具体实施方式

以下参照图1～图4对本发明的一实施方式进行说明。图1是概略地示出具有本发明的实施方式的车辆控制装置100的车载通信网10的一例的图。如图1所示，车载通信网10具备控制车辆1的发动机2的发动机控制用ECU(发动机控制装置)20、控制转向操纵装置3的转向操纵控制用ECU30、控制仪表盘上的显示部4的显示控制用ECU(显示控制装置)40、中继各ECU20、30、40之间的通信以及与车外的通信(数据信号的收发)的网关50。本发明的实施方式的车辆控制装置100能够由网关50和转向操纵控制用ECU30构成。即，能够使车辆控制装置100具备的功能分散到网关50和转向操纵控制用ECU30而构成。以下说明车辆控制装置100由网关50和转向操纵控制用ECU30构成的例子。

发动机控制用ECU20、转向操纵控制用ECU30、显示控制用ECU40以及网关50经由CAN(Controller Area Network：控制器局域网络)通信线等串行通信线11能够相互通信地连接。更详细而言，构成车辆1的控制系统通信网的发动机控制用ECU20和转向操纵控制用ECU30与网关50经由串行通信线11a能够相互通信地连接，发动机控制用ECU20与转向操纵控制用ECU30经由串行通信线11a相互收发数据信号来执行协调控制。构成车辆1的信息系统通信网的显示控制用ECU40与网关50经由串行通信线11b能够相互通信地连接。发动机控制用ECU20和转向操纵控制用ECU30与显示控制用ECU40经由网关50相互收发数据信号来执行协调控制。

图2是对输入到网关50的数据帧进行说明的图。从各ECU20、30、40输入的数据信号、从车外输入的数据信号作为一个数据帧输入到网关50。如图2所示，数据帧包括表示数据帧的开始的SOF(Start Of Frame：帧起始)、表示发送源、发送目的地等的识别信息的ID、作为实体数据的数据字段、表示数据帧的结束的EOF(End Of Frame：帧结束)等。

发动机控制用ECU20和转向操纵控制用ECU30基于各数据帧的ID，从输入到串行通信线11a的数据帧中仅接收包括预先设定的应接收的ID的数据帧。由此，例如转向操纵控制用ECU30接收从发动机控制用ECU20发送出的发动机转速用于下一运算周期的处理，由此实现转向操纵控制用ECU30与发动机控制用ECU20的协调控制。此时数据帧也被输入到网关50，网关50也管理各ECU20、30对数据帧实施的中继。

同样地，发动机控制用ECU20、转向操纵控制用ECU30以及显示控制用ECU40基于各数据帧的ID，从输入到的串行通信线11a、11b的数据帧中仅接收包括预先设定的应接收的ID的数据帧。由此，例如转向操纵控制用ECU30接收从显示控制用ECU40发送出的显示信息用于运算处理，由此实现转向操纵控制用ECU30与显示控制用ECU40的协调控制。此时网关50管理各ECU20、30、40对数据帧实施的中继。

这样的车载通信网10，有时会受到因恶意第三方大量发送(输入)非法的数据帧而导致正常的数据帧的收发被干扰的攻击，也就是所谓的DoS攻击(Denial of Serviceattack)。当受到这样的DoS攻击时，与车载通信网10连接的各ECU20、30、40有可能无法正常工作，因此网关50停止数据帧的中继。另一方面，在判定为网关受到DoS攻击之前是车载通信网10被发送到非法数据帧，有可能由于该非法数据帧，例如转向操纵控制用ECU30发生非意图的转向操纵力。因此，为防止非意图的转向操纵力的产生，如下构成本发明的实施方式的车辆控制装置100。

图3是概略地示出图1的车载通信网10的各部分的主要部分构成的框图。如图3所示，网关50包括具有CPU等运算部51、ROM、RAM、硬盘等存储部52、其他外围电路的计算机而构成。运算部51具有信号读取部511、中继部512、判定部513、通信限制部514、输出部515作为功能性结构。存储部52具有ID存储部521作为功能性结构。

