and the message sent to the bus communication path are acquired and included in the acquired message. Based on the result of comparing the transmission target value and the transmission target value held by the holding unit, a tampering determination unit for determining whether or not the transmission target value sent to the bus communication path has been tampered with, and the tampering determination unit. The first notification unit includes a first notification unit that sends a first notification message to the bus communication path in response to the determination that the bus has been tampered with, and the first notification unit is the transmission target value determined to be tampered with. The first notification message including the true value of is sent to the bus communication path.
As a result, in order to ensure the safety of the vehicle against falsification, it is possible to continuously perform appropriate vehicle control based on the true value without interrupting the vehicle control.

本発明によれば、バス通信路を介して車載制御装置間でやりとりされるメッセージが改竄された場合にも車両の安全性確保が図られるようにすることができる。 According to the present invention, it is possible to ensure the safety of the vehicle even when the message exchanged between the vehicle-mounted control devices via the bus communication path is falsified.

本発明に係る実施の形態としての車両制御システムの構成を示したブロック図である。It is a block diagram which showed the structure of the vehicle control system as the embodiment which concerns on this invention. 実施の形態におけるバス通信路を介してやりとりされるメッセージのデータ構造例を示した図である。It is a figure which showed the example of the data structure of the message exchanged through the bus communication path in embodiment. 実施の形態の第1例における車載制御装置の機能構成を表した機能ブロック図である。It is a functional block diagram which showed the functional structure of the vehicle-mounted control device in 1st Example of Embodiment. 実施の形態の第1例としての各機能を実現するために実行されるべき処理の手順を示したフローチャートである。It is a flowchart which showed the procedure of the process which should be executed in order to realize each function as the 1st example of embodiment. 実施の形態の第2例における車載制御装置の機能構成を表した機能ブロック図である。It is a functional block diagram which showed the functional structure of the vehicle-mounted control device in the 2nd example of embodiment. 実施の形態の第2例としての各機能を実現するために実行されるべき処理の手順を示したフローチャートである。It is a flowchart which showed the procedure of the process which should be executed in order to realize each function as the 2nd example of an embodiment. 実施の形態の第3例における車載制御装置の機能構成を表した機能ブロック図である。It is a functional block diagram which showed the functional structure of the vehicle-mounted control device in the 3rd example of embodiment. 実施の形態の第4例における車載制御装置(送信対象値の送信元)の機能構成を表した機能ブロック図である。It is a functional block diagram which showed the functional structure of the vehicle-mounted control device (source of transmission target value) in the 4th example of embodiment. 実施の形態の第4例における車載制御装置(第二通知メッセージの送信元)の機能構成を表した機能ブロック図である。It is a functional block diagram which showed the functional structure of the vehicle-mounted control device (source of the second notification message) in 4th example of embodiment. 実施の形態の第4例における車載制御装置(送信対象値の送信元)の機能を実現するために実行されるべき処理の手順を示したフローチャートである。It is a flowchart which showed the procedure of the process which should be executed in order to realize the function of the vehicle-mounted control device (source of transmission target value) in the fourth example of the embodiment. 実施の形態の第4例における車載制御装置(第二通知メッセージの送信元)の機能を実現するために実行されるべき処理の手順を示したフローチャートである。It is a flowchart which showed the procedure of the process which should be executed in order to realize the function of the vehicle-mounted control device (source of the second notification message) in the fourth example of the embodiment.

<1.車両制御システムの構成>
図1は、本発明に係る実施の形態としての車両制御システム1の構成を示したブロック図である。なお、図1では、車両制御システム1の構成のうち主に本発明に係る要部の構成のみを抽出して示している。
車両制御システム1は、車輪を駆動するための動力源としてエンジンと電動機とを備えたハイブリッド車としての車両に備えられ、車載制御装置として、ハイブリッド制御ユニット2、エンジン制御ユニット3、走安制御ユニット4、運転支援制御ユニット5、メータ制御ユニット6、エアバッグ制御ユニット7、通信制御ユニット8を備えている。これらの各制御ユニットは、例えばCPU(Central Processing Unit)、ROM(Read Only Memory)、RAM(Random Access Memory)等を有するマイクロコンピュータを備えて構成され、それぞれがバス配線9を介して接続されることで互いに通信可能とされている。
本例では、バス配線9を介した各制御ユニット間の通信は、CAN(Controller Area Network)通信規格に従った方式で行われる。以下、バス配線9による通信路を「バス通信路」と表記する。
<1. Vehicle control system configuration>
FIG. 1 is a block diagram showing a configuration of a vehicle control system 1 as an embodiment according to the present invention. Note that FIG. 1 mainly extracts and shows only the configuration of the main part according to the present invention from the configuration of the vehicle control system 1.
The vehicle control system 1 is provided in a vehicle as a hybrid vehicle equipped with an engine and an electric motor as a power source for driving the wheels, and as an in-vehicle control device, a hybrid control unit 2, an engine control unit 3, and a running safety control unit. 4. The operation support control unit 5, the meter control unit 6, the airbag control unit 7, and the communication control unit 8 are provided. Each of these control units is configured to include, for example, a microcomputer having a CPU (Central Processing Unit), a ROM (Read Only Memory), a RAM (Random Access Memory), and the like, and each of them is connected via a bus wiring 9. It is possible to communicate with each other.
In this example, communication between each control unit via the bus wiring 9 is performed by a method according to a CAN (Controller Area Network) communication standard. Hereinafter, the communication path by the bus wiring 9 will be referred to as a "bus communication path".

エンジン制御ユニット3は、車両に設けられたエンジンについての燃料噴射制御、点火制御、吸入空気量調節制御などの各種運転制御を行う。エンジン制御ユニット3には、車両の走行速度を車速として検出する車速センサ10、エンジンの回転数を検出するエンジン回転数センサ11、アクセルペダルの踏み込み量をアクセル開度として検出するアクセル開度センサ12、スロットルバルブの開度をスロットル開度として検出するスロットル開度センサ13等、エンジン制御に関連する各種のセンサが接続されており、エンジン制御ユニット3はエンジンの運転制御にあたってこれらセンサによる検出値を用いる。
また、エンジン制御ユニット3は、上記各種センサによる検出値を必要に応じてハイブリッド制御ユニット2や運転支援制御ユニット5等の所要の制御ユニットにバス配線9を介して送信する。 The engine control unit 3 performs various operation controls such as fuel injection control, ignition control, and intake air amount adjustment control for the engine provided in the vehicle. The engine control unit 3 includes a vehicle speed sensor 10 that detects the traveling speed of the vehicle as a vehicle speed, an engine rotation speed sensor 11 that detects the engine rotation speed, and an accelerator opening sensor 12 that detects the amount of depression of the accelerator pedal as the accelerator opening degree. , Various sensors related to engine control such as the throttle opening sensor 13 that detects the opening degree of the throttle valve as the throttle opening degree are connected, and the engine control unit 3 uses the detected values by these sensors for engine operation control. Use.
Further, the engine control unit 3 transmits the detected values by the various sensors to the required control units such as the hybrid control unit 2 and the driving support control unit 5 via the bus wiring 9 as needed.

ハイブリッド制御ユニット2は、運転者の操作入力やエンジン制御ユニット3から受信されるアクセル開度等の車両情報を表す値に基づき、エンジン制御ユニット3、回転電機制御部20、充電制御部21に対する指示を行って車両の動作をコントロールする。
回転電機制御部20は、ハイブリッド制御ユニット2からの指示に基づき、車両に設けられた走行用の回転電機(例えばモータ・ジェネレータ)についての駆動制御を行う。充電制御部21は、ハイブリッド制御ユニット2からの指示に基づき、車両に上記回転電機の電源として設けられた走行用バッテリの充電制御を行う。本例において、充電制御部21は、モータ・ジェネレータとしての上記回転電機が回生回転により発電した電力に基づき走行用バッテリを充電させる制御を行う。 The hybrid control unit 2 gives instructions to the engine control unit 3, the rotary electric machine control unit 20, and the charge control unit 21 based on values representing vehicle information such as the driver's operation input and the accelerator opening received from the engine control unit 3. To control the operation of the vehicle.
The rotary electric machine control unit 20 performs drive control for a traveling rotary electric machine (for example, a motor / generator) provided in the vehicle based on an instruction from the hybrid control unit 2. Based on the instruction from the hybrid control unit 2, the charge control unit 21 controls the charge of the traveling battery provided in the vehicle as a power source for the rotary electric machine. In this example, the charge control unit 21 controls to charge the traveling battery based on the electric power generated by the regenerative rotation of the rotary electric machine as a motor generator.

ハイブリッド制御ユニット2は、エンジン制御ユニット3から受信したアクセル開度値に基づき、運転者によるアクセル操作量に応じた要求トルクT(車輪に出力すべきトルク)を計算し、要求トルクTに対応する要求駆動力により車両を走行させるためのエンジン、回転電機の動作制御をエンジン制御ユニット3、回転電機制御部20に実行させる。また、走行用バッテリのSOC(State Of Charge:充電率)に基づき、充電制御部21に走行用バッテリを充電させる制御を実行させる。
ハイブリッド車における走行モードとしては、EV(Electric Vehicle)走行モード、及びハイブリッド走行モードがあり、ハイブリッド制御ユニット2は車両の状態に応じてこれらの走行モードを切り替える。EV走行モード時においてハイブリッド制御ユニット2は、アクセル開度値に基づき計算した要求トルクTに基づき回転電機に要求されるトルク(「要求トルクTb」と表記)を計算し、該要求トルクTbを回転電機制御部20に指示して回転電機の動作を制御する。
また、ハイブリッド走行モード時においてハイブリッド制御ユニット2は、要求トルクTに基づきエンジンに要求されるトルク(「要求トルクTe」と表記)と回転電機の要求トルクTbとを計算し、要求トルクTeをエンジン制御ユニット3に、要求トルクTbを回転電機制御部20にそれぞれ指示してエンジン、回転電機の動作を制御する。 The hybrid control unit 2 calculates a required torque T (torque to be output to the wheels) according to the amount of accelerator operation by the driver based on the accelerator opening value received from the engine control unit 3, and corresponds to the required torque T. The engine control unit 3 and the rotary electric machine control unit 20 are made to execute the operation control of the engine and the rotary electric machine for running the vehicle by the required driving force. Further, based on the SOC (State Of Charge) of the traveling battery, the charge control unit 21 is made to execute the control to charge the traveling battery.
The driving mode in the hybrid vehicle includes an EV (Electric Vehicle) driving mode and a hybrid driving mode, and the hybrid control unit 2 switches between these driving modes according to the state of the vehicle. In the EV traveling mode, the hybrid control unit 2 calculates the torque required for the rotary electric machine (denoted as "required torque Tb") based on the required torque T calculated based on the accelerator opening value, and rotates the required torque Tb. Instruct the electric machine control unit 20 to control the operation of the rotary electric machine.
Further, in the hybrid driving mode, the hybrid control unit 2 calculates the torque required for the engine (denoted as "required torque Te") and the required torque Tb of the rotary electric machine based on the required torque T, and calculates the required torque Te for the engine. The control unit 3 is instructed to the required torque Tb to the rotary electric machine control unit 20, respectively, to control the operation of the engine and the rotary electric machine.

走安制御ユニット4は、例えばVDC(Vehicle Dynamics Control)等、車両の走行安定性に係る制御を行う制御ユニットとされる。走安制御ユニット4には、例えばヨーレートセンサ14等の所定のセンサが接続され、該接続されたセンサによる検出値に基づいて走行安定性に係る制御を実行する。 The running safety control unit 4 is a control unit that controls the running stability of the vehicle, such as VDC (Vehicle Dynamics Control). A predetermined sensor such as a yaw rate sensor 14 is connected to the running safety control unit 4, and control related to running stability is executed based on a value detected by the connected sensor.

運転支援制御ユニット5は、例えばオートクルーズ制御や操舵支援制御等、各種の運転支援制御を行う。運転支援制御ユニット5は、これら運転支援制御を行うにあたって車外環境センサ15による検出値を用いる。車外環境センサ15は、車両外部に存在する先行車や歩行者、車線等の物体を検出するための撮像素子等のセンサを包括的に示したものである。運転支援制御ユニット5は、車外環境センサ15による検出値に基づき検出した物体の情報に基づいて、アクセルやステアリング等の運転支援制御に必要な各部を制御する。
なお、物体検出にあたり用いるセンサは撮像素子に限定されず、例えばミリ波レーダ等の他のセンサを用いることもできる。 The driving support control unit 5 performs various driving support controls such as auto cruise control and steering support control. The driving support control unit 5 uses the value detected by the vehicle exterior environment sensor 15 in performing these driving support controls. The vehicle exterior environment sensor 15 comprehensively indicates a sensor such as an image sensor for detecting an object such as a preceding vehicle, a pedestrian, or a lane existing outside the vehicle. The driving support control unit 5 controls each part necessary for driving support control such as the accelerator and steering based on the information of the object detected based on the value detected by the vehicle exterior environment sensor 15.
The sensor used for object detection is not limited to the image sensor, and other sensors such as millimeter-wave radar can also be used.

メータ制御ユニット6は、車両におけるメータパネル内等に設けられた各種の表示部について表示制御を行う。表示部としては、メータパネル内に設けられたスピードメータやタコメータ等の各種メータやMFD(Multi Function Display)、その他運転者に情報提示を行うための表示デバイスを挙げることができる。メータ制御ユニット6は、エンジン制御ユニット3から適宜受信される車速、エンジン回転数の値に基づいてスピードメータ、タコメータによる表示動作を制御する。また、メータ制御ユニット6には車両の外気温を検出する外気温センサ16等の所定のセンサが接続されており、該接続されたセンサによる検出値に基づいて表示部の表示制御を行う。なお、MFDは、車両の総走行距離や外気温、瞬間燃費等といった各種の情報の表示に用いられる。 The meter control unit 6 controls the display of various display units provided in the meter panel of the vehicle. Examples of the display unit include various meters such as a speedometer and a tachometer provided in the meter panel, an MFD (Multi Function Display), and other display devices for presenting information to the driver. The meter control unit 6 controls the display operation by the speedometer and the tachometer based on the values of the vehicle speed and the engine speed appropriately received from the engine control unit 3. Further, a predetermined sensor such as an outside air temperature sensor 16 that detects the outside air temperature of the vehicle is connected to the meter control unit 6, and the display control of the display unit is performed based on the detection value by the connected sensor. The MFD is used to display various information such as the total mileage of the vehicle, the outside air temperature, and the instantaneous fuel consumption.

エアバッグ制御ユニット7は、車両に設けられたエアバッグの動作制御を行う。エアバッグ制御ユニット7には、車両に対する物体衝突を検出する衝突センサ17等、所定のセンサが接続され、該接続されたセンサによる検出値に基づいてエアバッグの動作制御を行う。 The airbag control unit 7 controls the operation of the airbag provided in the vehicle. A predetermined sensor such as a collision sensor 17 that detects an object collision with a vehicle is connected to the airbag control unit 7, and operation control of the airbag is performed based on a value detected by the connected sensor.

通信制御ユニット8は、車両の外部装置との間で通信を行うことが可能とされた制御ユニットである。通信制御ユニット8にはアンテナが備えられており、該アンテナを介して外部装置との間で無線による通信を行うことが可能とされている。 The communication control unit 8 is a control unit capable of communicating with an external device of the vehicle. The communication control unit 8 is provided with an antenna, and it is possible to perform wireless communication with an external device via the antenna.

また、車両制御システム1においては、バス配線9に対して外部装置コネクタ18が接続されている。外部装置コネクタ18は、車両の故障診断装置等としての外部装置を接続するためのコネクタとされている。該外部装置コネクタ18が設けられることで、故障診断装置等の外部装置が各制御ユニットとの間でバス配線9を介して通信を行うことが可能とされる。 Further, in the vehicle control system 1, an external device connector 18 is connected to the bus wiring 9. The external device connector 18 is a connector for connecting an external device such as a vehicle failure diagnosis device. By providing the external device connector 18, it is possible for an external device such as a failure diagnosis device to communicate with each control unit via the bus wiring 9.

<2.通信データについて>
ここで、CAN通信規格が採用された本例の車両制御システム1において、各制御ユニット間のバス配線9を介したデータのやりとりは、データフレームとしてのメッセージにより行われる。 <2. Communication data>
Here, in the vehicle control system 1 of this example in which the CAN communication standard is adopted, data is exchanged between the control units via the bus wiring 9 by a message as a data frame.

図2は、該データフレームとしてのメッセージのデータ構造例を示した図である。
先ず、データフレームの先頭は該データフレームの開始を表すSOF(Start Of Frame)とされ、SOFに続く領域はID(Identifier)とされている。IDは、例えば11ビットで成り、主としてデータ内容や送信元ノードを識別するために使用される。また、別の働きとして、通信調停の優先順位を決定するためにも用いられる。11ビットで成るIDにより、データフレームとしては2048種類の識別が可能とされる。各ノードは、該IDに基づき、データフレームによる送信データ(後述のデータフィールドで送信されるデータ)を受信すべきか否かを判定することができる。 FIG. 2 is a diagram showing an example of a data structure of a message as the data frame.
First, the beginning of a data frame is an SOF (Start Of Frame) representing the start of the data frame, and the area following the SOF is an ID (Identifier). The ID consists of, for example, 11 bits and is mainly used to identify the data content or the source node. As another function, it is also used to determine the priority of communication mediation. The 11-bit ID makes it possible to identify 2048 types of data frames. Based on the ID, each node can determine whether or not to receive the transmission data by the data frame (data transmitted in the data field described later).

IDに続く領域はRTR(Remote Transmission Request)とされ、データフレームとリモートフレームを識別するために使用される。データフレームの場合、RTRはドミナントとなっている。また、RTRに続く領域はコントロールフィールドとされる。該コントロールフィールドにはDLC(Data Length Code)が含まれ、該DLCによって後続のデータフィールドにおいて何バイトのデータが送信されるかが表される。 The area following the ID is an RTR (Remote Transmission Request), which is used to identify the data frame and the remote frame. For data frames, the RTR is dominant. The area following the RTR is used as a control field. The control field includes a DLC (Data Length Code), which indicates how many bytes of data are transmitted by the DLC in a subsequent data field.

コントロールフィールドに続くデータフィールドは、送信対象とされるデータ(値)が格納される領域である。コントロールフィールドでは、1バイト単位で0〜8バイト(0〜64ビット)のデータを送信可能とされている。 The data field following the control field is an area in which data (value) to be transmitted is stored. In the control field, it is possible to transmit 0 to 8 bytes (0 to 64 bits) of data in 1-byte units.

データフィールドに続く領域はCRC(Cyclic Redundancy Check)フィールドであり、受信側のノードがデータフレームによる送信データを正しく受信できたか否かをチェックするためのチェックサムとして機能する。 The area following the data field is a CRC (Cyclic Redundancy Check) field, which functions as a checksum for checking whether or not the receiving node has correctly received the data transmitted by the data frame.

CRCフィールドに続く領域は、受信側のノードが送信データを正しく受信できたか否か否かの確認値を返すためのACK(Acknowledgement)フィールドとされ、該ACKフィールドに続く領域はデータフレームの終わりを表すEOF(End Of Frame)とされている。 The area following the CRC field is an ACK (Acknowledgement) field for returning a confirmation value as to whether or not the receiving node has correctly received the transmitted data, and the area following the ACK field indicates the end of the data frame. It is said to represent EOF (End Of Frame).

<3.実施の形態の改竄対応制御>
[3-1.第1例]
ここで、前述のようにチェックサムは、ノイズ等による通信不良に起因した送受信データ間の変化有無を検出するのには好適であるが、いわゆるハッキング行為によってバス通信路上のメッセージがチェックサムごと書き換えるような改竄が行われてしまうと、受信メッセージの正しさを確認することが不能となる虞がある。このような改竄は、例えば通信制御ユニット8や外部装置コネクタ18を介して継続的に行われ得る。
車両制御システム1では、アクセル開度やエンジン回転数等といった車両情報がメッセージによって制御ユニット間でやりとりされるが、上記のような改竄が行われると受信ユニット側で誤った車両情報に基づく制御が行われ、車両の十分な安全性確保ができなくなる虞がある。 <3. Falsification response control of the embodiment>
[3-1. First example]
Here, as described above, the checksum is suitable for detecting the presence or absence of a change between the transmitted / received data due to communication failure due to noise or the like, but the message on the bus communication path is rewritten together with the checksum by a so-called hacking action. If such falsification is performed, it may become impossible to confirm the correctness of the received message. Such falsification can be continuously performed, for example, via the communication control unit 8 or the external device connector 18.
In the vehicle control system 1, vehicle information such as accelerator opening and engine speed is exchanged between control units by messages, but if the above falsification is performed, control based on incorrect vehicle information is performed on the receiving unit side. This may result in the inability to ensure sufficient vehicle safety.

このため、実施の形態の車両制御システム1では、バス通信路を介して接続された少なくとも一つの制御ユニットに以下で説明する機能を付加する。なお、以下では該機能が付加された制御ユニットの例としてエンジン制御ユニット3を挙げる。 Therefore, in the vehicle control system 1 of the embodiment, the function described below is added to at least one control unit connected via the bus communication path. In the following, the engine control unit 3 will be given as an example of the control unit to which the function is added.

図3は、第1例におけるエンジン制御ユニット3の機能構成を表した機能ブロック図である。図示するようにエンジン制御ユニット3は、送出処理部F1、保持処理部F2、改竄判定処理部F3、及び第一通知処理部F4を有するものとして表すことができる。 FIG. 3 is a functional block diagram showing the functional configuration of the engine control unit 3 in the first example. As shown in the figure, the engine control unit 3 can be represented as having a transmission processing unit F1, a holding processing unit F2, a falsification determination processing unit F3, and a first notification processing unit F4.

送出処理部F1は、送信対象値を含むメッセージをバス通信路に送出する。送信対象値とは、バス通信路を介してやりとりされるメッセージの「データフィールド」において送信する対象とされた値であり、エンジン制御ユニット3であれば、例えばアクセル開度値やエンジン回転数の値等、接続されたセンサによる検出値などが該当する。送出処理部F1は、送信対象値の送信タスクの発生に応じ、「データフィールド」に送信対象値を含んだメッセージをバス通信路に送出する。 The transmission processing unit F1 transmits a message including a transmission target value to the bus communication path. The transmission target value is a value to be transmitted in the "data field" of the message exchanged via the bus communication path, and in the case of the engine control unit 3, for example, the accelerator opening value or the engine speed. The value, etc., is the value detected by the connected sensor. The transmission processing unit F1 transmits a message including the transmission target value in the "data field" to the bus communication path in response to the occurrence of the transmission task of the transmission target value.

