车载网关装置和通信切断方法与流程

本发明涉及车载网关装置和使用其的通信切断方法。

背景技术：

近年来，通过在搭载在车辆中的电子控制装置(ECU：Electronic Control Unit)与外部的信息通信设备之间进行通信，在车辆中获取各种信息，使用所获取的信息来实现车辆的安全驾驶辅助或自动驾驶的技术正在开始普及。在这样的技术中，因为ECU与外部的信息通信设备始终连接、信息通信设备中的通用设备和通用程序的使用正在进行，所以，车辆成为网络攻击的对象的危险性提高。机动车中有时会因网络攻击而发生无法服务、恶意的代码修改、非法访问、不当使用等事件。因此，机动车制造商需要监视对机动车内的网络的网络攻击和事件的发生，切断非法通信以防备网络攻击。

关于如上所述的非法通信的切断，已知有例如专利文献1中记载的技术。在专利文献1的技术中，在多个网络间通信中，安全检查程序决定对哪个网络赋予相互通信的权限，收集各个网络间的被拒绝的访问，生成进行通信切断的规则的组。然后，将所生成的规则的组自动地应用于网络间的网关装置，从而拒绝非法通信。

现有技术文献

专利文献

专利文献1：日本特许第4493654号

技术实现要素：

发明要解决的技术问题

但是，在将专利文献1中记载的技术应用于进行安全驾驶辅助或自动驾驶的车辆内的网络时，有时会在车辆控制中将包括正常通信在内的网络内的全部通信切断。其结果，对车辆控制造成不良影响，存在引发预料之外的事故等的危险性。

用于解决技术问题的手段

本发明的第一方式提供一种车载网关装置，其可与多个网络连接，该多个网络各自连接有搭载在车辆中的多个装置，所述车载网关装置的特征在于，包括：事件检测处理部，其检测所述多个网络的任意者中发生的事件；和通信控制部，其在检测到所述事件的情况下，基于所述事件的发生场所和所述车辆的控制状态，从所述多个网络中判断出通信切断对象网络，切断所述通信切断对象网络的通信。

本发明的第二方式提供一种通信切断方法，其为各自连接有搭载在车辆中的多个装置的多个网络的通信切断方法，其特征在于：所述多个网络各自与车载网关装置连接，由所述车载网关装置检测所述多个网络的任意者中发生的事件，在检测到所述事件的情况下，由所述车载网关装置基于所述事件的发生场所和所述车辆的控制状态，从所述多个网络中判断出通信切断对象网络，切断所述通信切断对象网络的通信。

发明效果

采用本发明，能够不对车辆控制造成不良影响地切断非法通信。

附图说明

图1是本发明的一个实施方式的车辆信息网络系统的构成图。

图2是举例表示车辆和车载网关装置的硬件结构的框图。

图3是举例表示路侧器和中心服务器的硬件结构的框图。

图4是举例表示车载网关装置的功能结构的框图。

图5是举例表示中心服务器的功能结构的框图。

图6是举例表示安全策略的构成的说明图。

图7是举例表示事件判断信息的构成的说明图。

图8是举例表示车辆ECU信息分组的构成的说明图。

图9是车载网关装置执行的通信控制处理的流程图。

图10是车载网关装置执行的恢复处理的流程图。

图11是车辆信息网络系统的时序图。

具体实施方式

下面，参照图1～10对本发明的实施方式进行说明。图1是本发明的一个实施方式的车辆信息网络系统的结构图。图1所示的车辆信息网络系统1包括车辆2、路侧器3、网络4和中心服务器5。

车辆2搭载车载网关装置20。路侧器3在车辆2行驶的道路的路侧(路边)固定设置在规定地点。路侧器3和中心服务器5经由网络4相互连接。中心服务器5经由网络4和路侧器3，与车载网关装置20进行数据通信。

车辆信息网络系统1中可以包括各自搭载车辆网关装置20的多个车辆2。也可以在各自不同的地点设置有多个路侧器3。在下面的说明中，以一个车辆2中搭载的车载网关装置20的动作为中心进行说明。

图2是举例表示车辆2和车载网关装置20的硬件结构的框图。车辆2包括：车载网关装置20；和分别与车载网关装置20连接的无线通信装置106、转向ECU 107、制动ECU 108、发动机ECU 109、ADAS ECU 110、MPU ECU 111、制动控制ECU 112、转向控制ECU 113、发动机控制ECU 114、摄像机115、GPS传感器116、用户开关117和显示装置118。

转向ECU 107、制动ECU 108和发动机ECU 109是用于进行车辆2的行驶控制的装置，相互连接构成网络。下面将该网络称为“控制类网络域”。ADAS ECU 110、MPU ECU 111、制动控制ECU 112、转向控制ECU 113、发动机控制ECU 114、摄像机115和GPS传感器116是用于进行车辆2的驾驶辅助或自动驾驶的装置，相互连接构成网络。下面将该网络称为“驾驶辅助类网络域”。用户开关117和显示装置118是用于提供对车辆2的搭乘者的用户界面的装置，相互连接构成网络。下面将该网络称为“信息类网络域”。即，车载网关装置20与控制类网络域、驾驶辅助类网络域及信息类网络域连接，与这些网络内的各装置之间进行数据通信。

在上述的各网络中，同一网络内的各装置能够不经由车载网关装置20而直接进行数据通信。例如，在控制类网络域内，能够进行用于车辆2的行驶控制的通信。在驾驶辅助类网络域内，能够进行用于车辆2的驾驶辅助或自动驾驶的通信。在信息类网络域内，能够进行用于对车辆2的搭乘者的用户界面的通信。另一方面，属于不同网络的装置之间的数据通信，能够经由车载网关装置20进行。

无线通信装置106与车载网关装置20连接，与路侧器3之间进行无线通信。车载网关装置20通过经由无线通信装置106的无线通信，与路侧器3进行数据通信。

转向ECU 107是与由车辆2的搭乘者进行的转向操作或者从转向控制ECU 113发送的转向控制命令相应地，控制车辆2的转向机构而进行行进方向控制的装置。制动ECU 108是与由车辆2的搭乘者进行的制动操作或者从制动控制ECU 112发送的制动控制命令相应地，控制车辆2的制动而进行减速控制的装置。发动机ECU 109是与车辆2的行驶状态或者从发动机控制ECU 114发送的发动机控制命令相应地，控制车辆2的发动机而进行速度控制的装置。利用这些装置，能够进行车辆2的行驶控制。

ADAS ECU 110是根据车辆2内外的信息来判断车辆2的加速、减速、停止等，并使用该判断结果来实现车辆2的自动驾驶或驾驶辅助服务的装置。ADAS ECU 110参照从摄像机115获取的外部图像、从GPS传感器116获取的车辆2的位置和MPU ECU 111保持的车辆2的周边地图信息等，决定车辆2的举动。然后，指示制动控制ECU 112、转向控制ECU 113、发动机控制ECU 114分别输出与所决定的车辆2的举动相应的控制命令。MPU ECU 111是保持车辆2周边的道路形状等地图信息的装置。制动控制ECU 112是与ADAS ECU 110的指示相应地，对制动ECU 108发送包括制动强度的制动控制命令的装置。转向控制ECU 113是与ADAS ECU 110的指示相应地，对转向ECU 107发送包括转向的操作角度的转向控制命令的装置。发动机控制ECU 114是与ADAS ECU 110的指示相应地，对发动机ECU 109发送包括发动机的转速的发动机控制命令的装置。摄像机115是将对车辆2的周围进行拍摄而得到的图像输出至ADAS ECU 110的装置。GPS传感器116是从卫星接收信号而对车辆2的位置进行定位的定位装置。利用这些装置，能够进行车辆2的驾驶辅助或自动驾驶。

用户开关117是检测由车辆2的搭乘者进行的规定的输入操作的装置。车辆2的搭乘者即用户例如在将车辆2的自动驾驶或驾驶辅助功能从无效切换为有效、或从有效切换为无效时，使用用户开关117。显示装置118例如是液晶监视器等，对搭乘者显示各种信息。例如，在车辆2正在实施自动驾驶或驾驶辅助的情况下，通过在显示装置118上显示这些功能有效，而使得搭乘者能够把握车辆2的状态。利用这些装置，能够提供对车辆2的搭乘者的用户界面。

车载网关装置20包括存储装置101、CPU 102和存储器部103。存储装置101例如是HDD或闪存等辅助存储装置。CPU 102例如通过读取并执行存储装置101等中存储的规定的控制程序，来控制车载网关装置20。

存储器部103是CPU 102执行控制程序时使用的主存储装置。

CPU 102在功能上包括事件检测处理部120、通信控制部130、事件判断信息处理部140、安全策略处理部150和恢复方案处理部160。即，事件检测处理部120、通信控制部130、事件判断信息处理部140、安全策略处理部150和恢复方案处理部160能够利用CPU 102执行的控制程序以软件的方式实现。关于事件检测处理部120、通信控制部130、事件判断信息处理部140、安全策略处理部150和恢复方案处理部160，将在后面详细说明。事件是指因网络攻击等而在网络上的安全方面发生的无法服务、恶意的代码修改、非法访问、不当使用等现象。

也可以是利用例如FPGA那样的能够实现与CPU 102同等的功能的电路等分别构成事件检测处理部120、通信控制部130、事件判断信息处理部140、安全策略处理部150和恢复方案处理部160。

图3是举例表示路侧器3和中心服务器5的硬件结构的框图。路侧器3包括路侧器控制部205和无线发送接收部206。

无线发送接收部206通过发送接收无线信号，与搭载在车辆2中的车载网关装置20进行数据通信。路侧器控制部205对路侧器3进行控制。路侧器控制部205与网络4连接。路侧器控制部205经由网络4与中心服务器5进行数据通信。路侧器控制部205控制无线发送接收部206，将从中心服务器5发送来的信息发送至车辆2，或者将从车辆2接收到的信息发送至中心服务器5。

中心服务器5包括存储装置501、CPU 502和存储器部503。存储装置501例如是HDD或闪存等辅助存储装置。CPU 502例如通过读取并执行存储装置501等中存储的规定的控制程序，对路侧器3发送接收的信息进行处理。存储器部503是CPU 502执行控制程序时使用的主存储装置。

CPU 502在功能上包括发送接收信息处理部510、安全策略生成部520、事件判断信息生成部530和恢复方案生成部540。即，发送接收信息处理部510、安全策略生成部520、事件判断信息生成部530和恢复方案生成部540能够利用CPU 502执行的控制程序以软件的方式实现。关于发送接收信息处理部510、安全策略生成部520、事件判断信息生成部530和恢复方案生成部540，将在后面详细说明。

接着，对车载网关装置20和中心服务器5的功能结构进行说明。

图4是举例表示车载网关装置20的功能结构的框图。存储装置101具有安全策略DB 171、事件判断信息DB 172和车辆ECU信息DB 173。

安全策略处理部150使用图2的无线通信装置106与路侧器3进行通信，经由路侧器3从中心服务器5接收后述的安全策略600。接收到的安全策略600被存储在安全策略DB 171中。

事件判断信息处理部140使用无线通信装置106与路侧器3进行通信，经由路侧器3从中心服务器5接收后述的事件判断信息700。接收到的事件判断信息700被存储在事件判断信息DB 172中。

恢复方案处理部160使用无线通信装置106与路侧器3进行通信，经由路侧器3从中心服务器5接收恢复方案900。接收到的恢复方案900被输出至通信控制部130。恢复方案900是在上述的控制类网络域、驾驶辅助类网络域或信息类网络域中，因某个装置受到网络攻击而发生安全上的事件的情况下，为了使该事件发生源的装置恢复而从中心服务器5发送的信息。恢复方案900中例如包括在该装置中运行的软件的回溯命令和设定文件等。

事件检测处理部120基于事件判断信息DB 172中存储的事件判断信息700和车辆ECU信息DB 173中存储的车辆ECU信息，在发生了事件的情况下检测该事件。在检测到事件发生的情况下，事件检测处理部120使用无线通信装置106与路侧器3进行通信，经由路侧器3将关于检测到的事件的事件信息1000发送至中心服务器5。事件信息1000中包括检测到事件的场所、检测到事件时的信息发送源的装置的软件版本、事件的原因、事件的检测日期时间等。在检测出事件发生的情况下，事件检测处理部120将表示其发生场所的事件发生通知输出至通信控制部130。

通信控制部130在与车载网关装置20连接的各网络间进行通信的中继。例如，使从驾驶辅助类网络域的制动控制ECU 112发送至控制类网络域的制动ECU 108的制动控制指示，在这些网络间传输。在同一网络内的装置间和不同网络的装置间，能够利用后述的车辆ECU信息分组800进行通信。通信控制部130当接收到在各装置间发送接收的车辆ECU信息分组800时，将该分组中包含的信息作为车辆ECU信息追加至车辆ECU信息DB 173。即，在车辆ECU信息DB 173中，按时序存储车辆ECU信息分组800中包含的信息作为车辆ECU信息。

通信控制部130当从恢复方案处理部160接收到恢复方案900时，将接收到的恢复方案900发送至目标装置。通信控制部130当从事件检测处理部120接收到事件发生通知时，基于安全策略DB 171中存储的安全策略600，判断出要切断通信的网络(下面称为通信切断对象网络)，切断该通信切断对象网络中的各装置间的通信。

图5是举例表示中心服务器5的功能结构的框图。存储装置501具有事件信息DB 551、安全策略DB 552和事件判断信息DB 553。

发送接收信息处理部510与路侧器3进行信息的发送接收。例如，发送接收信息处理部510经由路侧器3接收从车辆2发送的事件信息1000。发送接收信息处理部510将从车辆2接收到的事件信息1000存储在事件信息DB 551中。

安全策略生成部520基于事件信息DB 551中存储的事件信息1000，生成与车辆2对应的安全策略600。由安全策略生成部1600生成的安全策略600被存储在安全策略DB 552中。发送接收信息处理部510从安全策略DB 552取出与车辆2对应的安全策略600，并将其经由路侧器3定期地发送至车辆2。

事件判断信息生成部530基于事件信息DB 551中存储的事件信息1000，生成与车辆2对应的事件判断信息700。由事件判断信息生成部530生成的事件判断信息700被存储在事件判断信息DB 553中。发送接收信息处理部510从事件判断信息DB 553取出与车辆2对应的事件判断信息700，并将其经由路侧器3定期地发送至车辆2。

恢复方案生成部540基于事件信息DB 551中存储的事件信息1000，生成与车辆2中发生的事件对应的恢复方案900。发送接收信息处理部510将恢复方案生成部540生成的恢复方案900经由路侧器3发送至车辆2。

图6是举例表示安全策略600的构成的说明图。安全策略600包括驾驶模式601、提供服务602、事件发生场所603、状况确认604、通信切断对象NW 605、用户确认606和车辆状态607各信息。

驾驶模式601是表示车辆2中设定的驾驶模式的信息。例如，在搭乘者自己驾驶车辆2的情况下，搭乘者将车辆2的驾驶模式设定为“通常驾驶模式”。在搭乘者不驾驶车辆2而使其自动驾驶的情况下，搭乘者将车辆2的驾驶模式设定为“自动驾驶模式”。在驾驶模式601中，存储表示车辆2中能够设定的这些驾驶模式的信息。

提供服务602是表示车辆2中可对搭乘者提供的服务的信息。车辆2的搭乘者能够按每个驾驶模式来选择车辆2的提供服务。例如，在驾驶模式是“通常驾驶模式”的情况下，搭乘者能够选择没有驾驶辅助的“通常驾驶”、由ADAS ECU 110进行驾驶辅助的“驾驶辅助”等提供服务。另一方面，在驾驶模式是“自动驾驶模式”的情况下，搭乘者能够选择使车辆2在道路上自动地行驶的“自动驾驶”、使车辆2在停车场内自动地停车的“自动停车”等提供服务。另外，也能够提供进行车辆2中搭载的各装置的软件的更新准备的“OTA准备”、对搭乘者进行各种信息提供的“便利”等服务。在提供服务602中，存储表示车辆2中能够提供的这些服务的信息。

事件发生场所603是表示车辆2中的事件的发生场所的信息。在事件发生场所603中，按每个由驾驶模式601与提供服务602的组合表示的车辆2的控制状态，存储表示车辆2内的网络的任意者、即上述的控制类网络域、驾驶辅助类网络域或信息类网络域的任意者的信息，作为表示事件的发生场所的信息。

状况确认604是表示在检测到事件的情况下通信控制部130切断通信切断对象网络的通信之前，是否需要车辆2的状况确认的信息。在状况确认604中，按每个事件发生场所603存储表示车辆2的状况确认的有无的信息，在需要状况确认的情况下存储表示其内容的信息。

通信切断对象NW 605是表示在检测到事件的情况下通信控制部130设为通信切断的对象的网络的信息。在通信切断对象NW 605中，按每个事件发生场所603，存储表示控制类网络域、驾驶辅助类网络域或信息类网络域的任意者的信息，作为表示通信切断对象网络的信息。

用户确认606是表示在检测到事件的情况下通信控制部130切断通信切断对象网络的通信之前，是否需要车辆2的搭乘者进行确认的信息。在用户确认606中，按每个事件发生场所603，存储表示搭乘者确认的有无的信息，并且在需要搭乘者确认的情况下，存储表示请求搭乘者确认时提示的内容的信息。

车辆状态607是表示在检测到事件的情况下通信控制部130切断通信切断对象网络的通信时，车辆2是否需要成为规定的车辆状态的信息。在车辆状态607中，按每个事件发生场所603，存储表示作为通信切断的开始条件的车辆状态的有无的信息，并且在有通信切断的开始条件的情况下，存储表示与该开始条件对应的车辆状态的信息。

通信控制部130在收到事件发生通知时，基于事件发生通知中包含的信息，将车辆2内的网络的任意者确定为事件发生场所。并且确定车辆2中当前设定的驾驶模式和提供服务作为当前的车辆2的控制状态。然后，从安全策略DB 171读取如图6所示的安全策略600，基于驾驶模式601、提供服务602、事件发生场所603各信息，在安全策略600中确定与车辆2的控制状态和事件发生场所对应的区域。这样确定安全策略600的某个区域之后，通信控制部130基于该区域中的通信切断对象NW 605的信息，判断出哪个网络是通信切断对象网络，将以该通信切断对象网络为对象的通信切断。基于该行中的状况确认604、用户确认606、车辆状态607各信息，在将通信切断对象网络的通信切断之前，根据需要进行对搭乘者的信息提示和车辆状态的确认。

也可以是，在安全策略600中，要切断通信的对象不是像通信切断对象NW 605那样以网络为单位来设定，而是以装置为单位来设定。在该情况下，例如有下述方法：从通信控制部130对与车辆2内的各网络连接的装置发布表示设为通信切断对象的装置的CAN ID等的黑名单，使得其它装置不接收从该装置发送的车辆ECU信息分组800。另外，还有下述方法：当从设为通信切断对象的装置发送车辆ECU信息分组800时，之后立刻从通信控制部130对车辆2内的各网络发送错误分组，从而使得其它装置不接收从该装置发送的车辆ECU信息分组800。除此以外还可以使用各种方法，以网络为单位或以装置为单位来设定通信切断对象。

图7是举例表示事件判断信息700的构成的说明图。事件判断信息700包括控制事件701、发送源节点702和CAN ID 703各信息。

控制事件701是表示车辆2的控制状态的信息。车辆2的控制状态可与搭乘者在车辆2中设定的驾驶模式和提供服务相应地决定。在控制事件701中，按每个车辆2中能够设定的驾驶模式与提供服务的组合，存储表示车辆2的控制状态的信息。

发送源节点702是表示与车辆2的控制状态相应地在网络内的各装置间进行的通信的模式的信息。在发送源节点702中，作为表示每个控制事件701的通信模式的信息，存储表示依次发送车辆ECU信息分组800的网络内的节点(装置)的信息。例如，在搭乘者操作用户开关117使车辆2的自动驾驶开始时，首先从用户开关117发送表示操作信号的车辆ECU信息分组800。接着，从ADAS ECU 110发送对各装置指示自动驾驶控制开始的车辆ECU信息分组800。接着，从转向控制ECU 113对转向ECU 107发送表示转向控制命令的车辆ECU信息分组800。接着，从转向ECU 107发送用于控制车辆2的转向机构的车辆ECU信息分组800。在发送源节点702中，与控制事件701的表示自动驾驶的信息对应地，存储表示这些装置间的一系列通信的流程的信息。

CAN ID 703是表示发送源节点702中所示的各装置发送车辆ECU信息分组800时赋予的CAN ID的信息。CAN ID对每个装置预先设定了固有的编号。网络内的各装置将对自身设定的CAN ID包括在车辆ECU信息分组800中发送。因此，通信控制部130通过确认在装置间发送接收的车辆ECU信息分组800，能够确定是哪个装置发送的。

事件检测处理部120通过从车辆ECU信息DB 173读取车辆ECU信息，获取在经网络连接的车辆2的各装置间按时序发送接收的车辆ECU信息分组800。并且，确定车辆2中当前设定的驾驶模式和提供服务作为当前的车辆2的控制状态。然后，从事件判断信息DB 172读取事件判断信息700，基于控制事件701的信息，在事件判断信息700中确定与车辆2的控制状态对应的区域。这样确定事件判断信息700的某个区域之后，事件检测处理部120将该区域中的CAN ID 703的信息与所获取的车辆ECU信息分组800中包含的CAN ID进行比较，判断它们是否一致。结果，在两者不一致的情况下，判断为发生了事件。

也可以是，事件判断信息700不是如上所述表示正常的通信模式，而是表示异常的通信模式的黑名单。在该情况下，事件检测处理部120将事件判断信息700与从车辆ECU信息DB 173获取的车辆ECU信息分组800中包含的CAN ID进行比较，在它们一致的情况下，判断为发生了事件。

图8是举例表示车辆ECU信息分组800的构成的说明图。车辆ECU信息分组800包括CAN ID 801、控制参数802和测定时间803各信息。

CAN ID 801是表示对车辆ECU信息分组800的发送源设定的CAN ID的信息。如上所述，对网络内的各装置，预先设定了每个装置固有的编号作为CAN ID。各装置在发送车辆ECU信息分组800时，将表示对自身设定的CAN ID的信息设定为CAN ID 801。

控制参数802是表示在接收到车辆ECU信息分组800的装置进行的控制中使用的控制值的信息。在控制参数802中，可与各装置中进行的控制的内容相应地设定各种值。例如，能够用控制参数802表示油门开度、制动压力、转向角、发动机转速等信息。

测定时间803是表示车辆ECU信息分组800的发送时间(时刻)的信息。各装置在发送车辆ECU信息分组800时，将表示此时的时刻的信息设定为测定时间803。

图9是车载网关装置20的CPU 102执行的通信控制处理的流程图。该流程图所示的处理，在搭载在车辆2中的车载网关装置20的CPU 102中，每隔规定时间执行。

在步骤S10中，CPU 102利用安全策略处理部150接收经由路侧器3从中心服务器5发送的安全策略600，并将其保存在安全策略DB171中。并且，利用事件判断信息处理部140接收经由路侧器3从中心服务器5发送的事件判断信息700，并将其保存在事件判断信息DB 172中。由此，车载网关装置20获取从中心服务器5提供的安全策略600和事件判断信息700。

在步骤S20中，CPU 102利用通信控制部130获取从与车载网关装置20连接的网络的各装置发送的车辆ECU信息，并将其保存在车辆ECU信息DB 173中。即，车载网关装置20利用通信控制部130接收从控制类网络域内的转向ECU 107、制动ECU 108和发动机ECU 109各装置、驾驶辅助类网络域内的ADAS ECU 110、MPU ECU 111、制动控制ECU 112、转向控制ECU 113、发动机控制ECU 114、摄像机115和GPS传感器116各装置、以及信息类网络域内的用户开关117和显示装置118各装置发送的车辆ECU信息分组800，并将其作为车辆ECU信息按时序保存在车辆ECU信息DB 173中。

在步骤S30中，CPU 102利用事件检测处理部120从事件判断信息DB 172和车辆ECU信息DB 173分别读取步骤S10、S20中分别获取的事件判断信息700和车辆ECU信息。然后，将这些信息进行比较。

在步骤S40中，CPU 102利用事件检测处理部120根据步骤S30的比较结果来判断车辆ECU信息中是否存在与事件判断信息700不一致的通信模式。在存在不一致的异常的通信模式的情况下，转移至步骤S50，在不存在异常的通信模式的情况下，返回到步骤S20继续获取车辆ECU信息。

在步骤S50中，CPU 102利用事件检测处理部120判断出与车载网关装置20连接的哪个网络中发生了事件，并检测事件。然后，对通信控制部130输出事件发生通知，并且对无线通信装置106输出关于检测到的事件的事件信息1000，并经由路侧器3发送至中心服务器5。

在步骤S60中，CPU 102利用通信控制部130从安全策略DB 171读取在步骤S10中获取的安全策略600。然后，将读取的安全策略600与在步骤S50中检测到的事件的发生场所和当前的车辆2的控制状态进行比较。此时，关于事件发生场所，基于从事件检测处理部120输出的事件发生通知进行判断。关于车辆2的控制状态，从车辆ECU信息DB 173读取最接近的车辆ECU信息，基于该车辆ECU信息进行判断。或者，也可以是对ADAS ECU 110等输出关于车辆2的控制状态的询问，根据对该询问的回答来判断车辆2的控制状态。通过该比较，通信控制部130能够在安全策略600中确定与车辆2的控制状态和事件发生场所对应的区域。

在步骤S70中，CPU 102利用通信控制部130判断在将通信切断对象网络的通信切断之前，是否需要对车辆2的搭乘者即用户进行确认通知。该判断基于在步骤S60中确定的安全策略600的区域中的用户确认606的信息来进行。在需要进行确认通知的情况下，转移至步骤S80，在不需要的情况下，转移至步骤S100。可以在转移至步骤S80或S100之前，通过从通信控制部130对显示装置118输出显示规定的通知画面的指令，来对用户通知检测到事件。

例如，假设在车辆2中正在进行驾驶辅助或自动驾驶时检测到事件，该事件的发生场所为驾驶辅助类网络域。在该情况下，在图6所示的安全策略600中，根据用户确认606的对应栏中记载的信息，建议转移至不进行驾驶辅助或自动驾驶的通常驾驶从而判断为需要用户确认。

在步骤S80中，CPU 102利用通信控制部130实施对用户的警告。此时，通信控制部130基于在步骤S60中确定的安全策略600的区域中的状况确认604、用户确认606的信息，例如通过对显示装置118输出显示规定的确认画面的指令，来进行对用户的警告。

在步骤S90中，CPU 102利用通信控制部130判断对步骤S80中进行的警告的用户确认的有无。此时，通信控制部130例如通过判断是否从用户开关117输出了规定的操作信号，来判断是否得到了来自用户的确认。在判断为用户已确认的情况下，转移至步骤S100，在判断为用户未确认的情况下，返回到步骤S80继续对用户警告。也可以是追加下述功能：测量进行步骤S90的判断的次数或时间，在超过一定的次数或时间的情况下判断为超时，强制地使车辆2停止等功能。

在步骤S100中，CPU 102利用通信控制部130判断在将通信切断对象网络的通信切断之前，车辆2是否需要成为规定的车辆状态。该判断基于在步骤S60中确定的安全策略600的区域中的车辆状态607的信息来进行。在需要成为规定的车辆状态、例如需要车辆2成为停止状态的情况下转移至步骤S110，在不需要的情况下转移至步骤S130。

例如，假设在车辆2中正在进行驾驶辅助时检测到事件，该事件的发生场所为驾驶辅助类网络域。在该情况下，在图6所示的安全策略600中，根据车辆状态607的对应栏中记载的信息，判断为需要车辆2成为停止状态。

在步骤S110中，CPU 102利用通信控制部130确认车辆2的状态。此时，通信控制部130例如从车辆ECU信息DB 173读取最接近的车辆ECU信息，基于该车辆ECU信息来判断车辆2的状态。或者，也可以是对发动机ECU 109等输出关于车辆2的状态的询问，根据对该询问的回答来判断车辆2的状态。

在步骤S120中，CPU 102利用通信控制部130基于在步骤S110中确认的车辆2的状态，判断车辆2是否为安全策略600中指定的规定的车辆状态。在为规定的车辆状态的情况下转移至步骤S130，在判断为不是规定的车辆状态的情况下返回到步骤S110继续确认车辆状态。也可以是与步骤S90同样地追加下述功能：测量进行步骤S120的判断的次数或时间，在超过一定的次数或时间的情况下判断为超时，强制地使车辆2停止等功能。

在步骤S130中，CPU 102利用通信控制部130实施对通信切断对象网络的通信限制。此时，通信控制部130基于在步骤S60中确定的安全策略600的区域中的通信切断对象NW 605的信息，判断与车载网关装置20连接的控制类网络域、驾驶辅助类网络域、信息类网络域中的任意者是通信切断对象网络。然后，通过使得从通信切断对象网络内的各装置发送的车辆ECU信息分组800不会被同一网络内和其它网络内的各装置接收，来将通信切断对象网络的通信切断。

例如，假设在车辆2中没有进行驾驶辅助或自动驾驶的通常驾驶时检测到事件，该事件的发生场所是控制类网络域。在该情况下，在图6所示的安全策略600中，根据通信切断对象NW 605的对应栏记载的信息，判断为驾驶辅助类网络域和信息类网络域是通信切断对象网络。另外，假设在车辆2中正在进行驾驶辅助或自动驾驶时检测到事件，该事件的发生场所是驾驶辅助类网络域。在该情况下，在图6所示的安全策略600中，根据通信切断对象NW 605的对应栏记载的信息，判断为驾驶辅助类网络域和信息类网络域是通信切断对象网络。

执行步骤S130之后，CPU 102结束图9的流程图所示的处理。

图10是车载网关装置20的CPU 102执行的恢复处理的流程图。该流程图所示的处理，在搭载在车辆2中的车载网关装置20的CPU 102中，在利用图9中说明的通信控制处理进行对通信切断对象网络的通信限制之后执行。

在步骤S210中，CPU 102利用恢复方案处理部160判断是否接收了经由路侧器3从中心服务器5发送的恢复方案900。如果没有接收到恢复方案900则停留在步骤S210，如果接收了恢复方案900则转移至步骤S220。

在步骤S220中，CPU 102利用通信控制部130判断是否已实施对通信切断对象网络的通信限制。如果在图9的步骤S130中已实施通信限制则转移至步骤S230，如果未实施则停留在步骤S220。

在步骤S230中，CPU 102利用通信控制部130将接收到的恢复方案900发送至指定的目标装置，使该装置实施恢复方案900。从通信控制部130接收到恢复方案900的装置，通过使用恢复方案900进行例如软件的初始化等，消除事件的发生原因。

在步骤S240中，CPU 102利用通信控制部130判断该装置的恢复是否已通过步骤S230中实施的恢复方案完成。在该装置的恢复完成从而事件的发生原因已消除的情况下，转移至步骤S250，在恢复没有完成的情况下，返回到步骤S230继续实施恢复方案。

在步骤S250中，CPU 102利用通信控制部130解除在图9的步骤S130中进行的通信切断对象网络的通信限制，使车辆2的控制状态返回到通信限制前的状态。此时，也可以通过从通信控制部130对显示装置118输出显示规定的通知画面的指令，来对用户通知已解除通信限制。

执行步骤S250之后，CPU 102结束图10的流程图所示的处理。

接着，对车辆信息网络系统1整体的动作进行说明。图11是表示车辆网络系统1整体的动作的时序图。在车辆信息网络系统1中，中心服务器5、车载网关装置20和网络内的各装置分别执行图11所示的处理。

在步骤S301中，中心服务器5将从安全策略DB 552取出的安全策略600和从事件信息DB 551取出的事件判断信息700经由路侧器3定期地发送至车载网关装置20。

在步骤S302中，中心服务器5接收从车载网关装置20经由路侧器3发送的事件信息1000，并将其保存在事件信息DB 551中。

在步骤S303中，中心服务器5将恢复方案生成部540生成的恢复方案900经由路侧器3发送至车载网关装置20。

在步骤S401中，车载网关装置20接收从中心服务器5发送的安全策略600和事件判断信息700，并分别存储在安全策略DB 171和事件判断信息DB 172中。

在步骤S402中，车载网关装置20接收从网络的各装置发送的车辆ECU信息分组800。然后，将接收到的车辆ECU信息分组800存储在车辆ECU信息DB 173中，并且按照指定的目的地，根据需要实施对其它网络进行传输的域间通信。

在发生了事件的情况下，在步骤S403中，车载网关装置20使用事件判断信息700检测所发生的事件，并将事件信息1000发送至中心服务器5。

在步骤S404中，车载网关装置20参照车辆ECU信息DB 173中存储的车辆ECU信息，根据需要确认已实施安全策略600中所示的用户确认和车辆状态的确认。

在步骤S405中，车载网关装置20使从安全策略600中所示的通信切断对象网络向其它网络的车辆ECU信息分组800的传输停止，实施域间的通信限制。

在步骤S406中，车载网关装置20接收从中心服务器5发送的恢复方案900，对事件发生场所的装置实施恢复方案900。

恢复方案900的实施完成之后，在步骤S407中，车载网关装置20解除对通信切断对象网络的通信限制。

在步骤S501中，控制类网络域内的转向ECU 107、制动ECU 108和发动机ECU 109各装置、驾驶辅助类网络域内的ADAS ECU 110、MPU ECU 111、制动控制ECU 112、转向控制ECU 113、发动机控制ECU 114、摄像机115和GPS传感器116各装置、以及信息类网络域内的用户开关117和显示装置118各装置，向其它装置发送车辆ECU信息分组800。

在步骤S502中，被指定为步骤S501中发送的车辆ECU信息分组800的目的地的装置，接收该车辆ECU信息分组800。网络的各装置反复进行步骤S501、S502的处理。

采用上面说明的本发明的一个实施方式，能得到下面的作用效果。

(1)车载网关装置20可与作为多个网络的控制类网络域、驾驶辅助类网络域和信息类网络域连接，上述多个网络各自连接有搭载在车辆2中的多个装置。车载网关装置20包括：事件检测处理部120，其检测这些网络的任意者中发生的事件；和通信控制部130，其在检测到事件的情况下，基于事件的发生场所和车辆2的控制状态，从多个网络中判断出通信切断对象网络，切断通信切断对象网络的通信。因为这样，所以能够不对车辆控制造成不良影响地切断非法通信。

(2)在检测到事件的情况下，通信控制部130基于事件的发生场所和车辆2的控制状态，判断是否需要对车辆2的用户进行确认通知(步骤S70)。其结果，在判断为需要确认通知的情况下，通信控制部130对用户进行警告作为确认通知(步骤S80)，在用户对确认通知进行了规定的确认操作之后(步骤S90)，将通信切断对象网络的通信切断(步骤S130)。因为这样，所以在切断通信时车辆2的控制状态会变化的情况下，能够使车辆2的搭乘者即用户可靠地认识到这一点，从而安全地进行事件应对。

(3)在检测到事件的情况下，通信控制部130基于事件的发生场所和车辆2的控制状态，判断是否需要车辆2成为规定的车辆状态(步骤S100)。其结果，在判断为需要车辆2成为规定的车辆状态的情况下，通信控制部130在车辆2成为规定的车辆状态之后(步骤S120)，将通信切断对象网络的通信切断(步骤S130)。因为这样，所以在切断通信时车辆2的控制状态会变化的情况下，能够在确认车辆2为安全的状态后切断通信，从而安全地进行事件应对。

(4)车载网关装置20还包括存储装置101，其存储表示事件的发生场所、车辆2的控制状态和通信切断对象网络的关系的安全策略600。通信控制部130基于安全策略600来判断出通信切断对象网络。因为这样，所以能够与事件的发生场所和车辆2的控制状态相应地，恰当地判断出将哪个网络作为通信切断对象网络。

(5)车载网关装置20可与设置在车辆2的外部的中心服务器5连接。事件检测处理部120将关于检测到的事件的事件信息1000发送至中心服务器5。基于被发送至中心服务器5的事件信息1000，从中心服务器5提供安全策略600。因为这样，所以能够与各车辆中的事件的发生状况相应地，提供恰当的内容的安全策略600。

(6)可与车载网关装置20连接的多个网络包括：进行用于车辆2的行驶控制的通信的控制类网络；进行用于车辆2的驾驶辅助或自动驾驶的通信的驾驶辅助类网络；和进行用于对车辆2的搭乘者的用户界面的通信的信息类网络。在车辆2中没有进行驾驶辅助或自动驾驶时，在控制类网络中检测到事件的情况下，通信控制部130根据图6中例示的安全策略600，将驾驶辅助类网络和信息类网络判断为通信切断对象网络。在车辆2中正在进行驾驶辅助或自动驾驶时，在驾驶辅助类网络中检测到事件的情况下，通信控制部130根据图6中例示的安全策略600，将驾驶辅助类网络和信息类网络判断为通信切断对象网络。因为这样，所以能够可靠地判断出与事件的发生场所和车辆2的控制状态相应的通信切断对象网络。

上面说明的实施方式和各种变形例只是一个例子。只要不损害本发明的特征，本发明就不限定于上述实施方式，在本发明的技术思想的范围内可想到的其它方式也包含在本发明的范围内。

下面的优先权基础申请的公开内容作为引用文插入在此。

日本特许申请2017年第026734号(2017年2月16日申请)

附图标记说明

1……车辆信息网络系统，2……车辆，3……路侧器，4……网络，5……中心服务器，20……车载网关装置，101……存储装置，102……CPU，103……存储器部，106……无线通信装置，107……转向ECU，108……制动ECU，109……发动机ECU，110……ADAS ECU，111……MPU ECU，112……制动控制ECU，113……转向控制ECU，114……发动机控制ECU，115……摄像机，116……GPS传感器，117……用户开关，118……显示装置。