JP7021928B2 - 制御システム - Google Patents

制御システム Download PDF

Info

Publication number
JP7021928B2
JP7021928B2 JP2017242901A JP2017242901A JP7021928B2 JP 7021928 B2 JP7021928 B2 JP 7021928B2 JP 2017242901 A JP2017242901 A JP 2017242901A JP 2017242901 A JP2017242901 A JP 2017242901A JP 7021928 B2 JP7021928 B2 JP 7021928B2
Authority
JP
Japan
Prior art keywords
verification
control
output
control unit
safety
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017242901A
Other languages
English (en)
Other versions
JP2019109754A (ja
Inventor
信康 金川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2017242901A priority Critical patent/JP7021928B2/ja
Priority to US16/768,729 priority patent/US11609999B2/en
Priority to PCT/JP2018/044484 priority patent/WO2019124044A1/ja
Publication of JP2019109754A publication Critical patent/JP2019109754A/ja
Application granted granted Critical
Publication of JP7021928B2 publication Critical patent/JP7021928B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W60/00Drive control systems specially adapted for autonomous road vehicles
    • B60W60/007Emergency override
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B13/00Adaptive control systems, i.e. systems automatically adjusting themselves to have a performance which is optimum according to some preassigned criterion
    • G05B13/02Adaptive control systems, i.e. systems automatically adjusting themselves to have a performance which is optimum according to some preassigned criterion electric
    • G05B13/0265Adaptive control systems, i.e. systems automatically adjusting themselves to have a performance which is optimum according to some preassigned criterion electric the criterion being a learning criterion
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W30/00Purposes of road vehicle drive control systems not related to the control of a particular sub-unit, e.g. of systems using conjoint control of vehicle sub-units, or advanced driver assistance systems for ensuring comfort, stability and safety or drive control systems for propelling or retarding the vehicle
    • B60W30/08Active safety systems predicting or avoiding probable or impending collision or attempting to minimise its consequences
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W60/00Drive control systems specially adapted for autonomous road vehicles
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W60/00Drive control systems specially adapted for autonomous road vehicles
    • B60W60/001Planning or execution of driving tasks
    • B60W60/0015Planning or execution of driving tasks specially adapted for safety
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W60/00Drive control systems specially adapted for autonomous road vehicles
    • B60W60/001Planning or execution of driving tasks
    • B60W60/0015Planning or execution of driving tasks specially adapted for safety
    • B60W60/0018Planning or execution of driving tasks specially adapted for safety by employing degraded modes, e.g. reducing speed, in response to suboptimal conditions
    • B60W60/00188Planning or execution of driving tasks specially adapted for safety by employing degraded modes, e.g. reducing speed, in response to suboptimal conditions related to detected security violation of control systems, e.g. hacking of moving vehicle
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B13/00Adaptive control systems, i.e. systems automatically adjusting themselves to have a performance which is optimum according to some preassigned criterion
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/36Preventing errors by testing or debugging software
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0808Diagnosing performance data

Description

本発明は、制御装置が制御対象に対して制御出力を与える制御システムに関し、特に、安全性を考慮した制御システムに関する。
自動車の自動運転を初めとする制御の自動化は、人間による操作を低減することにより人為的誤りに起因する事故を低減し、安全性を向上させることが可能である。より高度な制御を実現するために制御装置へ人工知能を導入する試みもなされている。人工知能に代表されるような高度な自動制御は、人間と同等あるいはそれ以上に高度制御を実現する可能性がある。
自動車を制御対象とするような事故の可能性があるような分野へ人工知能に代表されるような高度な制御を導入する場合、制御対象の安全性を確保することが重要である。
特許文献1には、「自動運転車両の走行制御計画の安全性を適確に評価することを可能とする走行制御計画評価装置を提供する。自動運転車両の走行制御計画の安全性を評価する走行制御計画評価装置10である。この装置10は、ある時刻において自動運転車両の周辺車両が取る可能性がある行動を推定する行動推定手段16aと、ある時刻における周辺車両の存在位置と行動推定手段16aにより推定した行動とに基づいて、ある時刻より未来の周辺車両の存在位置を予測する存在位置予測手段16bと、存在位置予測手段16bにより予測した周辺車両の存在位置と、自動運転車両の走行制御計画による存在位置とに基づいて、走行制御計画の安全性を評価する評価手段20と、を備える」ことが開示されている。
特開2008-117082号公報
人工知能による制御出力は、機械学習の結果であるため予測が困難な場合がある。制御出力の予測が困難な場合に制御対象の安全動作をいかにして確保するかが課題となる。また、制御装置に入力を与えるために通信ネットワークに接続すればウィルスやハッキングなどのサイバーアタック、ソフトウェアやハードウェアのバグに起因する制御装置の誤動作を防止するといった制御装置の正常制御の維持も課題となる。
制御システムのセキュリティ確保の見地では、制御装置に脆弱性が発見されたら、脆弱性を解消するために、セキュリティパッチなどによりソフトウェアプログラムを速やかにバージョンアップすることが好ましい。しかし、ソフトウェアプログラムのバージョンアップを行う場合には、バージョンアップ後に制御装置の制御対象に対する制御が適切に行われることを検証することが必要である。
本発明の一つの目的は、制御装置の正常制御と制御対象の安全動作の実現を可能にする技術を提供することである。
本発明の一態様による制御システムは、所定の入力に応じて、制御対象に出力する制御出力を生成する自動制御部と、前記制御出力の安全性を複数の検証レベルで検証可能に構成された安全検証制御部と、前記自動制御部の正常性に関する状態を管理し、該状態に応じて前記安全検証制御部における前記制御出力の安全性の検証レベルを選択する検証レベル選択部と、を有する。
本発明の一態様によれば、制御装置の正常制御と制御対象の安全動作を実現することができる。
制御システムの構成の実施の一形態を示すブロック図である。 図1に示した自動制御部及び安全検証制御部の第1の実施の形態を示すブロック図である。 図2に示した安全検証部の動作と等価のメモリの構成例を示す図である。 図2に示した自動制御部及び安全検証制御部を図1に示した制御システムに適用した構成例を示す図である。 図1~図4に示した制御システムにおける状態遷移の実施例を示す図である。 図1~図4に示した制御システムにおいて経験ベース安全検証をオンラインでも学習する場合の状態遷移の実施例を示す図である。 図1~図4に示した制御システムの動作例を説明するための図である。 図1~図4に示した制御システムの動作例を説明するための図である。 図1~図4に示した制御システムの動作例を説明するための図である。 図1~図4に示した制御システムの動作例を説明するための図である。 図1~図4に示した制御システムの動作例を説明するための図である。 図1に示した自動制御部及び安全検証制御部の第2の実施の形態を示すブロック図である。 図12に示した安全検証部の動作と等価のメモリの構成例を示す図である。 図12に示した自動制御部及び安全検証制御部を用いた制御システムの構成例を示す図である。 図14に示した制御システムが安全検証強化緩和状態S0の場合の制御出力の出力選択方法の一例を示す図である。 図14に示した制御システムが安全検証強化状態S1または安全検証強化継続状態S2の場合の制御出力の出力選択方法の一例を示す図である。 動作不良可能性発見をトリガーとした場合の状態遷移の実施例を示す図である。 図17に示した状態遷移において経験ベース安全検証をオンラインでも学習する場合の状態遷移の実施例を示す図である。
以下に実施の形態について図面を参照して説明する。
(第1の実施の形態)
図1は、第1の実施の形態における制御システムのブロック図である。
本形態における制御システムは図1に示すように、自動制御部10と、安全検証制御部20と、検証レベル選択部30とを有する。
自動制御部10は、所定の入力1に応じて、制御対象に出力する制御出力4を生成する。
安全検証制御部20は、制御出力4の安全性を複数の検証レベルで検証可能に構成されている。
検証レベル選択部30は、自動制御部10の正常性に関する状態を管理し、その状態に応じ安全検証制御部20における安全検証レベルを選択する。
上記のように構成された制御システムにおいては、自動制御部1の脆弱性が検出された場合、またはセキュリティパッチを実施した場合には、安全検証制御部20における安全検証を通常よりも強化する。これにより、セキュリティパッチを実施以前には安全検証の強化によりサイバー攻撃による異常動作を検出できる確率を高め、セキュリティパッチを実施以降には安全検証の強化によりセキュリティパッチのバグによる異常動作を検出できる確率を高めることができる。その後、セキュリティパッチの検証が完了した場合、安全検証の強化を解除し、通常の安全検証に戻す。これにより、安全検証のフォルスポジティブ(正常であるのに異常であると誤検出してしまうこと)の確率を下げることができる。
また、動作中に、経験ベース安全検証機能として安全検証制御部20における検証方法の学習をしている場合には、脆弱性が検出されたりセキュリティパッチを実施したりすると、経験ベース安全検証機能の学習を停止し、その後、セキュリティパッチの検証が完了すると、経験ベース安全検証機能の学習を再開する。これにより、サイバーアタックによる誤った学習を防止し、セキュリティパッチを実施以降にはセキュリティパッチのバグによる誤った学習を防止することができる。
また、上記安全検証制御部20は、複数の検証レベルのそれぞれの検証結果に基づいて制御した制御出力を出力するように構成されている。検証レベル選択部30は、自動制御部10の正常性に関する状態に応じて、安全検証制御部20から出力される制御出力のうちいずれかを選択して記制御対象へ出力する。これにより、適切に選択された安全検証レベルで検証され、その検証結果に基づいて制御された制御出力を制御対象に出力することができる。
図2は、図1に示した自動制御部10及び安全検証制御部20の第1の実施の形態を示すブロック図である。
本形態における自動制御部10は、図2に示すように、所定の入力1に応じて自動制御出力2を生成して出力する。
本形態における安全検証制御部20は、図2に示すように、安全検証部21とANDゲート22とから構成される。安全検証部21は、自動制御部10への入力1と自動制御部10から出力された自動制御出力2とが入力され、これら入力1と自動制御出力2とに基づいて制御出力4の安全性を検証し、検証結果(OK/NG)を出力する。さらに過去の値からの状態遷移にも着目した(遷移チェック付の)場合には、1サンプル前(z^-1)の過去の入力1および自動制御出力2も入力され、それらに対応する検証結果(OK/NG)を出力する。
上記のように構成された自動制御部10及び安全検証制御部20においては、自動制御部10に入力1が入力されると、自動制御部10において、制御対象に出力する制御出力4となる自動制御出力2が生成され、自動制御出力2が、安全検証制御部20の安全検証部21とANDゲート22に入力される。すると、安全検証部21において、自動制御部10への入力1と自動制御部10から出力された自動制御出力2とに基づいて制御出力4の安全性が検証され、その検証結果(OK/NG)が出力され、ANDゲート22に入力される。そして、ANDゲート22において、検証結果が良好となるOKである場合は、自動制御出力2の安全性が確認されたとして自動制御出力2が安全制限出力3として出力され、検証結果が不良となるNGである場合は、自動制御出力2の安全性に問題があるとして自動制御出力2が出力されない。
図3は、図2に示した安全検証部21の動作と等価のメモリの構成例を示す図である。
図2に示した安全検証部21の動作は図3に示すように、CAM(Content Addressable Memory、連想記憶メモリ)と等価で、入力1及び自動制御出力2、さらには遷移チェック付の場合には過去の入力1及び自動制御出力2の組み合わせをエントリーとして、それらに対応した検証出力(OK/NG)が出力される。
本形態においては、安全検証制御部20により自動制御部10からの危険な出力を防止でき、動作の安全性を向上できる。なお、自動制御部10に、深層学習や機械学習などの人工知能を導入することにより、人知を超えた制御性能を実現することが期待されるが、人知を超えるがゆえに、安全に関してのアカウンタビリティ(説明責任、説明性)を向上させることが望ましい。そこで本形態のように安全検証制御部20を付加することで、人工知能による人知を超えた高度な制御を安全に実現することが可能となる。
図4は、図2に示した自動制御部10及び安全検証制御部20を図1に示した制御システムに適用した構成例を示す図である。
図4に示すように、本構成例においては、複数の安全検証部21-1~21-nとANDゲート22-1~22-nとからなる安全検証制御部が、複数の安全検証制御部20-1~20-nが多段に接続されることで、制御出力の安全性を複数の検証レベルで検証可能に構成されている。検証レベル選択部30は、自動制御部10の正常性に関する状態(安全検証を緩和すべき状態または安全検証を強化すべき状態)に応じてスイッチSW2を制御することで、ANDゲート22-1~22-nのいずれかから出力される安全制限出力を選択し、選択した安全制限出力を制御出力4として出力する。これにより、検証レベル選択部30は、自動制御部10の正常性に関する状態に応じた検証レベルで安全検証制御部20に制御出力4の安全性を検証させることになる。
なお、多段に接続された安全検証制御部20-1~20-nとして互いに同じ判定論理を実装した場合には、安全検証制御部20-1~20-nは冗長系として機能し、いずれかが故障した場合でも、制御出力4を安全のために制限する機能を確保することができる。また、安全検証制御部20-1~20-nに異なる判定論理を実装した場合には、設計多様化の効果により判定論理に依存する検出漏れを防ぐことが可能となる。特に、安全検証制御部20-1~20-nのうち少なくとも1つに深層学習などの人工知能による判定論理、さらに少なくとも1つにルールに基づく判定論理をそれぞれ実装することで、人工知能による人知を超えた異常(危険事象)検出と、確実なルールに基づくアカウンタビリティ(説明責任、説明性)を両立させることが可能となる。
図5は、図1~図4に示した制御システムにおける状態遷移の実施例を示す図である。
図1~図4に示した制御システムにおいては、図5に示すように、初期状態では第1の検証レベルとなる安全検証緩和状態S0にあり、自動制御部10に脆弱性が発見された場合は、脆弱性による誤動作を検出するために安全検証を強化する第2の検証レベルとなる安全検証強化状態S1に遷移する。脆弱性を解消するための自動制御部10にセキュリティパッチを実施した後に、セキュリティパッチのバグによる誤動作を検出するために安全検証の強化を継続する第3の検証レベルとなる安全検証強化継続状態S2に遷移する。その後セキュリティパッチを実施した自動制御部10について安全検証を網羅的に完了するか、代数的なシミュレーションによる形式検証を完了して脆弱性が解消した後に再び安全検証緩和状態S0に戻る。なお、第2の検証レベルとなる安全検証強化状態S1と、第3の検証レベルとなる安全検証強化継続状態S2とは共通であってもよい。
安全検証制御部20は、これら安全検証緩和状態S0、安全検証強化状態S1及び安全検証強化継続状態S2に応じた検証レベルで制御出力4の安全性を検証可能に構成されており、検証レベル選択部30が、安全検証緩和状態S0、安全検証強化状態S1及び安全検証強化継続状態S2に応じた検証レベルで、安全検証制御部20に制御出力4の安全性を検証させることになる。
これにより、自動制御部10の正常性に関する状態に基づいて、制御出力4の安全性を検証させることができるようになる。
なお、脆弱性が発見されたという事象は、制御システム自らが安全検証機能により検出した異常動作からサーバーアタックとそれに対する脆弱性を検出する場合や、複数の制御システムを管理する管理センタを有し、管理センタから通信路を介して通知される場合が考えられる。後者の場合、管理センタでは、管理する複数の制御システムからの誤動作情報からサーバーアタックとそれに対する脆弱性を検出する。
図6は、図1~図4に示した制御システムにおいて経験ベース安全検証をオンラインでも学習する場合の状態遷移の実施例を示す図である。
図1~図4に示した制御システムにおいては、安全検証制御部20における制御出力の安全性の検証方法を学習する学習部を有する構成とすることも考えられる。
その場合、学習部は、図6に示すように、通常検証状態となる初期状態の安全検証緩和状態S0では経験ベース安全検証学習を開始し、安全検証強化状態S1では脆弱性による誤った学習を防止するために経験ベース安全検証学習を停止する。安全検証強化継続状態S2では、脆弱性はセキュリティパッチにより対策されたものの、セキュリティパッチの検証が済んでいないので、セキュリティパッチのバグによる誤った学習を防止するために経験ベース安全検証学習を停止したままとする。その後、安全検証緩和状態S0では脆弱性対策のためのセキュリティパッチの検証が済んでいるので経験ベース安全検証学習を再開する。
これにより、学習部において安全検証制御部20における検証方法を学習するにあたり、脆弱性等によって誤った学習をすることを防止できるようになる。
以下に、上述した制御システムにおける実際の動作について説明する。
図7~図11は、図1~図4に示した制御システムの動作例を説明するための図である。なお、夫々の動作例において、時刻t1に脆弱性が発見され、安全検証強化状態S1に遷移し、時刻t2にセキュリティパッチを実施した後に安全検証強化継続状態S2に遷移し、時刻t3にセキュリティパッチの検証が完了して安全検証強化緩和状態S0に戻るものとする。本実施形態により安全検証を強化した場合の制御システムの動作を実線で、安全検証を強化しなかった場合の制御システムの動作を破線で示す。
図7に示すように、te1,te1’においてシステムが許容できる故障1が発生し、te2においてシステムが許容できない故障2が発生した場合は、安全検証が強化されていれば、制御出力4によってte1において念のため制御動作を停止して出力を安全状態にする。ここで、安全状態の出力はシステムの用途に依存し、例えば鉄道制御においては動力を切って、ブレーキをかけることにより安全状態を維持できる。自動運転に代表されるように自動車においては、緩やかにブレーキをかけて、緩やかに減速しながら停止するか、人間の操作による人為的オーバーライドの優先度を上げるか、陽に人為的オーバーライドに切り替える。
一方、安全検証が強化されなかった場合には、制御出力4によって破線で示すように出力を継続することができるが、図8に示すようにサイバーアタックを受けた場合には安全検証が強化されていないために危険事象発生の恐れがある。すなわち、検証レベル選択部30は、サイバーアタックに対する自動制御部10の脆弱性に基づいて、自動制御部10の正常性に関する状態を管理していることになる。
また、時刻te2においてシステムが許容できない故障2が発生した場合には、通常の(緩和された)安全検証により異常が検出され、制御動作を停止して出力を安全状態にする。
また、図8に示すように、セキュリティパッチを実施する時刻t2以前の時刻ta1においてサイバーアタックがあった場合、安全検証が強化されていれば、異常を検出して制御出力4によって制御動作を停止して出力を安全状態にすることができるが、安全検証が強化されなかった場合には異常を検出できずに危険事象が発生する。
なお、図9に示すように、セキュリティパッチを実施する時刻t2以降の時刻ta1においてサイバーアタックがあった場合にはサイバーアタックの影響を受けないので、危険事象は発生しないが、念のため動作を停止することで安全性を確保している。
また、図10に示すように、時刻tx1においてセキュリティパッチのバグが顕在化した場合、安全検証が強化されていれば、異常を検出して制御出力4によって制御動作を停止して出力を安全状態にすることができるが、安全検証が強化されなければ、異常を検出できずに危険事象が発生する。
図11においては、安全検証強化状態S1及び安全検証強化継続状態S2において安全検証を強化し、経験ベース安全検証の学習を停止した場合のシステムの動作を実線で、安全検証を強化せずに経験ベース安全検証の学習を停止しなかった場合のシステムの動作を破線で示している。
本例では、時刻te3において発生した故障3が、時刻ta1におけるサイバーアタックの結果発生した危険事象と同じ危険事象を発生する場合を想定している。本例によれば、時刻ta1におけるサイバーアタック発生時に安全検証を強化し、経験ベース安全検証の学習を停止していれば、該サイバーアタックの結果発生した危険事象を見逃すことも無く出力を安全状態にすることができる上、時刻te3において発生した故障3が生じる危険事象を正常と判断して出力を継続して危険事象を発生してしまうこともない。
一方、時刻ta1におけるサイバーアタック発生時に安全検証を強化せずに、経験ベース安全検証の学習も停止しない場合には、時刻ta1におけるサイバーアタックの結果発生した危険事象を経験ベース安全検証機能が正常な実績として学習してしまい、時刻te3において発生した故障3が生じる危険事象を正常と判断して出力を継続して危険事象を発生してしまうことになる。
本形態においては、自動制御部10の状態に応じて安全処理を実行するので制御装置の正常制御と制御対象の安全動作を実現することが可能となる。
(第2の実施の形態)
図12は、第2の実施の形態における自動制御部10及び安全検証制御部20のブロック図である。
本形態は図12に示すように、図2に示したものに対して、安全検証制御部20の構成が異なるものである。本形態における安全検証制御部20は、安全検証部21と制限値選択回路23とから構成される。
安全検証部21は、制御出力4の許容される上限値となる制御出力上限及び下限値となる制御出力下限を有しており、自動制御部10への入力1と自動制御部10から出力された自動制御出力2とが入力され、これら入力1と自動制御出力2に対応する制御出力上限及び制御出力下限を出力する。さらに過去の値からの状態遷移にも着目した(遷移チェック付の)場合には、1サンプル前(z^-1)の過去の入力1および自動制御出力2も入力され、それらに対応する制御出力上限及び制御出力下限を出力する。
制限値選択回路23は、安全制限出力3として入力された自動制御出力2が制御出力上限と制御出力下限の間にある場合には自動制御出力2を出力し、入力された自動制御出力2が制御出力上限を超えている場合は制御出力上限以下に制限した値を出力し、入力された自動制御出力2が制御出力下限を下回っている場合は制御出力下限以上に制限した値を制御出力4となる安全制限出力3として出力する。
これにより、自動制御部10から出力された自動制御出力2が、制御出力4の許容される制御出力上限と制御出力下限との間の範囲外となる場合でも、制御出力上限と制御出力下限との間の範囲内となる安全制限出力3を出力することができる。
さらに、安全検証部21は、自動制御出力2の安全検証結果をステータスとして出力する。ステータスは、制御出力下限と制御出力上限の範囲内である場合はOK、制御出力下限と制御出力上限の範囲外であるが制御出力下限と制御出力上限の間の値が存在する場合、すなわち、制御出力下限<制御出力上限が成り立つ場合は、OK w/limit、また、制御出力下限と制御出力上限の間の値が存在しない場合、すなわち、制御出力下限<制御出力上限が成り立たない場合はNGの3値とする。
図13は、図12に示した安全検証部21の動作と等価のメモリの構成例を示す図である。
図12に示した安全検証部21の動作は図13に示すように、CAM(Content Addressable Memory、連想記憶メモリ)と等価で、入力1及び自動制御出力2、さらには遷移チェック付の場合には過去の入力1及び自動制御出力2の組み合わせをエントリーとして、それらに対応した制御出力上限及び制御出力下限が出力される。
図14は、図12に示した自動制御部10及び安全検証制御部20を用いた制御システムの構成例を示す図である。
図14に示すように、本構成例においては、図12に示した自動制御部10及び安全検証制御部20からなる複数の検証部を冗長に有し、検証レベル選択部として出力選択部40が設けられている。複数の検証部においては、それぞれを構成する自動制御部10-1~10nから出力される制御出力4の安全性を検証してこの検証結果に基づいて制御出力を制御する。出力選択部40においては、制限値選択回路23-1~23-nからのステータスに基づき、自動制御部10-1~10nの正常性に関する状態に応じて、制限値選択回路23-1~23-nから出力される安全制限出力3-1~3-nのうち1つを選択して制御出力4として出力する。また、出力選択部40は、人間の操作入力による制御出力となる操作量情報12と、人間の操作入力の優先度を示す優先度情報13とが与えられ、優先度情報13が、自動制御部10-1~10-nよりも人間の操作入力を優先することを示している場合は、人間による操作量情報12に応じて制限値選択回路23-oから出力される安全制限出力3-oによる制御出力4を出力する。その際、例えば、人間による操作量情報12に応じた安全制限出力3-oが所定の範囲外となる場合、反力が強くなるなどの制御をすることで、人間が操作した場合にその旨を認識することができる。
このように、複数の検証部を冗長に有することで、複数の検証部のいずれかが故障した場合でも、制御出力4を安全のために制限する機能を確保することができる。また、人間による操作量情報12に応じた制御出力4を優先して出力することができる。
図15は、図14に示した制御システムが安全検証強化緩和状態S0の場合の制御出力4の出力選択方法の一例を示す図であり、図16は、図14に示した制御システムが安全検証強化状態S1または安全検証強化継続状態S2の場合の制御出力4の出力選択方法の一例を示す図である。
出力選択部40は、自動制御部10-1~10-nのステータスが同じ場合には実現上選択する優先順位を自動制御部10-1>自動制御部10-nとする。その結果、図15に示す例では、case 1:自動制御部10-1のステータスがOKならば自動制御出力2-1が選択される。Case 2:自動制御部10-1のステータスがNGで、自動制御部10-2のステータスがOKならば自動制御出力2-2が選択される。Case 3:自動制御部10-1~10-(n-1)のステータスがNGで、自動制御部10-nのステータスがOKならば自動制御出力2-nが選択される。Case 4、Case 5:自動制御部10-1のステータスがOK /w limitで、他の自動制御部のステータスがOK以外(OK /w limitまたはNG)ならば自動制御出力2-1が出力制限されて選択される。Case 6、Case 7:自動制御部10-1のステータスがNGで、自動制御部10-2のステータスがOK /w limitで、他の自動制御部のステータスがOK以外(OK /w limitまたはNG)ならば自動制御出力2-2が出力制限されて選択される。Case 8:自動制御部10-1~10-(n-1)のステータスがNGで、自動制御部10-nのステータスがOK /w limitならば自動制御出力2-nが出力制限されて選択される。Case 9:自動制御部10-1~10-nのステータスがNGの場合には出力が停止される。Case 10:人間の操作によるオーバーライドの優先度情報13が1で、オーバーライドのステータスがOKの場合にはオーバーライドの操作量情報12が選択される。Case 11:オーバーライドの優先度情報13が1で、オーバーライドのステータスがOK /w limitならばオーバーライドの操作量情報12が出力制限されて選択される。Case 12:オーバーライドの優先度情報13が2ならばオーバーライドの操作量情報12が出力制限されずに選択される。
また、図16に示す例においては、安全検証を強化しているためCase 4-7:ステータスがOK /w limitである自動制御出力は選択せずに出力を停止する。
図14に示した制御システムにおいては、自動制御部10-1~10-nのそれぞれに単一の安全検証制御部20-1~20-nが設けられているが、図4に示したように、1つの自動制御部10に複数の安全検証制御部20-1~20-nが多重に設けられている場合は、多重化したいずれかの安全検証機能でNGとなった場合に出力を停止する構成や、フォルスネガティブ(正常なのに異常(危険)と誤判断してしまう事象)の確率が低い安全検証制御部20でOK、またはOK /w limitならば、フォルスネガティブの確率が高い安全検証制御部20でNGとなっても概フォルスネガティブと誤判断してしまう事象の確率が低い安全検証制御部20における検証結果に基づいて安全制限出力3を出力する構成が考えられる。
図17は、第2の実施の形態による制御システムにおいて動作不良可能性発見をトリガーとした場合の状態遷移の例を示す図である。図18は、図17に示した状態遷移において経験ベース安全検証をオンラインでも学習する場合の状態遷移の実施例を示す図である。
上述した制御システムにおいては、図17及び図18に示すように、動作不良可能性発見という事象をトリガーとして、状態を遷移させることも考えられる。なお、動作不良可能性発見とは、脆弱性の発見に加えて、運用開始後の不良箇所の発見などの事象が含まれる。すなわち、検証レベル選択部30においては、自動制御部10のハードウェアあるいはソフトウェアに内在する動作不良原因に基づいて自動制御部10の正常性に関する状態を管理することも考えられる。
なお、動作不良可能性発見という事象は、脆弱性発見と同様に、制御システム自らが安全検証制御部により検出した異常動作から動作不良可能性発見を検出する場合と、複数の制御システムを管理する管理センタを有し、センタから通信路を介して通知される場合が考えられる。後者の場合、管理センタでは、管理する複数の制御システムからの誤動作情報から動作不良可能性発見を検出する。
なお、上述した実施形態は例示であり、これらに限定されない。当業者であれば、本発明の範囲内で、種々の追加や変更等を行うことができる。例えば、各実施形態を適宜組み合わせることができる。また、いずれかの実施形態に記載した構成は、明示した組合せ以外に組み合わせることもできる。
1…入力、2…自動制御出力、3…安全制限出力、4…制御出力、10…自動制御部、20…安全検証制御部、21…安全検証部、22…ANDゲート、23…制限値選択回路、30…検証レベル選択部、40…出力選択部

Claims (12)

  1. 所定の入力に応じて、制御対象に出力する制御出力を生成する自動制御部と、
    前記制御出力の安全性を複数の検証レベルで検証可能に構成された安全検証制御部と、
    前記自動制御部の正常性に関する状態を管理し、該状態に応じて前記安全検証制御部における前記制御出力の安全性の検証レベルを選択する検証レベル選択部と、を有する制御システム。
  2. 前記安全検証制御部は、前記複数の検証レベルのそれぞれの検証結果に基づいて制御した前記制御出力を出力するように構成され、
    前記検証レベル選択部は、前記自動制御部の正常性に関する状態に応じて、前記安全検証制御部から出力される前記制御出力のうちいずれかを選択して前記制御対象へ出力する、
    請求項1に記載の制御システム。
  3. 前記安全検証制御部は、第1の検証レベルと、該第1の検証レベルよりも検証を強化した第2の検証レベルと、該第2の検証レベルよりも検証を強化した第3の検証レベルとのいずれかで前記制御出力の安全性を検証可能に構成され、
    前記検証レベル選択部は、前記自動制御部が正常な制御が可能なときは通常検証状態として前記第1の検証レベルを選択し、前記通常検証状態において前記自動制御部の脆弱性が発見された場合は検証強化状態として前記第2の検証レベルを選択し、前記検証強化状態において前記脆弱性に対する対策が実行された場合は検証強化継続状態として前記第3の検証レベルを選択し、前記検証強化継続状態で前記対策が実行された後の前記自動制御部の正常な制御が確認された場合は前記通常検証状態として前記第1の検証レベルを選択する、
    請求項1に記載の制御システム。
  4. 前記安全検証制御部は、前記検証結果が良好である場合は制御対象に前記制御出力を出力し、前記検証結果が不良である場合は前記制御対象への前記制御出力の出力を停止する、
    請求項2に記載の制御システム。
  5. 前記安全検証制御部は、前記制御出力の許容される上限値及び下限値を有し、前記検証結果において前記制御出力が前記上限値を超えている場合は前記制御対象へ前記上限値以下に制限した制御出力を出力し、前記検証結果において前記制御出力が前記下限値を下回っている場合は前記制御対象へ前記下限値以上に制限した制御出力を出力する、
    請求項2に記載の制御システム。
  6. 前記安全検証制御部は、多段に接続されることで、前記制御出力の安全性を複数の検証レベルで検証可能に構成されている、
    請求項2に記載の制御システム。
  7. 前記自動制御部が複数あり、
    前記安全検証制御部は、前記制御出力の安全性を互いに異なる検証レベルで検証し、検証結果に基づいて前記制御出力を制御する複数の検証部を有し、
    前記検証レベル選択部は、前記自動制御部の正常性に関する状態に応じて、前記複数の検証部からの制御出力のうちいずれかを選択して前記制御対象に出力する、
    請求項2に記載の制御システム。
  8. 前記検証レベル選択部は、人間の操作入力による制御出力と、前記人間の操作入力の優先度を示す優先度情報と、が更に与えられ、前記優先度情報が前記自動制御部よりも前記人間の操作入力を優先することを示している場合は、前記人間の操作入力による制御出力を前記制御対象に出力する、
    請求項7に記載の制御システム。
  9. 前記第2の検証レベルと前記第3の検証レベルとが共通である、請求項3に記載の制御システム。
  10. 前記安全検証制御部における制御出力の安全性の検証方法を学習する学習部を有し、
    前記学習部は、前記通常検証状態において前記検証方法の学習を行い、前記検証強化状態及び前記検証強化継続状態において前記検証方法の学習を停止する、
    請求項3に記載の制御システム。
  11. 前記検証レベル選択部は、サイバーアタックに対する前記自動制御部の脆弱性に基づいて前記自動制御部の正常性に関する状態を管理する、
    請求項1に記載の制御システム。
  12. 前記検証レベル選択部は、前記自動制御部のハードウェアあるいはソフトウェアに内在する動作不良原因に基づいて前記自動制御部の正常性に関する状態を管理する、
    請求項1に記載の制御システム。
JP2017242901A 2017-12-19 2017-12-19 制御システム Active JP7021928B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2017242901A JP7021928B2 (ja) 2017-12-19 2017-12-19 制御システム
US16/768,729 US11609999B2 (en) 2017-12-19 2018-12-04 Control system
PCT/JP2018/044484 WO2019124044A1 (ja) 2017-12-19 2018-12-04 制御システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017242901A JP7021928B2 (ja) 2017-12-19 2017-12-19 制御システム

Publications (2)

Publication Number Publication Date
JP2019109754A JP2019109754A (ja) 2019-07-04
JP7021928B2 true JP7021928B2 (ja) 2022-02-17

Family

ID=66993538

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017242901A Active JP7021928B2 (ja) 2017-12-19 2017-12-19 制御システム

Country Status (3)

Country Link
US (1) US11609999B2 (ja)
JP (1) JP7021928B2 (ja)
WO (1) WO2019124044A1 (ja)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008535053A (ja) 2005-03-25 2008-08-28 マイクロソフト コーポレーション パッチが当てられていないマシンの動的な保護
WO2012090624A1 (ja) 2010-12-27 2012-07-05 株式会社日立製作所 異常検知・診断方法、異常検知・診断システム、及び異常検知・診断プログラム並びに企業資産管理・設備資産管理システム
JP2014211473A (ja) 2013-04-17 2014-11-13 株式会社日立製作所 完全性検証システム及び方法
JP2017159840A (ja) 2016-03-10 2017-09-14 三菱電機株式会社 車両制御装置及び車両制御方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3198884B2 (ja) * 1995-08-31 2001-08-13 日本電気株式会社 車両走行制御システム
JPH1040091A (ja) * 1996-07-19 1998-02-13 Fujitsu Ltd プログラム制御装置
JP4254844B2 (ja) 2006-11-01 2009-04-15 トヨタ自動車株式会社 走行制御計画評価装置
JP6655361B2 (ja) * 2015-11-11 2020-02-26 日立オートモティブシステムズ株式会社 車両制御装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008535053A (ja) 2005-03-25 2008-08-28 マイクロソフト コーポレーション パッチが当てられていないマシンの動的な保護
WO2012090624A1 (ja) 2010-12-27 2012-07-05 株式会社日立製作所 異常検知・診断方法、異常検知・診断システム、及び異常検知・診断プログラム並びに企業資産管理・設備資産管理システム
JP2014211473A (ja) 2013-04-17 2014-11-13 株式会社日立製作所 完全性検証システム及び方法
JP2017159840A (ja) 2016-03-10 2017-09-14 三菱電機株式会社 車両制御装置及び車両制御方法

Also Published As

Publication number Publication date
US20210173936A1 (en) 2021-06-10
US11609999B2 (en) 2023-03-21
JP2019109754A (ja) 2019-07-04
WO2019124044A1 (ja) 2019-06-27

Similar Documents

Publication Publication Date Title
JP6723955B2 (ja) 情報処理装置及び異常対処方法
CN102841828B (zh) 逻辑电路中的故障检测和减轻
WO2011114493A1 (ja) マイコン相互監視システム及びマイコン相互監視方法
JP5216377B2 (ja) プログラミング可能なデータ処理装置用の保護ユニット
CN115189957A (zh) 一种工业控制系统主动可加载的访问控制引擎
US10372579B2 (en) FPGA mismatched packet stop for a safety system
CN115826393A (zh) 一种飞控系统的双余度管理方法及装置
JP7021928B2 (ja) 制御システム
US11340892B2 (en) Safety monitor for advanced driver assistance systems
Haupt et al. A runtime safety monitoring approach for adaptable autonomous systems
Ji et al. Reliability improvement of electric power steering system based on ISO 26262
JP5233634B2 (ja) フィールド通信システムおよびフィールド通信方法
US9772615B2 (en) Multi-channel control switchover logic
Morikawa et al. Safety design concepts for statistical machine learning components toward accordance with functional safety standards
CN110194180A (zh) 自动停车的方法及系统
US20140214181A1 (en) Control system for software termination protection
US20080155306A1 (en) Method and system for controlling command execution
Eki et al. Fail-operational EPS by distributed architecture
Smidts et al. Next-Generation Architecture and Autonomous Cyber-Defense
US10963357B2 (en) Fault monitoring for a complex computing unit
CN113993752A (zh) 电子控制单元和程序
WO2020109252A1 (en) Test system and method for data analytics
Eriş et al. N-version programming for railway interlocking systems: Synchronization and voting strategy
JP7471532B2 (ja) 制御装置
US20240140448A1 (en) Electronic Control Device, On-Vehicle Control System, and Redundant Function Control Method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200813

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211005

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211109

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220111

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220204

R150 Certificate of patent or registration of utility model

Ref document number: 7021928

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150