JP6277943B2 - 車両用運転支援装置 - Google Patents

車両用運転支援装置 Download PDF

Info

Publication number
JP6277943B2
JP6277943B2 JP2014234871A JP2014234871A JP6277943B2 JP 6277943 B2 JP6277943 B2 JP 6277943B2 JP 2014234871 A JP2014234871 A JP 2014234871A JP 2014234871 A JP2014234871 A JP 2014234871A JP 6277943 B2 JP6277943 B2 JP 6277943B2
Authority
JP
Japan
Prior art keywords
ecu
control
driving support
communication infrastructure
sensor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014234871A
Other languages
English (en)
Other versions
JP2016097748A (ja
Inventor
伸治 澤田
伸治 澤田
雄介 佐藤
雄介 佐藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toyota Motor Corp
Original Assignee
Toyota Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toyota Motor Corp filed Critical Toyota Motor Corp
Priority to JP2014234871A priority Critical patent/JP6277943B2/ja
Publication of JP2016097748A publication Critical patent/JP2016097748A/ja
Application granted granted Critical
Publication of JP6277943B2 publication Critical patent/JP6277943B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)

Description

本発明は、車両用運転支援装置に関する。
従来、車両の運転支援を実行する車両用運転支援装置が知られている(例えば、特許文献1参照)。上記した特許文献1記載の運転支援装置は、複数の制御装置又はセンサに通信バスを介して接続される電子制御ユニットを備えている。この電子制御ユニットは、制御装置又はセンサから通信バスを介して供給される情報(例えば、車速情報や車間距離情報など)に基づいて運転支援制御(例えば、衝突防止制御などの制御)を実行する。
特開2011−131762号公報
上記の如き運転支援装置において、運転支援制御の有用性を高めるためには、複数の制御装置又はセンサの何れかに信号途絶や故障判定閾値超えなどの故障が生じても、故障が生じていない残りの制御装置又はセンサからの情報のみで運転支援制御を継続してバックアップできることが好ましい。しかし、バックアップにより故障が生じていない制御装置又はセンサからの情報のみで運転支援制御が実行される場合は、すべての情報で運転支援制御が実行される場合に比べて、外部インタフェースを介して通信バス上の情報が攻撃された場合の耐性が低下するので、その運転支援制御の系をよりセキュアに保つことが必要である。
本発明は、上述の点に鑑みてなされたものであり、制御装置又はセンサが故障した場合に、運転支援制御をよりセキュアに保ちつつ継続することが可能な車両用運転支援装置を提供することを目的とする。
本発明の一態様は、外部機器と外部インタフェースを介して接続可能でありかつ複数の制御装置又はセンサのうち少なくとも一つが接続される車内通信インフラに接続され、複数の前記制御装置又はセンサから供給される情報に基づいて自車両の運転支援制御を実行する運転支援装置であって、前記制御装置又はセンサに故障が生じているか否かを判別する故障判別部と、前記故障判別部により前記制御装置又はセンサに故障が生じていると判別され、かつ、前記車内通信インフラを介して接続される前記制御装置又はセンサに故障が生じていないものが含まれる場合に、故障が生じていない前記制御装置又はセンサから供給される情報に基づいて前記運転支援制御の実行を継続すると共に、前記車内通信インフラを経由した情報授受のセキュリティガードレベルを、前記故障判別部により前記制御装置又はセンサに故障が生じていないと判別される場合に比して上げる故障時対応部と、を備える車両用運転支援装置である。
本発明によれば、制御装置又はセンサが故障した場合に、運転支援制御をよりセキュアに保ちつつ継続することができる。
本実施例の車両用運転支援装置を含む車載システムの構成図である。 本実施例の車載システムの一例を表した図である。 本実施例の車両用運転支援装置において実行される制御ルーチンの一例のフローチャートである。 本実施例におけるバックアップ手段の起動状態と情報セキュリティのガードレベルとの関係を表した図である。 本発明の変形例におけるバックアップ手段の起動状態と情報セキュリティのガードレベルとの関係を表した図である。
以下、図面を用いて、本発明に係る車両用運転支援装置の具体的な実施の形態について説明する。
