涉及一種在多個通信裝置連接于共用的通信線的結(jié)構(gòu)中能夠檢測與通信相關(guān)的異常的通信系統(tǒng)、異常檢測裝置及異常檢測方法。

背景技術(shù)：

以往，搭載于車輛的多個ecu(electroniccontrolunit：電子控制單元)間的通信廣泛地采用can的通信協(xié)議。采用了can的通信協(xié)議的通信系統(tǒng)成為多個ecu連接于共用的can總線的結(jié)構(gòu)，接收側(cè)的ecu對于發(fā)送側(cè)的ecu向can總線輸出的信號進行采樣，由此進行信息的發(fā)送接收。而且，發(fā)送側(cè)的ecu進行向can總線的信號輸出，并對can總線的信號進行采樣，由此來檢測與自身發(fā)送的信息相關(guān)的變化的有無。

在非專利文獻1中，指出了如下情況：在發(fā)送側(cè)的ecu和接收側(cè)的ecu中對can總線的信號進行采樣的定時不同的情況下，通過僅在接收側(cè)的ecu進行采樣的短期間內(nèi)有意地使can總線上的信號變化，發(fā)送側(cè)的ecu不會察覺，接收側(cè)的ecu有可能接收篡改了的信息。

在先技術(shù)文獻

非專利文獻

非專利文獻1：松本勉、向達泰希、土屋游、中山淑文、吉岡克成，“對于電氣性的數(shù)據(jù)篡改的can的完整強化對策”，計算機安全論文集2014，2014年10月22日～24日

技術(shù)實現(xiàn)要素：

發(fā)明要解決的課題

例如對于配置在車輛內(nèi)的can總線連接不正當(dāng)?shù)脑O(shè)備，通過非專利文獻1記載的方法進行了對于特定的ecu的信息篡改的情況下，在搭載于車輛的各種電子設(shè)備中可能會發(fā)生誤動作等。由此，要求檢測或防止這樣的信息篡改的技術(shù)。

本發(fā)明鑒于這樣的情況而作出，其目的在于提供一種能夠檢測利用了多個通信裝置的采樣定時的差異的信息篡改等與通信相關(guān)的異常的通信系統(tǒng)、異常檢測裝置及異常檢測方法。

用于解決課題的方案

本發(fā)明的通信系統(tǒng)具備經(jīng)由共用的通信線而連接并經(jīng)由該通信線進行二值的信息的發(fā)送接收的多個通信裝置，所述通信裝置分別具有接收部，該接收部在一比特的信息的發(fā)送期間中以規(guī)定的定時對所述通信線的電壓進行一次采樣，由此進行信息的接收，所述通信系統(tǒng)容許所述多個通信裝置以不同的定時進行采樣的情況，所述通信系統(tǒng)的特征在于，所述通信系統(tǒng)具備異常檢測裝置，所述異常檢測裝置與所述通信線連接，所述異常檢測裝置具有：采樣部，在包含由所述多個通信裝置進行的采樣中的最早的采樣的定時及最晚的采樣的定時的規(guī)定期間，對所述通信線的電壓進行多次采樣；及檢測部，基于該采樣部的多個采樣結(jié)果來檢測與通信相關(guān)的異常。

另外，本發(fā)明的通信系統(tǒng)的特征在于，所述采樣部在所述規(guī)定期間周期性地進行多次采樣，在所述采樣部采樣的采樣結(jié)果與以前的采樣結(jié)果不同的情況下，所述檢測部檢測到與通信相關(guān)的異常。

另外，本發(fā)明的通信系統(tǒng)的特征在于，所述異常檢測裝置具有通知部，該通知部在所述檢測部檢測到異常的情況下向所述多個通信裝置通知檢測到異常。

另外，本發(fā)明的通信系統(tǒng)的特征在于，在所述檢測部檢測到異常的情況下，所述通知部進行對于所述通信線的規(guī)定的信息發(fā)送，利用該信息發(fā)送來阻礙由所述多個通信裝置進行的信息的接收。

另外，本發(fā)明的異常檢測裝置在通信系統(tǒng)中檢測與通信相關(guān)的異常，所述通信系統(tǒng)具備經(jīng)由共用的通信線而連接并經(jīng)由該通信線進行二值的信息的發(fā)送接收的多個通信裝置，所述通信裝置分別具有接收部，該接收部在一比特的信息的發(fā)送期間中以規(guī)定的定時對所述通信線的電壓進行一次采樣，由此進行信息的接收，所述通信系統(tǒng)容許所述多個通信裝置以不同的定時進行采樣的情況，所述異常檢測裝置的特征在于，所述異常檢測裝置與所述通信線連接，所述異常檢測裝置具有：采樣部，在包含由所述多個通信裝置進行的采樣中的最早的采樣的定時及最晚的采樣的定時的規(guī)定期間，對所述通信線的電壓進行多次采樣；及檢測部，基于該采樣部的多個采樣結(jié)果來檢測與通信相關(guān)的異常。

