Some content of this application is unavailable at the moment.
If this situation persist, please contact us atFeedback&Contact
1. (WO2019044230) VEHICLE-MOUNTED DEVICE, AND INCIDENT MONITORING METHOD
Document

明 細 書

発明の名称 車載装置、インシデント監視方法

技術分野

0001  

背景技術

0002   0003  

先行技術文献

特許文献

0004  

発明の概要

発明が解決しようとする課題

0005  

課題を解決するための手段

0006  

発明の効果

0007  

図面の簡単な説明

0008  

発明を実施するための形態

0009   0010   0011   0012   0013   0014   0015   0016   0017   0018   0019   0020   0021   0022   0023   0024   0025   0026   0027   0028   0029   0030   0031   0032   0033   0034   0035   0036   0037   0038   0039   0040   0041   0042   0043   0044   0045   0046   0047   0048   0049   0050   0051   0052   0053   0054   0055   0056   0057   0058   0059   0060   0061   0062   0063   0064   0065   0066   0067   0068   0069   0070   0071   0072   0073   0074   0075   0076   0077   0078   0079   0080   0081   0082   0083   0084   0085   0086   0087   0088   0089   0090   0091   0092   0093   0094  

符号の説明

0095  

請求の範囲

1   2   3   4   5   6   7   8   9   10   11  

図面

1   2   3   4   5   6   7   8   9   10  

明 細 書

発明の名称 : 車載装置、インシデント監視方法

技術分野

[0001]
 本発明は、インシデント監視を行う車載装置およびこれを用いたインシデント監視方法に関する。

背景技術

[0002]
 近年、車両に搭載された電子制御装置(ECU:Electoronic Control Unit)と外部の情報通信機器の間で通信を行うことで、車両において様々な情報を取得し、取得した情報を用いて車両の安全運転支援や自動運転を実現する技術が普及し始めている。このような技術では、ECUと外部の情報通信機器との常時接続や、情報通信機器における汎用機器や汎用プログラムの利用が進んでいることから、車両がサイバー攻撃の対象とされる危険性が高まっている。車両がサイバー攻撃を受けて暴走した場合、人的被害や物的被害が甚大となり、社会的な影響が大きい。そのため、ECUの製造メーカや自動車メーカ等に対して、サイバー攻撃の兆候(サイバーインシデント、以下では単に「インシデント」と称する)が生じた場合には、これを素早く検知し、車両を安全な状態として被害を最小限に留めることが求められている。
[0003]
 車両の異常検知に関して、例えば特許文献1に記載の技術が知られている。特許文献1に記載された車両故障診断装置は、車両から取得した車両走行情報と周辺環境を認識する認識手段から取得した外部環境情報とを比較し、車両走行情報が周辺環境に応じた一般的な走行パターンから所定レベル以上乖離している場合、車両に異常が発生している可能性があると判断し、車両の故障診断を行う。

先行技術文献

特許文献

[0004]
特許文献1 : 日本国特開2007-161044号公報

発明の概要

発明が解決しようとする課題

[0005]
 しかしながら、特許文献1に記載された技術では、車両から取得した車両走行情報と一般的な走行パターンとを比較して車両の異常判断を行っているため、インシデントが発生しても車両が一般的な走行パターンに近い走行を行っているような場合には、異常と判断することができない。したがって、車両において発生したインシデントを確実に素早く検知することができない。

課題を解決するための手段

[0006]
 本発明による車載装置は、自動運転可能な車両に搭載されるものであって、前記車両の制御状態を表す車両情報を取得し、前記車両情報に基づいて、前記車両において発生したインシデントを検知するインシデント検知処理部を備える。
 本発明によるインシデント監視方法は、自動運転可能な車両に搭載された車載装置において、前記車両の制御状態を表す車両情報を取得し、前記車両情報に基づいて、前記車両において発生したインシデントを検知する。

発明の効果

[0007]
 本発明によれば、車両において発生したインシデントを確実に素早く検知することができる。

図面の簡単な説明

[0008]
[図1] 本発明の一実施形態に係る車両情報ネットワークシステムの構成図
[図2] 車両および車載遠隔監視装置のハードウェア構成を例示するブロック図
[図3] 路側器およびセンタサーバのハードウェア構成を例示するブロック図
[図4] 車載遠隔監視装置の機能構成を例示するブロック図
[図5] センタサーバの機能構成を例示するブロック図
[図6] 地図情報の構成を例示する説明図
[図7] 車載情報パケットの構成を例示する説明図
[図8] 車載遠隔監視装置が実行する車両情報監視処理のフローチャート
[図9] 自動運転機能停止処理のフローチャート
[図10] 車両通信ネットワークシステムのシーケンス図

