特開 2022-146311 駆動制御システム及び駆動手段制御方法

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】公開特許公報(A)

(11)【公開番号】P2022146311

(43)【公開日】2022-10-05

(54)【発明の名称】駆動制御システム及び駆動手段制御方法

(51)【国際特許分類】

   H04L 12/28 20060101AFI20220928BHJP

   B60R 16/023 20060101ALI20220928BHJP

【ＦＩ】

H04L12/28 200Z

B60R16/023 P

【審査請求】未請求

【請求項の数】5

【出願形態】ＯＬ

(21)【出願番号】P 2021047204

(22)【出願日】2021-03-22

(71)【出願人】

【識別番号】000000170

【氏名又は名称】いすゞ自動車株式会社

(74)【代理人】

【識別番号】100166006

【弁理士】

【氏名又は名称】泉 通博

(74)【代理人】

【識別番号】100124084

【弁理士】

【氏名又は名称】黒岩 久人

(74)【代理人】

【識別番号】100154070

【弁理士】

【氏名又は名称】久恒 京範

(74)【代理人】

【識別番号】100153280

【弁理士】

【氏名又は名称】寺川 賢祐

(72)【発明者】

【氏名】内田 裕太

【テーマコード（参考）】

5K033

【Ｆターム（参考）】

5K033AA08

5K033BA06

5K033CB01

5K033DB18

(57)【要約】

【課題】外部から不正データが送信されても駆動手段を安全に制御する。
【解決手段】駆動制御システム１は、車両の駆動手段３を制御するための駆動制御部１１と、駆動手段３を制御するための制御データを駆動制御部１１に送信する調停部１２と、を備え、調停部１２は、駆動手段３を制御するための制御データを、第１経路Ａを介して駆動制御部１１に送信し、制御データを送信した後に、第１経路Ａと異なる第２経路Ｂを介して、駆動制御部１１から応答データを受信し、駆動制御部１１は、第１経路Ａを介して受信した第１受信データを、第２経路Ｂを介して、応答データとして調停部１２に送信し、調停部１２は、制御データと応答データとが一致していないと判定した場合に、第２経路Ｂを介して、制御データを駆動制御部１１に送信する。
【選択図】図１

【特許請求の範囲】

【請求項1】

車両の駆動手段を制御するための駆動制御部と、
前記駆動手段を制御するための制御データを前記駆動制御部に送信する調停部と、
を備え、
前記調停部は、前記駆動手段を制御するための前記制御データを、第１経路を介して前記駆動制御部に送信し、前記制御データを送信した後に、前記第１経路と異なる第２経路を介して、前記駆動制御部から応答データを受信し、
前記駆動制御部は、前記第１経路を介して受信したデータを含む前記応答データを、前記第２経路を介して前記調停部に送信し、
前記調停部は、前記制御データと前記応答データに含まれるデータとが一致していないと判定した場合に、前記第２経路を介して、前記制御データを前記駆動制御部に送信する、
駆動制御システム。

【請求項2】

前記調停部は、
前記応答データが前記制御データと一致していると判定した場合、前記制御データと前記応答データとが一致していることを示す一致判定結果を、前記第２経路を介して前記駆動制御部に送信し、
前記制御データと前記応答データとが一致していないと判定した場合、前記制御データと前記応答データとが一致していないことを示す不一致判定結果を、前記第２経路を介して前記駆動制御部に送信し、
前記駆動制御部は、
前記一致判定結果を受信した場合、前記第１経路又は前記第２経路を介して受信した前記制御データに基づいて前記駆動手段を制御し、
前記不一致判定結果を受信した場合、前記第２経路を介して受信した前記制御データを含む前記応答データを、前記第２経路を介して前記調停部に送信する、
請求項１に記載の駆動制御システム。

【請求項3】

前記調停部は、前記駆動制御部から受信する前記応答データと、前記第１経路を介して送信した前記制御データとが一致するまでの間、前記第２経路、又は前記第１経路若しくは前記第２経路と異なる経路を介して、前記第１経路を介して送信した前記制御データの送信を繰り返す、
請求項１又は２に記載の駆動制御システム。

【請求項4】

前記調停部は、前記制御データと前記応答データとが一致していないと判定した場合、前記制御データと前記応答データとが一致していないことを示す不一致判定結果を、前記第２経路を介して前記駆動制御部に送信し、
前記駆動制御部は、前記不一致判定結果を受信した場合、前記駆動手段のトルクが閾値以下になるように前記駆動手段を制御する、
請求項１から３のいずれか一項に記載の駆動制御システム。

【請求項5】

コンピュータが実行する、
駆動手段を制御するための制御データを、第１経路を介して、前記駆動手段を制御する駆動制御部に送信するステップと、
前記制御データを送信した後に、前記第１経路と異なる第２経路を介して、前記駆動制御部から応答データを受信するステップと、
前記第１経路を介して前記駆動制御部に送信した前記制御データと、前記第２経路を介して前記駆動制御部から受信した前記応答データに含まれるデータとが一致していないと判定した場合に、前記第２経路を介して、前記制御データを前記駆動制御部に送信するステップと、
を有する駆動手段制御方法。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、駆動制御システム及び駆動手段制御方法に関する。

【背景技術】

【0002】

車両に搭載された電子ユニット間の伝送路上において、外部から不正データが送信されたことを検出するための技術が知られている。特許文献１には、不正データが送信されたと判定した場合に、不正データが送信されたことを報知する技術が開示されている。

【先行技術文献】

【特許文献】

【0003】

【特許文献1】特開２０１４－０１１６２１号公報

【発明の概要】

【発明が解決しようとする課題】

【0004】

従来の技術においては、駆動手段を制御するためのデータが不正データであることが検出された後に、駆動手段を安全に制御することができないという問題が生じていた。

【0005】

そこで、本発明はこれらの点に鑑みてなされたものであり、外部から不正データが送信されても駆動手段を安全に制御することができる駆動制御システム及び駆動手段制御方法を提供することを目的とする。

【課題を解決するための手段】

【0006】

本発明の第１の態様の駆動制御システムは、車両の駆動手段を制御するための駆動制御部と、前記駆動手段を制御するための制御データを前記駆動制御部に送信する調停部と、を備え、前記調停部は、前記駆動手段を制御するための前記制御データを、第１経路を介して前記駆動制御部に送信し、前記制御データを送信した後に、前記第１経路と異なる第２経路を介して、前記駆動制御部から応答データを受信し、前記駆動制御部は、前記第１経路を介して受信したデータを含む前記応答データを、前記第２経路を介して前記調停部に送信し、前記調停部は、前記制御データと前記応答データに含まれるデータとが一致していないと判定した場合に、前記第２経路を介して、前記制御データを前記駆動制御部に送信する。

【0007】

前記調停部は、前記応答データが前記制御データと一致していると判定した場合、前記制御データと前記応答データとが一致していることを示す一致判定結果を、前記第２経路を介して前記駆動制御部に送信し、前記制御データと前記応答データとが一致していないと判定した場合、前記制御データと前記応答データとが一致していないことを示す不一致判定結果を、前記第２経路を介して前記駆動制御部に送信し、前記駆動制御部は、前記一致判定結果を受信した場合、前記第１経路又は前記第２経路を介して受信した前記制御データに基づいて前記駆動手段を制御し、前記不一致判定結果を受信した場合、前記第２経路を介して受信した前記制御データを含む前記応答データを、前記第２経路を介して前記調停部に送信してもよい。

【0008】

前記調停部は、前記駆動制御部から受信する前記応答データと、前記第１経路を介して送信した前記制御データとが一致するまでの間、前記第２経路、又は前記第１経路若しくは前記第２経路と異なる経路を介して、前記第１経路を介して送信した前記制御データの送信を繰り返してもよい。

