JP2020108132A - 電子制御システム、電子制御装置、制御方法及びプログラム - Google Patents

電子制御システム、電子制御装置、制御方法及びプログラム Download PDF

Info

Publication number
JP2020108132A
JP2020108132A JP2019113902A JP2019113902A JP2020108132A JP 2020108132 A JP2020108132 A JP 2020108132A JP 2019113902 A JP2019113902 A JP 2019113902A JP 2019113902 A JP2019113902 A JP 2019113902A JP 2020108132 A JP2020108132 A JP 2020108132A
Authority
JP
Japan
Prior art keywords
electronic control
mobility
vehicle
ecu
signal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2019113902A
Other languages
English (en)
Inventor
章人 竹内
Akito Takeuchi
章人 竹内
横田 薫
Kaoru Yokota
薫 横田
崇之 藤井
Takayuki Fujii
崇之 藤井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Management Co Ltd
Original Assignee
Panasonic Intellectual Property Management Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Management Co Ltd filed Critical Panasonic Intellectual Property Management Co Ltd
Publication of JP2020108132A publication Critical patent/JP2020108132A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40143Bus networks involving priority mechanisms
    • H04L12/40163Bus networks involving priority mechanisms by assigning priority to messages according to a message field
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40169Flexible bus arrangements
    • H04L12/40176Flexible bus arrangements involving redundancy
    • H04L12/40182Flexible bus arrangements involving redundancy by using a plurality of communication lines
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • B60R16/0231Circuits relating to the driving or the functioning of the vehicle
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W30/00Purposes of road vehicle drive control systems not related to the control of a particular sub-unit, e.g. of systems using conjoint control of vehicle sub-units, or advanced driver assistance systems for ensuring comfort, stability and safety or drive control systems for propelling or retarding the vehicle
    • B60W30/14Adaptive cruise control
    • B60W30/16Control of distance between vehicles, e.g. keeping a distance to preceding vehicle
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/023Avoiding failures by using redundant parts
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40143Bus networks involving priority mechanisms
    • H04L12/40156Bus networks involving priority mechanisms by using dedicated slots associated with a priority level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Abstract

【課題】セキュリティ対策を高めることができる電子制御システムを提供する。【解決手段】電子制御システム2は、車両に搭載されるCANバス4と、車両の状態に関する情報を示す車両状態信号の通信のみに用いられる配線である専用線20を介して車両状態信号を受信し、当該車両状態信号に基づいて制御指示信号をCANバス4に送信するADAS制御ECU14と、CANバス4を介してADAS制御ECU14から送信された制御指示信号を受信し、当該制御指示信号に基づいて車両の駆動に関する制御を行うアクチュエータECU18とを備える。【選択図】図1

