WO2019044230A1

WO2019044230A1 - 車載装置、インシデント監視方法

Info

Publication number: WO2019044230A1
Application number: PCT/JP2018/026903
Authority: WO
Inventors: 尚河内; 靖永井; 伸義森田; 信萱島
Original assignee: クラリオン株式会社
Priority date: 2017-09-01
Filing date: 2018-07-18
Publication date: 2019-03-07
Also published as: EP3677476A4; US20200361493A1; CN111094081A; US11332163B2; CN111094081B; JP2019046176A; EP3677476A1; JP6808595B2

Abstract

車載装置は、自動運転可能な車両に搭載されており、車両の制御状態を表す車両情報を取得し、車両情報に基づいて、車両において発生したインシデントを検知するインシデント検知処理部を備える。

Description

車載装置、インシデント監視方法

　本発明は、インシデント監視を行う車載装置およびこれを用いたインシデント監視方法に関する。

　近年、車両に搭載された電子制御装置（ＥＣＵ：Ｅｌｅｃｔｏｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）と外部の情報通信機器の間で通信を行うことで、車両において様々な情報を取得し、取得した情報を用いて車両の安全運転支援や自動運転を実現する技術が普及し始めている。このような技術では、ＥＣＵと外部の情報通信機器との常時接続や、情報通信機器における汎用機器や汎用プログラムの利用が進んでいることから、車両がサイバー攻撃の対象とされる危険性が高まっている。車両がサイバー攻撃を受けて暴走した場合、人的被害や物的被害が甚大となり、社会的な影響が大きい。そのため、ＥＣＵの製造メーカや自動車メーカ等に対して、サイバー攻撃の兆候（サイバーインシデント、以下では単に「インシデント」と称する）が生じた場合には、これを素早く検知し、車両を安全な状態として被害を最小限に留めることが求められている。

　車両の異常検知に関して、例えば特許文献１に記載の技術が知られている。特許文献１に記載された車両故障診断装置は、車両から取得した車両走行情報と周辺環境を認識する認識手段から取得した外部環境情報とを比較し、車両走行情報が周辺環境に応じた一般的な走行パターンから所定レベル以上乖離している場合、車両に異常が発生している可能性があると判断し、車両の故障診断を行う。

日本国特開２００７－１６１０４４号公報

　しかしながら、特許文献１に記載された技術では、車両から取得した車両走行情報と一般的な走行パターンとを比較して車両の異常判断を行っているため、インシデントが発生しても車両が一般的な走行パターンに近い走行を行っているような場合には、異常と判断することができない。したがって、車両において発生したインシデントを確実に素早く検知することができない。

　本発明による車載装置は、自動運転可能な車両に搭載されるものであって、前記車両の制御状態を表す車両情報を取得し、前記車両情報に基づいて、前記車両において発生したインシデントを検知するインシデント検知処理部を備える。
　本発明によるインシデント監視方法は、自動運転可能な車両に搭載された車載装置において、前記車両の制御状態を表す車両情報を取得し、前記車両情報に基づいて、前記車両において発生したインシデントを検知する。

　本発明によれば、車両において発生したインシデントを確実に素早く検知することができる。

本発明の一実施形態に係る車両情報ネットワークシステムの構成図車両および車載遠隔監視装置のハードウェア構成を例示するブロック図路側器およびセンタサーバのハードウェア構成を例示するブロック図車載遠隔監視装置の機能構成を例示するブロック図センタサーバの機能構成を例示するブロック図地図情報の構成を例示する説明図車載情報パケットの構成を例示する説明図車載遠隔監視装置が実行する車両情報監視処理のフローチャート自動運転機能停止処理のフローチャート車両通信ネットワークシステムのシーケンス図

　以下、本発明の実施形態について図１～１０を参照して説明する。図１は、本発明の一実施形態に係る車両情報ネットワークシステムの構成図である。図１に示す車両情報ネットワークシステム１は、車両２、路側器３、ネットワーク４、およびセンタサーバ５を含む。

　車両２は、車載遠隔監視装置２０を搭載する。路側器３は、車両２が走行する道路の路側に、所定地点に固定して設置される。路側器３とセンタサーバ５は、ネットワーク４を介して相互に接続される。センタサーバ５は、ネットワーク４および路側器３を介して、車載遠隔監視装置２０とデータ通信を行う。

　なお、車両情報ネットワークシステム１には、車載遠隔監視装置２０をそれぞれ搭載する複数の車両２が含まれていてもよい。また、複数の路側器３がそれぞれ異なる地点に設置されていてもよい。以下の説明では、一つの車両２に搭載されている車載遠隔監視装置２０の動作を中心として説明する。

　図２は、車両２および車載遠隔監視装置２０のハードウェア構成を例示するブロック図である。車両２は、車載遠隔監視装置２０と、車載遠隔監視装置２０にそれぞれ接続されている無線通信装置１０５、ステアリングＥＣＵ１０６、ブレーキＥＣＵ１０７、エンジンＥＣＵ１０８、方向指示器１０９、ＡＤＡＳ　ＥＣＵ１１０、ブレーキ制御ＥＣＵ１１１、ステアリング制御ＥＣＵ１１２、エンジン制御ＥＣＵ１１３、カメラ１１４、ＧＰＳセンサ１１５、加速度センサ１１６、ユーザースイッチ１１７、表示装置１１８、およびナビゲーションシステム１１９とを備える。

　ステアリングＥＣＵ１０６、ブレーキＥＣＵ１０７、エンジンＥＣＵ１０８、および方向指示器１０９は、車両２の走行制御を行うための装置であり、相互に接続されてネットワークを構成している。以下では、このネットワークを「制御系ネットワークドメイン」と称する。ＡＤＡＳ　ＥＣＵ１１０、ブレーキ制御ＥＣＵ１１１、ステアリング制御ＥＣＵ１１２、エンジン制御ＥＣＵ１１３、カメラ１１４、ＧＰＳセンサ１１５、および加速度センサ１１６は、車両２の運転支援や自動運転を行うための装置であり、相互に接続されてネットワークを構成している。以下では、このネットワークを「運転支援系ネットワークドメイン」と称する。ユーザースイッチ１１７、表示装置１１８、およびナビゲーションシステム１１９は、車両２の運転者に対するユーザーインタフェースを提供するための装置であり、相互に接続されてネットワークを構成している。以下では、このネットワークを「情報系ネットワークドメイン」と称する。すなわち、車載遠隔監視装置２０は、制御系ネットワークドメインと、運転支援系ネットワークドメインと、情報系ネットワークドメインとに接続されており、これらのネットワーク内の各装置との間でデータ通信を行う。

　上記の各ネットワークにおいて、同じネットワーク内の各装置は、車載遠隔監視装置２０を介さずに直接データ通信を行うことができる。例えば、制御系ネットワークドメイン内では、車両２の走行制御のための通信が行われる。運転支援系ネットワークドメイン内では、車両２の運転支援や自動運転のための通信が行われる。情報系ネットワークドメイン内では、車両２の運転者に対するユーザーインタフェースのための通信が行われる。一方、異なるネットワークに属する装置間のデータ通信は、車載遠隔監視装置２０を介して行われる。

　無線通信装置１０５は、車載遠隔監視装置２０に接続されており、路側器３との間で無線通信を行う。車載遠隔監視装置２０は、無線通信装置１０５を介した無線通信によって、路側器３とデータ通信を行う。

　ステアリングＥＣＵ１０６は、車両２の運転者によるステアリング操作、またはステアリング制御ＥＣＵ１１２から送信されるステアリング制御命令に応じて、車両２の操舵機構を制御して進行方向制御を行う装置である。ブレーキＥＣＵ１０７は、車両２の運転者によるブレーキ操作、またはブレーキ制御ＥＣＵ１１１から送信されるブレーキ制御命令に応じて、車両２のブレーキを制御して減速制御を行う装置である。エンジンＥＣＵ１０８は、車両２の走行状態、またはエンジン制御ＥＣＵ１１３から送信されるエンジン制御命令に応じて、車両２のエンジンを制御して速度制御を行う装置である。方向指示器１０９は、車両２の運転者による方向指示操作、またはＡＤＡＳ　ＥＣＵ１１０から送信される方向指示命令に応じて、車両２に設けられたライトを点灯し、車両２が進路変更を行うときに当該進路変更の方向を周囲の他車両に通知する装置である。これらの装置により、車両２の走行制御が行われる。

　ＡＤＡＳ　ＥＣＵ１１０は、車両２の内外の情報から車両２の加速、減速、停止などを判断し、その判断結果を用いて車両２の自動運転や運転支援サービスを実現する装置である。ＡＤＡＳ　ＥＣＵ１１０は、カメラ１１４から取得した外部画像や、ＧＰＳセンサ１１５から取得した車両２の位置や、加速度センサ１１６から取得した車両２の加速度や、ナビゲーションシステム１１９が保持する車両２の周辺地図情報などを参照して、車両２の挙動を決定する。そして、ブレーキ制御ＥＣＵ１１１や、ステアリング制御ＥＣＵ１１２や、エンジン制御ＥＣＵ１１３に対して、決定した車両２の挙動に応じた制御命令をそれぞれ出力するように指示する。これにより、ＡＤＡＳ　ＥＣＵ１１０は、車両２の加速・操舵・制動を全て自動的に行い、車両２の自動運転機能を実現する。

　車両２の運転者であるユーザーは、ＡＤＡＳ　ＥＣＵ１１０の自動運転機能を利用することで、運転操作を行うことなく、車両２を目的地まで自動で走行させることが可能である。例えば、車両２が同一の走行車線を維持しながら目的地まで走行している場合、ＡＤＡＳ　ＥＣＵ１１０は、カメラ１１４から取得した外部画像に基づいて、車両２の前後における障害物の有無を確認する。なお、カメラ１１４に替えて不図示のレーダセンサ等を用いてもよい。また、ＡＤＡＳ　ＥＣＵ１１０は、ナビゲーションシステム１１９から取得した地図情報に基づいて、走行車線の形状に沿った車両２の進行方向や走行速度を決定し、これらの値に応じた制御パラメータを含む車両情報を、ブレーキ制御ＥＣＵ１１１、ステアリング制御ＥＣＵ１１２、エンジン制御ＥＣＵ１１３に対してそれぞれ送信する。これにより、車両２を走行車線に沿って自動的に走行させることができる。さらに、例えば自動運転を実施中に車両２が車線変更する場合、ＡＤＡＳ　ＥＣＵ１１０は、方向指示器１０９の動作を制御し、車線変更を行う方向に方向指示器１０９を点灯させる。また、カメラ１１４から取得した外部画像に基づいて、変更先の車線における障害物の有無を確認した上で、車線変更時の車両２の挙動を決定し、その値に応じた制御パラメータを含む車両情報を、ブレーキ制御ＥＣＵ１１１、ステアリング制御ＥＣＵ１１２、エンジン制御ＥＣＵ１１３に対してそれぞれ送信する。これにより、車両２を自動的に車線変更させることができる。

　ブレーキ制御ＥＣＵ１１１は、ＡＤＡＳ　ＥＣＵ１１０の指示に応じて、ブレーキＥＣＵ１０７に対してブレーキ強度を含むブレーキ制御命令を送信する装置である。ステアリング制御ＥＣＵ１１２は、ＡＤＡＳ　ＥＣＵ１１０の指示に応じて、ステアリングＥＣＵ１０６に対してステアリングの操作角度を含むステアリング制御命令を送信する装置である。エンジン制御ＥＣＵ１１３は、ＡＤＡＳ　ＥＣＵ１１０の指示に応じて、エンジンＥＣＵ１０８に対してエンジンの回転数を含むエンジン制御命令を送信する装置である。カメラ１１４は、車両２の周囲を撮影した画像をＡＤＡＳ　ＥＣＵ１１０に出力する装置である。ＧＰＳセンサ１１５は、衛星から信号を受信して車両２の位置を測位する測位装置である。加速度センサ１１６は、車両２の前後方向や左右方向の加速度を検知する装置である。これらの装置により、車両２の運転支援や自動運転が行われる。

　ユーザースイッチ１１７は、車両２の運転者による所定の入力操作を検出する装置である。車両２の運転者であるユーザーは、例えば車両２の自動運転や運転支援機能を無効から有効に、もしくは有効から無効に切り替える際に、ユーザースイッチ１１７を使用する。表示装置１１８は、例えば液晶モニタ等であり、運転者に対して種々の情報を表示する。例えば、車両２において自動運転や運転支援が実施されている場合は、これらの機能が有効であることを表示装置１１８に表示することで、運転者が車両２の状態を把握できるようにする。ナビゲーションシステム１１９は、道路形状等の地図情報を保持しており、ユーザーやＡＤＡＳ　ＥＣＵ１１０からの要求などに応じて、車両２周辺の地図情報を提供する装置である。これらの装置により、車両２の運転者に対するユーザーインタフェースが提供される。

　車載遠隔監視装置２０は、記憶装置１０１、ＣＰＵ１０２、およびメモリ部１０３を備える。記憶装置１０１は、例えばＨＤＤやフラッシュメモリ等の補助記憶装置である。ＣＰＵ１０２は、例えば記憶装置１０１などに記憶された所定の制御プログラムを読み込んで実行することにより、車載遠隔監視装置２０を制御する。

　メモリ部１０３は、ＣＰＵ１０２が制御プログラムを実行する際に利用する主記憶装置である。

　ＣＰＵ１０２は、インシデント検知処理部１２０、通信制御部１３０、機能停止部１４０、警告処理部１５０、および復旧策処理部１６０を機能的に備える。すなわち、インシデント検知処理部１２０、通信制御部１３０、機能停止部１４０、警告処理部１５０、および復旧策処理部１６０は、ＣＰＵ１０２が実行する制御プログラムによってソフトウェア的に実現される。インシデント検知処理部１２０、通信制御部１３０、機能停止部１４０、警告処理部１５０、および復旧策処理部１６０については、後に詳述する。

　なお、インシデント検知処理部１２０、通信制御部１３０、機能停止部１４０、警告処理部１５０、および復旧策処理部１６０を、例えばＦＰＧＡのようなＣＰＵ１０２と同等の機能を実現できる電子回路などによってそれぞれ構成することも可能である。

　図３は、路側器３およびセンタサーバ５のハードウェア構成を例示するブロック図である。路側器３は、路側器制御部２０５と無線送受信部２０６を備える。

　無線送受信部２０６は、無線信号を送受信することにより、車両２に搭載された車載遠隔監視装置２０とデータ通信を行う。路側器制御部２０５は、路側器３を制御する。路側器制御部２０５は、ネットワーク４に接続されている。路側器制御部２０５は、ネットワーク４を介してセンタサーバ５とデータ通信を行う。路側器制御部２０５は、無線送受信部２０６を制御して、センタサーバ５から送信された情報を車両２に送信したり、車両２から受信した情報をセンタサーバ５に送信したりする。

　センタサーバ５は、記憶装置５０１、ＣＰＵ５０２、およびメモリ部５０３を備える。記憶装置５０１は、例えばＨＤＤやフラッシュメモリ等の補助記憶装置である。ＣＰＵ５０２は、例えば記憶装置５０１などに記憶された所定の制御プログラムを読み込んで実行することにより、路側器３に送受信する情報を処理する。メモリ部５０３は、ＣＰＵ５０２が制御プログラムを実行する際に利用する主記憶装置である。

　ＣＰＵ５０２は、送受信情報処理部５１０、インシデント分析処理部５２０、および復旧策生成部５３０を機能的に備える。すなわち、送受信情報処理部５１０、インシデント分析処理部５２０、および復旧策生成部５３０は、ＣＰＵ５０２が実行する制御プログラムによってソフトウェア的に実現される。送受信情報処理部５１０、インシデント分析処理部５２０、および復旧策生成部５３０については、後に詳述する。

　次に、車載遠隔監視装置２０およびセンタサーバ５の機能構成について説明する。

　図４は、車載遠隔監視装置２０の機能構成を例示するブロック図である。記憶装置１０１は、車両情報ＤＢ１７１を有する。

　復旧策処理部１６０は、無線通信装置１０５を用いて路側器３と通信を行い、復旧策９００を路側器３を介してセンタサーバ５から受信する。受信した復旧策９００は、通信制御部１３０に出力される。復旧策９００は、前述の制御系ネットワークドメイン、運転支援系ネットワークドメインまたは情報系ネットワークドメインにおいて、いずれかの装置がサイバー攻撃を受けることでセキュリティ上のインシデントが発生した場合に、そのインシデント発生元の装置を復旧させるためにセンタサーバ５から送信される情報である。復旧策９００には、例えば当該装置で動作するソフトウェアのバックデート命令や設定ファイル、更新ソフトウェアなどが含まれる。

　インシデント検知処理部１２０は、車両情報ＤＢ１７１に格納されている車両情報や、ナビゲーションシステム１１９に格納されている地図情報６００に基づいて、インシデントが発生した場合にこれを検知する。インシデントの発生を検知した場合、インシデント検知処理部１２０は、無線通信装置１０５を用いて路側器３と通信を行い、検知したインシデントに関するインシデント情報７００を路側器３を介してセンタサーバ５に送信する。インシデント情報７００には、インシデントを検知した場所、インシデントを検知したときの情報送信元の装置のソフトウェアバージョン、インシデントの原因、インシデントの検知日時などが含まれる。また、インシデントの発生を検出した場合、インシデント検知処理部１２０は、異なるネットワーク間での情報転送の停止を指示する転送停止指示、車両２の自動運転の停止を指示する自動運転停止指示、インシデントの発生を通知するインシデント発生通知を、通信制御部１３０、機能停止部１４０、警告処理部１５０にそれぞれ出力する。

　通信制御部１３０は、車載遠隔監視装置２０に接続されている各ネットワーク間で通信の中継を行う。例えば、運転支援系ネットワークドメインのブレーキ制御ＥＣＵ１１１から制御系ネットワークドメインのブレーキＥＣＵ１０７に送信されるブレーキ制御指示を、これらのネットワーク間で転送する。同一ネットワーク内の装置間および異なるネットワークの装置間では、後述する車両情報パケット８００により通信が行われる。通信制御部１３０は、各装置間で送受信される車両情報パケット８００を受信すると、そのパケットに含まれる情報を、車両２の制御状態を表す車両情報として車両情報ＤＢ１７１に追記する。すなわち、車両情報ＤＢ１７１には、車両情報パケット８００に含まれる情報が時系列順に車両情報として格納される。

　通信制御部１３０は、復旧策処理部１６０から復旧策９００を受信すると、受信した復旧策９００をあて先の装置に送信する。また、通信制御部１３０は、インシデント検知処理部１２０から転送停止指示を受けると、異なるネットワークに属する各装置間の通信を遮断する。

　機能停止部１４０は、インシデント検知処理部１２０から自動運転停止指示を受けると、車両２の自動運転機能を停止する。機能停止部１４０は、例えば、運転支援系ネットワークの各装置から制御系ネットワークの各装置への情報転送を遮断するように通信制御部１３０に指示したり、通信制御部１３０を介してＡＤＡＳ　ＥＣＵ１１０に自動運転機能の停止指示を行ったりすることで、車両２の自動運転機能を停止する。

　警告処理部１５０は、インシデント検知処理部１２０からインシデント発生通知を受けると、表示装置１１８を用いて、車両２の運転者であるユーザーに対して警告を行う。警告処理部１５０は、例えば、表示装置１１８に所定の画面を表示することで、ユーザーに対して、ユーザースイッチ１１７を用いて自動運転から手動運転への切り替え操作を行うように指示する。ユーザースイッチ１１７において切り替え操作が入力されると、警告処理部１５０は、その旨をインシデント検知処理部１２０に通知する。

　図５は、センタサーバ５の機能構成を例示するブロック図である。記憶装置５０１は、インシデント情報ＤＢ５５１を有する。

　送受信情報処理部５１０は、路側器３との情報の送受信を行う。例えば、送受信情報処理部５１０は、車両２から送信されたインシデント情報７００を路側器３を経由して受信する。送受信情報処理部５１０は、車両２から受信したインシデント情報７００を、インシデント情報ＤＢ５５１に格納する。

　インシデント分析処理部５２０は、インシデント情報ＤＢ５５１に格納されているインシデント情報７００を分析し、その分析結果を復旧策生成部５３０に通知する。

　復旧策生成部５３０は、インシデント分析処理部５２０の分析結果に基づいて、車両２において発生したインシデントに対応する復旧策９００を生成する。送受信情報処理部５１０は、復旧策生成部５３０により生成された復旧策９００を路側器３を経由して車両２に送信する。

　図６は、地図情報６００の構成を例示する説明図である。地図情報６００は、リンクＩＤ６０１、制限速度６０２、方向制限６０３、第１緯度情報６０４、第２緯度情報６０５、第１経度情報６０６、および第２経度情報６０７の各情報を含む。

　リンクＩＤ６０１は、道路リンクごとに付されたリンクＩＤを表す。このリンクＩＤ６０１の値により、当該地図情報がどの道路リンクに対応するものであるかが特定される。なお、リンクＩＤの値は、互いに重複しないように、道路リンクごとに固有の値が予め設定されている。

　制限速度６０２は、当該地図情報に対応する道路リンクに対して設定されている制限速度を表す。この制限速度６０２の値に応じて、車両２の自動運転中における走行速度の上限値が設定される。

　方向制限６０３は、当該地図情報に対応する道路リンクの向きを表す。方向制限６０３は、所定方向（例えば磁北方向）を０とする角度で表現される。

　第１緯度情報６０４は、当該地図情報に対応する道路リンクの位置を表す緯度値である。第２緯度情報６０５は、第１緯度情報６０４の値が北緯（Ｎ）か南緯（Ｓ）かを表す情報である。第１経度情報６０６は、当該地図情報に対応する道路リンクの位置を表す経度値である。第２経度情報６０７は、第１経度情報６０６の値が東経（Ｅ）か西経（Ｗ）かを表す情報である。

　図７は、車両情報パケット８００の構成を例示する説明図である。車両情報パケット８００は、ＣＡＮ　ＩＤ８０１、制御パラメータ８０２、および測定時間８０３の各情報を含む。

　ＣＡＮ　ＩＤ８０１は、車両情報パケット８００の送信元に設定されているＣＡＮ　ＩＤを示す情報である。ネットワーク内の各装置には、装置ごとに固有の番号がＣＡＮ　ＩＤとして予め設定されている。各装置は、車両情報パケット８００を送信する際に、自身に設定されているＣＡＮ　ＩＤを示す情報をＣＡＮ　ＩＤ８０１として設定する。

　制御パラメータ８０２は、車両情報パケット８００を受信した装置が行う制御において使用される制御値を表す情報である。制御パラメータ８０２には、各装置で行われる制御の内容に応じて様々な値が設定される。例えば、アクセル開度、ブレーキ圧、操舵角、エンジン回転数などの情報を、制御パラメータ８０２で表すことができる。また、方向指示器１０９の動作状態を表す情報や、カメラ１１４の撮影画像データなども、制御パラメータ８０２に含めることができる。

　測定時間８０３は、車両情報パケット８００の送信時間（時刻）を表す情報である。各装置は、車両情報パケット８００を送信する際に、そのときの時刻を示す情報を測定時間８０３として設定する。

　図８は、車載遠隔監視装置２０のＣＰＵ１０２が実行する車両情報監視処理のフローチャートである。このフローチャートに示す処理は、車両２に搭載された車載遠隔監視装置２０のＣＰＵ１０２において、所定時間ごとに実行される。

　ステップＳ１０において、ＣＰＵ１０２は、インシデント検知処理部１２０により、車両情報ＤＢ１７１に蓄積されている車両情報を車両情報ＤＢ１７１から読み出して取得する。このとき、前回までの処理で既に取得済みの車両情報を除外し、未取得の車両情報のみを抽出して取得することが好ましい。

　ステップＳ２０において、ＣＰＵ１０２は、インシデント検知処理部１２０により、ステップＳ１０で取得した車両情報に基づいて、車両２が自動運転中であるか否かを判定する。自動運転中であれば処理をステップＳ３０に進め、そうでない場合、すなわちユーザーによる手動運転中の場合は処理をステップＳ１１０に進める。

　ステップＳ３０において、ＣＰＵ１０２は、インシデント検知処理部１２０により、ステップＳ１０で取得した車両情報が所定の送信ルールに違反しているか否かを判定する。その結果、車両情報が送信ルールに違反していると判定した場合は処理をステップＳ７０に進め、違反していないと判定した場合は処理をステップＳ４０に進める。具体的には、例えば、ＣＡＮ　ＩＤ８０１の値が予め登録された番号リストに含まれているか否かを確認したり、制御パラメータ８０２の値が予め設定された範囲内であるか否かを確認したり、測定時間８０３の値と現在時刻との差が予め設定された閾値未満であるか否かを確認したりすることで、ステップＳ３０の判定が行われる。なお、車載遠隔監視装置２０では、これらの判定基準値、すなわちＣＡＮ　ＩＤ８０１の番号リスト、制御パラメータ８０２の設定範囲、測定時間８０３と現在時刻との差の閾値などが、送信ルールとして予め設定されている。

　ステップＳ４０において、ＣＰＵ１０２は、インシデント検知処理部１２０により、ステップＳ１０で取得した車両情報に基づいて、車両２が進路変更を行うか否かを判定する。その結果、車両２が進路変更を行うと判定した場合は処理をステップＳ５０に進め、進路変更を行わないと判定した場合は図８の車両情報監視処理を終了する。具体的には、例えば、車両情報における制御パラメータ８０２の値が所定角度以上の操舵角を表している場合に、車両２が進路変更を行うと判断する。また、ナビゲーションシステム１１９に搭載された地図情報６００に基づいて、車両２が進路変更を行うか否かを判断してもよい。例えば、地図情報６００から車両２が走行している道路の向きを求め、これを車両２の操舵角、位置、加速度などを表す車両情報と比較することで、車両２が進路変更を行うか否かを判断する。さらにこのとき、カメラ１１４の撮影画像などを利用してもよい。これ以外にも様々な方法でステップＳ４０の判定を行うことが可能である。なお、進路変更には、例えば走行車線の逸脱や、交差点での右左折等が含まれる。

　ステップＳ５０において、ＣＰＵ１０２は、インシデント検知処理部１２０により、ステップＳ１０で取得した車両情報に基づいて、車両２の進路変更方向を正しく通知しているか否かを判定する。その結果、進路変更方向を正しく通知していると判定した場合は処理をステップＳ６０へ進め、通知していないと判定した場合は処理をステップＳ７０へ進める。具体的には、例えば、車両情報における制御パラメータ８０２の値から方向指示器１０９の動作状態を確認し、方向指示器１０９がステップＳ４０で判断した進路変更の方向を正しく示す動作をしているか否かを判断することで、ステップＳ５０の判定を行うことができる。

　ステップＳ６０において、ＣＰＵ１０２は、インシデント検知処理部１２０により、ステップＳ１０で取得した車両情報に基づいて、車両２の進路変更の妨げとなる障害物が存在するか否かを判定する。その結果、障害物が存在すると判定した場合は処理をステップＳ７０へ進め、存在しないと判定した場合は図８の車両情報監視処理を終了する。具体的には、例えば、カメラ１１４で取得された画像情報を表す車両情報に基づいて、進路変更の際に車両２の周囲に、進路変更の妨げとなる他車両や物体が存在するかを判断する。その結果、進路変更の妨げとなる他車両や物体が存在する場合は、それを障害物と認識する。このとき、カメラ１１４に替えて、またはカメラ１１４と併用して、不図示のレーダセンサ等を用いてもよい。

　ステップＳ７０において、ＣＰＵ１０２は、インシデント検知処理部１２０により、インシデントを検知する。すなわち、ステップＳ３０で判定された車両情報の送信ルール違反や、ステップＳ５０で判定された不正な進路変更方向の通知や、ステップＳ６０で判定された進路変更時の障害物の存在などの事象を、車両２において発生したインシデントとして検知する。

　ステップＳ８０において、ＣＰＵ１０２は、車両２の自動運転機能を停止するための自動運転機能停止処理を実行する。この自動運転機能停止処理の詳細については、後で図９を参照して説明する。

　ステップＳ９０において、ＣＰＵ１０２は、通信制御部１３０により、特定の車両情報を対象に、当該車両情報の他のネットワークへの転送を遮断する。このときインシデント検知処理部１２０は、通信制御部１３０に転送停止指示を出力する。インシデント検知処理部１２０から転送停止指示を受けた通信制御部１３０は、例えば、運転支援系ネットワークに属する各装置のＣＡＮ　ＩＤを有する車両情報を対象に、他のネットワークへの転送を遮断する。

　ステップＳ１００において、ＣＰＵ１０２は、インシデント検知処理部１２０により、検知したインシデントに関するインシデント情報７００を無線通信装置１０５に出力し、路側器３を介してセンタサーバ５に送信する。ステップＳ１００を実行したら、図８の車両情報監視処理を終了する。

　車両２が自動運転中でない場合、ステップＳ１１０において、ＣＰＵ１０２は、インシデント検知処理部１２０により、ステップＳ１０で取得した車両情報が所定の送信ルールに違反しているか否かを判定する。その結果、車両情報が送信ルールに違反していると判定した場合は処理をステップＳ１２０に進め、違反していないと判定した場合は図８の車両情報監視処理を終了する。なお、ステップＳ１１０の判定は、ステップＳ３０と同様にして行うことができる。

　ステップＳ１２０において、ＣＰＵ１０２は、インシデント検知処理部１２０により、インシデントを検知する。すなわち、ステップＳ１１０で判定された車両情報の送信ルール違反を、車両２において発生したインシデントとして検知する。

　ステップＳ１３０において、ＣＰＵ１０２は、通信制御部１３０により、ステップＳ９０と同様にして、特定の車両情報を対象に、当該車両情報の他のネットワークへの転送を遮断する。

　ステップＳ１４０において、ＣＰＵ１０２は、機能停止部１４０により、車両２における自動運転機能の動作を禁止する。このときインシデント検知処理部１２０は、機能停止部１４０に自動運転停止指示を出力する。インシデント検知処理部１２０から自動運転停止指示を受けた機能停止部１４０は、例えば、通信制御部１３０を介してＡＤＡＳ　ＥＣＵ１１０に自動運転機能の禁止指示を行うことで、自動運転機能の動作を禁止する。

　ステップＳ１５０において、ＣＰＵ１０２は、インシデント検知処理部１２０により、検知したインシデントに関するインシデント情報７００を無線通信装置１０５に出力し、路側器３を介してセンタサーバ５に送信する。ステップＳ１５０を実行したら、図８の車両情報監視処理を終了する。

　図９は、図８のステップＳ８０で実行される自動運転機能停止処理のフローチャートである。

　ステップＳ２１０において、ＣＰＵ１０２は、警告処理部１５０により、自動運転から手動運転への切り替えを車両２の運転者であるユーザーに指示する。このときインシデント検知処理部１２０は、警告処理部１５０にインシデント発生通知を出力する。インシデント検知処理部１２０からインシデント発生通知を受けた警告処理部１５０は、例えば、通信制御部１３０を介して表示装置１１８に所定の画面表示を指示することで、自動運転から手動運転への切り替えを行うようにユーザーに促す。

　ステップＳ２２０において、ＣＰＵ１０２は、自動運転から手動運転に切り替えられたか否かを判定する。ステップＳ２１０の指示に応じてユーザーがユーザースイッチ１１７により所定の切り替え操作を行うことで、ＡＤＡＳ　ＥＣＵ１１０の自動運転機能が停止された場合、自動運転から手動運転に切り替えられたと判定してステップＳ２６０に進む。一方、ユーザースイッチ１１７に対して切り替え操作が入力されていない場合、自動運転から手動運転への切り替えが行われていないと判定し、ステップＳ２３０に進む。

　ステップＳ２３０において、ＣＰＵ１０２は、ステップＳ２１０で手動運転への切り替えをユーザーに指示してから一定時間、例えば１０秒間が経過したか否かを判定する。一定時間が経過した場合はステップＳ２４０に進み、経過していない場合はステップＳ２２０に戻る。

　ステップＳ２４０において、ＣＰＵ１０２は、ＡＤＡＳ　ＥＣＵ１１０に対して、車両２を路肩に停止させるように指示する。なお、車両２が安全に停止可能な場所であれば、路肩以外の場所であってもよい。これにより、ステップＳ２１０で手動運転への切り替えをユーザーに指示してから一定時間内に、ユーザースイッチ１１７に対して所定の切り替え操作が行われない場合には、車両２を安全な場所に停止させるように指示する。

　ステップＳ２５０において、ＣＰＵ１０２は、車両２の制御状態を自動運転から手動運転に切り替える。例えば、機能停止部１４０からＡＤＡＳ　ＥＣＵ１１０に対して、自動運転機能を停止する指示を出力する。この指示を受けたＡＤＡＳ　ＥＣＵ１１０は、ブレーキ制御ＥＣＵ１１１、ステアリング制御ＥＣＵ１１２、およびエンジン制御ＥＣＵ１１３に対して、車両２の加速・操舵・制動に関する制御命令の出力を禁止することで、自動運転機能を利用できなくする。ステップＳ２５０を実行したら、処理をステップＳ２６０に進める。

　ステップＳ２６０において、ＣＰＵ１０２は、警告処理部１５０により、自動運転の利用が不可であることをユーザーに通知する。このとき警告処理部１５０は、例えば、通信制御部１３０を介して表示装置１１８に所定のメッセージを表示させることで、インシデントの発生により自動運転が利用できないことをユーザーに通知する。

　ステップＳ２７０において、ＣＰＵ１０２は、機能停止部１４０により、車両２における自動運転機能の動作を禁止する。このとき機能停止部１４０は、図８のステップＳ１４０と同様に、例えば、通信制御部１３０を介してＡＤＡＳ　ＥＣＵ１１０に自動運転機能の禁止指示を行うことで、自動運転機能の動作を禁止する。ステップＳ２７０を実行したら、図９の自動運転機能停止処理を終了する。

　次に、車両情報ネットワークシステム１全体の動作について説明する。図１０は、車両情報ネットワークシステム１全体の動作を示すシーケンス図である。車両情報ネットワークシステム１において、センタサーバ５、車載遠隔監視装置２０、およびネットワーク内の各装置は、それぞれ図１０に示す処理を実行する。

　ステップＳ３０１において、センタサーバ５は、車載遠隔監視装置２０から路側器３を介して送信されたインシデント情報７００を受信し、インシデント情報ＤＢ５５１に保存する。

　ステップＳ３０２において、センタサーバ５は、インシデント分析処理部５２０によりインシデント情報７００の分析を行う。ここでは、例えば車両２における異常発生箇所の特定や、その原因を分析する。

　ステップＳ３０３において、センタサーバ５は、ステップＳ３０２で行ったインシデント情報の分析結果に基づいて、復旧策生成部５３０により、プログラム修正用のパッチやバックデート指示などの復旧策９００を生成する。そして、生成した復旧策９００を、路側器３を介して車載遠隔監視装置２０に送信する。

　ステップＳ４０１において、車載遠隔監視装置２０は、ネットワークの各装置から送信される車両情報パケット８００を受信する。そして、受信した車両情報パケット８００を車両情報ＤＢ１７１に蓄積すると共に、指定されたあて先に従い、必要に応じて他のネットワークに転送するドメイン間通信を実施する。

　インシデントが発生した場合、ステップＳ４０２において車載遠隔監視装置２０は、図８の車両情報監視処理を実施することで、発生したインシデントを検知し、センタサーバ５にインシデント情報７００を送信する。

　ステップＳ４０３において、車載遠隔監視装置２０は、車両２の状態を確認し、自動運転中であるか否かを判断する。

　ステップＳ４０３で車両２が自動運転中であると判断した場合、ステップＳ４０４において、車載遠隔監視装置２０は、図９の自動運転機能停止処理を実施することで、ＡＤＡＳ　ＥＣＵ１１０に対して自動運転機能の停止を指示する。

　ステップＳ４０５において、車載遠隔監視装置２０は、センタサーバ５から送信された復旧策９００を受信し、インシデント発生箇所の装置に対して復旧策９００を実施する。

　ステップＳ５０１において、制御系ネットワークドメイン内のステアリングＥＣＵ１０６、ブレーキＥＣＵ１０７、エンジンＥＣＵ１０８、および方向指示器１０９の各装置と、運転支援系ネットワークドメイン内のＡＤＡＳ　ＥＣＵ１１０、ブレーキ制御ＥＣＵ１１１、ステアリング制御ＥＣＵ１１２、エンジン制御ＥＣＵ１１３、カメラ１１４、ＧＰＳセンサ１１５、および加速度センサ１１６の各装置と、情報系ネットワークドメイン内のユーザースイッチ１１７および表示装置１１８の各装置は、車両情報パケット８００を他の装置に送信する。

　ステップＳ５０２において、ＡＤＡＳ　ＥＣＵ１１０は、車載遠隔監視装置２０から自動運転機能の停止指示を受けると、自動運転機能を停止する。

　ステップＳ５０３において、車両２のネットワーク内で発生したインシデントの影響を受ける各装置は、車載遠隔監視装置２０が実施した復旧策９００を適用する。

　以上説明した本発明の一実施形態によれば、以下の作用効果を奏する。

（１）車載遠隔監視装置２０は、自動運転可能な車両２に搭載されており、車両２の制御状態を表す車両情報を取得し、取得した車両情報に基づいて、車両２において発生したインシデントを検知するインシデント検知処理部１２０を備える。このようにしたので、車両２において発生したインシデントを確実に素早く検知することができる。

（２）インシデント検知処理部１２０は、車両２が自動運転中のときの車両情報に基づいて、インシデントを検知する。具体的には、インシデント検知処理部１２０は、車両情報が所定の送信ルールに違反しているか否かを判断し（ステップＳ３０）、車両情報が送信ルールに違反していると判断した場合にインシデントを検知する（ステップＳ７０）。また、インシデント検知処理部１２０は、車両２が進路変更を行うときに方向指示器１０９が当該進路変更の方向を示しているか否かを、方向指示器１０９の動作状態に関する情報を含む車両情報に基づいて判断し（ステップＳ５０）、方向指示器１０９が当該進路変更の方向を示していないと判断した場合にインシデントを検知する（ステップＳ７０）。また、インシデント検知処理部１２０は、車両２が進路変更を行うときに当該進路変更の妨げとなる障害物が存在するか否かを、車両２の周辺に存在する物体に関する情報を含む車両情報に基づいて判断し（ステップＳ６０）、障害物が存在すると判断した場合にインシデントを検知する（ステップＳ７０）。このようにしたので、車両２が自動運転中のときにインシデントが発生した場合に、これを確実に素早く検知することができる。

（３）車両２は、地図情報６００を記憶する地図記憶装置、すなわちナビゲーションシステム１１９を搭載している。インシデント検知処理部１２０は、ステップＳ４０において、ナビゲーションシステム１１９に記憶された地図情報６００に基づいて、車両２が進路変更を行うか否かを判断することができる。このようにすれば、車両２が進路変更を行うときに、これを確実に検知することができる。

（４）インシデント検知処理部１２０は、車両２が手動運転中のときの車両情報に基づいて、インシデントを検知することもできる。具体的には、インシデント検知処理部１２０は、車両情報が所定の送信ルールに違反しているか否かを判断し（ステップＳ１１０）、車両情報が送信ルールに違反していると判断した場合にインシデントを検知する（ステップＳ１２０）。このようにしたので、車両２が手動運転中のときにインシデントが発生した場合に、これを確実に素早く検知することができる。

（５）車載遠隔監視装置２０は、車両２の自動運転機能を停止する機能停止部１４０と、車両２の運転者に対して警告を行う警告処理部１５０と、をさらに備える。インシデント検知処理部１２０は、車両２が自動運転中のときにインシデントを検知すると、警告処理部１５０を用いて自動運転から手動運転への切り替え操作を運転者に指示し（ステップＳ２１０）、その後、機能停止部１４０に自動運転機能を停止させる（ステップＳ２７０）。このようにしたので、車両２においてインシデントが発生した場合に、自動運転から手動運転への切り替えを安全に行うことができる。

（６）なお、運転者への指示を行ってから一定時間内に切り替え操作が行われない場合（ステップＳ２３０：Ｙｅｓ）、車載遠隔監視装置２０は、車両２を安全な場所に停止させる（ステップＳ２４０）。このようにしたので、運転者が即時に手動運転を行えない場合でも、車両２の安全を確保することができる。

　なお、以上説明した実施形態や各種の変形例はあくまで一例である。本発明の特徴を損なわない限り、本発明は上記実施の形態に限定されるものではなく、本発明の技術的思想の範囲内で考えられるその他の形態についても、本発明の範囲内に含まれる。

　次の優先権基礎出願の開示内容は引用文としてここに組み込まれる。
　日本国特許出願２０１７年第１６８８８２号（２０１７年９月１日出願）

１…車両情報ネットワークシステム、２…車両、３…路側器、４…ネットワーク、５…センタサーバ、２０…車載遠隔監視装置、１０１…記憶装置、１０２…ＣＰＵ、１０３…メモリ部、１０５…無線通信装置、１０６…ステアリングＥＣＵ、１０７…ブレーキＥＣＵ、１０８…エンジンＥＣＵ、１０９…方向指示器、１１０…ＡＤＡＳ　ＥＣＵ、１１１…ブレーキ制御ＥＣＵ、１１２…ステアリング制御ＥＣＵ、１１３…エンジン制御ＥＣＵ、１１４…カメラ、１１５…ＧＰＳセンサ、１１６…加速度センサ、１１７…ユーザースイッチ、１１８…表示装置、１１９…ナビゲーションシステム

Claims

　自動運転可能な車両に搭載される車載装置であって、
　前記車両の制御状態を表す車両情報を取得し、前記車両情報に基づいて、前記車両において発生したインシデントを検知するインシデント検知処理部を備える車載装置。
　請求項１に記載の車載装置において、
　前記インシデント検知処理部は、前記車両が自動運転中のときの前記車両情報に基づいて、前記インシデントを検知する車載装置。
　請求項２に記載の車載装置において、
　前記インシデント検知処理部は、前記車両情報が所定の送信ルールに違反しているか否かを判断し、前記車両情報が前記送信ルールに違反していると判断した場合に前記インシデントを検知する車載装置。
　請求項２に記載の車載装置において、
　前記車両情報は、前記車両の方向指示器の動作状態に関する情報を含み、
　前記インシデント検知処理部は、前記車両が進路変更を行うときに前記方向指示器が当該進路変更の方向を示しているか否かを前記車両情報に基づいて判断し、前記方向指示器が前記方向を示していないと判断した場合に前記インシデントを検知する車載装置。
　請求項２に記載の車載装置において、
　前記車両情報は、前記車両の周辺に存在する物体に関する情報を含み、
　前記インシデント検知処理部は、前記車両が進路変更を行うときに当該進路変更の妨げとなる障害物が存在するか否かを前記車両情報に基づいて判断し、前記障害物が存在すると判断した場合に前記インシデントを検知する車載装置。
　請求項４または請求項５に記載の車載装置において、
　前記車両は、地図情報を記憶する地図記憶装置を搭載しており、
　前記インシデント検知処理部は、前記地図記憶装置に記憶された前記地図情報に基づいて、前記車両が進路変更を行うか否かを判断する車載装置。
　請求項１に記載の車載装置において、
　前記インシデント検知処理部は、前記車両が手動運転中のときの前記車両情報に基づいて、前記インシデントを検知する車載装置。
　請求項７に記載の車載装置において、
　前記インシデント検知処理部は、前記車両情報が所定の送信ルールに違反しているか否かを判断し、前記車両情報が前記送信ルールに違反していると判断した場合に前記インシデントを検知する車載装置。
　請求項１から請求項８までのいずれか一項に記載の車載装置において、
　前記車両の自動運転機能を停止する機能停止部と、
　前記車両の運転者に対して警告を行う警告処理部と、をさらに備え、
　前記インシデント検知処理部は、前記車両が自動運転中のときに前記インシデントを検知すると、前記警告処理部を用いて自動運転から手動運転への切り替え操作を前記運転者に指示した後、前記機能停止部に前記自動運転機能を停止させる車載装置。
　請求項９に記載の車載装置において、
　前記運転者への指示を行ってから一定時間内に前記切り替え操作が行われない場合、前記車両を安全な場所に停止させる車載装置。
　自動運転可能な車両に搭載された車載装置におけるインシデント監視方法であって、
　前記車両の制御状態を表す車両情報を取得し、
　前記車両情報に基づいて、前記車両において発生したインシデントを検知するインシデント監視方法。