本公開涉及在電子控制單元進(jìn)行通信的車載網(wǎng)絡(luò)中進(jìn)行幀的轉(zhuǎn)送等的網(wǎng)關(guān)裝置。

背景技術(shù)：

近年來(lái)，在汽車中的系統(tǒng)內(nèi)，配置有許多被稱為電子控制單元(ecu：electroniccontrolunit)的裝置。連接這些ecu的網(wǎng)絡(luò)被稱為車載網(wǎng)絡(luò)。車載網(wǎng)絡(luò)存在多種標(biāo)準(zhǔn)。作為其中最主流的車載網(wǎng)絡(luò)之一，存在由iso11898-1規(guī)定的can(controllerareanetwork：控制器局域網(wǎng)絡(luò))這一標(biāo)準(zhǔn)。

在can中，通信路徑由兩條總線構(gòu)成，與總線連接的ecu被稱為節(jié)點(diǎn)。與總線連接的各節(jié)點(diǎn)收發(fā)被稱為幀的消息。發(fā)送幀的發(fā)送節(jié)點(diǎn)通過(guò)在兩條總線上施加電壓，并在總線間產(chǎn)生電位差，從而發(fā)送被稱為隱性(recessive)的“1”的值和被稱為顯性(dominant)的“0”的值。多個(gè)發(fā)送節(jié)點(diǎn)在完全相同的定時(shí)發(fā)送了隱性和顯性的情況下，優(yōu)先發(fā)送顯性。接收節(jié)點(diǎn)在接收到的幀的格式(format)存在異常的情況下，發(fā)送被稱為錯(cuò)誤幀(errorframe)的幀。錯(cuò)誤幀是通過(guò)連續(xù)地發(fā)送6比特(bit)的顯性來(lái)向發(fā)送節(jié)點(diǎn)和/或其他接收節(jié)點(diǎn)通知幀的異常的幀。

另外，在can中不存在指示發(fā)送目的地和/或發(fā)送源的標(biāo)識(shí)符，發(fā)送節(jié)點(diǎn)對(duì)每一幀附加被稱為消息id的id而進(jìn)行發(fā)送(也就是向總線送出信號(hào))，各接收節(jié)點(diǎn)僅接收預(yù)先確定的id的幀(也就是從總線讀取信號(hào))。另外，采用csma/ca(carriersensemultipleaccess/collisionavoidance：載波偵聽多路訪問(wèn)/沖突避免)方式，在多個(gè)節(jié)點(diǎn)同時(shí)發(fā)送時(shí)基于消息id進(jìn)行仲裁(調(diào)停)，優(yōu)先發(fā)送消息id的值小的幀。

關(guān)于can的車載網(wǎng)絡(luò)系統(tǒng)，存在攻擊者通過(guò)訪問(wèn)總線并發(fā)送不正常的幀從而不正常(非法)地控制ecu這一威脅，安全對(duì)策正在被進(jìn)行研究。

例如，專利文獻(xiàn)1中所記載的、在車載網(wǎng)絡(luò)中在總線間轉(zhuǎn)送幀的網(wǎng)關(guān)裝置(gw：gateway)當(dāng)檢測(cè)出發(fā)送給總線的幀的周期異常時(shí)，通過(guò)不向其他總線轉(zhuǎn)送而廢棄該幀，抑制不正常的控制(專利文獻(xiàn)1)。

現(xiàn)有技術(shù)文獻(xiàn)

專利文獻(xiàn)1：日本特開2014-146868號(hào)公報(bào)

技術(shù)實(shí)現(xiàn)要素：

發(fā)明所要解決的問(wèn)題

上述現(xiàn)有的技術(shù)需要進(jìn)一步的改善。

用于解決問(wèn)題的技術(shù)方案

本公開的一個(gè)技術(shù)方案涉及的網(wǎng)關(guān)裝置在車載網(wǎng)絡(luò)系統(tǒng)中連接于多個(gè)電子控制單元進(jìn)行通信所使用的總線，所述網(wǎng)關(guān)裝置具備：接收部，其接收第一幀；以及發(fā)送部，其在由所述接收部接收到所述第一幀時(shí)，使包含基于該第一幀的內(nèi)容的信息的第二幀包含第一控制信息，將該第二幀發(fā)送給所述總線，所述第一控制信息與接收該第二幀后的處理的限制有關(guān)。

此外，這些總括性的或者具體的技術(shù)方案既可以通過(guò)系統(tǒng)、裝置、集成電路、計(jì)算機(jī)程序或者計(jì)算機(jī)可讀取的cd-rom等記錄介質(zhì)來(lái)實(shí)現(xiàn)，也可以通過(guò)系統(tǒng)、裝置、集成電路、計(jì)算機(jī)程序以及記錄介質(zhì)的任意組合來(lái)實(shí)現(xiàn)。

發(fā)明效果

根據(jù)本公開，能夠抑制判定幀是否正常的時(shí)間長(zhǎng)度對(duì)車載網(wǎng)絡(luò)造成的不良影響，能夠確保判定幀是否正常所需的時(shí)間。

此外，本公開的進(jìn)一步的效果以及優(yōu)點(diǎn)可由本說(shuō)明書以及附圖的公開內(nèi)容來(lái)明確。上述進(jìn)一步的效果以及優(yōu)點(diǎn)也可以由本說(shuō)明書以及附圖所公開的各種實(shí)施方式以及特征來(lái)個(gè)別地提供，未必需要提供所有的效果以及優(yōu)點(diǎn)。

附圖說(shuō)明

圖1是表示實(shí)施方式1涉及的車載網(wǎng)絡(luò)系統(tǒng)的整體結(jié)構(gòu)的圖。

圖2是表示由can協(xié)議規(guī)定的數(shù)據(jù)幀的格式的圖。

圖3是ecu的結(jié)構(gòu)圖。

圖4是示出了接收id列表的一例的圖。

圖5是表示從連接于發(fā)動(dòng)機(jī)的ecu發(fā)送的幀中的id以及數(shù)據(jù)域的一例的圖。

圖6是表示從連接于制動(dòng)器的ecu發(fā)送的幀中的id以及數(shù)據(jù)域的一例的圖。

圖7是表示從連接于車門開閉傳感器的ecu發(fā)送的幀中的id以及數(shù)據(jù)域的一例的圖。

圖8是表示從連接于車窗開閉傳感器的ecu發(fā)送的幀中的id以及數(shù)據(jù)域的一例的圖。

圖9是表示從連接于角部傳感器(cornersensor)的ecu發(fā)送的幀中的id以及數(shù)據(jù)域的一例的圖。

圖10是實(shí)施方式1涉及的網(wǎng)關(guān)(網(wǎng)關(guān)裝置)的結(jié)構(gòu)圖。

圖11是示出了實(shí)施方式1涉及的網(wǎng)關(guān)所發(fā)送的幀的數(shù)據(jù)域格式的一例的圖。

圖12是表示網(wǎng)關(guān)所保持的不正常判定規(guī)則的一例的圖。

圖13是表示網(wǎng)關(guān)所保持的轉(zhuǎn)送規(guī)則的一例的圖。

圖14是表示實(shí)施方式1中的幀的轉(zhuǎn)送涉及的工作例的時(shí)序圖。

圖15是表示實(shí)施方式1涉及的ecu中的幀發(fā)送處理的一例的流程圖。

圖16是表示實(shí)施方式1涉及的網(wǎng)關(guān)中的幀轉(zhuǎn)送處理的一例的流程圖。

圖17是表示實(shí)施方式1涉及的網(wǎng)關(guān)中的不正常判定處理的一例的流程圖。

圖18是表示網(wǎng)關(guān)中的最終判定處理的一例的流程圖。

圖19是表示實(shí)施方式1涉及的ecu中的幀接收處理的一例的流程圖。

圖20是表示實(shí)施方式2涉及的車載網(wǎng)絡(luò)系統(tǒng)的整體結(jié)構(gòu)的圖。

圖21是示出了實(shí)施方式2涉及的網(wǎng)關(guān)以及ecu所發(fā)送的幀的數(shù)據(jù)域格式的一例的圖。

圖22是表示實(shí)施方式2中的校驗(yàn)和的算出所使用的信息的一例的圖。

圖23是實(shí)施方式2涉及的網(wǎng)關(guān)的結(jié)構(gòu)圖。

圖24是服務(wù)器的結(jié)構(gòu)圖。

圖25是表示服務(wù)器所保持的車輛數(shù)據(jù)的一例的圖。

圖26是表示實(shí)施方式2涉及的ecu中的幀發(fā)送處理的一例的流程圖。

圖27是表示實(shí)施方式2涉及的網(wǎng)關(guān)中的幀轉(zhuǎn)送處理的一例的流程圖。

圖28是表示實(shí)施方式2涉及的網(wǎng)關(guān)中的不正常判定處理的一例的流程圖。

圖29是表示實(shí)施方式2涉及的網(wǎng)關(guān)中的服務(wù)器判定應(yīng)對(duì)處理的一例的流程圖。

圖30是表示服務(wù)器中的判定處理的一例的流程圖。

圖31是表示實(shí)施方式2涉及的ecu中的幀接收處理的一例的流程圖。

圖32是表示實(shí)施方式2涉及的ecu中的校驗(yàn)和確認(rèn)處理的一例的流程圖。

具體實(shí)施方式

(成為本公開的基礎(chǔ)的見解)

對(duì)幀進(jìn)行轉(zhuǎn)送的網(wǎng)關(guān)裝置為了廢棄不正常的幀，需要判定幀是否正常，適當(dāng)?shù)膸霓D(zhuǎn)送會(huì)延遲判定幀是否正常所需的時(shí)間，可能對(duì)車載網(wǎng)絡(luò)造成不良影響。例如，一旦長(zhǎng)時(shí)間延遲，則等待接收幀的ecu就有可能執(zhí)行異常處理。

基于上述考察，本發(fā)明人想到了本公開的各技術(shù)方案。

本公開的一個(gè)技術(shù)方案涉及的網(wǎng)關(guān)裝置在車載網(wǎng)絡(luò)系統(tǒng)中連接于多個(gè)電子控制單元進(jìn)行通信所使用的總線，所述網(wǎng)關(guān)裝置具備：接收部，其接收第一幀；以及發(fā)送部，其在由所述接收部接收到所述第一幀時(shí)，使包含基于該第一幀的內(nèi)容的信息的第二幀包含第一控制信息，將該第二幀發(fā)送給所述總線，所述第一控制信息與接收該第二幀后的處理的限制有關(guān)。由此，在轉(zhuǎn)送幀時(shí)發(fā)送含有控制信息的幀，因此，例如能夠進(jìn)行在接收后阻止幀的處理而待機(jī)等的控制。為此，即使在使用了判定接收到的幀是否正常需要某種程度的時(shí)間的判定方法的情況下，也能在該判定完成之前，預(yù)先將指示待機(jī)等的控制信息附加在幀中進(jìn)行發(fā)送，能夠抑制在接收到幀的電子控制單元(ecu)中進(jìn)行異常處理等。即，能夠抑制因網(wǎng)關(guān)裝置需要時(shí)間來(lái)判定接收到的幀是否正常而對(duì)車載網(wǎng)絡(luò)造成的不良影響。另外，對(duì)于網(wǎng)關(guān)裝置而言，能夠確保判定幀是否正常所需的時(shí)間，因此，能夠進(jìn)行更加適當(dāng)?shù)呐卸?，能夠抑制不正常的幀?duì)車載網(wǎng)絡(luò)造成不良影響。

另外，也可以為，所述發(fā)送部在由所述接收部接收到所述第一幀時(shí)，在滿足預(yù)定條件的情況下，使所述第二幀包含所述第一控制信息并進(jìn)行所述發(fā)送，在不滿足所述預(yù)定條件的情況下，以不包含所述第一控制信息的方式將所述第二幀發(fā)送給所述總線，在發(fā)送了包含所述第一控制信息的所述第二幀后，將包含與該第二幀的處理方法有關(guān)的第二控制信息的第三幀發(fā)送給所述總線。由此，在接收到包含有第一控制信息的第二幀的ecu中，由于之后能夠接收到包含與該第二幀的處理方法有關(guān)的第二控制信息的第三幀，因此，可以進(jìn)行保持第二幀并等待第三幀等應(yīng)對(duì)。即，接收到包含有第一控制信息的第二幀的ecu能夠在到第三幀的接收定時(shí)(timing)為止不開始進(jìn)行對(duì)第二幀的處理的執(zhí)行等。

另外，也可以為，所述預(yù)定條件是在發(fā)送所述第二幀后決定所述第一幀是否正常的狀況下所滿足的條件，所述發(fā)送部使所述第三幀包含與涉及所述第一幀的所述決定的結(jié)果相應(yīng)的所述第二控制信息。由此，在接收到包含有第一控制信息的第二幀的ecu中，只要等待接收第三幀，就能夠區(qū)分是因第二幀的內(nèi)容正常而應(yīng)該執(zhí)行與其內(nèi)容相應(yīng)的功能處理等，還是因其內(nèi)容不正常而不應(yīng)該執(zhí)行與其內(nèi)容相應(yīng)的功能處理等。

另外，也可以為，所述網(wǎng)關(guān)裝置具備進(jìn)行所述決定的不正常判定處理部。由此，能夠抑制對(duì)車載網(wǎng)絡(luò)的不良影響，網(wǎng)關(guān)裝置能夠使用從幀的接收起需要某種程度的時(shí)間的判定方法，在本裝置(不正常判定處理部)中執(zhí)行對(duì)接收到的幀是否正常的判定(決定)。

另外，也可以為，所述接收部進(jìn)一步接收由所述多個(gè)電子控制單元之一進(jìn)行的所述決定的結(jié)果。由此，網(wǎng)關(guān)裝置使用讓其他ecu(例如主要進(jìn)行幀是否正常的判定的ecu等)進(jìn)行對(duì)接收到的幀是否正常的判定(決定)并接收其結(jié)果的判定方法，也能夠抑制對(duì)車載網(wǎng)絡(luò)的不良影響。

另外，也可以為，所述網(wǎng)關(guān)裝置具備外部通信部，所述外部通信部在向搭載本裝置的車輛的外部的裝置發(fā)送了所述決定的請(qǐng)求之后接收所述決定的結(jié)果。由此，網(wǎng)關(guān)裝置使用讓車輛外的裝置(例如服務(wù)器)進(jìn)行對(duì)接收到的幀是否正常的判定(決定)并接收其結(jié)果的判定方法，也能夠抑制對(duì)車載網(wǎng)絡(luò)的不良影響。此外，根據(jù)與車輛外的裝置的通信，例如能夠基于該車輛中的過(guò)去的數(shù)據(jù)或者其他車輛的數(shù)據(jù)等，進(jìn)行幀是否正常的判定(決定)，有可能進(jìn)行更加適當(dāng)?shù)呐卸ā?/p>

另外，也可以為，所述第二控制信息表示應(yīng)該開始執(zhí)行所述第二幀的處理這一意思。由此，接收到包含有第一控制信息的第二幀的ecu能夠在接收到包含第二控制信息的第三幀的定時(shí)，將第二幀作為正常的幀，適當(dāng)?shù)亻_始執(zhí)行第二幀的處理。

另外，也可以為，所述第二控制信息表示應(yīng)該廢棄所述第二幀這一意思。由此，接收到包含有第一控制信息的第二幀的ecu能夠在接收到包含第二控制信息的第三幀的定時(shí)，廢棄第二幀，能夠不進(jìn)行不適當(dāng)?shù)奶幚?。這樣即使在應(yīng)該廢棄的情況下也發(fā)送包含該指示的幀，對(duì)于接收到應(yīng)該廢棄這一意思的指示的ecu而言，在能夠立即將所保持的第二幀廢棄這一點(diǎn)是有用的。

另外，也可以為，所述第一控制信息表示應(yīng)該使接收到包含該第一控制信息的所述第二幀的電子控制單元延遲開始執(zhí)行與該第二幀對(duì)應(yīng)的處理，直到接收到包含與該第二幀的處理方法有關(guān)的信息的幀為止這一意思。由此，使得在接收到包含第一控制信息的第二幀的ecu中，不開始執(zhí)行該第二幀的處理，直到在網(wǎng)關(guān)裝置中決定第二幀的處理方法(例如對(duì)應(yīng)處理的執(zhí)行開始或者廢棄等)為止。因此，在網(wǎng)關(guān)裝置中能夠確保用于該決定的處理時(shí)間。

另外，也可以為，所述第一控制信息表示應(yīng)該使接收到包含該第一控制信息的所述第二幀的電子控制單元阻止與該第二幀對(duì)應(yīng)的處理的執(zhí)行，直到滿足一定條件為止這一意思。由此，在接收到包含第一控制信息的第二幀的ecu中，阻止該第二幀的處理的執(zhí)行，直到在網(wǎng)關(guān)裝置中進(jìn)行為了滿足一定條件的措施(例如發(fā)送指示開始執(zhí)行第二幀的對(duì)應(yīng)處理的幀等)為止。因此，在網(wǎng)關(guān)裝置中能夠確保用于決定該措施的內(nèi)容的的處理時(shí)間。

另外，也可以為，所述多個(gè)電子控制單元遵循can協(xié)議即控制器局域網(wǎng)絡(luò)協(xié)議經(jīng)由所述總線進(jìn)行通信。由此，能夠在攻擊者訪問(wèn)遵循can協(xié)議的車載網(wǎng)絡(luò)并發(fā)送了不正常的幀的情況下，使用需要某種程度的時(shí)間的、高精度的判定方法，適當(dāng)?shù)貐^(qū)分出該幀是不正常的幀這一情況。

另外，也可以為，所述發(fā)送部用所述第二幀的數(shù)據(jù)域的全部或者一部分來(lái)表示所述第一控制信息。由此，接收到幀的ecu能夠通過(guò)確認(rèn)數(shù)據(jù)域來(lái)識(shí)別第一控制信息。在該情況下，第一控制信息例如可以通過(guò)將數(shù)據(jù)域內(nèi)的某個(gè)區(qū)域設(shè)為特定值等來(lái)表現(xiàn)。另外，網(wǎng)關(guān)裝置在對(duì)幀進(jìn)行轉(zhuǎn)送(幀的接收以及基于該接收內(nèi)容的幀的發(fā)送)時(shí)，能夠在某種程度上保持所接收到的幀的內(nèi)容(例如并不變更id域等的內(nèi)容)而直接高效地進(jìn)行轉(zhuǎn)送。

另外，也可以為，所述發(fā)送部用所述第二幀的擴(kuò)展id域來(lái)表示所述第一控制信息。由此，接收到幀的ecu能夠通過(guò)確認(rèn)擴(kuò)展id域來(lái)識(shí)別第一控制信息。在該情況下，第一控制信息例如可以通過(guò)將擴(kuò)展id域內(nèi)的某個(gè)區(qū)域設(shè)為特定值等來(lái)表現(xiàn)。

另外，也可以為，所述發(fā)送部用所述第二幀的dlc域來(lái)表示所述第一控制信息。由此，接收到幀的ecu能夠通過(guò)確認(rèn)dlc域來(lái)識(shí)別第一控制信息。在該情況下，第一控制信息例如可以通過(guò)將dlc域內(nèi)的某個(gè)區(qū)域設(shè)為特定值等來(lái)表現(xiàn)。

另外，也可以為，所述發(fā)送部用對(duì)反映了所述第二幀的數(shù)據(jù)域的至少一部分內(nèi)容的數(shù)據(jù)進(jìn)行保存的、該第二幀的一個(gè)區(qū)域來(lái)表示所述第一控制信息。由此，對(duì)反映了數(shù)據(jù)域的內(nèi)容的數(shù)據(jù)(例如用于驗(yàn)證其內(nèi)容的具有冗余性的數(shù)據(jù)等)重疊第一控制信息，因此，能夠不附加新的數(shù)據(jù)區(qū)域，高效地表現(xiàn)第一控制信息。

另外，也可以為，所述發(fā)送部對(duì)保存在所述第二幀的crc域內(nèi)的crc重疊所述第一控制信息，進(jìn)行所述第二幀的所述發(fā)送。由此，對(duì)crc重疊第一控制信息，因此，能夠高效地表現(xiàn)第一控制信息。

另外，也可以為，所述發(fā)送部對(duì)保存在所述第二幀的所述一個(gè)區(qū)域的校驗(yàn)和重疊所述第一控制信息，進(jìn)行所述第二幀的所述發(fā)送。由此，對(duì)校驗(yàn)和重疊第一控制信息，因此，能夠在收發(fā)包含校驗(yàn)和的幀的車載網(wǎng)絡(luò)中高效地表現(xiàn)第一控制信息。

另外，也可以為，所述發(fā)送部對(duì)保存在所述第二幀的所述一個(gè)區(qū)域的消息認(rèn)證碼重疊所述第一控制信息，進(jìn)行所述第二幀的所述發(fā)送。由此，對(duì)消息認(rèn)證碼(mac)重疊第一控制信息，因此，能夠在收發(fā)包含mac的幀的車載網(wǎng)絡(luò)中高效地表現(xiàn)第一控制信息。

另外，本公開的一個(gè)技術(shù)方案涉及的車載網(wǎng)絡(luò)系統(tǒng)具備經(jīng)由一條以上的總線進(jìn)行通信的多個(gè)電子控制單元以及連接于所述總線的網(wǎng)關(guān)裝置，所述網(wǎng)關(guān)裝置具備：接收部，其接收第一幀；以及發(fā)送部，其在由所述接收部接收到所述第一幀時(shí)，使包含基于該第一幀的內(nèi)容的信息的第二幀包含第一控制信息，將該第二幀發(fā)送給所述總線，所述第一控制信息與接收該第二幀后的處理的限制有關(guān)。由此，在接收到幀時(shí)(在接收的定時(shí))，從網(wǎng)關(guān)裝置發(fā)送含有第一控制信息的幀，因此，即使網(wǎng)關(guān)裝置對(duì)接收到的幀是否正常的判定(決定)在到該幀發(fā)送后為止需要時(shí)間的情況下，也能夠抑制對(duì)車載網(wǎng)絡(luò)的不良影響。其原因在于，能夠防止在接收到包含第一控制信息的幀的ecu中，因幀的接收延遲而進(jìn)行異常處理等。

另外，本公開的一個(gè)技術(shù)方案涉及的通信方法用于具備經(jīng)由一條以上的總線進(jìn)行通信的多個(gè)電子控制單元的車載網(wǎng)絡(luò)系統(tǒng)，所述通信方法包括：接收步驟，接收第一幀；以及發(fā)送步驟，當(dāng)在所述接收步驟中接收到所述第一幀時(shí)，使包含基于該第一幀的內(nèi)容的信息的第二幀包含第一控制信息，將該第二幀發(fā)送給所述總線，所述第一控制信息與接收該第二幀后的處理的限制有關(guān)。由此，在轉(zhuǎn)送幀的裝置中，在接收到第一幀時(shí)發(fā)送含有第一控制信息的第二幀，因此，即使當(dāng)?shù)谝粠欠裾５呐卸?決定)在到該第一幀發(fā)送后為止需要時(shí)間的情況下，也能夠抑制對(duì)車載網(wǎng)絡(luò)的不良影響。

此外，這些總括性的或者具體的技術(shù)方案既可以通過(guò)系統(tǒng)、方法、集成電路、計(jì)算機(jī)程序或者計(jì)算機(jī)可讀取的cd-rom等記錄介質(zhì)來(lái)實(shí)現(xiàn)，也可以通過(guò)系統(tǒng)、方法、集成電路、計(jì)算機(jī)程序或者記錄介質(zhì)的任意組合來(lái)實(shí)現(xiàn)。

以下，參照附圖，對(duì)包括實(shí)施方式涉及的網(wǎng)關(guān)裝置的車載網(wǎng)絡(luò)系統(tǒng)進(jìn)行說(shuō)明。在此所示的實(shí)施方式均表示本公開的一具體例。因此，在以下實(shí)施方式中示出的數(shù)值、構(gòu)成要素、構(gòu)成要素的配置及連接方式、步驟(工序)及步驟的順序等僅為一例而并非限定本公開。關(guān)于以下的實(shí)施方式中的構(gòu)成要素中的未記載在獨(dú)立權(quán)利要求中的構(gòu)成要素，是能夠任意附加的構(gòu)成要素。另外，各附圖僅為示意圖，不一定是嚴(yán)格圖示。

(實(shí)施方式1)

以下，作為本公開的實(shí)施方式，使用附圖，說(shuō)明多個(gè)電子控制單元(ecu)經(jīng)由總線進(jìn)行通信的車載網(wǎng)絡(luò)系統(tǒng)10。

車載網(wǎng)絡(luò)系統(tǒng)10包括接收幀并向一條總線轉(zhuǎn)送幀的網(wǎng)關(guān)裝置。網(wǎng)關(guān)裝置判別在到進(jìn)行關(guān)于接收到的幀是否正常的最終的決定(判定)為止是否需要時(shí)間，并根據(jù)該判別結(jié)果對(duì)幀附加標(biāo)志(flag)，進(jìn)行幀的轉(zhuǎn)送。在接收到幀的ecu中，能夠通過(guò)參照該標(biāo)志來(lái)判別是否還未決定幀是否正常。接收到幀的ecu能夠在該標(biāo)志表示未決定的情況下將與該幀關(guān)聯(lián)的處理保留(也就是說(shuō)將幀保持不變并阻止處理)并等待進(jìn)一步的指示(在決定幀是否正常后做出的指示)。這樣在標(biāo)志表示未決定的情況下，對(duì)于ecu而言，該標(biāo)志能夠作為指示待機(jī)的控制信息發(fā)揮作用。在本實(shí)施方式中，網(wǎng)關(guān)裝置將包含此標(biāo)志的控制指示數(shù)據(jù)附加在幀中。

[1.1車載網(wǎng)絡(luò)系統(tǒng)10的整體結(jié)構(gòu)]

圖1是表示實(shí)施方式1涉及的車載網(wǎng)絡(luò)系統(tǒng)10的整體結(jié)構(gòu)的圖。車載網(wǎng)絡(luò)系統(tǒng)10是遵循can協(xié)議進(jìn)行通信的網(wǎng)絡(luò)通信系統(tǒng)的一例，是搭載有控制裝置、傳感器等各種設(shè)備的汽車中的網(wǎng)絡(luò)通信系統(tǒng)。車載網(wǎng)絡(luò)系統(tǒng)10構(gòu)成為包括總線200a、200b、200c；和網(wǎng)關(guān)300a、300b及連接于各種設(shè)備的ecu100a～100e等的ecu這樣的連接于總線的各節(jié)點(diǎn)。此外，雖然圖1中進(jìn)行了省略，但是車載網(wǎng)絡(luò)系統(tǒng)10中除了ecu100a～100e以外還可以包含若干個(gè)ecu。ecu例如是包括處理器(微處理器)、存儲(chǔ)器等數(shù)字電路、模擬電路、通信電路等的裝置。存儲(chǔ)器是rom、ram等，能夠存儲(chǔ)由處理器執(zhí)行的控制程序(計(jì)算機(jī)程序)。例如通過(guò)處理器按照控制程序(計(jì)算機(jī)程序)進(jìn)行工作，由此ecu實(shí)現(xiàn)各種功能。此外，計(jì)算機(jī)程序是為了實(shí)現(xiàn)預(yù)定的功能而組合多個(gè)表示對(duì)處理器的指令的命令代碼而構(gòu)成的。

ecu100a～100e與某一條總線連接，另外，分別連接于發(fā)動(dòng)機(jī)101、制動(dòng)器102、車門開閉傳感器103、車窗開閉傳感器104、角部傳感器(cornersensor)105。ecu100a～100e分別取得所連接的設(shè)備(發(fā)動(dòng)機(jī)101等)的狀態(tài)，定期地將表示狀態(tài)的幀等發(fā)送給網(wǎng)絡(luò)(也就是總線)。

網(wǎng)關(guān)300a、300b是連接不同的多個(gè)通信路徑并在通信路徑之間轉(zhuǎn)送數(shù)據(jù)的網(wǎng)關(guān)裝置。網(wǎng)關(guān)300a連接總線200a和總線200b，總線200a連接著ecu100a以及ecu100b，總線200b連接著ecu100c以及ecu100d。另外，網(wǎng)關(guān)300b連接總線200b和總線200c，總線200b連接著ecu100c以及ecu100d，總線200c連接著ecu100e。

網(wǎng)關(guān)300a、300b具有針對(duì)從一方的總線接收到的幀(數(shù)據(jù)幀)，進(jìn)行與是正常還是不正常相關(guān)的條件判定，并根據(jù)判定結(jié)果將控制指示數(shù)據(jù)追加到數(shù)據(jù)域，從而將接收到的幀轉(zhuǎn)送給其他總線的功能。網(wǎng)關(guān)300a、300b中的對(duì)追加有控制指示數(shù)據(jù)的幀的轉(zhuǎn)送通過(guò)下述處理來(lái)實(shí)現(xiàn)：生成包含基于從一方的總線接收到的幀的內(nèi)容的信息的發(fā)送用幀，將與該發(fā)送用幀的在ecu中接收后的處理的限制有關(guān)的控制指示數(shù)據(jù)包含于該發(fā)送用幀的數(shù)據(jù)域，從而將該發(fā)送用幀發(fā)送給其他總線。網(wǎng)關(guān)300a、300b也可以在每個(gè)所連接的總線間切換是否對(duì)接收到的幀進(jìn)行轉(zhuǎn)送。網(wǎng)關(guān)300a、300b也是一種ecu。

在該車載網(wǎng)絡(luò)系統(tǒng)10中，各ecu遵循can協(xié)議進(jìn)行幀的授受。can協(xié)議中的幀有數(shù)據(jù)幀、遠(yuǎn)程幀、超載幀以及錯(cuò)誤幀，但這里主要關(guān)注并說(shuō)明數(shù)據(jù)幀。

[1.2數(shù)據(jù)幀格式]

以下，對(duì)作為在遵循can協(xié)議的網(wǎng)絡(luò)中使用的幀之一的數(shù)據(jù)幀進(jìn)行說(shuō)明。

圖2是表示由can協(xié)議規(guī)定的數(shù)據(jù)幀的格式的圖。在該圖中，表示了由can協(xié)議規(guī)定的標(biāo)準(zhǔn)id格式的數(shù)據(jù)幀。數(shù)據(jù)幀由sof(startofframe：幀起始)、id域、rtr(remotetransmissionrequest：遠(yuǎn)程傳輸請(qǐng)求)、ide(identifierextension：標(biāo)識(shí)符擴(kuò)展)、預(yù)留位“r”、dlc(datalengthcode：數(shù)據(jù)長(zhǎng)度碼)、數(shù)據(jù)域、crc(cyclicredundancycheck：循環(huán)冗余校驗(yàn))序列、crc定界符“del”、ack(acknowledgement：應(yīng)答)間隙、ack定界符“del”以及eof(endofframe：幀結(jié)束)的各個(gè)域構(gòu)成。

sof由1比特的顯性構(gòu)成?？偩€空閑的狀態(tài)成為隱性，通過(guò)由sof變更為顯性來(lái)通知幀的發(fā)送開始。

id域是由11比特構(gòu)成的、保存表示數(shù)據(jù)的種類的值即id(消息id)的域。在多個(gè)節(jié)點(diǎn)同時(shí)開始發(fā)送的情況下，為了通過(guò)該id域進(jìn)行通信仲裁，設(shè)計(jì)成使id小的值的幀具有高優(yōu)先級(jí)。

rtr是用于標(biāo)識(shí)數(shù)據(jù)幀和遠(yuǎn)程幀的值，在數(shù)據(jù)幀中由1比特的顯性構(gòu)成。

ide和“r”雙方都由1比特的顯性構(gòu)成。

dlc由4比特構(gòu)成，是表示數(shù)據(jù)域的長(zhǎng)度的值。此外，將ide、“r”以及dlc統(tǒng)稱為控制域。在此，將數(shù)據(jù)幀中的保存dlc的值的4比特也稱為dlc域。

數(shù)據(jù)域是最大由64比特構(gòu)成的表示要發(fā)送的數(shù)據(jù)的內(nèi)容的值。能夠按每8比特來(lái)調(diào)整長(zhǎng)度。關(guān)于所發(fā)送的數(shù)據(jù)的規(guī)格，并不在can協(xié)議中規(guī)定，而是在車載網(wǎng)絡(luò)系統(tǒng)10中設(shè)定。因此，成為取決于車型、制造者(制造商)等的規(guī)格。

crc序列由15比特構(gòu)成?？筛鶕?jù)sof、id域、控制域以及數(shù)據(jù)域的發(fā)送值來(lái)算出。

crc定界符是由1比特的隱性構(gòu)成的、表示crc序列的結(jié)束的分隔符號(hào)。此外，將crc序列和crc定界符統(tǒng)稱為crc域。

ack間隙由1比特構(gòu)成。發(fā)送節(jié)點(diǎn)將ack間隙設(shè)為隱性并進(jìn)行發(fā)送。如果到crc序列為止都正常地完成了接收，則接收節(jié)點(diǎn)將ack間隙設(shè)為顯性并發(fā)送。由于顯性比隱性優(yōu)先，因此，只要在發(fā)送后ack間隙為顯性，發(fā)送節(jié)點(diǎn)就能夠確認(rèn)某一接收節(jié)點(diǎn)成功地進(jìn)行了接收。

ack定界符是由1比特的隱性構(gòu)成的、表示ack的結(jié)束的分隔符號(hào)。

eof由7比特的隱性構(gòu)成，表示數(shù)據(jù)幀的結(jié)束。

[1.3ecu100a的結(jié)構(gòu)]

圖3是ecu100a的結(jié)構(gòu)圖。ecu100a構(gòu)成為包括幀收發(fā)部110、幀解釋部120、接收id判斷部130、接收id列表保持部140、幀處理部150、幀保持部160、數(shù)據(jù)取得部170以及幀生成部180。這些各構(gòu)成要素的各功能例如通過(guò)ecu100a中的通信電路、執(zhí)行保存于存儲(chǔ)器的控制程序的處理器或者數(shù)字電路等來(lái)實(shí)現(xiàn)。

幀收發(fā)部110向can總線200a發(fā)送、從can總線200a接收遵循can協(xié)議的幀。從can總線200a逐比特地接收幀，并轉(zhuǎn)送給幀解釋部120。另外，將從幀生成部180收到了通知的幀的內(nèi)容發(fā)送給總線200a。

幀解釋部120從幀收發(fā)部110接收幀的值，并進(jìn)行解釋(解析)以使得映射到由can協(xié)議規(guī)定的幀格式的各域。將判斷為是id域的值向接收id判斷部130進(jìn)行轉(zhuǎn)送。幀解釋部120根據(jù)從接收id判斷部130通知的判定結(jié)果，決定是將id域的值、和出現(xiàn)在id域之后的數(shù)據(jù)域轉(zhuǎn)送給幀處理部150，還是在收到了該判定結(jié)果之后中止幀的接收(也就是說(shuō)中止作為該幀的解釋)。另外，幀解釋部120在判斷為是未遵循can協(xié)議的幀的情況下，以發(fā)送錯(cuò)誤幀的方式通知給幀生成部180。另外，幀解釋部120在接收到錯(cuò)誤幀的情況下，也就是說(shuō)根據(jù)所接收到的幀中的值而解釋為成為錯(cuò)誤幀的情況下，自此之后將該幀廢棄，也就是中止幀的解釋。

接收id判斷部130從幀解釋部120接收被通知的id域的值，按照接收id列表保持部140所保持的消息id的列表，進(jìn)行是否接收該id域之后的幀的各域的判定。接收id判斷部130將該判定結(jié)果通知給幀解釋部120。

接收id列表保持部140保持ecu100a所要接收的id(消息id)的列表、即接收id列表。圖4是示出了接收id列表的一例的圖。

幀處理部150根據(jù)接收到的幀的數(shù)據(jù)進(jìn)行按照ecu而不同的功能所涉及的處理。例如，連接于發(fā)動(dòng)機(jī)101的ecu100a具備當(dāng)在時(shí)速超過(guò)30km的狀態(tài)下車門為打開的狀態(tài)時(shí)，使警報(bào)聲響起的功能。ecu100a例如具有用于使警報(bào)聲響起的揚(yáng)聲器等。而且，ecu100a的幀處理部150管理從其他ecu接收到的數(shù)據(jù)(例如表示車門的狀態(tài)的信息)，基于從發(fā)動(dòng)機(jī)101取得的時(shí)速在一定條件下進(jìn)行使警報(bào)聲響起的處理等。此外，幀處理部150也可以進(jìn)行除這里所示例的以外的幀的數(shù)據(jù)所涉及的處理。另外，幀處理部150根據(jù)接收到的幀中的控制指示數(shù)據(jù)的內(nèi)容，將接收到的幀通過(guò)進(jìn)行保存指示而保存到幀保持部160中，并阻止與接收到的幀相應(yīng)的上述的處理(ecu的功能所涉及的處理)的開始，直到滿足一定條件為止(也就是說(shuō)使上述的處理等待直到一定條件的成立為止)，或者，從幀保持部160中讀出幀并根據(jù)該幀的數(shù)據(jù)執(zhí)行ecu的功能所涉及的處理。

幀保持部160按照幀處理部150的保存指示，將接收到的幀的信息保持在存儲(chǔ)器等存儲(chǔ)介質(zhì)中。另外，按照來(lái)自幀處理部150的讀出指示，通知所保存的幀。

數(shù)據(jù)取得部170取得表示連接于ecu的設(shè)備、傳感器等的狀態(tài)的數(shù)據(jù)，通知給幀生成部180。

幀生成部180按照從幀解釋部120通知的指示錯(cuò)誤幀的發(fā)送的通知，構(gòu)成錯(cuò)誤幀，將錯(cuò)誤幀通知給幀收發(fā)部110并使其發(fā)送該錯(cuò)誤幀。另外，幀生成部180針對(duì)由數(shù)據(jù)取得部170通知的數(shù)據(jù)的值，附加上預(yù)先確定的消息id而構(gòu)成幀，并通知給幀收發(fā)部110。

此外，ecu100b～100e也具備與上述的ecu100a基本同樣的結(jié)構(gòu)。但是，接收id列表保持部140中所保持的接收id列表可以按照每個(gè)ecu變?yōu)椴煌膬?nèi)容。另外，幀處理部150的處理內(nèi)容按照每個(gè)ecu而不同。例如，ecu100c中的幀處理部150的處理內(nèi)容包括與在沒有踩剎車的狀況下車門打開時(shí)響起警報(bào)聲的功能相關(guān)的處理。例如，ecu100b以及ecu100d中的幀處理部150并不進(jìn)行特別的處理。此外，各ecu也可以具備除這里所示例的以外的功能。此外，后面使用圖5～圖9對(duì)ecu100a～100e各自發(fā)送的幀的內(nèi)容進(jìn)行說(shuō)明。

[1.4接收id列表例]

圖4是表示ecu100a～100e、網(wǎng)關(guān)300a、300b中分別所保持的接收id列表的一例的圖。該圖中示例的接收id列表用于對(duì)包含id(消息id)的值為“1”、“2”、“3”、“4”以及“5”中的某一方的消息id的幀進(jìn)行選擇性地接收并處理。例如，若ecu100a的接收id列表保持部140中保持有圖4的接收id列表，則對(duì)于消息id并非“1”、“2”、“3”、“4”以及“5”中的某一方的幀，中止幀解釋部120中的id域之后的幀的解釋。

[1.5發(fā)動(dòng)機(jī)涉及的ecu100a的發(fā)送幀例]

圖5是表示從連接于發(fā)動(dòng)機(jī)101的ecu100a發(fā)送的幀中的id(消息id)以及數(shù)據(jù)域(數(shù)據(jù))的一例的圖。ecu100a發(fā)送的幀的消息id為“1”。數(shù)據(jù)表示時(shí)速(千米/小時(shí))，取最低0(千米/小時(shí))到最高180(千米/小時(shí))的范圍內(nèi)的值，數(shù)據(jù)長(zhǎng)度為1個(gè)字節(jié)。圖5的第一行至最后一行示例了與從ecu100a依次發(fā)送的各幀對(duì)應(yīng)的各消息id以及數(shù)據(jù)，表示了從0千米/小時(shí)逐次加速1千米/小時(shí)的情況。

[1.6制動(dòng)器涉及的ecu100b的發(fā)送幀例]

圖6是表示從連接于制動(dòng)器102的ecu100b發(fā)送的幀中的id(消息id)以及數(shù)據(jù)域(數(shù)據(jù))的一例的圖。ecu100b發(fā)送的幀的消息id為“2”。數(shù)據(jù)用比例(％)表示制動(dòng)的施加情況，數(shù)據(jù)長(zhǎng)度為1個(gè)字節(jié)。該比例是以完全沒有施加制動(dòng)的狀態(tài)為0(％)，以最大限度施加制動(dòng)的狀態(tài)為100(％)的值。圖6的第一行至最后一行示例了與從ecu100b依次發(fā)送的各幀對(duì)應(yīng)的各消息id以及數(shù)據(jù)，表示了從100％漸漸減弱制動(dòng)的情況。

[1.7車門開閉傳感器涉及的ecu100c的發(fā)送幀例]

圖7是表示從連接于車門開閉傳感器103的ecu100c發(fā)送的幀中的id(消息id)以及數(shù)據(jù)域(數(shù)據(jù))的一例的圖。ecu100c發(fā)送的幀的消息id為“3”。數(shù)據(jù)表示車門的開閉狀態(tài)，數(shù)據(jù)長(zhǎng)度為1個(gè)字節(jié)。關(guān)于數(shù)據(jù)的值，車門打開的狀態(tài)為“1”，車門關(guān)閉的狀態(tài)為“0”。圖7的第一行至最后一行示例了與從ecu100c依次發(fā)送的各幀對(duì)應(yīng)的各消息id以及數(shù)據(jù)，表示了車門由打開的狀態(tài)逐漸轉(zhuǎn)變到關(guān)閉的狀態(tài)的情況。

[1.8車窗開閉傳感器涉及的ecu100d的發(fā)送幀例]

圖8是表示從連接于車窗開閉傳感器104的ecu100d發(fā)送的幀中的id(消息id)以及數(shù)據(jù)域(數(shù)據(jù))的一例的圖。ecu100d發(fā)送的幀的消息id為“4”。數(shù)據(jù)用比例(％)表示車窗的開閉狀態(tài)，數(shù)據(jù)長(zhǎng)度為1個(gè)字節(jié)。該比例是以車窗完全關(guān)閉的狀態(tài)為0(％)，以車窗全開的狀態(tài)為100(％)的值。圖8的第一行至最后一行示例了與從ecu100d依次發(fā)送的各幀對(duì)應(yīng)的各消息id以及數(shù)據(jù)，表示了車窗從關(guān)閉的狀態(tài)漸漸打開的情況。

[1.9角部傳感器涉及的ecu100e的發(fā)送幀例]

圖9是表示從連接于角部傳感器105的ecu100e發(fā)送的幀中的id(消息id)以及數(shù)據(jù)域(數(shù)據(jù))的一例的圖。ecu100e發(fā)送的幀的消息id為“5”。數(shù)據(jù)在角部傳感器105檢測(cè)到從車輛的角部到一定距離范圍內(nèi)存在障礙物時(shí)為“1”，在沒有檢測(cè)到障礙物時(shí)為“0”。圖9的第一行至最后一行示例了與從ecu100e依次發(fā)送的各幀對(duì)應(yīng)的各消息id以及數(shù)據(jù)，表示了由在車輛的角部未檢測(cè)到障礙物的狀態(tài)逐漸轉(zhuǎn)變到檢測(cè)到障礙物的狀態(tài)的情況。

[1.10網(wǎng)關(guān)300a的結(jié)構(gòu)]

圖10是網(wǎng)關(guān)300a的結(jié)構(gòu)圖。網(wǎng)關(guān)300a構(gòu)成為包括幀收發(fā)部310、幀解釋部320、接收id判斷部330、接收id列表保持部340、不正常判定處理部350、不正常判定規(guī)則保持部360、轉(zhuǎn)送處理部370、轉(zhuǎn)送規(guī)則保持部380以及幀生成部390。這些各構(gòu)成要素的各功能例如通過(guò)網(wǎng)關(guān)300a中的通信電路、執(zhí)行保存于存儲(chǔ)器的控制程序的處理器或者數(shù)字電路等來(lái)實(shí)現(xiàn)。此外，網(wǎng)關(guān)300b也具備與網(wǎng)關(guān)300a基本同樣的結(jié)構(gòu)。

幀收發(fā)部310分別向總線200a、200b發(fā)送、從總線200a、200b接收遵循can協(xié)議的幀。從總線逐比特地接收幀，并轉(zhuǎn)送給幀解釋部320。另外，基于從幀生成部390收到了通知的表示轉(zhuǎn)送目的地的總線的總線信息以及幀，將該幀的內(nèi)容逐比特地發(fā)送給總線200a、200b。

幀解釋部320從幀收發(fā)部310接收幀的值，并進(jìn)行解釋以使得映射到由can協(xié)議規(guī)定的幀格式的各域。將判斷為是id域的值向接收id判斷部330進(jìn)行轉(zhuǎn)送。幀解釋部320根據(jù)從接收id判斷部330通知的判定結(jié)果，決定是將id域的值、和出現(xiàn)在id域之后的數(shù)據(jù)域(數(shù)據(jù))轉(zhuǎn)送給轉(zhuǎn)送處理部370，還是在收到了該判定結(jié)果之后中止幀的接收。另外，幀解釋部320在判斷為是未遵循can協(xié)議的幀的情況下，以發(fā)送錯(cuò)誤幀的方式通知給幀生成部390。另外，幀解釋部320在接收到錯(cuò)誤幀的情況下，也就是說(shuō)根據(jù)所接收到的幀中的值而解釋為成為錯(cuò)誤幀的情況下，自此之后將該幀廢棄，也就是中止幀的解釋。

接收id判斷部330從幀解釋部320接收被通知的id域的值，按照接收id列表保持部340所保持的消息id的列表，進(jìn)行是否接收該id域之后的幀的各域的判定。接收id判斷部330將該判定結(jié)果通知給幀解釋部320。

接收id列表保持部340保持網(wǎng)關(guān)300a所要接收的id(消息id)的列表、即接收id列表(參照?qǐng)D4)。

不正常判定處理部350從幀解釋部320接收被通知的id域的值，基于不正常判定規(guī)則保持部360所保持的不正常判定規(guī)則(與消息id、發(fā)送幀的周期相關(guān)聯(lián)的信息)，進(jìn)行與所接收到的幀是不正常還是正常有關(guān)的不正常判定處理。在不正常判定處理中，在接收幀時(shí)，判別能否決定其是否正常，根據(jù)該判別結(jié)果，選定對(duì)用于轉(zhuǎn)送的發(fā)送用幀的數(shù)據(jù)域附加的控制指示數(shù)據(jù)的內(nèi)容，將控制指示數(shù)據(jù)通知給轉(zhuǎn)送處理部370。不正常判定處理部350在幀的接收時(shí)無(wú)法迅速地決定是否正常的情況下，也就是說(shuō)有可能可以在將所接收到的幀迅速地轉(zhuǎn)送后決定幀是否正常的情況下，以控制指示數(shù)據(jù)的值表示指示待機(jī)的控制信息。圖11中表示包含控制指示數(shù)據(jù)的數(shù)據(jù)域的數(shù)據(jù)格式的一例。

不正常判定規(guī)則保持部360保持關(guān)于網(wǎng)關(guān)300a可能接收的幀的不正常判定規(guī)則。圖12表示不正常判定規(guī)則的一例。

轉(zhuǎn)送處理部370按照轉(zhuǎn)送規(guī)則保持部380所保持的轉(zhuǎn)送規(guī)則，根據(jù)接收到的幀的id(消息id)，決定進(jìn)行轉(zhuǎn)送的總線，將下述內(nèi)容通知給幀生成部390：表示進(jìn)行轉(zhuǎn)送的總線的總線信息、從幀解釋部320通知的消息id、數(shù)據(jù)、以及從不正常判定處理部350通知的控制指示數(shù)據(jù)。此外，網(wǎng)關(guān)300a并不將從某條總線接收的錯(cuò)誤幀轉(zhuǎn)送給其他總線。

轉(zhuǎn)送規(guī)則保持部380保持表示每條總線的關(guān)于幀的轉(zhuǎn)送的規(guī)則的信息、即轉(zhuǎn)送規(guī)則。圖13是示出了轉(zhuǎn)送規(guī)則的一例的圖。

幀生成部390按照從幀解釋部320通知的指示錯(cuò)誤幀的發(fā)送的通知，構(gòu)成錯(cuò)誤幀，將錯(cuò)誤幀通知給幀收發(fā)部310并使其發(fā)送該錯(cuò)誤幀。另外，幀生成部390使用由轉(zhuǎn)送處理部370通知的消息id、數(shù)據(jù)以及控制指示數(shù)據(jù)，構(gòu)成幀，并將該幀以及總線信息通知給幀收發(fā)部310。

[1.11幀的數(shù)據(jù)域的格式例]

圖11是表示在幀的轉(zhuǎn)送時(shí)進(jìn)行發(fā)送所使用的發(fā)送用幀的數(shù)據(jù)域的一例的圖。

在發(fā)送用幀的數(shù)據(jù)域中，除了網(wǎng)關(guān)300a從ecu接收到的幀的數(shù)據(jù)域中所保存的數(shù)據(jù)，還保存有控制指示數(shù)據(jù)。

如圖11所示例的那樣，發(fā)送用幀中的控制指示數(shù)據(jù)例如構(gòu)成為包括待機(jī)標(biāo)志、待機(jī)結(jié)束指示標(biāo)志以及待機(jī)結(jié)束指示有無(wú)標(biāo)志。

待機(jī)標(biāo)志例如是控制指示數(shù)據(jù)的區(qū)域的開頭位(bit)等，表示在ecu(接收到幀的ecu100a～100e等)中在接收到發(fā)送用幀后是否需要對(duì)與該幀的數(shù)據(jù)對(duì)應(yīng)的處理進(jìn)行待機(jī)。根據(jù)圖11的例子，在對(duì)接收到幀的ecu進(jìn)行指示以使得不執(zhí)行與該幀的數(shù)據(jù)對(duì)應(yīng)的處理而進(jìn)行待機(jī)的情況下，將待機(jī)標(biāo)志的值設(shè)為“1”，在不需要待機(jī)的情況下，將待機(jī)標(biāo)志的值設(shè)為“0”。如果幀內(nèi)的待機(jī)標(biāo)志的值為“1”，則在接收到幀的ecu中保持該幀，對(duì)接收后的處理進(jìn)行阻止，直到一定條件(例如通過(guò)后面的幀內(nèi)的待機(jī)結(jié)束指示標(biāo)志指示了待機(jī)解除、也就是允許開始執(zhí)行處理等)成立為止。如果幀內(nèi)的待機(jī)標(biāo)志的值為“0”，則在接收到幀的ecu中可以立即執(zhí)行與該幀的數(shù)據(jù)相應(yīng)的功能處理。在幀的轉(zhuǎn)送時(shí)附加于發(fā)送用幀的控制指示數(shù)據(jù)的默認(rèn)值為0，待機(jī)標(biāo)志是表示不需要待機(jī)之意的狀態(tài)，但網(wǎng)關(guān)300a通過(guò)不正常判定處理，在一定的情況下，設(shè)定待機(jī)標(biāo)志以使其表示待機(jī)指示。

待機(jī)結(jié)束指示標(biāo)志例如是控制指示數(shù)據(jù)的區(qū)域的最末尾位等，是指示關(guān)于在ecu中對(duì)過(guò)去接收到的幀進(jìn)行保持并等待允許開始執(zhí)行處理的、與該幀相應(yīng)的處理的處理方法(待機(jī)解除或者廢棄)的標(biāo)志。根據(jù)圖11的例子，在指示待機(jī)解除(也就是允許開始執(zhí)行處理)的情況下，將待機(jī)結(jié)束指示標(biāo)志的值設(shè)為“1”，在指示廢棄(也就是不執(zhí)行與幀相應(yīng)的處理而將幀廢棄)的情況下，將待機(jī)結(jié)束指示標(biāo)志的值設(shè)為“0”。

待機(jī)結(jié)束指示有無(wú)標(biāo)志例如是控制指示數(shù)據(jù)的區(qū)域的開始位與最末尾位之間的1個(gè)比特等，是表示待機(jī)結(jié)束指示標(biāo)志是否有效的標(biāo)志。某個(gè)幀中的控制指示數(shù)據(jù)包含有與該幀的處理的待機(jī)有關(guān)的待機(jī)標(biāo)志，但可能存在包含指示關(guān)于先行的幀的處理方法(待機(jī)解除或者廢棄)的待機(jī)結(jié)束指示標(biāo)志的情況和不包含該待機(jī)結(jié)束指示標(biāo)志的情況。根據(jù)圖11的例子，在控制指示數(shù)據(jù)中，在包含有效的待機(jī)結(jié)束指示標(biāo)志的情況下，將待機(jī)結(jié)束指示有無(wú)標(biāo)志的值設(shè)為“1”，在不包含有效的待機(jī)結(jié)束指示標(biāo)志的情況下，將待機(jī)結(jié)束指示有無(wú)標(biāo)志的值設(shè)為“0”。

[1.12不正常判定規(guī)則例]

圖12表示網(wǎng)關(guān)300a的不正常判定規(guī)則保持部360所保持的不正常判定規(guī)則的一例。不正常判定規(guī)則用于判別幀是否是在車載網(wǎng)絡(luò)系統(tǒng)10中依照預(yù)先確定的規(guī)則而發(fā)送的正常的幀(是否為不正常的幀)。在圖12中示例了不正常判定規(guī)則保持部360所保持的不正常判定規(guī)則中的一部分。圖12的不正常判定規(guī)則的例子表示了網(wǎng)關(guān)300a在所連接的總線上收發(fā)的各幀的按照id(消息id)的幀的發(fā)送周期。在圖12的例子中，表示了消息id為“1”、“2”、“3”、“4”的各個(gè)幀被發(fā)送的周期分別是24、24、120、90msec。

在網(wǎng)關(guān)300a中，基于如圖12所示例的周期、和一定量(例如3ms)的余裕(margin)，根據(jù)接收到的幀和相同id的前一次接收到的幀之間的接收間隔來(lái)判定幀是否正常。例如，考慮到當(dāng)在總線上幀之間發(fā)生沖突的情況下的由仲裁(再發(fā)送控制)引起的接收間隔的波動(dòng)，如果接收間隔在周期加減一定量(例如3ms)的余裕的范圍內(nèi)，則將接收到的幀判定為正常。另外，盡管是以比該余裕的范圍短的接收間隔接收到的幀，但不存在在余裕的范圍內(nèi)接收到的相同id的幀的情況下，也判定為正常。關(guān)于以比余裕的范圍短的接收間隔接收到的幀，在存在在該余裕的范圍內(nèi)接收到的相同id的幀的情況下，判定為不正常。在此，設(shè)為不論對(duì)哪個(gè)id的幀都確定有相同量的余裕來(lái)進(jìn)行說(shuō)明，但也可以按照id使余裕的量不同。

[1.13轉(zhuǎn)送規(guī)則例]

圖13表示網(wǎng)關(guān)300a等的轉(zhuǎn)送規(guī)則保持部380所保持的轉(zhuǎn)送規(guī)則的一例。圖13的由轉(zhuǎn)送表所規(guī)定的轉(zhuǎn)送規(guī)則使轉(zhuǎn)送源的總線、轉(zhuǎn)送目的地的總線以及轉(zhuǎn)送對(duì)象的id(消息id)相關(guān)聯(lián)。按照轉(zhuǎn)送規(guī)則，網(wǎng)關(guān)300a決定是否進(jìn)行轉(zhuǎn)送、向哪條總線進(jìn)行轉(zhuǎn)送等。

在圖13的例子中，表示了設(shè)定為與消息id無(wú)關(guān)地將從總線200a接收的幀向總線200b轉(zhuǎn)送這一情況。另外，表示了設(shè)定為僅將從總線200b接收的幀中的、消息id為“3”的幀轉(zhuǎn)送給總線200a這一情況。此外，在圖13的例子中，一并顯示了網(wǎng)關(guān)300b的轉(zhuǎn)送規(guī)則保持部380所保持的轉(zhuǎn)送規(guī)則，表示了設(shè)定為將從總線200b接收的幀全部轉(zhuǎn)送給總線200c，但并不將從總線200c接收的幀向總線200b轉(zhuǎn)送這一情況。

[1.14幀的轉(zhuǎn)送涉及的工作例]

圖14表示如下工作例：網(wǎng)關(guān)300a接收到從ecu100a發(fā)送給總線200a的幀時(shí)，進(jìn)行幀是正常還是不正常的判定，在滿足了預(yù)定條件的情況下，使設(shè)定了指示待機(jī)的待機(jī)標(biāo)志的控制指示數(shù)據(jù)包含于幀并轉(zhuǎn)送給總線200b。該預(yù)定條件是在關(guān)于接收到的幀的轉(zhuǎn)送時(shí)，在無(wú)法決定幀是否正常的狀況下所滿足的條件。以下，結(jié)合圖14，說(shuō)明各裝置的工作的概要。關(guān)于各裝置的詳細(xì)的工作，將在后面使用圖15～圖19進(jìn)行說(shuō)明。

首先，ecu100a執(zhí)行向總線200a發(fā)送幀的幀發(fā)送處理(步驟s10)。

網(wǎng)關(guān)300a接收從ecu100a發(fā)送的幀(步驟s20)。

網(wǎng)關(guān)300a基于不正常判定規(guī)則，進(jìn)行判定接收到的幀是正常還是不正常的不正常判定處理(步驟s30)。通過(guò)該不正常判定處理，例如可以在攻擊者不正常地訪問(wèn)車載網(wǎng)絡(luò)(總線200a～200c等)并發(fā)送了不正常的幀(不符合幀應(yīng)該遵從的預(yù)先確定的規(guī)則的幀)的情況下，能夠并不轉(zhuǎn)送而廢棄該幀。但是，對(duì)于雖然與幀應(yīng)該遵從的規(guī)則相符合的程度低，但有可能最終被判定(決定)為是正常的幀，網(wǎng)關(guān)300a并不立即進(jìn)行廢棄，而能夠在幀的轉(zhuǎn)送之后進(jìn)行用于最終的判定的最終判定處理。如果能夠立即判定所接收到的幀是否正常，網(wǎng)關(guān)300a則生成包含設(shè)定有表示不需要待機(jī)的待機(jī)標(biāo)志的控制指示數(shù)據(jù)的發(fā)送用幀。在圖14中，表示了無(wú)法立即判定(決定)所接收到的幀是否正常的狀況這一滿足預(yù)定條件的例子。在該預(yù)定條件得到滿足的情況下，應(yīng)該在幀的轉(zhuǎn)送時(shí)通知對(duì)于幀是否正常是未決定的，網(wǎng)關(guān)300a生成包含設(shè)定了表示待機(jī)指示的待機(jī)標(biāo)志的控制指示數(shù)據(jù)的發(fā)送用幀。而且，網(wǎng)關(guān)300a設(shè)定計(jì)時(shí)器以使得在能夠最終地判定所接收到的幀是否正常的定時(shí)執(zhí)行最終判定處理。

網(wǎng)關(guān)300a將包含設(shè)定了表示待機(jī)指示的待機(jī)標(biāo)志的控制指示數(shù)據(jù)的發(fā)送用幀發(fā)送給總線200b(步驟s31)。

ecu100c接收在步驟s31中由網(wǎng)關(guān)300a發(fā)送給總線200b的幀(步驟s32)。

ecu100c對(duì)接收到的幀中所包含的控制指示數(shù)據(jù)的待機(jī)標(biāo)志進(jìn)行確認(rèn)，阻止該幀的接收后的處理的執(zhí)行并保持該幀，進(jìn)行等待接下來(lái)的指示的待機(jī)處理(步驟s33)。

網(wǎng)關(guān)300a根據(jù)在步驟s30時(shí)設(shè)定的計(jì)時(shí)器，在能夠最終地判定所接收到的幀是否正常的定時(shí)執(zhí)行最終判定處理(步驟s40)。在圖14中，表示了在最終判定處理中判定為幀正常的例子。

網(wǎng)關(guān)300a根據(jù)由最終判定處理得到的判定結(jié)果，設(shè)定待機(jī)結(jié)束指示標(biāo)志，進(jìn)而生成含有將待機(jī)結(jié)束指示有無(wú)標(biāo)志的值設(shè)為表示包含有效的待機(jī)結(jié)束指示標(biāo)志這一意思的值“1”的控制指示數(shù)據(jù)的幀并進(jìn)行發(fā)送(步驟s41)。此外，在網(wǎng)關(guān)300a中，如果由最終判定處理得到的判定結(jié)果為正常，則設(shè)定待機(jī)結(jié)束指示標(biāo)志以表示待機(jī)解除指示，如果為不正常則設(shè)定待機(jī)結(jié)束指示標(biāo)志以表示廢棄指示。另外，包含有效的待機(jī)結(jié)束指示標(biāo)志的控制指示數(shù)據(jù)既可以保存在網(wǎng)關(guān)300a轉(zhuǎn)送另行接收的幀時(shí)的發(fā)送用幀中，也可以保存在并非轉(zhuǎn)送而是新生成的幀中。在將包含有效的待機(jī)結(jié)束指示標(biāo)志的控制指示數(shù)據(jù)保存在網(wǎng)關(guān)300a轉(zhuǎn)送另行接收的幀時(shí)的發(fā)送用幀中的情況下，該控制指示數(shù)據(jù)的待機(jī)標(biāo)志根據(jù)能否立即判定該另行接收的幀正常與否來(lái)設(shè)定。

ecu100c接收在步驟s41中由網(wǎng)關(guān)300a發(fā)送給總線200b的幀(步驟s42)。

ecu100c確認(rèn)出在步驟s42中接收到的幀所包含的控制指示數(shù)據(jù)的待機(jī)結(jié)束指示有無(wú)標(biāo)志為“1”，對(duì)待機(jī)結(jié)束指示標(biāo)志進(jìn)行確認(rèn)，在表示待機(jī)解除指示的情況下開始已經(jīng)進(jìn)行了待機(jī)處理而保持著的幀的執(zhí)行(步驟s43)。在受到該待機(jī)解除指示的情況下，對(duì)于ecu100c而言，在步驟s32中接收到的待機(jī)指示變成表示應(yīng)該延遲開始執(zhí)行幀的處理這一意思的指示，從在步驟s43中幀的接收起開始所延遲的執(zhí)行。

此后，ecu100a向總線200a發(fā)送接下來(lái)的幀(步驟s50)，網(wǎng)關(guān)300a接收從ecu100a發(fā)送的幀(步驟s60)。

[1.15ecu100a的幀發(fā)送處理]

圖15是表示ecu100a中的幀發(fā)送處理的一例的流程圖。

ecu100a通過(guò)數(shù)據(jù)取得部170取得表示與ecu100a連接的傳感器等的狀態(tài)的傳感數(shù)據(jù)，通知給幀生成部180(步驟s101)。

ecu100a基于所取得的傳感數(shù)據(jù)，在幀生成部180中生成進(jìn)行發(fā)送的幀(步驟s102)。

ecu100a通過(guò)幀收發(fā)部110向總線200a發(fā)送由幀生成部180生成的幀(步驟s103)。在can中發(fā)送的幀并不指定發(fā)送目的地，因此被進(jìn)行廣播，連接于總線200a的各節(jié)點(diǎn)(網(wǎng)關(guān)300a等)可以對(duì)該幀進(jìn)行接收。

[1.16網(wǎng)關(guān)300a的幀轉(zhuǎn)送處理]

圖16是表示網(wǎng)關(guān)300a中的、將從總線200a接收到的幀轉(zhuǎn)送給總線200b的幀轉(zhuǎn)送處理的一例的流程圖。以下，結(jié)合該圖，對(duì)網(wǎng)關(guān)300a的幀轉(zhuǎn)送處理進(jìn)行說(shuō)明。

網(wǎng)關(guān)300a接收被發(fā)送給總線200a的幀(步驟s201)。

網(wǎng)關(guān)300a進(jìn)行判定在步驟s201中接收到的幀是否正常的不正常判定處理(步驟s202)。在不正常判定處理(參照?qǐng)D17)中根據(jù)需要設(shè)定有計(jì)時(shí)器，根據(jù)計(jì)時(shí)器可能會(huì)在步驟s205之后執(zhí)行最終判定處理(參照?qǐng)D18)。

網(wǎng)關(guān)300a確認(rèn)由轉(zhuǎn)送規(guī)則保持部380中保持的轉(zhuǎn)送表所確定的轉(zhuǎn)送規(guī)則(步驟s203)。

如果在轉(zhuǎn)送表中確定有轉(zhuǎn)送目的地的總線，則網(wǎng)關(guān)300a為了進(jìn)行轉(zhuǎn)送而生成轉(zhuǎn)送幀(發(fā)送用幀)(步驟s204)。

網(wǎng)關(guān)300a將生成的發(fā)送用幀發(fā)送(廣播)給總線200b(步驟s205)。

[1.17網(wǎng)關(guān)300a的不正常判定處理]

圖17是表示網(wǎng)關(guān)300a中的、根據(jù)接收到的幀的發(fā)送間隔進(jìn)行幀是正常還是不正常的判定的不正常判定處理的一例的流程圖。以下，結(jié)合該圖，對(duì)網(wǎng)關(guān)300a的不正常判定處理進(jìn)行說(shuō)明。

網(wǎng)關(guān)300a根據(jù)不正常判定規(guī)則保持部360所保持的不正常判定規(guī)則，取得與接收到的幀所包含的消息id相應(yīng)的周期(步驟s301)。

