車両ネットワークの通信管理装置
【課題】簡易な構成でありながら、外部データの入力規制を通じて、車両ネットワークとしての通信の信頼性を維持することのできる車両ネットワークの通信管理装置を提供する。
【解決手段】通信管理部200は、CANバス110の使用率、車両データの送信周期、及び単位時間当たりの送信データ量を監視する車両データ監視部210を備える。また、通信管理部200は、外部データの送信周期、及び単位時間当たりの送信データ量を監視する外部データ監視部220を備える。そして、通信管理部200は、車両データ監視部210及び外部データ監視部220の監視結果に基づき、CANバス110の使用率が負荷基準値を超えているとき、及び、外部データの転送に伴いCANバス110の使用率が負荷基準値を超えることが予測されるとき、外部データの送信規制を実行する。
【解決手段】通信管理部200は、CANバス110の使用率、車両データの送信周期、及び単位時間当たりの送信データ量を監視する車両データ監視部210を備える。また、通信管理部200は、外部データの送信周期、及び単位時間当たりの送信データ量を監視する外部データ監視部220を備える。そして、通信管理部200は、車両データ監視部210及び外部データ監視部220の監視結果に基づき、CANバス110の使用率が負荷基準値を超えているとき、及び、外部データの転送に伴いCANバス110の使用率が負荷基準値を超えることが予測されるとき、外部データの送信規制を実行する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、有線通信や無線通信を通じて外部のネットワークや情報端末に接続される車両ネットワークの通信を管理する車両ネットワークの通信管理装置に関する。
【背景技術】
【0002】
近年の自動車等の車両には、ナビゲーションシステムを構成する電子制御装置をはじめ、エンジンやブレーキ等の各種車載機器を電子的に制御する電子制御装置、車両の各種状態を表示するメータ等の機器を制御する電子制御装置などの多くの電子制御装置が搭載されている。そして、車両内では、それら各電子制御装置が通信線により電気的に接続されて車両ネットワークが形成されており、この車両ネットワークを介して各電子制御装置間での各種車両データの授受が行われている。
【0003】
さらに最近では、車両ネットワークと車両外部のネットワークとを接続し、これらネットワーク間での各種情報の授受を可能とするシステムの開発も進められている。このシステムでは、例えば、車両外部のネットワークを介して、ドライバが所有する情報端末から車両ネットワークへエンジンの起動要求が送信される。そして、車両ネットワークに接続されているエンジン制御装置がこの起動要求を受信することにより、同エンジン制御装置を通じてエンジンが起動される。このように車両ネットワークと車両外部のネットワークとの間での通信を通じて、車両の遠隔操作や車両状態の監視等を行うことが可能となっている。
【0004】
一方、このように外部から車両ネットワークにアクセスできる状況下では、正当な利用権限を有さない不正なユーザ等による不正操作(不正アクセス)によって車両ネットワーク内に不正なデータが入力されることも想定される。そこで、例えば特許文献1に記載されているように、車両ネットワークに接続された車載機器とユーザが所有する情報端末との間での無線通信に先立ち、情報端末から送信されるデータの暗号化及び復号化による相互認証を通じて情報端末の正当性を検証することなども提案されている。この特許文献1に記載の装置によれば、正当な権限を有さない情報端末が車載機器にネットワーク接続されることが抑制され、ひいては車載機器を介して車両ネットワークに不正なデータが取り込まれることが抑制されるようになる。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2003−152717号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
ところで、このように車両ネットワークに接続された車載機器に入力されるデータの正当性を同データの暗号化及び復号化による相互認証を通じて検証するためには、複雑な演算を伴う暗号化処理や復号化処理が必要となる。このため、これら暗号化処理や復号化処理を実行するための装置が必要になるばかりか、暗号化処理や復号化処理の実行に伴う演算負荷の増大が避けられない。
【0007】
また、車両ネットワークとは、前述のように、複数の電子制御装置間で車両データを授受するために車両内に形成された専用のネットワークである。よって、車両ネットワークに取り込まれることのないデータが外部から取り込まれるようなことがあると、通信負荷が増大し、各電子制御装置間での本来の車両データの送受信が阻害されることにもなりかねない。
【0008】
本発明は、このような実情に鑑みてなされたものであり、その目的は、簡易な構成でありながら、外部データの入力規制を通じて、車両ネットワークとしての通信の信頼性を維持することのできる車両ネットワークの通信管理装置を提供することにある。
【課題を解決するための手段】
【0009】
以下、上記課題を解決するための手段及びその作用効果について記載する。
請求項1に記載の発明は、複数の車載制御装置の間で車両データの送受信が行われるとともに、有線通信もしくは無線通信を通じた車両外部からの外部データの入力が可能な車両ネットワークにあって通信データの管理を行う車両ネットワークの通信管理装置であって、前記車両ネットワークに送信される車両データの送信状況と外部から入力される外部データとを監視し、それら監視するデータの送信状況と外部データが前記車両ネットワークに及ぼす負荷とに応じて外部データの前記車両ネットワークへの送信を規制する通信管理部を備えることを要旨とする。
【0010】
上記構成によれば、車両ネットワークにおける車両データの送信状況が監視されるとともに、同車両ネットワークに入力される外部データが監視される。そして、例えば、通信管理部に外部データが入力されると、各車載制御装置間で送受信される車両データが少ないために車両ネットワークの負荷が低いときには、外部データの送信規制が行われず、外部データが車両ネットワークに送信される。一方、例えば、車両状態の変化に伴い車載制御装置間で授受すべき車両データが増大し、車両ネットワークに送信される車両データが増大すると、この車両データの送受信を優先すべく、外部データの送信規制が実行される。この結果、車両ネットワークで送受信すべき車両データが増大したときには、車両ネットワークに外部データが取り込まれることがなく、車両ネットワークの通信量が飽和することが抑制される。このため、車両ネットワーク内に外部データを入力可能としながらも、この外部データの送信規制を通じて車両ネットワークによる車両データの送受信機能を的確に担保することが可能である。
【0011】
また、上記構成によれば、例えば、大量の不正データが送りつけられるような、いわゆるDos攻撃が行われたとしても、この大量の不正データが車両ネットワークに入力されることが抑制される。これにより、外部データを車両ネットワークに入力可能な構成としながらも、車両ネットワークに対するDos攻撃等を抑制することが可能となり、車両ネットワークとしてのセキュリティー性が高められるようにもなる。
【0012】
請求項2に記載の発明は、請求項1に記載の車両ネットワークの通信管理装置において、前記通信管理部は、前記外部データが前記車両ネットワークに送信されたときに予測される車両ネットワークの使用率が当該車両ネットワークの高負荷状態を示す所定の閾値を超えるとき、前記外部データの送信規制を実行することを要旨とする。
【0013】
上記構成によれば、外部データの送信規制に際し、通信管理部に入力された外部データが車両ネットワークに送信されたときの同車両ネットワークの使用率が予測される。そして、この予測される使用率が車両ネットワークの高負荷状態を示す所定の閾値を超えるときには、外部データの送信規制が実行され、車両ネットワークには外部データが送信されない。この結果、監視中の車両ネットワークの負荷のみならず、外部データが送信されたときに増大が予測される車両ネットワークの使用率に基づいた送信規制が実行される。これにより、外部データが車両ネットワークに入力されることに起因して、車両ネットワークの使用率が過剰に増大することが的確に抑制されるようになる。また、これにより、例えば、CAN(コントロール・エリア・ネットワーク)においては通常要求される使用率「30%」といったように、ネットワーク負荷を規制すべき使用率の範囲内に維持することが可能となり、適用対象とする車両ネットワークの特性に応じた通信管理が行われるようになる。
【0014】
請求項3に記載の発明は、請求項1又は2に記載の車両ネットワークの通信管理装置において、前記通信管理部は、前記外部データが前記車載制御装置のデータ書き換え用の書き換えデータであるとき、前記外部データの送信規制を一時的に緩和する処理を実行することを要旨とする。
【0015】
車両ネットワークは一般に、各車載制御装置間での車両データの授受に利用されるが、各車載制御装置が有するデータ書き換え用の書き換えデータ、いわゆるリプログラミングデータの送受信にも利用される。そして、この書き換えデータも通常、車両ネットワークの外部から外部データとして車両ネットワークに入力される。
【0016】
そこで、上記構成によるように、上記車両ネットワークに入力される外部データが車載制御装置の書き換えデータであるときには、この書き換えデータが、車両ネットワークに接続された車載制御装置に送信すべき優先度の高いデータであるとして、外部データの送信規制を緩和する処理を実行する。このため、車載制御装置の機能を維持する上で必要な書き換えデータが不要に送信規制されることが抑制され、車両ネットワークを介した書き換えデータの送受信を的確に実行することが可能となる。
【0017】
請求項4に記載の発明は、請求項1〜3のいずれか一項に記載の車両ネットワークの通信管理装置において、前記通信管理部は、前記車両データの送信間隔もしくは単位時間当たりの送信データ量に基づき車両データの送信状況を監視するとともに、前記外部データが入力される際の外部データの送信間隔もしくは単位時間当たりの送信データ量を監視することを要旨とする。
【0018】
車両ネットワークの負荷とは、同車両ネットワークに送受信される車両データの送信間隔や単位時間当たりに送信される車両データのデータ量(メッセージ量)に相関する。また、上記外部データが車両ネットワークに及ぼす負荷も、外部データが通信管理部に入力される際の同外部データの送信間隔や送信データ量、換言すれば、この外部データが車両ネットワークに送信される際の送信間隔や送信データ量に相関する。
【0019】
そこで、上記構成によれば、車両データの送信間隔や送信データ量、並びに外部データの送信間隔や送信データ量に基づき、車両データ及び外部データが車両ネットワークに及ぼす負荷を的確に求めることが可能となり、それらの負荷に基づく送信規制を的確に実行することが可能になる。
【0020】
請求項5に記載の発明は、請求項1〜4のいずれか一項に記載の車両ネットワークの通信管理装置において、前記通信管理部は、前記外部データの送信規制として、入力された外部データの破棄、入力された外部データの一時的な送信保留、入力される外部データの受信停止、及び前記車両ネットワークに送信する外部データの送信量を当該車両ネットワークの負荷に適応させる通信調整の少なくとも1つを実行することを要旨とする。
【0021】
上記構成によれば、通信管理部に外部データが入力されたとしても、車両ネットワークが高負荷状態にあるときには、例えば、入力された外部データが破棄されることにより、この外部データが車両ネットワークに送信されることなく同車両ネットワークで通信されている車両データの送受信が優先される。
【0022】
また、上記構成によれば、車両ネットワークが高負荷状態にあるときには、例えば、入力された外部データが一時的に保留されるとともに、車両ネットワークの負荷が低下したことをもって、一時的に保留され外部データが車両ネットワークに送信される。これにより、外部データの入力に伴う車両ネットワークの負荷の増大を抑制しつつも、通信管理部に入力された外部データを車両ネットワークに送信することが可能となる。
【0023】
また同様に、上記構成によれば、車両ネットワークが高負荷状態にあるときには、例えば、通信管理部による外部データの受信が停止され、通信管理部に外部データが取り込まれることが抑止される。この結果、車両ネットワークが高負荷状態にあるときには通信管理部そのものに外部データが入力されることが抑制され、この通信管理部を介した車両ネットワークへの外部データの送信が規制される。
【0024】
さらに、上記構成によれば、車両ネットワークに多少の負荷がかかっていたとしても、車両ネットワークの通信機能を維持可能な範囲で外部データが車両ネットワークに送信される。すなわち、車両ネットワークの負荷に反比例する態様で、また、車両ネットワークによる車両データの通信機能を維持できる範囲内で、車両ネットワークに送信される外部データの送信量が調整される。これにより、車両ネットワークの負荷に応じて外部データの送信量を調整することが可能となり、車両ネットワークの通信機能を最大限に活用する態様で、この車両ネットワークを介した車両データの送受信と外部データの送受信とを実現することが可能となる。
【0025】
請求項6に記載の発明は、請求項1〜5のいずれか一項に記載の車両ネットワークの通信管理装置において、前記通信管理部は、前記監視する車両ネットワークの車両データの送信状況に応じて前記外部データの送信規制にかかる実行期間を可変設定することを要旨とする。
【0026】
車両ネットワークによる車両データの送信状況、換言すれば、車両ネットワークの負荷とは、車両の走行状態等によって変化するものであり、車両ネットワークが一時的に高負荷状態となる場合や、車両ネットワークの高負荷状態が所定期間継続する場合などが想定される。
【0027】
そこで、上記構成によるように、通信管理部による外部データの送信規制の実行期間を、車両ネットワークによる外部データの送信状況に応じて可変設定することとすれば、例えば、車両ネットワークが高負荷状態となる期間が一時的である場合には、この期間に応じた一時的な送信規制が実行される。これにより、外部データの送信規制が早期に解除され、車両ネットワークへの外部データの送信を早い段階で許可することが可能となる。
【0028】
また、上記構成によれば、例えば、車両ネットワークが高負荷状態となる期間が長期間継続されるときには、この期間に応じた長期的な送信規制が実行される。このため、車両ネットワークが高負荷状態にあり、かつ、この高負荷状態が所定期間継続すると一旦判断されて以降は、車両データの送信状況に応じた期間だけ送信規制が実行される。そのため、車両ネットワークの負荷が低下するまでは一旦設定された送信規制の実行時間のもとに外部データの送信規制が実行されることとなり、車両ネットワークの負荷が低下するまでの間、外部データが車両ネットワークに送信されることを的確に抑制することが可能となる。
【0029】
請求項7に記載の発明は、請求項1〜6のいずれか一項に記載の車両ネットワークの通信管理装置において、前記通信管理部は、前記車両データとして車両内でのイベントの発生に伴い送受信が開始されるイベントデータが前記車両ネットワークに送信されたとき、前記イベントが終了するまでの間、前記外部データの送信規制を実行することを要旨とする。
【0030】
車両ネットワークを介して送受信される車両データは、例えば、各車載制御装置間で定期的に送受信されるデータや、所定のイベントが発生してから同イベントが終了するまでの間、一時的に送受信されるイベントデータがある。そして、このイベントデータは通常、送信時間が一時的ではあるものの、同イベントデータが送受信される間は車両ネットワークが高負荷状態になる傾向にある。また、こうしたイベントデータは通常、車両の走行状態の変化に起因して各車載制御装置間での送受信が必要になる緊急性の高いデータであり、このデータを送信対象となる車載制御装置に確実に送信する必要がある。
【0031】
そこで、上記構成によるように、イベントデータが車両ネットワークに送信されたときには、このイベントデータの送信要因となったイベントが終了するまでの間、外部データの送信規制を実行する。この結果、イベントの発生に伴って車両ネットワークが高負荷状態になったとしても、イベントが終了するまで、すなわち、イベントの終了に伴い車両ネットワークが高負荷状態から低負荷状態に遷移するまでの間、外部データが車両ネットワークに送信されることが抑制される。これにより、上記イベントデータの送受信を確実に実行することが可能となる。
【0032】
請求項8に記載の発明は、請求項1〜7のいずれか一項に記載の車両ネットワークの通信管理装置において、前記通信管理部は、前記車両ネットワークに定期的に送信される1ないし複数種のデータの識別子及びデータ長及び送信周期が登録された定期送信リストと、前記車両内でのイベントの発生に伴って前記車両ネットワークに送信される1ないし複数種のデータの識別子及びデータ長が登録されたイベント送信リストとを備え、それら定期送信リスト及びイベント送信リストを参照して前記車両ネットワークの送信状況を監視することを要旨とする。
【0033】
通常、車両データの送信主体となる車載制御装置の規格等は予め特定可能なことから、この車載制御装置間で送受信される車両データの識別子、データ長、及び送信周期を、各車載制御装置の規格等に基づいて特定することが可能である。
【0034】
そこで、上記構成によるように、送信フレームリスト及びイベント送信リストを通信管理部に設ける。そして、通信管理部による車両データの送信状況の監視を、これら送信フレームリスト及びイベント送信リストの参照を通じて実行させる。このため、通信管理部は、例えば、車両ネットワークを介して送受信される車両ネットワークの識別子の照合を通じて、車両データの種類、データ長、及び送信周期を特定することが可能となる。そのため、この特定した車両データの種類、データ長、及び送信周期に基づいて、車両ネットワークの負荷の増減を予測することや、車両ネットワークによる車両データの送信状況をより詳細に特定することが可能となる。これにより、車両データの監視を通じた外部データの送信規制をより的確に実行することが可能となる。
【0035】
請求項9に記載の発明は、請求項1〜8のいずれか一項に記載の車両ネットワークの通信管理装置において、前記通信管理部は、車両に搭載される外部用ネットワークと前記車両ネットワークとの間に接続されてなり、該外部用ネットワークを介して送信される外部データの送信状況の監視を通じて前記外部データの送信規制を実行することを要旨とする。
【0036】
上記構成によれば、車載制御装置の書き換えデータなどをはじめとする外部データを取り込んで同取り込んだ外部データを車両ネットワークに案内する外部用ネットワークと上記車両ネットワークとの間に、上記通信管理部が設けられる。そして、通信管理部による外部データの監視に際しては、外部用ネットワークを介して送信される外部データの送信状況の監視を通じて、外部データの通信規制が実行される。このため、外部データがネットワークを介して実際に送信される際の送信周期や単位時間当たりの送信データ量等に基づいて、この外部データがネットワークに及ぼす負荷を特定することが可能となる。これにより、この外部データが車両ネットワークに送信されたときの負荷を精度よく推定することが可能となる。
【0037】
請求項10に記載の発明は、請求項1〜9のいずれか一項に記載の車両ネットワークの通信管理装置において、前記通信管理部は、外部診断機器が接続されるコネクタとして車両内に設けられたデータ・リンク・コネクタと前記車両ネットワークとの間に設けられてなることを要旨とする。
【0038】
車両ネットワークに接続されるデータ・リンク・コネクタ(DLC)は一般に、車室内に露出された状態で設けられている。また、このDLCは通常、例えばディーラーでの診断ツールを用いたダイアグ診断に際し、診断機器等の機器を接続するために用いられる。
【0039】
