WO2019021403A1

WO2019021403A1 - 制御ネットワークシステム、車両遠隔制御システム及び車載中継装置

Info

Publication number: WO2019021403A1
Application number: PCT/JP2017/027120
Authority: WO
Inventors: 唯之鳥崎; 弘泰寺澤; 芳賀　智之; 良浩氏家; 遼加藤
Original assignee: パナソニックインテレクチュアルプロパティコーポレーションオブアメリカ
Priority date: 2017-07-26
Filing date: 2017-07-26
Publication date: 2019-01-31
Also published as: CN109906587B; EP3661132A1; CN109906587A; EP3661132A4; JP7133977B2; JP2019029994A; WO2019021921A1; US11381420B2; US20200145252A1

Abstract

制御コマンドを複数含んだパケットに対して効率的な異常検知、不正検知を行えない。本発明に係る車両遠隔制御システムは、車両外の遠隔制御装置から無線ネットワークを中継して車両に送られる制御データにより前記車両を制御する車両遠隔制御システムにおいて、前記制御データは、制御の種類により決定される複数の制御コマンドの組合せで構成されることを特徴とする。例えば、前記複数の制御コマンドは、それぞれ前記車両に備えられた複数の制御装置のいずれかで処理される制御コマンドであってもよい。

Description

制御ネットワークシステム、車両遠隔制御システム及び車載中継装置

　本発明は車載ネットワークにおいてデータの中継を行なう中継装置及び通信システムに関する。

　自動車の電子制御技術の高度化や車載装置のネットワークへの接続が行われるようになるにつれ、自動車のセキュリティリスクが高まっており、自動車におけるセキュリティ対策技術が求められている。これまで、自動車の基幹ネットワークとしてはＣＡＮ（Ｃｏｎｔｒｏｌｌｅｒ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）が用いられており、従来のセキュリティ対策技術としては、ＣＡＮで送信されるデータフレームを受信し、送信周期に係る所定ルールへの適合を調べることにより不正検知を行うものがあった（例えば、特許文献１参照）。

　一方、ネットワーク接続と処理情報の高度化、大容量化に伴い、従来のＣＡＮに加えて、Ｅｔｈｅｒｎｅｔ（登録商標）が車内ネットワークとして採用されつつある。Ｅｔｈｅｒｎｅｔでは、一度のトランザクションで送信できるデータサイズがＣＡＮよりも格段に大きいため、送受信される順番に応じて複数のＣＡＮデータをひとつのＥｔｈｅｒｎｅｔフレームとして送信する技術が提案されている（例えば、特許文献２）。

国際公開第２０１５／１７０４５１号国際公開第２０１７／０９０３５１号

　しかしながら、前記従来の構成では、ＣＡＮとＥｔｈｅｒｎｅｔとで構成される車載ネットワークにおいて、Ｅｔｈｅｒｎｅｔはバス型のネットワーク構成ではないため周期性による不正判定は信頼性に欠けるという第一の課題があった。

　また、前記従来の構成では、複数のＣＡＮデータを含むあるＥｔｈｅｒｎｅｔフレームにおいて、連続あるいは短時間に処理されるべきＣＡＮの制御データが含まれるとは限らない。このため、前記連続あるいは短時間に処理されるべき複数のＣＡＮ制御データ群の各ＣＡＮ制御データが、複数のＥｔｈｅｒｎｅｔフレームに分散して送信される可能性がある。しかし、Ｅｔｈｅｒｎｅｔではフレームの消失が発生する可能性があるため、一部のフレームが再送されることにより、ＣＡＮ制御データの処理順が異なる、一定期間内に処理すべき複数のＣＡＮ制御データが一定時間内に処理されない、などの不具合が発生し、車両の制御を正しく行えない可能性があるという第二の課題を有していた。

　本発明は、前記第一の課題を解決するもので、周期性による不正判定の替わりに、複数のＣＡＮデータを含むＥｔｈｅｒｎｅｔフレームにおいて、同一フレーム内に含まれる相関関係のあるＣＡＮデータを探索し、予め設定された条件と前記ＣＡＮデータの設定とが合致するかを判定することにより不正判定を実施することを目的とする。

　また、本発明は、前記第二の課題を解決するもので、車両の制御毎にＣＡＮ制御データセットを事前に定義し、前記ＣＡＮ制御データセットをひとつのＥｔｈｅｒｎｅｔフレームに格納して送信することにより、各制御データ間の遅延の抑制や処理順番の保証を行うことにより、正しく車両を制御する方法を提供することを目的とする。

　前記従来の課題を解決するために、本発明の一実施態様の制御ネットワークシステムは、一方のネットワークで送信可能な最大データサイズともう一方のネットワークで送信可能な最大データサイズが異なる種類の異なる二つのネットワークにより構成される車載ネットワークシステムであって、大きいデータサイズの送信が可能な第一のネットワークから小さいデータサイズの送信が可能な第二のネットワークに制御データを送信するにあたり、第一のネットワークで送信される制御データは、第二のネットワークで用いられる制御コマンドに対応したデータを制御内容に応じて複数組み合わせて構成されるデータであることを特徴とする。

　本構成によって各制御データ間の遅延の抑制や処理順番の保証を行うことにより、正しく制御対象を制御する方法を提供することができる。

　また、本発明の一実施態様の遠隔制御システムは、車両外の遠隔制御装置から無線ネットワークを中継して車両に送られる制御データにより前記車両を制御する車両遠隔制御システムにおいて、前記制御データは、制御の種類により決定される複数の制御コマンドの組合せで構成されることを特徴とする。

　本構成によって、前記ＣＡＮ制御データセットをひとつのＥｔｈｅｒｎｅｔフレームに格納して送信することにより、各制御データ間の遅延の抑制や処理順番の保証を行うことにより、正しく車両を制御する方法を提供することができる。

　また、本発明の一実施態様の車両遠隔制御システムは、前記複数の制御コマンドは、それぞれ前記車両に備えられた複数の制御装置のいずれかで処理される制御コマンドであることを特徴とする。

　本構成によって、車両制御を実施する各ＥＣＵに応じた制御コマンドについて各制御データ間の遅延の抑制や処理順番の保証を行うことにより、正しく車両を制御する方法を提供することができる。

　また、本発明の一実施態様の車載遠隔制御システムは、前記制御コマンドは、制御の種類を示す制御ＩＤを含むことを特徴とする。

　本構成によると、制御ＩＤを用いて設定、判定することにより、制御システムの処理を軽減することが可能となる。

　また、本発明の一実施態様の車載中継装置は、車載ネットワークを中継する車載中継装置であって、前記車載中継装置は、複数の制御コマンドにより構成された制御データであって車両の制御を目的とした制御データを受信し、前記制御データに含まれる複数の前記車両に備えられた複数の制御装置のいずれかに対応した制御コマンドを取り出し、前記取り出した制御コマンドの組合せが予め前記車載中継装置に設定された制御コマンド組合せリストに含まれているかを確認し、前記確認の結果前記制御コマンドの組合せが前記制御コマンド組合せリストに含まれていなかった際に制御データの異常と判定することを特徴とする。

　本構成によって、不正なサーバから送信された不正な制御データを簡便に検知することが可能となる。

　また、本発明の一実施態様の車載中継装置は、前記制御データは、制御の種類を示す制御ＩＤを含み、前記車載中継装置は、前記制御ＩＤに対応した制御コマンド組合せリストにより前記制御に少なくとも必要な制御コマンドを判別し、前記制御データから取り出した複数の制御コマンドに前記少なくとも必要な制御コマンドが全て含まれているかどうかを確認し、前記確認の結果前記少なくとも必要な制御コマンドが全て含まれていなかった場合に制御データの異常と判定することを特徴とする。

　本構成によって、制御ＩＤによる判定により制御データに含まれるべき制御コマンドを判定することが容易になり、不正検知・異常検知のための処理が軽減される。

　また、本発明の一実施態様の車載中継装置は、前記確認の結果、前記制御データから取り出した複数の制御コマンドに、前記少なくとも必要な制御コマンド以外の制御コマンドが含まれていた場合に制御データの異常と判定することを特徴とする。

　本構成によって、制御データが本来含まれるべきでない制御コマンドを含んでいた場合に異常と判定することが可能となり、より厳しい異常判定を行うことが可能となる。

　また、本発明の一実施態様の車載中継装置は、複数の制御装置が接続された複数の制御ネットワークと接続され、前記車載中継装置は、前記制御データから取り出した複数の制御コマンドを、それぞれの制御コマンドに応じた制御ネットワークから送信することを特徴とする。

　本構成によって、車載ネットワークでのゲートウェイにおいて異常判定を行うことが可能となり、効率的なネットワーク構成が可能となる。

　また、本発明の一実施態様の車載中継装置は、前記車載中継装置は、前記制御コマンドを送信するにあたり、予め設定された制御コマンド変換リストに則り、制御コマンドＩＤを変更して送信することを特徴とする。