網(wǎng)關(guān)300a取得與接收到的幀具有相同的消息id的、過(guò)去所接收到的幀的接收定時(shí)的信息(步驟s302)。

網(wǎng)關(guān)300a算出過(guò)去接收到的幀與當(dāng)前接收到的幀的接收間隔(步驟s303)。

網(wǎng)關(guān)300a判定在步驟s303中算出的接收間隔是否比(周期－余裕)短(步驟s304)。

網(wǎng)關(guān)300a當(dāng)在步驟s304中判定為接收間隔比(周期－余裕)短的情況下，判斷為幀的周期異常，且需要時(shí)間來(lái)決定接收到的幀是否正常，并將關(guān)于與轉(zhuǎn)送相關(guān)的發(fā)送用幀所包含的控制指示數(shù)據(jù)的待機(jī)標(biāo)志設(shè)定為表示待機(jī)指示(步驟s305)。在此為便于說(shuō)明，設(shè)為在接收間隔比(周期－余裕)短的情況下，判斷為需要時(shí)間來(lái)決定接收到的幀是否正常，但是，例如也可以設(shè)為，僅在接收間隔比(周期－余裕)短的程度小于預(yù)先確定的一定程度的情況下，判斷為需要時(shí)間來(lái)決定接收到的幀是否正常，在與周期偏離得大于一定程度的情況下，判斷為幀不正常。

接著步驟s305，網(wǎng)關(guān)300a為了啟動(dòng)最終判定處理，設(shè)定計(jì)時(shí)器(步驟s306)，所述最終判定處理是之后基于是否在由不正常判定規(guī)則所確定的(正規(guī)的周期±(加減)余裕)的范圍內(nèi)接收到相同id的另外的幀來(lái)判定當(dāng)前接收到的幀是否正常的處理。此外，網(wǎng)關(guān)300a對(duì)關(guān)于作為在最終判定處理中的判定對(duì)象的、當(dāng)前接收到的幀的信息進(jìn)行保持，直到啟動(dòng)最終判定處理為止。在步驟s306中，設(shè)定計(jì)時(shí)器以使得在將與當(dāng)前接收到的幀具有相同的消息id的幀的過(guò)去的接收定時(shí)、和(正規(guī)的周期+余裕)進(jìn)行加法計(jì)算所得到的定時(shí)，啟動(dòng)最終判定處理。關(guān)于由計(jì)時(shí)器啟動(dòng)的最終判定處理，將在后面使用圖18進(jìn)行說(shuō)明。

網(wǎng)關(guān)300a當(dāng)在步驟s304中判定為接收間隔并不比(周期－余裕)短的情況下，判斷為接收到的幀是正常的，并將過(guò)去接收到的幀的接收定時(shí)的信息廢棄(步驟s307)，保存當(dāng)前接收到的幀的接收定時(shí)的信息(步驟s308)。此外，也可以進(jìn)一步附加用于判斷所接收到的幀正常的條件。另外，在判斷為接收到的幀正常的情況下，網(wǎng)關(guān)300a將關(guān)于與轉(zhuǎn)送相關(guān)的發(fā)送用幀所包含的控制指示數(shù)據(jù)的待機(jī)標(biāo)志，保持為表示不需要待機(jī)的默認(rèn)狀態(tài)不變。

[1.18網(wǎng)關(guān)300a的最終判定處理]

圖18是表示網(wǎng)關(guān)300a中的、進(jìn)行接收到的幀是正常還是不正常的最終的判定的最終判定處理的一例的流程圖。以下，結(jié)合該圖，對(duì)網(wǎng)關(guān)300a的最終判定處理進(jìn)行說(shuō)明。

網(wǎng)關(guān)300a確認(rèn)在從與成為最終判定處理中的判定對(duì)象的幀的id相同的過(guò)去的幀的接收定時(shí)起的經(jīng)過(guò)時(shí)間在(正規(guī)的周期±余裕)的范圍內(nèi)的接收定時(shí)，是否接收到了相同id的另外的幀(步驟s401)。當(dāng)在步驟s401中確認(rèn)為在(正規(guī)的周期±余裕)的范圍內(nèi)的接收定時(shí)接收到了相同id的另外的幀的情況下，網(wǎng)關(guān)300a使表示廢棄指示的控制指示數(shù)據(jù)包含于發(fā)送用幀。即，在該情況下，網(wǎng)關(guān)300a最終判定(決定)為判定對(duì)象的幀是不正常的，對(duì)與轉(zhuǎn)送相關(guān)的發(fā)送用幀所包含的控制指示數(shù)據(jù)設(shè)定下述信息：指示ecu廢棄處于對(duì)幀的處理進(jìn)行阻止而待機(jī)階段的幀(步驟s402)。在步驟s402中，網(wǎng)關(guān)300a將控制指示數(shù)據(jù)的待機(jī)結(jié)束指示標(biāo)志設(shè)定為表示廢棄指示，將待機(jī)結(jié)束指示有無(wú)標(biāo)志設(shè)定為表示待機(jī)結(jié)束指示標(biāo)志是有效的這一意思。

在步驟s401中，確認(rèn)為并未在(正規(guī)的周期±余裕)的范圍內(nèi)的接收定時(shí)接收到相同id的另外的幀的情況下，網(wǎng)關(guān)300a使表示待機(jī)解除的控制指示數(shù)據(jù)包含于發(fā)送用幀。即，在該情況下，網(wǎng)關(guān)300a最終判定(決定)為判定對(duì)象的幀是正常的，對(duì)與轉(zhuǎn)送相關(guān)的發(fā)送用幀所包含的控制指示數(shù)據(jù)設(shè)定下述信息：指示ecu開始執(zhí)行處于對(duì)幀的處理進(jìn)行阻止而待機(jī)階段的幀的處理(也就是說(shuō)待機(jī)解除)(步驟s403)。在步驟s403中，網(wǎng)關(guān)300a將控制指示數(shù)據(jù)的待機(jī)結(jié)束指示標(biāo)志設(shè)定為表示待機(jī)解除指示，將待機(jī)結(jié)束指示有無(wú)標(biāo)志設(shè)定為表示待機(jī)結(jié)束指示標(biāo)志是有效的這一意思。此時(shí)，雖然在圖18中進(jìn)行了省略，但是網(wǎng)關(guān)300a可以進(jìn)行過(guò)去的幀的接收定時(shí)的信息的廢棄以及判定對(duì)象的幀的接收定時(shí)的保存(步驟s307、s308)。

在步驟s402或者步驟s403之后，網(wǎng)關(guān)300a將設(shè)定了與判定對(duì)象的幀相同的消息id、并在數(shù)據(jù)域中包含控制指示數(shù)據(jù)的幀發(fā)送(廣播)給總線200a(步驟s404)。

[1.19ecu100c的幀接收處理]

圖19是表示ecu100c中的幀接收處理的一例的流程圖。以下，結(jié)合該圖，對(duì)ecu100c的幀接收處理進(jìn)行說(shuō)明。

ecu100c接收被發(fā)送給總線200b的幀(步驟s501)。

ecu100c確認(rèn)所接收到的幀的數(shù)據(jù)域內(nèi)的控制指示數(shù)據(jù)，判定是否并未包含待機(jī)指示(步驟s502)。如果控制指示數(shù)據(jù)內(nèi)的待機(jī)標(biāo)志是表示待機(jī)指示的值“1”，則判定為包含有待機(jī)指示。在并未包含待機(jī)指示的情況(也就是說(shuō)待機(jī)標(biāo)志表示不需要待機(jī)的情況)下，ecu100c執(zhí)行與接收到的幀相應(yīng)的處理(與幀的數(shù)據(jù)相應(yīng)的功能處理等)(步驟s503)。步驟s503中的處理的執(zhí)行在幀的接收后迅速開始。

在步驟s502中判定為包含有待機(jī)指示的情況下，ecu100c對(duì)在步驟s501中接收到的幀進(jìn)行保持，不開始執(zhí)行對(duì)該幀的功能處理，在一定時(shí)間內(nèi)等待接收接下來(lái)的待機(jī)結(jié)束指示(步驟s504)。也就是說(shuō)，在步驟s504中，ecu100c等待接收與在步驟s501中接收到的幀具有相同id的幀，且該幀的控制指示數(shù)據(jù)的待機(jī)結(jié)束指示有無(wú)標(biāo)志表示具有有效的待機(jī)結(jié)束指示標(biāo)志。該一定時(shí)間是足夠用于發(fā)送待機(jī)結(jié)束指示的時(shí)間。在經(jīng)過(guò)了一定時(shí)間，也沒有接收到待機(jī)結(jié)束指示的情況下，ecu100c解除對(duì)于所保持的幀的待機(jī)，將該幀廢棄(步驟s507)。

在步驟s504中接收到作為控制指示數(shù)據(jù)而包含有有效的待機(jī)結(jié)束指示標(biāo)志、且具有相同id的幀的情況下，ecu100c判別該待機(jī)結(jié)束指示標(biāo)志是否是指示待機(jī)解除的標(biāo)志(步驟s505)。也就是說(shuō)，ecu100c判別是否由控制指示數(shù)據(jù)示出了開始執(zhí)行正在等待執(zhí)行處理的幀的處理的指示。

在步驟s505中判別為指示了待機(jī)解除的情況下，ecu100c解除關(guān)于正在等待執(zhí)行處理的幀的待機(jī)狀態(tài)，開始執(zhí)行與該幀相應(yīng)的功能處理(步驟s506)。另外，在步驟s505中判別為并非指示了待機(jī)解除而是指示了廢棄的情況(判別為待機(jī)結(jié)束指示標(biāo)志指示廢棄的情況)下，ecu100c將正在等待執(zhí)行處理的幀廢棄(步驟s507)。

[1.20實(shí)施方式1的效果]

在實(shí)施方式1涉及的車載網(wǎng)絡(luò)系統(tǒng)10中，網(wǎng)關(guān)300a通過(guò)在幀(數(shù)據(jù)幀)的數(shù)據(jù)域中設(shè)定控制指示數(shù)據(jù)并進(jìn)行幀的發(fā)送，來(lái)控制ecu中的接收到的幀的處理。網(wǎng)關(guān)300a可以使控制指示數(shù)據(jù)包含對(duì)接收幀的ecu中的處理進(jìn)行限制的控制信息(例如設(shè)定為表示待機(jī)指示的待機(jī)標(biāo)志)。如此，網(wǎng)關(guān)300a在轉(zhuǎn)送所接收到的幀時(shí)，通過(guò)發(fā)送設(shè)定了表示待機(jī)指示的控制指示數(shù)據(jù)的發(fā)送用幀，能夠確保判定接收到的幀是否正常的處理所需要的時(shí)間。另外，在接收到的幀有可能最終被判定為正常的情況下，并非停止幀的轉(zhuǎn)送，而是通過(guò)附加待機(jī)指示并進(jìn)行幀的轉(zhuǎn)送，能夠防止在進(jìn)行接收的ecu側(cè)由于幀沒有到達(dá)而執(zhí)行異常處理等。也就是說(shuō)，通過(guò)在轉(zhuǎn)送時(shí)對(duì)幀附加的控制指示數(shù)據(jù)，能夠在接收幀的ecu中，識(shí)別并非因發(fā)送幀的正規(guī)的ecu發(fā)生故障而沒有收到幀的狀態(tài)。另外，通過(guò)在網(wǎng)關(guān)300a中判定幀是正常還是不正常，從而不需要使單個(gè)的ecu100a～100e具有這種判定的功能，能夠抑制作為系統(tǒng)整體的成本，能夠使不正常判定規(guī)則的更新等變得容易。

(實(shí)施方式2)

以下，說(shuō)明對(duì)實(shí)施方式1中示出的車載網(wǎng)絡(luò)系統(tǒng)10的一部分進(jìn)行變形而得到的車載網(wǎng)絡(luò)系統(tǒng)20。

根據(jù)本實(shí)施方式涉及的車載網(wǎng)絡(luò)系統(tǒng)20，在車載網(wǎng)絡(luò)中收發(fā)使數(shù)據(jù)域內(nèi)包含有數(shù)據(jù)與校驗(yàn)和的幀。而且，在總線間轉(zhuǎn)送幀的網(wǎng)關(guān)裝置并不對(duì)幀附加控制指示數(shù)據(jù)，而是根據(jù)需要使控制信息與校驗(yàn)和重疊。在本實(shí)施方式中，網(wǎng)關(guān)裝置(網(wǎng)關(guān)1300a、1300b)對(duì)校驗(yàn)和重疊的信息例如是實(shí)施方式1中示出的控制指示數(shù)據(jù)的基于待機(jī)標(biāo)志的待機(jī)指示、基于待機(jī)結(jié)束指示標(biāo)志的待機(jī)解除指示、以及基于待機(jī)結(jié)束指示標(biāo)志的廢棄指示。另外，在車載網(wǎng)絡(luò)系統(tǒng)20中，網(wǎng)關(guān)裝置通過(guò)與車輛外的服務(wù)器400的通信來(lái)進(jìn)行所接收到的幀是否正常的最終的判定。

[2.1車載網(wǎng)絡(luò)系統(tǒng)20的整體結(jié)構(gòu)]

圖20是表示實(shí)施方式2涉及的車載網(wǎng)絡(luò)系統(tǒng)20的整體結(jié)構(gòu)的圖。車載網(wǎng)絡(luò)系統(tǒng)20構(gòu)成為包括總線200a、200b、200c；網(wǎng)關(guān)1300a、1300b及連接于各種設(shè)備的ecu1100a～1100e等的ecu這樣的連接于總線的各節(jié)點(diǎn)；車輛外的網(wǎng)絡(luò)90以及服務(wù)器400。

該車載網(wǎng)絡(luò)系統(tǒng)20將實(shí)施方式1中示出的車載網(wǎng)絡(luò)系統(tǒng)10(參照?qǐng)D1)中的網(wǎng)關(guān)300a、300b以及ecu100a～100e替換為網(wǎng)關(guān)1300a、1300b以及ecu1100a～1100e，并追加了服務(wù)器400以及網(wǎng)絡(luò)90。對(duì)于與實(shí)施方式1相同的構(gòu)成部分，在圖20中賦予相同的標(biāo)號(hào)，并省略說(shuō)明。對(duì)于在此沒有說(shuō)明的點(diǎn)，車載網(wǎng)絡(luò)系統(tǒng)20與車載網(wǎng)絡(luò)系統(tǒng)10是同樣的。

ecu1100a～1100e與某一條總線連接，另外，分別連接于發(fā)動(dòng)機(jī)101、制動(dòng)器102、車門開閉傳感器103、車窗開閉傳感器104、角部傳感器105。ecu1100a～1100e基本上與實(shí)施方式1中示出的ecu100a～100e具有同樣的功能，還被附加了用于處理幀所包含的校驗(yàn)和的功能。ecu1100a～1100e分別取得所連接的設(shè)備的狀態(tài)，定期地將包含表示狀態(tài)的數(shù)據(jù)以及根據(jù)id、dlc與該數(shù)據(jù)所算出的校驗(yàn)和的幀等發(fā)送給網(wǎng)絡(luò)(也就是總線)。另外，ecu1100a～1100e確認(rèn)所接收到的幀中的校驗(yàn)和，提取與校驗(yàn)和重疊的控制信息，進(jìn)行關(guān)于是執(zhí)行與接收到的幀的數(shù)據(jù)相應(yīng)的功能處理還是進(jìn)行待機(jī)等的控制。

網(wǎng)關(guān)1300a、1300b是連接不同的多個(gè)通信路徑并在通信路徑之間轉(zhuǎn)送數(shù)據(jù)的網(wǎng)關(guān)裝置。網(wǎng)關(guān)1300a連接總線200a和總線200b，總線200a連接著ecu1100a以及ecu1100b，總線200b連接著ecu1100c以及ecu1100d。另外，網(wǎng)關(guān)1300b連接總線200b和總線200c，總線200b連接著ecu1100c以及ecu1100d，總線200c連接著ecu1100e。

網(wǎng)關(guān)1300a、1300b具有如下功能：針對(duì)從一方的總線接收到的幀，進(jìn)行與是正常還是不正常相關(guān)的條件判定，并根據(jù)需要使待機(jī)指示與幀內(nèi)的校驗(yàn)和重疊，從而轉(zhuǎn)送給其他總線。網(wǎng)關(guān)1300a、1300b中的幀的轉(zhuǎn)送通過(guò)下述處理來(lái)實(shí)現(xiàn)：生成包含基于從一方的總線接收到的幀的內(nèi)容的信息的發(fā)送用幀，將與該發(fā)送用幀的在ecu中接收后的處理的限制有關(guān)的信息(例如待機(jī)指示)根據(jù)需要包含于該發(fā)送用幀的數(shù)據(jù)域內(nèi)的校驗(yàn)和中，從而將該發(fā)送用幀發(fā)送給其他總線。另外，網(wǎng)關(guān)1300a、1300b具有如下功能：經(jīng)由網(wǎng)絡(luò)90與車輛外的服務(wù)器400進(jìn)行通信，發(fā)送關(guān)于從總線接收到的幀的信息，接收是正常還是不正常的判定結(jié)果。另外，網(wǎng)關(guān)1300a、1300b也可以在每個(gè)所連接的總線間切換是否對(duì)接收到的幀進(jìn)行轉(zhuǎn)送。網(wǎng)關(guān)1300a、1300b也是一種ecu。

服務(wù)器400是經(jīng)由網(wǎng)絡(luò)90與網(wǎng)關(guān)1300a、1300b通信，取得并蓄積在車載網(wǎng)絡(luò)中發(fā)送的幀的信息的計(jì)算機(jī)。服務(wù)器400例如能夠以1天1次等周期，從網(wǎng)關(guān)1300a等取得與在總線上接收到的幀有關(guān)的信息并進(jìn)行蓄積和管理。服務(wù)器400具有如下功能：基于所蓄積的信息，針對(duì)從網(wǎng)關(guān)1300a、1300b發(fā)送的信息的判定對(duì)象的幀，判定是正常還是不正常，并將該判定結(jié)果通知給網(wǎng)關(guān)1300a、1300b。經(jīng)由網(wǎng)絡(luò)90的通信可以應(yīng)用無(wú)線通信或者有線通信的任意的通信協(xié)議。

[2.2幀的數(shù)據(jù)域的格式例]

圖21是表示ecu1100a～1100e發(fā)送的幀的數(shù)據(jù)域的格式的一例的圖。該格式的幀也被進(jìn)行轉(zhuǎn)送的網(wǎng)關(guān)1300a、1300b發(fā)送。

數(shù)據(jù)域中包含有表示傳感數(shù)據(jù)的值的數(shù)據(jù)、以及根據(jù)id、dlc與該數(shù)據(jù)算出的校驗(yàn)和。此外，不需要將id、dlc以及數(shù)據(jù)全部用于校驗(yàn)和的算出，可以利用任意的組合等。校驗(yàn)和是用于確認(rèn)作為幀的一部分內(nèi)容的id、dlc或者數(shù)據(jù)等的值在轉(zhuǎn)送過(guò)程中是否發(fā)生了變化的、反映了該幀的一部分內(nèi)容而得到的驗(yàn)證用的信息。在幀的發(fā)送源的ecu中，設(shè)定校驗(yàn)和以使其成為反映了幀的至少一部分內(nèi)容的值，在接收到幀的ecu中，基于幀的該一部分內(nèi)容，驗(yàn)證校驗(yàn)和。

[2.3校驗(yàn)和的算出例]

圖22是表示在校驗(yàn)和的算出中使用的信息的一例的圖。

ecu1100a～1100e例如如圖22所示那樣，通過(guò)將幀的11比特的id(消息id)的高位8比特、4比特的dlc、和按8比特(1個(gè)字節(jié))劃分的與dlc的值相當(dāng)?shù)拈L(zhǎng)的數(shù)據(jù)全部相加，算出校驗(yàn)和。在該例子中，校驗(yàn)和為8比特，在校驗(yàn)和的算出中，為了使id變?yōu)?比特而僅提取高位的比特，對(duì)剩余部分進(jìn)行刪除。另外，也為了使dlc變?yōu)?比特而將剩余的4比特(低位4比特)用比特值“0”進(jìn)行填充。通過(guò)將全部調(diào)整為8比特后的id、dlc、按8比特劃分的數(shù)據(jù)全部相加，算出校驗(yàn)和。

網(wǎng)關(guān)1300a、1300b將與實(shí)施方式1中示出的網(wǎng)關(guān)300a、300b所設(shè)定的控制指示數(shù)據(jù)的基于待機(jī)標(biāo)志的待機(jī)指示、基于待機(jī)結(jié)束指示標(biāo)志的待機(jī)解除指示、以及基于待機(jī)結(jié)束指示標(biāo)志的廢棄指示各自相當(dāng)?shù)母骺刂菩畔ⅲ谵D(zhuǎn)送時(shí)根據(jù)需要與校驗(yàn)和進(jìn)行重疊。作為具體例，將dlc的填充部分的低位4比特中、開頭的1比特在待機(jī)指示的情況下設(shè)為比特值“1”，將接下來(lái)的1比特在待機(jī)解除指示的情況下設(shè)為比特值“1”，將接下來(lái)的1比特在廢棄指示的情況下設(shè)為比特值“1”，從而進(jìn)行校驗(yàn)和的算出。網(wǎng)關(guān)1300a、1300b在無(wú)法對(duì)接收到的幀在接收該幀時(shí)完成是正常還是不正常的最終的判定(決定)的情況下，使表示待機(jī)指示的控制信息與幀的校驗(yàn)和重疊，發(fā)送該幀，由此，進(jìn)行幀的轉(zhuǎn)送。另外，網(wǎng)關(guān)1300a、1300b在針對(duì)幀進(jìn)行了待機(jī)指示后，當(dāng)該幀是正常還是不正常的最終的判定(決定)完成時(shí)，發(fā)送使控制信息與校驗(yàn)和重疊而得到的幀，如果判定為該幀正常則所述控制信息表示待機(jī)解除指示，亦或，如果判定為該幀不正常則所述控制信息表示廢棄指示。

[2.4ecu1100a的結(jié)構(gòu)]

ecu1100a基本上與ecu100a具有同樣的結(jié)構(gòu)(參照?qǐng)D3)。但是，在ecu1100a中，通過(guò)幀生成部180對(duì)所生成的幀附加校驗(yàn)和。另外，在幀處理部150中，進(jìn)行幀內(nèi)的校驗(yàn)和的確認(rèn)，如果附加有待機(jī)指示、待機(jī)解除指示或者廢棄指示這樣的控制信息，則進(jìn)行提取，并根據(jù)該控制信息對(duì)處理進(jìn)行阻止，針對(duì)幀進(jìn)行待機(jī)、解除待機(jī)而開始執(zhí)行進(jìn)行了待機(jī)的幀的處理、或者將進(jìn)行了待機(jī)的幀廢棄。

[2.5網(wǎng)關(guān)1300a的結(jié)構(gòu)]

圖23是網(wǎng)關(guān)1300a的結(jié)構(gòu)圖。網(wǎng)關(guān)1300a構(gòu)成為包括幀收發(fā)部310、幀解釋部320、接收id判斷部330、接收id列表保持部340、不正常判定處理部1350、外部通信部1351、不正常判定規(guī)則保持部360、轉(zhuǎn)送處理部370、轉(zhuǎn)送規(guī)則保持部380以及幀生成部1390。這些各構(gòu)成要素的各功能例如通過(guò)網(wǎng)關(guān)1300a中的通信電路、執(zhí)行保存于存儲(chǔ)器的控制程序的處理器或者數(shù)字電路等來(lái)實(shí)現(xiàn)。此外，網(wǎng)關(guān)1300b也具備與網(wǎng)關(guān)1300a基本同樣的結(jié)構(gòu)。此外，對(duì)于網(wǎng)關(guān)1300a的構(gòu)成部分中的、與實(shí)施方式1中示出的網(wǎng)關(guān)300a(參照?qǐng)D10)相同的構(gòu)成部分，在圖23中賦予相同的標(biāo)號(hào)，并省略說(shuō)明。

不正常判定處理部1350從幀解釋部320接收被通知的id域的值，基于不正常判定規(guī)則保持部360所保持的不正常判定規(guī)則(與消息id、發(fā)送幀的周期相關(guān)聯(lián)的信息)，進(jìn)行與所接收到的幀是不正常還是正常有關(guān)的不正常判定處理。在不正常判定處理中，在接收幀時(shí)，判別能否決定其是否正常，根據(jù)該判別結(jié)果，選擇是否對(duì)要轉(zhuǎn)送的幀的校驗(yàn)和重疊表示待機(jī)指示的控制信息，將選擇結(jié)果通知給轉(zhuǎn)送處理部370。該選擇結(jié)果例如與實(shí)施方式1中示出的控制指示數(shù)據(jù)的待機(jī)標(biāo)志是同樣的。不正常判定處理部1350當(dāng)無(wú)法在幀的接收時(shí)迅速地決定其是否正常的情況下，將使得對(duì)校驗(yàn)和重疊指示待機(jī)的控制信息的選擇結(jié)果通知給轉(zhuǎn)送處理部370。該選擇結(jié)果經(jīng)由轉(zhuǎn)送處理部370傳遞給幀生成部1390，被用于要生成的幀所包含的校驗(yàn)和的算出。此外，不正常判定處理部1350當(dāng)無(wú)法在幀的接收時(shí)迅速地決定其是否正常的情況下，通過(guò)將接收到的幀的消息id、數(shù)據(jù)域的內(nèi)容以及接收定時(shí)(時(shí)刻)等信息經(jīng)由外部通信部1351通知給服務(wù)器400，從而將該接收到的幀作為判定對(duì)象來(lái)對(duì)最終的判定進(jìn)行委托。當(dāng)收到該委托時(shí)，在服務(wù)器400中，對(duì)判定對(duì)象的幀是正常還是不正常進(jìn)行判定(決定)，該判定結(jié)果經(jīng)由網(wǎng)關(guān)300a的外部通信部1351通知給不正常判定處理部1350。關(guān)于無(wú)法在幀的接收時(shí)迅速地決定其是否正常的情況，與實(shí)施方式1中示出的不正常判定處理部350同樣地，是幀的接收間隔比(周期－余裕)短的情況。此外，不正常判定處理部1350也可以為，僅在幀的接收間隔比(周期－余裕)短的程度小于預(yù)先確定的一定程度的情況下，判斷為無(wú)法在幀的接收時(shí)迅速地決定所接收到的幀是否正常，在與周期偏離得大于一定程度的情況下，判斷為幀不正常。不正常判定處理部1350進(jìn)行控制以使得根據(jù)服務(wù)器400中的判定結(jié)果，經(jīng)由轉(zhuǎn)送處理部370使幀生成部1390生成幀，并將該幀發(fā)送給之前被發(fā)送了包含指示待機(jī)的控制信息的幀的總線。即，不正常判定處理部1350進(jìn)行控制以使得發(fā)送下述幀：如果在服務(wù)器400中判定為不正常則使校驗(yàn)和與指示廢棄的控制信息重疊而得到的幀，如果判定為正常則使校驗(yàn)和與指示待機(jī)解除的控制信息重疊而得到的幀。

外部通信部1351按照從不正常判定處理部1350通知的數(shù)據(jù)，向服務(wù)器400發(fā)送數(shù)據(jù)從而委托(請(qǐng)求)進(jìn)行判定。另外，將從服務(wù)器400通知的判定結(jié)果通知給不正常判定處理部1350。即，外部通信部1351向搭載本裝置(網(wǎng)關(guān)1300a)的車輛的外部的裝置發(fā)送了關(guān)于幀是否正常的判定(決定)的請(qǐng)求后，接收該決定的結(jié)果(判定結(jié)果)。

幀生成部1390按照從幀解釋部320通知的指示錯(cuò)誤幀的發(fā)送的通知，構(gòu)成錯(cuò)誤幀，將錯(cuò)誤幀通知給幀收發(fā)部310并使其發(fā)送該錯(cuò)誤幀。另外，幀生成部1390使用由轉(zhuǎn)送處理部370通知的消息id、數(shù)據(jù)以及控制指示數(shù)據(jù)(指示待機(jī)、待機(jī)解除或者廢棄的控制信息的指定)，算出校驗(yàn)和并構(gòu)成幀，并將該幀以及總線信息通知給幀收發(fā)部310。

[2.6服務(wù)器400的結(jié)構(gòu)]

圖24是服務(wù)器400的結(jié)構(gòu)圖。服務(wù)器400構(gòu)成為包括通信部410、不正常判定部420以及車輛數(shù)據(jù)保持部430。

通信部410經(jīng)由網(wǎng)絡(luò)90與網(wǎng)關(guān)1300a、1300b通信。另外，將來(lái)自網(wǎng)關(guān)1300a、1300b的被通知的、在車載網(wǎng)絡(luò)中被發(fā)送的幀的信息通知給車輛數(shù)據(jù)保持部430。另外，將從不正常判定部420接收到的通知內(nèi)容通知給網(wǎng)關(guān)1300a、1300b。

不正常判定部420在服務(wù)器400被網(wǎng)關(guān)1300a等委托了關(guān)于幀是否正常的最終的判定時(shí)，基于經(jīng)由通信部410接收到的信息、和蓄積于車輛數(shù)據(jù)保持部430的過(guò)去所取得的與在車載網(wǎng)絡(luò)中被發(fā)送的幀有關(guān)的信息，對(duì)判定對(duì)象的幀是否正常進(jìn)行判定。不正常判定部420將判定結(jié)果通知給通信部410。

車輛數(shù)據(jù)保持部430具有保持車輛數(shù)據(jù)的功能，所述車輛數(shù)據(jù)是在車載網(wǎng)絡(luò)中被發(fā)送的幀的信息。

[2.7車輛數(shù)據(jù)例]

圖25是表示服務(wù)器400所保持的車輛數(shù)據(jù)的一例的圖。

該圖表示作為車輛數(shù)據(jù)，按照搭載于特定的車輛的ecu所發(fā)送的幀的各消息id，記錄了至今為止的周期異常發(fā)生次數(shù)的例子。服務(wù)器400從網(wǎng)關(guān)1300a、1300b接收在車載網(wǎng)絡(luò)中被發(fā)送的幀的接收時(shí)刻等信息，因此，蓄積該信息，例如隨時(shí)對(duì)幀的周期進(jìn)行解析并記錄發(fā)生周期異常的次數(shù)。該圖中示例的車輛數(shù)據(jù)對(duì)1臺(tái)車輛的信息進(jìn)行了表示，但是，服務(wù)器400可以保持關(guān)于多個(gè)車輛各自的信息。

[2.8ecu1100a的幀發(fā)送處理]

圖26是表示ecu1100a中的幀發(fā)送處理的一例的流程圖。在該圖中，對(duì)于與實(shí)施方式1中示出的ecu100a的幀發(fā)送處理(參照?qǐng)D15)相同的步驟，賦予相同的標(biāo)號(hào)，在此適當(dāng)?shù)厥÷哉f(shuō)明。

ecu1100a基于在步驟s101中取得的傳感數(shù)據(jù)，在幀生成部180中，將校驗(yàn)和包含在數(shù)據(jù)域內(nèi)的數(shù)據(jù)之后，生成進(jìn)行發(fā)送的幀(步驟s1102)。ecu1100a根據(jù)圖22中示出的信息，算出校驗(yàn)和。然后，在步驟s103中，ecu1100a將所生成的幀發(fā)送給總線200a。

[2.9網(wǎng)關(guān)1300a的幀轉(zhuǎn)送處理]

圖27是表示網(wǎng)關(guān)1300a中的、將從總線200a接收到的幀轉(zhuǎn)送給總線200b的幀轉(zhuǎn)送處理的一例的流程圖。在該圖中，對(duì)于與實(shí)施方式1中示出的網(wǎng)關(guān)300a的幀轉(zhuǎn)送處理(參照?qǐng)D16)相同的步驟，賦予相同的標(biāo)號(hào)，在此適當(dāng)?shù)厥÷哉f(shuō)明。

網(wǎng)關(guān)1300a進(jìn)行不正常判定處理，所述不正常判定處理對(duì)于在步驟s201中從總線200a接收到的幀是否正常進(jìn)行判定(步驟s1202)。網(wǎng)關(guān)1300a在不正常判定處理中根據(jù)需要向服務(wù)器400委托判定。關(guān)于不正常判定處理，將在后面使用圖28進(jìn)行說(shuō)明。

如果在確定轉(zhuǎn)送規(guī)則的轉(zhuǎn)送表中確定有轉(zhuǎn)送目的地的總線，則網(wǎng)關(guān)1300a為了進(jìn)行轉(zhuǎn)送而生成轉(zhuǎn)送幀(包含校驗(yàn)和的發(fā)送用幀)(步驟s1204)。在生成包含校驗(yàn)和的發(fā)送用幀時(shí)，網(wǎng)關(guān)1300a基于步驟s1202中的不正常判定處理的結(jié)果，僅在無(wú)法在幀的接收時(shí)迅速地決定其是否正常的情況下，對(duì)校驗(yàn)和重疊指示待機(jī)的控制信息，在其他情況下，根據(jù)圖22中示出的信息，算出校驗(yàn)和。然后在步驟s205中，網(wǎng)關(guān)1300a將附有校驗(yàn)和的發(fā)送用幀發(fā)送(廣播)給總線200b。

[2.10網(wǎng)關(guān)1300a的不正常判定處理]

圖28是表示網(wǎng)關(guān)1300a中的、根據(jù)接收到的幀的發(fā)送間隔來(lái)進(jìn)行幀是正常還是不正常的判定的不正常判定處理的一例的流程圖。在該圖中，對(duì)于與實(shí)施方式1中示出的網(wǎng)關(guān)300a的不正常判定處理(參照?qǐng)D17)相同的步驟，賦予相同的標(biāo)號(hào)，在此適當(dāng)?shù)厥÷哉f(shuō)明。

網(wǎng)關(guān)1300a當(dāng)在步驟s304中判定為接收間隔比(周期－余裕)短的情況下，判斷為幀的周期異常，且需要時(shí)間來(lái)決定接收到的幀是否正常，設(shè)定為對(duì)發(fā)送用幀所包含的校驗(yàn)和重疊表示待機(jī)指示的控制信息(步驟s1305)。網(wǎng)關(guān)1300a例如將控制指示數(shù)據(jù)的待機(jī)標(biāo)志設(shè)定為表示待機(jī)指示，將控制指示數(shù)據(jù)經(jīng)由轉(zhuǎn)送處理部370傳遞給幀生成部1390。而且，在幀生成部1390中，基于該控制指示數(shù)據(jù)，使校驗(yàn)和與表示待機(jī)指示的控制信息重疊。

接著步驟s1305，網(wǎng)關(guān)1300a通過(guò)將接收到的幀的消息id、數(shù)據(jù)域的內(nèi)容、和接收定時(shí)(時(shí)刻)的信息通知給服務(wù)器400，從而將該接收到的幀作為判定對(duì)象進(jìn)行最終的判定的委托(步驟s1306)。網(wǎng)關(guān)1300a在向服務(wù)器400委托了判定的情況下，進(jìn)行為了之后獲得來(lái)自服務(wù)器400的判定結(jié)果的服務(wù)器判定應(yīng)對(duì)處理。

[2.11網(wǎng)關(guān)1300a的服務(wù)器判定應(yīng)對(duì)處理]

圖29是表示網(wǎng)關(guān)1300a向服務(wù)器400委托了判定后所進(jìn)行的服務(wù)器判定應(yīng)對(duì)處理的一例的流程圖。以下，結(jié)合該圖，對(duì)網(wǎng)關(guān)1300a的服務(wù)器判定應(yīng)對(duì)處理進(jìn)行說(shuō)明。

網(wǎng)關(guān)1300a從服務(wù)器400接收判定結(jié)果(s1400)。

在服務(wù)器400的判定結(jié)果表示判定對(duì)象的幀不正常的情況下(步驟s1401)，網(wǎng)關(guān)1300a進(jìn)行設(shè)定以使得對(duì)校驗(yàn)和重疊指示廢棄的控制信息(步驟s1402)。網(wǎng)關(guān)1300a例如將控制指示數(shù)據(jù)的待機(jī)結(jié)束指示標(biāo)志設(shè)定為表示廢棄指示，將控制指示數(shù)據(jù)經(jīng)由轉(zhuǎn)送處理部370傳遞給幀生成部1390。而且，在幀生成部1390中，基于該控制指示數(shù)據(jù)，使校驗(yàn)和與表示廢棄指示的控制信息重疊。

在服務(wù)器400的判定結(jié)果表示判定對(duì)象的幀并非為不正常(是正常的)的情況下(步驟s1401)，網(wǎng)關(guān)1300a進(jìn)行設(shè)定以使得對(duì)校驗(yàn)和重疊指示待機(jī)解除(也就是說(shuō)開始執(zhí)行對(duì)幀的功能處理)的控制信息(步驟s1403)。網(wǎng)關(guān)1300a例如將控制指示數(shù)據(jù)的待機(jī)結(jié)束指示標(biāo)志設(shè)定為表示待機(jī)解除指示，將控制指示數(shù)據(jù)經(jīng)由轉(zhuǎn)送處理部370傳遞給幀生成部1390。而且，在幀生成部1390中，基于該控制指示數(shù)據(jù)，使校驗(yàn)和與表示待機(jī)解除指示的控制信息重疊。雖然在圖29中進(jìn)行了省略，但是網(wǎng)關(guān)1300a可以進(jìn)行過(guò)去的幀的接收定時(shí)的信息的廢棄以及判定對(duì)象的幀的接收定時(shí)的保存(步驟s307、s308)。

在步驟s1402或者步驟s1403之后，網(wǎng)關(guān)1300a將設(shè)定了與判定對(duì)象的幀相同的消息id、并使重疊有表示待機(jī)解除或者廢棄指示的控制信息的校驗(yàn)和包含于數(shù)據(jù)域而得到的幀發(fā)送(廣播)給總線200a(步驟s1404)。

[2.12服務(wù)器400的工作例]

圖30是表示服務(wù)器400被委托了來(lái)自網(wǎng)關(guān)1300a的關(guān)于判定對(duì)象的幀是正常還是不正常的判定的情況下所進(jìn)行的判定處理的工作例的流程圖。

服務(wù)器400接收作為判定的委托的數(shù)據(jù)(判定對(duì)象的幀的消息id、數(shù)據(jù)域的內(nèi)容、接收定時(shí)(時(shí)刻)等信息)(步驟s1601)。

服務(wù)器400基于車輛數(shù)據(jù)(參照?qǐng)D25)，根據(jù)判定對(duì)象的幀的消息id的幀，確認(rèn)迄今為止是否時(shí)常(一定數(shù)量以上)發(fā)生周期異常(步驟s1602)，如果是時(shí)常發(fā)生周期異常，則判定為判定對(duì)象的幀是正常的(步驟s1603)。另外，如果并非時(shí)常發(fā)生周期異常，則服務(wù)器400判定為判定對(duì)象的幀是不正常的(步驟s1604)。

接著步驟s1603或者步驟s1604，服務(wù)器400將關(guān)于判定對(duì)象的幀是正常還是不正常的判定結(jié)果發(fā)送給判定的委托源的網(wǎng)關(guān)1300a(步驟s1605)。

[2.13ecu1100c的幀接收處理]

圖31是表示ecu1100c中的幀接收處理的一例的流程圖。在該圖中，對(duì)于與實(shí)施方式1中示出的ecu100c的幀接收處理(參照?qǐng)D19)相同的步驟，賦予相同的標(biāo)號(hào)，在此適當(dāng)?shù)厥÷哉f(shuō)明。

ecu1100c進(jìn)行用于確認(rèn)在步驟s501中接收到的幀的數(shù)據(jù)域內(nèi)的校驗(yàn)和的校驗(yàn)和確認(rèn)處理(步驟s1511)。通過(guò)校驗(yàn)和確認(rèn)處理，在校驗(yàn)和與待機(jī)指示、待機(jī)解除指示或者廢棄指示重疊的情況下，提取這些指示。

接著，ecu1100c判定所接收到的幀是否并未包含待機(jī)指示(步驟s1502)。如果通過(guò)校驗(yàn)和確認(rèn)處理提取到待機(jī)指示，則判定為包含有待機(jī)指示。在并未包含待機(jī)指示的情況(也就是說(shuō)表示待機(jī)指示的控制信息沒有重疊于校驗(yàn)和的情況)下，ecu1100c執(zhí)行與接收到的幀相應(yīng)的處理(與幀的數(shù)據(jù)相應(yīng)的功能處理等)(步驟s503)。

在步驟s1502中判定為包含有待機(jī)指示的情況下，ecu1100c對(duì)在步驟s501中接收到的幀進(jìn)行保持，不開始執(zhí)行對(duì)該幀的功能處理，在一定時(shí)間內(nèi)等待接收接下來(lái)的待機(jī)結(jié)束指示(待機(jī)解除指示或者廢棄指示)(步驟s1504)。也就是說(shuō)，在步驟s1504中，ecu1100c等待接收與在步驟s501中接收到的幀具有相同id的幀，且該幀的校驗(yàn)和與指示待機(jī)解除或者廢棄的控制信息重疊。此外，關(guān)于是否重疊有控制信息，通過(guò)進(jìn)行與步驟s1511同樣的校驗(yàn)和確認(rèn)處理來(lái)判定。在經(jīng)過(guò)了一定時(shí)間，也沒有接收到待機(jī)結(jié)束指示的情況下，ecu1100c解除對(duì)于所保持的幀的待機(jī)，將該幀廢棄(步驟s507)。

在步驟s1504中判定為接收到了待機(jī)結(jié)束指示的情況下，ecu1100c判定是否是處理的指示、即待機(jī)解除指示(步驟s1505)。待機(jī)解除指示是關(guān)于待機(jī)幀(正在進(jìn)行待機(jī)的幀)的功能處理的執(zhí)行開始的指示。也就是說(shuō)，ecu1100c判定作為開始執(zhí)行正在等待執(zhí)行處理的幀的處理的指示的、指示待機(jī)解除的控制信息是否重疊于校驗(yàn)和。此外，關(guān)于是否重疊有指示待機(jī)解除的控制信息，通過(guò)進(jìn)行與步驟s1511同樣的校驗(yàn)和確認(rèn)處理來(lái)判定。

在步驟s1505中判別為指示了待機(jī)解除的情況下，ecu1100c解除關(guān)于正在等待執(zhí)行處理的幀的待機(jī)狀態(tài)，開始執(zhí)行與該幀相應(yīng)的功能處理(步驟s506)。另外，在步驟s1505中判定為并非指示待機(jī)解除而是指示廢棄的控制信息重疊于校驗(yàn)和的情況下，ecu1100c將正在等待執(zhí)行處理的幀廢棄(步驟s507)。

[2.14ecu1100c的校驗(yàn)和確認(rèn)處理]

圖32是表示ecu1100c中的校驗(yàn)和確認(rèn)處理的一例的流程圖。

ecu1100c使用接收到的幀所包含的消息id、dlc和數(shù)據(jù)，如圖22所示那樣進(jìn)行算出校驗(yàn)和的通常的計(jì)算，確認(rèn)該通常的計(jì)算結(jié)果與接收到的幀內(nèi)的校驗(yàn)和是否一致(步驟s1701)。如果一致，則待機(jī)指示等的控制信息并未重疊于校驗(yàn)和。

在步驟s1701中確認(rèn)為接收到的幀內(nèi)的校驗(yàn)和與校驗(yàn)和的通常的計(jì)算結(jié)果不一致的情況下，ecu1100c基于接收到的幀所包含的消息id、dlc及數(shù)據(jù)、和對(duì)填充dlc的部分的1比特設(shè)定了“1”的待機(jī)指示的控制信息，進(jìn)行算出校驗(yàn)和的計(jì)算，確認(rèn)該計(jì)算結(jié)果與接收到的幀內(nèi)的校驗(yàn)和是否一致(步驟s1702)。如果一致，則待機(jī)指示的控制信息重疊于校驗(yàn)和，ecu1100c提取該待機(jī)指示(步驟s1703)。

在步驟s1702中確認(rèn)為接收到的幀內(nèi)的校驗(yàn)和與對(duì)校驗(yàn)和重疊有待機(jī)指示的控制信息時(shí)的計(jì)算結(jié)果不一致的情況下，ecu1100c基于接收到的幀所包含的消息id、dlc及數(shù)據(jù)、和對(duì)填充dlc的部分的另外1比特設(shè)定了“1”的待機(jī)解除指示的控制信息，進(jìn)行算出校驗(yàn)和的計(jì)算，確認(rèn)該計(jì)算結(jié)果與接收到的幀內(nèi)的校驗(yàn)和是否一致(步驟s1704)。如果一致，則待機(jī)解除指示的控制信息重疊于校驗(yàn)和，ecu1100c提取該待機(jī)解除指示(步驟s1705)。

在步驟s1704中確認(rèn)為接收到的幀內(nèi)的校驗(yàn)和與對(duì)校驗(yàn)和重疊有待機(jī)解除指示的控制信息時(shí)的計(jì)算結(jié)果不一致的情況下，ecu1100c基于接收到的幀所包含的消息id、dlc及數(shù)據(jù)、和對(duì)填充dlc的部分的又1比特設(shè)定了“1”的廢棄指示的控制信息，進(jìn)行算出校驗(yàn)和的計(jì)算，確認(rèn)該計(jì)算結(jié)果與接收到的幀內(nèi)的校驗(yàn)和是否一致(步驟s1706)。如果一致，則廢棄指示的控制信息重疊于校驗(yàn)和，ecu1100c提取該廢棄指示(步驟s1707)。

在步驟s1706中確認(rèn)為接收到的幀內(nèi)的校驗(yàn)和與對(duì)校驗(yàn)和重疊有廢棄指示的控制信息時(shí)的計(jì)算結(jié)果不一致的情況下，ecu1100c對(duì)接收到的幀的校驗(yàn)和的驗(yàn)證失敗，因此，進(jìn)行錯(cuò)誤處理(幀的處理的停止等)，之后不進(jìn)行關(guān)于該幀的處理(步驟s1708)。

[2.15實(shí)施方式2的效果]

在實(shí)施方式2涉及的車載網(wǎng)絡(luò)系統(tǒng)20中，網(wǎng)關(guān)1300a通過(guò)對(duì)幀(數(shù)據(jù)幀)的數(shù)據(jù)域內(nèi)的校驗(yàn)和重疊控制信息并進(jìn)行幀的發(fā)送，控制ecu中的接收到的幀的處理。網(wǎng)關(guān)1300a可以對(duì)校驗(yàn)和重疊對(duì)接收幀的ecu中的處理進(jìn)行限制的控制信息(例如設(shè)定為表示待機(jī)指示的控制信息)。如此，網(wǎng)關(guān)1300a在轉(zhuǎn)送所接收到的幀時(shí)，通過(guò)發(fā)送設(shè)定了校驗(yàn)和以表示待機(jī)指示的發(fā)送用幀，能夠確保判定接收到的幀是否正常的處理所需要的時(shí)間。因此，能夠確保與車輛外部的服務(wù)器400通信并使服務(wù)器400進(jìn)行判定的時(shí)間。另外，各ecu在保存于幀的校驗(yàn)和的區(qū)域中重疊控制信息，因此，在網(wǎng)關(guān)1300a轉(zhuǎn)送幀時(shí)，不會(huì)使幀的數(shù)據(jù)長(zhǎng)度增長(zhǎng)。另外，在接收到的幀有可能最終被判定為正常的情況下，并非停止幀的轉(zhuǎn)送，而是通過(guò)附加待機(jī)指示并進(jìn)行幀的轉(zhuǎn)送，能夠防止在進(jìn)行接收的ecu側(cè)由于幀沒有到達(dá)而執(zhí)行異常處理等。也就是說(shuō)，通過(guò)在轉(zhuǎn)送時(shí)對(duì)幀的校驗(yàn)和重疊的控制信息，能夠在接收幀的ecu中，識(shí)別并非因發(fā)送幀的正規(guī)的ecu發(fā)生故障而沒有收到幀的狀態(tài)。另外，通過(guò)在網(wǎng)關(guān)1300a以及服務(wù)器400中判定幀是正常還是不正常，從而不需要使單個(gè)的ecu100a～100e具有這種判定的功能，能夠抑制作為系統(tǒng)整體的成本，能夠使不正常判定規(guī)則的更新等變得容易。

(其他實(shí)施方式)

如上所述，作為本公開涉及的技術(shù)的示例，對(duì)實(shí)施方式1、2進(jìn)行了說(shuō)明。然而，本公開涉及的技術(shù)并不限定于此，也能夠適用于進(jìn)行了適當(dāng)?shù)淖兏?、替換、附加、省略等的實(shí)施方式。例如，如下的變形例也包含在本公開的一個(gè)實(shí)施方式中。

(1)在上述實(shí)施方式中，以標(biāo)準(zhǔn)id格式描述了can協(xié)議中的數(shù)據(jù)幀，但也可以是擴(kuò)展id格式。

(2)在上述實(shí)施方式1中，使控制指示數(shù)據(jù)包含于數(shù)據(jù)域，但也可以包含于數(shù)據(jù)域內(nèi)的任意處，還可以包含于其他域。例如，也可以包含于擴(kuò)展id域、dlc域的一部分等。擴(kuò)展id域在擴(kuò)展id格式中位于保存基本id的長(zhǎng)11比特的域、接著的長(zhǎng)1比特的srr(substituteremoterequest：替代遠(yuǎn)程請(qǐng)求)位、又接著的長(zhǎng)1比特的ide(identifierextension：標(biāo)識(shí)符擴(kuò)展)位之后，保存長(zhǎng)18比特的擴(kuò)展id。

(3)在上述實(shí)施方式2中，網(wǎng)關(guān)1300a為了使表示待機(jī)指示、待機(jī)解除指示或者廢棄指示等的控制信息與幀的數(shù)據(jù)域內(nèi)的校驗(yàn)和重疊，將表示待機(jī)指示等的控制信息用于校驗(yàn)和的算出。然而重疊控制信息的區(qū)域也可以是幀內(nèi)的其他區(qū)域。例如，也可以使控制信息例如與crc域重疊，當(dāng)ecu在幀內(nèi)設(shè)定消息認(rèn)證碼(mac：messageauthenticationcode)的情況下，也可以使控制信息與mac重疊。mac例如是利用在ecu、網(wǎng)關(guān)之間持有的公用密鑰，并例如基于幀的數(shù)據(jù)、每次發(fā)送幀時(shí)進(jìn)行計(jì)數(shù)的計(jì)數(shù)器等而生成的，可以使控制信息包含于用于生成mac的計(jì)算式中。另外，可以使校驗(yàn)和包含于數(shù)據(jù)域內(nèi)的任意處，也可以使其包含于數(shù)據(jù)域以外，例如可以使其包含于擴(kuò)展id域。

(4)在上述實(shí)施方式1中，示出了將設(shè)定了有效的待機(jī)結(jié)束指示標(biāo)志的控制指示數(shù)據(jù)，作為與接收到并進(jìn)行了待機(jī)的幀具有相同id的新的幀進(jìn)行發(fā)送的例子，但也可以作為控制指示數(shù)據(jù)而包含于在轉(zhuǎn)送從ecu100a接收到的下一幀時(shí)的發(fā)送用幀。另外，在實(shí)施方式1中，示出了控制指示數(shù)據(jù)通過(guò)待機(jī)結(jié)束指示標(biāo)志來(lái)指示前一個(gè)幀的待機(jī)解除或者廢棄的例子，但也可以為包含表示前任意個(gè)數(shù)的數(shù)據(jù)，指定成為待機(jī)解除或者廢棄的對(duì)象的幀。另外，在實(shí)施方式1中，網(wǎng)關(guān)300a根據(jù)步驟s401的判定的結(jié)果來(lái)發(fā)送表示待機(jī)解除指示的幀，但除此之外，也可以基于執(zhí)行任意的不正常判定算法而得到的結(jié)果，發(fā)送表示待機(jī)解除指示或者廢棄指示的幀。另外，在實(shí)施方式1中，示出了進(jìn)行接收的ecu100c如果在一定時(shí)間內(nèi)沒有接收到與正在待機(jī)的幀具有相同id的幀則將正在待機(jī)的幀廢棄的例子，但作為要廢棄的幀的個(gè)數(shù)、一定時(shí)間等，可以設(shè)定為任意的值。另外，網(wǎng)關(guān)300a發(fā)送包含待機(jī)指示的幀的情況下，也可以在該幀中包含應(yīng)該待機(jī)的時(shí)間等其他的指示內(nèi)容。由此，若經(jīng)過(guò)了應(yīng)該待機(jī)的時(shí)間，則ecu可以無(wú)需等待指示待機(jī)解除或者廢棄的幀，而將為了待機(jī)所保持的幀廢棄，能夠有效地利用用于保持幀的存儲(chǔ)器等的區(qū)域。

(5)上述實(shí)施方式中的網(wǎng)關(guān)300a、300b、1300a、1300b等網(wǎng)關(guān)裝置只要是具有將接收到的幀轉(zhuǎn)送給總線的功能的裝置則可以是任意的裝置。網(wǎng)關(guān)裝置例如也可以是從車輛外部的裝置接收幀并向車載網(wǎng)絡(luò)的1條總線進(jìn)行轉(zhuǎn)送的主機(jī)(headunit)等ecu。這里的轉(zhuǎn)送只要是基于接收到的幀(數(shù)據(jù))而生成的幀的發(fā)送即可，也可以是對(duì)接收到的幀的內(nèi)容的一部分進(jìn)行變更并發(fā)送。例如，接收到特定的消息id的幀，對(duì)消息id和/或數(shù)據(jù)域的一部分進(jìn)行變更并重新發(fā)送的ecu即為網(wǎng)關(guān)裝置。

(6)上述實(shí)施方式中示出的can協(xié)議也可以是還包括ttcan(time-triggeredcan：時(shí)間觸發(fā)can)、canfd(canwithflexibledatarate：具有靈活數(shù)據(jù)傳輸率的can)等派生協(xié)議的具有廣義含義的can協(xié)議。

(7)上述實(shí)施方式中示出的網(wǎng)關(guān)裝置(例如網(wǎng)關(guān)300a、1300a等)也可以在向多條總線轉(zhuǎn)送幀的情況下，僅使向特定的總線(例如重要的總線等)轉(zhuǎn)送的幀包含指示待機(jī)的控制信息(例如將待機(jī)標(biāo)志設(shè)定為指示待機(jī)而得到的控制指示數(shù)據(jù)、或者加上待機(jī)指示的1比特而算出的校驗(yàn)和等)。

(8)在上述實(shí)施方式2中，示出了網(wǎng)關(guān)裝置(例如網(wǎng)關(guān)1300a)具有外部通信部1351的例子，但也可以經(jīng)由與車載網(wǎng)絡(luò)連接的主機(jī)或者其他ecu(具有與車外進(jìn)行通信的功能的裝置)進(jìn)行通信。主機(jī)例如是為了多媒體再現(xiàn)、汽車導(dǎo)航等功能而具有與車輛外部通信的功能的ecu。

(9)上述實(shí)施方式1中示出的ecu100a～100e也可以使發(fā)送給總線的幀包含控制指示數(shù)據(jù)(例如使待機(jī)標(biāo)志表示不需要待機(jī)、使待機(jī)結(jié)束指示有無(wú)標(biāo)志表示“無(wú)”而得到的指示數(shù)據(jù)等)。在該情況下網(wǎng)關(guān)300a等網(wǎng)關(guān)裝置在轉(zhuǎn)送該幀時(shí)可以變更控制指示數(shù)據(jù)的內(nèi)容。此外，控制指示數(shù)據(jù)也可以被限定地附加于具有特定的消息id的幀。此外，在接收幀的ecu中，按照消息id對(duì)ecu預(yù)先確定有通常所發(fā)送的幀的數(shù)據(jù)長(zhǎng)度，因此，基于dlc，在網(wǎng)關(guān)中能夠區(qū)分是否附加有控制指示數(shù)據(jù)。

(10)上述實(shí)施方式中示出的網(wǎng)關(guān)裝置以與接收到的幀的轉(zhuǎn)送相關(guān)的方式，使發(fā)送用幀包含控制信息(包含表示一定的值的控制指示數(shù)據(jù))。作為該控制信息，例如有第一控制信息和第二控制信息，所述第一控制信息包含于在幀的接收時(shí)進(jìn)行發(fā)送的發(fā)送用幀，所述第二控制信息包含于在該接收之后基于關(guān)于接收到的幀是否正常的最終的判定結(jié)果進(jìn)行發(fā)送的發(fā)送用幀。第一控制信息例如是待機(jī)指示，其例如表示應(yīng)該讓接收到包含該第一控制信息的幀的ecu延遲開始執(zhí)行與該幀關(guān)聯(lián)的處理，直到接收到包含與該幀的處理方法有關(guān)的信息的幀為止之意。另外，該待機(jī)指示例如表示應(yīng)該讓接收到包含該第一控制信息的幀的ecu阻止執(zhí)行與該幀關(guān)聯(lián)的處理，直到滿足一定條件(接收到包含第二控制信息的幀或者經(jīng)過(guò)了一定時(shí)間等條件)為止之意。此外，第一控制信息也可以說(shuō)是表示要按照包含該第一控制信息的幀的處理進(jìn)行指示這一預(yù)告(尚未做出該幀是否正常的最終的決定的狀況的報(bào)告)。另外，第二控制信息是根據(jù)與網(wǎng)關(guān)裝置接收到的幀相關(guān)的最終的判定結(jié)果而確定的控制信息，例如是表示應(yīng)該開始執(zhí)行該幀的處理這一意思的待機(jī)解除指示，或者表示應(yīng)該廢棄該幀這一意思的廢棄指示等。

(11)在上述實(shí)施方式1中，示出了網(wǎng)關(guān)300a進(jìn)行需要時(shí)間來(lái)判定(決定)接收到的幀是否正常的最終判定處理的例子，在實(shí)施方式2中，示出了服務(wù)器400進(jìn)行需要時(shí)間來(lái)判定網(wǎng)關(guān)1300a所接收到的幀是否正常的判定處理的例子。除此之外，網(wǎng)關(guān)300a、1300a等網(wǎng)關(guān)裝置也可以讓其他ecu來(lái)進(jìn)行所接收到的幀是否正常的判定(決定)。在該情況下，作為用于接收幀的接收部而發(fā)揮作用的幀收發(fā)部310接收由其他ecu進(jìn)行的判定(決定)的結(jié)果。另外，幀收發(fā)部310可以根據(jù)關(guān)于接收到的幀是否正常的決定的結(jié)果，進(jìn)行指示待機(jī)解除或者廢棄的幀的發(fā)送等。此外，幀收發(fā)部310作為將包含有與接收幀后的處理的限制有關(guān)的控制信息的幀發(fā)送給總線的發(fā)送部而發(fā)揮作用。該發(fā)送部在由接收部接收到幀時(shí)，在滿足預(yù)定條件的情況下，以包含第一控制信息的方式將該幀發(fā)送給總線，在不滿足預(yù)定條件的情況下，以不包含第一控制信息的方式將幀發(fā)送給總線，在發(fā)送了包含第一控制信息的幀后，例如根據(jù)該幀是否正常的決定的結(jié)果，將包含與該幀的處理方法有關(guān)的第二控制信息的幀發(fā)送給總線。預(yù)定條件例如是在接收到的幀的轉(zhuǎn)送之后決定該幀是否正常的狀況下所滿足的條件，也就是在幀的接收時(shí)，無(wú)法迅速地判定幀是否正常這一條件，但也可以是其他條件。另外，發(fā)送部也可以通過(guò)保存反映了數(shù)據(jù)域的至少一部分內(nèi)容的數(shù)據(jù)的、幀的一個(gè)區(qū)域(例如校驗(yàn)和的區(qū)域)來(lái)表示第一控制信息。

(12)上述實(shí)施方式中的各ecu(包括網(wǎng)關(guān))例如是包括處理器、存儲(chǔ)器等數(shù)字電路、模擬電路、通信電路等的裝置，但也可以包括硬盤裝置、顯示器、鍵盤、鼠標(biāo)等其他的硬件構(gòu)成要素。另外，也可以取代由處理器執(zhí)行存儲(chǔ)于存儲(chǔ)器的控制程序從而以軟件方式來(lái)實(shí)現(xiàn)功能，而通過(guò)專用的硬件(數(shù)字電路等)來(lái)實(shí)現(xiàn)其功能。

(13)上述實(shí)施方式中的構(gòu)成各裝置的構(gòu)成要素的一部分或全部也可以由1個(gè)系統(tǒng)lsi(largescaleintegration：大規(guī)模集成電路)構(gòu)成。系統(tǒng)lsi是在一個(gè)芯片上集成多個(gè)構(gòu)成部而制造出的超多功能lsi，具體而言，是構(gòu)成為包括微處理器、rom、ram等的計(jì)算機(jī)系統(tǒng)。在所述ram中記錄有計(jì)算機(jī)程序。所述微處理器按照所述計(jì)算機(jī)程序進(jìn)行工作，由此系統(tǒng)lsi實(shí)現(xiàn)其功能。另外，構(gòu)成上述各裝置的構(gòu)成要素的各部分既可以單獨(dú)地單芯片化，也可以以包括一部分或全部的方式單芯片化。另外，雖然此處設(shè)為系統(tǒng)lsi，但根據(jù)集成度不同，也可以稱為ic、lsi、超大lsi(superlsi)，特大lsi(ultralsi)。另外，集成電路化的方法不限于lsi，也可以通過(guò)專用電路或通用處理器實(shí)現(xiàn)。也可以在lsi制造后利用可編程的fpga(fieldprogrammablegatearray：現(xiàn)場(chǎng)可編程門陣列)和/或可以對(duì)lsi內(nèi)部的電路單元的連接和/或設(shè)定進(jìn)行重構(gòu)的可重構(gòu)處理器(reconfigurableprocessor)。再者，隨著半導(dǎo)體技術(shù)的發(fā)展或派生的其他技術(shù)的出現(xiàn)，如果出現(xiàn)能夠代替lsi的集成電路化的技術(shù)，當(dāng)然也可以使用該技術(shù)進(jìn)行功能模塊的集成化。也存在應(yīng)用生物技術(shù)等的可能性。

(14)構(gòu)成上述各裝置的構(gòu)成要素的一部分或全部也可以由能夠裝卸于各裝置的ic卡或單體模塊構(gòu)成。所述ic卡或所述模塊是由微處理器、rom、ram等構(gòu)成的計(jì)算機(jī)系統(tǒng)。所述ic卡或所述模塊也可以包括上述的超多功能lsi。微處理器按照計(jì)算機(jī)程序進(jìn)行工作，由此所述ic卡或所述模塊實(shí)現(xiàn)其功能。該ic卡或該模塊可以具有防篡改性能。

(15)作為本公開的一個(gè)技術(shù)方案，也可以是上述的車載網(wǎng)絡(luò)中的幀的轉(zhuǎn)送所涉及的通信方法等的方法。例如，通信方法包括：接收步驟，接收幀(第一幀)；以及發(fā)送步驟，當(dāng)在接收步驟中接收到第一幀時(shí)，使包含基于該幀的內(nèi)容的信息的發(fā)送用幀(第二幀)包含第一控制信息，將該第二幀發(fā)送給總線，所述第一控制信息與接收第二幀后的處理的限制有關(guān)。另外，也可以是通過(guò)計(jì)算機(jī)實(shí)現(xiàn)該方法的計(jì)算機(jī)程序，還可以是通過(guò)所述計(jì)算機(jī)程序形成的數(shù)字信號(hào)。另外，作為本公開的一個(gè)技術(shù)方案，也可以將所述計(jì)算機(jī)程序或所述數(shù)字信號(hào)記錄于計(jì)算機(jī)可讀取的記錄介質(zhì)，例如軟盤、硬盤、cd-rom、mo、dvd、dvd-rom、dvd-ram、bd(blu-ray(注冊(cè)商標(biāo))disc)、半導(dǎo)體存儲(chǔ)器等。另外，也可以是記錄在這些記錄介質(zhì)中的所述數(shù)字信號(hào)。另外，作為本公開的一個(gè)技術(shù)方案，也可以將所述計(jì)算機(jī)程序或所述數(shù)字信號(hào)經(jīng)由電通信線路、無(wú)線或有線通信線路、以互聯(lián)網(wǎng)為代表的網(wǎng)絡(luò)、數(shù)據(jù)廣播等進(jìn)行傳輸。另外，作為本公開的一個(gè)技術(shù)方案，也可以是具備微處理器和存儲(chǔ)器的計(jì)算機(jī)系統(tǒng)，所述存儲(chǔ)器記錄有上述計(jì)算機(jī)程序，所述微處理器按照所述計(jì)算機(jī)程序進(jìn)行工作。另外，通過(guò)將所述程序或所述數(shù)字信號(hào)記錄在所述記錄介質(zhì)中移送，或者經(jīng)由所述網(wǎng)絡(luò)等將所述程序或所述數(shù)字信號(hào)進(jìn)行移送，可以通過(guò)獨(dú)立的其他的計(jì)算機(jī)系統(tǒng)來(lái)實(shí)施。

(16)通過(guò)將上述實(shí)施方式及上述變形例中示出的各構(gòu)成要素以及功能任意地進(jìn)行組合而實(shí)現(xiàn)的方式也包含在本公開的范圍內(nèi)。

產(chǎn)業(yè)上的可利用性

本公開能夠用于區(qū)分車載網(wǎng)絡(luò)中所發(fā)送的幀是否正常并適當(dāng)?shù)剡M(jìn)行與該幀對(duì)應(yīng)的處理。

標(biāo)號(hào)說(shuō)明

10、20：車載網(wǎng)絡(luò)系統(tǒng)

90：網(wǎng)絡(luò)

100a～100e、1100a～1100e：電子控制單元(ecu)

101：發(fā)動(dòng)機(jī)

102：制動(dòng)器

103：車門開閉傳感器

104：車窗開閉傳感器

105：角部傳感器

110、310：幀收發(fā)部

120、320：幀解釋部

130、330：接收id判斷部

140、340：接收id列表保持部

150：幀處理部

160：幀保持部

170：數(shù)據(jù)取得部

180、390、1390：幀生成部

200a～200c：總線

300a、300b、1300a、1300b：網(wǎng)關(guān)

350、1350：不正常判定處理部

360：不正常判定規(guī)則保持部

370：轉(zhuǎn)送處理部

380：轉(zhuǎn)送規(guī)則保持部

400：服務(wù)器

410：通信部

420：不正常判定部

430：車輛數(shù)據(jù)保持部

1351：外部通信部