一方、最近では、このDLCに情報端末を接続することで、車両ネットワークを流れる車両データを情報端末から取得したり、逆に情報端末から車両ネットワークへと各種データを出力するといった想定外の用途に用いられる傾向にある。そして、DLCに不正な情報端末が接続された場合や、情報端末に登録されているアプリケーションがウィルス等に感染している場合には、DLCを介して不正なデータが車両ネットワークに取り込まれることが想定される。また、DLCに接続された情報端末が正常な状態にあったとしても、ユーザの操作如何によっては大量のデータがDLCを介して情報端末から車両ネットワークへと送信されることも想定される。
【0040】
そこで、上記構成によれば、露出した状態で車室内に設けられ、また、外部データの送信元となる外部の情報端末等に接続される蓋然性の高いDLCを介して入力される外部データに対しても、的確に送信規制を実行することが可能となる。これにより、DLCを介して外部から入力されてくる外部データの送信規制を的確に実行することが可能となる。
【0041】
請求項11に記載の発明は、請求項1〜10のいずれか一項に記載の車両ネットワークの通信管理装置において、前記車両ネットワークがコントロール・エリア・ネットワークからなることを要旨とする。
【0042】
上記車両ネットワークとしては、コントロール・エリア・ネットワーク(CAN)が採用されることが多く、同コントロール・エリア・ネットワークでは、各種イベントの発生に伴い各種車両データの授受が行われる。また、こうしたコントロール・エリア・ネットワークでは、その特性上、たとえ車両データが送信すべき車載制御装置に送信されなかったとしても、この車両データを送信対象に再送することが難しい。よって、こうしたコントロール・エリア・ネットワークを介して車両データの送受信を行う上では、車両ネットワークの負荷を的確に管理して、この車両ネットワークによる車両データの送受信機能を維持する必要がある。
【0043】
この点、上記構成によれば、汎用性が高く、また、送受信機能を維持する必要性が特に高いコントロール・エリア・ネットワークについても、外部データの送信機能を通じて、コントロール・エリア・ネットワークによる送受信機能を的確に維持することが可能となる。
【0044】
請求項12に記載の発明は、請求項1〜10のいずれか一項に記載の車両ネットワークの通信管理装置において、前記車両ネットワークがフレックスレイからなることを要旨とする。
【0045】
上記フレックスレイは通常、制御系、ボデー系、及び情報系によって構成される車両ネットワークのうち、制御系の車両ネットワークに適用可能である。そして、こうしたフレックスレイによれば、コントロール・エリア・ネットワークなどと比較し、車両データの送受信をより高速に実行することが可能なものの、同フレックスレイの通信負荷が増大したときには車両データを的確に送受信することは難しい。
【0046】
この点、上記構成によれば、車両ネットワークとしてフレックスレイが採用される場合であれ、外部データの送信規制を通じて、各種車両データの円滑かつ確実な送受信を実現することが可能となる。
【図面の簡単な説明】
【0047】
【図1】本発明にかかる車両ネットワークの通信管理装置の第1の実施の形態について、通信管理部と同通信管理部が設置される車両のネットワーク構成との概略構成を示すブロック図。
【図2】外部データの負荷のみに基づいた外部データの転送制御を想定した図であり、(a)は、外部データのCANバスへの転送前におけるCANバス及び外部用ネットワークのデータの送信状況を示す図。(b)は、外部データのCANバスへの転送後におけるCANバス及び外部用ネットワークのデータの送信状況を示す図。
【図3】(a)は、外部データ監視部により監視される外部用ネットワークにおける外部データの送信状況の一例を示す図。(b)は、外部データ監視部により監視される外部データの送信間隔の一例を示す図。(c)は、外部データ監視部により監視される外部データの単位時間当たりの送信データ量の一例を示す図。
【図4】(a)は、車両データ監視部により監視されるCANバスにおける車両データの送信状況の一例を示す図。(b)は、車両データ監視部により監視される車両データの送信間隔の一例を示す図。(c)は、車両データ監視部により監視される車両データの単位時間当たりの送信データ量の一例を示す図。
【図5】本実施の形態の通信管理部による外部データの送信規制手順の一例を示すフローチャート。
【図6】本発明にかかる車両ネットワークの通信管理装置の第2の実施の形態について、通信管理部と同通信管理部が設置される車両のネットワーク構成との概略構成を示すブロック図。
【図7】本発明にかかる車両ネットワークの通信管理装置の第3の実施の形態について、通信管理部と同通信管理部が設置される車両のネットワーク構成との概略構成を示すブロック図。
【図8】本発明にかかる車両ネットワークの通信管理装置の他の実施の形態について、外部データ監視部により監視される外部データの単位時間当たりの送信データ量の一例を示す図。
【発明を実施するための形態】
【0048】
(第1の実施の形態)
以下、本発明にかかる車両ネットワークの通信管理装置を具体化した第1の実施の形態について図1〜図5を参照して説明する。なお、本実施の形態は、車載制御装置間での信号の授受を、イベントトリガ方式で各種通信データが授受されるCAN(コントロール・エリア・ネットワーク)を介して行うものである。
【0049】
図1に示すように、本実施の形態の通信管理装置は、車両Cに搭載された各種車載機器を制御する複数の車載制御装置(ECU)100と各種情報端末等から外部データが入力されるデータ・リンク・コネクタ(DLC)300との間に設けられる通信管理部200によって構成される。
【0050】
車載制御装置100は、例えば、車室内の計器盤に設けられる速度計の表示態様を制御する計器制御装置、ドライバによるアクセルペダルの踏込み量に基づきエンジンの運転状態を制御するエンジン制御装置、ドライバによるブレーキペダルの踏込み量に基づきブレーキを制御するブレーキ制御装置などによって構成される。各車載制御装置100は、車両ネットワークであるコントロール・エリア・ネットワーク(CAN)を構成する通信線であるCANバス110に接続されている。CANバス110に接続される各車載制御装置100は、車両Cのドライバによる車両操作や車両Cの走行環境等に応じて各種車載機器を制御すべく、例えば、速度計の表示量、エンジンの制御量、ブレーキの制御量などをはじめとする車両データを、CANバス110を介して各車載制御装置100間で送受信する。なお、車両データは、CANバス110内での転送ファイル形式である1ないし複数のデータフレームに変換されてCANバス110上で送受信される。また、各データフレームは、例えば、データ内容や送信ノードを識別するために使用されるID(識別子)や、最大で8バイトのデータを送信可能なデータフィールドなどを有したデータ構造となっている。
【0051】
一方、車両Cには、同車両Cの診断に際して外部診断機器が接続されるDLC300が設けられている。このDLC300は、例えば、計器盤の下部に設けられており、CANバス110に繋がる外部用ネットワーク310と電気的に接続されている。すなわち、DLC300は、車載制御装置100が接続されるCANバス110に外部用ネットワーク310を介して接続される。そして、車両Cの診断に際しては、DLC300に外部診断機器が接続され、例えば診断用のデータが、CANバス110内での転送ファイル形式であるデータフレームに変換されたのちに、同変換されたデータフレームが外部用ネットワーク310及びCANバス110を介して送信対象とする車載制御装置100に送信される。また、外部用ネットワーク310及びDLC300を介して、CANバス110に送信される車両データが外部診断機器により取得される。なお、外部用ネットワーク310は、例えば、CANバス110と同一の規格の通信線によって構成されており、外部用ネットワーク310により送受信可能なデータ量はCANバス110と共通したものとなっている。
【0052】
また、DLC300は、各車載制御装置100に組み込まれているアプリケーションプログラム等の制御プログラムや制御データに更新や修正の必要が生じた際、それらをリプログラミング(データ書き換え)するための書き換えデータが、車両Cの内部に取り込まれるときにも用いられる。そして、車載制御装置100のデータ書き換えに際しては、DLC300に書き換えデータが車両Cの内部に入力され、この入力された書き換えデータが、外部用ネットワーク310及びCANバス110を介して書き換えの対象となる車載制御装置100に送信される。
【0053】
さらに、本実施の形態のDLC300には、例えば、車両Cのドライバが所有する情報端末等が接続される。また、情報端末で利用される各種アプリケーション等のサービスの利用に際しては、同サービスを情報端末や車両Cで利用するための各種データがDLC300を介して車両Cの内部に入力される。そして、この車両Cの内部に入力されデータも、外部用ネットワーク310及びCANバス110を介して、送信対象とする車載制御装置100に送信される。
【0054】
ところで、このようにDLC300を介して取り込まれた各種データ(外部データ)が外部用ネットワーク310を介してCANバス110に送信されると、これに伴って、CANバス110の使用率が増大し、同CANバス110の負荷が増大する。このため、外部データが大量にCANバス110に送信されると、CANバス110を介して本来送受信すべき車両データの送受信が阻害されることとなってしまう。
【0055】
一方、図2(a)に例示するように、CANバス110への入力を許容する所定の閾値を外部データD1に対して設け、そのデータ量が閾値以下であることを条件にCANバス110への外部データD1の送信を許可することも検討できる。しかし、図2(b)に例示するように、外部データD1のデータ量のみを監視するだけでは、CANバス110での車両データF1の送信状況によってはCANバス110の負荷が増大する虞がある。すなわち、CANバス110では通常、車両データF1がブロードキャストで送信されることから、CANバス110には車両データF1が定常的に送信される傾向にある。また、CANバス110では、同CANバス110に送信される車両データF1の送信周期やデータ量等が車両Cの状態等に起因して動的に変化する。よって、図2(a)及び(b)に示したように、外部から入力される外部データD1のみを監視し、この外部データD1の入力を規制するだけでは、CANバス110が高負荷になることを抑制し、CANバス110による車両データF1の送受信機能を維持することは難しい。
【0056】
そこで、本実施の形態では、図1に示すように、CANバス110とDLC300との間に設けられた通信管理部200によって、DLC300から取り込まれた外部データの送信規制を実行することとする。なお、本実施の形態では、車両データがブロードキャストでCANバス110上を流れることから、CANバス110に接続された通信管理部200には、各車載制御装置100間で送受信される全ての車両データが入力されるようになっている。
【0057】
本実施の形態の通信管理部200は、CANバス110による車両データの送信状況を監視する車両データ監視部210を備えている。また、通信管理部200は、DLC300に接続された外部診断機器や情報端末から出力されて外部用ネットワーク310を介して送信されてくる外部データの送信状況を監視する外部データ監視部220を備えている。
【0058】
車両データ監視部210は、例えば、CANバス110に送信される車両データのID、同車両データの送信間隔、同車両データの単位時間当たりの送信量(メッセージ量)等を監視し、この監視結果を示す信号を、同信号に基づき外部データの送信制御を行う制御判断部230に適宜出力する。また、車両データ監視部210は、CANバス110に送信される車両データの送信間隔や送信量に基づきCANバス110の負荷を示す使用率を求め、この求めた使用率を示す信号を制御判断部230に出力する。なお、車両データ監視部210は、例えば、CANバス110に実際に送信されている車両データの送信データ量をCANバス110により最大限送信可能なデータ量で除算した値をもとに、CANバス110の使用率を求める。
【0059】
外部データ監視部220は、例えば、外部用ネットワーク310に接続されており、DLC300及び外部用ネットワーク310を介して送信される外部データを受信する。そして、この外部データの受信状況に基づき、外部用ネットワーク310による外部データの送信状況を監視するとともに、この監視結果を示す信号を制御判断部230に適宜出力する。
【0060】
本実施の形態の制御判断部230は、車両データ監視部210及び外部データ監視部220の監視結果に基づく外部データの送信制御を、CANバス110の経路を示すルーティング情報やCANバス110が高負荷であるか否かの判断に際して基準となる閾値などが登録された保存領域240の参照を通じて行う。
【0061】
保存領域240には、例えば、CANバス110が高負荷状態であるか否かの判断に際して判断基準となる負荷基準値が登録されている。本実施の形態では、負荷基準値として、例えばコントロール・エリア・ネットワークの規格上推奨されている使用率約「30%」を示す情報が登録されている。また、保存領域240には、CANバス110の経路を示す情報であるルーティング情報が登録されている。
【0062】
そして、制御判断部230は、こうした保存領域240の参照を通じて、例えば、車両データ監視部210から入力されたCANバス110の使用率が、保存領域240に登録された負荷基準値である約「30%」を超えているか否かを判断する。また、制御判断部230は、外部データ監視部220による監視結果に基づき、DLC300及び外部用ネットワーク310を介して外部データが通信管理部200に送信されているか否かを認識するとともに、この外部データの送信周期及びデータ量を認識する。そして、制御判断部230は、車両データの送受信に伴ってCANバス110の使用率が既に約「30%」を超えており、かつ、外部データが通信管理部200に送信されている旨判断すると、例えば通信管理部200に送信されている外部データを破棄させる旨の制御指令を、外部データの送信規制を実行する送信規制部250に出力する。制御判断部230はまた、外部データの受信を所定時間停止させる旨の制御指令を送信規制部250に出力する。
【0063】
一方、制御判断部230は、監視するCANバス110の使用率が約「30%」以内であっても、DLC300及び外部用ネットワーク310を介して外部データが通信管理部200に送信されているときには、この外部データがCANバス110に送信されたとき増大が予測されるCANバス110の使用率を算出する。そして、制御判断部230は、この算出したCANバス110の使用率が負荷基準値である約「30%」を超える旨判断したときには、例えば、通信管理部200に送信されてきた外部データを破棄させる旨の制御指令を送信規制部250に出力する。制御判断部230はまた、外部データの受信を所定時間停止させる旨の制御指令を送信規制部250に出力する。
【0064】
送信規制部250は、外部データを破棄する旨の制御指令が制御判断部230から入力されると、この制御指令に従って、外部データ監視部220が受信した外部データを当該外部データ監視部220に破棄させる。すなわち、CANバス110の使用率が約「30%」を既に超えているとき、あるいは、外部データの入力に伴ってCANバス110の使用率が約「30%」を超えることが予測されたときには、通信管理部200に送信される外部データが一旦破棄され、この外部データがCANバス110内に送信されないこととなる。このため、CANバス110の負荷が高い状態、あるいは、CANバス110の負荷の増大が予測される状態では、DLC300及び外部用ネットワーク310を介して送信されてきた外部データがCANバス110に送信されることが禁止され、CANバス110の負荷が過度に増大することが抑制される。また、送信規制部250は、外部データの受信を停止する旨の制御指令が制御判断部230から入力されると、この制御指令に従って、外部データ監視部220による外部データの受信を所定時間停止させる。このため、例えば、CANバス110を介して送受信される車両データのデータ量が低減するまで、換言すれば、高負荷状態にあるCANバス110が低負荷状態に遷移するまでの間、外部データが通信管理部200に入力されることが抑制される。そして、例えば、DLC300に接続された情報端末の画像表示部等には、外部データの送信エラーを示す画像や、所定期間経過後の外部データの再送信を促す画像等が表示される。
【0065】
一方、送信規制部250は、外部データをCANバス110に送信したとしても同外部データの送信後のCANバス110の使用率を例えば約「30%」以内に維持可能な場合には、外部データの送信規制を実行しない。これにより、DLC300及び外部用ネットワーク310を介して送信され、外部データ監視部220が受信した外部データが、CANバス110に転送されることとなる。
【0066】
次に、本実施の形態の外部データ監視部220による外部データの監視態様を図3を参照して説明する。
図3(a)に示すように、例えば、DLC300に接続された情報端末から外部データが入力され、この外部データが変換されたデータフレームDa〜Dfが外部用ネットワーク310に送信されたとする。
【0067】
外部データ監視部220はまず、外部用ネットワーク310を介して送信されたデータフレームDa〜Dfを受信すると、外部データがDLC300を介して車両Cの内部に入力された旨を認識する。
【0068】
また、外部データ監視部220は、例えば、データフレームDa〜Dfの受信間隔を計測することにより、図3(b)に示すように、外部用ネットワーク310による各データフレームDa〜Dfの送信間隔Δtdを求める。そして、外部データ監視部220は、この求めた送信間隔Δtdを示す信号を、上記制御判断部230に出力する。また一方、外部データ監視部220は、図3(c)に示すように、データフレームDa〜Dfの受信状況に基づき、例えば、期間T1におけるデータフレームの数を計測することにより、外部用ネットワーク310を介して送信される外部データの単位時間当たりの送信データ量を求める。そして、外部データ監視部220は、この求めた送信データ量を示す信号を、上記制御判断部230に出力する。
【0069】
なお、例えば、DLC300を介して大量の外部データが車両Cの内部に送信されるDos攻撃が行われたときには、外部用ネットワーク310における外部データの送信間隔Δtdは、車両データがCANバス110上を流れる際の送信間隔よりも短くなる。また同様に、外部用ネットワーク310における外部データの単位時間当たりのデータ量も、車両データがCANバス110上を流れる際の単位時間当たりのデータ量よりも多くなる。よって本実施の形態の制御判断部230では、車両データがCANバス110上を流れる際の送信間隔や単位時間当たりのデータ量と、外部用ネットワーク310上を流れる外部データの送信間隔や単位時間当たりのデータ量とを比較することによって、DLC300を介して入力される外部データがDos攻撃であるか否かを把握することが可能となっている。
【0070】
なお、こうした外部データ監視部220による外部データの監視は、例えば、通信管理部200による外部データの受信状況を外部データ監視部220が監視することによって行われる。また、こうした外部データ監視部220による監視は所定の時間間隔のもとに実行され、例えば、外部用ネットワーク310に送信され得る外部データの送信間隔の最小値よりも短い時間間隔のもとに行われる。
【0071】
続いて、本実施の形態の車両データ監視部210による車両データの監視態様を図4を参照して説明する。
図4(a)に示すように、例えば、車両データが変換されたデータフレームFa〜Feが各車載制御装置100から送信されると、例えば、データフレームFa〜FeはCANバス110の途中に設けられた通信管理部200を経由して各車載制御装置100に送信される。そして、車両データ監視部210は、通信管理部200を経由するデータフレームFa〜Feを監視することにより、CANバス110による車両データの送信状況を監視する。
【0072】