保持処理部F2は、送信対象値をRAM(エンジン制御ユニット3のRAM)等のメモリに保持する処理を行う。本例の保持処理部F2は、送出処理部F1が送出したメッセージ内に含まれる送信対象値と同一の値を保持する処理を行う。 The holding processing unit F2 performs a process of holding the transmission target value in a memory such as a RAM (RAM of the engine control unit 3). The holding processing unit F2 of this example performs a process of holding the same value as the transmission target value included in the message sent by the sending processing unit F1.

改竄判定処理部F3は、送出処理部F1によりバス通信路に送出されたメッセージを取得し、該取得したメッセージに含まれる送信対象値(「取得値」)と保持処理部F2により保持された送信対象値(「保持値」)とを比較した結果に基づき、バス通信路に送出された送信対象値の改竄有無を判定する。具体的には、取得値が保持値と一致するか否かを判別し、一致する場合は改竄無し、一致しない場合は改竄有りとの判定結果を得る。 The falsification determination processing unit F3 acquires a message sent to the bus communication path by the transmission processing unit F1, and the transmission target value (“acquisition value”) included in the acquired message and the transmission held by the holding processing unit F2. Based on the result of comparison with the target value (“holding value”), it is determined whether or not the transmission target value sent to the bus communication path has been tampered with. Specifically, it is determined whether or not the acquired value matches the holding value, and if it matches, it is determined that there is no tampering, and if it does not match, it is determined that there is tampering.

第一通知処理部F4は、改竄判定処理部F3により改竄有りと判定されたことに応じて、第一通知メッセージをバス通信路に送出する。具体的には、「ID」として改竄があったことを表す値を含んだメッセージを第一通知メッセージとして送出する。 The first notification processing unit F4 sends a first notification message to the bus communication path in response to the determination by the falsification determination processing unit F3 that there is falsification. Specifically, a message including a value indicating that the "ID" has been tampered with is sent as the first notification message.

ここで、本例の車両制御システム1においては、メッセージの種類として「メッセージの改竄があった旨を通知するメッセージ(「第一通知メッセージ」と表記)」との種類が定義されており、当該「第一通知メッセージ」に対応する「ID」の値が予め定められている。第一通知処理部F4は、このように「第一通知メッセージ」に対して予め定められた値を「ID」に含んだメッセージをバス通信路に送出する。 Here, in the vehicle control system 1 of this example, the type of the message is defined as "a message notifying that the message has been tampered with (denoted as" first notification message ")". The value of the "ID" corresponding to the "first notification message" is predetermined. The first notification processing unit F4 sends a message including a predetermined value for the “first notification message” in the “ID” to the bus communication path in this way.

車両制御システム1において、バス配線9に接続された各制御ユニットのうち少なくともエンジン制御ユニット3(つまり送信側ユニット)を除いた各制御ユニットは、上記のようにバス通信路に送出された第一通知メッセージを受信する。そして、該第一通知メッセージを受信した制御ユニットは、フェールセーフモードに移行する。
これにより、改竄値を用いた車両制御が実行されてしまうことの防止が図られ、車両の安全性確保を図ることができる。 In the vehicle control system 1, each control unit excluding at least the engine control unit 3 (that is, the transmitting side unit) among the control units connected to the bus wiring 9 is the first sent to the bus communication path as described above. Receive a notification message. Then, the control unit that has received the first notification message shifts to the fail-safe mode.
As a result, it is possible to prevent the vehicle control using the falsification value from being executed, and to ensure the safety of the vehicle.

なお、バス配線9に接続された各制御ユニットのうち、例えばメータ制御ユニット6のように運転者に対する通知手段について制御を行う制御ユニットには、第一通知メッセージの受信に応じて、通知手段により改竄があった旨を運転者に通知させる制御を行わせることができる。このような通知が行われることで、運転者が車両を停止させる等の安全策を採ることが期待でき、改竄に対する安全性能を高めることができる。 Of the control units connected to the bus wiring 9, the control unit that controls the notification means to the driver, such as the meter control unit 6, is subjected to the notification means in response to the reception of the first notification message. It is possible to control the driver to be notified that the tampering has occurred. By giving such a notification, it can be expected that the driver will take safety measures such as stopping the vehicle, and the safety performance against falsification can be improved.

図4は、図3により説明した第1例としての各機能を実現するために実行されるべき処理の手順を示したフローチャートである。
図4において、エンジン制御ユニット3は、ステップS101で送信対象値の送信タスク発生を待機し、該送信タスクの発生に応じ、ステップS102で送信対象値の送信処理、すなわち送信対象値を含むメッセージをバス通信路に送出する処理を行う。 FIG. 4 is a flowchart showing a procedure of processing to be executed in order to realize each function as the first example described with reference to FIG.
In FIG. 4, the engine control unit 3 waits for the transmission task generation of the transmission target value in step S101, and in response to the occurrence of the transmission task, the transmission processing of the transmission target value, that is, the message including the transmission target value is transmitted in step S102. Performs processing to send to the bus communication path.

ステップS102に続くステップS103でエンジン制御ユニット3は、送信値保持処理を行う。すなわち、ステップS102で送出したメッセージに含まれる送信対象値と同一の値をRAM等のメモリに保持する処理を行う。 In step S103 following step S102, the engine control unit 3 performs the transmission value holding process. That is, a process of holding the same value as the transmission target value included in the message sent in step S102 in a memory such as RAM is performed.

ステップS103に続くステップS104でエンジン制御ユニット3は、バス通信路に送出されたメッセージ(ステップS102で送出したメッセージ)を取得する。さらに、続くステップS105でエンジン制御ユニット3は、ステップS104で取得したメッセージに含まれる送信対象値(取得値)と、ステップS103で保持した送信対象値とが一致するか否かを判定し、一致していれば図4に示す処理を終了し、一致していなければステップS106に進んで上述した第一通知メッセージをバス通信路に送出し、図4に示す処理を終える。 In step S104 following step S103, the engine control unit 3 acquires the message sent to the bus communication path (the message sent in step S102). Further, in the following step S105, the engine control unit 3 determines whether or not the transmission target value (acquired value) included in the message acquired in step S104 matches the transmission target value held in step S103. If so, the process shown in FIG. 4 is ended, and if they do not match, the process proceeds to step S106 to send the above-mentioned first notification message to the bus communication path and end the process shown in FIG.

なお、上記では送信対象値の保持処理として、送出したメッセージに含まれる送信対象値(以下「送信値」と表記)と同一の値を保持する例を挙げたが、送信値と保持値とが同一であることは必須でない。例えば、送信対象値がセンサの検出値である場合において、ステップS102によるメッセージの送出直後に該センサの検出値を取得し、該取得した検出値を保持するといったことも可能であり、その場合、送信値(取得値)と保持値とが同一となる保証はない。このように送信値と保持値とが異なり得る場合、ステップS105の判定処理としては、例えば取得値と保持値との差が一定値以下であるか否か等の判定を行うようにする。
また、送信対象値の保持は、ステップS102によるメッセージ送出前に予め行っておくことも可能である。 In the above, as the process of holding the transmission target value, an example of holding the same value as the transmission target value (hereinafter referred to as "transmission value") included in the sent message is given, but the transmission value and the holding value are different. It is not essential that they are the same. For example, when the transmission target value is the detection value of the sensor, it is also possible to acquire the detection value of the sensor immediately after sending the message in step S102 and retain the acquired detection value. There is no guarantee that the transmitted value (acquired value) and the retained value will be the same. When the transmission value and the holding value can be different in this way, as the determination process in step S105, for example, it is determined whether or not the difference between the acquired value and the holding value is equal to or less than a certain value.
Further, the transmission target value can be held in advance before the message is transmitted in step S102.

[3-2.第2例]
続いて、第2例について説明する。なお、以下の説明において、既に説明済みとなった部分と同様となる部分については同一の符号やステップ番号を付して重複説明を避ける。 [3-2. Second example]
Next, a second example will be described. In the following description, parts that are similar to the parts that have already been explained are given the same reference numerals and step numbers to avoid duplicate explanations.

先の第1例では、送信対象値の送信元となる制御ユニットは、全ての送信対象値について送信対象値の保持及び保持値を用いた改竄判定を行っていたが、第2例では、改竄が行われた場合に安全性確保が困難となると予測される送信対象値(以下「要対策値」と表記)とそうでない送信対象値とを予め区分しておき、要対策値のみを対象として送信対象値の保持及び保持値を用いた改竄判定を行う。
なお、第1例の場合と同様、第2例としての機能は各制御ユニットのうち少なくとも一つの制御ユニットに付加されればよい。この場合も該当機能が付加された制御ユニットの例としてエンジン制御ユニット3を挙げる。 In the first example above, the control unit that is the source of the transmission target value holds the transmission target value and makes a falsification determination using the holding value, but in the second example, the falsification is performed. The transmission target value (hereinafter referred to as "measure required value"), which is predicted to be difficult to ensure safety when is performed, and the transmission target value that is not, are classified in advance, and only the countermeasure value is targeted. Holds the value to be transmitted and determines falsification using the held value.
As in the case of the first example, the function as the second example may be added to at least one control unit among the control units. In this case as well, the engine control unit 3 is given as an example of the control unit to which the corresponding function is added.

図5は、第2例におけるエンジン制御ユニット3の機能構成を表した機能ブロック図である。この場合のエンジン制御ユニット3は、前述した送出処理部F1、保持処理部F2、改竄判定処理部F3、及び第一通知処理部F4を有すると共に、第一対象値判定処理部F5と制御処理部F6とを有している。 FIG. 5 is a functional block diagram showing the functional configuration of the engine control unit 3 in the second example. In this case, the engine control unit 3 has the above-mentioned transmission processing unit F1, holding processing unit F2, tampering determination processing unit F3, and first notification processing unit F4, as well as the first target value determination processing unit F5 and the control processing unit. It has F6.

第一対象値判定処理部F5は、送信対象値が特定種類の値であるか否かを判定する。具体的には、メッセージにより送信する送信対象値が上述した要対策値であるか否かを判定する。この場合、エンジン制御ユニット3におけるROM等のメモリには、要対策値の一覧情報が記憶され、エンジン制御ユニット3は該一覧情報に基づいて要対策値であるか否かの判定を行う。要対策値の例としては、エンジン制御ユニット3であれば、車速やエンジン回転数の値、スロットル開度値等を挙げることができる。或いは、ハイブリッド制御ユニット2であれば、前述した要求トルクTeの値等を挙げることができる。 The first target value determination processing unit F5 determines whether or not the transmission target value is a specific type of value. Specifically, it is determined whether or not the transmission target value to be transmitted by the message is the above-mentioned countermeasure value. In this case, the memory such as ROM in the engine control unit 3 stores the list information of the countermeasure value, and the engine control unit 3 determines whether or not the countermeasure value is required based on the list information. As an example of the value requiring countermeasures, in the case of the engine control unit 3, the vehicle speed, the engine speed, the throttle opening value, and the like can be mentioned. Alternatively, in the case of the hybrid control unit 2, the value of the required torque Te described above can be mentioned.

