JP7321192B2 - 車両用制御装置、車両用制御システム、およびプログラム - Google Patents

車両用制御装置、車両用制御システム、およびプログラム Download PDF

Info

Publication number
JP7321192B2
JP7321192B2 JP2020568888A JP2020568888A JP7321192B2 JP 7321192 B2 JP7321192 B2 JP 7321192B2 JP 2020568888 A JP2020568888 A JP 2020568888A JP 2020568888 A JP2020568888 A JP 2020568888A JP 7321192 B2 JP7321192 B2 JP 7321192B2
Authority
JP
Japan
Prior art keywords
control
instruction
unit
vehicle
update
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020568888A
Other languages
English (en)
Other versions
JPWO2020157797A1 (ja
Inventor
亮 西垣
遼平 津越
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of JPWO2020157797A1 publication Critical patent/JPWO2020157797A1/ja
Application granted granted Critical
Publication of JP7321192B2 publication Critical patent/JP7321192B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02TCLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
    • Y02T90/00Enabling technologies or technologies with a potential or indirect contribution to GHG emissions mitigation
    • Y02T90/10Technologies relating to charging of electric vehicles
    • Y02T90/16Information or communication technologies improving the operation of electric vehicles

Description

この発明は、車両用制御装置、車両用制御システム、およびプログラムに関する。
鉄道車両は、機械ブレーキ、電力変換装置等の複数の装置と、それぞれが対応する装置を制御する複数の制御機器、例えば、ブレーキ制御器、スイッチング制御部等とで構成される車載システムを備える。これらの複数の装置と複数の制御機器とは、車載ネットワークで互いに接続されている。この種の車載システムの一例が、特許文献1に開示されている。
特開2016-143945号公報
特許文献1に開示される車載システムを構成する車載ネットワークには、保守端末を接続することができる。保守員は、保守作業時に保守端末を車載ネットワークに接続し、保守端末を用いて、制御装置のソフトウェアの更新、制御装置からのログの取得等の保守作業を行う。詳細には、保守端末は、制御装置のソフトウェアを更新するための保守情報を制御装置に送信する。制御装置は、保守情報に基づいて、ソフトウェアを更新する。
この制御装置に対する不正なアクセス、例えば、車載ネットワークに接続された不正な外部端末から制御装置に対する不正な保守情報の送信があると、制御装置は、不正な保守情報に基づいて、ソフトウェアを更新する可能性がある。この結果、制御装置による制御が所望の制御と異なることがある。
本発明は上述の事情に鑑みてなされたものであり、車両用制御装置が不正なアクセスに従って制御情報を更新することを抑制することを目的とする。
上記目的を達成するために、本発明の車両用制御装置は、記憶部と、通信部と、認証部と、更新部と、制御部と、を備える。記憶部は、車載機器に含まれる機械ブレーキを制御するための制御プログラムおよび制御スクリプトの少なくともいずれかを含む制御情報ならびに制御の履歴を記憶する。通信部は、車両用ネットワークを介して接続された少なくとも1つの指示装置から、認証情報と、制御情報に基づく機械ブレーキの制御の指示を含む制御指示および記憶部に記憶されている制御情報の更新を指示する更新指示の少なくともいずれかとを受信する。認証部は、通信部が更新指示を受信したときのみ、該更新指示とともに受信した認証情報に基づいて、認証情報を送信した指示装置が、予め許可された指示装置であるか否かを判別する。更新部は、認証部で予め許可された指示装置であると判別された指示装置が送信した更新指示に従って記憶部に記憶されている制御情報を更新する。制御部は、通信部が機械ブレーキの制御の指示を含む制御指示を受信すると、制御指示が実行を指示する制御に用いられる制御情報を記憶部から読み出し、読み出した制御情報に基づいて機械ブレーキの制御を行う。
本発明に係る車両用制御装置は、認証情報に基づいて、認証情報を送信した指示装置が予め許可された指示装置であるか否かを判別する。この車両用制御装置は、予め許可された指示装置であると判別された指示装置が送信した更新指示に従って、記憶部に記憶されている制御情報を更新する。車両用制御装置は、予め許可された指示装置であると判別された指示装置が送信した更新指示に従って制御情報を更新するため、車両用制御装置が不正なアクセスに従って制御情報を更新することを抑制可能である。
本発明の実施の形態1に係る車両用制御システムのブロック図 実施の形態1に係る車両用制御装置が保持しているユーザIDとパスワードの対応表の例を示す図 実施の形態1に係る車両用制御システムが行う認証処理のシーケンス図 実施の形態1に係る車両用制御装置が行う制御処理および更新処理のフローチャート 本発明の実施の形態2に係る車両用制御システムのブロック図 実施の形態2に係る車両用制御装置が行う制御処理および更新処理のフローチャート 実施の形態に係る車両用制御装置が行う制御処理および更新処理の変形例のフローチャート 実施の形態に係る車両用制御システムの変形例のブロック図 実施の形態に係る車両用制御装置のハードウェアの構成を示す図
以下、本発明の実施の形態に係る鉄道車両用制御装置および鉄道車両用制御システムについて図面を参照して詳細に説明する。なお図中、同一または同等の部分には同一の符号を付す。
(実施の形態1)
鉄道車両は、ブレーキ機器、電力変換機器等の車載機器を制御する車両用制御システムを備える。図1に示す実施の形態1に係る車両用制御システム(以下、単に制御システムという)1は、車載機器を制御する車両用制御装置(以下、単に制御装置という)10と、制御装置10に対して、認証情報と、制御装置が記憶している制御情報に基づく制御の実行を指示する制御指示および制御情報の更新を指示する更新指示の少なくともいずれかとを送信する少なくとも1つの指示装置と、を備える。なお制御情報は、車載機器を制御するための制御プログラム、制御スクリプト等を含む。更新指示は、更新後の制御情報を含む。制御装置10の一例として、機械ブレーキを制御するブレーキ制御装置で構成される制御装置10を備える制御システム1を例にして、実施の形態1に係る制御システム1について説明する。
実施の形態1では、制御システム1は、指示装置として、制御装置10が記憶している制御情報を更新する保守作業を行う保守端末3と、運転指令の送受信、制御装置10に対する制御指示の送信、制御装置からログの取得等を行う列車情報管理システム(TIMS:Train Information Management System)4と、を備える。制御システム1は、さらに、図示しない空気溜めから供給される空気を圧縮して中継弁に供給するブレーキ制御弁5と、鉄道車両の車軸に取り付けられて、車軸の回転速度を検知する速度センサ6と、を備える。
保守端末3と、列車情報管理システム4と、制御装置10とは、互いに車両用ネットワーク2で接続されている。車両用ネットワーク2は、Ethernet(登録商標)、CAN(Controller Area Network:コントローラエリアネットワーク)等の規格で定められた通信網で構成される。なお保守端末3、列車情報管理システム4、および制御装置10は互いに、上記規格で定められた通信フレームを送受信する。
制御装置10が、チャレンジアンドレスポンス方式を用いて、認証情報を送信した保守端末3または列車情報管理システム4が、予め許可された指示装置であるか否かを判別する場合を例にして、制御システム1の各部について説明する。
保守端末3は、保守員によって車両用ネットワーク2に適宜接続され、表示部と、入力部と、送受信部と、CPU(Central Processing Unit:中央処理装置)、メモリ等を有する制御回路等とで構成される装置であって、例えばPC(Personal Computer:パーソナルコンピュータ)、タブレット端末等の持ち運び可能な端末で構成される。また保守員は、鉄道車両の停止時に、保守端末3を車両用ネットワーク2に適宜接続し、保守端末3を操作して制御装置10が記憶している制御情報を更新する保守動作を行う。具体的には、保守端末3は、マウス、キーボード、タッチパネル等の入力部を介して入力された指示に応じて、メモリに記憶されたプログラムを実行することで、後述する制御装置10に対して、制御装置10が記憶している制御情報の更新を指示する更新指示を送信する。
保守端末3は、保守員によって車両用ネットワーク2に適宜接続されるため、許可されていない端末が車両用ネットワーク2に接続され、許可されていない端末から制御装置10に対する不正なアクセスが生じることがある。そこで、制御装置10が不正なアクセスに従って動作することを抑制するため、制御装置10は、指示装置の認証を行う。具体的には、保守動作を開始する際に、保守端末3は、送受信部から認証情報を制御装置10に送信し、認証を要求する。詳細には、保守端末3は、ユーザIDを含む通信フレームを制御装置10に送信する。なおユーザIDは、指示装置を一意に特定するIDである。指示装置には、指示装置ごとにユニークなユーザIDとパスワードとが予め割り当てられており、各指示装置は、割り当てられたユーザIDとパスワードを保持している。換言すれば、保守端末3には、自端末に割り当てられたユーザIDとパスワードとを保持している。後述するように、制御装置10は、ユーザIDを含む通信フレームを受信すると、チャレンジコードを生成する。保守端末3は、制御装置10からチャレンジコードを含む通信フレームを受信すると、チャレンジコードと予め保持しているパスワードとから、特定のアルゴリズムに従って、レスポンスコードを生成し、認証情報としてレスポンスコードを含む通信フレームを制御装置10に送信する。なお保守端末3は、この特定のアルゴリズムを予め保持しており、特定のアルゴリズムは後述する制御装置10が有する認証部12が予め保持しているアルゴリズムと同一である。
その後、後述するように、制御装置10は、チャレンジコードから生成したレスポンスコードと、保守端末3が送信したレスポンスコードとが一致するか否かを判別する。制御装置10は、チャレンジコードから生成したレスポンスコードと、保守端末3が送信したレスポンスコードとが一致すると判別した場合、判別結果を保守端末3に送信する。保守端末3は、この判別結果を受信した後、送受信部から、更新指示を含む通信フレームを制御装置10に送信する。
列車情報管理システム4は、表示部と、入力部と、送受信部と、CPU、メモリ等を有する制御回路等とで構成される。列車情報管理システム4は、運転台に設けられたマスターコントローラから入力された運転指令を取得し、運転指令に応じて、メモリに記憶されたプログラムを実行する。詳細には、列車情報管理システム4は、運転指令に応じて、制御装置10に対して、制御装置10が有する記憶部14が記憶している制御情報に基づいた制御の実行を指示する指示動作を行う。なお運転指令は、一例として、鉄道車両の加速を指示する力行指令、鉄道車両の減速を指示するブレーキ指令等を含むことができる。この場合、力行指令は、鉄道車両の目標加速度を含み、ブレーキ指令は、鉄道車両の目標減速度を含む。一例として、列車情報管理システム4は、運転指令がブレーキ指令を含む場合、制御装置10に対して、ブレーキの制御を指示する。
列車情報管理システム4にブレーキの制御を指示された制御装置10によって制御されるブレーキ制御弁5について説明する。ブレーキ制御弁5は、図示しない空気溜めから供給される空気を圧縮して中継弁に送る。中継弁は、ブレーキ制御弁5が出力する空気の圧力を指令圧として、空気溜めから供給される空気を圧縮して、機械ブレーキ装置が有するブレーキシリンダに送る。ブレーキシリンダの内部の圧力が上昇して、機械ブレーキ装置が有するブレーキシューが車輪に押し付けられることで、ブレーキ力が生じる。
速度センサ6は、車軸に取り付けられたPG(Pulse Generator:パルスジェネレータ)を有する。速度センサ6は、PGが出力するパルス信号から車軸の回転速度を算出し、制御装置10に出力する。
制御装置10は、保守端末3または列車情報管理システム4から、認証情報と制御指示および更新指示の少なくともいずれかとを受信する通信部11と、認証情報を送信した保守端末3または列車情報管理システム4が、予め許可された指示装置であるか否かを判別する認証部12と、予め許可された指示装置であると判別された保守端末3または列車情報管理システム4が送信した制御指令に応じてブレーキ制御弁5を制御する制御部13と、制御情報を記憶している記憶部14と、予め許可された指示装置であると判別された保守端末3または列車情報管理システム4が送信した更新指令に応じて記憶部14に記憶されている制御情報を更新する更新部15と、を備える。
通信部11は、保守端末3または列車情報管理システム4から認証情報を含む通信フレームを受信すると、通信フレームに含まれる認証情報を認証部12に送る。認証情報は、ユーザID、レスポンスコード等を含む。また通信部11は、後述する認証部12で、予め許可された指示装置であると判別された指示装置から制御指示を含む通信フレームを受信すると、この通信フレームに含まれる制御指示を制御部13に送る。また、通信部11は、認証部12で、予め許可された指示装置であると判別された指示装置から更新指示を含む通信フレームを受信すると、この通信フレームに含まれる更新指示を更新部15に送る。
なお通信部11は、認証部12で、予め許可された指示装置でないと判別された保守端末3または列車情報管理システム4から通信フレームを受信すると、この通信フレームを破棄する。
また通信部11は、認証部12、制御部13、および更新部15から取得したデータから通信フレームを生成し、通信フレームを保守端末3または列車情報管理システム4に送信する。詳細には、通信部11は、認証部12から、チャレンジコードを取得すると、チャレンジコードを含む通信フレームを生成し、この通信フレームを保守端末3または列車情報管理システム4に送信する。また通信部11は、後述する制御部13から制御情報に基づく制御の実行が完了した旨の通知を取得すると、制御情報に基づく制御の実行の完了通知を含む通信フレームを生成し、この通信フレームを保守端末3または列車情報管理システム4に送信する。また通信部11は、後述する更新部15から更新処理が完了した旨の通知を取得すると、更新処理の完了通知を含む通信フレームを生成し、この通信フレームを保守端末3または列車情報管理システム4に送信する。
認証部12は、通信部11から取得した認証情報に基づいて、認証情報を送信した保守端末3または列車情報管理システム4が予め許可された指示装置であるか否かを判別する。なお認証部12は、保守端末3および列車情報管理システム4に割り当てられたユニークなユーザIDとパスワードとを予め保持している。認証部12が予め保持しているユーザIDとパスワードの対応表の例を図2に示す。具体的には、認証部12は、予め許可された指示装置である保守端末3または列車情報管理システム4ごとに、ユーザIDと、ユーザIDに対応付けられたパスワードとを保持している。
詳細には、認証部12は、通信部11から、認証情報としてユーザIDを取得すると、乱数で構成されるチャレンジコードを生成して、通信部11に送る。また認証部12は、図2に示す対応表に基づき、取得したユーザIDに対応するパスワードを取得する。そして、認証部12は、パスワードとチャレンジコードから、特定のアルゴリズムに従って、レスポンスコードを生成する。なお認証部12は、この特定のアルゴリズムを予め保持しており、特定のアルゴリズムは、上述した保守端末3および列車情報管理システム4が予め保持しているアルゴリズムと同一である。
その後、認証部12は、通信部11から、認証情報としてレスポンスコードを取得すると、生成したレスポンスコードと取得したレスポンスコードとが一致するか否かを判別し、判別結果を通信部11に送信する。生成したレスポンスコードと取得したレスポンスコードが一致するということは、認証情報を送信した保守端末3または列車情報管理システム4が、認証部12が保持している特定のアルゴリズムと同じアルゴリズムを保持しているということを意味する。したがって、生成したレスポンスコードと取得したレスポンスコードが一致する場合は、認証情報を送信した保守端末3または列車情報管理システム4が予め許可された指示装置であるとみなすことができる。
制御部13は、通信部11から取得した制御指示に応じて、記憶部14から制御情報を読み出し、制御情報に基づく制御を実行する。制御部13が実行する制御情報に基づく制御の一例として、ブレーキ制御について説明する。制御部13は、通信部11から制御指示を取得すると、ブレーキ制御を開始する。なお列車情報管理システム4から通信部11が取得した制御指示には、鉄道車両の目標減速度が含まれるものとする。
制御部13は、図示しない応荷重弁から取得した鉄道車両の重量と、目標減速度とから、目標減速度を得るために必要なブレーキ力を算出する。そして、制御部13は、必要なブレーキ力と、機械ブレーキ装置が有するブレーキシューと車輪との接触面の摩擦係数とから、ブレーキ制御弁5が出力する空気の圧力の目標値を算出する。次に、制御部13は、この目標値に基づいて、ブレーキ制御弁5を制御し、ブレーキ制御弁5の出力する空気の圧力を目標値に近づける。なお制御部13は、ブレーキ制御弁5が出力する空気の圧力値を検知する圧力センサから、ブレーキ制御弁5が出力する空気の圧力値を取得し、この圧力値に基づいてフィードバック制御をする。
記憶部14は、制御情報を記憶している。なお制御情報に基づく制御は、ブレーキ制御弁5の制御、ブレーキ制御弁5の制御を行っている間に記録したブレーキ制御弁5の制御の履歴の読み出し等を含む。ブレーキ制御弁5の制御の履歴は、例えば、ブレーキ制御弁5に送信したデータ、ブレーキ制御弁5が出力する空気の圧力の目標値、ブレーキ制御弁5が出力する空気の圧力値等を含む。
更新部15は、通信部11から取得した更新指示に応じて、記憶部14に記憶されている制御情報を更新する。更新指示は、制御情報の更新情報を含む。
上記構成を有する制御システム1が行う制御処理について説明する。なお制御システム1が有する制御装置10が行う制御処理の一例として、ブレーキ制御を用い、制御システム1が行う制御処理について説明する。保守端末3は、保守員の操作に応じて、図3に示す認証処理を開始する。
制御システム1は、不正なアクセスに従って制御情報を更新することを抑制するために、制御情報を更新する前に、保守端末3が、予め許可された指示装置であるか否かを判別する認証処理を行う。保守端末3は、ユーザIDを含む通信フレームを制御装置10に送信する(ステップSq1)。通信部11は、ユーザIDを含む通信フレームを受信すると、ユーザIDを認証部12に送る。そして、認証部12が、乱数で構成されるチャレンジコードを生成する(ステップSq2)。その後、通信部11は、チャレンジコードを含む通信フレームを保守端末3に送信する(ステップSq3)。また認証部12は、図2に示す対応表に基づき、ユーザIDに対応するパスワードを取得し、パスワードとステップSq2で生成したチャレンジコードとから、レスポンスコードを生成する(ステップSq4)。