発明を実施するための形態

[0009]
 以下、本発明の実施形態について図1~10を参照して説明する。図1は、本発明の一実施形態に係る車両情報ネットワークシステムの構成図である。図1に示す車両情報ネットワークシステム1は、車両2、路側器3、ネットワーク4、およびセンタサーバ5を含む。
[0010]
 車両2は、車載遠隔監視装置20を搭載する。路側器3は、車両2が走行する道路の路側に、所定地点に固定して設置される。路側器3とセンタサーバ5は、ネットワーク4を介して相互に接続される。センタサーバ5は、ネットワーク4および路側器3を介して、車載遠隔監視装置20とデータ通信を行う。
[0011]
 なお、車両情報ネットワークシステム1には、車載遠隔監視装置20をそれぞれ搭載する複数の車両2が含まれていてもよい。また、複数の路側器3がそれぞれ異なる地点に設置されていてもよい。以下の説明では、一つの車両2に搭載されている車載遠隔監視装置20の動作を中心として説明する。
[0012]
 図2は、車両2および車載遠隔監視装置20のハードウェア構成を例示するブロック図である。車両2は、車載遠隔監視装置20と、車載遠隔監視装置20にそれぞれ接続されている無線通信装置105、ステアリングECU106、ブレーキECU107、エンジンECU108、方向指示器109、ADAS ECU110、ブレーキ制御ECU111、ステアリング制御ECU112、エンジン制御ECU113、カメラ114、GPSセンサ115、加速度センサ116、ユーザースイッチ117、表示装置118、およびナビゲーションシステム119とを備える。
[0013]
 ステアリングECU106、ブレーキECU107、エンジンECU108、および方向指示器109は、車両2の走行制御を行うための装置であり、相互に接続されてネットワークを構成している。以下では、このネットワークを「制御系ネットワークドメイン」と称する。ADAS ECU110、ブレーキ制御ECU111、ステアリング制御ECU112、エンジン制御ECU113、カメラ114、GPSセンサ115、および加速度センサ116は、車両2の運転支援や自動運転を行うための装置であり、相互に接続されてネットワークを構成している。以下では、このネットワークを「運転支援系ネットワークドメイン」と称する。ユーザースイッチ117、表示装置118、およびナビゲーションシステム119は、車両2の運転者に対するユーザーインタフェースを提供するための装置であり、相互に接続されてネットワークを構成している。以下では、このネットワークを「情報系ネットワークドメイン」と称する。すなわち、車載遠隔監視装置20は、制御系ネットワークドメインと、運転支援系ネットワークドメインと、情報系ネットワークドメインとに接続されており、これらのネットワーク内の各装置との間でデータ通信を行う。
[0014]
 上記の各ネットワークにおいて、同じネットワーク内の各装置は、車載遠隔監視装置20を介さずに直接データ通信を行うことができる。例えば、制御系ネットワークドメイン内では、車両2の走行制御のための通信が行われる。運転支援系ネットワークドメイン内では、車両2の運転支援や自動運転のための通信が行われる。情報系ネットワークドメイン内では、車両2の運転者に対するユーザーインタフェースのための通信が行われる。一方、異なるネットワークに属する装置間のデータ通信は、車載遠隔監視装置20を介して行われる。
[0015]
 無線通信装置105は、車載遠隔監視装置20に接続されており、路側器3との間で無線通信を行う。車載遠隔監視装置20は、無線通信装置105を介した無線通信によって、路側器3とデータ通信を行う。
[0016]
 ステアリングECU106は、車両2の運転者によるステアリング操作、またはステアリング制御ECU112から送信されるステアリング制御命令に応じて、車両2の操舵機構を制御して進行方向制御を行う装置である。ブレーキECU107は、車両2の運転者によるブレーキ操作、またはブレーキ制御ECU111から送信されるブレーキ制御命令に応じて、車両2のブレーキを制御して減速制御を行う装置である。エンジンECU108は、車両2の走行状態、またはエンジン制御ECU113から送信されるエンジン制御命令に応じて、車両2のエンジンを制御して速度制御を行う装置である。方向指示器109は、車両2の運転者による方向指示操作、またはADAS ECU110から送信される方向指示命令に応じて、車両2に設けられたライトを点灯し、車両2が進路変更を行うときに当該進路変更の方向を周囲の他車両に通知する装置である。これらの装置により、車両2の走行制御が行われる。
[0017]
 ADAS ECU110は、車両2の内外の情報から車両2の加速、減速、停止などを判断し、その判断結果を用いて車両2の自動運転や運転支援サービスを実現する装置である。ADAS ECU110は、カメラ114から取得した外部画像や、GPSセンサ115から取得した車両2の位置や、加速度センサ116から取得した車両2の加速度や、ナビゲーションシステム119が保持する車両2の周辺地図情報などを参照して、車両2の挙動を決定する。そして、ブレーキ制御ECU111や、ステアリング制御ECU112や、エンジン制御ECU113に対して、決定した車両2の挙動に応じた制御命令をそれぞれ出力するように指示する。これにより、ADAS ECU110は、車両2の加速・操舵・制動を全て自動的に行い、車両2の自動運転機能を実現する。
[0018]
 車両2の運転者であるユーザーは、ADAS ECU110の自動運転機能を利用することで、運転操作を行うことなく、車両2を目的地まで自動で走行させることが可能である。例えば、車両2が同一の走行車線を維持しながら目的地まで走行している場合、ADAS ECU110は、カメラ114から取得した外部画像に基づいて、車両2の前後における障害物の有無を確認する。なお、カメラ114に替えて不図示のレーダセンサ等を用いてもよい。また、ADAS ECU110は、ナビゲーションシステム119から取得した地図情報に基づいて、走行車線の形状に沿った車両2の進行方向や走行速度を決定し、これらの値に応じた制御パラメータを含む車両情報を、ブレーキ制御ECU111、ステアリング制御ECU112、エンジン制御ECU113に対してそれぞれ送信する。これにより、車両2を走行車線に沿って自動的に走行させることができる。さらに、例えば自動運転を実施中に車両2が車線変更する場合、ADAS ECU110は、方向指示器109の動作を制御し、車線変更を行う方向に方向指示器109を点灯させる。また、カメラ114から取得した外部画像に基づいて、変更先の車線における障害物の有無を確認した上で、車線変更時の車両2の挙動を決定し、その値に応じた制御パラメータを含む車両情報を、ブレーキ制御ECU111、ステアリング制御ECU112、エンジン制御ECU113に対してそれぞれ送信する。これにより、車両2を自動的に車線変更させることができる。
[0019]
 ブレーキ制御ECU111は、ADAS ECU110の指示に応じて、ブレーキECU107に対してブレーキ強度を含むブレーキ制御命令を送信する装置である。ステアリング制御ECU112は、ADAS ECU110の指示に応じて、ステアリングECU106に対してステアリングの操作角度を含むステアリング制御命令を送信する装置である。エンジン制御ECU113は、ADAS ECU110の指示に応じて、エンジンECU108に対してエンジンの回転数を含むエンジン制御命令を送信する装置である。カメラ114は、車両2の周囲を撮影した画像をADAS ECU110に出力する装置である。GPSセンサ115は、衛星から信号を受信して車両2の位置を測位する測位装置である。加速度センサ116は、車両2の前後方向や左右方向の加速度を検知する装置である。これらの装置により、車両2の運転支援や自動運転が行われる。
[0020]
 ユーザースイッチ117は、車両2の運転者による所定の入力操作を検出する装置である。車両2の運転者であるユーザーは、例えば車両2の自動運転や運転支援機能を無効から有効に、もしくは有効から無効に切り替える際に、ユーザースイッチ117を使用する。表示装置118は、例えば液晶モニタ等であり、運転者に対して種々の情報を表示する。例えば、車両2において自動運転や運転支援が実施されている場合は、これらの機能が有効であることを表示装置118に表示することで、運転者が車両2の状態を把握できるようにする。ナビゲーションシステム119は、道路形状等の地図情報を保持しており、ユーザーやADAS ECU110からの要求などに応じて、車両2周辺の地図情報を提供する装置である。これらの装置により、車両2の運転者に対するユーザーインタフェースが提供される。
[0021]
 車載遠隔監視装置20は、記憶装置101、CPU102、およびメモリ部103を備える。記憶装置101は、例えばHDDやフラッシュメモリ等の補助記憶装置である。CPU102は、例えば記憶装置101などに記憶された所定の制御プログラムを読み込んで実行することにより、車載遠隔監視装置20を制御する。
[0022]
 メモリ部103は、CPU102が制御プログラムを実行する際に利用する主記憶装置である。
[0023]
 CPU102は、インシデント検知処理部120、通信制御部130、機能停止部140、警告処理部150、および復旧策処理部160を機能的に備える。すなわち、インシデント検知処理部120、通信制御部130、機能停止部140、警告処理部150、および復旧策処理部160は、CPU102が実行する制御プログラムによってソフトウェア的に実現される。インシデント検知処理部120、通信制御部130、機能停止部140、警告処理部150、および復旧策処理部160については、後に詳述する。
[0024]
 なお、インシデント検知処理部120、通信制御部130、機能停止部140、警告処理部150、および復旧策処理部160を、例えばFPGAのようなCPU102と同等の機能を実現できる電子回路などによってそれぞれ構成することも可能である。
[0025]
 図3は、路側器3およびセンタサーバ5のハードウェア構成を例示するブロック図である。路側器3は、路側器制御部205と無線送受信部206を備える。
[0026]
 無線送受信部206は、無線信号を送受信することにより、車両2に搭載された車載遠隔監視装置20とデータ通信を行う。路側器制御部205は、路側器3を制御する。路側器制御部205は、ネットワーク4に接続されている。路側器制御部205は、ネットワーク4を介してセンタサーバ5とデータ通信を行う。路側器制御部205は、無線送受信部206を制御して、センタサーバ5から送信された情報を車両2に送信したり、車両2から受信した情報をセンタサーバ5に送信したりする。
[0027]
 センタサーバ5は、記憶装置501、CPU502、およびメモリ部503を備える。記憶装置501は、例えばHDDやフラッシュメモリ等の補助記憶装置である。CPU502は、例えば記憶装置501などに記憶された所定の制御プログラムを読み込んで実行することにより、路側器3に送受信する情報を処理する。メモリ部503は、CPU502が制御プログラムを実行する際に利用する主記憶装置である。
[0028]
 CPU502は、送受信情報処理部510、インシデント分析処理部520、および復旧策生成部530を機能的に備える。すなわち、送受信情報処理部510、インシデント分析処理部520、および復旧策生成部530は、CPU502が実行する制御プログラムによってソフトウェア的に実現される。送受信情報処理部510、インシデント分析処理部520、および復旧策生成部530については、後に詳述する。
[0029]
 次に、車載遠隔監視装置20およびセンタサーバ5の機能構成について説明する。
[0030]
 図4は、車載遠隔監視装置20の機能構成を例示するブロック図である。記憶装置101は、車両情報DB171を有する。
[0031]
 復旧策処理部160は、無線通信装置105を用いて路側器3と通信を行い、復旧策900を路側器3を介してセンタサーバ5から受信する。受信した復旧策900は、通信制御部130に出力される。復旧策900は、前述の制御系ネットワークドメイン、運転支援系ネットワークドメインまたは情報系ネットワークドメインにおいて、いずれかの装置がサイバー攻撃を受けることでセキュリティ上のインシデントが発生した場合に、そのインシデント発生元の装置を復旧させるためにセンタサーバ5から送信される情報である。復旧策900には、例えば当該装置で動作するソフトウェアのバックデート命令や設定ファイル、更新ソフトウェアなどが含まれる。
[0032]
 インシデント検知処理部120は、車両情報DB171に格納されている車両情報や、ナビゲーションシステム119に格納されている地図情報600に基づいて、インシデントが発生した場合にこれを検知する。インシデントの発生を検知した場合、インシデント検知処理部120は、無線通信装置105を用いて路側器3と通信を行い、検知したインシデントに関するインシデント情報700を路側器3を介してセンタサーバ5に送信する。インシデント情報700には、インシデントを検知した場所、インシデントを検知したときの情報送信元の装置のソフトウェアバージョン、インシデントの原因、インシデントの検知日時などが含まれる。また、インシデントの発生を検出した場合、インシデント検知処理部120は、異なるネットワーク間での情報転送の停止を指示する転送停止指示、車両2の自動運転の停止を指示する自動運転停止指示、インシデントの発生を通知するインシデント発生通知を、通信制御部130、機能停止部140、警告処理部150にそれぞれ出力する。
[0033]
 通信制御部130は、車載遠隔監視装置20に接続されている各ネットワーク間で通信の中継を行う。例えば、運転支援系ネットワークドメインのブレーキ制御ECU111から制御系ネットワークドメインのブレーキECU107に送信されるブレーキ制御指示を、これらのネットワーク間で転送する。同一ネットワーク内の装置間および異なるネットワークの装置間では、後述する車両情報パケット800により通信が行われる。通信制御部130は、各装置間で送受信される車両情報パケット800を受信すると、そのパケットに含まれる情報を、車両2の制御状態を表す車両情報として車両情報DB171に追記する。すなわち、車両情報DB171には、車両情報パケット800に含まれる情報が時系列順に車両情報として格納される。
[0034]
 通信制御部130は、復旧策処理部160から復旧策900を受信すると、受信した復旧策900をあて先の装置に送信する。また、通信制御部130は、インシデント検知処理部120から転送停止指示を受けると、異なるネットワークに属する各装置間の通信を遮断する。
[0035]
 機能停止部140は、インシデント検知処理部120から自動運転停止指示を受けると、車両2の自動運転機能を停止する。機能停止部140は、例えば、運転支援系ネットワークの各装置から制御系ネットワークの各装置への情報転送を遮断するように通信制御部130に指示したり、通信制御部130を介してADAS ECU110に自動運転機能の停止指示を行ったりすることで、車両2の自動運転機能を停止する。
[0036]
 警告処理部150は、インシデント検知処理部120からインシデント発生通知を受けると、表示装置118を用いて、車両2の運転者であるユーザーに対して警告を行う。警告処理部150は、例えば、表示装置118に所定の画面を表示することで、ユーザーに対して、ユーザースイッチ117を用いて自動運転から手動運転への切り替え操作を行うように指示する。ユーザースイッチ117において切り替え操作が入力されると、警告処理部150は、その旨をインシデント検知処理部120に通知する。
[0037]
 図5は、センタサーバ5の機能構成を例示するブロック図である。記憶装置501は、インシデント情報DB551を有する。
[0038]
 送受信情報処理部510は、路側器3との情報の送受信を行う。例えば、送受信情報処理部510は、車両2から送信されたインシデント情報700を路側器3を経由して受信する。送受信情報処理部510は、車両2から受信したインシデント情報700を、インシデント情報DB551に格納する。
[0039]
 インシデント分析処理部520は、インシデント情報DB551に格納されているインシデント情報700を分析し、その分析結果を復旧策生成部530に通知する。
[0040]
 復旧策生成部530は、インシデント分析処理部520の分析結果に基づいて、車両2において発生したインシデントに対応する復旧策900を生成する。送受信情報処理部510は、復旧策生成部530により生成された復旧策900を路側器3を経由して車両2に送信する。
[0041]
 図6は、地図情報600の構成を例示する説明図である。地図情報600は、リンクID601、制限速度602、方向制限603、第1緯度情報604、第2緯度情報605、第1経度情報606、および第2経度情報607の各情報を含む。
[0042]
 リンクID601は、道路リンクごとに付されたリンクIDを表す。このリンクID601の値により、当該地図情報がどの道路リンクに対応するものであるかが特定される。なお、リンクIDの値は、互いに重複しないように、道路リンクごとに固有の値が予め設定されている。
[0043]
 制限速度602は、当該地図情報に対応する道路リンクに対して設定されている制限速度を表す。この制限速度602の値に応じて、車両2の自動運転中における走行速度の上限値が設定される。
[0044]
 方向制限603は、当該地図情報に対応する道路リンクの向きを表す。方向制限603は、所定方向(例えば磁北方向)を0とする角度で表現される。
[0045]
 第1緯度情報604は、当該地図情報に対応する道路リンクの位置を表す緯度値である。第2緯度情報605は、第1緯度情報604の値が北緯(N)か南緯(S)かを表す情報である。第1経度情報606は、当該地図情報に対応する道路リンクの位置を表す経度値である。第2経度情報607は、第1経度情報606の値が東経(E)か西経(W)かを表す情報である。
[0046]
 図7は、車両情報パケット800の構成を例示する説明図である。車両情報パケット800は、CAN ID801、制御パラメータ802、および測定時間803の各情報を含む。
[0047]
 CAN ID801は、車両情報パケット800の送信元に設定されているCAN IDを示す情報である。ネットワーク内の各装置には、装置ごとに固有の番号がCAN IDとして予め設定されている。各装置は、車両情報パケット800を送信する際に、自身に設定されているCAN IDを示す情報をCAN ID801として設定する。
[0048]
 制御パラメータ802は、車両情報パケット800を受信した装置が行う制御において使用される制御値を表す情報である。制御パラメータ802には、各装置で行われる制御の内容に応じて様々な値が設定される。例えば、アクセル開度、ブレーキ圧、操舵角、エンジン回転数などの情報を、制御パラメータ802で表すことができる。また、方向指示器109の動作状態を表す情報や、カメラ114の撮影画像データなども、制御パラメータ802に含めることができる。
[0049]
 測定時間803は、車両情報パケット800の送信時間(時刻)を表す情報である。各装置は、車両情報パケット800を送信する際に、そのときの時刻を示す情報を測定時間803として設定する。
[0050]
 図8は、車載遠隔監視装置20のCPU102が実行する車両情報監視処理のフローチャートである。このフローチャートに示す処理は、車両2に搭載された車載遠隔監視装置20のCPU102において、所定時間ごとに実行される。
[0051]
 ステップS10において、CPU102は、インシデント検知処理部120により、車両情報DB171に蓄積されている車両情報を車両情報DB171から読み出して取得する。このとき、前回までの処理で既に取得済みの車両情報を除外し、未取得の車両情報のみを抽出して取得することが好ましい。
[0052]
 ステップS20において、CPU102は、インシデント検知処理部120により、ステップS10で取得した車両情報に基づいて、車両2が自動運転中であるか否かを判定する。自動運転中であれば処理をステップS30に進め、そうでない場合、すなわちユーザーによる手動運転中の場合は処理をステップS110に進める。
[0053]
 ステップS30において、CPU102は、インシデント検知処理部120により、ステップS10で取得した車両情報が所定の送信ルールに違反しているか否かを判定する。その結果、車両情報が送信ルールに違反していると判定した場合は処理をステップS70に進め、違反していないと判定した場合は処理をステップS40に進める。具体的には、例えば、CAN ID801の値が予め登録された番号リストに含まれているか否かを確認したり、制御パラメータ802の値が予め設定された範囲内であるか否かを確認したり、測定時間803の値と現在時刻との差が予め設定された閾値未満であるか否かを確認したりすることで、ステップS30の判定が行われる。なお、車載遠隔監視装置20では、これらの判定基準値、すなわちCAN ID801の番号リスト、制御パラメータ802の設定範囲、測定時間803と現在時刻との差の閾値などが、送信ルールとして予め設定されている。
[0054]
 ステップS40において、CPU102は、インシデント検知処理部120により、ステップS10で取得した車両情報に基づいて、車両2が進路変更を行うか否かを判定する。その結果、車両2が進路変更を行うと判定した場合は処理をステップS50に進め、進路変更を行わないと判定した場合は図8の車両情報監視処理を終了する。具体的には、例えば、車両情報における制御パラメータ802の値が所定角度以上の操舵角を表している場合に、車両2が進路変更を行うと判断する。また、ナビゲーションシステム119に搭載された地図情報600に基づいて、車両2が進路変更を行うか否かを判断してもよい。例えば、地図情報600から車両2が走行している道路の向きを求め、これを車両2の操舵角、位置、加速度などを表す車両情報と比較することで、車両2が進路変更を行うか否かを判断する。さらにこのとき、カメラ114の撮影画像などを利用してもよい。これ以外にも様々な方法でステップS40の判定を行うことが可能である。なお、進路変更には、例えば走行車線の逸脱や、交差点での右左折等が含まれる。
[0055]
 ステップS50において、CPU102は、インシデント検知処理部120により、ステップS10で取得した車両情報に基づいて、車両2の進路変更方向を正しく通知しているか否かを判定する。その結果、進路変更方向を正しく通知していると判定した場合は処理をステップS60へ進め、通知していないと判定した場合は処理をステップS70へ進める。具体的には、例えば、車両情報における制御パラメータ802の値から方向指示器109の動作状態を確認し、方向指示器109がステップS40で判断した進路変更の方向を正しく示す動作をしているか否かを判断することで、ステップS50の判定を行うことができる。
[0056]
 ステップS60において、CPU102は、インシデント検知処理部120により、ステップS10で取得した車両情報に基づいて、車両2の進路変更の妨げとなる障害物が存在するか否かを判定する。その結果、障害物が存在すると判定した場合は処理をステップS70へ進め、存在しないと判定した場合は図8の車両情報監視処理を終了する。具体的には、例えば、カメラ114で取得された画像情報を表す車両情報に基づいて、進路変更の際に車両2の周囲に、進路変更の妨げとなる他車両や物体が存在するかを判断する。その結果、進路変更の妨げとなる他車両や物体が存在する場合は、それを障害物と認識する。このとき、カメラ114に替えて、またはカメラ114と併用して、不図示のレーダセンサ等を用いてもよい。
[0057]
 ステップS70において、CPU102は、インシデント検知処理部120により、インシデントを検知する。すなわち、ステップS30で判定された車両情報の送信ルール違反や、ステップS50で判定された不正な進路変更方向の通知や、ステップS60で判定された進路変更時の障害物の存在などの事象を、車両2において発生したインシデントとして検知する。
[0058]
 ステップS80において、CPU102は、車両2の自動運転機能を停止するための自動運転機能停止処理を実行する。この自動運転機能停止処理の詳細については、後で図9を参照して説明する。
[0059]
 ステップS90において、CPU102は、通信制御部130により、特定の車両情報を対象に、当該車両情報の他のネットワークへの転送を遮断する。このときインシデント検知処理部120は、通信制御部130に転送停止指示を出力する。インシデント検知処理部120から転送停止指示を受けた通信制御部130は、例えば、運転支援系ネットワークに属する各装置のCAN IDを有する車両情報を対象に、他のネットワークへの転送を遮断する。
[0060]
 ステップS100において、CPU102は、インシデント検知処理部120により、検知したインシデントに関するインシデント情報700を無線通信装置105に出力し、路側器3を介してセンタサーバ5に送信する。ステップS100を実行したら、図8の車両情報監視処理を終了する。
[0061]
 車両2が自動運転中でない場合、ステップS110において、CPU102は、インシデント検知処理部120により、ステップS10で取得した車両情報が所定の送信ルールに違反しているか否かを判定する。その結果、車両情報が送信ルールに違反していると判定した場合は処理をステップS120に進め、違反していないと判定した場合は図8の車両情報監視処理を終了する。なお、ステップS110の判定は、ステップS30と同様にして行うことができる。
[0062]
 ステップS120において、CPU102は、インシデント検知処理部120により、インシデントを検知する。すなわち、ステップS110で判定された車両情報の送信ルール違反を、車両2において発生したインシデントとして検知する。
[0063]
 ステップS130において、CPU102は、通信制御部130により、ステップS90と同様にして、特定の車両情報を対象に、当該車両情報の他のネットワークへの転送を遮断する。
[0064]
 ステップS140において、CPU102は、機能停止部140により、車両2における自動運転機能の動作を禁止する。このときインシデント検知処理部120は、機能停止部140に自動運転停止指示を出力する。インシデント検知処理部120から自動運転停止指示を受けた機能停止部140は、例えば、通信制御部130を介してADAS ECU110に自動運転機能の禁止指示を行うことで、自動運転機能の動作を禁止する。
[0065]
 ステップS150において、CPU102は、インシデント検知処理部120により、検知したインシデントに関するインシデント情報700を無線通信装置105に出力し、路側器3を介してセンタサーバ5に送信する。ステップS150を実行したら、図8の車両情報監視処理を終了する。
[0066]
 図9は、図8のステップS80で実行される自動運転機能停止処理のフローチャートである。
[0067]
 ステップS210において、CPU102は、警告処理部150により、自動運転から手動運転への切り替えを車両2の運転者であるユーザーに指示する。このときインシデント検知処理部120は、警告処理部150にインシデント発生通知を出力する。インシデント検知処理部120からインシデント発生通知を受けた警告処理部150は、例えば、通信制御部130を介して表示装置118に所定の画面表示を指示することで、自動運転から手動運転への切り替えを行うようにユーザーに促す。
[0068]
 ステップS220において、CPU102は、自動運転から手動運転に切り替えられたか否かを判定する。ステップS210の指示に応じてユーザーがユーザースイッチ117により所定の切り替え操作を行うことで、ADAS ECU110の自動運転機能が停止された場合、自動運転から手動運転に切り替えられたと判定してステップS260に進む。一方、ユーザースイッチ117に対して切り替え操作が入力されていない場合、自動運転から手動運転への切り替えが行われていないと判定し、ステップS230に進む。
[0069]
 ステップS230において、CPU102は、ステップS210で手動運転への切り替えをユーザーに指示してから一定時間、例えば10秒間が経過したか否かを判定する。一定時間が経過した場合はステップS240に進み、経過していない場合はステップS220に戻る。
[0070]
 ステップS240において、CPU102は、ADAS ECU110に対して、車両2を路肩に停止させるように指示する。なお、車両2が安全に停止可能な場所であれば、路肩以外の場所であってもよい。これにより、ステップS210で手動運転への切り替えをユーザーに指示してから一定時間内に、ユーザースイッチ117に対して所定の切り替え操作が行われない場合には、車両2を安全な場所に停止させるように指示する。
[0071]
 ステップS250において、CPU102は、車両2の制御状態を自動運転から手動運転に切り替える。例えば、機能停止部140からADAS ECU110に対して、自動運転機能を停止する指示を出力する。この指示を受けたADAS ECU110は、ブレーキ制御ECU111、ステアリング制御ECU112、およびエンジン制御ECU113に対して、車両2の加速・操舵・制動に関する制御命令の出力を禁止することで、自動運転機能を利用できなくする。ステップS250を実行したら、処理をステップS260に進める。
[0072]
 ステップS260において、CPU102は、警告処理部150により、自動運転の利用が不可であることをユーザーに通知する。このとき警告処理部150は、例えば、通信制御部130を介して表示装置118に所定のメッセージを表示させることで、インシデントの発生により自動運転が利用できないことをユーザーに通知する。
[0073]
 ステップS270において、CPU102は、機能停止部140により、車両2における自動運転機能の動作を禁止する。このとき機能停止部140は、図8のステップS140と同様に、例えば、通信制御部130を介してADAS ECU110に自動運転機能の禁止指示を行うことで、自動運転機能の動作を禁止する。ステップS270を実行したら、図9の自動運転機能停止処理を終了する。
[0074]
 次に、車両情報ネットワークシステム1全体の動作について説明する。図10は、車両情報ネットワークシステム1全体の動作を示すシーケンス図である。車両情報ネットワークシステム1において、センタサーバ5、車載遠隔監視装置20、およびネットワーク内の各装置は、それぞれ図10に示す処理を実行する。
[0075]
 ステップS301において、センタサーバ5は、車載遠隔監視装置20から路側器3を介して送信されたインシデント情報700を受信し、インシデント情報DB551に保存する。
[0076]
 ステップS302において、センタサーバ5は、インシデント分析処理部520によりインシデント情報700の分析を行う。ここでは、例えば車両2における異常発生箇所の特定や、その原因を分析する。
[0077]
 ステップS303において、センタサーバ5は、ステップS302で行ったインシデント情報の分析結果に基づいて、復旧策生成部530により、プログラム修正用のパッチやバックデート指示などの復旧策900を生成する。そして、生成した復旧策900を、路側器3を介して車載遠隔監視装置20に送信する。
[0078]
 ステップS401において、車載遠隔監視装置20は、ネットワークの各装置から送信される車両情報パケット800を受信する。そして、受信した車両情報パケット800を車両情報DB171に蓄積すると共に、指定されたあて先に従い、必要に応じて他のネットワークに転送するドメイン間通信を実施する。
[0079]
 インシデントが発生した場合、ステップS402において車載遠隔監視装置20は、図8の車両情報監視処理を実施することで、発生したインシデントを検知し、センタサーバ5にインシデント情報700を送信する。
[0080]
 ステップS403において、車載遠隔監視装置20は、車両2の状態を確認し、自動運転中であるか否かを判断する。
[0081]
 ステップS403で車両2が自動運転中であると判断した場合、ステップS404において、車載遠隔監視装置20は、図9の自動運転機能停止処理を実施することで、ADAS ECU110に対して自動運転機能の停止を指示する。
[0082]
 ステップS405において、車載遠隔監視装置20は、センタサーバ5から送信された復旧策900を受信し、インシデント発生箇所の装置に対して復旧策900を実施する。
[0083]
 ステップS501において、制御系ネットワークドメイン内のステアリングECU106、ブレーキECU107、エンジンECU108、および方向指示器109の各装置と、運転支援系ネットワークドメイン内のADAS ECU110、ブレーキ制御ECU111、ステアリング制御ECU112、エンジン制御ECU113、カメラ114、GPSセンサ115、および加速度センサ116の各装置と、情報系ネットワークドメイン内のユーザースイッチ117および表示装置118の各装置は、車両情報パケット800を他の装置に送信する。
[0084]
 ステップS502において、ADAS ECU110は、車載遠隔監視装置20から自動運転機能の停止指示を受けると、自動運転機能を停止する。
[0085]
 ステップS503において、車両2のネットワーク内で発生したインシデントの影響を受ける各装置は、車載遠隔監視装置20が実施した復旧策900を適用する。
[0086]
 以上説明した本発明の一実施形態によれば、以下の作用効果を奏する。
[0087]
(1)車載遠隔監視装置20は、自動運転可能な車両2に搭載されており、車両2の制御状態を表す車両情報を取得し、取得した車両情報に基づいて、車両2において発生したインシデントを検知するインシデント検知処理部120を備える。このようにしたので、車両2において発生したインシデントを確実に素早く検知することができる。
[0088]
(2)インシデント検知処理部120は、車両2が自動運転中のときの車両情報に基づいて、インシデントを検知する。具体的には、インシデント検知処理部120は、車両情報が所定の送信ルールに違反しているか否かを判断し(ステップS30)、車両情報が送信ルールに違反していると判断した場合にインシデントを検知する(ステップS70)。また、インシデント検知処理部120は、車両2が進路変更を行うときに方向指示器109が当該進路変更の方向を示しているか否かを、方向指示器109の動作状態に関する情報を含む車両情報に基づいて判断し(ステップS50)、方向指示器109が当該進路変更の方向を示していないと判断した場合にインシデントを検知する(ステップS70)。また、インシデント検知処理部120は、車両2が進路変更を行うときに当該進路変更の妨げとなる障害物が存在するか否かを、車両2の周辺に存在する物体に関する情報を含む車両情報に基づいて判断し(ステップS60)、障害物が存在すると判断した場合にインシデントを検知する(ステップS70)。このようにしたので、車両2が自動運転中のときにインシデントが発生した場合に、これを確実に素早く検知することができる。
[0089]
(3)車両2は、地図情報600を記憶する地図記憶装置、すなわちナビゲーションシステム119を搭載している。インシデント検知処理部120は、ステップS40において、ナビゲーションシステム119に記憶された地図情報600に基づいて、車両2が進路変更を行うか否かを判断することができる。このようにすれば、車両2が進路変更を行うときに、これを確実に検知することができる。
[0090]
(4)インシデント検知処理部120は、車両2が手動運転中のときの車両情報に基づいて、インシデントを検知することもできる。具体的には、インシデント検知処理部120は、車両情報が所定の送信ルールに違反しているか否かを判断し(ステップS110)、車両情報が送信ルールに違反していると判断した場合にインシデントを検知する(ステップS120)。このようにしたので、車両2が手動運転中のときにインシデントが発生した場合に、これを確実に素早く検知することができる。
[0091]
(5)車載遠隔監視装置20は、車両2の自動運転機能を停止する機能停止部140と、車両2の運転者に対して警告を行う警告処理部150と、をさらに備える。インシデント検知処理部120は、車両2が自動運転中のときにインシデントを検知すると、警告処理部150を用いて自動運転から手動運転への切り替え操作を運転者に指示し(ステップS210)、その後、機能停止部140に自動運転機能を停止させる(ステップS270)。このようにしたので、車両2においてインシデントが発生した場合に、自動運転から手動運転への切り替えを安全に行うことができる。
[0092]
(6)なお、運転者への指示を行ってから一定時間内に切り替え操作が行われない場合(ステップS230:Yes)、車載遠隔監視装置20は、車両2を安全な場所に停止させる(ステップS240)。このようにしたので、運転者が即時に手動運転を行えない場合でも、車両2の安全を確保することができる。
[0093]
 なお、以上説明した実施形態や各種の変形例はあくまで一例である。本発明の特徴を損なわない限り、本発明は上記実施の形態に限定されるものではなく、本発明の技術的思想の範囲内で考えられるその他の形態についても、本発明の範囲内に含まれる。
[0094]
 次の優先権基礎出願の開示内容は引用文としてここに組み込まれる。
 日本国特許出願2017年第168882号(2017年9月1日出願)

