JP2017152762A - 車載システム、プログラムおよびコントローラ - Google Patents

車載システム、プログラムおよびコントローラ Download PDF

Info

Publication number
JP2017152762A
JP2017152762A JP2016030663A JP2016030663A JP2017152762A JP 2017152762 A JP2017152762 A JP 2017152762A JP 2016030663 A JP2016030663 A JP 2016030663A JP 2016030663 A JP2016030663 A JP 2016030663A JP 2017152762 A JP2017152762 A JP 2017152762A
Authority
JP
Japan
Prior art keywords
gateway
controller
electronic device
failure
diagnosis
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016030663A
Other languages
English (en)
Other versions
JP6578224B2 (ja
Inventor
茂雅 塩田
Shigemasa Shioda
茂雅 塩田
威士 砂田
Takeshi Sunada
威士 砂田
章弘 山手
Akihiro Yamate
章弘 山手
大介 押田
Daisuke Oshida
大介 押田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Renesas Electronics Corp
Original Assignee
Renesas Electronics Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Renesas Electronics Corp filed Critical Renesas Electronics Corp
Priority to JP2016030663A priority Critical patent/JP6578224B2/ja
Priority to US15/416,494 priority patent/US10411950B2/en
Publication of JP2017152762A publication Critical patent/JP2017152762A/ja
Application granted granted Critical
Publication of JP6578224B2 publication Critical patent/JP6578224B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0654Management of faults, events, alarms or notifications using network fault recovery
    • H04L41/0668Management of faults, events, alarms or notifications using network fault recovery by dynamic selection of recovery network elements, e.g. replacement by the most appropriate element after failure
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0808Diagnosing performance data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0677Localisation of faults
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • H04L43/0817Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0852Delays
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/128Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/48Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • H04L41/0645Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis by additionally acting on or stimulating the network after receiving notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/16Gateway arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Cardiology (AREA)
  • General Physics & Mathematics (AREA)
  • Medical Informatics (AREA)
  • Physics & Mathematics (AREA)
  • Small-Scale Networks (AREA)
  • Control Of Driving Devices And Active Controlling Of Vehicle (AREA)

Abstract

【課題】コントローラと、ゲートウェイと、前記ゲートウェイを介して前記コントローラと通信することが可能な電子装置とを備える車載システムにおいて、ゲートウェイの故障とセキュリティアタックを適切に区別し、それぞれの場合について適切に機能安全を担保する。【解決手段】車載システムにおいて、ゲートウェイは二重化され、対策テーブルを有する。対策テーブルには、通信において発生し得る不具合現象と、その不具合現象がゲートウェイの故障に起因するかゲートウェイへのセキュリティアタックに起因するかの原因の確認方法と、対応する対策方法とが、規定されている。車載システムは、前記ゲートウェイを介する通信において不具合現象が発生したことが検出された場合には、対策テーブルに規定される確認方法に基づいて、検出された不具合現象の原因を判断し、対応する対策方法に沿って対策する。【選択図】図9

Description

本発明は、車載システム、プログラムおよびコントローラに関し、特に自動走行制御機能が搭載された車両に好適に利用できるものである。
自動車において、エンジン、モーター、ブレーキ、ハンドルなどの制御を行う制御系の電子制御ユニット(ECU:Electronic Control Unit)をコンポーネントとして、ネットワークが構成されている。ナビゲーションシステムを始め、車車間・路車間通信を行う車外サーバとの通信装置などの情報系ユニットもまた、CAN(Controller Area Network)やイーサネット(登録商標;Ethernet、以下同じ)などの通信路を利用して、ネットワーク構成されている。さらに、自動車の自動走行を実現するためには、これらの制御系ネットワークと情報系ネットワークは、論理的には単一のネットワークに統合される。このようなネットワークを、悪意を持ったセキュリティアタッカから守るためには、暗号化技術を主体としたセキュリティ機能が必須である。その一方で自動車は、機能安全をキーワードとした要件を満たす必要がある。
特許文献1には、車両統合制御におけるフェイルセーフシステムが開示されている。車両統合制御される車両統合システムでは、ナビECU、エアコンECUなどの複数の情報系ECUと、エンジンECU、トランスミッションECU、走行制御ECUなどの制御系ECUとが、単一の通信ラインに接続されている。システムを構成するいずれかのECUの故障が検出されると、予め設定された優先順位に従って、故障していない他のECUから、所定の性能を有するものを選定する。選定されたECUに、故障したECUの基本プログラムをダウンロードして動作させることにより、故障したECUの肩代わりをさせる。これにより、いずれかのECUが故障した場合でも、少なくとも車両が走行できるようにする。
特許文献2には、それぞれにECUが接続される2つの通信バスと、2つの通信バスの間をつなぐゲートウェイと第三のECUとで構成される車載通信システムが開示されており、ゲートウェイに異常が検出された場合に、上記第三のECUによって代行させる。第三のECUは、ゲートウェイの異常を検出する手段と、ゲートウェイの機能を代行する手段と、通信データの処理を停止または制限する処理制限手段とを備え、ゲートウェイに異常が発生したことを検出した場合には、処理制限手段は優先度の低い処理を中止または制限した上で、ゲートウェイの機能を代行する。
特開2002−221075号公報 特開2008−259124号公報
特許文献1及び2について本発明者が検討した結果、以下のような新たな課題があることがわかった。すなわち、いずれの先行技術においても、装置の故障や異常が検出された場合が想定されているに留まり、自動走行を行っているときにセキュリティアタックを受けるというような、車両内のセキュリティについては十分に対処することができない。
自動車のセキュリティに関しては、欧州において日本企業も参加したEVITA(E-Safety Vehicle Instruction Protected Application)プロジェクトにおいて検討された。本発明者は、このEVITAプロジェクトで想定されている車載ネットワークで自動走行を実現する場合に発生する問題について検討した。
図1は、自動走行を実現するための車載システムの構成例を模式的に示す説明図である。自動走行を実現するための車載システムは、自動走行コントローラ1がゲートウェイ2を介して、車両内の各種のコントローラを始め、車外の設備や装置とも通信することができるように構成されている。車両内では、カメラ11、周辺物センサ12、速度センサ13などのセンサ類が接続されるセンサ系コントローラ4、ブレーキ、ハンドル系コントローラ5、エンジン、モーター系コントローラ6、MODEM7、GPS8及びメンテナンスコネクタ3が、ゲートウェイ2を介して自動走行コントローラ1を含めて相互に通信することができるように構成されている。
周辺物センサ12はカメラ11とともに、車両の前方を含む周辺の物、例えば障害物、歩行者、車線や中央分離帯を示す白線、標識や信号などを感知するセンサであって、カメラ11のように光学的な感知だけではなくレーダーなどによる感知も含まれる。センサ系コントローラ4はこれらのセンサから情報を収集して、自動走行コントローラ1等に伝送する。コントローラ5はブレーキやハンドルを制御するコントローラ、コントローラ6はエンジンやモーターを制御するコントローラである。メンテナンスコネクタ3は、例えばODB2(On-Board Diagnostic System 2)に準拠し、メンテナンス端末10と接続するためのコネクタである。GPS8は、全地球測位システム(GPS:Global positioning System)によって自身の位置を知るための通信装置である。MODEM(MOdulation DEModulation unit)9は、車外の広域ネットワーク(WAN:Wide Area Network)に接続するための通信装置であって、例えば基地局22との間で無線通信を行って、インターネット21などのネットワークを介して外部の情報サーバ20と接続するためのインターフェースとして機能する。以上のような車内の種々の機器は、現実には複数の車載ネットワークに分かれて接続されており、ゲートウェイ2を始めとする中継装置がその機器間の通信を中継する。
自動走行コントローラ1は、GPS8から自車両の位置情報を取得し、MODEM9を介して車外の情報サーバ20から供給される地図情報、渋滞や規制などの交通情報と、センサ系コントローラ4から得られる自車両及びその周辺物の情報を総合的に分析し、コントローラ5及び6を適切に制御することによって、速度を調整し、車の進行方法を指示する。
図2は、図1の車載システムにおいて自動走行を実現するための制御フローの構成例を示すフローチャートである。ドライバが自動走行機能を選択すると、まずカメラ/周辺物センサ/GPSの機能を有効化し、外部の情報サーバ20との接続を確立する(S1)。次に、カメラ11、周辺センサ12、速度センサ13等から収集したデータ、及び、外部の情報サーバ20から供給される情報から、自車両の位置、速度、周辺物の検知を行う(S2)。自動走行コントローラ1は、それらの情報をもとに以下の制御を実行することによって、自動走行を実現する。すなわち、障害物の有無を判断し(S3)、障害物があると判断すると、車を減速させハンドル操作によって障害物を回避する、衝突回避制御(S4)を実行する。先行車両との距離を算出して、車間距離が十分か否かを判断し(S5)、十分でない場合には車を減速する車間距離確保制御(S6)を実行する。自車両の速度を求め、設定された速度範囲内か否かを判断し(S7)、設定速度範囲を外れていると判断した場合には、車を減速または加速させる速度制御(S8)を実行する。カメラ11による自車両の周辺映像から、自車両が車線内を適切に走行しているか否かを判断し(S9)、車線から外れている或いは外れる恐れがあると判断した場合には、ハンドル操作による車線復帰制御(S10)を実行する。
図3は、図1の車載システムにおいて自動走行を実現するための通信フローの例を示すフロー図である。自動走行を実現する上記の制御フローを実行するために、自動走行コントローラ1は各種装置との間で通信を行う。自動走行コントローラ1はゲートウェイ2を介して、カメラ/センサ/GPS及び外部サーバに対して接続要求を送信する。ここで、カメラ/センサ/GPS及び外部サーバとは、直接的には、図1に示されるセンサ系コントローラ4、GPS8及びMODEM7である。カメラ/センサ/GPS及び外部サーバは、要求された接続を完了すると、接続完了通知を、ゲートウェイ2を介して自動走行コントローラ1に返信する。自動走行コントローラ1は、ブレーキ、ハンドル系コントローラ5とエンジン、モーター系コントローラ6に対して、それぞれ自動走行準備要求1と2を、ゲートウェイ2を介して送信し、それぞれ準備が完了すると、コントローラ5と6からゲートウェイ2を介して準備完了通知を受信する。この段階で自動走行のための準備が整う。そこで、自動走行コントローラ1はゲートウェイ2を介して、カメラ/センサ/GPS及び外部サーバに対して情報送信要求を送信する。カメラ/センサ/GPS及び外部サーバからは、それぞれ要求された情報が、ゲートウェイ2を介して送信される。自動走行コントローラ1は、受信した情報を総合的に分析し、上記の各種判断の結果に基づいて、ブレーキ、ハンドル系コントローラ5とエンジン、モーター系コントローラ6の両方または一方に対して、制御要求1及び/又は制御要求2を送信することによって、車両の走行を自動的に制御する。
図4は、図1の車載システムに不正なコントローラ9が接続された例を示す説明図である。図1と同じ構成であるが、不正なコントローラ9が接続されている。図4ではゲートウェイ2に直接接続されているが、実際には、例えばセンサ系コントローラ4とゲートウェイ2を繋ぐ載ネットワークに接続される。或いは、既に接続されているECUに対して、メンテナンスコネクタ3から不正なソフトウェアを送り込むなどの攻撃が考えられる。この例では、なりすましを想定している。
図5は、CMACによるなりすまし対策の車載システムへの適用例についての説明図である。CMAC(Cipher-based Message Authentication Code)とは、暗号に基づくメッセージ認証コードである。なりすましを想定するセキュリティアタックに対しては、一般に、CMACなどのセキュアMACアルゴリズムを適用することによって、対策することができる。図5には、CMACによるなりすまし対策を車載システムに適用した場合の動作が例示されている。送信側である自動走行コントローラ1と、受信側である、例えば走行制御系のコントローラ5や6との間で、同じ秘密鍵Secret Key 1が共有されている。自動走行コントローラ1と走行制御系コントローラは、CAN(Controller Area Network)などの通信路で接続されているものとする。
送信側である自動走行コントローラ1は、送信する情報を含むData-1と秘密鍵Secret key 1からCMAC生成機能によってメッセージ認証コードCMAC-1を生成し、Data-1にCMAC-1を伴ってCANなどの通信路を介して受信側である走行制御系のコントローラに送出する。これを受信した走行制御系コントローラは、受信したData-1と自身が持つ秘密鍵Secret key 1からCMAC生成機能によってメッセージ認証コードCMAC-2を生成する。生成したCMAC-2と受信したCMAC-1を比較して、一致している場合にはData-1を真正なデータとして活用(例えばハンドル制御用のデータとして利用)し、不一致の場合には受信したパケットを破棄する。仮に、不正なコントローラ9が自動走行コントローラ1になりすまして不正な制御情報を送信したとしても、不正なコントローラ9は真正な秘密鍵Secret key 1を持っていないので、走行制御系コントローラで生成されるCMAC-2は受信したCMAC-1とは一致せず、不正なコントローラ9が送信したパケットは破棄されることとなる。これにより、なりすましが防止される。
図6は、車載システムにおいてなりすまし対策を行わない場合の通信フローの例を示すフロー図であり、図7は、CMAC等によるなりすまし対策を行った場合の通信フローの例を示すフロー図である。どちらの場合も図3に示したのと同様に、自動走行コントローラ1がゲートウェイ2を介して、カメラ/センサ/GPS及び外部サーバに対して接続要求を送信して自動走行の準備が整える。その後、自動走行コントローラ1はゲートウェイ2を介して、カメラ/センサ/GPS及び外部サーバに対して情報送信要求1を送信して情報送信1を受信し、それに基づいてコントローラ5と6に制御要求1−1と2−1をそれぞれ送信し、さらに情報送信要求2の送信に応じて受信した情報送信2に基づいて次の制御要求2−1と2−2を送信する。このように、カメラ/センサ/GPS及び外部サーバからの情報の収集と、コントローラ5と6に対する制御を行うことによって自動走行制御を行っている。ここで、不正なコントローラ9がゲートウェイ2を介して自動走行コントローラ1に対して不正情報を送信したとする。これは、不正なコントローラ9がカメラ/センサ/GPS及び外部サーバになりすました例である。
車載システムにおいてなりすまし対策を行わない場合には、図6に示すように、自動走行コントローラ1が受信した不正な情報に基づいて、不正な制御要求1と2をコントローラ5と6にそれぞれ送信してしまうこととなる。これに対して、CMAC等によるなりすまし対策を行った場合には、図7に示すように、自動走行コントローラ1は、受信した不正な情報についてCMACによる認証を行うので、受信した不正なパケットを破棄することができ、コントローラ5と6に対して不正な制御は行われない。なお、CMACによる認証は、自動走行コントローラ1ではなく、ゲートウェイ2によって行われるように構成しても良い。
このように、暗号機能等を利用するセキュリティ機能をそのまま車載システムに適用した場合、不正なデータを判別して破棄することができるが、そのデータがブレーキ、アクセル、ハンドル等の制御情報など、自動車の走行制御に直接関連するデータであった場合には、破棄されたことによって走行制御に支障が生じる恐れがあることがわかった。例えば、車間距離が十分でない状況で車間距離を適切にとることができず、接触事故を起こす可能が発生する。このように、車載システムにおいては、特に自動走行制御を行う場合に、セキュリティ機能を単純に組み込むだけでは十分な機能安全が担保されないという課題があることわかった。
このような課題を解決するための手段を以下に説明するが、その他の課題と新規な特徴は、本明細書の記述及び添付図面から明らかになるであろう。
一実施の形態によれば、下記の通りである。
すなわち、電子装置と、ゲートウェイと、前記電子装置との間で前記ゲートウェイを介する通信が可能なコントローラとを備える車載システムにおいて、ゲートウェイは二重化され、前記車載システムは対策テーブルを有する。
対策テーブルには、コントローラと電子装置との間のゲートウェイを介する通信において発生し得る不具合現象と、その不具合現象がゲートウェイの故障に起因するかゲートウェイへのセキュリティアタックに起因するかの原因の確認方法と、対応する対策方法とが、規定されている。車載システムは、前記ゲートウェイを介する通信において不具合現象が発生したことが検出された場合には、対策テーブルに規定される確認方法に基づいて、検出された不具合現象の原因を判断し、対応する対策方法に沿って対策する。
不具合現象の原因がゲートウェイの故障と判断した場合には、前記ゲートウェイを他のゲートウェイによって代替させ、不具合現象の原因がゲートウェイへのセキュリティアタックと判断した場合には、前記ゲートウェイを他のゲートウェイによって代替させ、且つ、前記ゲートウェイをコントローラと電子装置との間の通信路から切り離す。
前記一実施の形態によって得られる効果を簡単に説明すれば下記のとおりである。
すなわち、ゲートウェイの故障とセキュリティアタックとが区別され、それぞれの場合について適切な対策方針を採用することができるので、機能安全が適切に担保される。
図1は、自動走行を実現するための車載システムの構成例を模式的に示す説明図である。 図2は、図1の車載システムにおいて自動走行を実現するための制御フローの構成例を示すフローチャートである。 図3は、図1の車載システムにおいて自動走行を実現するための通信フローの例を示すフロー図である。 図4は、図1の車載システムに不正なコントローラが接続された例を示す説明図である。 図5は、CMACによるなりすまし対策の車載システムへの適用例についての説明図である。 図6は、車載システムにおいてなりすまし対策を行わない場合の通信フローの例を示すフロー図である。 図7は、車載システムにおいてCMAC等によるなりすまし対策を行った場合の通信フローの例を示すフロー図である。 図8は、実施形態1に係る車載システムの構成例を模式的に示す説明図である。 図9は、実施形態1の車載システムに搭載される対策テーブルの例を模式的に示す説明図である。 図10は、第1ゲートウェイ2_1での自己診断フローを示すフローチャートである。 図11は、二重化されていないゲートウェイが搭載されている車載システムにおける課題を示すための説明図である。 図12は、車載システムに搭載されているゲートウェイを二重化したことによる効果を示すための説明図である。 図13は、図8の車載システムに不正なコントローラが接続された例を示す説明図である。 図14は、車載システムにおいてセキュリティアタックを受けた場合の通信フローの例を示すフロー図である。 図15は、車載システムにおいてゲートウェイ1に故障が発生した場合の通信フローの例を示すフロー図である。 図16は、実施形態1に採用した、機能安全が担保されるセキュリティシステムの概念図である。 図17は、セキュリティマネージャ機能と機能安全マネージャ機能が組み込まれた、自動走行のための制御フローの構成例を示すフローチャートである。 図18は、図17のフローにおける故障診断の構成例を示すフローチャートである。
実施の形態について詳述する。なお、発明を実施するための形態を説明するための全図において、同一の機能を有する要素には同一の符号を付して、その繰り返しの説明を省略する。
〔実施形態1〕
図8は、実施形態1に係る車載システムの構成例を模式的に示す説明図である。図1に示す車載システムと同様であるが、ゲートウェイ2が二重化されている点で相違する。図1に示した車載システムのゲートウェイ2に代えて、第1ゲートウェイ2_1(図中のゲートウェイ1)と第2ゲートウェイ2_2(図中のゲートウェイ2)とを備え、自動走行コントローラ1が第1ゲートウェイ2_1または第2ゲートウェイ2_2のうちのいづれか一方を介して、車両内の各種のコントローラを始め、車外の設備や装置とも通信することができるように構成されている。他の構成は図1に示した通りであるので、詳しい説明を省略する。ゲートウェイを二重化することにより、ゲートウェイに故障が発生し、または、DOS(Denial of Service)攻撃などのセキュリティアタックを受けてゲートウェイが正しく動作しなくなくなった場合にも、ある一定時間は安全に走行動作を維持することができる。
図9は、本実施形態1の車載システムに搭載される対策テーブルの例を模式的に示す説明図である。対策テーブルは、車載システム内の装置、特に制限されないが例えば、自動走行コントローラ1に内蔵される電子計算機で実行されるプログラムから参照されるポリシーである。
対策テーブルには、自動走行コントローラ1と車載システム内の電子装置例えばセンサ系コントローラ4との間の第1ゲートウェイ2_1(図中のゲートウェイ1)を介する通信において発生し得る不具合現象と、その不具合現象が第1ゲートウェイ2_1の故障に起因するかセキュリティアタックに起因するか等の原因の確認方法と、対応する対策方法とが規定されている。
車載システムは、自動走行コントローラ1と前記電子装置(例えばセンサ系コントローラ4)との間での第1ゲートウェイ2_1を介する通信において不具合現象が発生したことが検出された場合には、対策テーブルに規定される確認方法に基づいて、検出された不具合現象の原因を判断し、判断された原因に対応する対策方法に沿って対策する。不具合現象の原因が第1ゲートウェイ2_1の故障と判断した場合には、第1ゲートウェイ2_1を第2ゲートウェイ2_2(図中のゲートウェイ2)によって代替させる。不具合現象の原因が第1ゲートウェイ2_1へのセキュリティアタックと判断した場合には、第1ゲートウェイ2_1を第2ゲートウェイ2_2によって代替させ、且つ、第1ゲートウェイ2_1を自動走行コントローラ1と前記電子装置との間の通信路から切り離す。ここで、通信路とは例えばCAN、イーサネット、FlexRay(登録商標)などの車載ネットワークである。
これにより、ゲートウェイの故障とセキュリティアタックとが区別され、それぞれの場合について適切な対策方法を採用することができるので、機能安全が適切に担保される。不具合現象の原因がセキュリティアタックであると判断した場合には、セキュリティアタックによってウィルスに感染した恐れがあるゲートウェイを車載システムから切り離すことにより、当該ゲートウェイから車載システム全体へ波及する事態を防ぐことができる。
図9にはより詳細な具体例が示されている。
対策テーブルには、3段階の確認方法が含まれ、第3の確認方法は、第1ゲートウェイ2_1による自己診断である。車載システムは、発生した不具合現象に応じて、第1ゲートウェイ2_1に自己診断を実行させ、その自己診断の結果に基づいて、当該不具合現象の原因が第1ゲートウェイ2_1の故障かセキュリティアタックか、あるいは問題ないのかを判断し、その判断結果に基づいた対応方法を採用する。
これにより、不具合現象の原因がより正確に判断され、より適切に対策方針を決めることができ、より適切に機能安全が担保される。
図9の対策テーブルには、自動走行コントローラ1から第1ゲートウェイ2_1を介して前記電子装置(例えばセンサ系コントローラ4)に送信したパケットに対して、前記電子装置から返送される受信完了通知が、自動走行コントローラ1で受信できない不具合現象と、大幅に遅れて受信される不具合現象とが例示されている。
受信完了通知が受信できない不具合現象の場合には、自動走行コントローラ1からパケットを再送させ、この再送に応答する受信完了通知が受信できた場合には、第1ゲートウェイ2_1に自己診断を実施させ、この再送に対しても受信完了通知が受信できない場合には、第1ゲートウェイ2_1の故障と判断する(確認方法1)。
これにより、受信完了通知が受信できなくても直ちに故障として対策するのではなく、ゲートウェイの自己診断によって、故障かセキュリティアタックかが区別されるので、より適切に機能安全を担保することができる。
さらに上記の例で、初めのパケットに応答する受信完了通知が受信できず、再送パケットに応答する受信完了通知が受信できた場合は、エラーとしてそのエラー回数(Nerror)をカウントし、エラー回数に応じて対策方針を変える。
エラー回数が所定回数(N1max)を超えないとき(Nerror≦N1max)には、自己診断の結果、第1ゲートウェイ2_1に問題がないと診断されたときに、エラー回数(Nerror)をカウントアップして、第1ゲートウェイ2_1の使用を継続する。自己診断の結果、第1ゲートウェイ2_1に故障ありと診断されたときには、第1ゲートウェイ2_1に代えて第2ゲートウェイ2_2(図中のゲートウェイ2)によって代替させ、第2ゲートウェイ2_2経由でパケットを送信する。自己診断の結果、セキュリティアタックありと診断されたときには、第1ゲートウェイ2_1に代えて第2ゲートウェイ2_2によって代替させ、さらに、第1ゲートウェイ2_1を自動走行コントローラ1と前記電子装置との間の通信路から切り離す。
一方、エラー回数が所定回数(N1max)を超えているとき(Nerror>N1max)には、自己診断の結果、第1ゲートウェイ2_1に問題がないと診断された場合であっても、第1ゲートウェイ2_1の故障と判断し、第1ゲートウェイ2_1に代えて第2ゲートウェイ2_2によって代替させる。自己診断の結果が、第1ゲートウェイ2_1に故障あり、または、セキュリティアタックありの場合の対策方法は、上記エラー回数が所定回数(N1max)を超えないとき(Nerror≦N1max)と同様である。
これにより、受信完了通知が受信できないエラー回数が所定回数に達するまでは、自己診断の結果ゲートウェイに問題が発見されない限り、当該ゲートウェイの使用を継続することができる。
図9の対策テーブルには、前記電子装置から返送される受信完了通知が、自動走行コントローラ1で受信できない不具合現象の他に、大幅に遅れて受信される不具合現象が例示されている。より具体的には、自動走行コントローラ1から第1ゲートウェイ2_1を介して前記電子装置(例えばセンサ系コントローラ4)に送信したパケットに対して、前記電子装置から第1ゲートウェイ2_1を介して返送される受信完了通知が、第1の所定時間(不図示のT0max)よりも遅れて、自動走行コントローラ1で受信される不具合現象について規定されている。即ち、遅延時間(Tdelay)が第1の所定時間(T0max)より大きく第2の所定時間(Tmax)よりも小さい(T0max<Tdelay≦Tmax)場合に、遅延回数(Ndelay)をカウントする。遅延回数(Ndelay)が所定回数(N2max)を超えない(Ndelay≦N2max)場合には、故障ではないと判断して遅延回数(Ndelay)をカウントアップ(Ndelay = Ndelay+1)して第1ゲートウェイ2_1の使用は継続する。一方、遅延回数(Ndelay)が所定回数(N2max)を超えた(Ndelay>N2max)場合、または、遅延時間(Tdelay)が第2の所定時間(Tmax)よりも大きい(Tdelay>Tmax)場合には、第1ゲートウェイ2_1の故障と判断し、第1ゲートウェイ2_1に代えて第2ゲートウェイ2_2によって代替させる。
これにより、送信されたパケットに対する受信完了通知が大幅に遅れて受信された場合にも、直ちに故障として対策するのではなく、ゲートウェイの故障か通信エラーかが区別されるので、より適切に機能安全を担保することができる。
図9に例示した対策テーブルでは、パケット再送後に対応する受信完了通知が返って来ない場合、及び、大幅に遅れる場合に、第1ゲートウェイ2_1の自己診断を行わない例を示したが、このような場合にもそれぞれ第1ゲートウェイ2_1の自己診断を行うように変更しても良い。
図10は、第1ゲートウェイ2_1(ゲートウェイ1)での自己診断フローを示すフローチャートである。第1ゲートウェイ2_1は、装置の起動時にセキュリティ自己診断(S31)と機能安全(Safety)自己診断(S32)とを実行する。自己診断の結果に問題があるかどうかを判断し(S33)、問題がなければタイマーをスタートして(S39)、自動走行コントローラ1からの自己診断要求を待つ(S40〜S42)。
一方、自己診断の結果に問題があれば自己診断結果を自動走行コントローラ1へ報告し(S34)、自動走行コントローラ1から対策方針を受信する(S35)。受信した対策方針に第1ゲートウェイ2_1の停止が含まれているか否かを判断し(S36)、含まれていればその対策方針に従って、第1ゲートウェイ2_1の停止処理を実施する(S37)。受信した対策方針に第1ゲートウェイ2_1の停止が含まれていなければ、その対策方針に従った処理を実施した後に、タイマーをスタートして(S39)、自動走行コントローラ1からの自己診断要求を待つ(S40〜S42)。
ここで、タイマーとは最後に自己診断を実施してからの経過時間を計測するタイマーであり、この自己診断フローでは、タイマーが規定値に到達するか(S42)、自動走行コントローラ1からの自己診断要求がある(S40)まで、通常機能処理(S41)を継続する。即ち、タイマーが規定値に到達するか(S42)、自動走行コントローラ1からの自己診断要求がある(S40)と、セキュリティ自己診断(S31)と機能安全(Safety)自己診断(S32)とを実行する。これにより、通常は前記規定値に基づいてタイマーによって管理される一定の周期で自己診断が実施され、自動走行コントローラ1からの自己診断要求があるとその周期に達する前であっても直ちに自己診断が実行される。
図10に示すフローは、S40〜S42によって構成されるループの中で、自動走行コントローラ1からの自己診断要求の有無を判定する(S40)構成としたが、自動走行コントローラ1からの割り込み要求によって自己診断が実行されるように構成しても良い。
図11及び図12は、車載システムに搭載されているゲートウェイを二重化したことによる効果を示すための説明図である。図11には二重化されていないゲートウェイを搭載する車載システムを示し、図12にはゲートウェイが二重化された例を示す。
自動走行コントローラ1は、ゲートウェイ2及び走行制御系コントローラ4〜6が正しく受信動作している事を確認する為に、CMACを付加した通常パケット又は検査用のダミーパケットを、ゲートウェイ2を介して走行制御系コントローラ4〜6へ送る。ここで、走行制御系コントローラ4〜6は、図1に示したセンサ系コントローラ4、ブレーキ、ハンドル系コントローラ5、エンジン、モーター系コントローラ6など、自動走行コントローラ1との間で通信を行う何らかのコントローラを例示するものである。走行制御系コントローラ4〜6がCMACを付加された通常パケット又は検査用のダミーパケットを正しく受信できている場合は、パケット受信完了通知をCMACが付加された別のパケットを自動走行コントローラ1に返送することによって、受信完了の確認を行う。このパケット受信完了通知が返って来ない、又は遅延した場合には、通信経路上又は通信相手の走行制御系コントローラ4〜6に何らか問題があったものと、自動走行コントローラ1は認識することが出来る。
しかし、図11に示すようにゲートウェイ2が単独の(二重化しない)場合は、セキュリティアタックや故障を検出することは出来ても、その後の走行制御系コントローラ4〜6との通信が途絶するので、走行動作を維持することが出来ない。一方、図12に示すように、ゲートウェイを二重化した場合、もし第1ゲートウェイ2_1に何らかの故障が発生し、又はセキュリティアタックを受けていても、通信経路を第2ゲートウェイ2_2に切り替えて、走行制御系コントローラ4〜6との間の通信を続けることが出来るので、少なくともある一定の期間は、走行動作を継続することができる。
なお、図8、図12には、ゲートウェイを二重化した例を示したが、さらに多重化しても良い。また、第1ゲートウェイを常用系、第2ゲートウェイを予備系とした場合に、予備系ゲートウェイについては必要最小限のデータ中継機能を有する代替中継装置、例えば単純なハブに代えても良い。代替中継装置の中継性能は、常用系ゲートウェイよりも劣り、自動走行制御を実現するには性能不足であっても、必要最低限の車両走行制御を実行可能な程度に抑えることもできる。低い性能の代替中継装置によって代替させるように構成することによって、二重化に伴うコストの上昇を抑えることができる一方、代替した場合においても必要最小限の車両走行機能を有するので、機能安全が担保される。
本実施形態1に示す、ゲートウェイが二重化された車載システムの動作について、さらに詳しく説明する。
図13は、図8の車載システムに不正なコントローラ9が接続された例を示す説明図である。図8と同じ構成であるが、不正なコントローラ9が接続されている。図13では第1ゲートウェイ2_1(ゲートウェイ1)に直接接続されているが、実際には、例えばセンサ系コントローラ4と第1ゲートウェイ2_1を繋ぐ車載ネットワークに接続される。或いは、既に接続されているECUに対して、メンテナンスコネクタ3から不正なソフトウェアを送り込むなどの攻撃が考えられる。この例では、図4と同様になりすましを想定している。
図14は、車載システムにおいてセキュリティアタックを受けた場合の通信フローの例を示すフロー図である。セキュリティアタックを受ける以前には、自動走行コントローラ1は、パケット1を第1ゲートウェイ2_1(ゲートウェイ1)を経由して走行制御系コントローラ4〜6に送信し、走行制御系コントローラ4〜6からパケット1の受信完了通知が第1ゲートウェイ2_1を経由して自動走行コントローラ1に返送される。第1ゲートウェイ2_1が不正なコントローラ9からのセキュリティアタックを受けて機能不全に陥ったとすると、自動走行コントローラ1が送信するパケット2は、第1ゲートウェイ2_1から正規の宛先に送信されないので、受信完了通知が戻ってこない。その後、自動走行コントローラ1はパケット2を再送するが、それでも受信完了通知が戻ってこない。そこで、自動走行コントローラ1は第1ゲートウェイ2_1に自己診断を実行するように要求する。第1ゲートウェイ2_1が自己診断の結果、ウィルスを検知したことを報告すると、自動走行コントローラ1は、第1ゲートウェイ2_1、第2ゲートウェイ2_2及び第2ゲートウェイ2_2を介した通信相手である走行制御系コントローラ4〜6に対して、第1ゲートウェイ2_1の切断指示を送信して、第1ゲートウェイ2_1をネットワークから切り離す。その後、自動走行コントローラ1は、第1ゲートウェイ2_1を代替する第2ゲートウェイ2_2を経由して、走行制御系コントローラ4〜6にパケット2を送信し、走行制御系コントローラ4〜6から第2ゲートウェイ2_2を経由して受信完了通知が返送されることにより、走行制御が再開される。
一方、図15は、車載システムにおいてゲートウェイ1に故障が発生した場合の通信フローの例を示すフロー図である。第1ゲートウェイ2_1(ゲートウェイ1)に故障が発生するまでは、図14と同様に、自動走行コントローラ1は、パケット1を第1ゲートウェイ2_1を経由して走行制御系コントローラ4〜6に送信し、走行制御系コントローラ4〜6からパケット1の受信完了通知が第1ゲートウェイ2_1を経由して自動走行コントローラ1に返送される。第1ゲートウェイ2_1に故障が発生すると、自動走行コントローラ1が送信するパケット2は、第1ゲートウェイ2_1から正規の宛先に送信されないので、受信完了通知が戻ってこない。その後、自動走行コントローラ1はパケット2を再送するが、それでも受信完了通知が戻ってこない。そこで、自動走行コントローラ1は第1ゲートウェイ2_1に自己診断を実行するように要求する。第1ゲートウェイ2_1が自己診断の結果、故障が発生したことを報告すると、自動走行コントローラ1は、第1ゲートウェイ2_1を代替する第2ゲートウェイ2_2を経由して、走行制御系コントローラ4〜6にパケット2を送信し、走行制御系コントローラ4〜6から第2ゲートウェイ2_2を経由して受信完了通知が返送されることにより、走行制御が再開される。図14に示したセキュリティアタックを受けた場合とは異なり、自動走行コントローラ1は、第1ゲートウェイ2_1をネットワークから切り離す、切断指示を送信しない。
このように、本実施形態1では、セキュリティアタックの場合と故障の場合とが区別されて、それぞれに適する対策方針が規定され、それに沿った対策方法が実施される。
図16は、実施形態1に採用した、機能安全が担保されるセキュリティシステムの概念図である。図9に示したような対策テーブルに相当するものが、Securityポリシー、Safetyポリシーであり、それをセキュリティの面から判断するものがセキュリティマネージャ機能(図では「Security機能」)、機能安全の面から判断するものが、機能安全マネージャ機能(図では「Safety機能」)である。第1及び第2ゲートウェイ2_1と2_2(ゲートウェイ1とゲートウェイ2)及び走行系制御コントローラ4〜6には、セキュリティマネージャ機能(Security機能)と機能安全マネージャ機能(Safety機能)の両方が含まれているが、システムの上位にある自動走行コントローラ1は、機能安全マネージャ機能(Safety機能)のみである。
これにより、ゲートウェイの故障とセキュリティアタックとが区別され、それぞれの場合について適切な対策方法を採用することができるので、機能安全が適切に担保される。
セキュリティマネージャ機能と機能安全マネージャ機能は、それぞれの装置に内蔵される、例えばマイクロコントローラなどの電子計算機上で動作するプログラムとして提供され、例えば図9に示されるような対策テーブルの形で記憶装置に格納されているSecurityポリシーやSafetyポリシーを参照して実現される。
本実施形態1では、上位の機能安全マネージャ機能を、自動走行コントローラ1に実装した実施の形態であるが、このような上位の機能安全マネージャ機能は、他の電子装置に実装されても良い。例えば、二重化されたゲートウェイ2_1と2_2の両方に実装し、一方から他方への代替に伴って、当該一方の機能安全マネージャ機能を停止し、当該他方のゲートウェイが有する上位の機能安全マネージャ機能に代替させるように構成しても良い。
また、本実施形態1では、自動走行コントローラ1は機能安全マネージャ機能のみを備える例を示したが、自動走行コントローラ1が下位のセキュリティマネージャ機能と機能安全マネージャ機能とを有し、さらに上位の機能安全マネージャ機能を備えるように構成しても良い。
〔実施形態2〕
自動走行コントローラ1における自動走行制御フローに、セキュリティマネージャ機能と機能安全マネージャ機能とを組み込むことができる。
図17は、セキュリティマネージャ機能と機能安全マネージャ機能が組み込まれた、自動走行のための制御フローの構成例を示すフローチャートであり、図18は、図17のフローにおける故障診断の構成例を示すフローチャートである。
自動走行機能が選択されると、図2と同様に、自動走行コントローラ1はカメラ/周辺物センサ/GPSの機能を有効化し、外部の情報サーバ20との接続を確立する(S1)。次に、カメラ11、周辺センサ12、速度センサ13等から収集したデータ、及び、外部の情報サーバから供給される情報から、自車両の位置、速度、周辺物の検知を行う(S2)。自動走行コントローラ1は、それらの情報をもとに以下の制御を実行することによって、自動走行を実現する。すなわち、障害物の有無を判断し(S3)、障害物があると判断すると、車を減速させハンドル操作によって障害物を回避する、衝突回避制御(S4)を実行する。先行車両との距離を算出して、車間距離が十分か否かを判断し(S5)、十分でない場合には車を減速する車間距離確保制御(S6)を実行する。自車両の速度を求め、設定された速度範囲内か否かを判断し(S7)、設定速度範囲を外れていると判断した場合には、車を減速または加速させる速度制御(S8)を実行する。カメラ11による自車両の周辺映像から、自車両が車線内を適切に走行しているか否かを判断し(S9)、車線から外れている或いは外れる恐れがあると判断した場合には、ハンドル操作による車線復帰制御(S10)を実行する。
図2の場合と異なるのは、衝突回避制御(S4)、車間距離確保制御(S6)、速度制御(S8)及び車線復帰制御(S10)のそれぞれの制御が正常に実行することができない場合を想定している点である。
衝突回避制御(S4)を行ったにも関わらず、回避不能であると判断(S11)した場合には、急ブレーキをかけてエンジンを停止する急停車制御(S12)を行う。回避不能であると判断(S11)しても直ちに急停車制御(S12)に移るのではなく、何回かの衝突回避制御(S4)のリトライを経た後にもなお回避不能であるときに限って急停車制御(S12)に移るように構成しても良い。S11において回避が可能か否かの判断が不明である場合にも同様に、何回かの衝突回避制御(S4)のリトライを経た後にもなお回避不能であるときに限って急停車制御(S12)に移るように構成することができる。
車間距離確保制御(S6)を行ったにも関わらず、減速不能であると判断(S13)した場合には、故障診断(S20)を行う。これも減速不能の判断後直ちに故障診断(S20)を開始しても良いし、何回かのリトライの後になおも減速不能の場合に限って故障診断(S20)に移行するように構成しても良い。また、減速してはいるが十分でない場合にも、何回かのリトライの後になおも減速が十分でない場合に限って故障診断(S20)に移行するように構成しても良い。
速度制御(S8)を行ったにも関わらず、設定速度の範囲外であると判断(S14)した場合にも、故障診断(S20)を行う。これも設定速度範囲外の判断後直ちに故障診断(S20)を開始しても良いし、何回かのリトライの後になおも設定速度範囲外の場合に限って故障診断(S20)に移行するように構成しても良い。また、速度制御(S8)によって加速または減速してはいるが変動速度比率が十分でない場合にも、何回かのリトライの後になおも設定速度範囲外である場合に限って故障診断(S20)に移行するように構成しても良い。
車線復帰制御(S10)を行ったにも関わらず、走行すべき車線内でないと判断(S15)した場合にも、故障診断(S20)を行う。これも車線外の判断後直ちに故障診断(S20)を開始しても良いし、何回かのリトライの後になおも車線外の場合に限って故障診断(S20)に移行するように構成しても良い。また、車線復帰制御(S10)によって走行すべき車線に復帰する方向に制御されてはいるが、車線を外れている程度を示す評価値(車線範囲外値)に改善が認められない場合には直ちに故障診断(S20)に移行し、十分ではないが改善が認める場合には、何回かのリトライの後になおも車線外である場合に限って故障診断(S20)に移行するように構成しても良い。
さらに、その他の故障が疑われる場合(S16)にも故障診断(S20)を実行する。その他の故障が疑われる場合(S16)とは、自動走行制御を行っていない場合と同様の簡易的な故障診断によって、故障が疑われる場合である。車載システムに搭載されている装置、例えばセンサ系コントローラ4、ブレーキ、ハンドル系コントローラ5、エンジン、モーター系コントローラ6は、それぞれ簡易的な自己診断機能を備えている。このような簡易的な自己診断機能は、各コントローラに搭載されている半導体チップ、例えばマイクロコントローラ、半導体メモリなどによって実現される。S16ではこれら簡易的な自己診断の結果の他、各コントローラからの機能不能報告や電源制御IC(Integrated Circuit)や温度センサを含めたオフチップセンサによる診断結果の状態も考慮して、故障診断(S20)へ移行するか否かを判断する。
図18に示す故障診断処理では、まず故障診断(S21)を行う。具体的には例えば、BIST(Built In Self-Test)等を含む詳細診断を行い、不具合箇所の特定を行う。さらに、ウィルスチェッカなどにより、各コントローラ内で実施を行い、プログラムのセキュアブート機能、メモリに格納されている不審なデータの有無を定期的にチェックする。
故障診断(S21)の結果、自動走行を継続することができない程度の問題がないと判断(S22)した場合には、自動走行制御を継続し(S25)、問題があると判断した場合には、運転者に自動走行機能の解除を要求する(S23)。その後、所定の解除待ち時間を待って、自動走行機能が解除されたか否かを判断し(S24)、解除されていれば通常走行に復帰し(S26)、解除されていなければ車両を緊急停させる(S27)。緊急停止とは例えば、急ブレーキで路肩に停車させ、エンジンを停止するような制御である。
なお、その他の故障の有無の判断(S16)では、さらに、車載システム内のCANなどの通信路におけるトラフィック即ちパケット数を、例えばバックグラウンドで監視し、パケットの数が想定される範囲を外れた場合にも、故障診断(S20)へ移行するように構成しても良い。また、故障診断(S21)においては、不正プログラムの駆除とその結果の判定を行い、正常状態に復帰できない場合に、次の運転者への自動走行機能の解除要求(S23)に進むように構成しても良い。
以上本発明者によってなされた発明を実施形態に基づいて具体的に説明したが、本発明はそれに限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは言うまでもない。
1 自動走行コントローラ
2、2_1、2_2 ゲートウェイ
3 メンテナンスコネクタ
4 センサ系コントローラ
5 ブレーキ、ハンドル系コントローラ
6 エンジン、モーター系コントローラ
7 MODEM(MOdulation DEModulation unit)
8 GPS(Global Positioning System)
9 不正なコントローラ
10 メンテナンス端末
11 カメラ
12 周辺物センサ
13 速度センサ
20 外部情報サーバ
21 ネットワーク
22 基地局

Claims (19)

  1. 電子装置と、ゲートウェイと、前記電子装置との間で前記ゲートウェイを介する通信が可能なコントローラとを備える、車載システムにおいて、
    前記車載システムは、対策テーブルを有し、
    前記対策テーブルには、前記コントローラと前記電子装置との間の前記ゲートウェイを介する通信において発生し得る不具合現象と、前記不具合現象が前記ゲートウェイの故障に起因するか前記ゲートウェイへのセキュリティアタックに起因するかの原因の確認方法と、前記原因に対応する対策方法とが、規定され、
    前記車載システムは、他のゲートウェイをさらに備え、前記コントローラと前記電子装置との間での前記ゲートウェイを介する通信において不具合現象が発生したことが検出された場合には、前記対策テーブルに規定される確認方法に基づいて、検出された不具合現象の原因を判断し、判断された原因に対応する対策方法に沿って対策し、
    前記不具合現象の原因が前記ゲートウェイの故障と判断した場合には、前記ゲートウェイを前記他のゲートウェイによって代替させ、
    前記不具合現象の原因が前記ゲートウェイへのセキュリティアタックと判断した場合には、前記ゲートウェイを前記他のゲートウェイによって代替させ、且つ、前記ゲートウェイを前記コントローラと前記電子装置との間の通信路から切り離す、
    車載システム。
  2. 請求項1において、
    前記対策テーブルには、
    発生した不具合現象に応じて、前記ゲートウェイに自己診断を実行させ、前記自己診断の結果に基づいて、当該不具合現象の原因がゲートウェイの故障かゲートウェイへのセキュリティアタックかを判断する、第1の確認方法が含まれる、
    車載システム。
  3. 請求項2において、
    前記第1の確認方法には、
    前記コントローラから前記ゲートウェイを介して前記電子装置に送信したパケットに対して、前記電子装置から前記ゲートウェイを介して返送される受信完了通知が、前記コントローラで受信できない不具合現象について、
    前記コントローラから前記パケットを再送させ、前記受信完了通知が受信できた第1の場合に、前記ゲートウェイに自己診断を実施させ、前記受信完了通知が受信できない第2の場合に、前記ゲートウェイの故障と判断する確認方法が含まれる、
    車載システム。
  4. 請求項3において、
    前記第1の確認方法には、前記第1の場合が発生したエラー回数をカウントし、
    前記エラー回数が所定回数を超えないときには、前記自己診断の結果前記ゲートウェイに問題がないと診断されたときに、前記ゲートウェイの使用を継続し、
    前記エラー回数が所定回数を超えないときには、前記自己診断の結果前記ゲートウェイに問題がないと診断されたときであっても、前記ゲートウェイの故障と判断する確認方法が含まれる、
    車載システム。
  5. 請求項3において、
    前記対策テーブルには、第2の確認方法がさらに含まれ、
    前記第2の確認方法には、
    前記コントローラから前記ゲートウェイを介して前記電子装置に送信したパケットに対して、前記電子装置から前記ゲートウェイを介して返送される受信完了通知が、第1の所定時間の後に前記コントローラで受信される不具合現象について、
    前記不具合現象が発生した遅延回数をカウントし、
    前記遅延回数が所定回数を超えた場合、または、前記受信完了通知が前記第1の所定時間よりも後の第2の所定時間を超えて受信された場合に、前記ゲートウェイの故障と判断する、確認方法が含まれる、
    車載システム。
  6. 請求項1から請求項5までのいずれか1項において、
    前記コントローラは、前記車載システムが搭載される車両を自動走行させるための制御を行うコントローラであり、前記電子装置は、前記車両に搭載される各種センサの制御を行う他のコントローラ、または、前記車両の走行を制御するさらに他のコントローラである、
    車載システム。
  7. 電子装置と、第1及び第2ゲートウェイと、前記電子装置との間で前記第1または第2ゲートウェイを介する通信が可能なコントローラとを備える、車載システムにおいて、前記電子装置または前記第1または第2ゲートウェイまたは前記コントローラ或いは前記車載システムに含まれる他の装置に内蔵される電子計算機上で動作可能なプログラムであって、
    前記プログラムは、前記コントローラと前記電子装置との間の前記第1ゲートウェイを介する通信において発生し得る不具合現象と、前記不具合現象が前記第1ゲートウェイの故障に起因するか前記第1ゲートウェイへのセキュリティアタックに起因するかの原因の確認方法と、前記原因に対応する対策方法とが、規定される、対策テーブルを有し、
    前記プログラムは、前記コントローラと前記電子装置との間での前記第1ゲートウェイを介する通信において不具合現象が発生したことが検出された場合には、前記対策テーブルに規定される確認方法に基づいて、検出された不具合現象の原因を判断し、判断された原因に対応する対策方法に沿って対策し、
    前記不具合現象の原因が前記第1ゲートウェイの故障と判断した場合には、前記第1ゲートウェイを前記第2ゲートウェイによって代替させ、
    前記不具合現象の原因が前記第1ゲートウェイへのセキュリティアタックと判断した場合には、前記第1ゲートウェイを前記第2ゲートウェイによって代替させ、且つ、前記第1ゲートウェイを前記コントローラと前記電子装置との間の通信路から切り離す、
    プログラム。
  8. 請求項7において、前記プログラムが動作する電子計算機は、前記コントローラに内蔵される、
    プログラム。
  9. 請求項8において、
    前記対策テーブルには、
    発生した不具合現象に応じて、前記ゲートウェイに自己診断を実行させ、前記自己診断の結果に基づいて、当該不具合現象の原因がゲートウェイの故障かゲートウェイへのセキュリティアタックかを判断する、第1の確認方法が含まれる、
    プログラム。
  10. 請求項9において、
    前記第1の確認方法には、
    前記コントローラから前記ゲートウェイを介して前記電子装置に送信したパケットに対して、前記電子装置から前記ゲートウェイを介して返送される受信完了通知が、前記コントローラで受信できない不具合現象について、
    前記コントローラから前記パケットを再送させ、前記受信完了通知が受信できた第1の場合に、前記ゲートウェイに自己診断を実施させ、前記受信完了通知が受信できない第2の場合に、前記ゲートウェイの故障と判断する確認方法が含まれる、
    プログラム。
  11. 請求項4において、
    前記第1の確認方法には、前記第1の場合が発生したエラー回数をカウントし、
    前記エラー回数が所定回数を超えないときには、前記自己診断の結果前記ゲートウェイに問題がないと診断されたときに、前記ゲートウェイの使用を継続し、
    前記エラー回数が所定回数を超えないときには、前記自己診断の結果前記ゲートウェイに問題がないと診断されたときであっても、前記ゲートウェイの故障と判断する確認方法が含まれる、
    プログラム。
  12. 請求項10において、
    前記対策テーブルには、第2の確認方法がさらに含まれ、
    前記第2の確認方法には、
    前記コントローラから前記ゲートウェイを介して前記電子装置に送信したパケットに対して、前記電子装置から前記ゲートウェイを介して返送される受信完了通知が、第1の所定時間の後に前記コントローラで受信される不具合現象について、
    前記不具合現象が発生した遅延回数をカウントし、
    前記遅延回数が所定回数を超えた場合、または、前記受信完了通知が前記第1の所定時間よりも後の第2の所定時間を超えて受信された場合に、前記ゲートウェイの故障と判断する、確認方法が含まれる、
    プログラム。
  13. 請求項8から請求項12までのいずれか1項において、
    前記コントローラは、前記車載システムが搭載される車両を自動走行させるための制御を行うコントローラであり、前記電子装置は、前記車両に搭載される各種センサの制御を行う他のコントローラ、または、前記車両の走行を制御するさらに他のコントローラであり、
    前記プログラムはさらに、前記コントローラに内蔵される前記電子計算機上で実行されることにより、前記車両を自動走行させるための前記制御を行う、
    プログラム。
  14. 車載システムに搭載可能であり、前記車載システムにおいて電子装置との間でゲートウェイまたは前記ゲートウェイを代替可能な代替中継装置を介する通信が可能なコントローラであって、
    前記コントローラは、対策テーブルを有し、
    前記対策テーブルには、前記コントローラと前記電子装置との間の前記ゲートウェイを介する通信において発生し得る不具合現象と、前記不具合現象が前記ゲートウェイの故障に起因するか前記ゲートウェイへのセキュリティアタックに起因するかの原因の確認方法と、前記原因に対応する対策方法とが、規定され、
    前記コントローラは、前記コントローラと前記電子装置との間での前記ゲートウェイを介する通信において不具合現象が発生したことが検出された場合には、前記対策テーブルに規定される確認方法に基づいて、検出された不具合現象の原因を判断し、判断された原因に対応する対策方法に沿って対策し、
    前記コントローラは、前記不具合現象の原因が前記ゲートウェイの故障と判断した場合には、前記ゲートウェイを前記代替中継装置によって代替させ、
    前記コントローラは、前記不具合現象の原因が前記ゲートウェイへのセキュリティアタックと判断した場合には、前記ゲートウェイを前記代替中継装置によって代替させ、且つ、前記ゲートウェイを前記コントローラと前記電子装置との間の通信路から切り離す、
    コントローラ。
  15. 請求項14において、
    前記対策テーブルには、
    発生した不具合現象に応じて、前記ゲートウェイに自己診断を実行させ、前記自己診断の結果に基づいて、当該不具合現象の原因がゲートウェイの故障かゲートウェイへのセキュリティアタックかを判断する、第1の確認方法が含まれる、
    コントローラ。
  16. 請求項15において、
    前記第1の確認方法には、
    前記コントローラから前記ゲートウェイを介して前記電子装置に送信したパケットに対して、前記電子装置から前記ゲートウェイを介して返送される受信完了通知を、前記コントローラが受信できない不具合現象について、
    前記コントローラは、前記パケットを再送した後、前記受信完了通知が受信できた第1の場合に、前記ゲートウェイに自己診断を実施させ、前記受信完了通知が受信できない第2の場合に、前記ゲートウェイの故障と判断する、確認方法が含まれる、
    コントローラ。
  17. 請求項16において、
    前記第1の確認方法には、前記第1の場合が発生したエラー回数をカウントし、
    前記エラー回数が所定回数を超えないときには、前記自己診断の結果前記ゲートウェイに問題がないと診断されたときに、前記ゲートウェイの使用を継続し、
    前記エラー回数が所定回数を超えないときには、前記自己診断の結果前記ゲートウェイに問題がないと診断されたときであっても、前記ゲートウェイの故障と判断する確認方法が含まれる、
    コントローラ。
  18. 請求項16において、
    前記対策テーブルには、第2の確認方法がさらに含まれ、
    前記第2の確認方法には、
    前記コントローラから前記ゲートウェイを介して前記電子装置に送信したパケットに対して、前記電子装置から前記ゲートウェイを介して返送される受信完了通知が、第1の所定時間を経過した後に前記コントローラで受信される不具合現象について、
    前記不具合現象が発生した遅延回数をカウントし、
    前記遅延回数が所定回数を超えた場合、または、前記受信完了通知が前記第1の所定時間よりも後の第2の所定時間を超えて受信された場合に、前記ゲートウェイの故障と判断する、確認方法が含まれる、
    コントローラ。
  19. 請求項14から請求項18までのいずれか1項において、
    前記コントローラは、前記車載システムが搭載される車両を自動走行させるための制御を行うコントローラであり、前記電子装置は、前記車両に搭載される各種センサの制御を行う他のコントローラ、または、前記車両の走行を制御するさらに他のコントローラである、
    コントローラ。
JP2016030663A 2016-02-22 2016-02-22 車載システム、プログラムおよびコントローラ Active JP6578224B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2016030663A JP6578224B2 (ja) 2016-02-22 2016-02-22 車載システム、プログラムおよびコントローラ
US15/416,494 US10411950B2 (en) 2016-02-22 2017-01-26 On-vehicle system, program, and controller

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016030663A JP6578224B2 (ja) 2016-02-22 2016-02-22 車載システム、プログラムおよびコントローラ

Publications (2)

Publication Number Publication Date
JP2017152762A true JP2017152762A (ja) 2017-08-31
JP6578224B2 JP6578224B2 (ja) 2019-09-18

Family

ID=59630316

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016030663A Active JP6578224B2 (ja) 2016-02-22 2016-02-22 車載システム、プログラムおよびコントローラ

Country Status (2)

Country Link
US (1) US10411950B2 (ja)
JP (1) JP6578224B2 (ja)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019074000A1 (ja) * 2017-10-13 2019-04-18 日立オートモティブシステムズ株式会社 車両用制御装置
JP2019093809A (ja) * 2017-11-20 2019-06-20 トヨタ自動車株式会社 車両の制御装置
JP2019194830A (ja) * 2018-03-30 2019-11-07 エーオー カスペルスキー ラボAO Kaspersky Lab 車両へのコンピュータ攻撃を阻止するためのルールを生成するシステムおよび方法
KR102117960B1 (ko) * 2018-11-27 2020-06-09 주식회사 비바엔에스 예비 게이트웨이를 활용한 고가용성 지능형 제어 시스템 및 그 제어 방법
WO2020179050A1 (ja) * 2019-03-07 2020-09-10 三菱電機株式会社 通信監視装置、通信監視方法及び通信監視プログラム
JP2020179802A (ja) * 2019-04-26 2020-11-05 トヨタ自動車株式会社 車両システム
CN112009459A (zh) * 2019-05-28 2020-12-01 丰田自动车株式会社 车辆控制系统和车辆控制接口
WO2021100723A1 (ja) * 2019-11-20 2021-05-27 パナソニックIpマネジメント株式会社 車両診断システム及び移動体診断システム
CN113353093A (zh) * 2021-08-10 2021-09-07 北汽福田汽车股份有限公司 车辆的控制方法、装置和车辆
WO2022176253A1 (ja) * 2021-02-19 2022-08-25 日立Astemo株式会社 電子制御システム

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6477281B2 (ja) * 2015-06-17 2019-03-06 株式会社オートネットワーク技術研究所 車載中継装置、車載通信システム及び中継プログラム
JP6578224B2 (ja) * 2016-02-22 2019-09-18 ルネサスエレクトロニクス株式会社 車載システム、プログラムおよびコントローラ
WO2017204049A1 (ja) * 2016-05-24 2017-11-30 日本電気株式会社 情報処理システム、中継装置、予備中継装置、管理装置、方法および記憶媒体
JP6424870B2 (ja) * 2016-09-27 2018-11-21 住友電気工業株式会社 ゲートウェイ、車載通信システム、通信制御方法および通信制御プログラム
US10735206B2 (en) * 2016-11-07 2020-08-04 The Regents Of The University Of Michigan Securing information exchanged between internal and external entities of connected vehicles
US10873600B2 (en) * 2017-04-11 2020-12-22 Panasonic Intellectual Property Management Co., Ltd. Information processing device, information processing system, information processing method, and information processing program
US10917387B2 (en) * 2017-04-11 2021-02-09 Panasonic Intellectual Property Management Co., Ltd. Information processing device, information processing system, information processing method, and information processing program
JP7160089B2 (ja) * 2018-03-26 2022-10-25 住友電気工業株式会社 車載通信システム、スイッチ装置、通信制御方法および通信制御プログラム
JP7013993B2 (ja) * 2018-03-26 2022-02-01 トヨタ自動車株式会社 診断装置及び診断方法
DE102018209407A1 (de) * 2018-06-13 2019-12-19 Robert Bosch Gmbh Verfahren und Vorrichtung zur Behandlung einer Anomalie in einem Kommunikationsnetzwerk
EP3618385B1 (en) 2018-08-31 2020-06-24 Zenuity AB Method and arrangement for encoding/decoding a signal at a first and second communication node in a road vehicle
KR102646674B1 (ko) * 2018-09-04 2024-03-13 현대자동차주식회사 차량 및 그 제어 방법
JP7215307B2 (ja) * 2019-04-10 2023-01-31 トヨタ自動車株式会社 車両制御インタフェースおよび車両システム
CN111835627B (zh) * 2019-04-23 2022-04-26 华为技术有限公司 车载网关的通信方法、车载网关及智能车辆
US11684990B2 (en) * 2019-08-29 2023-06-27 Illinois Tool Works Inc. Systems and methods for welding asset identification
CN113986149B (zh) * 2021-12-27 2022-04-22 苏州浪潮智能科技有限公司 一种系统故障处理方法、装置、设备及存储介质
CN116449809B (zh) * 2023-06-16 2023-09-05 成都瀚辰光翼生物工程有限公司 一种故障处理方法、装置、电子设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010199662A (ja) * 2009-02-23 2010-09-09 Toyota Motor Corp 中継装置、当該装置で実行される中継方法、及び当該装置からなる中継システム
JP2012104049A (ja) * 2010-11-12 2012-05-31 Hitachi Automotive Systems Ltd 車載ネットワークシステム
WO2013038478A1 (ja) * 2011-09-12 2013-03-21 トヨタ自動車株式会社 車両用電子制御装置
US20130298219A1 (en) * 2012-05-02 2013-11-07 The Johns Hopkins University Secure Layered Iterative Gateway

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4399987B2 (ja) 2001-01-25 2010-01-20 株式会社デンソー 車両統合制御におけるフェイルセーフシステム
JP2008259124A (ja) 2007-04-09 2008-10-23 Toyota Motor Corp 車載通信システム、電子制御ユニット
DE102012212962A1 (de) * 2011-07-28 2013-01-31 Denso Corporation Gateway und fahrzeuginternes Netzwerksystem
US9769250B2 (en) * 2013-08-08 2017-09-19 Architecture Technology Corporation Fight-through nodes with disposable virtual machines and rollback of persistent state
KR101534923B1 (ko) * 2013-09-23 2015-07-07 현대자동차주식회사 차량용 이더넷 백본 네트워크 시스템 및 이의 페일 세이프 제어 방법
US9003511B1 (en) * 2014-07-22 2015-04-07 Shape Security, Inc. Polymorphic security policy action
US9578567B1 (en) * 2014-08-26 2017-02-21 Luminate Wireless, Inc. Data center relocation methods and apparatus
US10693904B2 (en) * 2015-03-18 2020-06-23 Certis Cisco Security Pte Ltd System and method for information security threat disruption via a border gateway
US9632502B1 (en) * 2015-11-04 2017-04-25 Zoox, Inc. Machine-learning systems and techniques to optimize teleoperation and/or planner decisions
JP6578224B2 (ja) * 2016-02-22 2019-09-18 ルネサスエレクトロニクス株式会社 車載システム、プログラムおよびコントローラ

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010199662A (ja) * 2009-02-23 2010-09-09 Toyota Motor Corp 中継装置、当該装置で実行される中継方法、及び当該装置からなる中継システム
JP2012104049A (ja) * 2010-11-12 2012-05-31 Hitachi Automotive Systems Ltd 車載ネットワークシステム
WO2013038478A1 (ja) * 2011-09-12 2013-03-21 トヨタ自動車株式会社 車両用電子制御装置
US20130298219A1 (en) * 2012-05-02 2013-11-07 The Johns Hopkins University Secure Layered Iterative Gateway

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019073102A (ja) * 2017-10-13 2019-05-16 日立オートモティブシステムズ株式会社 車両用制御装置
WO2019074000A1 (ja) * 2017-10-13 2019-04-18 日立オートモティブシステムズ株式会社 車両用制御装置
US11580223B2 (en) 2017-10-13 2023-02-14 Hitachi Astemo, Ltd. Vehicular control apparatus
JP2019093809A (ja) * 2017-11-20 2019-06-20 トヨタ自動車株式会社 車両の制御装置
JP2019194830A (ja) * 2018-03-30 2019-11-07 エーオー カスペルスキー ラボAO Kaspersky Lab 車両へのコンピュータ攻撃を阻止するためのルールを生成するシステムおよび方法
KR102117960B1 (ko) * 2018-11-27 2020-06-09 주식회사 비바엔에스 예비 게이트웨이를 활용한 고가용성 지능형 제어 시스템 및 그 제어 방법
WO2020179050A1 (ja) * 2019-03-07 2020-09-10 三菱電機株式会社 通信監視装置、通信監視方法及び通信監視プログラム
JP7215315B2 (ja) 2019-04-26 2023-01-31 トヨタ自動車株式会社 車両システム
JP2020179802A (ja) * 2019-04-26 2020-11-05 トヨタ自動車株式会社 車両システム
US11932267B2 (en) 2019-04-26 2024-03-19 Toyota Jidosha Kabushiki Kaisha Vehicle system
JP2020192894A (ja) * 2019-05-28 2020-12-03 トヨタ自動車株式会社 車両制御システムおよび車両制御インタフェース
JP7293867B2 (ja) 2019-05-28 2023-06-20 トヨタ自動車株式会社 車両制御システムおよび車両制御インタフェース
CN112009459A (zh) * 2019-05-28 2020-12-01 丰田自动车株式会社 车辆控制系统和车辆控制接口
JP2021079856A (ja) * 2019-11-20 2021-05-27 パナソニックIpマネジメント株式会社 車両診断システム及び移動体診断システム
WO2021100723A1 (ja) * 2019-11-20 2021-05-27 パナソニックIpマネジメント株式会社 車両診断システム及び移動体診断システム
JP7370003B2 (ja) 2019-11-20 2023-10-27 パナソニックIpマネジメント株式会社 車両診断システム及び移動体診断システム
WO2022176253A1 (ja) * 2021-02-19 2022-08-25 日立Astemo株式会社 電子制御システム
CN113353093A (zh) * 2021-08-10 2021-09-07 北汽福田汽车股份有限公司 车辆的控制方法、装置和车辆
CN113353093B (zh) * 2021-08-10 2021-12-10 北汽福田汽车股份有限公司 车辆的控制方法、装置和车辆

Also Published As

Publication number Publication date
JP6578224B2 (ja) 2019-09-18
US20170244594A1 (en) 2017-08-24
US10411950B2 (en) 2019-09-10

Similar Documents

Publication Publication Date Title
JP6578224B2 (ja) 車載システム、プログラムおよびコントローラ
JP5522160B2 (ja) 車両ネットワーク監視装置
WO2019117184A1 (ja) 車載ネットワーク異常検知システム及び車載ネットワーク異常検知方法
US11451579B2 (en) System and method for protecting electronics systems of a vehicle from cyberattacks
CN110324301B (zh) 生成用于阻止对车辆的计算机攻击的规则的系统和方法
JP7231559B2 (ja) 異常検知電子制御ユニット、車載ネットワークシステム及び異常検知方法
US20210075800A1 (en) Ethernet network-profiling intrusion detection control logic and architectures for in-vehicle controllers
CN110268681A (zh) 车载网关装置和通信切断方法
CN109104352B (zh) 车辆网络操作协议和方法
JP2019008618A (ja) 情報処理装置、情報処理方法及びプログラム
EP3547191B1 (en) System and method of generating rules for blocking a computer attack on a vehicle
JP2020108132A (ja) 電子制御システム、電子制御装置、制御方法及びプログラム
WO2020085330A1 (ja) 電子制御装置、電子制御方法及びプログラム
JP6191397B2 (ja) 通信中継装置、通信中継処理
JP6417984B2 (ja) 車載通信システム
WO2021024588A1 (ja) モビリティ制御システム、方法、および、プログラム
EP3547192B1 (en) System and method of blocking a computer attack on a means of transportation
JP2019209961A (ja) 情報処理装置、監視方法、プログラム及びゲートウェイ装置
JP2022138678A (ja) 車両システム
WO2021019636A1 (ja) セキュリティ装置、インシデント対応処理方法、プログラム、及び記憶媒体
JP7466819B2 (ja) 管理装置、管理方法及びプログラム
JP2019212972A (ja) 電子制御装置、監視方法、プログラム及びゲートウェイ装置
CN115016426A (zh) fail-safe失效安全系统,方法,储存器及汽车
EP4377179A1 (en) Method for operating an autonomous driving vehicle
JP2010147936A (ja) 中継装置、当該装置で実行される中継方法、及び当該装置からなる中継システム

Legal Events

Date Code Title Description
RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20170330

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180913

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190626

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190702

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190723

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190806

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190826

R150 Certificate of patent or registration of utility model

Ref document number: 6578224

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150