【0009】

前記調停部は、前記制御データと前記応答データとが一致していないと判定した場合、前記制御データと前記応答データとが一致していないことを示す不一致判定結果を、前記第２経路を介して前記駆動制御部に送信し、前記駆動制御部は、前記不一致判定結果を受信した場合、前記駆動手段のトルクが閾値以下になるように前記駆動手段を制御してもよい。

【0010】

本発明の第２の態様の駆動手段制御方法は、コンピュータが実行する、駆動手段を制御するための制御データを、第１経路を介して、前記駆動手段を制御する駆動制御部に送信するステップと、前記制御データを送信した後に、前記第１経路と異なる第２経路を介して、前記駆動制御部から応答データを受信するステップと、前記第１経路を介して前記駆動制御部に送信した前記制御データと、前記第２経路を介して前記駆動制御部から受信した前記応答データに含まれるデータとが一致していないと判定した場合に、前記第２経路を介して、前記制御データを前記駆動制御部に送信するステップと、を有する。

【発明の効果】

【0011】

本発明によれば、外部から不正データが送信されても駆動手段を安全に制御することができるという効果を奏する。

【図面の簡単な説明】

【0012】

【図1】駆動制御システムの構成を示す図である。

【図2】駆動制御システムにおけるデータの流れを示す図である。

【図3】外部から不正データが入力された異常状態におけるデータの流れを示す図である。

【図4】外部から不正データが入力された異常状態におけるデータの流れを示す図である。

【図5】外部から不正データが入力された場合の駆動制御システムにおける処理の流れを示す図である。

【発明を実施するための形態】

【0013】

［駆動制御システム１の構成］
図１は、駆動制御システム１の構成を示す図である。図１においては、駆動制御システム１と、データ発生ユニット２と、駆動手段３と、が示されている。駆動制御システム１は、一以上のデータ発生ユニット２が生成した制御データに基づいて、車両の駆動手段３を制御するためのシステムである。駆動手段３は、車両を駆動させるための手段であり、例えばエンジン又はモータである。制御データは、駆動手段３を制御するためのデータであり、例えばエンジンスロットルの開閉を制御するためのデータ、又はモータの回転数を制御するためのデータである。

【0014】

データ発生ユニット２（２－１、２－２）は、駆動手段３を制御するための制御データを発生するユニットである。データ発生ユニット２は、例えば車両に搭載された各種のセンサから受信した信号又は運転手の操作内容に基づいて制御データを発生する。データ発生ユニット２は、発生した制御データを駆動制御システム１に送信する。図１には、２つのデータ発生ユニット２が示されているが、駆動制御システム１に接続されているデータ発生ユニット２の数は任意である。

【0015】

駆動制御システム１は、駆動制御部１１と、調停部１２と、記憶部１３と、を有する。駆動制御部１１は、例えばＥＣＭ（Engine Control Module）であり、入力された制御データに基づく制御信号を駆動手段３に入力することにより駆動手段３を制御する。

【0016】

調停部１２は、例えばＣＰＵ（Central Processing Unit）を有しており、記憶部１３に記憶されたプログラムを実行することにより、駆動手段３を制御するための制御データをデータ発生ユニット２から受信し、受信した制御データを駆動制御部１１に送信する。調停部１２は、複数のデータ発生ユニット２から複数の制御データを受信した場合、複数の制御データに基づいて、駆動手段３に送信する制御データを生成してもよい。以下の説明においては、調停部１２が、データ発生ユニット２から受信した制御データを駆動制御部１１に送信する場合を例示するが、調停部１２は、センサからの出力又は運転手の操作に基づいて制御データを生成してもよい。

【0017】

図１に示すように、駆動制御部１１と調停部１２との間には複数の通信経路である第１経路Ａ及び第２経路Ｂが設けられている。通信経路は、例えばＣＡＮ（Controller Area Network）であるが、通信経路は、駆動制御部１１と調停部１２との間でデータを送受信できれば他の通信手段を用いる経路であってもよい。

【0018】

第１経路Ａと第２経路Ｂとは同等のハードウェアにより構成される経路であってもよく、異なるハードウェアにより構成される経路であってもよい。一例として、第１経路Ａは、外部ネットワークに接続された経路であり、第２経路Ｂは、外部ネットワークに接続されていない経路である。

【0019】

記憶部１３は、例えばＲＯＭ（Read Only Memory）、ＲＡＭ（Random Access Memory）及びＳＳＤ（Solid State Drive）等の記憶媒体を有する。記憶部１３は、調停部１２が実行するプログラムを記憶したり、調停部１２が駆動制御部１１に送信する制御データを一時的に記憶したりする。

【0020】

［正常時の動作］
図２は、駆動制御システム１におけるデータの流れを示す図である。図２は、外部から不正データが入力されていない正常状態におけるデータの流れを示している。図２を参照して、駆動制御システム１の基本動作を説明する。

【0021】

調停部１２は、駆動手段３を制御するための制御データを発生する一以上のデータ発生ユニット２から受信した制御データを、第１経路Ａを介して駆動制御部１１に送信する。図２に示す例において、調停部１２は、データ発生ユニット２から制御データを受信した場合、第１経路Ａを介して、受信した制御データに基づく制御データＩＤ－ａ１（Ｘ）を駆動制御部１１に送信する。ＩＤ－ａ１（Ｘ）には、駆動手段３を制御するための制御値Ｘが含まれている。ＩＤ－ａ１（Ｘ）には、経路Ａに対応する識別情報（ＩＤ）が含まれていてもよい。

【0022】

駆動制御部１１は、第１経路Ａを介して受信したデータＩＤ－ａ１（Ｘ）を含む応答データＩＤＡ－ａ１（Ｘ）を、第２経路Ｂを介して調停部１２に送信する。

【0023】

調停部１２は、第１経路Ａを介して制御データＩＤ－ａ１（Ｘ）を駆動制御部１１に送信した後に、第２経路Ｂを介して、駆動制御部１１から応答データＩＤＡ－ａ１（Ｘ）を受信する。調停部１２は、受信した応答データＩＤＡ－ａ１（Ｘ）と、駆動制御部１１に送信した制御データＩＤ－ａ１（Ｘ）とを比較する。調停部１２は、応答データＩＤＡ－ａ１（Ｘ）が制御データＩＤ－ａ１（Ｘ）と一致していると判定した場合、制御データＩＤ－ａ１（Ｘ）と応答データＩＤＡ－ａ１（Ｘ）とが一致していることを示す一致判定結果ＩＤ－ｂ（ＯＫ）を、第２経路Ｂを介して駆動制御部１１に送信する。

【0024】

駆動制御部１１は、一致判定結果を受信した場合、第１経路Ａを介して受信した制御データＩＤ－ａ１（Ｘ）に基づいて駆動手段３を制御する。駆動制御部１１は、制御データＩＤ－ａ１（Ｘ）に制御値Ｘが含まれている場合、制御値Ｘに基づく信号を駆動手段３に入力することにより駆動手段３を動作させる。

【0025】

［不正データを受けた場合の動作］
図３及び図４は、外部から不正データが入力された異常状態におけるデータの流れを示す図である。図５は、外部から不正データが入力された場合の駆動制御システム１における処理の流れを示す図である。以下、図３から図５を参照しながら、外部から駆動制御システム１に不正データが入力された場合の駆動制御システム１の動作を説明する。図５における破線の矢印は第１経路Ａを介したデータの送信を示しており、実線の矢印は第２経路Ｂを介したデータの送信を示している。

【0026】

図２に示した例と同様に、調停部１２は、データ発生ユニット２から受信した制御データを、第１経路Ａを介して駆動制御部１１に送信する（図５におけるＳ１０）。ここでは、図３に示すように、第１経路Ａには外部装置から不正データＩＤ－ａ２（Ｙ）が入力されており、駆動制御部１１にはＩＤ－ａ１（Ｘ）ではなくＩＤ－ａ２（Ｙ）が入力されているものとする（Ｓ１１）。ＩＤ－ａ２（Ｙ）は、制御値Ｙを含む制御データである。駆動制御部１１は、第１経路Ａを介して受信したデータであるＩＤ－ａ２（Ｙ）を含む応答データＩＤＡ－ａ２（Ｙ）を、第２経路Ｂを介して調停部１２に送信する（Ｓ１２）。

【0027】

調停部１２は、第２経路Ｂを介して受信した応答データＩＤＡ－ａ２（Ｙ）と、第１経路Ａを介して駆動制御部１１に送信した制御データＩＤ－ａ１（Ｘ）とを比較する（Ｓ１３）。図５に示す例の場合、応答データＩＤＡ－ａ２（Ｙ）に含まれるデータが、調停部１２が送信した制御データＩＤ－ａ１（Ｘ）と一致しない。調停部１２は、駆動制御部１１に送信した制御データと駆動制御部１１から受信した応答データに含まれるデータとが一致しないと判定した場合、制御データと応答データとが一致していないことを示す不一致判定結果ＩＤ－ｂ（ＮＧ）を、第２経路Ｂを介して駆動制御部１１に送信する（Ｓ１４）。

【0028】

駆動制御部１１は、不一致判定結果を受信すると、第１経路Ａに問題があると判定し、制御データを取得するために用いる経路を第２経路Ｂに切り替える（Ｓ１５）。その後、調停部１２は、第２経路Ｂを介して、第１経路Ａで駆動制御部１１に送信した制御データＩＤ－ａ１（Ｘ）を駆動制御部１１に送信する（Ｓ１６）。

【0029】

続いて、駆動制御部１１は、図４に示すように、第２経路Ｒ１を介して受信したデータＩＤ－ａ１（Ｘ）を含む応答データＩＤＡ－ａ１（Ｘ）を、第２経路Ｂを介して調停部１２に送信する（Ｓ１７）。

【0030】

調停部１２は、受信した応答データＩＤＡ－ａ１（Ｘ）と、駆動制御部１１に送信した制御データＩＤ－ａ１（Ｘ）とを比較する（Ｓ１８）。調停部１２は、駆動制御部１１に送信した制御データと駆動制御部１１から受信した応答データとが一致すると判定した場合、一致判定結果ＩＤ－ｂ（ＯＫ）を、第２経路Ｂを介して駆動制御部１１に送信する（Ｓ１９）。駆動制御部１１は、一致判定結果を受信したことに応じて、第２経路Ｂを介して調停部１２から受信した制御データＩＤ－ａ１（Ｘ）に基づいて駆動手段３を制御する。

【0031】

駆動制御部１１及び調停部１２が以上のように動作することで、外部から第１経路Ａに不正データが入力されたとしても、駆動制御部１１が不正データに基づいて駆動手段３を制御せず、不正データが入力されていない第２経路Ｂを介して受信した正規の制御データに基づいて駆動手段３を制御することができる。したがって、車両に不正データが入力されたとしても、駆動制御システム１は駆動手段３を誤動作させることなく、安全に駆動手段３を動作させることができる。

【0032】

ところで、第１経路Ａに不正データが入力されている場合、第２経路Ｂにも不正な制御データが入力されるという可能性もある。そこで、駆動制御部１１は、第２経路Ｂを介して不一致判定結果を受信した場合、駆動手段３のトルクが閾値以下になるように駆動手段３を制御するフェールセーフ動作を実行してもよい。閾値は、例えば、第１経路Ａを介して不正データを受信した時点における駆動手段３のトルク又は当該トルク未満の値である。この場合、駆動制御部１１は、不正データが外部から入力された可能性があるということを示す警告情報を出力してもよい。駆動制御部１１は、例えば、警告情報をインスツルメントパネルに表示させたり、所定の外部装置に警告情報を送信したりする。

【0033】

［変形例］
以上の説明においては、駆動制御部１１と調停部１２との間に、データを送受信できる第１経路Ａ及び第２経路Ｂが設けられている場合を例示したが、駆動制御部１１と調停部１２との間に３以上の経路が設けられていてもよい。この場合、例えば、第２経路Ｂを介して再送した制御データに対する応答データが、送信した制御データと一致していない場合、調停部１２は、第３の経路を介して制御データを送信してもよい。

【0034】

調停部１２は、制御データと応答データとが一致するまで、異なる経路を用いて制御データの送信を繰り返してもよい。調停部１２は、例えば、駆動制御部１１から受信する応答データと、第１経路Ａを介して送信した制御データとが一致するまでの間、第２経路Ｂ、又は第１経路Ａ若しくは第２経路Ｂと異なる経路（例えば第３経路）を介して、第１経路を介して送信した制御データを再送してもよい。

【0035】

調停部１２が、制御データの送信を繰り返す間に、駆動制御部１１に送信するべき制御値が変化する場合も想定される。このような場合、調停部１２は、制御データに含める制御値を変化させながら、制御データと応答データとが一致するまで、異なる経路を用いて制御データの送信を繰り返してもよい。このように調停部１２が制御データの送信を繰り返すことで、調停部１２は、外部から不正データが入力されない経路を使って、駆動制御部１１に適切な制御値を含む制御データを送信することができる。

【0036】

また、以上の説明においては、応答データが、制御データの全てを含む場合を例示したが、応答データは、制御データの一部を含んでおり、調停部１２は、制御データの一部と応答データの一部とを比較してもよい。例えば、応答データが、制御データに含まれている制御値を含んでおり、調停部１２は、第１経路Ａを介して送信した制御データに含まれる制御値と、第２経路Ｂを介して受信した応答データに含まれる制御値とを比較してもよい。応答データが、制御データに含まれている識別情報を含んでおり、調停部１２は、第１経路Ａを介して送信した制御データに含まれる識別情報と、第２経路Ｂを介して受信した応答データに含まれる識別情報とを比較してもよい。

【0037】

［駆動制御システム１による効果］
以上説明したように、調停部１２は、駆動手段３を制御するための制御データを、第１経路Ａを介して駆動制御部１１に送信し、第２経路Ｂを介して駆動制御部１１から応答データが制御データと一致していないと判定した場合に、第２経路Ｂを介して、制御データを駆動制御部１１に再送する。調停部１２がこのように動作することで、第１経路Ａに外部から不正データが入力された場合であっても、駆動制御部１１が不正データに基づいて駆動手段３を制御しないので、駆動制御システム１は、外部から不正データが送信されても駆動手段３を安全に制御することができる。

【0038】

以上、本発明を実施の形態を用いて説明したが、本発明の技術的範囲は上記実施の形態に記載の範囲には限定されず、その要旨の範囲内で種々の変形及び変更が可能である。例えば、装置の全部又は一部は、任意の単位で機能的又は物理的に分散・統合して構成することができる。また、複数の実施の形態の任意の組み合わせによって生じる新たな実施の形態も、本発明の実施の形態に含まれる。組み合わせによって生じる新たな実施の形態の効果は、もとの実施の形態の効果を併せ持つ。

【符号の説明】

【0039】

１ 駆動制御システム
２ データ発生ユニット
３ 駆動手段
１１ 駆動制御部
１２ 調停部
１３ 記憶部

【図1】

【図2】

【図3】

【図4】

【図5】