CN110612527A - 信息处理装置以及异常应对方法 - Google Patents
信息处理装置以及异常应对方法 Download PDFInfo
- Publication number
- CN110612527A CN110612527A CN201880030839.6A CN201880030839A CN110612527A CN 110612527 A CN110612527 A CN 110612527A CN 201880030839 A CN201880030839 A CN 201880030839A CN 110612527 A CN110612527 A CN 110612527A
- Authority
- CN
- China
- Prior art keywords
- information
- abnormality
- information processing
- abnormal state
- vehicle
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000010365 information processing Effects 0.000 title claims abstract description 150
- 238000000034 method Methods 0.000 title claims abstract description 123
- 230000005856 abnormality Effects 0.000 title claims abstract description 114
- 230000010485 coping Effects 0.000 title claims description 32
- 230000002265 prevention Effects 0.000 claims abstract description 143
- 238000012545 processing Methods 0.000 claims abstract description 134
- 230000008569 process Effects 0.000 claims abstract description 80
- 239000000284 extract Substances 0.000 claims description 14
- 230000002159 abnormal effect Effects 0.000 description 211
- 238000004891 communication Methods 0.000 description 49
- 230000007704 transition Effects 0.000 description 35
- 230000006870 function Effects 0.000 description 34
- 238000000605 extraction Methods 0.000 description 29
- 238000010586 diagram Methods 0.000 description 16
- 230000000694 effects Effects 0.000 description 10
- 238000012544 monitoring process Methods 0.000 description 7
- 238000012546 transfer Methods 0.000 description 6
- 230000008859 change Effects 0.000 description 4
- 238000001514 detection method Methods 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 230000003068 static effect Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000015556 catabolic process Effects 0.000 description 2
- 239000000470 constituent Substances 0.000 description 2
- 238000006731 degradation reaction Methods 0.000 description 2
- 238000003745 diagnosis Methods 0.000 description 2
- 230000002411 adverse Effects 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W60/00—Drive control systems specially adapted for autonomous road vehicles
- B60W60/001—Planning or execution of driving tasks
- B60W60/0015—Planning or execution of driving tasks specially adapted for safety
- B60W60/0018—Planning or execution of driving tasks specially adapted for safety by employing degraded modes, e.g. reducing speed, in response to suboptimal conditions
- B60W60/00188—Planning or execution of driving tasks specially adapted for safety by employing degraded modes, e.g. reducing speed, in response to suboptimal conditions related to detected security violation of control systems, e.g. hacking of moving vehicle
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C5/00—Registering or indicating the working of vehicles
- G07C5/008—Registering or indicating the working of vehicles communicating information to a remotely located station
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C5/00—Registering or indicating the working of vehicles
- G07C5/08—Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
- G07C5/0816—Indicating performance data, e.g. occurrence of a malfunction
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
- H04W4/48—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40267—Bus for use in transportation systems
- H04L2012/40273—Bus for use in transportation systems the transportation system being a vehicle
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Automation & Control Theory (AREA)
- Mechanical Engineering (AREA)
- Computing Systems (AREA)
- Transportation (AREA)
- Human Computer Interaction (AREA)
- Technology Law (AREA)
- Health & Medical Sciences (AREA)
- Multimedia (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
- Traffic Control Systems (AREA)
Abstract
车辆的车载系统中包含的信息处理装置(10)具备:信息取得部(120),其收集与车辆中发生的异常有关的异常信息(171);判定部(130),其基于异常信息(171)确定所发生的异常的发生源;以及波及防止处理部(150),其对判定部(130)确定出的对象执行用于限制预定的功能的波及防止处理。
Description
技术领域
本发明涉及信息处理装置以及异常应对方法,适合应用于由车载系统中搭载或者与车载系统连接的信息处理装置检测异常的信息处理装置以及该信息处理装置进行的异常应对方法。
背景技术
近年来,汽车的车载系统经由网络(具体而言,例如互联网、BLUETOOTH(注册商标)、Wi-Fi(注册商标)、或者传感器类等)与中心系统(以下,称为中心)或车外的装置连接,由此不断对用户提供各种服务。而且,在这样的车载系统中,与以往的封闭的车载系统不同,防备来自外部的安全攻击变得重要。
并且,在与网络连接的上述那样的车载系统中,由于正在研究OSS(Open-SourceSoftware:开源软件)对信息处理装置的应用、智能手机或在售后服务应用中未保证安全的设备的连接,所以更加担心利用漏洞进行的安全攻击。
在此,在以往的车载系统中,考虑以下的异常应对方法:即在一部分的装置由于故障而失陷的情况下,也能够检测该异常,并通过故障安全(例如功能降级)能够维持行驶、转弯、停止等的行驶控制。例如,根据专利文献1所公开的车辆控制装置,在由异常检测部检测到特定的异常状态的情况下,基于行动计划所包含的事件中的在行驶控制部的控制中正在执行的事件的类别以及继正在执行的事件之后执行的预定的事件的类别中的一方或双方,来变更行驶控制部的控制内容,由此能够进行与车辆的状态对应的行驶控制。
现有技术文献
专利文献
专利文献1:国际公开第17/010264号
发明内容
发明要解决的课题
但是,在如专利文献1所公开的车辆控制装置那样,采用根据异常检测部检测到的特定的异常状态,来变更行驶控制部的控制内容这样的异常应对方法的情况下,在发生由安全攻击引起的异常时,可能难以将汽车的行驶状态保持为安全的状态。
更具体而言,在汽车发生了由安全攻击引起的异常的情况下,即使根据异常状态变更控制内容(例如从通常驾驶变更为降级驾驶),由于存在该安全攻击进一步侵害车载系统的可能性,所以安全攻击造成的影响有可能波及到例如构成降级驾驶的要素。在专利文献1所公开的车辆控制装置中,无法停止这样的安全攻击所造成的影响的波及,结果对汽车的行驶控制产生负面影响,有可能陷入危险状态。
本发明是考虑以上的点而做出的,提出一种即使在车载系统中产生了由安全攻击引起的异常的情况下,也能够将汽车的行驶控制保持为安全状态的信息处理装置以及异常应对方法。
用于解决课题的手段
在用于解决该课题的本发明中,提供了一种车辆的车载系统中包含的信息处理装置,其特征在于,具备:信息取得部,其收集与上述车辆中产生的异常有关的异常信息;判定部,其基于上述异常信息来确定所产生的异常的发生源;以及波及防止处理部,对于上述判定部确定出的对象执行用于限制预定的功能的波及防止处理。
另外,在用于解决这样的课题的本发明中,提供一种车辆的车载系统中包含的信息处理装置的异常应对方法,其特征在于,具备:信息取得步骤,收集与上述车辆中产生的异常有关的异常信息;判定步骤,基于上述异常信息确定产生的异常的发生源;以及波及防止处理步骤,对于通过上述判定步骤确定出的对象,执行用于限制预定的功能的波及防止处理。
发明效果
根据本发明,即使在车载系统中产生了由安全攻击引起的异常的情况下,也能够将汽车的行驶控制保持为安全状态。
附图说明
图1是表示本发明的第一实施方式的信息处理装置的功能结构例的框图。
图2是表示搭载了图1所示的信息处理装置的车辆的结构例的框图。
图3是表示图1所示的信息处理装置的硬件结构例的框图。
图4是表示异常应对处理的处理顺序的概要的流程图。
图5是用于对异常信息的数据结构例进行说明的图。
图6是用于对异常波及信息的数据结构例进行说明的图。
图7是用于对驾驶模式切换信息的数据结构例进行说明的图。
图8是表示驾驶模式影响度判定的处理顺序的一个例子的流程图。
图9是表示转移目标驾驶模式提取的处理顺序的一个例子的流程图。
图10是表示本发明的第二实施方式的信息处理装置中的异常应对处理的处理顺序的概要的流程图。
图11是表示波及防止处理判断的处理顺序的一个例子的流程图。
图12是用于对转移允许时间信息的数据结构例进行说明的图。
图13是用于对波及防止判断信息的数据结构例进行说明的图。
具体实施方式
以下,参照附图对本发明的实施方式进行详细描述。
此外,在以下的各实施方式中,作为本发明的异常应对方法的一个例子,说明以下的方法:在车载系统内与多个信息处理装置(或者车外的信息处理装置)可通信地连接的信息处理装置从各信息处理装置收集用于判断异常(也记载为异常状态)的信息,确定该异常的发生源以及波及目的地候补,并基于该确定进行波及防止处理。但是,本发明的技术思想并不限于该例子。例如,也可以应用于与车载系统内的多个信息处理装置可通信地连接的车外的信息处理装置。另外,各信息处理装置之间或者与车外的通信采用使用了众所周知的加密技术等的安全的通信线路即可,安全地分发、管理或者更新用于这些通信的加密用密钥以及种子即可。例如,可以在发动机启动时/停止时、产品开发时或者维护时等任意的定时进行分发、更新。
(1)第一实施方式
(1-1)信息处理装置的结构
图1是表示本发明的第一实施方式的信息处理装置的功能结构例的框图。如图1所示,作为功能结构,第一实施方式的信息处理装置10具备通信部110、信息取得部120、判定部130、驾驶模式候补提取部140、波及防止处理部150、驾驶模式决定部160以及关联信息存储部170。在关联信息存储部170中储存有异常信息171、异常波及信息172以及驾驶模式切换信息173。另外,信息处理装置10经由通信总线2与其他的信息处理装置(参照图2)可通信地连接。
这里,在对信息处理装置10的各功能结构进行说明之前,以硬件结构为中心对于与信息处理装置10有关的整体结构进行说明。
首先,对搭载信息处理装置10的车辆的结构进行说明。图2是表示搭载图1所示的信息处理装置的车辆的结构例的框图。如图2所示,信息处理装置10是搭载在汽车即车辆1中的多个信息处理装置之一,是所谓的车载系统内的信息处理装置之一。具体而言,信息处理装置10例如是ECU(Electrical Control Unit:电子控制单元)或GW-ECU(Gateway ECU:网关ECU)。信息处理装置10经由车内的通信总线2与其他的信息处理装置20(单个地说,例如为信息处理装置20A、20B、20C)可通信地连接。信息处理装置20与信息处理装置10相同,例如是ECU。
另外,如图2所例示的那样,车辆1具备OBD2接口22来作为汽车的自我故障诊断功能亦即OBD2(On Board Diagnosis second generation:车载诊断第二代)用通信接口,车辆1的信息处理装置10(或者信息处理装置20)经由OBD2接口22与外部的诊断工具23可通信地连接。另外,车辆1所具备的信息处理装置10、20的一部分(图2所例示的信息处理装置20C)经由互联网等网络与设置在外部的车外信息处理装置21(例如,外部中心的信息处理装置等)可通信地连接。
在从信息处理装置10来看这样的图2的结构时,不仅是车辆1内的信息处理装置20(20A、20B、20C),车辆1外部的车外信息处理装置21也能够视为与信息处理装置10可通信地连接的信息处理装置。因此,在以后的说明中,在表达为“能够与信息处理装置10通信的《其他的信息处理装置20》”的情况下,可包含上述车外信息处理装置21这样的车外的信息处理装置。
另外,在物理上通信总线2是多个通信总线,这些通信总线的规格既可以全部相同,也可以是不同的规格。作为通信总线2的规格,例如举出了CAN、LIN、Flex Ray、或者以太网(均是注册商标)等。
此外,在图2的车载系统中,示出了由以GW-ECU为中心连接了其他多个ECU的星型通信构成的例子,但是包含本实施方式的信息处理装置10的车载系统并不限于此,另外,例如可以是多个ECU(包含GW-ECU)分别相互连接的总线型通信的车载系统等。
接下来,对信息处理装置10的硬件结构进行说明。图3是表示图1所示的信息处理装置的硬件结构例的框图。
如图3所示,信息处理装置10具备CPU(Central Processing Unit:中央处理装置)11、存储器12、通信接口13以及输入输出接口14,它们分别通过通信总线15连接。存储器12是存储数据的存储介质,具体而言,例如相当于ROM、RAM等。此外,存储器12的至少一部分为非易失性的存储器。通信接口13是用于使信息处理装置10与其他的信息处理装置20之间进行通信的接口。输入输出接口14是用于信息处理装置10中的输入输出处理的接口,但是根据信息处理装置10的作用或功能,其未必是必须的结构。
信息处理装置10通过这些硬件的各结构的动作来实现图1所示的功能结构。具体而言,例如,通过CPU11、通信接口13实现通信部110,另外,通过CPU11在存储器12的RAM中展开并执行在存储器12的ROM中存储的预定的程序,来实现信息取得部120、判定部130、驾驶模式候补提取部140、波及防止处理部150以及驾驶模式决定部160。另外,关联信息存储部170通过非易失性的存储器12(具体而言,ROM、闪速存储器、HDD等)来实现。
接下来,对图1所示的信息处理装置10的各功能结构进行说明。
通信部110是具有与构成通信总线2的物理通信总线相同数量的连接端口的通信接口,进行信息处理装置10、20间的通信所需要的运算。结果,通信部110能够经由通信总线2与其他的信息处理装置20之间发送接收通信消息。
信息取得部120利用通信部110的通信,收集用于判断各信息处理装置(信息处理装置10或者其他的信息处理装置20)的异常状态的信息。“异常状态”例如相当于由安全攻击引起的异常状态。将信息取得部120收集到的信息作为异常信息171存储在关联信息存储部170。
判定部130基于信息取得部120收集到的异常信息171,判定异常状态导致的对当前的驾驶模式的影响,并且确定异常状态的发生源以及异常状态的波及目的地候补。
驾驶模式候补提取部140考虑由判定部130确定的异常状态的发生源以及波及目的地候补,提取驾驶模式的转移目标(转移目标驾驶模式)的候补。
波及防止处理部150通过对判定部130确定的异常状态的发生源以及波及目的地候补通知用于防止安全攻击造成的影响的波及的控制指令,来执行预定的波及防止处理。
驾驶模式决定部160从驾驶模式候补提取部140提取出的转移目标驾驶模式的候补中决定实际转移到的驾驶模式。
此外,在以下的说明中,将不进行车辆1的功能限制的驾驶模式称为“通常驾驶模式”,将进行车辆1的功能限制的驾驶模式称为“降级驾驶模式”。通常驾驶模式例如为能够进行自动驾驶的驾驶模式。关于降级驾驶模式,可以根据被限制的功能的组合准备多种降级驾驶模式(例如,图7所例示的降级驾驶模式A~C)。将在后面参照图7来进行详细叙述,在本实施方式中,在产生异常状态时要转移到的降级驾驶模式为构成要素中不包含由判定部130确定的异常状态的发生源(具体而言例如为发生部位、功能)而能够进行行驶控制的驾驶模式。而且,将用于表示驾驶模式是通常驾驶模式和降级驾驶模式中的哪个驾驶模式的信息存储在信息处理装置10所具备的非易失性存储器(例如关联信息存储部170)中,在停止向信息处理装置10供电时也保持存储状态。
关联信息存储部170存储本实施方式的信息处理装置10的异常应对处理中使用的信息。作为关联信息存储部170中存储的信息,例如有为了判断各信息处理装置10、20的异常状态而收集的异常信息171、用于预测异常状态的波及的异常波及信息172、以及用于驾驶模式的切换判断的驾驶模式切换信息173。关于这些各信息,在以后的图5、图6、图7中示出具体例。
(1-2)异常应对处理
本实施方式的信息处理装置10当在自身或其他的信息处理装置中检测到由安全攻击引起的异常状态的发生的情况下,执行不会产生该安全攻击造成的影响的波及,将行驶控制切换为安全的驾驶模式的“异常应对处理”。以下,对该异常应对处理进行详细描述。
图4是表示异常应对处理的处理顺序的概要的流程图。图4所示的处理将信息处理装置10的各功能结构作为执行主体,在硬件上主要由CPU11执行。
根据图4,首先,在步骤S101中,信息取得部120例如利用通信部110的通信,从通过通信总线2可通信地连接的其他的信息处理装置20取得日志信息,来收集与异常状态的判断相关的信息(异常信息171)。此时,信息取得部120例如还从自身的信息处理装置10取得与异常状态的判断有关的日志信息,由此来收集异常信息171。然后,将信息取得部120收集到的异常信息171存储在关联信息存储部170。
此外,在步骤S101中,作为来自“其他的信息处理装置20”的日志信息的收集,信息取得部120可以从能够经由互联网等网络进行通信的外部的中心(车外信息处理装置21)取得与异常状态的判断有关的日志信息。
在步骤S101中信息取得部120收集了异常信息171之后,进入步骤S102的处理,对于从步骤S101移至步骤S102的定时没有特别限定。例如,可以在步骤S101中,在信息取得部120取得了表示某异常状态的日志信息的时间点,进入步骤S102的处理。另外,例如,也可以设为在步骤S101中信息取得部120在预定期间内取得日志信息(收集异常信息171),在经过了预定时间时进入步骤S102的处理。
这里,参照图5对在步骤S101收集到的异常信息171的具体例进行说明。图5是用于对异常信息的数据结构例进行说明的图。图5(A)所例示的异常信息171A以及图5(B)所例示的异常信息171B均是日志信息的一个例子,例示了具有不同的数据结构的通信消息。
首先,图5(A)所示的异常信息171A是通信消息(日志信息)的发送源的信息处理装置(例如信息处理装置20)监视自身的信息处理装置中的异常状态,并且能够判定该异常状态的影响度时的通信消息的一个例子。根据图5(A),异常信息171A为具有异常状态用CANID1711、异常状态ID1712、以及异常程度1713的数据结构。
在异常状态用CAN ID1711记载表示是用于判断异常状态的消息的标识符(ID)。在异常状态用CAN ID1711,可以针对每个发送源的信息处理装置分配不同的ID。
在异常状态ID1712记载根据该异常状态的类别而预先分配的标识符。可根据异常状态ID1712确定的“异常状态的类别”也可以通过所发生的异常状态的种类来表示,但除此以外,例如也可以通过产生异常状态的部位(例如,以信息处理装置为单位)表示,或者通过产生了异常状态的功能(例如,制动、发动机控制或者传感器识别等以功能为单位)表示。另外,在异常度1713记载表示该异常状态的影响程度的值。
接下来,图5(B)所示的异常信息171B是通信消息(日志信息)的发送源的信息处理装置(例如信息处理装置20)仅监视自身的信息处理装置中的异常状态时(即,不进行该异常状态的影响度的判定时)的通信消息的一个例子。在取得了这样的通信消息的情况下,在信息取得部120侧判断异常状态的影响度即可。根据图5(B),异常信息171B成为具有异常状态用CAN ID1711、异常状态ID1712、监视类型1714以及监视结果1715的数据结构。
其中,异常状态用CAN ID1711以及异常状态ID1712与图5(A)所例示的异常信息171A中的异常状态用CAN ID1711以及异常状态ID1712相同,省略说明。
在监视类型1714记载检测到的异常状态的内容,例如,表示非法周期的通信消息的检测、认证的失败、通信量的增大、或者CPU或存储器的资源消耗状况等。另外,在监视结果1715记载与监视类型对应的监视结果,例如,表示与监视类型1714中记载的异常状态有关的产生次数、超过阈值的次数等。
此外,信息取得部120取得的日志信息(异常信息171)的数据结构并不局限于图5(A)、图5(B)的例子,除此以外,例如,也可以具有MAC(Message Authentication Code:消息认证码)这样的篡改检测用认证码,另外,例如,也可以包含通信用计数器、时刻信息等附加信息。
返回图4,从步骤S102的处理继续说明。
在步骤S102中,信息取得部120取得车辆1的当前的驾驶模式。在此,对于信息取得部120取得驾驶模式的具体处理,考虑以下那样的处理模式。
首先,在自身的信息处理装置10中正在管理驾驶模式的情况下,信息取得部120能够通过参照存储在存储器12中的适当的数据等,来取得当前的驾驶模式。
另一方面,在其他的信息处理装置20中正在管理驾驶模式的情况下,在步骤S102的定时,信息取得部120从该信息处理装置20取得当前的驾驶模式即可。除此以外,例如,也可以使信息取得部120定期地从该信息处理装置20取得最新的驾驶模式并存储到存储器12中,在步骤S102的定时,通过参照该存储的驾驶模式,作为当前的驾驶模式来取得。另外,例如,若在驾驶模式被变更的定时从管理驾驶模式的信息处理装置20向信息处理装置10通知变更内容,则可以在存储器12存储该通知的内容(也可以通过最新的通知内容进行更新),信息取得部120通过参照在步骤S102中存储在存储器12中的最新的通知内容来取得当前的驾驶模式。
接下来,在步骤S103中,判定部130使用在步骤S101中由信息取得部120收集到的异常信息171以及存储在关联信息存储部170的异常波及信息172,确定异常状态的发生源以及异常状态的波及目的地候补,并且判定该异常状态对当前的驾驶模式的影响度等(驾驶模式影响度判定)。将在后面参照图8来详细叙述驾驶模式影响度判定。
这里,参照图6对在步骤S103中参照的异常波及信息172的具体例子进行说明。
图6是用于对异常波及信息的数据结构例进行说明的图。根据图6,异常波及信息172A为具有异常状态ID1721、异常状态1722、驾驶模式影响1723、以及波及目的地候补1724的数据结构。
在异常状态ID1721记载根据异常状态的类别而分配的标识符,是与异常信息171(171A、171B)中的异常状态ID1712通用的标识符。如图5(A)、(B)中说明那样,可根据异常状态ID1721确定的“异常状态的类别”也可以通过产生的异常状态的种类来表示,除此以外,例如也可以通过产生异常状态的部位来表示,或者通过产生异常状态的功能表示。在图6的情况下,示出了通过产生异常状态的部位(发生部位)来表示的例子。
在异常状态1722中记载通过异常状态ID1721确定的异常状态的类别。如前面的段落所述那样,当在异常状态ID1721中记载用于确定异常状态的“发生部位”的标识符的情况下,在异常状态1722记载该“发生部位”。具体而言,在图6中,通过“ECU5”、“ECU7”等以信息处理装置为单位表示了异常状态的发生部位。
在驾驶模式影响1723中记载用于表示异常状态1722所示的异常状态是否对当前的驾驶模式造成影响的信息。具体而言,在图6中,“有”意味着具有对当前的驾驶模式的影响,“无”意味着没有对当前的驾驶模式的影响。例如当在异常状态1722中示出异常状态的发生部位的情况下,根据该发生部位设定驾驶模式影响1723。关于具体的设定方法,例如可以根据预先实施的安全分析的结果,基于异常状态的发生部位来设定影响的有无,还可以根据行驶中的状态来更新、设定影响的有无。
在波及目的地候补1724示出异常状态1722所示的异常状态有可能波及的装置等的候补。例如,在图6的第一行的数据栏的情况下,异常状态1722为“ECU5”,波及目的地候补1724为“全部的ECU”。这即是指在异常状态的发生部位是“ECU5”的情况下,该异常状态有可能波及车辆1内的全部的ECU(例如全部的信息处理装置20)。此外,基于异常状态1722的波及目的地候补1724的设定方法与上述基于异常状态1722的驾驶模式影响1723相同,例如,可以根据预先实施的安全分析的结果,基于异常状态的发生部位来设定波及目的地候补,还可以根据行驶中的状态来更新、设定波及目的地候补。
此外,在本实施方式的信息处理装置10中,可以针对每个驾驶模式设定异常波及信息172。此时,如果使图6所例示的异常波及信息172A为通常驾驶模式用的异常波及信息172,则在关联信息存储部170中与异常波及信息172A相区别地存储各降级驾驶模式用的异常波及信息172(未图示)。
返回图4的说明,在步骤S103中通过判定部130进行了驾驶模式影响度判定后,进行步骤S104的处理。
在步骤S104中,驾驶模式候补提取部140使用通过步骤S103的驾驶模式影响度判定而确定的信息(异常状态的发生源、波及目的地候补等)以及存储在关联信息存储部170中的驾驶模式切换信息173,提取即使产生了该异常状态也能够使用的驾驶模式,来作为考虑了异常状态造成的影响的驾驶模式的转移目标(转移目标驾驶模式的提取)。将在后面参照图9来详细叙述转移目标驾驶模式的提取。
在此,参照图7对在步骤S104中参照的驾驶模式切换信息173的具体例子进行说明。
图7是用于对驾驶模式切换信息的数据结构例进行说明的图。根据图7,驾驶模式切换信息173A成为具有如下内容的数据结构:示出驾驶模式的类别的驾驶模式1731、示出用于构成驾驶模式1731所示的驾驶模式的要素的一览的构成要素1732。
具体而言,在图7的情况下,在驾驶模式1731示出“通常驾驶模式”和3种“降级驾驶模式(降级驾驶模式A~C)”。作为这些各个驾驶模式的特征,例如,使通常驾驶模式为不进行车辆1的功能限制的最高性能(多功能)的驾驶模式,是能够进行自动驾驶的驾驶模式。另一方面,使降级驾驶模式为与通常驾驶模式相比某功能被限制的驾驶模式,在整体上来看被限制的功能时,按照降级驾驶模式A、B、C的顺序,功能的限制逐渐增大(成为距自动驾驶远的低性能)。
而且,在构成要素1732中,对于驾驶模式1731的各驾驶模式需要车辆1的多个构成要素中的哪个构成要素,由“〇”、“×”、“-”来表示。“〇”意味着在该驾驶模式中需要的构成要素(即,当在该构成要素中产生了异常状态时对该驾驶模式产生影响),“×”意味着即使在该构成要素中产生异常状态也不会对该驾驶模式造成影响。另外,“-”意味着不管该构成要素有无产生异常状态都不会对该驾驶模式造成影响。
此外,驾驶模式切换信息173并不局限于在图7的构成要素1732中如“ECU1”、“ECU2”···那样将车载系统的各装置设定为“构成要素”的单位,例如,也可以如制动、发动机控制或者传感器识别等那样以功能为单位设定“构成要素”。
接下来,在步骤S105中,波及防止处理部150对于通过步骤S103的驾驶模式影响度判定而确定的异常状态的发生源、波及目的地候补执行预定的波及防止处理,以防止该异常状态造成的影响。在该波及防止处理中,波及防止处理部150对于被确定为异常状态的发生源或波及目的地候补的装置(或者功能)中的至少一个以上的装置(或者功能)通知用于施加某些预定的功能性限制的控制指令。
对于通过波及防止处理进行的功能性限制,具体而言,例如,波及防止处理部150为了使异常状态的发生源装置(例如信息处理装置20A)不会引起非法行为,向该发生源装置通知关闭用指令,来切断该发生源装置的电源。另外,例如,也可以对异常状态的波及目的地候补装置(例如信息处理装置20B)通知使通信过滤器功能进行动作的指令,或者通知用于更新通信过滤器功能的白名单或黑名单的指令,使得不接受来自异常状态的发生源装置(例如信息处理装置20A)的通信。
此外,在波及防止处理部150的波及防止处理中,施加上述那样的限制的对象并不局限于其他的信息处理装置20,也可以对自身的信息处理装置10施加限制。
接下来,在步骤S106中,驾驶模式决定部160从在步骤S104中提取出的转移目标驾驶模式中选择(决定)更安全的驾驶模式来作为实际要转移到的驾驶模式。在此,驾驶模式决定部160能够考虑步骤S105的波及防止处理的执行状况,来选择、决定能够维持车辆1的安全的行驶控制的驾驶模式。
例如,本实施方式中的步骤S106的具体决定方法如下所示。
第一,当在步骤S104的转移目标驾驶模式提取中提取出的转移目标驾驶模式的候补被确定为一个时,驾驶模式决定部160将该确定的转移目标驾驶模式决定为实际要转移到的驾驶模式。
在通过该第一方法进行决定的情况下,在步骤S106中,驾驶模式决定部160可不进行复杂的处理地从在步骤S104中考虑异常状态的发生源以及波及目的地候补而提取出的转移目标驾驶模式的候补中简单地决定转移目标的驾驶模式。结果,得到以下的效果:对于异常状态的发生能够迅速地执行向安全的驾驶模式的切换。
第二,当在步骤S104的转移目标驾驶模式提取中提取出的转移目标驾驶模式的候补存在多个,并且步骤S105的波及防止处理已完成的情况下,驾驶模式决定部160从多个转移目标驾驶模式的候补中将更高级的(高性能的)驾驶模式决定为实际要转移到的驾驶模式。这里,更高级的驾驶模式例如是指在自动驾驶行驶中提供的功能更充实的驾驶模式。具体而言,在具有图7所例示的4个驾驶模式时,能够判断为通常驾驶模式是最高级的驾驶模式,降级驾驶模式A是次高级,再下一个是降级驾驶模式B,最不高级的驾驶模式是降级驾驶模式C。
在通过该第二方法进行决定的情况下,即使在步骤S104中考虑异常状态的发生源以及波及目的地候补而提取出的转移目标驾驶模式的候补有多个,也能够将其中最高级的驾驶模式决定为转移目标驾驶模式,因此即使对于异常状态降级为安全的驾驶模式,也能够期待将降级所导致的功能限制、驾驶员的负担抑制为最小限度的效果。
第三,当在步骤S104的转移目标驾驶模式提取中提取出的转移目标驾驶模式的候补存在多个,并且步骤S105的波及防止处理未完成的情况下,驾驶模式决定部160将与波及防止处理无关的安全的特定的驾驶模式决定为实际要转移到的驾驶模式。在此,“安全的特定的驾驶模式”例如可以是虽然提供的功能少,但是由与车辆1的外部没有联系的构成要素(装置或者功能)构成的驾驶模式,或者,例如也可以是由仅在发生异常状态时进行切换的其他系统的装置构成的驾驶模式。
通过该第三方法进行决定的情况是无法通过上述的第一方法或第二方法决定要转移到的安全的驾驶模式的情况,假定产生了严重的异常状态。因此,在这样的严重的异常状态时,通过决定为预先准备的“安全的特定的驾驶模式”,能够最优先地确保车辆1的乘员的安全。
最后,在步骤S107中,驾驶模式决定部160利用通信部110向用于控制驾驶模式的变更的装置(例如信息处理装置20中的任意一个)通知向步骤S106中决定的驾驶模式的转移指示。然后,接受了该通知的装置按照通知来变更驾驶模式,由此切换车辆1的驾驶模式。此外,在信息处理装置10自身是控制驾驶模式的变更的装置的情况下,信息处理装置10的驾驶模式变更控制部(未图示)将当前的驾驶模式切换为在步骤S106中决定的驾驶模式即可。
如以上所述,通过进行图4的步骤S101~S107的处理,来执行异常应对处理。
(1-3)驾驶模式影响度判定
对实施方式的信息处理装置10执行的异常应对处理中的驾驶模式影响度判定(图4的步骤S103)进行详细说明。
图8是表示驾驶模式影响度判定的处理顺序的一个例子的流程图。如在(1-2)中所述那样,图8所示的各处理由信息处理装置10的判定部130来执行。
另外,在关于图8的以下说明中,以在驾驶模式影响度判定中参照的异常信息171以及异常波及信息172中,可根据该信息确定的“异常状态的类别”由产生了异常状态的“部位”来表示的情况为例进行说明,但是如在(1-2)中所述那样,本实施方式并不局限于此,也能够置换为异常状态的“种类”、发生异常状态的“功能”。
根据图8,首先,判定部130判定在异常应对处理的步骤S101(参照图4)中收集到的异常信息171所示的异常状态是否对当前的驾驶模式造成影响(步骤S201)。
这里,若对步骤S201的处理进行详细说明,则首先,判定部130参照与在异常应对处理的步骤S102中取得的车辆1的当前的驾驶模式对应的异常波及信息172。具体而言,例如,设当前的驾驶模式为通常驾驶模式,参照图6所例示的异常波及信息172A。
接下来,判定部130从在异常应对处理的步骤S101收集到的异常信息171中取得产生的异常状态的异常状态ID1712。具体而言,例如,当收集到图5(A)所例示的异常信息171A时,取得“0x01”来作为异常状态ID1712。
而且,判定部130可通过在与当前的驾驶模式对应的异常波及信息172(异常波及信息172A)中,参照与发生的异常状态的异常状态ID“0x01”对应的驾驶模式影响1723,来判定发生的异常状态是否对当前的驾驶模式造成影响。在具体例子的情况下,在异常波及信息172A中与“0x01”的异常状态ID1721对应的驾驶模式影响1723为“有”,所以判定为对当前的驾驶模式造成影响。如果驾驶模式影响1723是“没有”,则判定为不会对当前的驾驶模式造成影响。
判定部130如此进行步骤S201的处理,在判定为对当前的驾驶模式造成影响的情况下(步骤S201为是),进行步骤S202的处理。当在步骤S201中判定为不会对当前的驾驶模式造成影响的情况下(步骤S201为否),进入步骤S203。
在步骤S202中,判定部130提取在步骤S201中判定为对当前的驾驶模式造成影响的异常状态的发生源(本说明的情况下,为异常状态的发生部位)。更具体而言,判定部130通过在与当前的驾驶模式对应的异常波及信息172(异常波及信息172A)中,参照与发生的异常状态的异常状态ID“0x01”对应的异常状态1722,来提取异常状态的发生部位(例如“ECU5”)。当步骤S202的处理结束时,进入步骤S203。
在步骤S203中,判定部130判定是否存在从异常状态的发生部位异常状态有可能波及的装置(波及目的地候补)。更具体而言,判定部130能够通过在步骤S201中参照的异常波及信息172A中,参照与“0x01”的异常状态ID1721对应的波及目的地候补1724,来判定有无波及目的地候补。
判定部130在判定为有波及目的地候补的情况下(步骤S203为是),提取判定出的波及目的地候补1724(步骤S204)。在步骤S204的处理后、或者在步骤S203中判定为没有波及目的地候补的情况下(步骤S203为否),进入步骤S205。
在步骤S205中,判定部130判定经过到此为止的步骤S201~S204的处理,是否提取出对当前的驾驶模式造成影响的异常状态的发生源(发生部位)以及从异常状态的发生源有可能波及的波及目的地候补中的至少任意一个。即,判定在步骤S202或步骤S204中,是否存在异常状态的发生源(发生部位)或者波及目的地候补的提取结果。
