DE112019007286T5 - Fahrzeuginterne steuerungsvorrichtung und fahrzeuginternes steuerungssystem - Google Patents

Fahrzeuginterne steuerungsvorrichtung und fahrzeuginternes steuerungssystem Download PDF

Info

Publication number
DE112019007286T5
DE112019007286T5 DE112019007286.2T DE112019007286T DE112019007286T5 DE 112019007286 T5 DE112019007286 T5 DE 112019007286T5 DE 112019007286 T DE112019007286 T DE 112019007286T DE 112019007286 T5 DE112019007286 T5 DE 112019007286T5
Authority
DE
Germany
Prior art keywords
state
vehicle control
degeneration
autonomous driving
checking
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE112019007286.2T
Other languages
English (en)
Inventor
Shuichiro Senda
Yosuke Yokoyama
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of DE112019007286T5 publication Critical patent/DE112019007286T5/de
Pending legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W60/00Drive control systems specially adapted for autonomous road vehicles
    • B60W60/001Planning or execution of driving tasks
    • B60W60/0015Planning or execution of driving tasks specially adapted for safety
    • B60W60/0018Planning or execution of driving tasks specially adapted for safety by employing degraded modes, e.g. reducing speed, in response to suboptimal conditions
    • B60W60/00188Planning or execution of driving tasks specially adapted for safety by employing degraded modes, e.g. reducing speed, in response to suboptimal conditions related to detected security violation of control systems, e.g. hacking of moving vehicle
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/023Avoiding failures by using redundant parts
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G1/00Traffic control systems for road vehicles
    • G08G1/09Arrangements for giving variable traffic instructions
    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G1/00Traffic control systems for road vehicles
    • G08G1/16Anti-collision systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0062Adapting control system settings
    • B60W2050/0075Automatic parameter input, automatic initialising or calibrating means
    • B60W2050/0095Automatic control mode change
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • B60W2050/021Means for detecting failure or malfunction
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • B60W2050/0215Sensor drifts or sensor failures
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • B60W2050/0292Fail-safe or redundant systems, e.g. limp-home or backup systems

Abstract

Eine fahrzeuginterne Steuerungsvorrichtung (130) schaltet einen Betriebszustand eines fahrzeuginternen Steuerungssystems (100) von einem regulären Zustand in einen partiell-prüfenden-Zustand um, in einem Fall, in dem ein Cyberangriff in einem Teil einer Vielzahl von Fahrsteuerungsvorrichtungen (110 und 120) erfasst wurde. Der reguläre Zustand ist ein Betriebszustand, in dem autonomes Fahren durchgeführt wird unter Verwendung von zumindest einer der Vielzahl von Fahrsteuerungsvorrichtungen. Der partiell-prüfende-Zustand ist ein Betriebszustand, in dem das autonome Fahren durchgeführt wird unter Verwendung von zumindest einer von normalen Fahrsteuerungsvorrichtungen, bei denen der Cyberangriff nicht erfasst wurde, und Sicherheit jeder der Fahrsteuerungsvorrichtungen, bei denen der Cyberangriff erfasst wurde, geprüft wird.

Description

  • Technisches Gebiet
  • Die vorliegende Erfindung bezieht sich auf ein fahrzeuginternes System für autonomes Fahren.
  • Technischer Hintergrund
  • Um das autonome Fahren eines Fahrzeugs zu realisieren, ist es wünschenswert, dass ein fahrzeuginternes Steuerungssystem mit hoher Sicherheit bereitgestellt wird.
  • Patentliteratur 1 offenbart ein Fahrzeugsteuerungssystem.
  • Dieses Fahrzeugsteuerungssystem umfasst ein eine Autonomes-Fahren-Integrations-ECU und eine Autonomes-Parken-ECU. Wenn die Autonomes-Fahren-Integrations-ECU einer Fehlfunktion unterliegt, ersetzt die Autonomes-Parken-ECU eine Funktion der Autonomes-Fahren-Integrations-ECU. ECU steht für Elektronische Steuerungseinheit.
  • Referenzliste
  • Patentliteratur
  • Patentliteratur 1: JP2017-81290A
  • Kurzfassung der Erfindung
  • Technisches Problem
  • Da das fahrzeuginterne Steuerungssystem mittels elektronischer Steuerung betrieben wird, ist es wichtig, Sicherheit vor Cyberangriffen zu gewährleisten.
  • In dem in der Patentliteratur 1 offenbarten Fahrzeugsteuerungssystem wird das autonome Fahren durch die Autonomes-Fahren-Integrations-ECU durchgeführt, falls die Autonomes-Fahren-Integrations-ECU keiner Fehlfunktion unterliegt. Der Cyberangriff auf die Autonomes-Fahren-Integrations-ECU bleibt unberücksichtigt. Falls also die Autonomes-Fahren-Steuerungs-ECU, die keine Fehlfunktionen aufweist, einem Cyberangriff ausgesetzt ist, besteht die Möglichkeit, dass die Sicherheit nicht gewährleistet ist.
  • Die vorliegende Erfindung hat die Aufgabe, ein fahrzeuginternes Steuerungssystem mit hoher Sicherheit unter Berücksichtigung eines Cyberangriffs bereitzustellen.
  • Lösung des Problems
  • Eine fahrzeuginterne Steuerungsvorrichtung gemäß der vorliegenden Erfindung ist in einem fahrzeuginternen Steuerungssystem enthalten, das autonomes Fahren eines Fahrzeugs durchführt.
  • Das fahrzeuginterne Steuerungssystem umfasst eine Vielzahl von Fahrsteuerungsvorrichtungen für das autonome Fahren des Fahrzeugs.
  • Die fahrzeuginterne Steuerungsvorrichtung umfasst eine Regulärer-Zustand-Einheit, um einen Betriebszustand des fahrzeuginternen Steuerungssystems von einem regulären Zustand in einen partiell-prüfenden-Zustand umzuschalten, in einem Fall, in dem ein Cyberangriff in einem Teil der Vielzahl von Fahrsteuerungsvorrichtungen erfasst wurde.
  • Der reguläre Zustand ist ein Betriebszustand, in dem das autonome Fahren unter Verwendung von zumindest einer der Vielzahl von Fahrsteuerungsvorrichtungen durchgeführt wird.
  • Der partiell-prüfende-Zustand ist ein Betriebszustand, in dem das autonome Fahren durchgeführt wird unter Verwendung von zumindest einer von normalen Fahrsteuerungsvorrichtungen, bei denen der Cyberangriff nicht erfasst wurde, und Sicherheit jeder der Fahrsteuerungsvorrichtungen, bei denen der Cyberangriff erfasst wurde, geprüft wird.
  • Vorteilhafte Wirkungen der Erfindung
  • Gemäß der vorliegenden Erfindung ist es möglich, ein fahrzeuginternes Steuerungssystem mit hoher Sicherheit unter Berücksichtigung eines Cyberangriffs bereitzustellen.
  • Figurenliste
    • 1 ist ein Konfigurationsdiagramm eines fahrzeuginternen Steuerungssystems 100 gemäß einer ersten Ausführungsform.
    • 2 ist funktionales Konfigurationsdiagramm einer Umschalteinheit einen Hub A 130 (fahrzeuginterne Steuerungsvorrichtung) gemäß der ersten Ausführungsform.
    • 3 ist ein Zustandsübergangsdiagramm eines fahrzeuginternen Steuerungsverfahrens gemäß der ersten Ausführungsform.
    • 4 ist ein Flussdiagramm eines regulären Zustands (S110) gemäß der ersten Ausführungsform.
    • 5 ist ein Flussdiagramm eines partiell-prüfenden-Zustands (S120) gemäß der ersten Ausführungsform.
    • 6 ist ein Flussdiagramm eines partiell-arbeitenden-Zustands (S130) gemäß der ersten Ausführungsform.
    • 7 ist ein Flussdiagramm eines Degenerierung-Prüfungszustands (S140) gemäß der ersten Ausführungsform.
    • 8 ist ein Flussdiagramm eines alles-prüfender-Zustands (S150) gemäß der ersten Ausführungsform.
    • 9 ist ein Diagramm, das ein Konfigurationsbeispiel des fahrzeuginternen Steuerungssystems 100 gemäß der ersten Ausführungsform veranschaulicht.
    • 10 ist ein Diagramm, das ein Konfigurationsbeispiel des fahrzeuginternen Steuerungssystems 100 gemäß der ersten Ausführungsform veranschaulicht.
    • 11 ist ein Hardware-Konfigurationsdiagramm einer fahrzeuginternen Steuerungsvorrichtung 190 gemäß der ersten Ausführungsform.
  • Beschreibung der Ausführungsformen
  • In den Ausführungsformen und den Zeichnungen sind gleichen oder einander entsprechenden Elementen gleiche Bezugszahlen zugeordnet. Beschreibungen von Elementen, die mit den gleichen Bezugszahlen versehen sind, werden gegebenenfalls weggelassen oder vereinfacht. Pfeile in den Zeichnungen veranschaulichen hauptsächlich Datenflüsse oder Prozessabläufe.
  • Erste Ausführungsform.
  • Ein fahrzeuginternes Steuerungssystem 100 wird unter Bezugnahme auf 1 bis 11 erläutert.
  • *** Beschreibung der Konfiguration ***
  • Eine Konfiguration des fahrzeuginternen Steuerungssystems 100 wird unter Bezugnahme auf 1 beschrieben.
  • Das fahrzeuginterne Steuerungssystem 100 ist ein System, das in einem Fahrzeug installiert ist und autonomes Fahren des Fahrzeugs steuert.
  • Konkret steuert das fahrzeuginterne Steuerungssystem 100 einen ersten Aktuator 161 über eine erste Aktuator-ECU 151 und einen zweiten Aktuator 162 über eine zweite Aktuator-ECU 152.
  • Wenn weder die erste Aktuator-ECU 151 noch die zweite Aktuator-ECU 152 spezifiziert ist, wird jeder als „Aktuator-ECU“ bezeichnet.
  • Wenn weder der erste Aktuator 161 noch der zweite Aktuator 162 spezifiziert ist, wird jeder als „Aktuator“ bezeichnet.
  • Der Aktuator ist Ausrüstung, die das Fahrzeug antreibt. Der Aktuator ist zum Beispiel ein Motor, eine Maschine, eine Bremse oder eine Lenkung.
  • Die Aktuator-ECU ist eine Vorrichtung, die den Aktuator steuert.
  • Das fahrzeuginterne Steuerungssystem 100 kann einen Aktuator steuern oder drei oder mehr Aktuatoren steuern.
  • Das fahrzeuginterne Steuerungssystem 100 umfasst eine erste Autonomes-Fahren-ECU 110 und eine zweite Autonomes-Fahren-ECU 120.
  • Die erste Autonomes-Fahren-ECU 110 und die zweite Autonomes-Fahren-ECU 120 werden nicht gleichzeitig durch einen Cyberangriff beeinflusst, da die erste Autonomes-Fahren-ECU 110 und die zweite Autonomes-Fahren-ECU 120 durch unterschiedliche Implementierungen usw. realisiert sind.
  • Wenn weder die erste Autonomes-Fahren-ECU 110 noch die zweite Autonomes-Fahren-ECU 120 spezifiziert ist, wird jede als „Autonomes-Fahren-ECU“ bezeichnet.
  • Die Autonomes-Fahren-ECU ist eine Vorrichtung (Fahrsteuerungsvorrichtung), die Fahrsteuerungsinformationen ausgibt, die für das autonome Fahren des Fahrzeugs bestimmt sind.
  • Das fahrzeuginterne Steuerungssystem 100 kann drei oder mehr Autonomes-Fahren-ECUs enthalten.
  • Das fahrzeuginterne Steuerungssystem 100 umfasst einen Hub A 130 und einen Hub B 140.
  • Ein Cyberangriff auf das Hub A 130 und das Hub B 140 wird dadurch erschwert, dass der Hub A 130 und der Hub B 140 jeweils mit einem nicht überschreibbaren ROM usw. realisiert sind.
  • Wenn weder das Hub A 130 noch das Hub B 140 spezifiziert ist, werden beide als „Hub“ bezeichnet. Der Hub ist Netzwerkausrüstung.
  • Wenn eine Maßnahme wie Fälschungserfassung an einem Kommunikationskabel (Kommunikationsnetz) vorgenommen wird, das die Autonomes-Fahren-ECU und der Hub miteinander verbindet, ist ein Cyberangriff auf das Kommunikationsnetz schwierig.
  • Jeder Hub umfasst eine Sammeleinheit. Die Sammeleinheit ist durch eine Schaltung, eine Software oder eine Kombination aus beidem realisiert.
  • Die Sammeleinheit des Hubs A 130 sammelt Sensorinformationen von einem Sensor A 101 und einem Sensor B 102. Die Sammeleinheit des Hubs B 140 sammelt Sensorinformationen von einem Sensor C 103 und einem Sensor D 104. Wenn weder der Sensor A 101, der Sensor B 102, der Sensor C 103 noch der Sensor D 104 spezifiziert ist, wird jeder als „Sensor“ bezeichnet.
  • Der Sensor ist Ausrüstung, der eine Situation rund um das Fahrzeug erfasst. Die Sensorinformationen sind Informationen, die durch den Sensor erhalten werden. Der Sensor ist zum Beispiel eine Kamera oder ein Laserradar zum Erfassen anderer Fahrzeuge.
  • Jede Autonomes-Fahren-ECU umfasst eine Erkennungseinheit, eine Reguläre-Berechnungs-Einheit, eine Notfall-Berechnungs-Einheit, eine Fehlfunktion-Erfassungseinheit, eine Angriffserfassungseinheit und eine Sicherheitsüberprüfungseinheit. Diese Elemente sind durch eine Schaltung, eine Software oder eine Kombination aus beidem realisiert.
  • Die Erkennungseinheit erkennt eine Situation rund um das Fahrzeug auf Grundlage der gesammelten Sensorinformationen. Ein Verfahren des Erkennens einer Situation rund um das Fahrzeug ist willkürlich.
  • Die Reguläre-Berechnungs-Einheit berechnet eine Bewegungsroute (reguläre Route) in regulärer Zeit auf Grundlage der erkannten Situation. Ein Verfahren des Berechnens der regulären Route ist beliebig. Informationen (reguläre-Route-Informationen), die die reguläre Route angeben, werden als Fahrzeugsteuerungsinformationen ausgegeben.
  • Die Notfall-Berechnungseinheit berechnet eine Bewegungsroute (Notfallroute) auf Grundlage der erkannten Situation. Ein Verfahren des Berechnens der Notfallroute ist beliebig. Informationen (Notfallroute-Informationen), angebend die Notfallroute, werden als Fahrzeugsteuerungsinformationen ausgegeben.
  • Die Fehlfunktion-Erfassungseinheit erkennt eine Fehlfunktion, die in der Autonomes-Fahren-ECU aufgetreten ist. Zum Beispiel werden eine Vielzahl von regulären Routen, die durch eine Vielzahl von Autonomes-Fahren-ECUS berechnet wurden, miteinander verglichen, und die Fehlfunktion wird auf Grundlage des Vergleichsergebnisses erfasst. Ein Verfahren des Erfassens der Fehlfunktion ist beliebig.
  • Die Angriffserfassungseinheit erfasst den Cyberangriff, der in der Autonomes-Fahren-ECU erfolgt ist. Ein Verfahren des Erfassens des Cyberangriffs ist beliebig.
  • Die Sicherheitsüberprüfungseinheit versucht, eine Sicherheitsfunktion wiederherzustellen, in einem Fall, in dem der Cyberangriff erfasst wurde, und bestimmt, ob Sicherheit gewährleistet ist oder nicht. Zum Beispiel startet die Sicherheitsüberprüfungseinheit die Autonomes-Fahren-ECU neu. Dann bestimmt die Sicherheitsüberprüfungseinheit mit Hilfe von Secure Boot, ob die Sicherheitsfunktion normal ist oder nicht, d. h. ob die Sicherheit gewährleistet wurde oder nicht. Ein Verfahren zur Prüfung der Sicherheit ist beliebig.
  • Der Hub A 130 umfasst eine Reguläre-Route-Einheit und eine Notfallroute-Einheit. Sowohl die Reguläre-Route-Einheit als auch die Notfallroute-Einheit sind durch ein Aufzeichnungsmedium realisiert.
  • Die Reguläre-Route-Einheit speichert reguläre-Route-Informationen.
  • Die Notfallroute-Einheit speichert die Notfallroute-Informationen.
  • Der Hub A 130 enthält eine Umschalteinheit und funktioniert als eine fahrzeuginterne Steuerungsvorrichtung.
  • Die Umschalteinheit schaltet Betriebszustände des fahrzeuginternen Steuerungssystems 100 auf Grundlage von Situationen einer Vielzahl von Fahrsteuerungsvorrichtungen (110 und 120).
  • Die Umschalteinheit ist durch eine Schaltung, eine Software und eine Kombination aus beidem realisiert.
  • Eine Konfiguration der Umschalteinheit der Hub A 130 wird unter Bezugnahme auf 2 beschrieben.
  • Die Umschalteinheit der Hub A 130 umfasst eine Regulärer-Zustand-Einheit 131, eine Partiell-Prüfender-Zustand-Einheit 132, eine Partiell-Arbeitender-Zustand-Einheit 133, eine Degenerierung-Prüfungszustand-Einheit 134, eine Alles-Prüfender-Zustand-Einheit 135 und eine Degenerierungszustand-Einheit 136. Die Funktionen dieser Elemente werden später beschrieben.
  • *** Beschreibung des Betriebs ***
  • Ein Betriebsvorgang des fahrzeuginternen Steuerungssystems 100 ist äquivalent zu einem fahrzeuginternen Steuerungsverfahren.
  • Das fahrzeuginterne Steuerungsverfahren wird unter Bezugnahme auf 3 beschrieben.
  • Schritt S110 ist ein Prozess, der durchgeführt wird, wenn der Betriebszustand des fahrzeuginternen Steuerungssystems 100 ein „regulärer Zustand“ ist, und durch die Reguläre-Zustand-Einheit 131 der Umschalteinheit ausgeführt wird.
  • Der „Reguläre Zustand“ ist ein Betriebszustand, der angenommen wird, wenn alle der Vielzahl von Fahrsteuerungsvorrichtungen (110 und 120) normal sind. Die Normales-Fahren-Steuerungsvorrichtung unterliegt keiner Fehlfunktion, und die Sicherheit wurde gewährleistet.
  • In Schritt S110 führt die Regulärer-Zustand-Einheit 131 das autonome Fahren unter Verwendung von zumindest einer der Vielzahl von Fahrsteuerungsvorrichtungen (110 und 120) durch.
  • In einem Fall, in dem der Cyberangriff in einem Teil der Vielzahl von Fahrsteuerungsvorrichtungen erfasst wurde, schaltet die Regulärer-Zustand-Einheit 131 den Betriebszustand des fahrzeuginternen Steuerungssystems 100 von dem „Regulären Zustand“ in einen „Teilweise-Prüfenden-Zustand“ um.
  • In einem Fall, in dem die Fehlfunktion in einem Teil der Vielzahl von Fahrsteuerungsvorrichtungen erfasst wurde, schaltet die Regulärer-Zustand-Einheit 131 den Betriebszustand des fahrzeuginternen Steuerungssystems 100 von dem „Regulären Zustand“ in einen „Partiell-Arbeitenden-Zustand“ um.
  • Schritt S120 ist ein Prozess, der angenommen wird, wenn der Betriebszustand des fahrzeuginternen Steuerungssystems 100 der „Partiell-Prüfende-Zustand“ ist, und durch die Partiell-Prüfender-Zustand-Einheit 132 der Umschalteinheit ausgeführt wird.
  • Der „Partiell-Prüfende-Zustand“ ist ein Betriebszustand, der in einem Fall angenommen wird, in dem ein Teil der Vielzahl von Fahrsteuerungsvorrichtungen (110 und 120) normal ist und der Cyberangriff in einem Teil der Vielzahl von Fahrsteuerungsvorrichtungen erfasst wurde.
  • In Schritt S120 führt die Partiell-Prüfender-Zustand-Einheit 132 das autonome Fahren unter Verwendung von zumindest einer der normalen Fahrsteuerungsvorrichtungen durch und prüft die Sicherheit jeder der Fahrsteuerungsvorrichtungen, bei denen der Cyberangriff erfasst wurde.
  • In einem Fall, in dem die Sicherheit in allen Fahrsteuerungsvorrichtungen, bei denen der Cyberangriff in dem „Regulären Zustand“ erfasst wurde, gewährleistet wurde, schaltet die Partiell-Prüfender-Zustand-Einheit 132 den Betriebszustand des fahrzeuginternen Steuerungssystems 100 von dem „Partiell-Prüfenden-Zustand“ in den „Regulären Zustand“ um.
  • In einem Fall, in dem die Sicherheit in allen Fahrsteuerungsvorrichtungen, bei denen der Cyberangriff in dem „Regulären Zustand“ erfasst wurde, nicht gewährleistet wurde, schaltet die Partiell-Prüfender-Zustand-Einheit 132 den Betriebszustand des fahrzeuginternen Steuerungssystems 100 von dem „Partiell-Prüfenden-Zustand“ in den „Partiell-Arbeitenden-Zustand“ um.
  • In einem Fall, in dem der Cyberangriff in allen normalen Fahrsteuerungsvorrichtungen in dem „Partiell-Prüfenden-Zustand“ erfasst wurde, schaltet die Partiell-Prüfender-Zustand-Einheit 132 den Betriebszustand des fahrzeuginternen Steuerungssystems 100 von dem „Partiell-Prüfenden-Zustand“ in einen „Alles-Prüfenden-Zustand“ um.
  • In einem Fall, in dem die Fehlfunktion in einem Teil der normalen Fahrsteuerungsvorrichtungen in dem „Partiell-Prüfenden-Zustand“ erfasst wurde, schaltet die Partiell-Prüfender-Zustand-Einheit 132 den Betriebszustand des fahrzeuginternen Steuerungssystems 100 von dem „Partiell-Prüfenden-Zustand“ in den „Partiell-Arbeitenden-Zustand“ um.
  • Schritt S130 ist ein Prozess, der angenommen wird, wenn der Betriebszustand des fahrzeuginternen Steuerungssystems 100 der „Partiell-Arbeitende-Zustand“ ist, und der durch die Partiell-Arbeitender-Zustand-Einheit 133 ausgeführt wird.
  • Der „Partiell-Arbeitende-Zustand“ ist ein Betriebszustand, der angenommen wird, wenn ein Teil der Vielzahl von Fahrsteuerungsvorrichtungen (110 und 120) normal ist und die Übrigen der Vielzahl von Fahrsteuerungsvorrichtungen anomal sind. Die Anomales-Fahren-Steuerungsvorrichtung unterliegt einer Fehlfunktion oder weist eine Sicherheitsanomalie auf. Die Sicherheitsanomalie ist eine Situation, in der die Sicherheit nicht gewährleistet wurde, obwohl versucht wurde, die Sicherheit zu gewährleisten.
  • In Schritt S130 führt die Partiell-Arbeitender-Zustand-Einheit 133 das autonome Fahren unter Verwendung von zumindest einer der normalen Fahrsteuerungsvorrichtungen durch.
  • In einem Fall, in dem der Cyberangriff in allen normalen Fahrsteuerungsvorrichtungen in dem „Partiell-Arbeitenden-Zustand“ erfasst wurde, schaltet die Partiell-Arbeitender-Zustand-Einheit 133 den Betriebszustand des fahrzeuginternen Steuerungssystems 100 von dem „Partiell-Arbeitenden-Zustand“ in einen „Degenerierung-Prüfungszustand“ um.
  • In einem Fall, in dem die Fehlfunktion in allen normalen Fahrsteuerungsvorrichtungen in dem „Partiell-Arbeitenden-Zustand“ erfasst wurde, schaltet die Partiell-Arbeitender-Zustand-Einheit 133 den Betriebszustand des fahrzeuginternen Steuerungssystems 100 von dem „Partiell-Arbeitenden-Zustand“ in einen „Degenerierungszustand“ um.
  • Schritt S140 ist ein Prozess, der angenommen wird, wenn der Betriebszustand des fahrzeuginternen Steuerungssystems 100 der „Degenerierung-Prüfungszustand“ ist, und durch die Degenerierung-Prüfungszustand-Einheit 134 ausgeführt wird.
  • Der „Degenerierung-Prüfungszustand“ ist ein Betriebszustand, der in einem Fall angenommen wird, in dem ein Teil der Vielzahl von Fahrsteuerungsvorrichtungen (110 und 120) anomal ist und der Serverangriff in den Übrigen der Vielzahl von Fahrsteuerungsvorrichtungen erfasst wurde.
  • In Schritt S140 führt die Degenerierung-Prüfungszustand-Einheit 134 Degenerierungsbetrieb durch und prüft außerdem die Sicherheit jeder der Fahrsteuerungsvorrichtungen, bei denen der Serverangriff in dem „Partiell-Arbeitenden-Zustand“ erfasst wurde.
  • In einem Fall, in dem die Sicherheit in allen Fahrsteuerungsvorrichtungen, bei denen der Cyberangriff in dem „Partiell-Arbeitenden-Zustand“ erfasst wurde, gewährleistet ist, schaltet die Degenerierung-Prüfungszustand-Einheit 134 den Betriebszustand des fahrzeuginternen Steuerungssystems 100 von dem „Degenerierung-Prüfungszustand“ in den „Partiell-Arbeitenden-Zustand“ um.
  • In einem Fall, in dem die Sicherheit in allen Fahrsteuerungsvorrichtungen, bei denen der Cyberangriff in dem „Partiell-Arbeitenden-Zustand“ erfasst wurde, nicht gewährleistet wurde, schaltet die Degenerierung-Prüfungszustand-Einheit 134 den Betriebszustand des fahrzeuginternen Steuerungssystems 100 von dem „Degenerierung-Prüfungszustand“ in den „Degenerierungszustand“ um.
  • Schritt S150 ist ein Prozess, der angenommen wird, wenn der Betriebszustand des fahrzeuginternen Steuerungssystems 100 der „Alles-Prüfende-Zustand“ ist, und durch die Alles-Prüfende-Zustandseinheit 135 ausgeführt wird.
  • Der „Alles-Prüfende-Zustand“ ist ein Betriebszustand, der in einem Fall angenommen wird, in dem der Cyberangriff in allen der Vielzahl von Fahrsteuerungsvorrichtungen (110 und 120) erfasst wurde.
  • In Schritt S150 führt die Alles-Prüfender-Zustand-Einheit 135 Degenerierungsbetrieb durch und prüft auch die Sicherheit jeder der Vielzahl von Fahrsteuerungsvorrichtungen (110 und 120).
  • In dem Fall, in dem die Sicherheit in allen der Vielzahl von Fahrsteuerungsvorrichtungen gewährleistet wurde, schaltet die Alles-Prüfender-Zustand-Einheit 135 den Betriebszustand des fahrzeuginternen Steuerungssystems 100 von dem „Alles-Prüfender-Zustand“ in den „Regulärer-Zustand“ um.
  • In einem Fall, in dem die Sicherheit in einem Teil der Vielzahl von Fahrsteuerungsvorrichtungen gewährleistet wurde, aber die Sicherheit in den Übrigen der Vielzahl von Fahrsteuerungsvorrichtungen nicht gewährleistet wurde, schaltet die Alles-Prüfender-Zustand-Einheit 135 den Betriebszustand des fahrzeuginternen Steuerungssystems 100 von dem „Alles-Prüfender-Zustand“ in den „Partiell-Arbeitender-Zustand“ um.
  • In einem Fall, in dem die Sicherheit in allen der Vielzahl von Steuerungsvorrichtungen nicht gewährleistet wurde, schaltet die Alles-Prüfender-Zustand-Einheit 135 den Betriebszustand des fahrzeuginternen Steuerungssystems 100 von dem „Alles-Prüfender-Zustand“ in den „Degenerierungszustand“ um.
  • Schritt S160 ist ein Prozess, das angenommen wird, wenn der Betriebszustand des fahrzeuginternen Steuerungssystems 100 der „Degenerierungszustand“ ist, und durch die Degenerierungszustand-Einheit 136 ausgeführt wird.
  • Der „Degenerierungszustand“ ist ein Betriebszustand, der angenommen wird, wenn alle der Vielzahl von Antriebssteuerungsvorrichtungen (110 und 120) anomal sind.
  • In Schritt S160 führt die Degenerierungszustand-Einheit 136 den Degenerierungsbetrieb durch. Der Degenerierungsbetrieb ist ein beliebiger Betrieb, der im Voraus festgelegt wird.
  • Es ist zu beachten, dass in jedem der Zustände von Schritt S110 bis Schritt S150 der Betriebszustand des fahrzeuginternen Steuerungssystems 100 in den „Degenerierungszustand“ umgeschaltet wird, in einem Fall, in dem die Fehlfunktion in allen Fahrsteuerungsvorrichtungen erfasst wurde oder in einem Fall, in dem eine andere Systemanomalie erfasst wurde. Wenn zum Beispiel eine Sensoranomalie auftritt oder wenn ein Berechnungsergebnis zwischen den Autonomes-Fahren-ECUs nicht konsistent ist, wird die Systemanomalie erfasst und der Betriebszustand des fahrzeuginternen Steuerungssystems 100 in den „Degenerierungszustand“ umgeschaltet.
  • Nachfolgend werden spezifische Prozessabläufe in dem fahrzeuginternen Steuerungsverfahren beschrieben.
  • Ein Prozessablauf des regulären Zustands (S110) wird unter Bezugnahme auf 4 beschrieben.
  • Es wird davon ausgegangen, dass beide, die erste Autonomes-Fahren-ECU 110 und die zweite Autonomes-Fahren-ECU 120 normal sind.
  • In Schritt S111 überprüft die Regulärer-Zustand-Einheit 131, ob der Hub A 130, d. h. die fahrzeuginterne Steuerungsvorrichtung, normal in Betrieb genommen wurde oder nicht. Die Regulärer-Zustand-Einheit 131 überprüft zum Beispiel mit Hilfe von Secure Boot. Ein Überprüfungsverfahren ist beliebig.
  • Wenn der Hub A 130 (fahrzeuginterne Steuerungsvorrichtung) normal in Betrieb genommen wird, fährt der Prozess mit Schritt S112 fort.
  • Wenn der Hub A 130 (fahrzeuginterne Steuerungsvorrichtung) nicht normal in Betrieb genommen wurde, stoppt die Autonomes-Fahren-Funktion und der Prozess endet.
  • In Schritt S112 führt die Regulärer-Zustand-Einheit 131 das autonome Fahren durch.
  • Zum Beispiel steuert die Regulärer-Zustand-Einheit 131 den Aktuator durch Eingeben der Reguläre-Route-Informationen der ersten Autonomes-Fahren-ECU 110 in die Aktuator-ECU. Als ein Ergebnis bewegt sich das Fahrzeug auf der regulären Route.
  • In Schritt S113 bestimmt die Regulärer-Zustand-Einheit 131, ob oder ob nicht die Fehlfunktion in irgendeiner von der ersten Autonomes-Fahren-ECU 110 und der zweiten Autonomes-Fahren-ECU 120 erfasst wurde.
  • Insbesondere, wenn Fehlfunktionserfassung von der Fehlfunktion-Erfassungseinheit der ersten Autonomes-Fahren-ECU 110 mitgeteilt wird, bestimmt die Regulärer-Zustand-Einheit 131, dass die Fehlfunktion in der ersten Autonomes-Fahren-ECU 110 erfasst wurde. Wenn die Fehlfunktionserfassung von der Fehlfunktion-Erfassungseinheit der zweiten Autonomes-Fahren-ECU 120 mitgeteilt wird, bestimmt die Regulärer-Zustand-Einheit 131, dass die Fehlfunktion in der zweiten Autonomes-Fahren-ECU 120 erfasst wurde.
  • In einem Fall, in dem die Fehlfunktion in irgendeiner von der ersten Autonomes-Fahren-ECU 110 und der zweiten Autonomes-Fahren-ECU 120 erfasst wurde, ruft die Regulärer-Zustand-Einheit 131 die Partiell-Arbeitender-Zustand-Einheit 133 auf. Danach wird ein Prozess des partiell-arbeitenden-Zustands (S130) durch die Partiell-Arbeitender-Zustand-Einheit 133 ausgeführt.
  • In einem Fall, in dem die Fehlfunktion in keiner von der ersten Autonomes-Fahren-ECU 110 und der zweiten Autonomes-Fahren-ECU 120 erfasst wurde, fährt der Prozess mit Schritt S114 fort.
  • In Schritt S114 bestimmt die Regulärer-Zustand-Einheit 131, ob oder ob nicht der Cyberangriff in irgendeiner von der ersten Autonomes-Fahren-ECU 110 und der zweiten Autonomes-Fahren-ECU 120 erfasst wurde.
  • Insbesondere, wenn die Angriffserfassung von der Angriffserfassungseinheit der ersten Autonomes-Fahren-ECU 110 mitgeteilt wird, bestimmt die Regulärer-Zustand-Einheit 131, dass der Cyberangriff in der ersten Autonomes-Fahren-ECU 110 erfasst wurde. Ferner, wenn die Angriffserfassung von der Angriffserfassungseinheit der zweiten Autonomes-Fahren-ECU 120 mitgeteilt wird, bestimmt die Regulärer-Zustand-Einheit 131, dass der Cyberangriff in der zweiten Autonomes-Fahren-ECU 120 erfasst wurde.
  • In einem Fall, in dem der Cyberangriff in irgendeiner von der ersten Autonomes-Fahren-ECU 110 und der zweiten Autonomes-Fahren-ECU 120 erfasst wurde, ruft die Regulärer-Zustand-Einheit 131 die Partiell-Prüfender-Zustand-Einheit 132 auf. Danach wird ein Prozess des partiell-prüfenden-Zustands (S120) durch die Partiell-Prüfender-Zustand-Einheit 132 ausgeführt.
  • Wenn der Cyberangriff in keiner von der ersten Autonomes-Fahren-ECU 110 und der zweiten Autonomes-Fahren-ECU 120 erfasst wurde, fährt der Prozess mit Schritt S112 fort.
  • Ein Prozessablauf für den partiell-prüfenden-Zustand (S120) wird unter Bezugnahme auf 5 beschrieben.
  • Es wird davon ausgegangen, dass die erste Autonomes-Fahren-ECU 110 normal ist und der Cyberangriff in der zweiten Autonomes-Fahren-ECU 120 erfasst wurde.
  • In Schritt S121 führt Partiell-Prüfender-Zustand-Einheit 132 das autonome Fahren durch.
  • Konkret steuert die Partiell-Prüfender-Zustand-Einheit 132 den Aktuator durch Eingeben der reguläre-Route-Informationen der ersten Autonomes-Fahren-ECU 110 in die Aktuator-ECU. Als ein Ergebnis bewegt sich das Fahrzeug auf der regulären Route.
  • In Schritt S122 prüft die Partiell-Prüfender-Zustand-Einheit 132 die Sicherheit der zweiten Autonomes-Fahren-ECU 120.
  • Insbesondere, wenn die Sicherheitsgewährleistung von der Sicherheitsüberprüfungseinheit der zweiten Autonomes-Fahren-ECU 120 mitgeteilt wird, bestimmt die Partiell-Prüfender-Zustand-Einheit 132, dass die Sicherheit der zweiten Autonomes-Fahren-ECU 120 gewährleistet wurde.
  • In einem Fall, in dem die Sicherheit der zweiten Autonomes-Fahren-ECU 120 gewährleistet wurde, ruft die Partiell-Prüfender-Zustand-Einheit 132 die Regulärer-Zustand-Einheit 131 auf. Danach wird ein Prozess des regulären Zustands (S110) durch die Regulärer-Zustand-Einheit 131 ausgeführt.
  • In einem Fall, in dem die Sicherheit der zweiten Autonomes-Fahren ECU 120 nicht gewährleistet wurde, geht der Prozess weiter zu Schritt S123.
  • In Schritt S123 bestimmt die Partiell-Prüfender-Zustand-Einheit 132, ob oder ob nicht der Cyberangriff in der ersten Autonomes-Fahren-ECU 110 erfasst wurde.
  • Insbesondere, wenn die Angriffserfassung von der Angriffserfassungseinheit der ersten Autonomes-Fahren-ECU 110 mitgeteilt wird, bestimmt die Partiell-Prüfender-Zustand-Einheit 132, dass der Cyberangriff in der ersten Autonomes-Fahren-ECU 110 erfasst wurde.
  • In einem Fall, in dem der Cyberangriff in der ersten Autonomes-Fahren-ECU 110 erfasst wurde, ruft die Partiell-Prüfender-Zustand-Einheit 132 die Alles-Prüfender-Zustand-Einheit 135 auf. Danach wird ein Prozess des Alles-Prüfenden-Zustands (S150) durch die Alles-Prüfender-Zustand-Einheit 135 ausgeführt.
  • In Schritt S124 bestimmt die Partiell-Prüfender-Zustand-Einheit 132, ob oder ob nicht die Fehlfunktion in irgendeiner von der ersten Autonomes-Fahren-ECU 110 und der zweiten Autonomes-Fahren-ECU 120 erfasst wurde.
  • Insbesondere, wenn die Fehlfunktionserfassung von der Fehlfunktionserfassungseinheit der ersten Autonomes-Fahren-ECU 110 mitgeteilt wird, bestimmt die Partiell-Prüfender-Zustand-Einheit 132, dass die Fehlfunktion in der ersten Autonomes-Fahren-ECU 110 erfasst wurde. Wenn die Fehlfunktionserfassung von der Fehlfunktionserfassungseinheit der zweiten Autonomes-Fahren-ECU 120 mitgeteilt wird, bestimmt die Partiell-Prüfender-Zustand-Einheit 132, dass die Fehlfunktion in der zweiten Autonomes-Fahren-ECU 120 erfasst wurde.
  • In einem Fall, in dem die Fehlfunktion in irgendeiner von der ersten Autonomes-Fahren-ECU 110 und der zweiten Autonomes-Fahren-ECU 120 erfasst wurde, ruft die Partiell-Prüfender-Zustand-Einheit 132 die Partiell-Arbeitender-Zustand-Einheit 133 auf. Danach wird ein Prozess des partiell-arbeitenden-Zustands (S130) durch die Partiell-Arbeitender-Zustand-Einheit 133 ausgeführt.
  • In einem Fall, in dem die Fehlfunktion in keiner von der ersten Autonomes-Fahren-ECU 110 und der zweiten Autonomes-Fahren-ECU 120 erfasst wurde, geht der Prozess weiter zu Schritt S125.
  • In Schritt S125 bestimmt die Partiell-Prüfender-Zustand-Einheit 132, ob oder ob nicht die Zeit zur Prüfung der Sicherheit abgelaufen ist.
  • Insbesondere bestimmt die Partiell-Prüfender-Zustand-Einheit 132, ob oder ob nicht die Zeit, die seit Beginn des Prozesses partiell-prüfenden-Zustands (S120) abgelaufen ist, die Warten-auf-Prüfung-Zeit überschreitet. Die Warten-auf-Prüfung-Zeit ist die Zeit, die im Voraus als Zeit zur Prüfung der Sicherheit festgelegt wurde (zum Beispiel zwei Sekunden).
  • Wenn die Zeit zur Prüfung der Sicherheit abgelaufen ist, ruft die Partiell-Prüfender-Zustand-Einheit 132 die Partiell-Arbeitender-Zustand-Einheit 133 auf. Danach wird ein Prozess des partiell-arbeitenden-Zustands (S130) durch die Partiell-Arbeitender-Zustand-Einheit 133 ausgeführt.
  • Wenn die Zeit zur Prüfung der Sicherheit nicht abgelaufen ist, fährt der Prozess mit Schritt S121 fort.
  • Ein Prozessablauf des partiell-arbeitenden-Zustandes (S130) wird unter Bezugnahme auf 6 beschrieben.
  • Es wird davon ausgegangen, dass die erste Autonomes-Fahren-ECU 110 normal ist und die zweite Autonomes-Fahren-ECU 120 anomal ist.
  • In Schritt S131 führt die Partiell-Arbeitender-Zustand-Einheit 133 das autonome Fahren durch.
  • Konkret steuert die Partiell-Arbeitender-Zustand-Einheit 133 den Aktuator durch Eingeben der reguläre-Route-Informationen der ersten Autonomes-Fahren-ECU 110 in die Aktuator-ECU. Als ein Ergebnis bewegt sich das Fahrzeug auf der regulären Route.
  • In Schritt S132 bestimmt die Partiell-Arbeitender-Zustand-Einheit 133, ob oder ob nicht die Fehlfunktion in der ersten Autonomes-Fahren-ECU 110 erfasst wurde.
  • Insbesondere, wenn die Fehlfunktionserfassung von der Fehlfunktionserfassungseinheit der ersten Autonomes-Fahren-ECU 110 mitgeteilt wird, bestimmt die Partiell-Arbeitender-Zustand-Einheit 133, dass die Fehlfunktion in der ersten Autonomes-Fahren-ECU 110 erfasst wurde.
  • In einem Fall, in dem die Fehlfunktion in der ersten Autonomes-Fahren-ECU 110 erfasst wurde, ruft die Partiell-Arbeitender-Zustand-Einheit 133 die Degenerierungszustand-Einheit 136 auf. Danach wird ein Prozess des Degenerierungszustands (S160) durch die Degenerierungszustand-Einheit 136 ausgeführt.
  • In einem Fall, in dem die Fehlfunktion in der ersten Autonomes-Fahren-ECU 110 nicht erfasst wurde, fährt der Prozess mit Schritt S133 fort.
  • In Schritt S133 bestimmt die Partiell-Arbeitender-Zustand-Einheit 133, ob oder ob nicht der Cyberangriff in der ersten Autonomes-Fahren-ECU 110 erfasst wurde.
  • Insbesondere, wenn die Angriffserfassung von der Angriffserfassungseinheit der ersten Autonomes-Fahren-ECU 110 mitgeteilt wird, bestimmt die Partiell-Arbeitender-Zustand-Einheit 133, dass der Cyberangriff in der ersten Autonomes-Fahren-ECU 110 erfasst wurde.
  • In einem Fall, in dem der Cyberangriff in der ersten Autonomes-Fahren-ECU 110 erfasst wurde, ruft die Partiell-Arbeitender-Zustand-Einheit 133 die Degenerierung-Prüfungszustand-Einheit 134 auf. Danach wird ein Prozess des Degenerierung-Prüfungszustands (S140) durch die Degenerierung-Prüfungszustand-Einheit 134 ausgeführt.
  • In einem Fall, in dem der Cyberangriff in der ersten Autonomes-Fahren-ECU 110 nicht erfasst wurde, fährt der Prozess mit Schritt S131 fort.
  • Ein Prozessablauf des Degenerierung-Prüfungszustands (S140) wird unter Bezugnahme auf 7 beschrieben.
  • Es wird davon ausgegangen, dass der Cyberangriff in der ersten Autonomes-Fahren-ECU 110 erfasst wurde und das zweite Autonomes-Fahren-ECU 120 eine Fehlfunktion aufweist.
  • In Schritt S141 führt die Degenerierung-Prüfungszustand-Einheit 134 den Degenerierungsbetrieb durch.
  • Insbesondere steuert die Degenerierung-Prüfungszustand-Einheit 134 den Aktuator durch Eingeben in die Aktuator-ECU der Notfallroute-Informationen, die anwendbar sind, wenn sich die erste Autonomes-Fahren-ECU 110 in Normalzeit befindet. Als ein Ergebnis bewegt sich das Fahrzeug auf der Notfallroute.
  • In Schritt S142 prüft die Degenerierung-Prüfungszustand-Einheit 134 die Sicherheit der ersten Autonomes-Fahren-ECU 110.
  • Insbesondere, wenn die Sicherheitsgewährleistung von der Sicherheitsüberprüfungseinheit der ersten Autonomes-Fahren-ECU 110 mitgeteilt wird, bestimmt die Degenerierung-Prüfungszustand-Einheit 134, dass die Sicherheit der ersten Autonomes-Fahren-ECU 110 gewährleitstet wurde.
  • In einem Fall, in dem die Sicherheit der ersten Autonomes-Fahren-ECU 110 gewährleistet wurde, ruft die Degenerierung-Prüfungszustand-Einheit 134 die Partiell-Arbeitender-Zustand-Einheit 133 auf. Danach wird ein Prozess des partiell-arbeitenden-Zustands (S130) durch die Partiell-Arbeitender-Zustand-Einheit 133 ausgeführt.
  • In einem Fall, in dem die Sicherheit der ersten Autonomes-Fahren-ECU 110 nicht gewährleistet ist, fährt der Prozess mit Schritt S143 fort.
  • In Schritt S143 bestimmt die Degenerierung-Prüfungszustand-Einheit 134, ob oder ob nicht die Fehlfunktion in der ersten Autonomes-Fahren-ECU 110 erfasst wurde.
  • Insbesondere, wenn die Fehlfunktionserfassung von der Fehlfunktionserfassungseinheit der ersten Autonomes-Fahren-ECU 110 mitgeteilt wird, bestimmt die Degenerierung-Prüfungszustand-Einheit 134, dass die Fehlfunktion in der ersten Autonomes-Fahren-ECU 110 erfasst wurde.
  • In einem Fall, in dem die Fehlfunktion in der ersten Autonomes-Fahren-ECU 110 erfasst wurde, ruft die Degenerierung-Prüfungszustand-Einheit 134 die Degenerierungszustand-Einheit 136 auf. Danach wird ein Prozess des Degenerierungszustands (S160) durch die Degenerierungszustand-Einheit 136 ausgeführt.
  • In einem Fall, in dem die Fehlfunktion in der ersten Autonomes-Fahren-ECU 110 nicht erfasst wurde, fährt der Prozess mit Schritt S144 fort.
  • In Schritt S144 bestimmt die Degenerierung-Prüfungszustand-Einheit 134, ob oder ob nicht die Zeit zur Prüfung der Sicherheit abgelaufen ist.
  • Insbesondere bestimmt die Degenerierung-Prüfungszustand-Einheit 134, ob oder ob nicht die Zeit, die seit Beginn des Prozesses des Degenerierung-Prüfungszustands (S140) abgelaufen ist, die Warten-auf-Prüfung-Zeit ist. Die Warten-auf-Prüfung-Zeit ist die Zeit, die im Voraus als Zeit zur Prüfung der Sicherheit festgelegt wurde (zum Beispiel zwei Sekunden).
  • Falls die Zeit zur Prüfung der Sicherheit abgelaufen ist, ruft die Degenerierung-Prüfungszustand-Einheit 134 die Degenerierungszustand-Einheit 136 auf. Danach wird ein Prozess des Degenerierungszustands (S160) durch die Degenerierungszustand-Einheit 136 ausgeführt.
  • Falls die Zeit zur Prüfung der Sicherheit nicht abgelaufen ist, fährt der Prozess mit Schritt S141 fort.
  • Ein Prozessablauf des Alles-Prüfenden-Zustands (S150) wird unter Bezugnahme auf 8 beschrieben.
  • Es wird davon ausgegangen, dass der Cyberangriff sowohl in der ersten Autonomes-Fahren-ECU 110 als auch in der zweiten Autonomes-Fahren-ECU 120 erfasst wurde.
  • In Schritt S151 führt die Alles-Prüfender-Zustand-Einheit 135 den Degenerierungsbetrieb durch.
  • Insbesondere steuert die Alles-Prüfender-Zustand-Einheit 135 den Aktuator durch Eingeben in die Aktuator-ECU der Notfallroute-Informationen, die anwendbar sind, wenn sich die erste Autonomes-Fahren-ECU 110 in der Normalzeit befindet. Als ein Ergebnis bewegt sich das Fahrzeug auf der Notfallroute.
  • In Schritt S152 bestimmt die Alles-Prüfender-Zustand-Einheit 135, ob oder ob nicht die Fehlfunktion in irgendeiner von der ersten Autonomes-Fahren-ECU 110 und der zweiten Autonomes-Fahren-ECU 120 erfasst wurde.
  • Insbesondere, wenn die Fehlfunktionserfassung von der Fehlfunktionserfassungseinheit der ersten Autonomes-Fahren-ECU 110 mitgeteilt wird, bestimmt die Alles-Prüfender-Zustand-Einheit 135, dass die Fehlfunktion in der ersten Autonomes-Fahren-ECU 110 erfasst wurde. Wenn die Fehlfunktionserfassung von der Fehlfunktionserfassungseinheit der zweiten Autonomes-Fahren-ECU 120 mitgeteilt wird, bestimmt die Alles-Prüfender-Zustand-Einheit 135, dass die Fehlfunktion in der zweiten Autonomes-Fahren-ECU 120 erfasst wurde.
  • In einem Fall, in dem die Fehlfunktion in irgendeiner von der ersten Autonomes-Fahren-ECU 110 und der zweiten Autonomes-Fahren-ECU 120 erfasst wurde, ruft die Alles-Prüfender-Zustand-Einheit 135 die Degenerierung-Prüfungszustand-Einheit 134 auf. Danach wird der Degenerierung-Prüfungszustand (S140) durch die Degenerierung-Prüfungszustand-Einheit 134 ausgeführt.
  • In einem Fall, in dem die Fehlfunktion in beiden, der ersten Autonomes-Fahren-ECU 110 und der zweiten Autonomes-Fahren-ECU 120 nicht erfasst wurde, startet die Alles-Prüfender-Zustand-Einheit 135 Prüfung der Sicherheit jeder von der ersten Autonomes-Fahren-ECU 110 und der zweiten Autonomes-Fahren-ECU 120 und der Prozess fährt mit Schritt S153 fort.
  • In Schritt S153 bestimmt die Alles-Prüfender-Zustand-Einheit 135, ob oder ob nicht die Zeit zur Prüfung der Sicherheit abgelaufen ist.
  • Konkret bestimmt die Alles-Prüfender-Zustand-Einheit 135 fest, ob oder ob nicht die Zeit, die seit Beginn des Prozesses des alles-prüfender-Zustands (S150) abgelaufen ist, die Warten-auf-Prüfung-Zeit überschreitet. Die Warten-auf-Prüfung-Zeit ist die Zeit, die als Zeit zur Prüfung der Sicherheit im Voraus festgelegt wurde (zum Beispiel zwei Sekunden).
  • Wenn die Zeit zur Prüfung der Sicherheit abgelaufen ist, fährt der Prozess mit Schritt S154 fort.
  • Wenn die Zeit zur Prüfung der Sicherheit nicht abgelaufen ist, fährt der Prozess mit Schritt S151 fort.
  • In Schritt S154 prüft die Alles-Prüfender-Zustand-Einheit 135 die Sicherheit jeder von der ersten Autonomes-Fahren-ECU 110 und der zweiten Autonomes-Fahren-ECU 120.
  • Insbesondere, wenn die Sicherheitsgewährleistung von der Sicherheitsüberprüfungseinheit der ersten Autonomes-Fahren-ECU 110 mitgeteilt wird, bestimmt die Alles-Prüfender-Zustand-Einheit 135, dass die Sicherheit der ersten Autonomes-Fahren-ECU 110 gewährleistet wurde. Wenn die Sicherheitsgewährleistung von der Sicherheitsüberprüfungseinheit der zweiten Autonomes-Fahren-ECU 120 mitgeteilt wird, bestimmt die Alles-Prüfender-Zustand-Einheit 135, dass die Sicherheit der zweiten Autonomes-Fahren-ECU 120 gewährleistet ist.
  • In einem Fall, in dem die Sicherheit sowohl in der ersten Autonomes-Fahren-ECU 110 als auch in der zweiten Autonomes-Fahren-ECU 120 gewährleistet wurde, ruft die Alles-Prüfender-Zustand-Einheit 135 die Regulärer-Zustand-Einheit 131 auf. Danach wird der Prozess des regulären Zustands (S110) durch die Regulärer-Zustand-Einheit 131 ausgeführt.
  • In einem Fall, in dem die Sicherheit in irgendeiner von der ersten Autonomes-Fahren-ECU 110 und der zweiten Autonomes-Fahren-ECU 120 gewährleistet wurde, ruft die Alles-Prüfender-Zustand-Einheit 135 die Partiell-Arbeitender-Zustand-Einheit 133 auf. Danach wird der Prozess des partiell-arbeitenden-Zustands (S130) durch die Partiell-Arbeitender-Zustand-Einheit 133 ausgeführt.
  • In einem Fall, in dem die Sicherheit keiner von der ersten Autonomes-Fahren-ECU 110 und der zweiten Autonomes-Fahren-ECU 120 gewährleistet wurde, ruft die Alles-Prüfender-Zustand-Einheit 135 die Degenerierungszustand-Einheit 136 auf. Danach wird der Degenerierungszustand (S160) durch die Degenerierungszustand-Einheit 136 ausgeführt.
  • Ein Prozess des Degenerierungszustandes (S160) wird beschrieben.
  • Die Degenerierungszustand-Einheit 136 führt den Degenerierungsbetrieb durch. Insbesondere steuert die Degenerierungszustand-Einheit 136 den Aktuator durch Eingeben in die Aktuator-ECU der Notfallroute-Informationen, die anwendbar sind, wenn sich die erste Autonomes-Fahren-ECU 110 in der Normalzeit befindet. Als ein Ergebnis bewegt sich das Fahrzeug auf der Notfallroute.
  • *** Beschreibung von Beispielen ***
  • Beispiele des fahrzeuginternen Steuerungssystems 100 werden unter Bezugnahme auf 9 beschrieben.
  • Das fahrzeuginterne Steuerungssystem 100 kann eine Aktuator-ECU 150 umfassen.
  • Die Aktuator-ECU 150 ersetzt der Hub A 130, die erste Aktuator-ECU 151 und die zweite Aktuator-ECU 152.
  • Die Aktuator-ECU 150 funktioniert als die fahrzeuginterne Steuerungsvorrichtung anstelle des Hubs A 130.
  • Jede Autonomes-Fahren-ECU kann anstelle der Fahrsteuerungsinformationen ein Aktuator-Steuersignal in die Aktuator 150 eingeben. Außerdem kann die Umschalteinheit die Fahrsteuerinformationen in das Aktuator-Steuersignal umwandeln. Das Aktuator-Steuersignal ist ein Aktuator-Zweck-Steuersignal.
  • Beispiele für das fahrzeuginterne Steuerungssystem 100 werden unter Bezugnahme auf 10 beschrieben. Eine Abbildung des Sensors ist nicht enthalten.
  • Das fahrzeuginterne Steuerungssystem 100 kann durch ein SoC 200 realisiert sein. „SoC“ steht für System auf einem Chip.
  • Das SoC 200 umfasst einen ersten Prozessor 210, einen zweiten Prozessor 220 und einen dritten Prozessor 230. Jeder Prozessor ist zum Beispiel eine Zentrale Verarbeitungseinheit (CPU).
  • Der erste Prozessor 210 ersetzt die erste Autonomes-Fahren-ECU 110, und der zweite Prozessor 220 ersetzt die zweite Autonomes-Fahren-ECU 120.
  • Sowohl der erste Prozessor 210 als auch der zweite Prozessor 220 funktionieren als Fahrsteuerungsvorrichtung anstelle Autonomes-Fahren-ECU.
  • Der dritte Prozessor 230 funktioniert als die fahrzeuginterne Steuerungsvorrichtung anstelle des Hubs A 130.
  • *** Wirkung der ersten Ausführungsform ***
  • Gemäß der ersten Ausführungsform ist es möglich, das autonome Fahren des Fahrzeugs unter Verwendung der Normales-Fahren-Steuerungsvorrichtung durchzuführen, wenn der Cyberangriff nicht erfasst wurde. Dadurch ist es möglich, die Sicherheit des fahrzeuginternen Steuerungssystems 100 zu erhöhen.
  • Ferner ist es möglich, das autonome Fahren des Fahrzeugs mit Hilfe der Fahrsteuerungsvorrichtung durchzuführen, in einem Fall, in dem die Sicherheit in der Fahrsteuerungsvorrichtung gewährleistet wurde und der Cyberangriff erfasst wurde. Das bedeutet, dass das fahrzeuginterne Steuerungssystem 100 nach einem Cyberangriff nicht sofort in den Degenerierungsbetrieb übergeht, und einen autonomen Fahrbetrieb fortsetzt. Dadurch ist es möglich, die Zeit, während der das autonome Fahren fortgesetzt werden kann, zu verlängern und die Wartungshäufigkeit zu verringern. Außerdem ist es möglich, die Verfügbarkeit des fahrzeuginternen Steuerungssystems 100 zu erhöhen.
  • *** Ergänzung zu der ersten Ausführungsform ***
  • Eine Hardware-Konfiguration der fahrzeuginternen Steuerungsvorrichtung 190 wird unter Bezugnahme auf 11 beschrieben.
  • Die fahrzeuginterne Steuerungsvorrichtung 190 ist eine fahrzeuginterne Steuerungsvorrichtung, die in dem fahrzeuginternen Steuerungssystem 100 enthalten ist.
  • Die fahrzeuginterne Steuerungsvorrichtung 190 umfasst einen Verarbeitungsschaltkreis 191 und eine Eingabe-/Ausgabeschnittstelle 192.
  • Der Verarbeitungsschaltkreis 191 ist Hardware, die die Umschalteinheit, die Reguläre-Route-Einheit und die Notfallroute-Einheit realisiert.
  • Der Verarbeitungsschaltkreis 191 kann eine zweckgebundene Hardware sein oder kann ein Prozessor sein, der ein Programm ausführt, das in einem Speicher gespeichert ist.
  • Wenn der Verarbeitungsschaltkreis 191 die zweckgebundene Hardware ist, ist der Verarbeitungsschaltkreis 191 beispielsweise eine Einzelschaltung, eine Verbundschaltung, ein programmierter Prozessor, ein parallel programmierter Prozessor, eine ASIC, ein FPGA, oder eine Kombination daraus.
    „ASIC‟ steht für anwendungsspezifische integrierte Schaltung.
    „FPGA“ steht für im Feld programmierbare Gatteranordnung.
  • Die fahrzeuginterne Steuerungsvorrichtung 190 kann eine Vielzahl von Verarbeitungsschaltkreisen umfassen, die den Verarbeitungsschaltkreis 191 ersetzen. Die Vielzahl von Verarbeitungsschaltkreisen teilen sich eine Aufgabe des Verarbeitungsschaltkreises 191.
  • Die Eingabe-/Ausgabeschnittstelle 192 ist ein Anschluss für die Eingabe und Ausgabe von Fahrsteuerungsinformationen oder dergleichen.
  • In der fahrzeuginternen Steuerungsvorrichtung 190 können einige Funktionen durch die zweckgebundene Hardware realisiert sein und die übrigen Funktionen können durch Software oder Firmware realisiert sein.
  • Wie oben beschrieben, kann der Verarbeitungsschaltkreis 191 durch Hardware, Software, Firmware oder eine Kombination davon realisiert sein.
  • Die Ausführungsformen sind Beispiele bevorzugter Ausführungsformen und sollen den technischen Umfang der vorliegenden Erfindung nicht einschränken. Die Ausführungsformen können teilweise implementiert sein oder können in Kombination mit anderen Ausführungsformen implementiert sein. Die mittels der Flussdiagramme und dergleichen erläuterten Vorgänge können nach Bedarf geändert werden.
  • Die „Einheit“, die ein Element des fahrzeuginternen Steuerungssystems 100 ist, kann als „Prozess“ oder „Schritt“ gelesen werden.
  • Bezugszeichenliste
    • 100
    fahrzeuginternes Steuerungssystem,
    101
    Sensor A,
    102
    Sensor B,
    103
    Sensor C,
    104
    Sensor D,
    110
    erste Autonomes-Fahren-ECU,
    120
    zweite Autonomes-Fahren-ECU,
    130
    Hub A,
    131
    Regulärer-Zustand-Einheit,
    132
    Partiell-Prüfender-Zustand-Einheit,
    133
    Partiell-Arbeitender-Zustand-Einheit,
    134
    Degenerierung-Prüfende-Einheit,
    135
    Alles-Prüfender-Zustand-Einheit,
    136
    Degenerierungszustand-Einheit,
    140
    Hub B,
    150
    Aktuator-ECU,
    151
    erste Aktuator-ECU,
    152
    zweite Aktuator-ECU,
    161
    erster Aktuator,
    162
    zweiter Aktuator,
    190
    fahrzeuginterne Steuerungsvorrichtung,
    191
    Verarbeitungsschaltkreis,
    192
    Eingabe/Ausgabe-Schnittstelle,
    200
    SoC,
    210
    erster Prozessor,
    220
    zweiter Prozessor,
    230
    dritter Prozessor.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • JP 2017081290 A [0005]

Claims (14)

  1. Fahrzeuginterne Steuerungsvorrichtung, die in einem fahrzeuginternen Steuerungssystem enthalten ist, das autonomes Fahren eines Fahrzeugs durchführt, wobei das fahrzeuginterne Steuerungssystem eine Vielzahl von Fahrsteuerungsvorrichtungen für das autonome Fahren des Fahrzeugs umfasst, wobei die fahrzeuginterne Steuerungsvorrichtung eine Regulärer-Zustand-Einheit umfasst, um einen Betriebszustand des fahrzeuginternen Steuerungssystems von einem regulären Zustand in einen partiell-prüfenden-Zustand umzuschalten, in einem Fall, in dem ein Cyberangriff in einem Teil der Vielzahl von Fahrsteuerungsvorrichtungen erfasst wurde, wobei der reguläre Zustand ein Betriebszustand ist, in dem das autonome Fahren durchgeführt wird unter Verwendung von zumindest einer der Vielzahl von Fahrsteuerungsvorrichtungen, und wobei der partiell-prüfende-Zustand ein Betriebszustand ist, in dem das autonome Fahren durchgeführt wird unter Verwendung von zumindest einer von normalen Fahrsteuerungsvorrichtungen, bei denen der Cyberangriff nicht erfasst wurde, und Sicherheit von jeder der Fahrsteuerungsvorrichtungen, bei denen der Cyberangriff erfasst wurde, geprüft wird.
  2. Fahrzeuginterne Steuerungsvorrichtung nach Anspruch 1, umfassend: eine Partiell-Prüfender-Zustand-Einheit, um den Betriebszustand des fahrzeuginternen Steuerungssystems von dem partiell-prüfenden-Zustand in den regulären Zustand umzuschalten, in einem Fall, in dem die Sicherheit in allen Fahrsteuerungsvorrichtungen, bei denen der Cyberangriff in dem regulären Zustand erfasst wurde, gewährleistet wurde.
  3. Fahrzeuginterne Steuerungsvorrichtung nach Anspruch 2, wobei die Partiell-Prüfender-Zustand-Einheit den Betriebszustand des fahrzeuginternen Steuerungssystems von dem partiell-prüfenden-Zustand in einen partiell-arbeitenden-Zustand umschaltet, in einem Fall, in dem die Sicherheit in allen Fahrsteuerungsvorrichtungen, bei denen der Cyberangriff in dem regulären Zustand erfasst wurde, nicht gewährleistet wurde, und wobei der partiell-arbeitende-Zustand ein Betriebszustand ist, in dem das autonome Fahren durchgeführt wird unter Verwendung von zumindest einer von den normalen Fahrsteuerungsvorrichtungen.
  4. Fahrzeuginterne Steuerungsvorrichtung nach Anspruch 3, umfassend: eine Partiell-Arbeitender-Zustand-Einheit, um den Betriebszustand des fahrzeuginternen Steuerungssystems von dem partiell-arbeitenden-Zustand in einen Degenerierung-Prüfungszustand umzuschalten, in einem Fall, in dem der Cyberangriff in allen von den normalen Fahrsteuerungsvorrichtungen in dem partiell-arbeitenden-Zustand erfasst wurde, und wobei der Degenerierung-Prüfungszustand ein Betriebszustand ist, in dem Degenerierungsbetrieb durchgeführt wird und die Sicherheit jeder der Fahrsteuerungsvorrichtungen, bei denen der Cyberangriff im dem partiell-arbeitenden-Zustand erfasst wurde, geprüft wird.
  5. Fahrzeuginterne Steuerungsvorrichtung nach Anspruch 4, umfassend: eine Degenerierung-Prüfungszustand-Einheit, um den Betriebszustand des fahrzeuginternen Steuerungssystems von dem Degenerierung-prüfenden-Zustand in den partiell-arbeitenden-Zustand umzuschalten, in einem Fall, in dem die Sicherheit in zumindest einer von den Fahrsteuerungsvorrichtungen, bei denen der Cyberangriff in dem partiell-arbeitenden-Zustand erfasst wurde, gewährleistet wurde.
  6. Fahrzeuginterne Steuerungsvorrichtung nach Anspruch 5, wobei die Degenerierung-Prüfungszustand-Einheit den Betriebszustand des fahrzeuginternen Steuerungssystems von dem Degenerierung-Prüfungszustand in einen Degenerierungszustand umschaltet, in einem Fall, in dem die Sicherheit in allen der Fahrsteuerungsvorrichtungen, bei denen der Cyberangriff in dem partiell-arbeitenden-Zustand erfasst wurde, nicht gewährleistet wurde, und wobei der Degenerierungszustand ein Betriebszustand ist, in dem der Degenerierungsbetrieb durchgeführt wird.
  7. Fahrzeuginterne Steuerungsvorrichtung nach Anspruch 2, wobei die Partiell-Prüfender-Zustand-Einheit den Betriebszustand des fahrzeuginternen Steuerungssystems von dem partiell-prüfenden-Zustand in einen alles-prüfenden-Zustand umschaltet, in einem Fall, in dem der Cyberangriff in allen von den normalen Fahrsteuerungsvorrichtungen in dem partiell-prüfenden-Zustand erfasst wurde, und wobei der alles-prüfende-Zustand ein Betriebszustand ist, in dem Degenerierungsbetrieb durchgeführt wird und die Sicherheit jeder der Vielzahl von Fahrsteuerungsvorrichtungen geprüft wird.
  8. Fahrzeuginterne Steuerungsvorrichtung nach Anspruch 7, umfassend: eine Alles-Prüfender-Zustand-Einheit, um den Betriebszustand des fahrzeuginternen Steuerungssystems von dem alles-prüfenden-Zustand in den regulären Zustand umzuschalten, in einem Fall, in dem die Sicherheit in allen der Vielzahl von Fahrsteuerungsvorrichtungen gewährleistet wurde.
  9. Fahrzeuginterne Steuerungsvorrichtung nach Anspruch 8, wobei die Alles-Prüfender-Zustand-Einheit den Betriebszustand des fahrzeuginternen Steuerungssystems von dem alles-prüfenden-Zustand in einen Degenerierungszustand umschaltet, in einem Fall, in dem die Sicherheit in allen der Vielzahl von Fahrsteuerungsvorrichtungen nicht gewährleistet wurde, und wobei der Degenerierungszustand ein Betriebszustand ist, in dem der Degenerierungsbetrieb durchgeführt wird.
  10. Fahrzeuginterne Steuerungsvorrichtung nach Anspruch 8, wobei die Alles-Prüfender-Zustand-Einheit den Systemzustand von dem alles-prüfenden-Zustand in einen partiell-arbeitenden-Zustand umschaltet, in einem Fall, in dem die Sicherheit in zumindest einer der Vielzahl von Antriebssteuerungsvorrichtungen gewährleistet wurde, und wobei der partiell-arbeitende-Zustand ein Betriebszustand ist, in dem das autonome Fahren durchgeführt wird unter Verwendung von zumindest einer der Fahrsteuerungsvorrichtungen, bei denen die Sicherheit in dem alles-prüfenden-Zustand gewährleistet wurde.
  11. Fahrzeuginterne Steuerungsvorrichtung nach Anspruch 10, umfassend: eine Partiell-Arbeitender-Zustand-Einheit, um den Betriebszustand des fahrzeuginternen Steuerungssystems von dem partiell-arbeitenden-Zustand in einen Degenerierung-Prüfungszustand umzuschalten, in einem Fall, in dem der Cyberangriff in allen Fahrsteuerungsvorrichtungen, bei denen die Sicherheit in dem alles-arbeitenden-Zustand gewährleistet wurde, erfasst wurde, und wobei der Degenerierung-Prüfungszustand ein Betriebszustand ist, in dem der Degenerierungsbetrieb durchgeführt wird und die Sicherheit jeder der Fahrsteuerungsvorrichtungen, bei denen der Cyberangriff in dem partiell-arbeitenden-Zustand erfasst wurde, geprüft wird.
  12. Fahrzeuginterne Steuerungsvorrichtung nach Anspruch 11, umfassend: eine Degenerierung-Prüfungszustand-Einheit, um den Betriebszustand des fahrzeuginternen Steuerungssystems von dem Degenerierung-Prüfungszustand in den partiell-arbeitenden-Zustand umzuschalten, in einem Fall, in dem die Sicherheit in allen der Fahrsteuerungsvorrichtungen, bei denen der Cyberangriff in dem partiell-arbeitenden-Zustand erfasst wurde, gewährleistet ist.
  13. Fahrzeuginterne Steuerungsvorrichtung nach Anspruch 12, wobei die Degenerierung-Prüfungszustand-Einheit den Betriebszustand des fahrzeuginternen Steuerungssystems von dem Degenerierung-Prüfungszustand in einen Degenerierungszustand umschaltet, in einem Fall, in dem die Sicherheit in allen der Fahrsteuerungsvorrichtungen, bei denen der Cyberangriff in dem partiell-arbeitenden-Zustand erfasst wurde, nicht gewährleistet wurde, und wobei der Degenerierungszustand ein Betriebszustand ist, in dem der Degenerierungsbetrieb durchgeführt wird.
  14. Fahrzeuginternes Steuerungssystem, umfassend: die fahrzeuginterne Steuerungsvorrichtung nach einem der Ansprüche 1 bis 13; und eine Vielzahl von Fahrsteuerungsvorrichtungen für autonomes Fahren eines Fahrzeugs.
DE112019007286.2T 2019-06-07 2019-06-07 Fahrzeuginterne steuerungsvorrichtung und fahrzeuginternes steuerungssystem Pending DE112019007286T5 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2019/022756 WO2020246031A1 (ja) 2019-06-07 2019-06-07 車載制御装置および車載制御システム

Publications (1)

Publication Number Publication Date
DE112019007286T5 true DE112019007286T5 (de) 2022-04-21

Family

ID=71663965

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112019007286.2T Pending DE112019007286T5 (de) 2019-06-07 2019-06-07 Fahrzeuginterne steuerungsvorrichtung und fahrzeuginternes steuerungssystem

Country Status (5)

Country Link
US (1) US20220032966A1 (de)
JP (1) JP6727463B1 (de)
CN (1) CN113891824B (de)
DE (1) DE112019007286T5 (de)
WO (1) WO2020246031A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2022113050A (ja) * 2021-01-22 2022-08-03 日立Astemo株式会社 電子制御装置、車載制御システム、及び冗長機能制御方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017081290A (ja) 2015-10-26 2017-05-18 日立オートモティブシステムズ株式会社 車両制御装置、車両制御システム

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101010220B1 (ko) * 2008-12-01 2011-01-21 한국전자통신연구원 차량내 전자제어 시스템의 이중화 장치 및 방법
DE102012111991A1 (de) * 2012-11-20 2014-05-22 Conti Temic Microelectronic Gmbh Verfahren für eine Fahrerassistenzanwendung
WO2015053559A1 (ko) * 2013-10-08 2015-04-16 (주) 아이씨티케이 차량 보안 네트워크 장치 및 그 설계 방법
US9195232B1 (en) * 2014-02-05 2015-11-24 Google Inc. Methods and systems for compensating for common failures in fail operational systems
DE102014212384A1 (de) * 2014-06-27 2015-12-31 Robert Bosch Gmbh Vorrichtung und Verfahren zum Betreiben eines Fahrzeugs
WO2017199967A1 (ja) * 2016-05-18 2017-11-23 ナブテスコオートモーティブ 株式会社 車両運転制御システム
EP3523169B1 (de) * 2016-10-06 2021-07-14 Red Bend Ltd. Systeme und verfahren zur handhabung der ecu-fehlfunktion eines fahrzeugs
US10516683B2 (en) * 2017-02-15 2019-12-24 Ford Global Technologies, Llc Systems and methods for security breach detection in vehicle communication systems
JP6920667B2 (ja) * 2017-04-11 2021-08-18 パナソニックIpマネジメント株式会社 情報処理装置、情報処理システム、情報処理方法、及びプログラム
US11394727B2 (en) * 2018-02-14 2022-07-19 Hrl Laboratories, Llc System and method for side-channel based detection of cyber-attack
US20220035371A1 (en) * 2018-03-09 2022-02-03 State Farm Mutual Automobile Insurance Company Backup control systems and methods for autonomous vehicles
US20190312892A1 (en) * 2018-04-05 2019-10-10 Electronics And Telecommunications Research Institute Onboard cybersecurity diagnostic system for vehicle, electronic control unit, and operating method thereof
JP7069996B2 (ja) * 2018-04-10 2022-05-18 トヨタ自動車株式会社 車両の制御装置

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017081290A (ja) 2015-10-26 2017-05-18 日立オートモティブシステムズ株式会社 車両制御装置、車両制御システム

Also Published As

Publication number Publication date
US20220032966A1 (en) 2022-02-03
WO2020246031A1 (ja) 2020-12-10
JP6727463B1 (ja) 2020-07-22
CN113891824B (zh) 2024-04-16
CN113891824A (zh) 2022-01-04
JPWO2020246031A1 (ja) 2021-09-13

Similar Documents

Publication Publication Date Title
DE112018002176B4 (de) Anormalitätsbestimmungsvorrichtung, Anormalitätsbestimmungsverfahren und Anormalitätsbestimmungsprogramm
DE112009001371T5 (de) Integrierter hierarchischer Prozess für die Fehlerdetektierung und -lokalisierung
DE10307342B4 (de) Vorrichtung und Verfahren zur modellbasierten On-Board-Diagnose
DE112018001402T5 (de) Elektronische steuervorrichtung für fahrzeug
DE112018006702T5 (de) Bestimmung der zuverlässigkeit von fahrzeugsteuerbefehlen unter verwendung eines abstimmungsmechanismus
DE102010051133A1 (de) Fehlerdiagnose und -prognose unter Verwendung von Diagnosestörungscode-Markov-Ketten
DE102016124352A1 (de) Kommunikationssystem und ein in dem Kommunikationssystem ausgeführtes Informationssammelverfahren
DE102015224696A1 (de) Risikobasierte Steuerung eines Kraftfahrzeugs
DE102017218438A1 (de) Verfahren und System zum Betreiben eines Fahrzeugs
DE102017219473A1 (de) Verfahren zum vorausschauenden Erkennen eines Ausfalls einer Komponente eines Fahrzeugs, computerlesbares Medium, System, und Fahrzeug umfassend das System
EP3571593A1 (de) Redundante prozessorarchitektur
DE102017204745A1 (de) Architektur und Vorrichtung für eine fortschrittliche Arbitration in integrierten Steuerungen
EP2102723B1 (de) Verfahren und vorrichtung zum diagnostizieren von funktionen und fahrzeugsystemen
DE112019007286T5 (de) Fahrzeuginterne steuerungsvorrichtung und fahrzeuginternes steuerungssystem
DE102012221277A1 (de) Fahrzeugsteuervorrichtung
EP3341843A1 (de) Verfahren und vorrichtung zum überwachen eines zustandes einer elektronischen schaltungseinheit eines fahrzeugs
DE102015217771A1 (de) Vorrichtung und Verfahren zum Überwachen einer Sensorfunktion für ein Kraftfahrzeug
DE102009054106A1 (de) Verfahren und Vorrichtung zur Erfassung von Daten in einem redundanten System
DE10307344B4 (de) Vorrichtung und Verfahren zur dezentralen On-Board-Diagnose für Kraftfahrzeuge
DE102016215213A1 (de) Vorrichtung, Steuergerät, Verfahren, Fahrzeug und Computerprogramm zum Bestimmen von Information über einen Ersatzwert für einen Sensorwert
DE102007026934B4 (de) System und Verfahren zur Ausfalldetektion eines Sensors, insbesondere eines Winkelsensors, einer aktiven Frontlenkung in einem System mit mehreren Sensoren, insbesondere Winkelsensoren
DE102018217728B4 (de) Verfahren und Vorrichtung zum Schätzen von mindestens einer Leistungskennzahl eines Systems
DE4427084A1 (de) Fahrzeugsicherungsanordnung
DE102014213503A1 (de) Verfahren zum Überwachen einer Software in einem Straßenfahrzeug
DE102022129939A1 (de) Redundante Prozessorarchitektur für sicherheitskritische Anwendungen

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R084 Declaration of willingness to licence
R016 Response to examination communication