Nothing Special   »   [go: up one dir, main page]

WO2022185370A1 - 車載装置、プログラム及び情報処理方法 - Google Patents

車載装置、プログラム及び情報処理方法 Download PDF

Info

Publication number
WO2022185370A1
WO2022185370A1 PCT/JP2021/007673 JP2021007673W WO2022185370A1 WO 2022185370 A1 WO2022185370 A1 WO 2022185370A1 JP 2021007673 W JP2021007673 W JP 2021007673W WO 2022185370 A1 WO2022185370 A1 WO 2022185370A1
Authority
WO
WIPO (PCT)
Prior art keywords
data
received
processing unit
normal cycle
same type
Prior art date
Application number
PCT/JP2021/007673
Other languages
English (en)
French (fr)
Inventor
直樹 足立
Original Assignee
株式会社オートネットワーク技術研究所
住友電装株式会社
住友電気工業株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社オートネットワーク技術研究所, 住友電装株式会社, 住友電気工業株式会社 filed Critical 株式会社オートネットワーク技術研究所
Priority to PCT/JP2021/007673 priority Critical patent/WO2022185370A1/ja
Priority to JP2022535950A priority patent/JP7184225B1/ja
Priority to CN202180046362.2A priority patent/CN115777191A/zh
Priority to US18/250,295 priority patent/US20240007831A1/en
Priority to PCT/JP2021/029001 priority patent/WO2022185566A1/ja
Publication of WO2022185370A1 publication Critical patent/WO2022185370A1/ja
Priority to JP2022181151A priority patent/JP7444223B2/ja
Priority to JP2023196208A priority patent/JP2024020458A/ja
Priority to JP2023196209A priority patent/JP2024020459A/ja

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/44Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for communication between vehicles and infrastructures, e.g. vehicle-to-cloud [V2C] or vehicle-to-home [V2H]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks

Definitions

  • the present disclosure relates to an in-vehicle device, a program, and an information processing method.
  • the CAN communication protocol is widely used for communication between multiple in-vehicle ECUs (Electronic Control Units) installed in vehicles.
  • the in-vehicle ECUs are connected by a common communication line to exchange data with each other, and data transmission and reception between in-vehicle ECUs in different groups is relayed by an in-vehicle relay device (gateway) (for example, Patent Document 1).
  • gateway for example, Patent Document 1
  • the vehicle network of Patent Document 1 is equipped with a vehicle network monitoring device that is connected to each segment of the vehicle network and detects unauthorized data (messages) flowing through the vehicle network.
  • a vehicle network monitoring device detects unauthorized data (message)
  • it transmits warning information (message code) to an on-vehicle control device (on-vehicle ECU).
  • An in-vehicle device is an in-vehicle device connected to an in-vehicle network mounted in a vehicle, the in-vehicle device includes a processing unit that performs processing related to determination of correctness of data flowing through the in-vehicle network, the processing unit receives a plurality of data flowing through the in-vehicle network, derives a reception interval when the same type of data is continuously received in the received plurality of data, and calculates the reception interval and the continuously received same type Of the data received earlier, the normal cycle range based on the reception point of time of the data received earlier is used as a reference to determine whether the data received later among the data of the same type continuously received is correct or not.
  • FIG. 1 is a schematic diagram illustrating a configuration of an in-vehicle system including an in-vehicle device according to Embodiment 1;
  • FIG. 2 is a block diagram illustrating a physical configuration of an in-vehicle device;
  • FIG. FIG. 10 is an explanatory diagram of a data type table;
  • FIG. 10 is an explanatory diagram relating to determination of data (normal determination);
  • FIG. 10 is an explanatory diagram relating to determination of data (occurrence of communication disruption);
  • FIG. 10 is an explanatory diagram relating to determination of data (abnormality (identification) determination);
  • FIG. 4 is an explanatory diagram relating to data determination (abnormality (range) determination);
  • FIG. 10 is an explanatory diagram relating to determination (combination) of data;
  • FIG. 4 is an explanatory diagram regarding state transition of a processing unit of an in-vehicle device;
  • FIG. 4 is an explanatory diagram relating to a determination mode by a processing unit of an in-vehicle device;
  • 4 is a flowchart illustrating processing of a processing unit of an in-vehicle device;
  • the vehicle network monitoring device of Patent Literature 1 has a problem in that no consideration is given to efficiently detecting fraudulent messages based on the transmission cycle of periodically transmitted messages.
  • the purpose of the present disclosure is to provide an in-vehicle device or the like that can efficiently detect unauthorized data based on the transmission cycle of periodically transmitted data.
  • An in-vehicle device is an in-vehicle device connected to an in-vehicle network mounted in a vehicle, the in-vehicle device comprising a processing unit that performs processing related to determining whether data flowing through the in-vehicle network is correct,
  • the processing unit receives a plurality of data flowing through the in-vehicle network, derives a reception interval when the same type of data is continuously received from the received plurality of data, and Based on the normal cycle range based on the reception time point of the data received first among the received data of the same kind, the correctness of the data received later among the data of the same kind continuously received is determined.
  • the processing unit of the in-vehicle device receives (obtains) a plurality of data such as CAN messages transmitted from the in-vehicle ECU connected to the in-vehicle network.
  • the plurality of data includes, for example, the same type of data with the same CAN-ID (message ID), and when the processing unit continuously receives the same type of data, the reception point of the previously received data and the reception time point of the data received later is derived.
  • the processing unit determines whether the later received data (the same type of data as the previously received data) succeeds or fails based on the reception interval and the normal cycle range based on the reception point of the previously received data. , for messages sent periodically, to efficiently detect fraudulent messages based on the transmission period.
  • the reception point of the earlier received data is the start of the transmission cycle of the data. Even if there is a change from the point in time to the reception point that is fixedly determined, it is possible to appropriately determine whether the data received later is correct or not based on the normal cycle range.
  • the normal cycle range is a range in which upper and lower limits are set using a transmission cycle determined based on the data type as a reference value.
  • the processing unit of the in-vehicle device uses a transmission cycle (design cycle) determined based on the type of data as a reference value, and sets upper and lower limits using the reference value as a median value, for example, to determine the normal cycle. Identify the range.
  • the transmission cycle in which the same type of data with the same CAN-ID (message ID) is transmitted is determined in advance by the type of the data (message ID). ing.
  • the processing unit of the in-vehicle device takes the transmission cycle as a reference value (for example, the median value) and adds a time equivalent to a predetermined ratio (upper and lower limit ratio), such as a%, to the transmission cycle.
  • the normal cycle range is defined as the upper limit and the lower limit of the subtracted value.
  • the processing unit sets the reception interval to the normal cycle based on the reception time point of the data received first among the data of the same type that are consecutively received. If it is within the range, it is determined that the data received after the consecutively received data of the same type is normal, and if the reception interval is not within the normal cycle range, the consecutively received data of the same type is determined. The data received after is determined to be abnormal.
  • the processing unit determines that the data received later is normal when the reception interval between two pieces of data of the same type that are consecutively received is within the normal cycle range, and determines that the data received later is normal when it is not within the normal cycle range. In other words, when the reception interval is outside the normal cycle range, it is determined that the data received later is abnormal, so it is possible to efficiently determine whether the data is correct or not.
  • the normal cycle range is, for example, the range in which the upper and lower limits are set at the time of adding the transmission cycle determined based on the type of the data to the time of reception of the previously received data, so the reception interval is the normal cycle.
  • the reception time point of the data received later is positioned between the lower limit time point (limit-low) and the upper limit time point (limit-upp) defined by the normal cycle range. If the reception interval is outside the normal cycle range, the reception time point of the data received later does not lie between the lower limit time (limit-low) and the upper limit time (limit-upp) determined by the normal cycle range, For example, it means that it is before the lower limit time (limit-low). In this way, it is possible to efficiently determine whether the data received later is correct or not based on whether the reception interval is within the normal cycle range specified based on the reception time point of the previously received data, or is outside the range. can detect invalid data.
  • the processing unit of the in-vehicle device determines the reception time point of the data received after the normal cycle range, that is, after the upper limit time (limit-upp) defined in the normal cycle range (data of the same type as the previous data). Criterion identifies the normal cycle range.
  • the data can be received (re-acquired) by receiving (re-acquiring) the reference data for specifying the normal cycle range. It is possible to efficiently restart the correctness determination process for the received data after the acquisition).
  • the processing unit when the number of data of the same type received within the normal cycle range is one, the processing unit receives one data within the normal cycle range is normal, and if the number of data of the same type received within the normal cycle range is plural, any of the data included in the plurality of data received within the normal cycle range is abnormal I judge.
  • the transmission cycle when a plurality of data of the same type are sequentially transmitted is determined in advance based on the type of the data, reception within the normal cycle range, that is, according to the normal cycle range
  • the number of data (data of the same type as the previous data) received between the defined lower limit time (limit-low) and the upper limit time (limit-upp) is essentially one.
  • the plural pieces of data include abnormal data.
  • the processing unit of the in-vehicle device receives a plurality of data of the same type within the normal cycle range, it determines that abnormal data is included in the range, thereby determining the range within the predetermined reception period. Anomaly detection (range anomaly detection) can be performed efficiently.
  • the processing unit of the in-vehicle device receives data within the normal cycle range, that is, data received between the lower limit time (limit-low) and the upper limit time (limit-upp) determined by the normal cycle range If the number of (data of the same type as the previous data) is two or more, the next Specify the normal cycle range used in the determination process. That is, the processing unit of the in-vehicle device determines that the plurality of data received within the normal cycle range includes at least one or more abnormal data, and any data in the plurality of data It is not used as reference data for specifying the normal cycle range used in subsequent determination processing.
  • the processing unit of the in-vehicle device specifies the normal cycle range to be used in the subsequent determination process based on the reception time of the same type of data received after the upper limit time of the normal cycle range thus determined. Even if an abnormality is detected in the range during the reception period (range abnormality detection), it is possible to efficiently continue (restart) the correctness determination of the data.
  • the processing unit uses the previous normal cycle range used to determine the previously received data and the reception time point of the previously received data as a reference. If data of the same type as the data is received between the current normal cycle range, the data of the same type is determined to be abnormal.
  • a plurality of data of the same type are sequentially transmitted according to a predetermined transmission cycle (design cycle), and the processing unit of the in-vehicle device receives the plurality of data sequentially.
  • a normal cycle range for determining whether the data to be received next is correct or not is specified. Therefore, the normal cycle range is identified sequentially according to the plurality of data received sequentially.
  • the processing unit of the in-vehicle device uses the normal cycle range (previous normal cycle range) used to determine the difference in the previously received data, and the normal cycle range based on the reception point of the previously received data (this time normal cycle range), the data of the same type is determined to be abnormal (specific abnormality detection).
  • the processing unit of the in-vehicle device first receives the When receiving data of the same type as the received data, it is determined that the data of the same type is abnormal. By using such determination logic, the processing unit of the in-vehicle device can efficiently determine that data received outside the normal cycle range is abnormal.
  • the processing unit when the processing unit receives one piece of data of the same type as the previously received data within a normal cycle range based on the reception time of the previously received data , the same type of data is determined to be normal, and the next normal cycle range is specified based on the reception time of the data determined to be normal.
  • the processing unit of the in-vehicle device between the upper limit time (limit-upp) determined by the previous normal cycle range and the lower limit time (limit-low) determined by the current normal cycle range, When data of the same type as the previously received data is received, it is determined that the data of the same type is abnormal. Furthermore, when the processing unit of the in-vehicle device receives one piece of data of the same type within the normal cycle range based on the reception point of the previously received data, that is, within the current normal cycle range, the data of the same type is Determined to be normal.
  • the processing unit of the in-vehicle device From the upper limit time of the previous normal cycle range (limit-upp) to the upper limit time of the current normal cycle range (limit-upp) of the same kind of data received The number of pieces may be counted, and based on the reception interval for each piece of data of the same type counted, the correctness of each piece of data may be determined.
  • the processing unit transitions to a plurality of operating states, and the plurality of operating states receives data that serves as a reference for identifying the normal cycle range. It includes a reference data reception state and a judgment execution state for judging whether or not the received data is correct based on the specified normal cycle range.
  • the processing unit of the in-vehicle device for example, until any data is first received (first reception) after the IG switch of the vehicle is turned on, or within the normal cycle range If the data determined to be normal cannot be received, the state of the processing unit transitions to the reference data reception state for receiving reference data (reference data) for specifying the normal cycle range.
  • the processing unit that has transitioned to the reference data reception state continues the state of waiting for reception of the reference data (reference data) in order to receive the reference data.
  • the processing unit of the in-vehicle device transitions to a determination execution state for determining whether the received data is correct or not based on the specified normal cycle range. .
  • the processing unit of the in-vehicle device transitions between a plurality of operation states including the reference data reception state and the judgment execution state according to whether the data is correct or not. It is possible to efficiently receive data (reference data) and efficiently identify the normal cycle range based on the reference data.
  • the processing unit determines that the received data is abnormal, it stores information corresponding to the mode of abnormality in an accessible predetermined storage area.
  • the processing unit of the in-vehicle device determines that the received data is abnormal, it outputs information corresponding to the state of the abnormality or stores it in a predetermined storage area accessible from the self unit. It is possible to efficiently notify the operator or the like of the occurrence of the abnormality.
  • the processing unit when specifying the normal cycle range based on the reception time of the received data, specifies the type of data and the reception time as the reference. Store in a predetermined storage area that can be associated and accessed.
  • the processing unit of the in-vehicle device specifies the normal cycle range based on the reception time of the received data
  • the type of data used as the reference and the reception time are associated with each other and output or accessed from the own unit. Since it is stored in a possible predetermined storage area, it is possible to accurately store the information at the time of transition to the reference data reception state.
  • a program causes a computer to receive a plurality of data flowing through an in-vehicle network installed in a vehicle, and when the same type of data is continuously received in the received plurality of data, based on the reception interval and the normal cycle range based on the reception point of the first received data among the consecutively received data of the same type. After the above, a process of judging whether the received data is correct or not is executed.
  • the computer can be operated as an in-vehicle device that efficiently detects fraudulent data based on the transmission cycle of periodically transmitted data.
  • a computer receives a plurality of data flowing through an in-vehicle network installed in a vehicle, and consecutively receives data of the same type in the received plurality of data. Based on the reception interval and the normal cycle range based on the reception time of the data received earlier among the data of the same type continuously received, the data of the same type continuously received is derived. After the data received, a process for judging whether the received data is correct or not is executed.
  • FIG. 1 is a schematic diagram illustrating the configuration of an in-vehicle system including an in-vehicle device 2 according to the first embodiment.
  • FIG. 2 is a block diagram illustrating the physical configuration of the in-vehicle device 2. As shown in FIG.
  • the in-vehicle system S includes an in-vehicle device 2 mounted in the vehicle and an external communication device 1.
  • the in-vehicle device 2 relays communication between a plurality of in-vehicle ECUs 3 mounted in the vehicle.
  • the in-vehicle device 2 communicates with an external server 100 connected via an in-vehicle network N via the in-vehicle communication device 1, and relays communication between the external server 100 and an in-vehicle ECU 3 mounted in the vehicle. There may be.
  • the external server 100 is, for example, a computer such as a server connected to an external network N such as the Internet or a public network, and is a storage unit or storage device such as a RAM (Random Access Memory), a ROM (Read Only Memory), or a hard disk. Prepare. A storage unit and the like of the external server 100 are included in a storage area accessible from the in-vehicle device 2 .
  • the vehicle C is equipped with an external communication device 1, an in-vehicle device 2, a display device 5, and a plurality of in-vehicle ECUs 3 for controlling various in-vehicle devices.
  • the in-vehicle device 2 and the external communication device 1 are communicably connected by a wire harness such as a serial cable.
  • the in-vehicle device 2 and the in-vehicle ECU 3 are communicably connected by a communication line 41 and an in-vehicle network 4 corresponding to a communication protocol such as CAN (Control Area Network/registered trademark) or Ethernet (registered trademark).
  • the communication protocol in the in-vehicle device 2 and the in-vehicle ECU 3 may be based on LIN, MOST, FlexRay, or the like.
  • the vehicle-external communication device 1 includes a vehicle-external communication unit (not shown) and an input/output I/F (not shown) for communicating with the in-vehicle device 2 .
  • the external communication unit is a communication device for wireless communication using a mobile communication protocol such as 3G, LTE, 4G, WiFi, etc., and transmits data to the external server 100 via an antenna 11 connected to the external communication unit. send and receive Communication between the external communication device 1 and the external server 100 is performed via an external network N such as a public line network or the Internet.
  • the input/output I/F is a communication interface for serial communication with the in-vehicle device 2, for example.
  • the external communication device 1 and the in-vehicle device 2 communicate with each other via an input/output I/F and a wire harness such as a serial cable connected to the input/output I/F.
  • the vehicle-external communication device 1 is separate from the vehicle-mounted device 2, and these devices are communicably connected via an input/output I/F or the like, but the present invention is not limited to this.
  • the external communication device 1 may be built in the in-vehicle device 2 as one component of the in-vehicle device 2 .
  • the in-vehicle device 2 includes a processing unit 20, a storage unit 21, an input/output I/F 22, and an in-vehicle communication unit 23.
  • the in-vehicle device 2 for example, integrates system segments by a plurality of communication lines 41 such as a recognition system in-vehicle ECU 3, a judgment system in-vehicle ECU 3, and an operation system in-vehicle ECU 3, and communicates between the in-vehicle ECUs 3 between these segments.
  • a plurality of communication lines 41 such as a recognition system in-vehicle ECU 3, a judgment system in-vehicle ECU 3, and an operation system in-vehicle ECU 3, and communicates between the in-vehicle ECUs 3 between these segments.
  • is an in-vehicle relay device such as a gateway (CAN gateway) for relaying.
  • Each of the plurality of communication lines 41 corresponds to a bus (CAN bus) in each segment.
  • the in-vehicle device 2 includes an in-vehicle relay device such as an Ether SW, a PLB (Power Lan Box) having a power distribution function in addition to a data communication relay function, and an integrated ECU that has a relay function and controls the entire vehicle C in an integrated manner.
  • an in-vehicle relay device such as an Ether SW, a PLB (Power Lan Box) having a power distribution function in addition to a data communication relay function, and an integrated ECU that has a relay function and controls the entire vehicle C in an integrated manner.
  • the in-vehicle device 2 may be configured as a functional part of the in-vehicle ECU 3, such as a body ECU that controls body system actuators of the vehicle C.
  • the processing unit 20 is configured by a CPU (Central Processing Unit) or MPU (Micro Processing Unit) or the like, and by reading and executing control programs and data stored in advance in the storage unit 21, various control processes and Arithmetic processing and the like are performed.
  • the processing unit 20 may determine whether the data (message) acquired (received) via the in-vehicle communication unit 23 is correct or not, and may function as a control unit that controls the in-vehicle device 2 as a whole.
  • the storage unit 21 is composed of a volatile memory element such as RAM (Random Access Memory) or a non-volatile memory element such as ROM (Read Only Memory), EEPROM (Electrically Erasable Programmable ROM) or flash memory, A control program and data to be referred to during processing are stored in advance.
  • the control program stored in the storage unit 21 may be a control program read from the recording medium 211 readable by the in-vehicle device 2 .
  • the control program may be downloaded from an external computer (not shown) connected to a communication network (not shown) and stored in the storage unit 21 .
  • the storage unit 21 stores relay route information (routing table) used for performing relay processing for communication between the in-vehicle ECUs 3 or communication between the in-vehicle ECUs 3 and the external server 100 .
  • the format of the relay route information is determined based on the communication protocol.
  • the relay route information for CAN includes the message identifier (CAN-ID, message ID) included in the CAN message and the relay destination (I/O of the in-vehicle communication unit 23) associated with the CAN-ID. port number).
  • the input/output I/F 22 is, like the input/output I/F of the external communication device 1, a communication interface for serial communication, for example.
  • the in-vehicle device 2 is communicably connected to the external communication device 1, the display device 5 (HMI device), and the IG switch 6 for starting and stopping the vehicle C via the input/output I/F 22 .
  • the in-vehicle communication unit 23 is an input/output interface using a communication protocol such as CAN (Control Area Network), CAN-FD (CAN with Flexible Data Rate), or Ethernet (registered trademark). It communicates with the in-vehicle ECU 3 connected to the in-vehicle network 4 via the communication unit 23 or other in-vehicle equipment such as a relay device.
  • CAN Controller Area Network
  • CAN-FD CAN with Flexible Data Rate
  • Ethernet registered trademark
  • a plurality of in-vehicle communication units 23 are provided, and each communication line 41 (CAN bus, etc.) constituting the in-vehicle network 4 is connected to each in-vehicle communication unit 23 .
  • the in-vehicle network 4 may be divided into a plurality of segments.
  • the topology type of the in-vehicle network 4 is not limited to the bus type illustrated in the present embodiment.
  • a cascade type in which the in-vehicle device 2 is the highest level may be used.
  • the vehicle-mounted ECU 3 includes a control unit (not shown), a storage unit (not shown), and an in-vehicle communication unit (not shown), similar to the vehicle-mounted device 2 .
  • the storage unit is composed of volatile memory elements such as RAM (Random Access Memory) or non-volatile memory elements such as ROM (Read Only Memory), EEPROM (Electrically Erasable Programmable ROM), or flash memory.
  • RAM Random Access Memory
  • ROM Read Only Memory
  • EEPROM Electrical Erasable Programmable ROM
  • flash memory flash memory
  • a program or data for the ECU 3 is stored.
  • In-vehicle ECU3 transmits a CAN message periodically, and communicates with in-vehicle device 2, for example.
  • the in-vehicle ECU 3 may be a separate ECU to which a sensor or an actuator is connected and connected under the control of the integrated ECU.
  • the display device 5 is, for example, an HMI (Human Machine Interface) device such as a car navigation display.
  • the display device 5 is communicably connected to the input/output I/F 22 of the in-vehicle device 2 by a harness such as a serial cable. Data or information output from the processing unit 20 of the in-vehicle device 2 via the input/output I/F 22 is displayed on the display device 5 .
  • HMI Human Machine Interface
  • FIG. 3 is an explanatory diagram of the data type table.
  • Various data referred to when the processing unit 20 performs determination processing are stored in a predetermined storage area accessible from the processing unit 20, such as the storage unit 21 of the in-vehicle device 2, the in-vehicle ECU 3, or a storage device connected to the external server 100. remembered.
  • Data types to be monitored when the processing unit 20 performs determination processing are stored in the storage unit 21 or the like as, for example, a data type table configured in a table format.
  • the management items (fields) defined in the data type table include, for example, message ID, design cycle, upper/lower limit value ratio, normal cycle range, and judgment execution target flag.
  • a message ID (CAN-ID) indicating the type of CAN message is stored in the management item (field) of the message ID.
  • the type of data to be received is determined based on the message ID. If the data to be determined is, for example, a CAN message, CAN messages with the same message ID are processed as data of the same type.
  • Management items (fields) for determining the type of data are not limited to the message ID in the CAN message. number, UDP port number, or a combination thereof.
  • the design cycle indicates a predetermined transmission cycle when data (message) is transmitted from one of the in-vehicle ECUs 3 or the like. Cycle.
  • the design period management item (field) stores the design period (for example, x [ms]) in each piece of data.
  • the upper and lower limit value ratio indicates the upper and lower limit values for specifying the normal cycle range based on the design cycle.
  • the upper and lower limit value ratio may be defined as, for example, a ratio to the design period (for example, a%, where a > 0), or real time ( ⁇ x x a x 0.01 [ms]) may be indicated by Alternatively, the upper and lower limit value ratios may be different ratios between the upper and lower limits.
  • the normal cycle range is a range calculated from the design cycle and the ratio of upper and lower limits, and is information used when determining whether the received data is correct or not. For example, if the design cycle is x [ms] and the upper and lower limit ratio is a% ( ⁇ x x a x 0.01 [ms]), the normal cycle range is x - x x a x 0.01 [ms] , x+xxax0.01 [ms].
  • the median value of the normal cycle range is (K + x) ms
  • the lower limit time (limit-low) of the normal cycle range is ⁇ (K + x ) ⁇ (x ⁇ a ⁇ 0.01) ⁇ ms
  • the upper limit point (limit-upp) of the normal cycle range is ⁇ (K+x)+(x ⁇ a ⁇ 0.01) ⁇ ms.
  • the data type table includes both the design cycle, the upper and lower limit value ratio, and the normal cycle range, but the data type table is not limited to this, and may include only one of them. Needless to say.
  • the determination execution target flag is a flag value (1: monitoring target, 0: non-monitoring target) is stored. In this way, among the data transmitted and received through the in-vehicle network 4, by making the data of the type for which the determination execution target flag is set as the execution target (monitoring target) of the correctness determination, only the data with a relatively high degree of importance can be selected. It is possible to reduce the processing load of the in-vehicle device 2 (processing unit) by using it as a monitoring target.
  • FIG. 4 is an explanatory diagram relating to data determination (normality determination).
  • determination processing regarding data of a specific data type (CAN message, etc.) will be described.
  • the horizontal axis indicates time (elapsed time).
  • the processing unit 20 of the in-vehicle device 2 calculates, for example, reception intervals of the same type of data (same message ID) for each data (monitoring target message) defined in the data type table stored in the storage unit 21. , the data (message) is determined to be normal if the reception interval is within the normal cycle range.
  • the processing unit 20 determines that the data is abnormal. If the reception interval does not fall within the normal cycle range, this indicates a state in which it is possible to identify which message is abnormal, and the processing unit 20 determines that it is a specific abnormality. When a plurality of data are received within the normal cycle range, this indicates a state in which it is detected that an abnormality is included in a certain range, and the processing unit 20 determines that the range is abnormal.
  • the data (message) is determined to be normal data (message)
  • the data (message) is used as the reference (reference data)
  • the reception interval between the reference data and the next received data (message) is calculated.
  • the reference data (reference message) is set for each data type (message ID) of the message to be monitored, and in the acquisition state of the reference data, the reception interval ( ⁇ T) between the first received message and the second received message is within the normal range. If it is within the range, the data (message) received for the second time is used as the reference data (reference message).
  • the setting of the reference data is not limited to two times, and may be determined when the data is consecutively set a plurality of times. That is, for example, when the reception interval is within the normal range five times in succession, the processing unit 20 may use the data (message) received for the fifth time as the reference data (reference message).
  • the vehicle C When the IG switch 6 is turned on, the vehicle C is activated, and data such as CAN messages are transmitted from each in-vehicle ECU 3 connected to the in-vehicle network 4 .
  • the processing unit 20 of the in-vehicle device 2 receives data for each type classified by message ID (CAN-ID) for the first time, and the data received for the first time is the first data for specifying the normal cycle range. is set as reference data (reference message).
  • the processing unit 20 refers to the data type table stored in the storage unit 21 at the time of reception, which indicates the time at which the reference data is received, etc., and determines the design cycle ( T) is added, and the normal cycle range is specified (derived) by adding and subtracting the upper and lower limits with the added time as the central value.
  • the normal cycle range is defined as the range (period ).
  • the transmission cycle (design cycle) is a relative time from the reception time (the reception time of the reference data).
  • the processing unit 20 calculates the normal cycle range 1 with the median value after the design cycle (T) from the reference message and the lower limit time (limit-low1) and the upper limit time (limit-upp1) as upper and lower limits.
  • the processing unit 20 counts the number of messages received after the reference message and the reception interval at the upper limit time (limit-upp1).
  • the processing unit 20 determines that the received message 1 (Msg1) is within the normal period range 1 and the number is 1, so it determines that it is a normal message and updates (resets) the message 1 (Msg1) as a reference message.
  • the processing unit 20 sets the median value to be the design period (T) after the message 1 (Msg1) (reference message at this point), and the normal A period range 2 is calculated.
  • the processing unit 20 counts the number of messages received after the reference message updated (reset) by message 1 (Msg1) and the reception interval from the reference message. . Since the received message 2 (Msg2) is within the normal period range 2 and the number is 1, the processing unit 20 updates (resets) the message 2 (Msg2) as the reference message.
  • the processing unit 20 of the in-vehicle device 2 updates (resets) the reference data (reference message) based on the data (message) that has been determined to be normal by repeating the above-described processing. Using the normal cycle range specified each time by the reference data, the judgment processing of the data (message) received after the reference data is repeated.
  • FIG. 5 is an explanatory diagram relating to data determination (occurrence of communication disruption).
  • the processing unit 20 calculates the normal cycle range 1 with the median value after the design cycle (T) from the reference message and the lower limit time (limit-low1) and the upper limit time (limit-upp1) as upper and lower limits.
  • the processing unit 20 counts the number of messages received after the reference message and the reception interval at the upper limit time (limit-upp1).
  • the processing unit 20 updates (resets) the received message 1 (Msg1) as the reference message because the received message 1 (Msg1) is within the normal period range 1 and the number is 1.
  • the processing unit 20 sets the median value to be the design period (T) after the message 1 (Msg1) (reference message at this point), and the normal A period range 2 is calculated.
  • the processing unit 20 counts the number of messages received after the reference message updated (reset) by message 1 (Msg1) and the reception interval from the reference message. .
  • the processing unit 20 determines that the communication interruption has occurred because the number of messages received in the normal cycle range 2 is 0, and after the normal cycle range 2 elapses, that is, the upper limit point of the normal cycle range 2 (limit-upp2 ), the reference message is re-obtained.
  • the processing unit 20 sets a message acquired (received) after the upper limit point (limit-upp2) of the normal cycle range 2 as a reference message, and specifies the normal cycle range 3 .
  • FIG. 6 is an explanatory diagram relating to data determination (abnormality (identification) determination).
  • the processing unit 20 calculates the normal cycle range 1 with the median value after the design cycle (T) from the reference message and the lower limit time (limit-low1) and the upper limit time (limit-upp1) as upper and lower limits.
  • the processing unit 20 counts the number of messages received after the reference message and the reception interval at the upper limit time (limit-upp1).
  • the processing unit 20 updates (resets) the received message 1 (Msg1) as the reference message because the received message 1 (Msg1) is within the normal period range 1 and the number is 1.
  • the processing unit 20 sets the median value to be the design period (T) after the message 1 (Msg1) (reference message at this point), and the normal A period range 2 is calculated.
  • the processing unit 20 counts the number of messages received after the reference message updated (reset) by message 1 (Msg1) and the reception interval from the reference message. .
  • the processing unit 20 detects the message 2 (Msg2) as an anomaly because one received message is outside the normal cycle range (message 2 (Msg2)) and one is within the normal cycle range 2 (message 3 (Msg3)). (determined as a specific abnormality), and update (reset) message 3 (Msg3) as a reference message.
  • the processing unit 20 repeats the above process to update (renew) the reference data (reference message) based on the data (message) determined to be normal. settings).
  • the processing unit 20 repeats determination processing for data (messages) received after the reference data, using the normal period range specified each time by the updated reference data.
  • FIG. 7 is an explanatory diagram relating to data determination (abnormality (range) determination).
  • the processing unit 20 calculates the normal cycle range 1 with the median value after the design cycle (T) from the reference message and the lower limit time (limit-low1) and the upper limit time (limit-upp1) as upper and lower limits.
  • the processing unit 20 counts the number of messages received after the reference message and the reception interval at the upper limit time (limit-upp1).
  • the processing unit 20 updates (resets) the received message 1 (Msg1) as the reference message because the received message 1 (Msg1) is within the normal period range 1 and the number is 1.
  • the processing unit 20 sets the median value to be the design period (T) after the message 1 (Msg1) (reference message at this point), and the normal A period range 2 is calculated.
  • the processing unit 20 counts the number of messages received after the reference message updated (reset) by message 1 (Msg1) and the reception interval from the reference message. . Since the number of received messages (message 2 (Msg2), message 3 (Msg3)) is two or more within the normal period range 2, the processing unit 20 detects an abnormality (range determined to be abnormal), and after the normal cycle range 2 has passed, that is, after the upper limit time (limit-upp2) of the normal cycle range 2, the reference message is reacquired.
  • the processing unit 20 sets the message acquired (received) after the upper limit point (limit-upp2) of the normal cycle range 2 as the reference message, and specifies the normal cycle range 3.
  • the processing unit 20 updates (resets) the reference data (reference message) by repeating the above processing even when a plurality of data determined to be range abnormal is received, and the updated reference data Using the normal cycle range specified each time, the judgment processing of the data (message) received after the reference data is repeated.
  • FIG. 8 is an explanatory diagram relating to determination (combination) of data.
  • the processing unit 20 calculates the normal cycle range 1 with the median value after the design cycle (T) from the reference message and the lower limit time (limit-low1) and the upper limit time (limit-upp1) as upper and lower limits.
  • the processing unit 20 counts the number of messages received after the reference message and the reception interval at the upper limit time (limit-upp1).
  • the processing unit 20 updates (resets) the received message 1 (Msg1) as the reference message because the received message 1 (Msg1) is within the normal period range 1 and the number is 1.
  • the processing unit 20 sets the median value to be the design period (T) after the message 1 (Msg1) (reference message at this point), and the normal A period range 2 is calculated.
  • the processing unit 20 counts the number of messages received after the reference message updated (reset) by message 1 (Msg1) and the reception interval from the reference message. .
  • the processing unit 20 receives two messages outside the normal period range (message 2 (Msg2), message 3 (Msg3)) and two or more messages within the normal period range 2 (message 4 (Msg4), message 5 (Msg5 )), the message 2 (Msg2) and the message 3 (Msg3) are detected as anomalies (determined as specific anomalies).
  • the processing unit 20 determines that the message 4 (Msg4) and the message 5 (Msg5) are detected as abnormal (determines that the range is abnormal), and after the normal cycle range 2 has passed, reacquires the reference message.
  • the processing unit 20 updates (resets) the reference data (reference message) by repeating the above-described process even when a plurality of pieces of data determined to be specific abnormality or range abnormality are received, and the updated reference data (reference message) is updated. Using the normal cycle range specified each time by the reference data obtained, the judgment processing for the data (message) received after the reference data is repeated.
  • FIG. 9 is an explanatory diagram regarding the state transition of the processing unit 20 of the in-vehicle device 2.
  • the processing unit 20 of the in-vehicle device 2 transitions between a plurality of states in the course of performing the determination process.
  • the plurality of states are, for example, a reference data reception state (reference message acquisition state) in which reference data is received in identifying the normal cycle range, and whether the received data is correct or not based on the specified normal cycle range. and a determination execution state (periodic detection execution state) for determination.
  • the processing unit 20 of the in-vehicle device 2 is in the reference data reception state, and after that, when data is received for the first time (initial reception), it transitions to the determination execution state. After that, when the processing unit 20 in the determination execution state determines that the data acquired within the normal cycle range is normal, the processing unit 20 updates (resets) the normal data as the reference data, thereby changing the determination execution state. maintain.
  • the transition to the reference data reception state is not limited to the ON state of the IG switch 6, but may be the ON state of the battery or the transition at the time of wakeup from the communication sleep state.
  • the triggers for the processing unit 20 of the in-vehicle device 2 to transition to the reference data reception state are when the IG switch 6 is turned on, the battery is turned on, the ACC is turned on (accessory power is turned on), and when waking up from the communication sleep state. It may be based on various power triggers (power state transitions) such as transitions (receipt of a wakeup signal). That is, the processing unit 20 of the in-vehicle device 2 may transition to the reference data reception state by detecting the event when such an event related to the power supply trigger (transition of the power supply state) occurs. .
  • power state transitions such as transitions (receipt of a wakeup signal).
  • the processing unit 20 in the determination execution state detects an abnormality (range abnormality) due to acquisition of a plurality of data of the same type within the normal cycle range, or when the same type of data cannot be acquired within the normal cycle range. (Communication disruption detected), transition to the reference data reception state. After the normal cycle range has passed, that is, after the upper limit time (limit-upp) of the normal cycle range has passed, the processing unit 20 that has transitioned from the determination execution state to the reference data reception state receives the first acquired data of the same type. It is used as reference data, and transitions to the determination execution state.
  • range abnormality due to acquisition of a plurality of data of the same type within the normal cycle range, or when the same type of data cannot be acquired within the normal cycle range.
  • FIG. 10A and 10B are explanatory diagrams relating to determination modes by the processing unit of the in-vehicle device 2.
  • the processing unit 20 of the in-vehicle device 2 determines the upper limit time (limit -upp[t+1]), a unit determination period may be defined, and determination processing may be performed for each unit determination period.
  • the unit judgment period set in this way starts from the upper limit of the previous normal cycle range (limit-upp[t]) to the current lower limit of the normal cycle range (limit-low[t+1]).
  • the period until (period A) and the period from the lower limit of the normal cycle range (limit-low[t+1]) to the upper limit of the normal cycle range (limit-upp[t+1]) (Period B).
  • the processing unit 20 counts the number of received (acquired) data (data of the same type as the reference data) in each period A and period B, and counts the number of data in each period (period A and period B). Accordingly, determination processing and updating (resetting) of reference data may be performed.
  • the processing unit 20 If the number of pieces of data acquired in period A is 0 and the number of pieces of data acquired in period B is 0, the processing unit 20 experiences a communication cutoff (normal data is lost, etc.) in period B. It determines that it has been done, and transitions to the reference data reception state in order to use the data acquired after the upper limit time of the current normal cycle range as the reference data.
  • the processing unit 20 determines that the data received in period B is normal, and determines that the data received in period B is normal.
  • the data acquired in is used as reference data, and the judgment execution state is maintained.
  • the processing unit 20 treats the plurality of data received in period B as abnormal (range abnormal ), and transitions to the reference data reception state in order to use the data acquired after the upper limit time of the current normal cycle range as the reference data.
  • the processing unit 20 determines that the data received in period A is abnormal (specific abnormality). judge. The processing unit 20 determines that a communication interruption (normal data is lost, etc.) has occurred in the period B, and sets the data acquired after the upper limit time of the current normal cycle range as the reference data. Transition to receive state.
  • the processing unit 20 determines that the data received in period A is abnormal (specific abnormality).
  • the data received during the period B is determined to be normal, the data acquired during the period B is used as reference data, and the determination execution state is maintained.
  • the processing unit 20 determines that the data received in period A is abnormal (specific abnormality). Then, the plurality of data received in the period B are determined to be abnormal (range abnormal), and the data acquired after the upper limit time of the current normal cycle range has passed. transition to
  • the illustrated information in this embodiment may be stored in the storage unit 21 as a determination mode table, for example, in a table format.
  • the processing unit 20 may refer to the determination mode table based on the number of pieces of data counted for each unit determination period, and perform the determination process and update (reset) the reference data.
  • the processing unit 20 thus sets a different determination code for each processing mode determined by the number of received (acquired) data (data of the same type as the reference data) in each of period A and period B, For each unit determination period (upper limit time of the normal cycle range), the time information at the upper limit time and the determination code may be associated and stored in the storage unit 21 .
  • FIG. 11 is a flowchart illustrating the processing of the processing unit of the in-vehicle device 2.
  • the processing unit 20 of the in-vehicle device 2 steadily performs the following processing, for example, when the vehicle C is in an activated state (the IG switch 6 is on).
  • the processing unit 20 of the in-vehicle device 2 receives the reference data (S101).
  • the processing unit 20 transitions to the determination execution state by receiving the reference data.
  • the IG switch 6 When the IG switch 6 is turned on, the vehicle C is activated, and data such as CAN messages are transmitted from each vehicle-mounted ECU 3 connected to the vehicle-mounted network 4 by, for example, broadcasting.
  • the processing unit 20 of the in-vehicle device 2 performs the initial reception of data for each type classified by message ID (CAN-ID), for example.
  • the data received for the first time is set as reference data for specifying the normal cycle range.
  • the processing unit 20 of the in-vehicle device 2 When setting the received data as the reference data, the processing unit 20 of the in-vehicle device 2 associates the type of the data (message ID) with the reception point of time indicating the time at which the data was received, and stores them in the storage unit 21. It may be something to do. After that, the processing unit 20 of the in-vehicle device 2 performs the following processing for each data type (for example, each message ID).
  • the processing unit 20 of the in-vehicle device 2 identifies the normal cycle range (S102).
  • the processing unit 20 refers to the data type table stored in the storage unit 21 and identifies the normal cycle range based on the data type (message ID).
  • the normal cycle range may be specified by calculating based on the design cycle and the upper/lower limit ratio. For example, the design period (T), which is a transmission period determined in advance based on the type of data, is added to the reception time point (C) of the reference data to determine the central value (C+T) in the normal period range.
  • the upper and lower limit values (L) determined based on the upper and lower limit ratio are added (C+T+L) and subtracted (C+T-L) from the central value (C+T).
  • a range of ⁇ L (from (C+T ⁇ L) to (C+T+L)) is determined with respect to the central value (C+T), and this range corresponds to the normal cycle range.
  • the time point specified by adding the upper and lower limit values (L) to the central value (C+T) (C+T+L) corresponds to the upper limit time point (limit-upp) in the normal cycle range.
  • the time point specified by subtracting the upper and lower limit values (L) from the central value (C+T) (C+T-L) corresponds to the lower limit time point (limit-low) in the normal cycle range.
  • the upper and lower limit values (L) for addition and subtraction are equal to the center value (C + T), but the present invention is not limited to this, and the upper limit value (Lu) for addition and subtraction
  • the lower limit value (Ll) to be used may be set to a different value.
  • the processing unit 20 of the in-vehicle device 2 determines whether or not the same type of data has been acquired within the normal cycle range (S103).
  • the data of the same type is data of the same type as the received reference data, and when the data is, for example, a CAN message, messages (data) having the same message ID (CAN-ID) are data of the same type.
  • the processing unit 20 calculates a reception interval ( ⁇ T) from the point of time when the reference data is received to the point of time when the same type of data is received next.
  • the processing unit 20 determines whether the same type of data is acquired within the normal cycle range. may be determined.
  • the reception interval ( ⁇ T) from the point of reception of the reference data to the point of reception of the next received data of the same type is greater than or equal to the elapsed time from the point of reception of the reference data to the lower limit point (limit-low) of the normal cycle range. and within the elapsed time up to the upper limit point (limit-upp) of the normal cycle range, the processing unit 20 determines that the same type of data has been acquired within the normal cycle range. If the same type of data is not acquired before the upper limit point (limit-upp) of the normal cycle range elapses, the processing unit 20 determines that the same type of data was not acquired within the normal cycle range.
  • the processing unit 20 receives (acquires) the same type of data in the period from the lower limit time (limit-low) to the upper limit time (limit-upp) of the normal cycle range, based on whether the same type of data is received (acquired) within the normal cycle range. may be determined whether or not it has been acquired. That is, when the same kind of data is received in the period from the lower limit time (limit-low) to the upper limit time (limit-upp) of the normal cycle range (lower limit time ⁇ same kind of data reception time ⁇ upper limit time), the processing unit 20 determines that the same type of data is acquired within the normal cycle range.
  • the processing unit 20 of the in-vehicle device 2 performs loop processing to execute S101 again. If the same type of data is not acquired within the normal cycle range, it is determined that a communication interruption has occurred due to loss of the data, etc. Attempt to receive homogeneous data. The processing unit 20 transitions to the reference data reception state. If the loop processing from S103 to S101 is continuously performed, and the number of consecutive times reaches a predetermined threshold number such as 10 or exceeds the threshold number of times, the processing unit 20 returns to S101. The received data may be judged to be abnormal.
  • the processing unit 20 of the in-vehicle device 2 determines whether or not the number of data is one (S104).
  • the processing unit 20 of the in-vehicle device 2 counts the number of pieces of data of the same type received within the normal cycle range, that is, in the period from the lower limit time (limit-low) to the upper limit time (limit-upp) of the normal cycle range, It is determined whether the number of data is one (two or more).
  • the processing unit 20 of the in-vehicle device 2 stores in the storage unit 21 the time point of reception of each piece of data and the data type such as CAN-ID for all received (acquired) data in association with each other.
  • the processing unit 20 of the in-vehicle device 2 also stores the reception interval, which is the difference between the reception point of each of the data and the reception point of the reference data, in the storage unit 21 in association with the data type such as CAN-ID. There may be.
  • the processing unit 20 of the in-vehicle device 2 determines that the received data is normal (S105).
  • the data is data normally transmitted from one of the in-vehicle ECUs 3 based on the design cycle, and the processing unit of the in-vehicle device 2 20 determines that the received data is normal.
  • the processing unit 20 of the in-vehicle device 2 sets the received data as reference data to be used in the next determination process, and identifies the normal cycle range (S106).
  • the processing unit 20 of the in-vehicle device 2 sets the received data, that is, the data determined to be normal in the process of S105, as reference data used for determination processing of the same type of data to be received next. In this way, the processing unit 20 of the in-vehicle device 2 repeats setting the reference data based on the data determined to be normal in the immediately preceding process, so that the reference data corresponding to the load status of the in-vehicle network 4 in real time can be generated. setting (periodic resetting) can be continued.
  • the processing unit 20 of the in-vehicle device 2 identifies the normal cycle range based on the reference data reset in this way, as in the process of S102. Based on the specified normal cycle range, the processing unit 20 repeats correctness determination of data received thereafter.
  • the processing unit 20 of the in-vehicle device 2 judges that the plurality of data includes abnormal data within a predetermined range (normal cycle range), and that the range is abnormal.
  • the processing unit 20 of the in-vehicle device 2 stores the data types and reception times of the plurality of data determined to be range abnormal in the storage unit 21 as attack detection log data, and outputs them to the external server 100 or the display device 5. can be anything.
  • the processing unit 20 of the in-vehicle device 2 receives the reference data (S1042).
  • the processing unit 20 of the in-vehicle device 2 receives the same type of data received later than the normal cycle range as the reference data. Since the plurality of data determined to be range abnormal include at least one or more abnormal data, the processing unit 20 of the in-vehicle device 2 does not set the data determined to be range abnormal as reference data. do not have. As a result, it is possible to reliably avoid the fact that the correctness determination of the data acquired thereafter is performed based on the data determined to be range abnormal.
  • the processing unit 20 of the in-vehicle device 2 receives, as reference data, the same type of data received after the normal cycle range in which the plurality of data determined to be out of range are received.
  • the processing unit 20 of the in-vehicle device 2 identifies the normal cycle range (S1043).
  • the processing unit 20 of the in-vehicle device 2 sets the data received in S1042 as reference data to be used in the next determination process, and identifies the normal cycle range in the same manner as in the process of S102. Even when a plurality of data having range abnormality is received in this manner, the determination process can be continued or restarted by resetting the reference data based on the data received thereafter.
  • the processing unit 20 of the in-vehicle device 2 determines whether or not the same type of data has been received between the previous normal cycle range and the current normal cycle range (S107).
  • the normal cycle range is specified each time the reference data is set, and the specified normal cycle ranges are adjacent in time series. Since normal data is not transmitted in the period between two normal cycle ranges (T[t], T[t+1) adjacent to the time series, the data received (obtained) in that period is abnormal data.
  • the processing unit 20 of the in-vehicle device 2 is between the previous normal cycle range (T[t]) and the current normal cycle range (T[t+1]), that is, the previous Whether or not the same type of data is received between the time when the upper limit of the normal cycle range (limit-upp[t]) has passed and the time when the lower limit of the current cycle range (limit-low[t+1]) has passed judge.
  • the processing unit 20 of the in-vehicle device 2 determines that the received data has a specific abnormality (S108). If the number of received data is one, the processing unit 20 of the in-vehicle device 2 can individually identify the data as being abnormal, and determines that the data is specific abnormal. Moreover, even when the number of received data is two or more (plurality), the processing unit 20 of the in-vehicle device 2 determines each of these data to be a specific abnormality. The processing unit 20 of the in-vehicle device 2 stores the data type and the reception time of the single or multiple data determined as specific abnormality in the storage unit 21 as attack detection log data, and sends it to the external server 100 or the display device 5 It may be output.
  • the processing unit 20 of the in-vehicle device 2 When the same type of data is not received (S107: NO), or after executing S108, the processing unit 20 of the in-vehicle device 2 performs loop processing to execute S103 again. Needless to say, the normal cycle range used when executing S103 in the loop process is the normal cycle range specified in the process of S106 or S1043.
  • the processing unit 20 of the in-vehicle device 2 stores all the results (determination results) of the determination processing in this embodiment in the storage unit 21, or transmits (outputs) them to the external server 100 via the external communication device 1. There may be.
  • the processing unit 20 of the in-vehicle device 2 counts the number of pieces of received data in the determination process in the present embodiment.
  • a unit judgment period may be defined for the period up to the upper limit point (limit-upp[t+1]) of the current normal cycle range, and judgment processing may be performed for each unit judgment period. .
  • the processing unit 20 of the in-vehicle device 2 may perform the determination process at the upper limit point of each normal cycle range.
  • the unit determination period in which the processing unit 20 of the in-vehicle device 2 performs the determination process is set to the upper limit of the current normal cycle range after the upper limit time (limit-upp[t]) of the previous normal cycle range has passed.
  • the lower limit time (limit-low[t+1]) may be set as the unit determination period.
  • the processing unit 20 of the in-vehicle device 2 may perform processing according to individual flowcharts for each type of data when executing the flowcharts in this embodiment. That is, if the number of types (CAN-ID) of data to be determined is, for example, 10, the same number of sub-processes (10) are generated, and each sub-process The processing according to the flowchart may be performed in parallel.
  • the processing unit 20 of the in-vehicle device 2 performs all the processing, but the present invention is not limited to this. It may be performed in cooperation with the external server 100 by performing inter-process communication or the like.
  • In-vehicle system 100 External server 1 External communication device 11 Antenna 2 In-vehicle device (in-vehicle relay device) 20 processing unit (control unit) 21 storage unit 22 input/output I/F 23 in-vehicle communication unit 3 in-vehicle ECU 4 in-vehicle network 41 communication line 5 display device (HMI device) 6 IG switch

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)
  • Debugging And Monitoring (AREA)

Abstract

車載装置は、車両に搭載される車載ネットワークに接続される車載装置であって、前記車載ネットワークに流れるデータの正否の判定に関する処理を行う処理部を備え、前記処理部は、前記車載ネットワークに流れる複数のデータを受信し、受信した前記複数のデータにおいて、同種のデータを連続して受信した際の受信間隔を導出し、前記受信間隔と、連続して受信した同種のデータの内の先に受信したデータの受信時点を基準とした正常周期範囲とに基づき、連続して受信した同種のデータの内の後に受信したデータの正否の判定を行う。

Description

車載装置、プログラム及び情報処理方法
 本開示は、車載装置、プログラム及び情報処理方法に関する。
 従来、車両に搭載された複数の車載ECU(Electronic Control Unit)間の通信には、CANの通信プロトコルが広く採用されている。車両の多機能化及び高機能化に伴って、搭載される車載ECUの数が増加する傾向となるが、当該車載ECUをグループ(セグメント)に分けて車両ネットワークを構成し、同一グループとなる複数の車載ECUは共通の通信線で接続され相互にデータの送受信を行うと共に、異なるグループの車載ECU間のデータの送受信は、車載中継装置(ゲートウェイ)によって中継される(例えば、特許文献1)。
 特許文献1の車両ネットワークには、車載中継装置(ゲートウェイ)に加え、車両ネットワークのセグメント夫々に接続され、車両ネットワークに流れる不正なデータ(メッセージ)を検知する車両ネットワーク監視装置を備えている。当該車両ネットワーク監視装置は、不正なデータ(メッセージ)を検知したとき、車載制御装置(車載ECU)に対して警告情報(メッセージコード)を送信する。
特開2013-131907号公報
 本開示の一態様に係る車載装置は、車両に搭載される車載ネットワークに接続される車載装置であって、前記車載ネットワークに流れるデータの正否の判定に関する処理を行う処理部を備え、前記処理部は、前記車載ネットワークに流れる複数のデータを受信し、受信した前記複数のデータにおいて、同種のデータを連続して受信した際の受信間隔を導出し、前記受信間隔と、連続して受信した同種のデータの内の先に受信したデータの受信時点を基準とした正常周期範囲とに基づき、連続して受信した同種のデータの内の後に受信したデータの正否の判定を行う。
実施形態1に係る車載装置を含む車載システムの構成を例示する模式図である。 車載装置の物理構成を例示するブロック図である。 データ種別テーブルに関する説明図である。 データの判定(正常判定)に関する説明図である。 データの判定(通信途絶発生)に関する説明図である。 データの判定(異常(特定)判定)に関する説明図である。 データの判定(異常(範囲)判定)に関する説明図である。 データの判定(組み合わせ)に関する説明図である。 車載装置の処理部の状態遷移に関する説明図である。 車載装置の処理部による判定態様に関する説明図である。 車載装置の処理部の処理を例示するフローチャートである。
[本開示が解決しようとする課題]
 特許文献1の車両ネットワーク監視装置は、周期的に送信されるメッセージに対し、当該送信周期に基づき効率的に不正なメッセージを検出する点に関する考慮がされていないという問題点がある。
 本開示は、周期的に送信されるデータに対し、当該送信周期に基づき効率的に不正なデータを検出することができる車載装置等を提供することを目的とする。
[本開示の効果]
 本開示の一態様によれば、周期的に送信されるデータに対し、当該送信周期に基づき効率的に不正なデータを検出する車載装置等を提供することができる。
[本開示の実施形態の説明]
 最初に本開示の実施態様を列挙して説明する。また、以下に記載する実施形態の少なくとも一部を任意に組み合わせてもよい。
(1)本開示の一態様に係る車載装置は、車両に搭載される車載ネットワークに接続される車載装置であって、前記車載ネットワークに流れるデータの正否の判定に関する処理を行う処理部を備え、前記処理部は、前記車載ネットワークに流れる複数のデータを受信し、受信した前記複数のデータにおいて、同種のデータを連続して受信した際の受信間隔を導出し、前記受信間隔と、連続して受信した同種のデータの内の先に受信したデータの受信時点を基準とした正常周期範囲とに基づき、連続して受信した同種のデータの内の後に受信したデータの正否の判定を行う。
 本態様にあたっては、車載装置の処理部は、車載ネットワークに接続される車載ECUから送信されるCANメッセージ等の複数のデータを受信(取得)する。当該複数のデータは、例えば、同一のCAN-ID(メッセージID)となる同種のデータを含んでおり、処理部は、同種のデータを連続して受信した場合、先に受信したデータの受信時点と、後に受信したデータの受信時点との間隔となる受信間隔を導出する。処理部は、当該受信間隔と、先に受信したデータの受信時点を基準とした正常周期範囲とに基づき、後に受信したデータ(先に受信したデータと同種のデータ)の成否の判定を行うため、周期的に送信されるメッセージに対し、当該送信周期に基づき効率的に不正なメッセージを検出する。正常周期範囲は、連続して受信した同種の2つのデータにおいて、先に受信したデータの受信時点を基準に特定されるため、先に受信したデータの受信時点が、当該データの送信周期の開始時点から固定的に定められる受信時点に対し変動した場合であっても、当該正常周期範囲に基づき、後に受信したデータの正否判定を適切に行うことができる。
(2)本開示の一態様に係る車載装置は、前記正常周期範囲は、前記データの種別に基づき決定される送信周期を基準値として上下限値が設定された範囲である。
 本態様にあたっては、車載装置の処理部は、データの種別に基づき決定される送信周期(設計周期)を基準値とし、当該基準値を例えば中央値として上下限値を設定することにより、正常周期範囲を特定する。各車載ECUから送信されるCANメッセージ等のデータにおいて、例えば、同一のCAN-ID(メッセージID)となる同種のデータが送信される送信周期は、当該データの種別(メッセージID)によって予め決定されている。しかしながら、車載ネットワークのネットワーク負荷、車載ECUの演算負荷、又は車載中継装置の処理負荷に応じて、データが送信又は受信されるタイミングがずれ、当該送信周期から外れて、当該データが送信又は受信されることが発生する。これに対し、車載装置の処理部は、送信周期を基準値(例えば中央値)とし、当該送信周期の例えばa%等、所定の比率(上下限値比率)に相当する時間を加算した値を上限値とし、減算した値を下限値とした範囲を正常周期範囲とする。これにより、車載ネットワークのネットワーク負荷等にて影響されるデータの受信タイミングの遅延等の変動を吸収してロバスト性を向上させ、データの正否判定の精度向上を図ることができる。
(3)本開示の一態様に係る車載装置は、前記処理部は、前記受信間隔が、連続して受信した同種のデータの内の先に受信したデータの受信時点を基準とした前記正常周期範囲内である場合、連続して受信した同種のデータの内の後に受信したデータは正常であると判定し、前記受信間隔が、前記正常周期範囲内でない場合、連続して受信した同種のデータの内の後に受信したデータは異常であると判定する。
 本態様にあたっては、処理部は、連続して受信した同種の2つのデータによる受信間隔が、正常周期範囲内となる場合、後に受信したデータは正常であると判定し、正常周期範囲内でない場合、すなわち受信間隔が正常周期範囲外となる場合、後に受信したデータは異常であると判定するため、効率的にデータの正否判定を行うことができる。正常周期範囲は、例えば、先に受信したデータの受信時点に当該データの種別に基づき決定される送信周期を加算した時点に、上下限値が設定された範囲であるため、受信間隔が正常周期範囲内となることは、後に受信したデータの受信時点が、正常周期範囲によって定められる下限時点(limit-low)から上限時点(limit-upp)までの間に位置することを意味する。受信間隔が正常周期範囲外となることは、後に受信したデータの受信時点が、正常周期範囲によって定められる下限時点(limit-low)から上限時点(limit-upp)までの間に位置せず、例えば、下限時点(limit-low)よりも前の時点であることを意味する。このように受信間隔が、先に受信したデータの受信時点を基準に特定される正常周期範囲内であるか、範囲外であるかに基づき、後に受信したデータの正否判定を行うため、効率的に不正なデータを検出することができる。
(4)本開示の一態様に係る車載装置は、前記処理部は、前記正常周期範囲内に同種のデータを受信できなかった場合、前記正常周期範囲以降に受信した同種のデータの受信時点を基準に次の正常周期範囲を特定する。
 本態様にあたっては、正常周期範囲内に同種のデータを受信できなかった場合、すなわち正常周期範囲によって定められる下限時点(limit-low)から上限時点(limit-upp)までの間に、先のデータと同種のデータを受信できなかった場合、本来送信又は受信されるデータが、ネットワーク負荷等の影響によるロスト(消失)したことによる通信遮断が発生したことが考えられる。これに対し、車載装置の処理部は、正常周期範囲以降、すなわち当該正常周期範囲にて定められる上限時点(limit-upp)よりも後に受信したデータ(先のデータと同種のデータ)受信時点を基準に、正常周期範囲を特定する。これにより、データのロスト(消失)等による通信途絶が発生した場合であっても、正常周期範囲を特定するための基準となるデータを受信(再取得)することにより、当該データを受信(再取得)した後に受信したデータに対する正否判定処理を効率的に再開することができる。
(5)本開示の一態様に係る車載装置は、前記処理部は、前記正常周期範囲内にて受信した同種のデータの個数が一つの場合、該正常周期範囲内にて受信した一つのデータは正常であると判定し、前記正常周期範囲内にて受信した同種のデータの個数が複数の場合、該正常周期範囲内にて受信した複数のデータに含まれるいずれかのデータは異常であると判定する。
 本態様にあたっては、同種となる複数のデータが、順次に送信される際の送信周期は、当該データの種別に基づき予め決定しているため、正常周期範囲内にて受信、すなわち正常周期範囲によって定められる下限時点(limit-low)から上限時点(limit-upp)までの間に受信されるデータ(先のデータと同種のデータ)の個数は、本来的に1つである。これに対し、正常周期範囲内にて受信した同種のデータの個数が複数の場合、当該複数のデータには、異常なデータが含まれているものとなる。このように車載装置の処理部は、正常周期範囲内に複数の同種のデータを受信した場合、当該範囲内にて異常なデータが含まれていると判定することにより、所定の受信期間における範囲での異常検知(範囲異常検知)を効率的に行うことができる。
(6)本開示の一態様に係る車載装置は、前記処理部は、前記正常周期範囲内にて受信した同種のデータの個数が複数の場合、前記正常周期範囲以降に受信した同種のデータの受信時点を基準に次の正常周期範囲を特定する。
 本態様にあたっては、車載装置の処理部は、正常周期範囲内にて受信、すなわち正常周期範囲によって定められる下限時点(limit-low)から上限時点(limit-upp)までの間に受信されるデータ(先のデータと同種のデータ)の個数が2つ以上の複数である場合、正常周期範囲以降(上限時点(limit-upp)以降)に受信した同種のデータの受信時点を基準に、次の判定処理にて用いる正常周期範囲を特定する。すなわち、車載装置の処理部は、正常周期範囲内にて受信した複数のデータには、少なくとも1つ以上の異常なデータが含まれていると判定し、当該複数のデータにおけるいずれのデータも、以降の判定処理にて用いる正常周期範囲を特定するための基準のデータとして、用いない。車載装置の処理部は、このように判定した正常周期範囲の上限時点よりも後に受信した同種のデータの受信時点を基準に、以降の判定処理にて用いる正常周期範囲を特定するため、所定の受信期間における範囲での異常検知(範囲異常検知)がされた場合であっても、データの正否判定を効率的に継続(再開)することができる。
(7)本開示の一態様に係る車載装置は、前記処理部は、先に受信したデータの判定に用いられた前の正常周期範囲と、前記先に受信したデータの受信時点を基準とした今回の正常周期範囲との間にて、該データと同種のデータを受信した場合、該同種のデータは異常であると判定する。
 本態様にあたっては、同種となる複数のデータは、予め定められた送信周期(設計周期)に応じて順次に送信され、車載装置の処理部は、当該複数のデータを順次に受信するにあたり、受信したデータを基準に、次に受信するデータの正否判定を行うための正常周期範囲を特定する。従って、正常周期範囲は、順次に受信した複数のデータに応じて、順次に特定されるものとなる。車載装置の処理部は、先に受信したデータの判定の差異に用いた正常周期範囲(前の正常周期範囲)と、当該先に受信したデータの受信時点を基準とした正常周期範囲(今回の正常周期範囲)との間にて、該データと同種のデータを受信した場合、該同種のデータは異常(特定異常検知)であると判定する。すなわち、車載装置の処理部は、前の正常周期範囲によって定められる上限時点(limit-upp)と、今回の正常周期範囲によって定められる下限時点(limit-low)との間にて、先に受信したデータと同種のデータを受信した場合、当該同種のデータは異常であると判定する。車載装置の処理部は、このような判定ロジックを用いることにより、正常周期範囲外にて受信されたデータを効率的に異常であると判定することができる。
(8)本開示の一態様に係る車載装置は、前記処理部は、先に受信したデータの受信時点を基準とした正常周期範囲内にて、該データと同種のデータを1つ受信した場合、該同種のデータは正常であると判定し、正常であると判定したデータの受信時点を基準に次の正常周期範囲を特定する。
 本態様にあたっては、車載装置の処理部は、前の正常周期範囲によって定められる上限時点(limit-upp)と、今回の正常周期範囲によって定められる下限時点(limit-low)との間にて、先に受信したデータと同種のデータを受信した場合、当該同種のデータは異常であると判定する。更に、車載装置の処理部は、先に受信したデータの受信時点を基準とした正常周期範囲内、すなわち今回の正常周期範囲にて、同種のデータを1つ受信した場合、当該同種のデータは正常であると判定する。車載装置の処理部は、これら判定処理を行うにあたり、前の正常周期範囲の上限時点(limit-upp)から、今回の正常周期範囲の上限時点(limit-upp)までに受信した同種のデータの個数をカウントし、当該カウントとした同種のデータそれぞれにおける受信間隔に基づき、個々のデータの正否判定を行うものであってもよい。
(9)本開示の一態様に係る車載装置は、前記処理部は、複数の動作状態に遷移し、前記複数の動作状態は、前記正常周期範囲を特定するにあたり基準となるデータの受信を行う基準データ受信状態と、特定された前記正常周期範囲に基づき受信したデータの正否を判定する判定実行状態とを含む。
 本態様にあたっては、車載装置の処理部は、例えば、車両のIGスイッチがオンにされた以降にいずれかのデータが最初に受信(初回受信)されるまでの間、又は正常周期範囲内にて、正常と判定される後のデータを受信できなかった場合、処理部の状態は、正常周期範囲を特定するにあたり基準となるデータ(基準データ)の受信を行う基準データ受信状態に遷移する。当該基準データ受信状態に遷移した処理部は、基準となるデータ(基準データ)を受信すべく、当該データの受信を待ち受ける状態を継続する。車載装置の処理部は、正常周期範囲を特定するための基準となるデータ(基準データ)を受信した後、特定された正常周期範囲に基づき受信したデータの正否を判定する判定実行状態に遷移する。このように車載装置の処理部は、データの正否判定等に応じて、基準データ受信状態及び判定実行状態を含む複数の動作状態間にて遷移することにより、以降の処理にて用いる基準となるデータ(基準データ)を効率的に受信し、当該基準データに基づき正常周期範囲を効率的に特定することができる。
(10)本開示の一態様に係る車載装置は、前記処理部は、受信したデータが異常である判定した場合、異常の態様に応じた情報をアクセス可能な所定の記憶領域に記憶する。
 本態様にあたっては、車載装置の処理部は、受信したデータが異常である判定した場合、異常の態様に応じた情報を出力、又は自部からアクセス可能な所定の記憶領域に記憶するため、車両の操作者等に当該異常が発生した旨を効率的に報知することができる。
(11)本開示の一態様に係る車載装置は、前記処理部は、受信したデータの受信時点を基準に前記正常周期範囲を特定する際、前記基準となったデータの種類と受信時点とを関連付けてアクセス可能な所定の記憶領域に記憶する。
 本態様にあたっては、車載装置の処理部は、受信したデータの受信時点を基準に正常周期範囲を特定する際、基準となったデータの種類と受信時点とを関連付けて出力、又は自部からアクセス可能な所定の記憶領域に記憶するため、基準データ受信状態に遷移した際の情報を的確に記憶等することができる。
(12)本開示の一態様に係るプログラムは、コンピュータに、車両に搭載される車載ネットワークに流れる複数のデータを受信し、受信した前記複数のデータにおいて、同種のデータを連続して受信した際の受信間隔を導出し、前記受信間隔と、連続して受信した同種のデータの内の先に受信したデータの受信時点を基準とした正常周期範囲とに基づき、連続して受信した同種のデータの内の後に受信したデータの正否の判定を行う処理を実行させる。
 本態様にあたっては、コンピュータを、周期的に送信されるデータに対し、当該送信周期に基づき効率的に不正なデータを検出する車載装置として動作させることができる。
(13)本開示の一態様に係る情報処理方法は、コンピュータに、車両に搭載される車載ネットワークに流れる複数のデータを受信し、受信した前記複数のデータにおいて、同種のデータを連続して受信した際の受信間隔を導出し、前記受信間隔と、連続して受信した同種のデータの内の先に受信したデータの受信時点を基準とした正常周期範囲とに基づき、連続して受信した同種のデータの内の後に受信したデータの正否の判定を行う処理を実行させる。
 本態様にあたっては、コンピュータを、周期的に送信されるデータに対し、当該送信周期に基づき効率的に不正なデータを検出する車載装置として動作させる情報処理方法を提供することができる。
[本開示の実施形態の詳細]
 本開示をその実施の形態を示す図面に基づいて具体的に説明する。本開示の実施形態に係る車載装置2を、以下に図面を参照しつつ説明する。なお、本開示はこれらの例示に限定されるものではなく、請求の範囲によって示され、請求の範囲と均等の意味及び範囲内でのすべての変更が含まれることが意図される。
(実施形態1)
 以下、実施の形態について図面に基づいて説明する。図1は、実施形態1に係る車載装置2を含む車載システムの構成を例示する模式図である。図2は、車載装置2の物理構成を例示するブロック図である。
 車載システムSは、車両に搭載される車載装置2、車外通信装置1を含む。車載装置2は、車両に搭載される複数の車載ECU3間の通信を中継する。車載装置2は、車外通信装置1を介して車外ネットワークNを介して接続された外部サーバ100と通信し、外部サーバ100と、車両に搭載される車載ECU3との間の通信を中継するものであってもよい。
 外部サーバ100は、例えばインターネット又は公衆回線網等の車外ネットワークNに接続されているサーバ等のコンピュータであり、RAM(Random Access Memory)、ROM(Read Only Memory)又はハードディスク等による記憶部又はストレージ装置を備える。当該外部サーバ100の記憶部等は、車載装置2からアクセス可能な記憶領域に含まれる。
 車両Cには、車外通信装置1、車載装置2、表示装置5、及び種々の車載機器を制御するための複数の車載ECU3が搭載されている。車載装置2と車外通信装置1とは、例えばシリアルケーブル等のワイヤーハーネスにより通信可能に接続されている。車載装置2及び車載ECU3は、CAN(Control Area Network/登録商標)又はイーサネット(Ethernet/登録商標)等の通信プロトコルに対応した通信線41及び車載ネットワーク4によって通信可能に接続されている。車載装置2及び車載ECU3における通信プロトコルは、LIN、MOST、FlexRay等によるものであってもよい。
 車外通信装置1は、車外通信部(図示せず)及び、車載装置2と通信するための入出力I/F(図示せず)を含む。車外通信部は、3G、LTE、4G、WiFi等の移動体通信のプロトコルを用いて無線通信をするための通信装置であり、車外通信部に接続されたアンテナ11を介して外部サーバ100とデータの送受信を行う。車外通信装置1と外部サーバ100との通信は、例えば公衆回線網又はインターネット等の外部ネットワークNを介して行われる。入出力I/Fは、車載装置2と、例えばシリアル通信するための通信インターフェイスである。車外通信装置1と車載装置2とは、入出力I/F及び入出力I/Fに接続されたシリアルケーブル等のワイヤーハーネスを介して相互に通信する。本実施形態では、車外通信装置1は、車載装置2と別装置とし、入出力I/F等によってこれら装置を通信可能に接続しているが、これに限定されない。車外通信装置1は、車載装置2の一構成部位として、車載装置2に内蔵されるものであってもよい。
 車載装置2は、処理部20、記憶部21、入出力I/F22、及び車内通信部23を含む。車載装置2は、例えば、認知系の車載ECU3、判断系の車載ECU3及び、操作系の車載ECU3等の複数の通信線41による系統のセグメントを統括し、これらセグメント間での車載ECU3同士の通信を中継するゲートウェイ(CANゲートウェイ)等の車載中継装置である。複数の通信線41夫々は、各セグメントにおけるバス(CANバス)に相当する。車載装置2は、イーサSW等の車載中継装置、データ通信の中継機能に加え電源分配の機能を有するPLB(Power Lan Box)、中継機能を有し車両Cの全体を統合的に制御する統合ECUであってもよい。又は、車載装置2は、車両Cのボディ系アクチュエータを制御するボディECU等、車載ECU3の一機能部として構成されるものであってもよい。
 処理部20は、CPU(Central Processing Unit)又はMPU(Micro Processing Unit)等により構成してあり、記憶部21に予め記憶された制御プログラム及びデータを読み出して実行することにより、種々の制御処理及び演算処理等を行うようにしてある。処理部20は、車内通信部23を介して取得(受信)したデータ(メッセージ)の正否判定を行うと共に、車載装置2の全体的な制御を行う制御部として機能するものであってもよい。
 記憶部21は、RAM(Random Access Memory)等の揮発性のメモリ素子又は、ROM(Read Only Memory)、EEPROM(Electrically Erasable Programmable ROM)若しくはフラッシュメモリ等の不揮発性のメモリ素子により構成してあり、制御プログラム及び処理時に参照するデータが予め記憶してある。記憶部21に記憶された制御プログラムは、車載装置2が読み取り可能な記録媒体211から読み出された制御プログラムを記憶したものであってもよい。また、図示しない通信網に接続されている図示しない外部コンピュータから制御プログラムをダウンロードし、記憶部21に記憶させたものであってもよい。
 記憶部21には、車載ECU3間の通信、又は車載ECU3と外部サーバ100との間の通信のための中継処理を行うにあたり用いられる中継経路情報(ルーティングテーブル)が、記憶される。当該中継経路情報は、通信プロトコルに基づき書式が決定される。通信プロトコルがCANの場合、CAN用中継経路情報は、CANメッセージに含まれるメッセージ識別子(CAN-ID、メッセージID)及び、当該CAN-IDに関連付けられた中継先(車内通信部23のI/Oポート番号)を含む。
 入出力I/F22は、車外通信装置1の入出力I/Fと同様に、例えばシリアル通信するための通信インターフェイスである。例えば、入出力I/F22を介して、車載装置2は、車外通信装置1、表示装置5(HMI装置)及び、車両Cの起動及び停止を行うIGスイッチ6と通信可能に接続される。
 車内通信部23は、例えばCAN(Control Area Network)、CAN-FD(CAN with Flexible Data Rate)又はイーサネット(Ethernet/登録商標)の通信プロトコルを用いた入出力インターフェイスであり、処理部20は、車内通信部23を介して車載ネットワーク4に接続されている車載ECU3又は他の中継装置等の車載機器と相互に通信する。
 車内通信部23は、複数個設けられており、車内通信部23夫々に、車載ネットワーク4を構成する通信線41夫々(CANバス等)が接続されている。このように車内通信部23を複数個設けることにより、車載ネットワーク4を複数個のセグメントに分けるものであってもよい。車載ネットワーク4のトポロジー型式は、本実施形態における図示のようなバス型に限定されず、当該トポロジー型式は、例えば、車載装置2を中心としたスター型、複数の車載装置2によるリング型、又は車載装置2を最上位としたカスケード型であってもよい。
 車載ECU3は、車載装置2と同様に制御部(図示せず)、記憶部(図示せず)及び車内通信部(図示せず)を含む。記憶部は、RAM(Random Access Memory)等の揮発性のメモリ素子又は、ROM(Read Only Memory)、EEPROM(Electrically Erasable Programmable ROM)若しくはフラッシュメモリ等の不揮発性のメモリ素子により構成してあり、車載ECU3のプログラム又はデータが記憶されている。車載ECU3は、例えば、周期的にCANメッセージを送信し、車載装置2と通信する。車載ECU3は、センサ又はアクチュエータが接続され、統合ECUの配下に接続される個別ECUであってもよい。
 表示装置5は、例えばカーナビゲーションのディスプレイ等のHMI(Human Machine Interface)装置である。表示装置5は、車載装置2の入出力I/F22とシリアルケーブル等のハーネスにより通信可能に接続されている。表示装置5には、車載装置2の処理部20から入出力I/F22を介して出力されたデータ又は情報が表示される。
 図3は、データ種別テーブルに関する説明図である。処理部20が判定処理を行う際に参照する種々データは、車載装置2の記憶部21、車載ECU3又は外部サーバ100に接続されるストレージ装置等、処理部20からアクセス可能な所定の記憶領域に記憶されている。処理部20が判定処理を行うにあたり監視対象となるデータ種別は、例えば、テーブル形式にて構成されるデータ種別テーブルとして、記憶部21等に記憶されている。
 データ種別テーブルにて定義されている管理項目(フィールド)は、例えば、メッセージID、設計周期、上下限値比率、正常周期範囲、及び判定実行対象フラグを含む。
 メッセージIDの管理項目(フィールド)には、例えば、CANメッセージの種別を示すメッセージID(CAN-ID)が格納される。当該メッセージIDに基づき、受信させるデータの種別が決定される。判定対象のデータが、例えば、CANメッセージである場合、メッセージIDが同じCANメッセージは、同種のデータであるとして処理が行われる。
 データの種別を決定するための管理項目(フィールド)は、CANメッセージにおけるメッセージIDに限定されず、例えばTCP/IPパケットにおいては、当該パケットに含まれる送信元IPアドレス、送信先IPアドレス、TCPポート番号、UDPポート番号、又はこれらの組み合わせによるものであってもよい。
 設計周期は、データ(メッセージ)が、いずれかの車載ECU3等から送信される際、予め定められた送信周期を示すものであり、すなわち当該車載ECU3に実装されるアプリケーション等の設計仕様に基づく送信周期である。設計周期の管理項目(フィールド)には、個々のデータにおける設計周期(例えば、x[ms])が格納される。
 上下限値比率は、設計周期に基づき正常周期範囲を特定するための上下限値を示すものである。上下限値比率は、例えば、設計周期に対する比率(例えばa%、ただしa>0)として定義されるものであってもよく、又は、実時間(±x×a×0.01[ms])にて示されるものであってもよい。又は、上下限値比率は上限と下限で異なる比率であってもよい。
 正常周期範囲は、設計周期及び上下限値比率によって算出される範囲であり、受信したデータの正否を判定する際に用いられる情報である。例えば、設計周期がx[ms]、上下限値比率がa%(±x×a×0.01[ms])の場合、正常周期範囲は、x-x×a×0.01[ms]から、x+x×a×0.01[ms]となる。正常周期範囲を特定するにあたり基準となる基準データの受信時点を(Kms)とした場合、正常周期範囲の中央値は(K+x)ms、正常周期範囲の下限時点(limit-low)は{(K+x)-(x×a×0.01)}ms、正常周期範囲の上限時点(limit-upp)は{(K+x)+(x×a×0.01)}msの時点となる。本実施形態においては、データ種別テーブルは、設計周期及び上下限値比率と、正常周期範囲とを共に含むとしたが、これに限定されず、いずれかのみを含むものであってよいことは、言うまでもない。
 判定実行対象フラグは、車載ネットワーク4にて送受信されるデータにおいて、いずれの種別のデータを、正否判定の実行対象(監視対象)とするかを定めるフラグ値(1:監視対象、0:非監視対象)が格納される。このように車載ネットワーク4にて送受信されるデータにおいて、判定実行対象フラグが設定された種別のデータを正否判定の実行対象(監視対象)とすることにより、重要度が比較的に高いデータのみを監視対象にして、車載装置2(処理部)の処理負荷を低減することができる。
 図4は、データの判定(正常判定)に関する説明図である。本実施形態における図示において、特定のデータ種別のデータ(CANメッセージ等)に関する判定処理について説明する。当該図示において、横軸は時間(経過時間)を示す。
 車載装置2の処理部20は、例えば、記憶部21に記憶されているデータ種別テーブルにて定められるデータ(監視対象メッセージ)毎に、同種のデータ(同一のメッセージID)の受信間隔を算出し、受信間隔が正常周期範囲内に入っていれば、当該データ(メッセージ)を正常と判定する。
 処理部20は、受信間隔が正常周期範囲内に入っていない場合、又は正常周期範囲内にて複数のデータを受信した場合、当該データを異常と判定する。受信間隔が正常周期範囲内に入っていない場合は、どのメッセージが異常かを特定できた状態を示すものとなり、処理部20は、特定異常と判定する。正常周期範囲内にて複数のデータを受信した場合は、ある範囲に異常が含まれていることを検知した状態を示すものとなり、処理部20は、範囲異常と判定する。
 正常データ(メッセージ)と判定した場合、当該データ(メッセージ)を基準(基準データ)とし、当該基準データと、次に受信したデータ(メッセージ)との受信間隔を算出する。基準データ(基準メッセージ)は、監視対象メッセージのデータ種別(メッセージID)毎に設定し、基準データの取得状態において、初回受信メッセージと、2回目に受信したメッセージの受信間隔(ΔT)が正常範囲内だった場合、2回目に受信したデータ(メッセージ)を基準データ(基準メッセージ)とする。基準データの設定は2回に限らず、当該データが複数回連続した場合に決定する構成でもよい。すなわち、処理部20は、例えば、5回連続して受信間隔が正常範囲内だった場合、5回目に受信したデータ(メッセージ)を基準データ(基準メッセージ)とするものであってもよい。
 IGスイッチ6がオンされることにより車両Cが起動され、車載ネットワーク4に接続される個々の車載ECU3から、CANメッセージ等のデータが送信される。車載装置2の処理部20は、例えば、メッセージID(CAN-ID)等によって分類される各種別毎のデータの初回受信を行い、初回受信されたデータは、正常周期範囲を特定するための最初の基準データ(基準メッセージ)として設定される。
 処理部20は、基準データを受信した時刻等を示す受信時点に、記憶部21に記憶されているデータ種別テーブルを参照し、データの種別に基づき予め決定されている送信周期である設計周期(T)を加算し、加算された時点を中心値として、上下限値を加算、及び減算することにより、正常周期範囲を特定(導出)する。すなわち、正常周期範囲は、中心値に対し上限値が加算された上限時点(limit-upp)と、中心値に対し下限値が減算された下限時点(limit-low)との間の範囲(期間)に相当する。これにより、送信周期(設計周期)は、受信時刻(基準データの受信時点)からの相対時間となる。
 車載装置2の処理部20によって、繰り返し行われる判定処理を以下に説明する。処理部20は、基準メッセージから設計周期(T)後を中央値とし、下限時点(limit-low1)と上限時点(limit-upp1)を上下限とする正常周期範囲1を算出する。処理部20は、上限時点(limit-upp1)の時点で基準メッセージ以降に受信したメッセージの個数と受信間隔をカウントする。
 処理部20は、受信したメッセージ1(Msg1)が正常周期範囲1内かつ、個数が1個であるため、正常メッセージと判断しメッセージ1(Msg1)を基準メッセージとして更新(再設定)する。処理部20は、メッセージ1(Msg1)(この時点で基準メッセージ)から設計周期(T)後を中央値とし、下限時点(limit-low2)と上限時点(limit-upp2)を上下限とする正常周期範囲2を算出する。
 処理部20は、上限時点(limit-upp2)の時点で、メッセージ1(Msg1)により更新(再設定)された基準メッセージ以降に受信したメッセージの個数と、当該基準メッセージからの受信間隔をカウントする。処理部20は、受信したメッセージ2(Msg2)が正常周期範囲2内かつ、個数が1個であるため、メッセージ2(Msg2)を基準メッセージとして更新(再設定)する。
 処理部20は、車載装置2の処理部20は、上記の処理を繰り返すことにより、正常判定されたデータ(メッセージ)に基づき、基準データ(基準メッセージ)を更新(再設定)し、更新された基準データによって都度特定される正常周期範囲を用いて、当該基準データよりも後に受信したデータ(メッセージ)の判定処理を繰り返す。
 図5は、データの判定(通信途絶発生)に関する説明図である。処理部20は、基準メッセージから設計周期(T)後を中央値とし、下限時点(limit-low1)と上限時点(limit-upp1)を上下限とする正常周期範囲1を算出する。処理部20は、上限時点(limit-upp1)の時点で基準メッセージ以降に受信したメッセージの個数と受信間隔をカウントする。
 処理部20は、受信したメッセージ1(Msg1)が正常周期範囲1内かつ、個数が1個であるため、メッセージ1(Msg1)を基準メッセージとして更新(再設定)する。処理部20は、メッセージ1(Msg1)(この時点で基準メッセージ)から設計周期(T)後を中央値とし、下限時点(limit-low2)と上限時点(limit-upp2)を上下限とする正常周期範囲2を算出する。処理部20は、上限時点(limit-upp2)の時点で、メッセージ1(Msg1)により更新(再設定)された基準メッセージ以降に受信したメッセージの個数と、当該基準メッセージからの受信間隔をカウントする。
 処理部20は、正常周期範囲2において受信したメッセージが0個のため、通信途絶が発生したと判断し、当該正常周期範囲2が経過した後、すなわち正常周期範囲2の上限時点(limit-upp2)よりも後に基準メッセージの再取得を行う。処理部20は、正常周期範囲2の上限時点(limit-upp2)よりも後に取得(受信)したメッセージを基準メッセージとして設定し、正常周期範囲3を特定する。
 図6は、データの判定(異常(特定)判定)に関する説明図である。処理部20は、基準メッセージから設計周期(T)後を中央値とし、下限時点(limit-low1)と上限時点(limit-upp1)を上下限とする正常周期範囲1を算出する。処理部20は、上限時点(limit-upp1)の時点で基準メッセージ以降に受信したメッセージの個数と受信間隔をカウントする。
 処理部20は、受信したメッセージ1(Msg1)が正常周期範囲1内かつ、個数が1個であるため、メッセージ1(Msg1)を基準メッセージとして更新(再設定)する。処理部20は、メッセージ1(Msg1)(この時点で基準メッセージ)から設計周期(T)後を中央値とし、下限時点(limit-low2)と上限時点(limit-upp2)を上下限とする正常周期範囲2を算出する。
 処理部20は、上限時点(limit-upp2)の時点で、メッセージ1(Msg1)により更新(再設定)された基準メッセージ以降に受信したメッセージの個数と、当該基準メッセージからの受信間隔をカウントする。処理部20は、受信したメッセージが正常周期範囲外に1個(メッセージ2(Msg2))、正常周期範囲2内に1個(メッセージ3(Msg3))のため、メッセージ2(Msg2)を異常検知(特定異常と判定)とし、メッセージ3(Msg3)を基準メッセージとして更新(再設定)する。
 処理部20は、特定異常と判定されるデータを受信した場合であっても、上記の処理を繰り返すことにより、正常判定されたデータ(メッセージ)に基づき、基準データ(基準メッセージ)を更新(再設定)する。処理部20は、当該更新された基準データによって都度特定される正常周期範囲を用いて、当該基準データよりも後に受信したデータ(メッセージ)の判定処理を繰り返す。
 図7は、データの判定(異常(範囲)判定)に関する説明図である。処理部20は、基準メッセージから設計周期(T)後を中央値とし、下限時点(limit-low1)と上限時点(limit-upp1)を上下限とする正常周期範囲1を算出する。処理部20は、上限時点(limit-upp1)の時点で基準メッセージ以降に受信したメッセージの個数と受信間隔をカウントする。
 処理部20は、受信したメッセージ1(Msg1)が正常周期範囲1内かつ、個数が1個であるため、メッセージ1(Msg1)を基準メッセージとして更新(再設定)する。処理部20は、メッセージ1(Msg1)(この時点で基準メッセージ)から設計周期(T)後を中央値とし、下限時点(limit-low2)と上限時点(limit-upp2)を上下限とする正常周期範囲2を算出する。
 処理部20は、上限時点(limit-upp2)の時点で、メッセージ1(Msg1)により更新(再設定)された基準メッセージ以降に受信したメッセージの個数と、当該基準メッセージからの受信間隔をカウントする。処理部20は、受信したメッセージ(メッセージ2(Msg2)、メッセージ3(Msg3))が正常周期範囲2内に2個以上のため、メッセージ2(Msg2)、メッセージ3(Msg3)を異常検知(範囲異常と判定)とし、当該正常周期範囲2が経過した後、すなわち正常周期範囲2の上限時点(limit-upp2)よりも後に基準メッセージの再取得を行う。
 処理部20は、正常周期範囲2の上限時点(limit-upp2)よりも後に取得(受信)したメッセージを基準メッセージとして設定し、正常周期範囲3を特定する。処理部20は、範囲異常と判定される複数のデータを受信した場合であっても、上記の処理を繰り返すことにより、基準データ(基準メッセージ)を更新(再設定)し、更新された基準データによって都度特定される正常周期範囲を用いて、当該基準データよりも後に受信したデータ(メッセージ)の判定処理を繰り返す。
 図8は、データの判定(組み合わせ)に関する説明図である。処理部20は、基準メッセージから設計周期(T)後を中央値とし、下限時点(limit-low1)と上限時点(limit-upp1)を上下限とする正常周期範囲1を算出する。処理部20は、上限時点(limit-upp1)の時点で基準メッセージ以降に受信したメッセージの個数と受信間隔をカウントする。
 処理部20は、受信したメッセージ1(Msg1)が正常周期範囲1内かつ、個数が1個であるため、メッセージ1(Msg1)を基準メッセージとして更新(再設定)する。処理部20は、メッセージ1(Msg1)(この時点で基準メッセージ)から設計周期(T)後を中央値とし、下限時点(limit-low2)と上限時点(limit-upp2)を上下限とする正常周期範囲2を算出する。
 処理部20は、上限時点(limit-upp2)の時点で、メッセージ1(Msg1)により更新(再設定)された基準メッセージ以降に受信したメッセージの個数と、当該基準メッセージからの受信間隔をカウントする。処理部20は、受信したメッセージが正常周期範囲外に2個(メッセージ2(Msg2)、メッセージ3(Msg3))、正常周期範囲2内に2個以上(メッセージ4(Msg4)、メッセージ5(Msg5))のため、メッセージ2(Msg2)及びメッセージ3(Msg3)を異常検知(特定異常と判定)とする。処理部20は、メッセージ4(Msg4)及びメッセージ5(Msg5を異常検知(範囲異常と判定)とし、正常周期範囲2が経過した後、基準メッセージの再取得を行う。
 処理部20は、特定異常又は範囲異常と判定される複数のデータを受信した場合であっても、上記の処理を繰り返すことにより、基準データ(基準メッセージ)を更新(再設定)し、更新された基準データによって都度特定される正常周期範囲を用いて、当該基準データよりも後に受信したデータ(メッセージ)の判定処理を繰り返す。
 図9は、車載装置2の処理部20の状態遷移に関する説明図である。車載装置2の処理部20は、判定処理を行う過程において、複数の状態を遷移する。当該複数の状態は、例えば、正常周期範囲を特定するにあたり基準となるデータの受信を行う基準データ受信状態(基準メッセージの取得状態)と、特定された正常周期範囲に基づき受信したデータの正否を判定する判定実行状態(周期検知実行状態)とを含む。
 車載装置2の処理部20は、例えば、IGスイッチ6がオンされた直後は、基準データ受信状態となり、以降、最初にデータを受信(初回受信)した際、判定実行状態に遷移する。判定実行状態にある処理部20は、以降、正常周期範囲内にて取得したデータが正常であると判定した場合、当該正常データを基準データとして更新(再設定)することにより、判定実行状態を維持する。基準データ受信状態へは、IGスイッチ6のオンに限らずバッテリーのオン、又は通信スリープ状態からのウェイクアップ時の遷移でもよい。すなわち、車載装置2の処理部20が、基準データ受信状態に遷移するトリガーは、IGスイッチ6のオン、バッテリーのオン、ACCオン(アクセサリー電源のオン)、及び通信スリープ状態からのウェイクアップ時の遷移(ウェイクアップ信号の受信)等、様々な電源契機(電源状態の遷移)に基づくものであってもよい。すなわち、車載装置2の処理部20は、このような電源契機(電源状態の遷移)に関するイベントが発生した場合、当該イベント検知等することにより、基準データ受信状態に遷移するものであってもよい。
 判定実行状態にある処理部20は、正常周期範囲内にて複数の同種のデータを取得したことによる異常検知(範囲異常)、又は当該正常周期範囲内にて同種のデータを取得できなかった場合(通信途絶検出)、基準データ受信状態に遷移する。判定実行状態から基準データ受信状態に遷移した処理部20は、当該正常周期範囲を経過した後、すなわち正常周期範囲の上限時点(limit-upp)が経過した後、最初に取得した同種のデータを基準データとし、判定実行状態に遷移する。
 図10は、車載装置2の処理部による判定態様に関する説明図である。車載装置2の処理部20は、本実施形態における判定処理を行うにあたり、前の正常周期範囲の上限時点(limit-upp[t])の経過後から、今回の正常周期範囲の上限時点(limit-upp[t+1])までの間の期間を対象として単位判定期間を定め、当該単位判定期間毎に、判定処理を行うものであってもよい。このように設定された単位判定期間は、前の正常周期範囲の上限時点(limit-upp[t])の経過後から、今回の正常周期範囲の下限時点(limit-low[t+1])までの期間(期間A)と、今回の正常周期範囲の下限時点(limit-low[t+1])から、今回の正常周期範囲の上限時点(limit-upp[t+1])までの期間(期間B)とを含む。
 処理部20は、これら期間A及び期間Bのそれぞれにおいて、受信(取得)したデータ(基準データと同種のデータ)の個数をカウントし、それぞれの期間(期間A及び期間B)におけるデータの個数に応じて、判定処理、及び基準データの更新(再設定)を行うものであってもよい。
 期間Aにて取得したデータの個数が0個であり、期間Bにて取得したデータの個数が0個の場合、処理部20は、期間Bにて通信遮断(正常データがロスト等)が発生したと判定し、今回の正常周期範囲の上限時点を経過した後に取得したデータを基準のデータとすべく、基準データ受信状態に遷移する。
 期間Aにて取得したデータの個数が0個であり、期間Bにて取得したデータの個数が1個の場合、処理部20は、期間Bにて受信したデータを正常と判定し、期間Bにて取得したデータを基準のデータし、判定実行状態を維持する。
 期間Aにて取得したデータの個数が0個であり、期間Bにて取得したデータの個数が2個以上の場合、処理部20は、期間Bにて受信した複数のデータを異常(範囲異常)と判定し、今回の正常周期範囲の上限時点を経過した後に取得したデータを基準のデータとすべく、基準データ受信状態に遷移する。
 期間Aにて取得したデータの個数が1個以上であり、期間Bにて取得したデータの個数が0個の場合、処理部20は、期間Aにて受信したデータを異常(特定異常)と判定する。処理部20は、期間Bにて通信遮断(正常データがロスト等)が発生したと判定し、今回の正常周期範囲の上限時点を経過した後に取得したデータを基準のデータとすべく、基準データ受信状態に遷移する。
 期間Aにて取得したデータの個数が1個以上であり、期間Bにて取得したデータの個数が1個の場合、処理部20は、期間Aにて受信したデータを異常(特定異常)と判定し、期間Bにて受信したデータを正常と判定し、期間Bにて取得したデータを基準のデータとし、判定実行状態を維持する。
 期間Aにて取得したデータの個数が1個以上であり、期間Bにて取得したデータの個数が2個以上の場合、処理部20は、期間Aにて受信したデータを異常(特定異常)と判定し、期間Bにて受信した複数のデータを異常(範囲異常)と判定し、今回の正常周期範囲の上限時点を経過した後に取得したデータを基準のデータとすべく、基準データ受信状態に遷移する。
 本実施形態における図示の情報は、例えばテーブル形式にて、判定態様テーブルとして記憶部21に記憶されているものであってもよい。処理部20は、単位判定期間毎にカウントしたデータの個数に基づき、当該判定態様テーブルを参照して、判定処理、及び基準データの更新(再設定)を行うものであってもよい。処理部20は、このように期間A及び期間Bのそれぞれにおいて、受信(取得)したデータ(基準データと同種のデータ)の個数にて決定される処理形態毎に、異なる判定コードを設定し、単位判定期間(正常周期範囲の上限時点)毎に、当該上限時点の時刻情報と、判定コードとを関連付けて、記憶部21に記憶するものであってよい。
 図11は、車載装置2の処理部の処理を例示するフローチャートである。車載装置2の処理部20は、例えば車両Cが起動状態(IGスイッチ6がオン)において、定常的に以下の処理を行う。
 車載装置2の処理部20は、基準データを受信する(S101)。処理部20は、基準データを受信することにより、判定実行状態に遷移する。IGスイッチ6がオンされることにより車両Cが起動され、車載ネットワーク4に接続される個々の車載ECU3から、CANメッセージ等のデータが、例えばブロードキャストされることによって、送信される。車載装置2の処理部20は、これらデータを受信(取得)することにより、例えば、メッセージID(CAN-ID)等によって分類される各種別毎のデータの初回受信を行う。初回受信されたデータは、正常周期範囲を特定するための基準データとして、設定される。車載装置2の処理部20は、受信したデータを基準データとして設定するにあたり、当該データの種別(メッセージID)と、データを受信した時刻等を示す受信時点とを関連付けて、記憶部21に記憶するものであってもよい。車載装置2の処理部20は、以降、各データの種別毎(例えば、メッセージID毎)に、以下の処理を行う。
 車載装置2の処理部20は、正常周期範囲を特定する(S102)。処理部20は、例えば、記憶部21に記憶されているデータ種別テーブルを参照し、データの種別(メッセージID)に基づき、正常周期範囲を特定する。正常周期範囲を特定するにあたり、設計周期及び上下限比率に基づき、当該正常周期範囲を演算して特定するものであってもよい。例えば、データの種別に基づき予め決定されている送信周期である設計周期(T)を、基準データの受信時点(C)に加算し、正常周期範囲における中心値(C+T)を決定する。当該中心値(C+T)に対し、例えば、上下限比率に基づき決定される上下限値(L)を加算(C+T+L)、及び減算(C+T-L)する。これにより、中心値(C+T)に対し、±Lによる範囲((C+T-L)から(C+T+L))が確定し、当該範囲が正常周期範囲に相当する。中心値(C+T)に対し、上下限値(L)を加算(C+T+L)することによって特定された時点は、正常周期範囲における上限時点(limit-upp)に相当する。中心値(C+T)に対し、上下限値(L)を減算(C+T-L)することによって特定された時点は、正常周期範囲における下限時点(limit-low)に相当する。
 このように正常周期範囲を特定することにより、基準データの受信以降に受信するデータ(基準データと同種のデータ)の正否判定を行うための時点情報を確定することができる。本実施形態において、中心値(C+T)に対し、加算及び減算する上下限値(L)は等しい値を用いているが、これに限定されず、加算する上限値(Lu)と、減算する下限値(Ll)とを、異なる値とするものであってよい。
 車載装置2の処理部20は、正常周期範囲内に同種のデータを取得したか否かを判定する(S103)。同種のデータとは、受信した基準データの種類と同じデータであり、当該データが例えばCANメッセージである場合、メッセージID(CAN-ID)が同じメッセージ(データ)同士が、同種のデータとなる。処理部20は、例えば、基準データの受信時点から、次に受信した同種のデータの受信時点までの受信間隔(ΔT)を算出する。当該受信間隔(ΔT)が、正常周期範囲内であるか否か、すなわち受信間隔(ΔT)が、基準データの受信時点から正常周期範囲の下限時点(limit-low)までの経過時間以上であり、かつ基準データの受信時点から正常周期範囲の上限時点(limit-upp)までの経過時間以内であるか否かにより、処理部20は、正常周期範囲内に同種のデータを取得したか否かを判定するものであってもよい。
 基準データの受信時点から、次に受信した同種のデータの受信時点までの受信間隔(ΔT)が、基準データの受信時点から正常周期範囲の下限時点(limit-low)までの経過時間以上であり、かつ正常周期範囲の上限時点(limit-upp)までの経過時間以内である場合、処理部20は正常周期範囲内に同種のデータを取得したと判定する。正常周期範囲の上限時点(limit-upp)が経過するよりも以前に、同種のデータを取得しなかった場合、処理部20は正常周期範囲内に同種のデータを取得しなかったと判定する。又は、処理部20は、正常周期範囲の下限時点(limit-low)から上限時点(limit-upp)までの期間における同種のデータの受信(取得)有無に基づき、正常周期範囲内に同種のデータを取得したか否かを判定するものであってもよい。すなわち、正常周期範囲の下限時点(limit-low)から上限時点(limit-upp)までの期間における同種のデータの受信した場合(下限時点≦同種のデータの受信時点≦上限時点)、処理部20は、正常周期範囲内に同種のデータを取得したと判定する。
 同種のデータを取得しなかった場合(S103:NO)、車載装置2の処理部20は、再度S101を実行すべく、ループ処理を行う。正常周期範囲内にて、同種のデータを取得しなかった場合、当該データのロスト等による通信途絶が発生したと判定し、車載装置2の処理部20は、再度S101を実行することにより、当該同種のデータの受信を試みる。処理部20は、基準データ受信状態に遷移する。処理部20は、S103からS101へのループ処理が連続して行われ、当該連続した回数が、例えば10回等の所定の閾値回数に到達した場合、又は当該閾値回数を超過した場合、S101にて受信したデータは異常であると判定するものであってもよい。
 同種のデータを取得した場合(S103:YES)、車載装置2の処理部20は、データの個数は1つであるか、否かを判定する(S104)。車載装置2の処理部20は、正常周期範囲内、すなわち正常周期範囲の下限時点(limit-low)から上限時点(limit-upp)までの期間にて受信した同種のデータの個数をカウントし、当該データの個数が1つであるか、否か(2つ以上の複数であるか)を判定する。
 車載装置2の処理部20は、受信(取得)した全てのデータにおいて、当該データそれぞれの受信時点と、CAN-ID等のデータ種別とを、関連付けて記憶部21に記憶する。車載装置2の処理部20は、当該データそれぞれの受信時点と、基準データの受信時点との差分となる受信間隔についても、CAN-ID等のデータ種別と関連付けて記憶部21に記憶するものであってもよい。
 受信したデータの個数が1つである場合(S104:YES)、車載装置2の処理部20は、受信したデータは、正常と判定する(S105)。正常周期範囲内にて取得した受信したデータの個数が1つである場合、当該データは、設計周期に基づき、いずれかの車載ECU3から正常に送信されたデータであり、車載装置2の処理部20は、受信したデータは、正常と判定する。
 車載装置2の処理部20は、受信したデータを次の判定処理に用いる基準データに設定し、正常周期範囲を特定する(S106)。車載装置2の処理部20は、受信したデータ、すなわちS105の処理にて正常と判定したデータを、次に受信する同種のデータの判定処理に用いる基準データに設定する。このように、車載装置2の処理部20は、直前の処理にて正常と判定されたデータによって基準データを設定することを繰り返すことにより、車載ネットワーク4の負荷状況等にリアルタイムに対応した基準データの設定(周期的な再設定)を継続して行うことができる。車載装置2の処理部20は、このように再設定した基準データに基づき、S102の処理と同様に正常周期範囲を特定する。処理部20は、当該特定した正常周期範囲に基づき、以降に受信されるデータの正否判定を繰り返す。
 受信したデータの個数が1つでない場合(S104:NO)、すなわち受信した同種のデータの個数が2つ以上(複数)である場合、受信した複数データは、範囲異常であると判定する(S1041)。単一の正常周期範囲内にて受信した複数のデータ(同種のデータ)において、少なくとも1つ以上のデータは、異常なデータである。この場合、車載装置2の処理部20は、これら複数のデータに対し、所定の範囲(正常周期範囲)に異常なデータが含まれるとして、範囲異常であると判定する。車載装置2の処理部20は、範囲異常と判定されたこれら複数のデータのデータ種別及び受信時点を、攻撃検知ログデータとして、記憶部21に記憶し、外部サーバ100又は表示装置5に出力するものであってもよい。
 車載装置2の処理部20は、基準データを受信する(S1042)。車載装置2の処理部20は、正常周期範囲よりも後に受信した同種のデータを、基準データとして受信する。範囲異常と判定されたこれら複数のデータは、少なくとも1つ以上の異常なデータを含むため、車載装置2の処理部20は、当該範囲異常とされたデータを基準データとして設定することは、行わない。これにより、範囲異常とされたデータによって、以降に取得したデータの正否判定が行われることを、確実に回避することができる。車載装置2の処理部20は、範囲異常とされた複数のデータが受信された正常周期範囲よりも後に受信した同種のデータを、基準データとして受信する。
 車載装置2の処理部20は、正常周期範囲を特定する(S1043)。車載装置2の処理部20は、S1042にて受信したデータを次の判定処理に用いる基準データに設定し、S102の処理と同様に正常周期範囲を特定する。このように範囲異常とされた複数のデータが受信された場合であっても、以降に受信したデータに基づき、基準データを再設定することにより、判定処理を継続又は再開することができる。
 車載装置2の処理部20は、S106又はS1043の実行後、前の正常周期範囲から今回の正常周期範囲までの間に同種のデータを受信したか否かを判定する(S107)。正常周期範囲は、基準データが設定される都度特定されるものとなり、特定された正常周期範囲それぞれは、時系列に隣接するものとなる。時系列に隣接する2つの正常周期範囲(T[t]、T[t+1)の間の期間においては、正常なデータは送信されないため、当該期間にて受信(取得)したデータは、異常なデータである。車載装置2の処理部20は、S106又はS1043の処理の実行後、前の正常周期範囲(T[t])から今回の正常周期範囲(T[t+1])までの間、すなわち前の正常周期範囲の上限時点(limit-upp[t])の経過後から、今回の正常周期範囲の下限時点(limit-low[t+1])までの間に同種のデータを受信したか否かを判定する。
 同種のデータを受信した場合(S107:YES)、車載装置2の処理部20は、受信したデータは特定異常と判定する(S108)。受信したデータの個数が、一つである場合、車載装置2の処理部20は、当該データは異常であると個別に特定できるものであり、特定異常であると判定する。また、受信したデータの個数が、2つ以上(複数)である場合であっても、車載装置2の処理部20は、これらデータそれぞれを、特定異常であると判定する。車載装置2の処理部20は、特定異常と判定された単一又は複数のデータのデータ種別及び受信時点を、攻撃検知ログデータとして、記憶部21に記憶し、外部サーバ100又は表示装置5に出力するものであってもよい。
 同種のデータを受信しなかった場合(S107:NO)、又はS108の実行後、車載装置2の処理部20は、再度S103を実行すべく、ループ処理を行う。ループ処理にてS103を実行する際に用いられる正常周期範囲は、S106又はS1043の処理にて特定された正常周期範囲であることは、言うまでもない。車載装置2の処理部20は、本実施形態における判定処理の全ての結果(判定結果)を記憶部21に記憶し、又は車外通信装置1を介して外部サーバ100に送信(出力)するものであってもよい。
 車載装置2の処理部20は、本実施形態における判定処理にて、受信したデータの個数をカウントするにあたり、例えば、前の正常周期範囲の上限時点(limit-upp[t])の経過後から、今回の正常周期範囲の上限時点(limit-upp[t+1])までの間の期間を対象として単位判定期間を定め、当該単位判定期間毎に、判定処理を行うものであってもよい。この場合、車載装置2の処理部20は、個々の正常周期範囲の上限時点において、当該判定処理を行うものであってよい。本実施形態において、車載装置2の処理部20が判定処理を行う単位判定期間を、前の正常周期範囲の上限時点(limit-upp[t])の経過後から、今回の正常周期範囲の上限時点(limit-upp[t+1])としたが、これに限定されず、例えば、前の正常周期範囲の下限時点(limit-low[t])の経過後から、今回の正常周期範囲の下限時点(limit-low[t+1])を単位判定期間とするものであってもよい。
 車載装置2の処理部20は、本実施形態におけるフローチャートを実行するにあたり、データの種別毎に、個々のフローチャートにより処理を行うものであってもよい。すなわち、判定実行対象となっているデータの種別(CAN-ID)の個数が、例えば10個である場合、当該個数の同数(10個)のサブプロセスを生成し、個々のサブプロセスにて当該フローチャートによる処理を並行して行うものであってもよい。
 本実施形態において、車載装置2の処理部20が全ての処理を行うとしたがこれに限定されず、処理の一部は、例えば、車載装置2の処理部20と、いずれかの車載ECU3又は外部サーバ100とがプロセス間通信等を行うことにより協働して行うものであってもよい。
 今回開示された実施形態はすべての点で例示であって、制限的なものではないと考えられるべきである。本発明の範囲は、上記した意味ではなく、請求の範囲によって示され、請求の範囲と均等の意味及び範囲内でのすべての変更が含まれることが意図される。
 C 車両 
 S 車載システム
 100 外部サーバ
 1 車外通信装置
 11 アンテナ
 2 車載装置(車載中継装置)
 20 処理部(制御部)
 21 記憶部
 22 入出力I/F
 23 車内通信部
 3 車載ECU
 4 車載ネットワーク
 41 通信線
 5 表示装置(HMI装置)
 6 IGスイッチ

Claims (13)

  1.  車両に搭載される車載ネットワークに接続される車載装置であって、
     前記車載ネットワークに流れるデータの正否の判定に関する処理を行う処理部を備え、
     前記処理部は、
     前記車載ネットワークに流れる複数のデータを受信し、
     受信した前記複数のデータにおいて、同種のデータを連続して受信した際の受信間隔を導出し、
     前記受信間隔と、連続して受信した同種のデータの内の先に受信したデータの受信時点を基準とした正常周期範囲とに基づき、連続して受信した同種のデータの内の後に受信したデータの正否の判定を行う
     車載装置。
  2.  前記正常周期範囲は、前記データの種別に基づき決定される送信周期を基準値として上下限値が設定された範囲である
     請求項1に記載の車載装置。
  3.  前記処理部は、
     前記受信間隔が、連続して受信した同種のデータの内の先に受信したデータの受信時点を基準とした前記正常周期範囲内である場合、連続して受信した同種のデータの内の後に受信したデータは正常であると判定し、
     前記受信間隔が、前記正常周期範囲内でない場合、連続して受信した同種のデータの内の後に受信したデータは異常であると判定する
     請求項1又は請求項2に記載の車載装置。
  4.  前記処理部は、
     前記正常周期範囲内に同種のデータを受信できなかった場合、前記正常周期範囲以降に受信した同種のデータの受信時点を基準に次の正常周期範囲を特定する
     請求項1から請求項3のいずれか1項に記載の車載装置。
  5.  前記処理部は、
     前記正常周期範囲内にて受信した同種のデータの個数が一つの場合、該正常周期範囲内にて受信した一つのデータは正常であると判定し、
     前記正常周期範囲内にて受信した同種のデータの個数が複数の場合、該正常周期範囲内にて受信した複数のデータに含まれるいずれかのデータは異常であると判定する
     請求項1から請求項4のいずれか1項に記載の車載装置。
  6.  前記処理部は、
     前記正常周期範囲内にて受信した同種のデータの個数が複数の場合、前記正常周期範囲以降に受信した同種のデータの受信時点を基準に次の正常周期範囲を特定する
     請求項1から請求項5のいずれか1項に記載の車載装置。
  7.  前記処理部は、
     先に受信したデータの判定に用いられた前の正常周期範囲と、前記先に受信したデータの受信時点を基準とした今回の正常周期範囲との間にて、該データと同種のデータを受信した場合、該同種のデータは異常であると判定する
     請求項1から請求項6のいずれか1項に記載の車載装置。
  8.  前記処理部は、
     先に受信したデータの受信時点を基準とした正常周期範囲内にて、該データと同種のデータを1つ受信した場合、該同種のデータは正常であると判定し、
     正常であると判定したデータの受信時点を基準に次の正常周期範囲を特定する
     請求項1から請求項7のいずれか1項に記載の車載装置。
  9.  前記処理部は、複数の動作状態に遷移し、
     前記複数の動作状態は、前記正常周期範囲を特定するにあたり基準となるデータの受信を行う基準データ受信状態と、特定された前記正常周期範囲に基づき受信したデータの正否を判定する判定実行状態とを含む
     請求項1から請求項8のいずれか1項に記載の車載装置。
  10.  前記処理部は、受信したデータが異常である判定した場合、異常の態様に応じた情報をアクセス可能な所定の記憶領域に記憶する
     請求項1から請求項9のいずれか1項に記載の車載装置。
  11.  前記処理部は、受信したデータの受信時点を基準に前記正常周期範囲を特定する際、前記基準となったデータの種類と受信時点とを関連付けてアクセス可能な所定の記憶領域に記憶する
     請求項1から請求項10のいずれか1項に記載の車載装置。
  12.  コンピュータに、
     車両に搭載される車載ネットワークに流れる複数のデータを受信し、
    受信した前記複数のデータにおいて、同種のデータを連続して受信した際の受信間隔を導出し、
     前記受信間隔と、連続して受信した同種のデータの内の先に受信したデータの受信時点を基準とした正常周期範囲とに基づき、連続して受信した同種のデータの内の後に受信したデータの正否の判定を行う
     処理を実行させるプログラム。
  13.  コンピュータに、
     車両に搭載される車載ネットワークに流れる複数のデータを受信し、
    受信した前記複数のデータにおいて、同種のデータを連続して受信した際の受信間隔を導出し、
     前記受信間隔と、連続して受信した同種のデータの内の先に受信したデータの受信時点を基準とした正常周期範囲とに基づき、連続して受信した同種のデータの内の後に受信したデータの正否の判定を行う
     処理を実行させる情報処理方法。
     
PCT/JP2021/007673 2021-03-01 2021-03-01 車載装置、プログラム及び情報処理方法 WO2022185370A1 (ja)

Priority Applications (8)

Application Number Priority Date Filing Date Title
PCT/JP2021/007673 WO2022185370A1 (ja) 2021-03-01 2021-03-01 車載装置、プログラム及び情報処理方法
JP2022535950A JP7184225B1 (ja) 2021-03-01 2021-08-04 車載装置、プログラム及び情報処理方法
CN202180046362.2A CN115777191A (zh) 2021-03-01 2021-08-04 车载装置、程序及信息处理方法
US18/250,295 US20240007831A1 (en) 2021-03-01 2021-08-04 In-vehicle apparatus, computer program and information processing method
PCT/JP2021/029001 WO2022185566A1 (ja) 2021-03-01 2021-08-04 車載装置、プログラム及び情報処理方法
JP2022181151A JP7444223B2 (ja) 2021-03-01 2022-11-11 車載装置、プログラム及び情報処理方法
JP2023196208A JP2024020458A (ja) 2021-03-01 2023-11-17 車載装置、プログラム及び情報処理方法
JP2023196209A JP2024020459A (ja) 2021-03-01 2023-11-17 車載装置、プログラム及び情報処理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2021/007673 WO2022185370A1 (ja) 2021-03-01 2021-03-01 車載装置、プログラム及び情報処理方法

Publications (1)

Publication Number Publication Date
WO2022185370A1 true WO2022185370A1 (ja) 2022-09-09

Family

ID=83155203

Family Applications (2)

Application Number Title Priority Date Filing Date
PCT/JP2021/007673 WO2022185370A1 (ja) 2021-03-01 2021-03-01 車載装置、プログラム及び情報処理方法
PCT/JP2021/029001 WO2022185566A1 (ja) 2021-03-01 2021-08-04 車載装置、プログラム及び情報処理方法

Family Applications After (1)

Application Number Title Priority Date Filing Date
PCT/JP2021/029001 WO2022185566A1 (ja) 2021-03-01 2021-08-04 車載装置、プログラム及び情報処理方法

Country Status (4)

Country Link
US (1) US20240007831A1 (ja)
JP (4) JP7184225B1 (ja)
CN (1) CN115777191A (ja)
WO (2) WO2022185370A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20240037618A (ko) * 2022-09-15 2024-03-22 고려대학교 산학협력단 Can 메시지의 난독화 방법
JP2024134398A (ja) * 2023-03-20 2024-10-03 株式会社オートネットワーク技術研究所 車載装置、プログラム及び情報処理方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018026663A (ja) * 2016-08-09 2018-02-15 東芝デジタルソリューションズ株式会社 ネットワーク監視装置およびプログラム
JP2019068253A (ja) * 2017-09-29 2019-04-25 株式会社デンソー 異常検知装置、異常検知方法、プログラム及び通信システム
JP2020102771A (ja) * 2018-12-21 2020-07-02 パナソニックIpマネジメント株式会社 電子制御装置、電子制御装置の制御方法及びプログラム
JP2020129785A (ja) * 2019-02-12 2020-08-27 富士通株式会社 攻撃検知装置および攻撃検知方法
JP2020145547A (ja) * 2019-03-05 2020-09-10 トヨタ自動車株式会社 不正送信データ検知装置

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000346871A (ja) * 1999-06-02 2000-12-15 Xanavi Informatics Corp 回転角速度検出装置
JP6281535B2 (ja) * 2015-07-23 2018-02-21 株式会社デンソー 中継装置、ecu、及び、車載システム
JP2017091456A (ja) * 2015-11-17 2017-05-25 富士通株式会社 制御装置、制御プログラムおよび制御方法
JP6684690B2 (ja) * 2016-01-08 2020-04-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知方法、監視電子制御ユニット及び車載ネットワークシステム
JP6798280B2 (ja) * 2016-11-29 2020-12-09 富士通株式会社 攻撃検知装置、攻撃検知方法、および、攻撃検知プログラム
JP2019160155A (ja) * 2018-03-16 2019-09-19 株式会社リコー 情報処理装置、情報処理方法、及びプログラム
WO2020090108A1 (ja) * 2018-11-02 2020-05-07 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正制御防止システムおよび、不正制御防止方法
CN111147448B (zh) * 2019-12-06 2022-06-07 中科曙光(南京)计算技术有限公司 一种can总线洪范攻击防御系统及方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018026663A (ja) * 2016-08-09 2018-02-15 東芝デジタルソリューションズ株式会社 ネットワーク監視装置およびプログラム
JP2019068253A (ja) * 2017-09-29 2019-04-25 株式会社デンソー 異常検知装置、異常検知方法、プログラム及び通信システム
JP2020102771A (ja) * 2018-12-21 2020-07-02 パナソニックIpマネジメント株式会社 電子制御装置、電子制御装置の制御方法及びプログラム
JP2020129785A (ja) * 2019-02-12 2020-08-27 富士通株式会社 攻撃検知装置および攻撃検知方法
JP2020145547A (ja) * 2019-03-05 2020-09-10 トヨタ自動車株式会社 不正送信データ検知装置

Also Published As

Publication number Publication date
CN115777191A (zh) 2023-03-10
JP2024020459A (ja) 2024-02-14
US20240007831A1 (en) 2024-01-04
JP2024020458A (ja) 2024-02-14
JP7184225B1 (ja) 2022-12-06
JP2023010792A (ja) 2023-01-20
JPWO2022185566A1 (ja) 2022-09-09
WO2022185566A1 (ja) 2022-09-09
JP7444223B2 (ja) 2024-03-06

Similar Documents

Publication Publication Date Title
JP2024020459A (ja) 車載装置、プログラム及び情報処理方法
CN109278674B (zh) 无人驾驶汽车系统安全检测方法、装置、设备及存储介质
CN112823495B (zh) 检测装置、网关装置、检测方法和检测程序
CN109634260B (zh) 车辆控制器在线监控方法
US20200412753A1 (en) Abnormality detection device
US10223319B2 (en) Communication load determining apparatus
US20150304225A1 (en) Data processing apparatus and program
JP7564022B2 (ja) 分析装置
JP7375619B2 (ja) 異常検知装置
WO2020105657A1 (ja) 車載中継装置及び中継方法
JP6172754B2 (ja) 通信装置及び通信方法
JP5700426B2 (ja) 車両用ネットワークシステム
CN114051710B (zh) 信息处理装置及正规通信判定方法
WO2020012822A1 (ja) 演算システム、演算装置
WO2024195486A1 (ja) 車載装置、プログラム及び情報処理方法
JP7226248B2 (ja) 通信装置および異常判定装置
CN114503518A (zh) 检测装置、车辆、检测方法及检测程序
WO2024004594A1 (ja) 中継装置、情報処理方法及び車載システム
WO2024195467A1 (ja) 車載装置、プログラム及び情報処理方法
KR101231933B1 (ko) 전자 장비의 오류 관리 시스템 및 방법
US20240177540A1 (en) Vehicle monitoring device and vehicle monitoring method
JP4750606B2 (ja) 動作監視ユニット
CN116744303A (zh) 通信控制装置及方法、非暂时性计算机可读记录介质
CN111429740A (zh) 异常通知装置
CN113485291A (zh) 车载网关对can总线节点通信故障监测方法及网关设备

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 21928948

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 21928948

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: JP