另外，本發(fā)明的異常檢測方法在通信系統(tǒng)中檢測通信的異常，所述通信系統(tǒng)具備經(jīng)由共用的通信線而連接并經(jīng)由該通信線進行二值的信息的發(fā)送接收的多個通信裝置，所述通信裝置分別具有接收部，該接收部在一比特的信息的發(fā)送期間中以規(guī)定的定時對所述通信線的電壓進行一次采樣，由此進行信息的接收，所述通信系統(tǒng)容許所述多個通信裝置以不同的定時進行采樣的情況，所述異常檢測方法的特征在于，在包含由所述多個通信裝置進行的采樣中的最早的采樣的定時及最晚的采樣的定時的規(guī)定期間，對所述通信線的電壓進行多次采樣，基于多次的采樣結(jié)果來檢測與通信相關(guān)的異常。

在本發(fā)明的通信系統(tǒng)中，對于多個通信裝置經(jīng)由共用的通信線進行信息的發(fā)送接收的系統(tǒng)結(jié)構(gòu)，利用與該通信線連接的異常檢測裝置進行與通信相關(guān)的異常檢測。各通信裝置在一比特的信息的發(fā)送期間中以規(guī)定的定時進行一次的采樣，由此接收信息。但是，容許多個通信裝置以不同的定時進行采樣的情況。異常檢測裝置在一比特的信息的發(fā)送期間中，在包含由通信裝置進行的最早的采樣的定時和最晚的采樣的定時的規(guī)定期間，對通信線的電壓進行多次采樣。異常檢測裝置在通信系統(tǒng)所包含的多個通信裝置可進行采樣的期間，能夠監(jiān)視共用的通信線的電壓的變化等，能夠基于多次的采樣的結(jié)果進行異常檢測。

另外，在本發(fā)明中，異常檢測裝置在規(guī)定期間周期性地進行多次采樣，在本次的采樣結(jié)果與以前的采樣結(jié)果不同的情況下，即在規(guī)定期間中通信線的信號發(fā)生了變化的情況下，判斷為通信發(fā)生了異常。由此，能夠檢測對應(yīng)于特定的通信裝置的采樣定時而使信號變化所引起的信息篡改。

另外，在本發(fā)明中，在檢測到與通信相關(guān)的異常的情況下，異常檢測裝置向多個通信裝置進行通知。異常檢測裝置例如將can協(xié)議的錯誤幀對于通信線輸出等，通過進行規(guī)定的信息發(fā)送而能夠通知異常的發(fā)生。而且，在本通信系統(tǒng)中，通過基于異常檢測裝置的異常通知用的信息發(fā)送，在通信系統(tǒng)中的各通信裝置中阻礙信息的接收。由此，能夠防止篡改后的信息被通信裝置接收的情況。

發(fā)明效果

在本發(fā)明的情況下，異常檢測裝置能夠檢測利用了每個通信裝置的采樣定時的差異的信息篡改等的與通信相關(guān)的異常。

附圖說明

圖1是表示本實施方式的通信系統(tǒng)的結(jié)構(gòu)的示意圖。

圖2是表示ecu的結(jié)構(gòu)的框圖。

圖3是表示監(jiān)視裝置的結(jié)構(gòu)的框圖。

圖4是用于說明監(jiān)視裝置的監(jiān)視期間的示意圖。

圖5是用于說明監(jiān)視裝置的監(jiān)視處理的狀態(tài)轉(zhuǎn)換圖。

圖6是表示監(jiān)視裝置在同步狀態(tài)下進行的處理的次序的流程圖。

圖7是表示監(jiān)視裝置在第一監(jiān)視狀態(tài)下進行的處理的次序的流程圖。

圖8是表示監(jiān)視裝置在第二監(jiān)視狀態(tài)下進行的處理的次序的流程圖。

具體實施方式

以下，基于表示本發(fā)明的實施方式的附圖而具體地說明本發(fā)明。

<系統(tǒng)結(jié)構(gòu)>

圖1是表示本實施方式的通信系統(tǒng)的結(jié)構(gòu)的示意圖。本實施方式的通信系統(tǒng)具備搭載于車輛1的多個ecu3、及一個監(jiān)視裝置5而構(gòu)成。ecu3及監(jiān)視裝置5經(jīng)由鋪設(shè)于車輛1的共用的通信線而連接，能夠相互發(fā)送接收消息。在本實施方式中，將該通信線設(shè)為can總線，ecu3及監(jiān)視裝置5進行遵照can協(xié)議的通信。ecu3可以是例如進行車輛1的發(fā)動機的控制的發(fā)動機ecu、進行車身的電氣安裝件的控制的車身ecu、進行與abs(antilockbrakesystem：防抱制動系統(tǒng))相關(guān)的控制的abs-ecu、或者進行車輛1的氣囊的控制的氣囊ecu等那樣的各種電子控制裝置。監(jiān)視裝置5是監(jiān)視對于車內(nèi)網(wǎng)絡(luò)的不正當(dāng)?shù)南l(fā)送的裝置。監(jiān)視裝置5可以設(shè)置作為監(jiān)視專用的裝置，也可以是例如向網(wǎng)關(guān)等裝置附加了監(jiān)視的功能的結(jié)構(gòu)，而且還可以是例如向任一個ecu3附加了監(jiān)視的功能的結(jié)構(gòu)。

圖2是表示ecu3的結(jié)構(gòu)的框圖。需要說明的是，在圖2中，關(guān)于在車輛1設(shè)置的多個ecu3，抽出并圖示與通信相關(guān)的塊，各ecu3特有的與車輛控制等相關(guān)的塊省略圖示。圖2圖示的這些塊是多個ecu3共用而設(shè)置的塊。本實施方式的ecu3具備處理部31、rom(readonlymemory)32、ram(randomaccessmemory)33及can通信部34等而構(gòu)成。處理部31使用cpu(centralprocessingunit：中央處理單元)或mpu(micro-processingunit：微處理單元)等運算處理裝置而構(gòu)成。處理部31讀出存儲于rom32的程序并執(zhí)行，由此進行車輛1的各種信息處理或控制處理等。

rom32使用閃存或eeprom(electricallyerasableprogrammablerom：電可擦可編程序只讀存儲器)等非易失性的存儲器元件而構(gòu)成。rom32存儲有處理部31執(zhí)行的程序和由此進行的處理所需的各種數(shù)據(jù)。需要說明的是，存儲于rom32的程序及數(shù)據(jù)對于每個ecu3不同。ram33使用sram(staticrandomaccessmemory：靜態(tài)隨機存取存儲器)或dram(dynamicrandomaccessmemory：動態(tài)隨機存取存儲器)等的能夠進行數(shù)據(jù)改寫的存儲器元件而構(gòu)成。ram33存儲通過處理部31的處理而生成的各種數(shù)據(jù)。

can通信部34遵照can的通信協(xié)議，進行經(jīng)由can總線的與其他的ecu3或監(jiān)視裝置5的通信。can通信部34具有發(fā)送部35，該發(fā)送部35將從處理部31提供的發(fā)送用的信息變換成遵照can的通信協(xié)議的信號，并將變換后的信號向can總線輸出，由此進行向其他的ecu3或監(jiān)視裝置5的信息發(fā)送。而且，can通信部34具有接收部36，該接收部36通過對can總線的電位進行采樣，而取得其他的ecu3或監(jiān)視裝置5輸出的信號，并將該信號遵照can的通信協(xié)議變換成二值的信息，由此進行信息的接收。接收部36將接收到的信息向處理部31提供。

另外，can通信部34在自身的消息發(fā)送與其他的ecu3或監(jiān)視裝置5的消息發(fā)送發(fā)生沖突的情況下，進行調(diào)解先發(fā)送哪個消息的處理，所謂仲裁處理。在各ecu3發(fā)送的消息中，根據(jù)消息的類別而預(yù)先確定id。該id是作為數(shù)值而處理的信息，該值越小，則消息發(fā)送的優(yōu)先度越高。因此，在通信系統(tǒng)中，在can總線上多個消息發(fā)送發(fā)生沖突的情況下，進行優(yōu)先度最高的消息的發(fā)送，在該消息的發(fā)送完成后進行其他的消息的發(fā)送。需要說明的是，can通信部34進行的仲裁處理是現(xiàn)存的技術(shù)，因此省略詳細(xì)的處理次序的說明。

圖3是表示監(jiān)視裝置5的結(jié)構(gòu)的框圖。監(jiān)視裝置5具備處理部51、存儲部52及can通信部53等而構(gòu)成。處理部51使用cpu或mpu等運算處理裝置而構(gòu)成，讀出存儲于存儲部52的程序并執(zhí)行，由此進行監(jiān)視車輛1的ecu3的行為及通信等的處理。存儲部52使用閃存或eeprom等的能夠進行數(shù)據(jù)改寫的非易失性的存儲器元件而構(gòu)成。在本實施方式中，存儲部52將與在通信系統(tǒng)所包含的各ecu3接收消息時對can總線上的信號進行采樣的定時相關(guān)的信息存儲作為定時信息52a。

can通信部53遵照can的通信協(xié)議，進行經(jīng)由can總線的與ecu3的通信。can通信部53具有發(fā)送部54，該發(fā)送部54將從處理部51提供的發(fā)送用的信息變換成遵照can的通信協(xié)議的信號，并將變換后的信號向can總線輸出，由此進行向ecu3的信息發(fā)送。而且，can通信部53具有接收部55，該接收部55通過對can總線的電位進行采樣，來取得ecu3輸出的信號，并將該信號遵照can的通信協(xié)議而變換成二值的信息，由此進行信息的接收。接收部55將接收到的信息向處理部51提供。

另外，本實施方式的監(jiān)視裝置5的can通信部53還具有采樣部56及異常檢測部57作為通信系統(tǒng)的通信異常的檢測的功能塊。采樣部56在通信系統(tǒng)中經(jīng)由can總線發(fā)送接收的消息的一比特的發(fā)送期間中，進行多次can總線上的信號的采樣。需要說明的是，在以往的遵照can協(xié)議進行通信的ecu3中，在消息的一比特期間中進行一次采樣，通過該采樣結(jié)果進行消息接收。在本實施方式的通信系統(tǒng)中，監(jiān)視裝置5在一比特期間中進行多次采樣，由此能夠取得一比特期間中的信號的變化而進行異常檢測。

can通信部53的異常檢測部57基于采樣部56進行的多次的采樣結(jié)果，進行檢測通信系統(tǒng)中的通信的異常的處理。在本實施方式中，異常檢測部57在采樣部56每次進行采樣時取得其結(jié)果，并判定上次的采樣結(jié)果與本次的采樣結(jié)果是否一致。在兩采樣結(jié)果一致的情況下，異常檢測部57判斷為未發(fā)生異常，繼續(xù)進行采樣結(jié)果的取得及比較。相對于此，在兩采樣結(jié)果不一致的情況下，異常檢測部57判斷為通信發(fā)生了異常，并向處理部51通知。

在本實施方式中，在監(jiān)視裝置5的處理部51設(shè)有異常通知處理部61。異常通知處理部61可以是構(gòu)成作為硬件的功能塊的結(jié)構(gòu)，也可以是構(gòu)成作為軟件的功能塊的結(jié)構(gòu)。異常通知處理部61在從can通信部53的異常檢測部57提供了通信檢測到異常的內(nèi)容的通知時，進行向通信系統(tǒng)包含的各ecu3通知異常發(fā)生的處理。在本實施方式中，異常通知處理部61使can通信部53向can總線輸出錯誤幀，從而進行向ecu3的異常發(fā)生的通知。由此，通信發(fā)生了異常時發(fā)送的消息(數(shù)據(jù)幀等)因監(jiān)視裝置5的錯誤幀而發(fā)送受到阻礙。接收到錯誤幀的各ecu3將這以前進行了接收處理的消息廢棄。由此，能夠防止有可能包含異常的消息被ecu3接收的情況。

<監(jiān)視處理>

在本實施方式的通信系統(tǒng)中，關(guān)于ecu3對can總線輸出的消息，監(jiān)視裝置5監(jiān)視異常的有無。需要說明的是，監(jiān)視裝置5的監(jiān)視可以例如始終進行，而且也可以例如對于附有特定的id的消息發(fā)送來進行。在本實施方式中，監(jiān)視裝置5始終進行監(jiān)視。

在本通信系統(tǒng)中發(fā)送接收的消息是顯性(0)/隱性(1)的二值的數(shù)字?jǐn)?shù)據(jù)遍及多個比特相連的消息，是所謂can協(xié)議的數(shù)據(jù)幀等。在通信系統(tǒng)中，預(yù)先確定對消息中所包含的一比特的數(shù)據(jù)進行發(fā)送的期間。監(jiān)視裝置5在一比特的發(fā)送期間中，在比該發(fā)送期間短的規(guī)定的監(jiān)視期間，研究該一比特的數(shù)據(jù)是否發(fā)生了變化，由此來監(jiān)視通信異常。

圖4是用于說明基于監(jiān)視裝置5的監(jiān)視期間的示意圖。can協(xié)議中的消息的一比特由4個期間(段)構(gòu)成。即，can協(xié)議的一比特由ss(同步段)、pts(傳播時間段)、pbs1(相位緩沖段1)及pbs2(相位緩沖段2)這4個段構(gòu)成。各段的長度(時間)決定作為基準(zhǔn)時間tq(timequantum)的整數(shù)倍。基準(zhǔn)時間tq是各ecu3的can通信部34生成的采樣用的時鐘信號的周期。需要說明的是，ss的長度確定為1tq。pts、pbs1及pbs2的長度可以對于每個ecu3設(shè)定不同的值。

ss是各ecu3用于進行同步的段，可期待信號的邊緣處于該段之中的情況。pts是用于吸收can總線上的信號延遲及雜音等的影響的段。pts可以在1tq～8tq的范圍內(nèi)設(shè)定。pbs1是信號的邊緣未進入ss之中時的用于保證誤差的段。pbs1可以在1tq～8tq的范圍內(nèi)設(shè)定，能延長或縮短sjw(同步跳躍幅度)的時間。pbs2是在迅速檢測到信號的邊緣的情況下縮短sjw的時間的段。pbs2可以在2tq～8tq的范圍內(nèi)設(shè)定。需要說明的是，各ecu3的can通信部34進行采樣的定時是從pbs1向pbs2轉(zhuǎn)移的定時。