制御処理部F6は、第一対象値判定処理部F5により特定種類の値と判定された送信対象値のみを対象として改竄判定処理部F3による判定を実行させる。すなわち、要対策値であると判定された送信対象値のみを対象として改竄判定処理部F3による改竄判定を実行させる。 The control processing unit F6 causes the falsification determination processing unit F3 to execute the determination only for the transmission target value determined to be a specific type of value by the first target value determination processing unit F5. That is, the falsification determination processing unit F3 executes the falsification determination only for the transmission target value determined to be the countermeasure value.

このような第2例としての機能により、送信対象値の送信元となる制御ユニットは、自身が送信し得る全ての送信対象値を対象して送信対象値の保持や改竄判定を行う必要がなくなるため、処理負担の軽減が図られる。 With such a function as the second example, the control unit that is the source of the transmission target value does not need to hold or falsify the transmission target value for all the transmission target values that can be transmitted by itself. Therefore, the processing load can be reduced.

図6は、第2例としての各機能を実現するために実行されるべき処理の手順を示したフローチャートである。
この場合のエンジン制御ユニット3は、ステップS102で送信対象値の送信処理を実行したことに応じ、ステップS201で送信値は特定種類の値であるか否かを判定する。すなわち、ステップS102で送出したメッセージに含まれる送信対象値が要対策値であるか否かを判定する。ステップS201において、送信値が特定種類の値でない場合、エンジン制御ユニット3はステップS101に戻り、一方、送信値が特定種類の値であれば、エンジン制御ユニット3はステップS104に処理を進める。つまり、送信対象値が要対策値である場合のみ、ステップS103の保持処理やステップS105による改竄判定処理が実行される。 FIG. 6 is a flowchart showing a procedure of processing to be executed in order to realize each function as a second example.
In this case, the engine control unit 3 determines in step S201 whether or not the transmission value is a specific type of value in response to the execution processing of the transmission target value in step S102. That is, it is determined whether or not the transmission target value included in the message sent in step S102 is a countermeasure value. In step S201, if the transmission value is not a specific type value, the engine control unit 3 returns to step S101, while if the transmission value is a specific type value, the engine control unit 3 proceeds to step S104. That is, only when the transmission target value is a countermeasure value, the holding process in step S103 and the falsification determination process in step S105 are executed.

[3-3.第3例]
第2例では、送信対象値の送信元となる制御ユニットが要対策値か否かの判定を行うものとしたが、第3例は、要対策値か否かの判定を第一通知メッセージの受信側となる制御ユニットにおいて行う。
ここで、前提として、第3例においては、送信対象値の送信元となる制御ユニットにおいて、第一通知処理部F4が送出する第一通知メッセージに変更が加えられる。すなわち、第3例における第一通知メッセージには、改竄があった旨を表す通知情報と共に、改竄判定処理部F3により改竄有りと判定された送信対象値の識別情報が含まれる。
第3例では、メッセージにおける「ID」の値として、単に個々の送信対象値を識別するのみでなく、改竄が行われた送信対象値であるか否かをも識別可能とする値が予め定義されている。換言すれば、個々の送信対象値に対応する「ID」の値として、改竄無し/改竄有りをそれぞれ表す2種の値が定義されている。
第3例における第一通知処理部F4は、送信対象値が改竄有りと判定されたことに応じて、該送信対象値に対応する上記2種の「ID」の値のうち改竄有りを表す方の値を含んだメッセージを第一通知メッセージとしてバス通信路に送出する。 [3-3. Third example]
In the second example, it is assumed that the control unit that is the source of the transmission target value determines whether or not the countermeasure value is required, but in the third example, the determination as to whether or not the countermeasure value is required is determined by the first notification message. This is performed in the control unit on the receiving side.
Here, as a premise, in the third example, the first notification message sent by the first notification processing unit F4 is changed in the control unit that is the transmission source of the transmission target value. That is, the first notification message in the third example includes notification information indicating that the falsification has occurred, as well as identification information of the transmission target value determined to be falsified by the falsification determination processing unit F3.
In the third example, as the value of the "ID" in the message, a value that not only identifies each individual transmission target value but also distinguishes whether or not the transmission target value has been tampered with is defined in advance. Has been done. In other words, as the value of the "ID" corresponding to each transmission target value, two types of values indicating no tampering and tampering are defined.
The first notification processing unit F4 in the third example indicates that the transmission target value has been tampered with among the above two types of "ID" values corresponding to the transmission target value in response to the determination that the transmission target value has been tampered with. A message containing the value of is sent to the bus communication path as the first notification message.

上記前提を踏まえ、第3例としての機能について説明する。第3例としての機能は、各制御ユニットのうち少なくとも一つの制御ユニットに付加されればよいが、以下の説明では該機能が付加された制御ユニットの例としてハイブリッド制御ユニット2を挙げる。 Based on the above assumptions, the function as a third example will be described. The function as the third example may be added to at least one control unit of each control unit, but in the following description, the hybrid control unit 2 will be given as an example of the control unit to which the function is added.

図7は、第3例におけるハイブリッド制御ユニット2の機能構成を示した機能ブロック図である。
第3例におけるハイブリッド制御ユニット2は、受信処理部F7、及び第二対象値判定処理部F8を有している。受信処理部F7は、バス通信路に送出された第一通知メッセージを受信する。第二対象値判定処理部F8は、受信処理部F7が受信した第一通知メッセージに基づき識別される送信対象値が特定種類の値であるか否かを判定する。すなわち、第一通知メッセージに含まれる「ID」の値に基づき識別される送信対象値が、ハイブリッド制御ユニット2に対して設定された要対策値であるか否かを判定する。
この場合のハイブリッド制御ユニット2には、要対策値の一覧情報として、他の制御ユニットから受信し自身の制御に用いる得る値のうち改竄が行われると安全性確保が困難となると予測される値の一覧情報がROM等のメモリに記憶されており、第二対象値判定処理部F8は該一覧情報に基づいて、第一通知メッセージから識別される送信対象値が要対策値であるか否かを判定する。 FIG. 7 is a functional block diagram showing the functional configuration of the hybrid control unit 2 in the third example.
The hybrid control unit 2 in the third example has a reception processing unit F7 and a second target value determination processing unit F8. The reception processing unit F7 receives the first notification message sent to the bus communication path. The second target value determination processing unit F8 determines whether or not the transmission target value identified based on the first notification message received by the reception processing unit F7 is a value of a specific type. That is, it is determined whether or not the transmission target value identified based on the value of the "ID" included in the first notification message is the countermeasure-requiring value set for the hybrid control unit 2.
In this case, the hybrid control unit 2 has a list of values requiring countermeasures, which is a value that is expected to be difficult to ensure safety if it is tampered with among the values that can be received from other control units and used for its own control. The list information of is stored in a memory such as a ROM, and the second target value determination processing unit F8 determines whether or not the transmission target value identified from the first notification message is a countermeasure value based on the list information. To judge.

ハイブリッド制御ユニット2は、第二対象値判定処理部F8により要対策値であると判定されたことに応じて、フェールセーフモードに移行する。これにより、車両の安全性確保を図ることができる。 The hybrid control unit 2 shifts to the fail-safe mode when the second target value determination processing unit F8 determines that the countermeasure value is required. As a result, the safety of the vehicle can be ensured.

上記のような第3例としての機能により、送信対象値の送信元となる制御ユニットに特定種類の値であるか否かの判定(第一判定処理部F3による判定)を行わせる必要がなくなる。このため、特にエンジン制御ユニット3等、送信すべき送信対象値の種類が比較的多い(つまり送信処理負担が比較的大きい)制御ユニットに該判定に伴う処理負担を負わせずに済み、バス通信路を介した制御ユニット間の通信の円滑化を図ることができる。 The function as the third example as described above eliminates the need for the control unit that is the source of the transmission target value to determine whether or not the value is of a specific type (determination by the first determination processing unit F3). .. Therefore, it is not necessary to impose a processing load associated with the determination on a control unit having a relatively large number of types of transmission target values to be transmitted (that is, a relatively large transmission processing load), such as the engine control unit 3, and bus communication. Communication between control units via the road can be facilitated.

第3例の機能について、ハイブリッド制御ユニット2以外への適用例として、エンジン制御ユニット3に適用した場合を説明する。この場合、エンジン制御ユニット3に設定される要対策値としては、エアバック制御ユニット7が送信する衝突検知信号の値があるとする。エンジン制御ユニット3は該衝突検知信号を受信すると、燃料カットを行いエンジンを停止させる。但し、該衝突検知信号が改竄された場合は、上記第3例としての機能により、改竄値に応じた燃料カットは行わず、フェールセーフモードに移行する。これにより、運転者の意に反してエンジンが強制停止されてしまうことの防止が図られ、車両の安全性確保が図られる。 The function of the third example will be described when it is applied to the engine control unit 3 as an application example to other than the hybrid control unit 2. In this case, it is assumed that the countermeasure required value set in the engine control unit 3 is the value of the collision detection signal transmitted by the airbag control unit 7. When the engine control unit 3 receives the collision detection signal, it cuts fuel and stops the engine. However, when the collision detection signal is tampered with, the function as the third example described above does not cut the fuel according to the tampered value, and shifts to the fail-safe mode. As a result, it is possible to prevent the engine from being forcibly stopped against the will of the driver, and to ensure the safety of the vehicle.

[3-4.第4例]
第4例は、単体の改竄では安全性に影響を与えないが、他の値と共に改竄されると安全性確保が困難となると予測される送信対象値の組合せが存在する場合への対応策である。例えば、エンジン制御ユニット3が送信するA値と、運転支援制御ユニット5が送信するB値とを用いた制御をハイブリッド制御ユニット2が行うという前提において、A値単体、B値単体の改竄によってはそれぞれ安全性に影響を与えないが、改竄されたA値及びB値を用いた制御が行われることで安全性の確保が困難化するといったケースへの対応策である。
以下の説明では、送信対象値の送信元となる制御ユニットとしてエンジン制御ユニット3を代表として例示する。 [3-4. Fourth example]
The fourth example is a countermeasure when there is a combination of transmission target values that is expected to make it difficult to ensure safety if it is tampered with other values, although the tampering of a single unit does not affect the safety. is there. For example, on the premise that the hybrid control unit 2 performs control using the A value transmitted by the engine control unit 3 and the B value transmitted by the driving support control unit 5, the A value alone or the B value alone may be falsified. Although each does not affect the safety, it is a countermeasure for the case where it becomes difficult to ensure the safety due to the control using the falsified A value and the B value.
In the following description, the engine control unit 3 will be exemplified as a representative as the control unit that is the source of the transmission target value.

図8は、第4例におけるエンジン制御ユニット3の機能構成を示した機能ブロック図である。
第4例におけるエンジン制御ユニット3は、送出処理部F1、保持処理部F2、及び改竄判定処理部F3を有すると共に、第一通知処理部F4’を有している。第一通知処理部F4’は、第3例で説明した第一通知処理部F4と同様、改竄判定処理部F3により送信対象値が改竄有りと判定されたことに応じて、該送信対象値に対応する2種の「ID」の値のうち改竄有りを表す値を含んだメッセージを送出する。第4例においては、このように第一通知処理部F4’が送出する第一通知メッセージ、すなわち単体の送信対象値について改竄が有った旨及び該送信対象値の別を表す情報を含んだメッセージのことを「仮通知メッセージ」と表記する。 FIG. 8 is a functional block diagram showing the functional configuration of the engine control unit 3 in the fourth example.
The engine control unit 3 in the fourth example has a transmission processing unit F1, a holding processing unit F2, a falsification determination processing unit F3, and a first notification processing unit F4'. Similar to the first notification processing unit F4 described in the third example, the first notification processing unit F4'sets the transmission target value to the transmission target value according to the determination by the falsification determination processing unit F3 that the transmission target value has been tampered with. A message including a value indicating tampering among the corresponding two types of "ID" values is sent. In the fourth example, the first notification message sent by the first notification processing unit F4'in this way, that is, information indicating that the single transmission target value has been tampered with and whether the transmission target value is different is included. The message is referred to as a "provisional notification message".

第4例では、バス通信路に接続された各制御ユニットのうち少なくとも一つの制御ユニットが上記の仮通知メッセージを受信し、図9に示す各機能を実現する処理を実行する。ここでは、該当する制御ユニットの例としてメータ制御ユニット6を挙げる。 In the fourth example, at least one control unit among the control units connected to the bus communication path receives the above-mentioned provisional notification message and executes a process for realizing each function shown in FIG. Here, the meter control unit 6 is given as an example of the corresponding control unit.

図9において、メータ制御ユニット6は、受信処理部F7と共に、対象組合せ判定処理部F9、及び第二通知処理部F10を有している。
この場合、受信処理部F7は、エンジン制御ユニット3等の或る制御ユニットにおける第一通知処理部F4’が送出した仮通知メッセージとしての第一通知メッセージを受信する。第一通知処理部F4’を有する制御ユニットが複数存在していれば、受信処理部F7はそれら制御ユニットの第一通知処理部F4’が送出したそれぞれの仮通知メッセージを受信することになる。 In FIG. 9, the meter control unit 6 has a target combination determination processing unit F9 and a second notification processing unit F10 together with a reception processing unit F7.
In this case, the reception processing unit F7 receives the first notification message as a provisional notification message sent by the first notification processing unit F4'in a certain control unit such as the engine control unit 3. If there are a plurality of control units having the first notification processing unit F4', the reception processing unit F7 receives each provisional notification message sent by the first notification processing unit F4'of those control units.

対象組合せ判定処理部F9は、受信処理部F7によって異なる送信対象値についての仮通知メッセージが受信された場合に、受信された各仮通知メッセージに基づき識別される改竄有りと判定された送信対象値の組合せが特定組合せであるか否かを判定する。
この場合のメータ制御ユニット6においては、上記したA値とB値の組合せのように、改竄が行われると安全性確保が困難となると予測される送信対象値の組合せ(以下「要対策組合せ」と表記)の一覧情報がROM等のメモリに記憶されており、対象値判定処理部F8は該一覧情報に基づき、受信された各仮通知メッセージから識別される送信対象値の組合せが要対策組合せであるか否かを判定する。 When the target combination determination processing unit F9 receives a provisional notification message about a transmission target value different depending on the reception processing unit F7, the target combination determination processing unit F9 determines that the transmission target value has been tampered with, which is identified based on each received provisional notification message. It is determined whether or not the combination of is a specific combination.
In the meter control unit 6 in this case, a combination of transmission target values that is expected to be difficult to ensure safety if tampered with, such as the combination of the A value and the B value described above (hereinafter, “combination requiring countermeasures””. The list information of) is stored in a memory such as a ROM, and the target value determination processing unit F8 is a combination of transmission target values identified from each received provisional notification message based on the list information. It is determined whether or not it is.

第二通知処理部F10は、対象組合せ判定処理部F9により特定組合せであると判定されたことに応じて、仮通知メッセージとは異なる第二通知メッセージをバス通信路に送出する。すなわち、受信された各仮通知メッセージに基づき識別される送信対象値の組合せが要対策組合せであると判定されたことに応じて、仮通知メッセージとは異なる本通知メッセージをバス通信路に送出する。
第4例においては、要対策組合せとしての送信対象値の組合せごとに、該組合せに含まれる各送信対象値の別とそれら送信対象値が改竄された旨とを表す「ID」の値が定義されている。例えば、上記のA値及びB値の例であれば、これらA値とB値の別と共に改竄が行われた旨を表す「ID」の値が定義されている。
第二通知処理部F10は、対象組合せ判定処理部F9により要対策組合せであると判定されたことに応じて、上記のように要対策組合せごとに定義された「ID」の値のうち、該当する要対策組合せに対応する「ID」の値を含んだメッセージを本通知メッセージとして送出する。 The second notification processing unit F10 sends a second notification message different from the provisional notification message to the bus communication path in response to the determination by the target combination determination processing unit F9 that the combination is a specific combination. That is, in response to the determination that the combination of transmission target values identified based on each received provisional notification message is a combination requiring countermeasures, this notification message different from the provisional notification message is sent to the bus communication path. ..
In the fourth example, for each combination of transmission target values as a countermeasure-requiring combination, the value of "ID" indicating the distinction between each transmission target value included in the combination and the fact that those transmission target values have been tampered with is defined. Has been done. For example, in the above example of the A value and the B value, the value of "ID" indicating that the falsification has been performed is defined together with the distinction between the A value and the B value.
The second notification processing unit F10 corresponds to the value of the "ID" defined for each countermeasure combination as described above in response to the determination by the target combination determination processing unit F9 that the countermeasure combination is required. A message including the value of "ID" corresponding to the combination requiring countermeasures is sent as this notification message.

送出された本通知メッセージは、該本通知メッセージを受信すべきとされた制御ユニットによって受信される。具体的に、第4例においては、各制御ユニットごとに、本通知メッセージが含み得る「ID」の値、つまり要対策組合せごとに定義された「ID」の値のうち受信すべき「ID」の値が設定されている。例えば、上記A値、B値の例であれば、ハイブリッド制御ユニット2には受信すべき本通知メッセージの「ID」の値としてこれらA値とB値の組合せに対応する「ID」の値(「Vab」と表記する)が設定されている。ハイブリッド制御ユニット2は、本通知メッセージに含まれる「ID」の値が「Vab」であれば、該本通知メッセージを受信する。 The sent notification message is received by the control unit that is supposed to receive the notification message. Specifically, in the fourth example, for each control unit, the "ID" value that can be included in this notification message, that is, the "ID" value that should be received among the "ID" values defined for each combination requiring countermeasures. The value of is set. For example, in the case of the above A value and B value example, the hybrid control unit 2 has an "ID" value corresponding to the combination of these A value and B value as the "ID" value of this notification message to be received ( (Notated as "Vab") is set. If the value of the "ID" included in the notification message is "Vab", the hybrid control unit 2 receives the notification message.

第4例において、本通知メッセージを受信した制御ユニットは、フェールセーフモードに移行する。これにより、要対策組合せに該当する各送信対象値が改竄されたとしても、それらの送信対象値を用いた制御を行う制御ユニットにおいて改竄値に基づく制御が行われてしまうことを防止でき、車両の安全性確保を図ることができる。すなわち、送信対象値の改竄として、単体の改竄により安全性確保が困難となると予測される送信対象値の改竄以外の多様な改竄に対して安全性確保を図ることができる。 In the fourth example, the control unit that has received this notification message shifts to the fail-safe mode. As a result, even if each transmission target value corresponding to the combination requiring countermeasures is tampered with, it is possible to prevent the control unit that performs control using those transmission target values from performing control based on the tampered value, and the vehicle. It is possible to ensure the safety of. That is, as falsification of the transmission target value, it is possible to ensure safety against various falsifications other than falsification of the transmission target value, which is predicted to be difficult to ensure safety due to falsification of a single unit.

なお、第4例においても、先の第1例や第2例の場合と同様に、送信対象値の送信元となる制御ユニットは、要対策値、すなわち単体の改竄により安全性確保が困難となると予測される送信対象値についても改竄有無の判定を行う。第4例における第一通知処理部F4’は、改竄有りと判定された送信対象値が要対策値としての送信対象値であるか否かの判定を行い、改竄有りと判定された送信対象値が要対策値でなければ、上述した仮通知メッセージとしての通知メッセージを送出し、改竄有りと判定された送信対象値が要対策値であった場合は、要対策値が改竄された旨を表す「ID」の値を含んだ通知メッセージを送出する。以下、改竄有りと判定された送信対象値が要対策値であった場合に送出される上記の通知メッセージを便宜上「要対策改竄通知メッセージ」と表記する。 In the fourth example as well, as in the first and second examples above, it is difficult to ensure the safety of the control unit that is the source of the transmission target value due to the countermeasure value, that is, falsification of a single unit. The presence or absence of falsification is also determined for the transmission target value that is predicted to be. The first notification processing unit F4'in the fourth example determines whether or not the transmission target value determined to be tampered with is the transmission target value as a countermeasure value, and the transmission target value determined to be tampered with. If is not a countermeasure value, a notification message as the above-mentioned provisional notification message is sent, and if the transmission target value determined to be tampered with is a countermeasure value, it indicates that the countermeasure value has been tampered with. A notification message including the value of "ID" is sent. Hereinafter, the above notification message sent when the transmission target value determined to be tampered with is a countermeasure value is referred to as a “countermeasure tampering notification message” for convenience.

第4例において、要対策改竄通知メッセージは、該要対策改竄通知メッセージを受信すべきとされた制御ユニットによって受信される。具体的に、第4例においては、各制御ユニットごとに、要対策改竄通知メッセージが含み得る「ID」の値、つまり要対策値ごとに定義された「ID」の値のうち受信すべき「ID」の値が設定されている。
要対策改竄通知メッセージを受信した制御ユニットは、フェールセーフモードに移行する。これにより、要対策値に該当する送信対象値が改竄された場合において、該送信対象値に基づく制御が行われてしまうことの防止が図られ、車両の安全性確保を図ることができる。 In the fourth example, the countermeasure-requiring falsification notification message is received by the control unit that is supposed to receive the countermeasure-requiring falsification notification message. Specifically, in the fourth example, for each control unit, the "ID" value that can be included in the countermeasure-required falsification notification message, that is, the "ID" value defined for each countermeasure-required value that should be received " The value of "ID" is set.
The control unit that receives the tampering notification message shifts to fail-safe mode. As a result, when the transmission target value corresponding to the countermeasure required value is falsified, it is possible to prevent control based on the transmission target value and ensure the safety of the vehicle.

図10のフローチャートは、上記した第4例としての機能のうち、送信対象値の送信元となる制御ユニットが有する機能の実現のために実行されるべき処理の手順を示している。また、図11のフローチャートは、第4例としての機能のうち第二通知メッセージ(本通知メッセージ)の送出元となる制御ユニットが有する機能の実現のために実行されるべき処理の手順を示している。なお、ここでも、送信対象値の送信元となる制御ユニットとしてはエンジン制御ユニット3を代表として例示し、本通知メッセージの送出元となる制御ユニットの例としてはメータ制御ユニット6を挙げる。 The flowchart of FIG. 10 shows a procedure of processing to be executed in order to realize the function of the control unit that is the source of the transmission target value among the functions as the fourth example described above. Further, the flowchart of FIG. 11 shows a procedure of processing to be executed in order to realize the function of the control unit that is the source of the second notification message (this notification message) among the functions as the fourth example. There is. Here, too, the engine control unit 3 is exemplified as a representative of the control unit that is the source of the transmission target value, and the meter control unit 6 is mentioned as an example of the control unit that is the source of this notification message.

先ず、図10に示す処理は、ステップS101〜S105の処理については先の図4で説明したものと同様となる。この場合、エンジン制御ユニット3は、ステップS105で取得値と保持値が一致していないと判定したことに応じ、ステップS301に進んで特定種類の値か否か、具体的には送信対象値が要対策値か否かを判定する。ステップS301で特定種類の値であると判定した場合、エンジン制御ユニット3はステップS302に進み、要対策改竄通知メッセージをバス通信路に送出して図10に示す処理を終える。
上述のように、要対策改竄通知メッセージは該メッセージを受信すべきとされた制御ユニットによって受信され、該メッセージを受信した制御ユニットはフェールセーフモードに移行し、これにより車両の安全性確保が図られる。 First, the process shown in FIG. 10 is the same as that described in FIG. 4 for the processes of steps S101 to S105. In this case, the engine control unit 3 proceeds to step S301 to determine whether or not the value is of a specific type, specifically, the transmission target value, in response to the determination in step S105 that the acquired value and the holding value do not match. Judge whether it is a countermeasure value. If it is determined in step S301 that the value is of a specific type, the engine control unit 3 proceeds to step S302, sends a countermeasure tampering notification message to the bus communication path, and ends the process shown in FIG.
As described above, the tampering notification message requiring countermeasures is received by the control unit that should receive the message, and the control unit that receives the message shifts to the fail-safe mode, thereby ensuring the safety of the vehicle. ..

一方、ステップS301で特定種類の値でないと判定した場合、エンジン制御ユニット3はステップS303に進み仮通知メッセージをバス通信路に送出して図10に示す処理を終える。 On the other hand, if it is determined in step S301 that the value is not of a specific type, the engine control unit 3 proceeds to step S303, sends a provisional notification message to the bus communication path, and ends the process shown in FIG.

続いて、図11の処理を説明する。
図11において、メータ制御ユニット6は、ステップS401で仮通知メッセージを受信するまで待機し、仮通知メッセージを受信した場合は、ステップS402で仮通知メッセージを複数種類受信したか否かを判定する。具体的には、過去所定時間以内にそれぞれ異なる送信対象値についての仮通知メッセージを受信したか否かを判定する。
仮通知メッセージを複数種類受信していないと判定した場合、メータ制御ユニット6は図11に示す処理を終える。すなわち、要対策値以外の送信対象値が単体で改竄されても、本通知メッセージは送出されない。 Subsequently, the process of FIG. 11 will be described.
In FIG. 11, the meter control unit 6 waits until the provisional notification message is received in step S401, and when the provisional notification message is received, determines whether or not a plurality of types of provisional notification messages have been received in step S402. Specifically, it is determined whether or not a provisional notification message regarding a different transmission target value has been received within the past predetermined time.
When it is determined that a plurality of types of provisional notification messages have not been received, the meter control unit 6 ends the process shown in FIG. That is, this notification message is not sent even if the transmission target value other than the countermeasure value is falsified by itself.

一方、仮通知メッセージを複数種類受信したと判定した場合、メータ制御ユニット6はステップS403に進み、受信組合せが特定組合せと一致するか否かを判定する。すなわち、受信したそれぞれの仮通知メッセージに基づき識別される改竄有りと判定された送信対象値の組合せが、要対策組合せとして定められた特定の送信対象値の組合せと一致するか否かを判定する。
受信組合せが特定組合せと一致しないと判定した場合、メータ制御ユニット6は図11に示す処理を終える。 On the other hand, when it is determined that a plurality of types of provisional notification messages have been received, the meter control unit 6 proceeds to step S403 and determines whether or not the reception combination matches the specific combination. That is, it is determined whether or not the combination of the transmission target values determined to be tampered with, which is identified based on each received provisional notification message, matches the combination of the specific transmission target values defined as the countermeasure combination. ..
When it is determined that the reception combination does not match the specific combination, the meter control unit 6 ends the process shown in FIG.

受信組合せが特定組合せと一致すると判定した場合、メータ制御ユニット6はステップS404に進み、該当する各値についての本通知メッセージをバス通信路に送出し、図11に示す処理を終える。すなわち、「ID」の値として、各仮通知メッセージに基づき識別される各送信対象値が改竄された旨を表す「ID」の値を含んだ本通知メッセージをバス通信路に送出する。
上述のように、本通知メッセージは該メッセージを受信すべきとされた制御ユニットによって受信され、該メッセージを受信した制御ユニットはフェールセーフモードに移行し、これにより車両の安全性確保が図られる。 When it is determined that the reception combination matches the specific combination, the meter control unit 6 proceeds to step S404, sends this notification message for each corresponding value to the bus communication path, and ends the process shown in FIG. That is, as the value of the "ID", the present notification message including the value of the "ID" indicating that each transmission target value identified based on each provisional notification message has been tampered with is sent to the bus communication path.
As described above, this notification message is received by the control unit that is supposed to receive the message, and the control unit that has received the message shifts to the fail-safe mode, thereby ensuring the safety of the vehicle.

[3-5.第5例]
上記では、改竄の通知メッセージを受信した制御ユニットがフェールセーフモードに移行する例を挙げたが、改竄が行われたことに応じて、該当する送信対象値の真値(改竄されていない送信対象値)を含む通知メッセージをバス通信路に送出することで、真値に基づく制御が行われるようにすることもできる。
例えば、上述した第1例や第2例の場合において、送信対象値の改竄判定を行う制御ユニットが、改竄有りと判定したことに応じて、第一通知メッセージ内に改竄有りと判定された送信対象値の真値を格納してバス通信路に送出する構成を採ることができる。この際、送信対象値がセンサ検出値であれば、該当するセンサ検出値を真値として第一通知メッセージ内に格納する。 [3-5. Example 5]
In the above, the control unit that received the tampering notification message shifts to the fail-safe mode, but depending on the tampering, the true value of the corresponding transmission target value (the transmission target value that has not been tampered with) By sending a notification message including) to the bus communication path, control based on the true value can be performed.
For example, in the cases of the first example and the second example described above, the transmission determined to be tampered with in the first notification message in response to the determination that the control unit that determines the tampering of the transmission target value has been tampered with. It is possible to adopt a configuration in which the true value of the target value is stored and sent to the bus communication path. At this time, if the transmission target value is a sensor detection value, the corresponding sensor detection value is stored as a true value in the first notification message.

ここで、上記のような真値を含むメッセージ送出を行うことによると、或る送信対象値(以下「送信対象値X」と表記する)についてメッセージの改竄が行われた場合には、バス通信路には、送信対象値Xの改竄値を含んだ改竄メッセージと、送信対象値Xの真値を含んだ第一通知メッセージとが送出されることになる。この場合、メッセージの「ID」の値としては、個々の送信対象値に対応する「ID」の値として、改竄無し/改竄有りをそれぞれ表す2種の値を定義しておき、第一通知メッセージには、「ID」の値として送信対象値Xに対応する値のうち改竄有りを表す値を含ませる。また、この場合の第一通知メッセージにおいて、「データフィールド」には送信対象値Xの真値を含ませる。なおこの際、改竄メッセージとしては「データフィールド」と「CRCフィールド」の値を改竄したものであるため、「ID」の値としては送信対象値Xに対応する値のうち改竄無しを表す方の値が含まれていることになる。 Here, according to sending a message including the true value as described above, when a message is tampered with for a certain transmission target value (hereinafter referred to as "transmission target value X"), bus communication is performed. A falsified message including a falsified value of the transmission target value X and a first notification message including the true value of the transmission target value X are sent to the road. In this case, as the value of the "ID" of the message, two kinds of values indicating no tampering and tampering are defined as the value of the "ID" corresponding to each transmission target value, and the first notification message Includes, as the value of the "ID", a value indicating that there is falsification among the values corresponding to the transmission target value X. Further, in the first notification message in this case, the "data field" includes the true value of the transmission target value X. At this time, since the falsified message is a falsified value of the "data field" and the "CRC field", the value of the "ID" is the value corresponding to the transmission target value X, which indicates that there is no falsification. The value will be included.

この場合、送信対象値Xを他ユニットから受信して制御を行う制御ユニットは、メッセージ内の「ID」の値に基づき、改竄メッセージと上記の第一通知メッセージとを受信することになるが、第5例において当該制御ユニットは、第一通知メッセージを受信した以降、改竄メッセージ内の送信対象値Xは使用せず、第一通知メッセージ内の真値としての送信対象値Xを用いて制御を行うように構成しておく。
これにより、改竄に対して車両制御を中断せずに、真値に基づき適正な車両制御を継続して行うことができる。 In this case, the control unit that receives the transmission target value X from another unit and controls it receives the falsification message and the above-mentioned first notification message based on the value of "ID" in the message. In the fifth example, after receiving the first notification message, the control unit does not use the transmission target value X in the falsified message, but uses the transmission target value X as the true value in the first notification message for control. Configure to do.
As a result, proper vehicle control can be continuously performed based on the true value without interrupting the vehicle control against falsification.

なお、第3例に適用する場合には、真値を含む第一通知メッセージを受信した制御ユニットが、該第一通知メッセージに基づき識別される送信対象値が要対策値であるか否かを判定し、要対策値である場合にのみ該第一通知メッセージ内の真値を用いた制御を行うようにすればよい。 When applied to the third example, the control unit that has received the first notification message including the true value determines whether or not the transmission target value identified based on the first notification message is a countermeasure value. Only when the determination is made and the countermeasure value is required, the control using the true value in the first notification message may be performed.

また、第4例のように送信対象値の組合せ改竄について対策する場合においても、上記のような真値の送信を行うことができる。
第4例の場合、仮通知メッセージの送出元となる制御ユニットが、仮通知メッセージ内のデータフィールドに真値を含ませる。本通知メッセージの送出元となる制御ユニットは、仮通知メッセージに基づき識別される送信対象値の組合せが要対策組合せであると判定されたことに応じて、本通知メッセージとして、該当する送信対象値ごとに、それぞれの真値を含ませた本通知メッセージをバス通信路に送出する。この場合、本通知メッセージを受信した制御ユニットは、改竄メッセージ内の送信対象値は使用せず、受信した本通知メッセージ内の真値を用いて制御を行う。 Further, even when taking measures against falsification of the combination of transmission target values as in the fourth example, the true value can be transmitted as described above.
In the case of the fourth example, the control unit that is the source of the provisional notification message includes the true value in the data field in the provisional notification message. The control unit that is the source of this notification message determines that the combination of transmission target values identified based on the provisional notification message is a combination requiring countermeasures, and responds to the corresponding transmission target value as this notification message. Each time, this notification message including each true value is sent to the bus communication path. In this case, the control unit that has received this notification message does not use the transmission target value in the falsified message, but controls using the true value in the received main notification message.

なお、上記のような第4例への適用の場合、仮通知メッセージ内に真値を含ませることは必須ではない。その場合、仮通知メッセージを受信する制御ユニットでは、受信した複数種類の仮通知メッセージに基づき識別される送信対象値の組合せが要対策組合せであると判定したことに応じて、それら改竄有りと判定された送信対象値の送信元となる制御ユニットに真値メッセージ(詳細は後述)の送出を要求するための要求メッセージを送出する。要求メッセージを受信した制御ユニットは、「データフィールド」に真値を含み且つ該当する送信対象値が改竄された旨を表す「ID」の値を含んだ真値メッセージを送出する。この真値メッセージは、「ID」の定義により、該当する送信対象値を用いて制御を行う制御ユニットに受信されるようにしておく。真値メッセージを受信した制御ユニットは、以降、受信した真値メッセージに含まれる真値を使用した制御を行う。
例えばこのような手法により、改竄に対して車両制御を中断させずに安全性確保を図る上で、仮通知メッセージ内に真値を含ませる必要がなくなる。 In the case of application to the fourth example as described above, it is not essential to include the true value in the provisional notification message. In that case, the control unit that receives the provisional notification message determines that the combination of transmission target values identified based on the received multiple types of provisional notification messages is a combination requiring countermeasures, and that the control unit has been tampered with. A request message for requesting the transmission of a true value message (details will be described later) is sent to the control unit that is the source of the transmitted target value. Upon receiving the request message, the control unit sends a true value message including a true value in the "data field" and an "ID" value indicating that the corresponding transmission target value has been tampered with. According to the definition of "ID", this true value message is received by the control unit that controls using the corresponding transmission target value. After receiving the true value message, the control unit performs control using the true value included in the received true value message.
For example, such a method eliminates the need to include the true value in the provisional notification message in order to ensure safety without interrupting vehicle control against falsification.

<4.実施の形態のまとめ>
上記のように実施の形態の車両制御システム(1)は、バス通信路を介して複数の車載制御装置(制御ユニット)が通信可能に接続された車両制御システムであって、車載制御装置のうち少なくとも一つの車載制御装置が、以下の各部を備えている。
すなわち、送信対象値を含むメッセージをバス通信路に送出する送出部(送出処理部F1)と、送信対象値を保持する保持部(保持処理部F2)と、バス通信路に送出されたメッセージを取得し、該取得したメッセージに含まれる送信対象値と保持部により保持された送信対象値とを比較した結果に基づき、バス通信路に送出された送信対象値の改竄有無を判定する改竄判定部(改竄判定処理部F3)と、改竄判定部により改竄有りと判定されたことに応じて第一通知メッセージをバス通信路に送出する第一通知部(第一通知処理部F4、F4’)とを備えているものである。 <4. Summary of embodiments>
As described above, the vehicle control system (1) of the embodiment is a vehicle control system in which a plurality of vehicle-mounted control devices (control units) are communicably connected via a bus communication path, and is among the vehicle-mounted control devices. At least one in-vehicle control device includes the following parts.
That is, a transmission unit (sending processing unit F1) that sends a message including a transmission target value to the bus communication path, a holding unit (holding processing unit F2) that holds the transmission target value, and a message sent to the bus communication path. A falsification determination unit that determines whether or not the transmission target value sent to the bus communication path has been tampered with based on the result of acquiring and comparing the transmission target value included in the acquired message with the transmission target value held by the holding unit. (Falsification determination processing unit F3) and the first notification unit (first notification processing unit F4, F4') that sends a first notification message to the bus communication path in response to the determination of falsification by the tampering determination unit. It is equipped with.

上記の改竄判定部により、チェックサムごと書き換えるメッセージの改竄有無を適正に判定することが可能とされる。そして、上記の第一通知部により、メッセージ改竄があった旨をバス通信路に接続された他の車載制御装置に通知可能とされ、該通知を受けた他の車載制御装置は、例えばフェールセーフモードに移行する等、改竄値を用いた車両制御を行わない措置をとることが可能とされる。
従って、メッセージが改竄された場合にも車両の安全性確保が図られるようにすることができる。 The above-mentioned falsification determination unit makes it possible to appropriately determine whether or not the message to be rewritten for each checksum has been tampered with. Then, the first notification unit described above makes it possible to notify other in-vehicle control devices connected to the bus communication path that the message has been tampered with, and the other in-vehicle control device that has received the notification is, for example, in fail-safe mode. It is possible to take measures that do not control the vehicle using falsified values, such as shifting to.
Therefore, even if the message is tampered with, the safety of the vehicle can be ensured.

また、実施の形態の車両制御システムにおいては、送出部、保持部、改竄判定部、及び第一通知部を備える車載制御装置が、送信対象値が特定種類の値であるか否かを判定する第一対象値判定部(第一対象値判定処理部F5)と、第一対象値判定部により特定種類の値と判定された送信対象値のみを対象として改竄判定部による判定を実行させる制御部(制御処理部F6)とを備えている。 Further, in the vehicle control system of the embodiment, an in-vehicle control device including a transmission unit, a holding unit, a falsification determination unit, and a first notification unit determines whether or not the transmission target value is a specific type value. The first target value determination unit (first target value determination processing unit F5) and the control unit that executes the determination by the falsification determination unit only for the transmission target values determined to be specific types of values by the first target value determination unit. (Control processing unit F6) is provided.

これにより、全ての送信対象値を対象として送信対象値の保持や改竄判定を行う必要がなくなるため、処理負担の軽減を図ることができる。 As a result, it is not necessary to hold the transmission target value or perform falsification determination for all the transmission target values, so that the processing load can be reduced.

さらに、実施の形態の車両制御システムにおいては、第一通知部は、第一通知メッセージとして、改竄判定部により改竄有りと判定された送信対象値の識別情報を含むメッセージを送出し、車載制御装置のうち少なくとも一つの車載制御装置が、バス通信路に送出された第一通知メッセージを受信する受信部と、受信部が受信した第一通知メッセージに基づき識別される送信対象値が特定種類の値であるか否かを判定する第二対象値判定部(第二対象値判定処理部F8)とを備えている。 Further, in the vehicle control system of the embodiment, the first notification unit sends, as the first notification message, a message including identification information of the transmission target value determined to be tampered with by the tampering determination unit, and the vehicle-mounted control device. At least one of the in-vehicle control devices has a receiving unit that receives the first notification message sent to the bus communication path, and a transmission target value that is identified based on the first notification message received by the receiving unit. It is provided with a second target value determination unit (second target value determination processing unit F8) for determining whether or not the information is satisfied.

これにより、送信対象値の送信元となる車載制御装置に特定種類の値か否かを判定させる必要がなくなる。
従って、送信すべき送信対象値の種類が多い車載制御装置に特定種類の値か否かの判定に伴う処理負担を負わせないようにすることが可能となり、バス通信路を介した車載制御装置間の通信の円滑化を図ることができる。 This eliminates the need for the in-vehicle control device, which is the source of the transmission target value, to determine whether or not the value is of a specific type.
Therefore, it is possible to prevent the in-vehicle control device having many types of transmission target values to be transmitted from being burdened with the processing burden associated with determining whether or not the value is of a specific type, and the in-vehicle control device via the bus communication path. Communication between them can be facilitated.

さらにまた、実施の形態の車両制御システムにおいては、第一通知部は、第一通知メッセージとして、改竄判定部により改竄有りと判定された送信対象値の識別情報を含むメッセージ(仮通知メッセージ)を送出し、車載制御装置のうち少なくとも一つの車載制御装置が、バス通信路に送出された第一通知メッセージを受信する受信部と、受信部によって異なる送信対象値についての第一通知メッセージが受信された場合に、受信された各第一通知メッセージに基づき識別される改竄有りと判定された送信対象値の組合せが特定組合せであるか否かを判定する対象組合せ判定部(対象組合せ判定処理部F9)と、対象組合せ判定部により特定組合せであると判定されたことに応じて、第一通知メッセージとは異なる第二通知メッセージ(本通知メッセージ)をバス通信路に送出する第二通知部(第二通知処理部F10)とを備えている。 Furthermore, in the vehicle control system of the embodiment, the first notification unit sends, as the first notification message, a message (provisional notification message) including identification information of the transmission target value determined to be tampered with by the tampering determination unit. At least one of the in-vehicle control devices to be transmitted receives the first notification message about the transmission target value that differs depending on the receiving unit and the receiving unit that receives the first notification message sent to the bus communication path. In this case, the target combination determination unit (target combination determination processing unit F9) that determines whether or not the combination of transmission target values determined to be tampered with, which is identified based on each received first notification message, is a specific combination. ) And the second notification unit (first notification message) that sends a second notification message (this notification message) different from the first notification message to the bus communication path in response to the determination by the target combination determination unit that the combination is specific. (Ii) A notification processing unit F10) is provided.

これにより、単体の改竄により安全性確保が困難となると予測される送信対象値の改竄以外の多様な改竄に対して安全性確保を図ることができる。 As a result, it is possible to ensure safety against various falsifications other than falsification of the transmission target value, which is expected to make it difficult to ensure safety due to falsification of a single unit.

また、実施の形態の車両制御システムにおいては、第一通知部は、改竄有りと判定された送信対象値の真値を含む第一通知メッセージをバス通信路に送出する。 Further, in the vehicle control system of the embodiment, the first notification unit sends a first notification message including the true value of the transmission target value determined to have been tampered with to the bus communication path.

これにより、改竄に対して車両の安全性確保を図る上で、車両制御を中断せずに真値に基づき適正な車両制御を継続して行うことができる。 As a result, in order to ensure the safety of the vehicle against falsification, it is possible to continuously perform appropriate vehicle control based on the true value without interrupting the vehicle control.

<5.変形例>
なお、本発明は上記した具体例に限定されず、多様な変形例が考えられる。
例えば、上記では、バス通信路上でやりとりされるメッセージにおける「ID」を改竄有無の通知情報として用いる例を挙げたが、メッセージにフラグの領域を設けて、該フラグのON/OFFを改竄有無の通知情報として機能させることもできる。これは、「ID」のビット数が比較的少ない場合に有効な手法である。
なお、第5例のように真値を用いる場合、フラグ=「1」(改竄有り)としたメッセージ内に真値を格納して送出すればよい。 <5. Modification example>
The present invention is not limited to the above-mentioned specific examples, and various modifications can be considered.
For example, in the above, the example in which the "ID" in the message exchanged on the bus communication path is used as the notification information of whether or not the flag has been tampered with has been given. It can also function as notification information. This is an effective method when the number of bits of the "ID" is relatively small.
When a true value is used as in the fifth example, the true value may be stored in a message with flag = "1" (falsified) and sent.

1 車両制御システム、2 ハイブリッド制御ユニット、3 エンジン制御ユニット、6 メータ制御ユニット、9 バス配線、10 車速センサ、11 エンジン回転数センサ、12 アクセル開度センサ、13 スロットル開度センサ、15 車外環境センサ、F1 送出処理部、F2 保持処理部、F3 改竄判定処理部、F4、F4’ 第一通知処理部、F5 第一対象値判定処理部、F6 制御処理部、F7 受信処理部、F8 第二対象値判定処理部、F9 対象組合せ判定処理部、F10 第二通知処理部 1 Vehicle control system, 2 Hybrid control unit, 3 Engine control unit, 6 meter control unit, 9 Bus wiring, 10 Vehicle speed sensor, 11 Engine rotation speed sensor, 12 Accelerator opening sensor, 13 Throttle opening sensor, 15 Outside environment sensor , F1 transmission processing unit, F2 holding processing unit, F3 tampering judgment processing unit, F4, F4'first notification processing unit, F5 first target value judgment processing unit, F6 control processing unit, F7 reception processing unit, F8 second target Value judgment processing unit, F9 target combination judgment processing unit, F10 second notification processing unit

Claims (7)

バス通信路を介して複数の車載制御装置が通信可能に接続された車両制御システムであって、
前記車載制御装置のうち少なくとも一つの前記車載制御装置が、
送信対象値を含むメッセージを前記バス通信路に送出する送出部と、
前記送信対象値を保持する保持部と、
前記バス通信路に送出された前記メッセージを取得し、該取得したメッセージに含まれる前記送信対象値と前記保持部により保持された前記送信対象値とを比較した結果に基づき、前記バス通信路に送出された前記送信対象値の改竄有無を判定する改竄判定部と、
前記改竄判定部により改竄有りと判定されたことに応じて
前記改竄判定部により改竄有りと判定された前記送信対象値の識別情報を含む第一通知メッセージを前記バス通信路に送出する第一通知部と、を備え
前記車載制御装置のうち少なくとも一つの前記車載制御装置が、
前記バス通信路に送出された前記第一通知メッセージを受信する受信部と、
前記受信部が受信した前記第一通知メッセージに基づき識別される前記送信対象値が特定種類の値であるか否かを判定する第二対象値判定部と、を備える
車両制御システム。 It is a vehicle control system in which a plurality of in-vehicle control devices are communicably connected via a bus communication path.
At least one of the in-vehicle control devices is
A transmission unit that sends a message including a transmission target value to the bus communication path, and a transmission unit.
A holding unit that holds the transmission target value and
Based on the result of acquiring the message sent to the bus communication path and comparing the transmission target value included in the acquired message with the transmission target value held by the holding unit, the bus communication path A falsification determination unit that determines whether or not the transmitted target value has been tampered with,
In response to the determination by the tampering determination unit that there is tampering
It includes a first notification unit that sends a first notification message including identification information of the transmission target value determined by the falsification determination unit to the bus communication path .
At least one of the in-vehicle control devices is
A receiving unit that receives the first notification message sent to the bus communication path, and
A vehicle control system including a second target value determination unit that determines whether or not the transmission target value identified based on the first notification message received by the reception unit is a value of a specific type . 前記車載制御装置のうち少なくとも一つの前記車載制御装置が、
前記受信部によって異なる前記送信対象値についての前記第一通知メッセージが受信された場合に、受信された各前記第一通知メッセージに基づき識別される前記改竄有りと判定された前記送信対象値の組合せが特定組合せであるか否かを判定する対象組合せ判定部を備える
請求項1に記載の車両制御システム。 At least one of the in-vehicle control devices is
A combination of the transmission target values determined to be tampered with, which is identified based on each received first notification message when the first notification message for the transmission target value differs depending on the receiving unit is received. The vehicle control system according to claim 1, further comprising a target combination determination unit for determining whether or not is a specific combination . 前記対象組合せ判定部を備える前記車載制御装置は、
前記対象組合せ判定部により前記特定組合せであると判定されたことに応じて、前記第一通知メッセージとは異なる第二通知メッセージを前記バス通信路に送出する第二通知部を備える
請求項2に記載の車両制御システム。 The in-vehicle control device including the target combination determination unit is
It is provided with a second notification unit that sends a second notification message different from the first notification message to the bus communication path in response to the determination by the target combination determination unit that the combination is the specific combination.
The vehicle control system according to claim 2 . バス通信路を介して複数の車載制御装置が通信可能に接続された車両制御システムであって、
前記車載制御装置のうち少なくとも一つの前記車載制御装置が、
送信対象値を含むメッセージを前記バス通信路に送出する送出部と、
前記送信対象値を保持する保持部と、
前記バス通信路に送出された前記メッセージを取得し、該取得したメッセージに含まれる前記送信対象値と前記保持部により保持された前記送信対象値とを比較した結果に基づき、前記バス通信路に送出された前記送信対象値の改竄有無を判定する改竄判定部と、
前記改竄判定部により改竄有りと判定されたことに応じて、前記改竄判定部により改竄有りと判定された前記送信対象値の識別情報を含む第一通知メッセージを前記バス通信路に送出する第一通知部と、を備え、
前記車載制御装置のうち少なくとも一つの前記車載制御装置が、
前記バス通信路に送出された前記第一通知メッセージを受信する受信部と、
前記受信部によって異なる前記送信対象値についての前記第一通知メッセージが受信された場合に、受信された各前記第一通知メッセージに基づき識別される前記改竄有りと判定された前記送信対象値の組合せが特定組合せであるか否かを判定する対象組合せ判定部を備え
両制御システム。 It is a vehicle control system in which a plurality of in-vehicle control devices are communicably connected via a bus communication path.
At least one of the in-vehicle control devices is
A transmission unit that sends a message including a transmission target value to the bus communication path, and a transmission unit.
A holding unit that holds the transmission target value and
Based on the result of acquiring the message sent to the bus communication path and comparing the transmission target value included in the acquired message with the transmission target value held by the holding unit, the bus communication path A falsification determination unit that determines whether or not the transmitted target value has been tampered with,
In response to the falsification determination unit determining that the falsification has occurred, the first notification message including the identification information of the transmission target value determined to be falsified by the falsification determination unit is sent to the bus communication path. With a notification section,
At least one of the in-vehicle control devices is
A receiving unit that receives the first notification message sent to the bus communication path, and
A combination of the transmission target values determined to be tampered with, which is identified based on each received first notification message when the first notification message for the transmission target value differs depending on the receiving unit is received. There Ru comprising determining the target combination determining section whether a particular combination
Car two control system. 前記対象組合せ判定部を備える前記車載制御装置は、
前記対象組合せ判定部により前記特定組合せであると判定されたことに応じて、前記第一通知メッセージとは異なる第二通知メッセージを前記バス通信路に送出する第二通知部を備える
請求項4に記載の車両制御システム。 The in-vehicle control device including the target combination determination unit is
It is provided with a second notification unit that sends a second notification message different from the first notification message to the bus communication path in response to the determination by the target combination determination unit that the combination is the specific combination.
The vehicle control system according to claim 4 . 前記第一通知部は、The first notification unit
前記改竄有りと判定された前記送信対象値の真値を含む前記第一通知メッセージを前記バス通信路に送出するThe first notification message including the true value of the transmission target value determined to have been tampered with is transmitted to the bus communication path.
請求項1から請求項5の何れかに記載の車両制御システム。The vehicle control system according to any one of claims 1 to 5. バス通信路を介して複数の車載制御装置が通信可能に接続された車両制御システムであって、It is a vehicle control system in which a plurality of in-vehicle control devices are communicably connected via a bus communication path.
前記車載制御装置のうち少なくとも一つの前記車載制御装置が、At least one of the in-vehicle control devices is
送信対象値を含むメッセージを前記バス通信路に送出する送出部と、A transmission unit that sends a message including a transmission target value to the bus communication path, and a transmission unit.
前記送信対象値を保持する保持部と、A holding unit that holds the transmission target value and
前記バス通信路に送出された前記メッセージを取得し、該取得したメッセージに含まれる前記送信対象値と前記保持部により保持された前記送信対象値とを比較した結果に基づき、前記バス通信路に送出された前記送信対象値の改竄有無を判定する改竄判定部と、Based on the result of acquiring the message sent to the bus communication path and comparing the transmission target value included in the acquired message with the transmission target value held by the holding unit, the bus communication path A falsification determination unit that determines whether or not the transmitted target value has been tampered with,
前記改竄判定部により改竄有りと判定されたことに応じて第一通知メッセージを前記バス通信路に送出する第一通知部と、を備え、It is provided with a first notification unit that sends a first notification message to the bus communication path in response to the determination of falsification by the falsification determination unit.
前記第一通知部は、The first notification unit
前記改竄有りと判定された前記送信対象値の真値を含む前記第一通知メッセージを前記バス通信路に送出するThe first notification message including the true value of the transmission target value determined to have been tampered with is transmitted to the bus communication path.
車両制御システム。Vehicle control system.
JP2016153494A 2016-08-04 2016-08-04 Vehicle control system Active JP6783578B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016153494A JP6783578B2 (en) 2016-08-04 2016-08-04 Vehicle control system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016153494A JP6783578B2 (en) 2016-08-04 2016-08-04 Vehicle control system

Publications (3)

Publication Number Publication Date
JP2018023023A JP2018023023A (en) 2018-02-08
JP2018023023A5 JP2018023023A5 (en) 2019-06-20
JP6783578B2 true JP6783578B2 (en) 2020-11-11

Family

ID=61165900

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016153494A Active JP6783578B2 (en) 2016-08-04 2016-08-04 Vehicle control system

Country Status (1)

Country Link
JP (1) JP6783578B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019008618A (en) * 2017-06-26 2019-01-17 パナソニックIpマネジメント株式会社 Information processing apparatus, information processing method, and program
DE102018218902B4 (en) * 2018-11-06 2020-06-18 Zf Friedrichshafen Ag Safety device for bus systems in vehicles
CN112989431A (en) * 2019-12-16 2021-06-18 北京车和家信息技术有限公司 System file detection method and device of vehicle-mounted equipment and vehicle-mounted equipment

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5522160B2 (en) * 2011-12-21 2014-06-18 トヨタ自動車株式会社 Vehicle network monitoring device
JP2014226946A (en) * 2013-05-17 2014-12-08 トヨタ自動車株式会社 Abnormality response system and abnormality response method for vehicular communication device
WO2014199687A1 (en) * 2013-06-13 2014-12-18 日立オートモティブシステムズ株式会社 Network device and network system
EP3337102B1 (en) * 2014-12-01 2020-03-25 Panasonic Intellectual Property Corporation of America Illegality detection electronic control unit, car onboard network system, and illegality detection method

Also Published As

Publication number Publication date
JP2018023023A (en) 2018-02-08

Similar Documents

Publication Publication Date Title
CN110324301B (en) System and method for generating rules for thwarting computer attacks on vehicles
CN110494330B (en) Vehicle monitoring device, fraud detection server, and control method
US9705699B2 (en) Method and apparatus for reducing load in can communication
CN110324219B (en) System and method for blocking computer attacks on a vehicle
CN107979505B (en) Vehicle-mounted network system, communication control method in vehicle-mounted network system and vehicle-mounted gateway
WO2019021403A1 (en) Control network system, vehicle remote control system, and vehicle-mounted relay device
CN111052681B (en) Abnormality detection electronic control unit, vehicle-mounted network system, and abnormality detection method
US9776639B2 (en) Method, and apparatus, and system for generating driving behavior guiding information
US9566966B2 (en) Method for carrying out a safety function of a vehicle and system for carrying out the method
JP6783578B2 (en) Vehicle control system
CN102951107A (en) Failure judgment apparatus for vehicle system
JP2019008618A (en) Information processing apparatus, information processing method, and program
CN111373701B (en) Abnormality detection device, abnormality detection system, and control method
JP6191397B2 (en) Communication relay device, communication relay processing
WO2013051122A1 (en) In-vehicle network system
US20230336356A1 (en) Data storage device, data storage method, and non-transitory computer readable storage medium
CN112937476A (en) Power distribution system monitoring for electric and autonomous vehicles
JP2019209961A (en) Information processor, monitoring method, program, and gateway device
WO2021025061A1 (en) Battery management system, battery device, battery management method, and computer program
JP6662657B2 (en) Vehicle monitoring system
CN112689982B (en) Data verification method, device and storage medium
JP2011024010A (en) Vehicle communication device
JP7151930B2 (en) RELAY DEVICE, COMMUNICATION NETWORK SYSTEM AND COMMUNICATION CONTROL METHOD
JP6519829B1 (en) Electronic control device, monitoring method, program, and gateway device
US20240195824A1 (en) Method for Identifying a Manipulation of a Message of a Bus System by Means of a Control Device of a Vehicle, Computer-Readable Medium, System, and Vehicle

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20161111

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20161111

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190516

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190516

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200519

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200708

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200929

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20201022

R150 Certificate of patent or registration of utility model

Ref document number: 6783578

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250