-
Technisches Gebiet
-
Die vorliegende Erfindung bezieht sich auf ein fahrzeuginternes System für autonomes Fahren.
-
Technischer Hintergrund
-
Um das autonome Fahren eines Fahrzeugs zu realisieren, ist es wünschenswert, dass ein fahrzeuginternes Steuerungssystem mit hoher Sicherheit bereitgestellt wird.
-
Patentliteratur 1 offenbart ein Fahrzeugsteuerungssystem.
-
Dieses Fahrzeugsteuerungssystem umfasst ein eine Autonomes-Fahren-Integrations-ECU und eine Autonomes-Parken-ECU. Wenn die Autonomes-Fahren-Integrations-ECU einer Fehlfunktion unterliegt, ersetzt die Autonomes-Parken-ECU eine Funktion der Autonomes-Fahren-Integrations-ECU. ECU steht für Elektronische Steuerungseinheit.
-
Referenzliste
-
Patentliteratur
-
Patentliteratur 1:
JP2017-81290A
-
Kurzfassung der Erfindung
-
Technisches Problem
-
Da das fahrzeuginterne Steuerungssystem mittels elektronischer Steuerung betrieben wird, ist es wichtig, Sicherheit vor Cyberangriffen zu gewährleisten.
-
In dem in der Patentliteratur 1 offenbarten Fahrzeugsteuerungssystem wird das autonome Fahren durch die Autonomes-Fahren-Integrations-ECU durchgeführt, falls die Autonomes-Fahren-Integrations-ECU keiner Fehlfunktion unterliegt. Der Cyberangriff auf die Autonomes-Fahren-Integrations-ECU bleibt unberücksichtigt. Falls also die Autonomes-Fahren-Steuerungs-ECU, die keine Fehlfunktionen aufweist, einem Cyberangriff ausgesetzt ist, besteht die Möglichkeit, dass die Sicherheit nicht gewährleistet ist.
-
Die vorliegende Erfindung hat die Aufgabe, ein fahrzeuginternes Steuerungssystem mit hoher Sicherheit unter Berücksichtigung eines Cyberangriffs bereitzustellen.
-
Lösung des Problems
-
Eine fahrzeuginterne Steuerungsvorrichtung gemäß der vorliegenden Erfindung ist in einem fahrzeuginternen Steuerungssystem enthalten, das autonomes Fahren eines Fahrzeugs durchführt.
-
Das fahrzeuginterne Steuerungssystem umfasst eine Vielzahl von Fahrsteuerungsvorrichtungen für das autonome Fahren des Fahrzeugs.
-
Die fahrzeuginterne Steuerungsvorrichtung umfasst eine Regulärer-Zustand-Einheit, um einen Betriebszustand des fahrzeuginternen Steuerungssystems von einem regulären Zustand in einen partiell-prüfenden-Zustand umzuschalten, in einem Fall, in dem ein Cyberangriff in einem Teil der Vielzahl von Fahrsteuerungsvorrichtungen erfasst wurde.
-
Der reguläre Zustand ist ein Betriebszustand, in dem das autonome Fahren unter Verwendung von zumindest einer der Vielzahl von Fahrsteuerungsvorrichtungen durchgeführt wird.
-
Der partiell-prüfende-Zustand ist ein Betriebszustand, in dem das autonome Fahren durchgeführt wird unter Verwendung von zumindest einer von normalen Fahrsteuerungsvorrichtungen, bei denen der Cyberangriff nicht erfasst wurde, und Sicherheit jeder der Fahrsteuerungsvorrichtungen, bei denen der Cyberangriff erfasst wurde, geprüft wird.
-
Vorteilhafte Wirkungen der Erfindung
-
Gemäß der vorliegenden Erfindung ist es möglich, ein fahrzeuginternes Steuerungssystem mit hoher Sicherheit unter Berücksichtigung eines Cyberangriffs bereitzustellen.
-
Figurenliste
-
- 1 ist ein Konfigurationsdiagramm eines fahrzeuginternen Steuerungssystems 100 gemäß einer ersten Ausführungsform.
- 2 ist funktionales Konfigurationsdiagramm einer Umschalteinheit einen Hub A 130 (fahrzeuginterne Steuerungsvorrichtung) gemäß der ersten Ausführungsform.
- 3 ist ein Zustandsübergangsdiagramm eines fahrzeuginternen Steuerungsverfahrens gemäß der ersten Ausführungsform.
- 4 ist ein Flussdiagramm eines regulären Zustands (S110) gemäß der ersten Ausführungsform.
- 5 ist ein Flussdiagramm eines partiell-prüfenden-Zustands (S120) gemäß der ersten Ausführungsform.
- 6 ist ein Flussdiagramm eines partiell-arbeitenden-Zustands (S130) gemäß der ersten Ausführungsform.
- 7 ist ein Flussdiagramm eines Degenerierung-Prüfungszustands (S140) gemäß der ersten Ausführungsform.
- 8 ist ein Flussdiagramm eines alles-prüfender-Zustands (S150) gemäß der ersten Ausführungsform.
- 9 ist ein Diagramm, das ein Konfigurationsbeispiel des fahrzeuginternen Steuerungssystems 100 gemäß der ersten Ausführungsform veranschaulicht.
- 10 ist ein Diagramm, das ein Konfigurationsbeispiel des fahrzeuginternen Steuerungssystems 100 gemäß der ersten Ausführungsform veranschaulicht.
- 11 ist ein Hardware-Konfigurationsdiagramm einer fahrzeuginternen Steuerungsvorrichtung 190 gemäß der ersten Ausführungsform.
-
Beschreibung der Ausführungsformen
-
In den Ausführungsformen und den Zeichnungen sind gleichen oder einander entsprechenden Elementen gleiche Bezugszahlen zugeordnet. Beschreibungen von Elementen, die mit den gleichen Bezugszahlen versehen sind, werden gegebenenfalls weggelassen oder vereinfacht. Pfeile in den Zeichnungen veranschaulichen hauptsächlich Datenflüsse oder Prozessabläufe.
-
Erste Ausführungsform.
-
Ein fahrzeuginternes Steuerungssystem 100 wird unter Bezugnahme auf 1 bis 11 erläutert.
-
*** Beschreibung der Konfiguration ***
-
Eine Konfiguration des fahrzeuginternen Steuerungssystems 100 wird unter Bezugnahme auf 1 beschrieben.
-
Das fahrzeuginterne Steuerungssystem 100 ist ein System, das in einem Fahrzeug installiert ist und autonomes Fahren des Fahrzeugs steuert.
-
Konkret steuert das fahrzeuginterne Steuerungssystem 100 einen ersten Aktuator 161 über eine erste Aktuator-ECU 151 und einen zweiten Aktuator 162 über eine zweite Aktuator-ECU 152.
-
Wenn weder die erste Aktuator-ECU 151 noch die zweite Aktuator-ECU 152 spezifiziert ist, wird jeder als „Aktuator-ECU“ bezeichnet.
-
Wenn weder der erste Aktuator 161 noch der zweite Aktuator 162 spezifiziert ist, wird jeder als „Aktuator“ bezeichnet.
-
Der Aktuator ist Ausrüstung, die das Fahrzeug antreibt. Der Aktuator ist zum Beispiel ein Motor, eine Maschine, eine Bremse oder eine Lenkung.
-
Die Aktuator-ECU ist eine Vorrichtung, die den Aktuator steuert.
