JP2020184651A - 車載制御装置、及び情報処理装置 - Google Patents
車載制御装置、及び情報処理装置 Download PDFInfo
- Publication number
- JP2020184651A JP2020184651A JP2019086495A JP2019086495A JP2020184651A JP 2020184651 A JP2020184651 A JP 2020184651A JP 2019086495 A JP2019086495 A JP 2019086495A JP 2019086495 A JP2019086495 A JP 2019086495A JP 2020184651 A JP2020184651 A JP 2020184651A
- Authority
- JP
- Japan
- Prior art keywords
- vehicle
- abnormality
- unit
- information
- control device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Traffic Control Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
【課題】車両が外部ネットワークから攻撃を受けた場合に、該車両からの車々間通信のデータの信頼性が担保されない可能性がある。【解決手段】車載制御装置(13)は、対象車両に搭載される車載制御装置であって、前記対象車両以外の1又は複数の他の車両においてセキュリティ異常が発生したことを示す異常情報を、当該1又は複数の他の車両以外から取得する異常情報取得部と、前記異常情報取得部が前記異常情報を取得した場合に、前記対象車両に異常回避動作を実行させる縮退制御部(132)と、を備えている。【選択図】図1
Description
本発明は、車載制御装置、及び情報処理装置に関する。
近年、様々な面で移動体の自動運転に関する開発が進んでいる。たとえば、車両は、通信ネットワークに所属して、該ネットワークのサーバやネットワークに所属する他の車両と通信を行い、自車両に関する情報を外部に送信するとともに、外部から様々な情報を取得して、走行の安全を確保している(特許文献1、2)。
上記ネットワークでは、ネットワークに所属する1または複数の車両の各制御装置に対してサイバー攻撃を受ける等のセキュリティ異常が発生する場合がある。このような場合、セキュリティ異常が発生している車両に異常な動作が生じ、その結果として他の車両にも危険が及ぶといった虞がある。
また、セキュリティ異常以外にも、ネットワークに所属する各車両に様々な異常が発生する可能性がある。例えば、車両の各部に経年劣化等により不具合が発生し、正常な運転ができなくなる場合がある。あるいは、車両を操作するドライバが、癲癇、心臓発作等急激な体調不良により、正常な運転ができなくなる場合も考えられる。
上記の課題に鑑み、本発明の一態様では、ネットワークに所属する車両に異常が発生した場合に、他の車両において異常回避動作を行うことができる技術を提供することを目的とする。
上記の課題を解決するために、本発明の一態様に係る車載制御装置は、対象車両に搭載される車載制御装置であって、前記対象車両以外の1又は複数の他の車両において異常が発生したことを示す異常情報を、当該1又は複数の他の車両以外から取得する異常情報取得部と、前記異常情報取得部が前記異常情報を取得した場合に、前記対象車両に異常回避動作を実行させる回避制御部と、を備える。
上記の構成によれば、ネットワークに所属する車両に異常が発生した場合に、異常情報を当該異常が発生した車両以外から安全に取得することができ、適切な異常回避動作を実行することができる。
上記一態様に係る車載制御装置において、上記異常は、セキュリティ異常であってもよい。
上記の構成によれば、ネットワークに所属する車両にセキュリティ異常が発生した場合に、異常情報を当該セキュリティ異常が発生した車両以外から安全に取得することができ、適切な異常回避動作を実行することができる。
上記一態様に係る車載制御装置において、前記回避制御部が実行させる異常回避動作には、前記対象車両と前記1又は複数の他の車両との通信を制限する処理が含まれていてもよい。
上記の構成によれば、セキュリティ異常が発生した車両からの信頼性が担保されない通信により、ネットワークに所属する他の車両が被害を受けることを防ぐことができる。
上記一態様に係る車載制御装置において、前記回避制御部が実行させる異常回避動作には、前記1又は複数の他の車両を避けるように前記対象車両を制御する処理が含まれていてもよい。
上記の構成によれば、セキュリティ異常が発生した車両により、ネットワークに所属する他の車両が被害を受けることを防ぐことができる。
上記一態様に係る車載制御装置において、前記異常情報には、セキュリティ異常が発生した車両を識別するための車両識別情報が含まれてもよい。
上記の構成によれば、セキュリティ異常が発生した車両を特定することができるため、セキュリティ異常が発生した車両とネットワークに所属する他の車両との間の事故を防止することができる。
上記一態様に係る車載制御装置において、前記異常情報には、セキュリティ異常が発生した車両の位置情報が含まれてもよい。
上記の構成によれば、セキュリティ異常が発生した車両の位置を特定することができるため、セキュリティ異常が発生した車両とネットワークに所属する他の車両との間の事故を防止することができる。
上記の課題を解決するために、本発明の一態様に係る車載制御装置は、対象車両に搭載される車載制御装置であって、前記対象車両において異常が発生したことを検知する異常検知部と、前記異常検知部が検知した異常を示す異常情報を送信する送信部と、前記送信部が用いる伝送経路として、複数の伝送経路の何れかを選択する選択部とを備える。
上記の構成によれば、異常が発生した場合に、適切な伝送経路を使ってネットワークに所属する他の車両に被害を与えることなく、該異常に関する情報を送信することができる。
上記一態様に係る車載制御装置において、前記異常は、セキュリティ異常であってもよい。
上記の構成によれば、セキュリティ異常が発生した場合に、適切な伝送経路を使ってネットワークに所属する他の車両に被害を与えることなく、該セキュリティ異常に関する情報を送信することができる。
上記一態様に係る車載制御装置において、前記選択部は、前記複数の伝送経路の信頼度を示す信頼度情報を参照して、前記複数の伝送経路の何れかを選択してもよい。
上記の構成によれば、セキュリティ異常が発生した場合に、より信頼度の高い伝送経路を使ってネットワークに所属する他の車両に被害を与えることなく、該セキュリティ異常に関する情報を送信することができる。
上記一態様に係る車載制御装置において、前記異常情報を参照して、前記複数の伝送経路の信頼度を評価する信頼度評価部を更に備えてもよい。
上記の構成によれば、セキュリティ異常が発生した場合に、より信頼度の高い伝送経路を使ってネットワークに所属する他の車両に被害を与えることなく、該セキュリティ異常に関する情報を送信することができる。
上記の課題を解決するために、本発明の一態様に係る車載制御装置は、対象車両に搭載される車載制御装置であって、前記対象車両において異常が発生したことを検知する異常検知部と、前記異常検知部が検知した異常を示す異常情報をフィルタリングすることによってフィルタリング後の異常情報を生成するフィルタリング部と、前記フィルタリング後の異常情報を送信する送信部とを備える。
上記の構成によれば、異常を示す異常情報をフィルタリングしてから必要な異常情報だけを送信することができるため、通信情報量が増加しすぎることを防ぐことができる。
上記一態様に係る車載制御装置において、前記異常は、セキュリティ異常であってもよい。
上記の構成によれば、異常を示す異常情報をフィルタリングしてから必要な異常情報だけを送信することができるため、通信情報量が増加しすぎることを防ぐことができる。
上記の課題を解決するために、本発明の一態様に係る情報処理装置は、1又は複数の第1の車両から、当該1又は複数の第1の車両の状態を示す状態情報を取得する状態情報取得部と、前記状態情報を参照して、前記車両の異常を特定する異常特定部と、前記異常特定部による特定結果を含む異常情報を、1又は複数の第2の車両に送信する送信部と、を備える。
上記の構成によれば、ネットワークに所属する車両に異常が発生した場合に、異常情報を当該異常が発生した車両以外から安全に取得することができ、適切な異常回避動作を実行することができる。
上記一態様に係る情報処理装置において、前記異常は、セキュリティ異常であってもよい。
上記の構成によれば、ネットワークに所属する車両にセキュリティ異常が発生した場合に、異常情報を当該セキュリティ異常が発生した車両以外から安全に取得することができ、適切な異常回避動作を実行することができる。
上記一態様に係る情報処理装置において、前記送信部が用いる伝送経路として、複数の伝送経路の何れかを選択する選択部を備えていてもよい。
上記の構成によれば、セキュリティ異常が発生した場合に、適切な伝送経路を使ってネットワークに所属する他の車両に被害を与えることなく、該セキュリティ異常に関する情報を送信することができる。