Description

本開示は、電子制御システム、電子制御装置、制御方法及びプログラムに関する。
近年、車両の加減速、操舵及び制動等の運転操作を自動で行う電子制御システムが知られている。この電子制御システムは、センサECU(Electric Control Unit)と、自動走行ECUと、エンジンECUとを備えている。これら各ECUは、共通のCAN(Controller Area Network)バスに接続されている。
上述した電子制御システムの処理の一例について説明する。センサECUは、車両の状態を検出するセンサからのセンサデータに基づいて、車両の状態に関する情報を示す車両状態信号をCANバスに送信する。自動走行ECUは、CANバスを介してセンサECUから送信された車両状態信号を受信し、受信した車両状態信号に基づいて加減速指示信号をCANバスに送信する。エンジンECUは、CANバスを介して自動走行ECUから送信された加減速指示信号を受信し、受信した加減速指示信号に基づいてエンジンを制御する。
上述した電子制御システムにおけるセキュリティを高めるために、不正なCANメッセージの侵入を検出する監視装置が提案されている(例えば、特許文献1参照)。特許文献1の監視装置は、CANメッセージを受信した際に、CANメッセージの受信が送信予定時点の前後に設定された許可期間内に行われたか否かを判定し、許可期間外に受信したCANメッセージを破棄する。
国際公開第2016/080422号
上述した電子制御システムでは、悪意のある第三者による車両への攻撃パターンとして、a)エンジンECUに対して加減速指示信号を偽装した不正なCANメッセージを送信することにより、エンジンを不正に制御する攻撃パターン、及び、b)自動走行ECUに対して車両状態信号を偽装した不正なCANメッセージを送信することにより、自動走行ECUに加減速指示信号を誤送信させる攻撃パターンが存在する。
これらのうち前者の攻撃パターンに対して上記特許文献1の監視装置を用いて対策しようとした場合、エンジンECUにより受信される加減速指示信号は、不正なECU等から正規でない周期で送信された不正なCANメッセージであるため、当該加減速指示信号を破棄することができる。
しかしながら、後者の攻撃パターンに対して上記特許文献1の監視装置を用いて対策しようとした場合、エンジンECUにより受信される加減速指示信号は、自動走行ECUから正規の周期で送信された正規のCANメッセージであるため、当該加減速指示信号を破棄することができない。したがって、上述した従来の電子制御システムでは、セキュリティ対策が十分とは言えないという課題が生じる。
そこで、本開示は、セキュリティ対策を高めることができる電子制御システム、電子制御装置、制御方法及びプログラムを提供する。
本開示の一態様に係る電子制御システムは、モビリティを制御するための電子制御システムであって、前記モビリティに搭載されるモビリティネットワークと、前記モビリティの状態に関する情報を示す状態信号の通信のみに用いられる配線である専用線を介して前記状態信号を受信し、当該状態信号に基づいて制御指示信号を前記モビリティネットワークに送信する第1の電子制御装置と、前記モビリティネットワークを介して前記第1の電子制御装置から送信された前記制御指示信号を受信し、当該制御指示信号に基づいて前記モビリティの駆動に関する制御を行う第2の電子制御装置と、を備える。
なお、これらの包括的又は具体的な態様は、システム、方法、集積回路、コンピュータプログラム又はコンピュータで読み取り可能なCD−ROM(Compact Disc−Read Only Memory)等の記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラム及び記録媒体の任意な組み合わせで実現されてもよい。
本開示の一態様に係る電子制御システム等によれば、セキュリティ対策を高めることができる。
車両が攻撃を受けていない正常時における、実施の形態に係る電子制御システムの構成を示すブロック図である。 実施の形態に係る電子制御システムのADAS制御ECUが制御指示信号を送信するための条件の一例を示す図である。 車両が攻撃を受けていない正常時における、実施の形態に係る電子制御システムの動作を示すシーケンス図である。 車両が攻撃を受けた異常時における、実施の形態に係る電子制御システムの構成を示すブロック図である。 車両が攻撃を受けた異常時における、実施の形態に係る電子制御システムの動作を示すシーケンス図である。
本開示の一態様に係る電子制御システムは、モビリティを制御するための電子制御システムであって、前記モビリティに搭載されるモビリティネットワークと、前記モビリティの状態に関する情報を示す状態信号の通信のみに用いられる配線である専用線を介して前記状態信号を受信し、当該状態信号に基づいて制御指示信号を前記モビリティネットワークに送信する第1の電子制御装置と、前記モビリティネットワークを介して前記第1の電子制御装置から送信された前記制御指示信号を受信し、当該制御指示信号に基づいて前記モビリティの駆動に関する制御を行う第2の電子制御装置と、を備える。
本態様によれば、第1の電子制御装置は、状態信号を、専用線を介してのみ受信する。これにより、例えばモビリティネットワークに接続された不正な電子制御装置等は、正規の電子制御装置になりすまして、不正な状態信号を第1の電子制御装置に送信することができなくなる。その結果、第1の電子制御装置が制御指示信号を誤送信するのを回避することができ、電子制御システムにおけるセキュリティ対策を高めることができる。
例えば、前記第2の電子制御装置は、前記モビリティネットワークを介して前記第1の電子制御装置から送信された前記制御指示信号を受信し、当該制御指示信号に基づいて前記モビリティを駆動するためのアクチュエータを制御するように構成してもよい。
本態様によれば、第1の電子制御装置が制御指示信号を誤送信するのを回避することにより、モビリティを駆動するためのアクチュエータが不正に制御されるのを回避することができる。
例えば、前記電子制御システムは、さらに、前記第1の電子制御装置と前記専用線を介して接続され、前記状態信号を前記専用線を介して前記第1の電子制御装置に送信するセンサ制御装置を備えるように構成してもよい。
本態様によれば、例えばモビリティネットワークに接続された不正な電子制御装置等が、センサ制御装置になりすまして、不正な状態信号を第1の電子制御装置に送信するのを回避することができる。
例えば、前記電子制御システムは、さらに、各々が前記状態信号を送信する複数の第3の電子制御装置を備え、前記複数の第3の電子制御装置のうち一部の第3の電子制御装置は、前記専用線を介して前記第1の電子制御装置に接続され、前記複数の第3の電子制御装置のうち他の第3の電子制御装置は、前記モビリティネットワークに接続されるように構成してもよい。
本態様によれば、複数の第3の電子制御装置のうち一部の第3の電子制御装置が専用線を介して第1の電子制御装置に接続されるので、専用線の数の増加を抑えることができる。その結果、モビリティの重量の増大を抑えることができる。
例えば、前記第1の電子制御装置は、前記複数の第3の電子制御装置からそれぞれ送信された複数の前記状態信号を受信し、当該複数の状態信号がそれぞれ対応する条件を満たす場合に、前記制御指示信号を前記モビリティネットワークに送信するように構成してもよい。
本態様によれば、第1の電子制御装置は、複数の状態信号がそれぞれ対応する条件を満たす場合に、制御指示信号をモビリティネットワークに送信する。これにより、例えば複数の状態信号のうち一部の状態信号を偽装した不正な状態信号がモビリティネットワークに送信された場合であっても、第3の電子制御装置から専用線に送信された正規の状態信号が対応する条件を満たさない限り、第1の電子制御装置が制御指示信号を送信することがない。その結果、第1の電子制御装置が制御指示信号を誤送信するのをより確実に回避することができる。
本開示の一態様に係る電子制御装置は、モビリティに搭載されるモビリティネットワークに接続された電子制御装置であって、前記モビリティの状態に関する情報を示す状態信号の通信のみに用いられる配線である専用線を介して、前記状態信号を受信する受信部と、前記モビリティの駆動に関する制御を行う他の電子制御装置に対して、当該他の電子制御装置が前記モビリティの駆動に関する制御を行うための制御指示信号を、前記モビリティネットワークを介して送信する送信部と、を備える。
本態様によれば、受信部は、状態信号を、専用線を介してのみ受信する。これにより、例えばモビリティネットワークに接続された不正な電子制御装置等は、正規の電子制御装置になりすまして、不正な状態信号を受信部に送信することができなくなる。その結果、送信部が制御指示信号を誤送信するのを回避することができ、セキュリティ対策を高めることができる。
本開示の一態様に係る制御方法は、モビリティを制御するための電子制御システムにおける制御方法であって、前記電子制御システムは、前記モビリティに搭載されるモビリティネットワークと、前記モビリティの状態に関する情報を示す状態信号の通信のみに用いられる配線である専用線に接続され、且つ、前記モビリティネットワークに接続された第1の電子制御装置と、前記モビリティネットワークに接続された第2の電子制御装置と、を備え、前記制御方法は、前記第1の電子制御装置が、前記専用線を介して前記状態信号を受信するステップと、前記第1の電子制御装置が、前記状態信号に基づいて制御指示信号を前記モビリティネットワークに送信するステップと、前記第2の電子制御装置が、前記モビリティネットワークを介して前記第1の電子制御装置から送信された前記制御指示信号を受信するステップと、前記第2の電子制御装置が、前記制御指示信号に基づいて前記モビリティの駆動に関する制御を行うステップと、を含む。
本態様によれば、第1の電子制御装置は、状態信号を、専用線を介してのみ受信する。これにより、例えばモビリティネットワークに接続された不正な電子制御装置等は、正規の電子制御装置になりすまして、不正な状態信号を第1の電子制御装置に送信することができなくなる。その結果、第1の電子制御装置が制御指示信号を誤送信するのを回避することができ、電子制御システムにおけるセキュリティ対策を高めることができる。
本開示の一態様に係るプログラムは、上述した制御方法をコンピュータに実行させる。
なお、これらの包括的又は具体的な態様は、システム、方法、集積回路、コンピュータプログラム又はコンピュータで読み取り可能なCD−ROM等の記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラム又は記録媒体の任意な組み合わせで実現されてもよい。
以下、実施の形態について、図面を参照しながら具体的に説明する。
なお、以下で説明する実施の形態は、いずれも包括的又は具体的な例を示すものである。以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置位置及び接続形態、ステップ、ステップの順序等は、一例であり、本開示を限定する主旨ではない。また、以下の実施の形態における構成要素のうち、最上位概念を示す独立請求項に記載されていない構成要素については、任意の構成要素として説明される。
(実施の形態)
[1.電子制御システムの構成]
まず、図1及び図2を参照しながら、実施の形態に係る電子制御システム2の構成について説明する。図1は、車両が攻撃を受けていない正常時における、実施の形態に係る電子制御システム2の構成を示すブロック図である。図2は、実施の形態に係る電子制御システム2のADAS制御ECU14が制御指示信号を送信するための条件の一例を示す図である。
本実施の形態の電子制御システム2は、車両の加減速、操舵及び制動等の運転操作を自動で行うように車両を制御するシステムであり、車両に搭載されている。なお、車両は、例えば自動車であり、モビリティの一例である。
図1に示すように、電子制御システム2は、CANバス4と、センサ6と、センサECU8と、スイッチ10と、ADAS起動スイッチ12と、ADAS制御ECU14と、アクチュエータ16と、アクチュエータECU18とを備えている。
CANバス4は、CANプロトコルに従ったCANメッセージを通信するための車載ネットワークであり、車両に搭載されている。CANバス4は、モビリティネットワークの一例である。
なお、CANメッセージは、CANプロトコルで規定されたデータフレームである。CANメッセージは、例えば、SOF(Start Of Frame)、ID(Identification)フィールド、RTR(Remote Transmission Request)、コントロールフィールド、データフィールド、CRC(Cyclic Redundancy Check)フィールド、ACK(Acknowledgement)フィールド、及び、EOF(End Of Frame)の各フィールドで構成される。
センサ6は、例えばレーザを用いて、車両の周囲に存在する物体を検出するためのLiDAR(Light Detection And Ranging)である。センサ6は、センサECU8に接続されている。センサ6は、自車両と当該自車両の前方を走行している前方車両との間の車間距離を示すセンサデータを、センサECU8に出力する。
センサECU8は、センサ6からのセンサデータに基づいて車両状態信号(以下、「車両状態信号A」という)を送信するECUであり、第3の電子制御装置及びセンサ制御装置の一例である。センサECU8は、CANバス4に接続されるとともに、専用線20を介してADAS制御ECU14に接続されており、車両状態信号Aを専用線20に送信する。ここで、専用線20は、センサECU8とADAS制御ECU14との通信のみに用いられる配線であり、例えばEthernet(登録商標)である。
車両状態信号Aは、車両の状態に関する情報を示すCANメッセージであり、状態信号の一例である。具体的には、車両状態信号Aは、車間距離に関する情報、すなわち前方車両の有無に関する情報を示すCANメッセージである。
センサECU8は、車間距離が所定距離以上である場合に、前方車両が存在しないことを示す車両状態信号Aを専用線20に送信する。また、センサECU8は、車間距離が上記所定距離未満である場合に、前方車両が存在することを示す車両状態信号Aを専用線20に送信する。
スイッチ10は、例えばACC(Adaptive Cruise Control)等の先進運転者支援システム(ADAS:Advanced Driver Assistance System)のオン・オフを切り替えるためのユーザインタフェースである。なお、ACCは、車間距離及び車速等に応じて、車両のアクセル操作及びブレーキ操作を自動で行う機能である。スイッチ10は、例えば車両のインストルメントパネル等に配置され、車両の運転者により操作される。運転者は、例えばADASを機能させたい場合には、スイッチ10を操作することによりADASをオンし、ADASを機能させたくない場合には、スイッチ10を操作することによりADASをオフする。スイッチ10は、ADAS起動スイッチ12に接続されている。スイッチ10は、ADASのオン・オフを示すスイッチ信号をADAS起動スイッチ12に出力する。
ADAS起動スイッチ12は、スイッチ10からのスイッチ信号に基づいて車両状態信号(以下、「車両状態信号B」という)を送信するECUであり、第3の電子制御装置及びセンサ制御装置の一例である。ADAS起動スイッチ12は、CANバス4に接続されており、車両状態信号BをCANバス4に送信する。
車両状態信号Bは、車両の状態に関する情報を示すCANメッセージであり、状態信号の一例である。具体的には、車両状態信号Bは、ADASのオン・オフに関する情報を示すCANメッセージである。
ADAS起動スイッチ12は、運転者によるスイッチ10の操作によりADASがオンされた場合に、ADASがオンであることを示す車両状態信号BをCANバス4に送信する。また、ADAS起動スイッチ12は、運転者によるスイッチ10の操作によりADASがオフされた場合に、ADASがオフであることを示す車両状態信号BをCANバス4に送信する。
ADAS制御ECU14は、車両状態信号A及び車両状態信号Bがそれぞれ対応する条件を満たす場合に、制御指示信号を送信するECUであり、第1の電子制御装置及び電子制御装置の一例である。ADAS制御ECU14は、CANバス4に接続されるとともに、専用線20を介してセンサECU8に接続されている。ADAS制御ECU14は、受信部24と、送信部26とを有している。ADAS制御ECU14の受信部24は、専用線20を介して、センサECU8から送信された車両状態信号Aを受信する。ここで、車両状態信号Aは、専用線20を介して、センサECU8とADAS制御ECU14の受信部24との間でのみ送受信される。また、ADAS制御ECU14の受信部24は、CANバス4を介して、ADAS起動スイッチ12から送信された車両状態信号Bを受信する。
図2に示すように、車両状態信号Aが「前方車両あり」という条件を満たし、且つ、車両状態信号Bが「ADASオン」という条件を満たす場合に、ADAS制御ECU14の送信部26は、制御指示信号をCANバス4に送信する。また、車両状態信号A及び車両状態信号Bの少なくとも一方が対応する条件を満たさない場合には、ADAS制御ECU14の送信部26は、制御指示信号をCANバス4に送信しない。
なお、車両状態信号Aが「前方車両あり」という条件を満たし、且つ、車両状態信号Bが「ADASオン」という条件を満たす場合において、「制御指示信号を送信する」とは、単に制御指示信号を送信する場合だけでなく、制御指示信号の値を有効値にした状態で、当該有効値の制御指示信号を送信する場合も含むものとする。また、車両状態信号A及び車両状態信号Bの少なくとも一方が対応する条件を満たさない場合において、「制御指示信号を送信しない」とは、単に制御指示信号を送信しない場合だけでなく、制御指示信号の値を無効値又は初期値にした状態で、当該無効値又は初期値の制御指示信号を送信する場合も含むものとする。
アクチュエータ16は、車両を駆動するための機構である。アクチュエータ16は、例えば、a)アクセルを駆動するためのアクセルアクチュエータ、b)ブレーキを駆動するためのブレーキアクチュエータ、c)ステアリングを駆動するためのステアリングアクチュエータ、及び、d)エンジンを駆動するためのエンジンアクチュエータ等である。アクチュエータ16は、アクチュエータECU18に接続されている。
アクチュエータECU18は、ADAS制御ECU14からの制御指示信号に基づいて車両の駆動に関する制御を行うECUであり、第2の電子制御装置の一例である。具体的には、アクチュエータECU18は、ADAS制御ECU14からの制御指示信号に基づいて、アクチュエータ16を制御する。アクチュエータECU18は、CANバス4に接続されており、CANバス4を介して、ADAS制御ECU14から送信された制御指示信号を受信する。例えば、アクチュエータ16がステアリングアクチュエータである場合には、アクチュエータECU18は、ADAS制御ECU14からの制御指示信号に基づいてアクチュエータ16を制御することにより、ステアリングの操舵を制御する。