-
Das fahrzeuginterne Steuerungssystem 100 kann einen Aktuator steuern oder drei oder mehr Aktuatoren steuern.
-
Das fahrzeuginterne Steuerungssystem 100 umfasst eine erste Autonomes-Fahren-ECU 110 und eine zweite Autonomes-Fahren-ECU 120.
-
Die erste Autonomes-Fahren-ECU 110 und die zweite Autonomes-Fahren-ECU 120 werden nicht gleichzeitig durch einen Cyberangriff beeinflusst, da die erste Autonomes-Fahren-ECU 110 und die zweite Autonomes-Fahren-ECU 120 durch unterschiedliche Implementierungen usw. realisiert sind.
-
Wenn weder die erste Autonomes-Fahren-ECU 110 noch die zweite Autonomes-Fahren-ECU 120 spezifiziert ist, wird jede als „Autonomes-Fahren-ECU“ bezeichnet.
-
Die Autonomes-Fahren-ECU ist eine Vorrichtung (Fahrsteuerungsvorrichtung), die Fahrsteuerungsinformationen ausgibt, die für das autonome Fahren des Fahrzeugs bestimmt sind.
-
Das fahrzeuginterne Steuerungssystem 100 kann drei oder mehr Autonomes-Fahren-ECUs enthalten.
-
Das fahrzeuginterne Steuerungssystem 100 umfasst einen Hub A 130 und einen Hub B 140.
-
Ein Cyberangriff auf das Hub A 130 und das Hub B 140 wird dadurch erschwert, dass der Hub A 130 und der Hub B 140 jeweils mit einem nicht überschreibbaren ROM usw. realisiert sind.
-
Wenn weder das Hub A 130 noch das Hub B 140 spezifiziert ist, werden beide als „Hub“ bezeichnet. Der Hub ist Netzwerkausrüstung.
-
Wenn eine Maßnahme wie Fälschungserfassung an einem Kommunikationskabel (Kommunikationsnetz) vorgenommen wird, das die Autonomes-Fahren-ECU und der Hub miteinander verbindet, ist ein Cyberangriff auf das Kommunikationsnetz schwierig.
-
Jeder Hub umfasst eine Sammeleinheit. Die Sammeleinheit ist durch eine Schaltung, eine Software oder eine Kombination aus beidem realisiert.
-
Die Sammeleinheit des Hubs A 130 sammelt Sensorinformationen von einem Sensor A 101 und einem Sensor B 102. Die Sammeleinheit des Hubs B 140 sammelt Sensorinformationen von einem Sensor C 103 und einem Sensor D 104. Wenn weder der Sensor A 101, der Sensor B 102, der Sensor C 103 noch der Sensor D 104 spezifiziert ist, wird jeder als „Sensor“ bezeichnet.
-
Der Sensor ist Ausrüstung, der eine Situation rund um das Fahrzeug erfasst. Die Sensorinformationen sind Informationen, die durch den Sensor erhalten werden. Der Sensor ist zum Beispiel eine Kamera oder ein Laserradar zum Erfassen anderer Fahrzeuge.
-
Jede Autonomes-Fahren-ECU umfasst eine Erkennungseinheit, eine Reguläre-Berechnungs-Einheit, eine Notfall-Berechnungs-Einheit, eine Fehlfunktion-Erfassungseinheit, eine Angriffserfassungseinheit und eine Sicherheitsüberprüfungseinheit. Diese Elemente sind durch eine Schaltung, eine Software oder eine Kombination aus beidem realisiert.
-
Die Erkennungseinheit erkennt eine Situation rund um das Fahrzeug auf Grundlage der gesammelten Sensorinformationen. Ein Verfahren des Erkennens einer Situation rund um das Fahrzeug ist willkürlich.
-
Die Reguläre-Berechnungs-Einheit berechnet eine Bewegungsroute (reguläre Route) in regulärer Zeit auf Grundlage der erkannten Situation. Ein Verfahren des Berechnens der regulären Route ist beliebig. Informationen (reguläre-Route-Informationen), die die reguläre Route angeben, werden als Fahrzeugsteuerungsinformationen ausgegeben.
-
Die Notfall-Berechnungseinheit berechnet eine Bewegungsroute (Notfallroute) auf Grundlage der erkannten Situation. Ein Verfahren des Berechnens der Notfallroute ist beliebig. Informationen (Notfallroute-Informationen), angebend die Notfallroute, werden als Fahrzeugsteuerungsinformationen ausgegeben.
-
Die Fehlfunktion-Erfassungseinheit erkennt eine Fehlfunktion, die in der Autonomes-Fahren-ECU aufgetreten ist. Zum Beispiel werden eine Vielzahl von regulären Routen, die durch eine Vielzahl von Autonomes-Fahren-ECUS berechnet wurden, miteinander verglichen, und die Fehlfunktion wird auf Grundlage des Vergleichsergebnisses erfasst. Ein Verfahren des Erfassens der Fehlfunktion ist beliebig.
-
Die Angriffserfassungseinheit erfasst den Cyberangriff, der in der Autonomes-Fahren-ECU erfolgt ist. Ein Verfahren des Erfassens des Cyberangriffs ist beliebig.
-
Die Sicherheitsüberprüfungseinheit versucht, eine Sicherheitsfunktion wiederherzustellen, in einem Fall, in dem der Cyberangriff erfasst wurde, und bestimmt, ob Sicherheit gewährleistet ist oder nicht. Zum Beispiel startet die Sicherheitsüberprüfungseinheit die Autonomes-Fahren-ECU neu. Dann bestimmt die Sicherheitsüberprüfungseinheit mit Hilfe von Secure Boot, ob die Sicherheitsfunktion normal ist oder nicht, d. h. ob die Sicherheit gewährleistet wurde oder nicht. Ein Verfahren zur Prüfung der Sicherheit ist beliebig.
-
Der Hub A 130 umfasst eine Reguläre-Route-Einheit und eine Notfallroute-Einheit. Sowohl die Reguläre-Route-Einheit als auch die Notfallroute-Einheit sind durch ein Aufzeichnungsmedium realisiert.
-
Die Reguläre-Route-Einheit speichert reguläre-Route-Informationen.
-
Die Notfallroute-Einheit speichert die Notfallroute-Informationen.
-
Der Hub A 130 enthält eine Umschalteinheit und funktioniert als eine fahrzeuginterne Steuerungsvorrichtung.
-
Die Umschalteinheit schaltet Betriebszustände des fahrzeuginternen Steuerungssystems 100 auf Grundlage von Situationen einer Vielzahl von Fahrsteuerungsvorrichtungen (110 und 120).
-
Die Umschalteinheit ist durch eine Schaltung, eine Software und eine Kombination aus beidem realisiert.
-
Eine Konfiguration der Umschalteinheit der Hub A 130 wird unter Bezugnahme auf 2 beschrieben.
-
Die Umschalteinheit der Hub A 130 umfasst eine Regulärer-Zustand-Einheit 131, eine Partiell-Prüfender-Zustand-Einheit 132, eine Partiell-Arbeitender-Zustand-Einheit 133, eine Degenerierung-Prüfungszustand-Einheit 134, eine Alles-Prüfender-Zustand-Einheit 135 und eine Degenerierungszustand-Einheit 136. Die Funktionen dieser Elemente werden später beschrieben.
-
*** Beschreibung des Betriebs ***
-
Ein Betriebsvorgang des fahrzeuginternen Steuerungssystems 100 ist äquivalent zu einem fahrzeuginternen Steuerungsverfahren.
-
Das fahrzeuginterne Steuerungsverfahren wird unter Bezugnahme auf 3 beschrieben.
-
Schritt S110 ist ein Prozess, der durchgeführt wird, wenn der Betriebszustand des fahrzeuginternen Steuerungssystems 100 ein „regulärer Zustand“ ist, und durch die Reguläre-Zustand-Einheit 131 der Umschalteinheit ausgeführt wird.
-
Der „Reguläre Zustand“ ist ein Betriebszustand, der angenommen wird, wenn alle der Vielzahl von Fahrsteuerungsvorrichtungen (110 und 120) normal sind. Die Normales-Fahren-Steuerungsvorrichtung unterliegt keiner Fehlfunktion, und die Sicherheit wurde gewährleistet.
-
In Schritt S110 führt die Regulärer-Zustand-Einheit 131 das autonome Fahren unter Verwendung von zumindest einer der Vielzahl von Fahrsteuerungsvorrichtungen (110 und 120) durch.
-
In einem Fall, in dem der Cyberangriff in einem Teil der Vielzahl von Fahrsteuerungsvorrichtungen erfasst wurde, schaltet die Regulärer-Zustand-Einheit 131 den Betriebszustand des fahrzeuginternen Steuerungssystems 100 von dem „Regulären Zustand“ in einen „Teilweise-Prüfenden-Zustand“ um.
-
In einem Fall, in dem die Fehlfunktion in einem Teil der Vielzahl von Fahrsteuerungsvorrichtungen erfasst wurde, schaltet die Regulärer-Zustand-Einheit 131 den Betriebszustand des fahrzeuginternen Steuerungssystems 100 von dem „Regulären Zustand“ in einen „Partiell-Arbeitenden-Zustand“ um.
-
Schritt S120 ist ein Prozess, der angenommen wird, wenn der Betriebszustand des fahrzeuginternen Steuerungssystems 100 der „Partiell-Prüfende-Zustand“ ist, und durch die Partiell-Prüfender-Zustand-Einheit 132 der Umschalteinheit ausgeführt wird.
-
Der „Partiell-Prüfende-Zustand“ ist ein Betriebszustand, der in einem Fall angenommen wird, in dem ein Teil der Vielzahl von Fahrsteuerungsvorrichtungen (110 und 120) normal ist und der Cyberangriff in einem Teil der Vielzahl von Fahrsteuerungsvorrichtungen erfasst wurde.
-
In Schritt S120 führt die Partiell-Prüfender-Zustand-Einheit 132 das autonome Fahren unter Verwendung von zumindest einer der normalen Fahrsteuerungsvorrichtungen durch und prüft die Sicherheit jeder der Fahrsteuerungsvorrichtungen, bei denen der Cyberangriff erfasst wurde.
-
In einem Fall, in dem die Sicherheit in allen Fahrsteuerungsvorrichtungen, bei denen der Cyberangriff in dem „Regulären Zustand“ erfasst wurde, gewährleistet wurde, schaltet die Partiell-Prüfender-Zustand-Einheit 132 den Betriebszustand des fahrzeuginternen Steuerungssystems 100 von dem „Partiell-Prüfenden-Zustand“ in den „Regulären Zustand“ um.
-
In einem Fall, in dem die Sicherheit in allen Fahrsteuerungsvorrichtungen, bei denen der Cyberangriff in dem „Regulären Zustand“ erfasst wurde, nicht gewährleistet wurde, schaltet die Partiell-Prüfender-Zustand-Einheit 132 den Betriebszustand des fahrzeuginternen Steuerungssystems 100 von dem „Partiell-Prüfenden-Zustand“ in den „Partiell-Arbeitenden-Zustand“ um.
-
In einem Fall, in dem der Cyberangriff in allen normalen Fahrsteuerungsvorrichtungen in dem „Partiell-Prüfenden-Zustand“ erfasst wurde, schaltet die Partiell-Prüfender-Zustand-Einheit 132 den Betriebszustand des fahrzeuginternen Steuerungssystems 100 von dem „Partiell-Prüfenden-Zustand“ in einen „Alles-Prüfenden-Zustand“ um.
-
In einem Fall, in dem die Fehlfunktion in einem Teil der normalen Fahrsteuerungsvorrichtungen in dem „Partiell-Prüfenden-Zustand“ erfasst wurde, schaltet die Partiell-Prüfender-Zustand-Einheit 132 den Betriebszustand des fahrzeuginternen Steuerungssystems 100 von dem „Partiell-Prüfenden-Zustand“ in den „Partiell-Arbeitenden-Zustand“ um.
-
Schritt S130 ist ein Prozess, der angenommen wird, wenn der Betriebszustand des fahrzeuginternen Steuerungssystems 100 der „Partiell-Arbeitende-Zustand“ ist, und der durch die Partiell-Arbeitender-Zustand-Einheit 133 ausgeführt wird.
-
Der „Partiell-Arbeitende-Zustand“ ist ein Betriebszustand, der angenommen wird, wenn ein Teil der Vielzahl von Fahrsteuerungsvorrichtungen (110 und 120) normal ist und die Übrigen der Vielzahl von Fahrsteuerungsvorrichtungen anomal sind. Die Anomales-Fahren-Steuerungsvorrichtung unterliegt einer Fehlfunktion oder weist eine Sicherheitsanomalie auf. Die Sicherheitsanomalie ist eine Situation, in der die Sicherheit nicht gewährleistet wurde, obwohl versucht wurde, die Sicherheit zu gewährleisten.
-
In Schritt S130 führt die Partiell-Arbeitender-Zustand-Einheit 133 das autonome Fahren unter Verwendung von zumindest einer der normalen Fahrsteuerungsvorrichtungen durch.
-
In einem Fall, in dem der Cyberangriff in allen normalen Fahrsteuerungsvorrichtungen in dem „Partiell-Arbeitenden-Zustand“ erfasst wurde, schaltet die Partiell-Arbeitender-Zustand-Einheit 133 den Betriebszustand des fahrzeuginternen Steuerungssystems 100 von dem „Partiell-Arbeitenden-Zustand“ in einen „Degenerierung-Prüfungszustand“ um.
-
In einem Fall, in dem die Fehlfunktion in allen normalen Fahrsteuerungsvorrichtungen in dem „Partiell-Arbeitenden-Zustand“ erfasst wurde, schaltet die Partiell-Arbeitender-Zustand-Einheit 133 den Betriebszustand des fahrzeuginternen Steuerungssystems 100 von dem „Partiell-Arbeitenden-Zustand“ in einen „Degenerierungszustand“ um.
-
Schritt S140 ist ein Prozess, der angenommen wird, wenn der Betriebszustand des fahrzeuginternen Steuerungssystems 100 der „Degenerierung-Prüfungszustand“ ist, und durch die Degenerierung-Prüfungszustand-Einheit 134 ausgeführt wird.
-
Der „Degenerierung-Prüfungszustand“ ist ein Betriebszustand, der in einem Fall angenommen wird, in dem ein Teil der Vielzahl von Fahrsteuerungsvorrichtungen (110 und 120) anomal ist und der Serverangriff in den Übrigen der Vielzahl von Fahrsteuerungsvorrichtungen erfasst wurde.
-
In Schritt S140 führt die Degenerierung-Prüfungszustand-Einheit 134 Degenerierungsbetrieb durch und prüft außerdem die Sicherheit jeder der Fahrsteuerungsvorrichtungen, bei denen der Serverangriff in dem „Partiell-Arbeitenden-Zustand“ erfasst wurde.
-
In einem Fall, in dem die Sicherheit in allen Fahrsteuerungsvorrichtungen, bei denen der Cyberangriff in dem „Partiell-Arbeitenden-Zustand“ erfasst wurde, gewährleistet ist, schaltet die Degenerierung-Prüfungszustand-Einheit 134 den Betriebszustand des fahrzeuginternen Steuerungssystems 100 von dem „Degenerierung-Prüfungszustand“ in den „Partiell-Arbeitenden-Zustand“ um.
-
In einem Fall, in dem die Sicherheit in allen Fahrsteuerungsvorrichtungen, bei denen der Cyberangriff in dem „Partiell-Arbeitenden-Zustand“ erfasst wurde, nicht gewährleistet wurde, schaltet die Degenerierung-Prüfungszustand-Einheit 134 den Betriebszustand des fahrzeuginternen Steuerungssystems 100 von dem „Degenerierung-Prüfungszustand“ in den „Degenerierungszustand“ um.
-
Schritt S150 ist ein Prozess, der angenommen wird, wenn der Betriebszustand des fahrzeuginternen Steuerungssystems 100 der „Alles-Prüfende-Zustand“ ist, und durch die Alles-Prüfende-Zustandseinheit 135 ausgeführt wird.
-
Der „Alles-Prüfende-Zustand“ ist ein Betriebszustand, der in einem Fall angenommen wird, in dem der Cyberangriff in allen der Vielzahl von Fahrsteuerungsvorrichtungen (110 und 120) erfasst wurde.
-
In Schritt S150 führt die Alles-Prüfender-Zustand-Einheit 135 Degenerierungsbetrieb durch und prüft auch die Sicherheit jeder der Vielzahl von Fahrsteuerungsvorrichtungen (110 und 120).
-
In dem Fall, in dem die Sicherheit in allen der Vielzahl von Fahrsteuerungsvorrichtungen gewährleistet wurde, schaltet die Alles-Prüfender-Zustand-Einheit 135 den Betriebszustand des fahrzeuginternen Steuerungssystems 100 von dem „Alles-Prüfender-Zustand“ in den „Regulärer-Zustand“ um.
-
In einem Fall, in dem die Sicherheit in einem Teil der Vielzahl von Fahrsteuerungsvorrichtungen gewährleistet wurde, aber die Sicherheit in den Übrigen der Vielzahl von Fahrsteuerungsvorrichtungen nicht gewährleistet wurde, schaltet die Alles-Prüfender-Zustand-Einheit 135 den Betriebszustand des fahrzeuginternen Steuerungssystems 100 von dem „Alles-Prüfender-Zustand“ in den „Partiell-Arbeitender-Zustand“ um.
-
In einem Fall, in dem die Sicherheit in allen der Vielzahl von Steuerungsvorrichtungen nicht gewährleistet wurde, schaltet die Alles-Prüfender-Zustand-Einheit 135 den Betriebszustand des fahrzeuginternen Steuerungssystems 100 von dem „Alles-Prüfender-Zustand“ in den „Degenerierungszustand“ um.
-
Schritt S160 ist ein Prozess, das angenommen wird, wenn der Betriebszustand des fahrzeuginternen Steuerungssystems 100 der „Degenerierungszustand“ ist, und durch die Degenerierungszustand-Einheit 136 ausgeführt wird.
-
Der „Degenerierungszustand“ ist ein Betriebszustand, der angenommen wird, wenn alle der Vielzahl von Antriebssteuerungsvorrichtungen (110 und 120) anomal sind.
-
In Schritt S160 führt die Degenerierungszustand-Einheit 136 den Degenerierungsbetrieb durch. Der Degenerierungsbetrieb ist ein beliebiger Betrieb, der im Voraus festgelegt wird.
-
Es ist zu beachten, dass in jedem der Zustände von Schritt S110 bis Schritt S150 der Betriebszustand des fahrzeuginternen Steuerungssystems 100 in den „Degenerierungszustand“ umgeschaltet wird, in einem Fall, in dem die Fehlfunktion in allen Fahrsteuerungsvorrichtungen erfasst wurde oder in einem Fall, in dem eine andere Systemanomalie erfasst wurde. Wenn zum Beispiel eine Sensoranomalie auftritt oder wenn ein Berechnungsergebnis zwischen den Autonomes-Fahren-ECUs nicht konsistent ist, wird die Systemanomalie erfasst und der Betriebszustand des fahrzeuginternen Steuerungssystems 100 in den „Degenerierungszustand“ umgeschaltet.
-
Nachfolgend werden spezifische Prozessabläufe in dem fahrzeuginternen Steuerungsverfahren beschrieben.
-
Ein Prozessablauf des regulären Zustands (S110) wird unter Bezugnahme auf 4 beschrieben.
-
Es wird davon ausgegangen, dass beide, die erste Autonomes-Fahren-ECU 110 und die zweite Autonomes-Fahren-ECU 120 normal sind.
-
In Schritt S111 überprüft die Regulärer-Zustand-Einheit 131, ob der Hub A 130, d. h. die fahrzeuginterne Steuerungsvorrichtung, normal in Betrieb genommen wurde oder nicht. Die Regulärer-Zustand-Einheit 131 überprüft zum Beispiel mit Hilfe von Secure Boot. Ein Überprüfungsverfahren ist beliebig.
-
Wenn der Hub A 130 (fahrzeuginterne Steuerungsvorrichtung) normal in Betrieb genommen wird, fährt der Prozess mit Schritt S112 fort.
-
Wenn der Hub A 130 (fahrzeuginterne Steuerungsvorrichtung) nicht normal in Betrieb genommen wurde, stoppt die Autonomes-Fahren-Funktion und der Prozess endet.
-
In Schritt S112 führt die Regulärer-Zustand-Einheit 131 das autonome Fahren durch.
-
Zum Beispiel steuert die Regulärer-Zustand-Einheit 131 den Aktuator durch Eingeben der Reguläre-Route-Informationen der ersten Autonomes-Fahren-ECU 110 in die Aktuator-ECU. Als ein Ergebnis bewegt sich das Fahrzeug auf der regulären Route.
-
In Schritt S113 bestimmt die Regulärer-Zustand-Einheit 131, ob oder ob nicht die Fehlfunktion in irgendeiner von der ersten Autonomes-Fahren-ECU 110 und der zweiten Autonomes-Fahren-ECU 120 erfasst wurde.
-
Insbesondere, wenn Fehlfunktionserfassung von der Fehlfunktion-Erfassungseinheit der ersten Autonomes-Fahren-ECU 110 mitgeteilt wird, bestimmt die Regulärer-Zustand-Einheit 131, dass die Fehlfunktion in der ersten Autonomes-Fahren-ECU 110 erfasst wurde. Wenn die Fehlfunktionserfassung von der Fehlfunktion-Erfassungseinheit der zweiten Autonomes-Fahren-ECU 120 mitgeteilt wird, bestimmt die Regulärer-Zustand-Einheit 131, dass die Fehlfunktion in der zweiten Autonomes-Fahren-ECU 120 erfasst wurde.
-
In einem Fall, in dem die Fehlfunktion in irgendeiner von der ersten Autonomes-Fahren-ECU 110 und der zweiten Autonomes-Fahren-ECU 120 erfasst wurde, ruft die Regulärer-Zustand-Einheit 131 die Partiell-Arbeitender-Zustand-Einheit 133 auf. Danach wird ein Prozess des partiell-arbeitenden-Zustands (S130) durch die Partiell-Arbeitender-Zustand-Einheit 133 ausgeführt.
-
In einem Fall, in dem die Fehlfunktion in keiner von der ersten Autonomes-Fahren-ECU 110 und der zweiten Autonomes-Fahren-ECU 120 erfasst wurde, fährt der Prozess mit Schritt S114 fort.
-
In Schritt S114 bestimmt die Regulärer-Zustand-Einheit 131, ob oder ob nicht der Cyberangriff in irgendeiner von der ersten Autonomes-Fahren-ECU 110 und der zweiten Autonomes-Fahren-ECU 120 erfasst wurde.
-
Insbesondere, wenn die Angriffserfassung von der Angriffserfassungseinheit der ersten Autonomes-Fahren-ECU 110 mitgeteilt wird, bestimmt die Regulärer-Zustand-Einheit 131, dass der Cyberangriff in der ersten Autonomes-Fahren-ECU 110 erfasst wurde. Ferner, wenn die Angriffserfassung von der Angriffserfassungseinheit der zweiten Autonomes-Fahren-ECU 120 mitgeteilt wird, bestimmt die Regulärer-Zustand-Einheit 131, dass der Cyberangriff in der zweiten Autonomes-Fahren-ECU 120 erfasst wurde.
-
In einem Fall, in dem der Cyberangriff in irgendeiner von der ersten Autonomes-Fahren-ECU 110 und der zweiten Autonomes-Fahren-ECU 120 erfasst wurde, ruft die Regulärer-Zustand-Einheit 131 die Partiell-Prüfender-Zustand-Einheit 132 auf. Danach wird ein Prozess des partiell-prüfenden-Zustands (S120) durch die Partiell-Prüfender-Zustand-Einheit 132 ausgeführt.
-
Wenn der Cyberangriff in keiner von der ersten Autonomes-Fahren-ECU 110 und der zweiten Autonomes-Fahren-ECU 120 erfasst wurde, fährt der Prozess mit Schritt S112 fort.
-
Ein Prozessablauf für den partiell-prüfenden-Zustand (S120) wird unter Bezugnahme auf 5 beschrieben.
-
Es wird davon ausgegangen, dass die erste Autonomes-Fahren-ECU 110 normal ist und der Cyberangriff in der zweiten Autonomes-Fahren-ECU 120 erfasst wurde.
-
In Schritt S121 führt Partiell-Prüfender-Zustand-Einheit 132 das autonome Fahren durch.
-
Konkret steuert die Partiell-Prüfender-Zustand-Einheit 132 den Aktuator durch Eingeben der reguläre-Route-Informationen der ersten Autonomes-Fahren-ECU 110 in die Aktuator-ECU. Als ein Ergebnis bewegt sich das Fahrzeug auf der regulären Route.
-
In Schritt S122 prüft die Partiell-Prüfender-Zustand-Einheit 132 die Sicherheit der zweiten Autonomes-Fahren-ECU 120.
-
Insbesondere, wenn die Sicherheitsgewährleistung von der Sicherheitsüberprüfungseinheit der zweiten Autonomes-Fahren-ECU 120 mitgeteilt wird, bestimmt die Partiell-Prüfender-Zustand-Einheit 132, dass die Sicherheit der zweiten Autonomes-Fahren-ECU 120 gewährleistet wurde.
-
In einem Fall, in dem die Sicherheit der zweiten Autonomes-Fahren-ECU 120 gewährleistet wurde, ruft die Partiell-Prüfender-Zustand-Einheit 132 die Regulärer-Zustand-Einheit 131 auf. Danach wird ein Prozess des regulären Zustands (S110) durch die Regulärer-Zustand-Einheit 131 ausgeführt.
-
In einem Fall, in dem die Sicherheit der zweiten Autonomes-Fahren ECU 120 nicht gewährleistet wurde, geht der Prozess weiter zu Schritt S123.
-
In Schritt S123 bestimmt die Partiell-Prüfender-Zustand-Einheit 132, ob oder ob nicht der Cyberangriff in der ersten Autonomes-Fahren-ECU 110 erfasst wurde.
-
Insbesondere, wenn die Angriffserfassung von der Angriffserfassungseinheit der ersten Autonomes-Fahren-ECU 110 mitgeteilt wird, bestimmt die Partiell-Prüfender-Zustand-Einheit 132, dass der Cyberangriff in der ersten Autonomes-Fahren-ECU 110 erfasst wurde.
-
In einem Fall, in dem der Cyberangriff in der ersten Autonomes-Fahren-ECU 110 erfasst wurde, ruft die Partiell-Prüfender-Zustand-Einheit 132 die Alles-Prüfender-Zustand-Einheit 135 auf. Danach wird ein Prozess des Alles-Prüfenden-Zustands (S150) durch die Alles-Prüfender-Zustand-Einheit 135 ausgeführt.
-
In Schritt S124 bestimmt die Partiell-Prüfender-Zustand-Einheit 132, ob oder ob nicht die Fehlfunktion in irgendeiner von der ersten Autonomes-Fahren-ECU 110 und der zweiten Autonomes-Fahren-ECU 120 erfasst wurde.
-
Insbesondere, wenn die Fehlfunktionserfassung von der Fehlfunktionserfassungseinheit der ersten Autonomes-Fahren-ECU 110 mitgeteilt wird, bestimmt die Partiell-Prüfender-Zustand-Einheit 132, dass die Fehlfunktion in der ersten Autonomes-Fahren-ECU 110 erfasst wurde. Wenn die Fehlfunktionserfassung von der Fehlfunktionserfassungseinheit der zweiten Autonomes-Fahren-ECU 120 mitgeteilt wird, bestimmt die Partiell-Prüfender-Zustand-Einheit 132, dass die Fehlfunktion in der zweiten Autonomes-Fahren-ECU 120 erfasst wurde.
-
In einem Fall, in dem die Fehlfunktion in irgendeiner von der ersten Autonomes-Fahren-ECU 110 und der zweiten Autonomes-Fahren-ECU 120 erfasst wurde, ruft die Partiell-Prüfender-Zustand-Einheit 132 die Partiell-Arbeitender-Zustand-Einheit 133 auf. Danach wird ein Prozess des partiell-arbeitenden-Zustands (S130) durch die Partiell-Arbeitender-Zustand-Einheit 133 ausgeführt.
-
In einem Fall, in dem die Fehlfunktion in keiner von der ersten Autonomes-Fahren-ECU 110 und der zweiten Autonomes-Fahren-ECU 120 erfasst wurde, geht der Prozess weiter zu Schritt S125.
-
In Schritt S125 bestimmt die Partiell-Prüfender-Zustand-Einheit 132, ob oder ob nicht die Zeit zur Prüfung der Sicherheit abgelaufen ist.
-
Insbesondere bestimmt die Partiell-Prüfender-Zustand-Einheit 132, ob oder ob nicht die Zeit, die seit Beginn des Prozesses partiell-prüfenden-Zustands (S120) abgelaufen ist, die Warten-auf-Prüfung-Zeit überschreitet. Die Warten-auf-Prüfung-Zeit ist die Zeit, die im Voraus als Zeit zur Prüfung der Sicherheit festgelegt wurde (zum Beispiel zwei Sekunden).
-
Wenn die Zeit zur Prüfung der Sicherheit abgelaufen ist, ruft die Partiell-Prüfender-Zustand-Einheit 132 die Partiell-Arbeitender-Zustand-Einheit 133 auf. Danach wird ein Prozess des partiell-arbeitenden-Zustands (S130) durch die Partiell-Arbeitender-Zustand-Einheit 133 ausgeführt.
-
Wenn die Zeit zur Prüfung der Sicherheit nicht abgelaufen ist, fährt der Prozess mit Schritt S121 fort.
-
Ein Prozessablauf des partiell-arbeitenden-Zustandes (S130) wird unter Bezugnahme auf 6 beschrieben.
-
Es wird davon ausgegangen, dass die erste Autonomes-Fahren-ECU 110 normal ist und die zweite Autonomes-Fahren-ECU 120 anomal ist.
-
In Schritt S131 führt die Partiell-Arbeitender-Zustand-Einheit 133 das autonome Fahren durch.
-
Konkret steuert die Partiell-Arbeitender-Zustand-Einheit 133 den Aktuator durch Eingeben der reguläre-Route-Informationen der ersten Autonomes-Fahren-ECU 110 in die Aktuator-ECU. Als ein Ergebnis bewegt sich das Fahrzeug auf der regulären Route.
-
In Schritt S132 bestimmt die Partiell-Arbeitender-Zustand-Einheit 133, ob oder ob nicht die Fehlfunktion in der ersten Autonomes-Fahren-ECU 110 erfasst wurde.
-
Insbesondere, wenn die Fehlfunktionserfassung von der Fehlfunktionserfassungseinheit der ersten Autonomes-Fahren-ECU 110 mitgeteilt wird, bestimmt die Partiell-Arbeitender-Zustand-Einheit 133, dass die Fehlfunktion in der ersten Autonomes-Fahren-ECU 110 erfasst wurde.
-
In einem Fall, in dem die Fehlfunktion in der ersten Autonomes-Fahren-ECU 110 erfasst wurde, ruft die Partiell-Arbeitender-Zustand-Einheit 133 die Degenerierungszustand-Einheit 136 auf. Danach wird ein Prozess des Degenerierungszustands (S160) durch die Degenerierungszustand-Einheit 136 ausgeführt.
-
In einem Fall, in dem die Fehlfunktion in der ersten Autonomes-Fahren-ECU 110 nicht erfasst wurde, fährt der Prozess mit Schritt S133 fort.
-
In Schritt S133 bestimmt die Partiell-Arbeitender-Zustand-Einheit 133, ob oder ob nicht der Cyberangriff in der ersten Autonomes-Fahren-ECU 110 erfasst wurde.
-
Insbesondere, wenn die Angriffserfassung von der Angriffserfassungseinheit der ersten Autonomes-Fahren-ECU 110 mitgeteilt wird, bestimmt die Partiell-Arbeitender-Zustand-Einheit 133, dass der Cyberangriff in der ersten Autonomes-Fahren-ECU 110 erfasst wurde.
-
In einem Fall, in dem der Cyberangriff in der ersten Autonomes-Fahren-ECU 110 erfasst wurde, ruft die Partiell-Arbeitender-Zustand-Einheit 133 die Degenerierung-Prüfungszustand-Einheit 134 auf. Danach wird ein Prozess des Degenerierung-Prüfungszustands (S140) durch die Degenerierung-Prüfungszustand-Einheit 134 ausgeführt.
-
In einem Fall, in dem der Cyberangriff in der ersten Autonomes-Fahren-ECU 110 nicht erfasst wurde, fährt der Prozess mit Schritt S131 fort.
-
Ein Prozessablauf des Degenerierung-Prüfungszustands (S140) wird unter Bezugnahme auf 7 beschrieben.
-
Es wird davon ausgegangen, dass der Cyberangriff in der ersten Autonomes-Fahren-ECU 110 erfasst wurde und das zweite Autonomes-Fahren-ECU 120 eine Fehlfunktion aufweist.
-
In Schritt S141 führt die Degenerierung-Prüfungszustand-Einheit 134 den Degenerierungsbetrieb durch.
-
Insbesondere steuert die Degenerierung-Prüfungszustand-Einheit 134 den Aktuator durch Eingeben in die Aktuator-ECU der Notfallroute-Informationen, die anwendbar sind, wenn sich die erste Autonomes-Fahren-ECU 110 in Normalzeit befindet. Als ein Ergebnis bewegt sich das Fahrzeug auf der Notfallroute.
-
In Schritt S142 prüft die Degenerierung-Prüfungszustand-Einheit 134 die Sicherheit der ersten Autonomes-Fahren-ECU 110.
-
Insbesondere, wenn die Sicherheitsgewährleistung von der Sicherheitsüberprüfungseinheit der ersten Autonomes-Fahren-ECU 110 mitgeteilt wird, bestimmt die Degenerierung-Prüfungszustand-Einheit 134, dass die Sicherheit der ersten Autonomes-Fahren-ECU 110 gewährleitstet wurde.
-
In einem Fall, in dem die Sicherheit der ersten Autonomes-Fahren-ECU 110 gewährleistet wurde, ruft die Degenerierung-Prüfungszustand-Einheit 134 die Partiell-Arbeitender-Zustand-Einheit 133 auf. Danach wird ein Prozess des partiell-arbeitenden-Zustands (S130) durch die Partiell-Arbeitender-Zustand-Einheit 133 ausgeführt.
-
In einem Fall, in dem die Sicherheit der ersten Autonomes-Fahren-ECU 110 nicht gewährleistet ist, fährt der Prozess mit Schritt S143 fort.
-
In Schritt S143 bestimmt die Degenerierung-Prüfungszustand-Einheit 134, ob oder ob nicht die Fehlfunktion in der ersten Autonomes-Fahren-ECU 110 erfasst wurde.
-
Insbesondere, wenn die Fehlfunktionserfassung von der Fehlfunktionserfassungseinheit der ersten Autonomes-Fahren-ECU 110 mitgeteilt wird, bestimmt die Degenerierung-Prüfungszustand-Einheit 134, dass die Fehlfunktion in der ersten Autonomes-Fahren-ECU 110 erfasst wurde.
-
In einem Fall, in dem die Fehlfunktion in der ersten Autonomes-Fahren-ECU 110 erfasst wurde, ruft die Degenerierung-Prüfungszustand-Einheit 134 die Degenerierungszustand-Einheit 136 auf. Danach wird ein Prozess des Degenerierungszustands (S160) durch die Degenerierungszustand-Einheit 136 ausgeführt.
-
In einem Fall, in dem die Fehlfunktion in der ersten Autonomes-Fahren-ECU 110 nicht erfasst wurde, fährt der Prozess mit Schritt S144 fort.
-
In Schritt S144 bestimmt die Degenerierung-Prüfungszustand-Einheit 134, ob oder ob nicht die Zeit zur Prüfung der Sicherheit abgelaufen ist.
-
Insbesondere bestimmt die Degenerierung-Prüfungszustand-Einheit 134, ob oder ob nicht die Zeit, die seit Beginn des Prozesses des Degenerierung-Prüfungszustands (S140) abgelaufen ist, die Warten-auf-Prüfung-Zeit ist. Die Warten-auf-Prüfung-Zeit ist die Zeit, die im Voraus als Zeit zur Prüfung der Sicherheit festgelegt wurde (zum Beispiel zwei Sekunden).
-
Falls die Zeit zur Prüfung der Sicherheit abgelaufen ist, ruft die Degenerierung-Prüfungszustand-Einheit 134 die Degenerierungszustand-Einheit 136 auf. Danach wird ein Prozess des Degenerierungszustands (S160) durch die Degenerierungszustand-Einheit 136 ausgeführt.
-
Falls die Zeit zur Prüfung der Sicherheit nicht abgelaufen ist, fährt der Prozess mit Schritt S141 fort.
-
Ein Prozessablauf des Alles-Prüfenden-Zustands (S150) wird unter Bezugnahme auf 8 beschrieben.
-
Es wird davon ausgegangen, dass der Cyberangriff sowohl in der ersten Autonomes-Fahren-ECU 110 als auch in der zweiten Autonomes-Fahren-ECU 120 erfasst wurde.
-
In Schritt S151 führt die Alles-Prüfender-Zustand-Einheit 135 den Degenerierungsbetrieb durch.
-
Insbesondere steuert die Alles-Prüfender-Zustand-Einheit 135 den Aktuator durch Eingeben in die Aktuator-ECU der Notfallroute-Informationen, die anwendbar sind, wenn sich die erste Autonomes-Fahren-ECU 110 in der Normalzeit befindet. Als ein Ergebnis bewegt sich das Fahrzeug auf der Notfallroute.
-
In Schritt S152 bestimmt die Alles-Prüfender-Zustand-Einheit 135, ob oder ob nicht die Fehlfunktion in irgendeiner von der ersten Autonomes-Fahren-ECU 110 und der zweiten Autonomes-Fahren-ECU 120 erfasst wurde.
-
Insbesondere, wenn die Fehlfunktionserfassung von der Fehlfunktionserfassungseinheit der ersten Autonomes-Fahren-ECU 110 mitgeteilt wird, bestimmt die Alles-Prüfender-Zustand-Einheit 135, dass die Fehlfunktion in der ersten Autonomes-Fahren-ECU 110 erfasst wurde. Wenn die Fehlfunktionserfassung von der Fehlfunktionserfassungseinheit der zweiten Autonomes-Fahren-ECU 120 mitgeteilt wird, bestimmt die Alles-Prüfender-Zustand-Einheit 135, dass die Fehlfunktion in der zweiten Autonomes-Fahren-ECU 120 erfasst wurde.
-
In einem Fall, in dem die Fehlfunktion in irgendeiner von der ersten Autonomes-Fahren-ECU 110 und der zweiten Autonomes-Fahren-ECU 120 erfasst wurde, ruft die Alles-Prüfender-Zustand-Einheit 135 die Degenerierung-Prüfungszustand-Einheit 134 auf. Danach wird der Degenerierung-Prüfungszustand (S140) durch die Degenerierung-Prüfungszustand-Einheit 134 ausgeführt.
-
In einem Fall, in dem die Fehlfunktion in beiden, der ersten Autonomes-Fahren-ECU 110 und der zweiten Autonomes-Fahren-ECU 120 nicht erfasst wurde, startet die Alles-Prüfender-Zustand-Einheit 135 Prüfung der Sicherheit jeder von der ersten Autonomes-Fahren-ECU 110 und der zweiten Autonomes-Fahren-ECU 120 und der Prozess fährt mit Schritt S153 fort.
-
In Schritt S153 bestimmt die Alles-Prüfender-Zustand-Einheit 135, ob oder ob nicht die Zeit zur Prüfung der Sicherheit abgelaufen ist.
-
Konkret bestimmt die Alles-Prüfender-Zustand-Einheit 135 fest, ob oder ob nicht die Zeit, die seit Beginn des Prozesses des alles-prüfender-Zustands (S150) abgelaufen ist, die Warten-auf-Prüfung-Zeit überschreitet. Die Warten-auf-Prüfung-Zeit ist die Zeit, die als Zeit zur Prüfung der Sicherheit im Voraus festgelegt wurde (zum Beispiel zwei Sekunden).
-
Wenn die Zeit zur Prüfung der Sicherheit abgelaufen ist, fährt der Prozess mit Schritt S154 fort.
-
Wenn die Zeit zur Prüfung der Sicherheit nicht abgelaufen ist, fährt der Prozess mit Schritt S151 fort.
-
In Schritt S154 prüft die Alles-Prüfender-Zustand-Einheit 135 die Sicherheit jeder von der ersten Autonomes-Fahren-ECU 110 und der zweiten Autonomes-Fahren-ECU 120.
-
Insbesondere, wenn die Sicherheitsgewährleistung von der Sicherheitsüberprüfungseinheit der ersten Autonomes-Fahren-ECU 110 mitgeteilt wird, bestimmt die Alles-Prüfender-Zustand-Einheit 135, dass die Sicherheit der ersten Autonomes-Fahren-ECU 110 gewährleistet wurde. Wenn die Sicherheitsgewährleistung von der Sicherheitsüberprüfungseinheit der zweiten Autonomes-Fahren-ECU 120 mitgeteilt wird, bestimmt die Alles-Prüfender-Zustand-Einheit 135, dass die Sicherheit der zweiten Autonomes-Fahren-ECU 120 gewährleistet ist.
-
In einem Fall, in dem die Sicherheit sowohl in der ersten Autonomes-Fahren-ECU 110 als auch in der zweiten Autonomes-Fahren-ECU 120 gewährleistet wurde, ruft die Alles-Prüfender-Zustand-Einheit 135 die Regulärer-Zustand-Einheit 131 auf. Danach wird der Prozess des regulären Zustands (S110) durch die Regulärer-Zustand-Einheit 131 ausgeführt.
-
In einem Fall, in dem die Sicherheit in irgendeiner von der ersten Autonomes-Fahren-ECU 110 und der zweiten Autonomes-Fahren-ECU 120 gewährleistet wurde, ruft die Alles-Prüfender-Zustand-Einheit 135 die Partiell-Arbeitender-Zustand-Einheit 133 auf. Danach wird der Prozess des partiell-arbeitenden-Zustands (S130) durch die Partiell-Arbeitender-Zustand-Einheit 133 ausgeführt.
-
In einem Fall, in dem die Sicherheit keiner von der ersten Autonomes-Fahren-ECU 110 und der zweiten Autonomes-Fahren-ECU 120 gewährleistet wurde, ruft die Alles-Prüfender-Zustand-Einheit 135 die Degenerierungszustand-Einheit 136 auf. Danach wird der Degenerierungszustand (S160) durch die Degenerierungszustand-Einheit 136 ausgeführt.
-
Ein Prozess des Degenerierungszustandes (S160) wird beschrieben.
-
Die Degenerierungszustand-Einheit 136 führt den Degenerierungsbetrieb durch. Insbesondere steuert die Degenerierungszustand-Einheit 136 den Aktuator durch Eingeben in die Aktuator-ECU der Notfallroute-Informationen, die anwendbar sind, wenn sich die erste Autonomes-Fahren-ECU 110 in der Normalzeit befindet. Als ein Ergebnis bewegt sich das Fahrzeug auf der Notfallroute.
-
*** Beschreibung von Beispielen ***
-
Beispiele des fahrzeuginternen Steuerungssystems 100 werden unter Bezugnahme auf 9 beschrieben.
-
Das fahrzeuginterne Steuerungssystem 100 kann eine Aktuator-ECU 150 umfassen.
-
Die Aktuator-ECU 150 ersetzt der Hub A 130, die erste Aktuator-ECU 151 und die zweite Aktuator-ECU 152.
-
Die Aktuator-ECU 150 funktioniert als die fahrzeuginterne Steuerungsvorrichtung anstelle des Hubs A 130.
-
Jede Autonomes-Fahren-ECU kann anstelle der Fahrsteuerungsinformationen ein Aktuator-Steuersignal in die Aktuator 150 eingeben. Außerdem kann die Umschalteinheit die Fahrsteuerinformationen in das Aktuator-Steuersignal umwandeln. Das Aktuator-Steuersignal ist ein Aktuator-Zweck-Steuersignal.
-
Beispiele für das fahrzeuginterne Steuerungssystem 100 werden unter Bezugnahme auf 10 beschrieben. Eine Abbildung des Sensors ist nicht enthalten.
-
Das fahrzeuginterne Steuerungssystem 100 kann durch ein SoC 200 realisiert sein. „SoC“ steht für System auf einem Chip.
-
Das SoC 200 umfasst einen ersten Prozessor 210, einen zweiten Prozessor 220 und einen dritten Prozessor 230. Jeder Prozessor ist zum Beispiel eine Zentrale Verarbeitungseinheit (CPU).
-
Der erste Prozessor 210 ersetzt die erste Autonomes-Fahren-ECU 110, und der zweite Prozessor 220 ersetzt die zweite Autonomes-Fahren-ECU 120.
-
Sowohl der erste Prozessor 210 als auch der zweite Prozessor 220 funktionieren als Fahrsteuerungsvorrichtung anstelle Autonomes-Fahren-ECU.
-
Der dritte Prozessor 230 funktioniert als die fahrzeuginterne Steuerungsvorrichtung anstelle des Hubs A 130.
-
*** Wirkung der ersten Ausführungsform ***
-
Gemäß der ersten Ausführungsform ist es möglich, das autonome Fahren des Fahrzeugs unter Verwendung der Normales-Fahren-Steuerungsvorrichtung durchzuführen, wenn der Cyberangriff nicht erfasst wurde. Dadurch ist es möglich, die Sicherheit des fahrzeuginternen Steuerungssystems 100 zu erhöhen.
-
Ferner ist es möglich, das autonome Fahren des Fahrzeugs mit Hilfe der Fahrsteuerungsvorrichtung durchzuführen, in einem Fall, in dem die Sicherheit in der Fahrsteuerungsvorrichtung gewährleistet wurde und der Cyberangriff erfasst wurde. Das bedeutet, dass das fahrzeuginterne Steuerungssystem 100 nach einem Cyberangriff nicht sofort in den Degenerierungsbetrieb übergeht, und einen autonomen Fahrbetrieb fortsetzt. Dadurch ist es möglich, die Zeit, während der das autonome Fahren fortgesetzt werden kann, zu verlängern und die Wartungshäufigkeit zu verringern. Außerdem ist es möglich, die Verfügbarkeit des fahrzeuginternen Steuerungssystems 100 zu erhöhen.
-
*** Ergänzung zu der ersten Ausführungsform ***
-
Eine Hardware-Konfiguration der fahrzeuginternen Steuerungsvorrichtung 190 wird unter Bezugnahme auf 11 beschrieben.
-
Die fahrzeuginterne Steuerungsvorrichtung 190 ist eine fahrzeuginterne Steuerungsvorrichtung, die in dem fahrzeuginternen Steuerungssystem 100 enthalten ist.
-
Die fahrzeuginterne Steuerungsvorrichtung 190 umfasst einen Verarbeitungsschaltkreis 191 und eine Eingabe-/Ausgabeschnittstelle 192.
-
Der Verarbeitungsschaltkreis 191 ist Hardware, die die Umschalteinheit, die Reguläre-Route-Einheit und die Notfallroute-Einheit realisiert.
-
Der Verarbeitungsschaltkreis 191 kann eine zweckgebundene Hardware sein oder kann ein Prozessor sein, der ein Programm ausführt, das in einem Speicher gespeichert ist.
-
Wenn der Verarbeitungsschaltkreis 191 die zweckgebundene Hardware ist, ist der Verarbeitungsschaltkreis 191 beispielsweise eine Einzelschaltung, eine Verbundschaltung, ein programmierter Prozessor, ein parallel programmierter Prozessor, eine ASIC, ein FPGA, oder eine Kombination daraus.
„ASIC‟ steht für anwendungsspezifische integrierte Schaltung.
„FPGA“ steht für im Feld programmierbare Gatteranordnung.
-
Die fahrzeuginterne Steuerungsvorrichtung 190 kann eine Vielzahl von Verarbeitungsschaltkreisen umfassen, die den Verarbeitungsschaltkreis 191 ersetzen. Die Vielzahl von Verarbeitungsschaltkreisen teilen sich eine Aufgabe des Verarbeitungsschaltkreises 191.
-
Die Eingabe-/Ausgabeschnittstelle 192 ist ein Anschluss für die Eingabe und Ausgabe von Fahrsteuerungsinformationen oder dergleichen.
-
In der fahrzeuginternen Steuerungsvorrichtung 190 können einige Funktionen durch die zweckgebundene Hardware realisiert sein und die übrigen Funktionen können durch Software oder Firmware realisiert sein.
-
Wie oben beschrieben, kann der Verarbeitungsschaltkreis 191 durch Hardware, Software, Firmware oder eine Kombination davon realisiert sein.
-
Die Ausführungsformen sind Beispiele bevorzugter Ausführungsformen und sollen den technischen Umfang der vorliegenden Erfindung nicht einschränken. Die Ausführungsformen können teilweise implementiert sein oder können in Kombination mit anderen Ausführungsformen implementiert sein. Die mittels der Flussdiagramme und dergleichen erläuterten Vorgänge können nach Bedarf geändert werden.
-
Die „Einheit“, die ein Element des fahrzeuginternen Steuerungssystems 100 ist, kann als „Prozess“ oder „Schritt“ gelesen werden.
-
Bezugszeichenliste
-
- 100
- fahrzeuginternes Steuerungssystem,
- 101
- Sensor A,
- 102
- Sensor B,
- 103
- Sensor C,
- 104
- Sensor D,
- 110
- erste Autonomes-Fahren-ECU,
- 120
- zweite Autonomes-Fahren-ECU,
- 130
- Hub A,
- 131
- Regulärer-Zustand-Einheit,
- 132
- Partiell-Prüfender-Zustand-Einheit,
- 133
- Partiell-Arbeitender-Zustand-Einheit,
- 134
- Degenerierung-Prüfende-Einheit,
- 135
- Alles-Prüfender-Zustand-Einheit,
- 136
- Degenerierungszustand-Einheit,
- 140
- Hub B,
- 150
- Aktuator-ECU,
- 151
- erste Aktuator-ECU,
- 152
- zweite Aktuator-ECU,
- 161
- erster Aktuator,
- 162
- zweiter Aktuator,
- 190
- fahrzeuginterne Steuerungsvorrichtung,
- 191
- Verarbeitungsschaltkreis,
- 192
- Eingabe/Ausgabe-Schnittstelle,
- 200
- SoC,
- 210
- erster Prozessor,
- 220
- zweiter Prozessor,
- 230
- dritter Prozessor.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-