符号の説明

[0095]
1…車両情報ネットワークシステム、2…車両、3…路側器、4…ネットワーク、5…センタサーバ、20…車載遠隔監視装置、101…記憶装置、102…CPU、103…メモリ部、105…無線通信装置、106…ステアリングECU、107…ブレーキECU、108…エンジンECU、109…方向指示器、110…ADAS ECU、111…ブレーキ制御ECU、112…ステアリング制御ECU、113…エンジン制御ECU、114…カメラ、115…GPSセンサ、116…加速度センサ、117…ユーザースイッチ、118…表示装置、119…ナビゲーションシステム

請求の範囲

[請求項1]
 自動運転可能な車両に搭載される車載装置であって、
 前記車両の制御状態を表す車両情報を取得し、前記車両情報に基づいて、前記車両において発生したインシデントを検知するインシデント検知処理部を備える車載装置。
[請求項2]
 請求項1に記載の車載装置において、
 前記インシデント検知処理部は、前記車両が自動運転中のときの前記車両情報に基づいて、前記インシデントを検知する車載装置。
[請求項3]
 請求項2に記載の車載装置において、
 前記インシデント検知処理部は、前記車両情報が所定の送信ルールに違反しているか否かを判断し、前記車両情報が前記送信ルールに違反していると判断した場合に前記インシデントを検知する車載装置。
[請求項4]
 請求項2に記載の車載装置において、
 前記車両情報は、前記車両の方向指示器の動作状態に関する情報を含み、
 前記インシデント検知処理部は、前記車両が進路変更を行うときに前記方向指示器が当該進路変更の方向を示しているか否かを前記車両情報に基づいて判断し、前記方向指示器が前記方向を示していないと判断した場合に前記インシデントを検知する車載装置。
[請求項5]
 請求項2に記載の車載装置において、
 前記車両情報は、前記車両の周辺に存在する物体に関する情報を含み、
 前記インシデント検知処理部は、前記車両が進路変更を行うときに当該進路変更の妨げとなる障害物が存在するか否かを前記車両情報に基づいて判断し、前記障害物が存在すると判断した場合に前記インシデントを検知する車載装置。
[請求項6]
 請求項4または請求項5に記載の車載装置において、
 前記車両は、地図情報を記憶する地図記憶装置を搭載しており、
 前記インシデント検知処理部は、前記地図記憶装置に記憶された前記地図情報に基づいて、前記車両が進路変更を行うか否かを判断する車載装置。
[請求項7]
 請求項1に記載の車載装置において、
 前記インシデント検知処理部は、前記車両が手動運転中のときの前記車両情報に基づいて、前記インシデントを検知する車載装置。
[請求項8]
 請求項7に記載の車載装置において、
 前記インシデント検知処理部は、前記車両情報が所定の送信ルールに違反しているか否かを判断し、前記車両情報が前記送信ルールに違反していると判断した場合に前記インシデントを検知する車載装置。
[請求項9]
 請求項1から請求項8までのいずれか一項に記載の車載装置において、
 前記車両の自動運転機能を停止する機能停止部と、
 前記車両の運転者に対して警告を行う警告処理部と、をさらに備え、
 前記インシデント検知処理部は、前記車両が自動運転中のときに前記インシデントを検知すると、前記警告処理部を用いて自動運転から手動運転への切り替え操作を前記運転者に指示した後、前記機能停止部に前記自動運転機能を停止させる車載装置。
[請求項10]
 請求項9に記載の車載装置において、
 前記運転者への指示を行ってから一定時間内に前記切り替え操作が行われない場合、前記車両を安全な場所に停止させる車載装置。
[請求項11]
 自動運転可能な車両に搭載された車載装置におけるインシデント監視方法であって、
 前記車両の制御状態を表す車両情報を取得し、
 前記車両情報に基づいて、前記車両において発生したインシデントを検知するインシデント監視方法。

図面

[ 図 1]

[ 図 2]

[ 図 3]

[ 図 4]

[ 図 5]

[ 図 6]

[ 図 7]

[ 図 8]

[ 図 9]

[ 図 10]