例如在圖4中，本實施方式的通信系統(tǒng)包含5個ecu3(以下，區(qū)別記載作為ecu3a～3e)，示出各ecu3a～3e的段結(jié)構(gòu)。ecu3a中，ss為1tq，pts為3tq，pbs1為4tq，pbs2為8tq。ecu3b中，ss為1tq，pts為6tq，pbs1為7tq，pbs2為2tq。ecu3c中，ss為1tq，pts為4tq，pbs1為5tq，pbs2為6tq。ecu3d中，ss為1tq，pts為5tq，pbs1為6tq，pbs2為4tq。ecu3e中，ss為1tq，pts為4tq，pbs1為6tq，pbs2為5tq。需要說明的是，這些段的長度是一例，并不局限于此。

本實施方式的監(jiān)視裝置5將監(jiān)視的通信系統(tǒng)所包含的與各ecu3a～3e的段結(jié)構(gòu)相關(guān)的信息作為定時信息52a而存儲于存儲部52。監(jiān)視裝置5的can通信部53基于存儲于存儲部52的定時信息52a，來決定進行通信異常的監(jiān)視的監(jiān)視期間?；诟鱡cu3a～3e的can通信部34的采樣定時是從pbs1向pbs2轉(zhuǎn)移的定時。由此，在本例中，最早進行基于ecu3a的采樣，最晚進行基于ecu3b的采樣。監(jiān)視裝置5的can通信部53以包含最早的采樣定時和最晚的采樣定時的方式?jīng)Q定監(jiān)視期間。需要說明的是，在本實施方式中，將使設(shè)定有最早的采樣定時的ecu3a的pbs1及pbs2相加而得到的期間作為基于監(jiān)視裝置5的can通信部53的監(jiān)視期間。需要說明的是，在因某些理由而pbs1或pbs2的期間延長或縮短的情況下，該監(jiān)視期間與之相伴地延長或縮短。

在進行了基于ecu3的消息發(fā)送的情況下，監(jiān)視裝置5的can通信部53關(guān)于消息的各比特來進行監(jiān)視期間的監(jiān)視。can通信部53的采樣部56在監(jiān)視期間中以每1tq一次的頻度，對can總線上的信號進行采樣。在圖4所示的例子中，監(jiān)視期間是pbs1的4tq+pbs2的8tq，因此采樣部56在監(jiān)視期間中總計進行12次的采樣。采樣部56的采樣結(jié)果向異常檢測部57提供。

異常檢測部57從監(jiān)視期間中的取得了采樣部56的第二次的采樣結(jié)果的時點開始檢測處理。異常檢測部57判定上次的采樣結(jié)果與本次的采樣結(jié)果是否一致。在兩采樣結(jié)果不一致的情況下，異常檢測部57判斷為通信發(fā)生了異常，向處理部51通知檢測到異常的內(nèi)容。在兩采樣結(jié)果一致的情況下，異常檢測部57將上次的采樣結(jié)果廢棄而存儲本次的采樣結(jié)果，并繼續(xù)進行異常檢測處理直至監(jiān)視期間結(jié)束為止。

在本實施方式中，需要采樣部56的12次的采樣結(jié)果全部一致，即，需要12次的采樣結(jié)果全部為顯性(0)或者全部為隱性(1)。在12次的采樣結(jié)果中哪怕包含一次不同的值的情況下，監(jiān)視裝置5就判斷為通信發(fā)生了異常。

從can通信部53的異常檢測部57被通知了檢測出異常的處理部51進行異常通知處理部61對于通信系統(tǒng)中的全部的ecu3通知異常發(fā)生的處理。在本實施方式中，異常通知處理部61使can通信部53發(fā)送can協(xié)議中的錯誤幀，由此對于全部的ecu3通知異常發(fā)生。即使在基于ecu3的消息(數(shù)據(jù)幀)的發(fā)送中，也以將其重寫的形態(tài)進行錯誤幀的發(fā)送。監(jiān)視裝置5發(fā)送的錯誤幀被經(jīng)由can總線連接的全部的ecu3接收。由此，能夠阻礙檢測到異常的消息被ecu3接收的情況。

<狀態(tài)轉(zhuǎn)換及流程圖>

圖5是用于說明基于監(jiān)視裝置5的監(jiān)視處理的狀態(tài)轉(zhuǎn)換圖。本實施方式的監(jiān)視裝置5的can通信部53一邊對同步狀態(tài)st0、第一監(jiān)視狀態(tài)st1及第二監(jiān)視狀態(tài)st2這3個狀態(tài)進行轉(zhuǎn)換，一邊進行監(jiān)視處理。需要說明的是，同步狀態(tài)st0相當(dāng)于消息的ss及pts的期間，第一監(jiān)視狀態(tài)st1相當(dāng)于pbs1的期間，第二監(jiān)視狀態(tài)st2相當(dāng)于pbs2的期間。can通信部53在監(jiān)視處理中使用用于對tq數(shù)進行計數(shù)的計數(shù)器，但是這可以利用設(shè)置在can通信部53內(nèi)的寄存器等的存儲區(qū)域來實現(xiàn)。而且，can通信部53與周期tq的采樣時鐘同步地進行監(jiān)視處理，對于每個1tq進行條件判定及狀態(tài)轉(zhuǎn)換等。

在開始了對于can總線的消息發(fā)送的情況下，can通信部53將計數(shù)器的值初始化為0，開始同步狀態(tài)st0下的處理。需要說明的是，在使基于can通信部53的監(jiān)視處理開始的消息發(fā)送中，除了搭載于車輛1的正規(guī)的ecu3的消息發(fā)送之外，還能夠包括例如對于can總線以不正當(dāng)?shù)姆椒ㄟB接的不正當(dāng)?shù)难b置的消息發(fā)送等。

在同步狀態(tài)st0下，can通信部53判定轉(zhuǎn)換條件1是否成立。轉(zhuǎn)換條件1是向第一監(jiān)視狀態(tài)st1進行狀態(tài)轉(zhuǎn)換的條件，在本例中，以計數(shù)器的值達到ss的tq數(shù)及pts的tq數(shù)的總計值的情況為條件。在轉(zhuǎn)換條件1不成立的情況下，can通信部53使計數(shù)器的值增加(向計數(shù)器的值加1)，并維持同步狀態(tài)st0。在轉(zhuǎn)換條件1成立的情況下，can通信部53將計數(shù)器的值初始化為0，將狀態(tài)向第一監(jiān)視狀態(tài)st1轉(zhuǎn)換。

在第一監(jiān)視狀態(tài)st1下，can通信部53判定轉(zhuǎn)換條件2是否成立。轉(zhuǎn)換條件2是向第二監(jiān)視狀態(tài)st2進行狀態(tài)轉(zhuǎn)換的條件，在本例中，以計數(shù)器的值達到pbs1的tq數(shù)的情況為條件。需要說明的是，在本實施方式中，監(jiān)視裝置5的各段的長度采用與在通信系統(tǒng)中以最早的定時進行采樣的ecu3a相同的值。即，根據(jù)圖4，監(jiān)視裝置5的ss為1tq，pts為3tq，pbs1為4tq，pbs2為8tq。由此，轉(zhuǎn)換條件2是計數(shù)器的值達到4。但是，該段長度是一例，也可以采用其他的值。

在轉(zhuǎn)換條件2不成立的情況下，can通信部53判定是否為第一監(jiān)視狀態(tài)st1下的第一次的處理。can通信部53根據(jù)計數(shù)器的值是否為0，能夠判定是否為第一次的處理。在為第一次的處理的情況下，can通信部53進行采樣部56對can總線的信號的采樣，取得采樣結(jié)果并存儲于內(nèi)部的寄存器等，并使計數(shù)器增加，維持第一監(jiān)視狀態(tài)st1。

在為第二次以后的處理的情況下，can通信部53取得采樣部56的采樣結(jié)果，并判定上次的采樣結(jié)果與本次的采樣結(jié)果是否一致。在兩采樣結(jié)果一致的情況下，can通信部53將上次的采樣結(jié)果廢棄而存儲本次的采樣結(jié)果，并使計數(shù)器增加，維持第一監(jiān)視狀態(tài)st1。在兩采樣結(jié)果不一致的情況下，can通信部53向處理部51進行檢測到異常的內(nèi)容的通知，結(jié)束監(jiān)視處理。需要說明的是，can通信部53在結(jié)束監(jiān)視處理的情況下，可以從圖5所示的狀態(tài)轉(zhuǎn)換脫離，也可以維持第一監(jiān)視狀態(tài)st1。

在轉(zhuǎn)換條件2成立的情況下，can通信部53將計數(shù)器的值初始化為0，將狀態(tài)向第二監(jiān)視狀態(tài)st2轉(zhuǎn)換。在第二監(jiān)視狀態(tài)st2下，can通信部53判定轉(zhuǎn)換條件3是否成立。轉(zhuǎn)換條件3是向同步狀態(tài)st0進行狀態(tài)轉(zhuǎn)換的條件，在本例中，以計數(shù)器的值達到pbs2的tq數(shù)的情況為條件。需要說明的是，在本實施方式中，轉(zhuǎn)換條件2是計數(shù)器值達到8。

在轉(zhuǎn)換條件3不成立的情況下，can通信部53取得采樣部56的采樣結(jié)果，并判定上次的采樣結(jié)果與本次的采樣結(jié)果是否一致。在兩采樣結(jié)果一致的情況下，can通信部53將上次的采樣結(jié)果廢棄而存儲本次的采樣結(jié)果，并使計數(shù)器增加，維持第二監(jiān)視狀態(tài)st2。在兩采樣結(jié)果不一致的情況下，can通信部53向處理部51進行檢測到異常的內(nèi)容的通知，結(jié)束監(jiān)視處理。需要說明的是，can通信部53在結(jié)束監(jiān)視處理的情況下，可以從圖5所示的狀態(tài)轉(zhuǎn)換脫離，也可以維持第二監(jiān)視狀態(tài)st2。在轉(zhuǎn)換條件3成立的情況下，can通信部53將計數(shù)器的值初始化為0，將狀態(tài)向同步狀態(tài)st0轉(zhuǎn)換。

這樣can通信部53對3個狀態(tài)進行轉(zhuǎn)換而進行處理，由此能夠?qū)⑾⒌囊槐忍刂械膒bs1及pbs2作為監(jiān)視期間來監(jiān)視can總線上的信號的變化，能夠檢測與通信相關(guān)的異常。

圖6是表示監(jiān)視裝置5在同步狀態(tài)st0下進行的處理的次序的流程圖。需要說明的是，監(jiān)視裝置5的can通信部53例如與采樣時鐘等同步地，以1tq一次的頻度執(zhí)行本流程圖所示的處理。在同步狀態(tài)st0下，can通信部53判定轉(zhuǎn)換條件1是否成立(步驟s1)。在轉(zhuǎn)換條件1不成立的情況下(s1：否)，can通信部53使計數(shù)器增加(步驟s2)，并結(jié)束處理。在轉(zhuǎn)換條件1成立的情況下(s1：是)，can通信部53將計數(shù)器的值初始化為0(步驟s3)，將狀態(tài)向第一監(jiān)視狀態(tài)st1轉(zhuǎn)換(步驟s4)，結(jié)束處理。

圖7是表示監(jiān)視裝置5在第一監(jiān)視狀態(tài)st1中進行的處理的次序的流程圖。在第一監(jiān)視狀態(tài)st1下，can通信部53首先進行采樣部56對can總線的信號的采樣，取得采樣結(jié)果(步驟s11)。接下來，can通信部53判定轉(zhuǎn)換條件2是否成立(步驟s12)。

在轉(zhuǎn)換條件2不成立的情況下(s12：否)，can通信部53基于計數(shù)器的值，判定是否為第一監(jiān)視狀態(tài)st1下的第一次的處理(步驟s13)。在為第一次的處理的情況下(s13：是)，can通信部53將由步驟s11取得的采樣結(jié)果存儲于內(nèi)部的寄存器等(步驟s14)，使計數(shù)器增加(步驟s15)，并結(jié)束處理。

在不是第一次的處理的情況下，即為第二次以后的處理的情況下(s13：否)，can通信部53將上次的采樣結(jié)果與本次的采樣結(jié)果進行比較，判定兩采樣結(jié)果是否一致(步驟s16)。在兩采樣結(jié)果一致的情況下(s16：是)，can通信部53將由步驟s11取得的采樣結(jié)果存儲于內(nèi)部的寄存器等(步驟s14)，使計數(shù)器增加(步驟s15)，并結(jié)束處理。

在兩采樣結(jié)果不一致的情況下(s16：否)，can通信部53向處理部51通知檢測到異常的內(nèi)容(步驟s17)。can通信部53結(jié)束監(jiān)視處理(步驟s18)，并結(jié)束第一監(jiān)視狀態(tài)st1中的處理。

在轉(zhuǎn)換條件2成立的情況下(s12：是)，can通信部53將由步驟s11取得的采樣結(jié)果存儲于內(nèi)部的寄存器等(步驟s19)，將計數(shù)器的值初始化為0(步驟s20)。can通信部53將狀態(tài)向第二監(jiān)視狀態(tài)st2轉(zhuǎn)換(步驟s21)，結(jié)束處理。

圖8是表示監(jiān)視裝置5在第二監(jiān)視狀態(tài)st2下進行的處理的次序的流程圖。在第二監(jiān)視狀態(tài)st2下，can通信部53首先進行采樣部56對can總線的信號的采樣，取得采樣結(jié)果(步驟s31)。接下來，can通信部53判定轉(zhuǎn)換條件3是否成立(步驟s32)。

在轉(zhuǎn)換條件3不成立的情況下(s32：否)，將上次的采樣結(jié)果與本次的采樣結(jié)果進行比較，并判定兩采樣結(jié)果是否一致(步驟s33)。在兩采樣結(jié)果一致的情況下(s33：是)，can通信部53將由步驟s31取得的采樣結(jié)果存儲于內(nèi)部的寄存器等(步驟s34)，使計數(shù)器增加(步驟s35)，結(jié)束處理。

在兩采樣結(jié)果不一致的情況下(s33：否)，can通信部53向處理部51通知檢測到異常的內(nèi)容(步驟s36)。can通信部53結(jié)束監(jiān)視處理(步驟s37)，結(jié)束第二監(jiān)視狀態(tài)st2下的處理。

在轉(zhuǎn)換條件3成立的情況下(s32：是)，can通信部53將計數(shù)器的值初始化為0(步驟s38)，將狀態(tài)向同步狀態(tài)st0轉(zhuǎn)換(步驟s39)，結(jié)束處理。

<總結(jié)>

本實施方式的通信系統(tǒng)對于多個ecu3經(jīng)由共用的通信線而進行信息的發(fā)送接收的系統(tǒng)結(jié)構(gòu)，利用與該通信線連接的監(jiān)視裝置5進行與通信相關(guān)的異常檢測。各ecu3在一比特的信息的發(fā)送期間中，以規(guī)定的定時進行一次的采樣，由此來接收信息。但是，容許多個ecu3以不同的定時進行采樣的情況。監(jiān)視裝置5在一比特的信息的發(fā)送期間，在包含基于ecu3的最早的采樣的定時和最晚的采樣的定時的規(guī)定的監(jiān)視期間，對通信線的電壓進行多次采樣。監(jiān)視裝置5能夠在通信系統(tǒng)所包含的多個ecu3可進行采樣的期間監(jiān)視共用的通信線的電壓的變化等，能夠基于多次的采樣的結(jié)果進行異常檢測。

監(jiān)視裝置5在規(guī)定的監(jiān)視期間，周期性地進行多次采樣，在上次的采樣結(jié)果與本次的采樣結(jié)果不同的情況下，即在規(guī)定期間中通信線的信號變化的情況下，判斷為通信發(fā)生了異常。由此，能夠檢測對應(yīng)于特定的ecu3的采樣定時而使信號變化所引起的信息篡改。

另外，監(jiān)視裝置5在檢測到與通信相關(guān)的異常的情況下，向多個ecu3進行通知。監(jiān)視裝置5例如對于通信線輸出can協(xié)議的錯誤幀等，通過進行規(guī)定的信息發(fā)送而能夠通知異常的發(fā)生。而且，在本通信系統(tǒng)中，通過基于監(jiān)視裝置5的異常通知用的信息發(fā)送，在通信系統(tǒng)中的各ecu3中能阻礙信息的接收。由此，能夠防止篡改后的信息被ecu3接收的情況。

需要說明的是，在本實施方式中，設(shè)為監(jiān)視裝置5將各ecu3的段的長度及采樣定時等的信息作為定時信息52a而預(yù)先存儲于存儲部52的結(jié)構(gòu)，但是并不局限于此。例如監(jiān)視裝置5也可以是不存儲每個ecu3的定時等的信息而僅是存儲監(jiān)視期間的設(shè)定的結(jié)構(gòu)。而且，在本實施方式中，將監(jiān)視期間設(shè)為使pbs1及pbs2相加而得到的期間，但是并不局限于此。監(jiān)視期間例如在圖4中可以將最早的采樣定時設(shè)定作為開始時點并將最晚的采樣定時設(shè)定作為結(jié)束時點，也可以是除此以外的期間。而且，監(jiān)視裝置5設(shè)為在監(jiān)視期間中進行tq單位下的采樣(即，以1tq一次的頻度的采樣)的結(jié)構(gòu)，但是并不局限于此。監(jiān)視裝置5例如也可以設(shè)為以處理部31或cpu等生成的時鐘單位進行采樣的結(jié)構(gòu)，還可以設(shè)為以其他的周期進行采樣的結(jié)構(gòu)。

另外，監(jiān)視裝置5設(shè)為在監(jiān)視期間中將上次的采樣結(jié)果與本次的采樣結(jié)果進行比較來進行異常檢測的結(jié)構(gòu)，但是并不局限于此。監(jiān)視裝置5例如也可以在一監(jiān)視期間中預(yù)先保持初次的采樣結(jié)果，將初次的采樣結(jié)果與本次的采樣結(jié)果進行比較，在本次的采樣結(jié)果與初次的采樣結(jié)果不同的情況下判斷為發(fā)生了異常。監(jiān)視裝置5可以將本次的采樣結(jié)果與以前的采樣結(jié)果進行比較，在本次的采樣結(jié)果與以前的采樣結(jié)果不同的情況下，判斷為發(fā)生了異常。

另外，本實施方式的通信系統(tǒng)設(shè)為與ecu3不同的監(jiān)視裝置5進行異常檢測的結(jié)構(gòu)，但是并不局限于此。也可以具備對于通信系統(tǒng)所包含的多個ecu3中的任一個或多個ecu3進行異常檢測的功能。而且，監(jiān)視裝置5設(shè)為在檢測到與通信相關(guān)的異常的情況下發(fā)送錯誤幀而向ecu3通知異常的結(jié)構(gòu)，但是并不局限于此，也可以設(shè)為通過錯誤幀的發(fā)送以外的方法進行異常通知的結(jié)構(gòu)。而且，在本實施方式中，以搭載于車輛1的通信系統(tǒng)為例進行了說明，但是通信系統(tǒng)并不局限于向車輛1搭載的結(jié)構(gòu)，例如也可以是搭載于飛機或船舶等移動體的結(jié)構(gòu)，而且，例如還可以不是移動體而是設(shè)置于工廠、辦公室或?qū)W校等的結(jié)構(gòu)。

標(biāo)號說明

1車輛

3ecu(通信裝置)

5監(jiān)視裝置(異常檢測裝置)

31處理部

32rom

33ram

34can通信部

35發(fā)送部

36接收部

51處理部

52存儲部

52a定時信息

53can通信部

54發(fā)送部

55接收部

56采樣部

57異常檢測部(檢測部)

61異常通知處理部(通知部)