JP6727463B1 - 車載制御装置および車載制御システム - Google Patents
車載制御装置および車載制御システム Download PDFInfo
- Publication number
- JP6727463B1 JP6727463B1 JP2019568419A JP2019568419A JP6727463B1 JP 6727463 B1 JP6727463 B1 JP 6727463B1 JP 2019568419 A JP2019568419 A JP 2019568419A JP 2019568419 A JP2019568419 A JP 2019568419A JP 6727463 B1 JP6727463 B1 JP 6727463B1
- Authority
- JP
- Japan
- Prior art keywords
- state
- partial
- confirmation
- detected
- vehicle control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W60/00—Drive control systems specially adapted for autonomous road vehicles
- B60W60/001—Planning or execution of driving tasks
- B60W60/0015—Planning or execution of driving tasks specially adapted for safety
- B60W60/0018—Planning or execution of driving tasks specially adapted for safety by employing degraded modes, e.g. reducing speed, in response to suboptimal conditions
- B60W60/00188—Planning or execution of driving tasks specially adapted for safety by employing degraded modes, e.g. reducing speed, in response to suboptimal conditions related to detected security violation of control systems, e.g. hacking of moving vehicle
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/0205—Diagnosing or detecting failures; Failure detection models
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/023—Avoiding failures by using redundant parts
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/029—Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G08—SIGNALLING
- G08G—TRAFFIC CONTROL SYSTEMS
- G08G1/00—Traffic control systems for road vehicles
- G08G1/09—Arrangements for giving variable traffic instructions
-
- G—PHYSICS
- G08—SIGNALLING
- G08G—TRAFFIC CONTROL SYSTEMS
- G08G1/00—Traffic control systems for road vehicles
- G08G1/16—Anti-collision systems
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W2050/0062—Adapting control system settings
- B60W2050/0075—Automatic parameter input, automatic initialising or calibrating means
- B60W2050/0095—Automatic control mode change
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/0205—Diagnosing or detecting failures; Failure detection models
- B60W2050/021—Means for detecting failure or malfunction
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/0205—Diagnosing or detecting failures; Failure detection models
- B60W2050/0215—Sensor drifts or sensor failures
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/029—Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
- B60W2050/0292—Fail-safe or redundant systems, e.g. limp-home or backup systems
Landscapes
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Human Computer Interaction (AREA)
- Transportation (AREA)
- Mechanical Engineering (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Traffic Control Systems (AREA)
