JP6979630B2 - 監視装置、監視方法及びプログラム - Google Patents

監視装置、監視方法及びプログラム Download PDF

Info

Publication number
JP6979630B2
JP6979630B2 JP2018005962A JP2018005962A JP6979630B2 JP 6979630 B2 JP6979630 B2 JP 6979630B2 JP 2018005962 A JP2018005962 A JP 2018005962A JP 2018005962 A JP2018005962 A JP 2018005962A JP 6979630 B2 JP6979630 B2 JP 6979630B2
Authority
JP
Japan
Prior art keywords
control device
output
data
network
parent
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018005962A
Other languages
English (en)
Other versions
JP2019125947A (ja
Inventor
稔久 中野
潤 安齋
薫 横田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Management Co Ltd
Original Assignee
Panasonic Intellectual Property Management Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Management Co Ltd filed Critical Panasonic Intellectual Property Management Co Ltd
Priority to JP2018005962A priority Critical patent/JP6979630B2/ja
Priority to DE102019101124.8A priority patent/DE102019101124A1/de
Priority to US16/250,545 priority patent/US11084495B2/en
Publication of JP2019125947A publication Critical patent/JP2019125947A/ja
Application granted granted Critical
Publication of JP6979630B2 publication Critical patent/JP6979630B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • B60W50/045Monitoring control system parameters
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0002Automatic control, details of type of controller or control system architecture
    • B60W2050/0004In digital systems, e.g. discrete-time systems involving sampling
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0002Automatic control, details of type of controller or control system architecture
    • B60W2050/0004In digital systems, e.g. discrete-time systems involving sampling
    • B60W2050/0006Digital architecture hierarchy
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • B60W2050/021Means for detecting failure or malfunction
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • B60W50/045Monitoring control system parameters
    • B60W2050/046Monitoring control system parameters involving external transmission of data to or from the vehicle, e.g. via telemetry, satellite, Global Positioning System [GPS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Small-Scale Networks (AREA)
  • Maintenance And Management Of Digital Transmission (AREA)

Description

本開示は、監視装置、監視方法及びプログラムに関する。
自動車等の様々な機器における各機能の制御装置を監視する監視装置が検討されている。例えば、特許文献1は、バス型の車載ネットワークに接続された親制御装置及び子制御装置で構成される制御装置を監視する監視装置を開示している。特許文献1の監視装置は、親制御装置と子制御装置との間の通信データに基づき親制御装置の異常を診断する。
特許第6147356号公報
特許文献1の監視装置は、1つのバス型の車載ネットワークを介して子制御装置と接続された親制御装置を監視対象とする。
本開示は、異なるネットワークを介して複数の子制御装置と接続された親制御装置の監視を可能にする監視装置、監視方法及びプログラムを提供する。
本開示の第一の態様に係る監視装置は、親制御装置の動作を監視する監視装置であって、前記親制御装置は、第一ネットワークを介して第一子制御装置と接続され、第二ネットワークを介して第二子制御装置と接続され、且つ前記第二子制御装置から出力された入力データを、前記第一子制御装置に出力データとして出力し、前記監視装置は、前記第一ネットワーク及び前記第二ネットワークと接続され、前記入力データと前記出力データとの対応関係を示す判定データを記憶する記憶部と、前記第二子制御装置によって前記第二ネットワークに出力された前記入力データと、前記親制御装置によって前記第一ネットワークに出力された前記出力データとを取得する第一取得部と、前記第一取得部によって取得された前記入力データ及び前記出力データが、前記判定データを満たすか否かを判定することで、前記親制御装置の動作の異常の有無を判定する判定部と、を含む。
本開示の第二の態様に係る監視装置は、親制御装置の動作を監視する監視装置であって、前記親制御装置は、第一ネットワークを介して第一子制御装置と接続され、第二ネットワークを介して第二子制御装置と接続され、且つ前記第二子制御装置から出力された入力データを、前記第一子制御装置に出力データとして出力し、前記監視装置は、前記第一子制御装置に搭載され、前記出力データに関する判定データを記憶する記憶部と、前記親制御装置によって前記第一ネットワークを介して前記第一子制御装置に出力された前記出力データを取得する第一取得部と、取得された前記出力データが、前記判定データを満たすか否かを判定することで、前記親制御装置の動作の異常の有無を判定する判定部と、を含む。
本開示の第一の態様に係る監視方法は、親制御装置の動作を監視する監視方法であって、前記親制御装置は、第一ネットワークを介して第一子制御装置と接続され、第二ネットワークを介して第二子制御装置と接続され、且つ前記第二子制御装置から出力された入力データを、前記第一子制御装置に出力データとして出力し、前記監視方法は、前記第二子制御装置によって前記第二ネットワークに出力された前記入力データと、前記親制御装置によって前記第一ネットワークに出力された前記出力データとを、前記第一ネットワーク及び前記第二ネットワークを介して取得し、取得された前記入力データ及び前記出力データが、前記入力データと前記出力データとの対応関係を示す判定データを満たすか否かを判定することで、前記親制御装置の動作の異常の有無を判定する。
本開示の第二の態様に係る監視方法は、親制御装置の動作を監視する監視方法であって、前記親制御装置は、第一ネットワークを介して第一子制御装置と接続され、第二ネットワークを介して第二子制御装置と接続され、且つ前記第二子制御装置から出力された入力データを、前記第一子制御装置に出力データとして出力し、前記監視方法は、前記親制御装置によって前記第一ネットワークを介して前記第一子制御装置に出力された前記出力データを取得し、取得された前記出力データが、前記出力データに関する判定データを満たすか否かを判定することで、前記親制御装置の動作の異常の有無を判定する。
本開示の第一の態様に係るプログラムは、本開示の第一の態様に係る監視方法をコンピュータに実行させるためのプログラムである。
本開示の第二の態様に係るプログラムは、本開示の第二の態様に係る監視方法をコンピュータに実行させるためのプログラムである。
なお、上記の包括的又は具体的な態様は、システム、装置、方法、集積回路、コンピュータプログラム又はコンピュータ読取可能な記録ディスク等の記録媒体で実現されてもよく、システム、装置、方法、集積回路、コンピュータプログラム及び記録媒体の任意な組み合わせで実現されてもよい。コンピュータ読み取り可能な記録媒体は、例えばCD−ROM(Compact Disc-Read Only Memory)等の不揮発性の記録媒体を含む。
本開示の技術によれば、異なるネットワークを介して複数の子制御装置と接続された親制御装置の監視が可能になる。
図1は、実施の形態1に係る監視装置を備える車載ネットワークシステムの機能的な構成の一例を示すブロック図である。 図2は、実施の形態1に係る監視装置の機能的な構成の一例を示すブロック図である。 図3Aは、親制御装置が入力データに演算処理を加えない場合の入力データと出力データとの対応関係を示す判定データの一例を示す図である。 図3Bは、親制御装置が入力データに演算処理を加える場合の入力データと出力データとの対応関係を示す判定データの一例を示す図である。 図4は、実施の形態1に係る監視装置の動作の一例を示すフローチャートである。 図5は、実施の形態2に係る監視装置を備える車載ネットワークシステムの機能的な構成の一例を示すブロック図である。 図6は、実施の形態2に係る監視装置の機能的な構成の一例を示すブロック図である。 図7Aは、実施の形態2に係る監視装置における判定データの一例を示す図である。 図7Bは、実施の形態2に係る監視装置における判定データの一例を示す図である。 図7Cは、実施の形態2に係る監視装置における判定データの一例を示す図である。 図8は、実施の形態2に係る監視装置の動作の一例を示すフローチャートである。 図9は、実施の形態3に係る監視装置を備える車載ネットワークシステムの機能的な構成の一例を示すブロック図である。 図10は、実施の形態3に係る監視装置の機能的な構成の一例を示すブロック図である。 図11は、実施の形態3の変形例に係る監視装置を備える車載ネットワークシステムの機能的な構成の一例を示すブロック図である。
本発明者らは、自動車等の様々な機器に搭載され且つネットワークを介して互いに接続される制御装置を監視する技術を検討した。例えば、自動車は、複数のネットワークを含む。複数のネットワークの例は、IVI(車載インフォテインメント:in-vehicle infotainment)及び通信モジュール等の外部インターフェースが接続されるネットワーク、ミラー及び窓等の自動車の付属装置の制御装置が接続されるネットワーク、並びに、エンジン及びトランスミッション等の自動車の駆動装置の制御装置が接続されるネットワークである。さらに、上記の各ネットワーク間を接続するゲートウェイ等の制御装置が、親制御装置として設けられる。親制御装置は、制御装置及び外部インターフェース間における複数のネットワークを跨ぐ通信を制御する。
上述のような親制御装置は、外部インターフェースと直接的に接続されるため、外部インターフェースを介して外部から攻撃を受けるリスクが高い。親制御装置がプログラム改変等で乗っ取られると、外部からネットワークへの侵入を検知することができなくなる。例えば、特許文献1の監視装置は、1つのネットワークに接続された子制御装置及び親制御装置間の通信に基づき、親制御装置の異常を監視するが、2つのネットワークに跨がる通信に基づき、親制御装置の異常を監視することはできない。このため、異常の検知精度が低くなる。そこで、本発明者らは、異なるネットワークを介して複数の子制御装置と接続された親制御装置の監視を可能にする技術を以下のように創案した。
例えば、本開示の一態様に係る監視装置は、親制御装置の動作を監視する監視装置であって、前記親制御装置は、第一ネットワークを介して第一子制御装置と接続され、第二ネットワークを介して第二子制御装置と接続され、且つ前記第二子制御装置から出力された入力データを、前記第一子制御装置に出力データとして出力し、前記監視装置は、前記第一ネットワーク及び前記第二ネットワークと接続され、前記入力データと前記出力データとの対応関係を示す判定データを記憶する記憶部と、前記第二子制御装置によって前記第二ネットワークに出力された前記入力データと、前記親制御装置によって前記第一ネットワークに出力された前記出力データとを取得する第一取得部と、前記第一取得部によって取得された前記入力データ及び前記出力データが、前記判定データを満たすか否かを判定することで、前記親制御装置の動作の異常の有無を判定する判定部と、を含む。
上記態様によると、判定部は、第二ネットワークに出力された親制御装置への入力データと、第一ネットワークに出力された親制御装置からの出力データとを、判定データと比較することによって、親制御装置の動作の異常の有無を判定する。よって、判定部は、異なるネットワークを経由するデータを用いて、親制御装置の動作の異常の有無を判定する。従って、監視装置は、異なるネットワークを介して複数の子制御装置と接続された親制御装置の監視を可能にする。
本開示の一態様に係る監視装置において、前記判定データは、前記入力データ及び前記出力データが同じである関係、及び、前記出力データが前記親制御装置による前記入力データの演算結果と同じである関係の少なくとも1つであってもよい。
上記態様によると、判定データに基づく親制御装置の動作の異常の有無の判定が簡易であり且つ確実になる。
本開示の別の一態様に係る監視装置は、親制御装置の動作を監視する監視装置であって、前記親制御装置は、第一ネットワークを介して第一子制御装置と接続され、第二ネットワークを介して第二子制御装置と接続され、且つ前記第二子制御装置から出力された入力データを、前記第一子制御装置に出力データとして出力し、前記監視装置は、前記第一子制御装置に搭載され、前記出力データに関する判定データを記憶する記憶部と、前記親制御装置によって前記第一ネットワークを介して前記第一子制御装置に出力された前記出力データを取得する第一取得部と、取得された前記出力データが、前記判定データを満たすか否かを判定することで、前記親制御装置の動作の異常の有無を判定する判定部と、を含む。
上記態様によると、判定部は、親制御装置によって第一ネットワークを介して第一子制御装置に出力された出力データと、判定データとを比較することによって、親制御装置の動作の異常の有無を判定する。また、親制御装置は、第二子制御装置から出力された入力データを、第一子制御装置に出力データとして出力する。よって、判定部は、異なるネットワークを経由したデータを用いて、親制御装置の動作の異常の有無を判定し得る。従って、監視装置は、異なるネットワークを介して複数の子制御装置と接続された親制御装置の監視を可能にする。
本開示の別の一態様に係る監視装置において、前記判定データは、前記出力データの変化量、前記親制御装置による前記出力データの出力周期、及び、前記監視装置を搭載する前記第一子制御装置のデータの少なくとも1つであってもよい。
上記態様によると、判定データに基づく親制御装置の動作の異常の有無の判定が簡易であり且つ確実になる。
本開示の一態様及び別の一態様に係る監視装置は、前記第一ネットワーク及び前記第二ネットワークとは別に設けられた情報伝送部から情報を取得する第二取得部をさらに備え、前記判定部は、前記第二取得部によって取得された前記情報を前記第一取得部によって取得された前記出力データに加味したデータが、前記記憶部の前記判定データを満たすか否かを判定してもよい。
上記態様によると、第二取得部によって取得された情報は、出力データに対応する入力データを出力した子制御装置に関連する情報を含み得る。このような第二取得部によって取得された情報を、第一取得部によって取得された出力データに加味したデータは、子制御装置又は当該子制御装置と接続されるデバイスの異常、アクシデント等が出力データに与える影響を考慮したデータであり得る。これにより、判定部は、上記影響による親制御装置の動作の異常の誤検知を低減することができる。よって、監視装置は、親制御装置の動作の異常の判定精度を向上することができる。
本開示の一態様及び別の一態様に係る監視装置において、前記第一ネットワーク及び前記第二ネットワークは、バス型のネットワークであってもよい。
本開示の一態様及び別の一態様に係る監視装置において、前記親制御装置は、ゲートウェイであってもよい。
また、本開示の一態様に係る監視方法は、親制御装置の動作を監視する監視方法であって、前記親制御装置は、第一ネットワークを介して第一子制御装置と接続され、第二ネットワークを介して第二子制御装置と接続され、且つ前記第二子制御装置から出力された入力データを、前記第一子制御装置に出力データとして出力し、前記監視方法は、前記第二子制御装置によって前記第二ネットワークに出力された前記入力データと、前記親制御装置によって前記第一ネットワークに出力された前記出力データとを、前記第一ネットワーク及び前記第二ネットワークを介して取得し、取得された前記入力データ及び前記出力データが、前記入力データと前記出力データとの対応関係を示す判定データを満たすか否かを判定することで、前記親制御装置の動作の異常の有無を判定する。上記態様によると、本開示の一態様に係る監視装置と同様の効果が得られる。
本開示の別の一態様に係る監視方法は、親制御装置の動作を監視する監視方法であって、前記親制御装置は、第一ネットワークを介して第一子制御装置と接続され、第二ネットワークを介して第二子制御装置と接続され、且つ前記第二子制御装置から出力された入力データを、前記第一子制御装置に出力データとして出力し、前記監視方法は、前記親制御装置によって前記第一ネットワークを介して前記第一子制御装置に出力された前記出力データを取得し、取得された前記出力データが、前記出力データに関する判定データを満たすか否かを判定することで、前記親制御装置の動作の異常の有無を判定する。上記態様によると、本開示の別の一態様に係る監視装置と同様の効果が得られる。
また、本開示の一態様に係るプログラムは、本開示の一の態様に係る監視方法をコンピュータに実行させるためのプログラムである。上記態様によると、本開示の一態様に係る監視装置と同様の効果が得られる。
本開示の別の一態様に係るプログラムは、本開示の別の一態様に係る監視方法をコンピュータに実行させるためのプログラムである。上記態様によると、本開示の別の一態様に係る監視装置と同様の効果が得られる。
なお、上記の包括的又は具体的な態様は、システム、装置、方法、集積回路、コンピュータプログラム又はコンピュータ読取可能な記録ディスク等の記録媒体で実現されてもよく、システム、装置、方法、集積回路、コンピュータプログラム又は記録媒体の任意な組み合わせで実現されてもよい。コンピュータ読み取り可能な記録媒体は、例えばCD−ROM等の不揮発性の記録媒体を含む。また、装置は、1つ以上の装置で構成されてもよい。装置が2つ以上の装置で構成される場合、当該2つ以上の装置は、1つの機器内に配置されてもよく、分離した2つ以上の機器内に分かれて配置されてもよい。本明細書及び特許請求の範囲では、「装置」とは、1つの装置を意味し得るだけでなく、複数の装置からなるシステムも意味し得る。
以下、本開示に係る監視装置について、図面を参照しながら具体的に説明する。なお、以下で説明する実施の形態は、いずれも包括的又は具体的な例を示すものである。以下の実施の形態で示される数値、形状、構成要素、構成要素の配置位置及び接続形態、ステップ(工程)、ステップの順序等は、一例であり、本開示を限定する主旨ではない。また、以下の実施の形態における構成要素のうち、最上位概念を示す独立請求項に記載されていない構成要素については、任意の構成要素として説明される。また、各図は模式図であり、必ずしも厳密に図示されたものではない。さらに、各図において、実質的に同一の構成要素に対しては同一の符号を付しており、重複する説明は省略又は簡略化される場合がある。
[実施の形態1]
実施の形態1に係る監視装置100を説明する。以下の実施の形態では、監視装置100は、車両に搭載された複数のネットワークを接続する親制御装置を監視するとして、説明する。なお、監視装置100が監視する対象は、車載ネットワークの親制御装置に限定されず、いかなる機器の複数のネットワークを接続する親制御装置であってもよい。
[1−1.監視装置の構成]
実施の形態1に係る監視装置100及びその周辺の構成を説明する。図1は、実施の形態1に係る監視装置100を備える車載ネットワークシステム1の機能的な構成の一例のブロック図を示す。車載ネットワークシステム1は、複数の車載ネットワーク10と、複数の車載ネットワーク10を互いに接続する親制御装置20と、各車載ネットワーク10に接続される子制御装置30と、通信装置40と、親制御装置20を監視する監視装置100とを備える。
車載ネットワーク10は、親制御装置20と各子制御装置30とを接続する。本実施の形態では、車載ネットワーク10は、第一車載ネットワーク10a、第二車載ネットワーク10b及び第三車載ネットワーク10cで構成されている。車載ネットワーク10を構成するネットワークの数量は、2つ以上であれば、いかなる数量でもよい。第一〜第三車載ネットワーク10a〜10cは、互いに独立したネットワークである。第一〜第三車載ネットワーク10a〜10cはそれぞれ、親制御装置20と子制御装置30とを1対1で接続するものではなく、車載ネットワークに出力された信号が、親制御装置20と当該車載ネットワークに接続された全ての子制御装置30とに受信されるバス型ネットワークであるものとする。例えば、図1において、親制御装置20が、ある車載ネットワークのある子制御装置30に信号を送信したとき、当該車載ネットワークのどの子制御装置30でも当該信号を受信可能である。第一〜第三車載ネットワーク10a〜10cの一例は、CAN(Controller Area Network)である。ここで、第一〜第三車載ネットワーク10a〜10cのいずれかは、第一ネットワークの一例であり、第一〜第三車載ネットワーク10a〜10cの他のいずれかは、第二ネットワークの一例である。
親制御装置20は、第一〜第三車載ネットワーク10a〜10cを互いに接続する。つまり、親制御装置20は、第一〜第三車載ネットワーク10a〜10cそれぞれと接続されている。親制御装置20は、子制御装置30から出力された入力データを取得し、子制御装置30に出力データとして出力する。具体的には、親制御装置20は、第一〜第三車載ネットワーク10a〜10cのうち、同じ車載ネットワークに接続された子制御装置30間の信号の送受信を制御する。さらに、親制御装置20は、第一〜第三車載ネットワーク10a〜10cのうち、異なる車載ネットワークに接続された子制御装置30間の信号の送受信を制御する。親制御装置20は、子制御装置30から出力された信号をそのまま、当該子制御装置30によって指定される子制御装置30に送信してもよく、子制御装置30から出力された信号に演算処理を加えて、指定される子制御装置30に送信してもよい。親制御装置20は、信号に含まれるID等の情報から、車載ネットワークに信号を出力する子制御装置30を特定することができ、当該子制御装置30が指定する送信先の子制御装置30及びその車載ネットワークを特定することができる。
さらに、親制御装置20は、通信装置40及び車両の外部に存在する外部ネットワーク60を介して、車両の外部のサーバ装置50と通信する。親制御装置20は、サーバ装置50にアクセスし、子制御装置30が出力した情報をサーバ装置50に送信し、子制御装置30から要求される情報をサーバ装置50から取得する。親制御装置20の例は、ゲートウェイである。
通信装置40は、外部ネットワーク60を介して、サーバ装置50と送受信する。通信装置40は、通信回路又はECU(電子制御ユニット:Electronic Control Unit)で構成されてもよい。外部ネットワーク60の例は、インターネットである。通信装置40による通信の例は、Wi−Fi(登録商標)(Wireless Fidelity)等の無線LAN(Local Area Network)である。通信装置40による通信は、第3世代移動通信システム(3G)、第4世代移動通信システム(4G)又はLTE(登録商標)等のような移動通信システムで利用されるモバイル通信規格が適用されてもよい。
子制御装置30は、車両内の各デバイスの動作を制御する。子制御装置30は、第一車載ネットワーク10aと接続される第一子制御装置30aa〜30ac、第二車載ネットワーク10bと接続される第二子制御装置30ba〜30bc、及び第三車載ネットワーク10cと接続される第三子制御装置30ca〜30cc等で構成される。子制御装置30aa〜30ac、30ba〜30bc及び30ca〜30ccの例は、ECUである。
第一子制御装置30aa〜30acは、車両の図示しない駆動装置と接続される。第一子制御装置30aa〜30acは、車両の走行に直接関わる制御を行うため、「重要ECU」とも呼ばれる。第一子制御装置30aa〜30acは、図示しない入力装置を介して入力される指令に応じて、駆動装置の動作を制御する。第一子制御装置30aa〜30acは、駆動装置の制御結果及び状態に関する情報を第一車載ネットワーク10aに出力する。駆動装置の例は、各種メータ、トランスミッション、ABS(Antilock Brake System)、エンジン及び駐車支援装置等であるが、これらに限定されない。
第二子制御装置30ba〜30bcは、車両の図示しない付属装置と接続される。第二子制御装置30ba〜30bcは、図示しないスイッチ等の入力装置を介して入力される指令に応じて、付属装置を動作させる。第二子制御装置30ba〜30bcは、付属装置の制御結果を第二車載ネットワーク10bに出力する。付属装置の例は、電動ミラー、エアコンディショナ、車載カメラ、ドアのロック装置及びパワーウィンドウ等であるが、これらに限定されない。
第三子制御装置30ca〜30ccは、車両に搭載される図示しない外部インターフェースと接続される。第三子制御装置30ca〜30ccは、外部インターフェースに入力される指令に応じた制御信号を、第三車載ネットワーク10cに出力する。第三子制御装置30ca〜30ccは、外部インターフェースから要求される情報を、第三車載ネットワーク10c等を介して、他の子制御装置から取得する。外部インターフェースの例は、タッチパネルなどのディスプレイを備え且つユーザからの入力を受け付けるヘッドユニット、車両の自己診断結果を出力するOBD(On-board diagnostics)ユニット、通信モジュール、ナビゲーションシステム等であるが、これらに限定されない。
また、親制御装置20は、第一〜第三車載ネットワーク10a〜10cそれぞれに所定の周期で情報を出力し、各子制御装置30aa〜30ac、30ba〜30bc及び30ca〜30ccは、親制御装置20によって出力された情報を上記の所定の周期で取得する。周期の例は、20ms(ミリ秒)である。
上述のように、第一〜第三車載ネットワーク10a〜10cは、接続される対象の系統別に構築される。なお、各車載ネットワークが接続される対象は、上記に限定されず、各車載ネットワークが接続される対象の系統も、上記に限定されない。
監視装置100の構成を説明する。図2は、実施の形態1に係る監視装置100の機能的な構成の一例を示すブロック図を示す。図1及び図2に示すように、監視装置100は、第一〜第三車載ネットワーク10a〜10cそれぞれと接続され、親制御装置20の動作を監視する、具体的には常時監視する。監視装置100は、通信部101と、取得部102と、記憶部103と、判定部104と、制御部105とを含む。通信部101は、第一〜第三車載ネットワーク10a〜10cそれぞれと、監視装置100との間で、データを送受信する。通信部101は、通信回路で構成されてもよい。
取得部102は、各子制御装置30から第一〜第三車載ネットワーク10a〜10cに出力され且つ親制御装置20に入力される信号から、入力データを、通信部101を介して取得する。さらに、取得部102は、親制御装置20から出力され且つ第一〜第三車載ネットワーク10a〜10cを介して各子制御装置30に入力される信号に含まれる出力データを取得する。入力データは、子制御装置30から出力される命令つまりコマンドであり、コマンド識別情報とコマンド内容とを含む。出力データは、親制御装置20から出力されるコマンドであり、コマンド識別情報とコマンド内容とを含む。コマンド識別情報の例は、CANコマンドのCAN IDである。コマンド識別情報は、コマンドの種別及び/又はコマンドの実行対象等の情報を含む。このような入力データのコマンド識別情報と出力データのコマンド識別情報とは、同じであっても異なっていてもよい。入力データのコマンド識別情報と出力データのコマンド識別情報とが異なるケースの例として、親制御装置20が入力データのコマンド識別情報を他のコマンド識別情報に変更し、変更後のコマンド識別情報を含む出力データを出力するケースが挙げられる。コマンド識別情報が同じである場合及び異なる場合のいずれでも、後述する入力データと対応する出力データの特定は、コマンド識別情報の対応関係から可能である。また、コマンド内容は、具体的な実行内容を含む。
記憶部103は、入力データのコマンド内容と、当該入力データに対応する出力データのコマンド内容と、当該入力データのコマンド識別情報との対応関係を示す判定データを記憶する。なお、本明細書及び特許請求の範囲において、「コマンド内容」を単に「内容」と呼び、「コマンド識別情報」を単に「識別情報」と呼ぶこともある。入力データに対応する出力データは、親制御装置20に異常がない場合での、当該入力データを取得した親制御装置20が出力するデータである。
判定データは、予め設定され、記憶部103に記憶される。親制御装置20が入力データに演算処理を加えない場合、判定データが示す対応関係は、入力データの値等の内容と、当該入力データに対応する出力データの値等の内容とが、同じである関係を示す。親制御装置20が入力データに演算処理を加える場合、判定データが示す対応関係は、入力データの値等の内容と、当該入力データの演算処理結果との関係を示す。つまり、当該対応関係は、入力データの演算処理結果と、当該入力データに対応する出力データの内容とが、同じである関係である。
例えば、図3Aは、親制御装置20が入力データに演算処理を加えない場合での入力データの識別情報と入力データの内容と出力データの内容との対応関係を示す判定データの一例を示す。図3Bは、親制御装置20が入力データに演算処理を加える場合での入力データの識別情報と入力データ内容と出力データの内容との対応関係を示す判定データの一例を示す。図3A及び図3Bにおいて、入力データの内容と出力データの内容とは、入力データの識別情報に関して、互いに対応付けられている。
判定部104は、取得部102によって取得された入力データ及び当該入力データに対応する出力データが、記憶部103の判定データを満たすか否か、具体的には、判定データが示す対応関係を満たすか否かを判定する。判定部104は、対応関係が満たされる場合、親制御装置20に異常がないと判定し、対応関係が満たされない場合、親制御装置20に異常があると判定する。つまり、判定部104は、取得部102によって取得された入力データ及び出力データと、記憶部103の判定データとの整合性及び/又は関係性に基づき、親制御装置20の異常の有無を判定する。
例えば、親制御装置20が入力データに演算処理を加えない場合、判定部104は、図3Aに示すテーブルにおいて、取得部102によって取得された入力データの識別情報及び値に対応する出力データの値を特定する。判定部104は、図3Aのテーブルの出力データの値と、親制御装置20によって出力された出力データの値とを比較し、両者が同一である場合、対応関係が満たされると判定する。なお、判定部104は、親制御装置20によって出力された出力データの値を、入力データの識別情報に基づき特定してもよい。上述したように、入力データの識別情報と出力データの識別情報とは、同じであってもよい。
また、親制御装置20が入力データに演算処理を加える場合、判定部104は、図3Bに示すテーブルにおいて、取得部102によって取得された入力データの識別情報及び値に対応する出力データの値を特定する。判定部104は、図3Bのテーブルの出力データの値と、親制御装置20によって出力された出力データの値とを比較し、両者が同一である場合、対応関係が満たされると判定する。なお、判定部104は、親制御装置20によって出力された出力データの値を、入力データの識別情報に基づき特定してもよい。
制御部105は、通信部101、取得部102及び判定部104の動作を関連付けてこれら制御しつつ、監視装置100全体の動作を制御する。また、制御部105は、判定部104の判定結果及び/又は判定結果に基づく制御情報を、通信部101を介して監視装置100の外部に出力する。具体的には、制御部105は、上記制御情報を、子制御装置30及び/又は第一〜第三車載ネットワーク10a〜10cとは別の図示しないネットワークを介して、図示しない外部インターフェース等のデバイスに出力してもよく、上記ネットワークを介して、サーバ装置50に出力してもよい。
例えば、判定部104が親制御装置20に異常があると判定した場合、制御部105は、制御情報として、車載ネットワークシステム1を停止することを報知する又は促す情報を、親制御装置20を介さずに、外部インターフェース等のデバイス及び/又はサーバ装置50に出力する。また、判定部104が親制御装置20に異常がないと判定した場合、制御部105は、車載ネットワークシステム1の稼働を継続可能であることを報知する制御情報を親制御装置20に出力してもよく、制御情報を出力しなくてもよい。
上述の監視装置100の取得部102、判定部104及び制御部105、親制御装置20、並びに子制御装置30等の各構成要素は、CPU(Central Processing Unit)又はDSP(Digital Signal Processor)等のプロセッサ、並びに、RAM(Random Access Memory)及びROM(Read-Only Memory)等のメモリなどからなるコンピュータシステム(図示せず)により構成されてもよい。各構成要素の一部又は全部の機能は、CPU又はDSPがRAMを作業用のメモリとして用いてROMに記録されたプログラムを実行することによって達成されてもよい。また、各構成要素の一部又は全部の機能は、電子回路又は集積回路等の専用のハードウェア回路によって達成されてもよい。各構成要素の一部又は全部の機能は、上記のソフトウェア機能とハードウェア回路との組み合わせによって構成されてもよい。プログラムは、アプリケーションとして、インターネット等の通信網を介した通信、モバイル通信規格による通信、その他の無線ネットワーク、有線ネットワーク、又は放送等で提供されるものであってもよい。
記憶部103は、種々の情報の格納及び取り出しを可能にする。記憶部103は、例えば、ROM、RAM、フラッシュメモリなどの半導体メモリ、ハードディスクドライブ、又はSSD(Solid State Drive)等の記憶装置によって実現される。
[1−2.監視装置の動作]
実施の形態1に係る監視装置100の動作を説明する。図4は、実施の形態1に係る監視装置100の動作の一例のフローチャートを示す。図4に示すように、ステップS101において、監視装置100の取得部102は、子制御装置30から親制御装置20に出力される信号から、入力データを取得する。
次いで、ステップS102において、取得部102は、ステップS101の入力データを取得した親制御装置20が、子制御装置30に出力する信号から、上記入力データに対応する出力データを取得する。例えば、親制御装置20は、上記信号を第一〜第三車載ネットワーク10a〜10cの全てに出力する。取得部102は、入力データの識別情報と、第一〜第三車載ネットワーク10a〜10cから取得された信号のデータの識別情報とを照合することによって、上記入力データに対応する出力データを特定する。
次いで、ステップS103において、監視装置100の判定部104は、取得部102によって取得された入力データの識別情報及び内容に基づき、これらに対応する出力データの内容を記憶部103の判定データから取得する。
次いで、ステップS104において、判定部104は、記憶部103から取得された出力データの内容と、取得部102によって取得された出力データの内容とを比較する。判定部104は、2つの出力データの内容が同じである場合(ステップS104でYes)、ステップS105に進み、2つの出力データの内容が異なる場合(ステップS104でNo)、ステップS106に進む。
ステップS105において、監視装置100の制御部105は、ステップS101〜S105の一連の処理を終了する。なお、制御部105は、親制御装置20が正常であることを報知してもよい。この場合、制御部105は、車載ネットワークシステム1の稼働を継続可能であることを報知する情報を親制御装置20に出力する。
ステップS106において、制御部105は、親制御装置20が異常であることを報知する。具体的には、制御部105は、車載ネットワークシステム1を停止することを報知する又は促す情報を、図示しない外部インターフェース及びサーバ装置50の少なくとも1つに出力する。
[1−3.効果]
上述したように、実施の形態1に係る監視装置100において、判定部104は、子制御装置30から第一〜第三車載ネットワーク10a〜10cの1つに出力された親制御装置20への入力データと、親制御装置20から第一〜第三車載ネットワーク10a〜10cの他の1つに出力された出力データとを、記憶部103の判定データと比較することによって、親制御装置20の動作の異常の有無を判定する。よって、判定部104は、異なる車載ネットワークを経由するデータを用いて、親制御装置20の動作の異常の有無を判定する。従って、監視装置100は、異なる車載ネットワークを介して複数の子制御装置30と接続された親制御装置20の監視を可能にする。
また、実施の形態1に係る監視装置100において、記憶部103の判定データは、入力データ及び出力データが同じである関係、及び、出力データが、親制御装置20による入力データの演算結果と同じである関係の少なくとも1つである。よって、判定データに基づく親制御装置20の動作の異常の有無の判定が簡易であり且つ確実になる。
[実施の形態2]
実施の形態2に係る監視装置200を説明する。実施の形態2に係る監視装置200は、第一子制御装置30aaに搭載される点で、実施の形態1と異なる。実施の形態2において、実施の形態1と同様の構成要素については、実施の形態1と同一の参照符号を付し、その説明を省略する。以下において、実施の形態1と異なる点を中心に説明し、実施の形態1と同様の点の説明を省略する。
[2−1.監視装置の構成]
図5及び図6を参照して、実施の形態2に係る監視装置200の構成を説明する。なお、図5は、実施の形態2に係る監視装置200を備える車載ネットワークシステム1の機能的な構成の一例を示すブロック図である。図6は、実施の形態2に係る監視装置200の機能的な構成の一例を示すブロック図である。本実施の形態では、監視装置200は、第一子制御装置30aa〜30acの1つ、具体的には、第一子制御装置30aaに搭載される。監視装置200は、通信部101と、取得部202と、記憶部203と、判定部204と、制御部205とを含む。通信部101は、実施の形態1と同様である。
取得部202は、親制御装置20から出力され且つ第一車載ネットワーク10aを介して第一子制御装置30aaに入力される信号から、出力データの内容と、当該出力データの識別情報とを取得する。第一子制御装置30aaは、親制御装置20から第一車載ネットワーク10aに出力される全ての信号を受信するため、取得部202は、親制御装置20から第一車載ネットワーク10aに出力される全ての信号の出力データを取得する。
記憶部203は、出力データに関するデータと、当該出力データの識別情報との対応関係を示す判定データを記憶する。出力データに関するデータは、親制御装置20に異常がない場合での、親制御装置20の出力データの内容及び出力状態に関する。判定データは、予め設定され、記憶部203に記憶される。
判定データは、親制御装置20に異常がない場合での、親制御装置20によって所定の周期で出力される出力データの変化量、親制御装置20による出力データの出力周期、及び、監視装置200を搭載する子制御装置30である第一子制御装置30aaを示すデータである。
例えば、図7A、図7B及び図7Cは、実施の形態2に係る監視装置200における判定データの一例を示す。図7Aに示すように、判定データにおいて、連続して取得される今回及び前回の出力データの変化量、つまり差分値は、出力ルール1として、下限値及び上限値の間の所定の範囲内に規定されている。そして、差分値の所定の範囲は、当該出力データの識別情報と対応付けられて、記憶部203に記憶されている。図7Bに示すように、出力データの出力周期は、出力ルール2として、下限値及び上限値の間の所定の範囲内に規定されている。そして、出力データの出力周期は、当該出力データの識別情報と対応付けられて、記憶部203に記憶されている。
図7Cに示すように、監視装置200を搭載する第一子制御装置30aaを示すデータが、出力ルール3として規定されている。具体的には、第一子制御装置30aaがデータを出力する場合の当該データの識別情報が、出力データの識別情報との比較対象として規定されている。そして、第一子制御装置30aaによって出力され得るデータの識別情報が、記憶部203に記憶されている。このような出力ルール3は、出力データの受信対象の子制御装置30の正誤を規定する。
判定部204は、取得部202によって取得された出力データが、記憶部203の判定データを満たすか否かを判定することで、親制御装置20の動作の異常の有無を判定する。判定部204は、判定データが満たされる場合、親制御装置20に異常がないと判定し、判定データ満たされない場合、親制御装置20に異常があると判定する。
具体的には、判定部204は、図7A〜図7Cに示すテーブルそれぞれにおいて、出力データの識別情報から、当該出力データに関するデータを特定する。さらに、図7Aに関して、判定部204は、当該出力データの値と、当該出力データよりも前の直近に取得された出力データの値との差分値を算出する。なお、差分値の算出対象の2つの出力データの識別情報は、同じであってもよく、異なっていてもよい。出力データの識別情報が異なるケースの例として、識別情報が異なる出力データの値が互いに連動して変化し、これらのデータの差異が一定の範囲に収まるケースが挙げられる。
また、図7Bに関して、判定部204は、親制御装置20が出力データを出力するタイミングから、出力データの出力周期を算出する。具体的には、本実施の形態では、識別情報毎に、入力データの出力周期が、決められている。出力周期の例は、10ms、20ms及び50ms等である。このため、親制御装置20も、識別情報毎に決められた入力データの出力周期と同様の出力周期で、各識別情報の出力データを出力する。判定部204は、同じ識別情報の出力データが親制御装置20によって出力されるタイミングから、識別情報毎に出力データの出力周期を算出する。なお、判定部204は異なる識別情報の出力データ間で出力周期を算出してもよく、このような出力周期は、所定の範囲で規定することができる。
判定部204は、差分値が図7Aに示す範囲内に含まれる場合、出力ルール1が満たされると判定する。判定部204は、出力周期が図7Bに示す範囲内に含まれる場合、出力ルール2が満たされると判定する。また、判定部204は、出力データの識別情報が、図7Cに示す第一子制御装置30aaによって出力され得るデータの識別情報と異なる場合、出力ルール3が満たされると判定する。つまり、判定部204は、出力データが、第一子制御装置30aaから出力されたデータに対応しない場合、出力ルール3が満たされると判定する。判定部204は、出力ルール1〜3の全てが満たされる場合、判定データが満たされると判定し、出力ルール1〜3の少なくとも1つが満たされない場合、判定データが満たされないと判定する。
出力ルール1は、出力データの変化量が大きい場合、親制御装置20に異常があると見なされ得ることに基づく。出力ルール2は、親制御装置20がハッキング等の攻撃を受けたときに動作を一時的に停止することに基づく。出力ルール3は、監視装置200を搭載する第一子制御装置30aaと、出力データに対応する入力データを出力する子制御装置30とが異なることに基づく。なお、本実施の形態では、判定部204は、出力ルール1〜3の全てを用いるが、これらの少なくとも1つを用いて判定してもよい。
制御部205は、通信部101、取得部202及び判定部204の動作を関連付けてこれらを制御しつつ、監視装置200全体の動作を制御する。また、制御部205は、判定部204の判定結果及び/又は判定結果に基づく制御情報を、監視装置200の外部に出力する。
[2−2.監視装置の動作]
実施の形態2に係る監視装置200の動作を説明する。図8は、実施の形態2に係る監視装置200の動作の一例のフローチャートを示す。図8に示すように、ステップS201において、監視装置200の取得部202は、親制御装置20が第一〜第三車載ネットワーク10a〜10cから受信し第一車載ネットワーク10aに出力する信号から、出力データを取得する。第一子制御装置30aaは、第一車載ネットワーク10aに出力される全ての信号を受信する。このため、取得部202は、第一子制御装置30aa〜30acの全てに対する出力データを取得する。
次いで、ステップS202において、監視装置200の判定部204は、取得部202によって取得された出力データの識別情報に対応する出力ルール1及び2を、記憶部203から取得する。さらに、判定部204は、出力ルール3を、記憶部203から取得する。
次いで、ステップS203において、判定部204は、取得部202によって取得された出力データから、出力データの差分値を算出する。さらに、判定部204は、取得部202による出力データの取得タイミングから、出力データの出力周期を算出する。つまり、判定部204は、親制御装置20の異常の有無を判定するための判定要素を算出する。
次いで、ステップS204において、判定部204は、記憶部203から取得された出力ルール1〜3と、出力データの差分値、出力データの出力周期及び出力データの識別情報とを比較する。このように、判定部204は、第一車載ネットワーク10aに出力される全ての出力データ、つまり、第一子制御装置30aa〜30acの全てに対する出力データについて、出力ルール1〜3との比較を行う。判定部204は、出力ルール1〜3の全てが満たされる場合(ステップS204でYes)、ステップS205に進み、出力ルール1〜3のいずれかが満たされない場合(ステップS204でNo)、ステップS206に進む。
ステップS205及びS206での処理はそれぞれ、実施の形態1におけるステップS105及びS106での処理と同様である。
[2−3.効果]
上述したように、実施の形態2に係る監視装置200において、判定部204は、親制御装置20によって、第一〜第三車載ネットワーク10a〜10cの1つを介して子制御装置30に出力された出力データと、記憶部203の判定データとを比較することによって、親制御装置20の動作の異常の有無を判定する。また、親制御装置20は、第一〜第三子制御装置の1つから出力された入力データを、第一〜第三子制御装置の他の1つに出力データとして出力し得る。よって、判定部204は、異なる車載ネットワークを経由したデータを用いて、親制御装置20の動作の異常の有無を判定し得る。従って、監視装置200は、異なる車載ネットワークを介して複数の子制御装置30と接続された親制御装置20の監視を可能にする。なお、実施の形態2に係る監視装置200は、第一子制御装置30aaに搭載されたが、他のいかなる子制御装置に搭載されてもよい。
また、実施の形態2に係る監視装置200において、記憶部203の判定データは、出力データの変化量、親制御装置20による出力データの出力周期、及び、監視装置200を搭載する第一子制御装置30aaのデータの少なくとも1つである。よって、判定データに基づく親制御装置20の動作の異常の有無の判定が簡易であり且つ確実になる。
[実施の形態3]
実施の形態3に係る監視装置300は、第一〜第三車載ネットワーク10a〜10cとは別の情報伝送部70から情報を取得する点で、実施の形態1と異なる。実施の形態3において、実施の形態1又は2と同様の構成要素については、実施の形態1又は2と同一の参照符号を付し、その説明を省略する。以下において、実施の形態1及び2と異なる点を中心に説明し、実施の形態1又は2と同様の点の説明を省略する。
図9及び図10を参照して、実施の形態3に係る監視装置300を説明する。なお、図9は、実施の形態3に係る監視装置300を備える車載ネットワークシステム1の機能的な構成の一例を示すブロック図である。図10は、実施の形態3に係る監視装置300の機能的な構成の一例を示すブロック図である。監視装置300は、実施の形態1と同様に、第一〜第三車載ネットワーク10a〜10cそれぞれと接続される。さらに、監視装置300は、第一通信部としての通信部101と、第一取得部としての取得部102と、記憶部103と、判定部304と、制御部305と、第二取得部306と、第二通信部307とを含む。
第二通信部307は、情報伝送部70と監視装置300との間で、データを送受信する。第二通信部307は通信回路で構成されてもよい。情報伝送部70は、イーサネット(登録商標)(Ethernet)バス、ローカルバス及びジカ線等の情報伝送経路を構成し、車両内の様々なデバイス80と接続されている。情報伝送部70は、デバイス80が出力する情報を含むデータを監視装置300に送信する。第二取得部306は、情報伝送部70及び第二通信部307を介して、デバイス80の出力情報を取得する。
判定部304は、第二取得部306によって取得されたデバイス80の出力情報が、いずれの子制御装置30に関連するかを特定する。例えば、出力情報は、関連する子制御装置30の識別情報等の情報を含み、判定部304は、出力情報に含まれる当該情報から、出力情報に関連する子制御装置30を特定してもよい。又は、記憶部103は、出力情報と、当該出力情報に関連する子制御装置30との対応関係を示すデータを、予め記憶しており、判定部304は、出力情報と上記データとを照合することによって、当該出力情報に関連する子制御装置30を特定してもよい。
さらに、判定部304は、出力情報を、第一取得部102によって取得された親制御装置20の出力データの値等の内容、及び、記憶部103に記憶される上記出力データに対応する出力データの値等の内容の少なくとも1つに加味する。判定部304は、第一取得部102によって取得された出力データの内容、及び、記憶部103に記憶される出力データの内容の少なくとも1つを、出力情報に応じて補正する。
例えば、デバイス80の出力情報は、子制御装置30の異常の有無を示してもよい。親制御装置20の出力データに対応する入力データを出力した子制御装置30、又は、親制御装置20から出力データを取得する子制御装置30に異常が発生したことを示す出力情報を取得した場合、判定部304は、親制御装置20の出力データの値と記憶部103の出力データの値とを整合する、具体的には同じにするように、2つの出力データの値の少なくとも1つを補正してもよい。これにより、判定部304は、子制御装置30の異常を、親制御装置20の異常として判定することを抑えることができ、判定精度を向上させ得る。
なお、親制御装置20も、情報伝送部70又は他の情報伝送部を介して、デバイス80と接続されてもよい。この場合、親制御装置20は、情報伝送部を介して、デバイス80の出力情報を取得し、子制御装置30から取得する入力データに当該出力情報を加味したデータを、出力データとして出力してもよい。そして、判定部304は、記憶部103に記憶される出力データに、第二取得部306によって取得された出力情報を加味したデータと、親制御装置20から取得され且つ出力情報が加味されている出力データとを比較してもよい。
また、制御部305は、第一通信部101、第一取得部102、判定部304、第二取得部306及び第二通信部307の動作を関連付けてこれらを制御しつつ、監視装置300全体の動作を制御する。また、制御部305は、判定部304の判定結果及び/又は判定結果に基づく制御情報を、監視装置300の外部に出力する。
上述のような実施の形態3に係る監視装置300によれば、実施の形態1に係る監視装置100と同様の効果が得られる。さらに、第二取得部306によって取得された情報は、出力データに対応する入力データを出力した子制御装置30に関連する情報を含み得る。このような第二取得部306によって取得された情報を、第一取得部102によって取得された出力データに加味したデータは、子制御装置30又は当該子制御装置30と接続されるデバイスの異常、アクシデント等が出力データに与える影響を考慮したデータであり得る。これにより、判定部304は、上記影響による親制御装置20の動作の異常の誤検知を低減することができる。よって、監視装置300は、親制御装置20の動作の異常の判定精度を向上することができる。
また、本実施の形態に係る監視装置300は、実施の形態1に係る車載ネットワークシステム1に適用されていたが、図11に示すように、実施の形態2に係る車載ネットワークシステムに適用されてもよい。この場合、判定部304は、出力情報を、第一取得部102によって取得された親制御装置20の出力データの内容、及び、記憶部103に記憶される上記出力データに対応する出力データの内容の少なくとも1つに加味する。なお、図11は、実施の形態3の変形例に係る監視装置300Aを備える車載ネットワークシステム1の機能的な構成の一例を示すブロック図である。
[その他]
以上、1つ又は複数の態様に係る監視装置等について、実施の形態及び変形例に基づいて説明したが、本開示は、これらの実施の形態及び変形例に限定されるものではない。本開示の趣旨を逸脱しない限り、当業者が思いつく各種変形を実施の形態及び変形例に施したものや、異なる実施の形態及び変形例における構成要素を組み合わせて構築される形態も、1つ又は複数の態様の範囲内に含まれてもよい。
例えば、実施の形態及び変形例に係る監視装置において、入力データ及び出力データはそれぞれ、入力データ及び出力データのCAN ID等の識別情報を含んでいた。そして、監視装置の判定部は、子制御装置30から出力される入力データの識別情報と、親制御装置20から出力される出力データの識別情報とを比較することによって、入力データと出力データとの対応付け、入力データと子制御装置30との対応付け、及び、出力データと子制御装置30との対応付けを行った。しかしながら、上記対応付けは、これらに限定されない。例えば、判定部は、入力データの内容及び出力データの内容を照合することによって、上記対応付けを行ってもよい。また、子制御装置30は、入力データに、当該子制御装置30の識別情報を含ませてもよく、当該入力データの実行対象の子制御装置30の識別情報を含ませてもよい。そして、判定部は、子制御装置30の識別情報に基づき、上記対応付けを行ってもよい。
また、上述したように、本開示の技術は、システム、装置、方法、集積回路、コンピュータプログラム又はコンピュータ読取可能な記録ディスク等の記録媒体で実現されてもよく、システム、装置、方法、集積回路、コンピュータプログラム及び記録媒体の任意な組み合わせで実現されてもよい。コンピュータ読み取り可能な記録媒体は、例えばCD−ROM等の不揮発性の記録媒体を含む。
例えば、上記実施の形態及び変形例に含まれる各処理部は典型的には集積回路であるLSI(Large Scale Integration:大規模集積回路)として実現される。これらは個別に1チップ化されてもよいし、一部又は全てを含むように1チップ化されてもよい。
また、集積回路化はLSIに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。LSI製造後にプログラムすることが可能なFPGA(Field Programmable Gate Array)、又はLSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用してもよい。
なお、上記実施の形態及び変形例において、各構成要素は、専用のハードウェアで構成されるか、各構成要素に適したソフトウェアプログラムを実行することによって実現されてもよい。各構成要素は、CPUなどのプロセッサ等のプログラム実行部が、ハードディスク又は半導体メモリ等の記録媒体に記録されたソフトウェアプログラムを読み出して実行することによって実現されてもよい。
また、上記構成要素の一部又は全部は、脱着可能なIC(Integrated Circuit)カード又は単体のモジュールから構成されてもよい。ICカード又はモジュールは、マイクロプロセッサ、ROM、RAM等から構成されるコンピュータシステムである。ICカード又はモジュールは、上記のLSI又はシステムLSIを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、ICカード又はモジュールは、その機能を達成する。これらICカード及びモジュールは、耐タンパ性を有するとしてもよい。
本開示の監視方法は、MPU(Micro Processing Unit)及びCPUなどのプロセッサ、LSIなどの回路、ICカード又は単体のモジュール等によって、実現されてもよい。
さらに、本開示の技術は、ソフトウェアプログラム又はソフトウェアプログラムからなるデジタル信号によって実現されてもよく、プログラムが記録された非一時的なコンピュータ読み取り可能な記録媒体であってもよい。また、上記プログラムは、インターネット等の伝送媒体を介して流通させることができるのは言うまでもない。
また、上記で用いた序数、数量等の数字は、全て本開示の技術を具体的に説明するために例示するものであり、本開示は例示された数字に制限されない。また、構成要素間の接続関係は、本開示の技術を具体的に説明するために例示するものであり、本開示の機能を実現する接続関係はこれに限定されない。
また、ブロック図における機能ブロックの分割は一例であり、複数の機能ブロックを1つの機能ブロックとして実現したり、1つの機能ブロックを複数に分割したり、一部の機能を他の機能ブロックに移してもよい。また、類似する機能を有する複数の機能ブロックの機能を単一のハードウェア又はソフトウェアが並列又は時分割に処理してもよい。
本開示の技術は、車載ネットワーク等の複数のネットワークを接続する親制御装置の監視に有用である。
1 車載ネットワークシステム
10,10a,10b,10c 車載ネットワーク
20 親制御装置
30,30aa,30ab,30ac,30ba,30bb,30bc,30ca,30cb,30cc 子制御装置
70 情報伝送部
80 デバイス
100,200,300,300A 監視装置
102,202 取得部(第一取得部)
103,203 記憶部
104,204,304 判定部
306 第二取得部

Claims (10)

  1. 親制御装置の動作を監視する監視装置であって、
    前記親制御装置は、第一ネットワークを介して第一子制御装置と接続され、第二ネットワークを介して第二子制御装置と接続され、且つ前記第二子制御装置から出力された入力データを、前記第一子制御装置に出力データとして出力し、
    前記監視装置は、
    前記第一ネットワーク及び前記第二ネットワークと接続され、
    前記入力データと前記出力データとの対応関係を示す判定データを記憶する記憶部と、
    前記第二子制御装置によって前記第二ネットワークに出力された前記入力データと、前記親制御装置によって前記第一ネットワークに出力された前記出力データとを取得する第一取得部と、
    前記第一ネットワーク及び前記第二ネットワークとは別に設けられた情報伝送部から情報を取得する第二取得部と、
    前記第一取得部によって取得された前記入力データ及び、前記第二取得部によって取得された前記情報を前記第一取得部によって取得された前記出力データに加味したデータが、前記判定データを満たすか否かを判定することで、前記親制御装置の動作の異常の有無を判定する判定部と、を含む、
    監視装置。
  2. 前記判定データは、前記入力データ及び前記出力データが同じである関係、及び、前記出力データが前記親制御装置による前記入力データの演算結果と同じである関係の少なくとも1つである、
    請求項1に記載の監視装置。
  3. 親制御装置の動作を監視する監視装置であって、
    前記親制御装置は、第一ネットワークを介して第一子制御装置と接続され、第二ネットワークを介して第二子制御装置と接続され、且つ前記第二子制御装置から出力された入力データを、前記第一子制御装置に出力データとして出力し、
    前記監視装置は、
    前記第一子制御装置に搭載され、
    前記出力データに関する判定データを記憶する記憶部と、
    前記親制御装置によって前記第一ネットワークを介して前記第一子制御装置に出力された前記出力データを取得する第一取得部と、
    前記第一ネットワーク及び前記第二ネットワークとは別に設けられた情報伝送部から情報を取得する第二取得部と、
    前記第二取得部によって取得された前記情報を前記第一取得部によって取得された前記出力データに加味したデータが、前記判定データを満たすか否かを判定することで、前記親制御装置の動作の異常の有無を判定する判定部と、を含む、
    監視装置。
  4. 前記判定データは、前記出力データの変化量、前記親制御装置による前記出力データの出力周期、及び、前記監視装置を搭載する前記第一子制御装置のデータの少なくとも1つである、
    請求項3に記載の監視装置。
  5. 前記第一ネットワーク及び前記第二ネットワークは、バス型のネットワークである、
    請求項1〜のいずれか一項に記載の監視装置。
  6. 前記親制御装置は、ゲートウェイである、
    請求項1〜のいずれか一項に記載の監視装置。
  7. 親制御装置の動作を監視する監視方法であって、
    前記親制御装置は、第一ネットワークを介して第一子制御装置と接続され、第二ネットワークを介して第二子制御装置と接続され、且つ前記第二子制御装置から出力された入力データを、前記第一子制御装置に出力データとして出力し、
    前記監視方法は、
    前記第二子制御装置によって前記第二ネットワークに出力された前記入力データと、前記親制御装置によって前記第一ネットワークに出力された前記出力データとを、前記第一ネットワーク及び前記第二ネットワークを介して取得し、
    前記第一ネットワーク及び前記第二ネットワークとは別に設けられた情報伝送部から情報を取得し、
    取得された前記入力データ及び、取得された前記情報を前記出力データに加味したデータが、前記入力データと前記出力データとの対応関係を示す判定データを満たすか否かを判定することで、前記親制御装置の動作の異常の有無を判定する、
    監視方法。
  8. 親制御装置の動作を監視する監視方法であって、
    前記親制御装置は、第一ネットワークを介して第一子制御装置と接続され、第二ネットワークを介して第二子制御装置と接続され、且つ前記第二子制御装置から出力された入力データを、前記第一子制御装置に出力データとして出力し、
    前記監視方法は、
    前記親制御装置によって前記第一ネットワークを介して前記第一子制御装置に出力された前記出力データを取得し、
    前記第一ネットワーク及び前記第二ネットワークとは別に設けられた情報伝送部から情報を取得し、
    取得された前記情報を前記出力データに加味したデータが、前記出力データに関する判定データを満たすか否かを判定することで、前記親制御装置の動作の異常の有無を判定する、
    監視方法。
  9. 請求項に記載の監視方法をコンピュータに実行させるためのプログラム。
  10. 請求項に記載の監視方法をコンピュータに実行させるためのプログラム。
JP2018005962A 2018-01-17 2018-01-17 監視装置、監視方法及びプログラム Active JP6979630B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2018005962A JP6979630B2 (ja) 2018-01-17 2018-01-17 監視装置、監視方法及びプログラム
DE102019101124.8A DE102019101124A1 (de) 2018-01-17 2019-01-17 Überwachungsvorrichtung, Überwachungsverfahren und Programm
US16/250,545 US11084495B2 (en) 2018-01-17 2019-01-17 Monitoring apparatus, monitoring method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018005962A JP6979630B2 (ja) 2018-01-17 2018-01-17 監視装置、監視方法及びプログラム

Publications (2)

Publication Number Publication Date
JP2019125947A JP2019125947A (ja) 2019-07-25
JP6979630B2 true JP6979630B2 (ja) 2021-12-15

Family

ID=67068494

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018005962A Active JP6979630B2 (ja) 2018-01-17 2018-01-17 監視装置、監視方法及びプログラム

Country Status (3)

Country Link
US (1) US11084495B2 (ja)
JP (1) JP6979630B2 (ja)
DE (1) DE102019101124A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
NZ786912A (en) * 2019-09-25 2022-08-26 Shift5 Inc Passive monitoring and prevention of unauthorized firmware or software upgrades between computing devices

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS56141469A (en) 1980-04-03 1981-11-05 Kobe Steel Ltd Ball valve
US4545485A (en) 1984-08-01 1985-10-08 The Mead Corporation Bottle carrier chime engaging flap structure
DE10331873B4 (de) * 2003-07-14 2022-09-01 Robert Bosch Gmbh Verfahren zur Überwachung verteilter Software
US8885671B1 (en) * 2010-09-10 2014-11-11 Keysight Technologies, Inc. System for compensating for periodic noise in time interleaved system
US8516176B1 (en) * 2012-10-11 2013-08-20 Google Inc. Gang programming of devices
US10007570B2 (en) * 2013-12-04 2018-06-26 Mitsubishi Electric Corporation Monitoring unit, control system, and computer readable medium
KR102146470B1 (ko) * 2014-01-17 2020-08-21 에스케이하이닉스 주식회사 실리콘 관통 비아를 갖는 반도체 장치
KR101575547B1 (ko) * 2014-12-09 2015-12-22 현대오트론 주식회사 캔 통신 시스템의 에러 분산감지 방법 및 캔 통신 시스템
CN107848623B (zh) * 2015-05-29 2021-02-09 维里蒂工作室股份公司 飞行器
JP6805559B2 (ja) * 2016-06-09 2020-12-23 株式会社デンソー リプログマスタ
JP6494567B2 (ja) * 2016-06-27 2019-04-03 矢崎総業株式会社 通信管理装置および通信システム
WO2018026030A1 (ko) * 2016-08-03 2018-02-08 엘지전자 주식회사 차량 및 그 제어방법
CN109229102A (zh) * 2017-07-04 2019-01-18 百度在线网络技术(北京)有限公司 无人驾驶车辆控制***、方法和装置
US10776538B2 (en) * 2017-07-26 2020-09-15 Taiwan Semiconductor Manufacturing Co., Ltd. Function safety and fault management modeling at electrical system level (ESL)
JP2019061392A (ja) * 2017-09-26 2019-04-18 ルネサスエレクトロニクス株式会社 マイクロコントローラ及びマイクロコントローラの制御方法
JP6962176B2 (ja) * 2017-12-20 2021-11-05 株式会社デンソー 電力変換装置の制御装置
KR102150068B1 (ko) * 2017-12-21 2020-08-31 주식회사 엘지화학 통신 진단 장치 및 방법

Also Published As

Publication number Publication date
DE102019101124A1 (de) 2019-07-18
US11084495B2 (en) 2021-08-10
US20190217870A1 (en) 2019-07-18
JP2019125947A (ja) 2019-07-25

Similar Documents

Publication Publication Date Title
US10706642B2 (en) Efficient telematics data upload
CN113272794B (zh) 车载型信息处理装置、用户终端、信息处理方法以及程序
EP3951531A1 (en) Anomaly sensing method and anomaly sensing system
CN112534300A (zh) 在多片上***环境中共享传感器的装置和方法
JP2006256457A (ja) 車載データ管理装置、及び、車両情報供給システム
US20170026397A1 (en) Monitoring device monitoring network
US20210320932A1 (en) Electronic control unit, electronic control system, and recording medium
CN111989678A (zh) 信息处理装置、信息处理方法以及程序
JP6555559B1 (ja) 電子制御装置、監視方法、プログラム及びゲートウェイ装置
CN114170705A (zh) 车辆数据上传方法、装置和设备
US20090210171A1 (en) Monitoring device and monitoring method for a sensor, and sensor
JP5071340B2 (ja) ゲートウェイ装置、車両用ネットワーク、片側断線検出方法
JP6979630B2 (ja) 監視装置、監視方法及びプログラム
US11924726B2 (en) In-vehicle control device, information processing device, vehicle network system, method of providing application program, and recording medium with program recorded thereon
US20220250655A1 (en) Mobility control system, method, and program
JP2021196997A (ja) ログ送信制御装置
US20230007033A1 (en) Attack analyzer, attack analysis method and attack analysis program
US20230007034A1 (en) Attack analyzer, attack analysis method and attack analysis program
JP2009501920A (ja) 電子装置
JP4315073B2 (ja) 故障解析システム
WO2022092263A1 (ja) グランドショート故障検出装置およびノード装置
CN110177032B (zh) 报文路由质量监测方法及网关控制器
CN112333038A (zh) 一种车辆网关检测方法及装置
CN114967634A (zh) 处理器诊断装置、处理器诊断方法和电子设备
CN115803737A (zh) 日志管理装置以及安全攻击检测/分析***

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200828

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210624

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210713

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210908

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20211005

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20211101

R151 Written notification of patent or utility model registration

Ref document number: 6979630

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

SZ03 Written request for cancellation of trust registration

Free format text: JAPANESE INTERMEDIATE CODE: R313Z03