信号读取部511读取输入到车载通信网10的全部数据帧。读取到的数据帧不仅包括从车内的各ECU20、30、40输入的数据帧，还包括进行无线通信的未图示的TCU(远程控制装置)、经由能够连接诊断器等的未图示的DLC(数据链路连接器)从车外输入的数据帧。

中继部512向各ECU20、30、40中继由信号读取部511读取到的数据帧。更详细而言，中继部512基于由信号读取部511读取到的数据帧的ID确定发送目的地，向所确定的发送目的地转送(中继)数据帧。

判定部513判定由信号读取部511读取到的数据帧是否为非法数据帧。判定部513基于存储于ID存储部521的后述的ID列表，判定读取到的数据帧是否为非法数据帧。例如判定部513判定具有不在预先列出正规ID的ID列表中的ID的数据帧为非法数据帧。还有，判定部513在发送源为不明ID、ID实际存在但是不应该被发送的发送源的ID的情况下，或者一并存储自身接收的ID和其大概的发送周期，在以比所存储的发送周期短的周期接收具有该ID的数据帧的情况下，判定为非法数据帧。而且，判定部513还能够通过公知的方法判定是否为从被篡改了的ECU、非法的外部设备输入的非法数据帧，并基于此进行判定。

当由判定部513判定为数据帧为非法数据帧时，通信限制部514实施对车载通信网10的通信限制。更详细而言，通信限制部514禁止(停止)向车载通信网10的各ECU20、30、40的数据帧的中继，并断开车载通信网10与车外的通信。

当由判定部513判定为数据帧为非法数据帧时，输出部515向转向操纵控制用ECU30发送指示功能限制的数据帧。输出部515通过使用了MAC密钥的MAC算法将功能限制指令的数据帧加密生成消息认证码(Message Authentication Code：MAC)，将所生成的MAC和功能限制指令的数据帧一并向转向操纵控制用ECU30发送。通过发送赋予了MAC的数据帧，能够防止数据帧的篡改。

还有，当由判定部513判定为数据帧为非法数据帧时，输出部515向发动机控制用ECU20和显示控制用ECU40发送指示用于向车辆1的驾驶员报知由转向操纵装置3实施的辅助转矩(转向操纵力的辅助)被限制的规定报知动作的报知指令的数据帧。例如输出部515向发动机控制用ECU20第1报知指令的数据帧，向显示控制用ECU40输出第2报知指令的数据帧。当接收到第1报知指令的数据帧时，发动机控制用ECU20实施使车辆1的发动机2的转速降低的控制，以使车速下降。通过使发动机转速下降，从而使车速下降，由此能够使车辆1的驾驶员意识到发生了某种异常。当接收到第2报知指令的数据帧时，显示控制用ECU40实施使配置于车辆1的仪表盘的显示部4显示发生辅助转矩的限制的警告灯的控制。需要说明的是，输出部515在向转向操纵控制用ECU30发送功能限制指令的数据帧之前，向发动机控制用ECU20和显示控制用ECU40发送第1报知指令的数据帧和第2报知指令的数据帧。

ID存储部521存储列出正规的ECU的ID(正规ID)的ID列表。正规ID是在制造车辆1时与车辆ID一起在车辆1的各ECU设定的ID，是针对每一ECU而不同的ID。

如图3所示，转向操纵控制用ECU30包括具有CPU等运算部31、ROM、RAM、硬盘等存储部32、其他外围电路的计算机而构成。运算部31具有功能限制部311作为功能性结构。当接收到从网关50的输出部515输出的功能限制指令的数据帧时，功能限制部311限制对利用由驾驶员操作的转向操纵装置3的转向操纵(转向盘3a的旋转操作)的辅助功能。例如使附加于转向机构的辅助转矩的产生量减少，使转向操纵的辅助功能减小。

在这里，参照图1对转向操纵装置3进行简单地说明。如图1所示，转向操纵装置3具有由驾驶员旋转操作的转向盘3a、转向操纵用马达3b、与转向盘3a一体旋转的转向轴3c、根据转向轴3c的旋转使车轮1a、1b转向的转向齿轮箱3d。转向盘3a、转向轴3c以及转向齿轮箱3d构成转向机构，转向操纵用马达3b将与转向盘3a的旋转相应的辅助转矩附加于转向轴3c，从而辅助驾驶员对转向盘3a的旋转操作。例如转向操纵用马达3b赋予转向盘3a变得容易旋转的旋转力，并赋予转向盘3a的操作量越大而向驾驶员赋予越大的操作反作用力那样的旋转力。根据转向盘3a的操作量产生操作反作用力，由此防止驾驶员不必要地过度旋转转向盘3a。

转向操纵用马达3b经由未图示的逆变器与电池1c连接，由从电池1c供给的电力驱动。转向操纵用马达3b由功能限制部311控制从电池1c供给的电力。即由功能限制部311控制转向操纵用马达3b的驱动，并控制附加于转向轴3c的辅助转矩。

当收到功能限制指令的数据帧时，功能限制部311以向转向操纵用马达3b供给的电力比收到功能限制指令的数据帧之前减少的方式控制向转向操纵用马达3b的电力供给。即，当接收到功能限制指令的数据帧时，功能限制部311通过使向转向操纵用马达3b的电力供给减少，来减少附加于转向轴3c的辅助转矩。由此，即使在例如有可能因输入到车载通信网1的非法数据帧而转向操纵用马达3b产生不必要的动作的情况下，附加于转向轴3c的辅助转矩在减小，因此抑制转向操纵用马达3b的辅助量急剧变化，能够防止发生非意图的转向操纵。

当接收到功能限制指令的数据帧时，功能限制部311还可以停止向转向操纵用马达3b的电力供给。通过停止向转向操纵用马达3b的电力供给，从而停止转向操纵用马达3b的转向操纵的辅助功能，能够更可靠地防止发生非意图的转向操纵。

如图3所示，发动机控制用ECU20包括具有CPU等运算部21、ROM、RAM、硬盘等存储部22、其他外围电路的计算机而构成。运算部21具有报知动作部211作为功能性结构。当接收到从网关50的输出部515输出的第1报知指令的数据帧时，报知动作部211实施使发动机2的转速下降的控制，以使车辆1的车速下降。车辆1的驾驶员根据车速下降能够意识到有可能发生了某种异常，也能够容易地对应之后发生的转向操纵的辅助功能的限制。

显示控制用ECU40包括具有CPU等运算部41、ROM、RAM、硬盘等存储部42、其他外围电路的计算机而构成。运算部41具有报知动作部411作为功能性结构。当接收到从网关50的输出部515输出的第2报知指令的数据帧时，报知动作部411以在配置于车辆1的仪表盘的显示部4显示转向操纵力的辅助限制的警告灯的方式控制显示部4。车辆1的驾驶员通过在显示部4显示转向操纵力的辅助限制的警告灯，也能够容易地对应之后发生的转向操纵的辅助功能的限制。

图4是示出由图3的网关50执行的对非法数据帧的处理的一例的流程图。图4所示的处理，当数据帧输入到串行通信线11a、11b时开始，反复执行。

首先在S1(S：处理步骤)中，通过在信号读取部511的处理，读取输入的数据帧的ID(识别信息)。接下来在S2中，通过在判定部513的处理，判定所输入的数据帧是否为非法数据帧。当S2为否定(S2：否)时，在S3中，通过在中继部512的处理，基于数据帧的ID，向发送目的地转送(中继)数据帧。

另一方面，当S2为肯定(S2：是)时，在S4中，通过在输出部515的处理，向发动机控制用ECU20输出第1报知指令的数据帧。接下来在S5中，通过在输出部515的处理，向显示控制用ECU40输出第2报知指令的数据帧。需要说明的是，S4和S5可以同时执行，也可以是顺序相反。

接下来在S6中，通过在输出部515的处理，向转向操纵控制用ECU30输出功能限制指令的数据帧。接下来在S7中，通过在通信限制部514的处理，禁止(停止)向车载通信网10的各ECU20、30、40的数据帧的中继，并断开车载通信网10与车外的通信。

说明本实施方式的车辆控制装置100的主要动作。当网关50从输入到车载通信网10的数据帧(数据信号)检测到非法数据帧时(S2)，向转向操纵控制用ECU30发送功能限制指令的数据帧(S6)。当接收到功能限制指令的数据帧时，转向操纵控制用ECU30控制向转向操纵用马达3b的电力供给，以使向转向操纵用马达3b供给的电力比接收到功能限制指令的数据帧之前减少。

此时网关50在向转向操纵控制用ECU30发送功能限制指令的数据帧之前，向发动机控制用ECU20和显示控制用ECU40发送指示报知动作的报知指令的数据帧。

采用本实施方式能够起到如下的作用效果。

(1)车辆控制装置100具备：转向操纵控制用ECU30，其与搭载于车辆1的车载通信网10连接，对将与转向操纵相应的辅助转矩附加于转向机构的转向操纵用马达3b进行控制；和网关50，其检测输入到车载通信网10的非法信号。当由网关50判定为输入到车载通信网10的数据帧为非法数据帧(检测到非法数据帧)时，转向操纵控制用ECU30限制来自转向操纵用马达3b的辅助转矩。

通过该构成，即使在因输入到车载通信网10的非法数据帧而转向操纵用马达3b有可能发生不必要的动作的情况下，也在限制着附加于转向轴3c的辅助转矩，因此例如限制来自转向操纵用马达3b的辅助量急剧变化，能够防止发生非意图的转向操纵。

(2)当由网关50判定为非法数据帧时，转向操纵控制用ECU30控制向转向操纵用马达3b的电力供给，以使向转向操纵用马达3b供给的电力比未检测到非法数据帧时减少。由此，附加于转向轴3c的辅助转矩减小，因此抑制来自转向操纵用马达3b的辅助量急剧变化。其结果是，能够防止发生非意图的转向操纵。

(3)当由网关50检测到非法信号时，转向操纵控制用ECU30停止向转向操纵用马达3b的电力供给。由此，通过停止向转向操纵用马达3b的电力供给，从而停止转向操纵用马达3b的转向操纵的辅助功能，能够更可靠地防止发生非意图的转向操纵。

(4)转向操纵控制用ECU30在实施了向驾驶员报知转向操纵用马达3b的转矩限制那样的报知动作之后，限制来自转向操纵用马达3b的辅助转矩。由此，通过发生报知动作，车辆1的驾驶员能够意识到有可能发生了某种异常，也能够容易地对应之后发生的转向操纵的辅助功能的限制。

(5)在车载通信网10连接有控制车辆1的发动机2的转速的发动机控制用ECU20。转向操纵控制用ECU30在发动机控制用ECU20使发动机2的转速下降的报知动作之后，限制转向操纵用马达3b的辅助转矩。由此，通过发动机2的转速下降从而车速降低，车辆1的驾驶员能够意识到有可能发生了某种异常，也能够容易地对应之后发生的转向操纵的辅助功能的限制。尤其是，通过车速下降，能够容易地识别出发生了某种异常。

(6)在车载通信网10连接有控制车辆1的仪表盘上的显示部4的显示的显示控制用ECU40。转向操纵控制用ECU30在显示控制用ECU40于显示部4显示规定的显示的报知动作后，限制转向操纵用马达3b的辅助转矩。由此，通过在显示部4显示转向操纵力的辅助停止的警告灯，车辆1的驾驶员也能够容易地对应之后发生的转向操纵的辅助功能的限制。尤其是，通过在显示部4显示，能够容易地识别出有可能发生了某种异常。

图5是示出本发明的实施方式的车辆控制装置的变形例的主要部分构成的框图。在在上述实施方式中，由转向操纵控制用ECU30和网关50构成了车辆控制装置，但也能够将车辆控制装置具有的功能仅搭载于转向操纵控制用ECU。以下说明将车辆控制装置具有的功能仅搭载于转向操纵控制用ECU的例子。需要说明的是，以下以与转向操纵控制用ECU30不同的点为中心进行说明，关于与转向操纵控制用ECU30相同的构成，标记与转向操纵控制用ECU30相同的附图标记，省略其说明。

如图5所示，转向操纵控制用ECU30A的运算部31A具有信号读取部312、判定部313、输出部314、功能限制部311作为功能性结构。存储部32A具有ID存储部321作为功能性结构。

信号读取部312读取输入到串行通信线11a的数据帧。判定部313判定由信号读取部312读取到的数据帧是否为非法数据帧。判定部313基于存储于ID存储部321的ID列表，判定读取到的数据帧是否为非法数据帧。例如判定部313判定具有不在预先列出正规ID的ID列表中的ID的数据帧为非法数据帧。还有，判定部313在发送源为不明的ID、ID实际存在但是不应该发送的发送源的ID的情况下，或者一并存储自身接收的ID和其大概的发送周期，在以比存储的发送周期短的周期接收具有该ID的数据帧的情况下，判定为是非法数据帧。并且，判定部313还能够通过公知的方法判定是否为从被篡改了的ECU、非法的外部设备输入的非法数据帧，并基于此进行判定。

当由判定部313判定为数据帧为非法数据帧时，输出部314向发动机控制用ECU20和显示控制用ECU40发送指示向车辆1的驾驶员报知来自转向操纵装置3的辅助转矩(转向操纵力的辅助)被限制的、规定的报知动作的报知指令的数据帧。例如输出部515向发动机控制用ECU20输出第1报知指令的数据帧，向显示控制用ECU40输出第2报知指令的数据帧。经由网关50向显示控制用ECU40输出第2报知指令的数据帧。

当由判定部313判定为数据帧是非法数据帧时，功能限制部311限制对利用由驾驶员操作的转向操纵装置3的转向操纵的辅助功能。

图6是示出由图5的转向操纵控制用ECU执行的对非法数据帧的处理的一例的流程图。图6所示的处理，当数据帧输入到串行通信线11a时开始，反复执行。

首先在S11中，通过在信号读取部312的处理，读取输入的数据帧的ID(识别信息)。接下来在S12中，通过在判定部313的处理，判定输入的数据帧是否为非法数据帧。当S12为否定(S12：否)时，在S13中执行协调控制。

另一方面，当S12为肯定(S12：是)时，在S14中，通过在输出部314的处理，向发动机控制用ECU20输出第1报知指令的数据帧。接下来在S15中，通过在输出部314的处理，向显示控制用ECU40输出第2报知指令的数据帧。需要说明的是，S14和S15可以同时执行，也可以是顺序相反。接下来在S16中，通过在功能限制部311的处理，限制对利用转向操纵装置3的转向操纵的辅助功能。

在上述实施方式中，车辆控制装置100具备网关50和转向操纵控制用ECU30而构成，但车辆控制装置具备控制转向操纵用马达的转向操纵控制部和检测输入到车载通信网的非法信号的非法信号检测部即可。

上述实施方式将与转向盘3a的旋转相应的辅助转矩附加于转向轴3c，从而辅助转向盘3a的旋转操作，但还可以是将与转向盘3a的旋转相应的辅助转矩附加于转向齿轮箱3d，从而辅助转向盘3a的旋转操作的构成。即，转向操纵用马达可以是转向用马达。

既能够任意组合上述实施方式和变形例的一个或者多个，也能够将各变形例彼此进行组合。

采用本发明，能够在非法信号输入到车载通信网时防止发生非意图的转向操纵。

上文结合优选实施方式对本发明进行了说明，本领域技术人员应理解为能够在不脱离后述权利要求书的公开范围的情况下进行各种修改和变更。