　本構成によって、ＣＡＮで用いられるＣＡＮＩＤと遠隔制御に用いられる制御コマンドＩＤを対応させることが可能となり、ＣＡＮの構成によらず制御コマンドＩＤを定義、設定することが可能となる。

　また、本発明の一実施態様の車載中継装置は、前記制御コマンドを送信するにあたり、予め設定たされた制御コマンド変換ルールに則り、制御コマンドデータを変更して送信することを特徴とする。

　本構成によって、ＣＡＮで用いられるデータと遠隔制御に用いられる制御データを対応させることが可能となり、ＣＡＮの構成によらず制御コマンドデータを定義、設定することが可能となる。

　また、本発明の一実施態様の車載中継装置は、車載ネットワークを中継する車載中継装置であって、前記車載中継装置は、受信したデータが複数の制御コマンドにより構成された制御データであって車両の制御を目的とした制御データであるかを判定し、前記データが複数の制御コマンドにより構成されていると判定した際に、前記制御データから前記複数の制御コマンドを取り出し、予め設定された制御コマンドチェック関連付けリストに記載された制御コマンドの組合せが含まれているかを制御コマンドに含まれる制御コマンドＩＤを用いて判定し、前記制御コマンドの組合せが含まれていた際に前記組合せに含まれる制御コマンドＩＤに対応した制御コマンドデータが前記組合せ毎に予め設定された条件を満たすかどうかを判定し、条件を満たさなかった場合に前記制御データを異常データと判定することを特徴とする。

　本構成によると、同一フレーム内に含まれる相関関係のあるＣＡＮデータを探索し、予め設定された条件と前記ＣＡＮデータの設定とが合致するかを判定することにより不正判定を実施することが可能となる。

　また、本発明の一実施態様の車載中継装置は、前記制御コマンドデータの異常判定のために予め設定された条件は、前記組合せに含まれる各制御コマンドＩＤに対応した制御コマンドデータの値の組合せが、予め設定された各制御コマンドデータの取りうる値の範囲の組合せに含まれていることであることを特徴とする。

　本構成によると、制御データの値の組み合わせを条件として異常判定を行うことが可能であり、より正確な異常判定を行うことが可能となる。

　また、本発明の一実施態様の車載中継装置は、予め設定された前記異常判定のための条件を複数パターン備え、受信データから車両の状態を判定し、前記判定された車両の状態に応じて、前記複数パターンから一つのパターンを選んで前記異常判定のための条件とすることを特徴とする。

　本構成によると、車両の状態に応じた異常判定が可能となり、より正確な異常判定を行うことが可能となる。

　また、本発明の一実施態様の車載中継装置は、前記車両の状態の判定は、前記複数の制御ネットワークから受信したデータを解析することにより行われることを特徴とする。

　本構成によると、車両の状態を適切に管理することが可能となり、より正確な異常判定を行うことが可能となる。

　本発明の車載中継装置及びシステムによれば、複数の制御コマンドを含んだ制御データを送信するシステムにおいて、各制御コマンドの順番を制御し、各コマンド間の遅延を抑えると共に、効率的かつ正確な異常検知、不正検知を行うことができる。

図１は、本発明の実施の形態１における車載ネットワーク及び遠隔制御ネットワークの構成図である。図２は、本発明の実施の形態における遠隔制御データの制御フレームフォーマットを示す図である。図３は、本発明の実施の形態における遠隔制御の制御内容を示す制御ＩＤテーブルを示す図である。図４は、本発明の実施の形態１におけるＥｔｈｅｒｎｅｔ中継ＥＣＵの構成図である。図５は、本発明の実施の形態１におけるＥｔｈｅｒｎｅｔ中継ＥＣＵの動作フロー図である。図６は、本発明の実施の形態における制御コマンド組み合わせリストを示す図である。図７は、本発明の実施の形態におけるＥｔｈｅｒｎｅｔ中継ＥＣＵの異常処理フロー図である。図８は、本発明の実施の形態における制御コマンド変換テーブルを示す図である。図９は、本発明の実施の形態２における車載ネットワーク及び遠隔制御ネットワークの構成図である。図１０は、本発明の実施の形態２における遠隔制御データの制御フレームフォーマットを示す図である。図１１は、本発明の実施の形態２におけるＥｔｈｅｒｎｅｔ中継ＥＣＵの構成図である。図１２は、本発明の実施の形態２におけるＥｔｈｅｒｎｅｔ中継ＥＣＵの動作フロー図である。図１３は、本発明の実施の形態２における値チェック組み合わせリストを示す図である。図１４は、本発明の実施の形態２における制御データ値チェック表を示す図である。図１５は、本発明の実施の形態における遠隔制御データの制御フレームフォーマットを示す図である。図１６は、本発明の実施の形態３における車載ネットワーク及び遠隔制御ネットワークの構成図である。図１７は、本発明の実施の形態３における遠隔制御データの制御フレームフォーマットを示す図である。図１８は、本発明の実施の形態３におけるＥｔｈｅｒｎｅｔ－ＣＡＮ中継変換ＥＣＵの構成図である。図１９は、本発明の実施の形態３におけるＥｔｈｅｒｎｅｔ－ＣＡＮ中継変換ＥＣＵの動作フロー図である。図２０は、本発明の実施の形態３におけるＥｔｈｅｒｎｅｔ－ＣＡＮ中継変換ＥＣＵの異常処理フロー図である。

　以下本発明の実施の形態について、図面を参照しながら説明する。

　（実施の形態１）
　図１は、本発明の実施の形態１における車両遠隔制御システムのネットワーク構成図である。

　図１は大きくは、車両１００に搭載された車載ネットワーク１０２、監視サーバ１０４、遠隔制御装置１０６、Ｅｔｈｅｒｎｅｔ通信網１０８から構成される。車載ネットワーク１０２は、無線通信１１０によりＥｔｈｅｒｎｅｔ通信網１０８に接続され、Ｅｔｈｅｒｎｅｔ通信網１０８を介して、監視サーバ１０４、遠隔制御装置１０６と接続される。監視サーバ１０４は、車両１００の位置情報や画像データ、映像データを利用して車両１００の状態を監視している。遠隔制御装置１０６は、車両１００から遠隔制御リクエストを受信した場合、あるいは、監視サーバ１０４から車両１００に対する強制遠隔制御リクエストを受信した場合に、車両１００に対して遠隔制御データを送信する。

　車載ネットワーク１０２は、複数のＥＣＵとＣＡＮ、Ｅｔｈｅｒｎｅｔにより構成され、通信コントロールユニット（ＴＣＵ）１１２により無線通信１１０を用いてＥｔｈｅｒｎｅｔ通信網１０８に接続される。前記ＴＣＵ１１２は、第一のＥｔｈｅｒｎｅｔ１１４により第一のＥｔｈｅｒｎｅｔ中継ＥＣＵ１１６に接続される。第一のＥｔｈｅｒｎｅｔ中継ＥＣＵ１１６は、異常検知機能及びＥｔｈｅｒｎｅｔ　Ｓｗｉｔｃｈ機能を備えたＥＣＵであり、前データの異常検知、前記第一のＥｔｈｅｒｎｅｔ１１４、前記第二のＥｔｈｅｒｎｅｔ１１８、第三のＥｔｈｅｒｎｅｔ１２０の中継接続を行い、それぞれＥｔｈｅｒｎｅｔ－ＣＡＮ中継変換ＥＣＵ１２２、第二のＥｔｈｅｒｎｅｔ中継ＥＣＵ１２４と接続される。第一のＥｔｈｅｒｎｅｔ中継ＥＣＵ１１６の動作の詳細は後述する。

　Ｅｔｈｅｒｎｅｔ－ＣＡＮ中継変換ＥＣＵ１２２は、第二のＥｔｈｅｒｎｅｔ１１８と第一のＣＡＮ１２６、第二のＣＡＮ１２８とを中継するＥＣＵであり、ＥｔｈｅｒｎｅｔとＣＡＮのフォーマット、プロトコル変換を双方向に行うＥＣＵである。即ち、第二のＥｔｈｅｒｎｅｔ１１８から受信したフレームから、ＣＡＮコマンドを生成し、前記生成したＣＡＮコマンドに応じて第一のＣＡＮ１２６、第二のＣＡＮ１２８のいずれかあるいは両方から前記生成したＣＡＮコマンドを送信する。また、前記第一のＣＡＮ１２６あるいは第二のＣＡＮ１２８から受信したＣＡＮコマンドを元にＥｔｈｅｒｎｅｔフレームを生成し、前記第二のＥｔｈｅｒｎｅｔ１１８に送信する。

　前記第一のＣＡＮ１２６には、左右のウィンカーの点灯・消灯を制御するウィンカー制御ＥＣＵ１３０などのシャーシ系ＥＣＵが接続されている。また、前記第二のＣＡＮ１２８には、アクセル開度に応じて加速制御を行うアクセル制御ＥＣＵ１３２、ブレーキ制御による減速停止制御を行うブレーキ制御ＥＣＵ１３４、ハンドル操舵角に応じて方向制御を行うハンドル制御ＥＣＵ１３６などの車両制御ＥＣＵが接続されている。

　第二のＥｔｈｅｒｎｅｔ中継ＥＣＵ１２４は、Ｅｔｈｅｒｎｅｔ　Ｓｗｉｔｃｈ機能を備えたＥＣＵであり、前記第三のＥｔｈｅｒｎｅｔ１２０、第四のＥｔｈｅｒｎｅｔ１３８、第五のＥｔｈｅｒｎｅｔ１４０、第六のＥｔｈｅｒｎｅｔ１４２の中継接続を行い、受信データのあて先に応じて各接続されたＥｔｈｅｒｎｅｔ間でのデータ転送を実施する。

　前記第四のＥｔｈｅｒｎｅｔ１３８には、車両１００の周囲状況を撮影し映像データとして送信するためのカメラＥＣＵ１４４が接続される。また前記第五のＥｔｈｅｒｎｅｔ１４０には、自動運転制御のために車両１００の周囲状況をセンシングし、センシング結果を送信するセンサＥＣＵ１４６が接続されている。また第六のＥｔｈｅｒｎｅｔ１４２には、前記カメラＥＣＵ１４４やセンサＥＣＵ１４６から受信したデータを用いて、車両１００の自動運転制御を実施する自動運転制御ＥＣＵ１４８が接続されている。自動運転制御ＥＣＵ１４８は、前記アクセル制御ＥＣＵ１３２、ブレーキ制御ＥＣＵ１３４、ハンドル制御ＥＣＵ１３６などの制御系ＥＣＵに制御コマンドを送信することにより、車両１００の運転制御を行う。

　以下、遠隔制御システムによる動作と第一のＥｔｈｅｒｎｅｔ中継ＥＣＵ１１６における不正判定について順を追って説明する。

　車両１００は、自動運転中、カメラＥＣＵ１４４やセンサＥＣＵ１４６の情報を元に自動運転制御ＥＣＵ１４８により、車体及び周辺状況の認識、次に行うべき制御の判断が行われ、アクセル制御ＥＣＵ１３２、ブレーキ制御ＥＣＵ１３４、ハンドル制御ＥＣＵ１３６などの制御ＥＣＵへ制御コマンドが送信される。

　また、自動運転中に、通常と異なる状況のために、自動運転制御ＥＣＵ１４８による制御が行えない場合が考えられる。このようなケースとしては、例えば、道路工事中であり回避制御が必要であった場合や、交通事故などの影響で警察官による交通整理が行われている場合、緊急車両の接近に伴う回避行動などが考えられる。このような場合、自動運転制御ＥＣＵ１４８は、自らの判断による車両１００の制御が困難であると判断し、Ｅｔｈｅｒｎｅｔ中継ＥＣＵ１１６及びＴＣＵ１１２を介して、遠隔制御装置１０６に遠隔制御リクエストを発信する。前記遠隔制御リクエストの送信により、Ｅｔｈｅｒｎｅｔ中継ＥＣＵ１１６及び自動運転制御ＥＣＵ１４８は遠隔制御モードに移行する。

　また、監視サーバ１０４は、カメラＥＣＵ１４４やセンサＥＣＵ１４６などから車両１００及び周辺状況のセンシングデータ、映像データを受信し、車両１００の監視を行う。監視サーバ１０４において、車両１００の位置情報及び監視サーバの地図情報から、遠隔制御が必要な地点に車両１００があると判断された場合、あるいは、前記監視において車両１００の挙動に何らかの異常が見られた場合、監視サーバ１０４は、遠隔制御装置１０６に遠隔制御リクエストを送信すると共に、強制遠隔制御通知をＥｔｈｅｒｎｅｔ通信網１０８、ＴＣＵ１１２を介して、Ｅｔｈｅｒｎｅｔ中継ＥＣＵ１１６及び自動運転制御ＥＣＵ１４８に送信する。前記強制遠隔制御通知の受信により、Ｅｔｈｅｒｎｅｔ中継ＥＣＵ１１６及び自動運転制御ＥＣＵ１４８は遠隔制御モードに移行する。

　遠隔制御装置１０６には、車両１００からの遠隔制御リクエストあるいは、監視サーバ１０４からの遠隔制御リクエストを受信すると、カメラＥＣＵ１４４やセンサＥＣＵ１４６などから受信した車両１００及び周辺状況に基づき、監視員が決定した制御内容が入力される。遠隔制御装置１０６では、制御の種類に応じて制御ＩＤが決定され、車両制御フレームが生成される。車両制御フレームのフォーマットを図２に示す。車両制御フレームは、制御の種類を示す制御ＩＤ、及び各制御ＥＣＵでの処理に対応した複数の制御コマンドで構成され、各制御コマンドは、制御コマンドの種類を示す制御コマンドＩＤ及び前記制御コマンドの実行に用いられる制御コマンドデータにより構成される。また、車両制御フレームが遠隔制御によるものか車内の自動運転制御によるものかを示す遠隔制御フラグが含まれる。

　図３に、制御の種類と制御ＩＤの一例を示す。制御ＩＤテーブル３００に示されるように、本例では、路肩への退避制御は、路肩退避Ａ、路肩退避Ｂの二つの制御により構成され、それぞれに制御ＩＤ０ｘ０１，制御ＩＤ０ｘ０２が割り当てられている。

　前記遠隔制御装置１０６で生成された車両制御フレームは、Ｅｔｈｅｒｎｅｔ通信網１０８を介して、車両１００のＴＣＵ１１２に送信される。ＴＣＵ１１２と遠隔制御装置１０６では、ＴＬＳによるセッションがはられ、前記車両制御フレームは暗号化されて送信されることにより、Ｅｔｈｅｒｎｅｔ通信網１０８における盗聴や改ざんから保護される。

　ＴＣＵ１１２で受信され復号された車両制御フレームは、Ｅｔｈｅｒｎｅｔ１１４を経由して第一のＥｔｈｅｒｎｅｔ中継ＥＣＵ１１６に送信される。

　第一のＥｔｈｅｒｎｅｔ中継ＥＣＵ１１６の構成を図４に示す。第一のＥｔｈｅｒｎｅｔ中継ＥＣＵ１１６は、送受信部Ａ４００、送受信部Ｂ４０８、送受信部Ｃ４１０、記憶部４１２、不揮発記憶部４１４、判定部４０２、生成部４０４、中継部４０６、制御部４１６、設定Ｉ／Ｆ４１８により構成される。

　送受信部Ａ４００は、第一のＥｔｈｅｒｎｅｔ１１４を接続し、ＴＣＵ１１２とのＥｔｈｅｒｎｅｔを用いた送受信を行う。送受信部Ｂ２０２は、第二のＥｔｈｅｒｎｅｔ１１８を接続し、Ｅｔｈｅｒｎｅｔ―ＣＡＮ中継変換ＥＣＵ１２２とのＥｔｈｅｒｎｅｔを用いた送受信を行う。送受信部Ｃ２０４は、第三のＥｔｈｅｒｎｅｔ１２０を接続し、第二のＥｔｈｅｒｎｅｔ中継ＥＣＵ１２４とのＥｔｈｅｒｎｅｔを用いたデータ送受信を行う。

　図５に第一のＥｔｈｅｒｎｅｔ中継ＥＣＵ１１６の動作フローチャートを示す。送受信部Ａ４００で受信されたデータは、判定部４０２において受信データが車両制御フレームであるかどうかが判定される（ステップＳ５０２）。判定の結果、車両制御フレームではなかった場合（ステップＳ５０２－ＮＯの場合）、前記受信されたデータは中継部４０６に送られ、送信先に応じて送受信部Ｂ４０８あるいは送受信部Ｃ４１０に送信され、さらに送受信部Ｂ４０８あるいは送受信部Ｃ４１０から送信される（ステップＳ５１０）。

　受信データが車両制御フレームであった場合（ステップＳ５０２－ＹＥＳの場合）、遠隔制御モードに関する判定を行う。即ち、車両制御フレームの遠隔制御フラグを確認し、遠隔制御フラグが１であった場合は遠隔制御であるため、現在の動作モードが遠隔制御モードであるかどうかを確認する（ステップＳ５０３）。受信した車両制御フレームの遠隔制御モードが１に設定されているにも関わらず、現在のＥｔｈｅｒｎｅｔ中継ＥＣＵ１１６の動作モードが遠隔制御モードで無かった場合（ステップＳ５０３－ＹＥＳ）、不正な車両制御フレームとして、異常検知処理（Ｓ５１２）に進む。遠隔制御モードに関する判定で異常が検知されなかった場合（ステップＳ５０３－ＮＯ）、判定部４０２において、前記受信データから制御ＩＤ及び各制御コマンドの抽出が行われる（ステップＳ５０４）。続いて、同じく判定部４０２において、抽出された制御ＩＤを用いて、制御コマンド組み合わせリスト６００を照合し（ステップＳ５０６）、前記制御ＩＤに応じた制御コマンドの組み合わせを確認する。例えば、制御ＩＤが０ｘ０１の場合、正しい車両制御フレームは、ハンドル制御コマンド、ブレーキ制御コマンド、方向指示器制御コマンドにより構成されていることが分かる。前記制御コマンド組み合わせリスト６００は、設定Ｉ／Ｆ４１８を介して車両製造時に事前に不揮発記憶部４１４に記憶されており、システムの更新などがあった際にＯＴＡやリプロにより更新される。

　前記制御コマンド組み合わせリスト６００により確認される制御コマンドの組み合わせと、実際に受信した車両制御フレームから抽出した制御コマンドの組み合わせが一致した場合（ステップＳ５０８―ＹＥＳの場合）、受信した車両制御フレームは正しいものとして、前記受信されたデータは中継部４０６に送られ、送受信部Ｂ４０８からＥｔｈｅｒｎｅｔ１１８へ送信される（ステップＳ５１０）。一方、制御コマンドの組み合わせが一致しなかった場合（ステップＳ５０８－ＮＯの場合）、車両制御フレームに不正もしくは異常があるものと判定し、異常検知処理（ステップＳ５１２）に進む。

　図７に異常検知処理のフローを示す。車両制御フレームに関する異常が検知された場合、生成部４０４において車両制御フレームの異常検知を通知するための異常通知パケットが生成される（ステップＳ７００）。異常通知パケットは中継部４００及び送受信部Ａ４００に送信され、車両１００の内部ネットワーク及び監視サーバ１０４、遠隔制御装置１０６に、送受信部Ａ４００，送受信部Ｂ４０８、送受信部Ｃ４１０から送信される（ステップＳ７０２）。

　Ｅｔｈｅｒｎｅｔ－ＣＡＮ中継変換ＥＣＵ１２２は、車両制御フレームを受信すると、前記車両制御フレームから順に制御コマンドを取り出し、制御コマンド変換テーブル８００を用いて制御コマンドＩＤをＣＡＮＩＤに変換し、対応したＣＡＮに送信する。各制御ＥＣＵは受信した制御コマンドの内容に応じてそれぞれの担当する制御を実施し、それにより車両１００の制御が行われる。

　自動運転制御ＥＣＵ１４８で生成された車両制御フレームによる車両制御も遠隔制御装置により生成された車両制御フレームによる制御と、遠隔制御フラグの設定を除き同様である。

　かかる構成によれば、自動運転制御ＥＣＵ１４８及び遠隔制御装置１０６において、Ｅｔｈｅｒｎｅｔを用いて送信する車両制御フレームを、その制御内容に応じた制御コマンドのデータセットで構成することにより、複数のＥｔｈｅｒｎｅｔフレームに制御コマンドがまたがることを防ぎ、ＣＡＮに接続された各制御ＥＣＵの制御順番を保証し、各制御コマンド間の遅延時間を抑えることが可能となる。

　また、第一のＥｔｈｅｒｎｅｔ中継ＥＣＵ１１６において、中継される車両制御フレームが、制御内容に応じた制御コマンドのデータセットで構成されているかどうかをチェックすることにより、不正な車両制御フレームを検知することができる。これにより、不正な車両制御フレームによる車両１００の不正制御を防ぐことができる。

　また、制御コマンド変換テーブル８００を用いてＣＡＮＩＤに変換することにより、第一のＥｔｈｅｒｎｅｔ中継ＥＣＵ１１６、遠隔制御装置１０６、自動運転制御装置１４８のＣＡＮの構成への依存を下げることが可能となり、車種やメーカーに応じた制御の変更を抑えることができる。

　なお、本実施の形態において、監視サーバ１０４と遠隔制御装置１０６を別の機器としているが、双方の機能を備えた一つの機器としてもよい。

　また、本実施の形態におけるネットワーク構成は一例であり、他のＥＣＵや中継装置を含んでも構わないし、より多くのＣＡＮネットワークにより構成されていても構わない。あるいは一つのＣＡＮに全ての制御ＥＣＵが接続されていても構わない。また、本実施の形態においては個別のＥＣＵで実現している複数のＥＣＵの機能を一つＥＣＵが備えていても構わない。

　また、本実施の形態においては、ＴＣＵを経由して車両１００と遠隔制御装置１０６が通信を行うものとしているが、無線Ｗｉ‐Ｆｉなど他の経路を用いても構わないし、ＴＣＵの機能がＩＶＩなどの他のＥＣＵに含まれていても構わない。

　また、本実施の形態においては、遠隔制御装置１０６による制御内容を監視員が決定するとしたが、自動運転制御ＥＣＵ１４８よりも高性能なコンピュータやＡＩなどにより制御内容が決定されるものとしても構わない。

　また、本実施の形態においては、遠隔制御の内容を路肩退避や回避としたが、これに限定するものでなく、他の制御内容であっても構わない。

　また、本実施の形態においては遠隔制御装置１０６とＴＣＵ１１２の間でＴＬＳによるセッションが張られるものとしたが、遠隔制御装置１０６と第一のＥｔｈｅｒｎｅｔ中継ＥＣＵ１１６の間でＴＬＳによるセッションが張られても構わない。

　なお、本実施の形態においては、制御コマンド変換テーブルを用いた制御コマンドＩＤのＣＡＮＩＤへの変換を第一のＥｔｈｅｒｎｅｔ－ＣＡＮ中継変換ＥＣＵ１２２で実施するものとしたが、変換機能を前記第一のＥｔｈｅｒｎｅｔ中継ＥＣＵ１１６に備え、前記第一のＥｔｈｅｒｎｅｔ中継ＥＣＵ１１６で前記制御コマンド変換テーブルに基づく制御コマンドＩＤのＣＡＮＩＤへの変換を行っても構わない。あるいは、制御フレームフォーマット２００に替わり、ＣＡＮＩＤ，ＣＡＮペイロードを制御コマンドＩＤ，制御コマンドデータとして利用することにより、図１５に示すＣＡＮデータを用いた制御フレームフォーマット１５００を用いても構わない。

　なお、本実施の形態においては、自動運転制御ＥＣＵ１４８による制御と遠隔制御装置１０６による制御を、遠隔制御フラグの設定を除き同一の車両制御フレームによるものとしたが、自動運転制御ＥＣＵ１４８による制御は異なるフレームフォーマットによるものでも構わない。

　なお、制御コマンド組み合わせリスト６００は、設定Ｉ／Ｆ４１８を介して車両製造時に事前に不揮発記憶部４１４に記憶されているとしたが、設定Ｉ／Ｆ４１８を介してではなく、送受信部Ａ４００、送受信部Ｂ４０８、送受信部Ｃ４１０を介して制御コマンド組み合わせリスト６００を設定しても構わない。

　なお、本実施の形態では制御コマンドＩＤとＣＡＮＩＤの変換を行うとしたが、ＩＤのみでなく制御データも対象となるＣＡＮのネットワークシステムに応じて変換してもよい。これにより、ＣＡＮの構成に拠らない遠隔制御システムの設計が可能となる。

　（実施の形態２）
　図９は、本発明の実施の形態２の車載中継装置及びシステムのネットワーク構成図である。図９において、図１と同じ構成要素については同じ符号を用い、説明を省略する。

　車載ネットワーク９０２は、無線通信１１０によりＥｔｈｅｒｎｅｔ通信網１０８に接続され、Ｅｔｈｅｒｎｅｔ通信網１０８を介して、遠隔制御装置９０６と接続される。遠隔制御装置９０６は、車両９００から遠隔制御リクエストを受信した場合、車両１００に対して遠隔制御データを送信する。

　車両９００の車載ネットワーク９０２は、第三のＥｔｈｅｒｎｅｔ中継ＥＣＵ９１６、第二のＥｔｈｅｒｎｅｔ－ＣＡＮ中継変換ＥＣＵ９２２を備える。第三のＥｔｈｅｒｎｅｔ中継ＥＣＵ９１６は、Ｅｔｈｅｒｎｅｔ９２０を介して第二のＥｔｈｅｒｎｅｔ－ＣＡＮ中継変換ＥＣＵ９２２と接続され、Ｅｔｈｅｒｎｅｔ１１４を介して通信コントロールユニット（ＴＣＵ）１１２と接続される。

　第二の中継変換ＥＣＵ９２２は、複数のＣＡＮバスインタフェースとＥｔｈｅｒｎｅｔインタフェースを備え、ＣＡＮ９２６、ＣＡＮ９２８，Ｅｔｈｅｒｎｅｔ９３８、Ｅｔｈｅｒｎｅｔ９４０、Ｅｔｈｅｒｎｅｔ９４２と接続される。ＣＡＮ９２６にはウィンカー制御ＥＣＵ１３０などのＥＣＵが、ＣＡＮ９２８にはアクセル制御ＥＣＵ１３２、ブレーキ制御ＥＣＵ１３４、ハンドル制御ＥＣＵ１３６などの制御系ＥＣＵが、Ｅｔｈｅｒｎｅｔ９３８にはカメラＥＣＵ１４４が、Ｅｔｈｅｒｎｅｔ９４０にはセンサＥＣＵ１４６が、Ｅｔｈｅｒｎｅｔ９４２には自動運転制御ＥＣＵ１４８が接続される。

　以下、遠隔制御システムによる動作と第三のＥｔｈｅｒｎｅｔ中継ＥＣＵ９１６における不正判定について順を追って説明する。

　車両９００は、自動運転中、カメラＥＣＵ１４４やセンサＥＣＵ１４６の情報を元に自動運転制御ＥＣＵ１４８により、車体及び周辺状況の認識、次に行うべき制御の判断が行われ、アクセル制御ＥＣＵ１３２、ブレーキ制御ＥＣＵ１３４、ハンドル制御ＥＣＵ１３６などの制御ＥＣＵへ制御コマンドが送信される。

　また、自動運転中に、通常と異なる状況のために、自動運転制御ＥＣＵ１４８による制御が行えない場合が考えられる。このようなケースとしては、例えば、道路工事中であり回避制御が必要であった場合や、交通事故などの影響で警察官による交通整理が行われている場合、緊急車両の接近に伴う回避行動などが考えられる。このような場合、自動運転制御ＥＣＵ１４８は、自らの判断による車両９００の制御が困難であると判断し、Ｅｔｈｅｒｎｅｔ中継ＥＣＵ９１６及びＴＣＵ１１２を介して、遠隔制御装置９０６に遠隔制御リクエストを発信する。

　遠隔制御装置９０６では、車両９００からの遠隔制御リクエストを受信すると、カメラＥＣＵ１４４やセンサＥＣＵ１４６などから受信した車両９００及び周辺状況に基づき、監視員が決定した制御内容が入力される。遠隔制御装置９０６では、制御の種類に応じて制御ＩＤが決定され、車両制御フレームが生成される。車両制御フレームのフォーマットを図１０に示す。車両制御フレームは、制御の種類を示す制御ＩＤ、及び各制御ＥＣＵでの処理に対応した複数の制御コマンドで構成され、各制御コマンドは、制御コマンドの種類を示す制御コマンドＩＤ及び前記制御コマンドの実行に用いられる制御コマンドデータにより構成される。

　前記遠隔制御装置９０６で生成された車両制御フレームは、Ｅｔｈｅｒｎｅｔ通信網１０８を介して、車両９００のＴＣＵ１１２に送信される。ＴＣＵ１１２と遠隔制御装置９０６では、ＴＬＳによるセッションがはられ、前記車両制御フレームは暗号化されて送信されることにより、Ｅｔｈｅｒｎｅｔ通信網１０８における盗聴や改ざんから保護される。

　ＴＣＵ１１２で受信され復号された車両制御フレームは、Ｅｔｈｅｒｎｅｔ１１４を経由して第三のＥｔｈｅｒｎｅｔ中継ＥＣＵ９１６に送信される。

　第三のＥｔｈｅｒｎｅｔ中継ＥＣＵ９１６の構成を図１１に示す。第三のＥｔｈｅｒｎｅｔ中継ＥＣＵ９１６は、送受信部Ａ１１００、送受信部Ｂ１１０８、記憶部１１１２、不揮発記憶部１１１４、判定部１１０２、生成部１１０４、中継部１１０６、制御部１１１６、設定Ｉ／Ｆ１１１８により構成される。

　送受信部Ａ１１００は、Ｅｔｈｅｒｎｅｔ１１４を接続し、ＴＣＵ１１２とのＥｔｈｅｒｎｅｔを用いた送受信を行う。送受信部Ｂ１１０２は、Ｅｔｈｅｒｎｅｔ９２０を接続し、Ｅｔｈｅｒｎｅｔ―ＣＡＮ中継変換ＥＣＵ９２２とのＥｔｈｅｒｎｅｔを用いた送受信を行う。

　図１２に第三のＥｔｈｅｒｎｅｔ中継ＥＣＵ９１６の動作フローチャートを示す。送受信部Ａ１１００で受信された（ステップＳ１２００）データは、判定部１１０２において受信データが車両制御フレームであるかどうかが判定される（ステップＳ１２０２）。判定の結果、車両制御フレームではなかった場合（ステップＳ１２０２－ＮＯの場合）、前記受信されたデータは中継部１１０６に送られ、送受信部１１０８に送信され、さらに送受信部Ｂ１１０８から送信される（ステップＳ１２１８）。

　受信データが車両制御フレームであった場合（ステップＳ１２０２－ＹＥＳの場合）、判定部１１０２において、前記受信データから制御ＩＤ及び各制御コマンドの抽出が行われる（ステップＳ１２０４）。続いて、同じく判定部４０２において、抽出された制御ＩＤを用いて、制御コマンド組み合わせリスト６００を照合し（ステップＳ１２０６）、前記制御ＩＤに応じた制御コマンドの組み合わせを確認する。例えば、制御ＩＤが０ｘ０１の場合、正しい車両制御フレームは、ハンドル制御コマンド、ブレーキ制御コマンド、方向指示器制御コマンドにより構成されていることが分かる。前記制御コマンド組み合わせリスト６００は、設定Ｉ／Ｆ４１８を介して車両製造時に事前に不揮発記憶部１１１４に記憶されており、システムの更新などがあった際にＯＴＡやリプロにより更新される。また、制御コマンド組み合わせリストを備え、車両の状態に応じて使用するリストを変更しても構わない。車両の状態は、Ｅｈｔｅｎｒｅｔ中継ＥＣＵ９１６で中継する各データを監視して車両の状態を更新してもよいし、自動運転制御ＥＣＵ１４８や遠隔制御装置９０６から車両状態を通知するデータを受信してもよい。これにより、各時点での車両の状態を正しく判定することが可能である。

　前記制御コマンド組み合わせリスト６００により確認される制御コマンドの組み合わせと、実際に受信した車両制御フレームから抽出した制御コマンドの組み合わせが一致した場合（ステップＳ１２０８―ＹＥＳの場合）、値チェック組み合わせリスト照合（ステップＳ１２１０）に進む。一方、制御コマンドの組み合わせが一致しなかった場合（ステップＳ１２０８－ＮＯの場合）、車両制御フレームに不正もしくは異常があるものと判定し、異常検知処理（ステップＳ１２２０）に進む。

　値チェック組み合わせリスト照合（ステップＳ１２１０）においては、車両制御フレームから抽出された制御コマンドＩＤを元に、図１３に示される値チェック組み合わせリスト１３００を照合し、値チェックに用いるチェック表を特定する。例えば、車両制御フレームに制御コマンドＩＤ０ｘ０１、０ｘ０３，０ｘ０４の３つの制御コマンドが含まれていた場合、値チェック組み合わせリスト１３００の０ｘ０１－０ｘ０３、０ｘ０１－０ｘ０４、０ｘ０３－０ｘ０４の欄を参照してチェック表を特定する。本例では、チェック表２、チェック表３についてチェックを行うことになる。０ｘ０３－０ｘ０４については不正な組み合わせが定義されていないためチェック表が存在しない。前記値チェック組み合わせリスト１３００は、設定Ｉ／Ｆ１１１８を介して車両製造時に事前に不揮発記憶部１１１４に記憶されており、システムの更新などがあった際にＯＴＡやリプロにより更新される。

　値チェックに用いるチェック表が存在しなかった場合（ステップＳ１２１２－ＮＯの場合）、前記受信されたデータは中継部１１０６に送られ、送受信部Ｂ１１０８からＥｔｈｅｒｎｅｔ９２０へ送信される（ステップＳ１２１８）。値チェックに用いるチェック表が存在した場合（ステップＳ１２１２－ＹＥＳの場合）、特定されたチェック表を用いた異常値組み合わせ判定が行われる（ステップＳ１２１４）。チェック表の例を図１４に示す。前記値チェック組み合わせリスト１３００で特定されたチェック表を用いて、制御コマンドデータの値の組み合わせが、各チェック表に示される異常組み合わせになっていないかを判定する。例えば、制御コマンドＩＤ０ｘ０１、０ｘ０３の二つのコマンドについてはチェック表２が示されていたため、チェック表２　１４０２を参照し、「制御コマンドＩＤ０ｘ０１の制御コマンドデータの示す操舵角が４０度より大きく、制御コマンドＩＤ０ｘ０３の制御コマンドデータの示すブレーキ指示が２００より大きい」、もしくは、「制御コマンドＩＤ０ｘ０１の制御コマンドデータの示す操舵角がー４０度より小さく、制御コマンドＩＤ０ｘ０３の制御コマンドデータの示すブレーキ指示が２００より大きい」のいずれかの異常条件を満たすかどうかを確認する。各組み合わせのチェックにおいて、異常条件を満たし、異常ありと判定された場合（Ｓ１２１６－ＹＥＳの場合）、車両制御フレームに不正もしくは異常があるものと判定し、異常検知処理（ステップＳ１２２０）に進む。一方、異常条件を一つも満たすことが無く、異常なしと判定された場合（Ｓ１２１６－ＮＯ）、車両制御フレームは正しいものとして、前記受信されたデータは中継部１１０６に送られ、送受信部Ｂ１１０８からＥｔｈｅｒｎｅｔ９２０へ送信される（ステップＳ１２１８）。

　図７に異常検知処理のフローを示す。車両制御フレームに関する異常が検知された場合、生成部４０４において車両制御フレームの異常検知を通知するための異常通知パケットが生成される（ステップＳ７００）。異常通知パケットは中継部１１０６及び送受信部Ａ１１００に送信され、車両９００の内部ネットワーク及び遠隔制御装置９０６に、送受信部Ａ１１００，送受信部Ｂ１１０８から送信される（ステップＳ７０２）。

　Ｅｔｈｅｒｎｅｔ－ＣＡＮ中継変換ＥＣＵ９２２は、車両制御フレームを受信すると、前記車両制御フレームから順に制御コマンドを取り出し、制御コマンド変換テーブル８００を用いて制御コマンドＩＤをＣＡＮＩＤに変換し、対応したＣＡＮに送信する。各制御ＥＣＵは受信した制御コマンドの内容に応じてそれぞれの担当する制御を実施し、それにより車両９００の制御が行われる。

　かかる構成によれば、遠隔制御装置９０６において、Ｅｔｈｅｒｎｅｔを用いて送信する車両制御フレームを、その制御内容に応じた制御コマンドのデータセットで構成することにより、複数のＥｔｈｅｒｎｅｔフレームに制御コマンドがまたがることを防ぎ、ＣＡＮに接続された各制御ＥＣＵの制御順番を保証し、各制御コマンド間の遅延時間を抑えることが可能となる。

　また、第三のＥｔｈｅｒｎｅｔ中継ＥＣＵ９１６において、中継される車両制御フレームが、制御内容に応じた制御コマンドのデータセットで構成されているかどうかをチェックすることにより、不正な車両制御フレームを検知することができる。これにより、不正な車両制御フレームによる車両９００の不正制御を防ぐことができる。

　また、第三のＥｔｈｅｒｎｅｔ中継ＥＣＵ９１６において、中継される車両制御フレームを構成する制御コマンドの組み合わせに応じて、各制御コマンドに設定されたデータが所定の条件を満たしているかを確認することにより、不正な制御コマンド設定が行われた車両制御フレームを検知することができる。これにより、不正な制御コマンド設定による車両９００の不正制御を防ぐことができる。

　また、制御コマンド変換テーブル８００を用いてＣＡＮＩＤに変換することにより、第三のＥｔｈｅｒｎｅｔ中継ＥＣＵ９１６、遠隔制御装置９０６のＣＡＮの構成への依存を下げることが可能となり、車種やメーカーに応じた制御の変更を抑えることができる。

　なお、本実施の形態におけるネットワーク構成は一例であり、他のＥＣＵや中継装置を含んでも構わないし、より多くのＣＡＮネットワークにより構成されていても構わない。あるいは一つのＣＡＮに全ての制御ＥＣＵが接続されていても構わない。また、本実施の形態においては個別のＥＣＵで実現している複数のＥＣＵの機能を一つＥＣＵが備えていても構わない。

　また、本実施の形態においては、ＴＣＵを経由して車両９００と遠隔制御装置９０６が通信を行うものとしているが、無線Ｗｉ‐Ｆｉなど他の経路を用いても構わないし、ＴＣＵの機能がＩＶＩなどの他のＥＣＵに含まれていても構わない。

　また、本実施の形態においては、遠隔制御装置９０６による制御内容を監視員が決定するとしたが、自動運転制御ＥＣＵ１４８よりも高性能なコンピュータやＡＩなどにより制御内容が決定されるものとしても構わない。

　また、本実施の形態においては遠隔制御装置９０６とＴＣＵ１１２の間でＴＬＳによるセッションが張られるものとしたが、遠隔制御装置９０６と第三のＥｔｈｅｒｎｅｔ中継ＥＣＵ９１６の間でＴＬＳによるセッションが張られても構わない。

　なお、本実施の形態においては、制御コマンド変換テーブルを用いた制御コマンドＩＤのＣＡＮＩＤへの変換を第一のＥｔｈｅｒｎｅｔ－ＣＡＮ中継変換ＥＣＵ９２２で実施するものとしたが、変換機能を前記第三のＥｔｈｅｒｎｅｔ中継ＥＣＵ９１６に備え、前記第一のＥｔｈｅｒｎｅｔ中継ＥＣＵ９１６で前記制御コマンド変換テーブルに基づく制御コマンドＩＤのＣＡＮＩＤへの変換を行っても構わない。あるいは、制御フレームフォーマット１０００に替わり、ＣＡＮＩＤ，ＣＡＮペイロードを制御コマンドＩＤ，制御コマンドデータとして利用することにより、図１５に示すＣＡＮデータを用いた制御フレームフォーマット１５００を用いても構わない。

　なお、本実施の形態では値チェックに用いる組み合わせを二つの制御コマンドとしているが、３つあるいはより多くの制御コマンドの組み合わせでも構わない。組み合わせる制御コマンドの数が増えると、判定処理の負荷やリスト管理の負荷は重くなるが、より詳細かつ正確な異常判定、不正判定が可能となる。

　（実施の形態３）
　図１６は、本発明の実施の形態３の車載中継装置及びシステムのネットワーク構成図である。図１６において、図１と同じ構成要素については同じ符号を用い、説明を省略する。

　車載ネットワーク１６０２は、無線通信１１０によりＥｔｈｅｒｎｅｔ通信網１０８に接続され、Ｅｔｈｅｒｎｅｔ通信網１０８を介して、遠隔制御装置１６０６と接続される。遠隔制御装置１６０６は、車両１６００から遠隔制御リクエストを受信した場合、車両１６００に対して遠隔制御データを送信する。

　車両１６００の車載ネットワーク１６０２は、第三のＥｔｈｅｒｎｅｔ－ＣＡＮ中継変換ＥＣＵ１６２２を備える。第三のＥｔｈｅｒｎｅｔ―ＣＡＮ中継変換ＥＣＵ１６２２は、Ｅｔｈｅｒｎｅｔ１６１４を介して通信コントロールユニット（ＴＣＵ）１１２と接続される。

　第三のＥｔｈｅｒｎｅｔ－ＣＡＮ中継変換ＥＣＵ１６２２は、複数のＣＡＮバスインタフェースとＥｔｈｅｒｎｅｔインタフェースを備え、ＣＡＮ１６２６、ＣＡＮ１６２８，Ｅｔｈｅｒｎｅｔ１６３８、Ｅｔｈｅｒｎｅｔ１６４０、Ｅｔｈｅｒｎｅｔ１６４２と接続される。ＣＡＮ１６２６にはウィンカー制御ＥＣＵ１３０などのＥＣＵが、ＣＡＮ１６２８にはアクセル制御ＥＣＵ１３２、ブレーキ制御ＥＣＵ１３４、ハンドル制御ＥＣＵ１３６などの制御系ＥＣＵが、Ｅｔｈｅｒｎｅｔ１６３８にはカメラＥＣＵ１４４が、Ｅｔｈｅｒｎｅｔ１６４０にはセンサＥＣＵ１４６が、Ｅｔｈｅｒｎｅｔ１６４２には自動運転制御ＥＣＵ１４８が接続される。

　以下、遠隔制御システムによる動作と第三のＥｔｈｅｒｎｅｔ―ＣＡＮ中継変換ＥＣＵ１６２２における不正判定について順を追って説明する。

　車両１６００は、自動運転中、カメラＥＣＵ１４４やセンサＥＣＵ１４６の情報を元に自動運転制御ＥＣＵ１４８により、車体及び周辺状況の認識、次に行うべき制御の判断が行われ、アクセル制御ＥＣＵ１３２、ブレーキ制御ＥＣＵ１３４、ハンドル制御ＥＣＵ１３６などの制御ＥＣＵへ制御コマンドが送信される。

　また、自動運転中に、通常と異なる状況のために、自動運転制御ＥＣＵ１４８による制御が行えない場合が考えられる。このようなケースとしては、例えば、道路工事中であり回避制御が必要であった場合や、交通事故などの影響で警察官による交通整理が行われている場合、緊急車両の接近に伴う回避行動などが考えられる。このような場合、自動運転制御ＥＣＵ１４８は、自らの判断による車両１６００の制御が困難であると判断し、Ｅｔｈｅｒｎｅｔ―ＣＡＮ中継変換ＥＣＵ１６２２及びＴＣＵ１１２を介して、遠隔制御装置１６０６に遠隔制御リクエストを発信する。

　遠隔制御装置１６０６では、車両１６００からの遠隔制御リクエストを受信すると、カメラＥＣＵ１４４やセンサＥＣＵ１４６などから受信した車両１６００及び周辺状況に基づき、監視員が決定した制御内容が入力され、車両制御フレームが生成される。車両制御フレームのフォーマットを図１７に示す。車両制御フレームは、各制御ＥＣＵでの処理に対応した複数の制御コマンドで構成され、各制御コマンドは、制御コマンドの種類を示す制御コマンドＩＤ及び前記制御コマンドの実行に用いられる制御コマンドデータにより構成される。

　前記遠隔制御装置１６０６で生成された車両制御フレームは、Ｅｔｈｅｒｎｅｔ通信網１０８を介して、車両１６００のＴＣＵ１１２に送信される。ＴＣＵ１１２と遠隔制御装置１６０６では、ＴＬＳによるセッションがはられ、前記車両制御フレームは暗号化されて送信されることにより、Ｅｔｈｅｒｎｅｔ通信網１０８における盗聴や改ざんから保護される。

　ＴＣＵ１１２で受信され復号された車両制御フレームは、Ｅｔｈｅｒｎｅｔ１６１４を経由して第三のＥｔｈｅｒｎｅｔ－ＣＡＮ中継変換ＥＣＵ１６２２に送信される。

　第三のＥｔｈｅｒｎｅｔ－ＣＡＮ中継変換ＥＣＵ１６２２の構成を図１８に示す。第三のＥｔｈｅｒｎｅｔ－ＣＡＮ中継変換ＥＣＵ１６２２は、送受信部Ａ１８００、送受信部Ｂ１８０８、送受信部Ｃ１８１０、送受信部Ｄ１８１２、送受信部Ｅ１８１４、送受信部Ｆ１８１５、記憶部１８１６、不揮発記憶部１８１８、判定部１８０２、生成部１８０４、中継変換部１８０６、制御部１８２０、設定Ｉ／Ｆ１８２２により構成される。

　送受信部Ａ１８００は、Ｅｔｈｅｒｎｅｔ１６１４を接続し、ＴＣＵ１１２とのＥｔｈｅｒｎｅｔを用いた送受信を行う。送受信部Ｂ１８０８はＣＡＮ１６２６、送受信部Ｃ１８１０はＣＡＮ１６２８、送受信部Ｄ１８１２はＥｔｈｅｒｎｅｔ１６３８を、送受信部Ｅ１８１４はＥｔｈｅｒｎｅｔ１６４０を、送受信部Ｆ１８１５はＥｔｈｅｒｎｅｔ１６４２を接続する。

　図１９に第三のＥｔｈｅｒｎｅｔ－ＣＡＮ中継変換ＥＣＵ１６２２の動作フローチャートを示す。送受信部Ａ１８００で受信された（ステップＳ１９００）データは、判定部１８０２において受信データが車両制御フレームであるかどうかが判定される（ステップＳ１９０２）。判定の結果、車両制御フレームではなかった場合（ステップＳ１９０２－ＮＯの場合）、前記受信されたデータは中継変換部１８０６に送られ、あて先がＣＡＮであればＥｔｈｅｒｎｅｔ－ＣＡＮ変換が行われ、あて先に対応した送受信部１８０８～１８１５のいずれかあるいは複数に送信され、Ｅｔｈｅｒｎｅｔ－ＣＡＮ中継変換ＥＣＵ１６２２から送信される（ステップＳ１９１４）。

　受信データが車両制御フレームであった場合（ステップＳ１９０２－ＹＥＳの場合）、判定部１８０２において、前記受信データから各制御コマンドの抽出が行われる（ステップＳ１９０４）。続いて、同じく判定部１８０２において、値チェック組み合わせリスト照合（ステップＳ１９１０）を行う。値チェック組み合わせリスト照合においては、車両制御フレームから抽出された制御コマンドＩＤを元に、図１３に示される値チェック組み合わせリスト１３００を照合し、値チェックに用いるチェック表を特定する。例えば、車両制御フレームに制御コマンドＩＤ０ｘ０１、０ｘ０３，０ｘ０４の３つの制御コマンドが含まれていた場合、値チェック組み合わせリスト１３００の０ｘ０１－０ｘ０３、０ｘ０１－０ｘ０４、０ｘ０３－０ｘ０４の欄を参照してチェック表を特定する。本例では、チェック表２、チェック表３についてチェックを行うことになる。０ｘ０３－０ｘ０４については不正な組み合わせが定義されていないためチェック表が存在しない。前記値チェック組み合わせリスト１３００及びチェック表１４００～１０４８は、設定Ｉ／Ｆ１８２２を介して車両製造時に事前に不揮発記憶部１８１８に記憶されており、システムの更新などがあった際にＯＴＡやリプロにより更新される。また、複数のリスト、チェック表を備え、車両の状態に応じて使用するチェック表、リストを変更しても構わない。Ｅｈｔｅｎｎｅｔ－ＣＡＮ中継変換ＥＣＵ１６２２で中継する各データを監視して車両の状態を更新することにより、各時点での車両の状態を正しく判定することが可能である。

　値チェックに用いるチェック表が存在しなかった場合（ステップＳ１９１２－ＮＯの場合）、前記受信されたデータは中継変換部１８０６に送られ、あて先がＣＡＮであればＥｔｈｅｒｎｅｔ－ＣＡＮ変換が行われ、制御コマンド変換テーブル８００を用いて制御コマンドＩＤをＣＡＮＩＤに変換し、あて先に対応した送受信部１８０８～１８１５のいずれかあるいは複数に送信され、Ｅｔｈｅｒｎｅｔ－ＣＡＮ中継変換ＥＣＵ１６２２から送信される（ステップＳ１９１４）。値チェックに用いるチェック表が存在した場合（ステップＳ１９１２－ＹＥＳの場合）、特定されたチェック表を用いた異常値組み合わせ判定が行われる（ステップＳ１９１４）。チェック表の例を図１４に示す。前記値チェック組み合わせリスト１３００で特定されたチェック表を用いて、制御コマンドデータの値の組み合わせが、各チェック表に示される異常組み合わせになっていないかを判定する。例えば、制御コマンドＩＤ０ｘ０１、０ｘ０３の二つのコマンドについてはチェック表２が示されていたため、チェック表２　１４０２を参照し、「制御コマンドＩＤ０ｘ０１の制御コマンドデータの示す操舵角が４０度より大きく、制御コマンドＩＤ０ｘ０３の制御コマンドデータの示すブレーキ指示が２００より大きい」、もしくは、「制御コマンドＩＤ０ｘ０１の制御コマンドデータの示す操舵角がー４０度より小さく、制御コマンドＩＤ０ｘ０３の制御コマンドデータの示すブレーキ指示が２００より大きい」のいずれかの異常条件を満たすかどうかを確認する。各組み合わせのチェックにおいて、異常条件を満たし、異常ありと判定された場合（Ｓ１９１６－ＹＥＳの場合）、車両制御フレームに不正もしくは異常があるものと判定し、異常検知処理（ステップＳ１９２０）に進む。一方、異常条件を一つも満たすことが無く、異常なしと判定された場合（Ｓ１９１６－ＮＯ）、車両制御フレームは正しいものとして、前記受信されたデータは中継変換部１８０６に送られ、あて先がＣＡＮであればＥｔｈｅｒｎｅｔ－ＣＡＮ変換が行われ、制御コマンド変換テーブル８００を用いて制御コマンドＩＤをＣＡＮＩＤに変換し、あて先に対応した送受信部１８０８～１８１５のいずれかあるいは複数に送信され、Ｅｔｈｅｒｎｅｔ－ＣＡＮ中継変換ＥＣＵ１６２２から送信される（ステップＳ１９１４）。

　図２０に異常検知処理のフローを示す。車両制御フレームに関する異常が検知された場合、生成部１８０４において値チェックで異常が見つかった制御コマンドの組み合わせを、受信した車両制御フレームから除外し（ステップＳ２０００）、フレームを再生成する（Ｓ２００２）。こうして異常値を含んだ制御コマンドを除外された車両制御フレームは、中継変換部１８０６に送られ、あて先がＣＡＮであればＥｔｈｅｒｎｅｔ－ＣＡＮ変換が行われ、制御コマンド変換テーブル８００を用いて制御コマンドＩＤをＣＡＮＩＤに変換し、あて先に対応した送受信部１８０８～１８１５のいずれかあるいは複数に送信され、Ｅｔｈｅｒｎｅｔ－ＣＡＮ中継変換ＥＣＵ１６２２から送信される（ステップＳ２００４）。その後、異常検知を通知するための異常通知パケットが生成される（ステップＳ２００６）。異常通知パケットは中継変換部１８０６及び送受信部Ａ１８００に送信され、車両１６００の内部ネットワーク及び遠隔制御装置１６０６に、送受信部Ａ１８００、送受信部Ｆ１８１５から送信される（ステップＳ２００８）。

　かかる構成によれば、第三のＥｔｈｅｒｎｅｔ－ＣＡＮ中継変換ＥＣＵ１６２２において、中継される車両制御フレームを構成する制御コマンドの組み合わせに応じて、各制御コマンドに設定されたデータが所定の条件を満たしているかを確認することにより、不正な制御コマンド設定が行われた車両制御フレームを検知することができる。これにより、不正な制御コマンド設定による車両１６００の不正制御を防ぐことができる。また、任意の構成の車両制御フレームから制御コマンドの組み合わせを探索してチェックするため、チェック対象となる車両制御フレームの制約が少なく、多様な制御内容の車両制御フレームに対して異常検知・不正検知を行うことが可能である。

　また、制御コマンド変換テーブル８００を用いてＣＡＮＩＤに変換することにより、遠隔制御装置１６０６のＣＡＮの構成への依存を下げることが可能となり、車種やメーカーに応じた制御の変更を抑えることができる。

　また、本実施の形態においては、ＴＣＵを経由して車両１６００と遠隔制御装置１６０６が通信を行うものとしているが、無線Ｗｉ‐Ｆｉなど他の経路を用いても構わないし、ＴＣＵの機能がＩＶＩなどの他のＥＣＵに含まれていても構わない。

　また、本実施の形態においては、遠隔制御装置１６０６による制御内容を監視員が決定するとしたが、自動運転制御ＥＣＵ１４８よりも高性能なコンピュータやＡＩなどにより制御内容が決定されるものとしても構わない。

　また、本実施の形態においては遠隔制御装置１６０６とＴＣＵ１１２の間でＴＬＳによるセッションが張られるものとしたが、遠隔制御装置１６０６と第三のＥｔｈｅｒｎｅｔ－ＣＡＮ中継変換ＥＣＵ１６２２の間でＴＬＳによるセッションが張られても構わない。

　なお、本実施の形態では制御フレームとして制御フレームフォーマット１７００を用いているが、制御フレームフォーマット１７００に替わり、ＣＡＮＩＤ，ＣＡＮペイロードを制御コマンドＩＤ，制御コマンドデータとして利用することにより、図１５に示すＣＡＮデータを用いた制御フレームフォーマット１５００を用いても構わない。

　なお、各実施の形態において示したＥｔｈｅｒｎｅｔ－ＣＡＮ中継変換ＥＣＵの動作フローとして、送受信部Ａで受信した際の動作フローを示したが、他の送受信部で受信した際にも、同様の処理フローによる中継動作が可能である。

　なお、各実施の形態において車載システムへの適用を示したが、本発明は車載システムに限らず、産業用途、スマートファクトリーなどの工場制御用途において、遠隔制御を行う際にも有効である。

　本発明にかかる車載中継装置及びシステムは、自動運転制御における不正検知機能を有し、自動運転車両及び自動運転車両の車載ネットワーク及びシステムに有用である。また工場における製造システムの遠隔制御等の用途にも応用できる。

　１００、９００、１６００　車両
　１０２、９０２、１６０２　車載ネットワーク
　１０４　監視サーバ
　１０６、９０６、１６０６　遠隔制御装置
　１１６、１２４、９１６　Ｅｔｈｅｒｎｅｔ中継ＥＣＵ
　２００、１０００、１５００、１７００　制御フレームフォーマット
　６００　制御コマンド組み合わせリスト
　８００　制御コマンド変換テーブル
　１３００　値チェック組み合わせリスト

Claims

　一方のネットワークで送信可能な最大データサイズともう一方のネットワークで送信可能な最大データサイズが異なる種類の異なる二つのネットワークにより構成される制御ネットワークシステムであって、
　大きいデータサイズの送信が可能な第一のネットワークから小さいデータサイズの送信が可能な第二のネットワークに制御データを送信するにあたり、第一のネットワークで送信される制御データは、第二のネットワークで用いられる制御コマンドに対応したデータを制御内容に応じて複数組み合わせて構成されるデータである
　ことを特徴とする制御ネットワークシステム。
　車両外の遠隔制御装置から無線ネットワークを中継して車両に送られる制御データにより前記車両を制御する車両遠隔制御システムにおいて、
　前記制御データは、制御の種類により決定される複数の制御コマンドの組合せで構成される
　ことを特徴とする車両遠隔制御システム。
　前記複数の制御コマンドは、
　それぞれ前記車両に備えられた複数の制御装置のいずれかで処理される制御コマンドである
　ことを特徴とする請求項２に記載の車両遠隔制御システム。
　前記制御コマンドは、操舵制御、速度制御、停止制御、発進制御、方向指示器制御、のいずれかの制御を示すコマンドである
　ことを特徴とする請求項２に記載の車両遠隔制御システム。
　前記制御コマンドは、制御の種類を示す制御ＩＤを含む
　ことを特徴とする請求項２に記載の車両遠隔制御システム。
　車載ネットワークを中継する車載中継装置であって、前記車載中継装置は、
　複数の制御コマンドにより構成された制御データであって車両の制御を目的とした制御データを受信し、
　前記制御データに含まれる複数の前記車両に備えられた複数の制御装置のいずれかに対応した制御コマンドを取り出し、
　前記取り出した制御コマンドの組合せが予め前記車載中継装置に設定された制御コマンド組合せリストに含まれているかを確認し、
　前記確認の結果前記制御コマンドの組合せが前記制御コマンド組合せリストに含まれていなかった際に制御データの異常と判定する
　ことを特徴とする車載中継装置。
　前記制御データは、制御の種類を示す制御ＩＤを含み、
　前記車載中継装置は、
　前記制御ＩＤに対応した制御コマンド組合せリストにより前記制御に少なくとも必要な制御コマンドを判別し、
　前記制御データから取り出した複数の制御コマンドに前記少なくとも必要な制御コマンドが全て含まれているかどうかを確認し、
　前記確認の結果前記少なくとも必要な制御コマンドが全て含まれていなかった場合に制御データの異常と判定する、
　ことを特徴とする請求項６に記載の車載中継装置。
　前記車載中継装置は、前記確認の結果、前記制御データから取り出した複数の制御コマンドに、前記少なくとも必要な制御コマンド以外の制御コマンドが含まれていた場合に制御データの異常と判定する
　ことを特徴とする請求項７に記載の車載中継装置。
　前記車載中継装置は、複数の制御装置が接続された複数の制御ネットワークと接続され、
　前記車載中継装置は、前記制御データから取り出した複数の制御コマンドを、それぞれの制御コマンドに応じた制御ネットワークから送信する
　ことを特徴とする請求項７に記載の車載中継装置。
　前記車載中継装置は、前記制御コマンドを送信するにあたり、予め設定された制御コマンド変換リストに則り、制御コマンドＩＤを変更して送信する
　ことを特徴とする請求項９に記載の車載中継装置。
　前記車載中継装置は、前記制御コマンドを送信するにあたり、予め設定たされた制御コマンド変換ルールに則り、制御コマンドデータを変更して送信する
　ことを特徴とする請求項１０に記載の車載中継装置。
　前記制御コマンドはＣＡＮフォーマットに則っており、前記制御コマンドＩＤはＣＡＮＩＤに対応する
　ことを特徴とする請求項６に記載の車載中継装置。
　車載ネットワークを中継する車載中継装置であって、前記車載中継装置は、
　受信したデータが複数の制御コマンドにより構成された制御データであって車両の制御を目的とした制御データであるかを判定し、
　前記データが複数の制御コマンドにより構成されていると判定した際に、前記制御データから前記複数の制御コマンドを取り出し、
　予め設定された制御コマンドチェック関連付けリストに記載された制御コマンドの組合せが含まれているかを制御コマンドに含まれる制御コマンドＩＤを用いて判定し、
　前記制御コマンドの組合せが含まれていた際に前記組合せに含まれる制御コマンドＩＤに対応した制御コマンドデータが前記組合せ毎に予め設定された条件を満たすかどうかを判定し、
　条件を満たさなかった場合に前記制御データを異常データと判定する
　ことを特徴とする車載中継装置。
　前記制御コマンドデータの異常判定のために予め設定された条件は、前記組合せに含まれる各制御コマンドＩＤに対応した制御コマンドデータの値の組合せが、予め設定された各制御コマンドデータの取りうる値の範囲の組合せに含まれていることである
　ことを特徴とする請求項１３に記載の車載中継装置。
　前記車載中継装置は、
　予め設定された前記異常判定のための条件を複数パターン備え、
　受信データから車両の状態を判定し、
　前記判定された車両の状態に応じて、前記複数パターンから一つのパターンを選んで前記異常判定のための条件とする
　ことを特徴とする請求項１３に記載の車載中継装置。
　前記車両の状態の判定は、
　前記複数の制御ネットワークから受信したデータを解析することにより行われる
　ことを特徴とする請求項１５に記載の車載中継装置。