当在步骤S205中判定为有提取结果的情况下(步骤S205为是),意味着具有所发生的异常状态对当前的驾驶模式的影响等(包含异常状态波及到其他装置的可能性),判定部130结束驾驶模式影响度判定的处理。
另一方面,当在步骤S205中判定为没有提取结果的情况下(步骤S205为否),意味着虽然产生了异常状态,但没有该异常状态对当前的驾驶模式的影响等(也没有异常状态波及到其他装置的可能性)。因此,此时,作为步骤S206的处理,判定部130对于异常状态的发生源(发生部位)进行预定的波及防止处理,并且控制为维持当前的驾驶模式,然后结束驾驶模式影响度判定的处理。
此外,在步骤S206中,用于维持当前的驾驶模式的控制也可以由驾驶模式决定部160来进行,从而取代判定部130。另外,鉴于没有对当前的驾驶模式的影响等这样的状况,在步骤S206中可以不对异常状态的发生源(发生部位)进行预定的波及防止处理,仅进行控制从而维持当前的驾驶模式。
通过如上那样进行图8的步骤S201~S206的处理,信息处理装置10能够确定异常状态的发生源(发生部位)及其波及目的地候补,并且能够判定对当前的驾驶模式的影响度。
(1-4)转移目标驾驶模式提取
对本实施方式的信息处理装置10执行的异常应对处理中的转移目标驾驶模式的提取(图4的步骤S104)进行详细说明。
图9是表示转移目标驾驶模式提取的处理顺序的一个例子的流程图。如在(1-2)中描述那样,图9所示的各处理由信息处理装置10的驾驶模式候补提取部140执行。
另外,在关于图9的以下说明中,与参照图8进行的驾驶模式影响度判定的说明相同,以在转移目标驾驶模式提取中参照的异常信息171以及异常波及信息172中,可根据该信息确定的“异常状态的类别”由发生异常状态的“部位”来表示的情况为例进行说明,但是也可以如(1-2)中描述的那样,在本实施方式中并不局限于此,能够置换为异常状态的“种类”、发生异常状态的“功能”。
根据图9,首先,驾驶模式候补提取部140通过参照异常状态的发生源(发生部位)和驾驶模式切换信息173,来验证有无即使产生异常状态也能够使用的驾驶模式(步骤S301)。
具体而言,步骤S301的处理能够按照以下的顺序实现。例如,设为在通过取得日志信息(图4的步骤S101)而收集到的异常信息171中示出了“0x01”的异常状态ID。此时,通过在与当前的驾驶模式对应的异常波及信息172中,参照与发生的异常状态的异常状态ID“0x01”对应的异常状态1722以及波及目的地候补1724,能够确定该异常状态造成的影响波及的装置。具体而言,例如,设为与异常状态ID“0x01”对应的异常状态1722(发生部位)是“ECU5”,波及目的地候补1724是“ECU7”。此时,驾驶模式候补提取部140通过参照驾驶模式切换信息173寻找不受“ECU5”以及“ECU7”影响的驾驶模式,能够验证有无即使产生异常状态也能够使用的驾驶模式。例如,在图7所例示的驾驶模式切换信息173A的情况下,作为不受“ECU5”以及“ECU7”影响的驾驶模式,降级驾驶模式B以及降级驾驶模式C适合。
接下来,在步骤S302中,驾驶模式候补提取部140判定是否有通过步骤S301的验证能够使用的驾驶模式。
当在步骤S302中具有能够使用的驾驶模式的情况下(步骤S302为是),驾驶模式候补提取部140提取符合的全部的能够使用的驾驶模式(步骤S303),并结束转移目标驾驶模式提取的处理。
另一方面,当在步骤S302中没有能够利用的驾驶模式的情况下(步骤S302为否),驾驶模式候补提取部140控制为执行预先决定的预定的紧急应对(步骤S304),结束转移目标驾驶模式提取的处理。在此,关于“预定的紧急应对”,例如可以进行立即使车辆1停在路肩等的自动驾驶,也可以将自动驾驶切换为手动驾驶。另外,除此以外,例如,也可以向驾驶员、服务中心进行紧急通报等。
如上所述,通过进行图9的步骤S301~S304的处理,信息处理装置10能够基于确定的异常状态的发生源(发生部位),提取即使产生该异常状态也能够使用的驾驶模式,来作为考虑了该异常状态造成的影响的驾驶模式的转移目标。
(1-5)总结
如上所述,通过按照图4、图8、图9所例示的处理顺序进行异常应对处理,本实施方式的信息处理装置10能够收集用于判断异常状态的信息,基于该收集到的信息,确定异常状态的发生源以及波及目的地候补,对于确定出的装置执行波及防止处理,并且,还能够考虑异常状态的波及而将车辆1的驾驶模式切换为不受异常状态的影响的安全的驾驶模式。
根据这样的信息处理装置10,例如在通常驾驶模式中基于异常状态的发生而转移到降级驾驶模式时,不仅确定异常状态的发生源,还能够确定该异常状态从发生源能够波及的波及目的地候补,并对确定出的这些对象执行波及防止处理,因此不会使安全攻击造成的影响波及到构成降级驾驶模式的要素,得到了对于异常状态的发生将汽车(车辆1)的行驶控制保持为更安全的状态这样的效果。
此外,当产生的异常状态是由安全攻击引起时,特别有效地发挥本实施方式的信息处理装置10所起到的上述效果。安全攻击具有不仅在特定的装置或功能中产生异常状态,还从此进一步侵害其它的装置或功能使异常状态传播这样的特性,在产生了由安全攻击引起的异常状态的情况下,即使根据异常状态变更了控制内容(例如从通常驾驶变更为降级驾驶),安全攻击所造成的影响也有可能波及到例如构成降级驾驶的要素。对于这样的危险性,本实施方式的信息处理装置10能够对异常状态的波及目的地候补执行波及防止处理,由此能够防止安全攻击造成的影响波及,将汽车的行驶控制保持为更安全的状态。
此外,本实施方式的信息处理装置10所进行的异常应对处理并不局限于图4等例示的处理顺序,也可以追加、置换各种派生的处理顺序。例如,可以在图4的步骤S101中确认了发生异常状态的阶段,暂时使驾驶状态转移到上述“安全的特定的驾驶模式”,然后,进行步骤S102~S107的处理。在这样的情况下,能够针对异常状态的发生最优先地确保搭乘人员的安全,维持车辆1的安全的行驶控制。
(2)第二实施方式
对于大部分的基本处理而言,本发明的第二实施方式与在(1)中详细描述的第一实施方式共通,对与第一实施方式相同的构成要素、相同的处理顺序标注相同的附图标记,并省略重复的说明。以下,以与第一实施方式的不同点为中心对第二实施方式进行详细描述。
此外,以下,与在第一实施方式中进行的详细说明相同,以“异常状态的类别”由发生异常状态的“部位(更具体而言,装置)”来表示的情况为例进行说明,但在第二实施方式中也并不局限于此,能够置换为异常状态的“种类”、产生异常状态的“功能”。
(2-1)异常应对处理
第二实施方式与第一实施方式的不同之处主要在于,在异常应对处理中进行的波及防止处理中具备追加了允许时间的观点的处理。更详细而言,在第二实施方式中的异常应对处理中,信息处理装置10在考虑了不对汽车(车辆1)中的实时控制造成影响的“允许时间”的基础上执行波及防止处理。
图10是表示本发明的第二实施方式的信息处理装置中的异常应对处理的处理顺序的概要的流程图。图10所示的处理以信息处理装置10的各功能结构为执行主体,硬件上主要由CPU11执行。此外,在第二实施方式的信息处理装置10中,对图1所例示的功能结构进行追加,在关联信息存储部170中存储了转移允许时间信息174以及波及防止判断信息175。将在后面参照图12、13对转移允许时间信息174以及波及防止判断信息175进行详细叙述。
根据图10,首先,从步骤S101到S104进行与第一实施方式相同的处理。当在步骤S104中进行了转移目标驾驶模式的提取后,进行步骤S401的处理。
在步骤S401中,波及防止处理部150基于是否能够在与驾驶模式对应地设定的转移允许时间(详细内容后述)内完成波及防止处理等,来判断可否执行波及防止处理(波及防止处理判断)。将在后面参照图11对波及防止处理判断进行详细叙述,在步骤S401的波及防止处理判断中,从异常状态的发生源以及波及目的地候补中,提取能够在允许时间内执行波及防止处理并且对驾驶模式的影响度高的装置,来作为“可防止波及的对象候补”(图11的步骤S506)。
接下来,在步骤S402中,波及防止处理部150判断作为步骤S401的波及防止处理判断的结果,是否提取出“可防止波及的对象候补”。在提取出可防止波及的对象候补的情况下(步骤S402为是),进入步骤S105,在未提取处的情况下(步骤S402为否),进入步骤S106。
在步骤S105中,波及防止处理部150针对相当于在步骤S402中判定出的“可防止波及的对象候补”的装置(即,异常状态的发生源以及波及目的地候补中的预计在允许时间内完成波及防止处理且对驾驶模式的影响度高的装置)执行预定的波及防止处理。波及防止处理的执行内容与第一实施方式中的波及防止处理(图4的步骤S105)相同。
当在步骤S105中进行波及防止处理后,再次返回步骤S401,进行波及防止处理判断。在每次提取出能够在剩余的允许时间内完成的“可防止波及的对象候补”时重复进行步骤S401~S105的处理。此外,在该循环中,从检测出发生异常状态开始随着时间的经过,允许时间被不断减去,另外,作为“可防止波及的对象候补”而被提取并执行了波及防止处理(步骤S105)的装置之后不再作为“可防止波及的对象候补”被提取。通过进行这样的处理,在信息处理装置10中,能够考虑不对实时控制造成影响的允许时间,对于异常状态的发生源以及波及目的地候补依次执行波及防止处理。
然后,与第一实施方式相同,信息处理装置10进行步骤S106(转移目标驾驶模式决定)以及步骤S107(驾驶模式转移)的处理,然后结束异常应对处理。
(2-2)波及防止处理判断
对本实施方式的信息处理装置10执行的异常应对处理中的波及防止处理判断(图10的步骤S401)进行详细说明。
图11是表示波及防止处理判断的处理顺序的一个例子的流程图。波及防止处理判断是在判断可否执行波及防止处理时的处理(图10的步骤S401),由信息处理装置10的波及防止处理部150执行。
根据图11,首先,在步骤S501中,波及防止处理部150计算能够用于波及防止处理的时间(允许时间)。详细地说,在产生异常状态后初次进行步骤S501的处理的初次时,波及防止处理部150参照在关联信息存储部170中存储的转移允许时间信息174,计算针对每个驾驶模式设定的转移允许时间(图12的转移允许时间1743)来作为允许时间。另一方面,在上述初次以外进行步骤S501的处理时,波及防止处理部150计算从转移允许时间减去发生异常状态后的时间经过量而得到的时间来作为允许时间。
在此,参照图12对在步骤S501中参照的转移允许时间信息174进行具体说明。
图12用于说明转移允许时间信息的数据结构例。转移允许时间信息174是记载了当前的每个驾驶模式的转移允许时间的信息,例如存储在关联信息存储部170。
根据图12,转移允许时间信息174为具有驾驶模式ID1741、当前驾驶模式1742、以及转移允许时间1743的数据结构。在驾驶模式ID1741记载为了识别车辆1中搭载的驾驶模式而分配的标识符,在当前驾驶模式1742记载各驾驶模式的类别。在转移允许时间1743记载与各驾驶模式对应地设定的、为了不对行驶控制造成影响地执行波及防止处理而能够使用的时间(转移允许时间)。
此外,与驾驶模式对应的转移允许时间可以在设计阶段基于所要求的规格预先决定静态时间,但也可以基于车辆状态、周边环境状态,动态地计算并登录为了不对行驶控制造成影响地执行波及防止处理而能够使用的时间。
而且,“车辆状态”例如相当于当前的驾驶模式、行驶状态(行驶中/停车中等),“周边环境状态”例如相当于气候、道路状态、行驶场所(高速公路/街道等)这样的外部干扰。列举基于这样的车辆状态、周边环境状态来计算转移允许时间的计算例子,在行驶中并且天气为下雨的情况下,由于需要迅速的控制,所以优选将转移允许时间设定得比较短。另一方面,在停车中的情况下,由于不需要即时的控制,所以可以将转移允许时间设定得比较长。
接下来,在步骤S502中,波及防止处理部150判定在步骤S501中计算出的允许时间是否是预定的一定时间以上。在此,“一定时间”相当于为了执行波及防止处理所需要的最小时间。即,为了不对车辆1中的实时控制造成影响地执行波及防止处理,需要允许时间至少剩余“一定时间”以上。
此外,关于“一定时间”的具体值,与驾驶模式所对应的转移允许时间1743(参照图12)相同,既可以在设计阶段基于所要求的规格来预先决定静态的时间,也可以基于车辆状态、周边环境状态,动态地计算并登录不对行驶控制造成影响地执行波及防止处理所需要的时间。
当在步骤S502中判定为允许时间剩余一定时间以上时(步骤S502为是),意味着能够在允许时间内执行波及防止处理,进入步骤S503。另一方面,当在步骤S502中判定为允许时间未剩余一定时间以上时(步骤S502为否),意味着没有执行波及防止处理的时间余量,所以进入步骤S507。
在步骤S503中,波及防止处理部150判定是否已提取“波及防止对象候补”。关于“波及防止对象候补”的提取,在步骤S504中详细描述。在判定为已提取波及防止对象候补的情况下(步骤S503为是),进入步骤S506,在判定为未提取波及防止对象候补的情况下(步骤S503为否),进入步骤S504。
在步骤S504中,波及防止处理部150提取通过判定部130的驾驶模式影响度判定(图10的步骤S103)而确定的异常状态的发生源以及波及目的地候补的装置,来作为波及防止处理的执行对象的候补(波及防止对象候补)。此时,在存在多个通过驾驶模式候补提取部140的转移目标驾驶模式提取(图10的步骤S104)而提取出的转移目标驾驶模式的情况下,可以在驾驶模式间取得差异,对于在构成要素1732(参照图7)中设定为“〇”,并且构成更高级的驾驶模式的要素(装置)将优先度设定得高,计算波及防止对象候补的各装置的优先度。
接下来,在步骤S505中,波及防止处理部150参照在关联信息存储部170中存储的波及防止判断信息175,对于通过步骤S504提取出的各个波及防止对象候补,计算执行波及防止处理所需要的时间(波及防止处理时间)。
这里,参照图13对在步骤S505、S506中参照的波及防止判断信息175进行具体说明。
图13是用于对波及防止判断信息的数据结构例进行说明的图。波及防止判断信息175是为了计算波及防止处理时间等而参照的信息,例如存储在关联信息存储部170。
根据图13,波及防止判断信息175为具有装置ID1751、装置1752、波及防止处理预测时间1753以及驾驶模式影响度1754的数据结构。在装置ID1751记载为了识别装置(信息处理装置10、20)而分配的标识符,在装置1752记载根据装置ID1751确定出的各装置的类别。在波及防止处理预测时间1753记载针对上述装置执行波及防止处理所需要的预测时间。在驾驶模式影响度1754记载上述装置对于驾驶模式赋予的影响度,例如,所记载的数值越大意味着影响度越高。
此外,在波及防止处理预测时间1753记载的预测时间与驾驶模式所对应的转移允许时间1743(参照图12)相同,既可以在设计阶段基于所要求的规格预先决定静态的时间,也可以基于车辆状态、周边环境状态,动态地计算并登录不对行驶控制造成影响地执行波及防止处理所需要的时间。
通过参照这样的波及防止判断信息175,在步骤S505中,波及防止处理部150计算作为波及防止对象候补而被提取的各装置的波及防止处理时间。具体而言,例如,波及防止处理部150能够计算与波及防止对象候补的各装置(装置ID1751、装置1752)对应的波及防止处理预测时间1753来作为该装置的波及防止处理时间。另外,除此以外,例如,也可以计算通信消息的发送接收时间与波及防止处理预测时间1753的合计时间来作为该装置的波及防止处理时间。
接下来,对步骤S506的处理进行说明。如图11所示,当在步骤S505中计算出波及防止对象候补的波及防止处理时间、或者在步骤S503中判定为未提取出波及防止对象候补时,进行步骤S506的处理。
在步骤S506中,波及防止处理部150基于在步骤S501中计算出的允许时间、在步骤S505中计算出的波及防止处理时间以及波及防止判断信息175,提取可防止波及的对象候补。
更具体而言,波及防止处理部150首先将允许时间与波及防止处理时间进行比较,判定是否能够在允许时间内执行波及防止处理。而且,如果该判定的结果是能够执行,对于符合的全部的波及防止对象候补,从波及防止判断信息175中取得与装置1752相关联的驾驶模式影响度1754,提取具有高的影响度的装置来作为“可防止波及的对象候补”。
此外,当在步骤S504中计算出波及防止对象候补的各装置的优先度时,可以从判断为能够执行波及防止处理的全部的波及防止对象候补中,优先提取该优先度高的装置来作为“可防止波及的对象候补”。另外,也可以考虑上述优先度和对驾驶模式的影响度(驾驶模式影响度1754)双方来提取“可防止波及的对象候补”。
另外,作为步骤S506中的提取方法,除了上述例子以外,例如,可以将异常状态的发生源的装置优先提取为“可防止波及的对象候补”。在这样的情况下,由于对异常状态的发生源优先地进行波及防止处理,所以能够期待对异常状态导致的损害的扩大进行抑制的效果。另外,例如,也可以优先将异常状态的波及目的地候补的装置提取为“可防止波及的对象候补”。在这样的情况下,能够期待对安全攻击引起的异常状态的多重扩大进行抑制的效果。
另外,在本实施方式中,在进行1次波及防止处理判断时通过步骤S506的处理可提取的“可防止波及的对象候补”的个数并不限于一个。波及防止处理部150可以聚集满足各条件的多个装置来提取为“可防止波及的对象候补”。
当在步骤S502中判定为允许时间未剩余一定时间以上时进行步骤S507。此时,由于允许时间不足执行波及防止处理所需要的最低限度的时间,所以波及防止处理部150中止一连串的与波及防止处理有关的处理(例如,图10的步骤S401、S402、S105)。
以上,通过进行图11的步骤S501~S507的处理,信息处理装置10能够判断可否在不对实时控制造成影响的允许时间内执行波及防止处理,并能够从波及防止对象候补(异常状态的发生源以及波及目的地候补)中,提取能够在允许时间内执行波及防止处理并且影响度高的装置来作为“可防止波及的对象候补”。
(2-3)总结
如上所述,通过按照图10、图11所例示的处理顺序进行异常应对处理,第二实施方式的信息处理装置10收集用于判断异常状态的信息,基于该收集到的信息确定异常状态的发生源以及波及目的地候补,考虑异常状态的波及来将车辆1的驾驶模式切换为不受异常状态的影响的安全的驾驶模式,并且,能够考虑允许时间来对上述确定出的异常状态的发生源以及波及目的地候补执行波及防止处理,使得不会对车辆1中的实时控制造成影响。
而且,与第一实施方式所起到的效果相同,当产生的异常状态是由安全攻击引起时,特别有效地发挥上述第二实施方式的效果。
另外,与第一实施方式的异常应对处理相同,第二实施方式的信息处理装置10进行的异常应对处理也不局限于图10等所例示的处理顺序,也可以追加、置换各种派生的处理顺序。
例如,也可以在图10的步骤S104后,首先,对于异常状态的发生源执行波及防止处理,然后,进行步骤S401及其以后的处理。在这样的情况下,对于异常状态的发生源(发生部位、产生功能),不管有无允许时间都执行波及防止处理,所以能够最优先抑制异常状态的波及。然后,进一步对于异常状态的波及目的地候补,考虑允许时间来依次执行波及防止处理,所以即使产生了由安全攻击引起的异常状态,也可在不对车辆1中的实时控制造成影响的同时抑制异常状态的波及,能够发挥维持车辆1的安全的行驶控制这样的效果。
以上对本发明的第一实施方式以及第二实施方式进行了说明,关于各实施方式中的结构、功能、处理部、处理单元等,例如可以通过在集成电路中进行设计以硬件实现它们中的一部分或者全部,另外,也可以通过由处理器解释并执行用于实现各个功能的程序以软件来实现。实现各功能的程序、表、文件等信息能够存放在存储器、硬盘、SSD(SolidState Drive:固态硬盘)等记录装置、或者IC卡、SD卡、DVD等记录介质中。另外,考虑到说明上的需要,示出了控制线、信息线,但并不一定限于在产品上表示出全部的控制线、信息线。在实施上可以认为几乎全部的结构相互连接。
附图标记说明
1 车辆
2 通信总线
10 信息处理装置
11 CPU
12 存储器
13 通信接口
14 输入输出接口
15 通信总线
20(20A、20B、20C) 信息处理装置
21 车外信息处理装置
22 OBD2接口
23 诊断工具
110 通信部
120 信息取得部
130 判定部
140 驾驶模式候补提取部
150 波及防止处理部
160 驾驶模式决定部
170 关联信息存储部
171 异常信息
172 异常波及信息
173 驾驶模式切换信息
174 转移允许时间信息
175 波及防止判断信息。
Claims (15)
1.一种车辆的车载系统中包含的信息处理装置,其特征在于,具备:
信息取得部,其收集与上述车辆中发生的异常有关的异常信息;
判定部,其基于上述异常信息确定所发生的异常的发生源;以及
波及防止处理部,其对上述判定部确定出的对象执行用于限制预定的功能的波及防止处理。
2.根据权利要求1所述的信息处理装置,其特征在于,
上述判定部确定所发生的异常的发生源和该异常能波及的波及目的地候补。
3.根据权利要求1所述的信息处理装置,其特征在于,
针对上述车辆所具有的多个驾驶模式中的各个驾驶模式,存储了表示该驾驶模式所需的构成要素的驾驶模式切换信息,
上述信息处理装置还具备驾驶模式决定部,该驾驶模式决定部基于上述驾驶模式切换信息,提取即使在由上述判定部确定出的对象中发生上述异常也能够使用的驾驶模式的候补,并基于提取出的该候补来决定驾驶模式的转移目标。
4.根据权利要求3所述的信息处理装置,其特征在于,
在发生了上述异常的情况下,上述驾驶模式决定部在使当前的驾驶模式转移到安全的特定的驾驶模式后,基于上述驾驶模式切换信息来提取即使在由上述判定部确定出的对象中发生上述异常也能够使用的驾驶模式的候补,并基于提取出的该候补重新决定驾驶模式的转移目标。
5.根据权利要求1所述的信息处理装置,其特征在于,
上述信息取得部从上述车载系统中包含的自身信息处理装置以及其他的信息处理装置收集上述异常信息。
6.根据权利要求1所述的信息处理装置,其特征在于,
上述信息取得部从搭载在上述车辆的多个信息处理装置、或者经由网络连接的外部的信息处理装置收集上述异常信息。
7.根据权利要求2所述的信息处理装置,其特征在于,
上述信息取得部对于在上述车辆中产生的由安全攻击引起的异常收集上述异常信息。
8.根据权利要求2所述的信息处理装置,其特征在于,
上述判定部将装置或功能作为对象,确定与所发生的异常有关的上述发生源以及上述波及目的地候补。
9.根据权利要求2所述的信息处理装置,其特征在于,
上述波及防止处理部计算考虑了对于上述车辆的实时控制的影响的允许时间,从上述判定部确定出的对象中提取能够在计算出的该允许时间内执行上述波及防止处理的对象,并对提取出的该对象执行上述波及防止处理。
10.根据权利要求9所述的信息处理装置,其特征在于,
上述波及防止处理部计算考虑了对于上述车辆的实时控制的影响的允许时间,从上述判定部确定出的对象中提取能够在计算出的该允许时间内执行上述波及防止处理并且对于上述车辆的驾驶模式的影响度相对高的对象,并对提取出的该对象执行上述波及防止处理。
11.一种车辆的车载系统中包含的信息处理装置的异常应对方法,其特征在于,具备:
信息取得步骤,收集与上述车辆中发生的异常有关的异常信息;
判定步骤,基于上述异常信息确定所发生的异常的发生源;以及
波及防止处理步骤,对于在上述判定步骤确定出的对象,执行用于限制预定的功能的波及防止处理。
12.根据权利要求11所述的异常应对方法,其特征在于,
在上述判定步骤中,确定所发生的异常的发生源和该异常能波及的波及目的地候补。
13.根据权利要求11所述的异常应对方法,其特征在于,
上述信息处理装置对于上述车辆所具有的多个驾驶模式中的各个驾驶模式保持用于表示该驾驶模式所需的构成要素的驾驶模式切换信息,
上述异常应对方法还具备驾驶模式决定步骤,在该驾驶模式决定步骤中,基于上述驾驶模式切换信息,提取即使在上述判定步骤确定出的对象中发生上述异常也能够使用的驾驶模式的候补,并基于提取出的该候补来决定驾驶模式的转移目标。
14.根据权利要求12所述的异常应对方法,其特征在于,
在上述信息取得步骤中,对于在上述车辆中发生的由安全攻击引起的异常收集上述异常信息。
15.根据权利要求12所述的异常应对方法,其特征在于,
在上述波及防止处理步骤中,计算考虑了对于上述车辆的实时控制的影响的允许时间,从在上述判定步骤确定出的对象中提取能够在计算出的该允许时间内执行上述波及防止处理的对象,并对提取出的该对象执行上述波及防止处理。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017-095882 | 2017-05-12 | ||
| JP2017095882A JP6723955B2 (ja) | 2017-05-12 | 2017-05-12 | 情報処理装置及び異常対処方法 |
| PCT/JP2018/015512 WO2018207551A1 (ja) | 2017-05-12 | 2018-04-13 | 情報処理装置及び異常対処方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110612527A true CN110612527A (zh) | 2019-12-24 |
Family
ID=64104495
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880030839.6A Pending CN110612527A (zh) | 2017-05-12 | 2018-04-13 | 信息处理装置以及异常应对方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20210155270A1 (zh) |
| EP (1) | EP3623971A4 (zh) |
| JP (1) | JP6723955B2 (zh) |
| CN (1) | CN110612527A (zh) |
| WO (1) | WO2018207551A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111489576A (zh) * | 2020-02-21 | 2020-08-04 | 中国电子技术标准化研究院 | 一种车辆自动驾驶设备的控制方法、系统及存储介质 |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6982564B2 (ja) * | 2018-12-27 | 2021-12-17 | 本田技研工業株式会社 | 車両制御装置 |
| JP7433323B2 (ja) | 2019-01-10 | 2024-02-19 | シグニファイ ホールディング ビー ヴィ | 照明ネットワークのセキュアな動作を提供する方法 |
| JP2020141318A (ja) * | 2019-02-28 | 2020-09-03 | 日本電産モビリティ株式会社 | 車載制御装置 |
| WO2020261519A1 (ja) * | 2019-06-27 | 2020-12-30 | 三菱電機株式会社 | 電子制御ユニット及びプログラム |
| CN114127726A (zh) | 2019-07-12 | 2022-03-01 | 松下知识产权经营株式会社 | 车载安全存储系统 |
| US11921853B2 (en) * | 2019-07-23 | 2024-03-05 | Denso Corporation | System for adaptive vehicle security and response |
| JP6918067B2 (ja) * | 2019-10-07 | 2021-08-11 | 三菱電機株式会社 | 制御装置および制御方法 |
| JP6987332B1 (ja) | 2020-03-19 | 2021-12-22 | 三菱電機株式会社 | 汚染範囲特定装置および汚染範囲特定プログラム |
| WO2021192936A1 (ja) * | 2020-03-27 | 2021-09-30 | 日立Astemo株式会社 | 車両用作動機構の制御装置及び制御方法 |
| DE112020007053T5 (de) | 2020-04-10 | 2023-04-13 | Mitsubishi Electric Corporation | Steuervorrichtung und Steuerverfahren |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101030863A (zh) * | 2006-03-03 | 2007-09-05 | 上海乐金广电电子有限公司 | 利用无线通信网的汽车诊断系统及其方法 |
| CN103318184A (zh) * | 2012-03-21 | 2013-09-25 | 富士重工业株式会社 | 车辆的控制装置 |
| CN103339419A (zh) * | 2011-02-04 | 2013-10-02 | 丰田自动车株式会社 | 车辆的控制装置 |
| CN106463063A (zh) * | 2014-06-12 | 2017-02-22 | 日立汽车系统株式会社 | 车辆的行驶控制装置 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000112525A (ja) * | 1998-09-30 | 2000-04-21 | Honda Motor Co Ltd | 共用車両 |
| JP4438861B2 (ja) * | 2007-12-21 | 2010-03-24 | 株式会社デンソー | 車両制御装置およびそれを用いた車両制御システム |
| JP2012221031A (ja) * | 2011-04-05 | 2012-11-12 | Toyota Motor Corp | 車両データ取得装置及び車両データ取得方法 |
| JP5629646B2 (ja) * | 2011-05-27 | 2014-11-26 | 日立オートモティブシステムズ株式会社 | 車両用制御装置 |
| JP5377614B2 (ja) * | 2011-11-07 | 2013-12-25 | 三菱電機株式会社 | 通信管理装置 |
| JP5919205B2 (ja) * | 2013-01-28 | 2016-05-18 | 日立オートモティブシステムズ株式会社 | ネットワーク装置およびデータ送受信システム |
| JP2014236248A (ja) * | 2013-05-30 | 2014-12-15 | 日立オートモティブシステムズ株式会社 | 電子制御装置、電子制御システム |
| JP2015067234A (ja) * | 2013-09-30 | 2015-04-13 | 日立オートモティブシステムズ株式会社 | 車両制御装置 |
| WO2015151862A1 (ja) * | 2014-04-01 | 2015-10-08 | みこらった株式会社 | 自動車及び自動車用プログラム |
| JP6218184B2 (ja) * | 2014-11-13 | 2017-10-25 | 日立オートモティブシステムズ株式会社 | 情報処理装置、メッセージ認証方法 |
| JP6448154B2 (ja) | 2015-07-10 | 2019-01-09 | 本田技研工業株式会社 | 車両制御装置、車両制御方法、および車両制御プログラム |
| US9954892B2 (en) * | 2015-09-28 | 2018-04-24 | Nxp B.V. | Controller area network (CAN) device and method for controlling CAN traffic |
| WO2017061469A1 (ja) * | 2015-10-06 | 2017-04-13 | 日本電信電話株式会社 | 特定システム、特定装置および特定方法 |
-
2017
- 2017-05-12 JP JP2017095882A patent/JP6723955B2/ja active Active
-
2018
- 2018-04-13 EP EP18799115.3A patent/EP3623971A4/en active Pending
- 2018-04-13 CN CN201880030839.6A patent/CN110612527A/zh active Pending
- 2018-04-13 WO PCT/JP2018/015512 patent/WO2018207551A1/ja unknown
- 2018-04-13 US US16/612,621 patent/US20210155270A1/en not_active Abandoned
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101030863A (zh) * | 2006-03-03 | 2007-09-05 | 上海乐金广电电子有限公司 | 利用无线通信网的汽车诊断系统及其方法 |
| CN103339419A (zh) * | 2011-02-04 | 2013-10-02 | 丰田自动车株式会社 | 车辆的控制装置 |
| CN103318184A (zh) * | 2012-03-21 | 2013-09-25 | 富士重工业株式会社 | 车辆的控制装置 |
| CN106463063A (zh) * | 2014-06-12 | 2017-02-22 | 日立汽车系统株式会社 | 车辆的行驶控制装置 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111489576A (zh) * | 2020-02-21 | 2020-08-04 | 中国电子技术标准化研究院 | 一种车辆自动驾驶设备的控制方法、系统及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6723955B2 (ja) | 2020-07-15 |
| WO2018207551A1 (ja) | 2018-11-15 |
| JP2018194909A (ja) | 2018-12-06 |
| US20210155270A1 (en) | 2021-05-27 |
| EP3623971A4 (en) | 2021-03-10 |
| EP3623971A1 (en) | 2020-03-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110612527A (zh) | 信息处理装置以及异常应对方法 | |
| CN112204578B (zh) | 使用机器学习在数据接口上检测数据异常 | |
| JP6594732B2 (ja) | 不正フレーム対処方法、不正検知電子制御ユニット及び車載ネットワークシステム | |
| JP7410223B2 (ja) | 不正検知サーバ、及び、方法 | |
| CN112889051A (zh) | 车辆用系统以及控制方法 | |
| WO2020153122A1 (ja) | 車両セキュリティ監視装置、方法及びプログラム | |
| CN111225834B (zh) | 车辆用控制装置 | |
| JP6846706B2 (ja) | 監視装置、監視方法およびコンピュータプログラム | |
| WO2018135098A1 (ja) | 監視装置、監視方法およびコンピュータプログラム | |
| US11784871B2 (en) | Relay apparatus and system for detecting abnormalities due to an unauthorized wireless transmission | |
| US11829472B2 (en) | Anomalous vehicle detection server and anomalous vehicle detection method | |
| US11971982B2 (en) | Log analysis device | |
| JP7296470B2 (ja) | 分析装置及び分析方法 | |
| CN112422495A (zh) | 判定装置、判定系统、存储程序的存储介质以及判定方法 | |
| CN114007906A (zh) | 安全处理装置 | |
| KR20200076217A (ko) | 공격 메시지 재전송 시간을 예측하는 can 네트워크에 대한 메시지플러딩 공격 완화방법 | |
| JP7409247B2 (ja) | 不正侵入防止装置、不正侵入防止方法、及び不正侵入防止用プログラム | |
| JP6968137B2 (ja) | 車両用制御装置 | |
| KR102204656B1 (ko) | 일반 can 메시지의 전송지연을 예측하는 can 네트워크에 대한 메시지플러딩 공격 완화 시스템 | |
| US20230249698A1 (en) | Control apparatus | |
| JP7471532B2 (ja) | 制御装置 | |
| US20230267204A1 (en) | Mitigating a vehicle software manipulation | |
| JP7408033B2 (ja) | 車載制御装置 | |
| US20230267213A1 (en) | Mitigation of a manipulation of software of a vehicle | |
| WO2022244200A1 (ja) | 制御装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: Ibaraki Applicant after: Hitachi astemo Co.,Ltd. Address before: Ibaraki Applicant before: HITACHI AUTOMOTIVE SYSTEMS, Ltd. |
|
| CB02 | Change of applicant information | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191224 |
|
| RJ01 | Rejection of invention patent application after publication |