その後、保守端末3は、制御装置10からチャレンジコードを含む通信フレームを受信すると、チャレンジコードと予め保持しているパスワードとから、特定のアルゴリズムに従って、レスポンスコードを生成する(ステップSq5)。そして、保守端末3は、レスポンスコードを含む通信フレームを制御装置10に送信する(ステップSq6)。
通信部11は、レスポンスコードを含む通信フレームを受信すると、レスポンスコードを認証部12に送る。そして、認証部12は、ステップSq4で生成したレスポンスコードと、通信部11から取得したレスポンスコードとが一致するか否かを判別し、判別結果を通信部11に送る(ステップSq7)。通信部11は、認証部12が、ステップSq4で生成されたレスポンスコードと、通信部11から取得したレスポンスコードとが一致すると判別した場合、判別結果を含む通信フレームを保守端末3に送信する(ステップSq8)。ステップSq8の処理が終了すると、制御システム1は認証処理を終了する。また通信部11は、認証部12が、ステップSq4で生成されたレスポンスコードと、通信部11から取得したレスポンスコードとが一致しないと判別した場合、ステップSq8の処理は行わず、保守端末3から受信した通信フレームを破棄する。
図3に示す処理が行われた結果、認証部12が生成したレスポンスコードと保守端末3または列車情報管理システム4が送信したレスポンスコードが一致したと判別された場合に、制御システム1が行う制御処理および更新処理について図4を用いて説明する。このとき、保守端末3または列車情報管理システム4が予め許可された指示装置であるとみなすことができる。
まず保守端末3が制御装置10に対して、制御装置10が記憶している制御情報の更新を指示する場合について説明する。保守端末3は、制御装置10から図3のステップSq8に示す判別結果を受信すると、更新指示を含む通信フレームを制御装置10に送信する。制御装置10は、図3のステップSq8で送信した判別結果の送信先である保守端末3から更新指示を含む通信フレームを受信すると、図4に示す制御処理および更新処理を開始する。
通信部11は、予め許可された指示装置である保守端末3から受信した通信フレームが更新指示を含む場合(ステップS11;Yes)、更新指示を更新部15に送る。
そして、更新部15は、更新指示に従って、記憶部14に記憶されている制御情報を更新する(ステップS12)。そして、更新部15は、更新処理が完了すると、更新処理が完了した旨の通知を通信部11に送り、通信部11は制御情報の更新処理の完了通知を含む通信フレームを生成し、この通信フレームを保守端末3に送信する。制御装置10は、ステップS12の処理が終了すると、制御処理および更新処理を終了する。
次に、列車情報管理システム4が制御装置10に対して、制御装置10が有する記憶部14が記憶している制御情報に基づく制御の実行を指示する場合について説明する。なおブレーキ指令に基づく制御は速やかに行われる必要があるため、制御装置10は、ブレーキを指示する制御指令を送信した指示装置についての認証処理を行わない。列車情報管理システム4は、運転指令がブレーキ指令を含む場合、制御指示を含む通信フレームを制御装置10に送信する。制御装置10は、列車情報管理システム4から制御指示を含む通信フレームを受信すると、図4に示す制御処理および更新処理を開始する。通信部11は、列車情報管理システム4から受信した通信フレームが制御指示を含む、すなわち、通信フレームが更新指示を含まない場合(ステップS11;No)、制御指示を制御部13に送る。
そして、制御部13は、制御指示に従って、記憶部14に記憶されている制御情報を読み出し、制御情報に基づく制御を実行する(ステップS13)。そして、制御部13は、制御情報に基づく制御の実行が完了すると、制御情報に基づく制御の実行が完了した旨の通知を通信部11に送り、通信部11は、制御情報に基づく制御の実行の完了通知を含む通信フレームを生成し、この通信フレームを列車情報管理システム4に送信する。制御装置10は、ステップS13の処理が終了すると、制御処理および更新処理を終了する。
以上説明した通り、実施の形態1に係る制御装置10は、保守端末3または列車情報管理システム4から送信された認証情報に基づいて、認証情報を送信した保守端末3または列車情報管理システム4が予め許可された指示装置であるか否かを判別する。そして、制御装置10は、予め許可された指示装置であると判別された保守端末3または列車情報管理システム4が送信した更新指示に従って動作するため、不正なアクセスに従って制御情報を更新することを抑制することが可能である。
(実施の形態2)
保守端末3による保守動作は、鉄道車両の停止時に行われる。そこで、実施の形態2では、制御装置への不正なアクセスをより確実に防止するために、鉄道車両が停止されている場合にのみ、記憶部14に記憶されている制御情報を更新する制御装置について説明する。なお列車情報管理システム4による制御装置の制御は、例えば、ブレーキ制御のように、鉄道車両の走行時に行われる制御を含む。そのため、制御装置は、鉄道車両が停止しているか否かによらず、予め許可された指示装置である列車情報管理システム4から制御指示を含む通信フレームを受信した場合、制御指示に従って動作する。
図5に示す実施の形態2に係る制御装置20の基本構成は、実施の形態1に係る制御装置10の基本構成と同じである。ただし、制御装置20が有する更新部15は、鉄道車両が停止しているか否か判別し、鉄道車両が停止していると判別した場合に、認証部12で予め許可された指示装置であると判別された保守端末3から送信された更新指示に従って、記憶部14に記憶されている制御情報を更新する点で、制御装置10が有する更新部15と異なる。
詳細には、更新部15は、通信部11から更新指示を取得すると、速度センサ6から車軸の回転速度を取得する。そして、更新部15は、車軸の回転速度が基準速度以下であるか否かを判別する。なお基準速度は、鉄道車両が停止しているとみなせる程度に十分に小さい値である。更新部15は、車軸の回転速度が基準速度以下であると判別した場合、すなわち、鉄道車両が停止していると判別した場合に、通信部11から取得した更新指示に応じて、記憶部14に記憶されている制御情報を更新する。換言すれば、車軸の回転速度が基準速度より大きい場合は、認証部12で予め許可された指示装置であると判別された保守端末3から送信された更新指示であっても、更新部15は、この更新指示を破棄する。
実施の形態2に係る制御システム1の動作について、図6を用いて説明する。なお実施の形態2に係る制御システム1が行う認証処理は、図3に示す実施の形態1に係る制御システム1が行う認証処理と同じである。制御装置20は、実施の形態1と同様に、判別結果の送信先である保守端末3から更新指示を含む通信フレームを受信すると、図6に示す制御処理および更新処理を開始する。ステップS11~S13の処理は、図4に示す制御装置10が行う処理と同様である。
通信部11は、予め許可された指示装置である保守端末3から、更新指示を含む通信フレームを受信すると(ステップS11;Yes)、更新指示を更新部15に送る。そして、更新部15は、通信部11から更新指示を取得すると、速度センサ6から車軸の回転速度を取得する(ステップS14)。そして、更新部15は、取得した車軸の回転速度が基準速度以下であるか否かを判別する(ステップS15)。更新部15は、車輪の回転速度が基準速度以下でない場合(ステップS15;No)、ステップS12の処理を行わず、制御装置20は、制御処理および更新処理を終了する。一方、更新部15は、車輪の回転速度が基準速度以下である場合(ステップS15;Yes)、ステップS12の処理を行う。
以上説明した通り、実施の形態2に係る制御装置20は、車軸の回転速度が基準速度以下ある場合に、予め許可された指示装置であると判別された保守端末3から送信された更新指示に従って、記憶部14に記憶されている制御情報を更新する。換言すれば、認証部12で予め許可された指示装置であると判別された保守端末3から送信された更新指示であっても、車軸の回転速度が基準速度以下でない場合は、制御情報を更新しない。この結果、鉄道車両の走行時に、制御装置20に送信された不正な更新指示に従って、制御装置20が記憶部14に記憶されている制御情報を更新することが防止される。
本発明は、上述の実施の形態に限られず、様々な変形が可能である。
一例として、制御装置20は、鉄道車両が停止しているか否かを判別する方法は任意である。そして、制御装置20は、鉄道車両が停止していると判別した場合に、記憶部14に記憶されている制御情報を更新すればよい。一例として、制御装置20は、車軸の回転速度と運転指令に基づいて、鉄道車両が停止しているか否かを判別し、鉄道車両が停止していると判別した場合に、記憶部14に記憶されている制御情報を更新してもよい。
車軸の回転速度と運転指令に基づいて、鉄道車両が停止しているか否かを判別する方法の詳細について説明する。制御装置20は、運転台に設けられたマスターコントローラまたは列車情報管理システム4から運転指令を取得し、図示しないメモリに記憶すればよい。そして、更新部15は、車軸の回転速度が基準速度以下であって、かつ、直近で記憶された運転指令がブレーキ指令を含むと判別した場合、すなわち、鉄道車両が停止していると判別した場合に、通信部11から取得した更新指示に応じて、記憶部14に記憶されている制御情報を更新してもよい。
車軸の回転速度と運転指令に基づいて、鉄道車両が停止しているか否かを判別し、鉄道車両が停止していると判別した場合に、制御情報を更新する制御装置20の動作について、図7を用いて説明する。なお制御装置20が行う認証処理は、実施の形態1,2と同様である。制御装置20は、実施の形態1と同様に、判別結果の送信先である保守端末3から更新指示を含む通信フレームを受信すると、図7に示す制御処理および更新処理を開始する。ステップS11~S15の処理は、図6に示す制御装置20が行う処理と同様である。通信部11は、予め許可された指示装置である保守端末3から、更新指示を含む通信フレームを受信すると(ステップS11;Yes)、更新指示を更新部15に送る。さらに通信部11は、運転台に設けられたマスターコントローラまたは列車情報管理システム4から運転指令を読み出し(ステップS16)、更新部15に送る。
更新部15は、車軸の回転速度が基準速度以下である場合(ステップS15;Yes)、運転指令がブレーキ指令を含むか否かを判別する(ステップS17)。更新部15は、運転指令がブレーキ指令を含まないと判別した場合(ステップS17;No)、ステップS12の処理を行わず、制御装置20は、制御処理および更新処理を終了する。一方、更新部15は、運転指令がブレーキ指令を含むと判別した場合(ステップS17;Yes)、ステップS12の処理を行う。
制御システム1の構成は、上述の例に限られない。指示装置と制御装置10,20とが通信可能であれば、指示装置と制御装置10,20とを接続する方法は任意である。
一例として、図8に示すように、制御装置10は、保守端末3に車両用ネットワーク2を介して接続され、列車情報管理システム4を介して保守端末7に接続されてもよい。このとき、列車情報管理システム4と保守端末7とは、保守用のLAN(Local Area Network:ローカルエリアネットワーク)で接続されてもよい。列車情報管理システム4が、保守端末7から送信された通信フレームを制御装置10に送信し、制御装置10から送信された保守端末7への通信フレームを、保守端末7に送信することで、保守端末7は、制御装置10が記憶している制御情報を更新する保守動作を行うことができる。
さらに制御装置10,20は、車両用ネットワーク2を介して、3つ以上の指示装置に接続されてもよい。
制御装置10,20が、認証情報を送信した指示装置が予め許可された指示装置であるか否かを判別する方法は、上述の例に限られず、通信フレームに含まれる認証情報に基づいて認証を行う方法であれば、任意である。一例として、制御装置10,20は、SSL(Secure Sockets Layer)クライアント証明書、EAP(Extensible Authentication Protocol:拡張認証プロトコル)を利用したユーザ認証等に基づいて、認証情報を送信した指示装置が予め許可された指示装置であるか否かを判別してもよい。
制御装置10,20は、ブレーキ制御装置に限られず、鉄道車両に搭載された機器を制御する任意の制御装置で構成される。一例として、制御装置10,20は、VVVF(Variable Voltage Variable Frequency:可変電圧可変周波数)インバータを制御するVVVFインバータ制御装置、静止形インバータを制御する静止形インバータ制御装置等で構成されてもよい。
また指示装置から制御装置10,20に対する制御指示は、ブレーキ制御に限られず、制御装置10,20の動作を指示する任意の指示である。一例として、制御指示は、記憶部14に記憶されている履歴の出力を指示する出力指示を含むことができる。この場合、列車情報管理システム4は、制御装置10,20に対して、出力指示を示す制御指示を含む通信フレームを送ってもよい。そして、制御装置10,20は、予め許可された指示装置であると判別された列車情報管理システム4が送信した通信フレームに含まれ、出力指示を示す制御指示に基づいて、記憶部14から履歴を読み出し、履歴をデータとして含む通信フレームを列車情報管理システム4に送信する。
列車情報管理システム4が制御装置10に履歴の出力を指示する場合を例にして、制御システム1の動作について説明する。制御システム1は、不正なアクセスに従って履歴を出力することを抑制するために、図3に示す認証処理を行って、列車情報管理システム4が予め許可された指示装置であるか否かを判別する。具体的には、列車情報管理システム4は、送受信部から、ユーザIDを含む通信フレームを制御装置10に送信する。通信部11は、ユーザIDを含む通信フレームを受信すると、ユーザIDを認証部12に送る。そして、認証部12が、乱数で構成されるチャレンジコードを生成する。その後、通信部11は、チャレンジコードを含む通信フレームを列車情報管理システム4に送信する。また認証部12は、図2に示す対応表に基づき、ユーザIDに対応するパスワードを取得し、パスワードと、生成したチャレンジコードとから、レスポンスコードを生成する。
その後、列車情報管理システム4は、制御装置10からチャレンジコードを含む通信フレームを受信すると、チャレンジコードと予め保持しているパスワードとから、特定のアルゴリズムに従って、レスポンスコードを生成する。そして、列車情報管理システム4は、レスポンスコードを含む通信フレームを制御装置10に送信する。
通信部11は、レスポンスコードを含む通信フレームを受信すると、レスポンスコードを認証部12に送る。そして、認証部12は、生成したレスポンスコードと、通信部11から取得したレスポンスコードとが一致するか否かを判別し、判別結果を通信部11に送る。通信部11は、認証部12が、生成したレスポンスコードと、通信部11から取得したレスポンスコードとが一致すると判別した場合、判別結果を含む通信フレームを列車情報管理システム4に送信する。また通信部11は、認証部12が、生成したレスポンスコードと、通信部11から取得したレスポンスコードとが一致しないと判別した場合、列車情報管理システム4から受信した通信フレームを破棄する。
上述の認証処理の結果、列車情報管理システム4は、判別結果を受信した後、送受信部から、出力指示を示す制御指示を含む通信フレームを制御装置10に送信する。制御装置10は、列車情報管理システム4から制御指示を含む通信フレームを受信すると、図4に示す制御処理および更新処理を開始する。具体的には、通信部11は、列車情報管理システム4から受信した通信フレームが含む制御指示を制御部13に送る。
なお履歴の出力を可能にするために、制御装置10が有する制御部13は、ブレーキ制御弁5を制御している間に、ブレーキ制御弁5に送った信号、圧力センサから取得した圧力値を履歴として記憶部14に記憶しておく。そして、制御部13は、通信部11から、出力指示を示す制御指示を取得すると、記憶部14に記憶した履歴を読み出して通信部11に送る。通信部11は、履歴をデータとして含む通信フレームを生成し、列車情報管理システム4に送信する。
上述の実施の形態では、保守端末3は、認証情報と更新情報とを制御装置10,20に送信していたが、保守端末3は制御指示を制御装置10,20に送信してもよい。一例として、保守端末3は、上述した出力指示を示す制御指示を含む通信フレームを制御装置10,20に送信してもよい。この場合、制御装置10,20は、予め許可された指示装置であると判別された保守端末3が送信した通信フレームに含まれ、出力指示を示す制御指示に基づいて、記憶部14から履歴を読み出し、履歴をデータとして含む通信フレームを保守端末3に送信する。
図9は、実施の形態に係る制御装置10,20のハードウェアの構成例を示す図である。制御装置10,20は、各部を制御するハードウェア構成としてプロセッサ31、メモリ32、およびインターフェース33を備える。これらの装置の各機能は、プロセッサ31がメモリ32に記憶されたプログラムを実行することにより実現される。インターフェース33は各装置を接続し、通信を確立させるためのものであり、必要に応じて複数の種類のインターフェースで構成されてもよい。制御装置10,20は、インターフェース33を介して、車両用ネットワーク2に接続し、車両用ネットワーク2に接続された保守端末3および列車情報管理システム4と通信を行う。また制御装置10,20は、インターフェース33を介して、ブレーキ制御弁5および速度センサ6に接続される。図9では、プロセッサ31およびメモリ32をそれぞれ1つで構成する例を示しているが、複数のプロセッサ31および複数のメモリ32が連携して各機能を実行してもよい。
その他、上記のハードウェア構成およびフローチャートは一例であり、任意に変更および修正が可能である。
プロセッサ31、メモリ32,およびインターフェース33で構成される制御処理を行う中心となる部分は、専用のシステムによらず、通常のコンピュータシステムを用いて実現可能である。上述の動作を実行するためのコンピュータプログラムを、コンピュータが読み取り可能な記録媒体、例えば、フレキシブルディスク、CD-ROM(Compact Disc Read-Only Memory)、DVD-ROM(Digital Versatile Disc Read-Only Memory)等に格納して配布し、上記コンピュータプログラムをコンピュータにインストールすることにより、上述の処理を実行する制御装置10,20を構成してもよい。また、通信ネットワーク上のサーバ装置が有する記憶装置に上記コンピュータプログラムを格納しておき、通常のコンピュータシステムがダウンロードすることで制御装置10,20を構成してもよい。
また、制御装置10,20の機能を、OS(Operating System:オペレーティングシステム)とアプリケーションプログラムの分担、またはOSとアプリケーションプログラムとの協働により実現する場合などには、アプリケーションプログラム部分のみを記録媒体または記憶装置に格納してもよい。
また、搬送波にコンピュータプログラムを重畳し、通信ネットワークを介して配信することも可能である。通信ネットワーク上の掲示板(BBS:Bulletin Board System)に上記コンピュータプログラムを掲示し、通信ネットワークを介して上記コンピュータプログラムを配信してもよい。そして、このコンピュータプログラムを起動し、OSの制御下で、他のアプリケーションプログラムと同様に実行することにより、上述の処理を実行してもよい。
本発明は、本発明の広義の精神と範囲を逸脱することなく、様々な実施の形態及び変形が可能とされるものである。また、上述した実施の形態は、この発明を説明するためのものであり、本発明の範囲を限定するものではない。すなわち、本発明の範囲は、実施の形態ではなく、特許請求の範囲によって示される。そして、特許請求の範囲内及びそれと同等の発明の意義の範囲内で施される様々な変形が、この発明の範囲内とみなされる。
1 制御システム、2 車両用ネットワーク、3,7 保守端末、4 列車情報管理システム、5 ブレーキ制御弁、6 速度センサ、10,20 制御装置、11 通信部、12 認証部、13 制御部、14 記憶部、15 更新部、31 プロセッサ、32 メモリ、33 インターフェース。

Claims (7)

  1. 車載機器に含まれる機械ブレーキを制御するための制御プログラムおよび制御スクリプトの少なくともいずれかを含む制御情報ならびに前記制御の履歴を記憶する記憶部と、
    車両用ネットワークを介して接続された少なくとも1つの指示装置から、認証情報と、制御情報に基づく前記機械ブレーキの制御の指示を含む制御指示および前記記憶部に記憶されている前記制御情報の更新を指示する更新指示の少なくともいずれかとを受信する通信部と、
    前記通信部が前記更新指示を受信したときのみ、該更新指示とともに受信した前記認証情報に基づいて、前記認証情報を送信した前記指示装置が、予め許可された指示装置であるか否かを判別する認証部と、
    前記認証部で前記予め許可された指示装置であると判別された前記指示装置が送信した前記更新指示に従って前記記憶部に記憶されている前記制御情報を更新する更新部と、
    前記通信部が前記機械ブレーキの制御の指示を含む前記制御指示を受信すると、前記制御指示が実行を指示する前記制御に用いられる前記制御情報を前記記憶部から読み出し、読み出した前記制御情報に基づいて前記機械ブレーキの制御を行う制御部と、
    を備える車両用制御装置。
  2. 鉄道車両に搭載され、
    前記更新部は、前記鉄道車両が停止しているか否かを判別し、前記鉄道車両が停止していると判別した場合、前記認証部で前記予め許可された指示装置であると判別された前記指示装置が送信した前記更新指示に従って前記記憶部に記憶された前記制御情報を更新する、
    請求項1に記載の車両用制御装置。
  3. 前記更新部は、前記鉄道車両の速度を取得し、前記鉄道車両の速度が基準速度以下である場合、前記鉄道車両が停止していると判別する、
    請求項2に記載の車両用制御装置。
  4. 前記更新部は、前記鉄道車両の速度と、前記鉄道車両の加速を指示する力行指令または前記鉄道車両の減速を指示するブレーキ指令を含む運転指令とを取得し、前記鉄道車両の速度が基準速度以下であって、かつ、前記運転指令が前記ブレーキ指令を含む場合、前記鉄道車両が停止していると判別する、
    請求項2に記載の車両用制御装置。
  5. 記制御指示は、前記履歴の出力を指示する出力指示を含み、
    前記制御部は、前記制御指示が前記出力指示を示す場合、前記出力指示を示す前記制御指示を送信した前記指示装置が前記認証部で前記予め許可された指示装置であると判別された場合に、前記記憶部から前記履歴を読み出し、読み出した前記履歴を出力する、
    請求項1から4のいずれか1項に記載の車両用制御装置。
  6. 請求項1からのいずれか1項に記載の車両用制御装置と、
    前記車両用制御装置に車両用ネットワークを介して接続され、前記車両用制御装置に、前記認証情報と、前記更新指示を送信する少なくとも1つの指示装置と、
    を備える車両用制御システム。
  7. 車両用制御装置を制御するコンピュータを、
    車載機器に含まれる機械ブレーキを制御するための制御プログラムおよび制御スクリプトの少なくともいずれかを含む制御情報ならびに前記制御の履歴を記憶する記憶部、
    車両用ネットワークを介して接続された少なくとも1つの指示装置から、認証情報と、制御情報に基づく前記機械ブレーキの制御の指示を含む制御指示および前記記憶部に記憶されている前記制御情報の更新を指示する更新指示の少なくともいずれかとを受信する通信部、
    前記通信部が前記更新指示を受信したときのみ、該更新指示とともに受信した前記認証情報に基づいて、前記認証情報を送信した前記指示装置が、予め許可された指示装置であるか否かを判別する認証部
    記認証部で前記予め許可された指示装置であると判別された前記指示装置が送信した前記更新指示に従って前記記憶部に記憶されている前記制御情報を更新する更新部、および、
    前記通信部が前記機械ブレーキの制御の指示を含む前記制御指示を受信すると、前記制御指示が実行を指示する前記制御に用いられる前記制御情報を前記記憶部から読み出し、読み出した前記制御情報に基づいて前記機械ブレーキの制御を行う制御部、
    として機能させるためのプログラム。
JP2020568888A 2019-01-28 2019-01-28 車両用制御装置、車両用制御システム、およびプログラム Active JP7321192B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2019/002734 WO2020157797A1 (ja) 2019-01-28 2019-01-28 車両用制御装置、車両用制御システム、およびプログラム

Publications (2)

Publication Number Publication Date
JPWO2020157797A1 JPWO2020157797A1 (ja) 2021-11-25
JP7321192B2 true JP7321192B2 (ja) 2023-08-04

Family

ID=71840957

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020568888A Active JP7321192B2 (ja) 2019-01-28 2019-01-28 車両用制御装置、車両用制御システム、およびプログラム

Country Status (2)

Country Link
JP (1) JP7321192B2 (ja)
WO (1) WO2020157797A1 (ja)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004179772A (ja) 2002-11-25 2004-06-24 Sumitomo Electric Ind Ltd 車載ゲートウェイ装置及び車載通信システム
JP2007251828A (ja) 2006-03-17 2007-09-27 Auto Network Gijutsu Kenkyusho:Kk 車載データベースシステム

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004179772A (ja) 2002-11-25 2004-06-24 Sumitomo Electric Ind Ltd 車載ゲートウェイ装置及び車載通信システム
JP2007251828A (ja) 2006-03-17 2007-09-27 Auto Network Gijutsu Kenkyusho:Kk 車載データベースシステム

Also Published As

Publication number Publication date
JPWO2020157797A1 (ja) 2021-11-25
WO2020157797A1 (ja) 2020-08-06

Similar Documents

Publication Publication Date Title
CN112687122B (zh) 自动驾驶过程中的信息传输方法、车辆、云端和驾驶舱
JP6889296B2 (ja) ゲートウェイ装置、システム及びファームウェア更新方法
CN108881232B (zh) 业务系统的登录访问方法、装置、存储介质和处理器
TWI280769B (en) System, device and method of automatic re-authentication
CN1906573B (zh) 支持多个用户的系统和方法
US8165155B2 (en) Method and system for a thin client and blade architecture
US20180293083A1 (en) Virtual desktop system and method of control
CN111356114A (zh) 车内电子控制单元升级方法、装置、设备和车辆系统
CN109040150A (zh) 云桌面服务方法、客户端平台和系统
GB2448819A (en) Remote security enablement of a trusted platform module (TPM)
KR101960400B1 (ko) 제동 시스템
JP2022093680A (ja) ゲートウェイ装置、車載ネットワークシステム及びファームウェア更新方法
JP7321192B2 (ja) 車両用制御装置、車両用制御システム、およびプログラム
JP5458899B2 (ja) 仮想計算機、遠隔起動プログラム、遠隔起動方法及び仮想計算機システム
KR102519627B1 (ko) 토큰 기반 레거시 서비스 인증 방법 및 이를 지원하는 플랫폼 서비스 서버
CN112187718B (zh) 一种idv云桌面的远程访问云终端和系统
US8578365B2 (en) Method in a computer system for performing data transfer and corresponding device
US20230071552A1 (en) Certificate authorization policy for security protocol and data model capable devices
CN114419770A (zh) 一种车队数字钥匙管理方法、装置及计算机
JPH11215120A (ja) 通信装置
US11917086B2 (en) Short-lived symmetric keys for autonomous vehicles
CN110232271A (zh) 车辆控制模块安全凭证替换
TWI831477B (zh) 一種虛擬機主控台管理系統、方法及其電腦可讀媒介
JP6366950B2 (ja) ブレーキ制御システムおよびブレーキ制御装置
CN114765548B (zh) 目标业务的处理方法及装置

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211122

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20211122

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230117

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230315

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230627

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230725

R150 Certificate of patent or registration of utility model

Ref document number: 7321192

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150