网关、车载通信系统、通信控制方法和通信控制程序与流程

本发明涉及网关、车载通信系统、通信控制方法和通信控制程序。

本发明要求基于2016年9月27日提交的日本专利申请特许公开no.2016-187940的优先权，并且包含相同公开内容的全部描述。

背景技术：

专利文献1(日本专利申请特许公开no.2016-12932)已公开了以下站装备(stationequipment)。即，站装备包括(用于当前使用的)主动系统osu1到osun、备用系统(备用的)osun+1和控制单元。控制单元与网络管理系统(nms)交换关于链接到逻辑线(logicalline)的osu的管理信息。逻辑线由光线单元(opticallineunit)和无源光网络的固定组合来限定。另一方面，osu获取链接到实线(realline)的管理信息。实线表示光网络单元和无源光网络的实际组合。控制单元通过使用映射信息在逻辑线和实线之间相反地转换链接到管理信息的线。

现有技术文件

专利文献

专利文献1：日本专利申请特许公开no.2016-12932

专利文献2：日本专利申请特开no.2015-88815

技术实现要素：

(1)根据本公开的网关是一种安装在车辆上的网关，包括：通信单元，其能够通过能够与所述车辆外部的外部装置通信的其他网关与外部装置通信，其中，所述其他网关包括：执行中继通信数据的中继处理的交换单元；以及控制所述交换单元的所述中继处理的处理单元，其中，所述通信单元能够将从所述交换单元接收的通信数据中继到所述车辆内的装置，其中，所述网关还包括：控制单元，其确定所述处理单元中的异常，并且如果确定发生所述异常，则控制所述交换单元的所述中继处理。

(8)根据本公开的车载通信系统是一种安装在车辆上的车载通信系统，包括：能够与所述车辆外部的外部装置通信的第一网关；以及能够通过所述第一网关与所述外部装置通信的第二网关，

其中，所述第一网关包括：执行中继通信数据的中继处理的交换单元；以及控制所述交换单元的所述中继处理的处理单元，其中，所述第二网关能够将从所述交换单元接收的通信数据中继到所述车辆内部的装置，并且所述第二网关确定所述处理单元中的异常，并且如果确定发生所述异常，则控制所述交换单元的所述中继处理。

(9)根据本公开的通信控制方法是一种用于安装在车辆上的网关的通信控制方法，其中，所述网关能够通过能够与所述车辆外部的所述外部装置通信的其他网关与所述外部装置通信，其中，所述其他网关包括：执行中继通信数据的中继处理的交换单元；以及控制所述交换单元的所述中继处理的处理单元，其中，所述网关能够将从所述交换单元接收的通信数据中继到所述车辆内部的装置，所述通信控制方法包括：确定所述处理单元中的异常的步骤，以及如果确定发生所述异常，则控制所述交换单元的所述中继处理的步骤。

(10)根据本公开的通信控制方法是一种用于安装在车辆上的车载通信系统的通信控制方法，其中，所述车载通信系统包括：能够与车辆外部的外部装置通信的第一网关；以及，能够通过所述第一网关与所述外部装置通信的第二网关，其中，所述第一网关包括：执行中继通信数据的中继处理的交换单元，以及控制所述交换单元的所述中继处理的处理单元，其中，所述第二网关能够将从所述交换单元接收的通信数据中继到所述车辆内部的装置，所述通信控制方法包括：确定所述处理中的异常的步骤，以及如果确定发生所述异常，则控制所述交换单元的所述中继处理的步骤。

(11)根据本公开的通信控制程序是一种用于在安装在车辆上的网关中使用的通信控制程序，所述程序使计算机用作能够通过其他网关与外部装置通信的通信单元，所述其他网关能够与所述车辆外部的所述外部装置通信，其中，所述其他网关包括：执行中继通信数据的中继处理的交换单元；以及控制所述交换单元的所述中继处理的处理单元，其中，所述通信单元能够将从所述交换单元接收的通信数据中继到所述车辆内部的装置，所述通信控制程序还使计算机用作控制单元，如果确定发生所述异常，则所述控制单元控制所述交换单元的所述中继处理。

本公开的实施例不仅可以实现为包括上述特性处理单元的网关，而且可以实现为实现网关的一部分或全部的半导体集成电路。

此外，本公开的实施例不仅可以实现为具有这种特性处理单元的车载通信系统，而且可以实现为实现车载通信系统的一部分或全部的半导体集成电路。

附图说明

图1是示出根据本发明的实施例的车载通信系统的配置的示图。

图2是示出根据本发明的实施例的车载通信系统中的车外网关的配置的示图。

图3是示出根据本发明的实施例的车载通信系统中的车内网关的配置的示图。

图4是指定当根据本发明的实施例的车载通信系统中的车内网关在车外网关中执行中继处理时的操作步骤的流程图。

具体实施方式

传统上，已经开发了用于提供高质量服务的系统的复制(冗余)

技术。

[本发明要解决的问题]

存在这样的情况：车辆设置有用于将来自车辆外部的装置的信息中继到车辆内部的内部装置的网关。利用这样的配置，例如，如果网关接收到连续发送的大量数据的故意攻击，则网关的操作变得不稳定。已经需要一种能够通过系统的冗余实现网关的稳定操作的技术。然而，在专利文献1中没有公开这种冗余。

已经实现本公开以解决上述问题，并且本发明的目的是提供一种网关、车载通信系统、通信控制方法和通信控制程序，其实现用于中继来自车载网络中的外部装置的信息的网关的稳定操作。

[本公开的效果]

根据本公开，可以在车内网络中实现用于中继来自外部装置的信息的网关的更稳定的操作。

[本发明的实施例的描述]

首先，将按顺序描述本发明的实施例的内容。

(1)根据本发明的实施例的网关是一种安装在车辆上的网关，包括：通信单元，其可以通过能够与所述车辆外部的外部装置通信的其他网关与所述外部装置通信，其中，所述其他网关包括：执行中继通信数据的中继处理的交换单元；以及控制所述交换单元的所述中继处理的处理单元，其中，所述通信单元可以将从所述交换单元接收的通信数据中继到所述车辆内部的装置，其中，所述网关还包括：控制单元，其确定所述处理单元中的异常，并且如果确定发生所述异常，则控制所述交换单元的所述中继处理。

利用这样的配置，例如，如果其他网关从外部装置接收到故意攻击，使得它不能适当地控制自己的中继处理，则所述网关可以代替其他网关控制其他网关的中继处理。因此，在车载网络中实现了中继来自外部装置的信息的网关的操作中的冗余，从而实现了网关的更稳定的操作。因此，可以稳定地中继通信数据。因此，可以避免例如用于自动驾驶的车辆控制的任何重要通信数据未被中继的情况。

(2)优选地，所述控制单元通过控制所述交换单元的所述中继处理，来控制所述外部装置的通过所述交换单元51的通信。

利用这样的配置，可以对应于用于中继处理的对象来控制交换单元的中继处理。更具体地，例如，可以在继续用于车辆内部的各装置之间的通信数据的中继处理的同时，停止或禁止用于与外部装置的通信数据的中继处理。

(3)更优选地，所述控制单元控制所述交换单元的所述中继处理，以便关闭来自外部装置的通信。

利用这样的配置，可以防止不利数据(例如，旨在攻击的大量数据和非法数据)流入车载网络。因此，可以提高车载网络的安全性。

(4)优选地，所述控制单元通过控制所述交换单元的所述中继处理，来控制所述车辆内部的装置的通过所述交换单元的通信。

利用这样的配置，可以对应于用于中继处理的对象来控制交换单元的中继处理。更具体地，例如，可以停止或禁止车辆内部的装置的通过交换单元的通信。

(5)优选地，所述控制单元确定所述交换单元中的异常，然后执行与确定结果相对应的处理。

利用这样的配置，无论处理单元中的正常或异常，都可以确定指示用于通信数据的通信路由的路由表中的异常和关于中继处理的诸如低成功率的异常。此外，如果控制单元确定交换单元异常，则控制单元识别出没有适当地执行车辆内部的各装置之间的中继处理，并且执行必要的处理。如果控制单元确定交换单元正常，则控制单元可以继续车辆内部的各装置之间的中继处理。

(6)更优选地，如果确定在所述交换单元中发生异常，则所述控制单元关闭车辆内部的装置的通过得到车辆的所述网关的通信。

利用这样的配置，例如，当车辆内的装置不通过其他网关而连接到车辆外部的网络时，可以防止不利的数据错误地从外部网络流入车载网络。

(7)更优选地，所述控制单元基于关于所述交换单元的异常确定结果来通知内容。

这样的配置可以向用户通知其他网关中的异常中继处理的情况。

(8)根据本发明的实施例的车载通信系统是一种安装在车辆上的车载通信系统，包括：可以与所述车辆外部的外部装置通信的第一网关；以及可以通过所述第一网关与所述外部装置通信的第二网关，其中，所述第一网关包括：执行中继通信数据的中继处理的交换单元；以及控制所述交换单元的所述中继处理的处理单元，其中，所述第二网关可以将从所述交换单元接收的通信数据中继到所述车辆内部的装置，并且所述第二网关确定所述处理单元中的异常，且如果确定发生所述异常，则控制所述交换单元的所述中继处理。

利用这样的配置，例如，如果第一网关从外部装置接收到故意攻击，使得它不能适当地控制自己的中继处理，则第二网关可以代替第一网关控制第一网关的中继处理。因此，在车载网络中实现了中继来自外部装置的信息的网关的操作中的冗余，从而实现了网关的更稳定的操作。结果，可以稳定地中继通信数据。因此，可以避免例如用于自动驾驶的车辆控制的任何重要通信数据未被中继的情况。

(9)根据本发明的实施例的通信控制方法是一种用于安装在车辆上的网关的通信控制方法，其中，所述网关可以通过能够与所述车辆外部的外部装置通信的其他网关与所述外部装置通信，其中，所述其他网关包括：执行中继通信数据的中继处理的交换单元；以及控制所述交换单元的所述中继处理的处理单元，其中，所述网关可以将从所述交换单元接收的通信数据中继到所述车辆内部的装置，所述通信控制方法包括：确定所述处理单元中的异常的步骤，以及如果确定发生所述异常，则控制所述交换单元的所述中继处理的步骤。

利用这样的配置，例如，如果其他网关从外部装置接收到故意攻击，使得它不能适当地控制自己的中继处理，则所述网关可以代替其他网关控制其他网关的中继处理。因此，在车载网络中实现了中继来自外部装置的信息的网关的操作中的冗余，从而实现了网关的更稳定的操作。因此，可以稳定地中继通信数据。因此，可以避免例如用于自动驾驶的车辆控制的任何重要通信数据未被中继的情况。

(10)根据本发明的实施例的通信控制方法是一种用于安装在车辆上的车载通信系统的通信控制方法，其中，所述车载通信系统包括：可以与所述车辆外部的外部装置通信的第一网关；以及，可以通过所述第一网关与所述外部装置通信的第二网关，其中，所述第一网关包括：执行中继通信数据的中继处理的交换单元，以及控制所述交换单元的所述中继处理的处理单元，其中，所述第二网关可以将从所述交换单元接收的通信数据中继到所述车辆内部的装置，所述通信控制方法还包括：确定所述处理中的异常的步骤，以及如果确定发生所述异常，则控制所述交换单元的所述中继处理的步骤。

利用这样的配置，例如，如果第一网关从外部装置接收到故意攻击，使得它不能适当地控制自身的中继处理，则第二网关可以代替第一网关控制第一网关的中继处理。因此，在车载网络中实现了中继来自外部装置的信息的网关的操作中的冗余，从而实现了网关的更稳定的操作。因此，可以稳定地中继通信数据。因此，可以避免例如用于自动驾驶的车辆控制的任何重要通信数据未被中继的情况。

(11)根据本发明的实施例的通信控制程序是一种用于在安装在车辆上的网关中使用的通信控制程序，所述程序使计算机用作通信单元，所述通信单元可以通过能够与所述车辆外部的外部装置通信的其他网关与外部装置通信，其中，所述其他网关包括：执行中继通信数据的中继处理的交换单元，以及控制所述交换单元的所述中继处理的处理单元，其中，所述通信单元可以将从所述交换单元接收的通信数据中继到所述车辆内部的装置，所述通信控制程序还使计算机用作控制单元，如果确定发生所述异常，则所述控制单元控制所述交换单元的所述中继处理。

利用这样的配置，例如，如果其他网关从外部装置接收到故意攻击，使得它不能适当地控制自身的中继处理，则所述网关可以代替其他网关控制其他网关的中继处理。因此，在车载网络中实现了中继来自外部装置的信息的网关的操作中的冗余，从而实现了网关的更稳定的操作。因此，可以稳定地中继通信数据。因此，可以避免例如用于自动驾驶的车辆控制的任何重要通信数据未被中继的情况。

在下文中，将参考附图描述本发明的实施例。同时，相同的附图标记附于相同的组件或等同的组件，以便跳过其重复描述。此外，允许组合下面描述的各实施例的至少一部分。

[配置和基本操作]

图1是示出根据本发明的实施例的车载通信系统的配置的示图。

参照图1，车载通信系统301包括车内网关101和车外网关151。

车载通信系统301安装在车辆上。此外，作为车辆内部的装置的示例，多个车内通信装置111、多个车外通信装置112和多个控制装置113安装在车辆上。

同时，车辆不限于具有多个车内通信装置111的配置，而是可以被配置为具有单个车内通信装置111。此外，车辆不限于具有多个车外通信装置112的配置，而是可以被配置为具有单个内通信装置111。此外，车辆不限于具有多个控制装置113的配置，而是可以被配置为具有单个控制装置113。

车内通信装置111例如是用于自动驾驶的人机接口、照相机、激光雷达、传感器、音频、导航装置、和驾驶辅助系统，并且能够与车外网关151通信。

车外通信装置112例如是无线电通信装置和通信模块。例如，根据诸如lte(长期演进)和3g的通信标准，无线电通信装置可以无线地与无线电站装备161通信，并且进一步地可以与车外网关151通信。

通信模块可以根据通信标准(例如，obd2(车载诊断第二代))无线地与维护终端装置163通信，并进一步地可以与车外网关151通信。同时，除维护时间外，维护终端装置163可以不连接到通信模块。

控制装置113例如是发动机控制装置、at(自动变速器)控制装置、hev(混合动力车辆)控制装置、制动控制装置、底盘控制装置、转向控制装置和仪器指示控制装置。

具体地，车内网关101是中央网关，并且可以通过can(控制器区域网络)11与控制装置113通信，并且还可以与车外网关151通信。

车内网关101执行关于在控制装置113、车内通信装置111和车外通信装置112之间交换的信息的中继处理。

车外网关151例如通过以太网(注册商标)电缆10连接到车内通信装置111、车外通信装置112和车内网关101。

车外网关151可以与直接与其连接的车内通信装置111、车外通信装置112和车内网关101通信。

通过使用以太网帧在车外网关151和直接连接到车外网关151的其他装置之间交换信息。

此外，车外网关151可以与车辆外部的外部装置通信。更具体地，车外网关151可以通过车外通信装置112和无线电站设备161与作为外部装置的示例的服务器通信。

此外，车外网关151可以通过车外通信装置112与链接至作为外部装置的示例的维护终端装置163的车外通信装置112通信。

[车外网关151的配置]

图2是示出根据本发明的实施例的车载通信系统的车外网关的配置的示图。

参照图2，车外网关151包括交换单元51、处理单元52和多个通信端口54。

车外网关151的通信端口54例如是可以连接到以太网电缆10的端子。同时，通信端口54可以是ic端子。

多个通信端口54中的每一个通过以太网电缆10连接到车内网关101、车内通信装置111和车外通信装置112中的任何一个。

此外，多个通信端口54对应于各自的lan(局域网)。更具体地，例如，作为车内通信装置111的示例的人机接口、相机、激光雷达、传感器、导航装置、驾驶辅助系统和车内网关101属于lan1。连接到这些装置的通信端口54对应于lan1。

此外，多个车外通信装置112属于lan2，lan2不同于lan1。连接到各自的车外通信装置112的通信端口54对应于lan2。

交换单元51执行中继通信数据的中继处理。更具体地，交换单元51例如是l2(第2层)交换机，并且特定mac地址被分配给每个通信端口54。

此外，交换单元51包含用于每个lan的路由表，该路由表指示用于要在属于同一lan的各装置之间交换的以太网帧的通信路由。

例如，在路由表上指示用于将从导航装置接收的以太网帧发送到车内网关101的通信路由。更具体地，路由表包含以下三者之间的对应关系：作为发送方的导航装置的mac地址、作为目的地的车内网关101的mac地址和连接到该车内网关101的通信端口54的端口号。

例如，如果交换单元51从导航装置接收到以太网帧，则它确认包含在接收到的以太网帧中的发送方mac地址和目的地mac地址，然后从路由表中获取与这些地址相对应的端口号。然后，交换单元51通过与所获取的端口号相对应的通信端口54将接收到的以太网帧发送到目的地装置，即车内网关101。

此外，例如，交换单元51包含指示针对每个通信路由的中继处理的成功/失败结果的管理数据库。这里，通信路由由发送方mac地址和目的地mac地址以及与这些地址对应的端口号指定，其中发送方mac地址和目的地mac包含在交换单元51已执行中继处理的以太网帧中。

每次执行中继处理时，交换单元51将中继处理的成功/失败结果记录在管理数据库中。因此，对于每个通信路由，管理数据库对中继处理已成功的以太网帧的数量和中继处理已经失败的以太网帧的数量进行计数。

此外，例如，如果交换单元51接收到在属于不同lan的装置之间发送的以太网帧，则交换单元51从接收到的以太网帧获取ip包，并将获取的ip包输出到处理单元52。

更具体地，例如，如果交换单元51接收到要从车外通信装置112发送到车外网关101的以太网帧，则交换单元51从接收到的以太网帧获取ip包，然后，将获取的ip包输出到处理单元52。

处理单元52控制交换单元51的中继处理。更具体地，例如，处理单元52在交换单元51中设置路由表的内容，并且进一步通过执行第3层(l3)路由和第4层(l4)路由来控制交换单元51的中继处理。

更具体地，例如，处理单元52包含指示通信端口54的端口号和与该端口号相对应的ip地址之间的对应关系的路由表。

例如，如果处理单元52从交换单元51接收到ip包，则处理单元52基于包含在所接收到的ip包中的ip地址和路由表，确定从属于lan2的车外通信装置112接收到的ip包应该被发送到属于lan1的车内网关101。

然后，处理单元52从路由表中获取与ip地址对应的端口号，并将获取的端口号和ip包输出到交换单元51。

如果交换单元51从处理单元52接收到端口号和ip包，则交换单元51将接收到的ip包存储在以太网帧中，然后通过给定端口号的通信端口54将以太网帧发送到目的地装置，即车内网关101。

此外，交换单元51和处理单元52例如通过串行电缆12连接到车内网关101，使得交换单元51和处理单元52可以执行与车内网关101的串行通信。

[问题]

在车外网关151中，处理单元52可以通过车外通信装置112接收到从外部装置发送的大量数据的攻击。

如果处理单元52接收到dos攻击，则处理单元52不能有利地控制交换单元51中的中继处理。在这种情况下，用于自动驾驶的通信数据，例如来自相机和激光雷达的以太网帧，可能无法适当地中继到驾驶辅助系统。此外，例如，如果导航系统不通过车外网关151而连接到车辆外部的网络，则可以通过来自导航系统的通信数据非法地重写车辆内部的装置的固件。

然后，在根据本发明的实施例的车载通信系统中，通过如下描述的配置和操作解决了这样的问题。

[车内网关101的配置]

图3是示出根据本发明的实施例的车载通信系统中的车内网关的配置的示图。

参照图3，车内网关101包括通信单元31和控制单元32。

车内网关101中的通信单元31可以通过车外网关151与外部装置(即，服务器和维护终端装置163)通信。

通信单元31可以将从车外网关151的交换单元51接收的通信数据中继到控制装置113。此外，通信单元31可以将从控制装置113接收的通信数据中继到交换单元51。

更具体地，通信单元31通过执行can协议和以太网通信协议之间的协议转换来中继通信数据。当通信单元31从交换单元51接收到以太网帧时，通信单元31从接收的以太网帧获取信息，然后将根据can协议的存储了所获取的信息的包发送到控制装置113。

此外，当通信单元31从控制装置113接收到根据can协议的包时，通信装置31从接收的包中获取信息，并将存储了所获取的信息的以太网帧发送到交换单元51。

参照图2和图3，控制单元32确定车外网关151的处理单元52中的异常。更具体地，例如，控制单元32周期性地对处理单元52执行健康检查。

更具体地，控制单元32通过串行电缆周期性地获取处理单元52包含的cpu(中央处理单元)中的寄存器的值，然后基于所获取的值确定是否将处理单元52挂起。同时，控制单元32可以通过以太网电缆10获取上述cpu中的寄存器的值。

如果将处理单元52挂起，则控制单元32确定处理单元52是异常的，并且然后，如果处理单元52正常操作而没有被挂起，则控制单元32确定处理单元52是正常的。

此外，控制单元32通过通信单元31和以太网电缆10周期性地发送ping包。除非控制单元32可以在预定时间间隔内通过以太网电缆10和通信单元31从车外网关151接收到对ping包的响应包，否则因为车外网关151的处理单元52被挂起，控制单元32确定处理单元52是异常的。另一方面，如果控制单元32能够在预定时间间隔内通过以太网电缆10和通信单元31从车外网关151接收到该响应，则控制单元32确定处理单元52是正常的。

如果控制单元32确定在处理单元52中发生异常，则控制单元32控制交换单元51的中继处理。具体地，控制单元32通过控制交换单元51的中继处理来控制外部装置的通过交换单元51的通信。

具体地，控制单元32控制交换单元51的中继处理，以便关闭来自外部装置的通信。

更具体地，例如，控制单元32通过串行电缆12控制车外网关151中的交换单元51，将交换单元51的主机从处理单元52改变为其自身。

然后，控制单元32将交换单元51设置为废除(abolish)通过车外通信装置112从外部装置接收的以太网帧。

更具体地，控制单元32通过串行电缆12将指示上述设置的设置指令s1发送到车外网关151。

如果车外网关151中的交换单元51从车内网关101接收到设置指令s1，则交换单元51执行废除通过车外通信装置112从外部装置接收的以太网帧的操作。

因此，在车外网关151中，通过车外通信装置112从外部装置接收的以太网帧中所含有的ip包不被输出到处理单元52，使得可以将处理单元52从挂起情况中恢复。

此外，控制单元32通过控制交换单元51的中继处理来控制车辆内部的装置的通过交换单元51的通信。

具体地，例如，控制单元32确定交换单元51中的异常。更具体地，控制单元32具有常规路由表，其为适当的路由表。控制单元32通过串行电缆12获取车外网关151中的交换单元51所拥有的路由表，并将所获取的路由表与常规路由表进行比较。

除非从交换单元51获取的路由表和常规路由表彼此一致，否则控制单元32确定路由表已被不适当地重写，然后确定交换单元51是异常的。

此外，例如，控制单元32通过串行电缆12从交换单元51获取管理数据库。控制单元32通过参照所获取的管理数据库来确定交换单元51处的中继处理是成功还是失败。

例如，控制单元32基于管理数据库计算中继处理的成功率，并且如果在计算的成功率中存在低于预定阈值的成功率，则控制单元32确定交换单元51是异常的。

同时，控制单元32不限于通过串行电缆12获取路由表和管理数据库的配置，而是可以库中的至少任意一个。

控制单元32执行被配置为通过通信单元31和以太网电缆10获取路由表和管理数据与通过交换单元51的异常确定结果相对应的处理。具体地，如果控制单元32确定发生异常，则控制单元32关闭车辆内部的装置的通过车辆的车内网关101的通信。

更具体地，例如，控制单元32通过串行电缆12控制车外网关151中的交换单元51，将交换单元51的主机从处理单元52改变为其自身。

控制单元32将车外网关151中的交换单元51设置为废除从车内通信装置111到控制装置113中的以太网帧。

更具体地，控制单元32通过串行电缆12将指示上述设置的设置指令s2发送到车外网关151。

当车外网关151中的交换单元51从车内网关101接收到设置指令s2时，交换单元51根据接收到的设置指令s2执行废除将要从车内通信装置111发送到控制装置113的以太网帧的操作。

因此，车载通信系统301可以防止从不通过车外网关151而连接到车辆外部的网络的车内通信装置111(例如导航系统)发送的以太网帧被中继到控制装置113。因此，可以禁止控制装置113中的固件被不适当地重写。

此外，例如，控制单元32基于异常确定结果通知内容。更具体地，如果通过通信端口54执行的中继处理的成功率低于预定阈值，其中诸如音频和导航装置的用于多媒体系统的车内通信装置111连接到该通信端口54，则控制单元32创建通知信息，该通知信息指示在用于多媒体系统的车内通信装置111的通信中已经发生了异常。

另一方面，如果通过通信端口54执行的中继处理的成功率低于预定阈值，其中诸如相机和激光雷达的用于收集用于自动驾驶的数据的车内通信装置111连接到该通信端口54，则控制单元32创建警告信息，该警告信息指示在用于自动驾驶系统的车内通信装置111的通信中发已经生了异常。

控制单元32例如通过通信单元31和can11将创建的通知信息和警告信息发送到仪器指示控制装置。

如果仪器指示控制装置接收到来自车内网关101的通知信息和警告信息，则仪器指示控制装置通过在仪器上指示接收到的信息来通知用户。

同时，控制单元32不限于向仪器指示控制装置发送创建的通知信息和警告信息的配置，而是可以通过车外网关151和车外通信装置112将通知信息和警告信息发送到诸如由用户携带的智能电话的无线电终端装置。

[操作]

车载通信系统301的各个单元具有计算机。诸如计算机的cpu的算术运算单元读出并执行包含下面描述的序列图或流程图的各个步骤的部分或全部的程序。这些单元的程序中的每一个都可以从外部安装。这些单元的程序在市场中分发，条件是每个程序存储在记录介质中。

图4是指定当根据本发明的实施例的车载通信系统中的车内网关在车外网关中执行中继处理时的操作步骤的流程图。

参照图4，假设车外网关151中的处理单元52是交换单元51的主机的情况。

首先，车内网关101等待直到用于执行周期性确定的定时到来(步骤s102中的“否”)。

然后，如果用于确定的定时到来了(步骤s102中的“是”)，则车内网关101确定车外网关151中的交换单元51和处理单元52的异常(步骤s104)。

接下来，如果车内网关101确定处理单元52是异常的(步骤s106中的“是”)，则车内网关101将设置指令s1发送到车外网关151中的交换单元51(步骤s108)。

接下来，如果车内网关101将设置指令s1发送到车外网关151(步骤s108)或者确定处理单元52是正常的(步骤s106中的“否”)，则车内网关101执行以下处理。

即，如果车内网关确定交换单元51异常(步骤s110中的“是”)，则车内网关101将设置指令s2发送到车外网关151中的交换单元51(步骤s112)。

接下来，车内网关101通知通知信息和警告信息的内容，这些内容对应于在通过交换单元51的中继处理中发生异常的通信路由而创建(步骤s114)。

接下来，车内网关101通知通知信息和警告信息的内容(步骤s114)，或者如果车内网关101确定交换单元51正常(步骤s110中的“否”)，则车内网关101等待直到用于执行新的确定的定时到来(步骤s102中的“否”)。

同时，上述步骤s106-s108和步骤s110-s114的顺序不限于以上描述，而是可以进行交换。

此外，步骤s112和s114的上述顺序不限于以上描述，而是可以进行交换。

此外，在根据本发明的实施例的车载通信系统中，如果控制单元32确定在车外网关151中的处理单元52中发生异常，则车内网关101中的控制单元32被配置为控制外部装置的通过交换单元51的通信并且控制车辆内部的装置的通过交换单元51的通信。然而，控制单元32不限于该配置。如果控制单元32确定在处理单元52中发生异常，则控制单元32可以配置为控制这些通信中的任何一个。

此外，在根据本发明的实施例的车载通信系统中，车内网关101中的控制单元32被配置为控制交换单元51的中继处理，以便关闭来自外部装置的通信，控制单元32不限于这种配置。控制单元32可以被配置为控制交换单元51的中继处理以抑制来自外部装置的通信的数据量。

此外，在根据本发明的实施例的车载通信系统中，车内网关101中的控制单元32被配置为关闭车辆内部的装置的通过车内网关101的通信，控制单元32不限于这种配置。控制单元32可以被配置为抑制车辆内部的装置的通过车内网关101的通信的通信数据量。

此外，在根据本发明的实施例的车载通信系统中，车内网关101中的控制单元32被配置为确定车外网关151中的处理单元52和交换单元51两者中的异常，控制单元32不限于该配置。控制单元32可以被配置为不确定交换单元51中的异常，尽管其确定处理单元52中的异常。

此外，在根据本发明的实施例的车载通信系统中，如果控制单元32确定在交换单元51中发生异常，则车内网关101中的控制单元32被配置为控制车辆内部的装置的通过交换单元51的通信，控制单元32不限于该配置。如果控制单元32确定在处理单元52中发生异常，则控制单元32可以被配置为控制车辆内部的装置的通过交换单元51的通信。更具体地，如果确定将处理单元52挂起，则处理单元52控制车辆内部的装置的通过交换单元51的通信。

此外，在根据本发明的实施例的车载通信系统中，车内网关101中的控制单元32被配置为通过串行电缆12控制车外网关151中的交换单元51的中继处理，控制单元32不限于这种配置。控制单元32可以被配置为通过通信单元31和以太网电缆10控制车外网关151中的交换单元51的中继处理。

顺便提及，可以在车辆中设置网关，其用于将来自车辆外部的外部装置的信息中继到车辆内部的内部装置。利用这样的配置，如果网关接收到从外部装置发送的大量数据的故意攻击，则网关的操作变得不稳定。已经需要能够通过系统的冗余实现网关的更稳定操作的技术。然而，在专利文献1中没有公开这种冗余。

相反，将根据本发明的实施例的车辆网关安装在车辆上。通信单元31可以通过能够与车辆外部的外部装置通信的其他网关与外部装置通信。其他网关包括执行中继通信数据的中继处理的交换单元51和控制交换单元51的中继处理的处理单元52。通信单元31可以将从交换单元51接收的通信数据中继到车辆内部的装置。然后，控制单元32确定处理单元52中的异常，并且如果确定发生异常，则控制单元32控制交换单元51的中继处理。

利用这样的配置，例如，如果其他网关从外部装置接收到故意攻击，使其无法适当地控制自己的中继处理，则车内网关101可以代替其他网关控制其他网关的中继处理。因此，在车载网络中实现了中继来自外部装置的信息的网关的操作中的冗余，从而实现了网关的更稳定的操作。因此，可以稳定地中继通信数据。因此，可以避免例如用于自动驾驶的车辆控制的任何重要通信数据未被中继的情况。

此外，在根据本发明的实施例的车内网关中，控制单元32通过控制交换单元51的中继处理来控制外部装置的通过交换单元51的通信。

利用这样的配置，因此可以对应于对象来控制交换单元51的中继处理。更具体地，尽管用于车辆内部的各装置之间的通信数据的中继处理继续，但是可以停止或禁止用于与外部装置的通信数据的中继处理。

此外，在根据本发明的实施例的车辆网关中，控制单元32控制交换单元51的中继处理，以便关闭来自外部装置的通信。

利用这样的配置，可以防止不利数据(例如，旨在攻击的大量数据和非法数据)流入车载网络。因此，可以提高车载网络的安全性。

此外，在根据本发明的实施例的车辆网关中，控制单元32通过控制交换单元51的中继处理来控制车辆内部的装置的通过交换单元51的通信。

利用这样的配置，因此可以对应于对象来控制交换单元51的中继处理。更具体地，例如，可以停止或禁止车辆内部的装置的通过交换单元51的通信。

此外，在根据本发明的实施例的车内网关中，控制单元32确定交换单元51中的异常，然后，执行与确定结果相对应的处理。

利用这样的配置，无论处理单元52中的正常或异常，都可以确定指示用于通信数据的通信路由的路由表中的异常和关于中继处理的诸如低成功率的异常。此外，如果控制单元32确定交换单元51异常，则控制单元32识别出车辆内部的各装置之间的中继处理未被适当地执行并执行必要的处理。如果控制单元32确定交换单元正常，则控制单元32可以继续车辆内部的各装置之间的中继处理。

此外，在根据本发明的实施例的车内网关中，如果控制单元32确定在交换单元51中发生异常，则控制单元32关闭车辆内部的装置的通过车辆的车内网关101的通信。

利用这样的配置，例如，当车辆内的装置不通过其他网关而连接到车辆外部的网络时，可以防止不利的数据错误地从外部网络流入车载网络。因此，可以提高车载网络中的安全性。

此外，在根据本发明的实施例的车内网关中，控制单元32基于异常确定结果通知内容。

这样的配置可以通知用户其他网关中的异常中继处理的情况。

此外，将根据本发明的实施例的车载通信系统安装在车辆上。车外网关151可以与车辆外部的外部装置通信。车内网关101可以通过车外网关151与外部装置通信。在车外网关151中，交换单元51执行中继通信数据的中继处理。处理单元52控制交换单元51的中继处理。车内网关101可以将从交换单元51接收的通信数据中继到车辆内部的装置。然后，车内网关101确定处理单元52中的异常，并且如果确定发生异常，则车内网关101控制交换单元51的中继处理。

利用这样的配置，例如，如果车外网关151从外部装置接收到故意攻击，使得其不能适当地控制自身的中继处理，则车内网关101可以代替车外网关151控制车外网关151的中继处理。因此，在车载网络中实现了中继来自外部装置的信息的网关的操作中的冗余，从而实现了网关的更稳定的操作。因此，可以稳定地中继通信数据。因此，可以避免例如用于自动驾驶的车辆控制的任何重要通信数据未被中继的情况。

应该认为上述实施例是示例性的而非限制性的。本发明的范围不是由以上描述而是由权利要求的范围指示，并且意在具有与权利要求的范围等同的含义并且在权利要求的范围内的所有修改都包括在本发明中。

以上描述包含下面描述的特征。

[注1]

一种安装在车辆上的网关，包括：

通信单元，其能通过能够与所述车辆外部的外部装置通信的其他网关与外部装置通信，

其中，所述其他网关包括：

交换单元，其执行中继通信数据的中继处理；以及

处理单元，其控制所述交换单元的所述中继处理，

其中，所述通信单元能够将从所述交换单元接收的通信数据中继到所述车辆内部的装置，

其中，所述网关还包括：

控制单元，其确定所述处理单元中的异常，并且如果确定发生所述异常，则控制所述交换单元的所述中继处理，

其中，所述外部装置是服务器和维护终端装置，

其中，所述网关是中央网关，

其中，所述车辆内部的装置是经由can连接的控制装置，

其中，作为所述确定，所述控制单元确定是否将所述处理单元挂起。

[注2]

一种安装在车辆上的车载通信系统，包括：

第一网关，其能够与所述车辆外部的外部装置通信；以及

第二网关，其能够通过所述第一网关与所述外部装置通信，

其中，所述第一网关包括：

交换单元，其执行中继通信数据的中继处理；

处理单元，其控制所述交换单元的所述中继处理，

其中，所述第二网关能够将从所述交换单元接收的通信数据中继到所述车辆内部的装置，以及

所述第二网关确定所述处理单元中的异常，并且如果确定发生所述异常，则控制所述交换单元的所述中继处理，

其中，所述外部装置是服务器和维护终端装置，

其中，所述第二网关是中央网关，

其中，所述车辆内部的装置是经由can(控制器区域网络)连接的控制装置，

其中，作为所述确定，所述第二网关确定是否将所述处理单元挂起。

附图标记的描述

10：以太网电缆

11：can

12：串行电缆

31：通信单元

32：控制单元

51：交换单元

52：处理单元

54：通信端口

101：车内网关

111：车内通信装置

112：车外通信装置

113：控制装置

151：车外网关

161：无线电站设备

163：维护终端装置

301：车载通信系统