JP7077920B2 - Communication device - Google Patents

Communication device Download PDF

Info

Publication number
JP7077920B2
JP7077920B2 JP2018210511A JP2018210511A JP7077920B2 JP 7077920 B2 JP7077920 B2 JP 7077920B2 JP 2018210511 A JP2018210511 A JP 2018210511A JP 2018210511 A JP2018210511 A JP 2018210511A JP 7077920 B2 JP7077920 B2 JP 7077920B2
Authority
JP
Japan
Prior art keywords
application
communication device
restricted
function
restriction
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018210511A
Other languages
Japanese (ja)
Other versions
JP2020077233A (en
Inventor
成仁 山郷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2018210511A priority Critical patent/JP7077920B2/en
Priority to DE102019217015.3A priority patent/DE102019217015A1/en
Publication of JP2020077233A publication Critical patent/JP2020077233A/en
Application granted granted Critical
Publication of JP7077920B2 publication Critical patent/JP7077920B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/52Program synchronisation; Mutual exclusion, e.g. by means of semaphores
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/0098Details of control systems ensuring comfort, safety or stability not otherwise provided for
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0715Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in a system implementing multitasking
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0793Remedial or corrective actions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • G06F11/0772Means for error signaling, e.g. using interrupts, exception flags, dedicated error registers

Description

本開示は、他の通信装置と通信可能に構成された通信装置に関する。 The present disclosure relates to a communication device configured to be able to communicate with another communication device.

車両において上記の通信装置が搭載された構成が知られている。例えば、下記特許文献1には、通信装置においてデータの送受信を行う通信ポートに異常が検出された際に、その異常の内容に応じて車両に搭載されたアプリケーション等の機能制限を行う技術が開示されている。 It is known that a vehicle is equipped with the above communication device. For example, Patent Document 1 below discloses a technique for limiting the functions of an application mounted on a vehicle according to the content of an abnormality when an abnormality is detected in a communication port for transmitting and receiving data in a communication device. Has been done.

特開2018-062320号公報Japanese Unexamined Patent Publication No. 2018-062320

ところで、上記の通信装置では、スマートフォンのように、アプリケーションを自由に追加できるようにしたいという要求がある。しかしながら、上記特許文献1の技術では、車両へのアプリケーションの追加が想定されていない。単に、アプリケーションを自由に追加できるようにすると、車両に何らかの異常が検出された際に、追加された複数のアプリケーションが自律的に同時に停止する等の機能制限を行う可能性が高まる。 By the way, in the above-mentioned communication device, there is a demand that an application can be freely added like a smartphone. However, the technique of Patent Document 1 does not assume the addition of an application to a vehicle. Simply allowing applications to be added freely increases the possibility of limiting functions such as autonomously stopping multiple added applications at the same time when some abnormality is detected in the vehicle.

アプリケーションが機能制限を行う場合には、多くの場合、機能制限されるアプリケーションの機能を使用者が引き継ぐ必要があると考えられる。ところが、発明者の詳細な検討の結果、複数のアプリケーションが同時に機能制限を行う場合には、使用者がアプリケーションの機能の全てを引き継ぐことが難しくなるという課題が見出された。 When an application restricts functions, it is considered necessary for the user to take over the functions of the restricted application in many cases. However, as a result of detailed examination by the inventor, it has been found that when a plurality of applications simultaneously limit the functions, it becomes difficult for the user to take over all the functions of the application.

本開示の1つの局面は、他の通信装置と通信可能に構成された通信装置において、アプリケーションが追加された場合であっても、車両の異常発生時に使用者が複数のアプリケーションの機能を良好に引き継ぐことができるようにすることにある。 One aspect of the present disclosure is that in a communication device configured to be able to communicate with another communication device, even if an application is added, the user can improve the functions of the plurality of applications in the event of a vehicle abnormality. It is to be able to take over.

本開示の一態様は、車両に搭載され、少なくとも1つの他の通信装置と通信可能に構成された通信装置(10)であって、取得部(S210、S220)と、順序設定部(S310、S270)と、制限指示部(S370)と、を備える。取得部は、当該通信装置および他の通信装置のうちの複数のアプリケーションを備える少なくとも1つの通信装置にアプリケーションが追加される度に、アプリケーションが機能制限した場合における他のアプリケーションへの影響の程度を表す影響度を取得するように構成される。 One aspect of the present disclosure is a communication device (10) mounted on a vehicle and configured to be able to communicate with at least one other communication device, the acquisition unit (S210, S220) and the order setting unit (S310, S270) and a restriction indicator (S370) are provided. Each time an application is added to at least one communication device having a plurality of applications of the communication device and other communication devices, the acquisition unit determines the degree of influence on the other application when the function of the application is restricted. It is configured to get the degree of influence it represents.

順序設定部は、予め設定された機能制限条件が成立する場合に、影響度に従って複数のアプリケーションのうちの少なくとも1つのアプリケーションを機能制限する際の順序を表す制限順序を設定するように構成される。制限指示部は、制限順序に応じて、機能制限する少なくとも1つのアプリケーションに、順次、機能制限するよう指示するように構成される。 The order setting unit is configured to set a restriction order indicating an order for restricting the function of at least one of a plurality of applications according to the degree of influence when a preset function restriction condition is satisfied. .. The restriction instruction unit is configured to sequentially instruct at least one application whose function is restricted to restrict the function according to the restriction order.

このような構成によれば、アプリケーションが機能制限した場合における他のアプリケーションへの影響の程度を表す影響度に従って、アプリケーションを機能制限する際の順序である制限順序を設定し、この制限順序に応じて順次アプリケーションの機能制限を行う。この際、影響度はアプリケーションが追加される度に取得され、アプリケーションが追加された場合であっても、その都度、制限順序を設定できる。 According to such a configuration, a restriction order, which is an order for restricting the functions of an application, is set according to the degree of influence indicating the degree of influence on other applications when the function is restricted, and the restriction order is set according to the restriction order. The functions of the application are sequentially restricted. At this time, the degree of influence is acquired each time an application is added, and even when an application is added, the restriction order can be set each time.

よって、同時に多数のアプリケーションが機能制限されることを抑制することができる。そして、アプリケーションが追加された場合であっても、異常発生時に使用者が複数のアプリケーションの機能を良好に引き継ぐ、すなわち、使用者が複数のアプリケーションの機能を手動で実行することができる。 Therefore, it is possible to prevent a large number of applications from being restricted in function at the same time. Then, even when an application is added, the user can satisfactorily take over the functions of the plurality of applications when an abnormality occurs, that is, the user can manually execute the functions of the plurality of applications.

通信システムの構成を示すブロック図である。It is a block diagram which shows the structure of a communication system. 影響度送信処理のフローチャートである。It is a flowchart of influence degree transmission processing. 各アプリが送信する影響度情報の一例を示す図である。It is a figure which shows an example of the influence degree information transmitted by each application. 影響度記録処理のフローチャートである。It is a flowchart of influence degree recording processing. 影響度データベースの内容の一例を示す図である。It is a figure which shows an example of the contents of an influence degree database. 順序設定処理のフローチャートである。It is a flowchart of an order setting process. 制限順序の設定手順の一例を示す図である。It is a figure which shows an example of the setting procedure of a restriction order. 制限指示処理のフローチャートである。It is a flowchart of restriction instruction processing. 制限実行処理のフローチャートである。It is a flowchart of the restriction execution process. 各処理の実施時期を示すシーケンス図である。It is a sequence diagram which shows the execution time of each process.

以下、図面を参照しながら、本開示の一態様の実施形態を説明する。
[1.背景]
近年、車両においては、車両外部の任意の装置と車両内の通信装置とが車両内の通信装置の通信ポートを利用して通信を行うように構成されており、今後、車両内の通信装置には、スマートフォンのように車両出荷後にアプリケーション(以下では、アプリ、或いはAPPとも表記)が追加されるようになることが予想される。このようになると、車両においては、複数のアプリが動的に連携することによって、自動運転等の安全に関連した高度な機能を実現することが求められる。 Hereinafter, embodiments of one aspect of the present disclosure will be described with reference to the drawings.
[1. background]
In recent years, in a vehicle, an arbitrary device outside the vehicle and a communication device inside the vehicle are configured to communicate using the communication port of the communication device inside the vehicle. It is expected that applications (hereinafter, also referred to as applications or APPs) will be added after the vehicle is shipped like smartphones. In such a case, in the vehicle, it is required to realize advanced functions related to safety such as automatic driving by dynamically linking a plurality of applications.

この場合、車両が走行中に、車両外部の任意の装置と継続的に通信を行うことも予想される。車両の走行中に通信ポートなどの通信異常が発生した場合に、各アプリが自律的に停止等の機能制限を実施すると、使用者、特にドライバに対して機能制限する機能の引継ぎがうまくできない可能性がある。例えば、自動運転のアプリにおいて、ブレーキ制御のアプリと操舵のアプリとが同時に停止すると、これらのアプリの機能を手動で実行すべきドライバに負担がかかる。したがって、各アプリが他のアプリとの関係で、どのような機能制限を行うかを予め準備することが好ましいが、使用者がどのようなアプリをインストールするかによって各アプリが他のアプリに与える影響が動的に変化するため、全てのケースに対応した適切な順序で機能制限を行うプログラムを準備しておくことは不可能である。 In this case, it is expected that the vehicle will continuously communicate with any device outside the vehicle while the vehicle is traveling. If a communication error such as a communication port occurs while the vehicle is running and each application autonomously restricts functions such as stopping, it may not be possible to successfully take over the functions that restrict functions to the user, especially the driver. There is sex. For example, in an automatic driving application, if the brake control application and the steering application are stopped at the same time, the driver who should manually execute the functions of these applications is burdened. Therefore, it is preferable to prepare in advance what kind of function restrictions each app will perform in relation to other apps, but each app will give to other apps depending on what kind of app the user installs. Since the impact changes dynamically, it is not possible to prepare a program that limits the functions in an appropriate order for all cases.

また、複数のアプリが同時に影響を受けることにより、ドライバに対しそれぞれのアプリから多数の警告が通知されパニックになる可能性もある。このような事情を鑑みて、動的なアプリ連携を行う車両システムにおいて、通信ポートなどの通信異常が発生しても、適切な順番で安全に機能制限を行う仕組みが必要であるとの認識が得られ、この仕組みを実現するために本実施形態の構成が想到されている。 Also, if multiple apps are affected at the same time, the driver may be notified of a large number of warnings from each app and panic. In view of these circumstances, it is recognized that in a vehicle system that dynamically links applications, it is necessary to have a mechanism to safely limit functions in an appropriate order even if a communication error such as a communication port occurs. Obtained, and the configuration of this embodiment has been conceived in order to realize this mechanism.

[1-1.構成]
図1に示す通信システム1は、乗用車等の車両に搭載され、通信システム1を構成するECU等の任意の装置にアプリが追加された場合であっても、異常発生時に車両のドライバ等の使用者が複数のアプリの機能を良好に引き継ぐことができるように工夫されている。 [1-1. Constitution]
The communication system 1 shown in FIG. 1 is mounted on a vehicle such as a passenger car, and even when an application is added to an arbitrary device such as an ECU constituting the communication system 1, the driver or the like of the vehicle is used when an abnormality occurs. It is devised so that a person can take over the functions of multiple apps well.

図1に示す通信システム1は、ゲートウェイECU10を備える。ECUは、Electronic Control Unitの略である。通信システム1は、外部通信装置20と、第1ECU30と、第2ECU40と、を備えてもよい。 The communication system 1 shown in FIG. 1 includes a gateway ECU 10. ECU is an abbreviation for Electronic Control Unit. The communication system 1 may include an external communication device 20, a first ECU 30, and a second ECU 40.

ゲートウェイECU10、第1ECU30、および第2ECU40等の各ECU10,30,40は、通信線を介して互いに通信可能に構成された通信装置である。通信システム1は、ゲートウェイECU10をマスタとし、第1ECU30および第2ECU40をスレーブとするマスタ・スレーブ方式で、アプリおよび通信ポートの機能制限に関する管理を行う。 Each of the ECUs 10, 30, 40 such as the gateway ECU 10, the first ECU 30, and the second ECU 40 are communication devices configured to be able to communicate with each other via a communication line. The communication system 1 is a master-slave system in which the gateway ECU 10 is the master and the first ECU 30 and the second ECU 40 are the slaves, and manages the function restrictions of the application and the communication port.

すなわち、ゲートウェイECU10は、アプリおよび通信ポートの機能制限を指示し、外部通信装置20、第1ECU30、および第2ECU40は、この指示に従って作動する。なお、機能制限とは、アプリや装置が有する機能のうちの少なくとも一部の機能を主としてゲートウェイECU10が停止させることを示す。 That is, the gateway ECU 10 instructs the function limitation of the application and the communication port, and the external communication device 20, the first ECU 30, and the second ECU 40 operate according to this instruction. The function limitation means that the gateway ECU 10 mainly stops at least a part of the functions of the application or the device.

各ECU10,30,40は、それぞれ、CPU11,31,41と、例えば、RAMまたはROM等の半導体メモリ(以下、メモリ12,32,42)と、を有するマイクロコンピュータを備える。各ECU10,30,40は、接続された他の装置と通信するための通信モジュールとして構成された通信部13,33,43をそれぞれ備える。 Each ECU 10, 30, 40 includes a microcomputer having CPUs 11, 31, 41, and a semiconductor memory such as, for example, RAM or ROM (hereinafter, memory 12, 32, 42), respectively. Each ECU 10, 30, 40 includes communication units 13, 33, 43 configured as communication modules for communicating with other connected devices, respectively.

各ECU10,30,40の各機能は、CPU11,31,41が非遷移的実体的記録媒体に格納されたプログラムを実行することにより実現される。この例では、メモリ12,32,42が、プログラムを格納した非遷移的実体的記録媒体に該当する。また、このプログラムが実行されることで、プログラムに対応する方法が実行される。 Each function of each ECU 10, 30, 40 is realized by the CPU 11, 31, 41 executing a program stored in a non-transitional substantive recording medium. In this example, the memories 12, 32, and 42 correspond to the non-transitional substantive recording medium in which the program is stored. In addition, when this program is executed, the method corresponding to the program is executed.

なお、非遷移的実体的記録媒体とは、記録媒体のうちの電磁波を除く意味である。また、各ECU10,30,40は、1つのマイクロコンピュータを備えてもよいし、複数のマイクロコンピュータを備えてもよい。 The non-transitional substantive recording medium means that electromagnetic waves are excluded from the recording media. Further, each of the ECUs 10, 30 and 40 may be provided with one microcomputer or may be provided with a plurality of microcomputers.

ゲートウェイECU10は、マスタ制御部15、および任意のアプリ19の各機能部を備える。マスタ制御部15としては、順序設定部16、影響度記録部17、および制限指示部18の各機能部をさらに備える。 The gateway ECU 10 includes a master control unit 15 and each functional unit of an arbitrary application 19. The master control unit 15 further includes each function unit of the order setting unit 16, the influence degree recording unit 17, and the restriction instruction unit 18.

順序設定部16は、後述する順序設定処理を実施する。影響度記録部17は、後述する影響度記録処理を実施する。制限指示部18は、後述する制限指示処理を実施する。
第1ECU30および第2ECU40は、スレーブ制御部35,45、および任意のアプリ38,39,48,49の各機能部を備える。スレーブ制御部35,45としては、影響度送信部36,46、および制限実行部37,47の各機能部をさらに備える。 The order setting unit 16 carries out the order setting process described later. The influence degree recording unit 17 carries out the influence degree recording process described later. The restriction instruction unit 18 carries out the restriction instruction processing described later.
The first ECU 30 and the second ECU 40 include slave control units 35, 45, and functional units of arbitrary applications 38, 39, 48, 49. The slave control units 35 and 45 further include functional units of the influence level transmission units 36 and 46 and the restriction execution units 37 and 47.

影響度送信部36,46は、後述する影響度送信処理を実施する。制限実行部37,47は、後述する制限指示処理を実施する。なお、アプリ19,38,39,48,49は、インストールされたアプリに応じて異なる任意の作動を行う。 The influence degree transmission units 36 and 46 carry out the influence degree transmission process described later. The restriction execution units 37 and 47 execute the restriction instruction processing described later. The apps 19, 38, 39, 48, and 49 perform arbitrary operations that differ depending on the installed apps.

各ECU10,30,40に含まれる各部の機能を実現する手法はソフトウェアに限るものではなく、その一部または全部の機能は、一つあるいは複数のハードウェアを用いて実現されてもよい。例えば、上記機能がハードウェアである電子回路によって実現される場合、その電子回路は、デジタル回路、またはアナログ回路、あるいはこれらの組合せによって実現されてもよい。 The method for realizing the functions of each part included in the ECUs 10, 30 and 40 is not limited to software, and some or all of the functions may be realized by using one or a plurality of hardware. For example, when the above function is realized by an electronic circuit which is hardware, the electronic circuit may be realized by a digital circuit, an analog circuit, or a combination thereof.

外部通信装置20は、第1ECU30および第2ECU40が接続された通信線とは異なる通信線で、ゲートウェイECU10と通信可能に構成された通信装置である。ただし、外部通信装置20は、ゲートウェイECU10と通信可能に構成されていれば、第1ECU30、第2ECU40等の他の装置と通信可能に接続されていてもよい。また、外部通信装置20は、基地局61等の車両の外部の装置と通信するための複数の通信ポート24A,24Bを備えており、何れかの通信ポート24A,24Bを利用して、無線でのデータ通信を媒介する基地局61と無線通信可能に構成される。 The external communication device 20 is a communication device that is different from the communication line to which the first ECU 30 and the second ECU 40 are connected and is configured to be able to communicate with the gateway ECU 10. However, the external communication device 20 may be connected to other devices such as the first ECU 30 and the second ECU 40 so as to be communicable as long as it is configured to be communicable with the gateway ECU 10. Further, the external communication device 20 includes a plurality of communication ports 24A and 24B for communicating with external devices of the vehicle such as the base station 61, and wirelessly using any of the communication ports 24A and 24B. It is configured to be capable of wireless communication with the base station 61 that mediates the data communication of.

外部通信装置20は、インターネット網62およびインターネット網62に接続された無線の基地局61を介して、任意のサーバ装置63と通信可能に構成される。サーバ装置63は、例えば、通信システム1を備える車両が自動運転を行う際に必要となる地図情報等の任意の情報を提供する機能、外部通信装置20の通信ポート24A,24Bのセキュリティに関する情報を当該通信システム1に送信する機能、等を備える。 The external communication device 20 is configured to be able to communicate with an arbitrary server device 63 via the Internet network 62 and the wireless base station 61 connected to the Internet network 62. The server device 63 provides, for example, a function of providing arbitrary information such as map information required for a vehicle equipped with a communication system 1 to perform automatic driving, and information on the security of communication ports 24A and 24B of the external communication device 20. It has a function of transmitting to the communication system 1 and the like.

外部通信装置20は、CPU21と、例えば、RAMまたはROM等の半導体メモリ22と、を有するマイクロコンピュータを備える。外部通信装置20は、ゲートウェイECU10と通信するための通信モジュールとして構成された通信部23をさらに備える。 The external communication device 20 includes a microcomputer having a CPU 21 and a semiconductor memory 22 such as RAM or ROM. The external communication device 20 further includes a communication unit 23 configured as a communication module for communicating with the gateway ECU 10.

外部通信装置20は、障害判断部26、および通信ポート制御部27の各機能部を備える。障害判断部26は、複数の通信ポート24A,24Bの障害の有無を検知する。障害の有無は、例えば、通信ポート24A,24Bを用いた通信が予め設定された時間内に完了するか否かによって判断してもよい。また、通信ポート24A,24Bのセキュリティに問題がある旨をサーバ装置63等から受信した場合に、障害があると判断してもよい。外部通信装置20は、障害判断部26にて障害があると判断された場合、障害の通知をゲートウェイECU10に送る。 The external communication device 20 includes each functional unit of the failure determination unit 26 and the communication port control unit 27. The failure determination unit 26 detects the presence or absence of a failure in the plurality of communication ports 24A and 24B. The presence or absence of a failure may be determined, for example, by whether or not the communication using the communication ports 24A and 24B is completed within a preset time. Further, when it is received from the server device 63 or the like that there is a problem in the security of the communication ports 24A and 24B, it may be determined that there is a failure. When the failure determination unit 26 determines that there is a failure, the external communication device 20 sends a failure notification to the gateway ECU 10.

通信ポート制御部27は、ゲートウェイECU10から制限指示を受けた場合に、指定された通信ポート24A,24Bの作動に制限を加える。通信ポート24A,24Bの作動の制限には、通信ポート24A,24Bを用いたデータの送受信を停止させる場合と、データの受信または送信のみを停止させる場合とが含まれる。 When the communication port control unit 27 receives a restriction instruction from the gateway ECU 10, the communication port control unit 27 limits the operation of the designated communication ports 24A and 24B. The restriction on the operation of the communication ports 24A and 24B includes a case where the transmission / reception of data using the communication ports 24A and 24B is stopped and a case where only the reception or transmission of the data is stopped.

[1-2.処理]
[1-2-1.影響度送信処理]
次に、スレーブECU30,40のCPU31,41がそれぞれ実行する影響度送信処理について、図2のフローチャートを用いて説明する。影響度送信処理は、例えば、車両の電源が投入され、スレーブECU30,40が起動すると開始され、その後、スレーブECU30,40が実行する他の処理とは並行して繰り返し実施される処理である。 [1-2. process]
[1-2-1. Impact transmission process]
Next, the influence degree transmission processing executed by the CPUs 31 and 41 of the slave ECUs 30 and 40 will be described with reference to the flowchart of FIG. The influence transmission process is, for example, a process that is started when the power of the vehicle is turned on and the slave ECUs 30 and 40 are activated, and is then repeatedly executed in parallel with other processes executed by the slave ECUs 30 and 40.

影響度送信処理では、図2に示すように、まず、S110で、スレーブECU30,40は、自らに搭載されたアプリ38,39,48,49の起動、またはアプリの作動モードの変更があったか否かを判定する。作動モードとは、アプリケーションが複数の機能を備える場合において、複数の機能のうちの少なくとも1つを選択的に実行する場合に、当該選択されうる個々の機能を示す。 In the influence transmission process, as shown in FIG. 2, first, in S110, whether or not the slave ECUs 30 and 40 have started the apps 38, 39, 48, 49 mounted on the slave ECUs 30 and 40 or changed the operation mode of the apps. Is determined. The operation mode indicates an individual function that can be selected when the application has a plurality of functions and at least one of the plurality of functions is selectively executed.

例えば、アプリが車両の速度や時刻等の周囲の環境に応じて異なる処理を実施する場合に、それぞれの処理を示す。より具体的には、ナビゲーション装置の表示を行うアプリであれば、昼用の表示態様と夜用の表示態様が選択的に実行され、これらの表示態様がそれぞれの作動モードに該当する。 For example, when the application performs different processing according to the surrounding environment such as the speed and time of the vehicle, each processing is shown. More specifically, in the case of an application that displays a navigation device, a daytime display mode and a nighttime display mode are selectively executed, and these display modes correspond to the respective operation modes.

S110でアプリの起動またはアプリの作動モードの変更があったと判定した場合には、S120へ移行し、スレーブECU30,40は、アプリから影響度情報を取得する。影響度情報とは、あるアプリが機能制限した場合の作動内容、および機能制限した場合における他のアプリへの影響の程度を表す情報である。 When it is determined in S110 that the application has been started or the operation mode of the application has been changed, the process proceeds to S120, and the slave ECUs 30 and 40 acquire the influence degree information from the application. The impact degree information is information indicating the operation content when the function of a certain application is restricted and the degree of influence on another application when the function is restricted.

影響度情報は、本開示の影響度および作動内容に相当する。影響度情報には、アプリが機能制限した場合に、影響を受ける範囲、影響を受ける部位、影響を受ける通信内容等が含まれる。より詳細には、影響度情報には、図3に示すようなデータ、すなわち、安全ランク、アプリの種別、影響を受ける通信IDおよび通信ポート、アプリ処置、通信ポートに対する処置を示すport処置、影響を与える通信IDが含まれる。なお、影響を受ける通信IDは、本開示での入力IDに相当し、影響を与える通信IDは、本開示での出力IDに相当する。 The impact information corresponds to the impact and operation details of the present disclosure. The influence degree information includes the range affected, the part affected, the communication content affected, and the like when the function of the application is restricted. More specifically, the impact information includes data as shown in FIG. 3, ie, safety rank, app type, affected communication ID and communication port, app action, port action indicating action on the communication port, impact. Contains a communication ID that gives. The affected communication ID corresponds to the input ID in the present disclosure, and the influencing communication ID corresponds to the output ID in the present disclosure.

安全ランクとは、当該アプリが停止する等の機能制限された際の車両の危険度を複数に区分し、当該アプリが複数の区分の何れに属するかを示す。車両の危険度とは、アプリが機能制限した場合に車両の安全性に与える影響の程度を示す。ここでは、車両の危険度が高くなるほど安全ランクの数値を高く設定し、安全ランクの最低値を1とし、安全ランクの最高値を4とする。なお、安全ランクは、アプリ毎に予め設定されている。 The safety rank divides the danger level of the vehicle into a plurality of categories when the function is restricted such as when the application is stopped, and indicates which of the plurality of categories the application belongs to. The degree of danger of a vehicle indicates the degree of influence on the safety of the vehicle when the function of the application is restricted. Here, the higher the degree of danger of the vehicle, the higher the value of the safety rank is set, the lowest value of the safety rank is set to 1, and the highest value of the safety rank is set to 4. The safety rank is preset for each application.

影響を受ける通信IDとは、アプリが機能制限した場合に、このアプリが受信できなくなるデータの種別を特定する値を表す。アプリ処置およびport処置は、アプリおよび通信ポートが機能制限する場合の作動内容を示す。作動内容には、機能制限する対象およびその制限の程度が記述されている。詳細は下記にて示す。 The affected communication ID represents a value that specifies the type of data that the application cannot receive when the function of the application is restricted. The application action and the port action indicate the operation contents when the function of the application and the communication port are restricted. The operation content describes the target for which the function is restricted and the degree of the restriction. Details are shown below.

アプリ処置としては、図3に示す例では、使用者に対して音や画像でメッセージを送ることを「通知」と表記している。また、アプリの一部の機能を停止させることを「縮退」と表記し、アプリの全ての機能を停止させることを「停止」と表記している。 As an application procedure, in the example shown in FIG. 3, sending a message by sound or image to the user is described as "notification". In addition, stopping some functions of the application is described as "degenerate", and stopping all functions of the application is described as "stop".

port処置としては、図3に示す例では、通信ポート24A,24Bを無効にする処置、すなわち、通信ポート24A,24Bを用いたデータの送受信ができなくなるように設定する処置を「無効」と表記している。なお、データの送信を許可し、受信のみを制限する処置を、例えば「縮退」として実施してもよい。 As the port measures, in the example shown in FIG. 3, the measures for disabling the communication ports 24A and 24B, that is, the measures for setting the communication ports 24A and 24B so that data can not be transmitted and received are described as "invalid". is doing. It should be noted that a measure for permitting the transmission of data and restricting only reception may be implemented as, for example, "degenerate".

影響を与える通信IDとは、アプリが機能制限した場合に、このアプリが送信できなくなるデータの種別を表す。影響度情報には、アプリ毎に図3に示す表における少なくとも1行分のデータが含まれ、アプリの作動モードが複数ある場合には、作動モードの数分の行数のデータが含まれる。 The affecting communication ID represents the type of data that cannot be transmitted by this application when the function of the application is restricted. The influence degree information includes data for at least one row in the table shown in FIG. 3 for each application, and when there are a plurality of operation modes of the application, data for the number of rows for the number of operation modes is included.

続いて、S130で、スレーブECU30,40は、取得した影響度情報をゲートウェイECU10に送信し、その後、図2の影響度送信処理を終了する。本処理で送信した影響度情報は、ゲートウェイECU10にて記録される。 Subsequently, in S130, the slave ECUs 30 and 40 transmit the acquired influence degree information to the gateway ECU 10, and then end the influence degree transmission process of FIG. The influence degree information transmitted in this process is recorded in the gateway ECU 10.

一方、S110でアプリの起動およびアプリの作動モードの変更がないと判定した場合には、S140へ移行し、スレーブECU30,40は、アプリが終了したか否かを判定する。 On the other hand, if it is determined in S110 that the application is not started or the operation mode of the application is not changed, the process proceeds to S140, and the slave ECUs 30 and 40 determine whether or not the application is terminated.

S140でアプリが終了したと判定した場合には、S150へ移行し、スレーブECU30,40は、当該アプリに関する影響度情報を削除する要求である削除要求をゲートウェイECU10に送信した後、図2の影響度送信処理を終了する。本処理で送信した削除要求に従って、ゲートウェイECU10では当該アプリに関する影響度情報が削除される。 When it is determined in S140 that the application has ended, the process proceeds to S150, and the slave ECUs 30 and 40 transmit a deletion request, which is a request for deleting the influence degree information related to the application, to the gateway ECU 10, and then the influence of FIG. Ends the transmission process. According to the deletion request transmitted in this process, the gateway ECU 10 deletes the influence degree information related to the application.

一方、S140でアプリが終了していないと判定した場合には、図2の影響度送信処理を終了する。
[1-2-2.影響度記録処理]
次に、ゲートウェイECU10が実行する影響度記録処理について、図4のフローチャートを用いて説明する。影響度記録処理は、例えば、ゲートウェイECU10が起動すると開始され、その後、ゲートウェイECU10が実行する他の処理とは並行して繰り返し実施される処理である。 On the other hand, if it is determined in S140 that the application has not ended, the influence degree transmission process of FIG. 2 is terminated.
[1-2-2. Impact recording process]
Next, the influence degree recording process executed by the gateway ECU 10 will be described with reference to the flowchart of FIG. The influence degree recording process is, for example, a process that is started when the gateway ECU 10 is activated and then repeatedly executed in parallel with other processes executed by the gateway ECU 10.

影響度記録処理では、まず、S210で、ゲートウェイECU10は、スレーブECU30,40から影響度情報または削除要求を受信したか否かを判定する。
S210で影響度情報または削除要求を受信したと判定した場合には、S220へ移行し、ゲートウェイECU10は、影響度データベースを更新する。ここで、影響度データベースは、メモリ12内において複数の影響度情報が記録されたデータベースであり、例えば、図5に示すように、複数のスレーブECU30,40から収集された影響度情報が含まれる。 In the influence degree recording process, first, in S210, the gateway ECU 10 determines whether or not the influence degree information or the deletion request is received from the slave ECUs 30 and 40.
If it is determined in S210 that the influence degree information or the deletion request has been received, the process proceeds to S220, and the gateway ECU 10 updates the influence degree database. Here, the influence degree database is a database in which a plurality of influence degree information is recorded in the memory 12, and for example, as shown in FIG. 5, the influence degree information collected from the plurality of slave ECUs 30 and 40 is included. ..

この処理で、ゲートウェイECU10は、影響度情報を受信した場合には、影響度データベースに影響度情報を追記し、削除要求を受信した場合には、影響度データベースから該当するアプリに関する影響度情報を削除する。この処理が終了すると、図4の影響度記録処理を終了する。 In this process, when the gateway ECU 10 receives the influence degree information, the influence degree information is added to the influence degree database, and when the deletion request is received, the influence degree information about the corresponding application is added from the influence degree database. delete. When this process is completed, the impact recording process of FIG. 4 is completed.

ゲートウェイECU10は、S210で影響度情報または削除要求を受信していないと判定した場合には、図4の影響度記録処理を終了する。
[1-2-3.順序設定処理]
次に、ゲートウェイECU10が実行する順序設定処理について、図6のフローチャートを用いて説明する。順序設定処理は、例えば、ゲートウェイECU10が起動すると開始され、その後、ゲートウェイECU10が実行する他の処理とは並行して繰り返し実施される処理である。 When the gateway ECU 10 determines that the influence degree information or the deletion request has not been received in S210, the gateway ECU 10 ends the influence degree recording process of FIG.
[1-2-3. Order setting process]
Next, the order setting process executed by the gateway ECU 10 will be described with reference to the flowchart of FIG. The order setting process is, for example, a process that is started when the gateway ECU 10 is activated and then repeatedly executed in parallel with other processes executed by the gateway ECU 10.

順序設定処理では、まず、S260で、ゲートウェイECU10は、順序計算要求を受信したか否かを判定する。順序計算要求は、後述する制限指示処理にて送信される要求であって、複数のアプリを機能制限する際の順序である制限順序を計算し、制限順序の計算結果を応答するよう求める要求である。順序計算要求は、障害が発生した通信ポートの番号とともに受信される。 In the order setting process, first, in S260, the gateway ECU 10 determines whether or not the order calculation request has been received. The order calculation request is a request sent in the restriction instruction processing described later, and is a request to calculate the restriction order, which is the order when the functions of a plurality of applications are restricted, and to respond to the calculation result of the restriction order. be. The sequence calculation request is received with the number of the communication port where the failure occurred.

S260で順序計算要求を受信していないと判定した場合には、図6の順序設定処理を終了する。また、S260で順序計算要求を受信したと判定した場合には、S270へ移行し、ゲートウェイECU10は、影響度データベースに基づきアプリの制限順序を設定する。この処理では、(1)障害が生じた部位に応じて障害が伝播する複数のアプリの関係を示すツリーを影響度データベースに基づいて生成し、(2)影響度が低いアプリから障害が伝播するアプリを並べた順序を制限順序として設定する。 If it is determined in S260 that the order calculation request has not been received, the order setting process of FIG. 6 is terminated. Further, when it is determined that the order calculation request is received in S260, the process proceeds to S270, and the gateway ECU 10 sets the restricted order of the application based on the influence degree database. In this process, (1) a tree showing the relationship between multiple apps that propagate the failure according to the location where the failure occurred is generated based on the impact database, and (2) the failure propagates from the application with the lower impact. Set the order in which the apps are arranged as the restricted order.

例えば、外部通信装置20が通信ポート24A,24Bとして、port10001、port10002を備えているとする。この場合、障害が発生した通信ポートの番号として、port10001に通信障害が発生したとすると、下記のような処理を行う。上記(1)のツリーを生成する処理として、port10001の障害が直接的に影響を与えるアプリを検索すると、図5の[A]に示すように、port10001を受信ポートとして利用するアプリである「自動運転用地図」が特定される。 For example, it is assumed that the external communication device 20 includes port10001 and port10002 as communication ports 24A and 24B. In this case, assuming that a communication failure has occurred in port10001 as the number of the communication port where the failure has occurred, the following processing is performed. As a process of generating the tree of (1) above, when an application that is directly affected by the failure of port10001 is searched, as shown in [A] of FIG. 5, the application that uses port10001 as a receiving port is "automatic". "Driving map" is specified.

次に、「自動運転用地図」によって出力されるデータを入力とするアプリを検索する。すなわち、「自動運転用地図」での影響を与える通信IDは、0x01と0x04とであるから、0x01または0x04を、影響を受ける通信IDとするアプリを影響度データベースから検索する。この結果、port10001の障害が間接的に影響を与えるアプリが検索される。 Next, search for an application that inputs the data output by the "map for autonomous driving". That is, since the communication IDs that affect the "map for automatic driving" are 0x01 and 0x04, the application whose communication ID is 0x01 or 0x04 is searched from the influence degree database. As a result, apps that are indirectly affected by the failure of port10001 are searched.

すると、0x01を影響を受ける通信IDとする「ナビ表示」と0x04を影響を受ける通信IDとする「自動運転」とが探索される。このように、「影響を与える通信ID」が「影響を受ける通信ID」となるアプリを順に辿る処理を繰り返して、さらに間接的に障害の影響を受けるアプリを検索することでツリーを生成する。 Then, the "navigation display" in which 0x01 is the affected communication ID and the "automatic operation" in which 0x04 is the affected communication ID are searched. In this way, a tree is generated by repeating the process of sequentially tracing the applications whose "affecting communication ID" is the "affected communication ID" and indirectly searching for the application affected by the failure.

障害の影響が何れのアプリにも伝播しなくなるまで、もしくは障害が影響を与えるアプリとして既に抽出されたアプリが再度抽出された時点でツリーを生成することを打ち切る。すると、図7に示すようなツリーが得られる。このツリーでは、port10001の障害の影響が伝播するアプリが、安全ランク毎に整列して配置される。 Stop generating the tree until the impact of the failure is no longer propagated to any app, or when an app that has already been extracted as an app affected by the failure is extracted again. Then, a tree as shown in FIG. 7 is obtained. In this tree, apps that propagate the effects of port10001 failures are arranged in order by safety rank.

次に、上記(2)の制限順序を設定する処理では、下記の手順で処理を行う。
≪1≫ {安全ランク1のアプリ}、{安全ランク2のアプリ}、…、{安全ランク4のアプリ}というように、安全ランクが低い順に安全ランクの最大値まで、制限を行うアプリを順に選択する。 Next, in the process of setting the restriction order in (2) above, the process is performed according to the following procedure.
<< 1 >> {Safety rank 1 app}, {Safety rank 2 app}, ..., {Safety rank 4 app}, and so on, the apps that limit the safety rank to the maximum value in ascending order. select.

≪2≫安全ランクが等しいアプリ同士の制限順序は以下のように決める。
(a)より高ランクのアプリの停止に直接影響するアプリの制限順序は最後尾とする。最後尾とするアプリが複数ある場合は、このアプリが制限されたときに影響するアプリ数が多いものを、より後の順位とする。 << 2 >> The restriction order between apps with the same safety rank is determined as follows.
(a) The restriction order of apps that directly affects the suspension of higher-ranked apps shall be at the end. If there are multiple apps at the end, the one with the most influence when this app is restricted will be ranked later.

(b) より高ランクのアプリの制限に直接影響するアプリの制限順序は、(a)の条件に該当するアプリの直前とする。(b)に該当するアプリが複数ある場合は、このアプリが制限されたときに影響するアプリ数が多いものを、より後の順位とする。 (b) The restriction order of apps that directly affects the restrictions of higher-ranked apps shall be immediately before the apps that meet the conditions of (a). If there are multiple apps that fall under (b), the one with the most influence when this app is restricted will be ranked later.

(c) より高ランクのアプリの通知に直接影響するアプリの制限順序は、(b) の条件に該当するアプリの直前とする。(c) に該当するアプリが複数ある場合は、このアプリが制限されたときに影響するアプリ数が多いものを、より後の順位とする。 (c) The restriction order of apps that directly affects the notifications of higher-ranked apps shall be immediately before the apps that meet the conditions of (b). If there are multiple apps that fall under (c), the one with the most influence when this app is restricted will be ranked later.

(d)上記の(a)~(c)をランク最低のアプリまで繰り返す。
port10001に通信障害が発生した場合の例では、アプリの制限順序は、1.ナビ表示、2.自動運転用地図、3.自動運転、4.エンジン制御、5.ブレーキ制御、と設定される。上記(a)~(d)の手順を実施することによって、より安全への影響が大きいアプリに対する機能制限を遅らせ、かつ他のアプリと同時に機能制限されないようにすることで、車両全体への安全への影響が及びにくくなるようにしている。 (d) Repeat steps (a) to (c) above until the app has the lowest rank.
In the example when a communication failure occurs in port10001, the restriction order of the application is 1. Navigation display, 2. Map for autonomous driving, 3. Automatic operation, 4. Engine control, 5. Brake control is set. By implementing the above steps (a) to (d), the function restrictions for apps that have a greater impact on safety are delayed, and the functions are not restricted at the same time as other apps, thereby ensuring safety for the entire vehicle. The effect on is less likely to reach.

図6に戻り、続いて、S280で、ゲートウェイECU10(順序設定部16)は、制限順序を制限指示部18に送信した後、図6の順序設定処理を終了する。
[1-2-4.制限指示処理]
ゲートウェイECU10が実行する制限指示処理について、図8のフローチャートを用いて説明する。制限指示処理は、例えば、ゲートウェイECU10が起動すると開始され、その後、ゲートウェイECU10が実行する他の処理とは並行して繰り返し実施される処理である。 Returning to FIG. 6, subsequently, in S280, the gateway ECU 10 (order setting unit 16) transmits the restriction order to the restriction instruction unit 18, and then ends the order setting process of FIG.
[1-2-4. Restriction instruction processing]
The restriction instruction processing executed by the gateway ECU 10 will be described with reference to the flowchart of FIG. The restriction instruction process is, for example, a process that is started when the gateway ECU 10 is activated and then repeatedly executed in parallel with other processes executed by the gateway ECU 10.

制限指示処理では、まず、S310で、ゲートウェイECU10は、外部通信装置20の障害判断部26から障害の通知があるか否かを判定する。S310で障害判断部26から障害の通知がないと判定した場合には、図8の制限指示処理を終了する。 In the restriction instruction process, first, in S310, the gateway ECU 10 determines whether or not there is a failure notification from the failure determination unit 26 of the external communication device 20. When it is determined in S310 that there is no failure notification from the failure determination unit 26, the restriction instruction process of FIG. 8 is terminated.

一方、S310で障害判断部26から障害の通知があると判定した場合には、S320へ移行し、ゲートウェイECU10(制限指示部18)は、障害が発生した通信ポートの番号と、順序計算要求とを順序設定部16に送信する。 On the other hand, when it is determined in S310 that there is a failure notification from the failure determination unit 26, the process proceeds to S320, and the gateway ECU 10 (restriction instruction unit 18) receives the number of the communication port where the failure occurred and the order calculation request. Is transmitted to the order setting unit 16.

続いて、S330で、ゲートウェイECU10は、制限順序を受信したか否かを判定する。S330で制限順序を受信していないと判定した場合には、S330に戻る。一方、S330で制限順序を受信したと判定した場合には、S340へ移行し、ゲートウェイECU10は、全てのアプリに対する制限が終了したか否かを判定する。なお、ここでの制限には、使用者に対して行う通知が含まれる。 Subsequently, in S330, the gateway ECU 10 determines whether or not the restricted order has been received. If it is determined in S330 that the restricted order has not been received, the process returns to S330. On the other hand, if it is determined that the restriction order has been received in S330, the process proceeds to S340, and the gateway ECU 10 determines whether or not the restriction for all applications has been completed. Note that the restrictions here include notifications given to the user.

S340で全てのアプリに対する制限が終了したと判定した場合には、図8の制限指示処理を終了する。一方、S340で全てのアプリに対する制限が終了していないと判定した場合には、S350へ移行し、ゲートウェイECU10は、機能制限するアプリを選択し、機能を制限することに対する同意を使用者に求めるための要求である同意要求を送信する。同意要求は、車両におけるディスプレイに同意を求めるメッセージとして表示され、車両における予め設定されたスイッチを使用者が操作することによって、ゲートウェイECU10に使用者が同意した旨が入力される。 When it is determined in S340 that the restriction on all the applications is completed, the restriction instruction process of FIG. 8 is terminated. On the other hand, if it is determined in S340 that the restrictions on all the applications have not been completed, the process proceeds to S350, the gateway ECU 10 selects the application whose function is restricted, and asks the user for consent to restrict the function. Send a consent request, which is a request for. The consent request is displayed as a message asking for consent on the display in the vehicle, and the user operates the preset switch in the vehicle to input to the gateway ECU 10 that the user has consented.

続いて、S360で、ゲートウェイECU10は、選択されたアプリの機能制限について同意が得られたか否かを判定する。なお、選択されたアプリの全てについて同意を求める必要はなく、同意を求める必要がないアプリについては、S350およびS360を省略してもよい。また、同意を求めてから予め設定された時間(例えば10秒程度)が経過すると、使用者の同意が無くても同意が得られたとみなして処理を進めてもよい。 Subsequently, in S360, the gateway ECU 10 determines whether or not consent has been obtained for the function restriction of the selected application. It is not necessary to ask for consent for all of the selected apps, and S350 and S360 may be omitted for apps that do not need to ask for consent. Further, when a preset time (for example, about 10 seconds) has elapsed after requesting consent, it may be considered that consent has been obtained without the consent of the user, and the process may proceed.

また、例えば、安全ランクが高いアプリに対しては同意を求め、安全ランクが低いアプリに対しては同意を求めることを省略してもよい。また、作動内容として通知のみを行う際には同意を求める必要はない。このようにすれば、安全への影響が少ない機能制限については、使用者に対する煩雑な手続きを軽減させることができる。 Further, for example, the consent may be requested for the application having a high safety rank, and the consent may be omitted for the application having a low safety rank. In addition, it is not necessary to ask for consent when only notifying as the operation content. By doing so, it is possible to reduce complicated procedures for the user for function restrictions that have little effect on safety.

ゲートウェイECU10は、S360で同意が得られていないと判定した場合には、S360に戻る。一方、S360で同意が得られたと判定した場合には、S370へ移行し、ゲートウェイECU10は、当該アプリを指定して制限指示を送信する。制限指示には通知のみを行う場合が含まれる。なお、S370の詳細は後述する。 If the gateway ECU 10 determines that consent has not been obtained in S360, the gateway ECU 10 returns to S360. On the other hand, if it is determined that consent has been obtained in S360, the process proceeds to S370, and the gateway ECU 10 designates the application and transmits a restriction instruction. The restriction instruction includes the case of giving only a notification. The details of S370 will be described later.

続いて、S380で、ゲートウェイECU10は、当該アプリを制限済アプリに設定し、S340に戻る。制限済アプリであるか否かの設定は、例えば、メモリ12内の所定の領域においてフラグを立てることで管理される。 Subsequently, in S380, the gateway ECU 10 sets the application as a restricted application and returns to S340. The setting of whether or not the application is restricted is managed, for example, by setting a flag in a predetermined area in the memory 12.

[1-2-5.制限実行処理]
スレーブECU30,40が実行する制限実行処理について、図9のフローチャートを用いて説明する。制限実行処理は、例えば、スレーブECU30,40が起動すると開始され、その後、スレーブECU30,40が実行する他の処理とは並行して繰り返し実施される処理である。 [1-2-5. Restricted execution processing]
The limit execution process executed by the slave ECUs 30 and 40 will be described with reference to the flowchart of FIG. The restriction execution process is, for example, a process that is started when the slave ECUs 30 and 40 are activated, and is then repeatedly executed in parallel with other processes executed by the slave ECUs 30 and 40.

制限実行処理では、まず、S410で、スレーブECU30,40は、自らにインストールされたアプリを指定した制限指示を受信したかであるか否かを判定する。
S410で自己のアプリを指定した制限指示を受信したと判定した場合には、S420へ移行し、指定されたアプリの作動を制限指示に含まれる作動内容に従って制限する。この処理が終了すると、図9の制限実行処理を終了する。 In the restriction execution process, first, in S410, the slave ECUs 30 and 40 determine whether or not they have received the restriction instruction specifying the application installed in themselves.
When it is determined in S410 that the restriction instruction for specifying the own application is received, the process proceeds to S420, and the operation of the specified application is restricted according to the operation content included in the restriction instruction. When this process is completed, the restricted execution process of FIG. 9 is completed.

一方、S410で自己のアプリを指定した制限指示を受信していないと判定した場合には、図9の制限実行処理を終了する。
[1-2-6.各処理の実施時期]
上記各処理の実施時期を図10のシーケンス図を用いて簡単に説明する。 On the other hand, if it is determined in S410 that the restriction instruction for which the own application is specified has not been received, the restriction execution process of FIG. 9 is terminated.
[1-2-6. Implementation time of each process]
The implementation time of each of the above processes will be briefly described with reference to the sequence diagram of FIG.

図10のS1に示すように、まず、アプリの機能制限を行う準備として、スレーブECU30,40が各アプリの影響度情報をゲートウェイECU10に送信し、影響度情報を受けたゲートウェイECU10は、影響度データベースに影響度情報を記録させる。 As shown in S1 of FIG. 10, first, in preparation for limiting the functions of the applications, the slave ECUs 30 and 40 transmit the influence degree information of each application to the gateway ECU 10, and the gateway ECU 10 receiving the influence degree information receives the influence degree information. Have the database record impact information.

そして、図10のS2に示すように、ゲートウェイECU10は、外部通信装置20から通信ポートの障害の通知を受けると、障害が生じた通信ポートの番号に基づいて影響度データベースを参照し、制限順序を設定する。続いて、上述のS370に相当する処理を実施する。すなわち、図10のS3に示すように、制限順序が1番目のアプリに対する機能制限の作動内容を、影響度データベースを参照することで取得し、作動内容を含む制限指示を、スレーブECU30,40に送信する。すると、スレーブECU30,40は、機能制限を実施する。なお、スレーブECU30,40は、機能制限を実施した旨をゲートウェイECU10に送信してもよい。この場合、ゲートウェイECU10は、機能制限を実施した旨を受けてから、次のアプリに対する制限指示を送信してもよい。 Then, as shown in S2 of FIG. 10, when the gateway ECU 10 receives the notification of the failure of the communication port from the external communication device 20, the gateway ECU 10 refers to the influence degree database based on the number of the communication port in which the failure has occurred, and limits the order. To set. Subsequently, the process corresponding to the above-mentioned S370 is carried out. That is, as shown in S3 of FIG. 10, the operation content of the function restriction for the application having the first restriction order is acquired by referring to the influence degree database, and the restriction instruction including the operation content is sent to the slave ECUs 30 and 40. Send. Then, the slave ECUs 30 and 40 implement the function limitation. The slave ECUs 30 and 40 may transmit to the gateway ECU 10 that the function restriction has been implemented. In this case, the gateway ECU 10 may transmit a restriction instruction to the next application after receiving the fact that the function restriction has been performed.

続いて、図10のS4に示すように、制限順序が2番目のアプリに対して、S3と同様の処理を行う。ただし、S4では、S3の処理に加えて、必要に応じて、アプリがデータの送受信に利用する通信ポートの無効化が実施される。 Subsequently, as shown in S4 of FIG. 10, the same processing as in S3 is performed for the application having the second restriction order. However, in S4, in addition to the processing of S3, the communication port used by the application for transmitting and receiving data is invalidated as necessary.

このように、通信システム1は、S3,S4に相当する処理を、制限を行うアプリの数だけ実施する。
[1-3.効果]
以上詳述した実施形態によれば、以下の効果を奏する。 In this way, the communication system 1 performs the processing corresponding to S3 and S4 as many as the number of applications for limiting.
[1-3. effect]
According to the embodiment described in detail above, the following effects are obtained.

(1a)通信システム1は、車両に搭載され、複数の他の通信装置として、外部通信装置20、第1ECU30、第2ECU40、サーバ装置63と通信可能に構成されたゲートウェイECU10を備え、ゲートウェイECU10は、マスタ制御部15を備える。マスタ制御部15は、S210,S220で、複数のアプリケーションを備えるECU30,40にアプリケーションが追加される度に、アプリケーションが機能制限した場合における他のアプリケーションへの影響の程度を表す影響度を含む影響度情報を取得するように構成される。影響度情報は、複数のアプリケーションを備える少なくとも1つの通信装置から取得される。 (1a) The communication system 1 includes a gateway ECU 10 mounted on a vehicle and configured to communicate with an external communication device 20, a first ECU 30, a second ECU 40, and a server device 63 as a plurality of other communication devices, and the gateway ECU 10 is provided. , The master control unit 15 is provided. In S210 and S220, the master control unit 15 includes an influence indicating the degree of influence on other applications when the application is functionally restricted each time the application is added to the ECUs 30 and 40 including a plurality of applications. It is configured to acquire degree information. Impact information is obtained from at least one communication device comprising a plurality of applications.

マスタ制御部15は、S270,S310で、予め設定された機能制限条件が成立する場合に、影響度に従って複数のアプリケーションのうちの少なくとも1つのアプリケーションを機能制限する際の順序を表す制限順序を設定するように構成される。マスタ制御部15は、S370で、制限順序に応じて、機能制限する少なくとも1つのアプリケーションに、順次、機能制限するよう指示するように構成される。 In S270 and S310, the master control unit 15 sets a restriction order indicating an order in which at least one of a plurality of applications is functionally restricted according to the degree of influence when a preset function restriction condition is satisfied. It is configured to do. The master control unit 15 is configured in S370 to instruct at least one application whose function is restricted to sequentially restrict the function according to the restriction order.

このような構成によれば、アプリケーションが機能制限した場合に、影響度に従って、アプリケーションを機能制限する順序である制限順序を設定し、この制限順序に従って順次アプリケーションの機能制限を行う。この際、影響度はアプリケーションが追加される度に取得され、追加されたアプリケーションを加味して制限順序が設定されるので、アプリケーションが追加された場合であっても、その都度、制限順序を設定できる。よって、同時に多数のアプリケーションの機能制限が開始されることを抑制することができる。そして、アプリケーションが追加された場合であっても、異常発生時に使用者が複数のアプリケーションの機能を良好に引き継ぐことができる。 According to such a configuration, when the function of the application is restricted, the restriction order which is the order of restricting the function of the application is set according to the degree of influence, and the function of the application is sequentially restricted according to this restriction order. At this time, the degree of influence is acquired each time an application is added, and the restriction order is set in consideration of the added application. Therefore, even if an application is added, the restriction order is set each time. can. Therefore, it is possible to suppress the start of functional restriction of a large number of applications at the same time. Then, even when an application is added, the user can satisfactorily take over the functions of a plurality of applications when an abnormality occurs.

(1b)マスタ制御部15は、S210,S220で、影響度の少なくとも一部として、アプリケーションが機能制限した際の車両の危険度を複数に区分し、アプリケーションが複数の区分の何れに属するかを示す安全ランクを取得するように構成される。マスタ制御部15は、S270,S310で、安全ランクに従って制限順序を設定する。 (1b) In S210 and S220, the master control unit 15 classifies the degree of danger of the vehicle when the function of the application is restricted into a plurality of categories as at least a part of the degree of influence, and determines which of the plurality of categories the application belongs to. It is configured to obtain the indicated safety rank. The master control unit 15 sets the restriction order in S270 and S310 according to the safety rank.

このような構成によれば、安全ランクに応じて制限順序を設定するので、車両の安全性への影響を与えにくいようにすることができる。本実施形態の構成では、安全ランクが低いものから順に機能制限し、また、安全ランクが高いもの同士を機能制限する時期を離すようにしているので、複数のアプリケーションを機能制限する際に使用者に良好に機能を引き継ぐことができるよって、車両の安全性を確保することができる。 According to such a configuration, since the limiting order is set according to the safety rank, it is possible to reduce the influence on the safety of the vehicle. In the configuration of the present embodiment, the functions are restricted in order from the one with the lowest safety rank, and the time for restricting the functions of the ones with the higher safety ranks is separated. Therefore, when the functions of a plurality of applications are restricted, the user Since the function can be taken over satisfactorily, the safety of the vehicle can be ensured.

(1c)マスタ制御部15は、S210,S220で、複数のアプリケーション毎に、アプリケーションを機能制限する際の作動内容と、影響度と、を取得する。
このような構成によれば、アプリケーションを機能制限する際の作動内容を、アプリケーション毎に個別に設定することができる。 (1c) In S210 and S220, the master control unit 15 acquires the operation content and the degree of influence when the function of the application is restricted for each of a plurality of applications.
According to such a configuration, it is possible to individually set the operation content when the function of the application is restricted for each application.

(1d)マスタ制御部15は、S210,S220で、複数のアプリケーションに入力されるデータの種別を特定するための入力ID毎、すなわち影響を受ける通信ID毎に、作動内容と、影響度と、を取得するように構成される。この構成によれば、アプリケーションが受信するデータの通信IDに応じて、アプリケーションを機能制限する際の作動内容を設定することができる。
一例として、マスタ制御部15は、S210,S220で、作動内容として、アプリケーションがデータの受信に利用する通信ポートを表す受信ポートに対して受信を制限する処置を取得するように構成される。また、マスタ制御部15は、S370で、少なくとも1つのアプリケーションを機能制限する際に、受信ポートに対して受信を制限する処置を指示する。このような構成によれば、アプリケーションが受信に利用する受信ポートに対して受信を制限する処置を行うので、アプリケーションに悪影響を及ぼす可能性があるデータが受信されることを抑制することができる。 (1d) In S210 and S220, the master control unit 15 determines the operation content and the degree of influence for each input ID for specifying the type of data input to a plurality of applications, that is, for each affected communication ID. Is configured to get. According to this configuration, it is possible to set the operation content when the function of the application is restricted according to the communication ID of the data received by the application.
As an example, the master control unit 15 is configured in S210 and S220 to acquire, as an operation content, a measure for restricting reception to a receiving port representing a communication port used by an application for receiving data. Further, the master control unit 15 instructs the receiving port to take measures to restrict reception when the function of at least one application is restricted in S370. According to such a configuration, since the reception is restricted to the reception port used by the application for reception, it is possible to suppress the reception of data that may adversely affect the application.

(1e)マスタ制御部15は、S210,S220で、複数のアプリケーションの作動モード毎に、作動内容と、影響度と、を取得する。
このような構成によれば、アプリケーションの作動モード毎に作動内容を設定できるので、アプリケーションの利用態様に応じたきめ細かな機能制限を設定することができる。 (1e) The master control unit 15 acquires the operation content and the degree of influence for each operation mode of a plurality of applications in S210 and S220.
According to such a configuration, since the operation content can be set for each operation mode of the application, it is possible to set detailed function restrictions according to the usage mode of the application.

(1f)マスタ制御部15は、S210,S220で、少なくとも、アプリケーションが出力するデータの種別を特定するための出力IDと、アプリケーションが入力するデータの種別を特定するための入力IDとを取得するように構成される。また、マスタ制御部15は、S270,S310で、機能制限する少なくとも1つのアプリケーションについての出力IDを、入力IDとする他のアプリケーションを探索し、探索された他のアプリケーションを機能制限するアプリケーションに設定する手順を繰り返し、該機能制限するアプリケーションについての制限順序を設定するように構成される。
このような構成によれば、機能制限するアプリケーションの影響が伝播するアプリケーションを出力IDおよび入力IDを用いて良好に探索し、機能制限することができる。 (1f) In S210 and S220, the master control unit 15 acquires at least an output ID for specifying the type of data output by the application and an input ID for specifying the type of data input by the application. It is configured as follows. Further, in S270 and S310, the master control unit 15 searches for another application whose input ID is the output ID of at least one application whose function is restricted, and sets the searched other application as an application whose function is restricted. It is configured to repeat the procedure to set the restriction order for the application whose function is restricted.
According to such a configuration, it is possible to satisfactorily search for an application to which the influence of the application whose function is restricted propagates by using the output ID and the input ID, and to restrict the function.

(1g)マスタ制御部15は、S350で、制限順序に応じて、機能制限しようとするアプリケーションについて使用者の同意を求めるように構成される。マスタ制御部15は、使用者の同意が得られた場合に、S370で、同意が得られたアプリケーションを機能制限するように指示する。
このような構成によれば、使用者の同意が得られた場合にそのアプリケーションを機能制限することができるよって、使用者への機能の引継ぎを確実に行うことができる。 (1g) The master control unit 15 is configured in S350 to seek the consent of the user for the application for which the function is to be restricted according to the restriction order. When the consent of the user is obtained, the master control unit 15 instructs S370 to limit the functions of the application for which the consent has been obtained.
According to such a configuration, the function of the application can be restricted when the consent of the user is obtained, so that the function can be surely handed over to the user.

(1f)マスタ制御部15は、S210,S220で、影響度として、アプリケーションがデータの受信に利用する通信ポートを表す受信ポートと、当該アプリケーションが出力するデータの種別を特定するための通信IDとを取得するように構成される。また、マスタ制御部15は、S270,S310で、受信ポートに障害が発生した場合に、受信ポートが対応する通信IDにて特定されるデータを利用するアプリケーションを機能制限するアプリケーションに設定するように構成される。
このような構成によれば、通信IDを用いて機能制限するアプリケーションの影響を受ける他のアプリケーションを特定することができるので、当該他のアプリケーションを機能制限するアプリケーションに設定することができる。 (1f) In S210 and S220, the master control unit 15 has, as the degree of influence, a receiving port representing a communication port used by the application for receiving data, and a communication ID for specifying the type of data output by the application. Is configured to get. Further, the master control unit 15 sets S270 and S310 to an application that restricts the function of an application that uses the data specified by the communication ID corresponding to the receiving port when a failure occurs in the receiving port. It is composed.
According to such a configuration, another application affected by the application whose function is restricted can be specified by using the communication ID, so that the other application can be set as the application whose function is restricted.

[2.他の実施形態]
以上、本開示の実施形態について説明したが、本開示は上述の実施形態に限定されることなく、種々変形して実施することができる。 [2. Other embodiments]
Although the embodiments of the present disclosure have been described above, the present disclosure is not limited to the above-described embodiments, and can be variously modified and implemented.

(2a)上記実施形態では、障害判断部26が通信ポートの障害を判断して通知し、この通知を受けたゲートウェイECU10がアプリの機能制限を行うよう構成したが、これに限定されるものではない。例えば、通信ポートの障害以外の、予め設定された機能制限条件が成立する場合に、機能制限を行ってもよい。機能制限条件が成立する場合とは、例えば、複数のアプリのうちの何れかのアプリに影響を与えうる任意の条件が成立したとき、データ品質・精度の異常が発生したとき、他の車両が侵入等の被害を受けた旨のクラック情報などの通信障害の虞がある場合等が該当する。 (2a) In the above embodiment, the failure determination unit 26 determines and notifies the failure of the communication port, and the gateway ECU 10 receiving the notification is configured to limit the functions of the application, but the present invention is not limited to this. do not have. For example, the function may be restricted when a preset function restriction condition other than the failure of the communication port is satisfied. When the function restriction condition is satisfied, for example, when an arbitrary condition that can affect any one of multiple applications is satisfied, when an abnormality in data quality / accuracy occurs, another vehicle moves. This applies when there is a risk of communication failure such as crack information indicating that damage such as intrusion has occurred.

(2b)上記実施形態では、スレーブECU30,40のアプリの機能制限を行う処理について説明したが、ゲートウェイECU10のアプリの機能制限を行ってもよい。この場合、スレーブ制御部35,45に相当する機能をゲートウェイECU10に搭載しておき、ゲートウェイECU10にて上記実施形態の各処理を実施するとよい。 (2b) In the above embodiment, the process of limiting the functions of the apps of the slave ECUs 30 and 40 has been described, but the functions of the apps of the gateway ECU 10 may be restricted. In this case, it is preferable to mount the functions corresponding to the slave control units 35 and 45 on the gateway ECU 10 and perform each process of the above embodiment on the gateway ECU 10.

(2c)上記実施形態では、ゲートウェイECU10にアプリ19が備える構成について説明したが、ゲートウェイECU10にアプリ19が備えられている必要はない。
(2d)上記実施形態における1つの構成要素が有する複数の機能を、複数の構成要素によって実現したり、1つの構成要素が有する1つの機能を、複数の構成要素によって実現したりしてもよい。また、複数の構成要素が有する複数の機能を、1つの構成要素によって実現したり、複数の構成要素によって実現される1つの機能を、1つの構成要素によって実現したりしてもよい。また、上記実施形態の構成の一部を省略してもよい。また、上記実施形態の構成の少なくとも一部を、他の上記実施形態の構成に対して付加または置換してもよい。 (2c) In the above embodiment, the configuration that the application 19 is provided in the gateway ECU 10 has been described, but it is not necessary that the gateway ECU 10 is provided with the application 19.
(2d) A plurality of functions possessed by one component in the above embodiment may be realized by a plurality of components, or one function possessed by one component may be realized by a plurality of components. .. Further, a plurality of functions possessed by the plurality of components may be realized by one component, or one function realized by the plurality of components may be realized by one component. Further, a part of the configuration of the above embodiment may be omitted. Further, at least a part of the configuration of the above embodiment may be added or replaced with the configuration of the other above embodiment.

(2e)上述した通信システム1の他、当該通信システム1の構成要素となる通信装置、当該通信システム1を構成する装置としてコンピュータを機能させるためのプログラム、このプログラムを記録した半導体メモリ等の非遷移的実態的記録媒体、機能制限方法など、種々の形態で本開示を実現することもできる。 (2e) In addition to the communication system 1 described above, a communication device that is a component of the communication system 1, a program for operating a computer as a device constituting the communication system 1, a semiconductor memory that records this program, and the like. The present disclosure can also be realized in various forms such as a transitional actual recording medium and a function limiting method.

[3.実施形態の構成と本開示の構成との対応関係]
上記実施形態におけるゲートウェイECU10は本開示での通信装置に相当する。また、ゲートウェイECU10が実行する処理のうちのS210、S220の機能部は本開示での取得部に相当し、S310、S270の機能部は本開示での順序設定部に相当する。また、S370の機能部は本開示での制限指示部に相当し、S350の機能部は本開示での同意要求部に相当する。 [3. Correspondence between the configuration of the embodiment and the configuration of the present disclosure]
The gateway ECU 10 in the above embodiment corresponds to the communication device in the present disclosure. Further, among the processes executed by the gateway ECU 10, the functional unit of S210 and S220 corresponds to the acquisition unit in the present disclosure, and the functional unit of S310 and S270 corresponds to the order setting unit in the present disclosure. Further, the functional unit of S370 corresponds to the restriction instruction unit in the present disclosure, and the functional unit of S350 corresponds to the consent request unit in the present disclosure.

1…通信システム、10…ゲートウェイECU、11,21,31,41…CPU、12,22,32,42…メモリ、13,23,33,43…通信部、15…マスタ制御部、16…順序設定部、17…影響度記録部、18…制限指示部、19,38,39,48,49…アプリ、20…外部通信部、24A,24B…通信ポート、26…障害判断部、27…通信ポート制御部、30…第1ECU、35,45…スレーブ制御部、36,46…影響度送信部、37,47…制限実行部、63…サーバ装置。 1 ... Communication system, 10 ... Gateway ECU, 11,21,31,41 ... CPU, 12,22,32,42 ... Memory, 13,23,33,43 ... Communication unit, 15 ... Master control unit, 16 ... Order Setting unit, 17 ... Impact recording unit, 18 ... Restriction instruction unit, 19, 38, 39, 48, 49 ... App, 20 ... External communication unit, 24A, 24B ... Communication port, 26 ... Failure judgment unit, 27 ... Communication Port control unit, 30 ... 1st ECU, 35,45 ... Slave control unit, 36,46 ... Impact transmission unit, 37,47 ... Restriction execution unit, 63 ... Server device.

Claims (7)

車両に搭載され、少なくとも1つの他の通信装置と通信可能に構成された通信装置(10)であって、
当該通信装置および前記他の通信装置のうちの複数のアプリケーションを備える少なくとも1つの通信装置にアプリケーションが追加される度に、該アプリケーションが機能制限した場合における他のアプリケーションへの影響の程度を表す影響度を取得するように構成された取得部(S210、S220)と、
予め設定された機能制限条件が成立する場合に、前記影響度に従って前記複数のアプリケーションのうちの少なくとも1つのアプリケーションを機能制限する際の順序を表す制限順序を設定するように構成された順序設定部(S310、S270)と、
前記制限順序に応じて、機能制限する少なくとも1つのアプリケーションに、順次、機能制限するよう指示するように構成された制限指示部(S370)と、
を備える通信装置。 A communication device (10) mounted on a vehicle and configured to be able to communicate with at least one other communication device.
Each time an application is added to at least one communication device having a plurality of applications of the communication device and the other communication device, an effect indicating the degree of influence on the other application when the function of the application is restricted. The acquisition unit (S210, S220) configured to acquire the degree, and
An order setting unit configured to set a restriction order indicating an order for functionally restricting at least one of the plurality of applications according to the degree of influence when a preset function restriction condition is satisfied. (S310, S270) and
A restriction instruction unit (S370) configured to sequentially instruct at least one application whose function is restricted according to the restriction order to restrict the function.
A communication device equipped with. 請求項1に記載の通信装置であって、
前記取得部は、前記影響度の少なくとも一部として、アプリケーションが機能制限した際の車両の危険度を複数に区分し、アプリケーションが該複数の区分の何れに属するかを示す安全ランクを取得するように構成され、
前記順序設定部は、前記安全ランクに従って前記制限順序を設定する
ように構成された通信装置。 The communication device according to claim 1.
As at least a part of the influence level, the acquisition unit divides the risk level of the vehicle when the application functions are restricted into a plurality of categories, and acquires a safety rank indicating which of the plurality of categories the application belongs to. Consists of
The order setting unit is a communication device configured to set the restricted order according to the safety rank. 請求項1または請求項2に記載の通信装置であって、
前記取得部は、前記複数のアプリケーション毎に、アプリケーションを機能制限する際の作動内容と、前記影響度と、を取得する
ように構成された通信装置。 The communication device according to claim 1 or 2.
The acquisition unit is a communication device configured to acquire the operation content when the function of the application is restricted and the degree of influence for each of the plurality of applications. 請求項3に記載の通信装置であって、
前記取得部は、前記複数のアプリケーションに入力されるデータの種別を特定するための入力ID毎に、前記作動内容と、前記影響度と、を取得する
ように構成された通信装置。 The communication device according to claim 3.
The acquisition unit is a communication device configured to acquire the operation content and the degree of influence for each input ID for specifying the type of data input to the plurality of applications. 請求項3または請求項4に記載の通信装置であって、
前記取得部は、前記複数のアプリケーションの作動モード毎に、前記作動内容と、前記影響度と、を取得する
ように構成された通信装置。 The communication device according to claim 3 or 4.
The acquisition unit is a communication device configured to acquire the operation content and the influence degree for each operation mode of the plurality of applications. 請求項1から請求項5までのいずれか1項に記載の通信装置であって、
前記取得部は、少なくとも、アプリケーションが出力するデータの種別を特定するための出力IDと、アプリケーションが入力するデータの種別を特定するための入力IDとを取得するように構成され、
前記順序設定部は、機能制限する少なくとも1つのアプリケーションについての出力IDを、前記入力IDとする他のアプリケーションを探索し、探索された他のアプリケーションを機能制限するアプリケーションに設定する手順を繰り返し、該機能制限するアプリケーションについての制限順序を設定する
ように構成された通信装置。 The communication device according to any one of claims 1 to 5.
The acquisition unit is configured to acquire at least an output ID for specifying the type of data output by the application and an input ID for specifying the type of data input by the application.
The order setting unit repeats the procedure of searching for another application whose input ID is the output ID for at least one application whose function is restricted, and setting the searched other application to the application whose function is restricted, and the procedure is repeated. A communication device configured to set a restriction order for applications that are functionally restricted. 請求項1から請求項6までのいずれか1項に記載の通信装置であって、
前記制限順序に応じて、機能制限しようとするアプリケーションについて使用者の同意を求めるように構成された同意要求部(S350)をさらに備え、
前記制限指示部は、前記使用者の同意が得られた場合に、同意が得られたアプリケーションを機能制限するように指示する
ように構成された通信装置。 The communication device according to any one of claims 1 to 6.
Further, a consent request unit (S350) configured to seek the consent of the user for the application for which the function is to be restricted is provided according to the restriction order.
The restriction instruction unit is a communication device configured to instruct to restrict the function of the application for which the consent has been obtained when the consent of the user is obtained.
JP2018210511A 2018-11-08 2018-11-08 Communication device Active JP7077920B2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2018210511A JP7077920B2 (en) 2018-11-08 2018-11-08 Communication device
DE102019217015.3A DE102019217015A1 (en) 2018-11-08 2019-11-05 Communication device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018210511A JP7077920B2 (en) 2018-11-08 2018-11-08 Communication device

Publications (2)

Publication Number Publication Date
JP2020077233A JP2020077233A (en) 2020-05-21
JP7077920B2 true JP7077920B2 (en) 2022-05-31

Family

ID=70469163

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018210511A Active JP7077920B2 (en) 2018-11-08 2018-11-08 Communication device

Country Status (2)

Country Link
JP (1) JP7077920B2 (en)
DE (1) DE102019217015A1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2022154943A (en) * 2021-03-30 2022-10-13 本田技研工業株式会社 Vehicle controlling system, vehicle, and control method
JP2023147776A (en) * 2022-03-30 2023-10-13 株式会社デンソー Movable body control device, movable body, and control program

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007067528A (en) 2005-08-29 2007-03-15 Denso Corp Network relaying apparatus, fault diagnostic apparatus, and program
JP2011113122A (en) 2009-11-24 2011-06-09 Mitsubishi Electric Corp Failure influence analysis device, application system, and failure influence analysis method
JP2012245863A (en) 2011-05-27 2012-12-13 Hitachi Automotive Systems Ltd Vehicle control device
JP2016207215A (en) 2015-04-20 2016-12-08 株式会社日立製作所 Control system and method
JP2018041251A (en) 2016-09-07 2018-03-15 富士ゼロックス株式会社 Information processing device, service system and program
JP2018062320A (en) 2016-10-14 2018-04-19 日立オートモティブシステムズ株式会社 Information processing unit, information processing method and information processing system

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007067528A (en) 2005-08-29 2007-03-15 Denso Corp Network relaying apparatus, fault diagnostic apparatus, and program
JP2011113122A (en) 2009-11-24 2011-06-09 Mitsubishi Electric Corp Failure influence analysis device, application system, and failure influence analysis method
JP2012245863A (en) 2011-05-27 2012-12-13 Hitachi Automotive Systems Ltd Vehicle control device
JP2016207215A (en) 2015-04-20 2016-12-08 株式会社日立製作所 Control system and method
JP2018041251A (en) 2016-09-07 2018-03-15 富士ゼロックス株式会社 Information processing device, service system and program
JP2018062320A (en) 2016-10-14 2018-04-19 日立オートモティブシステムズ株式会社 Information processing unit, information processing method and information processing system

Also Published As

Publication number Publication date
DE102019217015A1 (en) 2020-05-14
JP2020077233A (en) 2020-05-21

Similar Documents

Publication Publication Date Title
JP2017157003A (en) System, method, and computer program for updating programs
CN110582071B (en) In-vehicle device, information processing method, and recording medium
JP7077920B2 (en) Communication device
JP2018092577A (en) Parallel processor and parallel processing program
JP7042138B2 (en) Processing equipment
JP6427260B2 (en) Vehicle real-time travel data processing method and apparatus therefor
CN106878382B (en) Method and device for dynamically changing cluster scale in distributed arbitration cluster
US10970063B2 (en) Relay apparatus, transfer method, and computer program
US11694485B2 (en) Information processing device, information processing method, mobile terminal, and storage medium
US20190049914A1 (en) Safety operation configuration for computer assisted vehicle
JP2020072416A (en) Patrol system
CN115390546A (en) Vehicle diagnostic communication method, device, equipment and medium
US11841942B2 (en) Anomaly detection device and anomaly detection method
JP6973120B2 (en) Spoofing detectors, detection methods, and computer programs
CN112673586B (en) Data packet processing method and device
JP7176488B2 (en) Data storage device and data storage program
CN107547593B (en) Method, device and distributed system for realizing log synchronization
JP6812765B2 (en) Electronic control device
JP7068952B2 (en) Server device, occupant determination method, and occupant determination support method
JP7467672B2 (en) Information processing system, processing device, and information processing method
US20230026932A1 (en) Control device, vehicle control system, control method and storage medium
US20230150621A1 (en) Systems and methods of communication among electronic devices associated with watercraft
JP6736520B2 (en) Road-vehicle communication system, vehicle-mounted communication device, and computer program
JP2024504495A (en) Method and device for providing functional support to in-vehicle terminals
JP2022090901A (en) On-vehicle network system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210413

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220328

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220419

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220502

R151 Written notification of patent or utility model registration

Ref document number: 7077920

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151