JP6727463B1 - 車載制御装置および車載制御システム - Google Patents
車載制御装置および車載制御システム Download PDFInfo
- Publication number
- JP6727463B1 JP6727463B1 JP2019568419A JP2019568419A JP6727463B1 JP 6727463 B1 JP6727463 B1 JP 6727463B1 JP 2019568419 A JP2019568419 A JP 2019568419A JP 2019568419 A JP2019568419 A JP 2019568419A JP 6727463 B1 JP6727463 B1 JP 6727463B1
- Authority
- JP
- Japan
- Prior art keywords
- state
- partial
- confirmation
- detected
- vehicle control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W60/00—Drive control systems specially adapted for autonomous road vehicles
- B60W60/001—Planning or execution of driving tasks
- B60W60/0015—Planning or execution of driving tasks specially adapted for safety
- B60W60/0018—Planning or execution of driving tasks specially adapted for safety by employing degraded modes, e.g. reducing speed, in response to suboptimal conditions
- B60W60/00188—Planning or execution of driving tasks specially adapted for safety by employing degraded modes, e.g. reducing speed, in response to suboptimal conditions related to detected security violation of control systems, e.g. hacking of moving vehicle
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/0205—Diagnosing or detecting failures; Failure detection models
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/023—Avoiding failures by using redundant parts
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/029—Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G08—SIGNALLING
- G08G—TRAFFIC CONTROL SYSTEMS
- G08G1/00—Traffic control systems for road vehicles
- G08G1/09—Arrangements for giving variable traffic instructions
-
- G—PHYSICS
- G08—SIGNALLING
- G08G—TRAFFIC CONTROL SYSTEMS
- G08G1/00—Traffic control systems for road vehicles
- G08G1/16—Anti-collision systems
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W2050/0062—Adapting control system settings
- B60W2050/0075—Automatic parameter input, automatic initialising or calibrating means
- B60W2050/0095—Automatic control mode change
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/0205—Diagnosing or detecting failures; Failure detection models
- B60W2050/021—Means for detecting failure or malfunction
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/0205—Diagnosing or detecting failures; Failure detection models
- B60W2050/0215—Sensor drifts or sensor failures
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/029—Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
- B60W2050/0292—Fail-safe or redundant systems, e.g. limp-home or backup systems
Landscapes
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Human Computer Interaction (AREA)
- Transportation (AREA)
- Mechanical Engineering (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Traffic Control Systems (AREA)
- Control Of Driving Devices And Active Controlling Of Vehicle (AREA)
- Small-Scale Networks (AREA)
Abstract
車載制御装置(130)は、複数の運転制御装置(110、120)のうちの一部でサイバー攻撃が検知された場合に、車載制御システム(100)の動作状態を通常状態から一部確認状態へ切り替える。前記通常状態は、前記複数の運転制御装置の少なくともいずれかを利用して自動運転を行う動作状態である。前記一部確認状態は、サイバー攻撃が検知されていない正常な運転制御装置の少なくともいずれかを利用して自動運転を行うと共に、サイバー攻撃が検知された運転制御装置のそれぞれのセキュリティを確認する動作状態である。
Description
本発明は、自動運転のための車載システムに関するものである。
車両の自動運転を実現するために、安全性が高い車載制御システムの提供が望まれている。
特許文献1には、車両制御システムが開示されている。
この車両制御システムは、自動運転統合ECUと自動駐車ECUとを備える。そして、自動運転統合ECUが故障した場合には自動駐車ECUが自動運転統合ECUの機能を代替する。ECUはElectronic Control Unitの略称である。
特許文献1には、車両制御システムが開示されている。
この車両制御システムは、自動運転統合ECUと自動駐車ECUとを備える。そして、自動運転統合ECUが故障した場合には自動駐車ECUが自動運転統合ECUの機能を代替する。ECUはElectronic Control Unitの略称である。
車載制御システムは電子制御を利用して動作するため、サイバー攻撃に対する安全性の確保が重要である。
特許文献1に開示された車両制御システムでは、故障していなければ自動運転統合ECUによって自動運転が行われる。自動運転統合ECUに対するサイバー攻撃は考慮されていない。そのため、故障していない自動運転制御ECUがサイバー攻撃を受けると、安全性が確保されない可能性がある。
特許文献1に開示された車両制御システムでは、故障していなければ自動運転統合ECUによって自動運転が行われる。自動運転統合ECUに対するサイバー攻撃は考慮されていない。そのため、故障していない自動運転制御ECUがサイバー攻撃を受けると、安全性が確保されない可能性がある。
本発明は、サイバー攻撃を考慮して安全性が高い車載制御システムを提供できるようにすることを目的とする。
本発明の車載制御装置は、車両の自動運転を行う車載制御システムに備わる。
前記車載制御システムは、前記車両の自動運転のための複数の運転制御装置を備える。
前記車載制御装置は、
前記複数の運転制御装置のうちの一部でサイバー攻撃が検知された場合に、前記車載制御システムの動作状態を通常状態から一部確認状態へ切り替える通常状態部を備える。
前記通常状態は、前記複数の運転制御装置の少なくともいずれかを利用して自動運転を行う動作状態である。
前記一部確認状態は、サイバー攻撃が検知されていない正常な運転制御装置の少なくともいずれかを利用して自動運転を行うと共に、サイバー攻撃が検知された運転制御装置のそれぞれのセキュリティを確認する動作状態である。
前記車載制御システムは、前記車両の自動運転のための複数の運転制御装置を備える。
前記車載制御装置は、
前記複数の運転制御装置のうちの一部でサイバー攻撃が検知された場合に、前記車載制御システムの動作状態を通常状態から一部確認状態へ切り替える通常状態部を備える。
前記通常状態は、前記複数の運転制御装置の少なくともいずれかを利用して自動運転を行う動作状態である。
前記一部確認状態は、サイバー攻撃が検知されていない正常な運転制御装置の少なくともいずれかを利用して自動運転を行うと共に、サイバー攻撃が検知された運転制御装置のそれぞれのセキュリティを確認する動作状態である。
本発明によれば、サイバー攻撃を考慮して安全性が高い車載制御システムを提供することができる。
実施の形態および図面において、同じ要素または対応する要素には同じ符号を付している。説明した要素と同じ符号が付された要素の説明は適宜に省略または簡略化する。図中の矢印はデータの流れ又は処理の流れを主に示している。
実施の形態1.
車載制御システム100について、図1から図11に基づいて説明する。
車載制御システム100について、図1から図11に基づいて説明する。
***構成の説明***
図1に基づいて、車載制御システム100の構成を説明する。
車載制御システム100は、車両に搭載されるシステムであり、車両の自動運転を制御する。
具体的には、車載制御システム100は、第1アクチュエータECU151を介して第1アクチュエータ161を制御し、第2アクチュエータECU152を介して第2アクチュエータ162を制御する。
図1に基づいて、車載制御システム100の構成を説明する。
車載制御システム100は、車両に搭載されるシステムであり、車両の自動運転を制御する。
具体的には、車載制御システム100は、第1アクチュエータECU151を介して第1アクチュエータ161を制御し、第2アクチュエータECU152を介して第2アクチュエータ162を制御する。
第1アクチュエータECU151と第2アクチュエータECU152とのいずれかを特定しない場合、それぞれを「アクチュエータECU」と称する。
第1アクチュエータ161と第2アクチュエータ162とのいずれかを特定しない場合、それぞれを「アクチュエータ」と称する。
アクチュエータは、車両を駆動する機器である。例えば、アクチュエータは、モータ、エンジン、ブレーキまたはステアリングなどである。
アクチュエータECUは、アクチュエータを制御する装置である。
車載制御システム100は、1つのアクチュエータを制御してもよいし、3つ以上のアクチュエータを制御してもよい。
第1アクチュエータ161と第2アクチュエータ162とのいずれかを特定しない場合、それぞれを「アクチュエータ」と称する。
アクチュエータは、車両を駆動する機器である。例えば、アクチュエータは、モータ、エンジン、ブレーキまたはステアリングなどである。
アクチュエータECUは、アクチュエータを制御する装置である。
車載制御システム100は、1つのアクチュエータを制御してもよいし、3つ以上のアクチュエータを制御してもよい。
車載制御システム100は、第1自動運転ECU110と第2自動運転ECU120とを備える。
第1自動運転ECU110と第2自動運転ECU120とは、互いに異なる実装で実現される等の対策により、同時にサイバー攻撃の影響を受けない。
第1自動運転ECU110と第2自動運転ECU120とのいずれかを特定しない場合、それぞれの「自動運転ECU」と称する。
自動運転ECUは、車両の自動運転のための運転制御情報を出力する装置(運転制御装置)である。
車載制御システム100は、3つ以上の自動運転ECUを備えてもよい。
第1自動運転ECU110と第2自動運転ECU120とは、互いに異なる実装で実現される等の対策により、同時にサイバー攻撃の影響を受けない。
第1自動運転ECU110と第2自動運転ECU120とのいずれかを特定しない場合、それぞれの「自動運転ECU」と称する。
自動運転ECUは、車両の自動運転のための運転制御情報を出力する装置(運転制御装置)である。
車載制御システム100は、3つ以上の自動運転ECUを備えてもよい。
車載制御システム100は、ハブA130とハブB140とを備える。
ハブA130とハブB140とのそれぞれが書き替えができないROMを用いて実現される等の対策により、ハブA130とハブB140とのそれぞれに対するサイバー攻撃は困難である。
ハブA130とハブB140とのいずれかを特定しない場合、それぞれを「ハブ」と称する。ハブはネットワーク機器である。
自動運転ECUとハブとを繋ぐ通信ケーブル(通信ネットワーク)に対して改ざん検知などの対策を施すことにより、通信ネットワークに対するサイバー攻撃は困難である。
ハブA130とハブB140とのそれぞれが書き替えができないROMを用いて実現される等の対策により、ハブA130とハブB140とのそれぞれに対するサイバー攻撃は困難である。
ハブA130とハブB140とのいずれかを特定しない場合、それぞれを「ハブ」と称する。ハブはネットワーク機器である。
自動運転ECUとハブとを繋ぐ通信ケーブル(通信ネットワーク)に対して改ざん検知などの対策を施すことにより、通信ネットワークに対するサイバー攻撃は困難である。
各ハブは、収集部を備える。収集部は回路、ソフトウェアまたはこれらの組み合わせで実現される。
ハブA130の収集部は、センサA101とセンサB102とからセンサ情報を収集する。ハブB140の収集部は、センサC103とセンサD104とからセンサ情報を収集する。センサA101とセンサB102とセンサC103とセンサD104とのいずれかを特定しない場合、それぞれを「センサ」と称する。
センサは、車両周辺の状況を検出する機器である。センサ情報は、センサによって得られた情報である。例えば、センサは、他車両などを検知するためのカメラまたはレーザレーダである。
ハブA130の収集部は、センサA101とセンサB102とからセンサ情報を収集する。ハブB140の収集部は、センサC103とセンサD104とからセンサ情報を収集する。センサA101とセンサB102とセンサC103とセンサD104とのいずれかを特定しない場合、それぞれを「センサ」と称する。
センサは、車両周辺の状況を検出する機器である。センサ情報は、センサによって得られた情報である。例えば、センサは、他車両などを検知するためのカメラまたはレーザレーダである。
各自動運転ECUは、認識部と通常演算部と緊急演算部と故障検知部と攻撃検知部とセキュリティ検証部とを備える。これらの要素は回路、ソフトウェアまたはこれらの組み合わせで実現される。
認識部は、収集されたセンサ情報に基づいて、車両周辺の状況を認識する。車両周辺の状況を認識する方法は任意である。
通常演算部は、認識された状況に基づいて、通常時の走行経路(通常経路)を算出する。通常経路を算出する方法は任意である。通常経路を示す情報(通常経路情報)は、車両制御情報として出力される。
緊急演算部は、認識された状況に基づいて、緊急時の走行経路(緊急経路)を算出する。緊急経路を算出する方法は任意である。緊急経路を示す情報(緊急経路情報)は、車両制御情報として出力される。
故障検知部は、自動運転ECUで発生した故障を検知する。例えば、複数の自動運転ECUで算出された複数の通常経路を比較し、比較結果に基づいて故障を検知する。故障を検知する方法は任意である。
攻撃検知部は、自動運転ECUで発生したサイバー攻撃を検知する。サイバー攻撃を検知する方法は任意である。
セキュリティ検証部は、サイバー攻撃が検知された場合にセキュリティ機能の修復を試み、セキュリティが確保されるか否かを判定する。例えば、セキュリティ検証部は、自動運転ECUを再起動する。そして、セキュリティ検証部は、セキュリティ機能が正常であるか、つまり、セキュリティが確保されたかをセキュアブートによって判定する。セキュリティを確認する方法は任意である。
認識部は、収集されたセンサ情報に基づいて、車両周辺の状況を認識する。車両周辺の状況を認識する方法は任意である。
通常演算部は、認識された状況に基づいて、通常時の走行経路(通常経路)を算出する。通常経路を算出する方法は任意である。通常経路を示す情報(通常経路情報)は、車両制御情報として出力される。
緊急演算部は、認識された状況に基づいて、緊急時の走行経路(緊急経路)を算出する。緊急経路を算出する方法は任意である。緊急経路を示す情報(緊急経路情報)は、車両制御情報として出力される。
故障検知部は、自動運転ECUで発生した故障を検知する。例えば、複数の自動運転ECUで算出された複数の通常経路を比較し、比較結果に基づいて故障を検知する。故障を検知する方法は任意である。
攻撃検知部は、自動運転ECUで発生したサイバー攻撃を検知する。サイバー攻撃を検知する方法は任意である。
セキュリティ検証部は、サイバー攻撃が検知された場合にセキュリティ機能の修復を試み、セキュリティが確保されるか否かを判定する。例えば、セキュリティ検証部は、自動運転ECUを再起動する。そして、セキュリティ検証部は、セキュリティ機能が正常であるか、つまり、セキュリティが確保されたかをセキュアブートによって判定する。セキュリティを確認する方法は任意である。
ハブA130は、通常経路部と緊急経路部とを備える。通常経路部と緊急経路部とのそれぞれは記憶媒体で実現される。
通常経路部は、通常経路情報を記憶する。
緊急経路部は、緊急経路情報を記憶する。
通常経路部は、通常経路情報を記憶する。
緊急経路部は、緊急経路情報を記憶する。
ハブA130は、切替部を備え、車載制御装置として機能する。
切替部は、複数の運転制御装置(110、120)の状況に基づいて、車載制御システム100の動作状態を切り替える。
切替部は回路、ソフトウェアまたはこれらの組み合わせで実現される。
切替部は、複数の運転制御装置(110、120)の状況に基づいて、車載制御システム100の動作状態を切り替える。
切替部は回路、ソフトウェアまたはこれらの組み合わせで実現される。
図2に基づいて、ハブA130の切替部の構成を説明する。
ハブA130の切替部は、通常状態部131と一部確認状態部132と一部動作状態部133と縮退確認状態部134と全部確認状態部135と縮退状態部136とを備える。これら要素の機能については後述する。
ハブA130の切替部は、通常状態部131と一部確認状態部132と一部動作状態部133と縮退確認状態部134と全部確認状態部135と縮退状態部136とを備える。これら要素の機能については後述する。
***動作の説明***
車載制御システム100の動作の手順は車載制御方法に相当する。
車載制御システム100の動作の手順は車載制御方法に相当する。
図3に基づいて、車載制御方法について説明する。
ステップS110は、車載制御システム100の動作状態が「通常状態」であるときの処理であり、切替部の通常状態部131によって実行される。
「通常状態」は、複数の運転制御装置(110、120)の全てが正常である場合の動作状態である。正常な運転制御装置は、故障しておらず且つセキュリティが確保されている。
ステップS110において、通常状態部131は、複数の運転制御装置(110、120)の少なくともいずれかを利用して自動運転を行う。
複数の運転制御装置のうちの一部でサイバー攻撃が検知された場合に、通常状態部131は、車載制御システム100の動作状態を「通常状態」から「一部確認状態」へ切り替える。
複数の運転制御装置のうちの一部で故障が検知された場合に、通常状態部131は、車載制御システム100の動作状態を「通常状態」から「一部動作状態」へ切り替える。
ステップS110は、車載制御システム100の動作状態が「通常状態」であるときの処理であり、切替部の通常状態部131によって実行される。
「通常状態」は、複数の運転制御装置(110、120)の全てが正常である場合の動作状態である。正常な運転制御装置は、故障しておらず且つセキュリティが確保されている。
ステップS110において、通常状態部131は、複数の運転制御装置(110、120)の少なくともいずれかを利用して自動運転を行う。
複数の運転制御装置のうちの一部でサイバー攻撃が検知された場合に、通常状態部131は、車載制御システム100の動作状態を「通常状態」から「一部確認状態」へ切り替える。
複数の運転制御装置のうちの一部で故障が検知された場合に、通常状態部131は、車載制御システム100の動作状態を「通常状態」から「一部動作状態」へ切り替える。
ステップS120は、車載制御システム100の動作状態が「一部確認状態」であるときの処理であり、切替部の一部確認状態部132によって実行される。
「一部確認状態」は、複数の運転制御装置(110、120)の一部が正常であり、且つ、複数の運転制御装置の一部でサイバー攻撃が検知された場合の動作状態である。
ステップS120において、一部確認状態部132は、正常な運転制御装置の少なくともいずれかを利用して自動運転を行うと共に、サイバー攻撃が検知された運転制御装置のそれぞれのセキュリティを確認する。
「通常状態」でサイバー攻撃が検知された運転制御装置の全てでセキュリティが確保された場合に、一部確認状態部132は、車載制御システム100の動作状態を「一部確認状態」から「通常状態」へ切り替える。
「通常状態」でサイバー攻撃が検知された運転制御装置の全てでセキュリティが確保されなかった場合に、一部確認状態部132は、車載制御システム100の動作状態を「一部確認状態」から「一部動作状態」へ切り替える。
「一部確認状態」で正常な運転制御装置の全てでサイバー攻撃が検知された場合に、一部確認状態部132は、車載制御システム100の動作状態を「一部確認状態」から「全部確認状態」へ切り替える。
「一部確認状態」で正常な運転制御装置の一部で故障が検知された場合に、一部確認状態部132は、車載制御システム100の動作状態を「一部確認状態」から「一部動作状態」へ切り替える。
「一部確認状態」は、複数の運転制御装置(110、120)の一部が正常であり、且つ、複数の運転制御装置の一部でサイバー攻撃が検知された場合の動作状態である。
ステップS120において、一部確認状態部132は、正常な運転制御装置の少なくともいずれかを利用して自動運転を行うと共に、サイバー攻撃が検知された運転制御装置のそれぞれのセキュリティを確認する。
「通常状態」でサイバー攻撃が検知された運転制御装置の全てでセキュリティが確保された場合に、一部確認状態部132は、車載制御システム100の動作状態を「一部確認状態」から「通常状態」へ切り替える。
「通常状態」でサイバー攻撃が検知された運転制御装置の全てでセキュリティが確保されなかった場合に、一部確認状態部132は、車載制御システム100の動作状態を「一部確認状態」から「一部動作状態」へ切り替える。
「一部確認状態」で正常な運転制御装置の全てでサイバー攻撃が検知された場合に、一部確認状態部132は、車載制御システム100の動作状態を「一部確認状態」から「全部確認状態」へ切り替える。
「一部確認状態」で正常な運転制御装置の一部で故障が検知された場合に、一部確認状態部132は、車載制御システム100の動作状態を「一部確認状態」から「一部動作状態」へ切り替える。
ステップS130は、車載制御システム100の動作状態が「一部動作状態」であるときの処理であり、一部動作状態部133によって実行される。
「一部動作状態」は、複数の運転制御装置(110、120)の一部が正常であり、且つ、複数の運転制御装置の残りが異常である場合の動作状態である。異常な運転制御装置は、故障しているか、又は、セキュリティ異常が生じている。セキュリティ異常は、セキュリティの確保を試みたがセキュリティを確保できなかった状況である。
ステップS130において、一部動作状態部133は、正常な運転制御装置の少なくともいずれかを利用して自動運転を行う。
「一部動作状態」で正常な運転制御装置の全てでサイバー攻撃が検知された場合に、一部動作状態部133は、車載制御システム100の動作状態を「一部動作状態」から「縮退確認状態」へ切り替える。
「一部動作状態」で正常な運転制御装置の全てで故障が検知された場合に、一部動作状態部133は、車載制御システム100の動作状態を「一部動作状態」から「縮退状態」へ切り替える。
「一部動作状態」は、複数の運転制御装置(110、120)の一部が正常であり、且つ、複数の運転制御装置の残りが異常である場合の動作状態である。異常な運転制御装置は、故障しているか、又は、セキュリティ異常が生じている。セキュリティ異常は、セキュリティの確保を試みたがセキュリティを確保できなかった状況である。
ステップS130において、一部動作状態部133は、正常な運転制御装置の少なくともいずれかを利用して自動運転を行う。
「一部動作状態」で正常な運転制御装置の全てでサイバー攻撃が検知された場合に、一部動作状態部133は、車載制御システム100の動作状態を「一部動作状態」から「縮退確認状態」へ切り替える。
「一部動作状態」で正常な運転制御装置の全てで故障が検知された場合に、一部動作状態部133は、車載制御システム100の動作状態を「一部動作状態」から「縮退状態」へ切り替える。
ステップS140は、車載制御システム100の動作状態が「縮退確認状態」であるときの処理であり、縮退確認状態部134によって実行される。
「縮退確認状態」は、複数の運転制御装置(110、120)の一部が異常であり、且つ、複数の運転制御装置の残りでサーバ攻撃が検知された場合の動作状態である。
ステップS140において、縮退確認状態部134は、縮退動作を行うと共に、「一部動作状態」でサーバ攻撃が検知された運転制御装置のそれぞれのセキュリティを確認する。
「一部動作状態」でサイバー攻撃が検知された運転制御装置の全てでセキュリティが確保された場合に、縮退確認状態部134は、車載制御システム100の動作状態を「縮退確認状態」から「一部動作状態」へ切り替える。
「一部動作状態」でサイバー攻撃が検知された運転制御装置の全てでセキュリティが確保されなかった場合に、縮退確認状態部134は、車載制御システム100の動作状態を「縮退確認状態」から「縮退状態」へ切り替える。
「縮退確認状態」は、複数の運転制御装置(110、120)の一部が異常であり、且つ、複数の運転制御装置の残りでサーバ攻撃が検知された場合の動作状態である。
ステップS140において、縮退確認状態部134は、縮退動作を行うと共に、「一部動作状態」でサーバ攻撃が検知された運転制御装置のそれぞれのセキュリティを確認する。
「一部動作状態」でサイバー攻撃が検知された運転制御装置の全てでセキュリティが確保された場合に、縮退確認状態部134は、車載制御システム100の動作状態を「縮退確認状態」から「一部動作状態」へ切り替える。
「一部動作状態」でサイバー攻撃が検知された運転制御装置の全てでセキュリティが確保されなかった場合に、縮退確認状態部134は、車載制御システム100の動作状態を「縮退確認状態」から「縮退状態」へ切り替える。
ステップS150は、車載制御システム100の動作状態が「全部確認状態」であるときの処理であり、全部確認状態部135によって実行される。
「全部確認状態」は、複数の運転制御装置(110、120)の全てでサイバー攻撃が検知された場合の動作状態である。
ステップS150において、全部確認状態部135は、縮退動作を行うと共に、複数の運転制御装置(110、120)のそれぞれのセキュリティを確認する。
複数の運転制御装置の全てでセキュリティが確保された場合に、全部確認状態部135は、車載制御システム100の動作状態を「全部確認状態」から「通常状態」へ切り替える。
複数の運転制御装置の一部でセキュリティが確保されたが複数の運転制御装置の残りでセキュリティが確保されなかった場合に、全部確認状態部135は、車載制御システム100の動作状態を「全部確認状態」から「一部動作状態」へ切り替える。
複数の制御装置の全てでセキュリティが確保されなかった場合に、全部確認状態部135は、車載制御システム100の動作状態を「全部確認状態」から「縮退状態」へ切り替える。
「全部確認状態」は、複数の運転制御装置(110、120)の全てでサイバー攻撃が検知された場合の動作状態である。
ステップS150において、全部確認状態部135は、縮退動作を行うと共に、複数の運転制御装置(110、120)のそれぞれのセキュリティを確認する。
複数の運転制御装置の全てでセキュリティが確保された場合に、全部確認状態部135は、車載制御システム100の動作状態を「全部確認状態」から「通常状態」へ切り替える。
複数の運転制御装置の一部でセキュリティが確保されたが複数の運転制御装置の残りでセキュリティが確保されなかった場合に、全部確認状態部135は、車載制御システム100の動作状態を「全部確認状態」から「一部動作状態」へ切り替える。
複数の制御装置の全てでセキュリティが確保されなかった場合に、全部確認状態部135は、車載制御システム100の動作状態を「全部確認状態」から「縮退状態」へ切り替える。
ステップS160は、車載制御システム100の動作状態が「縮退状態」であるときの処理であり、縮退状態部136によって実行される。
「縮退状態」は、複数の運転制御装置(110、120)の全てが異常である場合の動作状態である。
ステップS160において、縮退状態部136は縮退動作を行う。縮退動作は予め決められた任意の動作である。
「縮退状態」は、複数の運転制御装置(110、120)の全てが異常である場合の動作状態である。
ステップS160において、縮退状態部136は縮退動作を行う。縮退動作は予め決められた任意の動作である。
なお、ステップS110からステップS150の各状態において、全ての運転制御装置で故障が検知された場合またはその他のシステム異常が検知された場合、車載制御システム100の動作状態が「縮退状態」へ切り替わる。例えば、センサの異常が発生した場合、または、自動運転ECU間で演算結果が一致しない場合、システム異常が検知され、車載制御システム100の動作状態が「縮退状態」へ切り替わる。
以下に、車載制御方法における具体的な処理手順を説明する。
図4に基づいて、通常状態(S110)の処理手順を説明する。
第1自動運転ECU110と第2自動運転ECU120との両方が正常であると仮定する。
図4に基づいて、通常状態(S110)の処理手順を説明する。
第1自動運転ECU110と第2自動運転ECU120との両方が正常であると仮定する。
ステップS111において、通常状態部131は、ハブA130、すなわち、車載制御装置が正常に起動したか検証する。例えば、通常状態部131は、セキュアブートによって検証する。検証方法は任意である。
ハブA130(車載制御装置)が正常に起動した場合、処理はステップS112に進む。
ハブA130(車載制御装置)が正常に起動しなかった場合、自動運転機能が停止し、処理は終了する。
ハブA130(車載制御装置)が正常に起動した場合、処理はステップS112に進む。
ハブA130(車載制御装置)が正常に起動しなかった場合、自動運転機能が停止し、処理は終了する。
ステップS112において、通常状態部131は自動運転を行う。
例えば、通常状態部131は、第1自動運転ECU110の通常経路情報をアクチュエータECUに入力することにより、アクチュエータを制御する。その結果、車両が通常経路を走行する。
例えば、通常状態部131は、第1自動運転ECU110の通常経路情報をアクチュエータECUに入力することにより、アクチュエータを制御する。その結果、車両が通常経路を走行する。
ステップS113において、通常状態部131は、第1自動運転ECU110と第2自動運転ECU120とのいずれかで故障が検知されたか判定する。
具体的には、第1自動運転ECU110の故障検知部から故障検知が通知された場合に、通常状態部131は、第1自動運転ECU110で故障が検知されたと判定する。また、第2自動運転ECU120の故障検知部から故障検知が通知された場合に、通常状態部131は、第2自動運転ECU120で故障が検知されたと判定する。
第1自動運転ECU110と第2自動運転ECU120とのいずれかで故障が検知された場合、通常状態部131は一部動作状態部133を呼び出す。その後、一部動作状態部133によって一部動作状態(S130)の処理が実行される。
第1自動運転ECU110と第2自動運転ECU120とのいずれでも故障が検知されなかった場合、処理はステップS114に進む。
具体的には、第1自動運転ECU110の故障検知部から故障検知が通知された場合に、通常状態部131は、第1自動運転ECU110で故障が検知されたと判定する。また、第2自動運転ECU120の故障検知部から故障検知が通知された場合に、通常状態部131は、第2自動運転ECU120で故障が検知されたと判定する。
第1自動運転ECU110と第2自動運転ECU120とのいずれかで故障が検知された場合、通常状態部131は一部動作状態部133を呼び出す。その後、一部動作状態部133によって一部動作状態(S130)の処理が実行される。
第1自動運転ECU110と第2自動運転ECU120とのいずれでも故障が検知されなかった場合、処理はステップS114に進む。
ステップS114において、通常状態部131は、第1自動運転ECU110と第2自動運転ECU120とのいずれかでサイバー攻撃が検知されたか判定する。
具体的には、第1自動運転ECU110の攻撃検知部から攻撃検知が通知された場合に、通常状態部131は、第1自動運転ECU110でサイバー攻撃が検知されたと判定する。また、第2自動運転ECU120の攻撃検知部から攻撃検知が通知された場合に、通常状態部131は、第2自動運転ECU120でサイバー攻撃が検知されたと判定する。
第1自動運転ECU110と第2自動運転ECU120とのいずれかでサイバー攻撃が検知された場合、通常状態部131は一部確認状態部132を呼び出す。その後、一部確認状態部132によって一部確認状態(S120)の処理が実行される。
第1自動運転ECU110と第2自動運転ECU120とのいずれでもサイバー攻撃が検知されなかった場合、処理はステップS112に進む。
具体的には、第1自動運転ECU110の攻撃検知部から攻撃検知が通知された場合に、通常状態部131は、第1自動運転ECU110でサイバー攻撃が検知されたと判定する。また、第2自動運転ECU120の攻撃検知部から攻撃検知が通知された場合に、通常状態部131は、第2自動運転ECU120でサイバー攻撃が検知されたと判定する。
第1自動運転ECU110と第2自動運転ECU120とのいずれかでサイバー攻撃が検知された場合、通常状態部131は一部確認状態部132を呼び出す。その後、一部確認状態部132によって一部確認状態(S120)の処理が実行される。
第1自動運転ECU110と第2自動運転ECU120とのいずれでもサイバー攻撃が検知されなかった場合、処理はステップS112に進む。
図5に基づいて、一部確認状態(S120)の処理手順を説明する。
第1自動運転ECU110が正常であり、且つ、第2自動運転ECU120でサイバー攻撃が検知されたと仮定する。
第1自動運転ECU110が正常であり、且つ、第2自動運転ECU120でサイバー攻撃が検知されたと仮定する。
ステップS121において、一部確認状態部132は自動運転を行う。
具体的には、一部確認状態部132は、第1自動運転ECU110の通常経路情報をアクチュエータECUに入力することにより、アクチュエータを制御する。その結果、車両が通常経路を走行する。
具体的には、一部確認状態部132は、第1自動運転ECU110の通常経路情報をアクチュエータECUに入力することにより、アクチュエータを制御する。その結果、車両が通常経路を走行する。
ステップS122において、一部確認状態部132は、第2自動運転ECU120のセキュリティを確認する。
具体的には、第2自動運転ECU120のセキュリティ検証部からセキュリティ確保が通知された場合に、一部確認状態部132は、第2自動運転ECU120のセキュリティが確保されたと判定する。
第2自動運転ECU120のセキュリティが確保された場合、一部確認状態部132は通常状態部131を呼び出す。その後、通常状態部131によって通常状態(S110)の処理が実行される。
第2自動運転ECU120のセキュリティが確保されていない場合、処理はステップS123に進む。
具体的には、第2自動運転ECU120のセキュリティ検証部からセキュリティ確保が通知された場合に、一部確認状態部132は、第2自動運転ECU120のセキュリティが確保されたと判定する。
第2自動運転ECU120のセキュリティが確保された場合、一部確認状態部132は通常状態部131を呼び出す。その後、通常状態部131によって通常状態(S110)の処理が実行される。
第2自動運転ECU120のセキュリティが確保されていない場合、処理はステップS123に進む。
ステップS123において、一部確認状態部132は、第1自動運転ECU110でサイバー攻撃が検知されたか判定する。
具体的には、第1自動運転ECU110の攻撃検知部から攻撃検知が通知された場合に、一部確認状態部132は、第1自動運転ECU110でサイバー攻撃が検知されたと判定する。
第1自動運転ECU110でサイバー攻撃が検知された場合、一部確認状態部132は全部確認状態部135を呼び出す。その後、全部確認状態部135によって全部確認状態(S150)の処理が実行される。
具体的には、第1自動運転ECU110の攻撃検知部から攻撃検知が通知された場合に、一部確認状態部132は、第1自動運転ECU110でサイバー攻撃が検知されたと判定する。
第1自動運転ECU110でサイバー攻撃が検知された場合、一部確認状態部132は全部確認状態部135を呼び出す。その後、全部確認状態部135によって全部確認状態(S150)の処理が実行される。
ステップS124において、一部確認状態部132は、第1自動運転ECU110と第2自動運転ECU120とのいずれかで故障が検知されたか判定する。
具体的には、第1自動運転ECU110の故障検知部から故障検知が通知された場合に、一部確認状態部132は、第1自動運転ECU110で故障が検知されたと判定する。また、第2自動運転ECU120の故障検知部から故障検知が通知された場合に、一部確認状態部132は、第2自動運転ECU120で故障が検知されたと判定する。
第1自動運転ECU110と第2自動運転ECU120とのいずれかで故障が検知された場合、一部確認状態部132は一部動作状態部133を呼び出す。その後、一部動作状態部133によって一部動作状態(S130)の処理が実行される。
第1自動運転ECU110と第2自動運転ECU120とのいずれでも故障が検知されていない場合、処理はステップS125に進む。
具体的には、第1自動運転ECU110の故障検知部から故障検知が通知された場合に、一部確認状態部132は、第1自動運転ECU110で故障が検知されたと判定する。また、第2自動運転ECU120の故障検知部から故障検知が通知された場合に、一部確認状態部132は、第2自動運転ECU120で故障が検知されたと判定する。
第1自動運転ECU110と第2自動運転ECU120とのいずれかで故障が検知された場合、一部確認状態部132は一部動作状態部133を呼び出す。その後、一部動作状態部133によって一部動作状態(S130)の処理が実行される。
第1自動運転ECU110と第2自動運転ECU120とのいずれでも故障が検知されていない場合、処理はステップS125に進む。
ステップS125において、一部確認状態部132は、セキュリティの確認がタイムアウトしたか判定する。
具体的には、一部確認状態部132は、一部確認状態(S120)の処理の開始から経過した時間が確認待ち時間を超えたか判定する。確認待ち時間は、セキュリティを確認するための時間として予め決められた時間(例えば、2秒)である。
セキュリティの確認がタイムアウトした場合、一部確認状態部132は一部動作状態部133を呼び出す。その後、一部動作状態部133によって一部動作状態(S130)の処理が実行される。
セキュリティの確認がタイムアウトしていない場合、処理はステップS121に進む。
具体的には、一部確認状態部132は、一部確認状態(S120)の処理の開始から経過した時間が確認待ち時間を超えたか判定する。確認待ち時間は、セキュリティを確認するための時間として予め決められた時間(例えば、2秒)である。
セキュリティの確認がタイムアウトした場合、一部確認状態部132は一部動作状態部133を呼び出す。その後、一部動作状態部133によって一部動作状態(S130)の処理が実行される。
セキュリティの確認がタイムアウトしていない場合、処理はステップS121に進む。
図6に基づいて、一部動作状態(S130)の処理手順を説明する。
第1自動運転ECU110が正常であり、且つ、第2自動運転ECU120が異常であると仮定する。
第1自動運転ECU110が正常であり、且つ、第2自動運転ECU120が異常であると仮定する。
ステップS131において、一部動作状態部133は自動運転を行う。
具体的には、一部動作状態部133は、第1自動運転ECU110の通常経路情報をアクチュエータECUに入力することにより、アクチュエータを制御する。その結果、車両が通常経路を走行する。
具体的には、一部動作状態部133は、第1自動運転ECU110の通常経路情報をアクチュエータECUに入力することにより、アクチュエータを制御する。その結果、車両が通常経路を走行する。
ステップS132において、一部動作状態部133は、第1自動運転ECU110で故障が検知されたか判定する。
具体的には、第1自動運転ECU110の故障検知部から故障検知が通知された場合に、一部動作状態部133は、第1自動運転ECU110で故障が検知されたと判定する。
第1自動運転ECU110で故障が検知された場合、一部動作状態部133は縮退状態部136を呼び出す。その後、縮退状態部136によって縮退状態(S160)の処理が実行される。
第1自動運転ECU110で故障が検知されていない場合、処理はステップS133に進む。
具体的には、第1自動運転ECU110の故障検知部から故障検知が通知された場合に、一部動作状態部133は、第1自動運転ECU110で故障が検知されたと判定する。
第1自動運転ECU110で故障が検知された場合、一部動作状態部133は縮退状態部136を呼び出す。その後、縮退状態部136によって縮退状態(S160)の処理が実行される。
第1自動運転ECU110で故障が検知されていない場合、処理はステップS133に進む。
ステップS133において、一部動作状態部133は、第1自動運転ECU110でサイバー攻撃が検知されたか判定する。
具体的には、第1自動運転ECU110の攻撃検知部から攻撃検知が通知された場合に、一部動作状態部133は、第1自動運転ECU110でサイバー攻撃が検知されたと判定する。
第1自動運転ECU110でサイバー攻撃が検知された場合、一部動作状態部133は縮退確認状態部134を呼び出す。その後、縮退確認状態部134によって縮退確認状態(S140)の処理が実行される。
第1自動運転ECU110でサイバー攻撃が検知されていない場合、処理はステップS131に進む。
具体的には、第1自動運転ECU110の攻撃検知部から攻撃検知が通知された場合に、一部動作状態部133は、第1自動運転ECU110でサイバー攻撃が検知されたと判定する。
第1自動運転ECU110でサイバー攻撃が検知された場合、一部動作状態部133は縮退確認状態部134を呼び出す。その後、縮退確認状態部134によって縮退確認状態(S140)の処理が実行される。
第1自動運転ECU110でサイバー攻撃が検知されていない場合、処理はステップS131に進む。
図7に基づいて、縮退確認状態(S140)の処理手順を説明する。
第1自動運転ECU110でサイバー攻撃が検知され、且つ、第2自動運転ECU120が故障であると仮定する。
第1自動運転ECU110でサイバー攻撃が検知され、且つ、第2自動運転ECU120が故障であると仮定する。
ステップS141において、縮退確認状態部134は縮退動作を行う。
具体的には、縮退確認状態部134は、第1自動運転ECU110の正常時の緊急経路情報をアクチュエータECUに入力することによって、アクチュエータを制御する。その結果、車両が緊急経路を走行する。
具体的には、縮退確認状態部134は、第1自動運転ECU110の正常時の緊急経路情報をアクチュエータECUに入力することによって、アクチュエータを制御する。その結果、車両が緊急経路を走行する。
ステップS142において、縮退確認状態部134は、第1自動運転ECU110のセキュリティを確認する。
具体的には、第1自動運転ECU110のセキュリティ検証部からセキュリティ確保が通知された場合に、縮退確認状態部134は、第1自動運転ECU110のセキュリティが確保されたと判定する。
第1自動運転ECU110のセキュリティが確保された場合、縮退確認状態部134は一部動作状態部133を呼び出す。その後、一部動作状態部133によって一部動作状態(S130)の処理が実行される。
第1自動運転ECU110のセキュリティが確保されていない場合、処理はステップS143に進む。
具体的には、第1自動運転ECU110のセキュリティ検証部からセキュリティ確保が通知された場合に、縮退確認状態部134は、第1自動運転ECU110のセキュリティが確保されたと判定する。
第1自動運転ECU110のセキュリティが確保された場合、縮退確認状態部134は一部動作状態部133を呼び出す。その後、一部動作状態部133によって一部動作状態(S130)の処理が実行される。
第1自動運転ECU110のセキュリティが確保されていない場合、処理はステップS143に進む。
ステップS143において、縮退確認状態部134は、第1自動運転ECU110で故障が検知されたか判定する。
具体的には、第1自動運転ECU110の故障検知部から故障検知が通知された場合に、縮退確認状態部134は、第1自動運転ECU110で故障が検知されたと判定する。
第1自動運転ECU110で故障が検知された場合、縮退確認状態部134は縮退状態部136を呼び出す。その後、縮退状態部136によって縮退状態(S160)の処理が実行される。
第1自動運転ECU110で故障が検知されていない場合、処理はステップS144に進む。
具体的には、第1自動運転ECU110の故障検知部から故障検知が通知された場合に、縮退確認状態部134は、第1自動運転ECU110で故障が検知されたと判定する。
第1自動運転ECU110で故障が検知された場合、縮退確認状態部134は縮退状態部136を呼び出す。その後、縮退状態部136によって縮退状態(S160)の処理が実行される。
第1自動運転ECU110で故障が検知されていない場合、処理はステップS144に進む。
ステップS144において、縮退確認状態部134は、セキュリティの確認がタイムアウトしたか判定する。
具体的には、縮退確認状態部134は、縮退確認状態(S140)の処理の開始から経過した時間が確認待ち時間を超えたか判定する。確認待ち時間は、セキュリティを確認するための時間として予め決められた時間(例えば、2秒)である。
セキュリティの確認がタイムアウトした場合、縮退確認状態部134は縮退状態部136を呼び出す。その後、縮退状態部136によって縮退状態(S160)の処理が実行される。
セキュリティの確認がタイムアウトしていない場合、処理はステップS141に進む。
具体的には、縮退確認状態部134は、縮退確認状態(S140)の処理の開始から経過した時間が確認待ち時間を超えたか判定する。確認待ち時間は、セキュリティを確認するための時間として予め決められた時間(例えば、2秒)である。
セキュリティの確認がタイムアウトした場合、縮退確認状態部134は縮退状態部136を呼び出す。その後、縮退状態部136によって縮退状態(S160)の処理が実行される。
セキュリティの確認がタイムアウトしていない場合、処理はステップS141に進む。
図8に基づいて、全部確認状態(S150)の処理手順を説明する。
第1自動運転ECU110と第2自動運転ECU120との両方でサイバー攻撃が検知されたと仮定する。
第1自動運転ECU110と第2自動運転ECU120との両方でサイバー攻撃が検知されたと仮定する。
ステップS151において、全部確認状態部135は縮退動作を行う。
具体的には、全部確認状態部135は、第1自動運転ECU110の正常時の緊急経路情報をアクチュエータECUに入力することによって、アクチュエータを制御する。その結果、車両が緊急経路を走行する。
具体的には、全部確認状態部135は、第1自動運転ECU110の正常時の緊急経路情報をアクチュエータECUに入力することによって、アクチュエータを制御する。その結果、車両が緊急経路を走行する。
ステップS152において、全部確認状態部135は、第1自動運転ECU110と第2自動運転ECU120とのいずれかで故障が検知されたか判定する。
具体的には、第1自動運転ECU110の故障検知部から故障検知が通知された場合に、全部確認状態部135は、第1自動運転ECU110で故障が検知されたと判定する。また、第2自動運転ECU120の故障検知部から故障検知が通知された場合に、全部確認状態部135は、第2自動運転ECU120で故障が検知されたと判定する。
第1自動運転ECU110と第2自動運転ECU120とのいずれかで故障が検知された場合、全部確認状態部135は縮退確認状態部134を呼び出す。その後、縮退確認状態部134によって縮退確認状態(S140)が実行される。
第1自動運転ECU110と第2自動運転ECU120との両方で故障が検知されていない場合、全部確認状態部135が第1自動運転ECU110と第2自動運転ECU120とのそれぞれのセキュリティの確認を開始し、処理はステップS153に進む。
具体的には、第1自動運転ECU110の故障検知部から故障検知が通知された場合に、全部確認状態部135は、第1自動運転ECU110で故障が検知されたと判定する。また、第2自動運転ECU120の故障検知部から故障検知が通知された場合に、全部確認状態部135は、第2自動運転ECU120で故障が検知されたと判定する。
第1自動運転ECU110と第2自動運転ECU120とのいずれかで故障が検知された場合、全部確認状態部135は縮退確認状態部134を呼び出す。その後、縮退確認状態部134によって縮退確認状態(S140)が実行される。
第1自動運転ECU110と第2自動運転ECU120との両方で故障が検知されていない場合、全部確認状態部135が第1自動運転ECU110と第2自動運転ECU120とのそれぞれのセキュリティの確認を開始し、処理はステップS153に進む。
ステップS153において、全部確認状態部135は、セキュリティの確認がタイムアウトしたか判定する。
具体的には、全部確認状態部135は、全部確認状態(S150)の処理の開始から経過した時間が確認待ち時間を超えたか判定する。確認待ち時間は、セキュリティを確認するための時間として予め決められた時間(例えば、2秒)である。
セキュリティの確認がタイムアウトした場合、処理はステップS154に進む。
セキュリティの確認がタイムアウトしていない場合、処理はステップS151に進む。
具体的には、全部確認状態部135は、全部確認状態(S150)の処理の開始から経過した時間が確認待ち時間を超えたか判定する。確認待ち時間は、セキュリティを確認するための時間として予め決められた時間(例えば、2秒)である。
セキュリティの確認がタイムアウトした場合、処理はステップS154に進む。
セキュリティの確認がタイムアウトしていない場合、処理はステップS151に進む。
ステップS154において、全部確認状態部135は、第1自動運転ECU110と第2自動運転ECU120とのそれぞれのセキュリティを確認する。
具体的には、第1自動運転ECU110のセキュリティ検証部からセキュリティ確保が通知された場合に、全部確認状態部135は、第1自動運転ECU110のセキュリティが確保されたと判定する。また、第2自動運転ECU120のセキュリティ検証部からセキュリティ確保が通知された場合に、全部確認状態部135は、第2自動運転ECU120のセキュリティが確保されたと判定する。
第1自動運転ECU110と第2自動運転ECU120との両方でセキュリティが確保された場合、全部確認状態部135は通常状態部131を呼び出す。その後、通常状態部131によって通常状態(S110)の処理が実行される。
第1自動運転ECU110と第2自動運転ECU120とのいずれかでセキュリティが確保された場合、全部確認状態部135は一部動作状態部133を呼び出す。その後、一部動作状態部133によって一部動作状態(S130)を処理が実行される。
第1自動運転ECU110と第2自動運転ECU120とのいずれもセキュリティが確保されなかった場合、全部確認状態部135は縮退状態部136を呼び出す。その後、縮退状態部136によって縮退状態(S160)が実行される。
具体的には、第1自動運転ECU110のセキュリティ検証部からセキュリティ確保が通知された場合に、全部確認状態部135は、第1自動運転ECU110のセキュリティが確保されたと判定する。また、第2自動運転ECU120のセキュリティ検証部からセキュリティ確保が通知された場合に、全部確認状態部135は、第2自動運転ECU120のセキュリティが確保されたと判定する。
第1自動運転ECU110と第2自動運転ECU120との両方でセキュリティが確保された場合、全部確認状態部135は通常状態部131を呼び出す。その後、通常状態部131によって通常状態(S110)の処理が実行される。
第1自動運転ECU110と第2自動運転ECU120とのいずれかでセキュリティが確保された場合、全部確認状態部135は一部動作状態部133を呼び出す。その後、一部動作状態部133によって一部動作状態(S130)を処理が実行される。
第1自動運転ECU110と第2自動運転ECU120とのいずれもセキュリティが確保されなかった場合、全部確認状態部135は縮退状態部136を呼び出す。その後、縮退状態部136によって縮退状態(S160)が実行される。
縮退状態(S160)の処理を説明する。
縮退状態部136は縮退動作を行う。具体的には、縮退状態部136は、第1自動運転ECU110の正常時の緊急経路情報をアクチュエータECUに入力することによって、アクチュエータを制御する。その結果、車両が緊急経路を走行する。
縮退状態部136は縮退動作を行う。具体的には、縮退状態部136は、第1自動運転ECU110の正常時の緊急経路情報をアクチュエータECUに入力することによって、アクチュエータを制御する。その結果、車両が緊急経路を走行する。
***実施例の説明***
図9に基づいて、車載制御システム100の実施例を説明する。
車載制御システム100は、アクチュエータECU150を備えてもよい。
アクチュエータECU150は、ハブA130と第1アクチュエータECU151と第2アクチュエータECU152とを代替する。
アクチュエータECU150は、ハブA130の代わりに、車載制御装置として機能する。
図9に基づいて、車載制御システム100の実施例を説明する。
車載制御システム100は、アクチュエータECU150を備えてもよい。
アクチュエータECU150は、ハブA130と第1アクチュエータECU151と第2アクチュエータECU152とを代替する。
アクチュエータECU150は、ハブA130の代わりに、車載制御装置として機能する。
各自動運転ECUは、運転制御情報の代わりにアクチュエータ制御信号をアクチュエータECU150に入力してもよい。また、切替部が、運転制御情報をアクチュエータ制御信号に変換してもよい。アクチュエータ制御信号をアクチュエータ用の制御信号である。
図10に基づいて、車載制御システム100の実施例を説明する。センサについては図示を省略する。
車載制御システム100は、SoC200で実現されてもよい。「SoC」はSystem On a Chipの略称である。
SoC200は、第1プロセッサ210と第2プロセッサ220と第3プロセッサ230とを備える。各プロセッサは、例えば、Central Processing Unit(CPU)である。
第1プロセッサ210は第1自動運転ECU110を代替し、第2プロセッサ220は第2自動運転ECU120を代替する。
第1プロセッサ210と第2プロセッサ220とのそれぞれは、自動運転ECUの代わりに、運転制御装置として機能する。
第3プロセッサ230は、ハブA130の代わり、車載制御装置として機能する。
車載制御システム100は、SoC200で実現されてもよい。「SoC」はSystem On a Chipの略称である。
SoC200は、第1プロセッサ210と第2プロセッサ220と第3プロセッサ230とを備える。各プロセッサは、例えば、Central Processing Unit(CPU)である。
第1プロセッサ210は第1自動運転ECU110を代替し、第2プロセッサ220は第2自動運転ECU120を代替する。
第1プロセッサ210と第2プロセッサ220とのそれぞれは、自動運転ECUの代わりに、運転制御装置として機能する。
第3プロセッサ230は、ハブA130の代わり、車載制御装置として機能する。
***実施の形態1の効果***
実施の形態1により、サイバー攻撃が検知されていない正常な運転制御装置を利用して車両の自動運転を行うことができる。したがって、車載制御システム100の安全性を高めることができる。
さらに、サイバー攻撃が検知された運転制御装置でセキュリティが確保された場合には、その運転制御装置を利用して車両の自動運転を行うことができる。つまり、車載制御システム100は、サイバー攻撃を受けても、すぐには縮退動作に遷移せず、自動運転動作を継続する。そのため、自動運転を継続できる時間を延ばし、メンテナンス頻度を下げることができる。そして、車載制御システム100の可用性を高めることができる。
実施の形態1により、サイバー攻撃が検知されていない正常な運転制御装置を利用して車両の自動運転を行うことができる。したがって、車載制御システム100の安全性を高めることができる。
さらに、サイバー攻撃が検知された運転制御装置でセキュリティが確保された場合には、その運転制御装置を利用して車両の自動運転を行うことができる。つまり、車載制御システム100は、サイバー攻撃を受けても、すぐには縮退動作に遷移せず、自動運転動作を継続する。そのため、自動運転を継続できる時間を延ばし、メンテナンス頻度を下げることができる。そして、車載制御システム100の可用性を高めることができる。
***実施の形態1の補足***
図11に基づいて、車載制御装置190のハードウェア構成を説明する。
車載制御装置190は、車載制御システム100に備わる車載制御装置である。
車載制御装置190は処理回路191と入出力インタフェース192とを備える。
処理回路191は、切替部、通常経路部および緊急経路部を実現するハードウェアである。
処理回路191は、専用のハードウェアであってもよいし、メモリに格納されるプログラムを実行するプロセッサであってもよい。
図11に基づいて、車載制御装置190のハードウェア構成を説明する。
車載制御装置190は、車載制御システム100に備わる車載制御装置である。
車載制御装置190は処理回路191と入出力インタフェース192とを備える。
処理回路191は、切替部、通常経路部および緊急経路部を実現するハードウェアである。
処理回路191は、専用のハードウェアであってもよいし、メモリに格納されるプログラムを実行するプロセッサであってもよい。
処理回路191が専用のハードウェアである場合、処理回路191は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ASIC、FPGAまたはこれらの組み合わせである。
ASICは、Application Specific Integrated Circuitの略称である。
FPGAは、Field Programmable Gate Arrayの略称である。
ASICは、Application Specific Integrated Circuitの略称である。
FPGAは、Field Programmable Gate Arrayの略称である。
車載制御装置190は、処理回路191を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路191の役割を分担する。
入出力インタフェース192は、運転制御情報などを入出力するためのポートである。
車載制御装置190において、一部の機能が専用のハードウェアで実現されて、残りの機能がソフトウェアまたはファームウェアで実現されてもよい。
このように、処理回路191はハードウェア、ソフトウェア、ファームウェアまたはこれらの組み合わせで実現することができる。
実施の形態は、好ましい形態の例示であり、本発明の技術的範囲を制限することを意図するものではない。実施の形態は、部分的に実施してもよいし、他の形態と組み合わせて実施してもよい。フローチャート等を用いて説明した手順は、適宜に変更してもよい。
車載制御システム100の要素である「部」は、「処理」または「工程」と読み替えてもよい。
100 車載制御システム、101 センサA、102 センサB、103 センサC、104 センサD、110 第1自動運転ECU、120 第2自動運転ECU、130 ハブA、131 通常状態部、132 一部確認状態部、133 一部動作状態部、134 縮退確認状態部、135 全部確認状態部、136 縮退状態部、140 ハブB、150 アクチュエータECU、151 第1アクチュエータECU、152 第2アクチュエータECU、161 第1アクチュエータ、162 第2アクチュエータ、190 車載制御装置、191 処理回路、192 入出力インタフェース、200 SoC、210 第1プロセッサ、220 第2プロセッサ、230 第3プロセッサ。
Claims (10)
- 車両の自動運転を行う車載制御システムに備わる車載制御装置であって、
前記車載制御システムは、前記車両の自動運転のための複数の運転制御装置を備え、
前記車載制御装置は、
前記複数の運転制御装置のうちの一部でサイバー攻撃が検知された場合に、前記車載制御システムの動作状態を通常状態から一部確認状態へ切り替える通常状態部と、
前記通常状態でサイバー攻撃が検知された運転制御装置の全てでセキュリティが確保された場合に、前記車載制御システムの動作状態を前記一部確認状態から前記通常状態へ切り替え、前記通常状態でサイバー攻撃が検知された運転制御装置の全てでセキュリティが確保されなかった場合に、前記車載制御システムの動作状態を前記一部確認状態から一部動作状態へ切り替える一部確認状態部と、を備え、
前記通常状態は、前記複数の運転制御装置の少なくともいずれかを利用して自動運転を行う動作状態であり、
前記一部確認状態は、サイバー攻撃が検知されていない正常な運転制御装置の少なくともいずれかを利用して自動運転を行うと共に、サイバー攻撃が検知された運転制御装置のそれぞれのセキュリティを確認する動作状態であり、
前記一部動作状態は、前記正常な運転制御装置の少なくともいずれかを利用して自動運転を行う動作状態である
車載制御装置。 - 前記一部動作状態で前記正常な運転制御装置の全てでサイバー攻撃が検知された場合に、前記車載制御システムの動作状態を前記一部動作状態から縮退確認状態へ切り替える一部動作状態部を備え、
前記縮退確認状態は、縮退動作を行うと共に、前記一部動作状態でサイバー攻撃が検知された運転制御装置のそれぞれのセキュリティを確認する動作状態である
請求項1に記載の車載制御装置。 - 前記一部動作状態でサイバー攻撃が検知された運転制御装置の少なくともいずれかでセキュリティが確保された場合に、前記車載制御システムの動作状態を前記縮退確認状態から前記一部動作状態へ切り替える縮退確認状態部を備える
請求項2に記載の車載制御装置。 - 前記縮退確認状態部は、前記一部動作状態でサイバー攻撃が検知された運転制御装置の全てでセキュリティが確保されなかった場合に、前記車載制御システムの動作状態を前記縮退確認状態から縮退状態へ切り替え、
前記縮退状態は、縮退動作を行う動作状態である
請求項3に記載の車載制御装置。 - 車両の自動運転を行う車載制御システムに備わる車載制御装置であって、
前記車載制御システムは、前記車両の自動運転のための複数の運転制御装置を備え、
前記車載制御装置は、
前記複数の運転制御装置のうちの一部でサイバー攻撃が検知された場合に、前記車載制御システムの動作状態を通常状態から一部確認状態へ切り替える通常状態部と、
前記通常状態でサイバー攻撃が検知された運転制御装置の全てでセキュリティが確保された場合に、前記車載制御システムの動作状態を前記一部確認状態から前記通常状態へ切り替え、前記一部確認状態で、サイバー攻撃が検知されていない正常な運転制御装置の全てでサイバー攻撃が検知された場合に、前記車載制御システムの動作状態を前記一部確認状態から全部確認状態へ切り替える一部確認状態部と、
前記複数の運転制御装置の全てでセキュリティが確保された場合に、前記車載制御システムの動作状態を前記全部確認状態から前記通常状態へ切り替え、前記複数の運転制御装置の全てでセキュリティが確保されなかった場合に、前記車載制御システムの動作状態を前記全部確認状態から縮退状態へ切り替える全部確認状態部と、を備え、
前記通常状態は、前記複数の運転制御装置の少なくともいずれかを利用して自動運転を行う動作状態であり、
前記一部確認状態は、前記正常な運転制御装置の少なくともいずれかを利用して自動運転を行うと共に、サイバー攻撃が検知された運転制御装置のそれぞれのセキュリティを確認する動作状態であり、
前記全部確認状態は、縮退動作を行うと共に、前記複数の運転制御装置のそれぞれのセキュリティを確認する動作状態であり、
前記縮退状態は、縮退動作を行う動作状態である
車載制御装置。 - 車両の自動運転を行う車載制御システムに備わる車載制御装置であって、
前記車載制御システムは、前記車両の自動運転のための複数の運転制御装置を備え、
前記車載制御装置は、
前記複数の運転制御装置のうちの一部でサイバー攻撃が検知された場合に、前記車載制御システムの動作状態を通常状態から一部確認状態へ切り替える通常状態部と、
前記通常状態でサイバー攻撃が検知された運転制御装置の全てでセキュリティが確保された場合に、前記車載制御システムの動作状態を前記一部確認状態から前記通常状態へ切り替え、前記一部確認状態で、サイバー攻撃が検知されていない正常な運転制御装置の全てでサイバー攻撃が検知された場合に、前記車載制御システムの動作状態を前記一部確認状態から全部確認状態へ切り替える一部確認状態部と、
前記複数の運転制御装置の全てでセキュリティが確保された場合に、前記車載制御システムの動作状態を前記全部確認状態から前記通常状態へ切り替え、前記複数の運転制御装置の少なくともいずれかでセキュリティが確保された場合に、前記車載制御システムの動作状態を前記全部確認状態から一部動作状態へ切り替える全部確認状態部と、を備え、
前記通常状態は、前記複数の運転制御装置の少なくともいずれかを利用して自動運転を行う動作状態であり、
前記一部確認状態は、前記正常な運転制御装置の少なくともいずれかを利用して自動運転を行うと共に、サイバー攻撃が検知された運転制御装置のそれぞれのセキュリティを確認する動作状態であり、
前記全部確認状態は、縮退動作を行うと共に、前記複数の運転制御装置のそれぞれのセキュリティを確認する動作状態であり、
前記一部動作状態は、前記全部確認状態でセキュリティが確保された運転制御装置の少なくともいずれかを利用して自動運転を行う動作状態である
車載制御装置。 - 前記全部確認状態でセキュリティが確保された運転制御装置の全てでサイバー攻撃が検知された場合に、前記車載制御システムの動作状態を前記一部動作状態から縮退確認状態へ切り替える一部動作状態部を備え、
前記縮退確認状態は、縮退動作を行うと共に、前記一部動作状態でサイバー攻撃が検知された運転制御装置のそれぞれのセキュリティを確認する動作状態である
請求項6に記載の車載制御装置。 - 前記一部動作状態でサイバー攻撃が検知された運転制御装置の全てでセキュリティが確保された場合に、前記車載制御システムの動作状態を前記縮退確認状態から前記一部動作状態へ切り替える縮退確認状態部を備える
請求項7に記載の車載制御装置。 - 前記縮退確認状態部は、前記一部動作状態でサイバー攻撃が検知された運転制御装置の全てでセキュリティが確保されなかった場合に、前記車載制御システムの動作状態を前記縮退確認状態から縮退状態へ切り替え、
前記縮退状態は、縮退動作を行う動作状態である
請求項8に記載の車載制御装置。 - 請求項1から請求項9のいずれか1項に記載の車載制御装置と、
車両の自動運転のための複数の運転制御装置と、
を備える車載制御システム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2019/022756 WO2020246031A1 (ja) | 2019-06-07 | 2019-06-07 | 車載制御装置および車載制御システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP6727463B1 true JP6727463B1 (ja) | 2020-07-22 |
| JPWO2020246031A1 JPWO2020246031A1 (ja) | 2021-09-13 |
Family
ID=71663965
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019568419A Active JP6727463B1 (ja) | 2019-06-07 | 2019-06-07 | 車載制御装置および車載制御システム |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20220032966A1 (ja) |
| JP (1) | JP6727463B1 (ja) |
| CN (1) | CN113891824B (ja) |
| DE (1) | DE112019007286T5 (ja) |
| WO (1) | WO2020246031A1 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2022113050A (ja) * | 2021-01-22 | 2022-08-03 | 日立Astemo株式会社 | 電子制御装置、車載制御システム、及び冗長機能制御方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017523074A (ja) * | 2014-06-27 | 2017-08-17 | ローベルト ボツシユ ゲゼルシヤフト ミツト ベシユレンクテル ハフツングRobert Bosch Gmbh | 車両動作装置および車両動作方法 |
| WO2017199967A1 (ja) * | 2016-05-18 | 2017-11-23 | ナブテスコオートモーティブ 株式会社 | 車両運転制御システム |
| JP2018182713A (ja) * | 2017-04-11 | 2018-11-15 | パナソニックIpマネジメント株式会社 | 情報処理装置、情報処理システム、情報処理方法、及びプログラム |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101010220B1 (ko) * | 2008-12-01 | 2011-01-21 | 한국전자통신연구원 | 차량내 전자제어 시스템의 이중화 장치 및 방법 |
| DE102012111991A1 (de) * | 2012-11-20 | 2014-05-22 | Conti Temic Microelectronic Gmbh | Verfahren für eine Fahrerassistenzanwendung |
| WO2015053559A1 (ko) * | 2013-10-08 | 2015-04-16 | (주) 아이씨티케이 | 차량 보안 네트워크 장치 및 그 설계 방법 |
| US9195232B1 (en) * | 2014-02-05 | 2015-11-24 | Google Inc. | Methods and systems for compensating for common failures in fail operational systems |
| JP6535572B2 (ja) * | 2015-10-26 | 2019-06-26 | 日立オートモティブシステムズ株式会社 | 車両制御装置、車両制御システム |
| WO2018065973A1 (en) * | 2016-10-06 | 2018-04-12 | Red Bend Ltd. | Systems and methods for handling a vehicle ecu malfunction |
| US10516683B2 (en) * | 2017-02-15 | 2019-12-24 | Ford Global Technologies, Llc | Systems and methods for security breach detection in vehicle communication systems |
| EP3752943B1 (en) * | 2018-02-14 | 2024-01-31 | HRL Laboratories, LLC | System and method for side-channel based detection of cyber-attack |
| US11237555B1 (en) * | 2018-03-09 | 2022-02-01 | State Farm Mutual Automobile Insurance Company | Backup control systems and methods for autonomous vehicles |
| US20190312892A1 (en) * | 2018-04-05 | 2019-10-10 | Electronics And Telecommunications Research Institute | Onboard cybersecurity diagnostic system for vehicle, electronic control unit, and operating method thereof |
| JP7069996B2 (ja) * | 2018-04-10 | 2022-05-18 | トヨタ自動車株式会社 | 車両の制御装置 |
-
2019
- 2019-06-07 DE DE112019007286.2T patent/DE112019007286T5/de active Pending
- 2019-06-07 JP JP2019568419A patent/JP6727463B1/ja active Active
- 2019-06-07 WO PCT/JP2019/022756 patent/WO2020246031A1/ja active Application Filing
- 2019-06-07 CN CN201980096966.0A patent/CN113891824B/zh active Active
-
2021
- 2021-10-15 US US17/502,775 patent/US20220032966A1/en not_active Abandoned
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017523074A (ja) * | 2014-06-27 | 2017-08-17 | ローベルト ボツシユ ゲゼルシヤフト ミツト ベシユレンクテル ハフツングRobert Bosch Gmbh | 車両動作装置および車両動作方法 |
| WO2017199967A1 (ja) * | 2016-05-18 | 2017-11-23 | ナブテスコオートモーティブ 株式会社 | 車両運転制御システム |
| JP2018182713A (ja) * | 2017-04-11 | 2018-11-15 | パナソニックIpマネジメント株式会社 | 情報処理装置、情報処理システム、情報処理方法、及びプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113891824A (zh) | 2022-01-04 |
| US20220032966A1 (en) | 2022-02-03 |
| CN113891824B (zh) | 2024-04-16 |
| DE112019007286T5 (de) | 2022-04-21 |
| WO2020246031A1 (ja) | 2020-12-10 |
| JPWO2020246031A1 (ja) | 2021-09-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112004730B (zh) | 车辆控制装置 | |
| US20220012958A1 (en) | Driving management system, vehicle, and information processing method | |
| US11352019B2 (en) | Electronic control device for vehicle | |
| JP6599054B2 (ja) | 異常判定装置、異常判定方法及び異常判定プログラム | |
| JP6753388B2 (ja) | 自動運転制御装置、車両の自動運転制御方法 | |
| US10836402B2 (en) | Determination of reliability of vehicle control commands via redundancy | |
| JP7231559B2 (ja) | 異常検知電子制御ユニット、車載ネットワークシステム及び異常検知方法 | |
| JP6723955B2 (ja) | 情報処理装置及び異常対処方法 | |
| JP6964277B2 (ja) | 通信遮断システム、通信遮断方法及びプログラム | |
| US10933882B2 (en) | Determination of reliability of vehicle control commands using a voting mechanism | |
| JP7074004B2 (ja) | 中継装置システム及び中継装置 | |
| WO2019142563A1 (ja) | 電子制御装置 | |
| KR102452555B1 (ko) | 차량 고장 처리 제어 장치 및 그 방법 | |
| CN106054852A (zh) | 集成式故障沉默和故障运转系统中的可量容错的构造 | |
| JP2019040588A (ja) | 運転管理システム、車両、及び、情報処理方法 | |
| KR20190119514A (ko) | 차량용 온보드 사이버보안진단 시스템, 전자 제어 장치 및 그것의 동작 방법 | |
| JP2019151158A (ja) | 車両制御装置 | |
| JP6727463B1 (ja) | 車載制御装置および車載制御システム | |
| KR101914624B1 (ko) | 자율주행시스템의 사고 예방을 위한 프로세서 및 동작 방법 | |
| EP3447993B1 (en) | Driving management system, vehicle, and information processing method | |
| WO2023114396A1 (en) | Method and system for addressing failure in an autonomous agent | |
| CN113442848B (zh) | 车辆控制系统、攻击判定方法及记录有程序的记录介质 | |
| JP4007038B2 (ja) | 車両用電子制御装置 | |
| JP2019121043A (ja) | 車両制御システムおよび車両制御装置 | |
| JP6441380B2 (ja) | 車載用変速機制御装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191211 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20191211 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20191211 |
|
| A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20200109 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200121 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200227 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200602 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200630 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6727463 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |