[go: up one dir, main page]

JP2020167607A - 自動車用演算システム及び受信データの処理方法 - Google Patents

自動車用演算システム及び受信データの処理方法 Download PDF

Info

Publication number
JP2020167607A
JP2020167607A JP2019068441A JP2019068441A JP2020167607A JP 2020167607 A JP2020167607 A JP 2020167607A JP 2019068441 A JP2019068441 A JP 2019068441A JP 2019068441 A JP2019068441 A JP 2019068441A JP 2020167607 A JP2020167607 A JP 2020167607A
Authority
JP
Japan
Prior art keywords
unit
vehicle
communication device
automobile
arithmetic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2019068441A
Other languages
English (en)
Inventor
大介 堀籠
Daisuke Horigome
大介 堀籠
真介 坂下
Shinsuke Sakashita
真介 坂下
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mazda Motor Corp
Original Assignee
Mazda Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mazda Motor Corp filed Critical Mazda Motor Corp
Priority to JP2019068441A priority Critical patent/JP2020167607A/ja
Priority to US17/598,892 priority patent/US20220153299A1/en
Priority to PCT/JP2020/009464 priority patent/WO2020203022A1/ja
Priority to EP20782172.9A priority patent/EP3937431A4/en
Priority to CN202080025170.9A priority patent/CN113678408A/zh
Publication of JP2020167607A publication Critical patent/JP2020167607A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W60/00Drive control systems specially adapted for autonomous road vehicles
    • B60W60/001Planning or execution of driving tasks
    • B60W60/0011Planning or execution of driving tasks involving control alternatives for a single driving scenario, e.g. planning several paths to avoid obstacles
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W60/00Drive control systems specially adapted for autonomous road vehicles
    • B60W60/001Planning or execution of driving tasks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V20/00Scenes; Scene-specific elements
    • G06V20/50Context or environment of the image
    • G06V20/56Context or environment of the image exterior to a vehicle by using sensors mounted on the vehicle
    • G06V20/58Recognition of moving objects or obstacles, e.g. vehicles or pedestrians; Recognition of traffic objects, e.g. traffic signs, traffic lights or roads
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/12Arrangements for remote connection or disconnection of substations or of equipment thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/46Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for vehicle-to-vehicle communication [V2V]
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2420/00Indexing codes relating to the type of sensors based on the principle of their operation
    • B60W2420/40Photo, light or radio wave sensitive means, e.g. infrared sensors
    • B60W2420/403Image sensing, e.g. optical camera
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2540/00Input parameters relating to occupants
    • B60W2540/043Identity of occupants
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2540/00Input parameters relating to occupants
    • B60W2540/045Occupant permissions
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2554/00Input parameters relating to objects
    • B60W2554/40Dynamic objects, e.g. animals, windblown objects
    • B60W2554/404Characteristics
    • B60W2554/4049Relationship among other objects, e.g. converging dynamic objects

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Automation & Control Theory (AREA)
  • Mechanical Engineering (AREA)
  • Transportation (AREA)
  • Human Computer Interaction (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Multimedia (AREA)
  • Software Systems (AREA)
  • Small-Scale Networks (AREA)
  • Traffic Control Systems (AREA)
  • Control Of Driving Devices And Active Controlling Of Vehicle (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】自動車用演算システムにおいて、演算負荷を抑えつつ、セキュリティ性を高める。【解決手段】自動車用演算システムSYは、自動車に据え付けられて車外環境の情報を取得する車外情報取得手段M1からの出力を基に生成した経路に沿って走行する際の自動車1の目標運動を決定し、当該目標運動を実現するための制御信号をアクチュエータ7に出力する演算装置6と、外部のネットワーク90と演算装置6との間に設けられ、ネットワーク90を介して外部の通信装置からのアクセスに対し、予め設定された基準に基づいて当該アクセスの正当性を判断し、通信装置のアクセスを許可するか否かを決定するセキュリティゲートウェイ装置4とを備える。【選択図】図1

Description

ここに開示する技術は、例えば、自動車用演算システム及び受信データの処理方法に関する。
近年、車車間通信で得られた情報や、外部サーバ等とのネットワーク通信を介して得られた情報等を用いた安全運転支援技術や自動運転技術の導入が進められている。このような車外との通信では、様々な通信方式の機器や装置に対して接続されるとともに、送受信される情報の種類も多岐にわたっている。これらの情報には、個人情報や運転制御にかかわる重要な情報が含まれる場合があり、サイバー攻撃等の不正なアクセスを防ぐ必要がある。さらに、自動車に入出力される情報量(特に、入力情報量)が、これから飛躍的に増加していくことが予想されている。そこで、これらの通信において、機密性、完全性、可用性に優れていることが望まれる。
特許文献1には、車内で機能毎に分離された複数のネットワークのいずれかでインシデントが検知された場合に、インシデントの発生箇所及び車両の制御状態に基づいて、遮断対象とするネットワークを判断し、遮断する技術が開示されている。
具体的に、特許文献1の技術において、通信制御部は、各装置間で送受信される車両ECU情報パケットを受信し、車両ECU情報パケットに含まれる情報が時系列順に車両ECU情報として車両ECU情報DBに格納する。そして、例えば、異常な通信パターンが発生した場合、インシデント検知処理部が、センタサーバから受信したインシデント判定情報と、車両ECU情報DBから取得した車両ECU情報パケットに含まれるCAN IDとを比較し、これらが一致した場合にインシデントが発生したと判断して制御部に通知し、制御部が、不正な通信を遮断するように構成されている。
特開2018−133721号公報
しかしながら、特許文献1の技術では、インシデントが発生した場合に、そのインシデントが発生した箇所を特定し、その特定場所に基づく通信を切断するように構成されているので、不正なアクセスを検出するのが遅れる恐れがある。
ここに開示された技術は、斯かる点に鑑みてなされたものであり、その目的とするところは、自動走行用の演算機能を有する自動車用演算システムにおいて、演算負荷を抑えつつ、セキュリティ性を高めることにある。
前記課題を解決するために、ここに開示された技術では、自動車に搭載される自動車用演算システムを対象として、自動車に据え付けられて車外環境の情報を取得する車外情報取得手段からの出力を受け、道路上であって障害物を回避する経路を生成し、当該経路に沿って走行する際の自動車の目標運動を決定し、当該目標運動を実現するための制御信号を、駆動力と制動力と操舵角とを生成するアクチュエータに出力する演算装置と、外部のネットワークと前記演算装置との間に設けられ、当該ネットワークを介して外部の通信装置からアクセスされた場合に、予め設定された基準に基づいて当該アクセスの正当性を判断し、前記通信装置のアクセスを許可するか否かを決定するセキュリティゲートウェイ装置とを備えるという構成とした。
例えば、前記セキュリティゲートウェイ装置は、前記ネットワークを介して受信された受信信号を復号する復号部と、前記アクセスの正当性を判断し、前記通信装置のアクセスを許可するか否かを決定する認証部と、前記認証部によりアクセスが許可された通信装置から受信され、かつ、前記復号部で復号された信号を、暗号化して前記演算装置に出力する暗号化部とを備えている、という構成にしてもよい。
ここで、外部の通信装置からのアクセスには、例えば、外部の通信装置が本態様の演算装置に対して、車内情報の読み出しや書き込みの要求をする、いわゆるアクセス要求と、本態様の演算装置が外部の通信装置(外部の管理サーバーを含む)に対して情報等を要求し、外部の通信装置から本態様の演算装置に情報を返送するためのアクセスとを含む概念である。
この構成によると、演算装置は、車外情報取得手段からの出力は、直接受けるように構成されているのに対して、外部のネットワークからのアクセスについてはセキュリティゲートウェイ装置を通すようにしている。このように、セキュリティゲートウェイ装置を介在させることにより、外部の通信装置からのアクセス状況等により、演算装置の処理が影響されないようにすることができ、演算装置に過度の負担がかかることを防ぐことができる。
また、外部の通信装置からのアクセス経路をセキュリティゲートウェイ装置への入力にまとめて、セキュリティゲートウェイ装置で認証等の処理を実行し、真正と認められた通信装置のみの信号が演算装置側に流れるようにしている。これにより、例えば、駆動力、制動力、操舵角を生成するような重要な機能を有する演算装置に対して、不正アクセスをより確実に防ぐことができる。
前記自動車用演算システムにおいて、前記セキュリティゲートウェイ装置は、前記通信装置のアクセスが正当であった場合において、前記演算装置が休止状態または停止状態のときに、前記演算装置を起動させるための起動信号を出力する、としてもよい。
これにより、外部の通信装置からのアクセスがない場合に、演算装置を休止状態または停止状態にして待機させることができるようになる。
前記自動車用演算システムにおいて、前記車外情報取得手段は、カメラを含み、前記セキュリティゲートウェイ装置は、前記カメラの撮影画像と前記アクセスしてきた前記通信装置との照合結果を基に当該通信装置のアクセスの正当性を判断する、ようにしてもよい。
これにより、カメラに撮影された通信装置からのアクセスの正当性を判断するので、セキュリティ性を向上させることができるとともに、セキュリティゲートウェイ装置の負荷を軽減することができる。
また、自動車が外部のネットワークから受けた受信データを処理する方法を対象として、受信データ処理方法として、車外環境の情報を取得する車外情報取得手段からの出力を受け、道路上であって障害物を回避する経路を生成し、当該経路に沿って走行する際の自動車の目標運動を決定する演算装置と、外部のネットワークと前記演算装置との間に設けられたセキュリティゲートウェイ装置とを備え、前記車外情報取得手段からの出力を基に、車外の対象物を認識する対象物認識工程と、外部の通信装置から外部のネットワークを介して前記セキュリティゲートウェイ装置にアクセスを受けた場合に、予め設定された基準を基に前記通信装置を特定する特定工程と、前記特定工程で特定された通信装置と前記対象物認識工程で認識された対象物とを照合する照合工程と、前記照合工程で一致が確認された通信装置からのアクセスに対し認証処理を実行する認証工程と、前記認証工程で認証された前記通信装置から受信したデータを前記セキュリティゲートウェイ装置で復号して前記演算装置に出力する復号工程とを含む、としてもよい。
このように、予め設定された基準を基に通信装置を特定し、照合工程で一致が確認された後に、認証処理を実行するようにしているので、セキュリティ性を向上させることができるとともに、セキュリティゲートウェイ装置の負荷を軽減することができる。
さらに、自動車が外部のネットワークから受けた受信データを処理する受信データ処理方法を対象として、車外環境の情報を取得する車外情報取得手段からの出力を受け、道路上であって障害物を回避する経路を生成し、当該経路に沿って走行する際の自動車の目標運動を決定する演算装置と、外部のネットワークと前記演算装置との間に設けられたセキュリティゲートウェイ装置とを備え、外部のネットワークを介して互いに異なる複数の通信対象装置から前記セキュリティゲートウェイ装置に対して前記主演算装置へのアクセスがあった場合に、それぞれの前記通信対象装置を特定する特定工程と、前記特定工程で特定された通信対象装置の優先順位を予め設定された基準に基づいて設定する設定工程と、前記設定工程で設定された優先順位にしたがって前記複数の通信装置の認証処理を実行する認証工程と、前記認証工程で認証された前記通信装置から受信したデータを前記セキュリティゲートウェイ装置で復号して前記演算装置に出力する復号工程とを含む、としてもよい。
例えば、自動車が走行している場合には、周囲の状況は刻々と変化し、特に、車車間通信では、通信相手も刻々と変化することが想定される。そこで、上記態様のように、特定された通信対象装置に優先順位を設定して、その優先順位で認証処理を行うことにより、重要度の高い通信相手から順に通信を確立させることができるようになる。例えば、自車両との距離、接近又は離れていくスピード等の状況に応じて、その通信相手との通信の重要度が変わるようにしておけば、自車両に対してより影響度の高い通信先から順に通信を確立させることができるようになり、安全性、利便性を高めることができる。
前記受信データ処理方法において、前記特定工程は、前記通信装置の中から、予め設定された基準を基に不正なアクセスをする装置を特定する不正装置特定工程を含み、前記不正装置特定工程で特定された装置を、前記優先順位の付与対象から除外する、としてもよい。
これにより、不要な認証処理を防ぐことができ、負荷を軽減することができる。
以上説明したように、ここに開示された技術によると、自動走行用の演算機能を有する自動車用演算システムにおいて、演算負荷を抑えつつ、セキュリティ性を高めることができる。
実施形態に係る自動車用演算システムの機能構成を示すブロック図である。 演算システムによる受信データ処理方法1を示すフローチャートである。 演算システムの設定工程における処理を説明するための図である。 演算システムの設定工程における処理を説明するための図である。 演算システムによる受信データ処理方法2を示すフローチャートである。 実システムへの導入例の機能構成を示すブロック図である。 実システムへの導入例の機能構成を示すブロック図である。
以下、例示的な実施形態について、図面を参照しながら詳細に説明する。
(実施形態)
図1は、本実施形態に係る自動車用演算システムSY(以下、単に演算システムSYともいう)の構成を示す。演算システムSYは、例えば、四輪の自動車1に搭載される演算システムである。自動車1は、運転者によるアクセル等の操作に応じて走行するマニュアル運転と、運転者の操作をアシストして走行するアシスト運転と、運転者の操作なしに走行する自動運転とが可能な自動車である。尚、以下の説明では、本実施形態の自動車1を他の車両と区別するために、自車両1ということがある。
演算システムSYは、車外情報取得手段M1からの出力を受け、道路上であって障害物を回避する経路を生成し、その経路に沿って走行する際の自動車1の目標運動を決定するように構成されている。さらに、演算システムSYは、決定した目標運動を実現するための制御信号を、駆動力と制動力と操舵角とを生成するアクチュエータ7に出力するように構成されている。本実施形態では、上記の目標運動の決定と、目標運動を実現するための制御信号の出力とが、1ユニット構成の演算装置で実現されている点に特徴がある。1ユニット構成の演算装置6とは、例えば、1つ又は複数のチップで構成されたマイクロプロセッサであって、CPUやメモリ等を有している。
車外情報取得手段M1は、演算システムSYに自動車1の車外環境の情報を出力するセンサ等で構成され、例えば、(1)自動車1のボディ等に設けられかつ車外環境を撮影する複数のカメラ50と、(2)自動車1のボディ等に設けられかつ車外の物標等を検知する複数のレーダ51と、(3)自動車1の絶対速度を検出する車速センサと、(4)自動車1のアクセルペダルの踏み込み量を検出するアクセル開度センサと、(5)自動車1のステアリングホイールの回転角度(操舵角)を検出する操舵角センサと、(6)自動車1のブレーキペダルの踏み込み量を検出するブレーキセンサと、(7)全地球測位システム(Global Positioning System:GPS)を利用して、自動車1の位置(車両位置情報)を検出する位置センサと、を含んでいる。なお、図1では、車外情報取得手段M1として、カメラ50とレーダ51を図示し、それ以外の構成(車速センサ、アクセル開度センサ、操舵角センサ、ブレーキセンサ、位置センサ)については、まとめて「車外情報取得手段」と記載している。
各カメラ50は、例えば、自動車1の周囲を水平方向に360°撮影できるようにそれぞれ配置されている。各カメラ50は、車外環境を示す光学画像を撮像して画像データを生成する。各カメラ50は、生成した画像データを演算装置6に出力する。なお、後述する図3Aでは、説明の便宜上、カメラ50が、自動車1の4隅に設けられており、右前、左前、右後、左後のカメラに、記載順にそれぞれ、501,502,503,504の符号を付して説明するものとする。また、図示は省略しているが、各カメラと対応する位置にそれぞれレーダ51が設置されているものとする。ただし、カメラ50の設置数や設置場所は、図3Aの配置に限定されるものではない。
各レーダ51は、カメラ50と同様に、検出範囲が自動車1の周囲を水平方向に360°広がるようにそれぞれ配置されている。レーダ51の種類は、特に限定されるものではなく、例えば、ミリ波レーダや赤外線レーダを採用することができる。図3Aでは、図示していないが、レーダ51は、例えば、各カメラと対応する位置に設けられる。
演算システムSYは、車外情報取得手段M1からの出力に加えて、車内情報取得手段M2からの出力を受けて、車外情報取得手段M1および車内情報取得手段M2からの出力に基づいて経路を生成し、目標運動を決定するように構成されていてもよい。
車内情報取得手段M2は、演算システムSYに自動車1の車内環境の情報を出力するセンサ等で構成され、例えば(1)自動車1の車内ミラーやダッシュボード等に設けられかつ運転者の表情や姿勢、社内環境等を撮影する車内カメラと、(2)運転者の生体情報(体温、心拍数、呼吸等)を取得する車内センサと、を含んでいる。
アクチュエータ7は、演算システムSYからの制御を受けて動作するように構成され、例えば、エンジン71と、ブレーキ72と、ステアリング73と、トランスミッション74とを含んでいる。また、アクチュエータ7には、エアバックやパワーウィンドウのような、いわゆるボディ系のアクチュエータ75も含まれる(図1では、「ボディ系」と記載)。なお、本開示で「アクチュエータ」という場合、エンジン71、ブレーキ72、ステアリング73、トランスミッション74のように、駆動力と制動力と操舵角とを生成する各種アクチュエータを区別せずに、それらのアクチュエータの少なくともいずれか1つを指し示す場合と、上記アクチュエータ類を総称する意味で用いる場合とがある。なお、具体的な図示は省略するが、アクチュエータ7は、そのそれぞれにおいて、ECUを含んでいてもよいし、ECUを含まずに後述する自動運転機能部60の制御を受けて動作するように構成されていてもよい。
エンジン71は、動力駆動源であり、内燃機関(ガソリンエンジン、ディーゼルエンジン)を含む。演算システムSYは、自動車1を加速又は減速させる必要がある場合に、エンジン71に対してエンジン出力変更信号を出力する。エンジン71は、マニュアル運転時には、運転者のアクセルペダルの操作量等により制御されるが、アシスト運転や自動運転時には、演算システムSYから出力された目標運動を示す目標運動信号(以下、単に目標運動信号という)に基づいて制御される。尚、図示は省略しているが、エンジン71の回転軸には、エンジン71の出力により発電する発電機が連結されている。エンジン71は、駆動力を生成するアクチュエータの一例である。
ブレーキ72は、制動力をここでは電動ブレーキである。演算システムSYは、自動車1を減速させる必要がある場合に、ブレーキ72に対してブレーキ要求信号を出力する。ブレーキ要求信号を受けたブレーキ72は、該ブレーキ要求信号に基づいてブレーキアクチュエータ(図示省略)を作動させて、自動車1を減速させる。ブレーキ72は、マニュアル運転時には、運転者のブレーキペダルの操作量等により制御されるが、アシスト運転や自動運転時には、演算システムSYから出力された目標運動信号に基づいて制御される。ブレーキ72は、制動力を生成するアクチュエータの一例である。
ステアリング73は、ここではEPS(Electric Power Steering)である。演算システムSYは、自動車1の進行方向を変更する必要がある場合に、ステアリング73に対して操舵方向変更信号を出力する。ステアリング73は、マニュアル運転時には、運転者のステアリングホイール(所謂ハンドル)の操作量等により制御されるが、アシスト運転や自動運転時には、演算システムSYから出力された目標運動信号に基づいて制御される。ステアリング73は、操舵角を生成するアクチュエータの一例である。
トランスミッション74は、有段式のトランスミッションである。演算装置6は、出力すべき駆動力に応じて、トランスミッション74に対してギヤ段変更信号を出力する。トランスミッション74は、マニュアル運転時には、運転者のシフトレバーの操作や運転者のアクセルペダルの操作量等により制御されるが、アシスト運転や自動運転時には、演算装置6により算出された目標運動に基づいて制御される。
演算システムSYは、マニュアル運転時には、アクセル開度センサ等の出力に基づく制御信号をエンジン71等に出力する。一方で、演算システムSYは、アシスト運転時や自動運転時には、自動車1の走行経路を設定して、自動車1が該走行経路を走行するように、エンジン71等に制御信号を出力する。
<1.演算システムの構成>
図1に示すように、演算システムSYは、テレマティックスユニット2と、V2X通信ユニット3と、セキュリティゲートウェイ装置4と、演算装置6とを備えている。ここで、演算装置6とセキュリティゲートウェイ装置4とは、機能的に分離されているとともに、物理的にも互いに分離されている。例えば、演算装置6及びセキュリティゲートウェイ装置4が、半導体チップで実現される場合、互いに別チップで構成され、電源供給ラインが別系統で実現されるのがよい。
テレマティックスユニット2は、RF部21と、復調部22とを備える。RF部21は、外部のネットワーク90(例えば、4G回線等の移動通信網)から車載アンテナ(図示省略)を介して受信したRF信号を処理する。復調部22は、RF部21に受けたRF信号を復調して、セキュリティゲートウェイ装置4に出力する。
V2X通信ユニット3は、RF部31と、復調部32とを備える。RF部31は、車載アンテナ(図示省略)を介して、外部の通信機器、例えば、周囲を走行している車両8に搭載された通信ユニット(図示省略)から受信したRF信号を処理する。復調部32は、RF部31に受けたRF信号を復調して、セキュリティゲートウェイ装置4に出力する。
ここで、外部のネットワーク90とは、自車両1との間で相互通信が可能に構成された車外の移動体通信網やインターネット等の通信網、通信ユニットが搭載された装置等で形成される通信環境・構成を広く含む概念として使用するものとする。
例えば、テレマティックスユニット2と接続される外部のネットワーク90として、サーバ91等の情報処理装置や携帯電話等の端末装置92が接続されたインターネットが例示される。また、自動車1の搭乗者や整備担当者等が所有していて車外から車内に持ち込まれた端末装置92とテレマティックスユニット2とが、Bluetooth(登録商標)やWi−Fi(登録商標)等により互いに直接通信するような構成が含まれる。
また、例えば、V2X通信ユニット3が周囲を走行している車両との間で、直接的、または間接的に、相互間の情報通信をする場合、いわゆる車車間通信を行う場合にも、それは外部のネットワーク90を介して通信することに含むものとする。
以下の説明では、説明の便宜上、演算装置6へのアクセス要求を行っている通信ユニットを搭載した装置(自動車を含む)を総称して、単に、外部通信装置と呼ぶ場合がある。
なお、テレマティックスユニット2及びV2X通信ユニット3において、それぞれのRF部21,31及び復調部22,32の回路構成は、従来から知られている一般的な回路を採用することができるので、ここでは、その説明を省略するものとする。また、テレマティックスユニット2及びV2X通信ユニット3において、両ユニット20,30を統合して1つの通信ユニットとし、その通信ユニット内で共通する回路構成をまとめるようにしてもよい。
セキュリティゲートウェイ装置4は、テレマティックスユニット2及びV2X通信ユニット3の復調部22,32からの出力を受ける認証部41と、復号部42と、暗号化部43とを備えている。本実施形態では、外部通信装置からのアクセスが、このセキュリティゲートウェイ装置4に集約され、このセキュリティゲートウェイ装置4での認証を経て演算装置6に入力される点に特徴がある。
認証部41は、外部のネットワーク90を介して外部通信装置から演算装置6へのアクセスがあった場合に、予め設定された基準に基づいて、その外部通信装置からのアクセスの正当性を判断し、演算装置6へのアクセスを許可するか否かを決定する。「予め設定された基準」は、アクセスの正当性の判断ができる基準であれば、特に限定されるものではないが、例えば、認証局のデジタル署名を付与した公開鍵暗号方式に基づいて、外部通信装置の正当性を判断することができる。また、予め設定された基準として、自社が予め保有したり、ネットワーク90を介して受領した、ホワイトリスト、ブラックリスト等のリスト情報を用いてもよい。認証部41は、認証部41で正当性が認証された外部通信装置からの受信信号を復号部42に出力する。
復号部42では、認証部41から受信したデータを復号する。換言すると、復号部42は、認証部41で正当性が認められた外部通信装置からの受信データを復号する。例えば、前述のような公開鍵暗号方式に基づく暗号データが受信された場合には、その復号処理を実行する。また、復号に際して、ハッシュ演算を用いた改ざん検出を行うようにしてもよい。
なお、認証部41と復号部42とは、連携して処理を行う場合があり、受信したデータの種類や属性によって、処理の順番が変わったり、それぞれで実施する処理の内容が変わったりすることがある。
認証部41で認証され、復号部42で復号されたデータは、暗号化部43で暗号化され、演算装置6に出力される。すなわち、セキュリティゲートウェイ装置4と、演算装置6との間は、暗号化通信により接続される。なお、暗号化部43を省いて、セキュリティゲートウェイ装置4から演算装置6に、認証部41で認証され、復号部42で復号されたデータをそのまま送信するようにしてもよい。暗号化部43に用いる暗号方式は、特に限定されず、必要なセキュリティレベルに応じて使い分けすることができる。また、選択された暗号方式に対応する回路構成は、それぞれの暗号方式に応じて従来から知られているものを用いることができるので、ここではその詳細説明を省略する。
なお、送信するデータの重要度に応じて、暗号化部43で使用する暗号化レベルを変えるようにしてもよい。例えば、個人情報や直近の一定時間内に使用しないような情報について、暗号化のセキュリティレベルを高めるようにしてもよい。一方で、演算装置6が熱縮退モードで動作することや、負荷が増加する傾向があることが検知された場合に、セキュリティレベルを下げて、復号化の負担を減らすようにしてもよい。また、セキュリティ性を向上させる観点から、外部のネットワーク90で用いられる暗号方式とは異なる暗号方式を用いるようにしてもよい。
さらに、セキュリティゲートウェイ装置4と演算装置6との間にも認証を要するようにしてもよい。そうすることで、セキュリティゲートウェイ装置4を交換できるように構成しても、セキュリティ性を確保することができる。
演算装置6は、自動運転機能部60と、暗号化部43の出力を復号し自動運転機能部60に出力する復号部61と、認証部62とを備える。復号部61の構成は、暗号化部43で暗号化された信号を復号できるように構成されていればよく、従来から知られている構成を用いることができる。
自動運転機能部60は、アシスト運転や自動運転をする場合に、車外情報取得手段M1からの出力に基づいて、自動車1の目標運動を決定し、アクチュエータ7をその目標運動に沿って動作させるための制御信号を出力する。自動運転機能部60の構成については、後述する「実システムへの導入例」で一例を挙げて説明するものとし、ここではその詳細説明を省略する。
認証部62は、セキュリティゲートウェイ装置4の認証部41と連携して、前述の被認証装置からのアクセスの正当性を判断する機能を有する。具体的な動作は、以下の「2.演算システムの動作」において説明する。
<2.演算システムの動作>
次に、演算システムSYの動作について説明する。なお、演算装置6の自動運転機能部60を中心とした自動運転に関わる動作については、後述する「実システムへの導入例」で一例を挙げて説明するものとし、ここでは、外部のネットワークから受けた受信データの処理方法について説明する。
なお、以下に説明する受信データの処理方法は、セキュリティゲートウェイ装置4(特に、認証部41)と演算装置6(特に、認証部62)との連携動作により実現されるものであり、その主体がどちらであるかについて、特に限定されるものではない。すなわち、以下の動作説明において、説明の便宜上、セキュリティゲートウェイ装置4と演算装置6のいずれか一方で処理が行われるように記載したものについて、他方側の装置でその処理が実行されてもよいし、両方の装置で分担して処理が実行されてもよい。また、「セキュリティゲートウェイ装置4の認証部41」での処理に関し、単に、「セキュリティゲートウェイ装置4」の処理として説明する。演算装置6の認証部62についても同様である。
−2−1.受信データ処理方法1−
図2のフローチャートを参照しつつ、外部のネットワーク90から受けた受信データの処理方法1について説明する。ここでは、外部のネットワーク90から、(1)正当なアクセス権限を有する自動車Aと、(2)例えば、なりすまし等の不正な自動車Bからのアクセス要求があったものとして説明する。
まず、自動車Aからのアクセス要求に関する受信処理について説明する。
図2のステップS101において、セキュリティゲートウェイ装置4は、外部のネットワーク90を介して、外部通信装置からのアクセス要求を受けると、その特定処理を実行する。ここでは、自動車Aからのアクセス要求を受けているので、自動車Aを特定するための特定処理を実行する。例えば、車車間通信の場合、標準規格に基づいた情報として、車種やメーカー名等の情報が送信されるので、セキュリティゲートウェイ装置4は、その情報に基づいて、自動車Aを特定する。図3Aでは、自動車Aの特定処理の結果、自車両1の左前方を走行する自動車81からのアクセス要求が特定されたものとする。
このとき、演算装置6では、カメラ50で撮影された撮像情報や、レーダ51の受信電波情報を受け取り、車外の対象物を認定する(ステップS102)。例えば、演算装置6では、自車両1の周囲のどの位置に、どのような自動車8が走行しているかを認定する。認定された自動車8等の対象物は、例えば、図3Bのようなリストで管理され、演算装置6の保有するデータベース等に登録される。ここでは、自動車Aは、データベースに自動車81として登録されている一方で、自動車Bは、データベースに登録されていないものとする。
次のステップS103では、演算装置6またはセキュリティゲートウェイ装置4において、セキュリティゲートウェイ装置4で特定された自動車Aが、ステップS102の認定処理で認定された自動車に含まれているかどうかの照合が行われる。自動車Aは、データベースに登録されているので、自動車A(自動車81)が自車両1の周囲を走っていることが確認され、照合OKと判定される。
その後、ステップS104において、セキュリティゲートウェイ装置4は、自動車Aから送られてきた受信データに基づいて認証処理を行う。そして、認証がOKであれば、セキュリティゲートウェイ装置4は、自動車Aに認証OKの旨を示す通知を送り、自動車Aと演算装置1との間のデータ通信が確立される。
次に、自動車Bからのアクセス要求に関する受信処理について説明する。
図2のステップS111において、セキュリティゲートウェイ装置4は、外部のネットワーク90を介して、自動車Bからのアクセス要求を受けると、自動車Aの場合と同様に、自動車Bの特定処理を実行する。
次のステップS113では、自動車Aと同様に、自動車Bが、ステップS102の認定処理で認定された自動車に含まれているかどうかの照合が行われる。自動車Bは、データベースに登録されていないので、照合NGと判定される。
その後、セキュリティゲートウェイ装置4は、自動車Bに対して、認証処理を実行することなく、認証NGの通知を送り、処理は終了する。
以上のように、本受信方法によると、車外情報取得手段M1で取得された情報を基にして、アクセス要求があった外部の通信装置(ここでは、自動車)の照合を行うようにしている。これにより、セキュリティ性を高めることができる。
さらに、アクセス要求に対する照合工程が終わり、照合OKとなってから、認証処理を実行するようにしている。すなわち、照合NGとなる場合には、認証処理を実行しないようにしている。これにより、無駄な処理を排除することができ、演算負荷を抑えることができる。例えば、自車両の周囲に数台の自動車が走行している場合に、多数の自動車が走っているように見せかけるような飽和攻撃を受けた場合にも、自車両の周囲の自動車についてのみ認証処理を実行するようにすることができる。
−2−2.受信データ処理方法2−
次に、図4のフローチャートを参照しつつ、外部のネットワークから受けた受信データの処理方法2について説明する。ここでは、図3A,図3B(以下、まとめて図3ともいう)に記載された自動車81,83〜85からのアクセス要求があったものとして説明する。図4では、その中から自動車81,83に関する処理を抜粋して記載している。また、自動車82は通信機能を有していない自動車であるものとする。
図4のステップS201において、セキュリティゲートウェイ装置4は、外部のネットワーク90を介して、外部通信装置からのアクセス要求を受けると、前述 のステップS101と同様に、その外部通信装置を特定するための特定処理を実行する。ここでは、図3Bに示した自動車81,83〜85が特定されたものとする。
このとき、演算装置6では、ステップS102と同様に、カメラ50で撮影された画像情報や、レーダ51の受信電波情報を受け取り、車外の対象物を認定する(ステップS202)。ここでは、自動車81〜85が認定されたものとする。
その後、演算装置6は、セキュリティゲートウェイ装置4からステップS201の特定処理の結果として自動車81,83〜85の情報を受け、演算装置6で認定された自動車81〜85の情報と紐付けし、それらを取りまとめてデータベース等に登録する。
図3Bにおいて、メーカー名や車種等を示すID情報は、例えば、セキュリティゲートウェイ装置4が各自動車81,83〜85から受信した情報に含まれたものである。各車両の車速、加減速状況及び位置(方向)は、カメラ50およびレーダ51の取得情報に基づいて、演算装置6側で認定された情報である。
なお、図3Bにおいて、「優先領域内」とは自車両1から予め設定された範囲(以下、優先領域という)内に存在する自動車であるか否かを示す情報であるものとする。優先領域内に存在するか否かについても、カメラ50およびレーダ51の取得情報に基づいて判断することができる。
セキュリティゲートウェイ装置4と演算装置6とのデータの紐付けは、例えば、セキュリティゲートウェイ装置4で受けたID情報と、カメラ50およびレーダ51の取得情報に基づく演算装置6での認定情報とを対比して、共通の構成要素を有するもの同士が紐付けされる。
次のステップS203では、演算装置6において、予め設定された基準に基づいて自動車81〜85の優先順位の設定が行われる。優先順位は、例えば、複数の自動車からのアクセス要求があった場合に、相対的に早くに通信を確立させた方がよいものに対して高く設定される。具体的には、例えば、予め設定された基準として、自車両1と距離に基づいて、自車両1に近いほど、優先順位が高く設定される。また、例えば、自車両1から所定の範囲を優先領域に設定し、その優先領域内の自動車を優先するとしてもよい。具体的に、例えば、図4に示すように、自動車81,83からのアクセス要求があった場合、優先領域内の自動車83を優先する。
また、例えば、図3Bに示すように、自動車81〜85の車速情報が得られていた場合には、自車両1との距離と加減速の状況、方向等に基づいて優先順位が設定される、というように、複数のパラメータを総合的に判断することを基準として設定するようにしてもよい。
演算装置6で設定された優先順位の情報は、セキュリティゲートウェイ装置4に送られ、セキュリティゲートウェイ装置4では、その優先順位にしたがって、認証処理が実行される。図4の例では、まずステップS204において、自動車83の認証処理が実行され、自動車83と演算装置6との相互間で通信が確立される。そしてその後、ステップS205において自動車81の認証処理が実行され、自動車81と演算装置6との相互間で通信が確立される。
以上のように、本受信方法によると、車外情報取得手段M1で取得された情報を基にして、アクセスがあった外部通信装置(ここでは、自動車)の優先順位を設定し、その優先順位に基づいて認証処理を実行するようにしている。これにより、複数の外部通信装置から同時にアクセスがあるような場合にも、より適切な外部通信装置から順に通信を確立させることができる。
また、例えば、車外情報取得手段M1で取得された情報で認定されなかった外部通信装置については、優先順位を大幅に下げるか、優先順位の付与の対象外とするような処理を行うようにしてもよい。そうすることで、不正なアクセスを排除することができ、セキュリティ性を高めることができる。
なお、上記2つの「受信データ処理方法」の説明では、外部通信装置として自動車を例に説明したが、外部通信装置は、自動車に限定されない。例えば、外部通信装置が、二輪車等のような他の車両であってもよく、道路等に設置された路側器のようなものであってもよい。この場合においても、自動車の場合と同様に、受信処理を行うことができる。
外部通信装置から送られてくるデータとしては、例えば、地図情報や、ソフトウェアのアップデート情報が含まれる。演算装置6では、外部の通信装置から受信したデータは、内部のソフトウェアのアップデートに用いたり、自車両1の経路生成に使用したりする。
以上をまとめると、本実施形態に係る演算システムSYは、自動車に据え付けられている車外情報取得手段M1からの出力を受けた演算装置6が、道路上であって障害物を回避する経路を生成し、当該経路に沿って走行する際の自動車1の目標運動を決定し、当該目標運動を実現するための制御信号を、駆動力と制動力と操舵角とを生成するアクチュエータ7に出力するように構成されている。ここで、演算装置6は、車外情報取得手段M1からの出力は、直接受けるように構成されているのに対して、外部のネットワーク90からのアクセスについてはセキュリティゲートウェイ装置4を通すようにしている。
このように、セキュリティゲートウェイ装置4を介在させることにより、外部の通信装置からのアクセス状況等により、演算装置6の処理が影響されないようにすることができる。例えば、多数の外部の通信装置からのアクセスを受けた場合、その処理に対する負荷が上昇するが、セキュリティゲートウェイ装置4を介在させて認証処理等をさせることで、演算装置6に過度の負担がかかることを防ぐことができる。また、車外情報取得手段M1からの出力は、演算装置6に直接与えるので、比較的大容量のデータでも遅延することなく送信することができる。
また、外部通信装置からのアクセス経路をセキュリティゲート4への入力にまとめて、セキュリティゲート4で認証等の処理を実行し、真正と認められた外部通信装置のみの信号が演算装置6側に流れるようにしている。これにより、駆動力と制動力と操舵角とを生成するような重要な機能を有する演算装置6に対して、不正アクセスをより確実に防ぐことができる。例えば、特許文献1のように、受信データからインシデントを判断する場合には、不正の発見が遅れる場合があるが、本実施形態の構成を採用することで、外部の通信装置と演算装置6とが直接通信するような状況を避け、不正の発見の遅れを防ぎ、乗っ取られるリスクを大幅に低減することができる。
さらに、セキュリティゲートウェイ装置4と演算装置6とを物理的に分離することで、セキュリティゲートウェイ装置4のソフトウェアをアップデートしたり、ハードウェアを新しい仕様のものに交換しやすくすることができる。
(その他の実施形態)
ここに開示された技術は、上記実施形態に限られるものではなく、請求の範囲の主旨を逸脱しない範囲で代用が可能である。
例えば、セキュリティゲートウェイ装置4が、外部のネットワークを介して受けた車外通信装置からのアクセスが正当であった場合に、演算装置6が休止状態または停止状態のときに、演算装置6を起動させるための起動信号を出力するように構成されていてもよい。この起動信号は、例えば、主演算部610、セーフティ機能部630、乃至、バックアップセーフティ機能部650の電源を管理している電源回路(図示省略)等に送られ、電源回路がその起動信号を受けたことをトリガに復帰するように構成されていてもよい。
(実システムへの導入例)
図5A及び図5Bを参照しながら、実システムへの導入例について説明する。なお、以下の説明では、図5A及び図5Bをまとめて、単に図5と呼ぶものとする。
−1.概要−
まず、本開示に係る自動車用演算システムSY(以下、単に演算システムSYという)は、機能的には、(1)車外環境、車内環境(運転者の状態を含む)を認知するための構成(以下、認知系ブロックB1ともいう)と、(2)認知系ブロックB1での認知結果に基づいて各種状態・状況等を判断し、自動車1の動作を決定するための構成(以下、判断系ブロックB2ともいう)と、(3)判断系ブロックB2での決定を基に、具体的にアクチュエータ類に伝達する信号・データ等を生成するための構成(以下、操作系ブロックB3ともいう)、とに分かれている。本開示の技術は、認知系ブロックB1、判断系ブロックB2及び操作系ブロックB3が、1つのユニットに集約されて、実現されている点に特徴を有する。演算システムSYでは、認知系ブロックB1、判断系ブロックB2及び操作系ブロックB3により、前述の自動運転機能部60としての機能を実現している。
また、本演算システムSYは、(1)通常運転時における自動運転を実現するための認知系ブロックB1、判断系ブロックB2及び操作系ブロックB3とで構成された主演算部610と、(2)主に主演算部610の認知系ブロックB1及び判断系ブロックB2を補完する機能を有するセーフティ機能部630と、(3)主演算部610やセーフティ機能部630の機能が失陥した場合等の異常事態が発生した際に、自動車1を安全な位置まで移動させるバックアップセーフティ機能部650とを備えている。
本演算システムSYにおいて、主演算部610の認知系ブロックB1および判断系ブロックB2では、ニューラルネットワークを利用した深層学習により構築された各種モデルを利用して処理を実行する。このようなモデルを使用した処理を行うことで、車両状態、車外環境、運転者の状態等の総合的な判断に基づく運転制御、すなわち、大量の入力情報をリアルタイムで協調させて制御することができるようになる。深層学習を利用した車外環境の認定及び経路の算出は、未だ発展途上の状態であり、ASIL−B程度に留まるとされている。なお、図5では、参考情報として、各ブロックのASIL情報を記載しているが、本記載に限定されるものではなく、各ブロックが図5とは異なる機能安全レベルを有していてもよい。
セーフティ機能部630は、(1)従来より自動車等に採用されている物標等の認定方法に基づいて、車外にある物体(本開示では、対象物と呼んでいる)を認識する、(2)従来より自動車等に採用されている方法で、車両が安全に通過できる安全領域を設定し、その安全領域を通過するような経路を自動車が通過すべき走行経路として設定する、ように構成されている。このような、いわゆるルールベースの判断や処理を行うことにより、ASIL−D相当の機能安全レベルを実現することができる。
そして、本演算システムSYは、主演算部610とセーフティ機能部630とが、同一の入力情報(車外情報取得手段M1や車内情報取得手段M2で取得された情報を含む)に基づいて、同一の目的の処理(例えば、経路生成)を、並列に進めるようにしている点に特徴がある。これにより、主演算部610から逸脱処理が導き出されることを監視することができるとともに、必要に応じて、セーフティ機能部630による判断や処理の方を採用したり、主演算部610に再演算をさせたりすることができるようになっている。
主演算部610とセーフティ機能部630とは、両機能をあわせて(以下、両機能をあわせたものを車両制御機能ともいう)、それを1つ又は複数のチップで構成するようにしてもよいし、主演算部610とセーフティ機能部630のそれぞれを独立したチップで構成するようにしてもよい。
また、本演算システムSYでは、主演算部610及びセーフティ機能部630の両方が故障するような事態にも対処できるように、バックアップセーフティ機能部650(バックアップ演算装置30に相当)を設けている。バックアップセーフティ機能部650は、車外情報に基づいてルールベースで経路を生成し、安全な位置に停車させるまでの車両制御を実行する機能を、主演算部610及びセセーフティ機能部630とは別構成として用意したものである。したがって、主演算部610及びセーフティ機能部630とは、別々の装置(チップ)で構成されるのが好ましい。
−2.構成−
以下において、図5を参照しつつ、本演算システムSYの具体的構成について、説明する。なお、実施形態と共通の構成については、共通の符号を使用して説明する場合がある。また、共通の構成についての詳細説明を省略する場合がある。
演算システムSYには、自動車の車外環境の情報を取得する車外情報取得手段M1、及び、車内環境の情報を取得する車内情報取得手段M2のそれぞれで取得されたデータが入力信号として与えられる。また、演算システムSYへの入力信号として、車外ネットワーク(例えば、インターネット等)に接続されたシステムやサービスからの情報がセキュリティゲートウェイ装置4を介して入力されるようにしてもよい。
車外情報取得手段M1として、例えば、(1)複数のカメラ50、(2)複数のレーダ51、(3)車速センサ52等のメカセンサー520、(4)アクセル開度センサ53、操舵角センサ54、ブレーキセンサ55等のドライバ入力部530、(5)GPS等の測位システムを含む位置センサ56等が例示される。
車内情報取得手段M2として、例えば、車内カメラ58、車内センサ59等が例示される。車内センサ59には、例えば、アクセルペダル、ブレーキペダル、ステアリング、各種スイッチ等の各種操作対象物への運転者の操作を検出するセンサを含む。なお、図5では、車内情報取得手段M2の図示を省略している。
−2−1.主演算部−
ここでは、主演算部610の構成例及び主演算部610による深層学習を用いた経路生成について説明する。
図5に示すように、主演算部610は、カメラ50及び/またはレーダ51の入力に基づいて、車外の物体(対象物)を認識する物体認識部611を有する。物体認識部611は、カメラ50で撮像された社外の画像(映像を含む)や、レーダ51を用いた反射波のピークリストにより、車外の物体を認識する機能を有する。また、主演算部610は、実施形態に示したとおり、深層学習を利用して、認識された物体が何かを判別する機能を有する。物体認識部611には、従来から知られている画像や電波に基づく物体認識技術を適用することができる。
物体認識部611で認識された結果は、マップ生成部612に送られる。マップ生成部612では、自車両の周囲を複数の領域(例えば、前方、左右方向、後方)に分け、各領域ごとにマップ作成処理を行う。マップ作成処理では、それぞれの領域に対して、カメラ50で認識された物体情報と、レーダ51で認識された物体情報とを統合し、マップに反映させる。
マップ生成部612で生成されたマップ、セキュリティゲートウェイ4から入力されて復号部61で復号されたデータの一部(例えば、マップ情報)は、車外環境推定部613において、深層学習を用いた画像認識処理により車外環境の推定に使用される。具体的に、車外環境推定部613では、深層学習を利用して構築された環境モデル614に基づく画像認識処理により車外環境を表す3Dマップを作成する。深層学習では、多層ニューラルネットワーク(DNN:Deep Neural Network)が用いられる。多層ニューラルネットワークとして、例えば、CNN(Convolutional Neural Network)がある。より具体的に、車外環境推定部613では、(1)各領域ごとのマップが結合され、自車両1の周囲を表した統合マップが生成され、(2)その統合マップ内の動体物に対し、自車両1との距離、方向、相対速度の変位が予測され、(3)その結果が、車外環境モデル614に組み込まれる。さらに、車外環境推定部613では、(4)車内または車外から取り込んだ高精度地図情報、GPS等で取得された位置情報・車速情報・6軸情報の組み合わせによって統合マップ上での自車両1の位置を推定するとともに、(5)前述の経路コストの計算を行い、(6)その結果が、各種センサで取得された自車両1の運動情報とともに車外環境モデル614に組み込まれる。これらの処理により、車外環境推定部613では、随時、車外環境モデル614が更新され、経路生成部621による経路生成に使用される。上記の物体認識部611、マップ生成部612、車外環境推定部613での処理結果や、車外環境モデル614は、前述のセキュリティゲートウェイ装置4の認証部41での処理に利用される。すなわち、物体認識部611、マップ生成部612、車外環境推定部613、乃至、車外環境モデル614は、認証部62としての機能を包含している。なお、図示は省略するが、認証部62としての機能をセーフティ機能部630に持たせるようにしてもよい。
GPS等の測位システムの信号、車外ネットワークから送信される例えばカーナビゲーション用のデータは、セキュリティゲートウェイ装置4を介して入力され、復号部61で復号されて、経路探索部622に送られる。経路探索部622は、GPS等の測位システムの信号、車外ネットワークから送信される例えばナビゲーション用のデータを用いて、車両の広域経路を探索する。
経路生成部621では、車外環境モデル614と、経路探索部622の出力とを基にして、車両の走行経路を生成する。
−2−2.セーフティ機能部−
ここでは、セーフティ機能部630の構成及びセーフティ機能部630によるルールベースの経路生成について説明する。
図5に示すように、セーフティ機能部630は、主演算部610と同じ、カメラ50及び/またはレーダ51の入力に基づいて、車外の物体(対象物)を認識する物体認識部631を有する。セーフティ機能部630では、主演算部610と同様の手法により車外の物体を認識した後に、深層学習を利用せずに、従来から知られているルールベースの手法により認識された物体が何かを判別するようにしている。例えば、従来から知られており、ASIL−D相当の機能安全レベルを実現している識別機を通して、認識された物体が何かを判別する。
物体認識部631で認識された結果は、動体と静止物とに分類される。図5では、632の符号を付して「動体・静止物分類」と記載した回路ブロックで実行される。具体的に、ここでは、(1)自車両の周囲が複数の領域(例えば、前方、左右方向、後方)に分けられ、(2)各領域で、カメラ50で認識された物体情報と、レーダ51で認識された物体情報とが統合され、(3)各領域に対する導体及び静止物との分類情報が生成される。そして、(4)各領域ごとの分類結果が統合され、(5)自車両周辺の導体及び静止物との分類情報として、例えば、例えば、図2に示されるようなグリッドマップ上で管理される。また、動体物に対しては、(6)自車両との距離、方向、相対速度が予測され、その結果が動体物の付属情報として組み込まれるとともに、(7)車内または車外から取り込んだ高精度地図情報、GPS等で取得された位置情報・車速情報・6軸情報の組み合わせによって、動体・静止物に対する自車両の位置が推定される。また、セーフティ機能部630では、車速情報・6軸情報に基づく車両状態を検出し、自車両1の付属情報として経路生成に使用する。セーフティ機能部630では、ここで推定された動体・静止物に対する自車両の位置と、安全領域の探索結果に基づいて、経路が生成される。
主演算部610及びセーフティ機能部630で生成された経路は、目標運動決定部710に送られ、両経路の比較結果等に応じて最適な目標運動が決定される。例えば、前述の実施形態に記載しているように、主演算部610で生成した経路が、セーフティ機能部630で探索された安全領域から外れる時には、セーフティ機能部630で生成された経路が採用される。
目標運動決定部623は、主演算部610及び第2演算部110,120からの出力を受けて自動車1の目標運動を決定する。
車両運動エネルギー操作部624及びエネルギーマネジメント部625は、目標運動決定部623で決定された目標運動を達成する上で、最もエネルギー効率がよくなるようにアクチュエータ7の制御量を算出する。具体的に例示すると、例えば、エネルギーマネジメント部は、目標運動決定部623で決定されたエンジントルクを達成する上で、最も燃費が向上するような、吸排気バルブ(図示省略)の開閉タイミングやインジェクタ(図示省略)の燃料噴射タイミング等を算出する。
−2−3.バックアップセーフティ機能部−
ここでは、バックアップセーフティ機能部650の構成及びバックアップセーフティ機能部650によるルールベースの経路生成について説明する。バックアップセーフティ機能部650は、ルールベースで最低限の安全停車位置への移動動作、停車動作ができるようにするために必要な構成を備えたものとなっている。大枠の構成は、セーフティ機能部630を同じような機能で実現することができる。
図5に示すように、バックアップセーフティ機能部650では、物体認識部631で認識された結果を基に、動体と静止物とが分類される。図5では、653の符号を付して「動体・静止物分類」と記載した回路ブロックで実行される。物体認識部631は、図5に示すように、セーフティ機能部630と共通のものを使用してもよいし、個別に、バックアップセーフティ機能部650に設けられていてもよい。さらに、バックアップセーフティ機能部650は、車両状態を計測する車両状態計測部651と、運転者の操作状態を把握するドライバ操作認知部652とを備えている。車両状態計測部651は、自車両1の付属情報として経路生成に使用するために、車速情報・6軸情報に基づく車両状態を取得する。それ以外の機能については、主演算部610及びセーフティ機能部630とは独立して設けられているものの、実質的な機能は、これまで説明してきた構成と同様であり、ここではその詳細説明を省略する。
ここに開示された技術は、自動車に搭載される自動車用演算システムとして有用である。
SY 演算システム
4 セキュリティゲートウェイ装置
41 認証部
42 復号部
44 暗号化部
6 演算装置
M1 車外情報取得手段

Claims (7)

  1. 自動車に搭載される自動車用演算システムであって、
    自動車に据え付けられて車外環境の情報を取得する車外情報取得手段からの出力を受け、道路上であって障害物を回避する経路を生成し、当該経路に沿って走行する際の自動車の目標運動を決定し、当該目標運動を実現するための制御信号を、駆動力と制動力と操舵角とを生成するアクチュエータに出力する演算装置と、
    外部の通信装置が接続された外部のネットワークと前記演算装置との間に設けられ、前記通信装置からのアクセスに対して、予め設定された基準に基づいて当該アクセスの正当性を判断し、前記通信装置のアクセスを許可するか否かを決定するセキュリティゲートウェイ装置とを備える
    ことを特徴とする自動車用演算システム。
  2. 請求項1に記載の自動車用演算システムにおいて、
    前記セキュリティゲートウェイ装置は、
    前記ネットワークを介して受信された受信信号を復号する復号部と、
    前記アクセスの正当性を判断し、前記通信装置のアクセスを許可するか否かを決定する認証部と、
    前記認証部によりアクセスが許可された通信装置から受信され、かつ、前記復号部で復号された信号を、暗号化して前記演算装置に出力する暗号化部とを備えている
    ことを特徴とする自動車用演算システム。
  3. 請求項1に記載の自動車用演算システムにおいて、
    前記セキュリティゲートウェイ装置は、前記通信装置のアクセスが正当であった場合において、前記演算装置が休止状態または停止状態のときに、前記演算装置を起動させるための起動信号を出力する
    ことを特徴とする自動車用演算システム。
  4. 請求項1に記載の自動車用演算システムにおいて、
    前記車外情報取得手段は、カメラを含み、
    前記セキュリティゲートウェイ装置は、前記カメラの撮影画像と前記アクセスしてきた前記通信装置との照合結果を基に当該通信装置のアクセスの正当性を判断する
    ことを特徴とする自動車用演算システム。
  5. 車外環境の情報を取得する車外情報取得手段からの出力を受け、道路上であって障害物を回避する経路を生成し、当該経路に沿って走行する際の自動車の目標運動を決定する演算装置と、外部の通信装置が接続された外部のネットワークと前記演算装置との間に設けられたセキュリティゲートウェイ装置とを備える自動車用演算システムにおける、外部のネットワークから受けた受信データの処理方法であって、
    前記車外情報取得手段からの出力を基に、車外の対象物を認識する対象物認識工程と、
    前記通信装置から前記セキュリティゲートウェイ装置へのアクセスに対して、予め設定された基準を基に前記通信装置を特定する特定工程と、
    前記特定工程で特定された通信装置と前記対象物認識工程で認識された対象物とを照合する照合工程と、
    前記照合工程で一致が確認された通信装置からのアクセスに対し認証処理を実行する認証工程と、
    前記認証工程で認証された前記通信装置から受信したデータを前記セキュリティゲートウェイ装置で復号して前記演算装置に出力する復号工程とを含む
    ことを特徴とする受信データ処理方法。
  6. 車外環境の情報を取得する車外情報取得手段からの出力を受け、道路上であって障害物を回避する経路を生成し、当該経路に沿って走行する際の自動車の目標運動を決定する演算装置と、外部の通信装置が接続された外部のネットワークと前記演算装置との間に設けられたセキュリティゲートウェイ装置とを備える自動車用演算システムにおける、外部のネットワークから受けた受信データの処理方法であって、
    外部のネットワークを介して互いに異なる複数の前記通信装置から前記セキュリティゲートウェイ装置にアクセスがあった場合に、それぞれの前記通信装置を特定する特定工程と、
    前記特定工程で特定された通信装置の優先順位を予め設定された基準に基づいて設定する設定工程と、
    前記設定工程で設定された優先順位にしたがって前記複数の通信装置の認証処理を実行する認証工程と、
    前記認証工程で認証された前記通信装置から受信したデータを前記セキュリティゲートウェイ装置で復号して前記演算装置に出力する復号工程とを含む
    ことを特徴とする受信データ処理方法。
  7. 請求項6に記載の受信データ処理方法において、
    前記特定工程は、前記通信装置の中から、予め設定された基準を基に不正なアクセスをする装置を特定する不正装置特定工程を含み、
    前記不正装置特定工程で特定された装置を、前記優先順位の付与対象から除外する
    ことを特徴とする受信データ処理方法。
JP2019068441A 2019-03-29 2019-03-29 自動車用演算システム及び受信データの処理方法 Pending JP2020167607A (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2019068441A JP2020167607A (ja) 2019-03-29 2019-03-29 自動車用演算システム及び受信データの処理方法
US17/598,892 US20220153299A1 (en) 2019-03-29 2020-03-05 Computing system for automobile and processing method for reception data
PCT/JP2020/009464 WO2020203022A1 (ja) 2019-03-29 2020-03-05 自動車用演算システム及び受信データの処理方法
EP20782172.9A EP3937431A4 (en) 2019-03-29 2020-03-05 AUTOMOTIVE COMPUTING SYSTEM AND PROCESSING METHOD FOR RECEIVED DATA
CN202080025170.9A CN113678408A (zh) 2019-03-29 2020-03-05 汽车用运算系统和接收数据的处理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019068441A JP2020167607A (ja) 2019-03-29 2019-03-29 自動車用演算システム及び受信データの処理方法