- Control Of Driving Devices And Active Controlling Of Vehicle (AREA)
- Small-Scale Networks (AREA)
Abstract
Description
特許文献1には、車両制御システムが開示されている。
この車両制御システムは、自動運転統合ECUと自動駐車ECUとを備える。そして、自動運転統合ECUが故障した場合には自動駐車ECUが自動運転統合ECUの機能を代替する。ECUはElectronic Control Unitの略称である。
特許文献1に開示された車両制御システムでは、故障していなければ自動運転統合ECUによって自動運転が行われる。自動運転統合ECUに対するサイバー攻撃は考慮されていない。そのため、故障していない自動運転制御ECUがサイバー攻撃を受けると、安全性が確保されない可能性がある。
前記車載制御システムは、前記車両の自動運転のための複数の運転制御装置を備える。
前記車載制御装置は、
前記複数の運転制御装置のうちの一部でサイバー攻撃が検知された場合に、前記車載制御システムの動作状態を通常状態から一部確認状態へ切り替える通常状態部を備える。
前記通常状態は、前記複数の運転制御装置の少なくともいずれかを利用して自動運転を行う動作状態である。
前記一部確認状態は、サイバー攻撃が検知されていない正常な運転制御装置の少なくともいずれかを利用して自動運転を行うと共に、サイバー攻撃が検知された運転制御装置のそれぞれのセキュリティを確認する動作状態である。
車載制御システム100について、図1から図11に基づいて説明する。
図1に基づいて、車載制御システム100の構成を説明する。
車載制御システム100は、車両に搭載されるシステムであり、車両の自動運転を制御する。
具体的には、車載制御システム100は、第1アクチュエータECU151を介して第1アクチュエータ161を制御し、第2アクチュエータECU152を介して第2アクチュエータ162を制御する。
第1アクチュエータ161と第2アクチュエータ162とのいずれかを特定しない場合、それぞれを「アクチュエータ」と称する。
アクチュエータは、車両を駆動する機器である。例えば、アクチュエータは、モータ、エンジン、ブレーキまたはステアリングなどである。
アクチュエータECUは、アクチュエータを制御する装置である。
車載制御システム100は、1つのアクチュエータを制御してもよいし、3つ以上のアクチュエータを制御してもよい。
第1自動運転ECU110と第2自動運転ECU120とは、互いに異なる実装で実現される等の対策により、同時にサイバー攻撃の影響を受けない。
第1自動運転ECU110と第2自動運転ECU120とのいずれかを特定しない場合、それぞれの「自動運転ECU」と称する。
自動運転ECUは、車両の自動運転のための運転制御情報を出力する装置(運転制御装置)である。
車載制御システム100は、3つ以上の自動運転ECUを備えてもよい。
ハブA130とハブB140とのそれぞれが書き替えができないROMを用いて実現される等の対策により、ハブA130とハブB140とのそれぞれに対するサイバー攻撃は困難である。
ハブA130とハブB140とのいずれかを特定しない場合、それぞれを「ハブ」と称する。ハブはネットワーク機器である。
自動運転ECUとハブとを繋ぐ通信ケーブル(通信ネットワーク)に対して改ざん検知などの対策を施すことにより、通信ネットワークに対するサイバー攻撃は困難である。
ハブA130の収集部は、センサA101とセンサB102とからセンサ情報を収集する。ハブB140の収集部は、センサC103とセンサD104とからセンサ情報を収集する。センサA101とセンサB102とセンサC103とセンサD104とのいずれかを特定しない場合、それぞれを「センサ」と称する。
センサは、車両周辺の状況を検出する機器である。センサ情報は、センサによって得られた情報である。例えば、センサは、他車両などを検知するためのカメラまたはレーザレーダである。
認識部は、収集されたセンサ情報に基づいて、車両周辺の状況を認識する。車両周辺の状況を認識する方法は任意である。
通常演算部は、認識された状況に基づいて、通常時の走行経路(通常経路)を算出する。通常経路を算出する方法は任意である。通常経路を示す情報(通常経路情報)は、車両制御情報として出力される。
緊急演算部は、認識された状況に基づいて、緊急時の走行経路(緊急経路)を算出する。緊急経路を算出する方法は任意である。緊急経路を示す情報(緊急経路情報)は、車両制御情報として出力される。
故障検知部は、自動運転ECUで発生した故障を検知する。例えば、複数の自動運転ECUで算出された複数の通常経路を比較し、比較結果に基づいて故障を検知する。故障を検知する方法は任意である。
攻撃検知部は、自動運転ECUで発生したサイバー攻撃を検知する。サイバー攻撃を検知する方法は任意である。
セキュリティ検証部は、サイバー攻撃が検知された場合にセキュリティ機能の修復を試み、セキュリティが確保されるか否かを判定する。例えば、セキュリティ検証部は、自動運転ECUを再起動する。そして、セキュリティ検証部は、セキュリティ機能が正常であるか、つまり、セキュリティが確保されたかをセキュアブートによって判定する。セキュリティを確認する方法は任意である。
通常経路部は、通常経路情報を記憶する。
緊急経路部は、緊急経路情報を記憶する。
切替部は、複数の運転制御装置(110、120)の状況に基づいて、車載制御システム100の動作状態を切り替える。
切替部は回路、ソフトウェアまたはこれらの組み合わせで実現される。
ハブA130の切替部は、通常状態部131と一部確認状態部132と一部動作状態部133と縮退確認状態部134と全部確認状態部135と縮退状態部136とを備える。これら要素の機能については後述する。
車載制御システム100の動作の手順は車載制御方法に相当する。
ステップS110は、車載制御システム100の動作状態が「通常状態」であるときの処理であり、切替部の通常状態部131によって実行される。
「通常状態」は、複数の運転制御装置(110、120)の全てが正常である場合の動作状態である。正常な運転制御装置は、故障しておらず且つセキュリティが確保されている。
ステップS110において、通常状態部131は、複数の運転制御装置(110、120)の少なくともいずれかを利用して自動運転を行う。
複数の運転制御装置のうちの一部でサイバー攻撃が検知された場合に、通常状態部131は、車載制御システム100の動作状態を「通常状態」から「一部確認状態」へ切り替える。
複数の運転制御装置のうちの一部で故障が検知された場合に、通常状態部131は、車載制御システム100の動作状態を「通常状態」から「一部動作状態」へ切り替える。
「一部確認状態」は、複数の運転制御装置(110、120)の一部が正常であり、且つ、複数の運転制御装置の一部でサイバー攻撃が検知された場合の動作状態である。
ステップS120において、一部確認状態部132は、正常な運転制御装置の少なくともいずれかを利用して自動運転を行うと共に、サイバー攻撃が検知された運転制御装置のそれぞれのセキュリティを確認する。
「通常状態」でサイバー攻撃が検知された運転制御装置の全てでセキュリティが確保された場合に、一部確認状態部132は、車載制御システム100の動作状態を「一部確認状態」から「通常状態」へ切り替える。
「通常状態」でサイバー攻撃が検知された運転制御装置の全てでセキュリティが確保されなかった場合に、一部確認状態部132は、車載制御システム100の動作状態を「一部確認状態」から「一部動作状態」へ切り替える。
「一部確認状態」で正常な運転制御装置の全てでサイバー攻撃が検知された場合に、一部確認状態部132は、車載制御システム100の動作状態を「一部確認状態」から「全部確認状態」へ切り替える。
「一部確認状態」で正常な運転制御装置の一部で故障が検知された場合に、一部確認状態部132は、車載制御システム100の動作状態を「一部確認状態」から「一部動作状態」へ切り替える。
「一部動作状態」は、複数の運転制御装置(110、120)の一部が正常であり、且つ、複数の運転制御装置の残りが異常である場合の動作状態である。異常な運転制御装置は、故障しているか、又は、セキュリティ異常が生じている。セキュリティ異常は、セキュリティの確保を試みたがセキュリティを確保できなかった状況である。
ステップS130において、一部動作状態部133は、正常な運転制御装置の少なくともいずれかを利用して自動運転を行う。
「一部動作状態」で正常な運転制御装置の全てでサイバー攻撃が検知された場合に、一部動作状態部133は、車載制御システム100の動作状態を「一部動作状態」から「縮退確認状態」へ切り替える。
「一部動作状態」で正常な運転制御装置の全てで故障が検知された場合に、一部動作状態部133は、車載制御システム100の動作状態を「一部動作状態」から「縮退状態」へ切り替える。
「縮退確認状態」は、複数の運転制御装置(110、120)の一部が異常であり、且つ、複数の運転制御装置の残りでサーバ攻撃が検知された場合の動作状態である。
ステップS140において、縮退確認状態部134は、縮退動作を行うと共に、「一部動作状態」でサーバ攻撃が検知された運転制御装置のそれぞれのセキュリティを確認する。
「一部動作状態」でサイバー攻撃が検知された運転制御装置の全てでセキュリティが確保された場合に、縮退確認状態部134は、車載制御システム100の動作状態を「縮退確認状態」から「一部動作状態」へ切り替える。
「一部動作状態」でサイバー攻撃が検知された運転制御装置の全てでセキュリティが確保されなかった場合に、縮退確認状態部134は、車載制御システム100の動作状態を「縮退確認状態」から「縮退状態」へ切り替える。
「全部確認状態」は、複数の運転制御装置(110、120)の全てでサイバー攻撃が検知された場合の動作状態である。
ステップS150において、全部確認状態部135は、縮退動作を行うと共に、複数の運転制御装置(110、120)のそれぞれのセキュリティを確認する。
複数の運転制御装置の全てでセキュリティが確保された場合に、全部確認状態部135は、車載制御システム100の動作状態を「全部確認状態」から「通常状態」へ切り替える。
複数の運転制御装置の一部でセキュリティが確保されたが複数の運転制御装置の残りでセキュリティが確保されなかった場合に、全部確認状態部135は、車載制御システム100の動作状態を「全部確認状態」から「一部動作状態」へ切り替える。
複数の制御装置の全てでセキュリティが確保されなかった場合に、全部確認状態部135は、車載制御システム100の動作状態を「全部確認状態」から「縮退状態」へ切り替える。
「縮退状態」は、複数の運転制御装置(110、120)の全てが異常である場合の動作状態である。
ステップS160において、縮退状態部136は縮退動作を行う。縮退動作は予め決められた任意の動作である。
図4に基づいて、通常状態(S110)の処理手順を説明する。
第1自動運転ECU110と第2自動運転ECU120との両方が正常であると仮定する。
ハブA130(車載制御装置)が正常に起動した場合、処理はステップS112に進む。
ハブA130(車載制御装置)が正常に起動しなかった場合、自動運転機能が停止し、処理は終了する。
例えば、通常状態部131は、第1自動運転ECU110の通常経路情報をアクチュエータECUに入力することにより、アクチュエータを制御する。その結果、車両が通常経路を走行する。
具体的には、第1自動運転ECU110の故障検知部から故障検知が通知された場合に、通常状態部131は、第1自動運転ECU110で故障が検知されたと判定する。また、第2自動運転ECU120の故障検知部から故障検知が通知された場合に、通常状態部131は、第2自動運転ECU120で故障が検知されたと判定する。
第1自動運転ECU110と第2自動運転ECU120とのいずれかで故障が検知された場合、通常状態部131は一部動作状態部133を呼び出す。その後、一部動作状態部133によって一部動作状態(S130)の処理が実行される。
第1自動運転ECU110と第2自動運転ECU120とのいずれでも故障が検知されなかった場合、処理はステップS114に進む。
具体的には、第1自動運転ECU110の攻撃検知部から攻撃検知が通知された場合に、通常状態部131は、第1自動運転ECU110でサイバー攻撃が検知されたと判定する。また、第2自動運転ECU120の攻撃検知部から攻撃検知が通知された場合に、通常状態部131は、第2自動運転ECU120でサイバー攻撃が検知されたと判定する。
第1自動運転ECU110と第2自動運転ECU120とのいずれかでサイバー攻撃が検知された場合、通常状態部131は一部確認状態部132を呼び出す。その後、一部確認状態部132によって一部確認状態(S120)の処理が実行される。
第1自動運転ECU110と第2自動運転ECU120とのいずれでもサイバー攻撃が検知されなかった場合、処理はステップS112に進む。
第1自動運転ECU110が正常であり、且つ、第2自動運転ECU120でサイバー攻撃が検知されたと仮定する。
具体的には、一部確認状態部132は、第1自動運転ECU110の通常経路情報をアクチュエータECUに入力することにより、アクチュエータを制御する。その結果、車両が通常経路を走行する。
具体的には、第2自動運転ECU120のセキュリティ検証部からセキュリティ確保が通知された場合に、一部確認状態部132は、第2自動運転ECU120のセキュリティが確保されたと判定する。
第2自動運転ECU120のセキュリティが確保された場合、一部確認状態部132は通常状態部131を呼び出す。その後、通常状態部131によって通常状態(S110)の処理が実行される。
第2自動運転ECU120のセキュリティが確保されていない場合、処理はステップS123に進む。
具体的には、第1自動運転ECU110の攻撃検知部から攻撃検知が通知された場合に、一部確認状態部132は、第1自動運転ECU110でサイバー攻撃が検知されたと判定する。
第1自動運転ECU110でサイバー攻撃が検知された場合、一部確認状態部132は全部確認状態部135を呼び出す。その後、全部確認状態部135によって全部確認状態(S150)の処理が実行される。
具体的には、第1自動運転ECU110の故障検知部から故障検知が通知された場合に、一部確認状態部132は、第1自動運転ECU110で故障が検知されたと判定する。また、第2自動運転ECU120の故障検知部から故障検知が通知された場合に、一部確認状態部132は、第2自動運転ECU120で故障が検知されたと判定する。
第1自動運転ECU110と第2自動運転ECU120とのいずれかで故障が検知された場合、一部確認状態部132は一部動作状態部133を呼び出す。その後、一部動作状態部133によって一部動作状態(S130)の処理が実行される。
第1自動運転ECU110と第2自動運転ECU120とのいずれでも故障が検知されていない場合、処理はステップS125に進む。
具体的には、一部確認状態部132は、一部確認状態(S120)の処理の開始から経過した時間が確認待ち時間を超えたか判定する。確認待ち時間は、セキュリティを確認するための時間として予め決められた時間(例えば、2秒)である。
セキュリティの確認がタイムアウトした場合、一部確認状態部132は一部動作状態部133を呼び出す。その後、一部動作状態部133によって一部動作状態(S130)の処理が実行される。
セキュリティの確認がタイムアウトしていない場合、処理はステップS121に進む。
第1自動運転ECU110が正常であり、且つ、第2自動運転ECU120が異常であると仮定する。
具体的には、一部動作状態部133は、第1自動運転ECU110の通常経路情報をアクチュエータECUに入力することにより、アクチュエータを制御する。その結果、車両が通常経路を走行する。
具体的には、第1自動運転ECU110の故障検知部から故障検知が通知された場合に、一部動作状態部133は、第1自動運転ECU110で故障が検知されたと判定する。
第1自動運転ECU110で故障が検知された場合、一部動作状態部133は縮退状態部136を呼び出す。その後、縮退状態部136によって縮退状態(S160)の処理が実行される。
第1自動運転ECU110で故障が検知されていない場合、処理はステップS133に進む。
具体的には、第1自動運転ECU110の攻撃検知部から攻撃検知が通知された場合に、一部動作状態部133は、第1自動運転ECU110でサイバー攻撃が検知されたと判定する。
第1自動運転ECU110でサイバー攻撃が検知された場合、一部動作状態部133は縮退確認状態部134を呼び出す。その後、縮退確認状態部134によって縮退確認状態(S140)の処理が実行される。
第1自動運転ECU110でサイバー攻撃が検知されていない場合、処理はステップS131に進む。
第1自動運転ECU110でサイバー攻撃が検知され、且つ、第2自動運転ECU120が故障であると仮定する。
具体的には、縮退確認状態部134は、第1自動運転ECU110の正常時の緊急経路情報をアクチュエータECUに入力することによって、アクチュエータを制御する。その結果、車両が緊急経路を走行する。
具体的には、第1自動運転ECU110のセキュリティ検証部からセキュリティ確保が通知された場合に、縮退確認状態部134は、第1自動運転ECU110のセキュリティが確保されたと判定する。
第1自動運転ECU110のセキュリティが確保された場合、縮退確認状態部134は一部動作状態部133を呼び出す。その後、一部動作状態部133によって一部動作状態(S130)の処理が実行される。
第1自動運転ECU110のセキュリティが確保されていない場合、処理はステップS143に進む。
具体的には、第1自動運転ECU110の故障検知部から故障検知が通知された場合に、縮退確認状態部134は、第1自動運転ECU110で故障が検知されたと判定する。
第1自動運転ECU110で故障が検知された場合、縮退確認状態部134は縮退状態部136を呼び出す。その後、縮退状態部136によって縮退状態(S160)の処理が実行される。
第1自動運転ECU110で故障が検知されていない場合、処理はステップS144に進む。
具体的には、縮退確認状態部134は、縮退確認状態(S140)の処理の開始から経過した時間が確認待ち時間を超えたか判定する。確認待ち時間は、セキュリティを確認するための時間として予め決められた時間(例えば、2秒)である。
セキュリティの確認がタイムアウトした場合、縮退確認状態部134は縮退状態部136を呼び出す。その後、縮退状態部136によって縮退状態(S160)の処理が実行される。
セキュリティの確認がタイムアウトしていない場合、処理はステップS141に進む。
第1自動運転ECU110と第2自動運転ECU120との両方でサイバー攻撃が検知されたと仮定する。
具体的には、全部確認状態部135は、第1自動運転ECU110の正常時の緊急経路情報をアクチュエータECUに入力することによって、アクチュエータを制御する。その結果、車両が緊急経路を走行する。
具体的には、第1自動運転ECU110の故障検知部から故障検知が通知された場合に、全部確認状態部135は、第1自動運転ECU110で故障が検知されたと判定する。また、第2自動運転ECU120の故障検知部から故障検知が通知された場合に、全部確認状態部135は、第2自動運転ECU120で故障が検知されたと判定する。
第1自動運転ECU110と第2自動運転ECU120とのいずれかで故障が検知された場合、全部確認状態部135は縮退確認状態部134を呼び出す。その後、縮退確認状態部134によって縮退確認状態(S140)が実行される。
第1自動運転ECU110と第2自動運転ECU120との両方で故障が検知されていない場合、全部確認状態部135が第1自動運転ECU110と第2自動運転ECU120とのそれぞれのセキュリティの確認を開始し、処理はステップS153に進む。
具体的には、全部確認状態部135は、全部確認状態(S150)の処理の開始から経過した時間が確認待ち時間を超えたか判定する。確認待ち時間は、セキュリティを確認するための時間として予め決められた時間(例えば、2秒)である。
セキュリティの確認がタイムアウトした場合、処理はステップS154に進む。
セキュリティの確認がタイムアウトしていない場合、処理はステップS151に進む。
具体的には、第1自動運転ECU110のセキュリティ検証部からセキュリティ確保が通知された場合に、全部確認状態部135は、第1自動運転ECU110のセキュリティが確保されたと判定する。また、第2自動運転ECU120のセキュリティ検証部からセキュリティ確保が通知された場合に、全部確認状態部135は、第2自動運転ECU120のセキュリティが確保されたと判定する。
第1自動運転ECU110と第2自動運転ECU120との両方でセキュリティが確保された場合、全部確認状態部135は通常状態部131を呼び出す。その後、通常状態部131によって通常状態(S110)の処理が実行される。
第1自動運転ECU110と第2自動運転ECU120とのいずれかでセキュリティが確保された場合、全部確認状態部135は一部動作状態部133を呼び出す。その後、一部動作状態部133によって一部動作状態(S130)を処理が実行される。
第1自動運転ECU110と第2自動運転ECU120とのいずれもセキュリティが確保されなかった場合、全部確認状態部135は縮退状態部136を呼び出す。その後、縮退状態部136によって縮退状態(S160)が実行される。
縮退状態部136は縮退動作を行う。具体的には、縮退状態部136は、第1自動運転ECU110の正常時の緊急経路情報をアクチュエータECUに入力することによって、アクチュエータを制御する。その結果、車両が緊急経路を走行する。
図9に基づいて、車載制御システム100の実施例を説明する。
車載制御システム100は、アクチュエータECU150を備えてもよい。
アクチュエータECU150は、ハブA130と第1アクチュエータECU151と第2アクチュエータECU152とを代替する。
アクチュエータECU150は、ハブA130の代わりに、車載制御装置として機能する。
車載制御システム100は、SoC200で実現されてもよい。「SoC」はSystem On a Chipの略称である。
SoC200は、第1プロセッサ210と第2プロセッサ220と第3プロセッサ230とを備える。各プロセッサは、例えば、Central Processing Unit(CPU)である。
第1プロセッサ210は第1自動運転ECU110を代替し、第2プロセッサ220は第2自動運転ECU120を代替する。
第1プロセッサ210と第2プロセッサ220とのそれぞれは、自動運転ECUの代わりに、運転制御装置として機能する。
第3プロセッサ230は、ハブA130の代わり、車載制御装置として機能する。
実施の形態1により、サイバー攻撃が検知されていない正常な運転制御装置を利用して車両の自動運転を行うことができる。したがって、車載制御システム100の安全性を高めることができる。
さらに、サイバー攻撃が検知された運転制御装置でセキュリティが確保された場合には、その運転制御装置を利用して車両の自動運転を行うことができる。つまり、車載制御システム100は、サイバー攻撃を受けても、すぐには縮退動作に遷移せず、自動運転動作を継続する。そのため、自動運転を継続できる時間を延ばし、メンテナンス頻度を下げることができる。そして、車載制御システム100の可用性を高めることができる。
図11に基づいて、車載制御装置190のハードウェア構成を説明する。
車載制御装置190は、車載制御システム100に備わる車載制御装置である。
車載制御装置190は処理回路191と入出力インタフェース192とを備える。
処理回路191は、切替部、通常経路部および緊急経路部を実現するハードウェアである。
処理回路191は、専用のハードウェアであってもよいし、メモリに格納されるプログラムを実行するプロセッサであってもよい。
ASICは、Application Specific Integrated Circuitの略称である。
FPGAは、Field Programmable Gate Arrayの略称である。
Claims (10)
- 車両の自動運転を行う車載制御システムに備わる車載制御装置であって、
前記車載制御システムは、前記車両の自動運転のための複数の運転制御装置を備え、
前記車載制御装置は、
前記複数の運転制御装置のうちの一部でサイバー攻撃が検知された場合に、前記車載制御システムの動作状態を通常状態から一部確認状態へ切り替える通常状態部と、
前記通常状態でサイバー攻撃が検知された運転制御装置の全てでセキュリティが確保された場合に、前記車載制御システムの動作状態を前記一部確認状態から前記通常状態へ切り替え、前記通常状態でサイバー攻撃が検知された運転制御装置の全てでセキュリティが確保されなかった場合に、前記車載制御システムの動作状態を前記一部確認状態から一部動作状態へ切り替える一部確認状態部と、を備え、
前記通常状態は、前記複数の運転制御装置の少なくともいずれかを利用して自動運転を行う動作状態であり、
前記一部確認状態は、サイバー攻撃が検知されていない正常な運転制御装置の少なくともいずれかを利用して自動運転を行うと共に、サイバー攻撃が検知された運転制御装置のそれぞれのセキュリティを確認する動作状態であり、
前記一部動作状態は、前記正常な運転制御装置の少なくともいずれかを利用して自動運転を行う動作状態である
車載制御装置。 - 前記一部動作状態で前記正常な運転制御装置の全てでサイバー攻撃が検知された場合に、前記車載制御システムの動作状態を前記一部動作状態から縮退確認状態へ切り替える一部動作状態部を備え、
前記縮退確認状態は、縮退動作を行うと共に、前記一部動作状態でサイバー攻撃が検知された運転制御装置のそれぞれのセキュリティを確認する動作状態である
請求項1に記載の車載制御装置。 - 前記一部動作状態でサイバー攻撃が検知された運転制御装置の少なくともいずれかでセキュリティが確保された場合に、前記車載制御システムの動作状態を前記縮退確認状態から前記一部動作状態へ切り替える縮退確認状態部を備える
請求項2に記載の車載制御装置。 - 前記縮退確認状態部は、前記一部動作状態でサイバー攻撃が検知された運転制御装置の全てでセキュリティが確保されなかった場合に、前記車載制御システムの動作状態を前記縮退確認状態から縮退状態へ切り替え、
前記縮退状態は、縮退動作を行う動作状態である
請求項3に記載の車載制御装置。 - 車両の自動運転を行う車載制御システムに備わる車載制御装置であって、
前記車載制御システムは、前記車両の自動運転のための複数の運転制御装置を備え、
前記車載制御装置は、
前記複数の運転制御装置のうちの一部でサイバー攻撃が検知された場合に、前記車載制御システムの動作状態を通常状態から一部確認状態へ切り替える通常状態部と、
前記通常状態でサイバー攻撃が検知された運転制御装置の全てでセキュリティが確保された場合に、前記車載制御システムの動作状態を前記一部確認状態から前記通常状態へ切り替え、前記一部確認状態で、サイバー攻撃が検知されていない正常な運転制御装置の全てでサイバー攻撃が検知された場合に、前記車載制御システムの動作状態を前記一部確認状態から全部確認状態へ切り替える一部確認状態部と、
前記複数の運転制御装置の全てでセキュリティが確保された場合に、前記車載制御システムの動作状態を前記全部確認状態から前記通常状態へ切り替え、前記複数の運転制御装置の全てでセキュリティが確保されなかった場合に、前記車載制御システムの動作状態を前記全部確認状態から縮退状態へ切り替える全部確認状態部と、を備え、
前記通常状態は、前記複数の運転制御装置の少なくともいずれかを利用して自動運転を行う動作状態であり、
前記一部確認状態は、前記正常な運転制御装置の少なくともいずれかを利用して自動運転を行うと共に、サイバー攻撃が検知された運転制御装置のそれぞれのセキュリティを確認する動作状態であり、
前記全部確認状態は、縮退動作を行うと共に、前記複数の運転制御装置のそれぞれのセキュリティを確認する動作状態であり、
前記縮退状態は、縮退動作を行う動作状態である
車載制御装置。 - 車両の自動運転を行う車載制御システムに備わる車載制御装置であって、
前記車載制御システムは、前記車両の自動運転のための複数の運転制御装置を備え、
前記車載制御装置は、
前記複数の運転制御装置のうちの一部でサイバー攻撃が検知された場合に、前記車載制御システムの動作状態を通常状態から一部確認状態へ切り替える通常状態部と、
前記通常状態でサイバー攻撃が検知された運転制御装置の全てでセキュリティが確保された場合に、前記車載制御システムの動作状態を前記一部確認状態から前記通常状態へ切り替え、前記一部確認状態で、サイバー攻撃が検知されていない正常な運転制御装置の全てでサイバー攻撃が検知された場合に、前記車載制御システムの動作状態を前記一部確認状態から全部確認状態へ切り替える一部確認状態部と、
前記複数の運転制御装置の全てでセキュリティが確保された場合に、前記車載制御システムの動作状態を前記全部確認状態から前記通常状態へ切り替え、前記複数の運転制御装置の少なくともいずれかでセキュリティが確保された場合に、前記車載制御システムの動作状態を前記全部確認状態から一部動作状態へ切り替える全部確認状態部と、を備え、
前記通常状態は、前記複数の運転制御装置の少なくともいずれかを利用して自動運転を行う動作状態であり、
前記一部確認状態は、前記正常な運転制御装置の少なくともいずれかを利用して自動運転を行うと共に、サイバー攻撃が検知された運転制御装置のそれぞれのセキュリティを確認する動作状態であり、
前記全部確認状態は、縮退動作を行うと共に、前記複数の運転制御装置のそれぞれのセキュリティを確認する動作状態であり、
前記一部動作状態は、前記全部確認状態でセキュリティが確保された運転制御装置の少なくともいずれかを利用して自動運転を行う動作状態である
車載制御装置。 - 前記全部確認状態でセキュリティが確保された運転制御装置の全てでサイバー攻撃が検知された場合に、前記車載制御システムの動作状態を前記一部動作状態から縮退確認状態へ切り替える一部動作状態部を備え、
前記縮退確認状態は、縮退動作を行うと共に、前記一部動作状態でサイバー攻撃が検知された運転制御装置のそれぞれのセキュリティを確認する動作状態である
請求項6に記載の車載制御装置。 - 前記一部動作状態でサイバー攻撃が検知された運転制御装置の全てでセキュリティが確保された場合に、前記車載制御システムの動作状態を前記縮退確認状態から前記一部動作状態へ切り替える縮退確認状態部を備える
請求項7に記載の車載制御装置。 - 前記縮退確認状態部は、前記一部動作状態でサイバー攻撃が検知された運転制御装置の全てでセキュリティが確保されなかった場合に、前記車載制御システムの動作状態を前記縮退確認状態から縮退状態へ切り替え、
前記縮退状態は、縮退動作を行う動作状態である
請求項8に記載の車載制御装置。 - 請求項1から請求項9のいずれか1項に記載の車載制御装置と、
車両の自動運転のための複数の運転制御装置と、
を備える車載制御システム。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2019/022756 WO2020246031A1 (ja) | 2019-06-07 | 2019-06-07 | 車載制御装置および車載制御システム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP6727463B1 true JP6727463B1 (ja) | 2020-07-22 |
JPWO2020246031A1 JPWO2020246031A1 (ja) | 2021-09-13 |
Family
ID=71663965
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019568419A Active JP6727463B1 (ja) | 2019-06-07 | 2019-06-07 | 車載制御装置および車載制御システム |
Country Status (5)
Country | Link |
---|---|
US (1) | US20220032966A1 (ja) |
JP (1) | JP6727463B1 (ja) |
CN (1) | CN113891824B (ja) |
DE (1) | DE112019007286T5 (ja) |
WO (1) | WO2020246031A1 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2022113050A (ja) * | 2021-01-22 | 2022-08-03 | 日立Astemo株式会社 | 電子制御装置、車載制御システム、及び冗長機能制御方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017523074A (ja) * | 2014-06-27 | 2017-08-17 | ローベルト ボツシユ ゲゼルシヤフト ミツト ベシユレンクテル ハフツングRobert Bosch Gmbh | 車両動作装置および車両動作方法 |
WO2017199967A1 (ja) * | 2016-05-18 | 2017-11-23 | ナブテスコオートモーティブ 株式会社 | 車両運転制御システム |
JP2018182713A (ja) * | 2017-04-11 | 2018-11-15 | パナソニックIpマネジメント株式会社 | 情報処理装置、情報処理システム、情報処理方法、及びプログラム |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101010220B1 (ko) * | 2008-12-01 | 2011-01-21 | 한국전자통신연구원 | 차량내 전자제어 시스템의 이중화 장치 및 방법 |
DE102012111991A1 (de) * | 2012-11-20 | 2014-05-22 | Conti Temic Microelectronic Gmbh | Verfahren für eine Fahrerassistenzanwendung |
WO2015053559A1 (ko) * | 2013-10-08 | 2015-04-16 | (주) 아이씨티케이 | 차량 보안 네트워크 장치 및 그 설계 방법 |
US9195232B1 (en) * | 2014-02-05 | 2015-11-24 | Google Inc. | Methods and systems for compensating for common failures in fail operational systems |
JP6535572B2 (ja) * | 2015-10-26 | 2019-06-26 | 日立オートモティブシステムズ株式会社 | 車両制御装置、車両制御システム |
WO2018065973A1 (en) * | 2016-10-06 | 2018-04-12 | Red Bend Ltd. | Systems and methods for handling a vehicle ecu malfunction |
US10516683B2 (en) * | 2017-02-15 | 2019-12-24 | Ford Global Technologies, Llc | Systems and methods for security breach detection in vehicle communication systems |
EP3752943B1 (en) * | 2018-02-14 | 2024-01-31 | HRL Laboratories, LLC | System and method for side-channel based detection of cyber-attack |
US11237555B1 (en) * | 2018-03-09 | 2022-02-01 | State Farm Mutual Automobile Insurance Company | Backup control systems and methods for autonomous vehicles |
US20190312892A1 (en) * | 2018-04-05 | 2019-10-10 | Electronics And Telecommunications Research Institute | Onboard cybersecurity diagnostic system for vehicle, electronic control unit, and operating method thereof |
JP7069996B2 (ja) * | 2018-04-10 | 2022-05-18 | トヨタ自動車株式会社 | 車両の制御装置 |
-
2019
- 2019-06-07 DE DE112019007286.2T patent/DE112019007286T5/de active Pending
- 2019-06-07 JP JP2019568419A patent/JP6727463B1/ja active Active
- 2019-06-07 WO PCT/JP2019/022756 patent/WO2020246031A1/ja active Application Filing
- 2019-06-07 CN CN201980096966.0A patent/CN113891824B/zh active Active
-
2021
- 2021-10-15 US US17/502,775 patent/US20220032966A1/en not_active Abandoned
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017523074A (ja) * | 2014-06-27 | 2017-08-17 | ローベルト ボツシユ ゲゼルシヤフト ミツト ベシユレンクテル ハフツングRobert Bosch Gmbh | 車両動作装置および車両動作方法 |
WO2017199967A1 (ja) * | 2016-05-18 | 2017-11-23 | ナブテスコオートモーティブ 株式会社 | 車両運転制御システム |
JP2018182713A (ja) * | 2017-04-11 | 2018-11-15 | パナソニックIpマネジメント株式会社 | 情報処理装置、情報処理システム、情報処理方法、及びプログラム |
Also Published As
Publication number | Publication date |
---|---|
CN113891824A (zh) | 2022-01-04 |
US20220032966A1 (en) | 2022-02-03 |
CN113891824B (zh) | 2024-04-16 |
DE112019007286T5 (de) | 2022-04-21 |
WO2020246031A1 (ja) | 2020-12-10 |
JPWO2020246031A1 (ja) | 2021-09-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112004730B (zh) | 车辆控制装置 | |
US20220012958A1 (en) | Driving management system, vehicle, and information processing method | |
US11352019B2 (en) | Electronic control device for vehicle | |
JP6599054B2 (ja) | 異常判定装置、異常判定方法及び異常判定プログラム | |
JP6753388B2 (ja) | 自動運転制御装置、車両の自動運転制御方法 | |
US10836402B2 (en) | Determination of reliability of vehicle control commands via redundancy | |
JP7231559B2 (ja) | 異常検知電子制御ユニット、車載ネットワークシステム及び異常検知方法 | |
JP6723955B2 (ja) | 情報処理装置及び異常対処方法 | |
JP6964277B2 (ja) | 通信遮断システム、通信遮断方法及びプログラム | |
US10933882B2 (en) | Determination of reliability of vehicle control commands using a voting mechanism | |
JP7074004B2 (ja) | 中継装置システム及び中継装置 | |
WO2019142563A1 (ja) | 電子制御装置 | |
KR102452555B1 (ko) | 차량 고장 처리 제어 장치 및 그 방법 | |
CN106054852A (zh) | 集成式故障沉默和故障运转系统中的可量容错的构造 | |
JP2019040588A (ja) | 運転管理システム、車両、及び、情報処理方法 | |
KR20190119514A (ko) | 차량용 온보드 사이버보안진단 시스템, 전자 제어 장치 및 그것의 동작 방법 | |
JP2019151158A (ja) | 車両制御装置 | |
JP6727463B1 (ja) | 車載制御装置および車載制御システム | |
KR101914624B1 (ko) | 자율주행시스템의 사고 예방을 위한 프로세서 및 동작 방법 | |
EP3447993B1 (en) | Driving management system, vehicle, and information processing method | |
WO2023114396A1 (en) | Method and system for addressing failure in an autonomous agent | |
CN113442848B (zh) | 车辆控制系统、攻击判定方法及记录有程序的记录介质 | |
JP4007038B2 (ja) | 車両用電子制御装置 | |
JP2019121043A (ja) | 車両制御システムおよび車両制御装置 | |
JP6441380B2 (ja) | 車載用変速機制御装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191211 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20191211 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20191211 |
|
A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20200109 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200121 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200227 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200602 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200630 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6727463 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |