WO2013051122A1

WO2013051122A1 - 車載ネットワークシステム

Info

Publication number: WO2013051122A1
Application number: PCT/JP2011/073022
Authority: WO
Inventors: 理平嶋
Original assignee: トヨタ自動車株式会社
Priority date: 2011-10-05
Filing date: 2011-10-05
Publication date: 2013-04-11

Abstract

　本発明は、車両内部機器と車両外部機器との間の通信アクセスを、車両走行中における車両内での通常処理を阻害することなく適切な車両状態で実現させるうえで、車両内部機器と車両外部機器との間のデータ中継を行う中継装置を備える車載ネットワークシステムにおいて、自車両が走行状態にある場合に、上記の中継装置による上記のデータ中継を禁止する中継制御手段を備える。

Description

車載ネットワークシステム

　本発明は、車載ネットワークシステムに係り、特に、車両内部機器と車両外部機器との間のデータ中継を中継装置を介して行う車載ネットワークシステムに関する。

　従来、車両内部機器と車両外部機器との間のデータ中継を中継装置を介して行う車載ネットワークシステムが知られている（例えば、特許文献１参照）。この車載ネットワークシステムにおいて、ゲートウェイ装置は、通信接続された車両外部機器から車両内部機器に対してデータ書込要求があると、その車両外部機器の認証を行うと共に、その車両内部機器にその車両外部機器を認証させる。従って、この車載ネットワークシステムによれば、ゲートウェイ装置で車両外部機器の認証を行うことで、車両内部機器に対する外部からの不正アクセスを防止することができる。

特開２００３－４６５３６号公報

　ところで、上記した車載ネットワークシステムにおいては、ゲートウェイ装置で車両外部機器の認証が得られた場合に、車両外部機器から車両内部機器へのアクセスが許可される。しかし、その車両外部機器から車両内部機器へのアクセスが車両の走行状態に関係なく許可されると、下記の如く不都合が生ずるおそれがある。

　すなわち、車両外部機器が複数の電子機器（ＥＣＵ）が接続された車載ＬＡＮ上の電子機器であると、車両走行中は、その車載ＬＡＮ上でのデータ授受が頻繁に行われることが多く、車載ＬＡＮ上に大きな通信負荷が作用するものであるが、かかる状況において車両走行中に上記のアクセス許可がなされると、車両外部機器と車両内部機器との間のデータ授受が車載ＬＡＮを通じて行われることに起因して車載ＬＡＮ上の通信負荷が更に増加してしまい、データ送信に遅れが生ずるおそれがある。また、車両走行中に車両外部機器から車両内部機器へ向けて車両制御に関わるデータが送信されると、その送信データが車両の走行状態に合致しないことでその車両制御が適切に行われないおそれがある。

　本発明は、上述の点に鑑みてなされたものであり、車両内部機器と車両外部機器との間の通信アクセスを、車両走行中における車両内での通常処理を阻害することなく適切な車両状態で実現させることが可能な車載ネットワークシステムを提供することを目的とする。

　上記の目的は、車両内部機器と車両外部機器との間のデータ中継を行う中継装置を備える車載ネットワークシステムであって、自車両が走行状態にある場合に、前記中継装置による前記データ中継を禁止する中継制御手段を備える車載ネットワークシステムにより達成される。

　本発明によれば、車両内部機器と車両外部機器との間の通信アクセスを、車両走行中における車両内での通常処理を阻害することなく適切な車両状態で実現させることができる。

本発明の一実施例である車載ネットワークシステムの構成図である。本実施例の車載ネットワークシステムにおいて中継装置が実行する制御ルーチンの一例のフローチャートである。

　以下、図面を用いて、本発明の車載ネットワークシステムの具体的な実施の形態について説明する。

　図１は、本発明の一実施例である車載ネットワークシステム１０の構成図を示す。本実施例の車載ネットワークシステム１０は、車両内部機器と車両外部機器との間のデータ中継を中継装置を介して行うネットワークシステムである。

　図１に示す如く、車載ネットワークシステム１０は、複数（図１では２つ）の電子制御ユニット（以下、ＥＣＵと称す）１２が接続された車載ＬＡＮ１４と、外部装置１６が接続されるコネクタ１８と、車載ＬＡＮ１４とコネクタ１８との間に配置される中継装置（ゲートウェイ）２０と、を備えている。

　ＥＣＵ１２は、マイクロコンピュータを主体に構成された、パワトレ系やシャシ系，ボディ系などの各種ＥＣＵであって、例えば、車両エンジンの制御を行うエンジンＥＣＵや、自動変速機の変速制御を行う変速ＥＣＵ，車両の姿勢制御や制動制御を行う姿勢ＥＣＵ，自車両を先行車両に追従走行させる走行制御ＥＣＵ，車両状態を監視して盗難を防止する盗難防止ＥＣＵ，インパネ内の表示制御を行うメータＥＣＵ，エアコン制御を行うエアコンＥＣＵ，地図情報を表示するナビゲーションＥＣＵなどである。

　各ＥＣＵ１２はそれぞれ、演算処理部であるコントローラ部と、各種のプログラムを格納する内部メモリと、各種車載センサやスイッチなどに接続するＩ／Ｏインタフェースと、車載ＬＡＮ１４に接続する通信インタフェースと、を有している。各ＥＣＵ１２はそれぞれ、相互に車載ＬＡＮ１４を介してデータの授受を行うことが可能である。

　車載ＬＡＮ１４は、例えばＣＡＮなどの一対の通信線でデータを伝送する双方向通信に用いられる時分割多重通信線などである。車載ＬＡＮ１４には、予め定められた通信プロトコルに応じたデータフレームが流れる。尚、車載ＬＡＮ１４は、複数の通信バスからなるものとし、それらの通信バスが中継装置２０を介して互いに接続されるように構成されるものとしてもよく、この場合は、各通信バスの通信プロトコルは、互いに同じであってもよいしまた異なっていてもよい。

　外部装置１６は、通常は車両に搭載されておらず、車両サービスセンタやディーラー，修理工場などに設けられた装置であって、車両診断を行うためのサービスツールやＥＣＵ１２内のプログラム更新を行うためのサービスツールなどである。外部装置１６は、コネクタ１８に接続する通信インタフェースを有している。外部装置１６は、通信インタフェースを介してコネクタ１８に有線接続されて車載ＬＡＮ１４上の各ＥＣＵ１２とデータの授受を行うことが可能である。コネクタ１８は、中継装置２０に有線接続された接続部であって、有線接続される外部装置１６を中継装置２０に接続させる機能を有している。

　また、中継装置２０は、車載ＬＡＮ１４及びコネクタ１８に接続されており、車載ＬＡＮ１４上のＥＣＵ１２と、コネクタ１８に接続された外部装置１６と、の間のデータ通信を中継するゲートウェイ機能を有している。尚、車載ＬＡＮ１４が複数の通信バスからなる場合、中継装置２０は、それら複数の通信バス間のデータ通信を中継するものであってもよい。例えば、中継装置２０は、ボディ系の通信バスのＥＣＵ１２からパワトレ系の通信バスのＥＣＵ１２へアクセス要求があると、そのボディ系のＥＣＵ１２からの通信データをパワトレ系のＥＣＵ１２へ送信する。

　中継装置２０は、また、車載ＬＡＮ１４上に流れた所定の制御データを受信することが可能であり、その受信した所定の制御データに基づいて自車両の状態を判定する機能を有している。尚、この中継装置２０が受信する所定の制御データとしては、自車両の速度を示す速度情報や自車両のシフトポジションを示すシフトポジション情報，車両エンジンの稼動／停止を示すエンジン稼動情報，ハイブリッド（ＨＶ）システムや電気自動車（ＥＶ）システムのオン／オフを示す情報，パーキングブレーキの作動／不作動を示す情報，旋回挙動制御（ＶＳＣ）の稼動／停止を示す情報，加速度センサにより自車両に衝撃が加わったことを検知したか否かを示す情報，エアバッグが展開したか否かを示す情報などである。

　次に、図２を参照して、本実施例の車載ネットワークシステム１０の中継装置２０によるデータ中継の手法を説明する。図２は、本実施例の車載ネットワークシステム１０において中継装置２０が実行する制御ルーチンの一例のフローチャートを示す。

　本実施例の車載ネットワークシステム１０において、各ＥＣＵ１２はそれぞれ、相互に車載ＬＡＮ１４を介してデータの授受を行う。中継装置２０は、車載ＬＡＮ１４上に流れたデータのうちから、その車載ＬＡＮ１４上のＥＣＵ１２とコネクタ１８に接続された外部装置１６との間のデータ中継を許可するか禁止するかの判断に必要な制御データを受信する（ステップ１００）。中継装置２０は、その受信した制御データに基づいてそのデータ中継を許可するか禁止するかの判別を行う。

　具体的には、中継装置２０は、上記の制御データを受信すると、まず、その制御データがデータ中継を禁止する条件（具体的には、自車両が走行状態にあること）を満たしているか否かすなわち車両が走行状態にあることを示すものであるか否かを判別する（ステップ１０２）。例えば、（ａ）自車両の速度がゼロでないか若しくは所定速度以上であるか否か、（ｂ）シフトポジションがパーキングレンジでないか否か、（ｃ）車両エンジンが稼働中であるか若しくはＨＶシステム若しくはＥＶシステムがオン中であるか否か、（ｄ）パーキングブレーキが作動していないか否か、（ｅ）ＶＳＣが稼動中であるか否か、又は（ｆ）加速度センサにより自車両に衝撃が加わったことを検知したか若しくはエアバッグが展開したか否かを判別する。

　そして、制御データが上記の条件を満たすことにより車両が走行状態にあると判定される場合に、ＥＣＵ１２と外部装置１６との間のデータ中継を禁止する（ステップ１０４）。一方、制御データが上記の条件を満たさないことにより車両が走行状態にない（すなわち、停止状態にある）と判定される場合に、ＥＣＵ１２と外部装置１６との間のデータ中継を許可する（ステップ１０６）。尚、上記した（ａ）～（ｆ）の２つ以上の項目を組み合わせてそれらすべての制御データがそれぞれの条件を満たす場合に、車両が走行状態にあると判定して上記のデータ中継を禁止し、一方、何れかの制御データが条件を満たさない場合に、車両が走行状態にないと判定して上記のデータ中継を許可することとしてもよい。

　中継装置２０は、上記の如く車両が走行状態にないことでＥＣＵ１２と外部装置１６との間のデータ中継を許可する場合は、コネクタ１８を介して有線接続された外部装置１６からのデータ（例えば、特定のＥＣＵ１２にて動作するプログラムの書き込みや読み出しを要求する情報や制御マップの書き込みを要求する情報など）を受信したときに、その受信データを車載ＬＡＮ１４上の配信先のＥＣＵ１２へ転送し、また、車載ＬＡＮ１４上のＥＣＵ１２からのデータ（例えば、外部装置１６に通知すべき特定時点での車両状態を示すデータなど）を受信したときに、その受信データを外部装置１６へ転送する。

　尚、中継装置２０は、車両が走行状態にないことでＥＣＵ１２と外部装置１６との間のデータ中継を許可する場合にも、そのコネクタ１８を介して有線接続された外部装置１６から送られるパスワードなどが予め定められたものと一致せず、その外部装置１６の認証が成功しないときは、上記のデータ中継や転送を許可しないこととするのが、セキュリティ性を向上させるうえで好適である。

　一方、中継装置２０は、上記の如く車両が走行状態にあることでＥＣＵ１２と外部装置１６との間のデータ中継を禁止する場合は、コネクタ１８を介して有線接続された外部装置１６からのデータを受信しても、その受信データの車載ＬＡＮ１４上の配信先のＥＣＵ１２への転送を行わず、また、車載ＬＡＮ１４上のＥＣＵ１２からのデータを受信しても、その受信データの外部装置１６への転送を行わない。尚、中継装置２０は、コネクタ１８を介して有線接続された外部装置１６から送られるパスワードなどが予め定められたものと一致し、その外部装置１６の認証が成功するときにも、車両が走行状態にあることでＥＣＵ１２と外部装置１６との間のデータ中継を禁止する場合は、上記のデータ中継や転送を行わない。

　このように、本実施例の車載ネットワークシステム１０においては、中継装置２０による車載ＬＡＮ１４上のＥＣＵ１２と外部装置１６との間のデータ中継を、車両の走行状態の如何に応じて許可／禁止することができる。すなわち、中継装置２０によるそのデータ中継を、車両が走行状態にない場合に許可し、一方、車両が走行状態にある場合に禁止することができる。

　車両が走行状態にある場合は、車両が停止している場合に比べて、車載ＬＡＮ１４上においてＥＣＵ１２間でのデータ授受が頻繁に行われることが多く、車載ＬＡＮ１４上に大きな通信負荷が作用しているものである。この点、本実施例の車載ネットワークシステム１０によれば、車両走行中において、中継装置２０による車載ＬＡＮ１４上のＥＣＵ１２と外部装置１６との間のデータ中継が禁止されるので、そのデータ中継に伴う車載ＬＡＮ１４上の通信負荷の増加を防止することができ、そのデータ中継が行われることに起因して車載ＬＡＮ１４上のＥＣＵ１２間での通常のデータ送信に遅れが生ずるのを回避することができる。

　従って、本実施例の車載ネットワークシステム１０によれば、中継装置２０による車載ＬＡＮ１４上のＥＣＵ１２と外部装置１６との間のデータ中継（通信アクセス）を、車両走行中における車載ＬＡＮ１４上での通常処理を阻害することなく適切な車両状態で実現させることが可能である。

　また、本実施例の車載ネットワークシステム１０によれば、車両走行中において、中継装置２０による車載ＬＡＮ１４上のＥＣＵ１２と外部装置１６との間のデータ中継が禁止されるので、車両の状態などの制御情報が不正に外部装置１６に取得されるのを防止することができ、不正な情報取得に対するセキュリティ性を確保することが可能である。

　ところで、上記の実施例においては、ＥＣＵ１２が特許請求の範囲に記載した「車両内部機器」に、外部装置１６が特許請求の範囲に記載した「車両外部機器」に、それぞれ相当していると共に、中継装置２０が、図２に示すルーチン中ステップ１０２を実行することにより特許請求の範囲に記載した「走行状態判別手段」が、ステップ１０４，１０６を実行することにより特許請求の範囲に記載した「中継制御手段」が、それぞれ実現されている。

　尚、上記の実施例においては、中継装置２０によるＥＣＵ１２と外部装置１６との間のデータ中継の禁止を、外部装置１６からＥＣＵ１２へのデータ転送及びＥＣＵ１２から外部装置１６へのデータ転送の双方に適用することとしているが、本発明はこれに限定されるものではなく、外部装置１６からＥＣＵ１２へのデータ転送にのみ適用することとしてもよい。すなわち、そのデータ中継の禁止時、車載ＬＡＮ１４上のＥＣＵ１２からのデータを受信したときは、その受信データの外部装置１６への転送を行う一方、外部装置１６からのデータを受信したときは、その受信データの車載ＬＡＮ１４上の配信先のＥＣＵ１２への転送を行わないこととしてもよい。

　また、上記の実施例においては、外部装置１６が、車両側のコネクタ１８に有線接続されて中継装置２０を介して車載ＬＡＮ１４上のＥＣＵ１２と物理的に通信接続されるものであるが、本発明はこれに限定されるものではなく、外部装置１６及び車両側の中継装置２０が共に無線機器を有し、外部装置１６がその中継装置２０と無線接続されて車載ＬＡＮ１４上のＥＣＵ１２と通信接続されるものとしてもよい。かかる変形例の構成においても、上記した実施例と同様の効果を得ることが可能である。

　１０　車載ネットワークシステム
　１２　電子制御ユニット（ＥＣＵ）
　１４　車載ＬＡＮ
　１６　外部装置
　１８　コネクタ
　２０　中継装置

Claims

　車両内部機器と車両外部機器との間のデータ中継を行う中継装置を備える車載ネットワークシステムであって、
　自車両が走行状態にある場合に、前記中継装置による前記データ中継を禁止する中継制御手段を備えることを特徴とする車載ネットワークシステム。
　前記中継制御手段は、自車両が走行状態に無い場合に、前記中継装置による前記データ中継を許可することを特徴とする請求項１記載の車載ネットワークシステム。
　自車両が走行状態にあるか否かを判別する走行状態判別手段を備え、
　前記中継制御手段は、前記走行状態判別手段の判別結果に応じて、前記中継装置による前記データ中継を禁止することを特徴とする請求項１又は２記載の車載ネットワークシステム。
　前記走行状態判別手段は、自車両の速度及び／又はシフトポジションに基づいて自車両が走行状態にあるか否かを判別することを特徴とする請求項３記載の車載ネットワークシステム。
　前記データ中継は、車両内部機器と車両外部機器とを有線又は無線で接続して行われることを特徴とする請求項１乃至４の何れか一項記載の車載ネットワークシステム。