上記一態様に係る情報処理装置において、前記異常情報をフィルタリングすることによってフィルタリング後の異常情報を生成するフィルタリング部を備え、前記送信部は、前記異常情報として、前記フィルタリング後の異常情報を送信してもよい。
上記の構成によれば、セキュリティ異常を示す異常情報をフィルタリングしてから必要な異常情報だけを送信することができるため、通信情報量が増加しすぎることを防ぐことができる。
本発明の一態様によれば、ネットワークに所属する車両にセキュリティ異常が発生した場合に、他の車両において異常回避動作を行うことができる技術を提供することができる。
以下、本発明の一側面に係る実施の形態(以下、「本実施形態」とも表記する)を、図面に基づいて説明する。
<実施形態1>
以下、本発明の実施形態1を、図面に基づいて説明する。
以下、本発明の実施形態1を、図面に基づいて説明する。
図1は、本実施形態に係る車両システム1の構成を示すブロック図である。図1に示すように、車両システム1は、サーバ装置100、車両10、及び、車両20を含んでいる。図1に示す例では、簡単のため、車両の数を2としたが、これは本実施形態を限定するものではなく、車両システム1は、任意の数の車両を含むことができる。
(サーバ装置100)
図1に示すように、サーバ装置100は、制御部50、通信部60、及び、メモリ70を備えている。通信部60は、1又は複数の伝送経路を介して、車両10、20、並びに他のサーバ装置等との間でデータの送受信を行う。伝送経路の具体例は本実施形態を限定するものではないが、4G又は5G通信規格に準じた無線伝送経路を採用することができる。
図1に示すように、サーバ装置100は、制御部50、通信部60、及び、メモリ70を備えている。通信部60は、1又は複数の伝送経路を介して、車両10、20、並びに他のサーバ装置等との間でデータの送受信を行う。伝送経路の具体例は本実施形態を限定するものではないが、4G又は5G通信規格に準じた無線伝送経路を採用することができる。
また、図1に示すように、制御部50は、データ解析部51、車両特定・攻撃判定部52、及び、判定結果通知部53を備えている。
(データ解析部51)
データ解析部51は、ネットワークに所属する各車両、および他のサーバ装置から送信されるデータを解析する。データの解析結果は、車両特定・攻撃判定部52に供給される。また、データの解析結果は、メモリ70に格納されてもよい。
データ解析部51は、ネットワークに所属する各車両、および他のサーバ装置から送信されるデータを解析する。データの解析結果は、車両特定・攻撃判定部52に供給される。また、データの解析結果は、メモリ70に格納されてもよい。
(車両特定・攻撃判定部52)
車両特定・攻撃判定部52は、データ解析部51から受信したデータの解析結果に基づいて、セキュリティ異常が発生している場合には、異常が発生している車両の特定、およびセキュリティ攻撃の内容を判定する。判定結果は、判定結果通知部53に供給される。なお、車両特定・攻撃判定部52で行われる異常の特定には、セキュリティ異常の発生を判定しない構成の車両から取得した状態情報を参照して、セキュリティ異常の発生を特定する処理と、セキュリティ異常の発生を判定する構成の車両から、セキュリティ異常が発生したことを示す異常情報を取得し、取得した異常情報を参照して対象車両の状態を特定する処理の両方が含まれる。
車両特定・攻撃判定部52は、データ解析部51から受信したデータの解析結果に基づいて、セキュリティ異常が発生している場合には、異常が発生している車両の特定、およびセキュリティ攻撃の内容を判定する。判定結果は、判定結果通知部53に供給される。なお、車両特定・攻撃判定部52で行われる異常の特定には、セキュリティ異常の発生を判定しない構成の車両から取得した状態情報を参照して、セキュリティ異常の発生を特定する処理と、セキュリティ異常の発生を判定する構成の車両から、セキュリティ異常が発生したことを示す異常情報を取得し、取得した異常情報を参照して対象車両の状態を特定する処理の両方が含まれる。
(判定結果通知部53)
判定結果通知部53は、車両特定・攻撃判定部52から供給される判定結果をメモリ70に供給する。
判定結果通知部53は、車両特定・攻撃判定部52から供給される判定結果をメモリ70に供給する。
(メモリ70)
メモリ70は、判定結果通知部53から供給される判定結果を格納する。
メモリ70は、判定結果通知部53から供給される判定結果を格納する。
(車両10)
図1に示すように、車両10は、第1通信部11、第2通信部12、制御部13、メモリ14、及び車両各部15を備えている。
図1に示すように、車両10は、第1通信部11、第2通信部12、制御部13、メモリ14、及び車両各部15を備えている。
(第1通信部11、第2通信部12)
第1通信部11は、サーバ装置100の通信部60との間でデータの送受信を行う。第2通信部12は、車両10以外の車両である車両20(後述)の備える第2通信部22との間でデータの送受信を行う。
第1通信部11は、サーバ装置100の通信部60との間でデータの送受信を行う。第2通信部12は、車両10以外の車両である車両20(後述)の備える第2通信部22との間でデータの送受信を行う。
第1通信部11が通信に用いる具体的な伝送経路は本実施形態を限定するものではないが、一例として4G又は5G通信規格に準じた無線伝送経路を採用することができる。また、第2通信部12が通信に用いる具体的な伝送経路は本実施形態を限定するものではないが、一例として、Wi−Fi(登録商標)を採用することができる。
(車両各部15)
車両各部15は、車両10が備える各部の総称であり、例えば、情報系動作部、走行安全系動作部、ボディ系動作部、パワートレイン系動作部、EV系動作部、及び、これらの各部の間のデータ伝送路であるCAN(Car Area Network)等が含まれる。
車両各部15は、車両10が備える各部の総称であり、例えば、情報系動作部、走行安全系動作部、ボディ系動作部、パワートレイン系動作部、EV系動作部、及び、これらの各部の間のデータ伝送路であるCAN(Car Area Network)等が含まれる。
情報系動作部は、ユーザに対し、情報やサービスを提供する装置を備える。一例として、情報系動作部は、オーディオ装置、ナビゲーション装置、およびテレマティクス装置等を備える。ユーザは、これらの装置を操作することにより、車両および周囲の状況に関する情報を取得し、様々なサービスを得ることができる。
走行安全系動作部は、安全運転を支援するための装置を備える。例えば、アイドリングストップ機構、ADAS(先進運転支援システム)制御装置、ABS(アンチロックブレーキシステム)、パワーステアリング、エアバック等を備える。
ボディ系動作部は、オートA/C、オートレベリング、ボディコントロールモジュール、パワースライドシステム、パワーテールゲート、およびBluetooth(登録商標)ユニット等を備える。車両10は、Bluetoothユニットを介して、携帯型端末等と通信することができる。
パワートレイン系動作部は、車両10のエンジンで発生した回転エネルギーを、駆動輪に伝えるための装置を備える。例えば、エンジン制御部、及び変速機等を備える。
EV系動作部は、DC/DCコンバータ等を備える。
(制御部13)
図1に示すように、制御部13は、異常検知部131、縮退制御部132、及び縮退解除部133を備えている。
図1に示すように、制御部13は、異常検知部131、縮退制御部132、及び縮退解除部133を備えている。
(異常検知部131)
異常検知部131は、上記第1通信部11または第2通信部12を介して取得した異常情報に基づいて、車両20においてセキュリティ異常が発生したことを検知する。検知されたセキュリティ異常に関する情報は、縮退制御部132に送信される。
異常検知部131は、上記第1通信部11または第2通信部12を介して取得した異常情報に基づいて、車両20においてセキュリティ異常が発生したことを検知する。検知されたセキュリティ異常に関する情報は、縮退制御部132に送信される。
上記異常情報には、セキュリティ異常が発生した車両を識別するための車両識別情報が含まれていてもよい。また、上記異常情報には、前記異常情報には、セキュリティ異常が発生した車両の位置情報が含まれていてもよい。
(縮退制御部132)
縮退制御部132(回避制御部)は、異常検知部131がセキュリティ異常の関する情報を検知した場合に、車両10を縮退状態に遷移させる縮退処理を実行させる。ここで、「縮退処理」には、車両10に異常回避動作を実行させることが含まれる。異常回避動作には、例えば、車両20を避けるように車両10を制御することが含まれてもよい。または、異常回避動作には、例えば、車両20との通信を制限する処理が含まれてもよい。
縮退制御部132(回避制御部)は、異常検知部131がセキュリティ異常の関する情報を検知した場合に、車両10を縮退状態に遷移させる縮退処理を実行させる。ここで、「縮退処理」には、車両10に異常回避動作を実行させることが含まれる。異常回避動作には、例えば、車両20を避けるように車両10を制御することが含まれてもよい。または、異常回避動作には、例えば、車両20との通信を制限する処理が含まれてもよい。
(縮退解除部133)
縮退解除部133では、サーバ装置100から車両20が正常状態に復帰したことを示す情報を受信した場合に、車両10の縮退状態を解除する。
縮退解除部133では、サーバ装置100から車両20が正常状態に復帰したことを示す情報を受信した場合に、車両10の縮退状態を解除する。
(メモリ14)
メモリ14は、判定結果通知部53から供給される判定結果を格納する。
メモリ14は、判定結果通知部53から供給される判定結果を格納する。
(車両20)
車両20は、車両10と同様の構成を備える。即ち、車両20は、第1通信部21、第2通信部22、制御部23、メモリ24、及び車両各部25を備えている。
車両20は、車両10と同様の構成を備える。即ち、車両20は、第1通信部21、第2通信部22、制御部23、メモリ24、及び車両各部25を備えている。
第1通信部21、第2通信部22、制御部23、メモリ24、及び車両各部25は、車両10が備える第1通信部11、第2通信部12、制御部13、メモリ14、及び車両各部15と同様の構成であるので、ここでは詳細な説明を繰り返さない。
以下では、本実施形態の車両システム1において、例えば、車両20にセキュリティ異常が発生した場合の、車両10に縮退動作および縮退回避動作を行わせる処理の流れを、図2を参照しながら説明する。図2は、本実施形態にかかる車両システム1で実行される縮退および縮退解除動作についてのフローチャートである。
<縮退・縮退解除動作>
(ステップS10)
ステップS10で、車両20の異常検知部231が、自車両にセキュリティ異常が発生したことを検知する。
(ステップS10)
ステップS10で、車両20の異常検知部231が、自車両にセキュリティ異常が発生したことを検知する。
(ステップS12)
ステップS12では、車両20の第1通信部21、検知された異常情報をサーバ装置100に送信する。このとき、異常情報には、セキュリティ異常が発生した車両を識別するための車両識別情報、およびセキュリティ異常が発生した車両の位置情報が含まれる。
ステップS12では、車両20の第1通信部21、検知された異常情報をサーバ装置100に送信する。このとき、異常情報には、セキュリティ異常が発生した車両を識別するための車両識別情報、およびセキュリティ異常が発生した車両の位置情報が含まれる。
(ステップS14)
ステップS14では、サーバ装置100の通信部60が、異常情報を車両20から受信し、データ解析部51で異常情報を解析する。そして、車両特定・攻撃判定部52が、解析結果から、攻撃内容を特定する。攻撃内容には、セキュリティ異常が発生した車両、車両の位置、およびセキュリティ攻撃の内容等が含まれる。特定された攻撃内容は、判定結果通知部53に送信される。
ステップS14では、サーバ装置100の通信部60が、異常情報を車両20から受信し、データ解析部51で異常情報を解析する。そして、車両特定・攻撃判定部52が、解析結果から、攻撃内容を特定する。攻撃内容には、セキュリティ異常が発生した車両、車両の位置、およびセキュリティ攻撃の内容等が含まれる。特定された攻撃内容は、判定結果通知部53に送信される。
(ステップS16)
ステップS16では、判定結果通知部53が、受信した攻撃内容に基づいて判定結果を通知する。
ステップS16では、判定結果通知部53が、受信した攻撃内容に基づいて判定結果を通知する。
(ステップS18)
ステップS18では、サーバ装置100の通信部60が、セキュリティ異常に関する判定結果を、車両10に送信し、車両10では、第1通信部11が上記判定結果を受信する。
ステップS18では、サーバ装置100の通信部60が、セキュリティ異常に関する判定結果を、車両10に送信し、車両10では、第1通信部11が上記判定結果を受信する。
車両10の縮退制御部(回避制御部)132が、上記判定結果に基づいて、車両10に異常回避動作を実行させる。異常回避動作には、車両10と車両20との通信を制限する処理が含まれてもよい。
(ステップS20)
ステップ20では、車両10の縮退制御部132が、車両20を避けるように車両10を制御する。上記処理は、上記異常回避動作に含まれる。
ステップ20では、車両10の縮退制御部132が、車両20を避けるように車両10を制御する。上記処理は、上記異常回避動作に含まれる。
(ステップS22)
車両システム1に正常に動作する車両10以外の車両30が存在する場合には、さらに、ステップS22において、車両10の第2通信部12が、該車両30に車両20に発生したセキュリティ異常に関する情報を送信し、車両30と車両20に発生したセキュリティ異常に関する情報を共有してもよい。
車両システム1に正常に動作する車両10以外の車両30が存在する場合には、さらに、ステップS22において、車両10の第2通信部12が、該車両30に車両20に発生したセキュリティ異常に関する情報を送信し、車両30と車両20に発生したセキュリティ異常に関する情報を共有してもよい。
以上で、本実施形態の車両10(車載制御装置)で実行される縮退動作の処理は終了する。
(ステップS24)
続いて、ステップS24では、サーバ装置100から車両20が正常状態に復帰したことを示す正常復帰情報を車両10の第1通信部11が受信すると、縮退解除部133が、車両10の縮退状態を解除する。
続いて、ステップS24では、サーバ装置100から車両20が正常状態に復帰したことを示す正常復帰情報を車両10の第1通信部11が受信すると、縮退解除部133が、車両10の縮退状態を解除する。
上述したように、実施形態1によれば、車両20が、自車両で発生したセキュリティ異常に関する情報を検知してサーバ装置100に送信し、サーバ装置100から、正常に動作している車両10に車両20で発生したセキュリティ異常に関する情報を送信する。したがって、車両20に発生したセキュリティ異常に関する情報を安全に車両10に送信することができ、これによって車両10が縮退状態を取ることができる。
<実施形態2>
上記実施形態1では、車両に発生したセキュリティ異常を、車両側で検知する例について説明した。実施形態2では、車両に発生したセキュリティ異常を、サーバ装置側で検知する例について説明する。
上記実施形態1では、車両に発生したセキュリティ異常を、車両側で検知する例について説明した。実施形態2では、車両に発生したセキュリティ異常を、サーバ装置側で検知する例について説明する。
(構成)
図3は、本実施形態に係る車両システム1の構成を示すブロック図である。図3に示すように、本実施形態2の車両システム1は、サーバ装置100、車両10、及び、車両20を含んでいる。以下、本実施形態2における車両システム1の構成で、実施形態1の構成と異なる点のみについて以下に説明する。以下に説明する構成以外は、本実施形態2における車両システム1の構成は、実施形態1における車両システム1の構成と同様である。
図3は、本実施形態に係る車両システム1の構成を示すブロック図である。図3に示すように、本実施形態2の車両システム1は、サーバ装置100、車両10、及び、車両20を含んでいる。以下、本実施形態2における車両システム1の構成で、実施形態1の構成と異なる点のみについて以下に説明する。以下に説明する構成以外は、本実施形態2における車両システム1の構成は、実施形態1における車両システム1の構成と同様である。
(サーバ装置100)
本実施形態2におけるサーバ装置100は、制御部50、通信部60、及び、メモリ70を備えている。また、図3に示すように、制御部50は、データ解析部51、車両特定・攻撃判定部52、及び、判定結果通知部53に加えて、異常検知部54を備えている。
本実施形態2におけるサーバ装置100は、制御部50、通信部60、及び、メモリ70を備えている。また、図3に示すように、制御部50は、データ解析部51、車両特定・攻撃判定部52、及び、判定結果通知部53に加えて、異常検知部54を備えている。
(車両10、20)
図3に示すように、本実施形態2の車両10(20)は、実施形態1の車両10(20)と同様に、第1通信部11(21)、第2通信部12(22)、制御部13(23)、メモリ14(24)、及び車両各部15(25)をそれぞれ備えている。しかし、制御部13(23)は、異常検知部131(231)を備えていなくてもよい。
図3に示すように、本実施形態2の車両10(20)は、実施形態1の車両10(20)と同様に、第1通信部11(21)、第2通信部12(22)、制御部13(23)、メモリ14(24)、及び車両各部15(25)をそれぞれ備えている。しかし、制御部13(23)は、異常検知部131(231)を備えていなくてもよい。
以下では、本実施形態の車両システム1において、例えば、車両20にセキュリティ異常が発生した場合の、車両10に縮退動作および縮退回避動作を行わせる処理の流れを、図2を参照しながら説明する。図2は、本実施形態にかかる車両システム1で実行される縮退および縮退解除動作についてのフローチャートである。
<縮退・縮退解除動作>
続いて、図4を参照して、本実施形態の車両システム1に属する車両(車載制御装置)10、20、およびサーバ装置100に実行される縮退および縮退解除動作について説明する。図4は、本実施形態の車載制御装置10、20、およびサーバ装置100で実行される縮退および縮退解除動作についてのフローチャートである。
<縮退・縮退解除動作>
続いて、図4を参照して、本実施形態の車両システム1に属する車両(車載制御装置)10、20、およびサーバ装置100に実行される縮退および縮退解除動作について説明する。図4は、本実施形態の車載制御装置10、20、およびサーバ装置100で実行される縮退および縮退解除動作についてのフローチャートである。
(ステップS110)
ステップS110では、車両20の第1通信部21が、自車両の車両状態、車両識別子、および車両の位置情報を含む車両状態情報を、サーバ装置100に送信する。なお、各車両10および20は、自車両の状態に関する情報を、定期的にサーバ装置100に送信しており、これにより、サーバ装置100は、常時、各車両10および20の車両状態を監視している。また、車両状態情報には、セキュリティ異常情報が含まれる。
ステップS110では、車両20の第1通信部21が、自車両の車両状態、車両識別子、および車両の位置情報を含む車両状態情報を、サーバ装置100に送信する。なお、各車両10および20は、自車両の状態に関する情報を、定期的にサーバ装置100に送信しており、これにより、サーバ装置100は、常時、各車両10および20の車両状態を監視している。また、車両状態情報には、セキュリティ異常情報が含まれる。
(ステップS112)
ステップS112では、サーバ装置100の通信部60が、車両20から受信した車両状態情報を受信する。そして、異常検知部54が、受信した車両状態情報に基づいて、車両20のセキュリティ異常を検知する。
ステップS112では、サーバ装置100の通信部60が、車両20から受信した車両状態情報を受信する。そして、異常検知部54が、受信した車両状態情報に基づいて、車両20のセキュリティ異常を検知する。
(ステップS114)
ステップS114では、データ解析部51が検知されたセキュリティ異常情報を解析する。解析結果を基に、車両特定・攻撃判定部52が、攻撃内容を特定する。攻撃内容には、異常が発生している車両を識別する車両識別子、および車両の位置を示す位置情報が含まれる。
ステップS114では、データ解析部51が検知されたセキュリティ異常情報を解析する。解析結果を基に、車両特定・攻撃判定部52が、攻撃内容を特定する。攻撃内容には、異常が発生している車両を識別する車両識別子、および車両の位置を示す位置情報が含まれる。
(ステップS116)
ステップS116では、判定結果通知部53が、特定された攻撃内容に基づいて監視結果を通知する。監視結果通知情報には、攻撃内容、異常車両情報、および車両の位置情報等が含まれる。異常車両情報には、セキュリティ異常が発生している車両を識別する車両識別子が含まれる。サーバ装置100の通信部60は、通知された監視結果を、車両10に送信する。
ステップS116では、判定結果通知部53が、特定された攻撃内容に基づいて監視結果を通知する。監視結果通知情報には、攻撃内容、異常車両情報、および車両の位置情報等が含まれる。異常車両情報には、セキュリティ異常が発生している車両を識別する車両識別子が含まれる。サーバ装置100の通信部60は、通知された監視結果を、車両10に送信する。
(ステップS118)
ステップS118では、車両10の第1通信部11が、サーバ装置100から車両20に関する監視結果を受信する。そして、上記監視結果に基づいて、車両10の縮退制御部(回避制御部)132が、車両10に異常回避動作を実行させる。
ステップS118では、車両10の第1通信部11が、サーバ装置100から車両20に関する監視結果を受信する。そして、上記監視結果に基づいて、車両10の縮退制御部(回避制御部)132が、車両10に異常回避動作を実行させる。
(ステップS120)
ステップS120では、車両10の縮退制御部132が、車両20を避けるように車両10を制御する。上記処理は、上記異常回避動作に含まれる。
ステップS120では、車両10の縮退制御部132が、車両20を避けるように車両10を制御する。上記処理は、上記異常回避動作に含まれる。
(ステップS122)
車両システム1に正常に動作する車両10以外の車両30が存在する場合には、さらに、ステップS122において、車両10の第2通信部12が、該車両30に車両20に発生したセキュリティ異常に関する情報を送信し、車両30と車両20に発生したセキュリティ異常に関する情報を共有してもよい。
車両システム1に正常に動作する車両10以外の車両30が存在する場合には、さらに、ステップS122において、車両10の第2通信部12が、該車両30に車両20に発生したセキュリティ異常に関する情報を送信し、車両30と車両20に発生したセキュリティ異常に関する情報を共有してもよい。
以上で、本実施形態の車両10(車載制御装置)で実行される縮退動作の処理は終了する。
(ステップS124)
ステップS124では、サーバ装置100から車両20が正常状態に復帰したことを示す正常復帰情報を第1通信部11が受信すると、縮退解除部133が、車両10の縮退状態を解除する。
ステップS124では、サーバ装置100から車両20が正常状態に復帰したことを示す正常復帰情報を第1通信部11が受信すると、縮退解除部133が、車両10の縮退状態を解除する。
上述したように、実施形態2によれば、サーバ装置100は、定期的に、車両10および20から車両状態に関する情報を受信している。そして、車両20にセキュリティ異常が発生した場合に、サーバ装置100は車両20に発生したセキュリティ異常を検知する。そして、サーバ装置100から、車両10対して、車両20に発生したセキュリティ異常に関する情報を送信する。したがって、実施形態2によっても、車両20に発生したセキュリティ異常に関する情報を安全に車両10に送信することができ、これによって車両10が縮退状態を取ることができる。
<実施形態3>
本実施形態3では、車両システム1に属する車両10、20およびサーバ装置100が、それぞれ伝送経路選択部134、234、55をそれぞれ備える。
本実施形態3では、車両システム1に属する車両10、20およびサーバ装置100が、それぞれ伝送経路選択部134、234、55をそれぞれ備える。
(構成)
図5は、本実施形態3に係る車両システム1の構成を示すブロック図である。図5に示すように、本実施形態3の車両システム1は、サーバ装置100、車両10、及び、車両20を含んでいる。ここでは、本実施形態3における車両システム1の構成で、実施形態1の構成と異なる点のみ説明する。以下に説明する構成以外は、本実施形態3における車両システム1の構成は、実施形態1における車両システム1の構成と同様である。
図5は、本実施形態3に係る車両システム1の構成を示すブロック図である。図5に示すように、本実施形態3の車両システム1は、サーバ装置100、車両10、及び、車両20を含んでいる。ここでは、本実施形態3における車両システム1の構成で、実施形態1の構成と異なる点のみ説明する。以下に説明する構成以外は、本実施形態3における車両システム1の構成は、実施形態1における車両システム1の構成と同様である。
(サーバ装置100)
本実施形態3におけるサーバ装置100は、制御部50、通信部60、及び、メモリ70を備えている。また、図5に示すように、制御部50は、データ解析部51、車両特定・攻撃判定部52、及び、判定結果通知部53を備える。これらデータ解析部51、車両特定・攻撃判定部52、及び、判定結果通知部53では、1又は複数の第1の車両から、当該1又は複数の第1の車両の状態を示す状態情報を取得する。これらを総称して状態情報取得部ともいう。
本実施形態3におけるサーバ装置100は、制御部50、通信部60、及び、メモリ70を備えている。また、図5に示すように、制御部50は、データ解析部51、車両特定・攻撃判定部52、及び、判定結果通知部53を備える。これらデータ解析部51、車両特定・攻撃判定部52、及び、判定結果通知部53では、1又は複数の第1の車両から、当該1又は複数の第1の車両の状態を示す状態情報を取得する。これらを総称して状態情報取得部ともいう。
サーバ装置100は、上記構成に加え、伝送経路選択部55を備えている。サーバ装置100は、例えば、LTE、4G、5G等の信頼度の異なる複数の伝送経路を用いて、ネットワークに所属する車両10,20と情報の送受信を行っている。上記伝送経路選択部55は、送信部(通信部60)が用いる伝送経路として、上記複数の伝送経路の何れかを選択する。
伝送経路選択部55は、何れかの車両にセキュリティ異常が発生し、このセキュリティ異常に関する情報を正常に動作している車両に送信する場合には、信頼度の高い伝送経路を選択する。一方、判定結果通知部53の判定結果が、車両が正常に動作していることを示す場合には、伝送経路選択部55は、信頼度の低い伝送経路を選択してもよい。また、伝送経路選択部55は、判定結果通知部53が判定したセキュリティ異常の内容に関する判定結果に基づいて、深刻度の高いセキュリティ異常が発生した場合には、より信頼度の高い伝送経路を選択する構成としてもよい。
(車両10、20)
図5に示すように、本実施形態3の車両10(20)は、実施形態1の車両10(20)と同様に、第1通信部11(21)、第2通信部12(22)、制御部13(23)、メモリ14(24)、及び車両各部15(25)をそれぞれ備えている。そして、制御部13(23)は、異常検知部131(231)、縮退制御部132(232)、及び縮退解除部133(233)に加え、伝送経路選択部134(234)を備えている。
図5に示すように、本実施形態3の車両10(20)は、実施形態1の車両10(20)と同様に、第1通信部11(21)、第2通信部12(22)、制御部13(23)、メモリ14(24)、及び車両各部15(25)をそれぞれ備えている。そして、制御部13(23)は、異常検知部131(231)、縮退制御部132(232)、及び縮退解除部133(233)に加え、伝送経路選択部134(234)を備えている。
上述したように、車両10(20)の第1通信部11(21)は、サーバ装置100の通信部60との間でデータの送受信を行い、第2通信部12(22)は、他の車両が備える第2通信部22(12)との間でデータの送受信を行う。車両10(20)の第1通信部11(21)は、上述したように、例えば、LTE、4G、5G等の信頼度の異なる複数の伝送経路を用いて、サーバ装置100と通信する。また、車両10(20)の第2通信部12(22)は、例えば、Wifi、Bluetooth等の信頼度の異なる複数の伝送経路を用いて、ネットワークに所属する他の車両と情報の送受信を行っている。上記伝送経路選択部134(234)は、送信部(第1通信部11(21)、または第2通信部12(22))が用いる伝送経路として、複数の伝送経路の何れかを選択する。
伝送経路選択部(選択部)134(234)は、前記複数の伝送経路の信頼度を示す信頼度情報を参照して、前記複数の伝送経路の何れかを選択する。例えば、伝送経路選択部134(234)は、サーバ装置100との伝送経路、または車両間の伝送経路のうち、信頼度の高い伝送経路を選択してもよい。したがって、ネットワークに所属する車両に発生したセキュリティ異常に関する情報は、車両間通信を利用して直接正常に動作している他の車両に送信するよりも、サーバ装置100との伝送経路を用いて、一旦、サーバ装置100にセキュリティ情報を送信したうえで、サーバ装置100から、ネットワークに所属する他の車両にセキュリティ異常に関する情報を送信する方が、安全である。
また、例えば、車両20にセキュリティ異常が発生した場合、車両間通信が接続されたままであると、車両20から正常に動作している車両10にセキュリティ異常の影響が広がる危険性がある。この場合は、車両間通信を利用する伝送経路を遮断し、サーバ装置100との伝送経路を利用してセキュリティ異常情報を送信する方が安全である。
また、本実施形態では、サーバ装置100の伝送経路選択部55が、上述の複数の伝送経路の中から、車両との伝送経路を選択してもよい。
例えば、サーバ装置100が、車両20から車両20に関する車両状態情報を取得する。この場合、車両20からの車両状態情報には、車両の識別子、車両の位置情報とともに、車両に発生しているセキュリティ異常の内容が含まれている。サーバ装置100の伝送経路選択部55は、サーバ装置100のデータ解析部51、車両特定・攻撃判定部52、及び、判定結果通知部53で判定された攻撃内容に従って、伝送経路を切り替えて、車両10に異常情報を送信してもよい。
例えば、上記判定内容が発生したセキュリティ異常が他の車両の安全性に影響を及ぼす危険性がある深刻な異常であることを示している場合には、伝送経路選択部55は、サーバ装置100と車両間の伝送経路のうち、信頼性の高い5G等の伝送経路を選択してもよい。これに対して、上記判定内容が、車両が正常に動作している、または、発生したセキュリティ異常が他の車両の安全性に影響を及ぼす危険性のない軽微な異常であることを示している場合には、伝送経路選択部55は、サーバ装置100と車両間の伝送経路のうち、信頼性が比較的低いLTEまたは4G等の伝送経路を選択してもよい。サーバ装置100の通信部60は、伝送経路選択部55で選択された伝送経路を用いて、車両状態情報を車両に送信する。
また、本実施形態では、車両側の伝送経路選択部134(234)が、サーバ装置との伝送経路を選択してもよい。
例えば、異常検知部131(231)が車両のセキュリティ異常を検知した場合、車両側の伝送経路選択部134(234)が、異常検知部131からの異常情報に基づいて、サーバ装置100との伝送経路を選択する。
上記異常情報が発生したセキュリティ異常が他の車両の安全性に影響を及ぼす危険性がある深刻な異常であることを示している場合には、伝送経路選択部134(234)は、サーバ装置100と車両間の伝送経路のうち、信頼性の高い5G等の伝送経路を選択してもよい。これに対して、上記異常情報が、発生したセキュリティ異常が他の車両の安全性に影響を及ぼす危険性のない軽微な異常であることを示している場合には、伝送経路選択部134(234)は、サーバ装置100と車両間の伝送経路のうち、信頼性が比較的低いLTEまたは4G等の伝送経路を選択してもよい。第1通信部11(21)は、伝送経路選択部134(234)で選択された伝送経路を用いて、情報をサーバ装置100に送信する。
また、車両間の通信では、WiFi、Bluetooth等複数種類の伝送経路が用いられる。本実施形態では、車両の伝送経路選択部134(234)が、車両間の伝送経路を選択してもよい。
例えば、車両10(20)の異常検知部131(231)が車両のセキュリティ異常を検知した場合、伝送経路選択部134(234)は、検知した異常情報に基づいて、車両間の伝送経路を選択する。上記異常情報が発生したセキュリティ異常が他の車両の安全性に影響を及ぼす危険性がある深刻な異常であることを示している場合には、伝送経路選択部134(234)は、車両間の伝送経路のうち、信頼度の高い伝送経路を選択してもよい。これに対して、上記異常情報が、発生したセキュリティ異常が他の車両の安全性に影響を及ぼす危険性のない軽微な異常であることを示している場合には、伝送経路選択部134(234)は、車両間の伝送経路のうち、信頼性が比較的低い伝送経路を選択してもよい。第2通信部12(22)は、伝送経路選択部134(234)で選択された伝送経路を用いて、情報を他の車両に送信する。
以下では、本実施形態の車両システム1において、例えば、車両20にセキュリティ異常が発生した場合の、車両10に縮退動作および縮退回避動作を行わせる処理の流れを、図2に示した実施形態1における処理の流れとの相違点に絞って説明する。
<縮退・縮退解除動作>
(ステップS12)
ステップS12では、車両20の第2通信部22が、検知されたセキュリティの異常情報を正常に動作している車両10に送信する必要がある。
(ステップS12)
ステップS12では、車両20の第2通信部22が、検知されたセキュリティの異常情報を正常に動作している車両10に送信する必要がある。
この場合、車両20の伝送経路選択部55は、サーバ装置100との伝送経路を利用して、セキュリティ異常情報をサーバ装置100に送信するか、車両間の伝送経路を利用して、直接車両10に送信するかを、それぞれの伝送経路の信頼度を参照して選択する。この場合には、信頼度のより高いサーバ装置100との伝送経路を利用して、セキュリティ異常情報を送信する。
また、車両20の伝送経路選択部55は、伝送経路の信頼度を示す信頼度情報を参照して、前記サーバ装置100との複数の伝送経路の何れかを選択してもよい。このため、制御部23は、異常情報を参照して、前記複数の伝送経路の信頼度を評価する信頼度評価部を更に備えていてもよい。
たとえば、異常検知部231で検知した異常情報が発生した異常が深刻であることを示す場合には、伝送系路選択部234は、サーバ装置100との伝送経路のうち、信頼度の高い伝送経路を選択してもよい。これに対して、上記異常情報が、発生したセキュリティ異常が他の車両の安全性に影響を及ぼす危険性のない軽微な異常であることを示している場合には、伝送経路選択部234は、サーバ装置100との伝送経路のうち、信頼性が比較的低いLTE等の伝送経路を選択してもよい。第1通信部21は、伝送経路選択部234で選択された伝送経路を用いて、異常情報をサーバ装置100に送信する。
(ステップS16)
ステップS16では、サーバ装置100の通信部60が、攻撃通知、異常車両情報、異常車両の位置情報等を車両10に送信する。異常車両情報には、車両識別子が含まれる。
ステップS16では、サーバ装置100の通信部60が、攻撃通知、異常車両情報、異常車両の位置情報等を車両10に送信する。異常車両情報には、車両識別子が含まれる。
この場合、サーバ装置100の伝送経路選択部55が、車両10との複数の伝送経路の何れかを選択してもよい。上述したように、伝送経路選択部55は、セキュリティ異常の深刻度が高い場合には、より信頼度の高い伝送経路を選択し、セキュリティ異常の深刻度がそれほど高くない場合には、信頼度が比較的低い伝送経路を選択してもよい。
それ以外の、処理は、図2に示す処理の流れを同様である。
上記実施形態3の処理によれば、車両20に発生したセキュリティ異常に関する情報を、信頼性の高い伝送経路を利用して、確実に車両20に送信することができる。また、車両10と車両20の間の車両間通信を切断することにより、車両20に発生したセキュリティ異常の影響が、正常に動作している車両10に及ぶのを防ぐことができる。
<実施形態4>
本実施形態4では、車両システム1に属する車両10、20およびサーバ装置100が、それぞれフィルタリング部135、235、56をそれぞれ備える。
本実施形態4では、車両システム1に属する車両10、20およびサーバ装置100が、それぞれフィルタリング部135、235、56をそれぞれ備える。
(構成)
図6は、本実施形態4に係る車両システム1の構成を示すブロック図である。図6に示すように、本実施形態4の車両システム1は、サーバ装置100、車両10、及び、車両20を含んでいる。ここでは、本実施形態4における車両システム1の構成で、実施形態1の構成と異なる点のみ説明する。以下に説明する構成以外は、本実施形態4における車両システム1の構成は、実施形態1における車両システム1の構成と同様である。
図6は、本実施形態4に係る車両システム1の構成を示すブロック図である。図6に示すように、本実施形態4の車両システム1は、サーバ装置100、車両10、及び、車両20を含んでいる。ここでは、本実施形態4における車両システム1の構成で、実施形態1の構成と異なる点のみ説明する。以下に説明する構成以外は、本実施形態4における車両システム1の構成は、実施形態1における車両システム1の構成と同様である。
(サーバ装置100)
本実施形態4におけるサーバ装置100は、制御部50、通信部60、及び、メモリ70を備えている。また、図6に示すように、制御部50は、データ解析部51、車両特定・攻撃判定部52、及び、判定結果通知部53を備える。これらデータ解析部51、車両特定・攻撃判定部52、及び、判定結果通知部53では、1又は複数の第1の車両から、当該1又は複数の第1の車両の状態を示す状態情報を取得する。これらを総称して状態情報取得部ともいう。
本実施形態4におけるサーバ装置100は、制御部50、通信部60、及び、メモリ70を備えている。また、図6に示すように、制御部50は、データ解析部51、車両特定・攻撃判定部52、及び、判定結果通知部53を備える。これらデータ解析部51、車両特定・攻撃判定部52、及び、判定結果通知部53では、1又は複数の第1の車両から、当該1又は複数の第1の車両の状態を示す状態情報を取得する。これらを総称して状態情報取得部ともいう。
制御部50は、上記構成に加え、フィルタリング部56を備えている。フィルタリング部56は、車両に関するセキュリティ異常情報を取得すると、異常情報をフィルタリングすることによってフィルタリング後の異常情報を生成する。通信部60は、フィルタリング部56でフィルタリングされた後の異常情報を送信する。
フィルタリング部56は、車両から送信されるセキュリティ異常情報を含めた車両状態情報を取得する。取得した車両状態情報の内容にも基づいて、フィルタリング部56は、該情報をネットワークに所属する車両10または20に送信すべきか否かを切り分ける。
たとえば、車両が正常に動作していることを示す情報を取得した場合またセキュリティ異常の程度が軽微であり、正常に動作している車両に影響が出ない場合には、フィルタリング部56は該情報をフィルタリングし、通信部60はこの情報を送信しない構成としてもよい。
これに対して、車両のセキュリティ異常を特定する異常特定部が特定した異常情報が、他の車両に影響を及ぼす危険性のある深刻なものである場合には、該情報はフィルタリング部56におけるフィルタリングを通過し、通信部60は、車両10(20)に異常情報を送信する。
(車両10、20)
図6に示すように、本実施形態4の車両10(20)は、実施形態1の車両10(20)と同様に、第1通信部11(21)、第2通信部12(22)、制御部13(23)、メモリ14(24)、及び車両各部15(25)をそれぞれ備えている。そして、制御部13(23)は、異常検知部131(231)、縮退制御部132(232)、及び縮退解除部133(233)に加え、フィルタリング部135(235)を備えている。
図6に示すように、本実施形態4の車両10(20)は、実施形態1の車両10(20)と同様に、第1通信部11(21)、第2通信部12(22)、制御部13(23)、メモリ14(24)、及び車両各部15(25)をそれぞれ備えている。そして、制御部13(23)は、異常検知部131(231)、縮退制御部132(232)、及び縮退解除部133(233)に加え、フィルタリング部135(235)を備えている。
本実施形態4では、車両10(20)でセキュリティ異常情報の送信を切り分けてもよい。
例えば、車両10(20)のフィルタリング部135(235)は、異常検知部131(231)が自車両に発生したセキュリティ異常を検知した場合、フィルタリング部135(235)は、異常検知部が検知したセキュリティ異常を示す異常情報をフィルタリングすることによってフィルタリング後の異常情報を生成する。そして、送信部(第1通信部11(21)または第2通信部12(22))はフィルタリング後の異常情報を送信する。
上記の場合、セキュリティ情報の内容が深刻で他の車両の安全性に影響を及ぼす危険性がある場合には、該情報は、フィルタリング部135(235)で行うフィルタリングを通過し、通信部はサーバ装置100または他の車両にフィルタリング後の異常情報を送信する。
これに対して、セキュリティ情報の内容が軽微で他の車両の安全性に影響を及ぼす危険性がない場合には、該情報はフィルタリング部135(235)で行うフィルタリングを通過せず、通信部11(12)または21(22)は、該情報をサーバ装置100および他の車両に送信しない。
以下では、本実施形態の車両システム1において、例えば、車両20にセキュリティ異常が発生した場合の、車両10に縮退動作および縮退回避動作を行わせる処理の流れを、図2に示した実施形態1における処理の流れとの相違点に絞って説明する。
<サーバ装置100で異常情報をフィルタリングする場合の処理の流れ>
本実施形態において、サーバ装置100で異常情報をフィルタリングする場合は、図2のステップ18における処理のみが実施形態1と異なるが、それ以外の処理は実施形態1と同様である。したがって、以下では、ステップS18における処理についてのみ説明する。
本実施形態において、サーバ装置100で異常情報をフィルタリングする場合は、図2のステップ18における処理のみが実施形態1と異なるが、それ以外の処理は実施形態1と同様である。したがって、以下では、ステップS18における処理についてのみ説明する。
(ステップS18)
ステップS18では、サーバ装置100のフィルタリング部56が、車両に関する異常情報をフィルタリングすることによってフィルタリング後の異常情報を生成する。
ステップS18では、サーバ装置100のフィルタリング部56が、車両に関する異常情報をフィルタリングすることによってフィルタリング後の異常情報を生成する。
この場合、車両20に発生したセキュリティ異常の程度が軽微であり、正常に動作している車両10に影響を及す危険性がない場合には、フィルタリング部56は、該異常情報を含んだフィルタリング後異常情報を生成しない。したがって、通信部60は、車両20からの異常情報を、車両10に送信しない。
これに対して、車両20に発生したセキュリティ異常の程度が深刻であり、車両10の安全性に影響を及ぼす危険性がある場合には、フィルタリング部56は、該異常情報を含んだフィルタリング後の異常情報を生成する。その後、通信部60は、車両10にフィルタリング後の異常情報を送信する。
上記ステップ18以外の処理は、実施形態1における処理と同じであるため、ここでは説明を省略する。
<車両20で異常情報をフィルタリングする場合の処理の流れ>
本実施形態において、車両20で異常情報をフィルタリングする場合は、図2のステップ12における処理のみが実施形態1と異なるが、それ以外の処理は実施形態1と同様である。したがって、以下では、ステップS12における処理についてのみ説明する。
本実施形態において、車両20で異常情報をフィルタリングする場合は、図2のステップ12における処理のみが実施形態1と異なるが、それ以外の処理は実施形態1と同様である。したがって、以下では、ステップS12における処理についてのみ説明する。
(ステップS12)
ステップS12では、車両20のフィルタリング部235が、異常検知部231が検知したセキュリティ異常を示す異常情報をフィルタリングすることによってフィルタリング後の異常情報を生成する。
ステップS12では、車両20のフィルタリング部235が、異常検知部231が検知したセキュリティ異常を示す異常情報をフィルタリングすることによってフィルタリング後の異常情報を生成する。
この場合、車両20に発生したセキュリティ異常の程度が軽微であり、正常に動作している車両10に影響を及す危険性がない場合には、フィルタリング部235は、該異常情報を含んだフィルタリング後異常情報を生成しない。したがって、第1通信部21は、異常情報を、サーバ装置10に送信しない。
これに対して、車両20に発生したセキュリティ異常の程度が深刻であり、車両10の安全性に影響を及ぼす危険性がある場合には、フィルタリング部235は、該異常情報を含んだフィルタリング後の異常情報を生成する。その後、第1通信部21は、車両10にフィルタリング後の異常情報を送信する。
上記ステップ12以外の処理は、実施形態1における処理と同じであるため、ここでは説明を省略する。
上記実施形態4の処理によれば、車両20に発生したセキュリティ異常に関する情報が他の車両の安全性に影響を及ぼす可能性のある深刻な場合のみ、第1通信部21がサーバ装置100に、該情報を送信する。一方、車両20に発生したセキュリティ異常に関する情報が他の車両の安全性に影響を及ぼす可能性のない軽微なものである場合は、フィルタリング部が情報をフィルタリングし、第1通信部21は、該情報をサーバ装置100に送信しない。
また、車両20の第2通信部22が、セキュリティ異常情報を、車両間通信によって、車両10に送信する場合にも、フィルタリング部235が、異常情報をフィルタリングしてもよい。この場合にも、セキュリティ異常情報が深刻である場合のみ、フィルタリング部235が、この情報を含んだフィルタリング後の異常情報を生成する。その後、第2通信部22が、フィルタリング後の異常情報を送信する。
したがって、車両システム1間の通信量を増加させることなく、システムの安全性にとって重要なセキュリティ情報のみをサーバ装置または他の車両に送信することができる。結果として、セキュリティに影響を及ぼす重要な情報を確実に送信することができる。
<実施形態5>
上記実施形態では、ネットワークに所属する車両にセキュリティ異常が生じた場合の処理に限定して説明した。
上記実施形態では、ネットワークに所属する車両にセキュリティ異常が生じた場合の処理に限定して説明した。
しかし、本発明は、セキュリティ異常以外の異常が生じた場合にも、適用することができる。例えば、ネットワークに所属する車両10(20)について、経年劣化などにより車両10(20)の各部に不具合が生じた場合にも、この不具合に関する情報をサーバ装置100、または他の車両20(10)に送信し、情報を共有することによって、異常回避動作を実行することができる。
また、ネットワークに所属する車両10(20)を操作するドライバが、例えば、癲癇、心臓発作等急激な体調不良により正常な運転ができなくなる場合が考えられる。この場合も、当該車両10(20)からの異常に関する情報の送信、あるいは当該車両10(20)の異常を検出したサーバ装置100や他の車両か20(10)らの情報の送信によって、ネットワークに所属する車両全体が異常回避動作を実行することができる。
〔ソフトウェアによる実現例〕
車載制御装置の制御ブロック(特に異常検知部、縮退解除制御部および縮退解除部)は、集積回路(ICチップ)等に形成された論理回路(ハードウェア)によって実現してもよいし、ソフトウェアによって実現してもよい。
車載制御装置の制御ブロック(特に異常検知部、縮退解除制御部および縮退解除部)は、集積回路(ICチップ)等に形成された論理回路(ハードウェア)によって実現してもよいし、ソフトウェアによって実現してもよい。
後者の場合、車載制御装置は、各機能を実現するソフトウェアであるプログラムの命令を実行するコンピュータを備えている。このコンピュータは、例えば1つ以上のプロセッサを備えていると共に、上記プログラムを記憶したコンピュータ読み取り可能な記録媒体を備えている。そして、上記コンピュータにおいて、上記プロセッサが上記プログラムを上記記録媒体から読み取って実行することにより、本発明の目的が達成される。上記プロセッサとしては、例えばCPU(Central Processing Unit)を用いることができる。上記記録媒体としては、「一時的でない有形の媒体」、例えば、ROM(Read Only Memory)等の他、テープ、ディスク、カード、半導体メモリ、プログラマブルな論理回路などを用いることができる。また、上記プログラムを展開するRAM(Random Access Memory)などをさらに備えていてもよい。また、上記プログラムは、該プログラムを伝送可能な任意の伝送媒体(通信ネットワークや放送波等)を介して上記コンピュータに供給されてもよい。なお、本発明の一態様は、上記プログラムが電子的な伝送によって具現化された、搬送波に埋め込まれたデータ信号の形態でも実現され得る。
本発明は上述した各実施形態に限定されるものではなく、請求項に示した範囲で種々の変更が可能であり、異なる実施形態にそれぞれ開示された技術的手段を適宜組み合わせて得られる実施形態についても本発明の技術的範囲に含まれる。
1 車両システム
100 サーバ装置
10、20、30 車両
11、21 第1通信部
12、22 第2通信部
60 通信部
13、23、50 制御部
14、24、70 メモリ
15、25 車両各部
51 データ解析部
52 攻撃判定部
53 判定結果通知部
54、131、231 異常検知部
55、134、234 伝送経路選択部
56、135、235 フィルタリング部
131 異常検知部
132 縮退制御部
133 縮退解除部
100 サーバ装置
10、20、30 車両
11、21 第1通信部
12、22 第2通信部
60 通信部
13、23、50 制御部
14、24、70 メモリ
15、25 車両各部
51 データ解析部
52 攻撃判定部
53 判定結果通知部
54、131、231 異常検知部
55、134、234 伝送経路選択部
56、135、235 フィルタリング部
131 異常検知部
132 縮退制御部
133 縮退解除部
Claims (16)
- 対象車両に搭載される車載制御装置であって、
前記対象車両以外の1又は複数の他の車両において異常が発生したことを示す異常情報を、当該1又は複数の他の車両以外から取得する異常情報取得部と、
前記異常情報取得部が前記異常情報を取得した場合に、前記対象車両に異常回避動作を実行させる回避制御部と、
を備えていることを特徴とする車載制御装置。 - 上記異常は、セキュリティ異常であることを特徴とする請求項1に記載の車載制御装置。
- 前記回避制御部が実行させる異常回避動作には、前記対象車両と前記1又は複数の他の車両との通信を制限する処理が含まれている
ことを特徴とする請求項1または2に記載の車載制御装置。 - 前記回避制御部が実行させる異常回避動作には、前記1又は複数の他の車両を避けるように前記対象車両を制御する処理が含まれている
ことを特徴とする請求項1から3の何れか1項に記載の車載制御装置。 - 前記異常情報には、セキュリティ異常が発生した車両を識別するための車両識別情報が含まれていることを特徴とする請求項1から4の何れか1項に記載の車載制御装置。
- 前記異常情報には、セキュリティ異常が発生した車両の位置情報が含まれていることを特徴とする請求項1から5の何れか1項に記載の車載制御装置。
- 対象車両に搭載される車載制御装置であって、
前記対象車両において異常が発生したことを検知する異常検知部と、
前記異常検知部が検知した異常を示す異常情報を送信する送信部と、
前記送信部が用いる伝送経路として、複数の伝送経路の何れかを選択する選択部と
を備えていることを特徴とする車載制御装置。 - 前記異常は、セキュリティ異常であることを特徴とする請求項7に記載の車載制御装置。
- 前記選択部は、前記複数の伝送経路の信頼度を示す信頼度情報を参照して、前記複数の伝送経路の何れかを選択する請求項7または8に記載の車載制御装置。
- 前記異常情報を参照して、前記複数の伝送経路の信頼度を評価する信頼度評価部を更に備えていることを特徴とする請求項9に記載の車載制御装置。
- 対象車両に搭載される車載制御装置であって、
前記対象車両において異常が発生したことを検知する異常検知部と、
前記異常検知部が検知した異常を示す異常情報をフィルタリングすることによってフィルタリング後の異常情報を生成するフィルタリング部と、
前記フィルタリング後の異常情報を送信する送信部と
を備えていることを特徴とする車載制御装置。 - 上記異常は、セキュリティ異常であることを特徴とする請求項11に記載の車載制御装置。
- 1又は複数の第1の車両から、当該1又は複数の第1の車両の状態を示す状態情報を取得する状態情報取得部と、
前記状態情報を参照して、前記車両の異常を特定する異常特定部と、
前記異常特定部による特定結果を含む異常情報を、1又は複数の第2の車両に送信する送信部と
を備えていることを特徴とする情報処理装置。 - 上記異常は、セキュリティ異常であることを特徴とする請求項13に記載の情報処理装置。
- 前記送信部が用いる伝送経路として、複数の伝送経路の何れかを選択する選択部を備えていることを特徴とする請求項13または14に記載の情報処理装置。
- 前記異常情報をフィルタリングすることによってフィルタリング後の異常情報を生成するフィルタリング部を備え、
前記送信部は、前記異常情報として、前記フィルタリング後の異常情報を送信する
ことを特徴とする請求項13から15の何れか1項に記載の情報処理装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019086495A JP2020184651A (ja) | 2019-04-26 | 2019-04-26 | 車載制御装置、及び情報処理装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019086495A JP2020184651A (ja) | 2019-04-26 | 2019-04-26 | 車載制御装置、及び情報処理装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2020184651A true JP2020184651A (ja) | 2020-11-12 |
Family
ID=73044647
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019086495A Pending JP2020184651A (ja) | 2019-04-26 | 2019-04-26 | 車載制御装置、及び情報処理装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2020184651A (ja) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001301485A (ja) * | 2000-02-15 | 2001-10-31 | Toyota Motor Corp | 車両制御装置 |
| JP2009194823A (ja) * | 2008-02-18 | 2009-08-27 | Hitachi Ltd | 移動体の無線通信制御装置及び無線通信制御方法 |
| US20120053778A1 (en) * | 2010-08-27 | 2012-03-01 | Zonar Systems, Inc. | Method and apparatus for remote vehicle diagnosis |
| JP2017108351A (ja) * | 2015-12-11 | 2017-06-15 | 株式会社オートネットワーク技術研究所 | 車載通信装置、異常通知システム及び異常通知方法 |
| JP2017111796A (ja) * | 2015-12-16 | 2017-06-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | セキュリティ処理方法及びサーバ |
| US9940834B1 (en) * | 2016-01-22 | 2018-04-10 | State Farm Mutual Automobile Insurance Company | Autonomous vehicle application |
| JP2019003487A (ja) * | 2017-06-16 | 2019-01-10 | 株式会社オートネットワーク技術研究所 | 車載通信装置、車両異常検出システム、車両異常通知方法及びコンピュータプログラム |
| JP2020501420A (ja) * | 2016-11-18 | 2020-01-16 | コンチネンタル オートモーティヴ ゲゼルシャフト ミット ベシュレンクテル ハフツングContinental Automotive GmbH | 通信ネットワーク用の方法及び電子監視ユニット |
-
2019
- 2019-04-26 JP JP2019086495A patent/JP2020184651A/ja active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001301485A (ja) * | 2000-02-15 | 2001-10-31 | Toyota Motor Corp | 車両制御装置 |
| JP2009194823A (ja) * | 2008-02-18 | 2009-08-27 | Hitachi Ltd | 移動体の無線通信制御装置及び無線通信制御方法 |
| US20120053778A1 (en) * | 2010-08-27 | 2012-03-01 | Zonar Systems, Inc. | Method and apparatus for remote vehicle diagnosis |
| JP2017108351A (ja) * | 2015-12-11 | 2017-06-15 | 株式会社オートネットワーク技術研究所 | 車載通信装置、異常通知システム及び異常通知方法 |
| JP2017111796A (ja) * | 2015-12-16 | 2017-06-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | セキュリティ処理方法及びサーバ |
| US9940834B1 (en) * | 2016-01-22 | 2018-04-10 | State Farm Mutual Automobile Insurance Company | Autonomous vehicle application |
| JP2020501420A (ja) * | 2016-11-18 | 2020-01-16 | コンチネンタル オートモーティヴ ゲゼルシャフト ミット ベシュレンクテル ハフツングContinental Automotive GmbH | 通信ネットワーク用の方法及び電子監視ユニット |
| JP2019003487A (ja) * | 2017-06-16 | 2019-01-10 | 株式会社オートネットワーク技術研究所 | 車載通信装置、車両異常検出システム、車両異常通知方法及びコンピュータプログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11469921B2 (en) | Security device, network system, and fraud detection method | |
| US11418519B2 (en) | Systems and methods for detection of malicious activity in vehicle data communication networks | |
| CN110494330B (zh) | 车辆监视装置、不正当检测服务器、以及控制方法 | |
| US10411950B2 (en) | On-vehicle system, program, and controller | |
| CN107527510B (zh) | 用于车辆之间的安全意识和警告的方法和设备 | |
| US9843523B2 (en) | Communication management apparatus and communication management method for vehicle network | |
| US20200059383A1 (en) | In-vehicle gateway device and communication restriction method | |
| JP2019125344A (ja) | 車両用システム及び制御方法 | |
| CN111052681B (zh) | 异常检测电子控制单元、车载网络***及异常检测方法 | |
| US20150210258A1 (en) | Method for carrying out a safety function of a vehicle and system for carrying out the method | |
| US20170180370A1 (en) | Communication system and information collection method executed in communication system | |
| WO2019074000A1 (ja) | 車両用制御装置 | |
| JP6191397B2 (ja) | 通信中継装置、通信中継処理 | |
| US20220250655A1 (en) | Mobility control system, method, and program | |
| WO2019239798A1 (ja) | 電子制御装置および電子制御システム | |
| WO2019131388A1 (ja) | 運転支援装置、運転支援システム、運転支援方法、及び、運転支援プログラムが格納された記録媒体 | |
| US20220283798A1 (en) | Mobility control system, method, and program | |
| JP2020184651A (ja) | 車載制御装置、及び情報処理装置 | |
| JP2016141269A (ja) | 車載通信システム | |
| JP6913869B2 (ja) | 監視装置、監視システムおよびコンピュータプログラム | |
| WO2021019636A1 (ja) | セキュリティ装置、インシデント対応処理方法、プログラム、及び記憶媒体 | |
| CN115811732A (zh) | 控制装置、车辆、控制***、控制方法以及记录介质 | |
| US11084495B2 (en) | Monitoring apparatus, monitoring method, and program | |
| JP2022138678A (ja) | 車両システム | |
| WO2018179630A1 (ja) | 情報処理装置、情報処理方法及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220111 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20221014 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20221101 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20230425 |