図1は、本実施例の車両用運転支援装置10を含む車載システム12の構成図を示す。本実施例の車載システム12は、車両用運転支援装置10を構成する電子制御ユニット(以下、ECU−A10と称す。)と、他の装置を構成する電子制御ユニット(以下、ECU−B14と称す。)と、センサ16と、アクチュエータ18と、ゲートウェイ装置20と、外部インタフェース22と、を含む、車両に搭載されたシステムである。
ECU−A10及びECU‐B14はそれぞれ、マイクロコンピュータを主体に構成されており、中央演算処理装置(CPU)やRAM,ROMなどを有している。ECU−A10は、自車両の運転を支援する制御(以下、運転支援制御と称す。)を実行する装置である。ECU−A10は、例えば電動パワーステアリングを実現するための制御を実行するEPS−ECUやエコラン制御を実行するエコランECUなどである。また、ECU−B14は、少なくともECU−A10が運転支援制御を実行するうえで必要な情報を生成することが可能な装置である。ECU−B14は、例えば、ECU−A10が上記のEPS−ECUである場合はステアリングの自動操舵を含む自車両の駐車を支援する駐車アシスト制御を実行するIPA−ECUなどであり、或いは、ECU−A10が上記のエコランECUである場合はエンジン制御を実行するエンジンECUやブレーキ制御を実行するブレーキECUなどである。
ECU−A10とECU−B14とは、通信インフラ24を介して互いに接続されている。通信インフラ24は、車内に設けられた例えばCAN(Controller Area Network)などの車内LAN(Local Area Network)であって、端末間で情報の授受を行うことが可能となるように構成されている。ECU−A10とECU−B14とは、相互に通信インフラ24を介して情報を授受することが可能である。特に、ECU−B14は、ECU−A10の実行する運転支援制御に必要な生成した情報を通信インフラ24を介してECU−A10へ供給することが可能である。ECU−A10は、ECU―B14から供給される情報を取得することができる。
通信インフラ24には、ゲートウェイ装置20が接続されている。ゲートウェイ装置20には、外部機器が接続され得る外部インタフェース22が設けられている。この外部機器は、ナビゲーション装置や外部診断装置などであって、少なくとも外部インタフェースを介して通信インフラ24に接続されて、その通信インフラ24に接続するECU10,12を含む各種装置との間で情報の授受を行うことが可能な機器である。ゲートウェイ装置20は、通信インフラ24側と外部機器との間で授受される情報を中継する装置である。通信インフラ24は、ゲートウェイ装置20及び外部インタフェース22を介して外部機器と接続可能なグローバルな通信バスである。以下、通信インフラ24をグローバル通信インフラ24と称す。
ECU−A10には、通信インフラ26を介してセンサ16が接続されている。センサ16は、少なくともECU−A10が運転支援制御を実行するうえで必要な情報を生成することが可能なセンサであって、例えば、ECU−A10が上記のEPS−ECUである場合はステアリングに生じているトルクに応じたトルク信号を出力するステアリングトルクセンサなどである。
通信インフラ26は、車内に設けられた例えばLIN(Local Interconnect Network)などの車内LANやジカ線などであって、センサ16からECU−A10への情報供給が可能となるように構成されている。通信インフラ26は、グローバル通信インフラ24とは異なり、外部機器と接続することが不可能なローカルな通信バスである。以下、通信インフラ26をローカル通信インフラ26と称す。ローカル通信インフラ26は、グローバル通信インフラ24から分離されているので、そのグローバル通信インフラ24に比べてセキュアである。センサ16の出力する信号は、ローカル通信インフラ26を介してECU−A10に供給される。ECU−A10は、センサ16から供給される信号に基づいて、その信号が示す情報を取得することができる。
ECU−A10には、また、アクチュエータ18が接続されている。アクチュエータ18は、運転支援制御を実現するために用いられるモータやバルブなどの物理機構である。ECU−A10は、センサ16からローカル通信インフラ26を介して取得した情報、及び、ECU−B14からグローバル通信インフラ24を介して取得した情報に基づいて、アクチュエータ18を用いて自車両の運転支援制御を実行する。アクチュエータ18は、ECU−A10からの指令に従って作動される。
以下、図2〜図4を参照して、本実施例のECU−A10において実行される制御について説明する。
図2は、本実施例の車載システム12の一例を表した図を示す。図3は、本実施例のECU−A10において実行される制御ルーチンの一例のフローチャートを示す。尚、この制御ルーチンは、所定周期ごとに繰り返し実行されるルーチンである。また、図4は、本実施例におけるバックアップ手段の起動状態と情報セキュリティのガードレベルとの関係を表した図を示す。
本実施例において、ECU−A10は、センサ16の系統すなわちローカル通信インフラ26を介して接続されるセンサ16に故障が生じているか否かを判別する機能を有している。このセンサ16の故障は、例えば、ローカル通信インフラ26を介して供給される信号が途絶することや、その信号が故障判定用に設定された閾値を超えること、その信号が異常値を示すこと、などを含む。