また、車両データ監視部210は、CANバス110の監視を通じて、図4(b)に示すように、それら検知した各データフレームFa〜Feの送信間隔Δtfを計測する。そして、車両データ監視部210は、この計測した送信間隔Δtfを示す信号を、上記制御判断部230に出力する。また一方、車両データ監視部210は、車両データ監視部210の監視を通じて、図4(c)に示すように、例えば、期間T2におけるデータフレームの数を計測することにより、CANバス110による車両データの単位時間当たりの送信データ量を求める。そして、車両データ監視部210は、この求めた送信データ量を示す信号を、上記制御判断部230に出力する。さらに、車両データ監視部210は、例えば、これら計測したデータフレームFa〜Feの送信間隔Δtfや送信データ量に基づき、CANバス110の使用率を求め、この求めた使用率を示す信号を制御判断部230に出力する。
【0073】
以下、本実施の形態の車両ネットワークの通信管理装置の作用について図5を参照して説明する。
図5に示すように、DLC300に情報端末等が接続され、この情報端末により所定のデータ量の外部データがDLC300及び外部用ネットワーク310に送信されると、外部用ネットワーク310に送信された外部データを外部データ監視部220が受信する(ステップS101)。そして、外部データ監視部220は、この外部データの受信状況に基づき、外部データの送信間隔及び単位時間当たりの送信データ量を求め、それら求めた外部データの送信間隔及び送信データ量を示す信号を制御判断部230に出力する。
【0074】
次いで、制御判断部230は、車両データ監視部210による車両データの監視を通じて、CANバス110の使用率、CANバス110上を流れる車両データの送信間隔、及び同車両データの単位時間当たりの送信データ量を示す信号を取得する(ステップS102)。
【0075】
制御判断部230は、車両データ監視部210から取得したCANバス110の使用率が、例えばCANバス110の高負荷状態を示す約「30%」以下、すなわち、負荷基準値以下であるか否かを判断する(ステップS103)。
【0076】
そして、CANバス110の使用率が約「30%」以下であると、制御判断部230は、車両データ監視部210及び外部データ監視部220による監視結果に基づき、外部データ監視部220が受信した外部データをCANバス110に送信したときに増大が予測されるCANバス110の使用率を求める(ステップS103:YES、S104)。次いで、制御判断部230は、この求めた使用率が例えば約「30%」以下であるか否かを判断する(ステップS105)。
【0077】
そして、制御判断部230は、外部データ監視部220が受信した外部データをCANバス110に送信したとしてもCANバス110の使用率が約「30%」以内に維持される旨判断すると(ステップS105:YES)、外部データ監視部220が受信した外部データをCANバス110に転送させる(ステップS106)。
【0078】
一方、ステップS103において、CANバス110の使用率が約「30%」を超えている旨判断されたときには、CANバス110が既に高負荷状態にあるとして、外部データ監視部220が受信した外部データが破棄される(ステップS103:NO、S107)。同様に、CANバス110の使用率が約「30%」以下であったとしても、外部データ監視部220が受信した外部データをCANバス110に送信することによってCANバス110の使用率が約「30%」を超えることが予測されるときには、外部データ監視部220が受信した外部データが破棄される(ステップS105:NO、S107)。
【0079】
また、外部データの破棄後は、外部データ監視部220により外部データを受信することが所定期間だけ停止され、DLC300及び外部用ネットワーク310を介して送信される外部データが外部データ監視部220(通信管理部200)に取り込まれることが停止される(ステップS108、S109)。
【0080】
こうして、所定期間が経過し(ステップS109:YES)、例えばDLC300に接続された情報端末から外部データが再送されると、再び、外部用ネットワーク310側での外部データの監視とCANバス110側での車両データの監視とが行われる。そして、CANバス110の負荷を踏まえて外部データのCANバス110への入力の要否が決定されるようになる。
【0081】
以上説明したように、本実施の形態にかかる車両ネットワークの通信管理装置によれば、以下の効果が得られるようになる。
(1)車両ネットワークであるCANバス110に送信される車両データの送信状況を車両データ監視部210により監視するとともに、外部から入力される外部データを外部データ監視部220により監視することとした。そして、車両データ及び外部データの送信状況と外部データがCANバス110に及ぼす負荷とに応じて、CANバス110への外部データの送信を規制することとした。このため、CANバス110で送受信すべき車両データが増大したときには、外部データがCANバス110に取り込まれることがなく、CANバス110の通信量が飽和することが抑制される。これにより、CANバス110内に外部データを入力可能としながらも、この外部データの送信規制を通じてCANバス110による車両データの送受信機能を的確に担保することが可能である。また、このため、例えば、大量の不正データがCANバス110に送りつけられるようなDos攻撃が行われたとしても、この大量の不正データの送信規制を通じて、同データがCANバス110に入力されることが抑制される。これにより、外部から送信される外部データをCANバス110の内部に入力可能な構成としながらも、車両Cの制御に必要な各車載制御装置100が接続されるCANバス110に対するDos攻撃等を抑制することが可能となり、CANバス110としてのセキュリティー性が高められるようにもなる。
【0082】
(2)車両データ監視部210によりCANバス110の使用率を監視することとした。そして、外部データがCANバス110に送信されたときに増加が予測されるCANバス110の使用率が、CANバス110の高負荷状態を示す所定の閾値を超えるとき、送信規制部250による外部データの送信規制を実行することとした。このため、監視中のCANバス110の負荷のみならず、外部データが送信されたときに増大が予測されるCANバス110の使用率に基づいた送信規制が実行される。これにより、外部データがCANバス110に入力されることに起因してCANバス110の使用率が過剰に増大することが的確に抑制されるようになる。また、上記閾値として例えばCANバス110の規格上推奨される約「30%」を設定することにより、外部データをCANバス110に入力可能な構成としながらもCANバス110の使用率を約「30%」以内に抑えることが可能となる。これにより、CANバス110による車両データの送受信を、送信遅延や送信不良等を発生させることなく行うことが可能となり、CANバス110の特性を踏まえた的確な通信管理が行われるようになる。
【0083】
(3)車両データ監視部210により車両データの送信間隔及び単位時間当たりの送信データ量を監視するとともに、外部データ監視部220により外部データの送信間隔及び単位時間当たりの送信データ量を監視することとした。これにより、車両データの送信間隔や送信データ量、並びに外部データの送信間隔や送信データ量に基づき、車両データ及び外部データがCANバス110に及ぼす負荷を的確に求めることが可能となり、この求めた負荷に基づく外部データの送信規制を的確に実行することが可能になる。
【0084】
(4)送信規制部250による外部データの送信規制として、外部データ監視部220が受信した外部データの破棄を実行することとした。通信管理部200に外部データが入力されたとしても、CANバス110が高負荷状態にあるときには、入力された外部データが破棄されることにより、この外部データがCANバス110に送信されず、CANバス110で通信中の車両データの送受信を優先して行わせることが可能となる。
【0085】
(5)送信規制部250による外部データの送信規制として、外部データ監視部220に入力される外部データの受信停止を所定期間だけ実行することとした。これにより、CANバス110に外部データを取り込ませる余裕がないと判断されて以降は、通信管理部200に外部データが取り込まれることがなく、CANバス110の負荷に応じて外部データを破棄する必要もない。
【0086】
(6)通信管理部200を、CANバス110と外部用ネットワーク310との間に配置した。そして、外部用ネットワーク310を介して送信される外部データの送信状況の監視を通じて、送信規制部250による外部データの送信規制を実行することとした。このため、外部用ネットワーク310を介して送信されてきた外部データは通信管理部200を経由してCANバス110に送信されることとなり、同通信管理部200による外部データの送信規制を的確に実行することが可能となる。また、このため、外部データが外部用ネットワーク310を介して実際に送信される際の送信周期や単位時間当たりの送信データ量等に基づいて、この外部データがCANバス110に及ぼす負荷を特定することが可能となる。これにより、この外部データがCANバス110に送信されたときの負荷を精度よく推定することが可能となる。
【0087】
(7)上記通信管理部200を、外部診断機器が接続されるコネクタとして車両内に設けられたDLC300とCANバス110との間に設けることとした。このため、露出した状態で車室内に設けられ、外部の情報端末等と車両ネットワークとを容易に接続可能なDLC300を介して入力される外部データが送信規制される。これにより、DLC300を介して外部から入力されてくる外部データの送信規制を的確に実行することが可能となる。
【0088】
(8)上記車両ネットワークとして、コントロール・エリア・ネットワークからなるCANバス110を対象とした。このため、車両ネットワークとしての汎用性が高く、また、送受信機能を維持する必要性が特に高いコントロール・エリア・ネットワークについても、外部データの送信機能を通じて、コントロール・エリア・ネットワークによる送受信機能を的確に維持することが可能となる。
【0089】
(第2の実施の形態)
次に、本発明にかかる車両ネットワークの通信管理装置の第2の実施の形態を、第1の実施の形態との相違点を中心に、先の図1に対応する図である図6を参照して説明する。なお、本実施の形態にかかる車両ネットワークの通信管理装置も、その基本的な構成は第1の実施の形態と同等であり、本実施の形態においても第1の実施の形態と実質的に同一の要素にはそれぞれ同一の符号を付して示し、重複する説明は割愛する。
【0090】
図6に示すように、本実施の形態の通信管理部200Aを構成する制御判断部230Aは、外部データが、車載制御装置100に組み込まれているアプリケーションプログラム等の制御プログラムや制御データをリプログラミング(データ書き換え)するための書き換えデータであるか否かを判定する書き換えデータ判定部231を備えている。また、本実施の形態の制御判断部230Aは、外部から入力されたデータが書き換えデータであったとき、外部データをCANバス110に転送するか否かの判断に際して基準となる負荷基準値を変更する負荷基準値変更部232を備えている。
【0091】
また、車載制御装置100に組み込まれている制御プログラムや制御データの更新や修正に際しては、DLC300に専用の機器が接続されて、この接続された機器から書き換えデータが入力される。なお、書き換えデータには、例えば、同データが車載制御装置100のデータを書き換えるための書き換えデータである旨を示すIDが予め付与されている。
【0092】
そして、DLC300に専用の機器が接続され、この接続された機器から書き換えデータが送信されると、この書き換えデータは、外部用ネットワーク310を介して通信管理部200Aに送信されて外部データ監視部220により監視される。外部データ監視部220は、書き換えデータの送信間隔及び単位時間当たりの送信データ量を監視し、この監視結果を制御判断部230Aに出力する。また、本実施の形態の外部データ監視部220は、書き換えデータに付与されているIDを認識すると、この認識したIDを示す信号を、制御判断部230Aに出力する。
【0093】
そして、本実施の形態の制御判断部230Aでは、外部データ監視部220からIDを示す信号が入力されると、書き換えデータ判定部231によって、外部データ監視部220により監視対象とされる外部データが書き換えデータであるか否かが判定される。また、本実施の形態の書き換えデータ判定部231は、外部データ監視部220により認識されたIDと、例えば、保存領域240Aに予め登録されている書き換えデータIDとの照合を通じて、外部データが書き換えデータであるか否かを判定する。そして、書き換えデータ判定部231は、この判定結果を負荷基準値変更部232に出力する。
【0094】
負荷基準値変更部232は、外部データが書き換えデータである旨の判定結果が書き換えデータ判定部231から入力されると、この書き換えデータに対する送信規制を緩和すべく、外部データの送信規制を実行するか否かの基準となる負荷基準値を変更する処理を実行する。本実施の形態の負荷基準値変更部232は、外部データが書き換えデータであるときには、送信規制を実行するか否かの基準値として設定されているCANバス110の使用率を、例えば「30%」から「40%」へと一時的に高める処理を実行する。
【0095】
そして、送信規制部250による書き換えデータの送信規制に際しては、CANバス110の使用率が「40%」を超えているか否か、及び、CANバス110への書き換えデータの転送後に予測される同CANバス110の使用率が「40%」を超えるか否かを基準として、書き換えデータの転送の可否が決定される。
【0096】
この結果、CANバス110の使用率が「40%」以内であり、かつ、CANバス110への書き換えデータの転送後に予測される同CANバス110の使用率が「40%」以内であるときには、外部から入力された書き換えデータがCANバス110に転送されることとなる。そして、このCANバス110に転送された書き換えデータは、書き換えの対象となる車載制御装置100に送信され、同車載制御装置100に組み込まれているデータが書き換えられることとなる。
【0097】
なお、負荷基準値変更部232は、書き換えデータ判定部231の判定結果に基づき負荷基準値を一度変更したとしても、書き換えデータとは異なる外部データが新たに入力されたときには、一旦高めた使用率(負荷基準値)を、例えば「40%」から初期値である「30%」に戻す処理を実行する。こうして、外部データが書き換えデータであるか否かに応じて、送信規制部250による送信規制の実行基準が動的に変更されることとなる。
【0098】
以上説明したように、本実施の形態にかかる車両ネットワークの通信管理装置によれば、前記(1)〜(8)の効果が得られるとともに、さらに以下の効果が得られるようになる。
【0099】
(9)制御判断部230Aに、外部データが車載制御装置100に組み込まれている制御プログラムや制御データをデータ書き換えするための書き換えデータであるか否かを判定する書き換えデータ判定部231を設ける構成とした。また、外部から入力されたデータが書き換えデータであったときに負荷基準値を変更する負荷基準値変更部232を制御判断部230Aに設ける構成とした。このため、外部から入力されたデータが書き換えデータであったときには、書き換えデータを他の外部データよりも優先してCANバス110に転送すべく、送信規制部250による送信規制が緩和される。これにより、車載制御装置100のデータ書き換えに必要なデータが不要に送信規制されることが抑制され、CANバス110を介した書き換えデータの送受信を的確に実行することが可能となる。
【0100】
(第3の実施の形態)
次に、本発明にかかる車両ネットワークの通信管理装置の第3の実施の形態を、第1の実施の形態との相違点を中心に、先の図1に対応する図である図7を参照して説明する。なお、本実施の形態にかかる車両ネットワークの通信管理装置も、その基本的な構成は第1の実施の形態と同等であり、本実施の形態においても第1の実施の形態と実質的に同一の要素にはそれぞれ同一の符号を付して示し、重複する説明は割愛する。
【0101】
図7に示すように、本実施の形態の通信管理部200Bを構成する制御判断部230Bは、各車載制御装置100間で送受信される車両データの種別を識別する車両データ種別識別部233と、この車両データ種別識別部233による識別結果に応じて外部データの送信規制の実行期間を設定する送信規制時間設定部234とを備えている。
【0102】
すなわち、各車載制御装置100間で送受信される車両データには通常、例えば、車両Cの室外の温度を示す温度データなど、予め定められた周期のもとに定期的に送信される定期データが存在する。そして、車両データが定期データであるか否かは、車両データの送信に際して同車両データに予め付与されるIDに基づき識別することが可能となっている。
【0103】
そこで、本実施の形態の保存領域240Bには、車両データが定期データであるか否かを識別すべく、CANバス110に送信され得る定期データの1ないし複数種のデータの識別子及びデータ長及び送信周期を示す定期送信リストが予め登録されている。
【0104】
また、車両データには通常、車両Cが所定の交通要素に接近することやドライバにより各種操作が行われることに起因して車両Cの状態が変化することにより、各車載制御装置100間での送受信が一時的に必要となるイベントデータが存在する。イベントデータとしては、例えば、車両Cがカーブ等の所定の交通要素に接近したことに伴い、車両Cに搭載されたナビゲーションシステムを制御する制御装置と各車載制御装置100との間での送受信が必要となるデータや、ドライバにより減速操作や加速操作が行われたことにより各車載制御装置100で送受信が必要となるデータが存在する。そして、こうしたイベントデータは、車両Cの交通要素への接近等の各種イベントに伴って発生するものであり、車両Cが交通要素を通過するなど、イベントが終了したのちには各車載制御装置100間での送受信が不要になるデータである。そして、車両データがこうしたイベントデータであるか否か、及び、イベントデータの種別についても、車両データの送信に際して同車両データに予め付与されるIDに基づき識別することが可能となっている。
【0105】
そこで、本実施の形態の保存領域240Bには、車両データがイベントデータであるか否かを判定可能とするとともにイベントデータの種別を識別可能とすべく、CANバス110に送信され得るイベントデータの1ないし複数種のデータの識別子及びデータ長及び送信周期を示すイベント送信リストが予め登録されている。
【0106】
そして、本実施の形態の通信管理部200Bによる外部データの送信規制に際してはまず、車両データ種別識別部233が、車両データ監視部210による監視を通じて、監視対象とされた車両データに付与されているIDを取得する。
【0107】
車両データ種別識別部233は、この取得したIDをもとに、保存領域240Bに登録されている定期送信リスト及びイベント送信リストを参照することにより、車両データ監視部210により監視対象とされた車両データの種別が、定期データ及びイベントデータのいずれであるかを識別する。また、車両データ種別識別部233は、種別を識別した車両データのデータ長や送信周期を、定期送信リスト及びイベント送信リストの参照を通じて識別する。そして、車両データ種別識別部233は、この識別結果を送信規制時間設定部234に出力する。
【0108】
送信規制時間設定部234は、車両データ種別識別部233から入力された車両データの種別、送信周期、データ長に基づいて、外部データの送信規制の実行時間を設定する。例えば、送信規制時間設定部234は、CANバス110上を流れている車両データが車両Cでのイベントに伴って発生したイベントデータであるときには、イベントの終了までに要する時間を予測し、この予測した時間を外部データの送信規制の実行時間として定める。この送信規制の実行時間の設定に際しては、例えば、イベントデータが、走行中の車両Cが或る交通要素に接近したことに伴って発生したデータであるときには、車両Cが交通要素を通過するまでに要する時間が送信規制の実行時間として設定される。また、送信規制の実行時間は、例えば、保存領域240Bの参照を通じて識別されたイベントデータの送信周期やデータ長に基づいて定められる。同様に、CANバス110上を流れている車両データが定期データであるときにも、例えば、保存領域240Bの参照を通じて識別された定期データの送信周期やデータ長に基づいて送信規制の実行時間が定められる。
【0109】
こうして、通信管理部200Bは、外部データの送信規制に際し、車両データ種別識別部233により定められた実行時間のもとに送信規制を実行する。これにより、例えば、先の図5に示したステップS108、S109において外部データの受信が停止される期間が、送信規制時間設定部234により定められた値へと可変設定される。こうして、車両データの種別や送信周期等に応じた送信規制が実行されることとなる。
【0110】
この結果、CANバス110が高負荷状態となる期間が一時的であることが予測されるときには、この期間に応じて、例えば外部データの受信停止が一時的に実行される。これにより、送信規制部250による外部データの送信規制が早期に解除され、外部データの転送条件さえ満たされると、CANバス110への外部データの転送を早い段階で許可することが可能となる。
【0111】
一方、CANバス110が高負荷状態となる期間が長期間継続されると予測されるときには、この期間に応じて、例えば外部データの受信停止が長期的に実行される。このため、一旦、CANバス110が高負荷状態にあり、かつ、この高負荷状態が所定期間継続すると判断されて以降は、車両データの送信状況に応じた期間だけ外部データの送信規制が実行される。そのため、CANバス110の負荷が低下するまで、一旦設定された送信規制の実行時間のもとに外部データの受信が停止されることとなる。これにより、外部データの受信を停止している期間においては、先の図5のステップS101〜S105等に示した処理を実行する必要もなく、通信管理部200Bの演算負荷が軽減されることとなる。またこれにより、CANバス110の負荷が低下するまでの間、通信管理部200Bによる外部データの受信を停止することが可能となり、この外部データがCANバス110に送信されることを的確に抑制することが可能となる。
【0112】
以上説明したように、本実施の形態にかかる車両ネットワークの通信管理装置によれば、前記(1)〜(8)の効果が得られるとともに、さらに以下の効果が得られるようになる。
【0113】
(10)CANバス110の車両データの送信状況に応じて外部データの送信規制にかかる実行期間を可変設定することとした。これにより、車両データの送信状況に応じた送信規制を実行することが可能となり、車両データの送信状況に見合った的確な送信規制を実行することが可能となる。
【0114】
(11)車両データとして車両内でのイベントの発生に伴い送受信が開始されるイベントデータが前記車両ネットワークに送信されたとき、イベントが終了するまでの間、送信規制部250による外部データの送信規制を実行することとした。このため、車両C内でのイベントの発生に伴ってCANバス110が高負荷状態になったとしても、イベントが終了するまで、すなわち、イベントの終了に伴いCANバス110が高負荷状態から低負荷状態に遷移するまでの間、外部データがCANバス110に送信されることが抑制される。これにより、車両C内でのイベントの発生を踏まえた外部データの送信規制を通じて、各車載制御装置100間でのイベントデータの送受信を確実に実行することが可能となる。
【0115】
(12)保存領域240Bに、定期データのID及びデータ長及び送信周期が登録された定期送信リストと、イベントデータのID及びデータ長が登録されたイベント送信リストとを設ける構成とした。また、定期送信リスト及びイベント送信リストの参照を通じて、車両データの種別、データ長、送信周期等を識別する車両データ種別識別部233と、この車両データ種別識別部233による識別結果に応じて外部データの送信規制の実行時間を定める送信規制時間設定部234とを制御判断部230Bに設ける構成とした。このため、車両データ種別識別部233により識別した車両データの種類、データ長、及び送信周期に基づいて、CANバス110の負荷の増減を予測することや、CANバス110による車両データの送信状況をより詳細に特定することが可能となる。これにより、車両データの監視を通じた外部データの送信規制をより的確に実行することが可能となる。
【0116】
(13)送信規制時間設定部234により定めた送信規制時間を、外部データ監視部220による外部データの受信停止期間に反映させることとした。このため、車両C内でのイベントの終了に伴って、高負荷状態にあったCANバス110が低負荷状態に遷移することが予測されるまの間は、外部データ監視部220による外部データの受信が停止される。これにより、車両C内のイベントが終了し、CANバス110が低負荷状態となるまでの間は、外部データがCANバス110に転送されることもない。また、これにより、送信規制時間設定部234により定めた送信規制時間が経過するまでの間は、外部データの受信が停止されることから、外部データの監視や同外部データがCANバス110に与える負荷の予測等の演算を行う必要もない。
【0117】
(他の実施の形態)
なお、上記各実施の形態は、以下のような形態をもって実施することもできる。
・上記各実施の形態では、先の図5に示した処理を、所定のデータ単位で行うこととした。これに限られず、例えば、データフレーム単位でステップS101〜S108の処理を実行するようにしてもよい。
【0118】
・上記各実施の形態では、DLC300及び外部用ネットワーク310を介して入力される外部データがCANバス110に及ぼす負荷とCANバス110での車両データの送信状況とに応じて、外部データの送信規制を行った。さらに、この外部データの送信規制に先立ち、例えば、外部から入力された外部データのIDやデータ長を識別するとともに、CANバス110に適合しないと識別された外部データをフィルタリングする機能を上記通信管理部200、200A、200Bに設けてもよい。これにより、予めフィルタリングされた外部データに対して送信規制の要否を実行することが可能となり、CANバス110に適合する外部データのみを、通信管理部200、200A、200BからCANバス110へと転送することが可能となる。
【0119】
・上記第3の実施の形態では、車両データが定期データ及びイベントデータのいずれであるか否かを、車両データのIDと保存領域240Bに登録されたイベント送信リストとの照合を通じて行った。これに限らず、例えば、車両データに付与されている識別子に基づいて車両データがイベントデータであるか否かを識別可能な場合には、保存領域240Bのイベント送信リストや定期送信リストを割愛する構成としてもよい。この場合には、例えば、先の図4(b)に対応する図として図8に示すように、各データフレームFia〜Ficがイベントデータである旨を示す識別子Ibが検知されたことに基づき、各データフレームFia〜Ficがイベントデータであると識別される。そして、この識別子Ibが付与されたデータフレームFia〜Ficが所定期間Δtf2の間に所定数検知されたとき、イベントの発生に伴いCANバス110の負荷が増大するとして、外部データの送信規制を実行するようにしてもよい。
【0120】
・上記各実施の形態では、外部データの送信規制として、外部データ監視部220が受信した外部データの破棄、及び外部データ監視部220に入力される外部データの受信停止を実行することとした。これに限らず、例えば、外部データ監視部220が受信した外部データを一時的に格納可能な記憶領域を通信管理部200に設け、外部データの送信規制に際しては、外部データ監視部220が受信した外部データを記憶領域に格納させるようにしてもよい。そして、車両データの負荷が低下したことをもって、記憶領域に格納された外部データをCANバス110に送信する送信保留を実行するようにしてもよい。この場合には、DLC300を介して入力された外部データは、CANバス110が低負荷状態となるのを待って同CANバス110に送信されることとなり、DLC300を介して入力された外部データをCANバス110に的確に送信することが可能となる。また、これに限らず、外部データの送信規制として、CANバス110に送信する外部データの送信量をCANバス110の負荷に適応させる通信調整を実行するようにしてもよい。この場合には、外部データをCANバス110に転送することによりCANバス110の負荷が負荷基準値を超えることが予測されたときには、外部データ監視部220が受信した外部データの送信周期や単位時間当たりの送信データ量が調整されて外部データがCANバス110に転送される。この結果、CANバス110の負荷が負荷基準値の以内となる範囲で、外部データがCANバス110に漸次転送されることとなり、CANバス110の負荷を負荷基準値以内に抑えつつ、余剰部分を利用した外部データの転送を行うことが可能となる。
【0121】
・上記各実施の形態では、車両データ監視部210によりCANバス110の使用率及び車両データの送信間隔及び単位時間当たりの送信データ量を監視するとともに、外部データ監視部220により外部データの送信間隔及び単位時間当たりの送信データ量を監視することとした。これに限らず、例えば、車両データ監視部210により、CANバス110の使用率及び車両データの送信間隔及び単位時間当たりの送信データ量のいずれか一方のみを監視するようにしてもよい。同様に、外部データ監視部220により、外部データの送信間隔及び単位時間当たりの送信データ量のいずれか一方を監視するようにしてもよい。この場合であれ、CANバス110の使用率、車両データの送信間隔、あるいは単位時間当たりの送信データ量、並びに、車両データの送信間隔あるいは単位時間当たりの送信データ量に基づき、車両データ及び外部データがCANバス110に及ぼす負荷を踏まえた送信規制を実行することができる。またこの他、例えば、車両データや外部データに付与されているIDのみを監視し、この監視するIDに基づき車両データや外部データのデータ長や送信周期などを監視するようにしてもよい。要は、車両データの送受信に伴うCANバス110の負荷や、外部データの負荷を監視することができればよく、車両データ監視部210及び外部データ監視部220により監視対象とする要素は適宜変更できる。
【0122】
・上記各実施の形態では、外部データの送信規制の実行基準となるCANバス110の使用率として「30%」を規定した。これに限らず、外部データの送信規制の実行基準となるCANバス110の使用率としては、CANバス110の通信機能を維持できる使用率であればよく、「29%」以下とすることや、「31%」以上とすることも可能である。
【0123】
・上記各実施の形態では、車両データ監視部210によりCANバス110の使用率を監視することとした。そして、外部データがCANバス110に送信されたときに増加が予測されるCANバス110の使用率が、CANバス110の高負荷状態を示す所定の閾値を超えるとき、送信規制部250による外部データの送信規制を実行することとした。これに限らず、例えば、CANバス110により円滑に送信可能なデータ量を予め規定し、この規定したデータ量を、車両データ及び外部データの合計値が超えるときに、送信規制部250による外部データの送信規制を実行するようにしてもよい。要は、送信規制部250による外部データの送信規制の実行基準となる負荷基準値とは、CANバス110の負荷が反映されるものであればよく、適宜変更することができる。
【0124】
・上記通信管理部200を、外部診断機器が接続されるコネクタとして車両内に設けられたDLC300とCANバス110との間に設けることとした。これに限らず、通信管理部200の配置位置とは、外部データがCANバス110に送信される以前に、この外部データが車両データに及ぼす負荷に応じて外部データがCANバス110に送信されることを抑制可能な位置であればよく、適宜変更することができる。
【0125】
・上記各実施の形態は、DLC300と通信管理部200とを、車両Cの内部に設けられた外部用ネットワーク310を設けることとした。これに限らず、外部用ネットワーク310を割愛する構成とし、DLC300に通信管理部200を直接接続する構成としてもよい。そして、DLC300から通信管理部200に入力される外部データの受信状況に基づき、外部データがCANバス110に及ぼす負荷を求めるようにしてもよい。
【0126】
・上記各実施の形態では、外部データ監視部220による外部データの監視を通じて、外部データの検知、ひいては、DLC300に接続された情報端末の検知を行うこととした。これに限らず、例えば、外部用ネットワーク310のホストである「CAN High」(もしくは「CAN Low」)をプルダウン抵抗により“L”レベルに維持させ、DLC300に接続される情報端末の接続部にプルアップ抵抗を設ける構成としてもよい。この場合には、情報端末の接続部がDLC300に接続されることにより“L”レベルに維持された「CAN High」が“H”レベルに変化することとなり、この変化に基づいてDLC300に情報端末が接続された旨を検知することが可能となる。そして、例えば、こうした“L”レベルから“H”への変化を通じて情報端末等がDLC300に接続されていることが検知されたことを条件として、通信管理部200による車両データ及び外部データを監視することとし、外部データの送信規制を実行するようにしてもよい。これにより、外部データが外部から送信されてくる蓋然性の高い状況下でのみ、両データ及び外部データの監視、並びに外部データの送信規制に必要な処理が行われることとなり、必要最小限の処理のもとに、外部データの送信規制を実現することが可能となる。
【0127】
・上記各実施の形態では、上記外部データを、DLC300に接続可能な情報端末等から入力可能な構成とした。これに限らず、DLC300に代えて、外部の情報端末等と無線通信可能な通信部を車両Cに設ける構成としてもよい。この場合であれ、無線通信を通じて外部から入力される外部データに対する送信規制を通じて、CANバス110による車両データの送受信を円滑に行うことが可能となる。なおこの場合には、例えば、通信部から通信対象機器に対し、通信対象機器との接続確認用データを送信する片方向通信を定期的に実行し、通信対象機器の接続の有無を検知するようにしてもよい。そして、例えば、通信対象機器との通信が確立していることが検知されたことを条件として、通信管理部200による車両データ及び外部データを監視することとし、外部データの送信規制を実行するようにしてもよい。これにより、外部データが外部から送信されてくる蓋然性の高い状況下でのみ、両データ及び外部データの監視、並びに外部データの送信規制に必要な処理が行われることとなり、必要最小限の処理のもとに、外部データの送信規制を実現することが可能となる。また、例えば、通信部から通信対象機器に対し、接続確認用データを送信するとともに、この接続確認用データを受信した通信対象機器から通信部に対し、接続確認用データを受信した旨を示す応答データや認証用のデータを返信する双方向通信を実行するようにしてもよい。この場合には、外部データの送信元となる通信対象機器の存在をより的確に認識することが可能になるとともに、認証用のデータに基づき通信対象機器を検証することが可能ともなる。これにより、CANバス110に対するセキュリティー性がより高められるようになる。
【0128】
・上記車両ネットワークとして、CANバス110を採用することとした。これに限らず、車両ネットワークとしては、車両データや外部データを送信可能なものであればよく、例えばフレックスレイを上記車両ネットワークとして採用することも可能である。この場合であれ、外部データの送信規制を通じて、各種車両データの円滑かつ確実な送受信を実現することが可能となる。またこの他、例えば制御系の車両ネットワークとしてIDB−1394(登録商標)を採用したり、ボデー系の車両ネットワークとして、BEAN、LINを採用することも可能である。同様に、情報系の車両ネットワークとしてAVC−LANを採用することも可能である。これらの場合であれ、車両ネットワークに対する外部データの送信規制を通じて、車両データの円滑かつ送受信を実現することが可能となる。またこの他、バス型の車両ネットワークであれば、本発明の適用は可能である。
【符号の説明】
【0129】
100…車載制御装置、110…CANバス、200、200A、200B…通信管理部、210…車両データ監視部、220…外部データ監視部、230、230A、230B…制御判断部、231…書き換えデータ判定部、232…負荷基準値変更部、233…車両データ種別識別部、234…送信規制時間設定部、240、240A、240B…保存領域、250…送信規制部、300…データ・リンク・コネクタ(DLC)、310…外部用ネットワーク、C…車両、Da−Df…外部データ、Fa−Fe…車両データ、Fia−Fic…イベントデータ。
【技術分野】
【0001】
本発明は、有線通信や無線通信を通じて外部のネットワークや情報端末に接続される車両ネットワークの通信を管理する車両ネットワークの通信管理装置に関する。
【背景技術】
【0002】
近年の自動車等の車両には、ナビゲーションシステムを構成する電子制御装置をはじめ、エンジンやブレーキ等の各種車載機器を電子的に制御する電子制御装置、車両の各種状態を表示するメータ等の機器を制御する電子制御装置などの多くの電子制御装置が搭載されている。そして、車両内では、それら各電子制御装置が通信線により電気的に接続されて車両ネットワークが形成されており、この車両ネットワークを介して各電子制御装置間での各種車両データの授受が行われている。
【0003】
さらに最近では、車両ネットワークと車両外部のネットワークとを接続し、これらネットワーク間での各種情報の授受を可能とするシステムの開発も進められている。このシステムでは、例えば、車両外部のネットワークを介して、ドライバが所有する情報端末から車両ネットワークへエンジンの起動要求が送信される。そして、車両ネットワークに接続されているエンジン制御装置がこの起動要求を受信することにより、同エンジン制御装置を通じてエンジンが起動される。このように車両ネットワークと車両外部のネットワークとの間での通信を通じて、車両の遠隔操作や車両状態の監視等を行うことが可能となっている。
【0004】
一方、このように外部から車両ネットワークにアクセスできる状況下では、正当な利用権限を有さない不正なユーザ等による不正操作(不正アクセス)によって車両ネットワーク内に不正なデータが入力されることも想定される。そこで、例えば特許文献1に記載されているように、車両ネットワークに接続された車載機器とユーザが所有する情報端末との間での無線通信に先立ち、情報端末から送信されるデータの暗号化及び復号化による相互認証を通じて情報端末の正当性を検証することなども提案されている。この特許文献1に記載の装置によれば、正当な権限を有さない情報端末が車載機器にネットワーク接続されることが抑制され、ひいては車載機器を介して車両ネットワークに不正なデータが取り込まれることが抑制されるようになる。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2003−152717号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
ところで、このように車両ネットワークに接続された車載機器に入力されるデータの正当性を同データの暗号化及び復号化による相互認証を通じて検証するためには、複雑な演算を伴う暗号化処理や復号化処理が必要となる。このため、これら暗号化処理や復号化処理を実行するための装置が必要になるばかりか、暗号化処理や復号化処理の実行に伴う演算負荷の増大が避けられない。
【0007】
また、車両ネットワークとは、前述のように、複数の電子制御装置間で車両データを授受するために車両内に形成された専用のネットワークである。よって、車両ネットワークに取り込まれることのないデータが外部から取り込まれるようなことがあると、通信負荷が増大し、各電子制御装置間での本来の車両データの送受信が阻害されることにもなりかねない。
【0008】
本発明は、このような実情に鑑みてなされたものであり、その目的は、簡易な構成でありながら、外部データの入力規制を通じて、車両ネットワークとしての通信の信頼性を維持することのできる車両ネットワークの通信管理装置を提供することにある。
【課題を解決するための手段】
【0009】
以下、上記課題を解決するための手段及びその作用効果について記載する。
請求項1に記載の発明は、複数の車載制御装置の間で車両データの送受信が行われるとともに、有線通信もしくは無線通信を通じた車両外部からの外部データの入力が可能な車両ネットワークにあって通信データの管理を行う車両ネットワークの通信管理装置であって、前記車両ネットワークに送信される車両データの送信状況と外部から入力される外部データとを監視し、それら監視するデータの送信状況と外部データが前記車両ネットワークに及ぼす負荷とに応じて外部データの前記車両ネットワークへの送信を規制する通信管理部を備えることを要旨とする。
【0010】
上記構成によれば、車両ネットワークにおける車両データの送信状況が監視されるとともに、同車両ネットワークに入力される外部データが監視される。そして、例えば、通信管理部に外部データが入力されると、各車載制御装置間で送受信される車両データが少ないために車両ネットワークの負荷が低いときには、外部データの送信規制が行われず、外部データが車両ネットワークに送信される。一方、例えば、車両状態の変化に伴い車載制御装置間で授受すべき車両データが増大し、車両ネットワークに送信される車両データが増大すると、この車両データの送受信を優先すべく、外部データの送信規制が実行される。この結果、車両ネットワークで送受信すべき車両データが増大したときには、車両ネットワークに外部データが取り込まれることがなく、車両ネットワークの通信量が飽和することが抑制される。このため、車両ネットワーク内に外部データを入力可能としながらも、この外部データの送信規制を通じて車両ネットワークによる車両データの送受信機能を的確に担保することが可能である。
【0011】
また、上記構成によれば、例えば、大量の不正データが送りつけられるような、いわゆるDos攻撃が行われたとしても、この大量の不正データが車両ネットワークに入力されることが抑制される。これにより、外部データを車両ネットワークに入力可能な構成としながらも、車両ネットワークに対するDos攻撃等を抑制することが可能となり、車両ネットワークとしてのセキュリティー性が高められるようにもなる。
【0012】
請求項2に記載の発明は、請求項1に記載の車両ネットワークの通信管理装置において、前記通信管理部は、前記外部データが前記車両ネットワークに送信されたときに予測される車両ネットワークの使用率が当該車両ネットワークの高負荷状態を示す所定の閾値を超えるとき、前記外部データの送信規制を実行することを要旨とする。
【0013】
上記構成によれば、外部データの送信規制に際し、通信管理部に入力された外部データが車両ネットワークに送信されたときの同車両ネットワークの使用率が予測される。そして、この予測される使用率が車両ネットワークの高負荷状態を示す所定の閾値を超えるときには、外部データの送信規制が実行され、車両ネットワークには外部データが送信されない。この結果、監視中の車両ネットワークの負荷のみならず、外部データが送信されたときに増大が予測される車両ネットワークの使用率に基づいた送信規制が実行される。これにより、外部データが車両ネットワークに入力されることに起因して、車両ネットワークの使用率が過剰に増大することが的確に抑制されるようになる。また、これにより、例えば、CAN(コントロール・エリア・ネットワーク)においては通常要求される使用率「30%」といったように、ネットワーク負荷を規制すべき使用率の範囲内に維持することが可能となり、適用対象とする車両ネットワークの特性に応じた通信管理が行われるようになる。
【0014】
請求項3に記載の発明は、請求項1又は2に記載の車両ネットワークの通信管理装置において、前記通信管理部は、前記外部データが前記車載制御装置のデータ書き換え用の書き換えデータであるとき、前記外部データの送信規制を一時的に緩和する処理を実行することを要旨とする。
【0015】
車両ネットワークは一般に、各車載制御装置間での車両データの授受に利用されるが、各車載制御装置が有するデータ書き換え用の書き換えデータ、いわゆるリプログラミングデータの送受信にも利用される。そして、この書き換えデータも通常、車両ネットワークの外部から外部データとして車両ネットワークに入力される。
【0016】
そこで、上記構成によるように、上記車両ネットワークに入力される外部データが車載制御装置の書き換えデータであるときには、この書き換えデータが、車両ネットワークに接続された車載制御装置に送信すべき優先度の高いデータであるとして、外部データの送信規制を緩和する処理を実行する。このため、車載制御装置の機能を維持する上で必要な書き換えデータが不要に送信規制されることが抑制され、車両ネットワークを介した書き換えデータの送受信を的確に実行することが可能となる。
【0017】
請求項4に記載の発明は、請求項1〜3のいずれか一項に記載の車両ネットワークの通信管理装置において、前記通信管理部は、前記車両データの送信間隔もしくは単位時間当たりの送信データ量に基づき車両データの送信状況を監視するとともに、前記外部データが入力される際の外部データの送信間隔もしくは単位時間当たりの送信データ量を監視することを要旨とする。
【0018】
車両ネットワークの負荷とは、同車両ネットワークに送受信される車両データの送信間隔や単位時間当たりに送信される車両データのデータ量(メッセージ量)に相関する。また、上記外部データが車両ネットワークに及ぼす負荷も、外部データが通信管理部に入力される際の同外部データの送信間隔や送信データ量、換言すれば、この外部データが車両ネットワークに送信される際の送信間隔や送信データ量に相関する。
【0019】
そこで、上記構成によれば、車両データの送信間隔や送信データ量、並びに外部データの送信間隔や送信データ量に基づき、車両データ及び外部データが車両ネットワークに及ぼす負荷を的確に求めることが可能となり、それらの負荷に基づく送信規制を的確に実行することが可能になる。
【0020】
請求項5に記載の発明は、請求項1〜4のいずれか一項に記載の車両ネットワークの通信管理装置において、前記通信管理部は、前記外部データの送信規制として、入力された外部データの破棄、入力された外部データの一時的な送信保留、入力される外部データの受信停止、及び前記車両ネットワークに送信する外部データの送信量を当該車両ネットワークの負荷に適応させる通信調整の少なくとも1つを実行することを要旨とする。
【0021】
上記構成によれば、通信管理部に外部データが入力されたとしても、車両ネットワークが高負荷状態にあるときには、例えば、入力された外部データが破棄されることにより、この外部データが車両ネットワークに送信されることなく同車両ネットワークで通信されている車両データの送受信が優先される。
【0022】
また、上記構成によれば、車両ネットワークが高負荷状態にあるときには、例えば、入力された外部データが一時的に保留されるとともに、車両ネットワークの負荷が低下したことをもって、一時的に保留され外部データが車両ネットワークに送信される。これにより、外部データの入力に伴う車両ネットワークの負荷の増大を抑制しつつも、通信管理部に入力された外部データを車両ネットワークに送信することが可能となる。
【0023】
また同様に、上記構成によれば、車両ネットワークが高負荷状態にあるときには、例えば、通信管理部による外部データの受信が停止され、通信管理部に外部データが取り込まれることが抑止される。この結果、車両ネットワークが高負荷状態にあるときには通信管理部そのものに外部データが入力されることが抑制され、この通信管理部を介した車両ネットワークへの外部データの送信が規制される。
【0024】
さらに、上記構成によれば、車両ネットワークに多少の負荷がかかっていたとしても、車両ネットワークの通信機能を維持可能な範囲で外部データが車両ネットワークに送信される。すなわち、車両ネットワークの負荷に反比例する態様で、また、車両ネットワークによる車両データの通信機能を維持できる範囲内で、車両ネットワークに送信される外部データの送信量が調整される。これにより、車両ネットワークの負荷に応じて外部データの送信量を調整することが可能となり、車両ネットワークの通信機能を最大限に活用する態様で、この車両ネットワークを介した車両データの送受信と外部データの送受信とを実現することが可能となる。
【0025】
請求項6に記載の発明は、請求項1〜5のいずれか一項に記載の車両ネットワークの通信管理装置において、前記通信管理部は、前記監視する車両ネットワークの車両データの送信状況に応じて前記外部データの送信規制にかかる実行期間を可変設定することを要旨とする。
【0026】
車両ネットワークによる車両データの送信状況、換言すれば、車両ネットワークの負荷とは、車両の走行状態等によって変化するものであり、車両ネットワークが一時的に高負荷状態となる場合や、車両ネットワークの高負荷状態が所定期間継続する場合などが想定される。
【0027】
そこで、上記構成によるように、通信管理部による外部データの送信規制の実行期間を、車両ネットワークによる外部データの送信状況に応じて可変設定することとすれば、例えば、車両ネットワークが高負荷状態となる期間が一時的である場合には、この期間に応じた一時的な送信規制が実行される。これにより、外部データの送信規制が早期に解除され、車両ネットワークへの外部データの送信を早い段階で許可することが可能となる。
【0028】
また、上記構成によれば、例えば、車両ネットワークが高負荷状態となる期間が長期間継続されるときには、この期間に応じた長期的な送信規制が実行される。このため、車両ネットワークが高負荷状態にあり、かつ、この高負荷状態が所定期間継続すると一旦判断されて以降は、車両データの送信状況に応じた期間だけ送信規制が実行される。そのため、車両ネットワークの負荷が低下するまでは一旦設定された送信規制の実行時間のもとに外部データの送信規制が実行されることとなり、車両ネットワークの負荷が低下するまでの間、外部データが車両ネットワークに送信されることを的確に抑制することが可能となる。
【0029】
請求項7に記載の発明は、請求項1〜6のいずれか一項に記載の車両ネットワークの通信管理装置において、前記通信管理部は、前記車両データとして車両内でのイベントの発生に伴い送受信が開始されるイベントデータが前記車両ネットワークに送信されたとき、前記イベントが終了するまでの間、前記外部データの送信規制を実行することを要旨とする。
【0030】
車両ネットワークを介して送受信される車両データは、例えば、各車載制御装置間で定期的に送受信されるデータや、所定のイベントが発生してから同イベントが終了するまでの間、一時的に送受信されるイベントデータがある。そして、このイベントデータは通常、送信時間が一時的ではあるものの、同イベントデータが送受信される間は車両ネットワークが高負荷状態になる傾向にある。また、こうしたイベントデータは通常、車両の走行状態の変化に起因して各車載制御装置間での送受信が必要になる緊急性の高いデータであり、このデータを送信対象となる車載制御装置に確実に送信する必要がある。
【0031】
そこで、上記構成によるように、イベントデータが車両ネットワークに送信されたときには、このイベントデータの送信要因となったイベントが終了するまでの間、外部データの送信規制を実行する。この結果、イベントの発生に伴って車両ネットワークが高負荷状態になったとしても、イベントが終了するまで、すなわち、イベントの終了に伴い車両ネットワークが高負荷状態から低負荷状態に遷移するまでの間、外部データが車両ネットワークに送信されることが抑制される。これにより、上記イベントデータの送受信を確実に実行することが可能となる。
【0032】
請求項8に記載の発明は、請求項1〜7のいずれか一項に記載の車両ネットワークの通信管理装置において、前記通信管理部は、前記車両ネットワークに定期的に送信される1ないし複数種のデータの識別子及びデータ長及び送信周期が登録された定期送信リストと、前記車両内でのイベントの発生に伴って前記車両ネットワークに送信される1ないし複数種のデータの識別子及びデータ長が登録されたイベント送信リストとを備え、それら定期送信リスト及びイベント送信リストを参照して前記車両ネットワークの送信状況を監視することを要旨とする。
【0033】
通常、車両データの送信主体となる車載制御装置の規格等は予め特定可能なことから、この車載制御装置間で送受信される車両データの識別子、データ長、及び送信周期を、各車載制御装置の規格等に基づいて特定することが可能である。
【0034】
そこで、上記構成によるように、送信フレームリスト及びイベント送信リストを通信管理部に設ける。そして、通信管理部による車両データの送信状況の監視を、これら送信フレームリスト及びイベント送信リストの参照を通じて実行させる。このため、通信管理部は、例えば、車両ネットワークを介して送受信される車両ネットワークの識別子の照合を通じて、車両データの種類、データ長、及び送信周期を特定することが可能となる。そのため、この特定した車両データの種類、データ長、及び送信周期に基づいて、車両ネットワークの負荷の増減を予測することや、車両ネットワークによる車両データの送信状況をより詳細に特定することが可能となる。これにより、車両データの監視を通じた外部データの送信規制をより的確に実行することが可能となる。
【0035】
請求項9に記載の発明は、請求項1〜8のいずれか一項に記載の車両ネットワークの通信管理装置において、前記通信管理部は、車両に搭載される外部用ネットワークと前記車両ネットワークとの間に接続されてなり、該外部用ネットワークを介して送信される外部データの送信状況の監視を通じて前記外部データの送信規制を実行することを要旨とする。
【0036】
上記構成によれば、車載制御装置の書き換えデータなどをはじめとする外部データを取り込んで同取り込んだ外部データを車両ネットワークに案内する外部用ネットワークと上記車両ネットワークとの間に、上記通信管理部が設けられる。そして、通信管理部による外部データの監視に際しては、外部用ネットワークを介して送信される外部データの送信状況の監視を通じて、外部データの通信規制が実行される。このため、外部データがネットワークを介して実際に送信される際の送信周期や単位時間当たりの送信データ量等に基づいて、この外部データがネットワークに及ぼす負荷を特定することが可能となる。これにより、この外部データが車両ネットワークに送信されたときの負荷を精度よく推定することが可能となる。
【0037】
請求項10に記載の発明は、請求項1〜9のいずれか一項に記載の車両ネットワークの通信管理装置において、前記通信管理部は、外部診断機器が接続されるコネクタとして車両内に設けられたデータ・リンク・コネクタと前記車両ネットワークとの間に設けられてなることを要旨とする。
【0038】
車両ネットワークに接続されるデータ・リンク・コネクタ(DLC)は一般に、車室内に露出された状態で設けられている。また、このDLCは通常、例えばディーラーでの診断ツールを用いたダイアグ診断に際し、診断機器等の機器を接続するために用いられる。
【0039】
一方、最近では、このDLCに情報端末を接続することで、車両ネットワークを流れる車両データを情報端末から取得したり、逆に情報端末から車両ネットワークへと各種データを出力するといった想定外の用途に用いられる傾向にある。そして、DLCに不正な情報端末が接続された場合や、情報端末に登録されているアプリケーションがウィルス等に感染している場合には、DLCを介して不正なデータが車両ネットワークに取り込まれることが想定される。また、DLCに接続された情報端末が正常な状態にあったとしても、ユーザの操作如何によっては大量のデータがDLCを介して情報端末から車両ネットワークへと送信されることも想定される。
【0040】
そこで、上記構成によれば、露出した状態で車室内に設けられ、また、外部データの送信元となる外部の情報端末等に接続される蓋然性の高いDLCを介して入力される外部データに対しても、的確に送信規制を実行することが可能となる。これにより、DLCを介して外部から入力されてくる外部データの送信規制を的確に実行することが可能となる。
【0041】
請求項11に記載の発明は、請求項1〜10のいずれか一項に記載の車両ネットワークの通信管理装置において、前記車両ネットワークがコントロール・エリア・ネットワークからなることを要旨とする。
【0042】
上記車両ネットワークとしては、コントロール・エリア・ネットワーク(CAN)が採用されることが多く、同コントロール・エリア・ネットワークでは、各種イベントの発生に伴い各種車両データの授受が行われる。また、こうしたコントロール・エリア・ネットワークでは、その特性上、たとえ車両データが送信すべき車載制御装置に送信されなかったとしても、この車両データを送信対象に再送することが難しい。よって、こうしたコントロール・エリア・ネットワークを介して車両データの送受信を行う上では、車両ネットワークの負荷を的確に管理して、この車両ネットワークによる車両データの送受信機能を維持する必要がある。
【0043】
この点、上記構成によれば、汎用性が高く、また、送受信機能を維持する必要性が特に高いコントロール・エリア・ネットワークについても、外部データの送信機能を通じて、コントロール・エリア・ネットワークによる送受信機能を的確に維持することが可能となる。
【0044】
請求項12に記載の発明は、請求項1〜10のいずれか一項に記載の車両ネットワークの通信管理装置において、前記車両ネットワークがフレックスレイからなることを要旨とする。
【0045】
上記フレックスレイは通常、制御系、ボデー系、及び情報系によって構成される車両ネットワークのうち、制御系の車両ネットワークに適用可能である。そして、こうしたフレックスレイによれば、コントロール・エリア・ネットワークなどと比較し、車両データの送受信をより高速に実行することが可能なものの、同フレックスレイの通信負荷が増大したときには車両データを的確に送受信することは難しい。
【0046】
この点、上記構成によれば、車両ネットワークとしてフレックスレイが採用される場合であれ、外部データの送信規制を通じて、各種車両データの円滑かつ確実な送受信を実現することが可能となる。
【図面の簡単な説明】
【0047】
【図1】本発明にかかる車両ネットワークの通信管理装置の第1の実施の形態について、通信管理部と同通信管理部が設置される車両のネットワーク構成との概略構成を示すブロック図。
【図2】外部データの負荷のみに基づいた外部データの転送制御を想定した図であり、(a)は、外部データのCANバスへの転送前におけるCANバス及び外部用ネットワークのデータの送信状況を示す図。(b)は、外部データのCANバスへの転送後におけるCANバス及び外部用ネットワークのデータの送信状況を示す図。
【図3】(a)は、外部データ監視部により監視される外部用ネットワークにおける外部データの送信状況の一例を示す図。(b)は、外部データ監視部により監視される外部データの送信間隔の一例を示す図。(c)は、外部データ監視部により監視される外部データの単位時間当たりの送信データ量の一例を示す図。
【図4】(a)は、車両データ監視部により監視されるCANバスにおける車両データの送信状況の一例を示す図。(b)は、車両データ監視部により監視される車両データの送信間隔の一例を示す図。(c)は、車両データ監視部により監視される車両データの単位時間当たりの送信データ量の一例を示す図。
【図5】本実施の形態の通信管理部による外部データの送信規制手順の一例を示すフローチャート。
【図6】本発明にかかる車両ネットワークの通信管理装置の第2の実施の形態について、通信管理部と同通信管理部が設置される車両のネットワーク構成との概略構成を示すブロック図。
【図7】本発明にかかる車両ネットワークの通信管理装置の第3の実施の形態について、通信管理部と同通信管理部が設置される車両のネットワーク構成との概略構成を示すブロック図。
【図8】本発明にかかる車両ネットワークの通信管理装置の他の実施の形態について、外部データ監視部により監視される外部データの単位時間当たりの送信データ量の一例を示す図。
【発明を実施するための形態】
【0048】
(第1の実施の形態)
以下、本発明にかかる車両ネットワークの通信管理装置を具体化した第1の実施の形態について図1〜図5を参照して説明する。なお、本実施の形態は、車載制御装置間での信号の授受を、イベントトリガ方式で各種通信データが授受されるCAN(コントロール・エリア・ネットワーク)を介して行うものである。
【0049】
図1に示すように、本実施の形態の通信管理装置は、車両Cに搭載された各種車載機器を制御する複数の車載制御装置(ECU)100と各種情報端末等から外部データが入力されるデータ・リンク・コネクタ(DLC)300との間に設けられる通信管理部200によって構成される。
【0050】
車載制御装置100は、例えば、車室内の計器盤に設けられる速度計の表示態様を制御する計器制御装置、ドライバによるアクセルペダルの踏込み量に基づきエンジンの運転状態を制御するエンジン制御装置、ドライバによるブレーキペダルの踏込み量に基づきブレーキを制御するブレーキ制御装置などによって構成される。各車載制御装置100は、車両ネットワークであるコントロール・エリア・ネットワーク(CAN)を構成する通信線であるCANバス110に接続されている。CANバス110に接続される各車載制御装置100は、車両Cのドライバによる車両操作や車両Cの走行環境等に応じて各種車載機器を制御すべく、例えば、速度計の表示量、エンジンの制御量、ブレーキの制御量などをはじめとする車両データを、CANバス110を介して各車載制御装置100間で送受信する。なお、車両データは、CANバス110内での転送ファイル形式である1ないし複数のデータフレームに変換されてCANバス110上で送受信される。また、各データフレームは、例えば、データ内容や送信ノードを識別するために使用されるID(識別子)や、最大で8バイトのデータを送信可能なデータフィールドなどを有したデータ構造となっている。
【0051】
一方、車両Cには、同車両Cの診断に際して外部診断機器が接続されるDLC300が設けられている。このDLC300は、例えば、計器盤の下部に設けられており、CANバス110に繋がる外部用ネットワーク310と電気的に接続されている。すなわち、DLC300は、車載制御装置100が接続されるCANバス110に外部用ネットワーク310を介して接続される。そして、車両Cの診断に際しては、DLC300に外部診断機器が接続され、例えば診断用のデータが、CANバス110内での転送ファイル形式であるデータフレームに変換されたのちに、同変換されたデータフレームが外部用ネットワーク310及びCANバス110を介して送信対象とする車載制御装置100に送信される。また、外部用ネットワーク310及びDLC300を介して、CANバス110に送信される車両データが外部診断機器により取得される。なお、外部用ネットワーク310は、例えば、CANバス110と同一の規格の通信線によって構成されており、外部用ネットワーク310により送受信可能なデータ量はCANバス110と共通したものとなっている。
【0052】
また、DLC300は、各車載制御装置100に組み込まれているアプリケーションプログラム等の制御プログラムや制御データに更新や修正の必要が生じた際、それらをリプログラミング(データ書き換え)するための書き換えデータが、車両Cの内部に取り込まれるときにも用いられる。そして、車載制御装置100のデータ書き換えに際しては、DLC300に書き換えデータが車両Cの内部に入力され、この入力された書き換えデータが、外部用ネットワーク310及びCANバス110を介して書き換えの対象となる車載制御装置100に送信される。
【0053】
さらに、本実施の形態のDLC300には、例えば、車両Cのドライバが所有する情報端末等が接続される。また、情報端末で利用される各種アプリケーション等のサービスの利用に際しては、同サービスを情報端末や車両Cで利用するための各種データがDLC300を介して車両Cの内部に入力される。そして、この車両Cの内部に入力されデータも、外部用ネットワーク310及びCANバス110を介して、送信対象とする車載制御装置100に送信される。
【0054】
ところで、このようにDLC300を介して取り込まれた各種データ(外部データ)が外部用ネットワーク310を介してCANバス110に送信されると、これに伴って、CANバス110の使用率が増大し、同CANバス110の負荷が増大する。このため、外部データが大量にCANバス110に送信されると、CANバス110を介して本来送受信すべき車両データの送受信が阻害されることとなってしまう。
【0055】
一方、図2(a)に例示するように、CANバス110への入力を許容する所定の閾値を外部データD1に対して設け、そのデータ量が閾値以下であることを条件にCANバス110への外部データD1の送信を許可することも検討できる。しかし、図2(b)に例示するように、外部データD1のデータ量のみを監視するだけでは、CANバス110での車両データF1の送信状況によってはCANバス110の負荷が増大する虞がある。すなわち、CANバス110では通常、車両データF1がブロードキャストで送信されることから、CANバス110には車両データF1が定常的に送信される傾向にある。また、CANバス110では、同CANバス110に送信される車両データF1の送信周期やデータ量等が車両Cの状態等に起因して動的に変化する。よって、図2(a)及び(b)に示したように、外部から入力される外部データD1のみを監視し、この外部データD1の入力を規制するだけでは、CANバス110が高負荷になることを抑制し、CANバス110による車両データF1の送受信機能を維持することは難しい。
【0056】
そこで、本実施の形態では、図1に示すように、CANバス110とDLC300との間に設けられた通信管理部200によって、DLC300から取り込まれた外部データの送信規制を実行することとする。なお、本実施の形態では、車両データがブロードキャストでCANバス110上を流れることから、CANバス110に接続された通信管理部200には、各車載制御装置100間で送受信される全ての車両データが入力されるようになっている。
【0057】
本実施の形態の通信管理部200は、CANバス110による車両データの送信状況を監視する車両データ監視部210を備えている。また、通信管理部200は、DLC300に接続された外部診断機器や情報端末から出力されて外部用ネットワーク310を介して送信されてくる外部データの送信状況を監視する外部データ監視部220を備えている。
【0058】
車両データ監視部210は、例えば、CANバス110に送信される車両データのID、同車両データの送信間隔、同車両データの単位時間当たりの送信量(メッセージ量)等を監視し、この監視結果を示す信号を、同信号に基づき外部データの送信制御を行う制御判断部230に適宜出力する。また、車両データ監視部210は、CANバス110に送信される車両データの送信間隔や送信量に基づきCANバス110の負荷を示す使用率を求め、この求めた使用率を示す信号を制御判断部230に出力する。なお、車両データ監視部210は、例えば、CANバス110に実際に送信されている車両データの送信データ量をCANバス110により最大限送信可能なデータ量で除算した値をもとに、CANバス110の使用率を求める。
【0059】
外部データ監視部220は、例えば、外部用ネットワーク310に接続されており、DLC300及び外部用ネットワーク310を介して送信される外部データを受信する。そして、この外部データの受信状況に基づき、外部用ネットワーク310による外部データの送信状況を監視するとともに、この監視結果を示す信号を制御判断部230に適宜出力する。
【0060】
本実施の形態の制御判断部230は、車両データ監視部210及び外部データ監視部220の監視結果に基づく外部データの送信制御を、CANバス110の経路を示すルーティング情報やCANバス110が高負荷であるか否かの判断に際して基準となる閾値などが登録された保存領域240の参照を通じて行う。
【0061】
保存領域240には、例えば、CANバス110が高負荷状態であるか否かの判断に際して判断基準となる負荷基準値が登録されている。本実施の形態では、負荷基準値として、例えばコントロール・エリア・ネットワークの規格上推奨されている使用率約「30%」を示す情報が登録されている。また、保存領域240には、CANバス110の経路を示す情報であるルーティング情報が登録されている。
【0062】
そして、制御判断部230は、こうした保存領域240の参照を通じて、例えば、車両データ監視部210から入力されたCANバス110の使用率が、保存領域240に登録された負荷基準値である約「30%」を超えているか否かを判断する。また、制御判断部230は、外部データ監視部220による監視結果に基づき、DLC300及び外部用ネットワーク310を介して外部データが通信管理部200に送信されているか否かを認識するとともに、この外部データの送信周期及びデータ量を認識する。そして、制御判断部230は、車両データの送受信に伴ってCANバス110の使用率が既に約「30%」を超えており、かつ、外部データが通信管理部200に送信されている旨判断すると、例えば通信管理部200に送信されている外部データを破棄させる旨の制御指令を、外部データの送信規制を実行する送信規制部250に出力する。制御判断部230はまた、外部データの受信を所定時間停止させる旨の制御指令を送信規制部250に出力する。
【0063】
一方、制御判断部230は、監視するCANバス110の使用率が約「30%」以内であっても、DLC300及び外部用ネットワーク310を介して外部データが通信管理部200に送信されているときには、この外部データがCANバス110に送信されたとき増大が予測されるCANバス110の使用率を算出する。そして、制御判断部230は、この算出したCANバス110の使用率が負荷基準値である約「30%」を超える旨判断したときには、例えば、通信管理部200に送信されてきた外部データを破棄させる旨の制御指令を送信規制部250に出力する。制御判断部230はまた、外部データの受信を所定時間停止させる旨の制御指令を送信規制部250に出力する。
【0064】
送信規制部250は、外部データを破棄する旨の制御指令が制御判断部230から入力されると、この制御指令に従って、外部データ監視部220が受信した外部データを当該外部データ監視部220に破棄させる。すなわち、CANバス110の使用率が約「30%」を既に超えているとき、あるいは、外部データの入力に伴ってCANバス110の使用率が約「30%」を超えることが予測されたときには、通信管理部200に送信される外部データが一旦破棄され、この外部データがCANバス110内に送信されないこととなる。このため、CANバス110の負荷が高い状態、あるいは、CANバス110の負荷の増大が予測される状態では、DLC300及び外部用ネットワーク310を介して送信されてきた外部データがCANバス110に送信されることが禁止され、CANバス110の負荷が過度に増大することが抑制される。また、送信規制部250は、外部データの受信を停止する旨の制御指令が制御判断部230から入力されると、この制御指令に従って、外部データ監視部220による外部データの受信を所定時間停止させる。このため、例えば、CANバス110を介して送受信される車両データのデータ量が低減するまで、換言すれば、高負荷状態にあるCANバス110が低負荷状態に遷移するまでの間、外部データが通信管理部200に入力されることが抑制される。そして、例えば、DLC300に接続された情報端末の画像表示部等には、外部データの送信エラーを示す画像や、所定期間経過後の外部データの再送信を促す画像等が表示される。
【0065】
一方、送信規制部250は、外部データをCANバス110に送信したとしても同外部データの送信後のCANバス110の使用率を例えば約「30%」以内に維持可能な場合には、外部データの送信規制を実行しない。これにより、DLC300及び外部用ネットワーク310を介して送信され、外部データ監視部220が受信した外部データが、CANバス110に転送されることとなる。
【0066】
次に、本実施の形態の外部データ監視部220による外部データの監視態様を図3を参照して説明する。
図3(a)に示すように、例えば、DLC300に接続された情報端末から外部データが入力され、この外部データが変換されたデータフレームDa〜Dfが外部用ネットワーク310に送信されたとする。
【0067】
外部データ監視部220はまず、外部用ネットワーク310を介して送信されたデータフレームDa〜Dfを受信すると、外部データがDLC300を介して車両Cの内部に入力された旨を認識する。
【0068】
また、外部データ監視部220は、例えば、データフレームDa〜Dfの受信間隔を計測することにより、図3(b)に示すように、外部用ネットワーク310による各データフレームDa〜Dfの送信間隔Δtdを求める。そして、外部データ監視部220は、この求めた送信間隔Δtdを示す信号を、上記制御判断部230に出力する。また一方、外部データ監視部220は、図3(c)に示すように、データフレームDa〜Dfの受信状況に基づき、例えば、期間T1におけるデータフレームの数を計測することにより、外部用ネットワーク310を介して送信される外部データの単位時間当たりの送信データ量を求める。そして、外部データ監視部220は、この求めた送信データ量を示す信号を、上記制御判断部230に出力する。
【0069】
なお、例えば、DLC300を介して大量の外部データが車両Cの内部に送信されるDos攻撃が行われたときには、外部用ネットワーク310における外部データの送信間隔Δtdは、車両データがCANバス110上を流れる際の送信間隔よりも短くなる。また同様に、外部用ネットワーク310における外部データの単位時間当たりのデータ量も、車両データがCANバス110上を流れる際の単位時間当たりのデータ量よりも多くなる。よって本実施の形態の制御判断部230では、車両データがCANバス110上を流れる際の送信間隔や単位時間当たりのデータ量と、外部用ネットワーク310上を流れる外部データの送信間隔や単位時間当たりのデータ量とを比較することによって、DLC300を介して入力される外部データがDos攻撃であるか否かを把握することが可能となっている。
【0070】
なお、こうした外部データ監視部220による外部データの監視は、例えば、通信管理部200による外部データの受信状況を外部データ監視部220が監視することによって行われる。また、こうした外部データ監視部220による監視は所定の時間間隔のもとに実行され、例えば、外部用ネットワーク310に送信され得る外部データの送信間隔の最小値よりも短い時間間隔のもとに行われる。
【0071】
続いて、本実施の形態の車両データ監視部210による車両データの監視態様を図4を参照して説明する。
図4(a)に示すように、例えば、車両データが変換されたデータフレームFa〜Feが各車載制御装置100から送信されると、例えば、データフレームFa〜FeはCANバス110の途中に設けられた通信管理部200を経由して各車載制御装置100に送信される。そして、車両データ監視部210は、通信管理部200を経由するデータフレームFa〜Feを監視することにより、CANバス110による車両データの送信状況を監視する。
【0072】
また、車両データ監視部210は、CANバス110の監視を通じて、図4(b)に示すように、それら検知した各データフレームFa〜Feの送信間隔Δtfを計測する。そして、車両データ監視部210は、この計測した送信間隔Δtfを示す信号を、上記制御判断部230に出力する。また一方、車両データ監視部210は、車両データ監視部210の監視を通じて、図4(c)に示すように、例えば、期間T2におけるデータフレームの数を計測することにより、CANバス110による車両データの単位時間当たりの送信データ量を求める。そして、車両データ監視部210は、この求めた送信データ量を示す信号を、上記制御判断部230に出力する。さらに、車両データ監視部210は、例えば、これら計測したデータフレームFa〜Feの送信間隔Δtfや送信データ量に基づき、CANバス110の使用率を求め、この求めた使用率を示す信号を制御判断部230に出力する。
【0073】
以下、本実施の形態の車両ネットワークの通信管理装置の作用について図5を参照して説明する。
図5に示すように、DLC300に情報端末等が接続され、この情報端末により所定のデータ量の外部データがDLC300及び外部用ネットワーク310に送信されると、外部用ネットワーク310に送信された外部データを外部データ監視部220が受信する(ステップS101)。そして、外部データ監視部220は、この外部データの受信状況に基づき、外部データの送信間隔及び単位時間当たりの送信データ量を求め、それら求めた外部データの送信間隔及び送信データ量を示す信号を制御判断部230に出力する。
【0074】
次いで、制御判断部230は、車両データ監視部210による車両データの監視を通じて、CANバス110の使用率、CANバス110上を流れる車両データの送信間隔、及び同車両データの単位時間当たりの送信データ量を示す信号を取得する(ステップS102)。
【0075】
制御判断部230は、車両データ監視部210から取得したCANバス110の使用率が、例えばCANバス110の高負荷状態を示す約「30%」以下、すなわち、負荷基準値以下であるか否かを判断する(ステップS103)。
【0076】
そして、CANバス110の使用率が約「30%」以下であると、制御判断部230は、車両データ監視部210及び外部データ監視部220による監視結果に基づき、外部データ監視部220が受信した外部データをCANバス110に送信したときに増大が予測されるCANバス110の使用率を求める(ステップS103:YES、S104)。次いで、制御判断部230は、この求めた使用率が例えば約「30%」以下であるか否かを判断する(ステップS105)。
【0077】
そして、制御判断部230は、外部データ監視部220が受信した外部データをCANバス110に送信したとしてもCANバス110の使用率が約「30%」以内に維持される旨判断すると(ステップS105:YES)、外部データ監視部220が受信した外部データをCANバス110に転送させる(ステップS106)。
【0078】
一方、ステップS103において、CANバス110の使用率が約「30%」を超えている旨判断されたときには、CANバス110が既に高負荷状態にあるとして、外部データ監視部220が受信した外部データが破棄される(ステップS103:NO、S107)。同様に、CANバス110の使用率が約「30%」以下であったとしても、外部データ監視部220が受信した外部データをCANバス110に送信することによってCANバス110の使用率が約「30%」を超えることが予測されるときには、外部データ監視部220が受信した外部データが破棄される(ステップS105:NO、S107)。
【0079】
また、外部データの破棄後は、外部データ監視部220により外部データを受信することが所定期間だけ停止され、DLC300及び外部用ネットワーク310を介して送信される外部データが外部データ監視部220(通信管理部200)に取り込まれることが停止される(ステップS108、S109)。
【0080】
こうして、所定期間が経過し(ステップS109:YES)、例えばDLC300に接続された情報端末から外部データが再送されると、再び、外部用ネットワーク310側での外部データの監視とCANバス110側での車両データの監視とが行われる。そして、CANバス110の負荷を踏まえて外部データのCANバス110への入力の要否が決定されるようになる。
【0081】
以上説明したように、本実施の形態にかかる車両ネットワークの通信管理装置によれば、以下の効果が得られるようになる。
(1)車両ネットワークであるCANバス110に送信される車両データの送信状況を車両データ監視部210により監視するとともに、外部から入力される外部データを外部データ監視部220により監視することとした。そして、車両データ及び外部データの送信状況と外部データがCANバス110に及ぼす負荷とに応じて、CANバス110への外部データの送信を規制することとした。このため、CANバス110で送受信すべき車両データが増大したときには、外部データがCANバス110に取り込まれることがなく、CANバス110の通信量が飽和することが抑制される。これにより、CANバス110内に外部データを入力可能としながらも、この外部データの送信規制を通じてCANバス110による車両データの送受信機能を的確に担保することが可能である。また、このため、例えば、大量の不正データがCANバス110に送りつけられるようなDos攻撃が行われたとしても、この大量の不正データの送信規制を通じて、同データがCANバス110に入力されることが抑制される。これにより、外部から送信される外部データをCANバス110の内部に入力可能な構成としながらも、車両Cの制御に必要な各車載制御装置100が接続されるCANバス110に対するDos攻撃等を抑制することが可能となり、CANバス110としてのセキュリティー性が高められるようにもなる。
【0082】
(2)車両データ監視部210によりCANバス110の使用率を監視することとした。そして、外部データがCANバス110に送信されたときに増加が予測されるCANバス110の使用率が、CANバス110の高負荷状態を示す所定の閾値を超えるとき、送信規制部250による外部データの送信規制を実行することとした。このため、監視中のCANバス110の負荷のみならず、外部データが送信されたときに増大が予測されるCANバス110の使用率に基づいた送信規制が実行される。これにより、外部データがCANバス110に入力されることに起因してCANバス110の使用率が過剰に増大することが的確に抑制されるようになる。また、上記閾値として例えばCANバス110の規格上推奨される約「30%」を設定することにより、外部データをCANバス110に入力可能な構成としながらもCANバス110の使用率を約「30%」以内に抑えることが可能となる。これにより、CANバス110による車両データの送受信を、送信遅延や送信不良等を発生させることなく行うことが可能となり、CANバス110の特性を踏まえた的確な通信管理が行われるようになる。
【0083】
(3)車両データ監視部210により車両データの送信間隔及び単位時間当たりの送信データ量を監視するとともに、外部データ監視部220により外部データの送信間隔及び単位時間当たりの送信データ量を監視することとした。これにより、車両データの送信間隔や送信データ量、並びに外部データの送信間隔や送信データ量に基づき、車両データ及び外部データがCANバス110に及ぼす負荷を的確に求めることが可能となり、この求めた負荷に基づく外部データの送信規制を的確に実行することが可能になる。
【0084】
(4)送信規制部250による外部データの送信規制として、外部データ監視部220が受信した外部データの破棄を実行することとした。通信管理部200に外部データが入力されたとしても、CANバス110が高負荷状態にあるときには、入力された外部データが破棄されることにより、この外部データがCANバス110に送信されず、CANバス110で通信中の車両データの送受信を優先して行わせることが可能となる。
【0085】
(5)送信規制部250による外部データの送信規制として、外部データ監視部220に入力される外部データの受信停止を所定期間だけ実行することとした。これにより、CANバス110に外部データを取り込ませる余裕がないと判断されて以降は、通信管理部200に外部データが取り込まれることがなく、CANバス110の負荷に応じて外部データを破棄する必要もない。
【0086】
(6)通信管理部200を、CANバス110と外部用ネットワーク310との間に配置した。そして、外部用ネットワーク310を介して送信される外部データの送信状況の監視を通じて、送信規制部250による外部データの送信規制を実行することとした。このため、外部用ネットワーク310を介して送信されてきた外部データは通信管理部200を経由してCANバス110に送信されることとなり、同通信管理部200による外部データの送信規制を的確に実行することが可能となる。また、このため、外部データが外部用ネットワーク310を介して実際に送信される際の送信周期や単位時間当たりの送信データ量等に基づいて、この外部データがCANバス110に及ぼす負荷を特定することが可能となる。これにより、この外部データがCANバス110に送信されたときの負荷を精度よく推定することが可能となる。
【0087】
(7)上記通信管理部200を、外部診断機器が接続されるコネクタとして車両内に設けられたDLC300とCANバス110との間に設けることとした。このため、露出した状態で車室内に設けられ、外部の情報端末等と車両ネットワークとを容易に接続可能なDLC300を介して入力される外部データが送信規制される。これにより、DLC300を介して外部から入力されてくる外部データの送信規制を的確に実行することが可能となる。
【0088】
(8)上記車両ネットワークとして、コントロール・エリア・ネットワークからなるCANバス110を対象とした。このため、車両ネットワークとしての汎用性が高く、また、送受信機能を維持する必要性が特に高いコントロール・エリア・ネットワークについても、外部データの送信機能を通じて、コントロール・エリア・ネットワークによる送受信機能を的確に維持することが可能となる。
【0089】
(第2の実施の形態)
次に、本発明にかかる車両ネットワークの通信管理装置の第2の実施の形態を、第1の実施の形態との相違点を中心に、先の図1に対応する図である図6を参照して説明する。なお、本実施の形態にかかる車両ネットワークの通信管理装置も、その基本的な構成は第1の実施の形態と同等であり、本実施の形態においても第1の実施の形態と実質的に同一の要素にはそれぞれ同一の符号を付して示し、重複する説明は割愛する。
【0090】
図6に示すように、本実施の形態の通信管理部200Aを構成する制御判断部230Aは、外部データが、車載制御装置100に組み込まれているアプリケーションプログラム等の制御プログラムや制御データをリプログラミング(データ書き換え)するための書き換えデータであるか否かを判定する書き換えデータ判定部231を備えている。また、本実施の形態の制御判断部230Aは、外部から入力されたデータが書き換えデータであったとき、外部データをCANバス110に転送するか否かの判断に際して基準となる負荷基準値を変更する負荷基準値変更部232を備えている。
【0091】
また、車載制御装置100に組み込まれている制御プログラムや制御データの更新や修正に際しては、DLC300に専用の機器が接続されて、この接続された機器から書き換えデータが入力される。なお、書き換えデータには、例えば、同データが車載制御装置100のデータを書き換えるための書き換えデータである旨を示すIDが予め付与されている。
【0092】
そして、DLC300に専用の機器が接続され、この接続された機器から書き換えデータが送信されると、この書き換えデータは、外部用ネットワーク310を介して通信管理部200Aに送信されて外部データ監視部220により監視される。外部データ監視部220は、書き換えデータの送信間隔及び単位時間当たりの送信データ量を監視し、この監視結果を制御判断部230Aに出力する。また、本実施の形態の外部データ監視部220は、書き換えデータに付与されているIDを認識すると、この認識したIDを示す信号を、制御判断部230Aに出力する。
【0093】
そして、本実施の形態の制御判断部230Aでは、外部データ監視部220からIDを示す信号が入力されると、書き換えデータ判定部231によって、外部データ監視部220により監視対象とされる外部データが書き換えデータであるか否かが判定される。また、本実施の形態の書き換えデータ判定部231は、外部データ監視部220により認識されたIDと、例えば、保存領域240Aに予め登録されている書き換えデータIDとの照合を通じて、外部データが書き換えデータであるか否かを判定する。そして、書き換えデータ判定部231は、この判定結果を負荷基準値変更部232に出力する。
【0094】
負荷基準値変更部232は、外部データが書き換えデータである旨の判定結果が書き換えデータ判定部231から入力されると、この書き換えデータに対する送信規制を緩和すべく、外部データの送信規制を実行するか否かの基準となる負荷基準値を変更する処理を実行する。本実施の形態の負荷基準値変更部232は、外部データが書き換えデータであるときには、送信規制を実行するか否かの基準値として設定されているCANバス110の使用率を、例えば「30%」から「40%」へと一時的に高める処理を実行する。
【0095】
そして、送信規制部250による書き換えデータの送信規制に際しては、CANバス110の使用率が「40%」を超えているか否か、及び、CANバス110への書き換えデータの転送後に予測される同CANバス110の使用率が「40%」を超えるか否かを基準として、書き換えデータの転送の可否が決定される。
【0096】
この結果、CANバス110の使用率が「40%」以内であり、かつ、CANバス110への書き換えデータの転送後に予測される同CANバス110の使用率が「40%」以内であるときには、外部から入力された書き換えデータがCANバス110に転送されることとなる。そして、このCANバス110に転送された書き換えデータは、書き換えの対象となる車載制御装置100に送信され、同車載制御装置100に組み込まれているデータが書き換えられることとなる。
【0097】
なお、負荷基準値変更部232は、書き換えデータ判定部231の判定結果に基づき負荷基準値を一度変更したとしても、書き換えデータとは異なる外部データが新たに入力されたときには、一旦高めた使用率(負荷基準値)を、例えば「40%」から初期値である「30%」に戻す処理を実行する。こうして、外部データが書き換えデータであるか否かに応じて、送信規制部250による送信規制の実行基準が動的に変更されることとなる。
【0098】
以上説明したように、本実施の形態にかかる車両ネットワークの通信管理装置によれば、前記(1)〜(8)の効果が得られるとともに、さらに以下の効果が得られるようになる。
【0099】
(9)制御判断部230Aに、外部データが車載制御装置100に組み込まれている制御プログラムや制御データをデータ書き換えするための書き換えデータであるか否かを判定する書き換えデータ判定部231を設ける構成とした。また、外部から入力されたデータが書き換えデータであったときに負荷基準値を変更する負荷基準値変更部232を制御判断部230Aに設ける構成とした。このため、外部から入力されたデータが書き換えデータであったときには、書き換えデータを他の外部データよりも優先してCANバス110に転送すべく、送信規制部250による送信規制が緩和される。これにより、車載制御装置100のデータ書き換えに必要なデータが不要に送信規制されることが抑制され、CANバス110を介した書き換えデータの送受信を的確に実行することが可能となる。
【0100】
(第3の実施の形態)
次に、本発明にかかる車両ネットワークの通信管理装置の第3の実施の形態を、第1の実施の形態との相違点を中心に、先の図1に対応する図である図7を参照して説明する。なお、本実施の形態にかかる車両ネットワークの通信管理装置も、その基本的な構成は第1の実施の形態と同等であり、本実施の形態においても第1の実施の形態と実質的に同一の要素にはそれぞれ同一の符号を付して示し、重複する説明は割愛する。
【0101】
図7に示すように、本実施の形態の通信管理部200Bを構成する制御判断部230Bは、各車載制御装置100間で送受信される車両データの種別を識別する車両データ種別識別部233と、この車両データ種別識別部233による識別結果に応じて外部データの送信規制の実行期間を設定する送信規制時間設定部234とを備えている。
【0102】
すなわち、各車載制御装置100間で送受信される車両データには通常、例えば、車両Cの室外の温度を示す温度データなど、予め定められた周期のもとに定期的に送信される定期データが存在する。そして、車両データが定期データであるか否かは、車両データの送信に際して同車両データに予め付与されるIDに基づき識別することが可能となっている。
【0103】
そこで、本実施の形態の保存領域240Bには、車両データが定期データであるか否かを識別すべく、CANバス110に送信され得る定期データの1ないし複数種のデータの識別子及びデータ長及び送信周期を示す定期送信リストが予め登録されている。
【0104】
また、車両データには通常、車両Cが所定の交通要素に接近することやドライバにより各種操作が行われることに起因して車両Cの状態が変化することにより、各車載制御装置100間での送受信が一時的に必要となるイベントデータが存在する。イベントデータとしては、例えば、車両Cがカーブ等の所定の交通要素に接近したことに伴い、車両Cに搭載されたナビゲーションシステムを制御する制御装置と各車載制御装置100との間での送受信が必要となるデータや、ドライバにより減速操作や加速操作が行われたことにより各車載制御装置100で送受信が必要となるデータが存在する。そして、こうしたイベントデータは、車両Cの交通要素への接近等の各種イベントに伴って発生するものであり、車両Cが交通要素を通過するなど、イベントが終了したのちには各車載制御装置100間での送受信が不要になるデータである。そして、車両データがこうしたイベントデータであるか否か、及び、イベントデータの種別についても、車両データの送信に際して同車両データに予め付与されるIDに基づき識別することが可能となっている。
【0105】
そこで、本実施の形態の保存領域240Bには、車両データがイベントデータであるか否かを判定可能とするとともにイベントデータの種別を識別可能とすべく、CANバス110に送信され得るイベントデータの1ないし複数種のデータの識別子及びデータ長及び送信周期を示すイベント送信リストが予め登録されている。
【0106】
そして、本実施の形態の通信管理部200Bによる外部データの送信規制に際してはまず、車両データ種別識別部233が、車両データ監視部210による監視を通じて、監視対象とされた車両データに付与されているIDを取得する。
【0107】
車両データ種別識別部233は、この取得したIDをもとに、保存領域240Bに登録されている定期送信リスト及びイベント送信リストを参照することにより、車両データ監視部210により監視対象とされた車両データの種別が、定期データ及びイベントデータのいずれであるかを識別する。また、車両データ種別識別部233は、種別を識別した車両データのデータ長や送信周期を、定期送信リスト及びイベント送信リストの参照を通じて識別する。そして、車両データ種別識別部233は、この識別結果を送信規制時間設定部234に出力する。
【0108】
送信規制時間設定部234は、車両データ種別識別部233から入力された車両データの種別、送信周期、データ長に基づいて、外部データの送信規制の実行時間を設定する。例えば、送信規制時間設定部234は、CANバス110上を流れている車両データが車両Cでのイベントに伴って発生したイベントデータであるときには、イベントの終了までに要する時間を予測し、この予測した時間を外部データの送信規制の実行時間として定める。この送信規制の実行時間の設定に際しては、例えば、イベントデータが、走行中の車両Cが或る交通要素に接近したことに伴って発生したデータであるときには、車両Cが交通要素を通過するまでに要する時間が送信規制の実行時間として設定される。また、送信規制の実行時間は、例えば、保存領域240Bの参照を通じて識別されたイベントデータの送信周期やデータ長に基づいて定められる。同様に、CANバス110上を流れている車両データが定期データであるときにも、例えば、保存領域240Bの参照を通じて識別された定期データの送信周期やデータ長に基づいて送信規制の実行時間が定められる。
【0109】
こうして、通信管理部200Bは、外部データの送信規制に際し、車両データ種別識別部233により定められた実行時間のもとに送信規制を実行する。これにより、例えば、先の図5に示したステップS108、S109において外部データの受信が停止される期間が、送信規制時間設定部234により定められた値へと可変設定される。こうして、車両データの種別や送信周期等に応じた送信規制が実行されることとなる。
【0110】
この結果、CANバス110が高負荷状態となる期間が一時的であることが予測されるときには、この期間に応じて、例えば外部データの受信停止が一時的に実行される。これにより、送信規制部250による外部データの送信規制が早期に解除され、外部データの転送条件さえ満たされると、CANバス110への外部データの転送を早い段階で許可することが可能となる。
【0111】
一方、CANバス110が高負荷状態となる期間が長期間継続されると予測されるときには、この期間に応じて、例えば外部データの受信停止が長期的に実行される。このため、一旦、CANバス110が高負荷状態にあり、かつ、この高負荷状態が所定期間継続すると判断されて以降は、車両データの送信状況に応じた期間だけ外部データの送信規制が実行される。そのため、CANバス110の負荷が低下するまで、一旦設定された送信規制の実行時間のもとに外部データの受信が停止されることとなる。これにより、外部データの受信を停止している期間においては、先の図5のステップS101〜S105等に示した処理を実行する必要もなく、通信管理部200Bの演算負荷が軽減されることとなる。またこれにより、CANバス110の負荷が低下するまでの間、通信管理部200Bによる外部データの受信を停止することが可能となり、この外部データがCANバス110に送信されることを的確に抑制することが可能となる。
【0112】
以上説明したように、本実施の形態にかかる車両ネットワークの通信管理装置によれば、前記(1)〜(8)の効果が得られるとともに、さらに以下の効果が得られるようになる。
【0113】
(10)CANバス110の車両データの送信状況に応じて外部データの送信規制にかかる実行期間を可変設定することとした。これにより、車両データの送信状況に応じた送信規制を実行することが可能となり、車両データの送信状況に見合った的確な送信規制を実行することが可能となる。
【0114】
(11)車両データとして車両内でのイベントの発生に伴い送受信が開始されるイベントデータが前記車両ネットワークに送信されたとき、イベントが終了するまでの間、送信規制部250による外部データの送信規制を実行することとした。このため、車両C内でのイベントの発生に伴ってCANバス110が高負荷状態になったとしても、イベントが終了するまで、すなわち、イベントの終了に伴いCANバス110が高負荷状態から低負荷状態に遷移するまでの間、外部データがCANバス110に送信されることが抑制される。これにより、車両C内でのイベントの発生を踏まえた外部データの送信規制を通じて、各車載制御装置100間でのイベントデータの送受信を確実に実行することが可能となる。
【0115】
(12)保存領域240Bに、定期データのID及びデータ長及び送信周期が登録された定期送信リストと、イベントデータのID及びデータ長が登録されたイベント送信リストとを設ける構成とした。また、定期送信リスト及びイベント送信リストの参照を通じて、車両データの種別、データ長、送信周期等を識別する車両データ種別識別部233と、この車両データ種別識別部233による識別結果に応じて外部データの送信規制の実行時間を定める送信規制時間設定部234とを制御判断部230Bに設ける構成とした。このため、車両データ種別識別部233により識別した車両データの種類、データ長、及び送信周期に基づいて、CANバス110の負荷の増減を予測することや、CANバス110による車両データの送信状況をより詳細に特定することが可能となる。これにより、車両データの監視を通じた外部データの送信規制をより的確に実行することが可能となる。
【0116】
(13)送信規制時間設定部234により定めた送信規制時間を、外部データ監視部220による外部データの受信停止期間に反映させることとした。このため、車両C内でのイベントの終了に伴って、高負荷状態にあったCANバス110が低負荷状態に遷移することが予測されるまの間は、外部データ監視部220による外部データの受信が停止される。これにより、車両C内のイベントが終了し、CANバス110が低負荷状態となるまでの間は、外部データがCANバス110に転送されることもない。また、これにより、送信規制時間設定部234により定めた送信規制時間が経過するまでの間は、外部データの受信が停止されることから、外部データの監視や同外部データがCANバス110に与える負荷の予測等の演算を行う必要もない。
【0117】
(他の実施の形態)
なお、上記各実施の形態は、以下のような形態をもって実施することもできる。
