器保持部110通知。此外,在接收到没有记载在正规ID列表中的消息ID的情况下,向帧生成部140通知以使其发送错误帧。此外,在非法的检测次数达到一定次数以上的情况下,从非法检测计数器保持部110接受通知,向帧生成部140通知,以使其发送表示存在发行相应的消息ID的非法的ECU的错误显示消息(帧)。错误显示消息的消息ID被预先决定,头单元200接收该消息ID的消息(帧)而进行错误显示。关于该错误显示消息,为了方便而省略了说明,但错误显示消息的消息ID登载在网关300及头单元200保持的接收ID列表及后述的正规ID列表中。但是,在图15、图16中省略了关于错误显示消息的消息ID。
[0155]正规ID列表保持部120保持正规ID列表,该正规ID列表是预先规定了在车载网络系统10中在总线500a上发送的帧中包含的消息ID的列表(参照图15、图16)。
[0156]非法检测计数器保持部110保持着用来按每个消息ID将检测次数进行计数的非法检测计数器,如果被从非法帧检测部130通知消息ID,则将相应的非法检测计数器递增(增加)。在非法检测计数器达到了一定数量(规定次数)以上的情况下,向非法帧检测部130通知超过了一定数量。这里所述一定数量(规定次数)的一例是与CAN协议中的发送错误计数器的处理规则对应地设定的值。在CAN协议中,每当ECU通过错误帧阻止发送,则发送错误计数器计数增加8。并且规定:如果作为其结果而发送节点中的发送错误计数器计数增加到128,则发送节点转移为被动状态而不再进行帧发送。因而,如果将比128/8( = 16)大的17设定为该一定数量,则在推测为存在忽视了 CAN协议中的有关发送错误计数器的规则的发送节点(非法的ECU)的情况下,从非法检测ECUlOOa发送错误显示消息。另外,在发送非法的帧的非法的ECU是遵循CAN协议中的有关发送错误计数器的规则的ECU的情况下,通过由非法检测ECUlOOa发送错误帧,非法的ECU的发送错误计数器被递增8。在此情况下,如果通过重复非法的帧的发送而非法的ECU的发送错误计数器上升到128,则非法的ECU转移为被动状态,由非法的ECU进行的非法的帧的发送停止。
[0157]帧生成部140按照由帧解释部150通知的、指示错误帧的发送的通知,构成错误帧,将错误帧向帧收发部160通知而使其发送。此外,帧生成部140按照由非法帧检测部130通知的、指示错误帧的发送的通知,构成错误帧,将错误帧向帧收发部160通知而使其发送。进而,帧生成部140按照由非法帧检测部130通知的、指示错误显示消息的发送的通知,将错误显示消息向帧收发部160通知而使其发送。
[0158][1.15非法检测ECUlOOa的正规ID列表例]
[0159]图15是表示在非法检测ECUlOOa的正规ID列表保持部120中保持的正规ID列表的一例的图。该图所例示的正规ID列表表示包含ID(消息ID)的值是“I”、“2”及“3”中的某一个的消息ID的帧能够流到总线500a中。
[0160][1.16非法检测ECUlOOb的正规ID列表例]
[0161]图16是表示在非法检测ECUlOOb的正规ID列表保持部120中保持的正规ID列表的一例的图。该图所例示的正规ID列表表示包含ID(消息ID)的值是“I”、“2”、“3”及“4”的某个的消息ID的帧能够流到总线500b中。
[0162][1.17非法检测计数器保存列表例]
[0163]图17是表示每个消息ID的非法检测计数器的状态的一例的图。该图的例子表示只有消息ID是“4”的非法检测计数器检测到一次非法,在其他的消息ID中一次也没有检测到。即,该例表示非法检测ECUlOOa检测到总线500a中本来不应流过的消息ID“4”的消息(帧)被发送了一次、将与相应的消息ID“4”对应的非法检测计数器递增I的情况。
[0164][1.18有关非法帧的检测的次序]
[0165]以下,关于在具备上述结构的车载网络系统10的总线500a上连接着非法的ECU的情况,对连接于总线500a的非法检测ECU100a、ECU400a、ECU400b、网关300等的动作进行说明。
