欢迎光临小豌豆知识网!
当前位置:首页 > 电学技术 > 电通讯技术> 不正常检测电子控制单元、车载网络系统以及不正常检测方法独创技术82765字

不正常检测电子控制单元、车载网络系统以及不正常检测方法

2021-03-29 19:38:19

不正常检测电子控制单元、车载网络系统以及不正常检测方法

  本申请是申请号为201580007975.X、申请日为2015年11月13日、发明名称为“不正常检测电子控制单元、车载网络系统以及不正常检测方法”的申请的分案申请。

  技术领域

  本公开涉及检测在电子控制单元进行通信的车载网络中发送的不正常帧的技术。

  背景技术

  近年来,在汽车中的系统内,配置有许多称为电子控制单元(ECU:ElectronicControl Unit)的装置。连接这些ECU的网络称为车载网络。车载网络存在多种标准。作为其中最主流的车载网络之一,存在由ISO11898-1规定的CAN(Controller Area Network:控制器局域网络)这一标准。

  在CAN中,通信路径由两条总线构成,与总线连接的ECU称为节点。与总线连接的各节点收发被称为帧的消息。发送帧的发送节点通过在两条总线上施加电压,并在总线间产生电位差,从而发送被称为隐性(recessive)的值“1”和被称为显性(dominant)的值“0”。多个发送节点在完全相同的定时发送了隐性和显性的情况下,优先发送显性。接收节点在接收到的帧的格式存在异常的情况下,发送被称为错误帧(error frame)的帧。错误帧是通过连续发送6比特(bit)的显性来向发送节点和/或其他接收节点通知帧异常的帧。

  另外,在CAN中不存在指示发送目的地或发送源的标识符,发送节点对每个帧附加ID并进行发送(即,向总线送出信号),各接收节点仅接收预先确定的ID的帧(即,从总线读取信号)。另外,采用CSMA/CA(Carrier Sense Multiple Access/Collision Avoidance:载波侦听多址访问/冲突避免)方式,在多个节点同时发送时,进行利用消息ID的仲裁(调停),优先发送消息ID的值小的帧。

  关于CAN的车载网络系统,存在攻击者通过访问总线并发送不正常帧来不正常地控制ECU这样的威胁,正在研究安全措施。

  例如,专利文献1所记载的车载网络监视装置监视在CAN的总线上流动的帧,在检测到不正常帧的情况下发送警告信息。并且,接收到警告信息的ECU禁止由不正常帧引起的控制。

  现有技术文献

  专利文献1:日本特开2013-131907号公报

  发明内容

  为了解决上述问题,本公开的一个技术方案涉及的不正常检测电子控制单元,其与用于供多个电子控制单元进行通信的总线连接并进行不正常检测处理,所述多个电子控制单元遵循CAN协议即控制器局域网协议进行通信,所述不正常检测电子控制单元具备:不正常检测处理请求部,其基于从所述总线得到的数据帧的ID来决定不正常检测处理定时;和不正常检测处理部,其在由所述不正常检测处理请求部决定的所述不正常检测处理定时对所述数据帧进行所述不正常检测处理。

  另外,为了解决上述问题,本公开的一个技术方案涉及的车载网络系统,具备遵循CAN协议即控制器局域网协议经由总线进行通信的多个电子控制单元,所述车载网络系统具备:不正常检测处理请求部,其基于从所述总线得到的数据帧的ID来决定不正常检测处理定时;和不正常检测处理部,其在由所述不正常检测处理请求部决定的所述不正常检测处理定时对所述数据帧进行不正常检测处理。

  另外,为了解决上述问题,本公开的一个技术方案涉及的不正常检测方法,是在车载网络系统中使用的不正常检测方法,所述车载网络系统具备遵循CAN协议即控制器局域网协议经由总线进行通信的多个电子控制单元,在所述不正常检测方法中,基于从所述总线得到的数据帧的ID来决定不正常检测处理定时,在所决定的所述不正常检测处理定时对所述数据帧进行不正常检测处理。

  根据本公开,为了确保安全,不是对在总线上发送的各帧一律进行监视,而是在与帧的ID对应的定时进行不正常检测处理,因此可实现不正常帧的高效检测。

  附图说明

  图1是表示实施方式1涉及的车载网络系统的整体构成的图。

  图2是表示由CAN协议规定的数据帧的格式的图。

  图3是表示由CAN协议规定的错误帧的格式的图。

  图4是实施方式1涉及的不正常检测ECU的构成图。

  图5是表示实施方式1涉及的不正常检测ECU的不正常检测处理定时保持部所保存的关联信息的一例的图。

  图6是表示实施方式1涉及的不正常检测ECU的不正常检测规则保持部所保存的不正常检测规则的一例的图。

  图7是实施方式1涉及的ECU的构成图。

  图8是表示实施方式1涉及的不正常检测ECU的数据帧接收时的处理时序的一例的图。

  图9是表示实施方式1涉及的不正常检测ECU的数据帧接收时的处理的流程图。

  图10是表示实施方式2涉及的车载网络系统的整体构成的图。

  图11是实施方式2涉及的不正常检测ECU的构成图。

  图12是表示实施方式2涉及的不正常检测ECU所使用的不正常检测处理定时确定用信息的一例的图。

  图13是例示实施方式2涉及的不正常检测ECU为了决定监视等级而使用的表的图。

  图14是表示实施方式2涉及的不正常检测ECU的不正常状态保持部所保持的不正常状态信息的一例的图。

  图15是表示实施方式2涉及的不正常检测ECU的车状态保持部所保持的车辆状态信息的一例的图。

  图16是表示实施方式2涉及的不正常检测ECU的监视等级保持部所保存的监视等级信息的一例的图。

  图17是例示实施方式2涉及的不正常检测ECU的工作的变化(伴随车辆状态变化的变化)的图。

  图18是例示实施方式2涉及的不正常检测ECU的工作的变化(伴随检测到不正常的次数的增加的变化)的图。

  图19是表示实施方式2涉及的不正常检测ECU的数据帧接收时的处理的流程图。

  图20是表示实施方式2涉及的不正常检测ECU的监视等级决定部进行的处理的流程图。

  具体实施方式

  (成为本发明的基础的见解)

  但是,由于过度地进行应对因不正常帧引起的威胁的监视,包含监视装置的车载网络系统的功耗会过度增大,这种情况并不优选。

  因此,本公开提供作为ECU的不正常检测电子控制单元(不正常检测ECU),该ECU能够在确保了车载网络系统的安全的基础上,为了防止功耗的增大而高效地执行检测不正常帧的发送的不正常检测处理。另外,本公开提供具备该高效地进行不正常检测处理的不正常检测ECU的车载网络系统、以及用于在该车载网络系统中高效地检测不正常帧的不正常检测方法。

  本公开的一个技术方案涉及的不正常检测电子控制单元,其与用于供多个电子控制单元进行通信的总线连接并进行不正常检测处理,所述多个电子控制单元遵循CAN协议即控制器局域网协议进行通信,所述不正常检测电子控制单元具备:不正常检测处理请求部,其基于从所述总线得到的数据帧的ID来决定不正常检测处理定时;和不正常检测处理部,其在由所述不正常检测处理请求部决定的所述不正常检测处理定时对所述数据帧进行所述不正常检测处理。由此,在基于数据帧的ID的定时进行不正常检测处理,因此可实现不正常帧的高效检测。

  另外,所述不正常检测电子控制单元可以具备:微机部,其是包括执行程序的微处理器的半导体集成电路;和控制器部,其与所述微机部连接,是实现作为所述不正常检测处理请求部的功能的半导体集成电路,所述微处理器根据所述程序的执行而响应于中断请求信号进行所述不正常检测处理,由此实现作为所述不正常检测处理部的功能,所述不正常检测处理请求部在所决定的所述不正常检测处理定时向所述微处理器送出所述中断请求信号。由此,在不正常检测处理定时到来之后通过中断请求信号通知到微机部的处理器,因此处理器能够不执行不正常检测处理而成为例如低功耗状态(休眠状态)等,直到被输入中断请求信号。因此,可抑制相对的功耗并实现安全的确保。

  另外,所述不正常检测电子控制单元可以具备不正常检测处理定时保持部,该不正常检测处理定时保持部保持有对一个以上的ID分别关联有定时的关联信息,所述不正常检测处理请求部可以将在所述关联信息中与从所述总线得到的数据帧的所述ID关联的定时作为所述不正常检测处理定时来进行所述决定。由此,在安全方面,能够在关联信息中对重要的数据帧的ID和重要性低的数据帧的ID确定不同的不正常检测处理定时,能够根据重要性来高效地检测不正常帧。

  另外,在所述关联信息中,可以对一个以上的所述ID分别关联有数据帧中的一个或多个特定域的接收定时作为所述定时,在所述不正常检测处理部在所述特定域的接收定时进行的所述不正常检测处理中检测到不正常的情况下,所述不正常检测电子控制单元可以向所述总线送出错误帧。另外,所述一个或多个特定域之一可以是ID域、DLC域和数据域中的任一方,所述DLC是数据长度码。由此,例如,在安全方面,针对重要的数据帧的ID,在特定域(例如ID域、DLC域、数据域等)的接收定时进行不正常检测处理,若检测到不正常则送出错误帧,由此,能够阻止与不正常帧对应的ECU的控制等。

  另外,所述不正常检测电子控制单元可以具备保持有不正常状态信息的不正常状态保持部,所述不正常状态信息以对所述关联信息所涉及的所述多个ID分别示出对包含该ID的数据帧已经进行的所述不正常检测处理中的检测到不正常的次数的方式进行更新,所述不正常检测处理定时保持部可以对所述关联信息进行更新,以使得:针对所述多个ID的各ID,所述不正常状态信息中的该ID所涉及的所述检测到不正常的次数越多,则关联越多的所述特定域的接收定时。由此,因为在检测到不正常的次数多的情况下提高监视频度,所以例如能够使应对不正常迅速化。

  另外,所述不正常检测处理请求部可以根据已经进行的所述不正常检测处理中的不正常的检测结果来进行所述不正常检测处理定时的所述决定。由此,因为可以使检测到不正常的次数等反映于不正常检测处理定时,所以例如能够实现仅在发生了一定数以上的不正常的情况下提高监视频度等这样的高效监视(即不正常检测处理的执行)。

  另外,所述不正常检测处理请求部可以根据搭载所述总线的车辆的状态来进行所述不正常检测处理定时的所述决定。由此,在根据与车辆状态的关系而包含特定ID的数据帧的安全上的重要性发生变化这样的情况下,可实现不正常帧的高效检测。

  另外,如果所述数据帧的ID为第1值,则所述不正常检测处理请求部将所述数据帧的接收期间的定时作为所述不正常检测处理定时来进行所述决定,如果所述数据帧的ID为与所述第1值不同的第2值,则所述不正常检测处理请求部将所述数据帧的接收完成以后的定时作为所述不正常检测处理定时来进行所述决定,在所述不正常检测处理部在所述数据帧的接收期间的定时进行的所述不正常检测处理中检测到不正常的情况下,所述不正常检测电子控制单元向所述总线送出错误帧。由此,例如,在是应该迅速地检测并阻止不正常还是应该对不正常进行全面检查等不正常检测的必要性按数据帧的ID而异的情况下,能够实现与必要性对应的不正常检测处理。例如,如果将数据帧的接收期间的定时作为不正常检测处理定时来进行不正常检测处理,则在检测到不正常时通过错误帧的送出,能够覆写不正常的数据帧并使其无效化。另外,例如,如果将数据帧的接收完成时作为不正常检测处理定时来进行不正常检测处理,则能够在该一次定时对数据帧中的ID域、DLC、数据域等各部的内容进行检查,因此能够实现高效的不正常检测。

  另外,所述不正常检测电子控制单元还可以包括存储所述程序的存储器。

  另外,所述不正常检测电子控制单元还可以包括存储所述程序的硬盘装置。

  另外,本公开的一个技术方案涉及的车载网络系统,具备遵循CAN协议即控制器局域网协议经由总线进行通信的多个电子控制单元,所述车载网络系统具备:不正常检测处理请求部,其基于从所述总线得到的数据帧的ID来决定不正常检测处理定时;和不正常检测处理部,其在由所述不正常检测处理请求部决定的所述不正常检测处理定时对所述数据帧进行不正常检测处理。由此,可实现在基于数据帧的ID的定时高效地抑制功耗并进行不正常检测处理的车载网络系统。

  另外,本公开的一个技术方案涉及的不正常检测方法,是在车载网络系统中使用的不正常检测方法,所述车载网络系统具备遵循CAN协议即控制器局域网协议经由总线进行通信的多个电子控制单元,在所述不正常检测方法中,基于从所述总线得到的数据帧的ID来决定不正常检测处理定时,在所决定的所述不正常检测处理定时对所述数据帧进行不正常检测处理。由此,能够在基于数据帧的ID的定时高效地进行不正常检测处理。

  此外,这些总括性或具体的技术方案既可以通过系统、方法、集成电路、计算机程序或者计算机可读取的CD-ROM等记录介质来实现,也可以通过系统、方法、集成电路、计算机程序和记录介质的任意组合来实现。

  以下,参照附图对实施方式涉及的车载网络系统进行说明。在此所示的实施方式均表示本公开的一个具体例子。因此,以下的实施方式中示出的数值、构成要素、构成要素的配置以及连接方式、步骤(工序)以及步骤的顺序等是一个例子,并不是限定本公开。关于以下的实施方式中的构成要素中的未记载在独立权利要求中的构成要素,是能够任意附加的构成要素。另外,各图是示意图,不一定是严格图示。

  (实施方式1)

  以下,作为本公开的实施方式,使用附图对在多个ECU经由总线进行通信的车载网络系统10中使用的不正常检测方法进行说明。不正常检测方法主要通过与总线连接的不正常检测ECU来执行。不正常检测ECU具有根据接收中的数据帧来决定使处理器(微处理器)执行用于不正常检测处理(判别出现在总线上的帧是否为不正常帧的处理)的控制程序的定时,实现高效的不正常的检测。

  [1.1车载网络系统10的整体构成]

  图1是表示实施方式1涉及的车载网络系统10的整体构成的图。车载网络系统10是遵循CAN协议进行通信的网络通信系统的一例,是搭载有控制装置、传感器、致动器等各种设备的汽车中的网络通信系统。车载网络系统10具有经由总线进行涉及帧的通信的多个装置,使用不正常检测方法。具体而言,如图1所示,车载网络系统10构成为包括总线300和不正常检测ECU100、与各种设备连接的ECU200a、200b等ECU这种连接于总线的各节点。此外,车载网络系统10除了不正常检测ECU100以及ECU200a、200b以外还可以包括很多ECU,但在此为了方便而着眼于不正常检测ECU100以及ECU200a、200b来进行说明。ECU(例如不正常检测ECU100以及ECU200a、200b等)例如是处理器(微处理器)、存储器等包括数字电路、模拟电路、通信线路等的装置。存储器是ROM、RAM等,能够存储由处理器执行的控制程序(计算机程序)。

  另外,ECU例如可以包含未图示的硬盘装置。另外,也可以在硬盘装置中存储控制程序(计算机程序)。

  例如通过处理器按照控制程序(计算机程序)进行工作,由此以软件的方式实现构成ECU的要素的一部分或者全部功能。

  此外,计算机程序是为了实现预定的功能而组合多个表示对处理器的指令的命令代码而构成的。

  ECU200a、200b与总线300连接,分别连接于传感器210、致动器220。作为传感器210的一例,列举加速度传感器、操舵角传感器等。作为致动器220的一例,列举制动致动器等。ECU200a取得传感器210的状态,将取得的信息包含于数据帧并送出到总线300。ECU200b接收从ECU200a送出到总线300的数据帧,按照与该数据帧所包含的传感器210的状态相关的信息来控制致动器220。

  不正常检测ECU100是连接于总线300的一种ECU,具有如下功能:监视在总线上流动的帧(即出现在总线上的帧),进行用于判别是否正在流动不正常帧(即不符合预先确定的规则的帧)的不正常检测处理。

  在车载网络系统10中,各ECU遵循CAN协议进行帧的授受。CAN协议中的帧有数据帧、远程帧、过载帧以及错误帧。在此以数据帧以及错误帧为中心来说明。

  [1.2数据帧格式]

  以下,对作为在遵循CAN协议的网络中使用的帧之一的数据帧进行说明。

  图2是表示由CAN协议规定的数据帧的格式的图。该图示出了由CAN协议规定的标准ID格式的数据帧。数据帧由SOF(Start Of Frame,帧起始)、ID域、RTR(RemoteTransmission Request,远程发送请求)、IDE(Identifier Extension,标识符扩展)、预约位“r”、DLC(Data Length Code,数据长度码)、数据域、CRC(Cyclic Redundancy Check,循环冗余校验)序列、CRC定界符“DEL”、ACK(Acknowledgement,应答)间隙(slot)、ACK定界符“DEL”、以及EOF(End Of Frame,帧结束)的各域构成。

  SOF由1比特的显性构成。总线空闲的状态成为隐性,通过由SOF变更为显性,通知帧的发送开始。

  ID域是由11比特构成的保存表示数据种类的值即ID的域。在多个节点同时开始了发送的情况下,为了通过该ID域进行通信仲裁,设计成使具有ID小的值的帧具有高优先级。

  RTR是用于识别数据帧和远程帧的值,在数据帧中由1比特的显性构成。

  IDE和“r”分别由1比特的显性构成。

  DLC由4比特构成,是表示数据域的长度的值。在此,将保存数据帧中的DLC的值的4比特也称为DLC域。

  数据域是最大64由比特构成的表示要发送的数据的内容的值。能够按每8比特来调整长度。所发送的数据的规格不在CAN协议中规定,而在车载网络系统10中确定。因此,为取决于车型、制造者(制造商)等的规格。

  CRC序列(图2所示的“CRC”)由15比特构成。通过SOF、ID域、控制域以及数据域的发送值而算出。

  CRC定界符(图2所示的位于“CRC”与“ACK”之间的“DEL”)由1比特的隐性构成。是表示CRC序列的结束的分隔符号。此外,将CRC序列和CRC定界符一起称为CRC域。

  ACK间隙(图2所示的“ACK”)由1比特构成。发送节点将ACK间隙设为隐性并进行发送。如果到CRC序列为止能够正常接收,则接收节点将ACK间隙设为显性并发送。由于显性比隐性优先,因此,如果在发送后ACK间隙为显性,则发送节点能够确认某一个接收节点接收成功。

  ACK定界符(图2所示的位于“ACK”与“EOF”之间的“DEL”)由1比特的隐性构成,是表示ACK的结束的分隔符号。

  EOF由7比特的隐性构成,表示数据帧的结束。

  [1.3错误帧格式]

  图3是表示由CAN协议规定的错误帧的格式的图。错误帧包括错误标志(初级)、错误标志(次级)和错误定界符。

  错误标志(初级)为了向其他节点通知错误的产生而使用。检测到错误的节点为了向其他节点通知错误的产生而连续发送6比特的显性。该发送违反CAN协议的位填充(bitstuffing)规则(不连续发送6比特以上的相同值),引起来自其他节点的错误帧(次级)的发送。

  错误标志(次级)由为了向其他节点通知错误的产生而使用的连续的6比特的显性构成。接收到错误标志(初级)而检测到违反了位填充规则的全部节点会发送错误标志(次级)。

  错误定界符“DEL”是8比特的连续的隐性,表示错误帧的结束。

  [1.4不正常检测ECU100的构成]

  图4是不正常检测ECU100的构成图。不正常检测ECU100构成为包括收发器(transceiver)部130、控制器部140和微机(microcomputer)部150。

  收发器部130是通信线路等电子电路。收发器部130将从控制器部140通知来的帧变换成能够向总线300发送的电信号并进行发送,另外,通过接收在总线300上出现的电信号,将逐比特地接收到的帧的内容通知给控制器部140。

  控制器部140与微机部150以及收发器部130进行信号的授受,是包含数字电路以及存储器等存储介质的半导体集成电路。控制器部140具有协议处理部141、不正常检测处理请求部142、不正常帧判断部143和不正常检测处理定时保持部144。

  协议处理部141与收发器部130进行通信,进行遵循协议(CAN协议等)的处理。协议处理部141例如在对接收中的帧检测到错误的情况下,为了使收发器部130发送错误帧,向收发器部130通知错误帧的发送(即发送请求)。协议处理部141在数据帧的接收已完成的情况下,向微机部150通知数据帧的接收完成。协议处理部141响应于来自微机部150的数据帧发送请求,对收发器部130进行通知,以使得能够按照协议来发送数据帧。协议处理部141将从收发器部130通知来的帧的内容也通知给不正常检测处理请求部142。协议处理部141在从不正常帧判断部143通知了错误帧的发送(即发送请求)的情况下,将错误帧的发送通知给收发器部130。另外,协议处理部141暂时保持经由收发器部130取得的出现在总线300上的数据帧的内容,在从微机部150请求了不正常检测处理所需的ID、DLC、数据等信息的情况下将所请求的信息提供给微机部150。进而,协议处理部141估算数据帧的上次接收时与本次接收时之差,在被请求了作为该估算结果等的接收定时所涉及的定时通知信息的情况下将该定时通知信息提供给微机部150。

  不正常检测处理请求部142被从协议处理部141通知接收中的数据帧,在数据帧接收期间,参照不正常检测处理定时保持部144,根据接收中的数据帧(具体是帧的ID)来决定不正常检测处理定时。并且,不正常检测处理请求部142在所决定的不正常检测处理定时到来的时刻,向微机部150的不正常检测处理部154通知不正常检测处理请求信号。

  不正常帧判断部143取得由微机部150的不正常检测处理部154得到的不正常检测处理中的不正常的检测结果,在检测到不正常的情况下,将错误帧的发送通知给协议处理部141。

  不正常检测处理定时保持部144通过存储介质(或者也称为记录介质)等保持针对多个ID分别关联有定时的关联信息(参照图5)。存储介质例如是指不正常检测ECU100(例如控制器部140)所包含的存储器。

  微机部150与控制器部140进行信号的授受,是包含执行程序的处理器(微处理器)以及存储器的半导体集成电路。程序例如存储在半导体集成电路的存储器中。或者,在不正常检测ECU100包含未图示的硬盘装置的情况下,程序也可以存储在硬盘装置中。通过处理器执行该程序,由此微机部150发挥功能。微机部150具有控制器通信部151、帧处理部152、帧生成部153、不正常检测处理部154和不正常检测规则保持部155,作为通过执行程序的处理器、存储器等实现的功能性的构成要素。

  控制器通信部151将从控制器部140接收到的数据帧通知给帧处理部152。控制器通信部151将从帧生成部153通知来的数据帧通知给控制器部140,进行数据帧发送请求。控制器通信部151从不正常检测处理部154接收不正常检测处理所需的信息的取得请求通知,从控制器部140取得不正常检测处理所需的ID(即ID域的内容)、DLC(DLC域的内容)、数据(数据域的内容)和数据帧的接收定时所涉及的定时通知信息。

  帧处理部152对从控制器通信部151通知来的数据帧进行处理。

  帧生成部153向控制器通信部151通知数据帧的发送请求。

  不正常检测处理部154在从控制器部140的不正常检测处理请求部142接收到不正常检测处理请求信号时进行不正常检测处理。例如,不正常检测处理请求信号作为对微机部150的处理器的中断请求信号而提供。处理器对应于因中断请求信号引起的中断,例如如果正在执行程序则中断该执行,并执行预先确定的特定的中断对应处理程序,由此实现不正常检测处理部154的主要功能,即进行不正常检测处理。处理器例如特别是在不需要执行程序的情况下可以变为低功耗状态(休眠状态),但在该情况下若接收到中断请求信号(不正常检测处理请求信号)则解除休眠而返回到通常的功耗状态,执行不正常检测处理。不正常检测处理是用于判别送出到总线300上的帧即出现在总线300上的帧是否为不正常帧,即是否为不符合预先确定的规则的帧的处理。该判别基于不正常检测规则保持部155保持的不正常检测规则(参照图6)来进行。

  不正常检测处理的内容按成为是否不正常的判别对象的数据帧的ID而预先确定(例如由不正常检测规则所规定),例如,通过关联信息等与按各个ID确定的不正常检测处理定时关联地进行如下处理。即,不正常检测处理部154根据何时被通知不正常检测处理请求信号来工作,作为不正常检测处理进行如下所示的检查。不正常检测处理部154在数据帧的ID接收时(即接收到ID域时)被通知不正常检测处理请求信号来工作的情况下,作为不正常检测处理进行如下检查:根据接收中的数据帧中的ID(ID域的值)是否为未在不正常检测规则保持部155的不正常检测规则中规定的ID,判别是否为不正常的ID(即不正常帧)。进而,在该情况下,在根据不正常检测规则保持部155所保存的不正常检测规则而规定了关于周期的规则时,进行如下检查:根据从上次接收数据帧起到本次接收数据帧为止的时间是否与由规则规定的周期一致,判别是否为不正常的周期(即不正常帧)。另外,不正常检测处理部154在数据帧中的DLC接收时(即接收到DLC域时)被通知不正常检测处理请求信号来工作的情况下,进行如下检查:根据接收中的数据帧的DLC域的值是否与不正常检测规则所规定的DLC不同,判别是否为不正常的DLC(即不正常帧)。另外,不正常检测处理部154在数据帧中的数据接收时(即接收到数据域时)被通知不正常检测处理请求信号来工作的情况下,进行如下检查:根据接收中的数据域的值是否与不正常检测规则所规定的值不同,判别是否为不正常的数据(即不正常帧)。另外,不正常检测处理部154在数据帧的接收完成后被通知不正常检测处理请求信号来工作的情况下,进行上述的是否为不正常的ID、是否为不正常的周期、是否为不正常的DLC以及是否为不正常的数据所涉及的检查,判别是否为不正常帧。此外,作为不正常检测处理,也可以进行在数据值从上次的数据帧的数据值发生了比预先确定的变动量大的变化的情况下判别为是不正常帧这样的数据的一贯性所涉及的检查。

  不正常检测处理部154在进行了不正常检测处理之后,将表示是否检测到不正常的不正常检测处理的结果通知给控制器部140的不正常帧判断部143。此外,不正常检测处理部154将不正常检测处理所需的ID(ID域的内容)、DLC(DLC域的内容)、数据(数据域的内容)和数据帧的接收定时所涉及的定时通知信息中的一个以上的信息的取得请求通知传递给控制器通信部151,由此进行不正常检测处理所需的信息的取得。

  不正常检测规则保持部155通过存储介质(或者也称为记录介质)等来保持应被不正常检测处理部154参照的不正常检测规则(参照图6)。存储介质例如是不正常检测ECU100(例如,微机部150)所包含的存储器。

  此外,在不正常检测处理部154或者不正常帧判断部143中,也可以在检测到帧的不正常的情况下向存储介质等记录关于不正常帧的日志信息(例如帧的内容、接收日期时刻等),还可以进行用于报告不正常的控制(显示、向外部服务器的信息发送等)。

  [1.5关联信息]

  图5表示不正常检测处理定时保持部144保持的作为关联信息的一例的列表。关联信息是对多个ID分别关联有定时(不正常检测处理定时)的信息,为了供不正常检测处理请求部142决定通知中断请求信号(不正常检测处理请求信号)的定时而利用。对于关联信息,在图5所例示的列表中,对一个以上的ID分别关联有数据帧中的一个或多个特定域(ID域、DLC域、数据域等)的接收定时来作为不正常检测处理定时。该例子示出了不正常检测处理请求信号的通知(产生)的定时根据接收中的数据帧的ID而不同。

  在接收到ID为0x100的数据帧的情况下,不正常检测处理请求部142在数据帧的ID接收时(接收到ID域时)产生作为对微机部150的处理器的中断请求信号的不正常检测处理请求信号,请求由不正常检测处理部154执行不正常检测处理。同样地,对于0x200的ID的数据帧,在ID接收时和数据接收时(接收到数据域时)这两方的定时产生不正常检测处理请求信号,对于ID为0x400的数据帧,在ID接收时和DLC接收时(接收到DLC域时)这两方的定时产生不正常检测处理请求信号。另一方面,对于ID为0x300的数据帧,不产生不正常检测处理请求信号。另外,对于未包含在图5所例示的列表中的ID,不正常检测处理请求部142在数据帧的接收完成后产生不正常检测处理请求信号。这表示与下述情况相同的意思:例如确定了对未包含在图5的列表中的各ID关联有数据帧的接收完成以后的定时(例如数据帧接收完成时)的关联信息。此外,也可以使未使不正常检测处理请求信号产生的ID不包含于列表,并使对在数据帧的接收完成后应执行不正常检测处理的数据帧的ID与该数据帧的接收完成以后的定时(例如数据帧接收完成时)进行了关联的信息包含于作为关联信息的列表。

  [1.6不正常检测规则]

  图6表示不正常检测规则保持部155保持的作为不正常检测规则的一例的列表。不正常检测规则是对多个ID分别关联有用于检测不正常的检查内容的信息,在不正常检测处理部154确定成为不正常检测处理的内容的检查时利用。在图6所例示的列表中,对一个以上的ID分别关联有针对DLC、数据、周期的各项目表示正常值的基准信息。在检查中,基准信息例如被用于与通过接收数据帧的一部分而得到的位串等的对照。在图6的例子中,对于在用于不正常检测的检查中不使用的项目,标记为“无”,在不正常检测处理中不进行该项目所涉及的检查。

  在图6的例子中,ID为0x100的数据帧的DLC的正常值为“无”,对DLC不进行检查,数据的正常值为“无”(表示不进行关于数据的检查之意),另外,表示数据帧的接收周期的周期正常值为20ms。ID为0x200的数据帧的DLC的正常值为“无”,对DLC不进行检查,数据的正常值为最高位字节是0x20,另外,由于周期的正常值为“无”,所以对周期不进行检查。ID为0x400的数据帧的DLC的正常值为2,另外,对于数据和周期,因为正常值为“无”,所以不进行检查。此外,不正常检测规则保持部155也可以将不正常检测规则所涉及的列表的内容进行加密而保持。另外,不需要基于不正常检测规则所涉及的列表来确定不正常检测处理部154进行的不正常检测处理的全部内容,也可以仅对ID、DLC、数据和周期的一个以上的项目在作为不正常检测规则的列表中保持正常值。由不正常检测规则、程序等确定的不正常检测处理的内容不限于在此所示的例子。

  [1.7ECU200a的构成]

  图7是ECU200a的构成图。ECU200a构成为包括收发器部130、控制器部240和微机部250。

  收发器部130与不正常检测ECU100(参照图4)中的收发器部130同样,因此省略说明。

  控制器部240与微机部250以及收发器部130进行信号的授受,是包含数字电路以及存储器等存储介质的半导体集成电路。控制器部240具有协议处理部241。控制器部240不同于不正常检测ECU100的控制器部140,不包含不正常检测处理请求部142以及不正常帧判断部143。

  协议处理部241与收发器部130进行通信,进行遵循协议(CAN协议等)的处理。协议处理部241例如在对接收中的帧检测到错误的情况下,为了使收发器部130发送错误帧,将错误帧的发送(即发送请求)通知给收发器部130。协议处理部241在数据帧的接收已完成的情况下,将数据帧的接收完成通知给微机部250。协议处理部241响应于来自微机部250的数据帧发送请求,向收发器部130进行通知,以使得能够按照协议来发送数据帧。

  微机部250与控制器部240进行信号的授受,是包含执行程序的处理器以及存储器的半导体集成电路。微机部250具有控制器通信部151、帧处理部252、帧生成部253和外部设备输入输出部254,作为通过执行程序的处理器、存储器等而实现的功能性的构成要素。

  控制器通信部151与不正常检测ECU100(参照图4)中的控制器通信部151同样。但是,控制器通信部151不与微机部250未包含的不正常检测处理部154合作。即,控制器通信部151将从控制器部240接收到的数据帧通知给帧处理部252。控制器通信部151将从帧生成部253通知来的数据帧通知给控制器部240,进行数据帧发送请求。

  帧处理部252对从控制器通信部151通知来的数据帧进行处理,将结果通知给外部设备输入输出部254。

  帧生成部253基于从外部设备输入输出部254通知来的值生成数据帧,向控制器通信部151通知数据帧。

  外部设备输入输出部254与连接于ECU200a的外部设备进行通信。即,外部设备输入输出部254从传感器210取得传感器信息并通知给帧生成部253。

  ECU200b也具备与上述的ECU200a同样的构成。但是,ECU200b中的外部设备输入输出部254向连接于ECU200b的致动器220输出基于从帧处理部252通知的值的控制信息,由此进行致动器220的控制。

  [1.8不正常检测ECU100中的各部的数据帧接收时的合作工作所涉及的时序]

  以下,对不正常ECU访问具备上述构成的车载网络系统10的总线300并发送了ID为0x100的数据帧的情况下的与总线300连接的执行不正常检测方法的不正常检测ECU100的工作例进行说明。

  图8是表示接收到不正常的数据帧的情况下的不正常检测ECU100的各部的合作工作例的时序图。作为前提设为:不正常检测ECU100的不正常检测处理定时保持部144保持有图5所例示的作为关联信息的列表,不正常检测规则保持部155保持有图6所例示的作为不正常检测规则的列表。另外,设为不正常检测ECU100在10ms前为接收到ID为0x100的数据帧的状态。在图8的时序图中,以箭头线段示出了不正常检测处理请求部142、不正常检测处理部154、不正常帧判断部143和协议处理部141相互之间的信号传递所涉及的工作,沿着从上向下的时间流动以矩形的处理模块示出了各部的工作。

  当ID为0x100的数据帧被发送到总线300时,不正常检测ECU100的控制器部140的协议处理部141经由收发器部130从总线300接收该数据帧的ID(即作为ID域的值的0x100)(步骤S1001)。当接收到ID时,协议处理部141向不正常检测处理请求部142通知接收中的数据帧的ID(接收到的ID)(步骤S1002)。

  不正常检测处理请求部142参照不正常检测处理定时保持部144保持的关联信息,决定与被通知来的ID关联的不正常检测处理定时(步骤S1003)。根据图5的关联信息的例子,将与接收到的数据帧的ID即0x100关联的ID接收时这一定时决定为不正常检测处理定时。

  不正常检测处理请求部142在通过步骤S1003决定的不正常检测处理定时到来的时刻,向微机部150的处理器输入中断请求信号(不正常检测处理请求信号),由此请求不正常检测处理的执行(步骤S1004)。通过从控制器部140向微机部150传递中断请求信号(对处理器的中断)的定时,控制不正常检测处理的执行定时。如果不正常检测处理定时为ID接收时,则因为是接收到ID的时刻所以立即将不正常检测处理请求信号(中断请求信号)通知给不正常检测处理部154。此外,如果所决定的不正常检测处理定时例如是DLC接收时,则等到接收到DLC的时刻将不正常检测处理请求信号通知给不正常检测处理部154。另外,如果所决定的不正常检测处理定时例如是数据帧接收完成时,则等到数据帧的接收完成的时刻将不正常检测处理请求信号通知给不正常检测处理部154。

  当接收到中断请求信号时,在微机部150中处理器执行中断对应处理程序。由此,不正常检测处理部154执行不正常检测处理(步骤S1005)。不正常检测处理部154在不正常检测处理中,经由控制器通信部151向控制器部140的协议处理部141传递从总线300接收到的ID和接收周期所涉及的定时通知信息的取得请求通知(步骤S1005a)。与此相呼应,不正常检测处理部154经由控制器通信部151取得协议处理部141传递的ID以及定时通知信息(步骤S1005b)。不正常检测处理部154在不正常检测处理中,基于不正常检测规则来检查所取得的ID以及定时通知信息。在该检查中,由于所取得的ID包含在图6的作为不正常检测规则的列表中,因此被判别为是正常的ID,但由于定时通知信息所表示的接收定时例如表示从上次接收起经过了10ms,与图6的不正常检测规则的列表中规定的20ms不同,因此被判别为是不正常的周期。因此,不正常检测处理部154将检测到不正常帧之意作为不正常检测处理的结果通知给控制器部140的不正常帧判断部143(步骤S1006)。

  不正常帧判断部143在接收到不正常检测处理的结果的通知时,判别在不正常检测处理中是否检测到不正常(步骤S1007),在检测到不正常的情况下,向协议处理部141通知错误帧的发送(发送请求)(步骤S1008)。

  协议处理部141在从不正常帧判断部143通知了错误帧的发送的情况下,将错误帧的发送(发送请求)通知给收发器部130(步骤S1009)。由此,收发器部130会将错误帧向总线300送出。对于总线300上的发送过程中的数据帧(ID为0x100,ID域之前已发送的数据帧)的剩余部分,相比于隐性使由连续的显性构成的错误帧优先,换言之会被错误帧覆写。因此,可阻止与总线300连接的ECU200a、200b对应于不正常的数据帧而进行工作(不正常的工作等)。也阻止了由于与不正常的数据帧对应的工作而导致ECU200a、200b产生不需要的功耗。此外,在不正常检测ECU100中,在上述的例子中在ID接收时进行了不正常检测处理,因此在检测到不正常之后发送错误帧,但如果在数据帧的接收完成时进行不正常检测,则不进行错误帧的发送,例如可以进行日志信息的记录、不正常的报告所涉及的控制等。

  [1.9不正常检测ECU100的数据帧接收时的处理]

  以下,结合图9的流程图对不正常检测ECU100在数据帧接收时进行的处理进行说明。

  不正常检测ECU100从总线300接收到数据帧的ID域为止的数据,取得数据帧的ID(步骤S1101)。

  不正常检测ECU100通过不正常检测处理请求部142,参照不正常检测处理定时保持部144保持的关联信息,决定与所取得的数据帧的ID关联的不正常检测处理定时(步骤S1102)。由此,根据所接收到的ID,例如将ID接收时、DLC接收时、数据接收时、数据帧接收完成时等中的一个或多个决定为不正常检测处理定时。

  不正常检测ECU100通过不正常检测处理请求部142,判定所决定的不正常检测处理定时是否到来(步骤S1103)。如果不正常检测处理定时未到来,则判定数据帧的接收是否已完成(步骤S1104),如果未完成则通过协议处理部141等来接收出现在总线300上的下一个比特(步骤S1105),返回步骤S1103的判定。此外,在不正常检测ECU100中,若数据帧的接收完成,则通过协议处理部141向微机部150通知数据帧的接收完成。不正常检测ECU100在步骤S1104的判定中数据帧的接收已完成之后结束数据帧的接收时的处理。

  在步骤S1103中判定为不正常检测处理定时到来的情况下,不正常检测ECU100从控制器部140的不正常检测处理请求部142向微机部150的处理器输入中断请求信号(不正常检测处理请求信号),由此通过不正常检测处理部154基于不正常检测规则执行不正常检测处理(步骤S1106)。

  不正常检测ECU100在数据帧接收期间作为不正常检测处理部154的不正常检测处理的结果而检测到不正常的情况下(步骤S1107),通过向总线300送出错误帧来进行错误帧的发送(步骤S1108)。另外,不正常检测ECU100在不正常检测处理的结果为正常的情况(未检测到不正常的情况)或者在数据帧接收后作为不正常检测处理的结果而检测到不正常的情况下,不发送错误帧而进行步骤S1104中的判定。

  图9所示的处理在每次接收到数据帧的ID时反复进行。例如,如果数据帧的ID为第1值(例如0x100、0x200等),则不正常检测处理请求部142将数据帧的接收期间的定时决定为不正常检测处理定时。并且,如果数据帧的ID为不同于第1值的第2值(例如0x500等),则将数据帧的接收完成以后的定时(例如数据帧接收完成时)决定为不正常检测处理定时。在该情况下,不正常检测ECU100在不正常检测处理部154在数据帧的接收期间的定时进行的不正常检测处理中检测到不正常时向总线300送出错误帧,但也可以在数据帧的接收完成时的定时进行的不正常检测处理中检测到不正常时送出错误帧。如此决定不正常检测处理定时在如下情况下有用:包含第1值的ID的数据帧在安全方面需要迅速的不正常检测,包含第2值的ID的数据帧不需要不正常检测的迅速性。

  [1.10实施方式1的效果]

  在实施方式1涉及的车载网络系统10中,不正常检测ECU100基于不正常检测处理定时保持部144所保持的关联信息,决定与接收到的数据帧的ID相应的不正常检测处理定时,在该决定的不正常检测处理定时进行不正常检测处理。由此,为了确保安全,不是对在总线300上发送的各数据帧一律进行监视,而是在与数据帧的ID关联的适当的定时进行不正常检测处理,因此可实现不正常帧的高效检测。例如,在安全方面,以对重要的数据帧的ID例如关联ID接收时、DLC接收时、数据接收时的两个以上的方式确定关联信息,由此能够迅速地检查ID、数据帧的接收周期、DLC和数据(数据域的内容)中的几个。并且,当检测到不正常时,通过错误帧的发送,能够迅速地阻止其他ECU进行不正常的工作等。在不正常检测处理定时到来之后从控制器部140通过中断请求信号通知到微机部150的处理器,因此处理器能够在被输入中断请求信号之前处于例如低功耗状态(休眠状态)等,另外,如果在结束不正常检测处理之后不再有需要的处理,则能够再次返回到低功耗状态。另外,例如,通过以对重要性比较低的数据帧的ID关联数据帧接收完成时的方式确定关联信息,能够在数据帧接收完成后的一次不正常检测处理中进行ID、数据帧的接收周期、DLC、数据(数据域的内容)等的检查,可实现抑制了功耗的安全确保。

  (实施方式2)

  以下,对将实施方式1中示出的车载网络系统10进行局部变形而得到的车载网络系统11进行说明。

  在实施方式1涉及的车载网络系统10的不正常检测ECU100中,根据数据帧的ID决定不正常检测处理定时,该不正常检测处理定时是用于执行对在总线300上发送的数据帧检测不正常的不正常检测处理的定时。与此相对,本实施方式涉及的车载网络系统11具备不正常检测ECU2100,该不正常检测ECU2100不仅根据数据帧的ID还根据搭载总线300等车载网络系统11的车辆的状态以及不正常状态(即不正常检测处理的结果)来决定不正常检测处理定时。对不正常检测ECU100进行局部变形而得到的不正常检测ECU2100,根据通过数据帧的ID、车辆的状态和不正常状态而确定的监视等级来决定不正常检测处理定时。

  [2.1车载网络系统11的整体构成]

  图10是表示实施方式2涉及的车载网络系统11的整体构成的图。

  车载网络系统11如图10所示,构成为包括总线300和不正常检测ECU2100、与各种设备连接的ECU200a、200b、2200c等ECU这种连接于总线的各节点。在本实施方式中,对具有与实施方式1同样功能的构成要素步骤相同的附图标记,省略说明。另外,对于没有在本实施方式中特别说明之处,车载网络系统11与车载网络系统10是同样的。

  ECU2200c与总线300连接,另外连接于电池2230以及车速传感器2240,通过从该电池2230以及车速传感器2240取得信息,确定当前的车辆状态是停车中、充电中、行驶中和高速行驶中的哪一方,将表示所确定出的车辆状态的数据帧送出到总线300。在此,停车中表示车速为零且除充电中(向电池2230充电中)之外的状态。另外,行驶中表示车辆不以高速进行行驶的状态。高速行驶中表示车速为一定速度(例如60Km/小时)以上的状态。ECU2200c具有与ECU200a(参照图7)同样的构成,因此省略在此的说明。电池2230是用于向各ECU等供给电力的电源。

  不正常检测ECU2100是对不正常检测ECU100(参照图4)进行局部变形而得到的,与总线300连接,具有如下功能:监视在总线上流动的帧,进行用于判别是否正在流动不正常帧的不正常检测处理。

  [2.2不正常检测ECU2100的构成]

  图11是不正常检测ECU2100的构成图。不正常检测ECU2100构成为包括收发器部130、控制器部2140和微机部2150。此外,对具有与实施方式1同样功能的构成要素标注相同的附图标记,省略说明。

  控制器部2140是对控制器部140进行局部变形而得到的,与微机部2150以及收发器部130进行信号的授受,是包含数字电路以及存储器等存储介质的半导体集成电路。控制器部2140具有协议处理部2141、不正常检测处理请求部142、不正常帧判断部143和不正常检测处理定时保持部144。

  协议处理部2141除了实施方式1中示出的协议处理部141的功能之外,还具有如下功能:在从控制器通信部151通知了不正常检测处理定时保持部144的更新请求的情况下,更新不正常检测处理定时保持部144保持的关联信息。

  微机部2150与控制器部2140进行信号的授受,是包含执行程序的处理器以及存储器的半导体集成电路。程序例如存储在半导体集成电路的存储器中。或者,在不正常检测ECU2100包含未图示的硬盘装置的情况下,程序也可以存储在硬盘装置中。通过处理器执行该程序,由此微机部2150发挥功能。微机部2150具有控制器通信部151、帧处理部2152、帧生成部153、不正常检测处理部2154、不正常检测规则保持部155、监视等级决定部2156、不正常状态保持部2157、车状态保持部2158和监视等级保持部2159,作为通过执行程序的处理器、存储器等而实现的功能性的构成要素。

  帧处理部2152对从控制器通信部151通知来的数据帧进行处理。作为数据帧的处理的一例,帧处理部2152通过对从ECU2200c通知来的数据帧进行解释来取得车辆的状态,将表示该车辆的状态的车辆状态信息保存于车状态保持部2158。帧处理部2152在更新了车辆状态信息的情况下,将更新了车辆状态信息之意通知给监视等级决定部2156。

  不正常检测处理部2154是对不正常检测处理部154进行局部变形而得到的,从控制器部2140接收不正常检测处理请求信号,进行不正常检测处理。例如,不正常检测处理请求信号作为对微机部2150的处理器的中断请求信号而提供。关于不正常检测处理的内容,与实施方式1中的不正常检测处理部154的不正常检测处理同样。不正常检测处理部2154在进行了不正常检测处理之后,将表示是否检测到不正常的不正常检测处理的结果通知给控制器部2140的不正常帧判断部143。另外,不正常检测处理部2154将不正常检测处理所需的ID(ID域的内容)、DLC(DLC域的内容)、数据(数据域的内容)和数据帧的接收定时所涉及的定时通知信息中的一个以上的信息的取得请求通知传递给控制器通信部151,由此进行不正常检测处理所需的信息的取得。另外,不正常检测处理部2154具有取得当前时刻的功能,在不正常检测处理的结果是判别为是不正常的数据帧的情况下,更新不正常状态保持部2157所保存的不正常状态信息(参照图14)中的检测到相应ID的不正常的次数(也称为不正常产生次数)和最后更新时刻。此时,在关于不正常产生次数的更新前的最后更新时刻和当前时刻存在一定以上的时间差的情况下,将不正常产生次数复位为零。不正常检测处理部2154在更新了不正常状态信息的情况下,向监视等级决定部2156通知更新了不正常状态信息这一情况。

  监视等级决定部2156在从不正常检测处理部2154通知了不正常状态信息的更新时和从帧处理部2152通知了车辆状态信息的更新时,参照不正常状态保持部2157和车状态保持部2158,按各个ID来决定监视等级。并且,监视等级决定部2156通过对所决定的监视等级与监视等级保持部2159保持的监视等级信息所表示的在此之前的监视等级进行比较,如果不一致,则更新监视等级信息以使得表示所决定的监视等级。在更新了监视等级信息的情况下,监视等级决定部2156通过经由控制器通信部151通知更新请求,根据监视等级基于不正常检测处理定时确定用信息(参照图12)来改写控制器部2140的不正常检测处理定时保持部144保持的关联信息中的不正常检测处理定时。此外,监视等级决定部2156例如基于图13所例示的表(对应表)来进行监视等级的决定。关于该监视等级的决定方法,将在后面叙述。

  不正常状态保持部2157保持有根据不正常检测处理部2154的不正常检测处理的结果而求出的表示不正常状态的不正常状态信息(参照图14)。不正常状态信息具体是以表示关于数据帧的各个ID(在关联信息中与不正常检测处理定时关联的各ID)的已经进行的不正常检测处理中的检测到不正常的次数(不正常产生次数)的方式进行更新的信息。

  车状态保持部2158保持有帧处理部2152根据从ECU2200c发送的数据帧而取得的表示车辆的状态的车辆状态信息(参照图15)。

  监视等级保持部2159保持有表示关于各个ID的监视等级的监视等级信息(参照图16)。

  [2.3不正常检测处理定时确定用信息]

  图12是表示不正常检测处理定时确定用信息的一例的图。如该图所示,不正常检测处理定时确定用信息表示监视等级与不正常检测处理定时的关联。监视等级决定部2156按照该不正常检测处理定时确定用信息,确定与所决定的监视等级关联的不正常检测处理定时,将不正常检测处理定时保持部144保持的关联信息更新为表示所确定出的不正常检测处理定时。在图12的例子中,将监视等级划分为0~3这4个阶段。此外,这是一例,也可以将监视等级划分为任何阶段。根据图12所例示的不正常检测处理定时确定用信息,在不正常检测ECU2100中根据监视等级进行如下这样的处理。即,在监视等级为0的情况下,不进行不正常检测处理。在监视等级为1的情况下,在数据帧接收完成时向不正常检测处理部2154通知不正常检测处理请求信号,开始不正常检测处理。在监视等级为2的情况下,在ID接收时(即接收到数据帧中的ID域时),向不正常检测处理部2154通知不正常检测处理请求信号,开始不正常检测处理。在监视等级为3的情况下,在ID接收时、DLC接收时(接收到DLC域时)以及数据接收时(接收到数据域时)的各个时刻,向不正常检测处理部2154通知不正常检测处理请求信号,开始不正常检测处理。在监视等级为2或3的情况下,将会在数据帧的接收期间进行不正常检测处理,因此若在不正常检测处理中检测到涉及数据帧的不正常,则将错误帧送出到总线300而覆写不正常的数据帧,由此能够使不正常的数据帧无效化。在此,示出了在监视等级为4个阶段中的最高的3的情况下进行比0~2更迅速或更多项目的检查的例子,对于适当地设定根据车辆的状态以及不正常产生次数而确定的监视等级和不正常检测处理定时是有用的。此外,不正常检测处理定时确定用信息的内容不限于图12的例子。

  [2.4监视等级的决定方法]

  图13是表示用于供监视等级决定部2156决定监视等级的表的一例的图。在该图中,示出了确定有按各个ID而不同的表的例子。在图13中,(a)针对ID“0x100”,(b)针对ID“0x200”,(c)针对ID“0x300”,(d)针对ID“0x400”,分别是表示用于根据车辆的状态和检测到不正常的次数(不正常产生次数)来确定监视等级的表。按照该各表,监视等级决定部2156根据车辆的状态以及不正常产生次数来决定监视等级。根据图13的例子,关于ID为0x100的数据帧,在车辆的状态为停车中的情况下,无论不正常产生次数为几次,监视等级都被决定为0。关于ID为0x100的数据帧,在车辆的状态为充电中的情况下,如果不正常产生次数为4次以下则监视等级被决定为1,如果不正常产生次数为5次以上则监视等级被决定为3。关于ID为0x100的数据帧,在车辆的状态为行驶中的情况下,如果不正常产生次数为4次以下则监视等级被决定为2,如果不正常产生次数为5次以上则监视等级被决定为3。关于ID为0x100的数据帧,在车辆的状态为高速行驶中的情况下,无论不正常产生次数为几次,监视等级都被决定为3。关于ID为0x200、0x300、0x400的数据帧,也同样地根据车辆的状态和不正常产生次数来决定监视等级。此外,关于图13的表中没有的ID的数据帧,监视等级设为1。例如,与不正常检测处理的监视必要性的高低等对应地适当设定监视等级的高低是有用的。

  图13的(a)的表的例子是设想了ID为0x100的数据帧主要是在行驶中发送的与巡航控制相关的控制用的数据帧,并且需要在行驶中以比较高的监视等级进行不正常检测这一情况的例子。图13的(b)的表的例子是设想了ID为0x200的数据帧是与充电控制相关的数据帧,并且需要在充电中以较高的监视等级进行不正常检测这一情况的例子。图13的(c)的表的例子是设想了ID为0x300的数据帧是与电池的余量通知相关的数据帧这一情况的例子。另外,图13的(d)的表的例子是设想了ID为0x400的数据帧是不会立即对车辆的控制造成重大影响的与ECU的状态通知相关的数据帧这一情况的例子,通过在不正常产生次数多的情况下提高监视等级,确保车辆处于安全状态。如此,根据以ID区分的数据帧的特性,以与车辆的状态或不正常产生次数的关系来适当地确定监视等级,由此能够实现功耗的降低,并能够高效地进行不正常检测处理。

  [2.5不正常状态信息]

  图14是表示不正常状态保持部2157所保持的不正常状态信息的一例的图。如该图所示,不正常状态信息是对数据帧的各个ID记录有检测到不正常的次数(不正常产生次数)和表示不正常状态信息最后被更新的时刻的最后更新时刻的信息。该不正常状态信息每当通过不正常检测处理部2154对数据帧检测到不正常时被更新。

  在图14的例子中,关于ID为0x100、0x200以及0x300的各数据帧,不正常产生次数为0次且最后更新时刻为起动时(例如开始向车载网络系统供给电力时),维持在起动时设定的初始值。另外,关于ID为0x400的数据帧,不正常产生次数为3次,最后更新时刻为起动后20分钟。

  [2.6车辆状态信息]

  图15是表示车状态保持部2158所保持的车辆状态信息的一例的图。图15所例示的车辆状态信息示出了车辆的状态为充电中。帧处理部2152例如通过对从ECU2200c通知来的数据帧进行解释来取得车辆的状态,车辆状态信息被更新为表示该车辆的状态。车辆的状态例如成为停车中、充电中、行驶中和高速行驶中这4个状态中的任一个。

  [2.7监视等级信息]

  图16是表示监视等级保持部2159所保持的监视等级信息的一例的图。监视等级信息对各个ID示出与包含该ID的数据帧对应的监视等级。

  图16的例子示出了如下状态:关于ID为0x100的数据帧,监视等级为1,关于ID为0x200的数据帧,监视等级为2,关于ID为0x300的数据帧,监视等级为3,关于ID为0x400的数据帧,监视等级为0。监视等级被划分为0~3这4个阶段。

  [2.8根据监视等级更新而变化的不正常检测ECU2100的工作例1]

  图17是例示根据监视等级更新而变化的不正常检测ECU2100的工作的图。该图表示伴随车辆状态的变化而更新了监视等级的情况下的工作例。作为前提设为:不正常检测ECU2100的不正常状态保持部2157所保持的不正常状态信息为图14所例示的状态。此时,不正常检测ECU2100对ID为0x100的数据帧,一次也没有检测到不正常。

  首先,如图17所示,从ECU2200c通知处于停车中这一情况的数据帧在总线300上流动。通过接收该数据帧,不正常检测ECU2100更新车辆状态信息以表示停车中,基于图13的(a)所例示的表将关于ID为0x100的数据帧的监视等级决定为0。接着,ID为0x100的数据帧在总线300上流动。对于该数据帧,由于监视等级为0,所以不正常检测ECU2100不进行不正常检测处理。接着,当搭载有车载网络系统11的车辆开始行驶时,从ECU2200c通知处于行驶中这一情况的数据帧在总线300上流动。通过接收该数据帧,不正常检测ECU2100更新车辆状态信息以表示行驶中,基于图13的(a)所例示的表将关于ID为0x100的数据帧的监视等级决定为2。由此,不正常检测ECU2100对ID为0x100的数据帧的监视等级成为2。因此,接着,当在总线300上流动ID为0x100的数据帧时,对该数据帧,在ID接收时执行不正常检测处理(判别ID是否不正常以及数据帧的周期是否不正常的检查)(参照图12)。

  [2.9根据监视等级更新而变化的不正常检测ECU2100的工作例2]

  图18是表示根据监视等级更新而变化的不正常检测ECU2100的工作的另一例的图。该图表示伴随检测到不正常的次数的增加而更新了监视等级的情况下的工作例。作为前提设为:不正常检测ECU2100的不正常状态保持部2157所保持的不正常状态信息为图14所例示的状态。此时,不正常检测ECU2100对ID为0x400的数据帧已经检测到3次不正常。

  首先,如图18所示,从ECU2200c通知处于行驶中这一情况的数据帧在总线300上流动。通过接收该数据帧,不正常检测ECU2100更新车辆状态信息以表示行驶中。基于图13的(d)所例示的表,关于ID为0x400数据帧的监视等级为1。接着,ID为0x400的数据帧在总线300上流动。对于该数据帧,由于监视等级为1,所以在数据帧接收完成时,作为不正常检测处理进行判别ID以及DLC是否不正常的检查(参照图6、图12)。接着,,ID为0x400的数据帧(其中DLC成为8这一不正常值的数据帧)第2次、第3次在总线300上流动。在不正常检测ECU2100中,对第2次和第3次接收的ID为0x400的数据帧,由于不正常检测处理的结果是DLC为8,所以判别为不正常。由此,不正常状态信息被更新,检测到不正常的次数成为5,因此监视等级成为3(参照图13)。因此,以后对ID为0x400的数据帧,在数据帧的接收期间(ID接收时以及DLC接收时)进行不正常检测处理(参照图6、图12)。因此,第5次接收到的ID为0x400的数据帧(DLC成为8这一不正常值的数据帧),在数据帧接收期间判别为DLC不正常,被检测为不正常的数据帧,因此在数据帧接收期间发送错误帧。由此,总线300上的该不正常的数据帧会被覆写而无效化。

  此外,在本例中,不正常检测处理定时保持部144以如下方式对关联信息的关于ID为0x400的不正常检测处理定时进行更新:在车辆状态信息为行驶中的情况下,不正常状态信息中的检测到不正常的次数(不正常产生次数)越多,则成为ID接收时、DLC接收时、数据接收时和数据帧接收完成时中的越多的接收定时。也就是说,由于不正常产生次数增加,从数据帧接收完成时向ID接收时以及DLC接收时增加不正常检测处理定时。如此,不正常检测处理定时保持部144也可以以如下方式来更新关联信息:关于多个ID的各ID,不正常状态信息中的该ID所涉及的检测到不正常的次数(不正常产生次数)越多,则关联ID接收时、DLC接收时、数据接收时和数据帧接收完成时中的越多的接收定时。

  [2.10不正常检测ECU2100的数据帧接收时的处理]

  以下,结合图19的流程图对不正常检测ECU2100在数据帧接收时进行的处理进行说明。对与实施方式1中示出的不正常检测ECU100的处理步骤(参照图9)同样的处理步骤标注相同的附图标记,适当省略说明。

  不正常检测ECU2100通过不正常检测处理请求部142,参照不正常检测处理定时保持部144保持的关联信息,决定与接收到的数据帧的ID关联的不正常检测处理定时(步骤S1102)。在所决定的不正常检测处理定时到来时(步骤S1103),不正常检测ECU2100从控制器部2140的不正常检测处理请求部142向微机部2150的处理器输入中断请求信号(不正常检测处理请求信号),由此,通过不正常检测处理部2154,基于不正常检测规则来执行不正常检测处理(步骤S1106)。

  不正常检测ECU2100判别是否检测到不正常作为不正常检测处理的结果(步骤S2107),在检测到不正常的情况下,更新不正常状态保持部2157保持的不正常状态信息(步骤S2108)。也就是说,在检测到不正常的情况下,使不正常状态信息中的检测到该ID的不正常的次数增加1。在通过步骤S2107判别为未检测到不正常的情况下,不正常检测ECU2100向步骤S1105转移处理。

  在通过步骤S2108更新了不正常状态信息之后,不正常检测ECU2100判别是否处于数据帧接收期间(步骤S2109),仅限于在处于数据帧接收期间的情况下,向总线300发送错误帧(步骤S2110)。

  [2.11不正常检测ECU2100的监视等级决定部2156的处理]

  图20是表示监视等级决定部2156中的监视等级的决定所涉及的处理的流程图。

  监视等级决定部2156判断是否从不正常检测处理部2154通知了不正常状态信息的更新或者是否从帧处理部2152通知了车辆状态信息的更新,等待通知而反复进行该判断(步骤S3001)。

  在发出了不正常状态信息或车辆状态信息的更新通知的情况下,监视等级决定部2156基于不正常状态信息以及车辆状态信息,对应于数据帧的各个ID来决定监视等级(步骤S3002)。

  接着,监视等级决定部2156通过参照监视等级保持部2159来确认所决定的监视等级是否从以前的监视等级发生变化(是否被更新)(步骤S3003)。即,监视等级决定部2156通过对所决定的监视等级与监视等级保持部2159保持的监视等级信息(参照图16)所表示的以前的监视等级进行比较,如果不一致,则判别为从以前的监视等级发生变化。如果该比较的结果是一致,则监视等级没有变化,因此监视等级决定部2156不进行监视等级信息的更新而结束处理。

  在步骤S3003中判别为所决定的监视等级从以前的监视等级发生变化的情况下,监视等级决定部2156将监视等级保持部2159保持的监视等级信息更新为表示按各个ID而决定的监视等级(步骤S3004)。

  在通过步骤S3004更新了监视等级信息之后,监视等级决定部2156经由控制器通信部151通知更新请求(步骤S3005)。根据该更新请求的通知,监视等级决定部2156根据监视等级基于不正常检测处理定时确定用信息(参照图12)来改写控制器部2140的不正常检测处理定时保持部144保持的关联信息中的不正常检测处理定时。

  [2.12实施方式2的效果]

  在实施方式2涉及的车载网络系统11中,不正常检测ECU2100基于不正常检测处理定时保持部144所保持的关联信息,决定与接收到的数据帧的ID相应的不正常检测处理定时,在该决定的不正常检测处理定时进行不正常检测处理。由于在与数据帧的ID对应的适当的定时进行不正常检测处理,所以可实现不正常帧的高效检测。进而,在车载网络系统11中,可以根据搭载车载网络系统11的车辆的状态和不正常检测处理的结果所涉及的不正常状态,具体而言根据基于车辆的状态以及不正常状态决定的监视等级,使不正常检测处理定时变化。由此,能够在与车辆的状态以及不正常状态相应的适当的定时执行不正常检测处理,能够实现功耗的降低。

  (其他实施方式)

  如上所述,作为本公开涉及的技术的例示,说明了实施方式1、2。然而,本公开涉及的技术不限定于此,在适当进行了变更、替换、附加、省略等的实施方式中也能够适用。例如,以下的变形例也包含在本公开的一个实施方式中。

  (1)上述的不正常检测处理请求部142基于关联信息决定不正常检测处理定时,但关联信息的内容、形式等能够进行任意变更,只要能够按各个ID分别确定不正常检测处理定时即可。

  (2)在上述实施方式中,以标准ID格式记述了CAN协议中的数据帧,但也可以是扩展ID格式。在扩展ID格式的情况下,用标准ID格式中的ID位置的基础ID和扩展ID共29比特来表示数据帧的ID。

  (3)在上述实施方式中,示出了不正常检测处理定时是ID接收时、DLC接收时、数据接收时和数据帧接收完成时中的任一个的例子,但也可以在除此以外的定时进行不正常检测处理。例如,在不正常检测规则(参照图6)作为关于各ID的数据的规则而规定了从数据域的开头起预定数字节(例如最高位一个字节等)的值的情况下,作为不正常检测处理定时,可以不是数据接收时(即不是接收到DLC所表示大小的数据域时),而是接收到从数据域的开头起预定数字节(例如一个字节)时。

  (4)在上述实施方式中,设为不正常检测ECU100、2100在数据帧的接收期间检测到关于数据帧的不正常的情况下发送错误帧,但也可以不一定进行错误帧的发送,可以通过错误帧的发送以外的方法(例如通过总线300以外的通信路向其他的ECU通知错误等)来阻止ECU执行不正常的数据帧。另外,也可以不发送错误帧而通过数据帧向其他的ECU通知检测到不正常这一情况,还可以如上所述进行日志信息的记录、向外部服务器的信息发送等。

  (5)在上述的不正常检测处理部154、2154作为不正常检测处理对一个数据帧进行多个检查的情况下,在通过其中的一个检查能够判别为是不正常帧时(检测到不正常时),也可以省略剩余的检查。

  (6)在上述实施方式中,车辆状态信息所表示的车辆的状态例如设为停车中、充电中、行驶中和高速行驶中这4个状态中的任一个,但也可以表示其他的状态。可以使用能够由搭载于车辆的传感器、设备等识别的各种状态作为车辆状态信息中的车辆的状态。例如,可以使用点火钥匙被插入到点火锁芯的状态、齿轮位置(例如驻车、空挡、1速、2速等)的状态、总线300等的网络负荷的状态等作为车辆状态信息中的车辆的状态。此外,关于网络负荷的状态,根据针对构成车载网络系统11的各总线分别与该总线连接的ECU的功能分类,可以着眼于与特定的功能分类的ECU连接的总线的负荷的状态来使用该负荷的状态作为车辆状态信息中的车辆的状态。作为ECU的功能分类,例如举例有:发动机、马达、燃料、电池、传动装置等的控制这样的与车辆的行驶关联的功能即“驱动系统”;或者,车门锁、空调机、灯光、方向灯等这样的与车辆的装备的控制关联的功能即“车身系统”等。另外,在关联信息中,除了按各个ID确定不正常检测处理定时之外,还可以按由多个ID构成的ID组(例如根据发送该ID的数据帧的ECU的功能分类而区分开的组等)来确定不正常检测处理定时。

  (7)在上述实施方式中,不正常检测ECU2100经由总线从其他的ECU取得了表示车辆的状态的数据帧,但也可以通过其他的手段来确定车辆的状态。例如,也可以通过用于通知车辆状态的专用的通信路(例如专用的信号线等)来取得车辆的状态。

  (8)在上述实施方式中,作为成为对各ID的数据帧决定监视等级的基础的不正常状态的例子,示出了通过不正常检测处理检测到不正常的次数(不正常产生次数),但也可以使用不正常产生次数以外的信息作为不正常状态。例如,也可以使用基于不正常检测处理的结果而计算出的ID的可靠性等。

  (9)在上述实施方式中,根据车辆的状态和不正常状态来决定监视等级,但监视等级也可以仅根据这2个中的车辆的状态来决定。另外,也可以仅根据不正常状态来决定。另外,对于监视等级的决定不一定需要使用表(参照图13),例如也可以通过输入车辆的状态和不正常状态的运算(函数等)来决定。

  (10)在上述实施方式中,由微机部150、2150进行了不正常检测处理,但也可以在控制器部140、2140中进行不正常检测处理。另外,在上述实施方式中,由微机部2150决定了监视等级,但也可以在控制器部2140中决定监视等级。另外,在上述实施方式中,微机部2150具有不正常状态保持部2157和车状态保持部2158,但也可以是控制器部140、2140具有不正常状态保持部2157和车状态保持部2158的两方或者一方。

  (11)在上述实施方式中,在不正常状态保持部2157中保持有最后更新时刻,根据与当前时刻的差分进行了不正常产生次数的复位的判断,但也可以通过其他的手段来进行复位。例如,也可以在最后更新时设置计数器,通过计数器来进行复位。另外,也可以不进行不正常产生次数的复位,不正常状态保持部2157也可以不记录最后更新时刻。

  (12)在上述实施方式中,示出了不正常检测处理请求部142将不正常检测处理请求信号作为中断请求信号通知给不正常检测处理部154、2154(具体是输入到微机部150、2150的处理器)的例子,但也可以通过其他方法(例如从不正常检测处理部154、2154定期地查询不正常检测处理请求的方法等)来进行不正常检测处理请求信号的通知。

  (13)在上述实施方式中,不正常检测处理部154、2154经由控制器通信部151进行不正常检测处理所需的信息的取得,但也可以与控制器部140、2140直接通信来取得不正常检测处理所需的信息。也可以通过设置例如与用于供控制器通信部151与控制器部140、2140进行信号授受的通信路不同的通信路(专用的信号线等)来实现该取得。

  (14)在上述实施方式中,不正常检测处理部2154将更新了不正常状态保持部2157的内容(不正常状态信息)这一情况通知给监视等级决定部2156,但也可以不进行该更新的通知。同样地,帧处理部2152也可以不进行车辆状态信息的更新的通知。另外,在上述实施方式中,监视等级决定部2156在被通知了车辆状态信息或者不正常状态信息已被更新这一情况时决定监视等级,但监视等级的决定并不限定于此时。例如,监视等级决定部2156也可以定期地决定监视等级。

  (15)在上述实施方式中,监视等级决定部2156经由控制器通信部151进行不正常检测处理定时保持部144的内容(关联信息)的更新,但也可以与控制器部140、2140直接通信来更新关联信息。也可以通过设置例如与用于供控制器通信部151与控制器部2140进行信号授受的通信路不同的通信路(专用的信号线等)来实现该更新。

  (16)上述实施方式中的不正常检测ECU以及其他的ECU,例如是处理器、存储器等包括数字电路、模拟电路、通信线路等的装置,但也可以包括硬盘装置、显示器、键盘、鼠标等其他的硬件构成要素。另外,也可以取代由处理器执行存储器所存储的控制程序并以软件方式来实现功能,而通过专用的硬件(数字电路等)来实现其功能。

  (17)上述实施方式中的构成各装置的构成要素的一部分或者全部也可以由1个系统LSI(Large Scale Integration:大规模集成电路)构成。系统LSI是将多个构成部集成于1个芯片上而制造出的超多功能LSI,具体而言,是包含微处理器、ROM、RAM等而构成的计算机系统。所述RAM中存储有计算机程序。所述微处理器按照所述计算机程序进行工作,由此系统LSI达成其功能。另外,构成上述各装置的构成要素的各部既可以单独地单芯片化,也可以以包含一部分或全部的方式单芯片化。另外,虽然此处设为LSI,但根据集成度不同,也可以称为IC、LSI、超大LSI(super LSI)、特大LSI(ultra LSI)。另外,集成电路化的方法不限于LSI,也可以通过专用电路或者通用处理器实现。也可以在LSI制造后利用FPGA(FieldProgrammable Gate Array;现场可编程门阵列)或者可以对LSI内部的电路单元的连接和/或设定进行重构的可重构处理器(reconfigurable processor)。进而,随着半导体技术的发展或者派生的其他技术的出现,如果出现能够替代LSI的集成电路化的技术,当然也可以利用该技术进行功能块的集成化。也可能会存在应用生物技术的可能性。

  (18)构成上述各装置的构成要素的一部分或者全部也可以由能够装卸于各装置的IC卡或者单体模块构成。所述IC卡或者所述模块是由微处理器、ROM、RAM等构成的计算机系统。所述IC卡或者所述模块也可以包含上述超多功能LSI。微处理器按照计算机程序进行工作,由此所述IC卡或者所述模块达成其功能。该IC卡或者该模块也可以具有抗篡改性。

  (19)作为本公开的一个技术方案,也可以是例如图8、图9等所示的不正常检测方法。另外,也可以是通过计算机实现上述的方法的计算机程序,还可以是通过所述计算机程序形成的数字信号。另外,作为本公开的一个技术方案,也可以将所述计算机程序或者所述数字信号记录于计算机可读取的记录介质例如软盘、硬盘、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(注册商标)Disc)、半导体存储器等。另外,也可以是记录在上述的记录介质中的所述数字信号。另外,作为本公开的一个技术方案,也可以将所述计算机程序或所述数字信号经由电通信线路、无线或有线通信线路、以因特网为代表的网络、数据广播等进行传输。另外,作为本公开的一个技术方案,也可以是具有微处理器和存储器的计算机系统,所述存储器记录有上述计算机程序,所述微处理器可以按照所述计算机程序进行工作。另外,通过将所述程序或所述数字信号记录在所述记录介质中转移、或经由所述网络等将所述程序或所述数字信号进行转移,可以通过独立的其他的计算机系统来实施。

  (20)通过将上述实施方式以及上述变形例中示出的各构成要素以及功能进行任意组合而实现的实施方式也包含在本公开的范围中。

  产业上的可利用性

  本公开能够利用于在遵循CAN的车载网络中高效地进行向总线上发送不正常帧的检测。

  附图标记说明

  10、11 车载网络系统

  100、2100 不正常检测电子控制单元(不正常检测ECU)

  130 收发器部

  140、240、2140 控制器部

  141、241、2141 协议处理部

  142 不正常检测处理请求部

  143 不正常帧判断部

  144 不正常检测处理定时保持部

  150、250、2150 微机部

  151 控制器通信部

  152、252、2152 帧处理部

  153、253 帧生成部

  154、2154 不正常检测处理部

  155 不正常检测规则保持部

  200a、200b、2200c 电子控制单元(ECU)

  210 传感器

  220 致动器

  254 外部设备输入输出部

  300 总线

  2156 监视等级决定部

  2157 不正常状态保持部

  2158 车状态保持部

  2159 监视等级保持部

  2230 电池

  2240 车速传感器

《不正常检测电子控制单元、车载网络系统以及不正常检测方法.doc》
将本文的Word文档下载到电脑,方便收藏和打印
推荐度:
点击下载文档

文档为doc格式(或pdf格式)