・上記各実施の形態では、先の図5に示した処理を、所定のデータ単位で行うこととした。これに限られず、例えば、データフレーム単位でステップS101〜S108の処理を実行するようにしてもよい。
【0118】
・上記各実施の形態では、DLC300及び外部用ネットワーク310を介して入力される外部データがCANバス110に及ぼす負荷とCANバス110での車両データの送信状況とに応じて、外部データの送信規制を行った。さらに、この外部データの送信規制に先立ち、例えば、外部から入力された外部データのIDやデータ長を識別するとともに、CANバス110に適合しないと識別された外部データをフィルタリングする機能を上記通信管理部200、200A、200Bに設けてもよい。これにより、予めフィルタリングされた外部データに対して送信規制の要否を実行することが可能となり、CANバス110に適合する外部データのみを、通信管理部200、200A、200BからCANバス110へと転送することが可能となる。
【0119】
・上記第3の実施の形態では、車両データが定期データ及びイベントデータのいずれであるか否かを、車両データのIDと保存領域240Bに登録されたイベント送信リストとの照合を通じて行った。これに限らず、例えば、車両データに付与されている識別子に基づいて車両データがイベントデータであるか否かを識別可能な場合には、保存領域240Bのイベント送信リストや定期送信リストを割愛する構成としてもよい。この場合には、例えば、先の図4(b)に対応する図として図8に示すように、各データフレームFia〜Ficがイベントデータである旨を示す識別子Ibが検知されたことに基づき、各データフレームFia〜Ficがイベントデータであると識別される。そして、この識別子Ibが付与されたデータフレームFia〜Ficが所定期間Δtf2の間に所定数検知されたとき、イベントの発生に伴いCANバス110の負荷が増大するとして、外部データの送信規制を実行するようにしてもよい。
【0120】
・上記各実施の形態では、外部データの送信規制として、外部データ監視部220が受信した外部データの破棄、及び外部データ監視部220に入力される外部データの受信停止を実行することとした。これに限らず、例えば、外部データ監視部220が受信した外部データを一時的に格納可能な記憶領域を通信管理部200に設け、外部データの送信規制に際しては、外部データ監視部220が受信した外部データを記憶領域に格納させるようにしてもよい。そして、車両データの負荷が低下したことをもって、記憶領域に格納された外部データをCANバス110に送信する送信保留を実行するようにしてもよい。この場合には、DLC300を介して入力された外部データは、CANバス110が低負荷状態となるのを待って同CANバス110に送信されることとなり、DLC300を介して入力された外部データをCANバス110に的確に送信することが可能となる。また、これに限らず、外部データの送信規制として、CANバス110に送信する外部データの送信量をCANバス110の負荷に適応させる通信調整を実行するようにしてもよい。この場合には、外部データをCANバス110に転送することによりCANバス110の負荷が負荷基準値を超えることが予測されたときには、外部データ監視部220が受信した外部データの送信周期や単位時間当たりの送信データ量が調整されて外部データがCANバス110に転送される。この結果、CANバス110の負荷が負荷基準値の以内となる範囲で、外部データがCANバス110に漸次転送されることとなり、CANバス110の負荷を負荷基準値以内に抑えつつ、余剰部分を利用した外部データの転送を行うことが可能となる。
【0121】
・上記各実施の形態では、車両データ監視部210によりCANバス110の使用率及び車両データの送信間隔及び単位時間当たりの送信データ量を監視するとともに、外部データ監視部220により外部データの送信間隔及び単位時間当たりの送信データ量を監視することとした。これに限らず、例えば、車両データ監視部210により、CANバス110の使用率及び車両データの送信間隔及び単位時間当たりの送信データ量のいずれか一方のみを監視するようにしてもよい。同様に、外部データ監視部220により、外部データの送信間隔及び単位時間当たりの送信データ量のいずれか一方を監視するようにしてもよい。この場合であれ、CANバス110の使用率、車両データの送信間隔、あるいは単位時間当たりの送信データ量、並びに、車両データの送信間隔あるいは単位時間当たりの送信データ量に基づき、車両データ及び外部データがCANバス110に及ぼす負荷を踏まえた送信規制を実行することができる。またこの他、例えば、車両データや外部データに付与されているIDのみを監視し、この監視するIDに基づき車両データや外部データのデータ長や送信周期などを監視するようにしてもよい。要は、車両データの送受信に伴うCANバス110の負荷や、外部データの負荷を監視することができればよく、車両データ監視部210及び外部データ監視部220により監視対象とする要素は適宜変更できる。
【0122】
・上記各実施の形態では、外部データの送信規制の実行基準となるCANバス110の使用率として「30%」を規定した。これに限らず、外部データの送信規制の実行基準となるCANバス110の使用率としては、CANバス110の通信機能を維持できる使用率であればよく、「29%」以下とすることや、「31%」以上とすることも可能である。
【0123】
・上記各実施の形態では、車両データ監視部210によりCANバス110の使用率を監視することとした。そして、外部データがCANバス110に送信されたときに増加が予測されるCANバス110の使用率が、CANバス110の高負荷状態を示す所定の閾値を超えるとき、送信規制部250による外部データの送信規制を実行することとした。これに限らず、例えば、CANバス110により円滑に送信可能なデータ量を予め規定し、この規定したデータ量を、車両データ及び外部データの合計値が超えるときに、送信規制部250による外部データの送信規制を実行するようにしてもよい。要は、送信規制部250による外部データの送信規制の実行基準となる負荷基準値とは、CANバス110の負荷が反映されるものであればよく、適宜変更することができる。
【0124】
・上記通信管理部200を、外部診断機器が接続されるコネクタとして車両内に設けられたDLC300とCANバス110との間に設けることとした。これに限らず、通信管理部200の配置位置とは、外部データがCANバス110に送信される以前に、この外部データが車両データに及ぼす負荷に応じて外部データがCANバス110に送信されることを抑制可能な位置であればよく、適宜変更することができる。
【0125】
・上記各実施の形態は、DLC300と通信管理部200とを、車両Cの内部に設けられた外部用ネットワーク310を設けることとした。これに限らず、外部用ネットワーク310を割愛する構成とし、DLC300に通信管理部200を直接接続する構成としてもよい。そして、DLC300から通信管理部200に入力される外部データの受信状況に基づき、外部データがCANバス110に及ぼす負荷を求めるようにしてもよい。
【0126】
・上記各実施の形態では、外部データ監視部220による外部データの監視を通じて、外部データの検知、ひいては、DLC300に接続された情報端末の検知を行うこととした。これに限らず、例えば、外部用ネットワーク310のホストである「CAN High」(もしくは「CAN Low」)をプルダウン抵抗により“L”レベルに維持させ、DLC300に接続される情報端末の接続部にプルアップ抵抗を設ける構成としてもよい。この場合には、情報端末の接続部がDLC300に接続されることにより“L”レベルに維持された「CAN High」が“H”レベルに変化することとなり、この変化に基づいてDLC300に情報端末が接続された旨を検知することが可能となる。そして、例えば、こうした“L”レベルから“H”への変化を通じて情報端末等がDLC300に接続されていることが検知されたことを条件として、通信管理部200による車両データ及び外部データを監視することとし、外部データの送信規制を実行するようにしてもよい。これにより、外部データが外部から送信されてくる蓋然性の高い状況下でのみ、両データ及び外部データの監視、並びに外部データの送信規制に必要な処理が行われることとなり、必要最小限の処理のもとに、外部データの送信規制を実現することが可能となる。
【0127】
・上記各実施の形態では、上記外部データを、DLC300に接続可能な情報端末等から入力可能な構成とした。これに限らず、DLC300に代えて、外部の情報端末等と無線通信可能な通信部を車両Cに設ける構成としてもよい。この場合であれ、無線通信を通じて外部から入力される外部データに対する送信規制を通じて、CANバス110による車両データの送受信を円滑に行うことが可能となる。なおこの場合には、例えば、通信部から通信対象機器に対し、通信対象機器との接続確認用データを送信する片方向通信を定期的に実行し、通信対象機器の接続の有無を検知するようにしてもよい。そして、例えば、通信対象機器との通信が確立していることが検知されたことを条件として、通信管理部200による車両データ及び外部データを監視することとし、外部データの送信規制を実行するようにしてもよい。これにより、外部データが外部から送信されてくる蓋然性の高い状況下でのみ、両データ及び外部データの監視、並びに外部データの送信規制に必要な処理が行われることとなり、必要最小限の処理のもとに、外部データの送信規制を実現することが可能となる。また、例えば、通信部から通信対象機器に対し、接続確認用データを送信するとともに、この接続確認用データを受信した通信対象機器から通信部に対し、接続確認用データを受信した旨を示す応答データや認証用のデータを返信する双方向通信を実行するようにしてもよい。この場合には、外部データの送信元となる通信対象機器の存在をより的確に認識することが可能になるとともに、認証用のデータに基づき通信対象機器を検証することが可能ともなる。これにより、CANバス110に対するセキュリティー性がより高められるようになる。
【0128】
・上記車両ネットワークとして、CANバス110を採用することとした。これに限らず、車両ネットワークとしては、車両データや外部データを送信可能なものであればよく、例えばフレックスレイを上記車両ネットワークとして採用することも可能である。この場合であれ、外部データの送信規制を通じて、各種車両データの円滑かつ確実な送受信を実現することが可能となる。またこの他、例えば制御系の車両ネットワークとしてIDB−1394(登録商標)を採用したり、ボデー系の車両ネットワークとして、BEAN、LINを採用することも可能である。同様に、情報系の車両ネットワークとしてAVC−LANを採用することも可能である。これらの場合であれ、車両ネットワークに対する外部データの送信規制を通じて、車両データの円滑かつ送受信を実現することが可能となる。またこの他、バス型の車両ネットワークであれば、本発明の適用は可能である。
【符号の説明】
【0129】
100…車載制御装置、110…CANバス、200、200A、200B…通信管理部、210…車両データ監視部、220…外部データ監視部、230、230A、230B…制御判断部、231…書き換えデータ判定部、232…負荷基準値変更部、233…車両データ種別識別部、234…送信規制時間設定部、240、240A、240B…保存領域、250…送信規制部、300…データ・リンク・コネクタ(DLC)、310…外部用ネットワーク、C…車両、Da−Df…外部データ、Fa−Fe…車両データ、Fia−Fic…イベントデータ。
【特許請求の範囲】
【請求項1】
複数の車載制御装置の間で車両データの送受信が行われるとともに、有線通信もしくは無線通信を通じた車両外部からの外部データの入力が可能な車両ネットワークにあって通信データの管理を行う車両ネットワークの通信管理装置であって、
前記車両ネットワークに送信される車両データの送信状況と外部から入力される外部データとを監視し、それら監視するデータの送信状況と外部データが前記車両ネットワークに及ぼす負荷とに応じて外部データの前記車両ネットワークへの送信を規制する通信管理部を備える
ことを特徴とする車両ネットワークの通信管理装置。
【請求項2】
前記通信管理部は、前記外部データが前記車両ネットワークに送信されたときに予測される車両ネットワークの使用率が当該車両ネットワークの高負荷状態を示す所定の閾値を超えるとき、前記外部データの送信規制を実行する
請求項1に記載の車両ネットワークの通信管理装置。
【請求項3】
前記通信管理部は、前記外部データが前記車載制御装置のデータ書き換え用の書き換えデータであるとき、前記外部データの送信規制を一時的に緩和する処理を実行する
請求項1又は2に記載の車両ネットワークの通信管理装置。
【請求項4】
前記通信管理部は、前記車両データの送信間隔もしくは単位時間当たりの送信データ量に基づき車両データの送信状況を監視するとともに、前記外部データが入力される際の外部データの送信間隔もしくは単位時間当たりの送信データ量を監視する
請求項1〜3のいずれか一項に記載の車両ネットワークの通信管理装置。
【請求項5】
前記通信管理部は、前記外部データの送信規制として、入力された外部データの破棄、入力された外部データの一時的な送信保留、入力される外部データの受信停止、及び前記車両ネットワークに送信する外部データの送信量を当該車両ネットワークの負荷に適応させる通信調整の少なくとも1つを実行する
請求項1〜4のいずれか一項に記載の車両ネットワークの通信管理装置。
【請求項6】
前記通信管理部は、前記監視する車両ネットワークの車両データの送信状況に応じて前記外部データの送信規制にかかる実行期間を可変設定する
請求項1〜5のいずれか一項に記載の車両ネットワークの通信管理装置。
【請求項7】
前記通信管理部は、前記車両データとして車両内でのイベントの発生に伴い送受信が開始されるイベントデータが前記車両ネットワークに送信されたとき、前記イベントが終了するまでの間、前記外部データの送信規制を実行する
請求項1〜6のいずれか一項に記載の車両ネットワークの通信管理装置。
【請求項8】
前記通信管理部は、前記車両ネットワークに定期的に送信される1ないし複数種のデータの識別子及びデータ長及び送信周期が登録された定期送信リストと、前記車両内でのイベントの発生に伴って前記車両ネットワークに送信される1ないし複数種のデータの識別子及びデータ長が登録されたイベント送信リストとを備え、それら定期送信リスト及びイベント送信リストを参照して前記車両ネットワークの送信状況を監視する
請求項1〜7のいずれか一項に記載の車両ネットワークの通信管理装置。
【請求項9】
前記通信管理部は、車両に搭載される外部用ネットワークと前記車両ネットワークとの間に接続されてなり、該外部用ネットワークを介して送信される外部データの送信状況の監視を通じて前記外部データの送信規制を実行する
請求項1〜8のいずれか一項に記載の車両ネットワークの通信管理装置。
【請求項10】
前記通信管理部は、外部診断機器が接続されるコネクタとして車両内に設けられたデータ・リンク・コネクタと前記車両ネットワークとの間に設けられてなる
請求項1〜9のいずれか一項に記載の車両ネットワークの通信管理装置。
【請求項11】
前記車両ネットワークがコントロール・エリア・ネットワークからなる
請求項1〜10のいずれか一項に記載の車両ネットワークの通信管理装置。
【請求項12】
前記車両ネットワークがフレックスレイからなる
請求項1〜10のいずれか一項に記載の車両ネットワークの通信管理装置。
【請求項1】
複数の車載制御装置の間で車両データの送受信が行われるとともに、有線通信もしくは無線通信を通じた車両外部からの外部データの入力が可能な車両ネットワークにあって通信データの管理を行う車両ネットワークの通信管理装置であって、
前記車両ネットワークに送信される車両データの送信状況と外部から入力される外部データとを監視し、それら監視するデータの送信状況と外部データが前記車両ネットワークに及ぼす負荷とに応じて外部データの前記車両ネットワークへの送信を規制する通信管理部を備える
ことを特徴とする車両ネットワークの通信管理装置。
【請求項2】
前記通信管理部は、前記外部データが前記車両ネットワークに送信されたときに予測される車両ネットワークの使用率が当該車両ネットワークの高負荷状態を示す所定の閾値を超えるとき、前記外部データの送信規制を実行する
請求項1に記載の車両ネットワークの通信管理装置。
【請求項3】
前記通信管理部は、前記外部データが前記車載制御装置のデータ書き換え用の書き換えデータであるとき、前記外部データの送信規制を一時的に緩和する処理を実行する
請求項1又は2に記載の車両ネットワークの通信管理装置。
【請求項4】
前記通信管理部は、前記車両データの送信間隔もしくは単位時間当たりの送信データ量に基づき車両データの送信状況を監視するとともに、前記外部データが入力される際の外部データの送信間隔もしくは単位時間当たりの送信データ量を監視する
請求項1〜3のいずれか一項に記載の車両ネットワークの通信管理装置。
【請求項5】
前記通信管理部は、前記外部データの送信規制として、入力された外部データの破棄、入力された外部データの一時的な送信保留、入力される外部データの受信停止、及び前記車両ネットワークに送信する外部データの送信量を当該車両ネットワークの負荷に適応させる通信調整の少なくとも1つを実行する
請求項1〜4のいずれか一項に記載の車両ネットワークの通信管理装置。
【請求項6】
前記通信管理部は、前記監視する車両ネットワークの車両データの送信状況に応じて前記外部データの送信規制にかかる実行期間を可変設定する
請求項1〜5のいずれか一項に記載の車両ネットワークの通信管理装置。
【請求項7】
前記通信管理部は、前記車両データとして車両内でのイベントの発生に伴い送受信が開始されるイベントデータが前記車両ネットワークに送信されたとき、前記イベントが終了するまでの間、前記外部データの送信規制を実行する
請求項1〜6のいずれか一項に記載の車両ネットワークの通信管理装置。
【請求項8】
前記通信管理部は、前記車両ネットワークに定期的に送信される1ないし複数種のデータの識別子及びデータ長及び送信周期が登録された定期送信リストと、前記車両内でのイベントの発生に伴って前記車両ネットワークに送信される1ないし複数種のデータの識別子及びデータ長が登録されたイベント送信リストとを備え、それら定期送信リスト及びイベント送信リストを参照して前記車両ネットワークの送信状況を監視する
請求項1〜7のいずれか一項に記載の車両ネットワークの通信管理装置。
【請求項9】
前記通信管理部は、車両に搭載される外部用ネットワークと前記車両ネットワークとの間に接続されてなり、該外部用ネットワークを介して送信される外部データの送信状況の監視を通じて前記外部データの送信規制を実行する
請求項1〜8のいずれか一項に記載の車両ネットワークの通信管理装置。
【請求項10】
前記通信管理部は、外部診断機器が接続されるコネクタとして車両内に設けられたデータ・リンク・コネクタと前記車両ネットワークとの間に設けられてなる
請求項1〜9のいずれか一項に記載の車両ネットワークの通信管理装置。
【請求項11】
前記車両ネットワークがコントロール・エリア・ネットワークからなる
請求項1〜10のいずれか一項に記載の車両ネットワークの通信管理装置。
【請求項12】
前記車両ネットワークがフレックスレイからなる
請求項1〜10のいずれか一項に記載の車両ネットワークの通信管理装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2013−38711(P2013−38711A)
【公開日】平成25年2月21日(2013.2.21)
【国際特許分類】
【出願番号】特願2011−175162(P2011−175162)
【出願日】平成23年8月10日(2011.8.10)
【出願人】(000003207)トヨタ自動車株式会社 (59,920)
【Fターム(参考)】
【公開日】平成25年2月21日(2013.2.21)
【国際特許分類】
【出願日】平成23年8月10日(2011.8.10)
【出願人】(000003207)トヨタ自動車株式会社 (59,920)
【Fターム(参考)】
[ Back to top ]