[0166]图18是表示非法检测ECUlOOa检测到非法的帧(消息)、阻止由其他的ECU进行与该非法的帧对应的处理的动作例的次序图。在该图中,表示非法的ECU向总线500a发送消息ID为“4”、数据字段(数据)为“255(0xFF)”的数据帧的情况的例子。这里的各次序是指各种装置中的各处理顺序(步骤)。
[0167]首先,非法的ECU开始消息ID为“4”、数据为“255(0xFF)”的数据帧的发送(次序SlOODo将构成帧的各位的值按照上述数据帧格式,以SOF、ID字段(消息ID)的顺序依次向总线500a上送出。
[0168]当非法的ECU将直到ID字段(消息ID)都向总线500a送出完时,非法检测ECUlOOa、ECU400a、ECU400b及网关300分别接收消息ID(次序S1002)。
[0169]ECU400a、ECU400b及网关300分别使用所保持的接收ID列表检查消息ID(次序S1003)。此时,非法检测ECUlOOa使用所保持的正规ID列表检查消息ID(次序S1004)。即,非法检测ECUlOOa判定被发送的帧中的ID字段的内容是否与表示非法的规定条件(没有登载在正规ID列表中)相符。
[0170]在次序S1003中,EClMOOa及EClMOOb由于在分别保持的接收ID列表中不包含“4”(参照图9),所以结束接收。即,这以后不进行非法的ECU继续发送的帧的解释,不进行与帧对应的处理。此外,在次序S1003中,网关300由于在保持的接收ID列表中包含“4”(参照图5),所以继续接收。此外,在次序S1004中,非法检测ECUlOOa由于在所保持的正规ID列表中不包含“4”,所以判断是非法的消息ID,接着开始错误帧的发行准备(次序S1005)。
[0171]接着次序S1003,网关300继续帧的接收。例如,在非法检测ECUlOOa进行错误帧的发行准备的期间中,从非法的ECU向总线500a上依次送出作为比ID字段靠后的部分的RTR、控制字段(IDE、r、DLC),接着将数据字段每次I位地依次送出。网关300接收该RTR、控制字段(IDE、r、DLC),接着开始数据字段的接收(次序S1006)。
[0172]接着,错误帧的发行准备结束,非法检测ECUlOOa发送错误帧(次序S1007)。该错误帧的发送在非法的帧的最末尾被发送之前(例如CRC序列的最末尾被发送之前等)进行。在该动作例中,在数据字段的中途进行。通过开始该错误帧的发送,在总线500a中,从非法的ECU发送中的帧的数据字段的中途部分被错误帧(优先的显性的位序列)覆盖。
[0173]接收到在次序S1007中发送的错误帧的网关300在数据字段的接收中途将非法的E⑶发送的帧的接收中止(次序S1008)。即,网关300由于来自非法的ECU的数据字段被错误帧覆盖而检测到错误帧,所以不继续接收非法的ECU发送的帧。
[0174]非法检测ECUlOOa将与作为发送错误帧的对象的数据帧的消息ID“4”对应的非法检测计数器递增(次序S1009)。
[0175]在作为递增的结果而与消息ID“4”对应的非法检测计数器为17以上的情况下,非法检测ECUlOOa发送通知错误显示的帧(错误显示消息)以使头单元200接收(次序S1010)。结果,由头单元200的帧处理部220进行用于错误显示的处理,经由LCD等报告错误。另外,错误的报告除了向LCD等的显示以外,也可以通过声音输出、发光等来进行。
[0176][1.19实施方式I的效果]
[0177]在实施方式I中表示的非法检测ECU关于发送来的帧(数据帧)是否是非法的帧,使用正规ID列表对帧的ID字段进行判定。由此,能够通过数据帧中的ID字段判定非法,所以能够阻止在已有的节点(即非法检测ECU及非法的ECU以外的ECU)中将非法的帧解释而执行与该帧对应的处理。此外,由于仅通过接收与数据帧的开头的SOF接着的ID字段就能够判定,所以与接收数据帧的后部等进行判定的情况相比,能够抑制总线的通信量。
[0178]此外,非法检测ECU使用非法检测计数器将发送了错误帧的次数进行计数,从而能够检测到通过错误帧的接收而发送非法的消息ID的节点的发送错误计数器达到了若按照CAN协议则应转移为被动状态的上限值的情况。由此,能够判定发送非法的消息ID的节点是否依据CAN协议的错误计数器的规格。
[0179]此外,通过使进行非法的帧的判定的节点仅为非法检测ECU,能够将对已有的网络结构的影响抑制在最小限度,作为系统整体能够抑制处理量、电力消耗量。
[0180]另外,也可以是上述车载网络系统10的I或多个非法检测ECU能够切换是否进行检测。并且,也可以仅限于车辆的状态是例如从使用开始起经过了一定期间等的一定的情况,非法检测ECU不进行非法的消息的检测。由此,能够抑制电力消耗量,能够抑制作为车载网络系统10的电力供给源的车载电池的消耗。
[0181](实施方式2)
[0182]以下,作为本发明的实施方式,对包括非法检测ECU的车载网络系统11进行说明,该非法检测ECU基于按每个消息ID而容许的数据范围,实现用来阻止在其他节点(ECU)中执行基于非法的帧的处理的非法应对方法。
[0183][2.1车载网络系统11的整体结构]
[0184]图19是表示有关实施方式2的车载网络系统11的整体结构的图。车载网络系统11是将在实施方式I中表示的车载网络系统1的一部分变形而得到的。车载网络系统11构成为包括总线500a、500b、和非法检测ECU2100a、2100b、头单元200、网关300及连接于各种设备的E⑶400a?400d等E⑶这样的连接于总线的各节点。关于车载网络系统11的构成要素中的具有与实施方式I同样的功能的构成要素,赋予相同的标号而省略说明。
[0185]非法检测ECU2100a、2100b分别连接于总线500a、总线500b,是具有判定由EClMOOa?400d等发送的帧是否是非法的、如果是非法则发送错误帧的功能的ECU。
[0186][2.2非法检测ECU2100a的结构]
[0187]图20是非法检测ECU2100a的结构图。非法检测ECU2100a构成为包括帧收发部160、帧解释部2150、非法帧检测部2130、数据范围列表保持部2120、非法检测计数器保持部110和帧生成部140。这些各构成要素是功能性的构成要素,其各功能由非法检测ECU2100a中的通信电路、执行保存在存储器中的控制程序的处理器或数字电路等实现。非法检测ECU2100a是将在实施方式I中表示的非法检测ECUlOOa的一部分变形而得到的,关于具有与实施方式I同样的功能的构成要素,赋予相同的标号而省略说明。另外,非法检测ECU2100b也具备与非法检测E⑶2100a同样的结构。
[0188]帧解释部2150是将在实施方式I中表示的帧解释部150变形而得到的,从帧收发部160接受帧的值,进行解释以映射到由CAN协议规定的帧格式的各字段。在判断为帧是数据帧的情况下,将判断为数据字段的值(数据)与ID字段的ID(消息ID)—起向非法帧检测部2130转送。此外,帧解释部2150在判断为不符合CAN协议的帧的情况下,向帧生成部140通知以发送错误帧。此外,帧解释部2150在接收到错误帧的情况下,即在根据接受到的帧中的值解释为错误帧的情况下,在其以后将该帧丢弃,即中止帧的解释。
[0189]非法帧检测部2130是将在实施方式I中表示的非法帧检测部130变形而得到的,接受由帧解释部2150通知的消息ID和数据字段的值(数据),判定这些值是否与表示非法的规定条件相符。即,非法帧检测部2130作为判定接收到的帧中的规定字段的内容是否与表示非法的规定条件相符的所谓判定部发挥功能。该表示非法的规定条件,是数据没有进入在数据范围列表保持部2120保持的数据范围列表中与消息ID建立对应地记载的数据范围中的条件。非法帧检测部2130按照保持在数据范围列表保持部2120中的决定了各消息ID的数据范围的列表即数据范围列表,进行是否是非法的判定。非法帧检测部2130在接收到由数据范围列表表示的范围以外的数据的情况下,为了将非法的检测次数递增,将接收到的消息ID向非法检测计数器保持部110通知。关于在该非法的检测次数达到了一定次数以上的情况下用来发送错误显示消息以由头单元200接收的控制,如在实施方式I中说明的那样,所以省略这里的说明。此外,在接收到由数据范围列表表示的范围以外的数据的情况下,向帧生成部140通知以使其发送错误帧。
[0190]数据范围列表保持部2120保持数据范围列表,该数据范围列表是关于在车载网络系统11中在总线上被发送的数据帧中包含的数据(数据字段的值)预先规定了容许的范围的列表(参照图21)。
[0191][2.3数据范围列表例]
[0192]图21是表示在非法检测ECU2100a的数据范围列表保持部2120中保持的数据范围列表的一例的图。该数据范围列表是将各ID(消息ID)、作为该消息ID的数据帧中的数据字段的值(数据)而被容许的数据范围建立了对应的列表。在图21的例子中,关于消息ID是“I”的数据帧,设为数据范围“O?180”为正常,关于消息ID是“2”或“4”的数据帧,设为数据范围“O?100”为正常,关于消息ID是“3”的数据帧,设为数据范围“0、I”为正常。
[0193][2.4有关非法帧的检测的次序]
[0194]以下,关于非法的ECU连接到具备上述结构的车载网络系统11的总线500a的情况,说明连接于总线500a的非法检测ECU2100a、ECU400a、ECU400b,网关300等的动作。
[0195]图22及图23是表示非法检测ECU2100a检测到非法的帧(消息)、阻止由其他ECU进行与该非法的帧对应的处理的动作例的次序图。在图22及图23中,与在实施方式I中表示的图18的情况同样,表示非法的E⑶向总线500a发送消息ID为“4”、数据字段(数据)为“255(OxFF)”的数据帧的情况的例子。对于与在实施方式I中表示的次序相同的次序赋予相同的标号,这里将说明简略化。
[0196]首先,非法的ECU开始非法的数据帧的发送(次序S1001)。非法检测ECU2100a、ECU400a、ECU400b及网关300分别接收消息ID(次序SKK^hEClMOOa'EClMOOb及网关300分别使用所保持的接收ID列表检查消息ID(次序SlOOShEClMOOa及EClMOOb由于在分别所保持的接收ID列表中不包含“4”(参照图9),所以结束接收。网关300由于在所保持的接收ID列表中包含“4”(参照图5),所以继续接收,进行数据字段的接收(次序S1006a)。同样,非法检测ECU2100a也进行数据字段的接收(次序S1006a)。
[0197]接着次序S1006a,非法检测ECU2100a使用数据范围列表(参照图21)检查数据字段的数据(次序S2001)。即,非法检测ECU2100a判定发送来的帧中的ID字段的内容是否与表示非法的规定条件(没有进入到数据范围列表中所记载的数据的范围中)相符。非法检测ECU2100a由于在数据范围列表中没有记载与ID“4”对应的“255(0xFF)”的值,所以判断为是非法的数据帧,接着开始错误帧的发行准备(次序S1005)。
[0198]在非法检测ECU2100a进行错误帧的发行准备的期间中,从非法的ECU将作为比数据字段靠后的部分的CRC字段(CRC序列及CRC定界符)每次I位地依次送出至总线500a上。网关300开始该CRC字段的接收(次序S2002)。
[0199]接着,错误帧的发行准备结束,非法检测ECU2100a发送错误帧(次序S1007)。通过开始该错误帧的发送,在总线500a中,从非法的ECU发送中的帧的CRC序列的中途部分被错误帧(优先的显性的位序列)覆盖。
[0200]接收到在次序S1007中发送的错误帧的网关300在包含CRC序列的CRC字段的接收中途,将非法的E⑶发送的数据帧的接收中止(次序S2003)。即,网关300由于来自非法的E⑶的CRC序列被错误帧覆盖、检测到错误帧,所以不继续接收非法的ECU发送的数据帧。
[0201]非法检测ECU2100a将与作为发送错误帧的对象的数据帧的ID“4”对应的非法检测计数器递增(次序S1009)。在作为递增的结果而与ID“4”对应的非法检测计数器为17以上的情况下,非法检测E⑶2100a发送错误显示消息(次序S1010)。
[0202][2.5实施方式2的效果]
[0203]在实施方式2中表示的非法检测ECU关于发送来的帧是否是非法的帧,使用数据范围列表对帧(数据帧)的ID字段及数据字段进行判定。由此,能够通过数据帧中的ID字段与数据字段的组合来判定非法,所以能够阻止在已有的ECU(即非法检测ECU及非法的ECU以外的ECU)中将非法的帧解释而执行与该帧对应的处理。此外,由于仅通过接收到数据帧的数据字段就能够判定,所以与接收数据帧的后部而进行判定的情况相比能够抑制总线的通信量。
[0204]此外,非法检测ECU使用非法检测计数器将发送了错误帧的次数进行计数,从而能够检测到通过错误帧的接收而发送非法的消息ID的节点的发送错误计数器达到了若按照CAN协议则应转移为被动状态的上限值的情况。由此,能够判定发送非法的消息ID的节点是否依据CAN协议的错误计数器的规格。
[0205]此外,通过使进行非法的帧的判定的节点仅为非法检测ECU,能够将对已有的网络结构的影响抑制在最小限度,作为系统整体能够抑制处理量、电力消耗量。
[0206]另外,也可以是上述车载网络系统11的I个或多个非法检测ECU能够切换是否进行检测。并且,也可以仅限于车辆的状态是例如从使用开始起经过了一定期间等的一定的情况,非法检测ECU不进行非法的消息的检测。由此,能够抑制电力消耗量。
[0207](实施方式3)
[0208]以下,作为本发明的实施方式,对包括非法检测ECU的车载网络系统12进行说明,该非法检测ECU使用根据消息ID、数据及计数器值计算的消息认证代码(MAC:MeSSageAuthenticat1n Code),实现于用来阻止在其他节点(E⑶)中执行基于非法的帧的处理的非法应对方法。
[0209][3.1车载网络系统12的整体结构]
[0210]图24是表示有关实施方式3的车载网络系统12的整体结构的图。车载网络系统12是将在实施方式I中表示的车载网络系统10的一部分变形而得到的。车载网络系统12构成为包括总线500a、500b、和非法检测ECU3100a、3100b、头单元200、网关300及连接于各种设备的E⑶3400a?3400d等ECU这样的连接于总线的各节点。对于车载网络系统12的构成要素中的具有与实施方式I同样的功能的构成要素,赋予相同的标号而省略说明。
[0211]非法检测ECU3100a、3 10b分别连接于总线500a、总线500b,是具有判定由E⑶3400a?3400d等发送的帧是否是非法的、如果是非法则发送错误帧的功能的E⑶。
[0212]ECU3400a?3400d与某个总线连接,此外,分别连接于发动机401、制动器402、门开闭传感器403、窗开闭传感器404<^0]3400&?3400d分别取得所连接的设备(发动机401等)的状态,定期地将表示状态的数据帧向网络(即总线)发送。对于被发送的数据帧的数据字段,赋予根据消息ID、数据值和每当发送时递增的计数器值通过计算导出的消息认证代码(MAC)。
[0213][3.2ECU3400a 的结构]
[0214]图25是ECU3400a的结构图<^0]3400&构成为包括帧收发部460、帧解释部450、接收ID判断部430、接收ID列表保持部440、帧处理部410、帧生成部3420、数据取得部470、MAC生成部3410、MAC密钥保持部3430和计数器保持部3440。这些各构成要素是功能性的构成要素,其各功能由ECU3400a中的通信电路、执行保存在存储器中的控制程序的处理器或数字电路等实现。ECU3400a是将在实施方式I中表示的EClMOOa的一部分变形而得到的,对于具有与实施方式I同样的功能的构成要素赋予相同的标号而省略说明。
[0215]帧生成部3420是将在实施方式I中表示的帧生成部420的一部分变形而得到的。帧生成部3420按照从帧解释部450通知的指示错误帧的发送的通知,构成错误帧,将错误帧向帧收发部460通知而使其发送。此外,帧生成部3420将由数据取得部470通知的数据的值和预先决定的消息ID向MAC生成部3410通知,