ECU−A10は、車両のパワースイッチ又はイグニションスイッチのオン中、上記機能を用いてセンサ16に上記の故障が生じているか否かの判別を行う(ステップ100)。その結果、センサ16に故障が生じていないと判別した場合は、後述のバックアップ手段を起動させることなく、通常どおり、そのセンサ16からのローカル通信インフラ26を介した信号に基づく情報と、ECU−B14からのグローバル通信インフラ24を介した情報と、に基づいて、自車両の運転支援制御を実行する(ステップ110)。
この通常の運転支援制御の実行中すなわちセンサ16の非故障時は、ECU−A10がグローバル通信インフラ24を介して情報を受信する際、その情報授受のセキュリティガードレベルが"Low"に設定されて、ECU−B14がグローバル通信インフラ24に対して送信する情報の中に含まれる認証子が使用されない。このため、ECU−A10がグローバル通信インフラ24を介してECU−B14からの情報を受信して上記の運転支援制御を実行するうえでその情報に含まれる認証子の認証を行わないので、処理負荷の軽減を図ることができる。
また、仮に、情報授受のセキュリティガードレベルが"Low"に設定されているときに外部から外部インタフェース22を介した攻撃(図1や図2に破線矢印で示す方向への攻撃)が行われると、グローバル通信インフラ24に流れる情報が書き換えられ易くなり、運転支援制御が乗っ取られるおそれがある。尚、この「攻撃」とは、グローバル通信インフラ24に流れる情報の完全性や可用性に関わる改ざんやなりすまし,DoS(Denial of Service attack)などである。しかし、かかる事態が生じても、ローカル通信インフラ26を介したセンサ16からの情報に基づいて運転支援制御が実行されるので、すなわち、センサ16からの情報がセキュリティガード信号として使えるので、外部インタフェース22を介した外部からの攻撃に対する耐性は確保される。
例えば、図2に示す如く、ECU−A10が上記のEPS−ECU10aであり、ECU−B14が上記のIPA−ECU14aであり、センサ16がステアリングトルクセンサ16aであり、かつ、アクチュエータ18がEPSモータ18aである構成では、ステアリングトルクセンサ16aに故障が生じていないと判別された場合、EPS−ECU10aは、ステアリングトルクセンサ16aから供給されるトルク信号に基づくトルク値と、IPA−ECU14aから供給されるIPA制御信号と、に基づいて、EPSモータ18aを用いた運転支援制御を実行する。
具体的には、IPA−ECU14aは、車体後部に取り付けられたカメラの映像と、自車両のステアリング操舵角や車速などの車両状態と、に基づいて、目標駐車位置へ自車両を駐車させるために必要な自車両の目標操舵角などを示す信号(IPA制御信号)を生成すると共に、その生成したIPA制御信号をグローバル通信インフラ24を介してEPS−ECU10aへ供給する。
EPS−ECU10aは、IPA−ECU14aからグローバル通信インフラ24を介して供給されるIPA制御信号を受信する。但し、EPS−ECU10aは、ステアリングトルクセンサ16aの非故障判定時、このIPA制御信号の受信に際しての情報授受のセキュリティガードレベルを"Low"に設定して、そのIPA制御信号の中に含まれる認証子を使用しない。そして、EPS−ECU10aは、その受信したIPA制御信号に従って、自車両に発生させるべき目標の操舵角などを実現するようにEPSモータ18aに対して制御指令を発する。EPSモータ18aは、EPS−ECU10aからの制御指令に従って駆動される。この場合、自車両は、EPSモータ18aの駆動により自動操舵される。
かかる処理によれば、ステアリングトルクセンサ16aの非故障時、EPS−ECU10aが実行する自車両の運転支援制御として、IPA−ECU14aからのIPA制御信号に基づいて目標駐車位置へ自車両を駐車させる駐車支援制御を行うことができる。また、この駐車支援制御の実行中は、情報授受のセキュリティガードレベルが"Low"に設定されて、IPA制御信号の中に含まれる認証子が使用されないので、その駐車支援制御を大きな処理負荷をかけることなく実現することができる。
また、EPS−ECU10aは、ステアリングトルクセンサ16aの非故障判定時は、上記の駐車支援制御の実行中、ステアリングトルクセンサ16aからのトルク信号に基づいて、自車両の運転者がステアリングホイールに触れてそのステアリングホイールを操作する意図があるか否かを判別する。その結果、例えばトルク信号が所定閾値未満のトルクを示すものである場合はその意図がないと判別し、一方、トルク信号が所定閾値以上のトルクを示すものである場合はその意図があると判別する(介入操舵判定)。そして、ステアリングホイールの操作意図があると判別した場合は、運転者に実行中の駐車支援制御に介入して自車両を操舵させる意図がある「介入あり」として、この駐車支援制御の実行を停止する介入制御を実行する。この場合、自車両は、駐車支援制御の実行を停止して、運転者のステアリングホイールの操作により操舵される。
かかる処理によれば、ステアリングトルクセンサ16aの非故障時、EPS−ECU10aが実行する自車両の運転支援制御として、ステアリングトルクセンサ16aからのトルク信号に基づいて介入操舵判定を行うことで、上記の駐車支援制御を停止させるか否かを判定する介入制御を行うことができる。このため、駐車支援制御を実行するうえで、外部インタフェース22を介した外部からの攻撃に対する耐性を確保することができる。
また、ECU−A10は、上記ステップ100においてセンサ16に故障が生じていると判別した場合は、そのセンサ16からの情報を用いることなく運転支援制御を継続させるバックアップ手段を起動させる(ステップ120)。
具体的には、ECU−A10は、センサ16に故障が生じていると判別すると、まず、グローバル通信インフラ24を介してゲートウェイ装置20に対して外部インタフェース22をグローバル通信インフラ24から分離するように指令を発する。ゲートウェイ装置20は、ECU−A10からかかる指令を受信すると、外部インタフェース22をグローバル通信インフラ24から分離させる。かかる分離が行われると、外部機器から外部インタフェース22を介してグローバル通信インフラ24への情報の供給が遮断されるので、グローバル通信インフラ24がセキュアに保たれる。
次に、ECU−A10は、ECU−B14の系統すなわちグローバル通信インフラ24を介して接続されるECU−B14に故障が生じているか否かを判別する。このECU−B14の故障は、例えば、IPA制御信号が途絶することや故障判定用に設定された閾値を超えること、異常値を示すこと、などを含む。その結果、ECU−B14に故障が生じていると判別する場合は、上記のバックアップ手段を起動させない一方、ECU−B14に故障が生じていないと判別する場合は、上記のバックアップ手段を起動させる判定を行う。
ECU−A10は、上記の如くバックアップ手段を起動させる判定を行った場合すなわちセンサ16に故障が生じていると判別しかつECU−B14に故障が生じていないと判別した場合は、バックアップ手段の起動として、ECU−B14からのグローバル通信インフラ24を介した情報に基づいて、自車両の運転支援制御を実行する。
このバックアップの運転支援制御の実行中すなわちセンサ16の故障時は、ECU−A10がグローバル通信インフラ24を介して情報を受信する際の情報授受のセキュリティガードレベルが"Hi"に設定されて、ECU−B14がグローバル通信インフラ24に対して送信する情報の中に含まれる認証子が使用される。このため、ECU−A10がグローバル通信インフラ24を介してECU−B14からの情報を受信して上記の運転支援制御を実行することができる。また、その運転支援制御を実行するうえでその情報に含まれる認証子の認証を行うので、グローバル通信インフラ24に流れる情報を書換え難くなり、外部インタフェース22を介した外部からの攻撃に対する耐性を向上させることができ、運転支援制御を乗っ取りし難くなる。
尚、上記の如く認証子の使用が開始された後は、ECU−A10は、グローバル通信インフラ24を介してゲートウェイ装置20に対して外部インタフェース22とグローバル通信インフラ24との接続を許可するように指令を発することとしてもよい。この場合、ECU−A10又はECU−B14は、外部インタフェース22を介して外部機器と通信することが可能となる。
例えば、図2に示す如き構成では、ステアリングトルクセンサ16aに故障が生じていると判別された場合、EPS−ECU10aは、IPA−ECU14aから供給されるIPA制御信号に基づいて、EPSモータ18aを用いた運転支援制御を実行する。
具体的には、EPS−ECU10aは、IPA−ECU14aからグローバル通信インフラ24を介して供給されるIPA制御信号を受信する。但し、EPS−ECU10aは、ステアリングトルクセンサ16aの故障判定時、このIPA制御信号の受信に際しての情報授受のセキュリティガードレベルを"Hi"に設定して、そのIPA制御信号の中に含まれる認証子を使用する。そして、EPS−ECU10aは、グローバル通信インフラ24を介して受信した信号からIPA制御信号に含まれるべき認証子を認証できる場合は、通常どおり、その受信信号から抽出されるIPA制御信号に従って、自車両に発生させるべき目標の操舵角などを実現するようにEPSモータ18aに対して制御指令を発する。EPSモータ18aは、EPS−ECU10aからの制御指令に従って駆動される。この場合、自車両は、EPSモータ18aの駆動により自動操舵される。
一方、EPS−ECU10aは、グローバル通信インフラ24を介して受信した信号からIPA制御信号に含まれるべき認証子を認証できない場合は、EPSモータ18aへの制御指令を発せず、自動操舵を行わない。但し、この場合、自車両は、運転者のステアリング操作により操舵されることが可能である。
かかる処理によれば、ステアリングトルクセンサ16aの故障時も、EPS−ECU10aが実行する自車両の運転支援制御として、IPA−ECU14aからのIPA制御信号に基づいて目標駐車位置へ自車両を駐車させる駐車支援制御を継続して行うことができる。また、この駐車支援制御の実行中は、情報授受のセキュリティガードレベルが"Hi"に設定されて、IPA制御信号の中に含まれる認証子が使用されるので、外部から外部インタフェース22を介したグローバル通信インフラ24への攻撃に対する耐性を向上させることができ、運転支援制御としての駐車支援制御をセキュアに保つことができる。
従って、本実施例の車両用運転支援装置10であるECU−A10によれば、センサ16(ステアリングトルクセンサ16a)が故障した場合に、運転支援制御(駐車支援制御)をよりセキュアに保ちつつ継続することが可能である。
尚、上記の実施例においては、ECU−A10及びEPS−ECU10aが特許請求の範囲に記載した「車両用運転支援装置」に、ECU−B14及びIPA−ECU14aが特許請求の範囲に記載した「制御装置」に、センサ16及びステアリングトルクセンサ16aが特許請求の範囲に記載した「センサ」に、グローバル通信インフラ24が特許請求の範囲に記載した「車内通信インフラ」に、ECU−A10及びEPS−ECU10aが図3に示すルーチン中ステップ100の処理を実行することが特許請求の範囲に記載した「故障判別部」に、ECU−A10及びEPS−ECU10aがステップ120の処理を実行することが特許請求の範囲に記載した「故障時対応部」に、それぞれ相当している。
ところで、上記の実施例においては、車両用運転支援装置であるECU−A10に、制御装置又はセンサとして、センサ16及びECU−B14の2つの対象が接続される。しかし、本発明はこれに限定されるものではなく、制御装置又はセンサとして3つ以上の対象がECU−A10に接続されるものであってもよい。
また、上記の実施例においては、ECU−A10とECU−B14とを接続させるグローバル通信インフラ24に外部インタフェース22が接続され得る。しかし、本発明はこれに限定されるものではなく、外部インタフェース22がECU−A10に直接に接続されるものであってもよい。
また、上記の実施例においては、センサ16が故障した場合、グローバル通信インフラ24を介した情報に基づく運転支援制御を実行するうえでの情報授受のセキュリティガードレベルを"Hi"に設定し、そのセキュリティガードレベルの"Hi"として、ECU−B14がグローバル通信インフラ24に対して送信する情報の中に含まれる認証子をECU−A10での受信や運転支援制御の実行に使用することとしている。しかし、本発明はこれに限定されるものではなく、上記した情報授受のセキュリティガードレベルの"Hi"として、ECU−B14がグローバル通信インフラ24に対して送信する情報の中に署名や証明書を含め、ECU−A10がグローバル通信インフラ24からの情報受信や運転支援制御の実行にその署名や証明書を使用することとしてもよい。或いは、それらの認証子や署名,証明書の暗号強度を高くし或いは鍵長を長くすることとしてもよい。また、上記した情報授受のセキュリティガードレベルの"Hi"として、上記した項目のうち複数を行うものであってもよい。
また、上記の実施例においては、車両用運転支援装置であるECU―A10に、ローカル通信インフラ26を介して接続するセンサ16に故障が生じているか否かを判別させ、運転支援制御のバックアップ手段を起動させるか否かを決定させることとしている。しかし、本発明はこれに限定されるものではなく、ECU−A10に、ローカル通信インフラを介して接続する他のECUに故障が生じているか否かを判別させ、運転支援制御のバックアップ手段を起動させるか否かを決定させることとしてもよい。
また、上記の実施例においては、センサ16に故障が生じているか否かに応じて、バックアップ手段を起動と停止とに制御することとし、情報授受のセキュリティガードレベルを"Hi"と"Lo"とに2段階で切り替えることとしている。しかし、本発明はこれに限定されるものではなく、図5に示す如く、センサ16の故障レベルや複数の対象それぞれの故障有無に応じて、バックアップ手段の起動を複数に分けることとし、情報授受のセキュリティガードレベルを3段階以上のレベルで切り替えることとしてもよい。この場合、ECU−A10がグローバル通信インフラ24からの情報受信や運転支援制御の実行に用いる情報授受のセキュリティガードレベルとして、ECU−B14がグローバル通信インフラ24に対して送信する情報の中に含まれる認証子や署名,証明書などを複数組み合わせることとすればよい。
また、上記の実施例においては、センサ16が故障した場合、情報授受のセキュリティガードレベルを"Hi"に設定した後に、ゲートウェイ装置20による外部インタフェース22の分離を解除することとしている。しかし、本発明はこれに限定されるものではなく、情報授受のセキュリティガードレベルを"Hi"に設定した後に、ゲートウェイ装置20による外部インタフェース22の分離を継続することとしてもよい。また、情報授受のセキュリティガードレベルの"Hi"として、ゲートウェイ装置20による外部インタフェース22の分離を含めることとしてもよい。
例えば、情報授受のセキュリティガードレベルが変更される際、その変更を示す情報がECU−A10からグローバル通信インフラ24を介してECU−B14へ通知されることがある。この通知情報が外部から外部インタフェース22を介した攻撃に利用されると、ECU−A10とECU−B14との間で同じロジックを使用しない期間に一時的に通信が不成立(DoS)となるおそれがある。かかる通信の脆弱性を回避して外部からの攻撃を避けるためには、ゲートウェイ装置20による外部インタフェース22の分離を情報セキュリティのガードレベルの"Hi"として設定するのが有効である。
更に、上記の実施例においては、運転支援制御の一例として、図2に示す如く、ECU−A10が上記のEPS−ECU10aであり、ECU−B14が上記のIPA−ECU14aであり、センサ16がステアリングトルクセンサ16aであり、かつ、アクチュエータ18がEPSモータ18aである構成に適用される、EPSを用いた駐車支援制御及び介入制御を挙げた。しかし、本発明はこれに限定されるものではなく、ECU−A10がエコランECUであり、ECU−B14がエンジンECU又はブレーキECUであり、センサ16がエンジンフード開閉センサであり、かつ、アクチュエータ18がエンジン又はブレーキである構成に適用されるエコラン制御を、運転支援制御の一例として挙げることとしてもよい。
10 車両用運転支援装置(ECU−A)
10a EPS−ECU
12 車載システム
14 ECU−B
14a IPA−ECU
16 センサ
16a ステアリングトルクセンサ
18 アクチュエータ
18a EPSモータ
20 ゲートウェイ装置
22 外部インタフェース
24 グローバル通信インフラ
26 ローカル通信インフラ

