WO2020090108A1

WO2020090108A1 - 不正制御防止システムおよび、不正制御防止方法

Info

Publication number: WO2020090108A1
Application number: PCT/JP2018/040832
Authority: WO
Inventors: 剛岸川; 平野　亮; 良浩氏家
Original assignee: Panasonic Intellectual Property Corp of America
Current assignee: Panasonic Intellectual Property Corp of America
Priority date: 2018-11-02
Filing date: 2018-11-02
Publication date: 2020-05-07
Anticipated expiration: 2021-05-02
Also published as: EP3876480A4; CN112823494B; JP7340537B2; US20210226966A1; WO2020090976A1; CN112823494A; EP3876480B1; EP3876480A1; JPWO2020090976A1; US11909748B2

Abstract

タイムトリガー型通信方式の車載ネットワークの不正制御防止システムで、ネットワークに電子制御装置が接続され、所定タイムスロット内でフレームを送受信し、不正制御防止システムはエラー監視装置とフレーム無効化装置を備え、エラー監視装置は第１のエラー検知部とエラー通知部を備え、エラー検知部はネットワークに流れるフレームを受信し、受信したフレームにエラーが発生したことを検知し、エラー通知部は第１のエラー検知部がエラーの発生を検知した場合にエラーの発生したフレームの種類を含むエラー通知フレームを送信し、フレーム無効化装置は第２のエラー検知部と無効化部を備え、無効化部は、エラー通知フレームを所定数以上受信しかつ第２のエラー検知部においてエラー通知フレームに含まれるエラーの発生したフレームに関してエラーが検知されていない場合に、フレームを無効化対象フレームとして第１の無効化モードへ遷移する。

Description

不正制御防止システムおよび、不正制御防止方法

　本開示は、車載ネットワークにおける不正フレームの送信を検知し、無効化するシステムに関する。

　近年、自動車の中のシステムには、電子制御ユニット（以下、ＥＣＵ）と呼ばれる装置が多数配置されている。これらのＥＣＵをつなぐネットワークを車載ネットワークと呼ばれる。

　車載ネットワークには、多数の規格が存在する。その中でも、現在、主流となっているＣｏｎｔｒｏｌｌｅｒ　Ａｒｅａ　Ｎｅｔｗｏｒｋ（以下ＣＡＮ）よりも高速、高信頼プロトコルとして設計されたＦｌｅｘＲａｙという規格が存在する。

　ＦｌｅｘＲａｙでは２本のより線の電圧差により“０”の値と“１”の値を表す。バスに接続されているＥＣＵはノードと呼ばれる。バスに接続されている各ノードは、フレームと呼ばれるメッセージを送受信する。ＦｌｅｘＲａｙはＴｉｍｅ　Ｄｉｖｉｓｉｏｎ　Ｍｕｌｔｉｐｌｅ　Ａｃｃｅｓｓ（以下ＴＤＭＡ）方式であり、各ノードは予め決められたタイミングでフレームを送信する。

　ＦｌｅｘＲａｙでは、最大の時間単位であるサイクルが存在し、各ノードはグローバルタイムを同期している。サイクルは「静的セグメント」「動的セグメント」「シンボルウィンドウ」「ネットワークアイドルタイム」の４つのセグメントから構成され、動的セグメントとシンボルウィンドウはオプションである。

　各ノードは、静的セグメントと動的セグメントにおいてフレームを送信する。静的セグメントと動的セグメントは、さらにスロットと呼ばれる１つのフレームを送信することができる時間から構成される。

　ＦｌｅｘＲａｙでは送信先や送信元を示す識別子は存在せず、送信ノードはフレーム毎に予め定められた送信タイミングであるスロット番号に基づいてフレームを送信する。各受信ノードは予め決められたスロット番号のフレームのみを受信する。

　また、同一のスロット番号のフレームであっても、サイクルによって異なるフレームの通信を実現する「サイクルマルチプレキシング」と呼ばれる方法が用いられる。

　また、ＦｌｅｘＲａｙでは、ＣＡＮのように全てのノードが１つのバスに接続されるバス型ネットワークトポロジだけでなく、スターカプラを介したスター型のネットワークトポロジや、バス型とスター型のハイブリッド型のネットワークトポロジを設計することが可能である。

　スター型のネットワークトポロジでは、ブランチと呼ばれる複数のバスをスターカプラが各ブランチの信号をルーティングすることで、ネットワークの同期を実現している。このとき、あるブランチ内に不正なＥＣＵが存在し、正規なＥＣＵによる正規のフレームの送信より先に、不正なＥＣＵが不正なフレームを送信した場合に、スターカプラの仕様により、正規のフレームが無視され、不正なフレームがルーティングされてしまうことにより、車両の不正制御を引き起こすことが可能となってしまう。

　このような状況において、車載ネットワークの不正フレームの検知および防止技術が提案されている。

　例えば特許文献１では、フレームがあらかじめ規定された通信間隔で送信されているか否かを検出し、規定された通信間隔から外れるフレームを不正と判断することで、不正フレームによる制御を防止する車載ネットワーク監視装置が開示されている。

特許第５６６４７９９号公報

　しかしながら、タイムトリガー型の通信方式を採用しているＦｌｅｘＲａｙでは、予め規定された通信間隔で通信を行うため、ある特定の識別子をもつフレームの受信間隔は常に一定となり、特許文献１のような不正検知手法を適用することはできない。

　本開示は、上記課題を解決するため、スター型トポロジを採用するタイムトリガー型の通信方式であるプロトコルに対して、不正なフレームの送信を検知し、無効化する、安全な車載ネットワークシステムを提供することを目的とする。

　上記課題を解決するために、本開示の一実施様態の不正制御防止システムは、タイムスロットに基づくタイムトリガー型の通信方式である車載ネットワークにおける不正制御防止システムであって、前記車載ネットワークには、１以上の電子制御装置が接続され、前記１以上の電子制御装置は所定のタイムスロット内でフレームを送受信し、前記不正制御防止システムは、１以上のエラー監視装置と、１以上のフレーム無効化装置と、を備え、前記１以上のエラー監視装置はそれぞれ、第１のエラー検知部と、エラー通知部と、を備え、前記エラー検知部は、前記車載ネットワークに接続され、前記車載ネットワークに流れるフレームを受信し、受信したフレームにエラーが発生したことを検知し、前記エラー通知部は、前記第１のエラー検知部がエラーの発生を検知した場合に、エラーの発生したフレームの種類を識別可能な情報を含むエラー通知フレームを送信し、前記１以上のフレーム無効化装置はそれぞれ、第２のエラー検知部と、無効化部と、を備え、前記無効化部は、前記エラー通知フレームを所定数以上、受信し、かつ、前記第２のエラー検知部において、前記エラー通知フレームに含まれるエラーの発生したフレームに関してエラーが検知されていない場合に、前記フレームを無効化対象フレームとして、以降の無効化対象フレームの受信を無効化する第１の無効化モードへ遷移する。

　また上記課題を解決するために、本開示の一実施様態の不正制御防止方法は、タイムスロットに基づくタイムトリガー型の通信方式である車載ネットワークにおける不正制御防止方法であって、前記車載ネットワークには、１以上の電子制御装置が接続され、前記１以上の電子制御装置のそれぞれは、所定のタイムスロット内でフレームを送受信し、前記不正制御防止方法は、１以上のエラー監視ステップと、１以上のフレーム無効化ステップと、を備え、前記１以上のエラー監視ステップはそれぞれ、第１のエラー検知ステップと、エラー通知ステップと、備え、前記エラー検知ステップは、前記車載ネットワークに接続され、前記車載ネットワークに流れるフレームを受信し、受信したフレームにエラーが発生したことを検知し、前記エラー通知ステップは、前記第１のエラー検知ステップがエラーの発生を検知した場合に、エラーの発生したフレームの種類を識別可能な情報を含むエラー通知フレームを送信し、前記１以上のフレーム無効化ステップのそれぞれは、第２のエラー検知ステップと、無効化ステップと、を備え、前記無効化ステップは、前記エラー通知フレームを受信し、かつ、前記第２のエラー検知ステップにおいて、前記エラー通知フレームに含まれるエラーの発生したフレームに関するエラーが発生していることが検知されていない場合に、以降の前記フレームの受信を無効化する無効化モードへ遷移する。

　なお、これらの全般的または具体的な態様は、装置、システム、集積回路、コンピュータプログラムまたはコンピュータで読み取り可能なＣＤ－ＲＯＭなどの記録媒体で実現されてもよく、装置、システム、方法、コンピュータプログラムおよび記録媒体の任意な組み合わせで実現されてもよい。

　本開示によれば、スター型トポロジでタイムトリガー型の通信方式を採用している車載ネットワークに対しても、不正なフレームが送信されていることを検知し、無効化することが可能となり車載ネットワークシステム全体として、安全な状態を維持することができる。

図１は、実施の形態１における車載ネットワークシステム１０の全体構成図である。図２は、実施の形態１におけるＦｌｅｘＲａｙのサイクルについての図である。図３は、実施の形態１におけるＦｌｅｘＲａｙフレームのフォーマットを示した図である。図４は、実施の形態１におけるＥＣＵの構成図である。図５は、実施の形態１における監視ＥＣＵの構成図である。図６は、実施の形態１におけるスターカプラの構成図である。図７は、実施の形態１における通信用設定パラメータの一例を示す図である。図８は、実施の形態１における正規ＩＤリストの一例（静的フレーム）を示す図である。図９は、実施の形態１における正規ＩＤリストの一例（動的フレーム）を示す図である。図１０は、実施の形態１におけるブランチ状態の一例を示す図である。図１１Ａは、実施の形態１におけるエラー通知フレームの一例を示す図である。図１１Ｂは、実施の形態１におけるエラー通知異常フレームの一例を示す図である。図１２は、実施の形態１における監視ＥＣＵの処理フローチャートである。図１３は、実施の形態１における全体シーケンス（無効化モードへの遷移）図である。図１４は、実施の形態１における全体シーケンス（無効化モード時の処理）図である。図１５は、実施の形態１における無効化モード変更フレームを偽装されたときのシーケンス図である。

　本開示の一態様に係る不正制御防止システムは、タイムスロットに基づくタイムトリガー型の通信方式である車載ネットワークにおける不正制御防止システムであって、前記車載ネットワークには、１以上の電子制御装置が接続され、前記１以上の電子制御装置は所定のタイムスロット内でフレームを送受信し、前記不正制御防止システムは、１以上のエラー監視装置と、１以上のフレーム無効化装置と、を備え、前記１以上のエラー監視装置はそれぞれ、第１のエラー検知部と、エラー通知部と、を備え、前記エラー検知部は、前記車載ネットワークに接続され、前記車載ネットワークに流れるフレームを受信し、受信したフレームにエラーが発生したことを検知し、前記エラー通知部は、前記第１のエラー検知部がエラーの発生を検知した場合に、エラーの発生したフレームの種類を識別可能な情報を含むエラー通知フレームを送信し、前記１以上のフレーム無効化装置はそれぞれ、第２のエラー検知部と、無効化部と、を備え、前記無効化部は、前記エラー通知フレームを所定数以上、受信し、かつ、前記第２のエラー検知部において、前記エラー通知フレームに含まれるエラーの発生したフレームに関してエラーが検知されていない場合に、前記フレームを無効化対象フレームとして、以降の無効化対象フレームの受信を無効化する第１の無効化モードへ遷移する。

　これにより、エラーの発生状況の不整合に基づいて、不正なフレーム送信を検知し、無効化することで、車載ネットワークシステムの安全性を高めることができる。

　また、前記１以上のフレーム無効化装置はそれぞれ、さらに、フレーム送受信部を備えており、前記フレーム送受信部は、前記車載ネットワークの所定のタイムスロット内でフレームを送受信し、前記第１の無効化モードである場合には、前記無効化対象フレームのフレームを受信しない、前記無効化対象フレームと同一のタイムスロットにおいて、同一の識別子のフレームの送信を行う、のいずれかの方法により以降の無効化対象フレームの受信を無効化するとしてもよい。

　これにより、不正なフレームを適切に無効化することが可能となり、車載ネットワークシステムの安全性を高めることができる。

　また、前記１以上のエラー監視装置はそれぞれ、さらに、エラー通知フレーム監視部を備え、前記エラー通知フレーム監視部は、自身の送信した第１の前記エラー通知フレームにエラーが発生しているかを監視し、前記エラー通知部は、さらに、前記エラー通知フレーム監視部において、エラーが検知された場合に、エラー通知異常フレームを送信し、前記１以上のフレーム無効化装置のそれぞれは、さらに、フレームの種別ごとにエラーの検知回数および、エラー通知フレームの受信回数の少なくとも１つを保持する、エラー状態保持部を備え、前記無効化部は、さらに前記エラー通知異常フレームを受信した場合に、前記エラー状態保持部に格納される、エラーの検知回数、エラー通知フレームの受信回数のいずれかが、所定数以上であるフレームを無効化対象フレームとし、第１の無効化モードへ遷移するとしてもよい。

　これによりエラー通知を行うフレームが不正なフレームに偽装されたとしても、不正なフレームを無効化することが可能となり、車載ネットワークシステムの安全性を高めることができる。

　また、前記タイムトリガー型の通信方式はＦｌｅｘＲａｙプロトコルであって、前記エラーは、ＦｌｅｘＲａｙプロトコルに定められる、ＳｙｎｃＥｒｒｏｒ、ＣｏｎｔｅｎｔＥｒｒｏｒ、ＢｏｕｎｄａｒｙＶｉｏｌａｔｉｏｎ、ＴｘＣｏｎｆｌｉｃｔのいずれかであってもよい。

　これにより、ＦｌｅｘＲａｙを搭載した車載ネットワークシステムの安全性を高めることができる。

　また、前記車載ネットワークは、複数のブランチを備え、スターカプラを介し、フレームの送受信を行うスター型トポロジであって、前記エラー通知フレームは、ＦｌｅｘＲａｙプロトコルにおける動的フレームであって、前記エラー通知部は、前記エラー監視装置が接続されるブランチに応じて、前記エラー通知フレームを、送信するサイクル数を決定するとしてもよい。

　これにより、スター型ＦｌｅｘＲａｙにおいて、スロットＩＤを効率的に利用しつつ、エラー通知フレームの送受信が可能となり、車載ネットワークシステムの設計の自由度を保ちつつ、安全性を高めることができる。

　また、前記１以上のエラー監視装置はそれぞれ、さらに、無効化モード切替部と、不正ブランチ特定部とを備え、前記無効化モード切替部は、前記１以上のフレーム無効化装置のそれぞれに対して、無効化モードの有効化フラグと、送信先となる前記１以上のフレーム無効化装置を識別する値または、前記１以上のフレーム無効化装置が接続されるブランチを識別する値のいずれかを含む、無効化切り替えフレームを、第１のブランチを無効化対象ブランチとするために、第１のブランチ内で少なくとも１つのフレーム無効化装置が第１の無効化モードへ遷移し、第１のブランチ以外のブランチに接続されるフレーム無効化装置は、前記第１の無効化モードに遷移しないように、送信し、所定の期間経過後に、第２のブランチを無効化対象ブランチとするために無効化切り替えフレームを送信することを、全てのブランチに対して行い、前記不正ブランチ特定部は、前記無効化対象ブランチと、前記無効化対象ブランチとなっている期間に受信したエラー通知フレームの個数を保持しておき、前記エラー通知フレームの個数が最大となったときの前記無効化対象ブランチを不正ブランチとして判断し、前記無効化部は、さらに、前記無効化切り替えフレームに含まれる、無効化モードの有効化フラグと、前記無効化装置の識別子と前記無効化部を備える前記１以上のフレーム無効化装置の識別子が一致した場合、またはブランチの識別子と、前記無効化装置が接続されるブランチが一致した場合に、無効化モードの有効化フラグに従い、第１の無効化モードへ遷移するとしてもよい。

　これにより、不正なフレームを送信する装置が接続するブランチが明らかになり、対処に有益な情報が得られる。

　また、前記フレーム無効化装置はそれぞれ、さらに、フレーム送信部を備えており、前記フレーム送信部は、前記車載ネットワークの所定のタイムスロット内で第１のフレームを送信し、前記フレーム無効化装置は、さらに、前記第２のエラー検知部において、第１のフレームにおいて、エラーを検知し、かつ、前記エラー通知フレームの受信が所定数以下である場合に、第１のフレームを前記無効化対象フレームとした第２の無効化モードに遷移し、前記フレーム送信部は、前記第２の無効化モードの状態のときは、前記第１のフレームの送信開始タイミングを早めるとしてもよい。

　これにより、不正なフレームよりも正規のフレームの送信開始タイミングが早まり、不正なフレームによる影響を抑えることができ効果的である。

　また、本開示の一実施様態の不正制御防止方法はタイムスロットに基づくタイムトリガー型の通信方式である車載ネットワークにおける不正制御防止方法であって、前記車載ネットワークには、１以上の電子制御装置が接続され、前記１以上の電子制御装置のそれぞれは、所定のタイムスロット内でフレームを送受信し、前記不正制御防止方法は、１以上のエラー監視ステップと、１以上のフレーム無効化ステップと、を備え、前記１以上のエラー監視ステップはそれぞれ、第１のエラー検知ステップと、エラー通知ステップと、備え、前記エラー検知ステップは、前記車載ネットワークに接続され、前記車載ネットワークに流れるフレームを受信し、受信したフレームにエラーが発生したことを検知し、前記エラー通知ステップは、前記第１のエラー検知ステップがエラーの発生を検知した場合に、エラーの発生したフレームの種類を識別可能な情報を含むエラー通知フレームを送信し、前記１以上のフレーム無効化ステップのそれぞれは、第２のエラー検知ステップと、無効化ステップと、を備え、前記無効化ステップは、前記エラー通知フレームを受信し、かつ、前記第２のエラー検知ステップにおいて、前記エラー通知フレームに含まれるエラーの発生したフレームに関するエラーが発生していることが検知されていない場合に、以降の前記フレームの受信を無効化する無効化モードへ遷移する。

　以下、実施の形態に係る車載ネットワークシステムについて、図面を参照しながら説明する。ここで示す実施の形態は、いずれも本開示の一具体例を示すものである。従って、以下の実施の形態で示される数値、構成要素、構成要素の配置及び接続形態、並びに、ステップ（工程）及びステップの順序等は、一例であって本開示を限定するものではない。以下の実施の形態における構成要素のうち、独立請求項に記載されていない構成要素については、任意に付加可能な構成要素である。また、各図は、模式図であり、必ずしも厳密に図示されたものではない。

　（実施の形態１）
　１．システムの構成
　ここでは、本開示の実施の形態として、不正制御防止システムについて図面を参照しながら説明する。

　１．１　車載ネットワークシステム１０の全体構成
　図１は、本開示に係る車載ネットワークシステム１０の全体構成を示す図である。図１において、車載ネットワークシステム１０は、ブランチ１００ａ、１００ｂ、１００ｃ、１００ｄと、各ブランチに接続される、ＥＣＵ２００ａ、２００ｂ、２００ｃ、２００ｄ、監視ＥＣＵ４００ａ、４００ｂ、４００ｃ、４００ｄと、ＥＣＵ２００ａの制御対象であるハンドル２１０、ＥＣＵ２００ｂの制御対象であるギア２２０、ＥＣＵ２００ｃの制御対象である外部通信モジュール２３０、ＥＣＵ２００ｄの制御対象であるカメラ２４０と、ブランチ１００ａ、１００ｂ、１００ｃ、１００ｄを接続するスターカプラ３００と、から構成される。

　ＥＣＵ２００ａ～２００ｄは、ブランチを通じて、フレームの送受信を行うことで、車両の制御を実現する。

　監視ＥＣＵ４００ａ、４００ｂ、４００ｃ、４００ｄは、それぞれブランチ１００ａ、１００ｂ、１００ｃ、１００ｄを観測することで、不正なフレームの送信を検知し、不正なフレームの無効化を行う。

　またスターカプラ３００は、ブランチ１００ａ、１００ｂ、１００ｃ、１００ｄのブランチに同じ信号が流れるように信号の整形を行う。ＥＣＵ２００ａ、２００ｂ、２００ｃ、２００ｄは、ブランチ１００ａ、１００ｂ、１００ｃ、１００ｄを通じて時刻の同期をとっている。

　１．２　ＦｌｅｘＲａｙサイクル
　図２は、本開示に係るＦｌｅｘＲａｙ通信のサイクルを示す図である。図２において、ＦｌｅｘＲａｙの通信は、サイクル（Ｃｙｃｌｅ）と呼ばれる単位で行われ、サイクルの繰り返し回数（サイクルカウンタ）を各ノードが同期して保持しており、サイクルカウンタは０～６３の値をとる。サイクルカウンタが６３である場合、次のサイクルはサイクルカウンタを０にリセットする。

　各サイクルは、静的セグメント（Ｓｔａｔｉｃ　ｓｅｇｍｅｎｔ）、動的セグメント（Ｄｙｎａｍｉｃ　ｓｅｇｍｅｎｔ）、シンボルウィンドウ（Ｓｙｍｂｏｌ　ｗｉｎｄｏｗ）、ネットワークアイドルタイム（ＮＩＴ）の４つのセグメントから構成される。

　各セグメントの時間は予め設計されたパラメータによって、ＦｌｅｘＲａｙネットワーク全体（クラスタ）で共通であるため、１サイクルの時間も同様にクラスタで共通である。

　静的セグメントは、複数のスロットから構成される。スロットの個数、および各スロットの時間はクラスタ内で共通である。

　またＦｌｅｘＲａｙフレームは、１スロット内に１つのフレームが送信され、スロットの番号（スロット番号）がフレームの識別子（Ｆｒａｍｅ　ＩＤ）となる。ＥＣＵ２００ａ、２００ｂ、２００ｃ、２００ｄは、予め定められたタイミング（スロット番号）で、フレームの送信を行うように設計されている。静的セグメント内で送信されるフレームを静的フレームとよぶ。静的フレームは、ペイロード長がクラスタ内で共通となっている。

　動的セグメントは、図示しないが、ミニスロットと呼ばれるスロットから構成される。ミニスロットにも同様にスロット番号が存在し、ＥＣＵ２００ａ、２００ｂ、２００ｃ、２００ｄは、予め定められたタイミング（スロット番号）で送信を行うように設計されているが、静的セグメントと異なり、必ずしもフレームの送信を行う必要はない。動的セグメント内で送信されるフレーム動的フレームとよぶ。動的フレームは、ペイロード長として０～２５４の任意の値をとることができる。

　シンボルウィンドウは、シンボルと呼ばれる信号の送受信を行う時間帯である。

　ネットワークアイドルタイムは、通信を行わない時間帯であり、サイクルの最後に必ず設けられる。ＥＣＵ２００ａ、２００ｂ、２００ｃ、２００ｄは、時刻の同期処理等を行う。

　１．３　フレームフォーマット
　図３は、本開示に係るＦｌｅｘＲａｙプロトコルのフレームフォーマットを示す図である。フレームフォーマットは、静的フレームおよび動的フレームともに共通のフォーマットである。フレームは、Ｈｅａｄｅｒ　Ｓｅｇｍｅｎｔ、Ｐａｙｌｏａｄ　Ｓｅｇｍｅｎｔ、Ｔｒａｉｌｅｒ　Ｓｅｇｍｅｎｔの３つのセグメントから構成される。

　Ｈｅａｄｅｒ　Ｓｅｇｍｅｎｔは、Ｒｅｓｅｒｖｅｄ　ｂｉｔから始まり、フレームの種別を表すための、Ｐａｙｌｏａｄ　ｐｒｅａｍｂｌｅ　ｉｎｄｉｃａｔｏｒ、Ｎｕｌｌ　ｆｒａｍｅ　ｉｎｄｉｃａｔｏｒ、Ｓｙｎｃ　ｆｒａｍｅ　ｉｎｄｉｃａｔｏｒ、Ｓｔａｒｔｕｐ　ｆｒａｍｅ　ｉｎｄｉｃａｔｏｒがそれぞれ１ビットずつ含まれる。

　Ｈｅａｄｅｒ　Ｓｅｇｍｅｎｔはさらに、１１ビットのＦｒａｍｅ　ＩＤと、７ビットのＰａｙｌｏａｄ　ｌｅｎｇｔｈ、１１ビットのＨｅａｄｅｒ　ＣＲＣ、６ビットのＣｙｃｌｅ　ｃｏｕｎｔから構成される。

　Ｆｒａｍｅ　ＩＤは、スロットＩＤとも呼ばれ、フレームの送信タイミング及び、フレームの内容を識別するために用いられる。

　Ｐａｙｌｏａｄ　ｌｅｎｇｔｈは最大１２７の値をとり得る。

　Ｐａｙｌｏａｄ　Ｓｅｇｍｅｎｔには、Ｐａｙｌｏａｄ　ｌｅｎｇｔｈの値に２をかけたバイト数が格納される。

　Ｈｅａｄｅｒ　ＣＲＣは、Ｓｙｎｃ　ｆｒａｍｅ　ｉｎｄｉｃａｔｏｒからＰａｙｌｏａｄ　ｌｅｎｇｔｈまでを含んだ値から計算されるチェックサムである。

　Ｃｙｃｌｅ　ｃｏｕｎｔは、現在のサイクル数が格納される。

　Ｐａｙｌｏａｄ　Ｓｅｇｍｅｎｔには、フレームの内容を表すデータが含まれる。Ｐａｙｌｏａｄ　Ｓｅｇｍｅｎｔには、Ｐａｙｌｏａｄ　ｌｅｎｇｔｈの値の２倍のバイト数が格納されており、最大で２５４バイトが格納される。

　Ｔｒａｉｌｅｒ　Ｓｅｇｍｅｎｔには、フレームの全てを含んだ値から計算されるＣＲＣが格納されている。

　１．４　ＥＣＵ２００ａの構成図
　図４は、ＥＣＵ２００ａの構成図である。なお、ＥＣＵ２００ｂ、ＥＣＵ２００ｃ、ＥＣＵ２００ｄは、ＥＣＵ２００ａと同様の構成であるため、これらの説明を省略する。

　図４においてＥＣＵ２００ａは、フレーム送受信部２０１と、フレーム解釈部２０２と外部機器制御部２０３と、フレーム生成部２０４と、通信用設定パラメータ保持部２０５と、から構成される。

　フレーム送受信部２０１は、ブランチ１００ａから受信した物理信号を、デジタル信号に復号することでフレームの情報を取得する。フレーム送受信部２０１は、通信用設定パラメータ保持部２０５に保持される通信用設定パラメータを参照することで、他のＥＣＵと時刻を同期し、正しくフレームを受信する。

　またフレーム送受信部２０１は、フレーム生成部２０４から、通知される送信フレーム要求に従い、予め定められたタイミングで、フレームを物理信号に変換して、ブランチ１００ａに送信する。

　フレーム解釈部２０２は、フレーム送受信部２０１から通知される受信したフレームに含まれるペイロードを解釈し、ペイロードの内容に応じてＥＣＵ２００ａに接続されるハンドル２１０の制御を行うために外部機器制御部２０３へ通知を行う。例えば、他のＥＣＵから通知される車両の速度の情報に基づいて、フレーム解釈部２０２は、走行状態を判断し、走行状態に応じたハンドルのアシスト制御を実現したり、自動駐車モード時のステアリング操舵指示信号に基づいて、ハンドルの自動操舵を実現したりする。

　外部機器制御部２０３は、ＥＣＵ２００ａに接続されるハンドル２１０の制御を行う。またハンドル２１０の状態を監視し、他のＥＣＵに状態を通知するためのフレーム送信要求をフレーム生成部２０４に通知する。例えば、外部機器制御部２０３は、ハンドル２１０の角度を通知するためのフレーム要求をフレーム生成部２０４に通知する。

　フレーム生成部２０４は、通知された信号に基づいて、フレームの生成を行い、フレーム送受信部２０１へ送信要求を行う。

　通信用設定パラメータ保持部２０５は、物理信号を正しく、デジタル信号に変換するための、クラスタ内で共通のパラメータが保持されている。通信用設定パラメータの詳細は後述する。

　１．５　監視ＥＣＵ４００ａの構成図
　図５は、監視ＥＣＵ４００ａの構成図である。なお、監視ＥＣＵ４００ｂ、４００ｃ、４００ｄは、監視ＥＣＵ４００ａと同様の構成であるため、これらの説明を省略する。また、監視ＥＣＵ４００ａの構成のうち、ＥＣＵ２００ａと同様の構成については、同じ番号を付与してその説明を省略する。

　図５において監視ＥＣＵ４００ａは、フレーム送受信部２０１、エラー検知部４０２、フレーム生成部２０４、通信用設定パラメータ保持部２０５、正規ＩＤリスト保持部４０３、ブランチ状態保持部４０４、から構成される。

　エラー検知部４０２は、フレーム送受信部２０１から、受信したフレームを通知され、通知されたデータフレームがエラー無く受信しているか否かを判断する。エラー検知部４０２によるフレームにエラーが発生しているか否かの判断は、プロトコルで規定されるＴｘＣｏｎｆｌｉｃｔ、ＳｙｎｔａｘＥｒｒｏｒ、ＣｏｎｔｅｎｔＥｒｒｏｒ、ＢｏｕｎｄａｒｙＶｉｏｌａｔｉｏｎのいずれかに何のフラグが立っているかどうかで判断する。

　エラー検知部４０２は、通知されたフレームにエラーが発生していると判断した場合は、自ブランチ以外の他ブランチに存在するＥＣＵに対して、自ブランチにおいて、特定ＩＤでエラーが発生していることを通知するフレームの送信を行うため、エラー検知部４０２はフレーム生成部２０４に通知を行う。

　また、正規ＩＤリスト保持部４０３を参照し、エラーの発生したＩＤのフレームを送信するＥＣＵが自ブランチに存在し、かつ、他のブランチから当該ＩＤのフレームのエラー通知フレームを受信しなかった場合に、エラー検知部４０２は、他のブランチにおいて、不正なフレームが送信されていると判断し、無効化モード変更フレームを送信するために、エラー検知部４０２は、フレーム生成部２０４に通知を行う。

　さらにエラー検知部４０２は、無効化モード変更フレームを受信した場合と、エラー通知異常フレームを受信した場合に、他のブランチにおいてエラーの発生しているＩＤのフレームを無効化するために、対象ＩＤのフレームの送信を開始するように、エラー検知部４０２はフレーム生成部２０４に通知を行う。

　他のブランチにおいても当該ＩＤのフレームのエラーが発生していると通知された場合は、故障等による通信異常が発生していると判断し、エラー検知部４０２は故障モードへ移行する。ここで、故障モードとは、運転支援機能による自動制御機能をオフにするモード、つまり、自動制御に関わるフレームを無効とするモードである。

　正規ＩＤリスト保持部４０３は、各ＥＣＵが送信するフレームに関するＩＤのリストを格納している。正規ＩＤリストの詳細は後述する。

　ブランチ状態保持部４０４は、監視ＥＣＵ４００ａが、存在するブランチの情報や、各ブランチにおけるエラーの発生状況や、現在のモード等を格納している。ブランチ状態保持部４０４に格納されるブランチ状態の詳細は後述する。

　１．６　スターカプラ３００の構成図
　図６は、スターカプラ３００の構成図である。図６においてスターカプラ３００は、トランシーバ部３０１ａ、３０１ｂ、３０１ｃ、３０１ｄ、とルーティング部３０２とから構成される。

　トランシーバ部３０１ａは、ブランチ１００ａから受信した物理信号を、デジタル信号に変換し、ルーティング部３０２へ通知する。またデジタル信号をルーティング部３０２から通知された場合は、通知されたデジタル信号を、物理信号へ変換し、ブランチ１００ａへ転送する。

　ルーティング部３０２は、トランシーバ部３０１ａから通知されたデジタル信号を、トランシーバ部３０１ａを除くトランシーバ部３０１ｂ、３０１ｃ、３０１ｄ、へ転送する。

　同様にトランシーバ部３０１ｂからデジタル信号を通知された場合は、トランシーバ部３０１ｂを除く、トランシーバ部３０１ａ、３０１ｃ、３０１ｄに対して、デジタル信号を通知する。

　ルーティング部３０２は、複数のトランシーバ部のいずれかから、デジタル信号を受信した場合は、最初にデジタル信号を受信したトランシーバ部からの信号を、他のトランシーバ部へ通知する。

　１．７　通信用設定パラメータの一例
　図７は、通信用設定パラメータ保持部２０５に格納されている通信用設定パラメータの一例を示している。通信用設定パラメータは、ボーレート、静的セグメントスロットＩＤ、動的セグメントスロットＩＤ、静的スロットペイロード長等を含む。

　図７において通信用設定パラメータは、通信の速度を表すボーレートが１０Ｍｂｐｓであり、静的セグメントのスロットＩＤが１～５０であり、動的セグメントのスロットＩＤが５１～１００である。また、静的スロットのペイロード長が８（つまり１６バイト）である。

　これらの通信用設定パラメータの値は、クラスタ内のＥＣＵ全てに共有されており、これらの値を元にＦｌｅｘＲａｙフレームの送受信を実現する。

　なお通信用設定パラメータの値は一例に過ぎず、別の値であっても構わない。また、図７での通信用設定パラメータの項目も一例に過ぎず、例えば、各セグメントの長さや、スロットの長さ等が含まれていてもよいし、記載されているパラメータの一部が含まれていなくてもよい。

　１．８　正規ＩＤリストの一例
　図８は、監視ＥＣＵ４００ａが保持する正規ＩＤリスト保持部４０３に格納される正規ＩＤリスト（静的フレーム）の一例を示している。

　図８において正規ＩＤリストは、スロットＩＤとＣｙｃｌｅ　ｏｆｆｓｅｔ、Ｃｙｃｌｅ　ｒｅｃｅｐｔｉｏｎ、送信元ブランチ情報、フレームに含まれるペイロード情報が保持されている。

　Ｃｙｃｌｅ　ｏｆｆｓｅｔとＣｙｃｌｅ　ｒｅｃｅｐｔｉｏｎは、サイクル多重化（サイクルマルチプレキシング）と呼ばれる同じスロットＩＤであっても異なる内容のフレームを送受信する方法が用いられるときに対象のフレームを抽出するために必要な情報である。例えば図８において、スロットＩＤが３であるフレームはＣｙｃｌｅ　Ｏｆｆｓｅｔが０、Ｃｙｃｌｅ　Ｒｅｃｅｐｔｉｏｎが２であるが、これは、サイクル番号が０から始まり、２、４、・・・、６２の場合にフレームが送信されることを示している。

　図８において正規ＩＤリストは、スロットＩＤが１であるフレームはＣｙｃｌｅ　ｏｆｆｓｅｔが０、Ｃｙｃｌｅ　ｒｅｃｅｐｔｉｏｎが１、つまり全てのサイクルで同一フレームが送信されることを意味し、フレームの送信元ブランチが１００ｂであり、ペイロードには速度に関する情報が含まれることを示している。

　次に、スロットＩＤが２であるフレームは送信されないことを示している。

　スロットＩＤが３であるフレームは、Ｃｙｃｌｅ　ｏｆｆｓｅｔが０、Ｃｙｃｌｅ　ｒｅｃｅｐｔｉｏｎが２、つまりサイクルカウンタが偶数のときのみ送信されることを意味し、フレームの送信元ブランチが１００ａであり、ペイロードにはハンドル角度に関する情報が含まれることを示している。

　スロットＩＤが４であるフレームは、Ｃｙｃｌｅ　ｏｆｆｓｅｔが１、Ｃｙｃｌｅ　ｒｅｃｅｐｔｉｏｎが２、つまりサイクルカウンタが奇数のときのみ送信されることを意味し、フレームの送信元ブランチが１００ｂであり、ペイロードにはギア状態に関する情報が含まれることを示している。

　スロットＩＤが５であるフレームは、Ｃｙｃｌｅ　ｏｆｆｓｅｔが０、Ｃｙｃｌｅ　ｒｅｃｅｐｔｉｏｎが１、フレームの送信元ブランチが１００ｂであり、ペイロードにはブレーキ油圧に関する情報が含まれることを示している。

　スロットＩＤが６であるフレームは、Ｃｙｃｌｅ　ｏｆｆｓｅｔが２、Ｃｙｃｌｅ　ｒｅｃｅｐｔｉｏｎが４、フレームの送信元ブランチが１００ｄであり、ペイロードにはハンドル操舵指示に関する情報が含まれることを示している。

　図９は、監視ＥＣＵ４００ａが保持する正規ＩＤリスト保持部４０３に格納される正規ＩＤリスト（動的フレーム）の一例を示している。正規ＩＤリスト（動的フレーム）は、図８と同様の情報を保持している。

　図９の正規ＩＤリストにおいて、スロットＩＤが５１の動的フレームは４種類のフレームが存在する。１つめのフレームは、Ｃｙｃｌｅ　Ｏｆｆｓｅｔが１、Ｃｙｃｌｅ　Ｒｅｃｅｐｔｉｏｎが８であり、フレームの送信元ブランチがブランチ１００ａであり、ブランチ１００ａにおいてペイロード情報はＩＤが１のフレームにエラーが含まれていたことを通知するフレームである。２つめのフレームは、Ｃｙｃｌｅ　Ｏｆｆｓｅｔが２、Ｃｙｃｌｅ　Ｒｅｃｅｐｔｉｏｎが８であり、フレームの送信元ブランチがブランチ１００ｂであり、ブランチ１００ｂにおいてペイロード情報はＩＤが１のフレームにエラーが含まれていたことを通知するフレームである。３つめのフレームは、Ｃｙｃｌｅ　Ｏｆｆｓｅｔが３、Ｃｙｃｌｅ　Ｒｅｃｅｐｔｉｏｎが８であり、フレームの送信元ブランチがブランチ１００ｃであり、ブランチ１００ｃにおいてペイロード情報はＩＤが１のフレームにエラーが含まれていたことを通知するフレームである。４つめのフレームは、Ｃｙｃｌｅ　Ｏｆｆｓｅｔが４、Ｃｙｃｌｅ　Ｒｅｃｅｐｔｉｏｎが８であり、フレームの送信元ブランチがブランチ１００ｄであり、ブランチ１００ｄにおいてペイロード情報はＩＤが１のフレームにエラーが含まれていたことを通知するフレームである。

　このように、１つのスロットＩＤに対してＣｙｃｌｅ　Ｏｆｆｓｅｔを変えることで、送信元ブランチを変更できる。

　次に、正規ＩＤリストは、スロットＩＤが５３であるフレームのＣｙｃｌｅ　ｏｆｆｓｅｔは送信元ブランチに対応し、Ｃｙｃｌｅ　ｒｅｃｅｐｔｉｏｎは８であり、フレームの送信元ブランチは全てのブランチであり、ペイロード情報はＩＤが３であるフレームのエラー発生通知である。

　さらに、スロットＩＤが５６であるフレームのＣｙｃｌｅ　ｏｆｆｓｅｔは送信元ブランチに対応し、Ｃｙｃｌｅ　ｒｅｃｅｐｔｉｏｎは８であり、フレームの送信元ブランチは全てのブランチであり、ペイロード情報はＩＤが６であるフレームのエラー発生通知である。

　また、スロットＩＤが１００であるフレームのＣｙｃｌｅ　ｏｆｆｓｅｔは送信元ブランチに対応し、Ｃｙｃｌｅ　ｒｅｃｅｐｔｉｏｎは８であり、フレームの送信元ブランチは全てのブランチであり、ペイロード情報はエラー通知フレームに異常が発生したことの通知である。

　１．９　ブランチ状態の一例
　図１０は、ブランチ状態保持部４０４に格納されるブランチ状態の一例を示している。図１０においてブランチ状態は、監視ＥＣＵ４００ａが存在するブランチが１００ａであり、モードは通常であり、スロットＩＤが１であるフレームに関して、ブランチ１００ａにおいて、エラーとなったフレームの受信回数は０であり、エラー通知フレームの受信数は、ブランチ１００ｂからフレームを受信した数が０、ブランチ１００ｃからフレームを受信した数が０、ブランチ１００ｄからフレームを受信した数が０であることを示している。

　同様に、スロットＩＤが３であるフレームに関して、ブランチ１００ａでエラーとなったフレームの検知回数が１０、エラー通知フレームの受信数は、ブランチ１００ｂからフレームを受信した数が０、ブランチ１００ｃからフレームを受信した数が０、ブランチ１００ｄからフレームを受信した数が０であることを示している。

　１．１０　エラー通知フレームと、エラー通知異常フレームの例
　図１１Ａは、エラー通知フレームの一例を示す図であり、図１１Ｂは、エラー通知異常フレームの一例を示す図である。

　図１１Ａは、スロットＩＤが６であるフレームのエラーを通知するスロットＩＤ５６のエラー通知フレームを示している。図１１Ａにおいてエラー通知フレームは、Ｃｙｃｌｅが１７であり、ペイロードが０ｘ０１０１０１００として送信されている例である。ペイロードの第１バイトの０ｘ０１はエラー通知フレームの送信元ブランチを表しており、０ｘ０１は、ブランチ１００ａからフレームが送信されたことを示している。

　また、Ｃｙｃｌｅが１７であることからも、ブランチ１００ａからフレームが送信されたことがわかるようになっている。これは、不正なＥＣＵが、エラー通知フレームのペイロードを偽装して送信したとしても、スロットＩＤとサイクル情報のみで、特定のＩＤのフレームについてエラーが発生していることを正確に監視ＥＣＵが把握できるようにするためである。

　エラーの発生していない正常状態においては、スロットＩＤが５６であるフレームは送受信されないが、スロットＩＤが６のフレームにエラーが発生したときのみスロットＩＤが５６であるフレーム送信することで、スロットＩＤが５６であるフレームを受信した時点で、フレームのペイロード値に関わらず、スロットＩＤが６であるフレームにエラーが発生していることを監視ＥＣＵは把握できる。

　ペイロードの第２バイトはフレームの内容を表しており、０ｘ０１はエラー通知フレームであることを示している。第２バイトの値が２である場合は、他の監視ＥＣＵに対して、モードの変更を通知するフレームとなる。ペイロードの第３バイトはエラー情報であり、０ｘ０１は、ＳｙｎｔａｘＥｒｒｏｒが発生したことを示している。ペイロードの第４バイトは、モード切替時の情報を表しており、０ｘ００は通常モードであることを示している。

　図１１Ｂは、スロットＩＤが１００であるエラー通知異常フレームである。エラー通知異常フレームは、エラー通知フレームの送受信において、異常が発生した場合に送信される。例えば、エラー通知フレームがエラーになり送信できなかった場合や、エラー通知フレームを送信していないにも関わらず、自身が送信するはずのエラー通知フレームを受信する等である。

　エラー通知異常フレームは、エラー通知フレームと同様に通常時は送受信されず、監視ＥＣＵは、エラー通知フレームを受信した時点で、強制的に現時点で受信したエラー通知フレームに基づき、無効化モードへ移行する。図１１ＢにおいてスロットＩＤが１００で、Ｃｙｃｌｅは１であり、これはブランチ１００ａが送信元であることを意味しており、ペイロードは、０ｘ０１０１００３８であることを示している。ペイロードの第１バイトは送信元ブランチを表しており、０ｘ０１は、送信元ブランチがブランチ１００ａであり、ペイロードの第２バイトは異常コードを表しており、０ｘ０１は、エラー通知フレームの送信が送信できなかったことを表している。ペイロードの第３、第４バイトの２バイトは、エラー通知異常が発生したエラー通知フレームのスロットＩＤを表しており、０ｘ３８、十進数では５６、のエラー通知フレームで異常が発生したことを示している。

　１．１１　監視ＥＣＵ４００ａの動作
　図１２は、監視ＥＣＵ４００ａの動作を表したフローチャートである。

　監視ＥＣＵ４００ａは、フレームを受信し、受信したフレームについてエラーが発生している場合は、ＩＤ毎に対応するエラー回数を更新する（Ｓ１００１）。

　ＩＤ毎のエラー回数のうち、いずれかが所定数、例えば１０、を超えているか否かを確認する。（Ｓ１００２）。エラー回数が所定数を超えている場合は、監視ＥＣＵ４００ａはＳ１００３を実行し、全てのＩＤエラー回数が所定数を超えていない場合は、監視ＥＣＵ４００ａはＳ１０１０を実行する。

　エラー検知回数が所定数以上であった場合は、監視ＥＣＵ４００ａは、エラー通知フレームを送信する（Ｓ１００３）。

　その後、監視ＥＣＵ４００ａは、エラーを検知したフレームについて、自ブランチが送信元となっているフレームであるか否かを確認する（Ｓ１００４）。エラーを検知したＩＤのフレームの送信元が自ブランチである場合は、監視ＥＣＵ４００ａはＳ１００５を実行する。そうでない場合は、監視ＥＣＵ４００ａは処理を終了する。

　監視ＥＣＵ４００ａは、他のブランチにおけるエラー通知フレームの受信を１サイクル分待つ（Ｓ１００５）。

　その後、監視ＥＣＵ４００ａは全てのブランチにおいて、対応するＩＤのフレームでエラーが発生したことを通知するエラー通知フレームが送信されたか否かを確認する（Ｓ１００６）。

　全てのブランチにおいて、エラー通知フレームが送信された場合は、監視ＥＣＵ４００ａは、通信異常が発生していると判断し、故障モードへ移行して（Ｓ１００７）、処理を終了する。

　全てのブランチにおいて、エラー通知フレームが送信されていない場合は、監視ＥＣＵ４００ａは、他のブランチでは、不正なフレームが送信されていると判断し、無効化モード変更フレームを送信する（Ｓ１００８）。

　監視ＥＣＵ４００ａは、無効化モード変更フレームがエラー無く送信されたか否かを確認する（Ｓ１００９）。無効化モード変更フレームをエラー無く送信できた場合は、監視ＥＣＵ４００ａは処理を終了する。そうでない場合は、監視ＥＣＵ４００ａはＳ１０１２を実行する。

　監視ＥＣＵ４００ａは、無効化モード変更フレームを受信しているか否かを判断する（Ｓ１０１０）。無効化モード変更フレームを受信している場合は、監視ＥＣＵ４００ａは、受信した無効化モード変更フレームが、自身が送信するはずのフレームであるか否かを確認する（Ｓ１０１１）。

　自身が送信するはずの無効化モード変更フレームを受信した場合は、監視ＥＣＵ４００ａは、不正なフレームが送信されているとして、エラー通知異常フレームを送信する（Ｓ１０１２）。

　自身が送信するはずの無効化モード変更フレームを受信していない場合は、監視ＥＣＵ４００ａは、対象ＩＤと同じフレームの送信を開始することで、不正なフレームと衝突を起こさせ、フレームの無効化を行う（Ｓ１０１４）。

　Ｓ１０１０で、無効化モード変更フレームを受信していない場合は、監視ＥＣＵ４００ａは、エラー通知異常フレームを受信しているか否かを確認する（Ｓ１０１３）。エラー通知異常フレームを受信していない場合は、監視ＥＣＵ４００ａは、処理を終了する。

　エラー通知異常フレームを受信した場合は、監視ＥＣＵ４００ａは、無効化モードに移行し、ブランチ状態保持部に格納されている、各スロットＩＤのエラー通知フレーム受信数が０でない、ＩＤに関して、フレームの送信を開始する（Ｓ１０１４）。

　１．１２　全体シーケンス図
　図１３、図１４に、不正制御防止システムの全体シーケンス図を示す。図１３では、監視ＥＣＵが無効化モードに遷移するまでのシーケンスを示し、図１４で、監視ＥＣＵが無効化モードに遷移した後の動作シーケンスを示す。なお、監視ＥＣＵ４００ｂの動作シーケンスについては動作の説明を省略するが、監視ＥＣＵ４００ａ、４００ｂ、４００ｃと同様の動作を行う。

　図１３、図１４では、ＥＣＵ２００ｃが外部通信モジュール２３０経由で攻撃者に制御を奪われた場合の動作シーケンスを示す。攻撃者に制御を奪われたＥＣＵ２００ｃは、不正なハンドル操舵指示フレームを、ＥＣＵ２００ａに送信することで、不正なハンドル操舵を引き起こそうとする一例である。

　制御を奪われたＥＣＵ２００ｃは、ハンドル操舵指示フレーム（制御）の送信を行う（Ｓ１１０１）。

　ハンドル操舵指示フレームを送信する正規のＥＣＵ２００ｄは、ＥＣＵ２００ｃに少し送れてハンドル操舵指示フレーム（非制御）の送信を行う（Ｓ１１０２）。

　スターカプラ３００は、フレームの送信が先に開始された、不正なハンドル操舵指示フレームを他のブランチに転送する（Ｓ１１０３）。

　ＥＣＵ２００ｄが接続されるブランチ１００ｄでは、スターカプラ３００から転送されたフレームと、ＥＣＵ２００ｄが送信したフレームが衝突し、エラーが発生する（Ｓ１１０４）。

　ＥＣＵ２００ａが接続されるブランチ１００ａでは、不正なフレームが受信される（Ｓ１１０５）。

　その後ＥＣＵ２００ａは不正なフレームに基づいてハンドルの制御を行う（Ｓ１１０６）。そのため、不正な制御が引き起こされる。

　ブランチ１００ｄで発生したエラーに基づき、監視ＥＣＵ４００ｄは、エラー通知フレームの送信を行う（Ｓ１１０７）。

　スターカプラ３００は、エラー通知フレームを、他のブランチへ転送する（Ｓ１１０８）。

　監視ＥＣＵ４００ａおよび監視ＥＣＵ４００ｃはエラー通知フレームを受信し、内部のブランチ状態を更新する（Ｓ１１０９）。

　監視ＥＣＵ４００ｄは、他のブランチからエラー通知フレームが送信されてこないことから、他のブランチにおいては、不正なフレームが受信されていると判断し、無効化モード変更フレームを送信する（Ｓ１１１０）。

　スターカプラ３００は、無効化モード変更フレームを転送する（Ｓ１１１１）。

　監視ＥＣＵ４００ａおよび、監視ＥＣＵ４００ｃは、無効化モードに遷移し、ハンドル操舵指示フレームの送信を開始する（Ｓ１１１２）。

　ＥＣＵ２００ｃは、再度、不正なハンドル操舵指示フレームを送信する（Ｓ１１１３）。

　スターカプラ３００は、不正なハンドル操舵指示フレームの転送を開始する（Ｓ１１１４）。

　無効化モードに遷移している監視ＥＣＵ４００ａ、４００ｃ、４００ｄ、およびＥＣＵ２００ｄは、ハンドル操舵指示フレーム（非制御）の送信を行う（Ｓ１１１５）。

　このときブランチ１００ｃでは、既に送信を開始している不正なフレームと、監視ＥＣＵ４００ｃの送信するフレームが衝突を起こし、エラーが発生する（Ｓ１１１６）。

　スターカプラ３００は、フレームが衝突した信号を他のブランチへ転送する（Ｓ１１１７）。

　ブランチ１００ａと、ブランチ１００ｄにおいては、転送された信号と、各ブランチで送信されているハンドル操舵指示フレームが衝突を起こし、エラーが発生する（Ｓ１１１８）。

　ＥＣＵ２００ａはハンドル操舵指示フレームにエラーが発生しているため、当該フレームを無効なものとして扱う（Ｓ１１１９）。これにより、不正なハンドル制御は引き起こされない。

　１．１３　無効化モード変更フレーム偽装時のシーケンス図
　図１５は、無効化モード変更フレームもＥＣＵ２００ｃに偽装されてしまい、監視ＥＣＵが正常に無効化モードに遷移できない場合のシーケンス図である。図１３のＳ１１０９までは同様のシーケンスであるため、その説明を省略する。

　ＥＣＵ２００ｃは、他の監視ＥＣＵが無効化モードへ遷移しないように、偽装した無効化モード変更フレームを送信する（Ｓ１２１０）。

　監視ＥＣＵ４００ｄは、少し送れて、他の監視ＥＣＵが無効化モードへ遷移するように無効化モード変更フレームを送信する（Ｓ１２１１）。

　スターカプラ３００は、送信が先に開始された不正な無効化モード変更フレームを転送する（Ｓ１２１２）。

　ブランチ１００ｄでは、監視ＥＣＵ４００ｄの送信した無効化モード変更フレームと、転送された不正なフレームが衝突を起こし、エラーとなる（Ｓ１２１３）。

　監視ＥＣＵ４００ａと、監視ＥＣＵ４００ｃは、不正な無効化モード変更フレームを受信するが、無効化モードへの遷移は発生しない。この時に不正なフレームであったとしても、スロットＩＤは、エラーを検知した場合等にのみ送信されるフレームであるため、各監視ＥＣＵはブランチ状態を更新する（Ｓ１２１４）。

　無効化モード変更フレームが、エラーとして検知されたため、監視ＥＣＵ４００ｄは、エラー通知異常フレームの送信を行う（Ｓ１２１５）。

　スターカプラ３００が、エラー通知異常フレームの転送を行う（Ｓ１２１６）。

　エラー通知異常フレームの受信をした、監視ＥＣＵ４００ａ、４００ｃは、無効化モードへ遷移する（Ｓ１２１７）。

　エラー通知フレームおよび、エラー通知異常フレームを不正なＥＣＵに偽装された場合にも同様に、各監視ＥＣＵが無効化モードへ遷移することが可能である。

　２．　その他変形例
　なお、本開示を上記各実施の形態に基づいて説明してきたが、本開示は、上記各実施の形態に限定されないのはもちろんである。以下のような場合も本開示に含まれる。

　（１）上記の実施の形態では、スター型のネットワークトポロジにおける例を示しているがネットワークトポロジを限るものではない。例えば、バス型、スター型とバス型のハイブリッドなどのネットワークトポロジを取りうる。バス型においては、送信元となるＥＣＵの制御を奪取された場合に、当該ＥＣＵが送信するフレームを無効化するのに効果的である。

　（２）上記の実施の形態では、エラー検知部は監視ＥＣＵにのみ存在したが、各ＥＣＵ上に存在してもよい。これにより、フレームのエラーを各ＥＣＵが判断し、不正なフレームに基づく制御を抑制することができ効果的である。特に監視ＥＣＵを特別に設ける必要も無くなり省スペース、省電力、省コスト化につながり効果的である。

　さらにブランチごとに、各ＥＣＵが本来受信するフレームの範囲を監視することで、１つのＥＣＵで全てのフレームを関しする必要がなくなり、処理負荷の分散につながり効果的である。

　（３）上記の実施の形態では、不正なフレームの無効化方法として、不正なフレームと同一のスロットＩＤのフレームを送信することにより、フレームを衝突させ無効化させていたが、無効化手法はこれに限らない。

　例えば、受信ＥＣＵにおいて、フレーム受信時に当該ＩＤのフレームを無視する。正規の送信ＥＣＵにおいて、フレームの送信タイミングを早めることによって、スターカプラにフレームを転送してもらえるようにするなどの手段をとり得る。これにより、無効化するためのフレーム送信を行う必要が無く、不正なフレームの無効化を実現することが可能となる。

　（４）上記の実施の形態では、監視ＥＣＵが、フレームのエラー検知状態に基づいて、無効化モード変更フレームを送信していたが、フレームのエラー検知状態に限らず、無効化モード変更フレームを送信してもよい。

　例えば、フレームに含まれるメッセージ認証コードが不正である場合や、異常検知手法に基づいて、フレームが不正であると判断された場合に、当該ＩＤのフレームを無効化するための無効化モード変更フレームを送信してもよい。これにより、送信元ＥＣＵの制御を攻撃者が直接奪う等により、フレームのエラーが検知されずに不正なフレームが送信されていたとしても、不正なフレームを無効化することが可能となり、より安全性が高まる。

　（５）上記の実施の形態では、動的フレームに、エラー通知フレームと、無効化モード変更フレーム、エラー通知異常フレームを割り当てていたが、静的フレームに割り当ててもよい。ただし、動的フレームに割り当てることによって、不正なＥＣＵが、エラー通知フレームを偽装して送信したとしても、偽装したフレームが送信された時点で、エラーが発生していることが、他の監視ＥＣＵに把握されるため、不正なＥＣＵが、エラー通知フレームを無効化することが困難になり、安全性が高まる。

　（６）上記の実施の形態では、監視ＥＣＵの存在するブランチに応じて、エラー通知フレームと、無効化モード変更フレームと、エラー通知異常フレームの送信するサイクルが決定されていたが、ブランチに応じて送信するサイクルを決定しなくてもよい。

　例えば、ブランチごとに異なるＩＤに、上記のフレームを割り当ててもよい。ただし、ブランチに応じて送信するサイクルを決定することで、有限なＩＤの空間を効率的に利用することが可能となる。

　（７）上記の実施の形態では、無効化モード変更フレームを起点に、監視ＥＣＵは無効化モードへ遷移したが、無効化モード変更フレームを起点にせずに無効化モードへ遷移してもよい。例えば、エラー通知フレームを受信した段階で、監視ＥＣＵが、エラー通知フレームに対応するＩＤにおいて、エラーを検知せずに受信していた場合には、不整合が生じているとして、無効化モードに遷移してもよい。また、エラー通知フレームの受信数に応じて無効化モードに遷移してもよい。

　これにより、無効化モード変更フレームを送信せずに、無効化モードへ遷移可能となり、より早く不正なフレームを無効化したい場合に効果的である。

　さらにエラー通知フレームの受信数によって、通信故障と不正なフレーム送信を判断することで、異常状況に応じた適切な対応が可能となる。

　（８）上記の実施の形態では、監視ＥＣＵはブランチ状態として、エラー検知回数をカウントしていたが、エラーの検知回数は、所定の時間内で計測してもよい。例えば６４サイクルごとに値をリセットするなどしてもよい。これにより、過去のエラー検知の影響を除外することが可能となり、効果的である。

　（９）上記の実施の形態では、フレームを無効化するために、同一のスロットＩＤを持つフレームを送信していたが、この時のフレームはヌルフレームでも何でもよい。

　（１０）上記の実施の形態では、エラー通知フレームの受信により、監視ＥＣＵはブランチ状態を更新していたが、エラー通知フレームがエラーとして検知された場合にも監視ＥＣＵはブランチ状態を更新してもよい。

　これにより、不正なＥＣＵがエラー通知フレームを無効化するために、フレームの衝突を引き起こしたとしても、ペイロードの内容によらずエラーを検出可能であり、安全性向上に効果的である。

　（１１）上記の実施の形態では、無効化モード変更フレームを、全ブランチの監視ＥＣＵに対して送信していたが、例えばペイロードに宛先監視ＥＣＵを含めるなどして、一部の監視ＥＣＵを無効化モードに遷移させてもよい。これにより、各ブランチにおいて、無効化モードを切り替えたときの、エラー通知フレームの個数から不正なＥＣＵの存在するブランチを特定することができ効果的である。

　例えば、ブランチ１００ｃに不正なＥＣＵが存在し、不正なフレームを送信している場合、ブランチ１００ｃの監視ＥＣＵ４００ｃのみを無効化モードに遷移させた場合に、ブランチ１００ｃでフレームの衝突が発生するため、全てのブランチにおいてもエラーが検知されるため、４つのエラー通知フレームの受信が期待される。一方で、同様の状況において、ブランチ１００ｂの監視ＥＣＵ４００ｂのみを無効化モードに遷移させた場合には、ブランチ１００ｂと、正規のＥＣＵが存在するブランチの高々２ブランチにおいてフレームの衝突が発生するため、最大で２つのエラー通知フレームの受信が期待される。そのため、エラー通知フレームが最大となったときに、無効化モードとなっている監視ＥＣＵが存在するブランチが、不正なＥＣＵが存在するブランチであることと判断できる。

　（１２）上記の実施の形態では、ブランチ状態は、平文で保存していたが、暗号化されて保持していてもよい。

　（１３）上記の実施の形態では、エラー通知フレーム、無効化モード変更フレーム、エラー通知異常フレームは、平文のまま通信されていたが、暗号化されて通信されてもよい。あるいはメッセージ認証コードを付加して通信を行ってもよい。これにより、安全にエラー通知フレームの通信や、モードの切り替えを実現することが可能となり、安全性の向上が期待できる。

　（１４）上記の実施の形態では、無効化モードへの遷移は、走行中や停止中などの車両の状態や、制御フレームや、状態フレームといったフレームの属性に応じて、無効化モードへ移行するかを決定してもよい。これにより、不正な制御につながるフレームの無効化を、必要に応じて実行することができ、省電力につながる。

　（１５）上記の実施の形態では、車載ネットワークとしてＦｌｅｘＲａｙプロトコルを用いていたが、これに限るものではない。例えば、ＣＡＮ、ＣＡＮ－ＦＤ（ＣＡＮ　ｗｉｔｈ　Ｆｒｅｘｉｂｌｅ　Ｄａｔａ　Ｒａｔｅ）、Ｅｔｈｅｒｎｅｔ、ＬＩＮ（Ｌｏｃａｌ　Ｉｎｔｅｒｃｏｎｎｅｃｔ　Ｎｅｔｗｏｒｋ）、ＭＯＳＴ（Ｍｅｄｉａ　Ｏｒｉｅｎｔｅｄ　Ｓｙｓｔｅｍｓ　Ｔｒａｎｓｐｏｒｔ）などを用いてもよい。あるいはこれらのネットワークをサブネットワークとして、組み合わせたネットワークであってもよい。特にタイムトリガー方式を採用しているネットワークに対して有効である。

　（１６）上記の実施の形態における各装置は、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭ、ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。ＲＡＭまたはハードディスクユニットには、コンピュータプログラムが記録されている。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、各装置は、その機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。

　（１７）上記の実施の形態における各装置は、構成する構成要素の一部または全部は、１個のシステムＬＳＩ（Ｌａｒｇｅ　Ｓｃａｌｅ　Ｉｎｔｅｇｒａｔｉｏｎ：大規模集積回路）から構成されているとしてもよい。システムＬＳＩは、複数の構成部を１個のチップ上に集積して製造された超多機能ＬＳＩであり、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭなどを含んで構成されるコンピュータシステムである。ＲＡＭには、コンピュータプログラムが記録されている。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、システムＬＳＩは、その機能を達成する。

　また、上記の各装置を構成する構成要素の各部は、個別に１チップ化されていても良いし、一部又はすべてを含むように１チップ化されてもよい。

　また、ここでは、システムＬＳＩとしたが、集積度の違いにより、ＩＣ、ＬＳＩ、スーパーＬＳＩ、ウルトラＬＳＩと呼称されることもある。また、集積回路化の手法はＬＳＩに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。ＬＳＩ製造後に、プログラムすることが可能なＦＰＧＡ（Ｆｉｅｌｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）や、ＬＳＩ内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサーを利用しても良い。

　さらには、半導体技術の進歩又は派生する別技術によりＬＳＩに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてありえる。

　（１８）上記の各装置を構成する構成要素の一部または全部は、各装置に脱着可能なＩＣカードまたは単体のモジュールから構成されているとしてもよい。ＩＣカードまたはモジュールは、マイクロプロセッサ、ＲＯＭ、ＲＡＭなどから構成されるコンピュータシステムである。ＩＣカードまたはモジュールは、上記の超多機能ＬＳＩを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、ＩＣカードまたはモジュールは、その機能を達成する。このＩＣカードまたはこのモジュールは、耐タンパ性を有するとしてもよい。

　（１９）本開示は、上記に示す方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、コンピュータプログラムからなるデジタル信号であるとしてもよい。

　また、本開示は、コンピュータプログラムまたはデジタル信号をコンピュータで読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、ＣＤ－ＲＯＭ、ＭＯ、ＤＶＤ、ＤＶＤ－ＲＯＭ、ＤＶＤ－ＲＡＭ、ＢＤ（Ｂｌｕ－ｒａｙ（登録商標）　Ｄｉｓｃ）、半導体メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されているデジタル信号であるとしてもよい。

　また、本開示は、コンピュータプログラムまたはデジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。

　また、本開示は、マイクロプロセッサとメモリを備えたコンピュータシステムであって、メモリは、上記コンピュータプログラムを記録しており、マイクロプロセッサは、コンピュータプログラムにしたがって動作するとしてもよい。

　また、プログラムまたはデジタル信号を記録媒体に記録して移送することにより、またはプログラムまたはデジタル信号を、ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。

　（２０）上記実施の形態及び上記変形例をそれぞれ組み合わせるとしてもよい。

　本開示は、車載ネットワークに流れるフレームを観測し、不正なフレームを検出し無効化を行う、安全な車載ネットワークシステムを提供する。これにより車載ネットワークシステム全体として、安全な状態を維持することができる。

１０　車載ネットワークシステム
１００ａ、１００ｂ、１００ｃ、１００ｄ　ブランチ
２００ａ、２００ｂ、２００ｃ、２００ｄ　ＥＣＵ
２０１　フレーム送受信部
２０２　フレーム解釈部
２０３　外部機器制御部
２０４　フレーム生成部
２０５　通信用設定パラメータ保持部
２１０　ハンドル
２２０　ギア
２３０　外部通信モジュール
２４０　カメラ
３００　スターカプラ
３０１ａ、３０１ｂ、３０１ｃ、３０１ｄ　トランシーバ部
３０２　ルーティング部
４００ａ、４００ｂ、４００ｃ、４００ｄ　監視ＥＣＵ
４０２　エラー検知部
４０３　正規ＩＤリスト保持部
４０４　ブランチ状態保持部

Claims

　タイムスロットに基づくタイムトリガー型の通信方式である車載ネットワークにおける不正制御防止システムであって、前記車載ネットワークには、１以上の電子制御装置が接続され、前記１以上の電子制御装置は所定のタイムスロット内でフレームを送受信し、
　前記不正制御防止システムは、１以上のエラー監視装置と、１以上のフレーム無効化装置と、を備え、
　前記１以上のエラー監視装置はそれぞれ、第１のエラー検知部と、エラー通知部と、を備え、
　前記第１のエラー検知部は、前記車載ネットワークに接続され、前記車載ネットワークに流れるフレームを受信し、受信したフレームにエラーが発生したことを検知し、
　前記エラー通知部は、前記第１のエラー検知部がエラーの発生を検知した場合に、エラーの発生したフレームの種類を識別可能な情報を含むエラー通知フレームを送信し、
　前記１以上のフレーム無効化装置はそれぞれ、第２のエラー検知部と、無効化部と、を備え、
　前記無効化部は、前記エラー通知フレームを所定数以上、受信し、かつ、前記第２のエラー検知部において、前記エラー通知フレームに含まれるエラーの発生したフレームに関してエラーが検知されていない場合に、前記フレームを無効化対象フレームとして、以降の無効化対象フレームの受信を無効化する第１の無効化モードへ遷移する、
　不正制御防止システム。
　前記１以上のフレーム無効化装置はそれぞれ、さらに、フレーム送受信部を備えており、
　前記フレーム送受信部は、前記車載ネットワークの所定のタイムスロット内でフレームを送受信し、
　前記第１の無効化モードである場合には、前記無効化対象フレームのフレームを受信しない、前記無効化対象フレームと同一のタイムスロットにおいて、同一の識別子のフレームの送信を行う、のいずれかの方法により以降の無効化対象フレームの受信を無効化する、
　請求項１記載の不正制御防止システム。
　前記１以上のエラー監視装置はそれぞれ、さらに、エラー通知フレーム監視部を備え、
　前記エラー通知フレーム監視部は、自身の送信した第１の前記エラー通知フレームにエラーが発生しているかを監視し、
　前記エラー通知部は、さらに、前記エラー通知フレーム監視部において、エラーが検知された場合に、エラー通知異常フレームを送信し、
　前記１以上のフレーム無効化装置のそれぞれは、さらに、フレームの種別ごとにエラーの検知回数および、エラー通知フレームの受信回数の少なくとも１つを保持する、エラー状態保持部を備え、
　前記無効化部は、さらに前記エラー通知異常フレームを受信した場合に、前記エラー状態保持部に格納される、エラーの検知回数、エラー通知フレームの受信回数のいずれかが、所定数以上であるフレームを無効化対象フレームとし、第１の無効化モードへ遷移する、
　請求項２記載の不正制御防止システム。
　前記タイムトリガー型の通信方式はＦｌｅｘＲａｙプロトコルであって、
　前記エラーは、ＦｌｅｘＲａｙプロトコルに定められる、ＳｙｎｃＥｒｒｏｒ、ＣｏｎｔｅｎｔＥｒｒｏｒ、ＢｏｕｎｄａｒｙＶｉｏｌａｔｉｏｎ、ＴｘＣｏｎｆｌｉｃｔのいずれかである、
　請求項３記載の不正制御防止システム。
　前記車載ネットワークは、複数のブランチを備え、スターカプラを介し、フレームの送受信を行うスター型トポロジであって、
　前記エラー通知フレームは、ＦｌｅｘＲａｙプロトコルにおける動的フレームであって、
　前記エラー通知部は、前記エラー監視装置が接続されるブランチに応じて、前記エラー通知フレームを、送信するサイクル数を決定する、
　請求項４記載の不正制御防止システム。
　前記１以上のエラー監視装置はそれぞれ、さらに、無効化モード切替部と、不正ブランチ特定部とを備え、
　前記無効化モード切替部は、前記１以上のフレーム無効化装置のそれぞれに対して、無効化モードの有効化フラグと、送信先となる前記１以上のフレーム無効化装置を識別する値または、前記１以上のフレーム無効化装置が接続されるブランチを識別する値のいずれかを含む、無効化切り替えフレームを、第１のブランチを無効化対象ブランチとするために、第１のブランチ内で少なくとも１つのフレーム無効化装置が第１の無効化モードへ遷移し、第１のブランチ以外のブランチに接続されるフレーム無効化装置は、前記第１の無効化モードに遷移しないように、送信し、所定の期間経過後に、第２のブランチを無効化対象ブランチとするために無効化切り替えフレームを送信することを、全てのブランチに対して行い、
　前記不正ブランチ特定部は、前記無効化対象ブランチと、前記無効化対象ブランチとなっている期間に受信したエラー通知フレームの個数を保持しておき、前記エラー通知フレームの個数が最大となったときの前記無効化対象ブランチを不正ブランチとして判断し、
　前記無効化部は、さらに、前記無効化切り替えフレームに含まれる、無効化モードの有効化フラグと、前記フレーム無効化装置の識別子と前記無効化部を備える前記１以上のフレーム無効化装置の識別子が一致した場合、またはブランチの識別子と、前記フレーム無効化装置が接続されるブランチが一致した場合に、無効化モードの有効化フラグに従い、第１の無効化モードへ遷移する、
　請求項５記載の不正制御防止システム。
　前記１以上のフレーム無効化装置はそれぞれ、さらに、フレーム送信部を備えており、
　前記フレーム送信部は、前記車載ネットワークの所定のタイムスロット内で第１のフレームを送信し、
　前記１以上のフレーム無効化装置はそれぞれ、さらに、前記第２のエラー検知部において、第１のフレームにおいて、エラーを検知し、かつ、前記エラー通知フレームの受信が所定数以下である場合に、第１のフレームを前記無効化対象フレームとした第２の無効化モードに遷移し、
　前記フレーム送信部は、前記第２の無効化モードの状態のときは、前記第１のフレームの送信開始タイミングを早める、
　請求項１記載の不正制御防止システム。
　タイムスロットに基づくタイムトリガー型の通信方式である車載ネットワークにおける不正制御防止方法であって、前記車載ネットワークには、１以上の電子制御装置が接続され、前記１以上の電子制御装置のそれぞれは、所定のタイムスロット内でフレームを送受信し、
　前記不正制御防止方法は、１以上のエラー監視ステップと、１以上のフレーム無効化ステップと、を備え、
　前記１以上のエラー監視ステップはそれぞれ、第１のエラー検知ステップと、エラー通知ステップと、備え、
　前記第１のエラー検知ステップは、前記車載ネットワークに接続され、前記車載ネットワークに流れるフレームを受信し、受信したフレームにエラーが発生したことを検知し、
　前記エラー通知ステップは、前記第１のエラー検知ステップがエラーの発生を検知した場合に、エラーの発生したフレームの種類を識別可能な情報を含むエラー通知フレームを送信し、
　前記１以上のフレーム無効化ステップのそれぞれは、第２のエラー検知ステップと、無効化ステップと、を備え、
　前記無効化ステップは、前記エラー通知フレームを受信し、かつ、前記第２のエラー検知ステップにおいて、前記エラー通知フレームに含まれるエラーの発生したフレームに関するエラーが発生していることが検知されていない場合に、以降の前記フレームの受信を無効化する無効化モードへ遷移する、
　不正制御防止方法。