CN115989467A - 控制模式切换装置以及控制模式切换方法 - Google Patents

控制模式切换装置以及控制模式切换方法 Download PDF

Info

Publication number
CN115989467A
CN115989467A CN202180051422.XA CN202180051422A CN115989467A CN 115989467 A CN115989467 A CN 115989467A CN 202180051422 A CN202180051422 A CN 202180051422A CN 115989467 A CN115989467 A CN 115989467A
Authority
CN
China
Prior art keywords
robot
abnormality
control mode
control
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202180051422.XA
Other languages
English (en)
Inventor
岸川刚
氏家良浩
平野亮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Corp of America
Original Assignee
Panasonic Intellectual Property Corp of America
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Corp of America filed Critical Panasonic Intellectual Property Corp of America
Publication of CN115989467A publication Critical patent/CN115989467A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05DSYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
    • G05D1/00Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
    • G05D1/0055Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots with safety arrangements
    • G05D1/0061Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots with safety arrangements for transition from automatic pilot to manual pilot and vice versa
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/18Numerical control [NC], i.e. automatically operating machines, in particular machine tools, e.g. in a manufacturing environment, so as to execute positioning, movement or co-ordinated operations by means of programme data in numerical form
    • G05B19/4155Numerical control [NC], i.e. automatically operating machines, in particular machine tools, e.g. in a manufacturing environment, so as to execute positioning, movement or co-ordinated operations by means of programme data in numerical form characterised by programme execution, i.e. part programme or machine function execution, e.g. selection of a programme
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/08Interaction between the driver and the control system
    • B60W50/10Interpretation of driver requests or demands
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W60/00Drive control systems specially adapted for autonomous road vehicles
    • B60W60/001Planning or execution of driving tasks
    • B60W60/0015Planning or execution of driving tasks specially adapted for safety
    • B60W60/0018Planning or execution of driving tasks specially adapted for safety by employing degraded modes, e.g. reducing speed, in response to suboptimal conditions
    • B60W60/00188Planning or execution of driving tasks specially adapted for safety by employing degraded modes, e.g. reducing speed, in response to suboptimal conditions related to detected security violation of control systems, e.g. hacking of moving vehicle
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05DSYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
    • G05D1/00Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
    • G05D1/0011Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots associated with a remote control arrangement
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05DSYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
    • G05D1/00Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
    • G05D1/0011Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots associated with a remote control arrangement
    • G05D1/0038Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots associated with a remote control arrangement by providing the operator with simple or augmented images from one or more cameras located onboard the vehicle, e.g. tele-operation
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05DSYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
    • G05D1/00Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
    • G05D1/20Control system inputs
    • G05D1/22Command input arrangements
    • G05D1/221Remote-control arrangements
    • G05D1/227Handing over between remote control and on-board control; Handing over between remote control arrangements
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/50Machine tool, machine tool null till machine tool work handling
    • G05B2219/50391Robot

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Radar, Positioning & Navigation (AREA)
  • Remote Sensing (AREA)
  • Aviation & Aerospace Engineering (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Manufacturing & Machinery (AREA)
  • Manipulator (AREA)

Abstract

控制模式切换装置是切换机器人(10)的控制模式的控制模式切换装置。控制模式包含远程控制模式、手动控制模式、以及自主控制模式中的两个以上。并且,控制模式切换装置具备:异常感测部(205),基于机器人(10)内的控制网络上的通信消息与控制模式,取得用户的控制引起的用户异常、控制网络引起的机器人异常、机器人(10)的动作环境引起的动作环境异常、以及应用程序引起的应用程序异常中的某一个以上的异常的感测结果;以及切换部(204、206),按每个感测到的异常的种类,计算表示该异常的种类是机器人(10)中的异常产生的要因的可能性的评分,基于计算出的评分,切换机器人(10)的控制模式。

Description

控制模式切换装置以及控制模式切换方法
技术领域
本公开涉及切换机器人的控制模式的控制模式切换装置以及控制模式切换方法。
背景技术
近年来,在日常生活中利用多种机器人系统(机器人),机器人的重要性提高。特别是,最近由于劳动力不足、物流的增加等背景,期待自动驾驶卡车、自主配送机器人等的普及。
这样的移动式机器人与在工厂等预先确定的环境中进行动作的以往型的工业用机器人不同,设想其在公共道路等公共场所中进行动作。
在公共场所中进行动作的机器人存在不正当访问、不正当控制等多种多样的安全风险。进而,机器人的安全风险不仅是以往的IT系统中的信息窃取、服务不全的风险等,还存在对机器人附近的人、物、环境等造成影响的情况。
在这样的状况中,公开了例如在汽车的控制网络中,对是否产生安全异常进行监视并应对的方法(例如,参照专利文献1)。
现有技术文献
专利文献
专利文献1:日本专利第6508631号公报
发明内容
发明要解决的课题
然而,在专利文献1的方法中,虽然能够检测出产生了对于车载网络的攻击,但不能判断对于控制中的机器人应该即时地采取的应对。
例如,也考虑根据检测出攻击时的机器人的控制状态,单纯地使机器人停止,从而反而使得危害变大的情况。因此,在检测出攻击时,需求能够在安全的控制模式下使机器人的控制继续。
因此,本公开提供用于使安全的控制继续的控制模式切换装置以及控制模式切换方法。
用于解决课题的手段
本公开的一方式的控制模式切换装置是切换机器人的控制模式的控制模式切换装置,其中,所述控制模式包含经由外部网络而由第一用户控制的远程控制模式、由来自第二用户的不经由所述外部网络的操作控制的手动控制模式、以及基于由设于所述机器人的传感器取得的传感器信息而控制的自主控制模式中的两个以上,所述控制模式切换装置具备:取得部,基于所述机器人内的控制网络上的通信消息与所述控制模式,取得所述第一用户或所述第二用户的控制引起的用户异常、所述控制网络引起的机器人异常、所述机器人的动作环境引起的动作环境异常、以及与所述控制网络连接并控制所述机器人的控制装置所动作的应用程序引起的应用程序异常中的某一个以上的异常的推测结果;以及切换部,基于取得的所述感测结果,感测到的所述异常的种类,计算表示该异常的种类是所述机器人中的异常产生的要因的可能性的评分,基于计算出的所述评分,切换所述机器人的控制模式。
本公开的一方式的控制模式切换方法是切换机器人的控制模式的控制模式切换方法,其中,所述控制模式包含经由外部网络而由第一用户控制的远程控制模式、由来自第二用户的不经由所述外部网络的操作控制的手动控制模式、以及基于由设于所述机器人的传感器取得的传感器信息而控制的自主控制模式中的两个以上,所述控制模式切换方法,基于所述机器人内的控制网络上的通信消息与所述控制模式,取得所述第一用户或所述第二用户的控制引起的用户异常、所述控制网络引起的机器人异常、所述机器人的动作环境引起的动作环境异常、以及与所述控制网络连接并控制所述机器人的控制装置所动作的应用程序引起的应用程序异常中的某一个以上的异常的感测结果,基于取得的所述感测结果,按每个感测到的所述异常的种类,计算表示该异常的种类是所述机器人中的异常产生的要因的可能性的评分,基于计算出的所述评分,切换所述机器人的控制模式。
发明效果
根据本公开,可以实现能够使安全的控制继续的控制模式切换装置等。
附图说明
图1是实施方式中的机器人监视系统的整体构成图。
图2是实施方式中的搭载于机器人的机器人网络的构成图。
图3是实施方式中的TCU(Telematic Control Unit,远程信息控制单元)的构成图。
图4是实施方式中的中央ECU(Electronic Control Unit,电子控制单元)的构成图。
图5是实施方式中的用户接口ECU的构成图。
图6是实施方式中的Ethernet(注册商标,以太网,以下相同)交换机的构成图。
图7是实施方式中的自主驾驶ECU的构成图。
图8是实施方式中的传感器ECU的构成图。
图9是实施方式中的集群管理服务器的构成图。
图10是实施方式中的监视服务器的构成图。
图11是实施方式中的远程控制终端的构成图。
图12是表示实施方式中的异常感测结果的一个例子的图。
图13是表示实施方式中的信用评分的一个例子的图。
图14是表示实施方式中的用户信息的一个例子的图。
图15是表示实施方式中的控制模式的一个例子的图。
图16是表示实施方式中的机器人状态的一个例子的图。
图17是表示实施方式中的账号信息的一个例子的图。
图18是表示实施方式中的机器人信用评分的一个例子的图。
图19是表示实施方式中的用户信用评分的一个例子的图。
图20是表示实施方式中的对于用户的不正当的远程控制的控制模式切换时序的图。
图21是表示实施方式中的对于附近第三方进行的攻击的控制模式切换时序的图。
图22是表示实施方式中的中央ECU的异常应对处理的整体的流程图。
图23是表示实施方式中的中央ECU的信用评分更新处理的流程图。
图24是表示实施方式中的中央ECU的异常应对处理的流程图。
图25是表示实施方式中的中央ECU的控制模式切换处理的流程图。
具体实施方式
(完成本公开的经过)
在本公开的说明之前,对完成本公开的经过进行说明。
如“背景技术”中记载那样,期待着自动驾驶卡车、自主配送机器人等机器人的普及。但是,这样的移动式机器人与在工厂等预先确定的环境中进行动作的以往型的工业用机器人不同,设想其在公共道路等各种环境中进行动作,对于完全自主控制的实现留有课题。
因此,为了实现机器人对自主控制困难的场面的应对、机器人的高效的运行等,需求能够完成远程操作人员进行的远程监视或远程控制的机器人、管理大量的机器人的状态的集群管理系统等。
通过运用这样的技术,能够扩大远程办公市场,对于由于身体原因、居住地、劳动力时间的问题等而不能工作的人也能够提供职场,并能够有助于多个课题的消除。
另一方面,还存在对于在公共场所中进行动作的机器人的网路安全的课题。例如,在汽车中,报告有从远程入侵车载网络,不正当地控制汽车的事例。此外,还发生了通过对于船舶系统的GPS(Global Positioning System,全球定位系统)发送伪装后的信号来诱导船舶的攻击事例。
如此,在公共场所中进行动作的机器人不仅需要确保机器人内的控制网络、控制应用程序、控制装置、传感器的安全,还需要将机器人实际上进行动作的环境无法信赖、具有恶意第三方的进行物理性的访问的可能性等列入考虑。
此外,还需要考虑对机器人进行访问的外部装置,例如,对服务器、客户端应用程序进行动作的终端等的安全。
进而,在远程控制机器人中,也可以预想通过非特定大量的远程操作人员进行非特定大量的机器人的控制而促进远程操作人员的负荷分散、以及在必要时获得必要的劳动力引发的劳动力的高效地分配。在这样的情况下,也需要将非特定大量的远程操作人员进行的不正当的控制等列入考虑。
如此,在公共场所中进行动作的机器人存在各种安全风险。进而,机器人的安全风险不仅是以往的IT系统中的信息窃取、服务不全的风险等,还存在对机器人附近的人、物、环境等造成影响的情况。
在公共场所中进行动作的机器人的安全风险存在导致对人、物、环境的物理的损害的可能性,因此,虽然在检测出攻击时需要立即移至安全的状态,但是也考虑根据检测出攻击时的机器人的控制状态,单纯地使机器人停止,从而反而使得危害变大的情况。
因此,需求能够在检测出攻击时,彻底查明机器人产生的攻击的原因,并能够在适当的控制模式下使机器人的控制继续的系统。例如,需求在检测出攻击时,能够在安全的控制模式下使机器人的控制继续的系统。
因此,本申请的发明人们对于用于使安全的控制继续的控制模式切换装置以及控制模式切换方法进行了深刻研究,发明了以下所示的控制模式切换装置以及控制模式切换方法。
本公开的一方式的控制模式切换装置是切换机器人的控制模式的控制模式切换装置,其中,所述控制模式包含经由外部网络而由第一用户控制的远程控制模式、由来自第二用户的不经由所述外部网络的操作控制的手动控制模式、以及基于由设于所述机器人的传感器取得的传感器信息而控制的自主控制模式中的两个以上,所述控制模式切换装置具备:取得部,基于所述机器人内的控制网络上的通信消息与所述控制模式,取得所述第一用户或所述第二用户的控制引起的用户异常、所述控制网络引起的机器人异常、所述机器人的动作环境引起的动作环境异常、以及与所述控制网络连接并控制所述机器人的控制装置所动作的应用程序引起的应用程序异常中的某一个以上的异常的感测结果;以及切换部,基于取得的所述感测结果,按每个感测到的所述异常的种类,计算表示该异常的种类是所述机器人中的异常产生的要因的可能性的评分,基于计算出的所述评分,切换所述机器人的控制模式。
由此,能够根据基于机器人中的异常的感测结果的异常产生的要因来切换控制模式,为了将机器人保持为安全是有效果的。由此,可以实现能够使安全的控制继续的控制模式切换装置。
此外,例如,也可以是,所述传感器信息中包含所述机器人的位置信息、加速度、行驶速度、以及相机图像中的至少一个以上,所述用户异常是在所述控制模式是所述手动控制模式或所述远程控制模式时,感测到所述位置信息脱离预先设想的控制的范围、超过规定的阈值的所述加速度或所述行驶速度、以及基于所述相机图像的与预先没有设想的人或物的接触或接近中的某个情况的异常,所述机器人异常是感测到所述控制网络的通信信息所含的故障的通知、或所述控制网络的通信异常中的某个情况的异常,所述动作环境异常是感测到所述位置信息的不连续的变化或无效的值、所述外部网络的通信异常、所述控制网络的电压变化、以及所述机器人的拆解中的某个情况的异常。
由此,能够检测用户引起的异常、机器人引起的异常、以及动作环境引起的异常,对于异常能够适当地切换控制模式而是有效果的。
此外,例如,也可以是,所述异常的种类包含用户、机器人、动作环境、以及应用程序中的至少两个以上,所述切换部,在所述感测结果包含感测到所述用户异常的情况下更新用户的评分,在所述感测结果包含感测到所述机器人异常的情况下更新所述机器人的评分,在所述感测结果包含感测到所述动作环境异常的情况下更新动作环境的评分,在所述感测结果包含感测到所述应用程序异常的情况下更新所述应用程序的评分。
由此,能够基于检测到的异常的种类,对于异常的产生原因的候补计算评分,能够基于评分切换为适当的控制模式而是有效果的。
此外,例如,也可以是,所述评分的更新是减少评分,进而,所述切换部按多个所述第一用户中的每一个计算所述评分,在所述控制模式是所述远程控制模式并且所述评分成为第一阈值以下的不正当的第一用户正进行所述机器人的控制的情况下,进行不受理该不正当的第一用户进行的所述控制、请求向其他第一用户的变更、或将所述控制模式切换为所述远程控制模式以外的控制模式中的至少一个,所述切换部在所述机器人的评分成为第二阈值以下的情况下,将所述控制模式切换为限定所述机器人的控制并在安全的状态下使其停止的回退模式,所述切换部在所述动作环境的评分成为第三阈值以下的情况下,向外部请求用于进行所述动作环境的确认的警告。
由此,基于评分的值与当前的控制模式,能够决定机器人的控制模式的切换方法,对于更安全的机器人的实现是有效果的。
此外,例如,也可以是,在两种以上的所述评分成为规定的阈值以下的情况下,所述切换部以所述机器人的评分、所述动作环境的评分、所述用户的评分的优先顺序,进行基于各评分的应对。
由此,对于仅通过控制模式的切换难以安全的应对的由机器人引起的异常优先地进行应对,从而对于重视安全性的机器人的实现是有效果的。
此外,例如,也可以是,所述感测结果包含感测到所述用户异常并且所述机器人的评分、所述动作环境的评分、以及所述应用程序的评分中的某个满足规定的条件的情况下,所述切换部不更新所述用户的评分。
存在用户异常由其他异常引起,即,用户并不是原因但感测到用户异常的情况。在这样的情况下,能够抑制用户的评分计算得低。即,能够更准确地计算用户的评分。
此外,例如,也可以是,所述应用程序包含用于所述远程控制模式的第一应用程序、用于所述手动控制模式的第二应用程序、以及用于所述自主控制模式的第三应用程序,所述感测结果中,作为所述应用程序异常,包含有所述第一应用程序的异常、所述第二应用程序的异常、以及所述第三应用程序的异常,在感测到所述第一应用程序的异常的情况下,所述切换部使所述第一应用程序的评分减少,在感测到所述第二应用程序的异常的情况下,所述切换部使所述第二应用程序的评分减少,在感测到所述第三应用程序的异常的情况下,所述切换部使所述第三应用程序的评分减少,在所述第一应用程序的评分成为第四阈值以下的情况下,禁止所述控制模式成为所述远程控制模式,在所述第二应用程序的评分成为第五阈值以下的情况下,禁止所述控制模式成为所述手动控制模式,在所述第三应用程序的评分成为第六阈值以下的情况下,禁止所述控制模式成为所述自主控制模式。
由此,能够详细地对机器人内部的异常进行分类,能够选择适当的(例如,安全的)控制模式的切换目标,对于安全性的提高是有效果的。
此外,例如,也可以是,所述切换部基于所述传感器信息以及所述机器人的状态中的至少一个,判断所述机器人是否是规定的控制状态,仅在所述机器人是规定的控制状态的情况下,进行所述控制模式的切换。
由此,在机器人立即切换了控制模式的情况下,能够避开正进行安全性有问题的控制的期间而切换控制模式。即,能够在机器人安全的状态下,切换控制模式。
此外,例如,也可以是,所述切换部基于所述机器人的所述位置信息,在所述机器人存在于规定的范围的情况下,进行所述控制模式的切换。
由此,在机器人立即切换了控制模式的情况下,能够避开在安全性有问题的区域进行控制的期间而切换控制模式。即,能够在可以安全地切换控制模式的范围中,切换控制模式。
此外,例如,也可以是,所述取得部通过基于所述通信消息与所述控制模式来感测所述用户异常、所述机器人异常、所述动作环境异常、以及所述应用程序异常中的某一个以上的异常的异常感测部实现。
由此,不从外部的装置取得判断结果就能够进行控制模式切换的处理。例如,即使在通信环境恶劣的情况下,也能够更可靠地进行控制模式切换的处理。
此外,本公开的一方式的控制模式切换方法是切换机器人的控制模式的控制模式的切换方法,其中,所述控制模式包含经由外部网络而由第一用户控制的远程控制模式、由来自第二用户的不经由所述外部网络的操作控制的手动控制模式、以及基于由设于所述机器人的传感器取得的传感器信息而控制的自主控制模式中的两个以上,所述控制模式切换方法,基于所述机器人内的控制网络上的通信消息与所述控制模式,取得所述第一用户或所述第二用户的控制引起的用户异常、所述控制网络引起的机器人异常、所述机器人的动作环境引起的动作环境异常、以及与所述控制网络连接并控制所述机器人的控制装置所动作的应用程序引起的应用程序异常中的某一个以上的异常的感测结果,基于取得的所述感测结果,按每个感测到的所述异常的种类,计算表示该异常的种类是所述机器人中的异常产生的要因的可能性的评分,基于计算出的所述评分,切换所述机器人的控制模式。
由此,起到与上述的控制模式切换装置相同的效果。
另外,这些全局性或具体的技术方案可以由系统、方法、集成电路、计算机程序或计算机可读取的CD-ROM等的非暂态的记录介质实现,也可以由系统、方法、集成电路、计算机程序及记录介质的任意的组合来实现。程序既可以预先存储在记录介质中,也可以经由包括因特网等的广域通信网向记录介质供给。
以下,参照附图对本公开的实施方式的控制模式切换装置以及控制模式切换方法进行说明。另外,以下说明的实施方式均表示本公开的优选的一个具体例。即,以下的实施方式所示的数值、形状、材料、构成要素、构成要素的配置以及连接形态、步骤、步骤的顺序等是一例,并非旨在限定本公开。本公开基于权利请求书中的记载来确定。因此,以下的实施方式中的构成要素中的没有记载在表示本公开的最上位概念的独立技术方案中的构成要素,并一定是为了实现本公开的课题而必需的,但作为构成更优选的方式的构成要素来说明。
此外,各图是示意图,不一定严密地进行图示。因此,例如,各图中比例尺等不一定一致。此外,在各图中,对于实质上同一构成标注同一符号,重复的说明省略或简化。
此外,在本说明书中,表示同等的要素间的关系性的词语、及数值以及数值范围并不是表达仅表示严密的意思,是意味着实质上同等的范围,例如,表达包含几%程度(例如,10%程度)的差异。
(实施方式)
以下,对能够由进行远程、自主、手动的控制的控制装置来控制的机器人中的、切换该机器人的控制模式的控制模式切换装置以及控制模式切换方法进行说明。
[1.1机器人监视系统的整体构成]
图1是本实施方式中的机器人监视系统的整体构成图。在图1中,机器人监视系统具备机器人10a、机器人10b、机器人10c、网络20、集群管理服务器30、监视服务器40、以及远程控制终端50。
机器人10a、10b以及10c是在包含公共道路等公共场所的区域中进行规定的作业的机器人,例如,可以例示自动驾驶卡车、自主配送机器人等,但并不限定于此。机器人10a、10b以及10c是能够在两个以上的控制模式下进行动作的移动体。机器人10a、10b以及10c所具有的控制模式包含经由外部网络而由第一用户控制的远程控制模式、由来自第二用户的不经由外部网络的操作(例如,手动的操作)控制的手动控制模式、以及基于由分别设于机器人10a、10b以及10c的传感器取得的传感器信息而控制的自主控制模式中的两个以上。在本实施方式中,机器人10a、10b以及10c具有远程控制模式、手动控制模式、以及自主控制模式这三个模式。
机器人10a、10b以及10c经由网络20向集群管理服务器30与监视服务器40通知机器人的控制状态、位置信息、安全警告等机器人状态。机器人10a、10b、10c是相同的构成,因此,有时将它们一起作为机器人10进行说明。
网络20将机器人10a、机器人10b、机器人10c、集群管理服务器30、监视服务器40、以及远程控制终端50连接为能够相互通信(例如,能够无线通信)。网络20可以包含因特网或专用线路。网络20是将机器人10与机器人10的外部的装置连接的网络,是外部网络的一个例子。
集群管理服务器30从机器人10接收该机器人10的机器人状态,向机器人10的管理者提供用于管理机器人10是否正在适当地运行的接口。
监视服务器40是主要监视机器人10是否产生安全事件的服务器,从机器人10接收安全警告,向安全运营中心或安全事件响应小组提供用于分析/应对的接口。
另外,也可以从集群管理服务器30提供用于对机器人10进行远程控制的接口。
远程控制终端50是用于从远程对在远程操作模式下进行动作的机器人10进行操作的信息处理装置。远程控制终端50生成基于来自远程操作者的输入(例如、油门开度、制动压、转向角度等)的控制信号并经由网络20向机器人10发送,从而对该机器人10进行远程操作。另外,远程操作者,例如,也可以对机器人10进行远程管理。远程操作者是第一用户的一个例子。经由网络20由远程操作者控制机器人10的控制模式是远程控制模式的一个例子。
[1.2机器人的网络构成]
图2是本实施方式中的搭载于机器人10的机器人网络系统的构成图。在图2中,机器人网络系统(机器人网络)具备TCU(远程通信控制单元,Telematic Control Unit)100、中央ECU(电子控制单元,Electronic Control Unit)200、用户接口ECU300、Ethernet(以太网)交换机400、自主驾驶ECU500、传感器ECU600、以及促动器ECU700。在图2中省略,但机器人网络中还可以包含更多的ECU。机器人网络系统是控制系统的一个例子。此外,在机器人网络系统内收发的信息是通信消息的一个例子。
例如,各ECU是包含处理器(微处理器)、存储器等数字电路、模拟电路、通信电路等的装置。存储器是ROM(Read Only Memory,只读存储器)、RAM(Random Access Memory,随机存取存储器)等,能够存储由处理器执行的控制程序(计算机程序)。例如,通过处理器按照控制程序而动作,ECU实现各种功能。计算机程序是为了实现规定的功能,由多个对于处理器的指令代码组合而构成的。
本实施方式中,示出了各装置通过Ethernet(依据Ethernet而构建的Ethernet网络)连接并进行通信的例子,但机器人网络并不限于Ethernet(Ethernet网络)。例如,机器人网络也可以是Controller Area Network(CAN,控制器域网)(CAN网络),还可以是使用了FlexRay、专用通信线、无线通信的网络。此外,机器人网络是与网络20不同的网络,是为了控制机器人10而设于机器人10的内部(物理的内部)的控制网络(车载控制网络)。
TCU100具备与机器人10之外的网络(外部网络)之间的通信接口,具有经由网络20向集群管理服务器30与监视服务器40通知从中央ECU200通知的分析报告等的功能。
中央ECU200是承担机器人10的中心性角色的ECU,各种应用程序进行动作,实现机器人10的功能。
中央ECU200进行将机器人10的控制模式设为远程控制、自主控制、还是手动控制的判断。
中央ECU200具有感测在机器人10产生的异常,分析产生的异常,从而推断在机器人10产生的异常的原因,根据当前的机器人10的控制状态切换为安全的控制模式的功能。例如,中央ECU200也可以基于产生的异常(感测到的异常)与该异常的原因相对应的表格来推断异常的原因。
此外,中央ECU200基于从Ethernet交换机400接收的Ethernet帧所含的控制网络的信息,判断机器人10的控制状态,向TCU100通知用于向集群管理服务器30通知的信息。
此外,中央ECU200向TCU100通知用于向监视服务器40通知关于在机器人10内产生的异常的信息。
中央ECU200是控制模式切换装置的一个例子。
用户接口ECU300主要在手动控制模式时,从用于控制机器人10的用户接口受理用户进行的操作,向中央ECU200通知用于控制机器人10的操作内容,例如,控制转向、加减速等的操作内容。例如,作为用户接口可以例示操作设备、触摸面板、USB端口、Wi-Fi(注册商标,以下相同)模块等设备。另外,该用户是第二用户的一个例子。此外,经由用户接口ECU300的控制是基于不经由网络20的操作的控制的一个例子。此外,用户经由用户接口ECU300而控制(例如,直接控制)机器人10的控制模式是手动控制模式的一个例子。
Ethernet交换机400通过Ethernet连接于中央ECU200、自主驾驶ECU500以及促动器ECU700,为了使从各装置发送的Ethernet帧(通信消息的一个例子)到达适当的装置而对其进行传送。
自主驾驶ECU500主要在机器人10为自主控制模式时,使用由传感器ECU600取得的Ethernet帧所含的传感器信息,对于促动器ECU700进行促动器的控制指令从而实现机器人10的控制。
传感器ECU600例如连接于对机器人10的周边的影像进行拍摄的相机、进行机器人10的周边的物体感测的毫波雷达、速度传感器、加速度传感器、或GPS(Global PositioningSystem),将各种信息包含于Ethernet帧并经由Ethernet交换机400向其他装置通知。例如,在传感器信息中包含机器人10的位置信息、加速度、行驶速度、以及相机图像中的至少一个以上。
促动器ECU700是与机器人10的驱动/控制相关的促动器,例如,进行用于行驶/飞翔的马达以及发动机、以及用于转弯、方向转换的转向等控制。
另外,在本实施方式中,示出了传感器ECU600与促动器ECU700分别存在各一个的例子,但也可以是在机器人网络上存在多个传感器ECU、或多个促动器ECU。
[1.3TCU的构成]
图3是本实施方式中的TCU100的构成图。在图3中,TCU100具有外部通信部101、应用部102、内部通信部103、以及入侵感测部104。
外部通信部101是与网络20的通信接口,进行与集群管理服务器30以及监视服务器40之间的通信,关于通信内容,与应用部102进行信息的交换。
在应用部102中,基于从用于向集群管理服务器30或监视服务器40通知与机器人10的状态相关的信息的应用程序以及网络20接收到的数据,使向中央ECU200发送数据的应用程序进行动作。
内部通信部103与中央ECU200连接,与应用部102进行Ethernet帧的交换。
入侵感测部104是Intrusion Detection System(IDS,入侵检测系统),根据应用部102的举动来监视应用程序是否进行着不正当的动作。例如,入侵感测部104监视应用程序的CPU(Central Processing Unit)或存储器的资源使用率、通信量、通信目的地、文件的访问权限以及不正当的进程的起动等,监视是否收敛于基准值。此外,入侵感测部104监视外部通信部101是否与不正当的访问目的地进行了通信、通信帧内中是否包含恶意软件、通信量是否与通常值相比增大等。在观测到异常的举动的情况下,入侵感测部104为了通知安全警告,对应用部102进行安全警告的发送请求,向中央ECU200通知安全异常。
[1.4中央ECU的构成]
图4是本实施方式中的中央ECU200的构成图。在图4中,中央ECU200具有通信端口部201、主OS(Operating System,操作系统)部202、客OS部203、应对判断部204、异常感测部205、信用评分更新部206、用户管理部207、异常感测结果保持部208、信用评分保持部209、用户信息保持部210、以及控制模式保持部211。
通信端口部201与TCU100、用户接口ECU300以及Ethernet交换机400分别连接,进行通信。此外,通信端口部201具有根据通信内容向适当的网络进行传送的功能。此外,通信端口部201与主OS部202进行信息的收发。
主OS部202是中央ECU200的主要的操作系统(OS),与通信端口部201进行信息的传递,向客OS部203通知通信内容。此外,主OS部202对于应对判断部204也同样地进行通信内容的通知。
主OS部202定期地向集群管理服务器30与监视服务器40通知机器人10的状态。机器人10的状态包含有位置信息、控制模式、用户信息、异常感测结果等。
客OS部203是由中央ECU200的应用程序进行动作的OS。例如,在中央ECU200的应用程序中,基于从用户接口ECU300接收到的用户的控制信息,请求向Ethernet交换机400发送用于控制机器人10的控制指示的手动控制应用程序(手动控制应用)、基于从TCU100接收到的远程用户的控制信息请求向Ethernet交换机400发送用于控制机器人10的控制指示的远程控制应用程序(远程控制应用)等进行动作。客OS部203是与机器人网络连接并控制机器人10的控制装置的一个例子。控制装置设于机器人10内。
应对判断部204将从机器人网络接收到的安全警告储存于异常感测结果保持部208。
此外,在机器人10产生了异常时,应对判断部204基于储存于信用评分保持部209的信用评分以及储存于控制模式保持部211的机器人10的控制模式(例如,当前的控制模式),进行用于切换为能够使安全的控制继续的控制模式的处理。应对判断部204在机器人10产生了异常时,例如,进行切换为能够使安全的控制继续的控制模式的判断。应对判断部204基于由信用评分更新部206计算出的(更新后的)信用评分,切换机器人的控制模式。具体而言,应对判断部204,在计算出的信用评分成为规定值以下的情况下,根据成为规定值以下的信用评分的种类与当前的控制模式,变更控制模式保持部211的控制模式。另外,信用评分是表示是异常产生的要因的可能性的评分的一个例子。此外,变更控制模式保持部211的控制模式是切换控制模式一个例子。
异常感测部205进行在客OS部203中进行动作的应用程序的监视、以及基于从通信端口部201接收到的控制网络上的帧的异常控制的监视。该帧是通信消息的一个例子。
在客OS部203的应用程序的监视中,异常感测部205监视应用程序是否进行了不正当的动作。异常感测部205,例如,监视应用程序的CPU或存储器的资源使用率、通信量、通信目的地、文件的访问权限、不正当的进程的起动等,监视是否收敛于基准值。
在异常控制的监视中,异常感测部205感测与机器人10的危险的控制、可疑的控制等相关的异常举动。
作为异常举动,例如,可以例示超过阈值的加速度、紧急制动等安全机构的发动、机器人10与未设想的人或物之间的接触、或机器人10与人或物之间的阈值以下的距离的接近、机器人10从预先设定的运行路线的脱离、GPS信号的不匹配、对于机器人10的篡改、机器人10的拆解、不正当的装置对于用户接口ECU300的连接等。作为对于机器人10篡改,例如,是对于内部网络(机器人网络)的窃听(Tapping)。
作为异常举动,也可以还包含用户的认证失败、通信消息的认证失败、ECU的故障信息的通知等。
异常感测部205将检测到的异常与异常感测时刻一同记录于异常感测结果保持部208,向信用评分更新部206以及应对判断部204通知检测到异常。
这里,对异常感测部205所感测的异常进行说明。异常感测部205通过上述的监视等,感测第一用户或第二用户的控制引起的用户异常、控制网络引起的机器人异常、机器人10的动作环境引起的动作环境异常、以及与控制网络连接并控制机器人10的控制装置所动作的应用程序引起的应用程序异常中的某一个以上的异常。异常感测部205,例如,基于机器人10内的控制网络上的通信消息与机器人10的当前的控制模式,感测该某一个异常。
用户异常在控制模式是手动控制模式或远程控制模式时,检测到位置信息脱离预先设想的控制的范围、超过规定的阈值的加速度或行驶速度、以及基于相机图像的与预先没有设想的人或物之间的接触或接近中的某个异常。
机器人异常是感测到控制网络的通信信息所含的故障的通知、或控制网络的通信异常中的某个异常。
动作环境异常是感测到机器人10的位置信息的不连续的变化或无效的值、外部网络的通信异常、控制网络的电压变化、机器人10的拆解中的某个异常。
另外,异常感测部205是通过感测异常来取得该异常的取得部的一个例子。换言之,取得部由基于通信消息与控制模式来感测用户异常、机器人异常、动作环境异常以及应用程序异常中的某一个以上的异常的异常感测部205来实现。
另外,在本实施方式中,异常感测部205存在与中央ECU200内部,但异常感测部205的功能也可以分散地配置于机器人10的内部,也可以在集群管理服务器30或监视服务器40中。在这种情况下,通信端口部201是经由TCU100而取得集群管理服务器30或监视服务器40的感测结果的取得部的一个例子。
信用评分更新部206基于储存于异常感测结果保持部208的异常感测结果与储存于控制模式保持部211的控制模式,计算被认为是异常产生的要因的对象的信用评分。作为被认为是异常产生的要因的对象,例示了应用(应用程序)、用户、机器人、通信、以及动作环境。应用、用户、机器人、通信、以及动作环境是异常的对象(异常的种类)的一个例子。
按每个应用程序、按每个用户、按每个机器人10内的装置、按每个通信路、按每个动作环境计算信用评分。例如,信用评分更新部206在机器人10在远程控制中仅被检测到路线的脱离的不正当的控制的情况下,设为进行了机器人10的远程控制的用户无法信用,使控制机器人10的用户的信用评分减少。此外,信用评分更新部206在除了路线的脱离的不正当的控制以外还检测到GPS信号的不匹配的情况下,使机器人10进行动作的环境的信用评分减少,使成为在机器人10检测到异常的要因的对象的信用评分减少。信用评分更新部206,例如,也可以基于将感测到的异常与使在该异常中减少的异常的对象相对应的表格,使成为机器人10中的异常的产生要因的对象的信用评分,即感测到的异常所对应的异常的对象的信用评分减少。
如此,信用评分更新部206计算信用评分,在计算出的信用评分比规定值低的情况下,向应对判断部204通知在当前的模式下使机器人10的控制继续的风险较高。也可以说,信用评分更新部206基于异常感测结果,计算按基于感测到的异常而被分类的每个异常的对象的信用评分。
另外,在上述中,对信用评分更新部206若检测到异常则使信用评分减少的例子进行了说明,但并不限定于此,也可以使信用评分上升。
另外,切换部构成为包含上述的应对判断部204与信用评分更新部206。
用户管理部207管理登录于机器人10的用户。机器人10中能够登录多个用户,登录的用户能够利用机器人10的应用程序。按每个用户预先赋予机器人10的控制、监视、管理者的权限。
登录于机器人10并且被赋予了控制权的用户能够进行机器人10的远程控制,登录于机器人10并被赋予了监视权的用户能够访问机器人10的传感器信息(例如,相机图像)。
此外,登录于机器人10并且被赋予了管理者的权限的用户除了控制权以及监视权以外,能够进行储存于异常感测结果保持部208的异常感测结果、储存于信用评分保持部209的信用评分、储存于用户信息保持部210的用户信息以及储存于控制模式保持部211的控制模式的信息的读取。
用户管理部207进行登录机器人10的用户的认证,对用户的权限与储存于用户信息保持部210的用户信息一起进行更新。
异常感测结果保持部208中储存有与机器人10相关的异常感测结果。储存于异常感测结果保持部208的异常感测结果的详细情况使用图12后述。
信用评分保持部209中,基于储存于异常感测结果保持部208的异常感测结果与储存于控制模式保持部211的控制模式,保持有按每个会成为异常的产生要因的对象而保持的信用评分,即成为异常的产生要因的可能性的高度、风险的大小等信息。储存于信用评分保持部209的信用评分的详细情况使用图13后述。
用户信息保持部210中储存有登录至机器人10内的用户的信息。储存于用户信息保持部210的用户信息的详细情况使用图14后述。
控制模式保持部211中储存有机器人10的当前的控制模式。储存于控制模式保持部211的控制模式的详细情况使用图15后述。
[1.5用户接口ECU的构成图]
图5是本实施方式中的用户接口ECU300的构成图。在图5中,用户接口ECU300具有通信端口部301以及外部设备连接部302。
通信端口部301与中央ECU200连接,进行与中央ECU200的消息的传递。通信端口部301主要承担向中央ECU200通知从外部设备连接部302接收到的控制信息的角色。
外部设备连接部302与进行机器人10的手动控制的用户所操作的设备或设备的接口连接。作为外部连接设备,可例示转向器、控制器、交换机、触摸面板等。此外,作为外部连接设备的接口,可例示USB端口、Wi-Fi模块、诊断端口、Bluetooth(注册商标,蓝牙)等通信接口。
[1.6Ethernet交换机的构成图]
图6是本实施方式中的Ethernet交换机400的构成图。在图6中,Ethernet交换机400具有通信端口部401以及入侵感测部402。
通信端口部401具备四个物理端口,四个物理端口分别与中央ECU200、自主驾驶ECU500、传感器ECU600以及促动器ECU700连接,根据接收到的帧的内容,进行帧的传送。
此外,四个物理端口各自为了进行接收到的帧的监视,向入侵感测部402通知帧。
入侵感测部402是监视从通信端口部401通知的帧,并确认不正当的通信是否产生的网络IDS(Intrusion Detection System,入侵检测系统)。
在判断为产生了不正当的通信的情况下,入侵感测部402生成安全警告,向通信端口部401进行安全警告的发送请求,对中央ECU200通知安全警告。
不正当的通信在存在预先设定的地址以外的地址的利用、是异常的通信量、或通信模式与规定的攻击模式一致的情况下被感测。
[1.7自主驾驶ECU的构成图]
图7是本实施方式中的自主驾驶ECU500的构成图。在图7中,自主驾驶ECU500具有通信端口部501、应用部502、以及应用监视部503。
通信端口部501是与Ethernet交换机400连接,进行帧的收发的通信接口。
在应用部502中,在机器人10的控制模式为自主控制模式时动作的自主控制应用程序进行动作。自主控制应用程序基于从传感器ECU600接收到的传感器值,对于促动器ECU700进行促动器的控制指示的帧的发送。
应用监视部503监视应用部502的举动,检测不正当的进程的执行、异常的资源使用的检测、诊断指令的访问错误以及帧所含的消息认证代码的验证失败等与安全相关的活动。
在检测到不正当的安全的活动的情况下,应用监视部503生成安全警告,向通信端口部501进行安全警告的发送请求,对中央ECU200通知安全警告。
[1.8传感器ECU以及促动器ECU的构成图]
接着,对传感器ECU600以及促动器ECU700的构成进行说明。促动器ECU700的构成基本是与传感器ECU600相同的构成,因此省略说明。另外,促动器ECU700的构成是与传感器ECU600相同,但存在功能不同的构成。
图8是本实施方式中的传感器ECU600的构成图。在图8中,传感器ECU600具有通信端口部601、应用部602、以及外部设备连接部603。
通信端口部601是与Ethernet交换机400的通信接口。
应用部602将从外部设备连接部603通知的传感器信息构成为Ethernet帧,对通信端口部601进行发送请求。在促动器ECU700的情况下,应用部602基于从传感器ECU600通知的传感器信息、从中央ECU200或自主驾驶ECU500通知的控制指示等,控制与外部设备连接部603连接的促动器。
外部设备连接部603与对搭载于机器人10的周边环境、以及机器人10的状态进行掌握(例如,进行测量)的传感器连接,接收传感器信息(例如,测量结果)。传感器例如是行驶速度传感器、加速度传感器、横摆角速度传感器、GPS、相机、LiDAR、毫米波雷达等。在促动器ECU700的情况下,外部设备连接部603与控制机器人10的促动器连接。促动器例如是马达、发动机、方向盘等。
[1.9集群管理服务器的构成图]
图9是本实施方式中的集群管理服务器30的构成图。在图9中,集群管理服务器30具有通信部31、集群管理部32、机器人状态保持部33、以及账号信息保持部34。
通信部31是与网络20连接,与机器人10以及监视服务器40的进行通信的通信接口。
集群管理部32管理从通信部31接收到的机器人10的信息。集群管理部32根据从通信部31接收到的机器人10的控制状态,更新储存于机器人状态保持部33的机器人10的状态。
此外,集群管理部32从机器人10接收登录于机器人10的用户的信息,更新保持于账号信息保持部34的账号信息。
机器人状态保持部33储存有机器人10的状态。储存于机器人状态保持部33的机器人状态的详细情况使用图16后述。
账号信息保持部34储存有能够访问机器人10的用户的信息。储存于账号信息保持部34的账号信息的详细情况使用图17后述。
[1.10监视服务器的构成图]
图10是本实施方式中的监视服务器40的构成图。在图10中,监视服务器40具有通信部41、监视部42、分析接口部43、机器人信用评分保持部44、以及用户信用评分保持部45。
通信部41是与网络20连接,与机器人10以及集群管理服务器30进行通信的通信接口。
监视部42基于从机器人10通知的机器人10的状态、安全警告等,监视在机器人是否产生安全事件。此外,监视部42基于从机器人10通知的信用评分,更新储存于机器人信用评分保持部44的机器人10的信用评分以及储存于用户信用评分保持部45的用户的信用评分。
分析接口部43是在安全事件产生时,用于对于安全运营中心或安全事件响应小组通知产生的安全事件的报告、或用于安全分析师进行详细的分析的分析接口。
机器人信用评分保持部44基于从机器人10通知的信用评分,储存与机器人10相关的信用评分。储存于机器人信用评分保持部44的机器人的信用评分的详细情况使用图18后述。
用户信用评分保持部45基于从机器人10通知的信用评分,储存与用户相关的信用评分。储存于用户信用评分保持部45的用户的信用评分的详细情况使用图19后述。
[1.11远程控制终端的构成图]
图11是本实施方式中的远程控制终端50的构成图。在图11中,远程控制终端50具有通信部51、远程控制应用部52、以及用户接口部53。
通信部51是与网络20连接,与机器人10以及集群管理服务器30进行通信的通信接口。
远程控制应用部52是用于进行机器人10的远程控制的应用程序,从用户接口部53接受用户的操作内容,经由通信部51向机器人10通知控制内容。
用户接口部53提供用于用户控制机器人10的接口。用户接口部53例如是基于触摸面板、控制器等的用户用的接口。
[1.12异常感测结果的一个例子]
图12是表示本实施方式中的异常感测结果的一个例子的图。图12所示的异常感测结果储存于异常感测结果保持部208。异常感测结果不仅被中央ECU200的异常感测部205更新,还可以根据从机器人10内的TCU100的入侵感测部104、Ethernet交换机400的入侵感测部402以及自主驾驶ECU500的应用监视部503中的某个通知的安全警告而被更新。此外,异常感测结果还可以根据通知机器人10内的故障的消息等而被更新。
在图12中,作为异常感测结果,将异常感测内容、时刻(例如,产生时刻)、感测装置(例如,感测到异常的装置)相对应地进行保持。这里的时刻可以是由中央ECU200测量的内部的系统时刻,也可以是安全警告所含的时刻。
在图12中,示出了在10时50分20秒通过中央ECU200感测到路线脱离的异常,在10时45分30秒通过中央ECU200感测到紧急制动发动感测,在10时45分29秒通过中央ECU200感测到急剧的加减速。
另外,在本实施方式中,示出了异常感测结果保持有在机器人10内检测到的异常的例子,但也可以不在机器人10内检测异常。例如,也可以是,在集群管理服务器30上,在检测到机器人10的异常的情况下,通过从集群管理服务器30向机器人10通知安全警告,来更新异常感测结果。同样,也可以基于从监视服务器40通知的安全警告来更新异常感测结果。
[1.13信用评分的一个例子]
图13是表示本实施方式中的信用评分的一个例子的图。图13所示的信用评分储存于信用评分保持部209。信用评分例如通过信用评分更新部206在异常感测结果被更新的定时更新。
在图13中,作为信用评分,保持信用评分的对象(异常的种类)分别被分类为应用(应用程序)、用户、机器人、通信以及动作环境。另外,该对象至少被分类为一个即可。此外,也可以基于将感测到的异常与产生要因的对象相对应的表格,判断异常被分类为哪一个对象。
应用进一步被分类为在中央ECU200的客OS部203中进行动作的远程控制应用、在自主驾驶ECU500的应用部502中进行动作的自主控制应用、以及在中央ECU200的客OS部203中进行动作的手动控制应用。远程控制应用是用于远程控制模式的第一应用程序,在机器人10的控制模式是远程操作模式的情况下执行。自主控制应用是用于自主控制模式的第三应用程序,在机器人10的控制模式是自主控制模式的情况下执行。手动控制应用是用于手动控制模式的第二应用程序,在机器人10的控制模式是手动控制模式的情况下执行。例如,远程控制应用、自主控制应用、以及手动控制应用排他地执行。
对于用户,按每个访问并登录机器人10的用户保持信用评分。
机器人10主要被分类为与机器人10的控制平台相关的装置等,在图13中,被分类为传感器ECU600与促动器ECU700。
通信进一步被分类为机器人内的网络(机器人网络)以及网络20等外部通信。
动作环境被分类为机器人进行动作的环境,在图13中是接近机器人10的人或通信基础设施的环境(通信环境)。
在图13的例子中,远程控制应用的信用评分为100,自主控制应用的信用评分为100,手动控制应用的信用评分为100,用户A的信用评分为80,用户B的信用评分为80,传感器ECU600的信用评分为100,促动器ECU700的信用评分为100,机器人内网络(控制网络)的信用评分为100,外部通信的信用评分为100,人/通信环境的信用评分为50。
另外,异常的种类可以是应用、用户、机器人、通信、以及动作环境,也可以是远程控制应用、自主控制应用、手动控制应用、用户A、用户B、传感器ECU、促动器ECU、机器人内网络、外部通信、以及人/通信环境。
另外,应用、用户、机器人、通信以及动作环境,或远程控制应用、自主控制应用、手动控制应用、用户A、用户B、传感器ECU、促动器ECU、机器人内网络、外部通信、以及人/通信环境也可以说是信用评分的种类。
另外,对象为应用以及用户的信赖评分是在机器人10a~10c中共通地使用的评分。此外,对象“机器人”中也可以包含应用以及通信。此外,信用评分的初始值被预先设定。
[1.14用户信息的一个例子]
图14是表示本实施方式中的用户信息的一个例子的图。图14所示的用户信息储存于中央ECU200的用户信息保持部210。用户信息以登录于机器人10的用户的ID与用户的权限相对应的方式被储存。
在图14中,示出了登录于机器人10的用户为两人,用户A持有控制权限,用户B持有监视权限的例子。
[1.15控制模式的一个例子]
图15是表示本实施方式中的控制模式的一个例子的图。图15所示的控制模式储存于中央ECU200的控制模式保持部211。在图15中,示出了机器人10的控制模式为被远程控制的状态(远程控制模式)。例如,机器人10的当前的控制模式是“远程控制”。
另外,在本实施方式中,作为机器人10的控制模式,设为机器人10被远程控制的远程控制模式、机器人10进行自主控制的自主控制模式、以及机器人10通过手动而控制的手动控制模式,但控制模式并不限定于此。作为其他控制模式,例如,也可以包含紧急控制模式等。
此外,在图15的例子中,储存于控制模式保持部211的信息中仅包含机器人10的控制模式,但也可以还包含与机器人10的控制相关的状态。储存于控制模式保持部211的信息中,例如,也可以包含机器人10的位置信息、机器人10的控制状态(行驶中、停止中等)等。即,也可以在控制模式保持部211储存机器人10的位置信息、机器人10的控制状态等。
[1.16机器人状态的一个例子]
图16是表示本实施方式中的机器人状态的一个例子的图。图16所示的机器人状态储存于集群管理服务器30的机器人状态保持部33。机器人状态保持部33中储存有集群管理服务器30所管理的所有的机器人10(图1的例子中,机器人10a、10b以及10c)的状态。
在图16的例子中,机器人10a的控制模式为远程控制模式,位置信息为XXX,动作状态为人行道行驶中,机器人10b的控制模式为自主控制模式,位置信息为YYY,动作状态为停车中,机器人10c的控制模式为手动控制模式,位置信息为ZZZ,动作状态为停止中。另外,图16所示的机器人状态例如是当前时间点的(例如,最新的)状态。
[1.17账号信息的一个例子]
图17是表示本实施方式中的账号信息的一个例子的图。图17所示的账号信息储存于集群管理服务器30的账号信息保持部34。账号信息保持部34中储存有集群管理服务器30所管理的用户的账号信息。例如,账号信息保持部34中储存有集群管理服务器30所管理的所有的用户的账号信息。
在图17的例子中,示出了用户A正在控制机器人10a,用户B正在监视机器人10a,用户C正在监视机器人10b,用户D正在监视机器人10c。
另外,并不限定于一个用户控制或监视一台机器人10,也可以是一个用户控制或监视多台机器人10,还可以是多个用户控制或监视一台机器人10。
另外,账号信息中也可以不仅包含用户的状态,还包含对于机器人10用户被许可的权限信息、连接源信息等。
[1.18机器人信用评分的一个例子]
图18是表示本实施方式中的机器人信用评分的一个例子的图。图18所示的机器人信用评分储存于监视服务器40的机器人信用评分保持部44。储存于监视服务器40信用评分基于从机器人10通知的信用评分而被更新。例如,在从机器人10通知了图13所示的信用评分的情况下,储存于机器人信用评分保持部44的该机器人10的信用评分被更新为除去用户与动作环境后的对象中的最小的信用评分。
在图18的例子中,机器人10A的信用评分为100,机器人10B的信用评分为100,机器人10C的信用评分为50。
另外,信用评分也可以不以机器人10单位而以机器人10的构成要素单位而储存于机器人信用评分保持部44。
[1.19用户信用评分的一个例子]
图19是表示本实施方式中的用户信用评分的一个例子的图。图19所示的用户信用评分储存于监视服务器40的用户信用评分保持部45。保持于监视服务器40用户的信用评分基于通过机器人10通知的信用评分而被更新。例如在从机器人10通知了图13所示的信用评分的情况下,储存于用户信用评分保持部45的该用户的信用评分被更新为所通知的用户的信用评分。
在图19的例子中,示出了用户A的信用评分为80,用户B的信用评分为80,用户C的信用评分为50,用户D的信用评分为20。
[1.20对于用户的不正当的远程控制的控制模式切换时序]
图20是表示在本实施方式中的对于用户的不正当的远程控制的控制模式切换时序(控制模式切换方法)的图。具体而言,图20是表示操作远程控制终端50的正规的用户控制机器人10a,以在不正当的路线行驶的方式进行了控制的情况下,切换机器人10A的控制模式时序的图。
(S101)远程控制终端50通过来自用户(远程操作者)的操作,进行登录机器人10a的处理,开始机器人10A的远程控制。也可以说,用户操作远程控制终端50,登录机器人10a,开始机器人10A的远程控制。
(S102)机器人10A的用户管理部207完成用户的认证并使登录完成。若登录完成,则用户被赋予机器人10A的控制权,机器人10a移至远程控制模式。
(S103)机器人10a向集群管理服务器30与监视服务器40通知机器人10A的控制模式与用户信息的机器人状态(控制模式、用户信息、位置信息等)。
(S104)集群管理服务器30按照被通知的机器人状态,更新储存于机器人状态保持部33的机器人状态以及储存于账号信息保持部34的账号信息。
(S105)监视服务器40按照通知的机器人状态,向机器人10a通知储存于用户信用评分保持部45的登录于机器人10a的用户的信用评分。
(S106)机器人10A的信用评分更新部206基于从监视服务器40通知的用户的信用评分,更新储存于中央ECU200的信用评分保持部209的对应的用户的信用评分。
(S107)用户经由远程控制终端50对于机器人10a进行不正当的控制。例如,用户经由远程控制终端50,以使机器人10a超过预先允许控制的区域而移动的方式进行控制。
(S108)机器人10A的异常感测部205基于当前的位置信息与预先确定的控制区域,感测脱离了预先设定的运行路线(控制路线)(路线脱离感测),向集群管理服务器30与监视服务器40通知安全警告。
(S109)机器人10A的信用评分更新部206基于异常感测部205感测到的脱离了路线的异常,使作为该异常的产生要因的对象的用户的信用评分减少。如此,在感测结果包含感测到用户异常的情况下,信用评分更新部206减少用户的信用评分。此外,也可以是,在用户的信用评分为成为规定的值(第一阈值的一个例子)以下的情况下,应对判断部204判断为剥夺该用户对于机器人10a的控制权。另外,评分的减少是评分的更新的一个例子。
(S110)机器人10A的应对判断部204将控制模式从远程控制模式移至自主控制模式,向集群管理服务器30与监视服务器40通知更新后的信用评分与控制模式的机器人10A的状态。另外,也可以是,在步骤S110中,应对判断部204将控制模式从远程控制模式移至手动控制模式。
另外,也可以是,在存在多个用户的情况下,应对判断部204按多个用户中的每个用户分别计算信用评分,在控制模式为远程控制模式并且评分成为第一阈值以下的不正当的用户进行了机器人10A的控制的情况下,应对判断部204进行不受理该不正当的用户进行的控制、请求向其他用户的变更、或将控制模式切换为远程控制模式以外的控制模式中的至少一个。
[1.21对于附近第三方进行的攻击的控制模式切换时序]
图21是表示本实施方式中的对于附近第三方进行的攻击的控制模式切换时序(控制模式切换方法)的图。图21是与接近机器人10a的具有恶意的第三方想要篡改机器人10A的位置信息并不正当地控制机器人10a的情况对应的控制模式切换时序。设为接近机器人10a的具有恶意的第三方没有登录至机器人10a。
(S201)机器人10a在自主控制模式下开始自主控制。
(S202)机器人10a向集群管理服务器30与监视服务器40通知控制模式的状态。
(S203)集群管理服务器30基于通知的机器人10A的状态,更新储存于机器人状态保持部33的机器人状态。
(S204)接近机器人10a的具有恶意的第三方对于机器人10a进行GPS信号的篡改并不正当地控制机器人10a。
(S205)机器人10a检测GPS信号的非连续的变化导致的异常、基于被篡改的GPS信号的当前位置以及通过相机等识别的当前位置的不匹配,向集群管理服务器30与监视服务器40通知安全警告。步骤S205的动作例如由异常感测部205执行。
(S206)机器人10A的信用评分更新部206基于异常感测部205感测到的异常感测结果而使动作环境的信用评分减少。如此,信用评分更新部206在感测结果包含感测到动作环境异常的情况下,减少动作环境的信用评分。
(S207)机器人10A的应对判断部204在动作环境的信用评分减少而成为规定的值(第三阈值的一个例子)以下的情况下,判断为机器人10A的安全的自主控制难以继续,从自主控制模式移至回退模式,向集群管理服务器30与监视服务器40一并通知安全警告与机器人10A的状态。回退模式是对机器人10A的功能进行限制的自主驾驶模式,是直到能够安全地停止的区域为止进行必要最低限度的自主行驶并停止的模式。此外,也可以是,应对判断部204在动作环境的评分成为规定的值(第三阈值)以下的情况下,向外部(例如,集群管理服务器30与监视服务器40)请求用于进行动作环境的确认的警告。
(S208)监视服务器40接受安全警告,为了确认在动作环境中产生了异常,登录机器人10a,取得监视权,确认机器人10A的周边环境。
(S209)集群管理服务器30接受机器人状态的通知,更新储存于机器人状态保持部33的机器人状态。
另外,在图20以及图21中未图示,但也可以是,信用评分更新部206在感测结果包含感测到机器人异常的情况下,减少机器人10A的信用评分,应对判断部204在机器人10A的信用评分成为规定的值(第二阈值)以下的情况下,使控制模式切换为回退模式。此外,也可以是,信用评分更新部206在感测结果包含感测到应用程序异常的情况下,减少应用程序的信用评分,应对判断部204在应用程序的信用评分成为规定的值以下的情况下,切换为使用信用评分成为规定的值以下的应用程序以外的应用程序的控制模式。
[1.22中央ECU的异常应对处理整体流程图]
图22是表示本实施方式中的中央ECU200的异常应对处理的整体的流程图(控制模式切换方法)。图22是从中央ECU200的异常感测到进行异常应对的整体流程图。
(S301)中央ECU200判断是否感测到异常、或是否通知了异常。中央ECU200在没有感测到异常并且没有被通知异常的情况下(S301中的否),结束处理。此外,中央ECU200在感测到异常或被通知了异常的情况下(S301中的是),执行步骤S302。异常的感测例如通过异常感测部205是否感测到异常来判断。此外,异常的通知例如通过经由TCU100是否取到了感测到异常的感测结果来判断。
(S302)中央ECU200基于感测到或被通知的异常,更新储存于异常感测结果保持部208的异常感测结果。
(S303)中央ECU200基于储存于异常感测结果保持部208的异常感测结果,更新储存于信用评分保持部209的信用评分。步骤S303的动作的详细情况使用图23后述。
(S304)中央ECU200确认是否存在储存于信用评分保持部209的信用评分成为规定值以下(例如,50)的信用评分。在不存在信用评分成为规定值以下的信用评分的情况下(S304中的否),中央ECU200结束处理。此外,在存在信用评分成为规定值以下的信用评分的情况下(S304中的是),中央ECU200执行步骤S305。
(S305)中央ECU200基于成为规定值以下的信用评分与当前的控制模式,进行异常应对处理并结束。步骤S305的动作的详细情况使用图24以及图25后述。
[1.23中央ECU的信用评分更新流程图]
图23是表示在本实施方式中的中央ECU200的信用评分更新处理的流程图(控制模式切换方法)。图23是表示中央ECU200中的图22的步骤S303的更新信用评分的处理的详细情况的流程图。
(S401)中央ECU200判断感测到的异常的种类。在感测到的异常是环境异常的情况下,中央ECU200执行步骤S402。在感测到的异常是应用异常的情况下,中央ECU200执行步骤S403。在感测到的异常是机器人异常的情况下,中央ECU200执行步骤S404。在感测到的异常是通信异常的情况下,中央ECU200执行步骤S405。在感测到的异常是用户异常的情况下,中央ECU200执行步骤S406。
也可以说,中央ECU200在步骤S401中,例如,基于将感测到的异常与该异常所对应的异常的种类相对应的表格,推断感测到的异常的种类(产生要因)。
(S402)中央ECU200的信用评分更新部206在感测到的异常是环境异常的情况下,例如,在感测到GPS信号的异常、篡改的检测、外部通信环境的遮挡等的情况下,使动作环境的信用评分减少规定的值,例如,1。
(S403)中央ECU200的信用评分更新部206在感测到的异常是应用异常的情况下,例如,在应用程序的CPU或存储器的资源使用率、通信量、通信目的地、文件的访问权限、或不正当的进程的起动等在规定的规则的范围外的情况下,使该应用的信用评分减少规定的值,例如,1。也可以通过应用监视部503来监视应用程序的CPU或存储器的资源使用率、通信量、通信目的地、文件的访问权限、或不正当的进程的起动等。此外,也可以通过异常感测部205来判断是否为规定的规则的范围外。此外,规定的规则是满足基准值(例如,为基准值以下)。基准值被预先设定,例如,存储于中央ECU200。
在这种情况下,在感测结果中,例如,作为应用程序异常,包含远程操作应用的异常(第一应用程序的异常)、手动控制应用的异常(第二应用程序的异常)、以及自主控制应用的异常(第三应用程序的异常的异常)中的某个。远程操作应用、手动控制应用以及自主控制应用是异常的种类的一个例子。并且,信用评分更新部206在感测到远程操作应用的情况下,使远程操作应用评分减少,在感测到手动控制应用的异常的情况下,使手动控制应用的评分减少,在感测到自主控制应用的异常的情况下,使自主控制应用的评分减少。
(S404)中央ECU200的信用评分更新部206在感测到的异常是机器人异常的情况下,例如,在从ECU被通知了故障代码等的情况下,使该ECU的信用评分减少规定的值,例如,1。
(S405)中央ECU200的信用评分更新部206在感测到的异常是通信异常的情况下,例如,在通过网络IDS通知了网络的通信量、通信消息的不匹配等的情况下,使该网络的信用评分减少规定的值,例如,1。
(S406)中央ECU200的信用评分更新部206在感测到的异常是用户异常的情况下,例如,在检测到超过规定的值的加速度感测、超过规定的速度的行驶控制、从规定的区域的脱离、紧急制动等安全机构的发动等可以认为是在远程控制模式时由于用户的不正当而检测到的异常的情况下,确认除用户的信用评分以外,是否存在成为规定的阈值以下的信用评分的对象(异常)。
在存在规定的值以下的信用评分的情况下(S406中的是),中央ECU200的信用评分更新部206判断为由信用评分低的对象导致引起了用户异常,结束处理。即,不更新用户的信用评分。如此,信用评分更新部206在感测结果包含感测到用户异常并且机器人10A的评分、动作环境的评分、以及应用程序的评分中的某个满足规定的条件的情况下,也可以不更新用户的评分。规定的条件包含机器人10A的评分为规定值以下、动作环境的评分为规定值以下、以及应用程序的评分为规定值以下中的至少一个。
此外,在不存在规定的值以下的信用评分的情况下(S406中的否),中央ECU200执行步骤S407。
(S407)中央ECU200的信用评分更新部206使对应的用户的信用评分减少规定的值,例如,1。
如此,信用评分更新部206根据感测到的异常推断异常的产生原因,使推断出的异常的产生要因所对应的信用评分减少。
图23所示的处理例如每次感测到异常时执行。换言之,每次感测到异常,更新某个信用评分。另外,也可以不进行步骤S406的判断。
[1.24中央ECU的异常应对流程图]
图24是表示本实施方式中的中央ECU200的异常应对处理的流程图(控制模式切换方法)。图24是表示中央ECU200中的图22的步骤S305所示的异常应对的处理的详细情况的流程图。
(S501)中央ECU200的应对判断部204确认成为阈值以下的信用评分的种类。在成为阈值以下的信用评分的种类是环境(例如,动作环境)的情况下,中央ECU200执行步骤S502。在成为阈值以下的信用评分的种类是应用的情况下,中央ECU200执行步骤S503。在成为阈值以下的信用评分的种类是机器人10a的情况下,中央ECU200执行步骤S506。在成为阈值以下的信用评分的种类是通信的情况下,中央ECU200执行步骤S507。在成为阈值以下的信用评分的种类是用户的情况下,中央ECU200执行步骤S508。
(S502)中央ECU200的应对判断部204对集群管理服务器30与监视服务器40进行监视请求或通知。
(S503)中央ECU200的应对判断部204禁止经由对应的应用(信用评分成为阈值以下的应用)的控制模式。中央ECU200的应对判断部204,例如,判断为在自主控制应用的信用评分成为规定的阈值(第六阈值)以下的情况下,禁止自主控制模式,在远程控制应用的信用评分成为规定的阈值(第四阈值)以下的情况下,禁止远程控制模式,在手动控制应用的信用评分成为规定的阈值(第五阈值)以下的情况下,禁止手动控制模式。判断结果也可以向集群管理服务器30与监视服务器40通知。
另外,第四~第六阈值可以是相同的值,也可以是相互不同的值。
(S504)中央ECU200的应对判断部204确认保持于控制模式保持部211的当前的控制模式是否被禁止。应对判断部204在当前的控制模式被禁止了的情况下(S504中的是),执行步骤S505,在当前的控制模式没有被禁止的情况下(S504中的否),结束处理。
(S505)中央ECU200的应对判断部204切换控制模式并结束。步骤S505的动作的详细情况使用图25后述。
(S506)中央ECU200的应对判断部204切换控制模式并结束。步骤S506的动作的详细情况使用图25后述。
(S507)中央ECU200的应对判断部204对于监视服务器40通知请求网络异常的分析的安全警告并结束。
(S508)中央ECU200的应对判断部204判断为剥夺对应的用户的控制权。具体而言,中央ECU200的应对判断部204判断为使对应的用户的权限成为监视权、或禁止对应的用户对机器人10的登录。
(S509)中央ECU200的应对判断部204切换控制模式、或切换至由代替的用户进行的远程控制并结束。步骤S509的切换控制模式的动作的详细情况使用图25后述。
另外,也可以是,应对判断部204在两种以上的信用评分成为规定的阈值以下的情况下,以机器人10A的信用评分、动作环境的信用评分、用户的信用评分的优先顺序进行基于各评分的应对。即,也可以对执行的应对设置优先顺序。该优先顺序被预先设定并存储于中央ECU200。应对判断部204在机器人10A的信用评分以及用户的信用评分为规定的阈值以下的情况下,也可以比步骤S508的处理优先地执行步骤S506的处理。所谓优先地执行,例如,包含与步骤S508的处理相比先执行步骤S506的处理、以及在步骤S506以及步骤S508中仅执行步骤S506的处理等。
[1.25中央ECU的控制模式切换流程图]
图25是表示在本实施方式中的中央ECU200的控制模式切换处理的流程图(控制模式切换方法)。图25是表示中央ECU200中的进行图24的步骤S505、S506以及S509的控制模式切换的动作的详细情况的流程图。在图24所示的步骤S505、S506以及S509中,执行图25所示的处理。图25所示的动作例如是步骤S505、S506以及S509中的共通的动作。
(S601)中央ECU200的应对判断部204判断机器人10A的当前位置是否在能够切换控制模式的区域并且是否是能够切换控制模式的状态。能够切换控制模式的区域被预先确定,机器人10a能够在安全的状态下停止的场所被选择为能够切换控制模式的区域。
此外,能够切换控制模式的状态是指并不是机器人10a在规定的控制中而难以安全地切换控制主体情况的状态。规定的控制中例如是行驶动作中(行驶控制中)。例如,行驶动作中不是能够切换控制模式的状态,停车中是能够切换控制模式的状态。
中央ECU200的应对判断部204在判断为能够切换控制模式的情况下(S601中的是),执行步骤S602。此外,中央ECU200的应对判断部204在判断为不能够切换控制模式的情况下(S601中的否),执行步骤S606。
另外,在步骤S601中,基于传感器信息以及机器人10A的状态中的至少一个,进行机器人10A的当前位置是否是能够切换控制模式的区域以及是否是能够切换控制模式的状态中的至少一个判断即可。由此,仅在机器人10a是规定的控制状态的情况以及机器人10a存在于规定的范围的情况中的至少一个情况下,就能够进行控制模式的切换。
(S602)中央ECU200的应对判断部204确认机器人10A的控制继续是否必要并且机器人是否没有异常(例如,机器人10A的信用评分是否没有在规定的阈值以下)。应对判断部204在机器人10A的控制继续并不必要或机器人异常(例如,机器人10A的信用评分为规定的值以下)的情况下(S602中的否),执行步骤S607。此外,应对判断部204在机器人10A的控制继续必要并且机器人没有异常(例如,机器人10A的信用评分比规定的值大)的情况下(S602中的是),执行步骤S603。
另外,机器人10A的控制继续必要的情况是指,机器人10a在规定的作业中(例如,货物的运输等),由于机器人10A的控制中断,服务的可用性降低的情况、或由于机器人10A的控制中断,对周围的人、物、环境造成安全性的影响的情况。
(S603)中央ECU200的应对判断部204确认是否是用户异常(例如,当前持有控制权的用户的信用评分为规定的值以下)并且控制模式是远程控制模式。应对判断部204在是用户异常(例如,信用评分为规定的值以下)并且是远程控制模式的情况下(S603中的是),执行步骤S604。此外,应对判断部204在并不是用户异常(例如,信用评分比规定的值大)、或并不是远程控制模式的情况下(S603中的否),执行步骤S608。
另外,例如,在并不是用户异常但是是远程操作模式、是用户异常但不是远程操作模式、以及是应用异常的情况下,在步骤S603中判断为否。换言之,在步骤S603中判断为否的情况下,仍留有异常是用户异常或应用异常的可能性。
(S604)中央ECU200的应对判断部204判断是否存在能够赋予控制权的用户。应对判断部204,例如,基于图17所示的账号信息以及图19所示的用户信用评分中的至少一个,进行步骤S604的判断。
能够赋予控制权的用户,例如,可以是对机器人10a已经登录完毕并被赋予了监视权的用户,也可以是由集群管理服务器30新分配的用户。
应对判断部204在供赋予控制权的用户存在的情况下(S604中的是),执行步骤S605。此外,应对判断部204在供赋予控制权的用户不存在的情况下(S604中的否),执行步骤S609。
(S605)中央ECU200的应对判断部204向能够赋予控制权的用户赋予控制权,继续远程控制模式并结束。也可以说,应对判断部204通过步骤S508(图24)与步骤S605,将机器人10A的控制权从判断为用户异常的用户切换为在步骤S604中判断为是的用户。由此,判断为用户异常的用户变得无法对机器人10a进行远程操作。切换用户也包含于切换控制模式。
(S606)中央ECU200的应对判断部204使控制模式移至回退模式,使机器人10a向能够切换控制模式的区域移动,并且,成为能够切换的状态而执行步骤S602。应对判断部204,例如,在使机器人10a移动并且停止在能够切换控制模式的区域之后,执行步骤S602。
(S607)中央ECU200的应对判断部204使机器人10a在安全的区域停止并结束。机器人10a不进行动作也没有问题的范围被选择为安全的区域。使其在安全的区域停止也包含于切换控制模式。
(S608)中央ECU200的应对判断部204确认当前的控制模式是否是远程控制模式。应对判断部204,例如,基于储存于控制模式保持部211的当前的控制模式,进行步骤S608的判断。接着,应对判断部204在是远程控制模式的情况下(S608中的是),执行步骤S609。此外,应对判断部204在不是远程控制模式的情况下(S608中的否),执行步骤S610。
(S609)中央ECU200的应对判断部204将控制模式切换为自主控制模式、或手动控制模式中的没有被禁止的控制模式,继续控制并结束。在步骤S608中为是的情况下,具有是远程控制应用的异常的可能性,因此,应对判断部204切换为使用其他应用的控制模式。
另外,应对判断部204在任一个控制模式均没有被禁止的情况下,也可以是切换为基于信用评分更高的应用的控制模式,还可以切换为到控制切换为止的时间较短地完成的控制模式。此外,应对判断部204在任一个控制模式均被禁止的情况下,使机器人10A的控制停止。应对判断部204例如也可以与步骤S607相同,在安全的区域使机器人10a停止。
(S610)中央ECU200的应对判断部204确认当前的控制模式是否是自主控制模式。应对判断部204,例如,基于储存于控制模式保持部211的控制模式,进行步骤S610的判断。接着,应对判断部204在当前的控制模式是自主控制模式的情况下(S610中的是),执行步骤S611。此外,应对判断部204在当前的控制模式不是自主控制模式的情况下(S610中的否),执行步骤S612。
(S611)中央ECU200的应对判断部204将控制模式切换为远程控制模式或手动控制模式并结束。在步骤S610中为是的情况下,具有是自主控制应用的异常的可能性,因此应对判断部204切换为使用其他应用的控制模式。
(S612)中央ECU200的应对判断部204将控制模式切换为自主控制模式或远程控制模式并结束。在步骤S610中为否的情况下,具有是手动控制应用的异常的可能性,因此,应对判断部204切换为使用其他应用的控制模式。
[1.26实施方式的效果]
在本实施方式的机器人控制模式切换方法中,在机器人系统中,能够根据检测的安全异常与当前的机器人10的控制状态,分析安全异常的原因,并选择安全的控制模式。由此,即使在感测到异常的情况下,也能够实现使安全的控制继续的机器人系统。
[其他变形例]
另外,基于上述各实施方式对本公开进行了说明,但本公开当然并不限定于上述各实施方式。以下的情况也包含于本公开。
(1)在上述的实施方式中,关于机器人系统没有规定特定的服务或应用程序,成为对象的机器人可以是任何的机器人。例如,机器人可以是自动驾驶车辆,也可以是船舶系统、无人机那样的移动式机器人,还可以是如工业用机器人、人型机器人那样的执行特定的任务的机器人。此外,机器人可以是该机器人的整体能够移动,也可以是仅构成机器人的一部分(例如,机械臂)能够动作。本说明书中的机器人也包含不移动的机器人。
(2)在上述实施方式中,机器人中存在自主控制、手动控制、以及远程控制这三个控制方法,但并不一定需要具备三个控制手段。例如,具备远程控制以及自主控制那样的至少两个控制模式即可。此外,控制模式也不限定于这三个。机器人,例如,作为其他控制模式,也可以具备与其他机器人协调地动作的协调控制模式、根据来自管制中心的指令而动作的控制模式等。
(3)在上述实施方式中,示出了远程控制终端与机器人连接,通过进行用户的认证而机器人移至远程控制模式的例子,但用户的认证也可以由集群管理服务器进行。此外,也可以是,远程控制终端经由集群管理服务器进行机器人的控制。由此,集群管理服务器能够确认用户的操作履历,安全性提高。
(4)在上述实施方式中,对将功能分散在集群管理服务器与监视服务器中的机器人监视系统进行了说明,但也可以集中集群管理服务器与监视服务器的功能。
(5)在上述实施方式中,中央ECU定期地对集群管理服务器与监视服务器通知机器人的状态,但机器人的状态通知也可以不是定期的。例如,也可以根据集群管理服务器或监视服务器的请求通知机器人的状态,还可以在机器人内的活动的产生定时,例如,在用户的登录、控制模式的变化、异常的感测等定时通知机器人的状态。由此,能够减少机器人与服务器之间的通信的通信量。
(6)在上述实施方式中,应对判断部位于机器人内,但也可以在监视服务器或集群管理服务器上进行控制模式切换的判断。由此,进而,能够进行使用了位于服务器上的区域信息、邻近机器人的状态等的应对的判断。另一方面,在通过机器人进行判断的情况下,即使在即时的控制模式切换、与服务器的通信困难的状况下,也存在能够进行控制模式的切换等而安全性提高的情况。
(7)在上述实施方式中,示出了中央ECU在利用了虚拟机监视器等的虚拟机上使客OS部进行动作的例子,但也可以在中央ECU搭载虚拟机监视器或虚拟化技术。
(8)在上述实施方式中,中央ECU在感测到异常的定时更新信用评分,但更新信用评分的定时也可以不是感测到异常的定时。例如,也可以是,以规定的间隔参照异常感测结果保持部来更新信用评分。此时,也可以综合地判断从上一次的信用评分更新时开始新检测到的异常感测结果并更新信用评分。例如,作为异常感测结果,也可以是,在同时新检测到用户的危险驾驶以及动作环境异常的情况下,作为动作环境异常的结果、检测到用户的危险驾驶的异常,不进行用户的危险驾驶导致的该用户的信用评分减少。
(9)在上述实施方式中,异常感测结果保持部中储存有异常感测内容、时刻以及感测装置,但也可以对异常感测结果赋予其他信息。例如,异常感测结果中也可以包含异常的严重度。严重度根据异常产生导致的对机器人的控制的影响而决定。例如,可以以重度、中度、轻度的3阶段表示严重度。重度是对机器人的控制或周围的安全性会产生/已经产生重大的影响的状态,中度是存在对机器人的控制或周围的安全性造成影响的可能性的状态。此外,轻度可以是对机器人的控制或周围的安全性造成影响的可能性低的状态。由此,根据感测到的异常的严重度,能够进行即时应对或对监视服务器的警告通知的应对。
(10)在上述实施方式中,示出了在信用评分的更新时,使检测到的异常所对应的信用评分每次减少1的例子,但信用评分的更新方法并不限定于此。例如,也可以如在其他变形例(9)中说明那样根据异常的严重度来变更减少值。可以是,在是严重度高的异常的情况下,减少10,在中度的情况下,减少5,在轻度的情况下减少1。信用评分的减少量(更新量的一个例子)也可以根据严重度而附加权重。此外,信用评分的最大值可以不是100,也可以不被数值化。例如,信用评分也可以如高、中、低那样阶段性地表示。
(11)在上述实施方式中,仅示出了以信用评分减少的方式进行更新的例子,但也可以进行信用评分上升的处理。例如,可以是每一日信用评分上升规定的值,也可以在通过监视服务器判明了异常的产生原因的情况下,进行使不是产生原因的对象的信用评分上升的处理,还可以在进行了异常的原因的恢复的情况(例如,除去了安装于机器人的不正当的应用程序等)下,使信用评分恢复(例如,使信用评分重置或上升)。此外,也可以在规定的时间内没有感测到异常的情况下使信用评分上升。
(12)在上述实施方式中,用户信息保持部中仅保持从远程控制终端登录的用户的信息,但也可以保持进行手动控制的用户的信息。此时,用户被机器人认证而进行登录的手续。例如,可以通过用户所具有的IC卡、智能手机等用户的所有物来认证用户,也可以通过ID以及密码的输入等用户的存储内容来认证用户,还可以通过面部认证、指纹认证等用户的生物体信息来认证用户,还可以通过将上述组合后的多要素认证来认证用户。由此,对于从附近手动地控制机器人的用户的操作,也能够更强力地实现集群管理服务器中的管理以及机器人的访问控制,对安全性的提高是有效果的。
(13)在上述实施方式中,在将保持信用评分的对象分类为应用、用户、机器人、通信、动作环境的基础上,分别进一步进行了详细化,但也可以不进行详细化,分类方法并不限定于此。只要包含进行远程控制的用户引起的异常、机器人内的构成要素引起的异常、以及机器人的动作环境引起的异常中的某个两个以上即可。
(14)在上述实施方式中,在控制模式是远程控制模式时,在感测到机器人的危险的控制的情况下,设为感测到用户引起的异常,使用户的信用评分减少,但是也可以进一步添加用户的控制履历的信息,判断作为用户的控制的结果而是否感测到危险的控制。例如,也可以是,信用评分更新部在机器人的控制模式是远程控制模式,并且感测到超过阈值的加速度时,参照最近的用户的控制履历,在用户没有进行与移动相关的控制的情况下,设为由于用户的控制而在机器人感测到异常的可能性低,由动作环境引起而产生了异常的可能性高,使动作环境的信用评分减少。由此,能够准确地判断异常的原因,对于通过适当的应对来使安全性提高是有效果的。
(15)在上述实施方式中,示出了在环境产生了异常的情况下,进行监视请求以及通报的应对的例子,但对应方法并不限定于此。例如,也可以是,在无法信任动作环境的状况下,设为机器人的自主控制是危险的,禁止自主控制模式。
(16)在上述实施方式中,示出了在动作环境的异常感测的应对中进行监视请求的例子,但也可以在远程控制模式中进行使远程用户确认动作环境的请求,还可以是远程操作人员通知存在不正当的接近的第三方或动作环境的异常。
(17)在上述实施方式中,示出了用户的信用评分成为规定的值以下的情况下,剥夺机器人的控制权的例子,但也可以更详细地对机器人的控制权进行分类,限制控制权的一部分。例如,也可以是,与移动相关的控制权、与门的开闭相关的控制权等,通过按功能对机器人的控制进行分类,仅剥夺与移动相关的控制权等。
(18)在上述实施方式中,用户的信用评分储存于监视服务器,在用户登录时机器人通过同步用户的信用评分,在机器人中进行了与用户的控制权相关的判断,但也可以是,对于信用评分低的用户,监视服务器制作失效列表,预先对机器人或集群管理服务器发布。由此,能够立即排除不正当的用户进行的访问,安全性提高。
(19)在上述实施方式中,根据成为规定的阈值以下的信用评分的种类来确定应对,但阈值也可以根据信用评分的种类而不同,还可以按机器人而各阈值不同。由此,能够根据每个机器人的种类、动作环境灵活地设计安全性与可用性的平衡。
(20)上述的实施方式中的各装置,具体而言,是由微处理器、ROM、RAM、硬盘单元、显示器单元、键盘、鼠标等构成的计算机系统。RAM或硬盘单元中记录有计算机程序。通过微处理器按照计算机程序而动作,各装置实现其功能。这里,计算机程序是为了实现规定的功能,由多个表示对于计算机的指令的指令代码的组合而构成的。
(21)上述的实施方式中的各装置中,构成的构成要素的一部分或全部可以构成为一个系统LSI(Large Scale Integration:大规模集成电路)。系统LSI是将多个构成部集成于一个芯片上而制造出的超多功能LSI,具体而言,是包含微处理器、ROM、RAM等而构成的计算机系统。RAM中记录有计算机程序。通过微处理器按照计算机程序而动作,系统LSI实现其功能。
此外,构成上述的各装置的构成要素的各部可以单独地单芯片化,也可以以包含一部分或全部的方式单芯片化。
此外,这里,设为系统LSI,但根据集成度的不同,也存在称作IC、LSI、超级LSI、超大规模LSI的情况。此外,集成电路化的方法并不限于LSI,也可以由专用电路或通用处理器来实现。也可以利用在LSI制造后能够编程的FPGA(Field Programmable Gate Array,现场可编程门阵列)、或能够重构LSI内部的电路单元的连接或设定的可重构处理器。
进而,如果因半导体技术的进步或派生的其他技术而出现替代LSI的集成电路化的技术,则当然也可以使用其技术进行功能块的集成化。有可能是生物技术的应用等。
(22)构成上述各装置的构成要素的一部分或全部也可以由相对于各装置能够拆装的IC卡或单体的模块构成。IC卡或模块是由微处理器、ROM、RAM等构成的计算机。IC卡或模块也可以包括上述的超多功能LSI。通过由微处理器按照计算机程序动作,IC卡或模块达成其功能。该IC卡或该模块也可以具有耐篡改性。
(23)本公开,上述所示的方法作为。此外,这些方法计算机实现计算机程序作为,计算机程序构成的数字信号作为。
此外,本公开也可以将计算机程序或数字信号记录到能够由计算机读取的记录介质,例如软盘、硬盘、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(注册商标)Disc)、以及半导体存储器等中。此外,也可以是记录在这些记录介质中的数字信号。
此外,本公开也可以将计算机程序或数字信号经由电气通信线路、无线或有线通信线路、以因特网为代表的网络、数据广播等传送。
此外,本公开也可以是具备微处理器和存储器的计算机系统,存储器记录有上述计算机程序,微处理器按照计算机程序而动作。
此外,也可以通过将程序或数字信号记录在记录介质中并转移、或通过将程序或数字信号经由网络等转移,由独立的其他的计算机系统实施。
(24)此外,框图中的功能块的划分为一个例子,多个功能块可以作为一个功能块来实现,一个功能块也可以划分为多个,一部分的功能也可以移至其他的功能块。此外,具有类似的功能的多个功能块的功能也可以由单一的硬件或软件来并行或时间划分地处理。
此外,上述实施方式等控制模式切换装置可以作为单独的装置来实现,也可以由多个装置实现。在控制模式切换装置由多个装置实现的情况下,该控制模式切换装置所具有的各构成要素可以以任何方式分配给多个装置。在控制模式切换装置通过多个装置实现的情况下,该多个装置间的通信方法不作特别限定,可以通过无线通信,也可以通过有线通信。此外,在装置间,也可以将无线通信以及有线通信组合。此外,例如,控制模式切换装置的各构成要素也可以配备于集群管理服务器、监视服务器、远程控制终端中的某个。
(25)此外,执行流程图中的各步骤的顺序是为了具体地对本公开进行说明而用于例示的,也可以是上述以外的顺序。此外,可以将上述步骤的一部分与其他步骤同时(并列)执行,也可以不执行上述步骤的一部。此外,对步骤S505、S506以及S509是共通的动作的例子进行了说明,但并不限定于此,也可以相互不同。
(26)也可以将上述实施方式以及上述变形例子分别组合。例如,只要不脱离本公开的主旨不,将本领域技术人员能够想到的各种变形实施于本实施方式、或将不同的实施方式中的构成要素组合而构建的方式也包含于本公开内。
工业上的可利用性
本公开在对在公共场所移动的机器人进行管理的系统中是有用。
附图标记的说明
10、10a、10b、10c机器人
20 网络
30 集群管理服务器
31、41、51通信部
32 集群管理部
33 机器人状态保持部
34 账号信息保持部
40 监视服务器
42 监视部
43 分析接口部
44 机器人信用评分保持部
45 用户信用评分保持部
50 远程控制终端
52 远程控制应用部
53 用户接口部
100TCU
101外部通信部
102、502、602应用部
103 内部通信部
104、402 入侵感测部
200中央ECU(控制模式切换装置)
201、301、401、501、601通信端口部
202主OS部
203客OS部
204 应对判断部
205 异常感测部
206 信用评分更新部
207 用户管理部
208 异常感测结果保持部
209 信用评分保持部
210 用户信息保持部
211 控制模式保持部
300用户接口ECU
302、603外部设备连接部
400Ethernet交换机
500自主驾驶ECU
503应用监视部
600传感器ECU
700促动器ECU

Claims (11)

1.一种控制模式切换装置,是切换机器人的控制模式的控制模式切换装置,其中,
所述控制模式包含经由外部网络而由第一用户控制的远程控制模式、由来自第二用户的不经由所述外部网络的操作控制的手动控制模式、以及基于由设于所述机器人的传感器取得的传感器信息而控制的自主控制模式中的两个以上,
所述控制模式切换装置具备:
取得部,基于所述机器人内的控制网络上的通信消息与所述控制模式,取得所述第一用户或所述第二用户的控制引起的用户异常、所述控制网络引起的机器人异常、所述机器人的动作环境引起的动作环境异常、以及与所述控制网络连接并控制所述机器人的控制装置所动作的应用程序引起的应用程序异常中的某一个以上的异常的感测结果;以及
切换部,基于取得的所述感测结果,按每个感测到的所述异常的种类,计算表示该异常的种类是所述机器人中的异常产生的要因的可能性的评分,基于计算出的所述评分,切换所述机器人的控制模式。
2.根据权利要求1所述的控制模式切换装置,其中,
所述传感器信息中包含所述机器人的位置信息、加速度、行驶速度、以及相机图像中的至少一个以上,
所述用户异常是在所述控制模式是所述手动控制模式或所述远程控制模式时,感测到所述位置信息脱离预先设想的控制的范围、超过规定的阈值的所述加速度或所述行驶速度、以及基于所述相机图像得到的与预先没有设想的人或物的接触或接近中的某个情况的异常,
所述机器人异常是感测到所述控制网络的通信信息所含的故障的通知、或所述控制网络的通信异常中的某个情况的异常,
所述动作环境异常是感测到所述位置信息的不连续的变化或无效的值、所述外部网络的通信异常、所述控制网络的电压变化、以及所述机器人的拆解中的某个情况的异常。
3.根据权利要求1或2所述的控制模式切换装置,其中,
所述异常的种类包含用户、机器人、动作环境、以及应用程序中的至少两个以上,
所述切换部,在所述感测结果包含感测到所述用户异常的情况下更新用户的评分,在所述感测结果包含感测到所述机器人异常的情况下更新所述机器人的评分,在所述感测结果包含感测到所述动作环境异常的情况下更新动作环境的评分,在所述感测结果包含感测到所述应用程序异常的情况下更新所述应用程序的评分。
4.根据权利要求3所述的控制模式切换装置,其中,
所述评分的更新是减少评分,
进而,所述切换部按多个所述第一用户中的每一个计算所述评分,在所述控制模式是所述远程控制模式并且所述评分成为第一阈值以下的不正当的第一用户正进行所述机器人的控制的情况下,进行不受理该不正当的第一用户进行的所述控制、请求向其他第一用户的变更、或将所述控制模式切换为所述远程控制模式以外的控制模式中的至少一个,
所述切换部在所述机器人的评分成为第二阈值以下的情况下,将所述控制模式切换为限定所述机器人的控制并在安全的状态下使其停止的回退模式,
所述切换部在所述动作环境的评分成为第三阈值以下的情况下,向外部请求用于进行所述动作环境的确认的警告。
5.根据权利要求4所述的控制模式切换装置,其中,
在两种以上的所述评分成为规定的阈值以下的情况下,所述切换部以所述机器人的评分、所述动作环境的评分、所述用户的评分的优先顺序,进行基于各评分的应对。
6.根据权利要求3~5中任一项所述的控制模式切换装置,其中,
在所述感测结果包含感测到所述用户异常并且所述机器人的评分、所述动作环境的评分、以及所述应用程序的评分中的某个满足规定的条件的情况下,所述切换部不更新所述用户的评分。
7.根据权利要求1~6中任一项所述的控制模式切换装置,其中,
所述应用程序包含用于所述远程控制模式的第一应用程序、用于所述手动控制模式的第二应用程序、以及用于所述自主控制模式的第三应用程序,
所述感测结果中,作为所述应用程序异常,包含有所述第一应用程序的异常、所述第二应用程序的异常、以及所述第三应用程序的异常,
在感测到所述第一应用程序的异常的情况下,所述切换部使所述第一应用程序的评分减少,在感测到所述第二应用程序的异常的情况下,所述切换部使所述第二应用程序的评分减少,在感测到所述第三应用程序的异常的情况下,所述切换部使所述第三应用程序的评分减少,
在所述第一应用程序的评分成为第四阈值以下的情况下,禁止所述控制模式成为所述远程控制模式,
在所述第二应用程序的评分成为第五阈值以下的情况下,禁止所述控制模式成为所述手动控制模式,
在所述第三应用程序的评分成为第六阈值以下的情况下,禁止所述控制模式成为所述自主控制模式。
8.根据权利要求1~7中任一项所述的控制模式切换装置,其中,
所述切换部基于所述传感器信息以及所述机器人的状态中的至少一个,判断所述机器人是否是规定的控制状态,仅在所述机器人是规定的控制状态的情况下进行所述控制模式的切换。
9.根据权利要求2所述的控制模式切换装置,其中,
所述切换部基于所述机器人的所述位置信息,仅在所述机器人存在于规定的范围的情况下,进行所述控制模式的切换。
10.根据权利要求1~9中任一项所述的控制模式切换装置,其中,
所述取得部通过基于所述通信消息与所述控制模式来感测所述用户异常、所述机器人异常、所述动作环境异常、以及所述应用程序异常中的某一个以上的异常的异常感测部实现。
11.一种控制模式切换方法,是切换机器人的控制模式的控制模式切换方法,其中,
所述控制模式包含经由外部网络而由第一用户控制的远程控制模式、由来自第二用户的不经由所述外部网络的操作控制的手动控制模式、以及基于由设于所述机器人的传感器取得的传感器信息而控制的自主控制模式中的两个以上,
所述控制模式切换方法,
基于所述机器人内的控制网络上的通信消息与所述控制模式,取得所述第一用户或所述第二用户的控制引起的用户异常、所述控制网络引起的机器人异常、所述机器人的动作环境引起的动作环境异常、以及与所述控制网络连接并控制所述机器人的控制装置所动作的应用程序引起的应用程序异常中的某一个以上的异常的感测结果,
基于取得的所述感测结果,按每个感测到的所述异常的种类,计算表示该异常的种类是所述机器人中的异常产生的要因的可能性的评分,基于计算出的所述评分,切换所述机器人的控制模式。
CN202180051422.XA 2020-09-01 2021-07-08 控制模式切换装置以及控制模式切换方法 Pending CN115989467A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
PCT/JP2020/033120 WO2022049636A1 (ja) 2020-09-01 2020-09-01 制御モード切替装置、および制御モード切替方法
JPPCT/JP2020/033120 2020-09-01
PCT/JP2021/025866 WO2022049894A1 (ja) 2020-09-01 2021-07-08 制御モード切替装置、および、制御モード切替方法

Publications (1)

Publication Number Publication Date
CN115989467A true CN115989467A (zh) 2023-04-18

Family

ID=80490741

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202180051422.XA Pending CN115989467A (zh) 2020-09-01 2021-07-08 控制模式切换装置以及控制模式切换方法

Country Status (5)

Country Link
US (1) US20230205181A1 (zh)
EP (1) EP4209851A4 (zh)
JP (1) JPWO2022049894A1 (zh)
CN (1) CN115989467A (zh)
WO (2) WO2022049636A1 (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20230103981A1 (en) * 2021-10-05 2023-04-06 Argo Al, LLC Systems and Methods for Managing Permissions and Authorizing Access to and Use of Services
US20230182771A1 (en) * 2021-12-14 2023-06-15 Gm Cruise Holdings Llc Local assistance for autonomous vehicle-enabled rideshare service
WO2024057870A1 (ja) * 2022-09-12 2024-03-21 パナソニックIpマネジメント株式会社 移動ロボット、サーバ、移動ロボット制御システム及び移動ロボット制御方法

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS58174475A (ja) 1982-04-08 1983-10-13 Mitsubishi Rayon Co Ltd 電子線硬化型接着剤
JP2005144612A (ja) * 2003-11-17 2005-06-09 Sony Corp ロボットシステム、遠隔操作装置、ロボット装置及びその制御方法
US10656640B2 (en) * 2016-07-07 2020-05-19 Applied Minds, Llc Systems and methods for centralized control of autonomous vehicles
JP6394663B2 (ja) * 2016-09-07 2018-09-26 トヨタ自動車株式会社 車両の走行制御装置
US11623647B2 (en) * 2016-10-27 2023-04-11 Toyota Motor Engineering & Manufacturing North America, Inc. Driver and vehicle monitoring feedback system for an autonomous vehicle
US11250489B2 (en) * 2017-07-28 2022-02-15 Nuro, Inc. Flexible compartment design on autonomous and semi-autonomous vehicle
JP7045286B2 (ja) * 2018-01-22 2022-03-31 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ データ解析装置、データ解析方法及びプログラム
WO2019142475A1 (ja) * 2018-01-22 2019-07-25 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ データ解析装置及びプログラム
JP7033467B2 (ja) * 2018-03-01 2022-03-10 株式会社日立製作所 不正通信検知装置および不正通信検知プログラム
CN112654969A (zh) * 2018-10-11 2021-04-13 日本电信电话株式会社 信息处理装置、数据分析方法及程序
WO2020110876A1 (ja) * 2018-11-28 2020-06-04 オムロン株式会社 コントローラシステム

Also Published As

Publication number Publication date
WO2022049636A1 (ja) 2022-03-10
JPWO2022049894A1 (zh) 2022-03-10
WO2022049894A1 (ja) 2022-03-10
EP4209851A1 (en) 2023-07-12
US20230205181A1 (en) 2023-06-29
EP4209851A4 (en) 2024-02-28

Similar Documents

Publication Publication Date Title
CN115989467A (zh) 控制模式切换装置以及控制模式切换方法
JP6908563B2 (ja) セキュリティ処理方法及びサーバ
US20210044612A1 (en) In-vehicle apparatus and incident monitoring method
US20180373866A1 (en) Cyber security system for a vehicle
JP7231559B2 (ja) 異常検知電子制御ユニット、車載ネットワークシステム及び異常検知方法
US11829472B2 (en) Anomalous vehicle detection server and anomalous vehicle detection method
WO2017104112A1 (ja) セキュリティ処理方法及びサーバ
KR20150069027A (ko) 하드웨어 관리 인터페이스
KR101960400B1 (ko) 제동 시스템
US20190039569A1 (en) Multimode vehicle proximity security
CN112639909A (zh) 设备、数据发送方法及程序
JP2019021095A (ja) 攻撃監視システムおよび攻撃監視方法
WO2021111681A1 (ja) 情報処理装置、制御方法及びプログラム
WO2018230280A1 (ja) 車外通信装置、通信制御方法および通信制御プログラム
JP7196882B2 (ja) 乗り物コンピュータシステム
WO2021024588A1 (ja) モビリティ制御システム、方法、および、プログラム
US20220157090A1 (en) On-vehicle security measure device, on-vehicle security measure method, and security measure system
US10701088B2 (en) Method for transmitting data
US20220137622A1 (en) Control device and method for assuming control
WO2020065776A1 (ja) 情報処理装置、制御方法、及びプログラム
US20240017732A1 (en) Notification apparatus, notification method, and non-transitory computer-readable storage medium
US20220126787A1 (en) Autonomous vehicle security
EP4350551A1 (en) Integrity verification device and integrity verification method
WO2023019162A2 (en) System security
US20220173960A1 (en) Vehicle data processing device, vehicle data processing system, and vehicle data processing method

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination