JP6519830B1 - 電子制御装置、監視方法、プログラム及びゲートウェイ装置 - Google Patents

電子制御装置、監視方法、プログラム及びゲートウェイ装置 Download PDF

Info

Publication number
JP6519830B1
JP6519830B1 JP2018105049A JP2018105049A JP6519830B1 JP 6519830 B1 JP6519830 B1 JP 6519830B1 JP 2018105049 A JP2018105049 A JP 2018105049A JP 2018105049 A JP2018105049 A JP 2018105049A JP 6519830 B1 JP6519830 B1 JP 6519830B1
Authority
JP
Japan
Prior art keywords
steering
control instruction
mobility
steering control
situation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018105049A
Other languages
English (en)
Other versions
JP2019212976A (ja
Inventor
根本 祐輔
祐輔 根本
若林 徹
徹 若林
横田 薫
薫 横田
崇之 藤井
崇之 藤井
中野 稔久
稔久 中野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Management Co Ltd
Original Assignee
Panasonic Intellectual Property Management Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Management Co Ltd filed Critical Panasonic Intellectual Property Management Co Ltd
Priority to JP2018105049A priority Critical patent/JP6519830B1/ja
Priority to DE102019113818.3A priority patent/DE102019113818B4/de
Priority to US16/422,533 priority patent/US11440557B2/en
Application granted granted Critical
Publication of JP6519830B1 publication Critical patent/JP6519830B1/ja
Publication of JP2019212976A publication Critical patent/JP2019212976A/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

【課題】モビリティが備えるネットワークに送信される不正な操舵制御指示の攻撃フレームに適切に対処する監視装置を提供する。【解決手段】モビリティが備えるネットワークで伝送される、モビリティを操舵するための操舵制御指示を監視する監視装置100は、モビリティの状況及び当該モビリティが走行する外界の状況の少なくとも一方を示す状況情報、及びネットワークで伝送されている操舵制御指示を取得する取得部1101と、取得された状況情報が示す状況と、取得された操舵制御指示が示す制御内容とを比較することで、操舵制御指示が不正な制御指示であるか否かを判定、判定の結果を示す情報を出力する判定部3101とを備える。【選択図】図6

Description

本発明は、例えば車両に搭載される電子制御ユニットが通信を行う車載ネットワークにおいて送信される操舵制御指示メッセージについての不正に対処するためのセキュリティ技術に関する。
近年、自動車の中のシステムには、電子制御ユニット(ECU:Electronic Control Unit)と呼ばれる装置が多数配置されている。これらのECUをつなぐネットワークは車載ネットワークと呼ばれる。車載ネットワークには、多数の規格が存在する。その中でも最も主流な車載ネットワークの一つに、ISO11898−1で規定されているCAN(Controller Area Network)という規格が存在する。
CANでは、通信路は2本のワイヤで構成されたバス(CANバス)であり、バスに接続されているECUはノードと呼ばれる。CANバスに接続されている各ノードは、フレーム(メッセージ)を送受信する。フレームを送信する送信ノードは、2本のバスに電圧をかけ、バス間で電位差を発生させることによって、レセシブと呼ばれる「1」の値と、ドミナントと呼ばれる「0」の値を送信する。複数の送信ノードが全く同一のタイミングで、レセシブとドミナントを送信した場合は、ドミナントが優先されて送信される。受信ノードは、受け取ったフレームのフォーマットに異常がある場合には、エラーフレームと呼ばれるフレームを送信する。エラーフレームとは、ドミナントを6bit連続して送信することで、送信ノードや他の受信ノードにフレームの異常を通知するものである。
またCANでは、送信先や送信元を指す識別子は存在せず、送信ノードはフレーム毎に、メッセージIDと呼ばれるIDを付けて送信し(つまりバスに信号を送出し)、各受信ノードは予め定められたメッセージIDのみを受信する(つまりバスから信号を読み取る)。また、CANでは、CSMA/CA(Carrier Sense Multiple Access/Collision Avoidance)方式を採用しており、複数ノードの同時送信時にはメッセージIDによる調停が行われ、メッセージIDの値が小さいフレームが優先的に送信される。自動車の中のシステムにおいては、多数のECUそれぞれは、様々な情報を含むフレームの授受を行う。例えば、各ECUがフレームを授受して連携することで、先進運転者支援システム(ADAS:Advanced Driver Assistance System)の操舵支援機能等が実現される。操舵支援機能の例としては、車線維持機能、駐車支援機能、車線変更機能が挙げられる。これらの機能を実現するためには、ステアリングを制御するステアリングECUと、道路又は駐車場の白線等の区画線、又は周囲の物体の検知等を行うセンサECUと、操舵支援が必要な状況を検知して操舵制御指示のフレームを出す操舵支援ECU等とが連携する。
ところで、CANバスに不正なノードを接続すること、又は携帯情報端末、車外の通信装置等と通信する機能を有するECU等を攻撃して不正なノードに変化させること等により、攻撃者が、攻撃フレームをCANバスに送信して、自動車を不正にコントロールする脅威が存在する。攻撃フレームは、不正な攻撃者によってCANバスに送信されたフレームであり、車載ネットワークの正常状態において本来は送信されないフレーム(不正なフレーム)である。例えば、攻撃者により、車両が走行中の走行車線を誤認識させるようなセンシングデータを含むフレームがCANバスに送信されると、車両は現実には不要な操舵制御の発生によって車線を逸脱したり、周辺を走行する車両のドライバー又は自動制御システムを惑わせたりする結果、事故を招き得る。
このような攻撃フレームを検知して防御する技術として、車載ネットワークにおいて送信されるべき車線認識の結果を示すメッセージIDのフレームについて、想定される異常な態様に該当するか否かに基づいて不正か否かの判別を行う技術が知られている(特許文献1参照)。
特許第6075351号公報
しかし、特許文献1の技術では、異常な車線認識の結果ではなく、異常な操舵量を示す不正なフレームを送信するような場合に対応できない。したがって、不正な操舵制御指示の攻撃フレームに適切に対処するためには有用ではない。
そこで、本発明は、攻撃者により移動体におけるネットワーク(例えば車載ネットワーク)のバスに送信される不正な操舵制御指示の攻撃フレームに適切に対処する監視装置、監視方法、及び当不正なフレームに適切に対処するために用いられるプログラムを提供する。
上記課題を解決するために本発明の一態様に係る電子制御装置、モビリティの状況前記モビリティが移動する外界の状況の少なくとも一方を示す状況情報、及び前記モビリティを操舵するための操舵制御指示を取得する取得部と、取得された前記状況情報が示す状況と、取得された前記操舵制御指示が示す制御内容とに基づいて、前記操舵制御指示が不正な制御指示であるか否かを判定する判定部とを備える。
また、上記課題を解決するために本発明の一態様に係る監視方法は、電子制御装置による監視方法であって、モビリティの状況前記モビリティが移動する外界の状況の少なくとも一方を示す状況情報、及び前記モビリティを操舵するための前記操舵制御指示を取得し、取得された前記状況情報が示す状況と、取得された前記操舵制御指示が示す制御内容とに基づいて、前記操舵制御指示が不正な制御指示であるか否かを判定する。
また、上記課題を解決するために本発明の一態様に係るプログラムは、モビリティの状況と前記モビリティが移動する外界の状況との少なくとも一方を示す状況情報、及び、前記モビリティを操舵するための操舵制御指示を取得する処理と、取得された前記状況情報が示す状況と、取得された前記操舵制御指示が示す制御内容とに基づいて、前記操舵制御指示が不正な制御指示であるか否かを判定する処理とをコンピュータに実行させるためのプログラムである。
また、上記課題を解決するために本発明の一態様に係るゲートウェイ装置は、モビリティの状況と前記モビリティが移動する外界の状況との少なくとも一方を示す状況情報、及び、前記モビリティを操舵するための操舵制御指示を取得する取得部と、取得された前記状況情報が示す状況と、取得された前記操舵制御指示が示す制御内容とに基づいて、前記操舵制御指示が不正な制御指示であるか否かを判定する判定部と、前記判定部によって前記操舵制御指示が不正な制御指示であると判定された場合に、前記操舵制御指示を転送しない無効化部とを備える。
本発明によれば、移動体におけるネットワークのバスに送信される、操舵制御指示に係る不正なフレーム(攻撃フレーム)の無効化が可能となり得る。
図1は、実施の形態に係る車載ネットワークシステムの全体構成を示す図である。 図2は、CANプロトコルで規定されるデータフレームのフォーマットを示す図である。 図3は、CANプロトコルで規定されるエラーフレームのフォーマットを示す図である。 図4は、実施の形態に係るステアリングECUの構成例を示すブロック図である。 図5は、操舵支援ECUが送信する操舵制御指示に係るデータフレームのデータフィールドの値が示す制御内容の一例を説明するための図である。 図6は、実施の形態に係るセキュリティECU(監視装置)の構成例を示すブロック図である。 図7は、実施の形態に係るセキュリティECUで実行される監視処理の手順の一例を示すフローチャートである。 図8は、実施の形態における操舵制御に係る処理シーケンスの一例を示す図である。 図9は、実施の形態の一変形例に係るステアリングECUの構成例を示すブロック図である。 図10は、上記の変形例に係る監視装置で実行される監視処理の手順の一例を示すフローチャートである。 図11は、上記の変形例における操舵制御に係る処理シーケンスの一例を示す図である。
(本発明の基礎となった知見等)
車両の先進運転者支援システムでは、より適切な進路を車両に取らせるための操舵支援ECUは、路面の区画線、又は車両の周囲若しくは進行方向の物体検知等を行うセンサECUを含む他のECUからCANバス等の通信線を介して取得した情報等に基づいて、適切なタイミングかつ適切な内容の操舵制御を示す制御指示(つまり操舵制御指示のフレーム)をCANバスに送信する。その操舵制御指示に従って、ステアリングECUがステアリングを制御することで、車両は適切な進路を取る。なお、操舵制御指示の内容として、例えばステアリングによる車輪の操舵量、又は操舵の結果若しくは目標としての車輪の左右への切れ角である操舵角の指定がある。操舵量と操舵角とは、実際の操舵角との関係で相互に変換可能であり、以下では両者を特に区別せずに便宜的に操舵量という場合がある。
攻撃者により、不正な操舵制御指示の攻撃フレーム(不正なフレーム)が送信され、その不正な操舵制御指示が、操舵支援ECUが送信する適正な操舵制御指示と相違する内容である場合においては、車両等の事故につながる可能性がある。適正な操舵制御指示は、車両の速度、若しくは車両で有効な運転支援機能等の車両の状況、又は車両の周囲の区画線又は他の移動体等の物体の有無若しくは距離、走行中の場所での規制等、車両が走行する外界の状況に対応した内容となるべきである。
そこで、CANバスに送信された操舵制御指示が、このような車両の状況又は車両の外界の状況に応じた適正な操舵制御指示か、これらの状況と不整合な内容の不正な操舵制御指示かを判定する方法に想到した。なお、車両はこの方法の適用対象の一例であり、その他の移動体にもこの方法を適用し得る。
本発明の一態様に係る監視装置を実現する電子制御装置等では、その方法を実行して不正な操舵制御指示を特定する。また、不正な操舵制御指示をさらに無効化することで、ステアリングECUが不正な操舵制御指示に従って操舵制御を実行することを抑止する。これにより、不正な操舵制御指示の攻撃フレームによって引き起こされる事故の防止が可能となる。
本発明の一態様に係る電子制御装置、モビリティの状況前記モビリティが移動する外界の状況の少なくとも一方を示す状況情報、及び前記モビリティを操舵するための操舵制御指示を取得する取得部と、取得された前記状況情報が示す状況と、取得された前記操舵制御指示が示す制御内容とに基づいて、前記操舵制御指示が不正な制御指示であるか否かを判定する判定部とを備える。これにより、車両の状況及び車両の外界の状況(以下、特に区別せずにまとめて車両等の状況ともいう)に照らして適切か否かに基づいて、ネットワークに送信された操舵制御指示が不正な制御指示であるか否かが判定され、その判定結果を利用することができる。
また、例えば、前記判定部によって前記操舵制御指示が不正な制御指示であると判定された場合に、前記操舵制御指示を無効化又は破棄する無効化部をさらに備えてもよい。これにより、ステアリングECUによる不正な操舵制御指示に従っての操舵制御の実行が抑止される。
また、例えば、前記判定部は、前記操舵制御指示が、前記状況情報が示す状況と整しない制御内容を示す場合に、前記操舵制御指示が不正な制御指示であると判定してもよい。これにより、例えば車両等の状況と矛盾する操舵制御指示は、不正な制御指示であると判定される。
また、例えば、前記判定部は、前記状況情報が示す状況が、前記モビリティが第1方向に移動すべき状況を示し、かつ、前記操舵制御指示が、前記モビリティを前記第1方向と異なる第2方向に移動させる制御内容を示す場合に、前記操舵制御指示が不正な制御指示であると判定してもよい。これにより、車両が現在取るべき進路と異なる方向への操舵制御指示は、不正な制御指示であると判定される。
また、例えば、前記判定部は、前記状況情報が示す状況が、前記モビリティが第1所定値以下の操舵量の操舵をすべき状況を示し、かつ、前記操舵制御指示が、前記第1所定値よりも大きな操舵量の制御内容を示す場合に、前記操舵制御指示が不正な制御指示であると判定してもよい。また、例えば、前記判定部は、前記状況情報が示す状況が、前記モビリティが第2所定値以上の大きな操舵量の操舵をすべき状況を示し、かつ、前記操舵制御指示が、前記第2所定値よりも小さな操舵量の制御内容を示す場合に、前記操舵制御指示が不正な制御指示であると判定してもよい。これにより、車両が現在取るべき経路に沿った方向の変更よりも過大な、又は過小な方向の変更をさせる操舵制御指示は、不正な制御指示であると判定される。
また、例えば、前記判定部は、(1)前記状況情報が示す状況が、前記モビリティが手動の操舵によって進行すべき状況を示し、かつ、前記操舵制御指示が、第1所定範囲の外の操舵量の制御内容を示す場合、又は、(2)前記状況情報が示す状況が、前記モビリティが手動の操舵によって移動すべき状況を示し、かつ、前記取得部が第1所定期間内に前記操舵制御指示を取得した場合に、前記操舵制御指示が不正な制御指示であると判定してもよい。これにより、例えば車両の自動運転に関して、操舵が手動制御で行われるモードが有効なときに、ドライバーによる手動の操舵制御の内容を大きく変更する自動制御による操舵制御指示は、不正な制御指示であると判定される。
また、例えば、前記判定部は、(1)前記状況情報が示す状況が、前記モビリティが自動操舵によって移動すべき状況を示し、かつ、前記操舵制御指示が、第2所定範囲の外の操舵量の制御内容を示す場合、又は、(2)前記状況情報が示す状況が、前記モビリティが自動操舵によって移動すべき状況を示し、かつ、前記取得部が第2所定期間内に前記操舵制御指示を取得できない場合に、前記操舵制御指示が不正な制御指示であると判定してもよい。これにより、例えば車両の自動運転に関して、操舵が自動制御で行われるモードが有効なときに、自動制御による操舵制御の内容として想定されていない操舵制御指示は、不正な制御指示であると判定される。
また、例えば、前記状況情報は、前記モビリティが備える車線維持機能に関する状況を示してもよい。より具体的には、例えば、前記判定部は、(1)前記状況情報が、前記車線維持機能がオフであることを示し、かつ、前記操舵制御指示が、第3所定範囲の外の操舵量の制御内容を示す場合、又は、(2)前記状況情報が、前記車線維持機能がオンであること及び前記車線維持機能による前記モビリティの移動経路を示し、かつ、前記操舵制御指示が、前記モビリティを前記移動経路から逸脱させる操舵を指定した制御内容を示す場合に、前記操舵制御指示が不正な制御指示であると判定してもよい。また例えば、前記状況情報が、前記車線維持機能がオンであること及び前記モビリティの車速を示し、かつ、前記操舵制御指示が、第4所定範囲の外の操舵量の制御内容を示す場合に、前記操舵制御指示が不正な制御指示であると判定してもよい。これにより、操舵制御指示が不正な制御指示であるか否かの判定が、操舵支援のための操舵制御指示を発生させ得る車線維持機能の有効無効に関する状況に応じて適切に実行される。
また、例えば、前記状況情報は、前記モビリティが備える駐車支援機能に関する状況を示してもよい。より具体的には、例えば、前記判定部は、前記状況情報が、前記駐車支援機能による前記モビリティの目標駐車位置を示し、かつ、前記操舵制御指示が、前記モビリティを前記目標駐車位置への方向と異なる方向に移動させる制御内容を示す場合に、前記操舵制御指示が不正な制御指示であると判定してもよい。これにより、操舵制御指示が不正な制御指示であるか否かの判定が、操舵支援のための操舵制御指示を発生させ得る駐車支援機能の有効無効に関する状況に応じて適切に判定される。
また、例えば、前記状況情報は、前記モビリティが備える車線変更機能に関する状況を示してもよい。より具体的には、例えば、前記判定部は、(1)前記状況情報が、前記モビリティが移動する車線を第1方向に隣接する車線に変更すべき状況を示し、かつ、前記操舵制御指示が、前記モビリティを前記第1方向と異なる第2方向に移動させる制御内容を示す場合、又は(2)前記状況情報が、前記モビリティが移動する車線を変更すべき状況を示し、かつ、前記操舵制御指示が、前記モビリティが移動する車線を維持する操舵量を指定した制御内容を示す場合に、前記操舵制御指示が不正な制御指示であると判定してもよい。これにより、操舵制御指示が不正な制御指示であるか否かの判定が、操舵支援のための操舵制御指示が発生させ得る車線変更機能の有効無効に関する状況に応じて適切に判定される。
また、本発明の一態様に係る監視方法は、電子制御装置による監視方法であって、モビリティの状況前記モビリティが移動する外界の状況の少なくとも一方を示す状況情報、及び前記モビリティを操舵するための操舵制御指示を取得し、取得された前記状況情報が示す状況と、取得された前記操舵制御指示が示す制御内容とに基づいて、前記操舵制御指示が不正な制御指示であるか否かを判定する。これにより、車両等の状況照らして適切か否かに基づいて、ネットワークに送信された操舵制御指示が不正な制御指示であるか否かが判定され、その判定結果を利用することができる。
また、本発明の一態様に係るプログラムは、モビリティの状況と前記モビリティが移動する外界の状況との少なくとも一方を示す状況情報、及び、前記モビリティを加速させるための加速制御指示を取得する処理と、取得された前記状況情報が示す状況と、取得された前記加速制御指示が示す制御内容とに基づいて、前記加速制御指示が不正な制御指示であるか否かを判定する処理とをコンピュータに実行させるためのプログラムである。このプログラムが、プロセッサ(マイクロプロセッサ)を備えるコンピュータにインストールされ、そのコンピュータのプロセッサによって当該プログラムが実行されることで、バス上に現れた操舵制御指示が不正であるか否か適切に判定される。
また、本発明の一態様に係るゲートウェイ装置は、モビリティの状況と前記モビリティが移動する外界の状況との少なくとも一方を示す状況情報、及び、前記モビリティを加速させるための加速制御指示を取得する取得部と、取得された前記状況情報が示す状況と、取得された前記加速制御指示が示す制御内容とに基づいて、前記加速制御指示が不正な制御指示であるか否かを判定する判定部と、前記判定部によって前記加速制御指示が不正な制御指示であると判定された場合に、前記加速制御指示を転送しない無効化部とを備える。これにより、車両等の状況に照らして適切か否かに基づいて、ネットワークに送信された加速制御指示が不正な制御指示であるか否かを、ゲートウェイ装置が判定し、その判定結果を利用することができる。
なお、これらの全般的又は具体的な態様は、システム、方法、集積回路、コンピュータプログラム又はコンピュータで読み取り可能なCD−ROM等の記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラム又は記録媒体の任意な組み合わせで実現されてもよい。
以下、実施の形態に係る監視方法を実行する監視装置等について、図面を参照しながら説明する。ここで示す実施の形態は、本発明の一具体例を示すものである。したがって、以下の実施の形態で示される数値、構成要素、構成要素の配置及び接続形態、並びに、ステップ(工程)及びステップの順序等は、一例であって本発明を限定するものではない。以下の実施の形態における構成要素のうち、独立請求項に記載されていない構成要素については、任意に付加可能な構成要素である。また、各図は模式図であり、必ずしも厳密に図示されたものではない。
なお、以下実施の形態では、自動車に搭載される車載ネットワークにおけるセキュリティ対策として説明するが、適用範囲はこれに限られない。自動車に限らず、建機、農機、船舶、飛行機等の各種のモビリティが備えるモビリティネットワークに適用してもよい。
(実施の形態)
以下、本発明の実施の一態様として、モビリティの一例としての車両において車載ネットワークを構成するバス(CANバス)に送信された不正な操舵制御指示に係るフレームを無効化するセキュリティECU(監視装置)を備える車載ネットワークシステムについて、図面を用いて説明する。なお、以下で説明する技術を船舶又は飛行機に適用する際には、走行は航行又は飛行、車線は移動経路等のように適宜読み替えて理解されたい。
[1.1 車載ネットワークシステム10の構成]
図1は、実施の形態に係る車載ネットワークシステム10の全体構成を示す図である。
車載ネットワークシステム10は、図1に例示するように、車両20に搭載された各種ECU(セキュリティECU100、ステアリングECU310、センサECU320、ブレーキECU330、エンジンECU340、及び操舵支援ECU350)と、バス(CANバス)30とを含んで構成される。バス30は、二重線によって示されている。なお、車載ネットワークシステム10には、上記以外のECUが含まれ得るが、図示は省略する。また、車載ネットワークシステム10は、図示が省略されたものも含むいずれかのECUが通信する車両外部のサーバ装置等とあわせて、車両20のための制御ネットワークシステムを構成してもよい。なお、外部との通信経路は、車載ネットワークシステム10への不正なフレームの注入(送信)又はいずれかのECUを乗っ取るための侵入経路として、車載ネットワークシステム10へのサイバー攻撃に利用され得る。
車載ネットワークシステム10上の各ECUは、例えば、プロセッサ(マイクロプロセッサ)、メモリ等のデジタル回路、アナログ回路、通信回路等を含む装置である。メモリは、ROM(Read-Only Memory)、RAM(Random Access Memory)等であり、プロセッサにより実行される制御プログラム(ソフトウェアとしてのコンピュータプログラム)を記憶することができる。例えばプロセッサが、制御プログラム(コンピュータプログラム)に従って動作することにより、ECUは各種機能を実現する。なお、コンピュータプログラムは、所定の機能を達成するために、プロセッサに対する指令を示す命令コードが複数個組み合わされて構成されたものである。これらのECUは、CANプロトコルに従ってバス30を介してフレームの授受を行い得る。
車載ネットワークシステム10上の一部のECUは、バス30以外の通信路によりセンサ、アクチュエータ、ユーザインタフェース装置等の各種機器と接続されている。例えば、ステアリングECU310は、ステアリング311(のアクチュエータ)に接続され、ステアリング311を制御する。ブレーキECU330は、ブレーキ331(のアクチュエータ)に接続され、ブレーキ331を制御する。また、エンジンECU340は、エンジン341(のスロットル等)に接続され、エンジン341を制御する。なお、図1では、上記の各構成要素を制御するアクチュエータ等の個別の図示を省略しており、以下では説明の簡単のために、各アクチュエータに対する制御指示を、各構成要素に対する制御指示と表現することがある。また、センサECU320は、物体検知センサ321及び速度センサ322に接続され、各センサで測定された測定情報を表すフレーム(データフレーム)を周期的にバス30に送信する。車載ネットワークシステム10において、個々のセンサに対応してセンサECU320が複数存在してもよいが、説明の便宜上、複数のセンサそれぞれで測定された測定情報を表すフレームを送信し得る1つのセンサECU320が存在する例を示す。ただし、センサECU320には車載ネットワークシステム10上の全てのセンサが接続される必要はなく、ステアリングECU310又はエンジンECU340等の、センサECU320以外のECUに接続されるセンサが存在してもよい。物体検知センサ321は、車両20の進行方向又は周辺の車両、障害物、通行者、路面の区画線等の被検知物を検知する。また、車両20と被検知物との間の距離等を測定する。より具体的には、例えば前方、側方、後方又は全周囲を撮影するカメラなどのカメラ(イメージセンサ)、レーダー、若しくはライダー又はこれらの組合せで実現され得る。速度センサ322は、車両20の速度を検知するためのセンサである。ここでの車両20の速度とは、例えば車両20の絶対速度であるが、物体検知センサ321が検知した被検知物に対する車両20の相対速度であってもよい。なお、車両20の絶対速度は、移動していない被検知物に対する車両20の相対速度に等しい。
操舵支援ECU350は、先進運転者支援システムの操舵支援機能を担うECUである。操舵支援ECU350は、ステアリングECU310に操舵制御を要求するために、センサECU320から取得した測定情報等、他のECUから取得した情報に基づいて決定した制御内容の操舵制御指示のフレームをバス30に周期的に送信する。操舵支援ECU350は、例えば車両を走行中の車線から逸脱させないような量の操舵を要求する指定を内容とする操舵制御指示のフレームをバス30に送信する。なお、操舵支援ECU350は、例えばセンサECU320等の他のECUと統合又は直接接続されて、バス30を介さずに測定情報等の各種の情報を取得してもよい。また、操舵支援ECU350と他のECUとの直接の接続は専用線を介して行われてもよい。
診断用ポート390は、OBD2(On-Board Diagnostics 2)等のバス30に接続された端子であり、診断用ポート390を介して、診断ツール(故障診断ツール)等の機器によるバス30へのアクセスが可能となる。診断用ポート390もまた、車載ネットワークシステム10への攻撃に利用され得る。
セキュリティECU100は、車載ネットワークシステム10のセキュリティを確保するための機能を担う。本実施の形態では、セキュリティECU100は、バス30を流れるフレームを監視し、バス30上に現れた不正な操舵制御指示に係るデータフレームをエラーフレームの送信によって無効化する装置であり、不正な操舵制御指示の攻撃フレームに対処する監視装置として機能する。なお、セキュリティECU100は、不正な操舵制御指示のフレームのみならず、バス30上のデータフレームが不正か否かをその他の一定条件を用いて判定し、不正なデータフレームを無効化する機能を有してもよい。
[1.2 データフレームフォーマット]
以下、CANプロトコルに従ったネットワークで用いられるフレームの1つであるデータフレーム(メッセージ)について説明する。
図2は、CANプロトコルで規定されるデータフレームのフォーマットを示す図である。同図には、CANプロトコルで規定される標準フォーマットにおけるデータフレームを示している。データフレームは、SOF(Start Of Frame)、IDフィールド、RTR(Remote Transmission Request)、IDE(Identifier Extension)、予約ビット「r」、DLC(Data Length Code)、データフィールド、CRC(Cyclic Redundancy Check)シーケンス、CRCデリミタ「DEL」、ACK(Acknowledgement)スロット、ACKデリミタ「DEL」、及び、EOF(End Of Frame)の各フィールドで構成される。
SOFは、1bitのドミナントで構成される。何らのメッセージも送信されていないアイドル状態のバスはレセシブであり、送信ノードであるECUは、バスをドミナントへ変更することでフレームの送信開始を通知する。
IDフィールドは、11bitで構成される、データの種類を示す値であるID(メッセージID)を格納するフィールドである。複数のノードが同時に送信を開始した場合、IDが小さい値を持つフレームが優先させて通信調停が行われる。
RTRは、データフレームと、データフレームの要求に用いられるリモートフレームとを識別するための値であり、データフレームではドミナント1bitで構成される。
IDE及び「r」は、いずれもドミナント1bitで構成される。
DLCは、4bitで構成され、続くデータフィールドの長さを示す値である。なお、IDE、「r」及びDLCを合わせてコントロールフィールドと称される。
データフィールドは、最大64bitで構成される、フレームで送信されるデータの内容を含む。長さは8bit単位で可変である。CANプロトコルではデータの仕様については規定されておらず、設計者が決定できる。したがって、車載ネットワークシステムのデータの仕様は、車種、製造者(製造メーカ)等に依存する。
CRCシーケンスは15bitで構成される。送信ノードがSOF、IDフィールド、コントロールフィールド及びデータフィールドの送信値より算出した結果が入る。受信ノードは、これらのフィールドの受信から同様に算出した結果をCRCシーケンスの値と照らし合わせてフレームを正常に受信したか判断する。
CRCデリミタは、1bitのレセシブで構成されるCRCシーケンスの終了を表す区切り記号である。なお、CRCシーケンス及びCRCデリミタを合わせてCRCフィールドと称される。
ACKスロットは1bitで構成される。送信ノードはACKスロットをレセシブにして送信を行う。受信ノードはCRCシーケンスまで正常に受信ができていればACKスロットのタイミングでドミナントを確認応答として送信する。レセシブよりドミナントが優先されるため、送信後にACKスロットがドミナントであれば、送信ノードは、CANバスに接続されるいずれかの受信ノードがフレームを正常に受信したことを確認できる。
ACKデリミタは、1bitのレセシブで構成されるACKの終了を表す区切り記号である。
EOFは、7bitのレセシブで構成されており、データフレームの終了を示す。
[1.3 エラーフレームフォーマット]
図3は、CANプロトコルで規定されるエラーフレームのフォーマットを示す図である。エラーフレームは、エラーフラグ(プライマリ)と、エラーフラグ(セカンダリ)と、エラーデリミタとから構成される。
エラーフラグ(プライマリ)は、エラーの発生を他のノードに知らせるために使用される。エラーを検知したノードはエラーの発生を他のノードに知らせるために6bitのドミナントを連続で送信する。この送信は、CANプロトコルにおけるビットスタッフィングルール(同じ値を連続して6bit以上送信しない)に違反し、他のノードからのエラーフレーム(セカンダリ)の送信を引き起こす。
エラーフラグ(セカンダリ)は、エラーの発生を他のノードに知らせるために使用される連続した6ビットのドミナントで構成される。エラーフラグ(プライマリ)を受信してビットスタッフィングルール違反を検知した全てのノードがエラーフラグ(セカンダリ)を送信することになる。
エラーデリミタ「DEL」は、8bitの連続したレセシブであり、エラーフレームの終了を示す。
[1.4 ステアリングECU310の構成]
図4は、ステアリングECU310の構成例を示すブロック図である。ステアリング311を制御するためステアリングECU310は、通信部1310と、データバッファ2310と、制御処理部3310とを備える。
通信部1310は、バス30での通信の制御を担う集積回路(例えば通信回路、メモリ、プロセッサ等)である。通信部1310は、例えば、機能的な構成要素としてフレーム送受信機能部、受信フレーム解釈機能部等を含む。
フレーム送受信機能部は、例えば、バス30に対してCANプロトコルに従ってフレームの送受信(フレームの1bitずつの逐次送受信)を行う。
受信フレーム解釈機能部では、フレーム送受信機能部が受信したフレームの値を、CANプロトコルで規定されているフレームフォーマットにおける各フィールドにマッピングするよう解釈を行う。受信フレーム解釈機能部では、IDフィールドと判断した値に基づいて、ステアリングECU310が受信すべきデータフレーム(メッセージ)か否かを判別し、受信すべきIDでなければそのフレームの解釈を中止する。また、受信フレーム解釈機能部は、例えば、CRCの値が合わなかったり、ドミナント固定とされている項目がレセシブだったりする等、CANプロトコルに則っていないフレームと判断した場合は、フレーム送受信機能部にエラーフレームを送信させる。また、受信フレーム解釈機能部は、エラーフレームを受信した場合、つまり受け取ったフレームにおける値からエラーフレームであると解釈した場合には、それ以降はそのフレームを破棄する、つまりフレームの解釈を中止する。受信したデータフレームのIDが車載ネットワークシステム10の仕様で予め定められている操舵制御指示のフレームであることを示すIDの場合、通信部1310の受信フレーム解釈機能部において受信すべきデータフレームと判別される。受信フレーム解釈機能部は、受信すべきデータフレームと判別したフレームの内容(ID、データフィールドのデータ等)をデータバッファ2310に格納する。
データバッファ2310は、メモリ、レジスタ等といった記憶媒体の一記憶領域である。データバッファ2310には、通信部1310により受信されたデータフレームの内容としてのID、データフィールドの値が示す情報(例えば操舵制御指示を示す情報)が格納される。バス30上への複数ノードからのデータフレームの同時送信時にはIDによる通信調停が行われる。このため、ステアリングECU310が、操舵支援ECU350が送信する操舵制御指示に係るデータフレームをバス30から受信するタイミングは、必ずしも一定周期(例えば50ms等)と正確に一致するとは限らず、その一定周期から多少ずれることもある。ステアリングECU310では、このような通信調停の影響などによって生じる受信タイミングの変動にも対応して、受信したデータフレームを効率的に処理できるようデータバッファ2310が用いられる。
制御処理部3310は、データバッファ2310に格納されたフレームの内容(操舵制御指示等を示す情報)を、周期的に又は一定条件(データバッファ2310へのフレーム格納に関連した条件等)が成立した場合等に取得し、その取得した情報が示す操舵制御指示に従って、ステアリング311に制御信号を送信することでステアリング311を制御する。
なお、ステアリングECU310以外の、アクチュエータを制御し得るECU(例えばブレーキECU330、エンジンECU340等)も、ステアリングECU310と同様に、通信部、データバッファ、及びアクチュエータの制御のための制御処理部を備える。また、センサと接続されたセンサECU320については、センサでの測定結果を取得して予め定められたメッセージIDを付してその測定結果を示す測定情報をデータフィールド内に含むデータフレームを生成する処理部と、そのデータフレームをCANプロトコルに従ってバス30に送信するための通信部等を備える。この測定情報は、例えば被検知物の認識結果、車両20と被検知物との距離、車両20の速度等に関する測定結果を示す。なお、センサECU320以外のECUであっても、センサと接続されている場合には、センサECU320が備えるこのような各構成要素を備え得る。
[1.5 操舵制御指示]
図5は、操舵支援ECU350が送信する操舵制御指示に係るデータフレームのデータフィールドの値が示す制御内容の一例を説明するための図である。操舵制御指示のフレームのデータフィールドには、ステアリング311による操舵量の指定が含まれ、図5では、データフィールドの値と操舵量との対応の例を示している。なお、操舵量制御指示のフレームのデータフィールドには操舵量以外の情報が付加されていてもよいが、ここでは説明の便宜上、操舵量のみに注目して説明する。この例では、操舵量は8bit値で表される前輪の操舵角で示される。値195(11000011)は直進方向の操舵角(0度)を示し、195より大きい値は0.5度刻みの右方向の操舵角(30度まで)、小さい値は0.5度刻みの左方向の操舵角を示す(−30度まで)。
ステアリングECU310では、操舵支援ECU350から、現在の操舵角と異なる操舵角を示す操舵制御指示を受信した場合に、現在の操舵角と操舵制御指示が示す操舵角との差分に従ってステアリング311を作動させる。したがって、ステアリングECU310の制御処理部3310は、現在の実際の操舵角と操舵制御指示が示す操舵角との差分が大きいほどより大きく作動させる制御信号をステアリング311に送信する。なお、ステアリングECU310は、車両20の操舵の自動制御に関する設定等に応じて、ドライバーによるステアリングホイールの操作を反映したステアリング311の制御と操舵支援ECU350からの操舵制御指示に従うステアリング311の制御との間で一方を他方に優先させることがある。
[1.6 セキュリティECU100の構成]
図6は、セキュリティECU100の構成例を示すブロック図である。セキュリティECU100は、バス30に流れるフレームを監視し、バス30上に現れた不正な操舵制御指示に係るデータフレームを、エラーフレームの送信により無効化する制御装置としての機能を有し、この機能の実現のために、通信部1100と、記憶部2100と、監視処理部3100とを備える。これらの各構成要素の各機能は、例えばセキュリティECU100における通信回路、メモリ等の記憶媒体、メモリに格納された制御プログラムを実行するプロセッサ又はデジタル回路等により実現される。
通信部1100は、通信回路、制御プログラムを実行するプロセッサ等により実現される。通信部1100は、CANプロトコルに従ってバス30との間のフレームの送受信(フレームの1bitずつの逐次送受信)を行うための受信部1101及び送信部1102を含む。受信部1101は、バス30からフレームを受信する。通信部1100は、受信部1101によってバス30からフレームが受信されると、フレームの値をCANプロトコルで規定されているフレームフォーマットにおける各フィールドにマッピングするよう解釈を行うことでID(メッセージID)、DLC、データフィールドのデータのそれぞれを区別してフレームから抽出する。通信部1100は、抽出したIDが、車載ネットワークシステム10の仕様で予め定められているIDのうちの、セキュリティECU100が受信すべきフレームのIDであるか否かを判別する。通信部1100は、受信すべきフレームのIDでなければそのフレームの解釈を中止する。受信部1101は、本実施の形態における取得部の例である。また、通信部1100は、受信部1101が受信したフレームを解釈して取得した当該フレームの内容(ID、データ等)を、記憶部2100に格納する。また、通信部1100は、監視処理部3100からのエラーフレームの送信指示を受けて、送信部1102によりエラーフレームをバス30に送信する。
セキュリティECU100が受信すべきフレームには、操舵支援ECU350から送信される操舵制御指示のフレームが含まれる。また、車両20の状況を示す情報及び車両20が走行する外界の状況を示す情報(以下、これらの状況の少なくとも一方を示す情報を状況情報ともいう)の少なくとも一方を示すフレームもセキュリティECU100によって受信される。車両20の状況を示すフレームとは、例えば操舵支援ECU350から送信される有効(オン)又は無効(オフ)な操舵支援機能を示すデータフレームが挙げられる。また、操舵支援機能以外も含めた先進運転者支援システムの各種の支援機能の有効(オン)又は無効(オフ)、ドライバー又は各種機能による設定値を示すデータフレームも挙げられる。また、ステアリングECU310から送信される現在の操舵角を示すデータフレームも、車両20の状況である状況情報を示すフレームとしてセキュリティECU100によって受信され得る。また、セキュリティECU100はセンサECU320等の他のECUから送信された測定情報を含むデータフレームも受信する。測定情報には、その測定対象によって、車両20の状況を示すもの(例えば車速、水温、電圧)もあるし、外界の状況(例えば車外の気温、路面状況、物体認識の結果)を示すものもある。
記憶部2100は、受信部1101により受信されたフレームの内容を格納するためのメモリ等の記憶媒体の一記憶領域である。記憶部2100には、例えば、上述の状況情報、つまり、センサECU320等から送信される測定情報、操舵支援ECU350から送信される有効又は無効な操舵支援機能の情報、又はステアリングECU310から送信される現在の操舵角の情報といった情報が格納される。
監視処理部3100は、制御プログラムを実行するプロセッサ等により実現され、バス30上の操舵制御指示のデータフレームを無効化する無効化処理を一定条件下で行う機能を担う。監視処理部3100は、判定部3101及び無効化部3102を含む。
判定部3101は、受信部1101が操舵制御指示のデータフレームを受信した際における車両20の状況及び車両20が走行する外界の状況の少なくとも一方と、当該操舵制御指示とに基づいて、操舵制御指示が不正か否か(つまり、その操舵制御指示のデータフレームは無効化されるべき不正なフレームであるか否か)を判定する。判定部3101は、受信部1101により受信され、記憶部2100に格納されている状況情報が示す状況と、受信部1101により受信された操舵制御指示が示す制御内容とに基づいて、この判定を実行する。この判定は、操舵制御指示のデータフレームの全体が受信部1101によってバス30から受信されるまで(つまりデータフレームの終了前であり、例えばデータフィールドの受信直後或いはCRCシーケンスの受信直後等)に行われる。判定部3101は、操舵制御指示を不正であると判定した場合には、その結果を出力して無効化部3102に通知する。
無効化部3102は、判定部3101により、操舵制御指示が不正であると判定された場合に、バス30に現れている操舵制御指示のデータフレームを無効化するために、送信部1102に、バス30にエラーフレームを送信させることで無効化処理を行う。この無効化部3102による無効化処理は、操舵制御指示のデータフレームの終了(EOF)の受信が完了するより前に、バス30にエラーフレームが送信されることで実現される。無効化処理がなされると、バス30上の操舵制御指示のデータフレームは上書きされるので、ステアリングECU310においては、不正な操舵制御指示のデータフレームが破棄され、この操舵制御指示に従った操舵制御が回避される。
[1.7 操舵制御指示の不正判定]
以下、上述のセキュリティECU100(監視装置)における監視処理部3100の判定部3101での操舵制御指示が不正であるか否かの判定の方法について説明する。
判定部3101は、受信部1101によって受信されたデータフレームから取得された操舵制御指示が示す制御内容と、記憶部2100に格納されている状況情報が示す状況とに基づくとこの操舵制御指示が、状況情報が示す状況と整合しない制御内容を示す場合、つまり状況と制御内容とが不整合である場合に、この操舵制御指示が不正な制御指示であると判定する。以下、この状況と制御内容との不整合について例を挙げて説明する。
[1.7.1 進行方向に関する不整合]
例えば、状況情報が示す状況が、車両20が第1方向に走行すべき状況を示し、かつ、操舵制御指示が、車両20を第1方向と異なる第2方向に走行させる制御内容を示している場合、上記の不整合に該当する。
より具体的な例を挙げる。記憶部2100に格納されている状況情報は、センサECU320の認識結果に基づいて、車両20が走行する車線の右側の車線で他の車両が車両20の真横を走行している状況を示している。つまりこの状況は、車両20が現在走行中の車線に沿う方向又はその左側の車線に入る方向に走行すべき状況である。これらの方向は第1方向の例である。この状況と比較される操舵制御の内容が、車両20を現在走行中の車線の右側の車線に入る方向に走行させるものである場合に、判定部3101は、状況と制御内容とが不整合であると判定する。
別の例として、状況情報が、車両20では操舵支援機能のひとつである車線維持機能が有効(オン)であって、車両20が走行中の車線内で左に寄っている状況を示しているとする。つまりこの状況は、車線維持機能によって、現在走行中の車線を維持するために走行すべき目的経路として、車両20は車線に沿う方向よりある程度右方向の経路を取る状況である。この状況と比較される操舵制御の内容が、車両20を車線に沿う方向又はより左方向の経路を取らせる操舵を示す場合、判定部3101は、状況と制御内容とが不整合であると判定する。
また別の例として、状況情報が、車両20では操舵支援機能のひとつである駐車支援機能が実行中である状況を示しているとする。また、センサECU320からの情報又は操舵支援ECU350に対するドライバーによる設定(選択または調整)内容に基づく、車両20の目標駐車位置を示している状況情報が記憶部2100にさらに保存されているとする。例えば駐車支援の設定内容が「左側縦列駐車」であれば、目標駐車位置は車両20の左後方である。この場合の状況情報が示す状況は、駐車支援機能によって、車両20をこの目標駐車位置に入れるために左方向への操舵制御が実行される状況である。この状況と比較される操舵制御の内容が、目標駐車位置への方向と異なる方向、例えば右方向への操舵を示す場合、判定部3101は、状況と制御内容とが不整合であると判定する。
さらに別の例として、状況情報が、車両20では操舵支援機能のひとつである車線変更機能によって車線変更が実行中である状況を示しているとする。また、センサECU320からの情報であって、車両20の前方又は周囲の物体の有無及びその物体に対する相対速度等の駐車支援機能のために操舵支援ECU350が用いる情報と同じ情報が状況情報として記憶部2100にさらに保存されているとする。そして状況情報は、車両20が最も左側の車線から右側に隣接する車線に変更可能な状況を示しているとする。この状況と比較される操舵制御の内容が、変更先の車線のある方向と異なる方向、例えば左方向への操舵、又は車線を維持する方向の操舵を示す場合、判定部3101は、状況と制御内容とが不整合であると判定する。
[1.7.2 操舵量に関する不整合]
例えば、状況情報が示す状況が、車両20が第1所定値以下の操舵量の操舵をすべき状況を示し、かつ、操舵制御指示が、第1所定値よりも大きな操舵量の制御内容を示している場合、又は操舵量の大小関係がその逆の場合、上記の不整合に該当する。
つまり、操舵制御指示が、状況情報が示す車両20のある状況における適正な操舵量の範囲又は最適な操舵量及びその前後の許容範囲(以下、操舵量に関するこれらの範囲を特に区別せず、所定範囲ともいう)の外の操舵量の制御内容を示す場合に、判定部3101は、この操舵制御指示を不正な制御指示であると判定する。状況情報が示す状況に応じて適用され得る操作量の所定範囲を、判定部3101は例えば数式又はテーブルを用いて求めてもよい。状況情報を示す状況が数値である場合には、判定部3101はこの数値を数式に入力して得られる結果に基づく所定範囲を用いてもよい。また、例えば状況情報が示す状況に応じて異なる数式又はテーブルが用いられてもよい。なお、所定範囲は上限値及び下限値の両方で定義されるものでなくてもよく、上記の第1所定値のような上限値、又は下限値(本実施の形態における第2所定値の例)の一方で定義されるものであってもよい。
より具体的な例を挙げる。記憶部2100には、例えば車両20について予め定められた、車速に対する安全な操舵量の上限を求めるための数式又はテーブルが記憶されていると想定する。ここで、記憶部2100に格納されている状況情報は、車両20の現在の車速を示している。つまりこの状況は、車両20が上記の数式又はテーブルを用いて求められる上限の操舵量よりも小さい操舵量の操舵をすべき状況である。この上限である操舵量の値は、第1所定値の例である。この状況と比較される操舵制御の内容が、上限である操舵量よりも大きな操舵量である場合、判定部3101は、状況と制御内容とが不整合であると判定する。
また例えば、状況は、車両20の操舵支援機能のいずれかの有効(オン)又は無効(オフ)に関する状況であってもよい。
取得された状況情報が、車両20では操舵支援機能のひとつである車線維持機能が無効(オフ)である状況を示しているとする。つまりこの状況は、操舵制御ECU350からは、車線維持機能のための操舵制御指示が出ない状況である。そして、記憶部2100には、車線維持機能が無効の場合にも操舵制御ECU350から出され得る操舵制御指示の操舵量の上限値が記憶されていると想定する。この状況において、取得された操舵制御指示が、この所定範囲の外の操舵量の示す制御内容を示す場合、判定部3101は、状況と制御内容とが不整合であると判定する。この上限値で定義される操舵量の範囲は、本実施の形態における第3所定範囲の例である。
また別の例として、記憶部2100には、さらに車線維持の可否に基づく操舵量の所定範囲を求めるための数式又はテーブル等が記憶されていると想定する。そして、取得された状況情報が、車両20の状況として車速及び操舵支援機能のひとつである車線維持機能が有効(オン)であることを示している場合、判定部3101は、状況情報が示す車速及び車線維持機能に応じた操舵量の所定範囲を取得し、操舵制御指示が示す制御内容の操舵量と所定範囲の上限値及び下限値と比較する。操舵制御指示が示す制御内容の操舵量が所定範囲の外である場合、判定部3101は、状況と制御内容とが不整合であると判定する。この所定範囲は、本実施の形態における第4所定範囲の例である。
さらに別の例として、状況情報が、車両20では操舵支援機能のひとつである駐車支援機能が実行中である状況を示しているとする。また、車両20が目標駐車位置に至る経路である駐車経路を示している状況情報が操舵支援ECU350から受信されて記憶部2100にさらに保存されているとする。このような状況情報からは、車両20に駐車経路に沿って走行させるための操舵制御量、又はさらにそこからの許容差が算出されて、車両20の状況として取得可能である。この状況と比較される操舵制御の内容が、例えば操舵方向は駐車経路が示す操舵方向と同じであっても、操舵量が過大又は過小である場合、判定部3101は、状況と制御内容とが不整合であると判定する。この例における、算出された操舵制御量又は許容差を加えた上限は本実施の形態における第1所定値の具体例の一つである。また、算出された操舵制御量又は許容差を減じた下限は本実施の形態における第2所定値の具体例の一つである。
なお、状況情報が示す情報は上記のような車両20内の状況に限定されず、例えばセンサECU320から提供される外界の認識結果としての車線情報、又は例えばカーナビゲーションシステム又は車両20の外部から通信ネットワークを通じて取得される地図情報が含まれてもよい。これにより、走行している車線又は道路の形状若しくはカーブ半径等にさらに応じた安全に車線の維持が可能な操舵量の上限又は所定範囲が求められてもよい。
[1.7.3 操舵の自動制御/手動制御に関する不整合]
例えば、状況情報が示す状況が、車両20が手動の操舵によって進行すべき状況を示し、かつ、操舵制御ECU350から所定範囲の外の操舵量の制御内容を示す操舵制御指示が受信されたか、又は手動の操舵制御の発生から所定期間内に操舵制御指示が受信された場合、上記の不整合に該当する。これは、操舵が基本的に手動制御で行われるモードが有効な車両20の状況において、その状況でも操舵制御ECU350によって実行されるべき補助的な操舵制御の程度を超えて実行される制御内容であるか否かに基づく不整合である。この所定範囲は、本実施の形態における第1所定範囲の例である。
また、状況情報が示す状況が、車両20が自動操舵によって進行すべき状況を示し、かつ、操舵制御ECU350から所定範囲の外の大きな操舵量の制御内容を示す操舵制御指示が受信されたか、又はひとつ前の操舵制御指示の発生から所定期間内に操舵制御指示が受信されない場合も上記の不整合に該当する。これは、操舵が自動制御で行われるモードが有効な車両20の状況において、予め定められた自動制御で実行されるべき操舵制御の内容から外れるか、又はデータフレームの所定の送信タイミングから外れるか否かに基づく不整合である。この所定範囲は、本実施の形態における第2所定範囲の例である。
[1.8 セキュリティECU100による監視処理]
図7は、車載ネットワークシステム10において、セキュリティECU100で実行される監視処理の手順の一例を示すフローチャートである。以下、同図に即して、不正な操舵制御指示の攻撃フレームへの対処としてセキュリティECU100で実行される監視処理について説明する。
受信部1101が状況情報を含むデータフレームをバス30から受信した場合(ステップS11でYES)、受信された状況情報は記憶部2100に保存、つまり格納される(ステップS12)。状況情報を含むデータフレームは、センサECU320等から周期的に送信され、ステップS12での状況情報の受信及び保存は、繰り返し行われる。
受信部1101が操舵制御指示のデータフレームをバス30から受信した場合(ステップS13でYES)、判定部3101が、記憶部2100に保存されている最新の状況情報が示す状況と、受信した操舵制御指示が示す制御内容とを比較する(ステップS14)。そして、判定部3101はこの比較で、状況と制御内容とが不整合であるか否かを判定し(ステップS15)、不整合である場合には(ステップS15でYES)、ステップS13で受信されたデータフレームに係る操舵制御指示が不正であると判定する。なお、受信部1101により操舵制御指示のデータフレームのデータフィールドまでの受信が終了すれば、操舵制御指示が示す操舵の制御内容を取得することができるので、判定部3101はステップS14以降を実行することができる。
ステップS16で不正と判定された操舵制御指示のデータフレームに対しては、無効化部3102が、送信部1102にエラーフレームを送信させることで無効化する(ステップS17)。
[1.9 車載ネットワークシステム10における操舵制御に係る処理シーケンス]
図8は、車載ネットワークシステム10における操舵制御に係る処理シーケンスの一例を示す。以下、図8に即して、車載ネットワークシステム10における各ECUの動作について説明する。なお、ここでの不正ECUとは、車載ネットワークシステム10上のECU(不図示のものを含む)のいずれかであって、例えば攻撃者によって診断用ポート390に接続されたECU、又はファームウェアの書き換え等によって乗っ取られたECUである。また、対比的に図示する便宜上、処理シーケンスの前半(上半分)は、不正なデータフレームが送信されない場合、後半(下半分)は、不正なデータフレームが送信された場合を示す例としている。
センサECU320は、物体検知センサ321又は速度センサ322で測定された測定結果を示す状況情報を含むデータフレームをバス30に送信する(ステップS101A)。このデータフレームを、操舵支援ECU350及びセキュリティECU100がバス30から受信する。また、操舵支援ECU350は、各種の操作支援機能の有効又は無効を示す情報を含むデータフレームをバス30に送信する(ステップS101B)。このデータフレームを、セキュリティECU100がバス30から受信する。また、ステアリングECU310は、現在の操舵角を示すデータフレームをバス30に送信する(ステップS101C)。このデータフレームを、セキュリティECU100がバス30から受信する。セキュリティECU100は、このようにして車両20の状況又は車両20が走行する外界の状況を示す状況情報を取得する。
操舵支援ECU350は、ステップS101AでセンサECU320が送信した状況情報に基づいて、有効な操舵支援機能のための操舵制御指示、例えば車線維持のための操舵角を制御内容として示すデータフレームをバス30に送信する(ステップS102)。このデータフレームを、ステアリングECU310及びセキュリティECU100がバス30から受信する。
このデータフレームを受信して操舵制御指示を取得したセキュリティECU100は、この操舵制御指示が示す制御内容が、ステップS101Aから101Cで送信された状況情報が示す状況と不整合であるか判定する(ステップS103)。この例では不整合でないため、セキュリティECU100はステップS102で送信されたデータフレームに対する無効化処理を実行しない。ステアリングECU310は、取得した操舵制御指示に従って作動する(ステップS105)。
センサECU320、操舵支援ECU350、及びステアリングECU310は、ステップS101AからS101Cと同様に、それぞれがより新しい状況情報を示すデータフレームをバス30に送信する(ステップS201A、S201B、S201C)。セキュリティECU100は、これらのより新しい状況情報を取得する。
不正ECUは、攻撃のための操舵制御指示を含む不正なデータフレームを送信する(ステップS202)。この不正なデータフレームを、ステアリングECU310及びセキュリティECU100がバス30から受信する。
このデータフレームを受信して操舵制御指示を取得したセキュリティECU100は、この操舵制御指示が示す制御内容が、ステップS201Aから201Cで送信された状況情報が示す状況と不整合であるか判定する(ステップS203)。この例では不整合であるため、セキュリティECU100はステップS202で送信されたデータフレームに対する無効化処理として、当該データフレームがバス30上に現れているうちにエラーフレームをバス30に送信する。エラーフレームを受信したステアリングECU310は、途中まで取得していた、ステップS202で送信されたデータフレームを破棄する(ステップS205)。
以上が車載ネットワークシステム10における操舵制御に係る処理シーケンスの例を用いた説明であり、本実施の形態に係るセキュリティECU100を含む車載ネットワークシステムの操舵制御に係る処理シーケンスはこの例に限定されない。例えば、セキュリティECU100による不整合であるかの判定には、常に全種類の最新の状況情報が用いられなくてもよい。また、同じ状況情報を用いて複数回の不整合であるかの判定が実行されてもよい。例えば、上記の例では、説明を簡便にするために省略したが、ステップS201の後に操舵支援ECU350からも操舵制御指示のデータフレームが送信され、セキュリティECU100は、このデータフレームからも操舵制御指示を取得して不整合であるかの判定を実行してもよい。CANプロトコルでは同一の制御対象に対する制御指示のデータフレームは周期的に送信され、攻撃のための不正なデータフレームは、周期のルールに従って弾かれないように正当なデータフレームとごく近い時刻に送信されることもある。このような攻撃に対しても、状況情報が示す状況と制御指示の内容とを突き合わせた結果に基づいて状況と不整合な制御を示すと判定された不正なデータフレームが適切に無効化される。
[1.10 実施の形態の効果]
実施の形態に係る車載ネットワークシステム10では、セキュリティECU(監視装置)100の監視処理部3100が、操舵制御指示(つまり操舵制御指示のデータフレーム)の受信部1101での受信が完了する直前に、センサECU320等、他の装置から取得した状況情報に基づいて、その操舵制御指示の制御内容と状況情報が示す状況とが不整合であるかを所定の方法で判定する。不整合である場合には、エラーフレームの送信によりその操舵制御指示を無効化する無効化処理を行う。所定の方法は、基準となる状況と制御内容との組合せを種々定めておくことができる。状況と不整合な操舵制御内容を含む不正なデータフレームは、セキュリティECU100からのエラーフレームの送信によってバス30上で無効化されるので、ステアリングECU310がこの不正なデータフレームの受信を完了し、そのデータフレームが含む操舵制御指示に従ってステアリング311を制御することが防止され得る。つまり、車載ネットワークシステム10では、セキュリティECU100により操舵制御指示に係る不正なフレーム(攻撃フレーム)への適切な対処がなされ、攻撃フレームによって引き起こされる事故の防止が可能となる。
(その他変形例)
以上のように、本発明に係る技術の例示として実施の形態を説明した。しかしながら、本発明に係る技術は、これに限定されず、適宜、変更、置き換え、付加、省略等を行った実施の形態にも適用可能である。例えば、以下のような変形例も本発明の一実施態様に含まれる。
(1)上記実施の形態では、車載ネットワークシステム10のセキュリティを確保するための機能を担うセキュリティECU100によって実現されている監視装置は、ステアリングECU310の一部として実現されてもよい。この場合、無効化部3102による無効化処理として、不正な操舵制御指示を含むデータフレームの破棄が実行されてもよい。図9は、監視装置を一部に含むステアリングECUの構成例を示すブロック図である。
本変形例に係るステアリングECU310Bは、実施の形態におけるステアリングECU310の構成要素に加えて、記憶部2100B及び監視処理部3100Bを備える。また、ステアリングECU310Bの通信部1310Bは、実施の形態における通信部1310とセキュリティECU100が備える通信部1100の両方の機能を担う。これらの機能のうち、通信部1100の受信部1101に相当する部分をステアリングECU310Bの説明では受信部1101Bとして示す。本変形例では、記憶部2100B、監視処理部3100B、及び受信部1101Bが、ステアリングECU310B内で監視装置100Bを構成する。以下、監視装置100Bと実施の形態における監視装置であるセキュリティECU100との差異を中心に説明する。
受信部1101Bは上述のとおり、実施の形態におけるセキュリティECU100の通信部1100の受信部1101に相当する。記憶部2100Bは、セキュリティECU100の記憶部2100に相当する。監視処理部3100Bは、セキュリティECU100の監視処理部3100の判定部3101に相当する判定部3101B及び無効化部3102に相当する無効化部3102Bに加えて、転送部3103を備える。
受信部1101Bは、ステアリングECU310が受信するデータフレームに加えて、他のECUからの状況情報を含むデータフレームも受信する。なお、実施の形態においてセキュリティECU100がステアリングECU310から受信する状況情報は、監視処理部3100BがステアリングECU310B内で取得する。
監視処理部3100Bにおいて、判定部3101Bは判定部3101と同様に、状況情報が示す状況と、操舵支援ECU350からの操舵制御指示が示す制御内容との比較による判定(図7、ステップS15)を実行し、判定の結果を出力する。ただし、状況と制御内容とが不整合ではないと判定した場合の処理が判定部3101と異なる。図10は、ステアリングECU310Bの監視装置100Bで実行される、この差異を含む監視処理の手順の一例を示すフローチャートである。この場合(ステップS15でNO)、つまり操舵制御指示を不正でないと判定した判定部3101Bは、その結果を転送部3103に通知する。この通知を受けた転送部3103は、この操舵制御指示に係るデータフレームの内容(ID、データフィールドのデータ等)をデータバッファ2310に格納する(ステップS18)。
監視処理部3100Bにおいて、状況と制御内容とが不整合であり、不正な操舵制御であると判定した場合(ステップS15でYES、ステップS16)、この通知を受けた無効化部3102Bは、この操舵制御指示に係るデータフレームを破棄する(ステップS17B)。
図11に、ステアリングECU310Bを含む車載ネットワークシステム10における操舵制御に係る処理シーケンスの一例を示す。図8に示した実施の形態の処理シーケンスとは、ステアリングECU310Bが各状況情報を取得している点、不整合の判定を実行する点(ステップS103、S203)、不整合でない場合に操舵制御指示転送を実行する点(ステップS104)が異なる。
なお、さらに無効化部3102Bは、無効化部3102と同様に、通信部1310Bにエラーフレームをバス30へ送信させてもよい。
(2)判定部3101及び3101Bによって操舵制御指示の制御内容と比較される、状況情報が示す車両の状況又は車両が走行する外界の状況は、上記実施の形態に記載されたものに限定されない。例えば車両が走行している場所又は走行予定経路の道路標識又は道路標示が示す内容も、状況情報が示す外界の状況に含まれてもよい。例えば操舵制御指示の制御内容が、進路変更又は進入に関する規制の状況と不整合であるか否か判定されてもよい。また例えば、天候、気温、路面状況、積載荷重若しくはさらにそのバランス、車速の変化状況、又はタイヤの種類、空気圧、若しくは劣化の程度等の、安全な操舵量に影響し得る状況も、状況情報が示す車両又は外界の状況に含まれてもよい。このような情報は、例えば車載のセンサ、VICS(登録商標)などの道路交通情報の提供システム、又はインターネット上でのサービスから取得され得る。判定部3101又は3101Bでは、車両の走行速度に加えこれらの状況に対して操舵制御指示が示す操舵量が安全に実行し得るか否かの基準を用いて不整合の判定を実行してもよい。例えば状況情報が示すこれらの状況情報に応じて異なる基準が用いられてもよいし、これらの状況を入力値とする識別関数又は識別モデルが用いられてもよい。
(3)上記実施の形態及びその変形例で示した操舵制御指示が状況と不整合であるか否かについての判定のための基準は、車両20の車種毎に異なるものが用いられてもよい。ここでの車種とは、車両型式で識別される種類であってもよいし、さらに細かいグレードであってもよい。また、オプション等による所定の機能の有無でさらに区別されてもよい。
また、同様の機能であっても、その差異に応じて異なる基準が用いられてもよい。例えば操舵支援機能のひとつである車線維持機能には、区分線までの距離がある程度以下になった場合に動作するタイプと、車線の中央を認識してその中央に車両の中央を常に合わせるタイプとがある。これらの異なるタイプの車線維持機能が機能している各状況では、操舵方向又は操舵量について不整合であるか否かの判定の異なる基準が用いられてもよい。
また、高度な自動運転が可能な自動運転車では、基準の切替も含めた判定が行われてもよい。例えば、車線維持の実行時と車線変更の実行時とでは、状況に対して不整合と判定される基準である操舵量の閾値は車線変更の実行時の方が大きい。そして、通常は車線維持機能を有効にして走行し、状況情報として取得される先行車両との車間距離の減少率又は自車の先行車両に対する相対速度に応じて車線変更を実行する自動運転車の監視装置の判定部は、不整合と判定される操舵量の閾値を、車線変更機能開始時により大きいものに切り替えてもよい。
(4)上記実施の形態として、CANプロトコルにおけるデータフレームについてのフォーマットとして図2に示す標準フォーマットが用いられる車載ネットワークシステムでの本発明の適用の例を説明したが、本発明が適用可能なネットワークシステムはこれに限定されない。例えば拡張フォーマットのデータフレームが流れるネットワークであってもよい。上記実施の形態で示したCANプロトコルは、TTCAN(Time-Triggered CAN)、CAN FD(CAN with Flexible Data Rate)等の派生的なプロトコルも包含する広義のものとして捉えられてもよい。また、Ethernet(登録商標)、FlexRay(登録商標)等の、CAN以外のプロトコルに準拠するネットワークシステム、又は複数のプロトコルが混在するネットワークシステムにも適用可能である。
(5)上記実施の形態又はその変形例で示した車載ネットワークシステム10上又はこれを含む制御ネットワークシステムが備える各種構成要素間の機能分担は一例であり、その分担を変更し得る。また、セキュリティECU100における監視処理部3100等、又はステアリングECU310Bにおける監視処理部3100Bの機能の一部が、セキュリティECU100と通信可能な装置、例えば車載ネットワークシステム10上の他のECU、又は車載ネットワークシステム10の外部のサーバ装置等によって担われてもよい。例えば、上記実施の形態において、車載ネットワークシステム10には、セキュリティECU100とは別の他のセキュリティECUが含まれ、監視処理部3100の機能のうち、無効化部3102の機能はこの他のセキュリティECUによって担われてもよい。この場合、判定部3101から出力された判定の結果は、データフレームとして送信部1102からバス30に送信されてもよいし、専用線で他のセキュリティECUに送信されてもよい。
(6)上記実施の形態における各ECUは、例えば、プロセッサ、メモリ等のデジタル回路、アナログ回路、通信回路等を含む装置であることとしたが、ハードディスク装置、ディスプレイ、キーボード、マウス等のハードウェア構成要素を含んでいてもよい。また、上記実施の形態で示した各装置は、メモリに記憶された制御プログラムがプロセッサにより実行されてソフトウェア的に機能を実現する代わりに、専用のハードウェア(デジタル回路等)によりその機能が実現されてもよい。
(7)上記実施の形態における各装置を構成する構成要素の一部又は全部は、1個のシステムLSI(Large Scale Integration:大規模集積回路)から構成されているとしてもよい。システムLSIは、複数の構成部を1個のチップ上に集積して製造された超多機能LSIであり、具体的には、マイクロプロセッサ、ROM、RAM等を含んで構成されるコンピュータシステムである。このROMには、コンピュータプログラムが記録されている。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、システムLSIは、その機能を達成する。また、上記各装置を構成する構成要素の各部は、個別に1チップ化されていてもよいし、一部又は全部を含むように1チップ化されてもよい。また、ここでは、システムLSIとしたが、集積度の違いにより、IC、LSI、スーパーLSI、ウルトラLSIと呼称されることもある。また、集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。LSI製造後に、プログラムすることが可能なFPGA(Field Programmable Gate Array)、又はLSI内部の回路セルの接続及び設定を再構成可能なリコンフィギュラブル・プロセッサを利用してもよい。さらには、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてあり得る。
(8)上記各装置を構成する構成要素の一部又は全部は、各装置に脱着可能なICカード又は単体のモジュールから構成されているとしてもよい。ICカード又はモジュールは、マイクロプロセッサ、ROM、RAM等から構成されるコンピュータシステムである。ICカード又はモジュールは、上記の超多機能LSIを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、ICカード又はモジュールは、その機能を達成する。このICカード又はこのモジュールは、耐タンパ性を有するとしてもよい。
(9)本発明の一態様としては、例えば図7及び図8、図10及び図11、並びに本明細書中のこれらに関連する記載に含まれる処理手順の全部又は一部を含む監視方法であるとしてもよい。例えば、監視方法は、車両20の状況及び車両20が走行する外界の状況の少なくとも一つを示す状況情報、及び車載ネットワークシステム10で伝送されている操舵制御指示を取得する取得ステップ(例えばステップS11及びS13)と、取得された状況情報が示す状況と、取得された操舵制御指示が示す制御内容とを比較することで、操舵制御指示が不正な制御指示であるか否かを判定する判定ステップ(例えばステップS14)と、判定ステップによる判定の結果を示す情報を出力する出力ステップ(例えばステップS15)とを含む。また、さらに判定ステップによって操舵制御指示が不正な制御指示であると判定された場合に、この操舵制御指示を無効化する無効化ステップ(例えばステップS17又はS17B)が含まれてもよい。このような方法は、例えば車載ネットワークシステム10で伝送される、車両20を操舵するための操舵制御指示を監視する監視装置として機能するECUによって実行される。
また、本発明の一態様としては、この監視方法に係る処理をコンピュータに実行させるコンピュータプログラムであってもよいし、このコンピュータプログラムからなるデジタル信号であるとしてもよい。この監視方法に係る処理は、車両20の状況及び車両20が走行する外界の状況の少なくとも一つを示す状況情報、及び車載ネットワークシステム10で伝送されている操舵制御指示を取得する取得ステップ(例えばステップS11及びS13)と、取得された状況情報が示す状況と、取得された操舵制御指示が示す制御内容とを比較することで、操舵制御指示が不正な制御指示であるか否かを判定する判定ステップ(例えばステップS14)と、判定ステップによる判定の結果を示す情報を出力する出力ステップ(例えばステップS15)とを含む処理である。出力されたこの情報は、別のプログラムモジュール若しくはコンピュータプログラム、又は通信可能な他の装置への入力として用いられてもよい。この別のプログラムモジュール等によって、例えばデータフレームの無効化、操舵支援ECUの無効化、緊急停止のための自動運転、攻撃の発生に関する通知のドライバーへの提示、エラーログの記録などが実行されてもよい。
また、本発明の一態様としては、このコンピュータプログラム又はデジタル信号をコンピュータで読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、CD−ROM、MO、DVD、DVD−ROM、DVD−RAM、BD(Blu-ray(登録商標) Disc)、半導体メモリ等に記録したものとしてもよい。また、これらの記録媒体に記録されているデジタル信号であるとしてもよい。また、本発明の一態様としては、コンピュータプログラム又はデジタル信号を、電気通信回線、無線又は有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。
また、本発明の一態様としては、マイクロプロセッサとメモリを備えたコンピュータシステムであって、メモリは、上記コンピュータプログラムを記録しており、マイクロプロセッサは、コンピュータプログラムに従って動作するとしてもよい。また、プログラム若しくはデジタル信号を記録媒体に記録して移送することにより、又はプログラム若しくはデジタル信号を、ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。
(10)上記実施の形態及びその変形例における無効化の処理は、エラーフレームのCANバスへの送出によるものに限定されない。上述のステアリングECU310Bにおいて実行されるデータフレームの破棄も無効化処理の一態様である。別の例として、ネットワークにおけるゲートウェイの一部として実現される監視装置が、不正な操舵制御指示を含むデータフレームを転送しないこともまた無効化処理の一態様に含まれる。
(11)上記実施の形態及び上記変形例で示した各構成要素及び機能を任意に組み合わせることで実現される形態も本発明の範囲に含まれる。
本発明は、車両等の手動又は自動で操舵されるモビリティが備えるモビリティネットワークに不正な操舵制御指示のフレームを送信する攻撃に対処するために利用可能である。
10 車載ネットワークシステム
20 車両
30 バス(CANバス)
100 セキュリティECU(監視装置)
310、310B ステアリングECU
311 ステアリング
320 センサECU
321 物体検知センサ
322 速度センサ
330 ブレーキECU
331 ブレーキ
340 エンジンECU
341 エンジン
350 操舵支援ECU
390 診断用ポート
1100、1310、1310B 通信部
1101、1101B 受信部(取得部)
1102 送信部
2100、2100B 記憶部
2310 データバッファ
3100、3100B 監視処理部
3101、3101B 判定部
3102、3102B 無効化部
3103 転送部
3310 制御処理部

Claims (18)

  1. ビリティの状況前記モビリティが移動する外界の状況の少なくとも一方を示す状況情報、及び前記モビリティを操舵するための操舵制御指示を取得する取得部と、
    取得された前記状況情報が示す状況と、取得された前記操舵制御指示が示す制御内容とに基づいて、前記操舵制御指示が不正な制御指示であるか否かを判定する判定部と、
    を備える電子制御装置
  2. 前記判定部によって前記操舵制御指示が不正な制御指示であると判定された場合に、前記操舵制御指示を無効化又は破棄する無効化部、
    をさらに備える請求項1記載の電子制御装置
  3. 前記判定部は、前記操舵制御指示が、前記状況情報が示す状況と整しない制御内容を示す場合に、前記操舵制御指示が不正な制御指示であると判定する、
    請求項1又は2記載の電子制御装置
  4. 前記判定部は、前記状況情報が示す状況が、前記モビリティが第1方向に移動すべき状況を示し、かつ、前記操舵制御指示が、前記モビリティを前記第1方向と異なる第2方向に移動させる制御内容を示す場合に、前記操舵制御指示が不正な制御指示であると判定する、
    請求項3記載の電子制御装置
  5. 前記判定部は、前記状況情報が示す状況が、前記モビリティが第1所定値以下の操舵量の操舵をすべき状況を示し、かつ、前記操舵制御指示が、前記第1所定値よりも大きな操舵量の制御内容を示す場合に、前記操舵制御指示が不正な制御指示であると判定する、
    請求項3記載の電子制御装置
  6. 前記判定部は、前記状況情報が示す状況が、前記モビリティが第2所定値以上の大きな操舵量の操舵をすべき状況を示し、かつ、前記操舵制御指示が、前記第2所定値よりも小さな操舵量の制御内容を示す場合に、前記操舵制御指示が不正な制御指示であると判定する、
    請求項3記載の電子制御装置
  7. 前記判定部は、
    (1)前記状況情報が示す状況が、前記モビリティが手動の操舵によって移動すべき状況を示し、かつ、前記操舵制御指示が、第1所定範囲の外の操舵量の制御内容を示す場合、又は、
    (2)前記状況情報が示す状況が、前記モビリティが手動の操舵によって移動すべき状況を示し、かつ、前記取得部が第1所定期間内に前記操舵制御指示を取得した場合に、前記操舵制御指示が不正な制御指示であると判定する、
    請求項3記載の電子制御装置
  8. 前記判定部は、
    (1)前記状況情報が示す状況が、前記モビリティが自動操舵によって移動すべき状況を示し、かつ、前記操舵制御指示が、第2所定範囲の外の操舵量の制御内容を示す場合、又は、
    (2)前記状況情報が示す状況が、前記モビリティが自動操舵によって移動すべき状況を示し、かつ、前記取得部が第2所定期間内に前記操舵制御指示を取得できない場合に、
    前記操舵制御指示が不正な制御指示であると判定する、
    請求項3記載の電子制御装置
  9. 前記状況情報は、前記モビリティが備える車線維持機能に関する状況を示す、
    請求項1〜8のいずれか1項に記載の電子制御装置
  10. 前記判定部は、
    (1)前記状況情報が、前記車線維持機能がオフであることを示し、かつ、前記操舵制御指示が、第3所定範囲の外の操舵量の制御内容を示す場合、又は、
    (2)前記状況情報が、前記車線維持機能がオンであること及び前記車線維持機能による前記モビリティの移動経路を示し、かつ、前記操舵制御指示が、前記モビリティを前記移動経路から逸脱させる操舵を指定した制御内容を示す場合に、
    記操舵制御指示が不正な制御指示であると判定する、
    請求項9記載の電子制御装置
  11. 前記判定部は、前記状況情報が、前記車線維持機能がオンであること及び前記モビリティの車速を示し、かつ、前記操舵制御指示が、第4所定範囲の外の操舵量の制御内容を示す場合に、前記操舵制御指示が不正な制御指示であると判定する、
    請求項9記載の電子制御装置。
  12. 前記状況情報は、前記モビリティが備える駐車支援機能に関する状況を示す、
    請求項1〜8のいずれか1項に記載の電子制御装置
  13. 前記判定部は、前記状況情報が、前記駐車支援機能による前記モビリティの目標駐車位置を示し、かつ、前記操舵制御指示が、前記モビリティを前記目標駐車位置への方向と異なる方向に移動させる制御内容を示す場合に、前記操舵制御指示が不正な制御指示であると判定する、
    請求項12記載の電子制御装置
  14. 前記状況情報は、前記モビリティが備える車線変更機能に関する状況を示す、
    請求項1〜8のいずれか1項に記載の電子制御装置
  15. 前記判定部は、
    (1)前記状況情報が、前記モビリティが移動する車線を第1方向に隣接する車線に変更すべき状況を示し、かつ、前記操舵制御指示が、前記モビリティを前記第1方向と異なる第2方向に移動させる制御内容を示す場合、又は、
    (2)前記状況情報が、前記モビリティが移動する車線を変更すべき状況を示し、かつ、前記操舵制御指示が、前記モビリティが移動する車線を維持する操舵量を指定した制御内容を示す場合に、
    前記操舵制御指示が不正な制御指示であると判定する、
    請求項14記載の電子制御装置
  16. 電子制御装置による監視方法であって、
    ビリティの状況前記モビリティが移動する外界の状況の少なくとも一方を示す状況情報、及び前記モビリティを操舵するための操舵制御指示を取得し、
    取得された前記状況情報が示す状況と、取得された前記操舵制御指示が示す制御内容とに基づいて、前記操舵制御指示が不正な制御指示であるか否かを判定す
    監視方法。
  17. モビリティの状況と前記モビリティが移動する外界の状況との少なくとも一方を示す状況情報、及び、前記モビリティを操舵するための操舵制御指示を取得する処理と、
    取得された前記状況情報が示す状況と、取得された前記操舵制御指示が示す制御内容とに基づいて、前記操舵制御指示が不正な制御指示であるか否かを判定する処理と、
    をコンピュータに実行させるためのプログラム。
  18. モビリティの状況と前記モビリティが移動する外界の状況との少なくとも一方を示す状況情報、及び、前記モビリティを操舵するための操舵制御指示を取得する取得部と、
    取得された前記状況情報が示す状況と、取得された前記操舵制御指示が示す制御内容とに基づいて、前記操舵制御指示が不正な制御指示であるか否かを判定する判定部と、
    前記判定部によって前記操舵制御指示が不正な制御指示であると判定された場合に、前記操舵制御指示を転送しない無効化部と、
    を備えるゲートウェイ装置。
JP2018105049A 2018-05-31 2018-05-31 電子制御装置、監視方法、プログラム及びゲートウェイ装置 Active JP6519830B1 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2018105049A JP6519830B1 (ja) 2018-05-31 2018-05-31 電子制御装置、監視方法、プログラム及びゲートウェイ装置
DE102019113818.3A DE102019113818B4 (de) 2018-05-31 2019-05-23 Elektronische steuerungseinrichtung, überwachungsverfahren, programm und gateway-einrichtung
US16/422,533 US11440557B2 (en) 2018-05-31 2019-05-24 Electronic control device, recording medium, and gateway device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018105049A JP6519830B1 (ja) 2018-05-31 2018-05-31 電子制御装置、監視方法、プログラム及びゲートウェイ装置

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2019075091A Division JP2019209962A (ja) 2019-04-10 2019-04-10 情報処理装置、監視方法、プログラム及びゲートウェイ装置

Publications (2)

Publication Number Publication Date
JP6519830B1 true JP6519830B1 (ja) 2019-05-29
JP2019212976A JP2019212976A (ja) 2019-12-12

Family

ID=66655636

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018105049A Active JP6519830B1 (ja) 2018-05-31 2018-05-31 電子制御装置、監視方法、プログラム及びゲートウェイ装置

Country Status (1)

Country Link
JP (1) JP6519830B1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPWO2020240767A1 (ja) * 2019-05-30 2021-11-25 三菱電機株式会社 自動運転システム
CN114461072A (zh) * 2022-02-10 2022-05-10 湖北星纪时代科技有限公司 一种显示方法、装置、电子设备和存储介质

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4605762B2 (ja) * 2004-11-25 2011-01-05 株式会社日立ソリューションズ カーナビゲーションシステム
JP6298021B2 (ja) * 2015-07-30 2018-03-20 トヨタ自動車株式会社 攻撃検知システムおよび攻撃検知方法
JP6649215B2 (ja) * 2015-12-14 2020-02-19 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America セキュリティ装置、ネットワークシステム及び攻撃検知方法
JP6423402B2 (ja) * 2015-12-16 2018-11-14 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America セキュリティ処理方法及びサーバ
JP6280662B2 (ja) * 2016-07-05 2018-02-14 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正制御抑止方法、不正制御抑止装置及び車載ネットワークシステム
JP6805667B2 (ja) * 2016-09-15 2020-12-23 住友電気工業株式会社 検知装置、ゲートウェイ装置、検知方法および検知プログラム

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPWO2020240767A1 (ja) * 2019-05-30 2021-11-25 三菱電機株式会社 自動運転システム
JP7146082B2 (ja) 2019-05-30 2022-10-03 三菱電機株式会社 自動運転システム
CN114461072A (zh) * 2022-02-10 2022-05-10 湖北星纪时代科技有限公司 一种显示方法、装置、电子设备和存储介质

Also Published As

Publication number Publication date
JP2019212976A (ja) 2019-12-12

Similar Documents

Publication Publication Date Title
US11381420B2 (en) In-vehicle relay device, in-vehicle monitoring device, in-vehicle network system, communication monitoring method, and recording medium
US20220006669A1 (en) In-vehicle communications system, in-vehicle communication method, and device
JP6531011B2 (ja) 車載ネットワーク装置
JP7231559B2 (ja) 異常検知電子制御ユニット、車載ネットワークシステム及び異常検知方法
US20190141070A1 (en) Anomaly detection electronic control unit, onboard network system, and anomaly detection method
CN107925600B (zh) 安全处理方法以及服务器
US20200137099A1 (en) Abnormality detection apparatus and abnormality detection method
JP6650242B2 (ja) 自動運転システム、自動運転制御方法、データecuおよび自動運転ecu
US11440557B2 (en) Electronic control device, recording medium, and gateway device
CN108353014B (zh) 非法控制抑止方法、非法控制抑止装置和车载网络系统
US20180375881A1 (en) Information processing device, information processing method, and non-transitory computer readable recording medium
KR20200020003A (ko) 자동차 운전자 보조 시스템에 관련된 방법
US11940291B2 (en) Method for updating a map of the surrounding area, device for executing method steps of said method on the vehicle, vehicle, device for executing method steps of the method on a central computer, and computer-readable storage medium
US11247694B2 (en) Control apparatus, control system, control method, and storage medium
JP7010087B2 (ja) プログラム更新管理装置、プログラム更新管理方法、およびプログラム
WO2020085330A1 (ja) 電子制御装置、電子制御方法及びプログラム
JP6519830B1 (ja) 電子制御装置、監視方法、プログラム及びゲートウェイ装置
JP4934627B2 (ja) 情報のフィルタリング方法および車載ゲートウェイ装置
JP2019209961A (ja) 情報処理装置、監視方法、プログラム及びゲートウェイ装置
JP2019209962A (ja) 情報処理装置、監視方法、プログラム及びゲートウェイ装置
JP6519829B1 (ja) 電子制御装置、監視方法、プログラム及びゲートウェイ装置
JP2019172261A (ja) 制御装置、制御システム、及び制御プログラム
JP2019146144A (ja) 情報処理装置、情報処理方法及びプログラム
US20220289213A1 (en) Central arithmetic unit
CN116686025A (zh) 车辆、用于车辆的计算机程序、装置和方法

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190213

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190213

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20190213

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20190304

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190312

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190410

R151 Written notification of patent or utility model registration

Ref document number: 6519830

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

SZ03 Written request for cancellation of trust registration

Free format text: JAPANESE INTERMEDIATE CODE: R313Z03