中继装置系统及中继装置的制作方法

1.本公开涉及中继装置系统及中继装置。
2.本申请要求基于2018年9月25日提出申请的日本申请第2018
‑
179462号的优先权，并引用所述日本申请中记载的全部记载内容。


背景技术：

3.在车辆中搭载有用于对发动机控制等动力传动系统、空调控制等车身系统等的车载设备进行控制的ecu(electronic control unit：电子控制单元)。进而，在具有自动驾驶功能的车辆的情况下，搭载有对用于进行自动驾驶的车载设备进行控制的ecu。这些ecu组通过基于can(controller area network：控域网)或ethernet(注册商标)等的车内网络来连接，并且通过具有无线功能的中继装置(tcu/telematics.communication unit：远程信息处理通信单元)经由外部网络与位于车辆外的通信装置(提供装置)连接(例如专利文献1)。
4.专利文献1的中继装置将位于车辆外的通信装置设为上游侧，下游侧与构成车辆的车内网络(内部网络)的两个区段各自连接，且以能够通信的方式与各自连接于该两个区段的ecu(电子控制装置)连接。
5.现有技术文献
6.专利文献
7.专利文献1：日本特开2017
‑
97851号公报


技术实现要素：

8.本公开的一个方式涉及的中继装置系统搭载于车辆，所述中继装置系统具备：无线中继装置，与设置在所述车辆的外部的通信装置进行无线通信；及多个有线中继装置，使所述通信装置相对于所述无线中继装置处于上游侧，且所述多个有线中继装置串联连接于所述无线中继装置的下游侧，所述多个有线中继装置各自包括通信部，所述通信部与用于对搭载于所述车辆的车载装置进行控制的ecu以能够通信的方式连接。
附图说明
9.图1是示出实施方式1涉及的中继装置系统的结构的示意图。
10.图2是示出无线中继装置和有线中继装置的结构的框图。
11.图3是与ecu的行驶安全性的优先级相关的说明图。
12.图4是示出实施方式1涉及的控制部的处理的流程图。
13.图5是示出变形例涉及的无线中继装置和有线中继装置的结构的框图。
具体实施方式
14.[本公开要解决的问题]
[0015]
关于专利文献1的中继装置，由于各ecu连接于该中继装置，担心可能缺乏牢靠性。
[0016]
本公开鉴于这样的情形而完成，目的在于提供能够提高针对来自车外的非法通信的攻击的牢靠性的中继装置系统、中继装置。
[0017]
[本公开的效果]
[0018]
根据本公开的一个方式，使通信装置相对于无线中继装置处于上游侧，且多个有线中继装置串联连接于无线中继装置的下游侧。因此，即使在无线中继装置被来自车外的非法通信攻击而变得异常的情况下，串联连接于无线中继装置的下游侧的多个有线中继装置的各有线中继装置依次成为针对该攻击的屏障，从而能够提高针对该攻击的牢靠性。
[0019]
[本公开实施方式的说明]
[0020]
首先，列举出本公开的实施方式来进行说明。另外，也可以任意地组合以下记载的实施方式中的至少一部分。
[0021]
(1)本公开的一个方式涉及的中继装置系统搭载于车辆，所述中继装置系统具备：无线中继装置，与设置在所述车辆的外部的通信装置进行无线通信；及多个有线中继装置，使所述通信装置相对于所述无线中继装置处于上游侧，且所述多个有线中继装置串联连接于所述无线中继装置的下游侧，所述多个有线中继装置各自包括通信部，所述通信部与用于对搭载于所述车辆的车载装置进行控制的ecu以能够通信的方式连接。
[0022]
在本方式中，使通信装置相对于无线中继装置处于上游侧，且多个有线中继装置串联连接于无线中继装置的下游侧。因此，即使在无线中继装置被来自车外的非法通信攻击而变得异常的情况下，串联连接于无线中继装置的下游侧的多个有线中继装置的各有线中继装置依次成为针对该攻击的屏障，从而能够提高针对该攻击的牢靠性。
[0023]
(2)本公开的一个方式涉及的中继装置系统中，与所述多个有线中继装置中的第一有线中继装置连接的ecu相比于与直接连接于所述第一有线中继装置的下游侧的第二有线中继装置连接的ecu，与所述车辆的行驶安全性相关的优先级低。
[0024]
在本方式中，与第一有线中继装置连接的ecu的优先级比与直接连接于第一有线中继装置的下游侧的第二有线中继装置连接的ecu的优先级低。因此，即使在位于最上游的无线中继装置被来自车外的非法通信攻击的情况下，通过将连接与车辆的行驶安全性相关的优先级较高的ecu的有线中继装置配置在下游侧来保护该优先级较高的ecu，从而能够提高针对该攻击的牢靠性。
[0025]
(3)本公开的一个方式涉及的中继装置系统中，基于iso26262的asil(automotive safety integrity level：汽车安全完整性等级)来确定所述ecu的与行驶安全性相关的优先级。
[0026]
在本方式中，基于iso26262的asil来确定与行驶安全性相关的优先级，因此能够提供能够促进与iso26262对应的ecu的功能安全的中继装置系统。
[0027]
(4)本公开的一个方式涉及的中继装置系统中，所述ecu包括用于所述车辆的行驶控制的行驶控制系统ecu，连接所述行驶控制系统ecu的有线中继装置连接于下游侧。
[0028]
在本方式中，连接行驶控制系统ecu的有线中继装置连接于下游侧，因此能够有效地保护该行驶控制系统ecu。
[0029]
(5)本公开的一个方式涉及的中继装置系统中，所述无线中继装置和所述多个有线中继装置各自包括对本装置的通信进行切断的通信切断部，所述多个有线中继装置各自
包括：判定部，对连接于本装置的上游侧的其他有线中继装置或所述无线中继装置进行异常判定；及信号输出部，在所述判定部判定为所述其他有线中继装置或所述无线中继装置异常的情况下，向判定为异常的所述其他有线中继装置或所述无线中继装置的通信切断部输出切断通信的信号。
[0030]
在本方式中，无线中继装置及有线中继装置各自包括对本装置的通信进行切断的通信切断部。有线中继装置各自的判定部对连接于上游侧的其他有线中继装置或无线中继装置进行异常判定，在判定为异常的情况下，有线中继装置各自的信号输出部输出切断通信的信号。因此，通过使异常的无线中继装置或有线中继装置成为无法通信的状态，保护位于比异常的无线中继装置或有线中继装置靠下游处的有线中继装置，从而提高牢靠性。另外，通过对位于下游的有线中继装置连接与行驶安全性相关的优先级较高的ecu，即使在无线中继装置被来自车外的非法通信攻击而发生异常的情况下，也有效地保护该优先级较高的ecu，能够抑制妨碍车辆的行驶安全性的情况。
[0031]
(6)本公开的一个方式涉及的中继装置系统中，所述通信切断部包括将与所述本装置的通信相关的电源切换为接通或断开的开关，所述信号输出部向所述开关输出使所述电源断开的断开信号来切断通信。
[0032]
在本方式中，通信切断部包括将与本装置的通信相关的电源切换为接通或断开的开关，因此能够简单地构成通信切断部。
[0033]
(7)本公开的一个方式涉及的中继装置系统中，所述信号输出部在从输出所述断开信号起经过了预定期间之后，或者在实施了预定动作之后，向输出了所述断开信号的所述开关输出使所述电源接通的接通信号来使通信恢复。
[0034]
在本方式中，信号输出部在从输出断开信号起经过了预定期间之后，向输出了断开信号的开关输出使电源接通的接通信号，因此，在无线中继装置或有线中继装置的异常是暂时的情况下，能够恢复该无线中继装置或有线中继装置的通信而复原。在恢复通信之后，判定部对恢复通信的有线中继装置等进行异常判定，因此，在异常持续的情况下，断开该有线中继装置等的电源，能够保护与该有线中继装置等的下游连接的其他有线中继装置。
[0035]
(8)本公开的一个方式涉及的中继装置包括载置于车辆内且与设置在所述车辆的外部的通信装置进行无线通信的中继装置，且是以能够通信的方式彼此串联连接的多个中继装置中的任一个中继装置，其中，所述中继装置在本装置与直接连接于所述本装置的其他中继装置之间接收与所述本装置的通信的切断相关的信号，或者输出与所述其他中继装置的通信的切断相关的信号。
[0036]
在本方式中，通过在与连接于本装置的其他中继装置之间接收与本装置的通信的切断相关的信号，或输出与其他中继装置的通信的切断相关的信号，能够提高由这些中继装置构成的中继装置系统的牢靠性。
[0037]
(9)本公开的一个方式涉及的中继装置中，包括与设置在所述车辆的外部的通信装置进行无线通信的无线中继装置，将所述通信装置设为上游侧，所述中继装置相对于其他中继装置连接于最上游，且具备通信切断部，该通信切断部接收从直接连接于本装置的其他中继装置输出的与通信的切断相关的信号并进行本装置的通信的切断。
[0038]
在本方式中，具备接收从直接连接于本装置的其他中继装置输出的与通信的切断
相关的信号并进行本装置的通信的切断的通信切断部，从而能够提高由这些中继装置构成的中继装置系统的牢靠性。
[0039]
(10)本公开的一个方式涉及的中继装置中，包括通信部，该通信部与用于对搭载于所述车辆的车载装置进行控制的ecu以能够通信的方式连接，所述中继装置包括：通信切断部，将与设置在所述车辆的外部的通信装置进行无线通信的中继装置设为上游侧，接收从与本装置的下游侧直接连接的下游侧的中继装置输出的与通信的切断相关的信号并进行本装置的通信的切断；判定部，对与本装置的上游侧直接连接的上游侧的中继装置进行异常判定；及信号输出部，在所述判定部判定为所述上游侧的中继装置异常的情况下，向所述上游侧的中继装置输出与通信的切断相关的信号。
[0040]
在本方式中，通过通信切断部接收从与本装置的下游侧直接连接的下游侧的中继装置输出的与通信的切断相关的信号并进行本装置的通信的切断，能够提高由这些中继装置构成的中继装置系统的牢靠性。
[0041]
(11)本公开的一个方式涉及的中继装置中，包括通信部，该通信部与用于对搭载于所述车辆的车载装置进行控制的ecu以能够通信的方式连接，将与设置在所述车辆的外部的通信装置进行无线通信的中继装置设为上游侧，所述中继装置连接于最下游，所述中继装置包括：判定部，对与本装置的上游侧直接连接的上游侧的中继装置进行异常判定；及信号输出部，在所述判定部判定为所述上游侧的中继装置异常的情况下，向所述上游侧的中继装置输出与通信的切断相关的信号。
[0042]
在本方式中，在判定部判定为与本装置的上游侧直接连接的上游侧的中继装置异常的情况下，能够通过向上游侧的中继装置输出与通信的切断相关的信号来提高由这些中继装置构成的中继装置系统的牢靠性。
[0043]
[本公开的实施方式的详细内容]
[0044]
针对本公开，基于示出其实施方式的附图来具体地进行说明。以下，参照附图来说明本公开的实施方式涉及的中继装置系统s及中继装置。此外，本公开不限于这些示例，而由权利要求书示出，意在包含与权利要求书等同的意思及范围内的全部变更。
[0045]
(实施方式1)
[0046]
以下，基于附图来说明实施方式。图1是示出实施方式1涉及的中继装置系统s的结构的示意图。中继装置系统s搭载于车辆1，包括无线中继装置10及多个有线中继装置20。无线中继装置10及三个有线中继装置20通过电源线4彼此并联地连接于蓄电装置5，被供给来自蓄电装置5的电力。
[0047]
无线中继装置10连接于用于与处于车外的通信装置(未图示)进行无线通信的天线102。无线中继装置10及有线中继装置20各自以无线中继装置10为一端而串联连接。因此，在将处于车外的通信装置设为上游侧的情况下，无线中继装置10位于最上游，各个有线中继装置20串联连接于无线中继装置10的下游侧。无线中继装置10通过例如ethernet等通信线3与位于下游侧的有线中继装置20连接。有线中继装置20通过例如ethernet等通信线3与位于上游侧的无线中继装置10或其他有线中继装置20连接。进而，位于最下游的有线中继装置20以外的有线中继装置20通过通信线3与位于下游侧的其他有线中继装置20连接。这样，无线中继装置10和有线中继装置20各自通过通信线3来连接，从而形成将无线中继装置10和有线中继装置20各自串联连接的网络拓扑。无线中继装置10与处于车外的通信装置
进行无线通信，将通过该无线通信接收到的各种数据向有线中继装置20发送(中继)。
[0048]
有线中继装置20通过例如can(controller area network/注册商标)或ethernet等的ecu用配线2与对车载装置进行控制的ecu 30(electronic control unit：电子控制单元)以能够通信的方式连接。在图1中，将无线中继装置10设为上游侧且串联连接有三个有线中继装置20，与这三个有线中继装置20各自连接的ecu 30设为从上游侧朝向下游侧使得与车辆1的行驶安全性相关的优先级提高。即，连接于最下游侧的有线中继装置20的ecu 30与其他有线中继装置20的ecu 30相比，与车辆1的行驶安全性相关的优先级较高。另外，直接连接于无线中继装置10的有线中继装置20的ecu 30与其他有线中继装置20的ecu 30相比，与车辆1的行驶安全性相关的优先级较低。此外，串联连接的有线中继装置20不限于三个，是两个以上即可。
[0049]
有线中继装置20接收从无线中继装置10发送的数据即由无线中继装置10中继的来自车外的通信装置的数据，并向连接于本装置的ecu 30发送。因此，ecu 30经由无线中继装置10及有线中继装置20与车外的通信装置通信。无线中继装置10及有线中继装置20对ecu 30与车外的通信装置之间的通信进行中继。
[0050]
有线中继装置20包括信号输出部203，该信号输出部203对直接连接于本装置的上游侧的无线中继装置10或有线中继装置20输出用于切断该无线中继装置10或有线中继装置20的通信的信号。有线中继装置20对直接连接于本装置的上游侧的无线中继装置10或有线中继装置20进行监视，在该无线中继装置10或有线中继装置20发生异常的情况下，信号输出部203经由信号性来输出信号，切断发生异常的无线中继装置10或有线中继装置20的通信。因此，本装置与直接连接于本装置的上游侧的无线中继装置10或有线中继装置20之间的通信被切断。关于这些通信的切断的事项的详细内容在后文中叙述。
[0051]
图2是示出无线中继装置10和有线中继装置20的结构的框图。无线中继装置10包括无线通信部101、控制部103、存储部104、有线通信部105、电源部106及电源开关107，且连接于天线102。此外，无线中继装置10也可以包括该天线102。
[0052]
无线通信部101通过电线束等与用于与车外的通信装置进行无线通信的天线102连接。无线通信部101例如使用5g、4g或lte等预定的广域通信标准与车外的通信装置进行无线通信，例如是被称为tcu(telematics communication unit：远程信息处理通信单元)的通信装置。
[0053]
控制部103由cpu(central processing unit：中央处理单元)或mpu(micro processing unit：微型处理单元)等构成，通过读取并执行被预先存储在存储部104中的控制程序和数据，进行各种控制处理和运算处理等。控制部103通过内部总线109与无线通信部101、有线通信部105及存储部104以能够通信的方式连接。控制部103通过执行控制程序，进行对在无线通信部101和有线通信部105之间通信的数据进行中继的控制。
[0054]
控制程序包括用于确保本装置的安全的安全程序。控制部103通过执行安全程序，应对包括例如dos攻击、病毒或蠕虫病毒等在内的数据从车外的非法通信(攻击)，发挥安全功能以确保本装置的安全性(保证安全的通信状态)。
[0055]
存储部104由ram(random access memory：随机存取存储器)等易失性存储器元件或者rom(read only memory：只读存储器)、eeprom(electrically erasable programmable rom：电可擦可编程只读存储器)或闪存等非易失性存储器元件构成，且预先
存储有在控制程序和处理时参考的数据。关于存储在存储部104中的控制程序，也可以是存储从无线中继装置10能够读取的记录介质(未图示)读出的控制程序的构成。另外，也可以是，从连接于未图示的通信网的未图示的外部计算机下载控制程序并存储在存储部104中。存储部104例如以表形式存储有用于与有线中继装置20或ecu 30通信的路径信息。该路径信息包括连接于无线中继装置10、有线中继装置20及有线中继装置20的ecu 30的地址。因此，控制部103能够通过参考存储在存储部104中的路径信息来对ecu30与车外的通信装置之间的通信进行中继。
[0056]
有线通信部105是例如ethernet的通信端口等输入输出i/f，物理层的协议基于例如100base
‑
t1或1000base
‑
t1等ieee的标准。
[0057]
电源部106将从蓄电装置5(参照图1)施加的电压转换成控制部103及有线通信部105等无线中继装置10所包括的各部位的工作电压来进行分配，经由电源线108向这些各部位供给电力。
[0058]
在将电源部106与蓄电装置5连接的电源线108设置有电源开关107。电源开关107由机械式继电器或fet(field effect transistor：场效应晶体管)等半导体开关构成。电源开关107例如与车辆1的点火开关(ig开关)连动而通常为接通，且根据来自直接连接于后述的下游侧的有线中继装置20的信号而被控制成断开或接通。电源开关107相当于切断本装置的通信的通信切断部。
[0059]
有线中继装置20包括控制部201、存储部202、信号输出部203、电源部205、电源开关206、两个有线通信部207及ecu用通信部208。
[0060]
有线中继装置20的控制部201具有与上述的无线中继装置10的控制部103相同的结构。有线中继装置20的控制部201通过内部总线210与存储部202、信号输出部203、有线通信部207及ecu用通信部208以能够通信的方式连接。控制部201通过读取并执行被存储在存储部202中的控制程序和数据，进行对在两个有线通信部207之间或有线通信部207与ecu用通信部208之间通信的数据进行中继的控制。
[0061]
与无线中继装置10的控制程序同样地，有线中继装置20的控制程序也包括用于确保本装置的安全性的安全程序。有线中继装置20的控制部201应对包括病毒在内的数据等的非法的通信(攻击)，发挥安全功能以确保本装置的安全性。
[0062]
有线中继装置20的存储部202具有与上述无线中继装置10的存储部104相同的结构。例如，与无线中继装置10的存储部104同样地，在有线中继装置20的存储部202中例如以表形式存储有与有线中继装置20或ecu30通信的路径信息。该路径信息包括连接于无线中继装置10、有线中继装置20及有线中继装置20的ecu 30的地址。有线中继装置20例如作为第二层开关或第三层开关而发挥功能。在有线中继装置20作为第二层开关而发挥功能的情况下，无线中继装置10、有线中继装或ecu30的mac地址作为路径信息存储在存储部202中。在有线中继装置20作为第三层开关而发挥功能的情况下，无线中继装置10、有线中继装置20或ecu30的ip地址作为路径信息存储在存储部202中。因此，通过参考存储在存储部202中的路径信息，有线中继装置20的控制部201能够对连接于本装置的ecu30与车外的通信装置之间的通信或者连接于本装置的ecu30与连接于其他有线中继装置20的ecu30之间的通信进行中继。
[0063]
有线中继装置20包括与上游和下游侧对应的两个有线通信部207。这两个有线通
信部207具有与无线中继装置10的有线通信部105相同的标准，是例如ethernet的通信端口等输入输出i/f，物理层的协议例如是100base
‑
t1或1000base
‑
t1等。
[0064]
信号输出部203是基于来自控制部201的指令对直接连接于本装置的上游侧的其他有线中继装置20或无线中继装置10的电源开关206输出使该开关断开或接通的信号的信号输出电路。
[0065]
信号输出部203通过信号线204与直接连接于本装置的上游侧的其他有线中继装置20或无线中继装置10的电源开关206、107连接。例如，在该电源开关206、107由fet(field effect transistor：场效应晶体管)构成的情况下，信号输出部203通过信号线204与fet的栅极端子连接，且通过从信号输出部203输出的信号即施加到栅极端子的电压而将fet切换为断开或接通。
[0066]
另外，在图2中，信号输出部203记载为与控制部201分开设置的区块(装置)，但不限于此。控制部201也可以作为包括信号输出电路在内的微机而一体地构成，且控制部201发挥信号输出部203的功能。
[0067]
有线中继装置20的电源部205将从蓄电装置5施加的电压转换成控制部201及有线通信部207等有线中继装置20所包括的各部位的工作电压来进行分配，经由电源线209向这些各部位供给电力。
[0068]
在将有线中继装置20的电源部205与蓄电装置5连接的电源线209设置有电源开关206。与上述的无线中继装置10的电源开关107同样地，有线中继装置20的电源开关206由机械式继电器或半导体开关构成。电源开关206例如与车辆1的点火开关(ig开关)连动而通常为接通，且根据来自直接连接于下游侧的有线中继装置20的信号而被控制成断开或接通。电源开关206相当于切断本装置的通信的通信切断部。
[0069]
ecu用通信部208是与ethernet或can等预定的通信协议相对应的输入输出i/f。ecu用通信部208与各个ecu 30通过例如can电缆等ecu用配线2以能够通信的方式连接。ecu用通信部208相当于将有线中继装置20与ecu 30以能够通信的方式连接的通信部。
[0070]
有线中继装置20包括用于对直接连接于本装置的上游的其他有线中继装置20或无线中继装置10进行异常判定的判定部。判定部监视其他有线中继装置20或无线中继装置10，在这些其他有线中继装置20或无线中继装置10例如因病毒等而处于异常状态的情况下，进行异常判定。关于判定部对其他有线中继装置20或无线中继装置10的监视及异常判定，例如在与直接连接于上游侧的其他有线中继装置20或无线中继装置10内执行的安全程序或自诊断程序(凹模处理)之间进行处理间通信来进行监视，并基于处理间通信的结果来进行异常判定。或者，判定部也可以周期性地对直接连接于上游侧的其他有线中继装置20或无线中继装置10进行轮询通信，执行检验和，并确认执行结果的响应来进行监视和异常判定。或者，判定部也可以获取从直接连接于上游侧的其他有线中继装置20或无线中继装置10发送的数据，并对获取的数据的认证密钥的合法性进行评价，从而进行异常判定。或者，判定部也可以是，在无线中继装置10及有线中继装置20具有ids(intrusion detection system：入侵检测系统)的功能的情况下，获取从直接连接于上游侧的其他有线中继装置20或无线中继装置10发送的与ids(intrusion detection system：入侵检测系统)相关的数据，并对获取的数据进行评价，从而进行异常判定。
[0071]
这样的异常发生在无线中继装置10及有线中继装置20的安全功能被来自车外的
病毒等的攻击突破即功能不足的情况下。在判定部判定为直接连接于上游侧的其他有线中继装置20或无线中继装置10发生异常的情况下，信号输出部203基于来自控制部201的指令，输出使直接连接于该上游侧的其他有线中继装置20或无线中继装置10的电源开关206、107断开的信号即切断通信的信号。因此，通过使发生异常的无线中继装置10或有线中继装置20的电源断开而切断通信，相较于发生异常的无线中继装置10或有线中继装置20，能够防止位于下游侧的有线中继装置20发生异常。有线中继装置20的控制部201通过执行控制程序而作为判定部发挥功能。
[0072]
ecu 30经由ecu用通信部208连接于多个有线中继装置20的各有线中继装置20。ecu 30由用于控制对应的车载装置的程序及用于执行该程序的微机等构成。
[0073]
图3是与ecu 30的行驶安全性的优先级相关的说明图。ecu 30中的与车辆1的行驶安全性相关的优先级基于对应的车载装置及所执行的程序的功能来确定，例如可以是基于iso26262的asil(automotive safety integrity level：汽车安全完整性等级)来确定的。如图3所示，asil的等级被分类为qm、asil
‑
a、asil
‑
b、asil
‑
c、asil
‑
d的等级。qm等级是也可以不适用基于iso26262的功能安全的通常的品质管理。在从asil
‑
a到d的等级下，是需要适用基于iso26262的功能安全的等级，且从asil
‑
a到asil
‑
d，功能安全要求逐渐变得严格。即，能够视为qm等级的优先级最低而asil
‑
d等级的优先级最高。
[0074]
作为对应于各asil等级的ecu 30，例如，相当于qm等级的ecu 30是控制汽车导航、tv等的视频数据或流数据的娱乐系统ecu 30、控制汽车空调的空调ecu 30。相当于asil
‑
a等级的ecu 30是进行座位的位置控制或后视镜的控制等的车身系统ecu 30。相当于asil
‑
b等级的ecu 30是与发动机或电动机等的驱动控制等相关的行驶控制系统ecu 30。相当于asil
‑
c等级的ecu 30是与方向盘控制或制动控制等相关的行驶控制系统ecu 30。相当于asil
‑
d等级的ecu 30是与自动驾驶控制相关的自动驾驶系统ecu 30。
[0075]
另外，关于ecu 30中的与车辆1的行驶安全性相关的优先级，将自动驾驶系统ecu 30设为最高的优先级，将进行与车辆1的旋转(弯曲)或停止相关的控制的ecu 30设为下一级高的优先级，将进行与车辆1的行驶(行驶)相关的控制的ecu 30设为再下一级高的优先级。而且，可以将执行除此之外的控制的ecu 30设为最低的优先级。
[0076]
在串联连接的多个多个有线中继装置20各自连接有与关于车辆1的行驶安全性的优先级相应的ecu 30。例如，娱乐系统ecu 30或空调ecu 30等优先级最低的ecu 30连接于与无线中继装置10直接连接的有线中继装置20的ecu用通信部208。自动驾驶系统ecu 30或行驶控制系统ecu 30等优先级较高的ecu 30连接于位于最下游的有线中继装置20的ecu用通信部208。车身ecu 30等优先级中等的ecu 30连接于位于串联地构成的网络拓扑的中间的有线中继装置20的ecu用通信部208。
[0077]
无线中继装置10的有线通信部105与直接连接于无线中继装置10的下游侧的有线中继装置20的上游侧的有线通信部207由通信线3连接。在有线中继装置20彼此之间，通过位于上游侧的有线中继装置20的下游侧的有线通信部207和位于下游侧的有线中继装置20的上游侧的有线通信部207且通过布线在这些有线通信部207之间的通信线3来连接。
[0078]
有线中继装置20的两个有线通信部207各自通过内部总线210与控制部201连接，流经两个有线通信部207的数据经由控制部201进行通信，即由控制部201进行中继。因此，在位于最下游的有线中继装置20与车外的通信装置之间进行通信的情况下，与该通信装置
通信的数据由无线中继装置10及其他有线中继装置20进行中继，并发送到位于最下游的有线中继装置20。即，无线中继装置10及多个有线中继装置20的各有线中继装置20以无线中继装置10为一端而串联连接，且通过戽链式方法进行这些串联连接的无线中继装置10及多个有线中继装置20的通信。因此，为了使例如位于最下游的有线中继装置20接收由无线中继装置10接收并中继的来自车外的通信装置的数据，位于该有线中继装置20的上游侧的其他有线中继装置20分别进行中继。
[0079]
由于有线中继装置20各自具有安全功能，即使在受到来自车外的非法通信等的攻击的情况下，位于本装置的上游侧的各个其他有线中继装置20依次成为针对该攻击的防火墙式的屏障，从而提高牢靠性。
[0080]
进而，通过将连接与车辆1的行驶安全性相关的优先级较高的ecu30的有线中继装置20配置在下游侧来保护该优先级较高的ecu30，从而能够提高针对该攻击的牢靠性。
[0081]
另外，作为与车辆1的行驶安全性相关的优先级较高的ecu30，能够例如通过将连接用于车辆1的行驶控制的行驶控制系统ecu30或用于进行自动驾驶的自动驾驶系统ecu30的有线中继装置20连接于下游侧，有效地保护行驶控制系统ecu30或自动驾驶系统ecu30。
[0082]
另外，如图1所示，连接于最下游的有线中继装置20也可以仅具有用于与位于上游侧的其他有线中继装置20连接的有线通信部207。另外，连接于最下游的有线中继装置20也可以不具有电源开关206。连接于最下游的有线中继装置20例如连接有自动驾驶系统ecu30等与车辆1的行驶安全性相关的优先级最高的ecu30，因此，即使在与连接于本装置的上游的其他有线中继装置20之间的通信被切断的情况下，也能够保证这些优先级最高的ecu30之间的通信。
[0083]
图4是示出实施方式1涉及的控制部201的处理的流程图。有线中继装置20的控制部201始终地进行以下的处理，或者，基于点火开关(ig开关)接通的情况等之下的预定的输入信号来进行以下的处理。
[0084]
有线中继装置20各自的控制部201开始对与本装置的上游侧直接连接的其他有线中继装置20或无线中继装置10的监视(s01)。即，与无线中继装置10的下游侧直接连接的有线中继装置20监视无线中继装置10。该有线中继装置20以外的有线中继装置20监视与本装置的上游侧直接连接的其他有线中继装置20。关于控制部201对与本装置的上游侧直接连接的其他有线中继装置20或无线中继装置10的监视，通过例如对该其他有线中继装置20或无线中继装置10的轮询、对从其他有线中继装置20或无线中继装置10发送的数据的获取或者与其他有线中继装置20或无线中继装置10中执行的自我诊断程序的处理间通信等各种方法来进行。
[0085]
控制部201判定直接连接于上游侧的其他有线中继装置20或无线中继装置10是否存在异常(s02)。控制部201例如确认从该其他有线中继装置20或无线中继装置10对轮询通信的响应，并根据确认结果来进行异常判定。或者，控制部201也可以通过对从该其他有线中继装置20或无线中继装置10发送的数据的认证密钥的合法性进行评价等，进行基于各种方法的异常判定。
[0086]
在判定为不是异常即正常的情况下(s02：否)，控制部201为了再次执行s01的处理而进行循环处理。
[0087]
在判定为异常的情况下(s02：是)，控制部201对直接连接于本装置的上游侧的其
他有线中继装置20或无线中继装置10输出切断通信的信号(s03)。信号输出部203接收控制部201的指令，对直接连接于本装置的上游侧的其他有线中继装置20或无线中继装置10的电源开关206、107输出使该电源开关206、107断开的信号。接收到所输出的信号的该其他有线中继装置20或无线中继装置10的电源开关206、107断开。因此，包括进行了该信号的输出的控制部201在内的有线中继装置20与直接连接于该有线中继装置20的上游侧的其他有线中继装置20或无线中继装置10之间的通信被切断。
[0088]
电源开关206、107断开的有线中继装置20或无线中继装置10成为例如由于病毒等而无法正常工作的状态，存在使病毒等也传播到其他有线中继装置20或ecu30的可能性。与此相对地，通过将发生异常的有线中继装置20或无线中继装置10的电源断开，能够切断与其他有线中继装置20或ecu30的通信，防止病毒等传播到这些其他有线中继装置20或ecu30的情况。
[0089]
进行了切断通信的信号的输出的控制部201也可以将与该信号的输出相关的信息或与异常判定相关的信息存储在存储部202中。与该信号的输出相关的信息等例如是用于对检测到的异常的内容、来自判定为异常的其他有线中继装置20或无线中继装置10的通信数据等发生异常的主要原因进行分析的信息。进而，与该信号的输出相关的信息等也可以与发生异常的时刻或定时相关联地存储在存储部202中。
[0090]
控制部201判定是否经过了预定时间或者实施了预定动作(s04)。预定时间是指预先存储在存储部202中的时间，例如是5分钟等。预定动作是指例如车辆1的点火开关断开及接通的动作。
[0091]
在未经过预定时间或者未实施预定动作的情况下(s04：否)，控制部201为了再次进行s04的处理而进行循环处理。即，进行了切断通信的信号的输出的控制部201进行待机处理直到经过预定时间为止，或者在直到实施预定动作为止的期间内进行待机处理。
[0092]
在经过了预定时间或者实施了预定动作的情况下(s04：是)，进行了切断通信的信号的输出的控制部201输出恢复通信的信号(s05)。即使是判定为异常的无线中继装置10或有线中继装置20，在该异常是暂时性的情况下，也可以在经过预定时间或实施预定动作之后复原。因此，即使在判定为直接连接于本装置的上游的无线中继装置10或其他有线中继装置20发生异常并输出切断通信的信号而切断了与这些无线中继装置10或其他有线中继装置20的通信的情况下，也能够通过输出恢复通信的信号来确认这些无线中继装置10或其他有线中继装置20的复原。
[0093]
控制部201为了再次执行s01的处理而进行循环处理。因此，在接收到恢复通信的信号的无线中继装置10或其他有线中继装置20未复原且再次判定为异常的情况下，能够再次切断这些无线中继装置10或其他有线中继装置20的通信。
[0094]
此外，在本实施例中，进行了切断通信的信号的输出的控制部201在经过了预定时间或者实施了预定动作的情况下输出恢复通信的信号，但不限于此。进行了切断通信的信号的输出的控制部201也可以之后不输出恢复通信的信号。或者，进行了切断通信的信号的输出的控制部201也可以进行如下的控制：存储输出恢复通信的信号的次数，并且在该次数超过预定值的情况下之后不输出恢复通信的信号。通过维持对复原的预计可能性较低的无线中继装置10或有线中继装置20的通信进行切断的状态，能够保证中继装置系统s的牢靠性。
[0095]
电源开关206、107断开的有线中继装置20或无线中继装置10成为例如由于病毒等而无法正常工作的状态，存在使病毒等也传播到其他有线中继装置20或ecu30的可能性。与此相对地，通过将发生异常的有线中继装置20或无线中继装置10的电源断开，能够切断与其他有线中继装置20或ecu30的通信，防止病毒等传播到这些其他有线中继装置20或ecu30的情况。
[0096]
由于来自车外的通信经由无线中继装置10进行，有时无线中继装置10被攻击而安全功能不足，成为异常状态。并且，即使在接下来与无线中继装置10的下游侧直接连接的有线中继装置20被攻击而同样地安全功能不足，成为异常状态的情况下，与该异常的有线中继装置20的下游侧直接连接的有线中继装置20检测该异常并断开该异常的有线中继装置20的电源。通过断开该异常的有线中继装置20的电源，通信被切断，相较于该异常的有线中继装置20，能够保护连接于下游侧的其他有线中继装置20和ecu30。
[0097]
将无线中继装置10和有线中继装置20串联连接并通过戽链式方法进行通信，并且各个有线中继装置20将与本装置的上游侧直接连接的无线中继装置10或有线中继装置20的电源断开而切断通信，从而能够使各个有线中继装置20作为屏障而发挥功能。通过使各个有线中继装置20作为屏障而发挥功能，能够有效地保护连接于位于下游侧的有线中继装置20的与行驶安全性相关的优先级较高的ecu30。
[0098]
(变形例)
[0099]
图5是示出变形例涉及的无线中继装置10及有线中继装置20的结构的框图。变形例涉及的无线中继装置10及有线中继装置20在如下这点上与实施方式1不同：在电源部205与有线通信部207之间还包括第二电源开关111、211。
[0100]
与实施方式1同样地，无线中继装置10及有线中继装置20将无线中继装置10设为最上游而串联连接。无线中继装置10及有线中继装置20在电源部205与有线通信部207之间还包括第二电源开关111、211。
[0101]
有线中继装置20的信号输出部203通过信号线204连接于与上游侧直接连接的无线中继装置10或有线中继装置20的第二电源开关111、211。与实施方式1的信号输出部203同样地，在与上游侧直接连接的无线中继装置10或有线中继装置20发生异常的情况下，变形例的信号输出部203向与上游侧直接连接的无线中继装置10或有线中继装置20的第二电源开关111、211输出信号而断开该第二电源开关111、211。
[0102]
通过使第二电源开关111、211断开时，不再对有线通信部207供给电力，有线通信部207停止功能。在有线中继装置20中，设置有第二电源开关211的有线通信部207为下游侧的有线通信部207。
[0103]
这样，通过将设置在电源部205与有线通信部207之间的第二电源开关111、211断开，能够切断本装置与直接连接于本装置的上游侧的无线中继装置10或有线中继装置20之间的通信，并且继续对该无线中继装置10或有线中继装置20的控制部103、201供给电力。因此，存在该无线中继装置10或有线中继装置20的控制部103、201执行自诊断程序等并从异常状态复原到正常状态的情况。在复原到正常状态之后，控制部103、201将设置在本装置的电源部205与有线通信部207之间的第二电源开关111、211接通。通过接通该第二电源开关111、211，能够恢复与无线中继装置10或其他有线中继装置20的通信。
[0104]
此外，如图5所示，变形例的无线中继装置10及有线中继装置20包括设置在电源部
205与蓄电装置5之间的电源开关107、206及设置在电源部106、205与有线通信部105、207之间的第二电源开关111、211，但不限于此。变形例的无线中继装置10及有线中继装置20也可以仅包括设置在电源部106、205与有线通信部105、207之间的第二电源开关111、211。
[0105]
应该理解为，本次公开的实施方式在全部方面均为例示，而不是限制性的内容。本发明的范围并不由上述的意思示出，而由权利要求书示出，意在包含与权利要求书等同的意思及范围内的全部变更。
[0106]
附图标记说明
[0107]
s 中继装置系统
[0108]
1 车辆
[0109]
2 ecu用配线
[0110]
3 通信线
[0111]
4 电源线
[0112]
5 蓄电装置
[0113]
10 无线中继装置(中继装置)
[0114]
101 无线通信部
[0115]
102 天线
[0116]
103 控制部
[0117]
104 存储部
[0118]
105 有线通信部
[0119]
106 电源部
[0120]
107 电源开关(通信切断部、开关)
[0121]
108 电源线
[0122]
109 内部总线
[0123]
111 第二电源开关(通信切断部、开关)
[0124]
20 有线中继装置(第一有线中继装置、第二有线中继装置、中继装置)
[0125]
201 控制部(判定部)
[0126]
202 存储部
[0127]
203 信号输出部
[0128]
204 信号线
[0129]
205 电源部
[0130]
206 电源开关(通信切断部、开关)
[0131]
207 有线通信部
[0132]
208 ecu用通信部
[0133]
209 电源线
[0134]
210 内部总线
[0135]
211 第二电源开关(通信切断部、开关)
[0136]
30 ecu。