[2.電子制御システムの動作]
[2−1.正常時における電子制御システムの動作]
次に、図1及び図3を参照しながら、車両が攻撃を受けていない正常時における、電子制御システム2の動作について説明する。図3は、車両が攻撃を受けていない正常時における、実施の形態に係る電子制御システム2の動作を示すシーケンス図である。
以下、運転者が、ACCの機能として、前方車両が存在する時に前方車両との車間距離を一定に保つ制御を行う「定車間距離走行」の機能をオンさせる場合について説明する。この定車間距離走行の機能は、a)前方車両が存在し、且つ、b)ADASがオンされた場合(すなわち、車両状態信号A及び車両状態信号Bがともに対応する条件を満たす場合)に発動する。
図1及び図3に示すように、センサECU8は、自車両と前方車両との間の車間距離が上記所定距離未満である場合に、前方車両が存在することを示す車両状態信号Aを、専用線20に送信する(S101)。ADAS制御ECU14は、専用線20を介して、センサECU8から送信された車両状態信号Aを受信する(S102)。
ADAS起動スイッチ12は、運転者によるスイッチ10の操作によりADASがオンされた場合に、ADASがオンであることを示す車両状態信号BをCANバス4に送信する(S103)。ADAS制御ECU14は、CANバス4を介して、ADAS起動スイッチ12から送信された車両状態信号Bを受信する(S104)。
ADAS制御ECU14は、車両状態信号Aが「前方車両あり」という条件を満たし、且つ、車両状態信号Bが「ADASオン」という条件を満たすと判定する(S105)。ADAS制御ECU14は、当該判定結果に基づいて、「定車間距離走行を行うようにアクチュエータECU18を制御する必要あり」と判断し、アクチュエータECU18に対して定車間距離走行を行うように指示するための制御指示信号をCANバス4に送信する(S106)。
アクチュエータECU18は、CANバス4を介して、ADAS制御ECU14から送信された制御指示信号を受信する(S107)。アクチュエータECU18は、ADAS制御ECU14からの制御指示信号に基づいて、定車間距離走行を行うようにアクチュエータ16(例えば、アクセルアクチュエータ及びブレーキアクチュエータ等)を制御する(S108)。
[2−2.異常時における電子制御システムの動作]
次に、図4及び図5を参照しながら、車両が攻撃を受けた異常時における、電子制御システム2の動作について説明する。図4は、車両が攻撃を受けた異常時における、実施の形態に係る電子制御システム2の構成を示すブロック図である。図5は、車両が攻撃を受けた異常時における、実施の形態に係る電子制御システム2の動作を示すシーケンス図である。なお、説明の都合上、図4では、上述した受信部24及び送信部26の図示を省略してある。
以下、悪意のある第三者が、ADAS制御ECU14に対して車両状態信号Aを偽装した不正なCANメッセージを送信することにより、ADAS制御ECU14に制御指示信号を誤送信させる攻撃を試みる場合について説明する。図4に示すように、悪意のある第三者により、車両を攻撃するための不正ECU22がCANバス4に接続されている。
図5に示すように、センサECU8は、前方車両が存在しないことを示す車両状態信号Aを、専用線20に送信する(S201)。ADAS制御ECU14は、専用線20を介して、センサECU8から送信された車両状態信号Aを受信する(S202)。
図4及び図5に示すように、不正ECU22は、センサECU8になりすまして、前方車両が存在することを示す不正な車両状態信号AをCANバス4に送信する(S203)。すなわち、実際には前方車両が存在しないにも拘らず、前方車両が存在することを示す不正な車両状態信号AがCANバス4に送信される。ADAS制御ECU14は、不正ECU22から送信された不正な車両状態信号Aを、専用線20を介して送信されてきたものではないとして破棄する(S204)。
ADAS制御ECU14は、車両状態信号Aが「前方車両あり」という条件を満たしていないと判定する(S205)。この時、ADAS制御ECU14は、ADAS制御スイッチ12からADASがオンであることを示す車両状態信号Bを受信した場合であっても、当該判定結果に基づいて、「定車間距離走行を行うようにアクチュエータECU18を制御する必要無し」と判断する。そのため、ADAS制御ECU14は、アクチュエータECU18に対して定車間距離走行を行うように指示するための制御指示信号をCANバス4に送信しない(S206)。
これにより、ADAS制御ECU14は、「定車間距離走行を行うようにアクチュエータECU18を制御する必要あり」と誤判断することがないため、運転者の意図に反して定車間距離走行が不正に行われることがない。
[3.効果]
上述したように、車両状態信号Aは、専用線20を介してセンサECU8とADAS制御ECU14との間でのみ送受信される。これにより、不正ECU22が、センサECU8になりすまして、前方車両が存在することを示す不正な車両状態信号Aを送信した場合であっても、ADAS制御ECU14は、当該不正な車両状態信号Aを、専用線20を介して送信されてきたものではないとして破棄することができる。すなわち、実際には前方車両が存在しないにも拘らず、前方車両が存在することを示す不正な車両状態信号AがADAS制御ECU14により受信されるのを回避することができる。
その結果、運転者の意図に反して、ADASがオンされて定車間距離走行が不正に行われるのを回避することができ、電子制御システム2におけるセキュリティ対策を高めることができる。
(変形例等)
以上、一つ又は複数の態様に係る電子制御システム、電子制御装置及び制御方法について、上記実施の形態に基づいて説明したが、本開示は、上記実施の形態に限定されるものではない。本開示の趣旨を逸脱しない限り、当業者が思い付く各種変形を上記実施の形態に施したものや、異なる実施の形態における構成要素を組み合わせて構築される形態も、一つ又は複数の態様の範囲内に含まれてもよい。
上記実施の形態では、本開示に係る電子制御システムの適用例として、自動車等の車両に搭載される車載ネットワークにおけるセキュリティ対策への適用について説明したが、本開示に係る電子制御システムの適用範囲はこれに限定されない。本開示に係る電子制御システムは、自動車等の車両に限定されず、例えば、建機、農機、船舶、鉄道又は飛行機等の任意のモビリティに適用してもよい。
上記実施の形態では、センサECU8とADAS制御ECU14とを専用線20で接続したが、これに限定されず、センサECU8とADAS制御ECU14とを専用線20で接続するとともに、ADAS起動スイッチ12とADAS制御ECU14とを別の専用線で接続してもよい。これにより、車両状態信号Aが専用線20を介してセンサECU8とADAS制御ECU14との間でのみ送受信されるとともに、車両状態信号Bが別の専用線を介してADAS起動スイッチ12とADAS制御ECU14との間でのみ送受信される。その結果、電子制御システム2におけるセキュリティ対策をより一層高めることができる。
上記実施の形態では、センサECU8が車両状態信号Aを専用線20に送信するようにしたが、これに限定されず、センサECU8が車両状態信号Aを専用線20に送信するとともに、CANバス4に送信するようにしてもよい。この場合、例えばアクチュエータECU18は、CANバス4を介して、センサECU8から送信された車両状態信号Aを受信してもよい。但し、ADAS制御ECU14は、センサECU8からCANバス4に送信された車両状態信号Aについては受信しないように構成されていることが好ましい。
上記実施の形態では、センサECU8を専用線20に接続するとともにCANバス4に接続したが、これに限定されず、センサECU8をCANバス4に接続せず、専用線20のみに接続してもよい。
上記実施の形態では、第3の電子制御装置(センサ制御装置)として2つのECU(センサECU8及びADAS起動スイッチ12)を設けたが、これに限定されず、3つ以上のECUを設けてもよい。この場合、第3の電子制御装置(センサ制御装置)を構成する複数のECUのうち少なくとも1つのECUを、専用線20を介してADAS制御ECU14に接続すればよい。
上記実施の形態では、センサ6をLiDARで構成したが、これに限定されず、例えばミリ波センサ又はカメラセンサ等の任意のセンサで構成してもよい。
上記実施の形態では、車両状態信号Aを車間距離に関する情報(前方車両の有無に関する情報)を示すCANメッセージとしたが、これに限定されず、例えば自車速度に関する情報等を示すCANメッセージとしてもよい。
上記実施の形態では、運転者が、ACCの機能として定車間距離走行の機能をオンさせる場合について説明したが、これに限定されず、ACCの機能として、例えば前方車両が存在しない時に自車速度を一定に保つ制御を行う「定車速走行」の機能をオンさせてもよい。この定車速走行の機能は、a)前方車両が存在せず、且つ、b)自車速度が一定値以上であり、且つ、c)ADASがオンされた場合に発動する。この場合、第3の電子制御装置(センサ制御装置)として、センサECU8及びADAS起動スイッチ12に加えて、車速センサからのセンサデータに基づいて自車速度に関する情報を示す車両状態信号Cを送信するセンサECUを設ければよい。車両状態信号Aが「前方車両あり」という条件を満たし、且つ、車両状態信号Bが「ADASオン」という条件を満たし、且つ、車両状態信号Cが「自車速度が一定値以上」という条件を満たす場合に、ADAS制御ECU14は、制御指示信号をCANバス4に送信する。
なお、上記実施の形態において、各構成要素は、専用のハードウェアで構成されるか、各構成要素に適したソフトウェアプログラムを実行することによって実現されてもよい。各構成要素は、CPU又はプロセッサ等のプログラム実行部が、ハードディスク又は半導体メモリなどの記録媒体に記録されたソフトウェアプログラムを読み出して実行することによって実現されてもよい。
また、上記実施の形態に係る電子制御システムの機能の一部又は全てを、CPU等のプロセッサがプログラムを実行することにより実現してもよい。
上記の各装置を構成する構成要素の一部又は全部は、各装置に脱着可能なICカード又は単体のモジュールから構成されているとしても良い。前記ICカード又は前記モジュールは、マイクロプロセッサ、ROM、RAM等から構成されるコンピュータシステムである。前記ICカード又は前記モジュールは、上記の超多機能LSIを含むとしても良い。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、前記ICカード又は前記モジュールは、その機能を達成する。このICカード又はこのモジュールは、耐タンパ性を有するとしても良い。
本開示は、上記に示す方法であるとしても良い。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしても良いし、前記コンピュータプログラムからなるデジタル信号であるとしても良い。また、本開示は、前記コンピュータプログラム又は前記デジタル信号をコンピュータ読み取り可能な記録媒体、例えばフレキシブルディスク、ハードディスク、CD−ROM、MO、DVD、DVD−ROM、DVD−RAM、BD(Blu−ray(登録商標) Disc)、半導体メモリ等に記録したものとしても良い。また、これらの記録媒体に記録されている前記デジタル信号であるとしても良い。また、本開示は、前記コンピュータプログラム又は前記デジタル信号を、電気通信回線、無線又は有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしても良い。また、本開示は、マイクロプロセッサとメモリを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記憶しており、前記マイクロプロセッサは、前記コンピュータプログラムにしたがって動作するとしても良い。また、前記プログラム又は前記デジタル信号を前記記録媒体に記録して移送することにより、又は前記プログラム又は前記デジタル信号を前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしても良い。
本開示に係る電子制御システムは、例えば車両の運転操作を自動で行うためのシステム等に有用である。
2 電子制御システム
4 CANバス
6 センサ
8 センサECU
10 スイッチ
12 ADAS起動スイッチ
14 ADAS制御ECU
16 アクチュエータ
18 アクチュエータECU
20 専用線
22 不正ECU
24 受信部
26 送信部

Claims (8)

  1. モビリティを制御するための電子制御システムであって、
    前記モビリティに搭載されるモビリティネットワークと、
    前記モビリティの状態に関する情報を示す状態信号の通信のみに用いられる配線である専用線を介して前記状態信号を受信し、当該状態信号に基づいて制御指示信号を前記モビリティネットワークに送信する第1の電子制御装置と、
    前記モビリティネットワークを介して前記第1の電子制御装置から送信された前記制御指示信号を受信し、当該制御指示信号に基づいて前記モビリティの駆動に関する制御を行う第2の電子制御装置と、を備える
    電子制御システム。
  2. 前記第2の電子制御装置は、前記モビリティネットワークを介して前記第1の電子制御装置から送信された前記制御指示信号を受信し、当該制御指示信号に基づいて前記モビリティを駆動するためのアクチュエータを制御する
    請求項1に記載の電子制御システム。
  3. 前記電子制御システムは、さらに、前記第1の電子制御装置と前記専用線を介して接続され、前記状態信号を前記専用線を介して前記第1の電子制御装置に送信するセンサ制御装置を備える
    請求項1又は2に記載の電子制御システム。
  4. 前記電子制御システムは、さらに、各々が前記状態信号を送信する複数の第3の電子制御装置を備え、
    前記複数の第3の電子制御装置のうち一部の第3の電子制御装置は、前記専用線を介して前記第1の電子制御装置に接続され、
    前記複数の第3の電子制御装置のうち他の第3の電子制御装置は、前記モビリティネットワークに接続される
    請求項1又は2に記載の電子制御システム。
  5. 前記第1の電子制御装置は、前記複数の第3の電子制御装置からそれぞれ送信された複数の前記状態信号を受信し、当該複数の状態信号がそれぞれ対応する条件を満たす場合に、前記制御指示信号を前記モビリティネットワークに送信する
    請求項4に記載の電子制御システム。
  6. モビリティに搭載されるモビリティネットワークに接続された電子制御装置であって、
    前記モビリティの状態に関する情報を示す状態信号の通信のみに用いられる配線である専用線を介して、前記状態信号を受信する受信部と、
    前記モビリティの駆動に関する制御を行う他の電子制御装置に対して、当該他の電子制御装置が前記モビリティの駆動に関する制御を行うための制御指示信号を、前記モビリティネットワークを介して送信する送信部と、を備える
    電子制御装置。
  7. モビリティを制御するための電子制御システムにおける制御方法であって、
    前記電子制御システムは、
    前記モビリティに搭載されるモビリティネットワークと、
    前記モビリティの状態に関する情報を示す状態信号の通信のみに用いられる配線である専用線に接続され、且つ、前記モビリティネットワークに接続された第1の電子制御装置と、
    前記モビリティネットワークに接続された第2の電子制御装置と、を備え、
    前記制御方法は、
    前記第1の電子制御装置が、前記専用線を介して前記状態信号を受信するステップと、
    前記第1の電子制御装置が、前記状態信号に基づいて制御指示信号を前記モビリティネットワークに送信するステップと、
    前記第2の電子制御装置が、前記モビリティネットワークを介して前記第1の電子制御装置から送信された前記制御指示信号を受信するステップと、
    前記第2の電子制御装置が、前記制御指示信号に基づいて前記モビリティの駆動に関する制御を行うステップと、を含む
    制御方法。
  8. 請求項7に記載の制御方法をコンピュータに実行させる
    プログラム。
JP2019113902A 2018-12-26 2019-06-19 電子制御システム、電子制御装置、制御方法及びプログラム Pending JP2020108132A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US201862785138P 2018-12-26 2018-12-26
US62/785,138 2018-12-26

Publications (1)

Publication Number Publication Date
JP2020108132A true JP2020108132A (ja) 2020-07-09

Family

ID=71124497

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019113902A Pending JP2020108132A (ja) 2018-12-26 2019-06-19 電子制御システム、電子制御装置、制御方法及びプログラム

Country Status (2)

Country Link
US (1) US20200213149A1 (ja)
JP (1) JP2020108132A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024070865A1 (ja) * 2022-09-28 2024-04-04 株式会社堀場製作所 供試体試験システム、供試体試験方法及び供試体試験プログラム

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200262366A1 (en) 2019-02-14 2020-08-20 Oshkosh Corporation Integrated operator centric controls
JP2022107380A (ja) 2021-01-08 2022-07-21 株式会社デンソー 負荷駆動システム
CN113815551A (zh) * 2021-10-26 2021-12-21 江苏悦达智能农业装备有限公司 一种拖拉机智能控制装置
CN114104002B (zh) * 2021-12-21 2023-11-21 华人运通(江苏)技术有限公司 自动驾驶系统监控方法、装置、设备和存储介质
CN114771433B (zh) * 2022-04-26 2024-01-19 上海伯镭智能科技有限公司 一种无人驾驶矿车的线控系统

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016151828A (ja) * 2015-02-16 2016-08-22 トヨタ自動車株式会社 衝突回避装置

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016151828A (ja) * 2015-02-16 2016-08-22 トヨタ自動車株式会社 衝突回避装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024070865A1 (ja) * 2022-09-28 2024-04-04 株式会社堀場製作所 供試体試験システム、供試体試験方法及び供試体試験プログラム

Also Published As

Publication number Publication date
US20200213149A1 (en) 2020-07-02

Similar Documents

Publication Publication Date Title
JP2020108132A (ja) 電子制御システム、電子制御装置、制御方法及びプログラム
US11190533B2 (en) Anomaly detection electronic control unit, onboard network system, and anomaly detection method
JP6578224B2 (ja) 車載システム、プログラムおよびコントローラ
JP7231559B2 (ja) 異常検知電子制御ユニット、車載ネットワークシステム及び異常検知方法
US11425128B2 (en) Unauthorized control suppression method, unauthorized control suppression device, and onboard network system
JP6807906B2 (ja) 車両へのコンピュータ攻撃を阻止するためのルールを生成するシステムおよび方法
JPWO2019117184A1 (ja) 車載ネットワーク異常検知システム及び車載ネットワーク異常検知方法
JP2022125099A (ja) 不正検知サーバ、及び、方法
US20190182267A1 (en) Vehicle security manager
JP2016134914A (ja) 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム
JP2019008618A (ja) 情報処理装置、情報処理方法及びプログラム
WO2021038869A1 (ja) 車両監視装置および車両監視方法
KR101972457B1 (ko) Can 통신 기반 해킹공격 탐지 방법 및 시스템
US20210258187A1 (en) Electronic control device, electronic control method, and recording medium
EP3802229A1 (en) Cybersecurity on a controller area network in a vehicle
US11394726B2 (en) Method and apparatus for transmitting a message sequence over a data bus and method and apparatus for detecting an attack on a message sequence thus transmitted
WO2021111681A1 (ja) 情報処理装置、制御方法及びプログラム
WO2022049636A1 (ja) 制御モード切替装置、および制御モード切替方法
JP2024023912A (ja) 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム
US20230052852A1 (en) Method for Authentic Data Transmission Between Control Devices of a Vehicle, Arrangement with Control Devices, Computer Program, and Vehicle
JP2019209961A (ja) 情報処理装置、監視方法、プログラム及びゲートウェイ装置
CN115515097A (zh) 一种对抗对车内网络的入侵的方法和装置
CN113556271A (zh) 非法控制抑止方法、非法控制抑止装置和车载网络系统
JP6434287B2 (ja) 車両制御システム
JP2020068506A (ja) 電子制御装置、電子制御システム及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20211221

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220920

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220927

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20230322