Claims (2)

  1. 外部機器と外部インタフェースを介して接続可能でありかつ複数の制御装置又はセンサのうち少なくとも一つが接続される車内通信インフラに接続され、複数の前記制御装置又はセンサから供給される情報に基づいて自車両の運転支援制御を実行する運転支援装置であって、
    前記制御装置又はセンサに故障が生じているか否かを判別する故障判別部と、
    前記故障判別部により前記制御装置又はセンサに故障が生じていると判別され、かつ、前記車内通信インフラを介して接続される前記制御装置又はセンサに故障が生じていないものが含まれる場合に、故障が生じていない前記制御装置又はセンサから供給される情報に基づいて前記運転支援制御の実行を継続すると共に、前記車内通信インフラを経由した情報授受のセキュリティガードレベルを、前記故障判別部により前記制御装置又はセンサに故障が生じていないと判別される場合に比して上げる故障時対応部と、
    を備えることを特徴とする車両用運転支援装置。
  2. 前記故障時対応部は、前記情報授受の際に認証子の認証を行うこと又は前記外部インタフェースと前記車内通信インフラとを分離させることにより、前記セキュリティガードレベルを上げることを特徴とする請求項1記載の車両用運転支援装置。
JP2014234871A 2014-11-19 2014-11-19 車両用運転支援装置 Active JP6277943B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014234871A JP6277943B2 (ja) 2014-11-19 2014-11-19 車両用運転支援装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014234871A JP6277943B2 (ja) 2014-11-19 2014-11-19 車両用運転支援装置

Publications (2)

Publication Number Publication Date
JP2016097748A JP2016097748A (ja) 2016-05-30
JP6277943B2 true JP6277943B2 (ja) 2018-02-14

Family

ID=56076587

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014234871A Active JP6277943B2 (ja) 2014-11-19 2014-11-19 車両用運転支援装置

Country Status (1)

Country Link
JP (1) JP6277943B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6485429B2 (ja) 2016-11-04 2019-03-20 トヨタ自動車株式会社 車載ネットワークシステム
KR102491386B1 (ko) * 2018-12-27 2023-01-26 삼성전자주식회사 전자 장치 및 그 제어 방법

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004345404A (ja) * 2003-05-20 2004-12-09 Sumitomo Electric Ind Ltd ステアリングシステム、ステアリング制御装置、ゲートウエイ装置、ステアリング制御方法
JP5594255B2 (ja) * 2011-08-10 2014-09-24 トヨタ自動車株式会社 車両ネットワークの通信管理装置
JP5720618B2 (ja) * 2011-10-31 2015-05-20 株式会社デンソー セキュリティ装置

Also Published As

Publication number Publication date
JP2016097748A (ja) 2016-05-30

Similar Documents

Publication Publication Date Title
CA2953144C (en) Method and apparatus for providing vehicle security
JP6578224B2 (ja) 車載システム、プログラムおよびコントローラ
JP5804032B2 (ja) 車両制御装置
WO2018030032A1 (ja) 車両制御装置
WO2015068491A1 (ja) 車両の制御装置及びフェイルセーフ方法
CN111466107A (zh) 用于载具内控制器的以太网网络剖析入侵检测控制逻辑和架构
JP6228581B2 (ja) 停車制御装置
JP7074004B2 (ja) 中継装置システム及び中継装置
CN106537463B (zh) 用于提高车辆安全性的方法和装置
JP2020108132A (ja) 電子制御システム、電子制御装置、制御方法及びプログラム
JP6277943B2 (ja) 車両用運転支援装置
JP6191397B2 (ja) 通信中継装置、通信中継処理
EP3442251B1 (en) Method for providing a safe operation of subsystems within a safety critical system
CN103381850B (zh) 利用电动式动力转向装置的车轮定位装置的控制方法
EP3536581B1 (en) Apparatus and method for controlling steering of vehicle
JP6455082B2 (ja) 車載機器制御システム
JP5914298B2 (ja) 車両用制御装置
JP6727463B1 (ja) 車載制御装置および車載制御システム
JP2008044553A (ja) ステアリングロック解除判定装置、ステアリングロック解除判定方法およびシステム起動制御装置
JP2020068506A (ja) 電子制御装置、電子制御システム及びプログラム
JP2016005933A (ja) 操舵装置
JP6997124B2 (ja) 通信監視装置
JP4912485B2 (ja) ステアリング制御装置
US20230267213A1 (en) Mitigation of a manipulation of software of a vehicle
WO2019175940A1 (ja) 車両制御装置、無効化装置、コンピュータプログラム及び無効化方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170324

TRDD Decision of grant or rejection written
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20171214

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20171219

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180101

R151 Written notification of patent or utility model registration

Ref document number: 6277943

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151