不正常应对方法以及电子控制单元的制作方法
【专利摘要】本公开提供在车辆被不正常地控制的可能性高的情况下为了抑制其影响而适当地进行应对的不正常应对方法。在搭载于一车辆的一个或者多个电子控制单元中使用的不正常应对方法中,接收在搭载于其他车辆的车载网络中检测到不正常帧时从搭载于该其他车辆的装置发送的作为不正常检测通知的车车间通信消息,根据接收到的内容(例如等级判定的步骤S304),从例如为了向安全状态转变而预先确定的多个不正常应对处理中选择要执行的不正常应对处理,并执行该选择出的不正常应对处理(例如步骤S305~S311)。
【专利说明】
不正常应对方法以及电子控制单元
技术领域
[0001]本公开涉及当检测到在电子控制单元进行通信的车载网络中发送的不正常(irregularity,不正当)的帧的情况下进行应对的技术。
【背景技术】
[0002]近年来,在汽车中的系统内,配置有许多被称为电子控制单元(E⑶:ElectronicControl Unit)的装置。连接这些ECU的网络被称为车载网络。车载网络存在多种标准。作为其中最主流的车载网络之一,存在由ISOl 1898-1规定的CAN(ControlIer Area Network:控制器局域网络)这一标准。
[0003]在CAN中,通信路径由两条总线构成,与总线连接的E⑶被称为节点。与总线连接的各节点收发被称为帧的消息。发送帧的发送节点通过在两条总线上施加电压,并在总线间产生电位差,从而发送被称为隐性(recessive)的“I”的值和被称为显性(dominant)的“O”的值。多个发送节点在完全相同的定时发送了隐性和显性的情况下,优先发送显性。接收节点在接收到的帧的格式(format)存在异常的情况下,发送被称为错误帧(error frame)的帧。错误帧是通过连续地发送6比特(bit)的显性来向发送节点和/或其他接收节点通知帧的异常的帧。
[0004]另外,在CAN中不存在指示发送目的地和/或发送源的标识符,发送节点对每一帧附加被称为消息ID的ID而进行发送(也就是向总线送出信号),各接收节点仅接收预先确定的消息ID(也就是从总线读取信号)。另外,采用CSMA/CA(Carrier Sense MultipleAccess/Collis1n Avoidance:载波侦听多路访问/冲突避免)方式,在多个节点同时发送时基于消息ID进行仲裁(调停),优先发送消息ID的值小的帧。
[0005]但是,存在不正常的E⑶将不正常的消息发送到总线上,对搭载车载网络的车辆进行不正常控制的风险,一旦一辆车被不正常控制,则有可能牵连周围的车辆而发生碰撞等事故。
[0006]另外,近年来,如被称为互联汽车(connectedcar)那样,汽车能经由网络与各种各样的设备等进行信息的交换。例如,若在车辆之间利用交换信息的车车间(vehicle-to-vehicle:V2V)通信,则能够将事故防患于未然,实现更加安全的交通系统。作为利用了车车间通信系统的技术,已知一种识别位于本车附近的移动物体是否为危险要素,并通知给其他车的系统(参照专利文献I)。
[0007]现有技术文献
[0008]专利文献
[0009]专利文献I:日本特开2007-310457号公报
【发明内容】
[0010]在专利文献I的技术中,虽然对车辆附近的移动物体是否为危险要素进行识别,但是关于在车辆内部的异常,并不通知给后方车辆。然而,当在车辆内部,车辆被不正常控制的情况下,可能会发生碰撞等事故。
[0011]因此,本公开提供在车辆被不正常地控制的可能性高的情况下为了抑制其影响而适当地进行应对的不正常应对方法。另外,本公开提供在车辆被不正常地控制的可能性高的情况下为了抑制其影响而适当地进行应对的电子控制单元(ECU)。
[0012]为了解决上述技术问题,本公开的一技术方案涉及不正常应对方法,其在搭载于一车辆的一个或者多个电子控制单元中使用,包括:接收在搭载于其他车辆的车载网络中检测到不正常帧时从搭载于该其他车辆的装置发送的不正常检测通知;根据接收到的所述不正常检测通知的内容,从预先确定的多个不正常应对处理中选择要执行的不正常应对处理,并执行该选择出的不正常应对处理。
[0013]另外,为了解决上述技术问题,本公开的一技术方案涉及不正常应对方法,其通过在第一车辆以及第二车辆之间进行通信来应对不正常的事态,包括:当在搭载于所述第一车辆的车载网络中检测到不正常帧时,搭载于该第一车辆的装置发送不正常检测通知;搭载于所述第二车辆的一个或者多个电子控制单元接收所述不正常检测通知,根据接收到的该不正常检测通知的内容,从预先确定的多个不正常应对处理中选择要执行的不正常应对处理,并执行该选择出的不正常应对处理。
[0014]另外,为了解决上述技术问题,本公开的一技术方案涉及不正常应对方法,其在与搭载于一车辆的车载网络连接的电子控制单元中使用,包括:在搭载于所述一车辆的车载网络中检测到不正常帧的情况下向其他车辆发送不正常检测通知。
[0015]另外,为了解决上述技术问题,本公开的一技术方案涉及电子控制单元,具备:接收部,其接收在与搭载有本单元的车辆不同的另外的车辆所搭载的车载网络中检测到不正常帧时从搭载于该另外的车辆的装置发送的不正常检测通知;以及不正常应对部,其根据由所述接收部接收到的所述不正常检测通知的内容,从预先确定的多个不正常应对处理中选择要执行的不正常应对处理,并执行该选择出的不正常应对处理。
[0016]另外,为了解决上述技术问题,本公开的一技术方案涉及电子控制单元,其连接于车载网络,具备:不正常检测部,其检测在所述车载网络中发送的不正常帧;以及发送部,其在由所述不正常检测部检测到不正常帧的情况下,向与搭载本单元的车辆不同的另外的车辆发送不正常检测通知。
[0017]根据本公开,在一车辆的车载网络中检测到不正常的帧的情况下,向其他车辆通知这一意思,因此,即使在一车辆被不正常控制了的情况下,也能够抑制对一车辆的周边的其他车辆的影响。
【附图说明】
[0018]图1是表示实施方式I涉及的车车间通信系统的整体结构的图。
[0019]图2是表示实施方式I涉及的车辆的结构的图。
[0020]图3是表示由CAN协议规定的数据帧的格式的图。
[0021 ]图4是实施方式I涉及的不正常检测ECU的结构图。
[0022]图5是表示实施方式I涉及的不正常检测ECU所保持的白名单(whitelist)的一例的图。
[0023]图6是表示实施方式I涉及的不正常帧的检测所涉及的工作例的时序图。
[0024]图7是表示实施方式I涉及的等级(level)信息的图。
[0025]图8是表示实施方式I涉及的车车间通信消息的结构的一例的图。
[0026]图9是表示实施方式I涉及的不正常检测时的车辆的各部分的工作的时序图。
[0027]图10是表示实施方式I涉及的应对信息的一例的图。
[0028]图11是表示实施方式I涉及的接收到车车间通信消息的车辆的各部分的工作的时序图。
[0029]图12是表示实施方式2涉及的多个车辆连续地对后续车通知车车间通信消息的例子的图。
[0030]图13是表示实施方式2涉及的车车间通信消息的结构的一例的图。
[0031]图14是表示实施方式2涉及的车辆在接收并转送车车间通信消息时的各部分的工作的时序图(后接图15)。
[0032]图15是表示实施方式2涉及的车辆在接收并转送车车间通信消息时的各部分的工作的时序图(前接图14)。
[0033]图16是表示实施方式3涉及的车车间通信消息的结构的一例的图。
[0034]图17是表示实施方式3涉及的等级变更条件的一例的图。
[0035]图18是表示实施方式3涉及的多个车辆连续地对后续车通知车车间通信消息的例子的图。
[0036]图19是表示实施方式3涉及的车辆在接收并转送车车间通信消息时的各部分的工作的时序图(后接图20)。
[0037]图20是表示实施方式3涉及的车辆在接收并转送车车间通信消息时的各部分的工作的时序图(前接图19)。
[0038]图21是表示实施方式4涉及的路车间(road-to-vehicle)通信系统的整体结构的图。
[0039]图22是表示实施方式5涉及的多个车辆连续地对后续车通知车车间通信消息的例子的图。
[0040]图23是表示实施方式5涉及的车车间通信消息的结构的一例的图。
【具体实施方式】
[0041]本公开的一技术方案涉及不正常应对方法,其在搭载于一车辆的一个或者多个电子控制单元中使用,包括:接收在搭载于其他车辆的车载网络中检测到不正常帧时从搭载于该其他车辆的装置发送的不正常检测通知;根据接收到的所述不正常检测通知的内容,从预先确定的多个不正常应对处理中选择要执行的不正常应对处理,并执行该选择出的不正常应对处理。由此,在一车辆中,在其他车辆的车载网络中检测到不正常的帧的情况下,能够接收到这一意思的通知,并能够通过不正常应对处理来降低例如其他车辆被不正常控制的情况下的影响。
[0042]另外,也可以为,所述不正常检测通知包含表示多个等级中的一个等级的等级信息,根据接收到的所述不正常检测通知中包含的所述等级信息所表示的等级,进行不正常应对处理的所述选择。由此,通过与不正常应对处理相对应地在其他车辆中设定等级信息,能够在其他车辆中产生被不正常控制的可能性的情况下使一车辆进行适当的应对。
[0043]另外,也可以为,对于不正常应对处理的所述选择,通过参照使所述多个等级分别与不正常应对处理相关联而得到的应对信息来进行,是对根据所述应对信息而与接收到的所述不正常检测通知中包含的所述等级信息所表示的等级对应的不正常应对处理的选择。由此,只要适当地设定等级以及不正常应对处理的内容以作为应对信息,就能够在其他车辆中产生被不正常控制的可能性的情况下使一车辆进行适当的应对。
[0044]另外,也可以为,所述应对信息中与所述多个等级中任意一个以上的等级相关联的各不正常应对处理包含下述控制中的至少一个控制:使所述一车辆的行驶停止的控制、使该车辆慢行的控制、使该车辆与前方车辆的车间距离保持在一定范围内而行驶的控制、以及向该车辆的驾驶员进行报告的控制。由此,能够在其他车辆中产生被不正常控制的可能性的情况下使一车辆向安全状态转变,能够抑制例如牵连多个车辆的事故的发生。
[0045]另外,也可以为,还包括:基于接收到的所述不正常检测通知的内容来判定是否满足预定条件,在满足该预定条件的情况下向所述一车辆的外部发送该不正常检测通知,在不满足该预定条件的情况下不发送该不正常检测通知。由此,能够在一定条件下转送不正常检测通知,例如即使在各个车辆的车车间通信中使用较小的发送输出,也能够在某种广度的范围(正在该范围内行驶的车辆)内传递不正常检测通知。被传递了不正常检测通知的车辆例如能够进行向安全状态转变等应对。另外,由于是附带条件地进行转送,因此能够以预先确定条件的方式加以利用以使得避免不必要地大范围进行转送。
[0046]另外,也可以为,所述不正常检测通知包含表示转送的条件的条件信息,以在接收到的所述不正常检测通知中包含的所述条件信息所表示的转送的条件被满足的情况下判定为满足所述预定条件的方式进行所述判定,以在该条件信息所表示的转送的条件未被满足的情况下判定为未满足所述预定条件的方式进行所述判定。由此,例如发送不正常检测通知的车辆能够确定关于该不正常检测通知的转送条件。
[0047]另外,也可以为,所述不正常检测通知包含位置信息,所述位置信息表示关于搭载有检测到所述不正常帧并发送了该不正常检测通知的所述装置的所述其他车辆所测定的位置,所述预定条件为如下条件:关于所述一车辆测定出的位置与接收到的所述不正常检测通知中包含的所述位置信息所表示的位置之间的距离在一定范围内。另外,也可以为,所述不正常检测通知包含表示次数的次数信息,所述预定条件为如下条件:到接收来自检测到所述不正常帧并发送了所述不正常检测通知的所述装置的该不正常检测通知为止,被转送的次数比预定次数少,基于接收到的所述不正常检测通知中包含的所述次数信息,进行涉及是否满足所述预定条件的所述判定,在接收到的所述不正常检测通知的所述发送时,更新该不正常检测通知中包含的所述次数信息后进行该发送。另外,也可以为,所述不正常检测通知包含表示时刻的时刻信息,所述预定条件为如下条件:从接收到的所述不正常检测通知中包含的所述时刻信息所表示的时刻起的经过时间比预定时间短。根据这些,能够使不正常检测通知从检测到不正常的车辆被传递至限定的某程度的范围内,能够防止由充分远离的车辆进行不正常应对处理而带来的弊端(例如作为不正常应对处理而进行停止、慢行等所引起的交通拥堵的发生等)。即,能够并不使所有的车辆都进行为了处于安全状态的不正常应对处理,而是仅使从检测到不正常的车辆到位于一定范围的车辆例如向安全状态转变,能够抑制对交通系统的影响(交通拥堵的发生等)。
[0048]另外,也可以为,在接收到的所述不正常检测通知的所述发送时,基于预定等级变更规则更新该不正常检测通知中包含的所述等级信息后进行该发送。由此,能够使在检测到不正常的车辆周边的多个各车辆中进行的不正常应对处理不同。因此,例如,能够使等级随着与检测到不正常的车辆的距离加大而降低等,与此相对应地,能够使得等级变得越低,不正常应对处理的程度例如从停止到慢行、从慢行到保持一定车间距离行驶等、对交通系统的不良影响越小。
[0049]另外,本公开的一技术方案涉及不正常应对方法,其通过在第一车辆以及第二车辆之间进行通信来应对不正常的事态,包括:当在搭载于所述第一车辆的车载网络中检测到不正常帧时,搭载于该第一车辆的装置发送不正常检测通知;搭载于所述第二车辆的一个或者多个电子控制单元接收所述不正常检测通知,根据接收到的该不正常检测通知的内容,从预先确定的多个不正常应对处理中选择要执行的不正常应对处理,并执行该选择出的不正常应对处理。由此,能够在第一车辆中检测到车载网络中的不正常帧的情况下,在第二车辆中通过适当的不正常应对处理进行应对。
[0050]另外,也可以为,搭载于所述第一车辆的所述装置在所述不正常帧被检测到时,使表示区分帧ID而预先确定的多个等级中的、基于该不正常帧的帧ID所选定的一个等级的等级信息包含于所述不正常检测通知并进行所述发送,搭载于所述第二车辆的一个或者多个所述电子控制单元根据接收到的所述不正常检测通知中包含的所述等级信息所表示的等级,进行不正常应对处理的所述选择。由此,等级信息能够按对功能进行了分类的功能类别而设定。因此,能够在车载网络中将帧ID按功能类别进行区分,执行与由不正常帧产生的影响(因区分而不同的影响)的程度相对应的不正常应对处理。功能类别例如是驱动系统功能、底盘(chassis)系统功能、车体系统功能、安全舒适功能、ITS(Intelligent TransportSy stems,智能交通系统)功能、远程信息服务(te I emati cs )系统功能、信息娱乐(infotainment)系统功能等。
[0051]另外,本公开的一技术方案涉及不正常应对方法,其在与搭载于一车辆的车载网络连接的电子控制单元中使用,包括:在搭载于所述一车辆的车载网络中检测到不正常帧的情况下向其他车辆发送不正常检测通知。由此,对于在一车辆中被不正常控制的可能性有所提高这一情况(也就是检测到不正常帧),能够在其他车辆中获知。
[0052]另外,本公开的一技术方案涉及电子控制单元(ECU),具备:接收部,其接收在与搭载有本单元的车辆不同的另外的车辆所搭载的车载网络中检测到不正常帧时从搭载于该另外的车辆的装置发送的不正常检测通知;以及不正常应对部,其根据由所述接收部接收到的所述不正常检测通知的内容,从预先确定的多个不正常应对处理中选择要执行的不正常应对处理,并执行该选择出的不正常应对处理。在搭载有该ECU的车辆中,能够应对在另外的车辆中检测到不正常帧这一情况。
[0053]另外,本公开的一技术方案涉及电子控制单元(ECU),其连接于车载网络,具备:不正常检测部,其检测在所述车载网络中发送的不正常帧;以及发送部,其在由所述不正常检测部检测到不正常帧的情况下,向与搭载本单元的车辆不同的另外的车辆发送不正常检测通知。由此,能够在检测到不正常帧的情况下对其他车辆传递这一意思,因此在其他车辆中能够进行应对。
[0054]此外,这些总括性或具体的技术方案既可以通过系统、方法、集成电路、计算机程序或计算机能够读取的CD-ROM等记录介质而实现,也可以通过系统、方法、集成电路、计算机程序或记录介质的任意组合而实现。
[0055]以下,参照附图,对使用实施方式涉及的不正常应对方法的车车间通信系统进行说明。在此所示的实施方式均表示本公开的一具体例。因此,在以下实施方式中示出的数值、构成要素、构成要素的配置及连接方式、步骤(工序)及步骤的顺序等仅为一例而并非限定本公开的技术方案。关于以下的实施方式中的构成要素中的未记载在独立权利要求中的构成要素,是能够任意附加的构成要素。另外,各附图仅为示意图,不一定是严格图示。
[0056](实施方式I)
[0057]以下,作为本公开的实施方式,使用附图,说明当在搭载于车辆的多个ECU经由总线进行通信的车载网络系统中检测到被送出至总线上的不正常的帧(不正常的CAN消息)的情况下,以车车间通信方式从该车辆向后方车辆进行通知的车车间通信系统。在该后方车辆中,根据以车车间通信方式接收到的内容,实施用于使该车辆处于安全状态的不正常应对处理。
[0058][1.1车车间通信系统的整体结构]
[0059]图1是表示车车间通信系统的整体结构的图。车车间通信系统构成为包括车辆10(车辆A)、车辆20(车辆B)以及认证中心50。
[0060]在此,设车车间通信系统利用公钥基础设施(PK1:Public Key Infrastructure)。各车辆保有在车车间通信中使用的私钥以及公钥证书。公钥证书作为证明与私钥成对的公钥的所有者的证书,包含由作为可信赖的第三方机构的认证中心(CA: Certificat1nAuthority)50给予的电子签名。在图1中,示出了一个认证中心50,但认证中心也可以具有层次关系而存在多个。CA证书1300包含认证中心50的公钥。
[0061 ] 车辆10(车辆A)保持有车辆A私钥1301、车辆A公钥证书1302、CA证书1300以及证书失效列表(CRL:Certificate Revocat1n List) 1303o
[0062]车辆20(车辆B)保持有车辆B私钥2301、车辆B公钥证书B2302、CA证书1300以及CRLl303 ο
[0063]车辆A公钥证书1302以及车辆B公钥证书B2302分别通过认证中心50的私钥(未图示)而添加有电子签名,由认证中心50发布。关于向各车辆记录公钥证书、私钥等(例如,向车辆所具备的ECU写入),可以在车辆的制造阶段、出厂阶段、搭载于车辆的ECU的制造阶段等任一阶段进行。
[0064]CRLl 303由认证中心50发放,将应该无效的公钥证书的识别信息进行列表化。
[0065]通过从车辆A向车辆B进行车车间通信,所发送的车车间通信消息300通过车辆A私钥1301而被签名。
[0066]例如,在行驶着的车辆10(车辆A)的后方,行驶有车辆20(车辆B)。在此,为便于说明,以车辆10使用对后方具有指向性的发送天线(未图示)执行无线通信为前提进行说明,但也可以通过其他通信方法进行车车间通信以使得与车辆10至少隔开通常的车间距离的后方车辆能够接收信息。此外,车车间通信中利用的频带因国家而异,作为一例,在日本利用700MHz域,在美国、欧洲利用5.9GHz域。然而,本实施方式中所示的车车间通信在技术上可以不必限于在这些频带上的无线通信而实施。
[0067]车辆10(车辆A)在向车辆20(车辆B)发送车车间消息的情况下,发送车车间通信消息300以及车辆A公钥证书1302。车辆20利用CA证书1300的公钥,对接收到的车辆A公钥证书1302进行签名验证,接着,利用车辆A公钥证书中包含的车辆A的公钥,进行车车间通信消息300的签名验证。此外,车辆10(车辆A)在检测到不正常的CAN消息的情况下,发送作为不正常检测通知的车车间通信消息300。不正常检测通知是用于在车辆间进行对做出了不正常检测这一意思的传递的通知,作为不正常检测通知的车车间通信消息300是包含与不正常检测有关的信息的车车间通信消息。
[0068][1.2车辆的结构]
[0069 ]图2是表示车辆1 (车辆A)以及车辆20 (车辆B)的结构的图。
[0070] 车辆10构成为包括CAN总线100、ECU101、102、103、不正常检测ECU110、等级解释部120、车车间通信消息认证部130、车车间通信消息收发部140、车辆安全状态指示部150、车外状况判断部160、车载摄像头170、激光雷达180以及位置信息取得部190。
[0071 ] CAN总线100是车载网络中的通信路径,是多个ECU遵循CAN协议进行帧(CAN消息)的授受而使用的总线(信号线)。在图2中为了方便而示出了一条总线,但也可以包含多条总线,例如具有网关功能的ECU能够在多条总线间进行CAN消息的转送。
[0072]E⑶101?103与CAN总线100连接。另外,E⑶101?103也可以分别与传感器、致动器等各种设备(未图示)连接,例如,能够取得所连接的设备的状态并在CAN总线100上发送表示该状态的数据帧,或者能够按照个别保持的接收ID列表(列举有接收对象的CAN消息ID的列表)来接收附加有特定的CAN消息ID的数据帧,从而按照其内容对所连接的设备进行控制。ECU例如是处理器(微处理器)、存储器等包括数字电路、模拟电路、通信电路等的装置。存储器是R0M、RAM等,能够存储由处理器执行的控制程序(计算机程序)。例如通过处理器按照控制程序(计算机程序)进行工作,由此ECU实现各种功能。此外,计算机程序是为了实现预定的功能而组合多个表示对处理器的指令的命令代码而构成的。在图2中,为了方便,仅图示出了ECUlOl、102、103这三个ECU,但在车辆10内可含有若干个ECU,且经由CAN总线100相互进行通信。这些ECU可分类于多个功能类别(后述)中的某一方。
[0073]不正常检测E⑶110是一种E⑶,监视在CAN总线100上传输的帧(CAN消息)有无不正常,在检测到不正常的情况下,将表示不正常检测内容的不正常信息通知给等级解释部120。在CAN总线100上,例如存在连接有不正常的ECU而发送不正常的CAN消息的可能性,不正常检测ECUllO基于预定的白名单(后述)中所示的规则,通过判定出现在总线上的CAN消息是否为不符合规则的不正常的CAN消息这一检查,由此,检测不正常。
[0074]等级解释部120参照表示不正常检测内容的不正常信息,确定等级信息并通知给车车间通信消息认证部130,所述等级信息为,用于在发送车车间通信消息以作为不正常检测通知的情况下包含于车车间通信消息内的表示安全等级的信息。安全等级按照被检测为不正常的CAN消息的功能类别来区别设定(详细情况将在后面使用图7进行说明)。另外,等级解释部120基于预定的应对信息(安全状态列表),将与从其他车(其他车辆)接收到的车车间通信消息中包含的等级信息所表示的安全等级相应的用于向安全状态转变的指示(不正常应对处理的执行指示)通知给车辆安全状态指示部150。不正常应对处理是车辆安全状态指示部150进行的用于向安全状态转变的控制。不正常应对处理包括用于使车辆的行驶停止的控制的不正常应对处理、用于使车辆慢行的控制的不正常应对处理、用于使车辆与前方车辆的车间距离保持在一定范围内而行驶的控制的不正常应对处理、用于向车辆的驾驶员报告的控制的不正常应对处理等。
[0075]车车间通信消息认证部130在车车间通信消息300的发送时,形成车车间通信消息300,使其包含从等级解释部120取得的等级信息、从位置信息取得部190取得的车辆的位置信息等,并利用车辆的私钥生成签名而使其包含于车车间通信消息300。另外,车车间通信消息认证部130进行关于从其他车辆接收到的车车间通信消息的签名验证,将车车间通信消息中包含的等级信息通知给等级解释部120。
[0076]车车间通信消息收发部140向其他车辆发送车车间通信消息,另外,从其他车辆接收车车间通信消息。
[0077]车辆安全状态指示部150接受与从其他车辆接收到的车车间通信消息内的等级信息所表示的安全等级相应的、等级解释部120的指示(不正常应对处理的执行指示),执行不正常应对处理,由此,对车辆内的各部分(各ECU等)给予用于使车辆的行驶停止的指示、用于使车辆慢行的指示、使车辆与前方车辆的车间距离保持在一定范围内而行驶的指示、以及向车辆的驾驶员进行报告的指示。该指示使用由车外状况判断部160通知的信息来进行,另外,例如通过用CAN总线100发送预先为控制而规定的CAN消息等来进行。
[0078]车外状况判断部160对从车载摄像头170、激光雷达180等搭载于车辆的各种传感器取得的信息进行解析,判断本车辆的附近的状况,并且,将为了能够使车辆适当地向安全状态转变的信息通知给车辆安全状态指示部150。例如,通过用车载摄像头检测白线,用激光雷达检测周围的物体,来通知用于适当地实现靠路边停止车辆的行驶、或慢行、或与前方的车辆隔开一定间隔行驶等的信息。
[0079]位置信息取得部190例如由GPS(Global Posit1ning System)接收器来实现,取得车辆的玮度、经度、高度等位置信息并通知给车车间通信消息认证部130。
[0080]此外,通过由电子电路构成的一个或者多个装置(E⑶),可实现等级解释部120、车车间通信消息认证部130、车车间通信消息收发部140、车辆安全状态指示部150以及车外状况判断部160。在图2中,将车辆安全状态指示部150以及车外状况判断部160连接于CAN总线100,但也可以不将实现车辆安全状态指示部150以及车外状况判断部160的一个或者多个装置直接连接于CAN总线100,而使该装置经由连接于CAN总线100的E⑶,对CAN总线100给予指示,接收来自CAN总线100的信息。
[0081 ] 车辆20也具备与车辆10同样的结构,构成为包括041总线200』0]201、202、203、不正常检测ECU210、等级解释部220、车车间通信消息认证部230、车车间通信消息收发部240、车辆安全状态指示部250、车外状况判断部260、车载摄像头270、激光雷达280以及位置信息取得部290。此外,在图2中同样的构成要素间,标号不同但赋予了相同名称。
[0082][1.3数据帧格式]
[0083]以下,对作为在遵循CAN协议的网络中使用的帧(CAN消息)之一的数据帧进行说明。
[0084]图3是表示由CAN协议规定的数据帧的格式的图。在该图中,示出了由CAN协议规定的标准ID格式的数据帧。数据帧由SOF(Start Of Frame:帧起始)、ID域、RTR(RemoteTransmiss1n Request:远程传输请求)、IDE(Identif ier Extens1n:标识符扩展)、预留位“r”、DLC(Data Length Code:数据长度码)、数据域、CRC(Cyclic Redundancy Check:循环冗余校验)序列、CRC定界符“DEL”、ACK(Acknowledgement:应答)间隙、ACK定界符“DEL”以及E0F(End Of Frame:帧结束)的各个域构成。
[0085]SOF由I比特的显性构成。总线空闲的状态成为隐性,通过由SOF变更为显性来通知帧的发送开始。
[0086]ID域是由11比特构成的、保存表示数据的种类的值即ID(消息ID)的域。在多个节点同时开始发送的情况下,为了通过该ID域进行通信仲裁,设计成使ID小的值的帧具有高优先级。
[0087]RTR是用于识别数据帧和远程帧的值,在数据帧中由I比特的显性构成。
[0088]IDE和“r”双方都由I比特的显性构成。
[0089]DLC由4比特构成,是表示数据域的长度的值。此外,将IDE、“r”以及DLC统称为控制域。
[0090]数据域是最大由64比特构成的表示要发送的数据的内容的值。能够按每8比特来调整长度。关于所发送的数据的规格,并不在CAN协议中规定,而是在车载网络系统1中设定。因此,成为取决于车型、制造者(制造商)等的规格。
[0091]CRC序列由15比特构成。可根据S0F、ID域、控制域以及数据域的发送值来计算。
[0092]CRC定界符是由I比特的隐性构成的、表示CRC序列的结束的分隔符号。此外,将CRC序列和CRC定界符统称为CRC域。
[0093]ACK间隙由I比特构成。发送节点将ACK间隙设为隐性并进行发送。如果到CRC序列为止都正常地完成了接收,则接收节点将ACK间隙设为显性并发送。由于显性比隐性优先,因此,只要在发送后ACK间隙为显性,发送节点就能够确认某一接收节点成功地进行了接收。
[0094]ACK定界符是由I比特的隐性构成的、表示ACK结束的分隔符号。
[0095]EOF由7比特的隐性构成,表示数据帧的结束。
[0096][1.4不正常检测E⑶110的结构]
[0097]图4是不正常检测ECUllO的结构图。不正常检测ECUllO构成为包括帧收发部116、帧解释部115、不正常帧检测部113、白名单保持部112、帧生成部114以及不正常信息通知部
111。这些各构成要素为功能性构成要素,其各功能通过不正常检测ECUllO中的通信电路、执行保存于存储器的控制程序的处理器或者数字电路等来实现。
[0098]帧收发部116向CAN总线100发送、从CAN总线100接收遵循CAN协议的帧(CAN消息)。即,帧收发部116从CAN总线100逐比特地接收帧,并转送至帧解释部115。另外,将由帧生成部114收到了通知的帧的内容发送至CAN总线100。
[0099]帧解释部115从帧收发部116接收帧的值,并进行解释(解析)以使得映射到由CAN协议规定的帧格式的各域。将判断为是ID域的值向不正常帧检测部113进行转送。另外,帧解释部115在判断为是未遵循CAN协议的帧的情况下,以发送错误帧的方式通知给帧生成部114。另外,帧解释部115在接收到错误帧的情况下,也就是根据所接收到的帧中的值而解释为成为错误帧的情况下,自此之后将该帧废弃,也就是中止帧的解释。
[0100]帧生成部114按照从帧解释部115通知的指示错误帧的发送的通知,构成错误帧,将错误帧通知给帧收发部116并使其发送该错误帧。另外,帧生成部114按照从不正常帧检测部113通知的指示错误帧的发送的通知,构成错误帧,将错误帧通知给帧收发部116并使其发送该错误帧。
[0101]白名单保持部112保持对在CAN总线100上发送的正规的帧中包含的CAN消息ID进行了规定的白名单(参照图5)。在白名单中,对于各个CAN消息ID,也包含在CAN消息是否不正常的判定中使用的条件。
[0102]不正常帧检测部113具有下述功能:基于由白名单保持部112所保持的白名单确定的规则,判定从CAN总线100取得的帧是否不正常。具体而言,不正常帧检测部113接收从帧解释部115通知的ID域的值(CAN消息ID),并在该CAN消息ID并未记载于白名单的情况下或者不满足在白名单中与该CAN消息ID相对应设定的条件的情况下,判定为不正常并以发送错误帧的方式通知给帧生成部114。此外,在该情况下,在CAN总线100上,被判定为不正常的CAN消息的比特值将会被错误帧覆写,所述错误帧由连续多个优先于隐性的显性而构成。不正常帧检测部113将作为判定为不正常的CAN消息(不正常帧)的内容的不正常检测内容通知给不正常信息通知部111。
[0103]不正常信息通知部111将表示不正常检测内容的不正常信息通知给等级解释部120。
[0104][I.5 白名单]
[0105]图5是表示不正常检测ECUllO内的白名单保持部112所保持的白名单的一例的图。白名单1120是使各个ID(CAN消息ID)1121与数据长度1122、数据范围1123以及周期1124相关联而得到的数据。
[0106]CAN消息IDl 120表示被确定为可以作为车辆的规格而送出至车载网络中的CAN总线100上的正规的CAN消息ID。
[0107]数据长度1122为DLC(参照图3),表示关于所对应的CAN消息ID的CAN消息在规格上所确定的正规的数据长度。
[0108]数据范围1123表示关于所对应的CAN消息ID的CAN消息在规格上所确定的作为正规的数据域的内容而可期待的数据范围。
[0109]周期1124表示在所对应的CAN消息ID的CAN消息为被周期性地发送的周期性消息的情况下在规格上所确定的正规的周期。
[0110]在图5的例子中,示出了如下情况:对于与速度有关的ID为“0x100”的CAN消息,在其满足数据长度为8字节、数据的范围为O至180、周期为1ms这样的条件时,是正规的CAN消息。
[0111]另外,示出了如下情况:对于与发动机的转速有关的ID为“0x200”的CAN消息,在其满足数据长度为8字节、数据的范围为O至10000、周期为1ms这样的条件时,是正规的CAN消息。
[0112]另外,示出了如下情况:对于与行驶距离有关的ID为“0x300”的CAN消息,在其满足数据长度为8字节、数据的范围为O至9999999、周期为20ms这样的条件时,是正规的CAN消息。
[0113]另外,示出了如下情况:对于与门的开闭状态有关的ID为“0x400”的CAN消息,在其满足数据长度为I字节、数据的范围为O或1、周期为100ms这样的条件时,是正规的CAN消息。
[0114]不正常检测ECUl10将不符合与白名单1120的各CAN消息ID对应的条件的CAN消息判定为不正常的CAN消息。
[0115][1.6不正常检测时序]
[0116]图6是表示由不正常检测ECUllO检测不正常帧(也就是不正常的CAN消息)的工作例的时序图。各时序表示各装置中的各处理工序(步骤)。以下,根据图6,对在不正常的ECU连接于CAN总线100并发送CAN消息ID为“0x100”、数据为“255 (OxFF)”的帧(CAN消息)的情况下的、连接于CAN总线100的不正常检测E⑶110、E⑶101?103的工作进行说明。
[0117]首先,不正常的ECU开始发送消息ID为“0x100”、数据为“255(OxFF)”的数据帧(步骤S101)。构成帧的各比特(位)的值遵循上述的数据帧格式而以S0F、ID域(消息ID)的顺序依次被送出至CAN总线100上。
[0118]在不正常的E⑶完成了将到ID域(CAN消息ID)为止的数据送出至CAN总线100时,不正常检测E⑶110、E⑶101?103分别接收CAN消息ID(步骤S102)。
[0119]ECUlOl?103分别使用所保持的接收ID列表来检查是否为应该接收的CAN消息ID,不正常检测ECUllO使用白名单(参照图5)来对应该判定是否为不正常的CAN消息的CAN消息ID进行检查(步骤S103)。在图6的例子中,ECUlOl以及ECU102因“0x0100”并非应该接收的CAN消息ID,因此结束接收。ECUl03因“0x0100”是应该接收的CAN消息ID,因此继续处理。另外,不正常检测E⑶110因在白名单中有CAN消息ID “0x100”,因此继续接收。
[0120]不正常检测E⑶110判别出现在CAN总线100上的CAN消息是否是按白名单表示的正规的周期发送消息的(步骤S104)。在并非正规的周期的情况下,移至步骤S108进行错误帧的发送。
[0121]接着,不正常检测ECUl10判别出现在CAN总线100上的CAN消息是否满足白名单表示的正规的数据大小(DLC)的条件(步骤S105)。在并非正规的数据大小的情况下,移至步骤S108进行错误帧的发送。
[0122]接着,不正常检测ECUl10判别出现在CAN总线100上的CAN消息是否满足白名单表示的正规的数据范围的条件(步骤S106)。在满足正规的数据范围的条件的情况下,不正常检测ECUllO结束处理。在图6的例子中,接收到的数据为“255(0xFF)”,超出了白名单的数据范围,因此,为了错误帧的广播(也就是在CAN总线100上的发送)而生成帧。
[0123]ECU103在不正常检测E⑶使用白名单判定CAN消息是否不正常的期间,继续接收数据帧(步骤S107)。
[0124]不正常检测E⑶110通过在步骤S103?步骤S106中的判别而判定为CAN消息不正常的情况下,广播(发送)错误帧(步骤S108)。通过接收到该错误帧,E⑶103中止接收数据帧(步骤 S109)。
[0125]不正常检测ECUllO将表示关于判定为不正常的CAN消息的内容的不正常信息通知给等级解释部120 (步骤SI 10)。
[0126][1.7等级信息]
[0127]图7表示等级解释部120所保持的等级信息1200的一例。
[0128]等级信息1200是使功能类别1201、ID(CAN消息ID)1201、等级1203相关联而得到的
?目息O
[0129]功能类别1201表示将发送CAN消息的ECU的功能进行分类而确定的功能类别。作为ECU的功能的分类例,例如有驱动系统功能、底盘系统功能、车体系统功能、安全舒适功能、ITS系统功能、远程信息服务系统功能、信息娱乐系统功能等。驱动系统功能是发动机、马达、燃料、电池、传输等的控制这样的与车辆的“行驶”(移动)关联的功能。底盘系统功能是制动器、转向机构等的“转弯”、“停止”等这样的与车辆的行动等的控制关联的功能。车体系统功能是车门锁、空调器、灯、方向指示器等这样的与车辆装备的控制关联的功能。安全舒适功能是自动制动器、车道维持功能、车间距离维持功能、防碰撞功能、安全气囊等这样的用于自动地实现安全、舒适的驾驶的功能。ITS系统功能是ETC( Electroni C TollCollect1n System,电子收费系统)等与高速路交通系统对应的功能。远程信息服务系统功能是与使用了移动体通信的服务对应的功能。信息娱乐系统功能是与汽车导航、音响等关联的娱乐功能。
[0130]CAN消息ID1202表示被确定由属于所对应的功能类别1201的ECU发送的CAN消息的ID (CAN 消息 ID)。
[0131]等级1203表示根据属于所对应的功能类别1201所表示的功能类别的ECU的功能性质,鉴于该ECU被不正常控制的情况下的车辆的安全性等而预先确定的等级、即安全等级,例如用I至4这四级中的某个值表示。在此,设安全等级越高,对安全性的影响越大。在图7的例子中,驱动系统功能以及底盘系统功能与车辆的“行驶”、“转弯”、“停止”这样的基本功能相关,因此,可认为在承担这些功能的ECU被不正常控制的情况下,易于导致与其他车辆之间的事故,所以,将安全等级设定为高的4级。相反地,可认为在承担信息娱乐系功能的ECU被不正常控制的情况下,对车辆的事故的直接影响小,所以,将安全等级设定为低的I级。
[0132][1.8车车间通信消息格式]
[0133]作为用于在车辆之间进行对做出了不正常检测这一意思的传递的不正常检测通知,使用了车车间通信消息300。
[0134]图8是表示车车间通信消息300的结构的一例的图。车车间通信消息300的格式构成为包括共通应用报头部、共通应用数据部、自由应用报头部以及自由应用数据部。在图8中表示了下述例子:当在车辆中由不正常检测ECUllO检测到不正常的情况下,可以为了对做出了不正常检测这一意思进行传递这一用途,而使用自由应用数据部,在以其他用途进行通信的情况下,可以将自由应用数据部设为预先按其用途选定的另外的格式。
[0135]共通应用报头部由共通应用报头信息301构成,共通应用报头信息301包含共通应用数据部的尺寸信息。
[0136]共通应用数据部包含时刻信息302、位置信息303、车辆状态信息304以及车辆属性信息305。
[0137]时刻信息302表示年、月、日、时、分、秒这样的时刻信息。
[0138]位置信息303是由GPS接收器等取得的玮度、经度、高度这样的表示车辆的位置的?目息O
[0139]车辆状态信息304是车速、车辆方位角、前后加速度、档位、转向角度等信息。
[0140]车辆属性信息305包括大型、普通、二轮车等车辆尺寸;和/或私家车、紧急车辆、道路养护工作用等用途类别;和/或车宽、车长、车高这样的车辆尺寸等的信息。
[0141]自由应用报头部由自由应用报头信息306构成,自由应用报头信息306包含自由应用数据部的尺寸和/或偏移(offset)等信息。
[0142]自由应用数据部表示与不正常检测有关的信息,构成为包括等级信息307、不正常车辆位置信息308以及签名数据309。
[0143]等级信息307表示图7中示出的、与不正常检测ECUllO检测到的不正常的CAN消息(不正常检测内容)对应的等级(安全等级)。
[0144]不正常车辆位置信息308是对于由不正常检测ECUllO检测到不正常的车辆(也就是搭载有检测到不正常的不正常检测ECU的车辆)所测定出的、表示不正常检测时的位置的位置信息。
[0145]签名数据309是对车车间通信消息300的电子签名。
[0146][1.9不正常检测时序]
[0147]图9是表示在车辆10(车辆A)中检测到不正常的情况下到向车辆20(车辆B)发送车车间通信消息300为止的、车辆1的各部分的工作例的时序图。
[0148]车辆10(车辆A)的不正常检测E⑶110在检测到不正常的CAN消息的情况下,将包含作为不正常检测内容的、不正常的CAN消息的帧ID(CAN消息ID)的不正常信息通知给等级解释部120(步骤S201)。
[0149]收到不正常信息的通知的车辆10的等级解释部120基于所保持的等级信息1200,确定与不正常信息表示的CAN消息ID相应的等级(安全等级)并确定表示该等级的等级信息(步骤S202)。也就是说,等级信息表示区分CAN消息ID而预先确定的多个等级中的、基于该不正常帧(不正常的CAN消息)的CAN消息ID所选定的一个等级。
[0150]等级解释部120将该确定出的等级信息通知给车辆10的车车间通信消息认证部130(步骤5203)。
[0151]收到等级信息的通知的车辆10的车车间通信消息认证部130通过位置信息取得部190取得车辆10当前的位置信息,设定该位置信息以及由通知收到的等级信息从而形成车车间通信消息300。
[0152]接着,车辆1的车车间通信消息认证部130使用车辆A私钥1301对车车间通信消息300附加电子签名(步骤S205)。该车车间通信消息认证部130将附加有电子签名的车车间通信消息300通知给车辆1的车车间通信消息收发部140 (步骤S206)。
[0153]收到车车间通信消息300的通知的车辆10的车车间通信消息收发部140通过车车间通信将车车间通信消息300以及车辆A公钥证书1302发送到车辆20(车辆B)。此外,从车辆1 (车辆A)向车辆20 (车辆B)的车车间通信消息300的发送并不特别地特定为接收方是车辆
10。由此,车车间通信消息300通过能够向车辆A的后方传播的通信方法,对非特定的车辆进行广播。
[0154][1.10应对信息(安全状态列表)]
[0155]图10是表示等级解释部120所参照的应对信息(安全状态列表)的图。应对信息(安全状态列表)是关联了如下内容的信息:接收到车车间通信消息300的车辆根据车车间通信消息300内的等级信息所表示的等级(安全等级),执行用于进行向安全状态转变的控制的不正常应对处理时,应该执行预先确定的多个不正常应对处理中的、哪个用于向安全状态转变的不正常应对处理。
[0156]应对信息(安全状态列表)2400构成为,对于多个等级2401的值(安全等级),分别使等级2401与不正常应对处理2402相关联。
[0157]等级2401表示与图7中所示的等级信息中的等级1203同样的安全等级。
[0158]不正常应对处理2402是与每个安全等级对应设定的、为了确定用于进行向安全状态转变的控制的不正常应对处理的信息。在图10的应对信息的例子中,安全等级为“I”的情况下,关联有用于向车辆的驾驶员报告的控制的不正常应对处理,安全等级为“2”的情况下,关联有用于使车辆与前方车辆的车间距离保持在一定范围而行驶的控制的不正常应对处理,安全等级为“3”的情况下,关联有用于使车辆慢行的控制的不正常应对处理,安全等级为“4”的情况下,关联有用于使车辆的行驶停止的控制的不正常应对处理。向车辆的驾驶员报告的控制例如是在车辆所具备的在汽车导航等中使用的显示器画面上显示唤起驾驶员的注意的消息的控制、或者使车辆内的仪表板等的LED (Light-Emitting D1de)闪烁而通知驾驶员的控制等。对于该应对信息2400中的关联,例如考虑在检测到可认为对车辆事故的直接影响小的不正常的情况下不引起交通拥堵、抑制对交通系统的不良影响来设置是有用的。
[0159][1.11与不正常检测通知对应的向安全状态的转变时序]
[0160]图11表示从车辆10(车辆A)接收到车车间通信消息的车辆20(车辆B)中的、到向安全状态的转变为止的各部分的工作的时序图。
[0161]车辆20(车辆B)的车车间通信消息收发部240从车辆10(车辆A)接收作为不正常检测通知的车车间通信消息300以及车辆A公钥证书1302(步骤S301)。
[0162]接着,车辆20的车车间通信消息收发部240向车车间通信消息认证部230通知车车间通信消息300以及车辆A公钥证书1302(步骤S302)。
[0163]车辆20的车车间通信消息认证部230使用CA证书1300的公钥,进行对接收到的车辆A公钥证书1302的签名验证,接着,使用车辆A公钥证书1302,进行对接收到的车车间通信消息300的签名验证(步骤S303)。若签名验证失败,则结束处理。若签名验证成功,则向等级解释部220通知车车间通信消息300的等级信息。
[0164]车辆20的等级解释部220参照图10中示出的应对信息(安全状态列表),根据车车间通信消息300的等级信息所表示的等级(安全等级),确定(判定)应该执行哪个用于向安全状态转变的不正常应对处理(步骤S304),将该不正常应对处理的执行指示(向安全状态转变的请求)通知给车辆安全状态指示部250(步骤S305)。在该步骤S305?步骤S311中进行不正常应对处理。
[0165]车辆20的车辆安全状态指示部250执行用于向安全状态转变的不正常应对处理,并根据需要向车外状况判断部260请求对车外状况的判断(步骤S306)。
[0166]车外状况判断部260从车载摄像头270和/或激光雷达280等各种传感器取得信息(步骤S307、步骤S308),对取得的信息进行解析来判断车辆20附近的状况(步骤S309),并将作为其判断结果的、为了能够使车辆适当地向安全状态转变的信息通知给车辆安全状态指示部250(步骤S310)。
[0167]车辆20的车辆安全状态指示部250根据需要利用来自车外状况判断部260的信息,继续执行不正常应对处理,由此,控制车辆20以使其向安全状态转变(步骤S311)。由此,根据车辆10(车辆A)发送的作为不正常检测通知的车车间通信消息300所表示的安全等级,在车辆20 (车辆B)中实现适当的向安全状态的转变。
[0168][1.12实施方式I的效果]
[0169]如上所述,实施方式I涉及的车车间通信系统所使用的不正常应对方法中,通过例如在车辆A(第一车辆)以及车辆B(第二车辆)的车辆间进行通信来应对不正常的事态。在此,当在搭载于车辆A(第一车辆)的车载网络中检测到不正常帧时,搭载于该车辆A的装置(例如ECU等)发送不正常检测通知,搭载于车辆B(第二车辆)的一个或者多个ECU接收不正常检测通知,根据接收到的该不正常检测通知的内容,从预先确定的多个不正常应对处理中选择要执行的不正常应对处理,并执行该选择出的不正常应对处理。检测到不正常帧的状况很可能是车辆被不正常控制了,因此,通过通知给其他车辆,能够抑制不正常控制的影响。更加具体而言,搭载于车辆A的装置在不正常帧被检测到时,使表示区分帧ID而预先确定的多个等级中的、基于该不正常帧的帧ID所选定的一个等级的等级信息包含于不正常检测通知并进行发送。而且,搭载于车辆B的一个或者多个ECU根据接收到的不正常检测通知中包含的等级信息所表示的等级,进行不正常应对处理的选择,执行所选择的不正常应对处理,从而向安全状态转变。
[0170]根据这种车车间通信系统所使用的不正常应对方法,即使处于在前方车辆(车辆
A)的内部的车载网络中该车辆A被不正常的CAN消息不正常控制这一状况,车辆A也向后方车辆通知不正常检测通知。而且,接收到不正常检测通知的后方的车辆(车辆B)能够转变至与不正常检测通知中所示的等级(安全等级)相应的安全状态,能够进行与状况相应的适当的应对。由此,能够防止如牵连车辆B这样的事故的发生等。另外,被表示为不正常检测通知的等级例如可以鉴于由在车载网络中检测到的不正常的CAN消息产生的影响的程度而预先设定,另外,对应于该等级而转变的安全状态例如可以考虑为抑制对交通系统的不良影响而预先设定,因此,接收到不正常检测通知的车辆能够根据状况向适当的安全状态转变。
[0171](实施方式2)
[0172]以下,描述对上述的车车间通信系统进行部分变形而得到的方式。
[0173]在实施方式I中示出的车车间通信系统的不正常应对方法中,示出了将涉及在车辆10(车辆A)中检测到不正常这一情况的不正常检测通知传递给车辆10后方的一辆车即车辆20(车辆B)的例子。与此相对地,本实施方式涉及的车车间通信系统能够进行不正常检测通知的转送以作为不正常应对方法。即,在本实施方式涉及的车车间通信系统中,车辆10(车辆A)发送涉及所检测到的不正常的不正常检测通知,接收到该不正常检测通知的车辆在一定条件下对该不正常检测通知进行转送,由此,进行不正常检测通知的传递,以使得在车辆10(车辆A)后方的多个车辆能够进行接收。实施方式2涉及的车车间通信系统的结构(例如各车辆的构成要素等)是与实施方式I中示出的结构同样的,因此省略说明,在此,对与实施方式I不同的部分进行说明。
[0174][2.1车车间通信消息的传递]
[0175]图12是表示多个车辆连续地对后续车通知作为不正常检测通知的车车间通信消息的例子的图。接收到作为不正常检测通知的车车间通信消息的车辆判定是否满足预定条件(转送条件),在判定为满足的情况下进行向车辆外部的不正常检测通知的发送(转送)。转送条件是涉及是否进行转送的条件,在图12的例子中,是与检测到不正常的车辆的距离小于500m这一条件。
[0176]在该例子中,在车辆10(车辆A)中检测到不正常,从车辆A向其他车辆发送作为不正常检测通知的车车间通信消息300a。跟在车辆A后方的车辆20(车辆B)接收来自车辆A的车车间通信消息300a,为了将车车间通信消息300a中包含的与不正常检测有关的信息(在图12的例子中为表示等级4的等级信息等)转送给其他车辆,发送包括该与不正常检测有关的信息的车车间通信消息300b。跟在车辆B后方的车辆30(车辆C)接收来自车辆B的车车间通信消息300b,为了将车车间通信消息300b中包含的与不正常检测有关的信息转送给其他车辆,发送包括该与不正常检测有关的信息的车车间通信消息300c。跟在车辆C后方的车辆40(车辆D)接收来自车辆C的车车间通信消息300c。车辆D与车辆A相距500m,不满足与检测到不正常的车辆的距离小于500m这一转送条件,因此不进行转送。此外,车辆C以及车辆D也具备基本与车辆B同样的结构。
[0177][2.2车车间通信消息格式]
[0178]图13是表示本实施方式涉及的车车间通信消息的结构的一例的图。
[0179]本实施方式中的车车间通信消息300a(车车间通信消息300b、300c也是同样的)具有对实施方式I中示出的车车间通信消息300的结构(图8参照)追加了表示转送条件的条件信息310而得到的结构。由此,能够限定进行再发送(转送)的范围。
[0180]条件信息310所表示的转送条件是关于与做出了不正常检测的车辆的距离的条件,例如是如下条件:对一车辆测定出的位置、与接收到的不正常检测通知中包含的位置信息(不正常车辆位置信息308)所表示的位置之间的距离在一定范围内。作为具体例,条件信息310表示与做出了不正常检测的车辆的距离小于500m这一情况等。在该情况下,如果接收到车车间通信消息300a等的车辆与做出了不正常检测的车辆相距小于500m,则进行转送。此外,做出了不正常检测的车辆的位置由车车间通信消息300a内的不正常车辆位置信息308表示。因此,在接收到车车间通信消息300a的车辆(例如车辆20)中,计算不正常车辆位置信息308所表示的做出了不正常检测的车辆A的位置与例如由位置信息取得部290(参照图2)检测到的本车辆的位置之间的距离,基于条件信息310表示的转送条件,决定是否进行车车间通信消息300a的再发送(转送)。在此,车车间通信消息300a的转送是指,包括变更了车车间通信消息300a的部分内容的转送(也就是车车间通信消息300b的发送)。车车间通信消息300a?300b各自的签名数据309、共通应用数据部等的具体值可能会根据车辆而不同。然而,车车间通信消息300a?300b各自的等级信息307、不正常车辆位置信息308以及条件信息310的具体值是相同的。
[0181][2.3不正常检测通知的转送的时序]
[0182]图14以及图15是表示车辆在接收并转送车车间通信消息时的各部分的工作的时序图。在此,以车辆20(车辆B)从车辆10(车辆A)接收作为不正常检测通知的车车间通信消息的情况为例进行说明。
[0183]步骤S401至步骤S411与实施方式I中示出的步骤S301至步骤S311(参照图11)是同样的,因此省略说明。
[0184]在步骤S412中,车辆B的等级解释部220对在步骤S404中参照的包含等级信息307的车车间通信消息300a的条件信息310所表示的转送条件进行参照,判别是否满足转送条件。即,等级解释部220从位置信息取得部290取得本车辆的位置,参照车车间通信消息300a的不正常车辆位置信息308,计算本车辆与检测到不正常的车辆A的距离。若计算出的距离满足转送条件,则等级解释部220将与车车间通信消息300a所包含的等级信息307、不正常车辆位置信息308以及条件信息310相同的信息交给车车间通信消息认证部230,并请求签名,以使得能够设定为车车间通信消息300b的等级信息307、不正常车辆位置信息308以及条件信息310(步骤S413)。另外,在不满足转送条件的情况下,在车辆B中,不进行转送而结束处理。
[0185]在步骤S413中被请求签名的车车间通信消息认证部230对由等级解释部220提供的信息进行设定,从而形成车车间通信消息300b,利用车辆B的私钥2301生成电子签名并使其作为签名数据309包含于车车间通信消息300b(步骤S414)。
[0186]然后,车车间通信消息认证部230将附加有电子签名的车车间通信消息300b通知给车辆B的车车间通信消息收发部240,并请求发送(步骤S415)。
[0187]接着,车车间通信消息收发部240将车车间通信消息300b以及车辆B公钥证书2302通过车车间通信发送到后方的车辆30(车辆C)。此外,与从车辆A向车辆B的作为不正常检测通知的车车间通信消息300a同样地,成为该不正常检测通知的转送的、从车辆B向车辆C对车车间通信消息300b的发送也不特别地特定为接收方是车辆C。由此,车车间通信消息300b通过能够向车辆B的后方传播的通信方法,对非特定的车辆进行广播。
[0188]与上述的车辆B同样地,在其他车辆(例如在车辆B的后方行驶的车辆C)中,也在满足接收到的车车间通信消息所表示的转送条件的情况下进行不正常检测通知的转送,在不满足转送条件的情况下不进行转送。
[0189][2.4实施方式2的效果]
[0190]根据实施方式2涉及的车车间通信系统所使用的不正常应对方法,除了由实施方式I涉及的车车间通信系统产生的效果,还能够使在检测到不正常的车辆的后方的多个车辆转变为安全的状态。因此,能够防止发生例如牵连三辆以上的车辆的大型事故。
[0191](实施方式3)
[0192]以下,描述对实施方式2中示出的车车间通信系统进行部分变形而得到的方式。
[0193]在本实施方式涉及的车车间通信系统所使用的不正常应对方法中,将不正常检测通知(车车间通信消息)中的与不正常检测有关的信息的一部分、即等级信息的内容进行变更而转送。关于实施方式3涉及的车车间通信系统,省略对与上述的实施方式I或者实施方式2中示出的同样的点的说明,在此,对不同的点进行说明。
[0194][3.1车车间通信消息格式]
[0195]图16是表示本实施方式2涉及的车车间通信消息的结构的一例的图。
[0196]本实施方式中的车车间通信消息300A具有对实施方式2中示出的车车间通信消息300a的结构(参照图13)追加了再设定等级信息311和等级变更条件312而得到的结构,所述等级变更条件312表示作为用于更新再设定等级信息的规则的预定等级变更规则。由此,能够在车车间通信消息的再发送(转送)时,将安全等级进行变更并传递。
[0197]再设定等级信息311中设定有下述值(等级):接收到车车间通信消息的车辆将车车间通信消息再发送(转送)给其他车辆时,根据等级变更条件312,将在做出了不正常检测的车辆中所设定的等级信息307表示的安全等级进行变更而得到的值。此外,在检测到不正常的车辆A中,对车车间通信消息300A的再设定等级信息311设定与等级信息307相同的值。
[0198][3.2等级变更条件312]
[0199]图17是表示等级变更条件312的一例的图。在图17的例子中,表示预定等级变更规则的等级变更条件312具体而言示出了与为了变更等级的各条件(与不正常车辆的距离)相应的其变更的内容(等级变更内容)。
[0200]接收到车车间通信消息300A的车辆根据本车辆的位置与不正常车辆(也就是检测到不正常的车辆A)的位置,计算不正常车辆与本车辆的距离,通过将计算出的距离与等级变更条件312表示的为了变更等级的条件进行比较,能够根据该距离来确定应该对再设定等级信息311设定的值。
[0201]在图17的例子中,如果与不正常车辆的距离小于100m,则对于在不正常车辆中设定的再设定等级信息311,在转送时维持不变。例如,在位于与不正常车辆的距离小于10m的位置的车辆发送(转送)的车车间通信消息中,等级信息307中设定有“等级4”,再设定等级信息311中也设定有相同值的“等级4”。
[0202]另外,在图17的例子中示出了:符合与不正常车辆的距离大于等于10m且小于300m这一条件的情况下的等级变更内容为,使再设定等级信息311从在不正常车辆中设定的等级信息307降低I级(减去I)。例如,在位于与不正常车辆的距离大于等于10m且小于300m的位置的车辆所发送(转送)的车车间通信消息中,等级信息307中设定有“等级4”,再设定等级信息311中设定有减去I得到的“等级3”。
[0203]另外,在图17的例子中示出了:符合与不正常车辆的距离大于等于300m且小于500m这一条件的情况下的等级变更内容为,使再设定等级信息311从在不正常车辆中设定的等级信息307降低2级(减去2)。例如,在位于与不正常车辆的距离大于等于300m且小于500m的位置的车辆所发送(转送)的车车间通信消息中,等级信息307中设定有“等级4”,再设定等级信息311中设定有减去I得到的“等级2”。
[0204]此外,在实施方式2中,接收到车车间通信消息的各车辆根据等级信息307表示的等级(安全等级),执行向安全状态转变的不正常应对处理,但在本实施方式中,接收到车车间通信消息的各车辆根据设定在再设定等级信息311中的等级(安全等级),执行向安全状态转变的不正常应对处理。
[0205][3.3车车间通信消息的传递]
[0206]图18是表示多个车辆连续地对后续车通知作为不正常检测通知的车车间通信消息的例子的图。接收到作为不正常检测通知的车车间通信消息的车辆在满足转送条件的情况下根据不正常检测通知中的等级变更条件312来变更再设定等级信息311,进行不正常检测通知的转送。图18的例子是使用图17中示例的等级变更条件312来进行不正常检测通知的再发送(转送)的例子。在车辆1 (车辆A)与车辆20 (车辆B)之间有I辆以上的其他车辆的情况下也可能进行车车间通信消息的转送。另外,在车辆B与车辆30(车辆C)之间有I辆以上的其他车辆的情况下也可能进行车车间通信消息的转送。
[0207]在图18的例子中,车辆A在车载网络上检测到不正常,根据不正常内容将等级信息307以及再设定等级信息311设为“等级3”并发送车车间通信消息300A。车车间通信消息300B?300E也由与车车间通信消息300A相同的格式(参照图16)构成。例如车车间通信消息300A由其他车辆转送,作为车车间通信消息300B在车辆B中被接收。
[0208]在与车辆A的位置距离10m的车辆B中,基于车车间通信消息300B的等级变更条件312,符合与不正常车辆的距离大于等于10m且小于300m这一条件,因此,使再设定等级信息311从在不正常车辆中设定的等级信息307减去I,从而发送将再设定等级信息311设为“等级2”的车车间通信消息300C。例如车车间通信消息300C由其他车辆转送,作为车车间通信消息300D在车辆C中被接收。
[0209]在与车辆A的位置距离300m的车辆C中,基于车车间通信消息300D的等级变更条件312,符合与不正常车辆的距离大于等于300m且小于500m这一条件,因此使再设定等级信息311从在不正常车辆中设定的等级信息307减去2,从而发送将再设定等级信息311设为“等级I”的车车间通信消息300E。
[0210]在车辆40(车辆D)中,由于位于与不正常车辆的距离为500m的位置,因此不满足车车间通信消息300E的条件信息310所表示的“小于500m”这一条件,不进行车车间通信消息的再发送(转送)。
[0211][3.4不正常检测通知的转送的时序]
[0212]图19以及图20是表示车辆接收到车车间通信消息并在一定条件下对等级信息进行变更并转送时的各部分的工作的时序图。在此,以车辆20(车辆B)接收从车辆10(车辆A)发送并由其他车辆转送的作为不正常检测通知的车车间通信消息B的情况为例进行说明。
[0213]步骤S501至步骤S511与实施方式I中示出的步骤S301至步骤S311(参照图11)是同样的,因此省略说明。但是,在步骤S504中,车辆B的等级解释部220参照图1O中示出的应对信息(安全状态列表),根据车车间通信消息300B的再设定等级信息311所表示的等级(安全等级),确定应该执行哪个用于向安全状态转变的不正常应对处理,并将该不正常应对处理的执行指示(向安全状态的转变请求)通知给车辆安全状态指示部250(步骤S505)。
[0214]在步骤S512中,车辆B的等级解释部220对在步骤S504中参照了再设定等级信息311的车车间通信消息300B的条件信息310所表示的转送条件进行参照,判别是否满足转送条件。若满足转送条件,则等级解释部220基于车车间通信消息300B的等级变更条件312,参照与等级变更条件312表示的各条件中本车辆所符合的条件对应的等级变更内容,判断是否需要变更等级(步骤S513),仅在判断为需要变更等级的情况下,按照等级变更内容来降低再设定等级信息311(步骤S514)。而且,等级解释部220将与车车间通信消息300B所包含的等级信息307、不正常车辆位置信息308、条件信息310以及等级变更条件312相同的信息交给车车间通信消息认证部230,并请求签名,以使得能够设定为车车间通信消息300C的等级信息307、不正常车辆位置信息308、条件信息310以及等级变更条件312,另外,以使得能够将根据在步骤S513中的判断而维持了或者减少了等级值而得到的再设定等级信息311设定为车车间通信消息300C的再设定等级信息311 (步骤S515)。另外,在不满足转送条件的情况下,在车辆B中,不进行转送而结束处理。
[0215]在步骤S515中被请求签名的车车间通信消息认证部230对由等级解释部220提供的信息进行设定,从而形成车车间通信消息300C,利用车辆B的私钥2301生成电子签名并使其作为签名数据309包含于车车间通信消息300C(步骤S516)。
[0216]然后,车车间通信消息认证部230将附加有电子签名的车车间通信消息300C通知给车辆B的车车间通信消息收发部240,并请求发送(步骤S517)。
[0217]接着,车车间通信消息收发部240为了将车车间通信消息300C以及车辆B公钥证书2302传播给其他车辆而通过车车间通信进行发送(步骤S518)。
[0218][3.5实施方式3的效果]
[0219]根据实施方式3涉及的车车间通信系统所使用的不正常应对方法,在不正常车辆的后续车辆中,距离不正常车辆越远,不正常检测通知涉及的等级(再设定等级信息所表示的安全等级)越低。由此,通过在收到不正常检测通知的车辆中由不正常应对处理实现的向安全状态的转变,能够抑制对交通系统造成的不良影响(例如交通拥堵的发生等)。
[0220](实施方式4)
[0221]在上述的实施方式I?3中,示出了车车间通信的例子,但也可以设为在车辆与设置于道路的路侧设备之间进行路车间通信。在本实施方式中,表示用于进行路车间通信的路车间通信系统的结构。
[0222][4.1路车间通信系统的结构]
[0223]图21是表示路车间通信系统的整体结构的图。表示了用于下述路车间通信的结构:车辆10(车辆A)检测本车辆的车载网络中的不正常,发送表示与该不正常检测有关的信息的不正常检测通知,路侧设备70进行接收。车辆A的结构与上述的实施方式I?3中任一个的车辆A是同样的,因此省略说明。本实施方式的路车间通信系统在以下方面与实施方式I中示出的车车间通信系统不同,即接收从车辆A发送的车车间通信消息300的物体并非移动的车辆而是设置于道路的路侧设备70。
[0224]路侧设备70构成为包括位置信息取得部790、路车间通信消息收发部740、路车间通信消息认证部730、等级解释部720、车辆安全状态指示部750以及外部服务器通信部770。
[0225]等级解释部720具有与实施方式I?3中任一个中示出的车辆20(车辆B)的等级解释部220相同的功能。不过,等级解释部720基于预定的应对信息(安全状态列表),将用于使另外的车辆向与从车辆A接收到的车车间通信消息中包含的等级信息所表示的安全等级相应的安全状态转变的指示(不正常应对处理的执行指示)通知给车辆安全状态指示部750。本实施方式中的不正常应对处理是车辆安全状态指示部750执行的、用于使正在路侧设备70的周边行驶的车辆向安全状态转变的控制。例如,不正常应对处理包括用于使正在路侧设备70周边行驶的车辆的行驶停止的控制的不正常应对处理、用于使该车辆慢行的控制的不正常应对处理、用于使该车辆与前方车辆的车间距离保持在一定范围内而行驶的控制的不正常应对处理、用于向该车辆的驾驶员报告的控制的不正常应对处理等。
[0226]路车间通信消息认证部730保持签名生成以及签名验证所需的私钥以及公钥证书,对车车间通信消息进行签名生成或者签名验证。路车间通信消息认证部730在车车间通信消息的发送(转送)时,使从等级解释部720取得的信息中包含从位置信息取得部790取得的路侧设备70的位置信息等来形成车车间通信消息,并利用车辆的私钥生成签名而使其包含于车车间通信消息。此外,位置信息取得部790也可以预先记录表示设置有路侧设备70的位置的位置信息,并将该位置信息通知给路车间通信消息认证部730。另外,路车间通信消息认证部730进行关于从车辆接收到的车车间通信消息的签名验证,将车车间通信消息中包含的等级信息通知给等级解释部720。
[0227]车辆安全状态指示部750执行不正常应对处理,经由路车间通信消息收发部740,对位于路侧设备70的周边的车辆发送指示向安全状态转变的路车间通信消息。此时的路车间通信消息的格式与在实施方式I至实施方式3中说明的车车间通信消息是同样的。此外,也可以为,路侧设备70具备电子公告牌,车辆安全状态指示部750使用于将周边的车辆引导至安全状态的指示信息等显示于电子公告牌。
[0228]外部服务器通信部770将从车辆A接收到的车车间通信消息发送至外部服务器(未图示)。外部服务器也可以蓄积从路侧设备70接收到的车车间通信消息,通过解析所蓄积的数据来决定指示内容,指示路侧设备70以使车辆转换至安全的状态。从外部服务器收到指示的路侧设备70也可以使用路车间通信,来指示位于路侧设备70的周边的车辆以使其转换至安全状态。
[0229][4.2实施方式4的效果]
[0230]通过将本实施方式4中示出的路车间通信系统与实施方式I?3中任一个中示出的车车间通信系统同时进行使用,能够通过路车间通信向位于路侧设备的周边的车辆通知指示以使其转换至安全状态等,能够实现更加安全的交通系统。
[0231](实施方式5)
[0232]以下,描述对实施方式2中示出的车车间通信系统进行部分变形而得到的方式。
[0233]在本实施方式涉及的车车间通信系统所使用的不正常应对方法中,判定是否进行不正常检测通知(车车间通信消息)的转送时所使用的预定条件(转送条件)的内容与实施方式2中示出的不同。本实施方式中的转送条件是如下条件:到接收来自检测到不正常帧并发送了不正常检测通知的车辆(车辆中的装置)的不正常检测通知为止,转送被进行的次数比预定次数少。事先使次数信息包含于作为不正常检测通知的车车间通信消息,在接收到不正常检测通知的车辆(该车辆的装置)中,基于接收到的不正常检测通知中包含的次数信息,进行涉及是否满足转送条件的判定。而且,当在接收到不正常检测通知的车辆中判定为满足转送条件的情况下,在接收到的不正常检测通知的发送(转送)时,更新不正常检测通知中包含的次数信息后进行对不正常检测通知的转送。
[0234]关于实施方式5涉及的车车间通信系统,省略对与上述的实施方式I或者实施方式2中示出的同样的点的说明,在此,对不同的点进行说明。
[0235][5.1车车间通信消息的传递]
[0236]图22是表示多个车辆连续地对后续车通知作为不正常检测通知的车车间通信消息的例子的图。接收到作为不正常检测通知的车车间通信消息的车辆在满足转送条件的情况下进行不正常检测通知的转送。在图22的例子中,转送条件是到接收来自不正常车辆的不正常检测通知为止转送被进行的次数小于预定次数(这里为2次)这一条件。
[0237]在该例子中,在车辆10(车辆A)中检测不正常,从车辆A向其他车辆发送作为不正常检测通知的车车间通信消息390a。车车间通信消息390a包含表示O次的次数信息作为转送次数,包含表示小于2次的条件信息作为转送条件。跟在车辆A后方的车辆20(车辆B)接收来自车辆A的车车间通信消息390a,由于次数信息表示的次数(O次)满足作为转送条件的小于2次,因此,为了将车车间通信消息390a中包含的与不正常检测有关的信息转送至其他车辆,发送包含该与不正常检测有关的信息的车车间通信消息390b。车辆B使车车间通信消息390b包含表示I次的次数信息作为转送次数。跟在车辆B后方的车辆30(车辆C)接收来自车辆B的车车间通信消息390b,由于次数信息表示的次数(I次)满足作为转送条件的小于2次,因此,为了将车车间通信消息390b中包含的与不正常检测有关的信息转送至其他车辆,发送包含该与不正常检测有关的信息的车车间通信消息390c。车辆C使车车间通信消息390c包含表示2次的次数信息作为转送次数。跟在车辆C后方的车辆40(车辆D)接收来自车辆C的车车间通信消息390c。在车辆D中,由于接收到的车车间通信消息390c的次数信息所表示的次数(2次)不满足作为转送条件的小于2次,因此不进行转送。
[0238][5.2车车间通信消息格式]
[0239]图23是表示本实施方式涉及的车车间通信消息的结构的一例的图。
[0240]本实施方式中的车车间通信消息390a(车车间通信消息390b、390c也同样)具有对实施方式I中示出的车车间通信消息300的结构(参照图8)追加了用于保存转送次数的次数信息391以及表示转送条件的条件信息392而得到的结构。由此,能够限定进行再发送(转送)的范围。
[0241 ]条件信息392所表示的转送条件是如下条件:到接收来自检测到不正常帧并发送了不正常检测通知的车辆(该车辆的装置)的该不正常检测通知为止,转送被进行的次数比预定次数少。作为具体例,条件信息392表示小于2次。
[0242]次数信息391表示转送次数。在转送车车间通信消息的车辆中,在其转送时被更新为增加I。
[0243][5.3实施方式5的效果]
[0244]根据实施方式5涉及的车车间通信系统所使用的不正常应对方法,与实施方式2中示出的不正常应对方法同样地,能够使跟在检测到不正常的车辆的后方的多个车辆转变为安全的状态。因此,能够防止发生例如牵连三辆以上的车辆的大型事故。另外,由于不对与检测到不正常的车辆远离到转送不正常检测通知的次数需要为预定次数以上的位置的车辆,进行向安全状态转变的控制,因此能够防止交通拥堵等。
[0245](其他实施方式)
[0246]如上所述,作为本公开涉及的技术的示例,对实施方式I?5进行了说明。然而,本公开涉及的技术并不限定于此,也能够适用于进行了适当的变更、替换、附加、省略等的实施方式。例如,如下的变形例也包含在本公开的一实施方式中。
[0247](I)在上述实施方式中,作为车车间通信,示出了从前方的车辆向后方的车辆发送作为不正常检测通知的车车间通信消息的例子,但发送目的地并不限于后方的车辆,也可以向位于本车辆的周边(例如前方、侧方等)的其他车辆传递不正常检测通知。例如,也可以为,检测到不正常的车辆通过车车间通信,并不使用对本车辆的后方具有指向性的发送天线,而向全方向均匀地发送不正常检测通知。在该情况下,也可以为,接收到作为不正常检测通知的车车间通信消息的行驶中的车辆通过测定本车辆的位置以及行驶方向(车辆方位角)并参照作为不正常检测通知的车车间通信消息中的不正常车辆位置信息,从而仅在不正常车辆大致位于本车辆的行驶方向上的情况下进行不正常应对处理的执行、不正常检测通知的转送等。另外,各车辆也可以为,本车辆在对接收了一次的作为不正常检测通知的车车间通信消息进行转送之后,再次接收到基于该不正常检测通知而由其他车辆转送的不正常检测通知(也就是包含与相同的不正常检测有关的信息的不正常检测通知)时,不再进行转送。
[0248](2)在上述实施方式中,使表示预定等级变更规则的等级变更条件包含于车车间通信消息,但是,也可以不包含于车车间通信消息,而由车辆内部的装置(例如等级解释部等)保持,并根据需要进行参照。另外,同样地,表示转送条件的条件信息也可以不包含于车车间通信消息,而由车辆内部的装置(例如等级解释部等)保持,并根据需要进行参照。
[0249](3)在上述实施方式中,作为等级信息的值而示出了 4个等级(安全等级),但等级的划分数也可以多于或少于4。
[0250](4)在上述实施方式中,如图7所示对由不正常帧的帧ID确定的每个功能类别设定了等级信息的等级,但也可以根据不正常帧的内容等,即使功能类别相同,也设定不同的等级,例如也可以对每个帧ID,或者对每个作为发送不正常帧的帧ID的各个ECU设定等级。此夕卜,也可以为,代替实施方式3中示出的再设定等级信息311,也可以使用等级信息307,在各车辆中,在发送(转送)接收到的不正常检测通知(车车间通信消息)时,基于表示预定等级变更规则的等级变更条件(例如如果接收到的等级信息307为2级以上则减去I等这样的条件)对该接收到的不正常检测通知中包含的等级信息307进行变更,将包含变更后的等级信息307的不正常检测通知进行发送(转送)。
[0251](5)在上述实施方式中,示出了车辆搭载有由CAN总线和与其连接的ECU构成的车载网络的例子,但只要是在车辆内在ECU等车载装置之间进行通信的通信网络,车载网络也可以是不使用CAN总线的、任何通信网络。
[0252](6)在上述实施方式中,作为涉及在车辆中是否转送不正常检测通知的判定的预定条件(转送条件),示出了关于车辆间的距离或者转送次数的条件。然而,转送条件也可以是关于从做出了不正常检测的时刻起的经过时间的条件。例如,转送条件也可以是从接收到的不正常检测通知中包含的时刻信息所表示的时刻起的经过时间比预定时间(一定的上限阈值)短这一条件。为此,使检测到不正常的车辆发送的不正常检测通知中包含表示检测到不正常的时刻的时刻信息即可。
[0253](7)上述实施方式中示出的不正常检测通知并不限于通过图8等所示的格式的车车间通信消息来发送,只要包含能够在接收到不正常检测通知的车辆中选择应该执行的不正常应对处理的内容(例如,不正常的消息ID或者安全等级等),则可以以任何的车车间通信用格式来发送。
[0254](8)上述实施方式中示出的车辆所具备的各构成要素的功能分担仅为一例,也可以将其分担进行变更。例如,在车车间通信系统中接收不正常检测通知的车辆所具备的一个或者多个ECU(电子控制单元)可以具有作为接收部的功能以及作为不正常应对部的功能,所述接收部接收当在与搭载有本单元的车辆不同的另外的车辆所搭载的车载网络中检测到不正常帧时、从该另外的车辆所搭载的装置发送的不正常检测通知,所述不正常应对部根据由接收部接收的不正常检测通知的内容,从预先确定的多个不正常应对处理中选择要执行的不正常应对处理,并执行该选择出的不正常应对处理。另外,发送不正常检测通知的车辆所具备的、连接于车载网络的一个或者多个装置(例如ECU)可以具有作为不正常检测部(不正常帧检测部)的功能以及作为发送部的功能,所述不正常检测部检测在车载网络中发送的不正常帧,所述发送部在由不正常检测部检测到不正常帧的情况下向与搭载本单元的车辆不同的另外的车辆发送不正常检测通知。
[0255](9)上述实施方式中的各装置(例如ECU、不正常检测E⑶等)例如是处理器、存储器等包括数字电路、模拟电路、通信电路等的装置,但也可以包括硬盘装置、显示器、键盘、鼠标等其他的硬件构成要素。另外,也可以取代由处理器执行记录在存储器中的控制程序从而以软件方式来实现功能,而通过专用的硬件(数字电路等)来实现其功能。
[0256](10)上述实施方式中的构成各装置的构成要素的一部分或全部也可以由I个系统LSI(Large Scale Integrat1n:大规模集成电路)构成。系统LSI是在一个芯片上集成多个构成部而制造出的超多功能LSI,具体而言,是构成为包括微处理器、R0M、RAM等的计算机系统。在所述RAM中记录有计算机程序。所述微处理器按照所述计算机程序进行工作,由此系统LSI实现其功能。另外,构成上述各装置的构成要素的各部分既可以单独地单芯片化,也可以以包括一部分或全部的方式单芯片化。另外,虽然此处设为系统LSI,但根据集成度不同,也可以称为IC、LS1、超大LSKsuper LSI),特大LSI(ultra LSI)。另外,集成电路化的方法不限于LSI,也可以通过专用电路或通用处理器实现。也可以在LSI制造后利用可编程的FPGA(Field Programmable Gate Array:现场可编程门阵列)和/或可以对LSI内部的电路单元的连接和/或设定进行重构的可重构处理器(reconfigurable processor)。再者,随着半导体技术的发展或派生的其他技术的出现,如果出现能够代替LSI的集成电路化的技术,当然也可以使用该技术进行功能模块的集成化。也存在应用生物技术等的可能性。
[0257](11)构成上述各装置的构成要素的一部分或全部也可以由能够装卸于各装置的IC卡或单体模块构成。所述IC卡或所述模块是由微处理器、R0M、RAM等构成的计算机系统。所述IC卡或所述模块也可以包括上述的超多功能LSI。微处理器按照计算机程序进行工作,由此所述IC卡或所述模块实现其功能。该IC卡或该模块可以具有防篡改性能。
[0258](12)作为本公开的一技术方案,例如也可以是图9、图11、图14、图15、图19、图20等所示的不正常应对方法。另外,也可以是通过计算机实现这些方法的计算机程序,还可以是通过所述计算机程序形成的数字信号。另外,作为本公开的一技术方案,也可以将所述计算机程序或所述数字信号记录于计算机可读取的记录介质,例如软盘、硬盘、CD_R0M、M0、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray (注册商标)Disc)、半导体存储器等。另外,也可以是记录在这些记录介质中的所述数字信号。另外,作为本公开的一技术方案,也可以将所述计算机程序或所述数字信号经由电通信线路、无线或有线通信线路、以互联网为代表的网络、数据广播等进行传输。另外,作为本公开的一技术方案,也可以是具备微处理器和存储器的计算机系统,所述存储器记录有上述计算机程序,所述微处理器按照所述计算机程序进行工作。另夕卜,通过将所述程序或所述数字信号记录在所述记录介质中移送,或者经由所述网络等将所述程序或所述数字信号进行转移,可以通过独立的其他的计算机系统来实施。
[0259](13)通过将上述实施方式及上述变形例中示出的各构成要素以及功能任意地进行组合而实现的方式也包含在本公开的范围内。
[0260]产业上的可利用性
[0261]本公开的一技术方案能够用于在一车辆被不正常地控制的可能性高的情况下为了抑制其影响而对其他车辆进行控制。
[0262]标号说明
[0263]10、20、30、40:车辆
[0264]50:认证中心(CA)
[0265]70:路侧设备
[0266]100: CAN 总线
[0267]101 ?103、201 ?203:电子控制单元(ECU)
[0268]110、210:不正常检测电子控制单元(不正常检测E⑶)
[0269]111:不正常信息通知部
[0270]112:白名单保持部
[0271]113:不正常帧检测部
[0272]114:帧生成部
[0273]115:帧解释部
[0274]116:帧收发部
[0275]120、220、720:等级解释部
[0276]130、230:车车间通信消息认证部
[0277]140、240:车车间通信消息收发部
[0278]150、250、750:车辆安全状态指示部
[0279]160、260:车外状况判断部
[0280]170、270:车载摄像头
[0281]180、280:激光雷达
[0282]190、290、790:位置信息取得部
[0283]1300: CA 证书
[0284]1301:车辆A私钥
[0285]1302:车辆A公钥证书
[0286]1303:证书失效列表(CRL)
[0287]2301:车辆B私钥
[0288]2302:车辆B公钥证书
[0289]300、300a ?300c、300A ?300E、390a ?390c:车车间通信消息
[0290]7 30:路车间通信消息认证部
[0291]740:路车间通信消息收发部
[0292]770:外部服务器通信部
【主权项】
1.一种不正常应对方法,其在搭载于一车辆的一个或者多个电子控制单元中使用,包括: 接收在搭载于其他车辆的车载网络中检测到不正常帧时从搭载于该其他车辆的装置发送的不正常检测通知; 根据接收到的所述不正常检测通知的内容,从预先确定的多个不正常应对处理中选择要执行的不正常应对处理,并执行该选择出的不正常应对处理。2.根据权利要求1所述的不正常应对方法, 所述不正常检测通知包含表示多个等级中的一个等级的等级信息, 根据接收到的所述不正常检测通知中包含的所述等级信息所表示的等级,进行不正常应对处理的所述选择。3.根据权利要求2所述的不正常应对方法, 对于不正常应对处理的所述选择,通过参照使所述多个等级分别与不正常应对处理相关联而得到的应对信息来进行,是对根据所述应对信息而与接收到的所述不正常检测通知中包含的所述等级信息所表示的等级对应的不正常应对处理的选择。4.根据权利要求3所述的不正常应对方法, 所述应对信息中与所述多个等级中任意一个以上的等级相关联的各不正常应对处理包含下述控制中的至少一个控制:使所述一车辆的行驶停止的控制、使该车辆慢行的控制、使该车辆与前方车辆的车间距离保持在一定范围内而行驶的控制、以及向该车辆的驾驶员进行报告的控制。5.根据权利要求2至4中任一项所述的不正常应对方法, 还包括:基于接收到的所述不正常检测通知的内容来判定是否满足预定条件,在满足该预定条件的情况下向所述一车辆的外部发送该不正常检测通知,在不满足该预定条件的情况下不发送该不正常检测通知。6.根据权利要求5所述的不正常应对方法, 所述不正常检测通知包含表示转送的条件的条件信息, 以在接收到的所述不正常检测通知中包含的所述条件信息所表示的转送的条件被满足的情况下判定为满足所述预定条件的方式进行所述判定,以在该条件信息所表示的转送的条件未被满足的情况下判定为未满足所述预定条件的方式进行所述判定。7.根据权利要求5所述的不正常应对方法, 所述不正常检测通知包含位置信息,所述位置信息表示关于搭载有检测到所述不正常帧并发送了该不正常检测通知的所述装置的所述其他车辆所测定的位置, 所述预定条件为如下条件:关于所述一车辆测定出的位置与接收到的所述不正常检测通知中包含的所述位置信息所表示的位置之间的距离在一定范围内。8.根据权利要求5所述的不正常应对方法, 所述不正常检测通知包含表示次数的次数信息, 所述预定条件为如下条件:到接收来自检测到所述不正常帧并发送了所述不正常检测通知的所述装置的该不正常检测通知为止,被转送的次数比预定次数少, 基于接收到的所述不正常检测通知中包含的所述次数信息,进行涉及是否满足所述预定条件的所述判定, 在接收到的所述不正常检测通知的所述发送时,更新该不正常检测通知中包含的所述次数信息后进行该发送。9.根据权利要求5所述的不正常应对方法, 所述不正常检测通知包含表示时刻的时刻信息, 所述预定条件为如下条件:从接收到的所述不正常检测通知中包含的所述时刻信息所表示的时刻起的经过时间比预定时间短。10.根据权利要求5所述的不正常应对方法, 在接收到的所述不正常检测通知的所述发送时,基于预定等级变更规则更新该不正常检测通知中包含的所述等级信息后进行该发送。11.一种不正常应对方法,其通过在第一车辆以及第二车辆之间进行通信来应对不正常的事态,包括: 当在搭载于所述第一车辆的车载网络中检测到不正常帧时,搭载于该第一车辆的装置发送不正常检测通知; 搭载于所述第二车辆的一个或者多个电子控制单元接收所述不正常检测通知,根据接收到的该不正常检测通知的内容,从预先确定的多个不正常应对处理中选择要执行的不正常应对处理,并执行该选择出的不正常应对处理。12.根据权利要求11所述的不正常应对方法, 搭载于所述第一车辆的所述装置在所述不正常帧被检测到时,使表示区分帧ID而预先确定的多个等级中的、基于该不正常帧的帧ID所选定的一个等级的等级信息包含于所述不正常检测通知并进行所述发送, 搭载于所述第二车辆的一个或者多个所述电子控制单元根据接收到的所述不正常检测通知中包含的所述等级信息所表示的等级,进行不正常应对处理的所述选择。13.—种不正常应对方法,其在与搭载于一车辆的车载网络连接的电子控制单元中使用,包括: 在搭载于所述一车辆的车载网络中检测到不正常帧的情况下向其他车辆发送不正常检测通知。14.一种电子控制单元,具备: 接收部,其接收在与搭载有本单元的车辆不同的另外的车辆所搭载的车载网络中检测到不正常帧时从搭载于该另外的车辆的装置发送的不正常检测通知;以及 不正常应对部,其根据由所述接收部接收到的所述不正常检测通知的内容,从预先确定的多个不正常应对处理中选择要执行的不正常应对处理,并执行该选择出的不正常应对处理。15.—种电子控制单元,其连接于车载网络,具备: 不正常检测部,其检测在所述车载网络中发送的不正常帧;以及 发送部,其在由所述不正常检测部检测到不正常帧的情况下,向与搭载本单元的车辆不同的另外的车辆发送不正常检测通知。
【文档编号】G08G1/09GK106062847SQ201580011083
【公开日】2016年10月26日
【申请日】2015年11月17日 公开号201580011083.7, CN 106062847 A, CN 106062847A, CN 201580011083, CN-A-106062847, CN106062847 A, CN106062847A, CN201580011083, CN201580011083.7, PCT/2015/5720, PCT/JP/15/005720, PCT/JP/15/05720, PCT/JP/2015/005720, PCT/JP/2015/05720, PCT/JP15/005720, PCT/JP15/05720, PCT/JP15005720, PCT/JP1505720, PCT/JP2015/005720, PCT/JP2015/05720, PCT/JP2015005720, PCT/JP201505720
【发明人】芳贺智之, 松岛秀树, 氏家良浩, 岸川刚
【申请人】松下电器(美国)知识产权公司