Publications (1)

Publication Number Publication Date
JP2020167607A true JP2020167607A (ja) 2020-10-08

Family

ID=72668319

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019068441A Pending JP2020167607A (ja) 2019-03-29 2019-03-29 自動車用演算システム及び受信データの処理方法

Country Status (5)

Country Link
US (1) US20220153299A1 (ja)
EP (1) EP3937431A4 (ja)
JP (1) JP2020167607A (ja)
CN (1) CN113678408A (ja)
WO (1) WO2020203022A1 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7382281B2 (ja) * 2020-05-25 2023-11-16 株式会社東海理化電機製作所 制御装置および制御方法
CN115158194A (zh) * 2022-07-01 2022-10-11 锦图计算技术(深圳)有限公司 基于Linux系统的智能汽车安全网关系统及其通信方法
JPWO2024024085A1 (ja) * 2022-07-29 2024-02-01
US20240323691A1 (en) * 2023-03-23 2024-09-26 Qualcomm Incorporated Mode switch for partial integrity security operations

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003046536A (ja) * 2001-07-31 2003-02-14 Denso Corp 車両用中継装置、及び、車内通信システム
JP2018101199A (ja) * 2016-12-19 2018-06-28 株式会社デンソー 運転支援装置
JP2018164232A (ja) * 2017-03-27 2018-10-18 パナソニックIpマネジメント株式会社 通信システム、中継装置、通信方法およびコンピュータプログラム
JP2018196108A (ja) * 2017-05-15 2018-12-06 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 検証方法、検証装置およびプログラム
JP2019029993A (ja) * 2017-07-26 2019-02-21 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 異常検知装置および異常検知方法
JP2019036017A (ja) * 2017-08-10 2019-03-07 住友電気工業株式会社 制御装置、制御方法、およびコンピュータプログラム

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5469238B2 (ja) * 2010-02-24 2014-04-16 ルネサスエレクトロニクス株式会社 無線通信装置及び認証処理方法
US9466002B2 (en) * 2012-01-23 2016-10-11 Global Ip Holdings, Llc Real-time system for aiding drivers during vehicle backup and image capture and transmitter unit for use therein
DE102013101508B4 (de) * 2012-02-20 2024-10-02 Denso Corporation Datenkommunikationsauthentifizierungssystem für ein Fahrzeug und Netzkopplungsvorrichtung für ein Fahrzeug
JP5900390B2 (ja) * 2013-01-31 2016-04-06 株式会社オートネットワーク技術研究所 アクセス制限装置、車載通信システム及び通信制限方法
US9842263B2 (en) * 2015-11-10 2017-12-12 Ford Global Technologies, Llc Inter-vehicle authentication using visual contextual information
JP2017174111A (ja) * 2016-03-23 2017-09-28 株式会社東芝 車載ゲートウェイ装置、蓄積制御方法およびプログラム
JP2018133721A (ja) 2017-02-16 2018-08-23 クラリオン株式会社 車載ゲートウェイ装置、通信遮断方法
US10880293B2 (en) * 2017-08-25 2020-12-29 Ford Global Technologies, Llc Authentication of vehicle-to-vehicle communications
KR102506931B1 (ko) * 2018-02-27 2023-03-07 현대자동차 주식회사 전자화 장비 보안 검사 시스템 및 그 방법
CN109358614A (zh) * 2018-08-30 2019-02-19 深圳市易成自动驾驶技术有限公司 自动驾驶方法、系统、装置及可读存储介质
CN109344609B (zh) * 2018-08-31 2023-02-28 惠州市德赛西威汽车电子股份有限公司 一种tcu模块、tcu系统及保护方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003046536A (ja) * 2001-07-31 2003-02-14 Denso Corp 車両用中継装置、及び、車内通信システム
JP2018101199A (ja) * 2016-12-19 2018-06-28 株式会社デンソー 運転支援装置
JP2018164232A (ja) * 2017-03-27 2018-10-18 パナソニックIpマネジメント株式会社 通信システム、中継装置、通信方法およびコンピュータプログラム
JP2018196108A (ja) * 2017-05-15 2018-12-06 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 検証方法、検証装置およびプログラム
JP2019029993A (ja) * 2017-07-26 2019-02-21 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 異常検知装置および異常検知方法
JP2019036017A (ja) * 2017-08-10 2019-03-07 住友電気工業株式会社 制御装置、制御方法、およびコンピュータプログラム

Also Published As

Publication number Publication date
EP3937431A1 (en) 2022-01-12
CN113678408A (zh) 2021-11-19
US20220153299A1 (en) 2022-05-19
EP3937431A4 (en) 2022-04-13
WO2020203022A1 (ja) 2020-10-08

Similar Documents

Publication Publication Date Title
WO2020203022A1 (ja) 自動車用演算システム及び受信データの処理方法
US20220398149A1 (en) Minimizing transport fuzzing reactions
US20240073037A1 (en) Internal certificate authority for electronic control unit
US20230389095A1 (en) Enhanced wireless connectivity
US11663899B2 (en) Keyless entry message validation
US11870557B2 (en) Process for generating transport keys for data communication based on actions performed by a transport
US11787434B2 (en) Modification of transport functionality based on modified components
US20220274593A1 (en) Transport-related object avoidance
US12361770B2 (en) Providing recorded data related to an event
US12346278B2 (en) Transport component authentication
WO2024081094A1 (en) Bluetooth rf signature for active security countermeasure
US20240083453A1 (en) Coordinated scheduling of electric vehicle charging stations to enhance availability and utilization
US20240281849A1 (en) Dynamic vehicle tags
US20240326597A1 (en) Battery management system communication
US20240054563A1 (en) Auto insurance system
US20240351599A1 (en) Safe vehicle backup navigation
US12307895B2 (en) Ingress and egress parking preferences
US20240427927A1 (en) Vehicle-related sensitive data determination and removal
US12289180B2 (en) Vehicle DCM routing management
US20250021319A1 (en) Data communication with remote operation of a vehicle
US20250042411A1 (en) Offering unused features on a vehicle
US12269371B2 (en) In-cabin detection framework
US20240008111A1 (en) Automatic device and vehicle pairing
US20240157760A1 (en) Vehicle shutdown based on a dangerous situation
US20250026199A1 (en) Authorization for vehicle display

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210824

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220412

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220613

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20220726