ホーム > 特許ランキング > トヨタ自動車株式会社
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2022187250
(43)【公開日】2022-12-19
(54)【発明の名称】制御システム
(51)【国際特許分類】
H02J 13/00 20060101AFI20221212BHJP
H02J 7/00 20060101ALI20221212BHJP
H02J 3/38 20060101ALI20221212BHJP
B60L 53/66 20190101ALI20221212BHJP
B60L 53/68 20190101ALI20221212BHJP
【FI】
H02J13/00 M
H02J7/00 B
H02J7/00 P
H02J3/38 110
H02J13/00 311T
B60L53/66
B60L53/68
【審査請求】未請求
【請求項の数】14
【出願形態】OL
(21)【出願番号】P 2021095180
(22)【出願日】2021-06-07
(71)【出願人】
【識別番号】000003207
【氏名又は名称】トヨタ自動車株式会社
(74)【代理人】
【識別番号】110001195
【氏名又は名称】弁理士法人深見特許事務所
(72)【発明者】
【氏名】江原 雅人
(72)【発明者】
【氏名】黒木 錬太郎
(72)【発明者】
【氏名】小鮒 俊介
(72)【発明者】
【氏名】清原 達郎
(72)【発明者】
【氏名】瀬尾 直弘
(72)【発明者】
【氏名】立石 崇晴
【テーマコード(参考)】
5G064
5G066
5G503
5H125
【Fターム(参考)】
5G064AA04
5G064CA12
5G064CB10
5G064CB21
5G064DA11
5G066AA04
5G066AE09
5G066HA15
5G066HB09
5G066JB03
5G503BA01
5G503BB02
5G503BB03
5G503CA01
5G503CA10
5G503CA11
5G503CB11
5G503DA04
5G503FA06
5G503GD03
5G503GD06
5H125AA01
5H125AC12
5H125AC24
5H125BE01
5H125CC06
5H125CC07
5H125CD03
5H125DD02
5H125EE61
(57)【要約】
【課題】サイバー攻撃の有無を的確に判断し、蓄電装置の充電及び放電の少なくとも一方を信頼性の高いリモート制御で実行できる制御システムを提供する。
【解決手段】制御システムが、制御対象に搭載された蓄電装置の充電及び放電の少なくとも一方をリモート制御するコンピュータを備える。コンピュータは、蓄電装置の充電電力又は放電電力を指示する第1指令を、第1通信経路及び第2通信経路の各々を介して制御対象へ送信する。制御システムは、コンピュータが第1指令を送信したときに制御対象が第1通信経路を介して受信する第2指令と、コンピュータが第1指令を送信したときに制御対象が第2通信経路を介して受信する第3指令とを用いて、第1通信経路と第2通信経路とのいずれかがサイバー攻撃を受けているか否かを判断する判断部をさらに備える。
【選択図】図8
【解決手段】制御システムが、制御対象に搭載された蓄電装置の充電及び放電の少なくとも一方をリモート制御するコンピュータを備える。コンピュータは、蓄電装置の充電電力又は放電電力を指示する第1指令を、第1通信経路及び第2通信経路の各々を介して制御対象へ送信する。制御システムは、コンピュータが第1指令を送信したときに制御対象が第1通信経路を介して受信する第2指令と、コンピュータが第1指令を送信したときに制御対象が第2通信経路を介して受信する第3指令とを用いて、第1通信経路と第2通信経路とのいずれかがサイバー攻撃を受けているか否かを判断する判断部をさらに備える。
【選択図】図8
【特許請求の範囲】
【請求項1】
制御対象に搭載された蓄電装置の充電及び放電の少なくとも一方をリモート制御するコンピュータを備える制御システムであって、
前記コンピュータは、前記蓄電装置の充電電力又は放電電力を指示する第1指令を、第1通信経路及び第2通信経路の各々を介して前記制御対象へ送信するように構成され、
前記制御システムは、
前記コンピュータが前記第1指令を送信したときに前記制御対象が前記第1通信経路を介して受信する第2指令と、前記コンピュータが前記第1指令を送信したときに前記制御対象が前記第2通信経路を介して受信する第3指令とを用いて、前記第1通信経路と前記第2通信経路とのいずれかがサイバー攻撃を受けているか否かを判断する判断部をさらに備える、制御システム。
前記コンピュータは、前記蓄電装置の充電電力又は放電電力を指示する第1指令を、第1通信経路及び第2通信経路の各々を介して前記制御対象へ送信するように構成され、
前記制御システムは、
前記コンピュータが前記第1指令を送信したときに前記制御対象が前記第1通信経路を介して受信する第2指令と、前記コンピュータが前記第1指令を送信したときに前記制御対象が前記第2通信経路を介して受信する第3指令とを用いて、前記第1通信経路と前記第2通信経路とのいずれかがサイバー攻撃を受けているか否かを判断する判断部をさらに備える、制御システム。
【請求項2】
前記判断部は、前記制御対象に搭載され、
前記判断部は、前記第2指令と前記第3指令とが一致しない場合に、前記第1通信経路と前記第2通信経路とのいずれかがサイバー攻撃を受けていると判断する、請求項1に記載の制御システム。
前記判断部は、前記第2指令と前記第3指令とが一致しない場合に、前記第1通信経路と前記第2通信経路とのいずれかがサイバー攻撃を受けていると判断する、請求項1に記載の制御システム。
【請求項3】
前記判断部は、
前記第2指令に従う充電又は放電を実行しているときの前記蓄電装置の充電電力又は放電電力を示す第1電力と、前記第3指令に従う充電又は放電を実行しているときの前記蓄電装置の充電電力又は放電電力を示す第2電力とを取得し、
前記第2指令と前記第3指令とが一致し、かつ、前記第2指令が指示する電力と前記第1電力とが一致し、かつ、前記第3指令が指示する電力と前記第2電力とが一致する場合には、前記第1通信経路と前記第2通信経路とのいずれもサイバー攻撃を受けていないと判断する、請求項2に記載の制御システム。
前記第2指令に従う充電又は放電を実行しているときの前記蓄電装置の充電電力又は放電電力を示す第1電力と、前記第3指令に従う充電又は放電を実行しているときの前記蓄電装置の充電電力又は放電電力を示す第2電力とを取得し、
前記第2指令と前記第3指令とが一致し、かつ、前記第2指令が指示する電力と前記第1電力とが一致し、かつ、前記第3指令が指示する電力と前記第2電力とが一致する場合には、前記第1通信経路と前記第2通信経路とのいずれもサイバー攻撃を受けていないと判断する、請求項2に記載の制御システム。
【請求項4】
前記判断部は、前記第2指令と前記第3指令とが一致しない場合に、前記第1電力と前記第2電力とを用いて、前記第1通信経路と前記第2通信経路とのいずれがサイバー攻撃を受けているかを特定する、請求項3に記載の制御システム。
【請求項5】
前記判断部は、
前記第2指令と前記第3指令とが一致し、かつ、前記第2指令が指示する電力と前記第1電力とが一致せず、かつ、前記第3指令が指示する電力と前記第2電力とが一致する場合には、前記第1通信経路がサイバー攻撃を受けていると判断し、
前記第2指令と前記第3指令とが一致し、かつ、前記第2指令が指示する電力と前記第1電力とが一致し、かつ、前記第3指令が指示する電力と前記第2電力とが一致しない場合には、前記第2通信経路がサイバー攻撃を受けていると判断する、請求項3又は4に記載の制御システム。
前記第2指令と前記第3指令とが一致し、かつ、前記第2指令が指示する電力と前記第1電力とが一致せず、かつ、前記第3指令が指示する電力と前記第2電力とが一致する場合には、前記第1通信経路がサイバー攻撃を受けていると判断し、
前記第2指令と前記第3指令とが一致し、かつ、前記第2指令が指示する電力と前記第1電力とが一致し、かつ、前記第3指令が指示する電力と前記第2電力とが一致しない場合には、前記第2通信経路がサイバー攻撃を受けていると判断する、請求項3又は4に記載の制御システム。
【請求項6】
前記判断部は、前記第2指令と前記第3指令とが一致し、かつ、前記第2指令が指示する電力と前記第1電力とが一致せず、かつ、前記第3指令が指示する電力と前記第2電力とが一致しない場合には、前記制御対象に故障が生じていると判断する、請求項3~5のいずれか一項に記載の制御システム。
【請求項7】
前記判断部は、前記コンピュータに搭載され、
前記コンピュータは、前記制御対象から前記第2指令及び前記第3指令を取得し、
前記判断部は、前記第1指令と前記第2指令とが一致しない場合には、前記第1通信経路がサイバー攻撃を受けていると判断し、前記第1指令と前記第3指令とが一致しない場合には、前記第2通信経路がサイバー攻撃を受けていると判断する、請求項1に記載の制御システム。
前記コンピュータは、前記制御対象から前記第2指令及び前記第3指令を取得し、
前記判断部は、前記第1指令と前記第2指令とが一致しない場合には、前記第1通信経路がサイバー攻撃を受けていると判断し、前記第1指令と前記第3指令とが一致しない場合には、前記第2通信経路がサイバー攻撃を受けていると判断する、請求項1に記載の制御システム。
【請求項8】
前記コンピュータは、前記蓄電装置の1回の充電中に、前記コンピュータから前記第1通信経路を介して前記制御対象へ前記第1指令が送信されて前記制御対象が前記第2指令に従って前記蓄電装置の充電を行なう第1充電期間と、前記コンピュータから前記第2通信経路を介して前記制御対象へ前記第1指令が送信されて前記制御対象が前記第3指令に従って前記蓄電装置の充電を行なう第2充電期間とが含まれるように、前記蓄電装置の充電制御を行ない、
前記判断部は、前記第1充電期間における前記第2指令と、前記第2充電期間における前記第3指令とを用いて、前記第1通信経路と前記第2通信経路とのいずれかがサイバー攻撃を受けているか否かを判断するように構成される、請求項1~7のいずれか一項に記載の制御システム。
前記判断部は、前記第1充電期間における前記第2指令と、前記第2充電期間における前記第3指令とを用いて、前記第1通信経路と前記第2通信経路とのいずれかがサイバー攻撃を受けているか否かを判断するように構成される、請求項1~7のいずれか一項に記載の制御システム。
【請求項9】
前記コンピュータは、前記蓄電装置の1回の放電中に、前記コンピュータから前記第1通信経路を介して前記制御対象へ前記第1指令が送信されて前記制御対象が前記第2指令に従って前記蓄電装置の放電を行なう第1放電期間と、前記コンピュータから前記第2通信経路を介して前記制御対象へ前記第1指令が送信されて前記制御対象が前記第3指令に従って前記蓄電装置の放電を行なう第2放電期間とが含まれるように、前記蓄電装置の放電制御を行ない、
前記判断部は、前記第1放電期間における前記第2指令と、前記第2放電期間における前記第3指令とを用いて、前記第1通信経路と前記第2通信経路とのいずれかがサイバー攻撃を受けているか否かを判断するように構成される、請求項1~8のいずれか一項に記載の制御システム。
前記判断部は、前記第1放電期間における前記第2指令と、前記第2放電期間における前記第3指令とを用いて、前記第1通信経路と前記第2通信経路とのいずれかがサイバー攻撃を受けているか否かを判断するように構成される、請求項1~8のいずれか一項に記載の制御システム。
【請求項10】
前記制御対象は、前記判断部により前記第1通信経路がサイバー攻撃を受けていると判断された場合には、前記制御対象が前記第1通信経路を介して受信した指令に従う前記蓄電装置の充電及び放電を禁止し、前記判断部により前記第2通信経路がサイバー攻撃を受けていると判断された場合には、前記制御対象が前記第2通信経路を介して受信した指令に従う前記蓄電装置の充電及び放電を禁止するように構成される、請求項1~9のいずれか一項に記載の制御システム。
【請求項11】
前記制御対象は、車両であり、
前記第1通信経路は、前記コンピュータから車両用給電設備を経て前記車両に信号を送る通信経路であり、
前記第2通信経路は、前記コンピュータから前記車両用給電設備を経ずに無線通信で前記車両に信号を送る通信経路である、請求項1~10のいずれか一項に記載の制御システム。
前記第1通信経路は、前記コンピュータから車両用給電設備を経て前記車両に信号を送る通信経路であり、
前記第2通信経路は、前記コンピュータから前記車両用給電設備を経ずに無線通信で前記車両に信号を送る通信経路である、請求項1~10のいずれか一項に記載の制御システム。
【請求項12】
前記判断部は、所定の地域に存在する所定数以上の前記制御対象が同じ通信経路にサイバー攻撃を受けている場合には、前記所定の地域がサイバー攻撃を受けていると判断する、請求項1~11のいずれか一項に記載の制御システム。
【請求項13】
前記判断部は、所定の地域に存在する所定数以上の前記制御対象が同じサイバー攻撃を受けている場合には、前記所定の地域がサイバー攻撃を受けていると判断する、請求項1~11のいずれか一項に記載の制御システム。
【請求項14】
前記コンピュータは、
前記判断部により前記所定の地域がサイバー攻撃を受けていると判断された場合に、前記所定の地域に存在する前記制御対象のユーザに対して報知処理を行なう報知部をさらに備える、請求項12又は13に記載の制御システム。
前記判断部により前記所定の地域がサイバー攻撃を受けていると判断された場合に、前記所定の地域に存在する前記制御対象のユーザに対して報知処理を行なう報知部をさらに備える、請求項12又は13に記載の制御システム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、制御システムに関し、特に、制御対象に搭載された蓄電装置の充電及び放電の少なくとも一方をリモート制御する技術に関する。
【背景技術】
【0002】
たとえば特開2018-11507号公報(特許文献1)には、EVSE(Electric Vehicle Supply Equipment)に制御信号を送信するEVSEサーバが開示されている。EVSEサーバは、所定の制御信号をEVSEへ送信することで、EVSEの最大電流をリモート制御する。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2018-11507号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
近年、エネルギーマネジメント関連技術として、制御対象に搭載された蓄電装置の充電及び放電の少なくとも一方をリモート制御する技術が注目されている。たとえば、サーバが、蓄電装置の充放電指令(すなわち、蓄電装置の充電又は放電を指示する信号)を制御対象へ送信することで、蓄電装置の充電及び放電の少なくとも一方をリモート制御することができる。ただし、リモート制御はサイバー攻撃を受けやすい。
【0005】
上記リモート制御の信頼性を高めるためには、サイバー攻撃の有無を的確に判断し、サイバー攻撃を受けたときに早期に対応措置を行なうことが求められる。サイバー攻撃の有無を判断する方法としては、たとえば、制御対象が受信した上記サーバからの充放電指令が示す電力値(指令値)と、制御対象において検出された蓄電装置の充電電力値又は放電電力値とを比較する方法が考えられる。上記サーバからの指令どおりの電力値(充電電力値又は放電電力値)が制御対象で検出されない場合には、上記サーバからの指令だけでなく上記サーバ以外からの指令によっても蓄電装置の充電又は放電が制御されている(すなわち、干渉系のサイバー攻撃を受けている)と考えられる。
【0006】
しかしながら、上記リモート制御が受け得るサイバー攻撃は上記干渉系のサイバー攻撃に限られない。上記リモート制御は、改ざん系のサイバー攻撃(すなわち、指令値を改ざんするサイバー攻撃)を受ける可能性がある。上記サーバから発せられた指令が制御対象に届く前に改ざんされ、改ざんされた充放電指令に従って制御対象が蓄電装置の充電又は放電を行なった場合には、制御対象が受信した指令値と制御対象における検出値とが一致する。このため、上記の方法では、改ざん系のサイバー攻撃を検知することは難しい。
【0007】
本開示は、上記課題を解決するためになされたものであり、その目的は、サイバー攻撃の有無を的確に判断し、蓄電装置の充電及び放電の少なくとも一方を信頼性の高いリモート制御で実行できる制御システムを提供することである。
【課題を解決するための手段】
【0008】
本開示に係る制御システムは、制御対象に搭載された蓄電装置の充電及び放電の少なくとも一方をリモート制御するコンピュータを備える。コンピュータは、蓄電装置の充電電力又は放電電力を指示する第1指令を、第1通信経路及び第2通信経路の各々を介して制御対象へ送信するように構成される。制御システムは、コンピュータが第1指令を送信したときに制御対象が第1通信経路を介して受信する第2指令と、コンピュータが第1指令を送信したときに制御対象が第2通信経路を介して受信する第3指令とを用いて、第1通信経路と第2通信経路とのいずれかがサイバー攻撃を受けているか否かを判断する判断部をさらに備える。
【0009】
以下、上記コンピュータを、「制御コンピュータ」とも称する。以下では、充電及び放電が、「充放電」と総称される。蓄電装置の充放電は、蓄電装置内外の電気の移動を意味し、蓄電装置の充電及び放電の両方を含む。蓄電装置の充電又は放電を指示する指令は、「充放電指令」とも称される。
【0010】
上記構成を有する制御システムによれば、改ざん系のサイバー攻撃の有無を的確に判断することが可能になる。なお、2つの通信経路(第1通信経路及び第2通信経路)が同時にサイバー攻撃を受ける可能性は低いため、ここでは、第1通信経路及び第2通信経路のいずれか一方のみがサイバー攻撃を受けた場合を想定する。
【0011】
詳しくは、上記制御コンピュータは、同じ充放電指令(第1指令)を異なる2種類の通信経路(第1通信経路/第2通信経路)の各々を介して制御対象に向けて送信する。制御対象は、第1通信経路から第2指令を受信し、第2通信経路から第3指令を受信する。第1通信経路が改ざん系のサイバー攻撃を受けた場合には、第1指令と第2指令とが一致しなくなる。第2通信経路が改ざん系のサイバー攻撃を受けた場合には、第1指令と第3指令とは一致しなくなる。したがって、第1通信経路及び第2通信経路のいずれか一方が改ざん系のサイバー攻撃を受けた場合には、第2指令と第3指令とのいずれか一方が第1指令と一致しなくなる。上記の判断部は、第2指令と第3指令とを用いることで、第1通信経路と第2通信経路とのいずれかがサイバー攻撃を受けているか否かを的確に判断しやすくなる。なお、2つの値が「一致しない」とは、所定の許容範囲を超えて2つの値がずれることを意味する。許容範囲は、2つの値を実質的に同一とみなせる範囲であり、実験結果に基づいて予め定められてもよい。
【0012】
上記制御コンピュータは、定置式のサーバであってもよいし、モバイル端末に搭載されてもよい。
【0013】
上記制御対象の例としては、建物(住宅、工場等)、電気機器、無人の移動体(無人搬送車(AGV)、農業機械、歩行ロボット、ドローン、ロボットクリーナ、宇宙探査機等)、乗り物(自動車、鉄道車両、船、飛行機等)が挙げられる。
【0014】
上記判断部は制御対象に搭載されてもよい。上記判断部は、第2指令と第3指令とが一致しない場合に、第1通信経路と第2通信経路とのいずれかがサイバー攻撃を受けていると判断するように構成されてもよい。
【0015】
上記構成によれば、第1通信経路と第2通信経路とのいずれかが改ざん系のサイバー攻撃を受けているか否かを、制御対象が的確に判断することが可能になる。
【0016】
上記判断部は、第2指令に従う充電又は放電を実行しているときの蓄電装置の充電電力又は放電電力を示す第1電力と、第3指令に従う充電又は放電を実行しているときの蓄電装置の充電電力又は放電電力を示す第2電力とを取得するように構成されてもよい。上記判断部は、第2指令と第3指令とが一致し、かつ、第2指令が指示する電力と第1電力とが一致し、かつ、第3指令が指示する電力と第2電力とが一致する場合には、第1通信経路と第2通信経路とのいずれもサイバー攻撃を受けていないと判断するように構成されてもよい。
【0017】
上記構成によれば、第1通信経路及び第2通信経路がいずれもサイバー攻撃を受けていないことを、制御対象が確認しやすくなる。
【0018】
第1電力及び第2電力の各々は、制御対象に搭載されたセンサで検出された電力値であってもよい。
【0019】
上記判断部は、第2指令と第3指令とが一致しない場合に、第1電力と第2電力とを用いて、第1通信経路と第2通信経路とのいずれがサイバー攻撃を受けているかを特定するように構成されてもよい。
【0020】
上記構成によれば、第1通信経路と第2通信経路とのいずれが改ざん系のサイバー攻撃を受けているかを制御対象が的確に特定することが可能になる。制御対象は、たとえば第1電力と第2電力とのいずれか一方のみが通常と異なる挙動を示す場合に、対応する通信経路がサイバー攻撃を受けていると判断してもよい。
【0021】
上記判断部は、第2指令と第3指令とが一致し、かつ、第2指令が指示する電力と第1電力とが一致せず、かつ、第3指令が指示する電力と第2電力とが一致する場合には、第1通信経路がサイバー攻撃を受けていると判断するように構成されてもよい。上記判断部は、第2指令と第3指令とが一致し、かつ、第2指令が指示する電力と第1電力とが一致し、かつ、第3指令が指示する電力と第2電力とが一致しない場合には、第2通信経路がサイバー攻撃を受けていると判断するように構成されてもよい。
【0022】
上記構成によれば、制御対象が、第1通信経路及び第2通信経路の各々について干渉系のサイバー攻撃を受けているか否かを的確に判断することが可能になる。第2指令と第3指令とが一致しているにもかかわらず、第1通信経路及び第2通信経路の一方のみにおいて指令値と実際の電力値とが異なる場合には、その通信経路が干渉系のサイバー攻撃を受けている可能性が高い。
【0023】
上記判断部は、第2指令と第3指令とが一致し、かつ、第2指令が指示する電力と第1電力とが一致せず、かつ、第3指令が指示する電力と第2電力とが一致しない場合には、制御対象に故障が生じていると判断するように構成されてもよい。
【0024】
上記構成によれば、故障が原因で蓄電装置の充放電が適切に行なわれないことを、制御対象が確認しやすくなる。
【0025】
上記判断部は、制御コンピュータに搭載されてもよい。制御コンピュータは、制御対象から第2指令及び第3指令を取得するように構成されてもよい。上記判断部は、第1指令と第2指令とが一致しない場合には、第1通信経路がサイバー攻撃を受けていると判断し、第1指令と第3指令とが一致しない場合には、第2通信経路がサイバー攻撃を受けていると判断するように構成されてもよい。
【0026】
上記構成によれば、制御コンピュータが、第1通信経路及び第2通信経路の各々について改ざん系のサイバー攻撃を受けているか否かを的確に判断することが可能になる。
【0027】
制御コンピュータは、蓄電装置の1回の充電中に、制御コンピュータから第1通信経路を介して制御対象へ第1指令が送信されて制御対象が第2指令に従って蓄電装置の充電を行なう第1充電期間と、制御コンピュータから第2通信経路を介して制御対象へ第1指令が送信されて制御対象が第3指令に従って蓄電装置の充電を行なう第2充電期間とが含まれるように、蓄電装置の充電制御を行なうように構成されてもよい。判断部は、第1充電期間における第2指令と、第2充電期間における第3指令とを用いて、第1通信経路と第2通信経路とのいずれかがサイバー攻撃を受けているか否かを判断するように構成されてもよい。
【0028】
上記構成によれば、第1通信経路と第2通信経路とのいずれかがサイバー攻撃を受けているか否かを、1回の充電で判断することが可能になる。
【0029】
制御コンピュータは、蓄電装置の1回の放電中に、制御コンピュータから第1通信経路を介して制御対象へ第1指令が送信されて制御対象が第2指令に従って蓄電装置の放電を行なう第1放電期間と、制御コンピュータから第2通信経路を介して制御対象へ第1指令が送信されて制御対象が第3指令に従って蓄電装置の放電を行なう第2放電期間とが含まれるように、蓄電装置の放電制御を行なうように構成されてもよい。判断部は、第1放電期間における第2指令と、第2放電期間における第3指令とを用いて、第1通信経路と第2通信経路とのいずれかがサイバー攻撃を受けているか否かを判断するように構成されてもよい。
【0030】
上記構成によれば、第1通信経路と第2通信経路とのいずれかがサイバー攻撃を受けているか否かを、1回の放電で判断することが可能になる。
【0031】
制御対象は、判断部により第1通信経路がサイバー攻撃を受けていると判断された場合には、制御対象が第1通信経路を介して受信した指令に従う蓄電装置の充電及び放電を禁止し、判断部により第2通信経路がサイバー攻撃を受けていると判断された場合には、制御対象が第2通信経路を介して受信した指令に従う蓄電装置の充電及び放電を禁止するように構成されてもよい。
【0032】
上記構成によれば、サイバー攻撃を受けている通信経路を使って蓄電装置の充放電が行なわれることを抑制できる。
【0033】
制御対象は車両であってもよい。第1通信経路は、制御コンピュータから車両用給電設備を経て車両に信号を送る通信経路であってもよい。第2通信経路は、制御コンピュータから車両用給電設備を経ずに無線通信で車両に信号を送る通信経路であってもよい。
【0034】
上記構成によれば、車両に搭載された蓄電装置の充電及び放電の少なくとも一方を適切にリモート制御することが可能になる。
【0035】
上記車両は、EVSE(車両用給電設備)から供給される電力によって充電可能に構成される蓄電装置を備え、蓄電装置に蓄えられた電力を用いて走行するように構成されてもよい。上記車両は、BEV(電気自動車)であってもよいし、PHEV(プラグインハイブリッド車両)であってもよい。
【0036】
上記判断部は、所定の地域に存在する所定数以上の制御対象が同じ通信経路にサイバー攻撃を受けている場合には、所定の地域がサイバー攻撃を受けていると判断するように構成されてもよい。こうした構成によれば、地域に対するサイバー攻撃の有無を的確に判断することが可能になる。
【0037】
上記判断部は、所定の地域に存在する所定数以上の制御対象が同じサイバー攻撃を受けている場合には、所定の地域がサイバー攻撃を受けていると判断するように構成されてもよい。こうした構成によっても、地域に対するサイバー攻撃の有無を的確に判断することが可能になる。判断部は、サイバー攻撃を受けた各制御対象に同じ症状が生じている場合に、それらの制御対象が同じサイバー攻撃を受けていると認定してもよい。
【0038】
なお、地域に対するサイバー攻撃の例としては、所定の地域に存在する蓄電装置に同時に充電を行なわせて、その地域に対する電源をブラックアウト(停電)させる攻撃が挙げられる。
【0039】
制御コンピュータは、上記判断部により所定の地域がサイバー攻撃を受けていると判断された場合に、所定の地域に存在する各制御対象のユーザに対して報知処理を行なう報知部をさらに備える。
【0040】
上記構成によれば、所定の地域がサイバー攻撃を受けていることを、その地域に存在する各制御対象のユーザが把握しやすくなり、早期に対応措置を行ないやすくなる。報知部は、各制御対象のユーザ端末に対して所定の通知を行なってもよい。ユーザ端末は、予め制御コンピュータに登録されてもよい。ユーザ端末は、制御対象に搭載された端末であってもよいし、制御対象のユーザが携帯するモバイル端末であってもよい。
【発明の効果】
【0041】
本開示によれば、サイバー攻撃の有無を的確に判断し、蓄電装置の充電及び放電の少なくとも一方を信頼性の高いリモート制御で実行できる制御システムを提供することが可能になる。
【図面の簡単な説明】
【0042】
【図1】本開示の実施の形態1に係る制御システムにおいて制御対象となる車両の構成を示す図である。
【図2】本開示の実施の形態1に係る制御システムを示す図である。
【図3】本開示の実施の形態1に係る電力システムの概略的な構成を示す図である。
【図4】本開示の実施の形態1に係る車両の制御装置によって実行される充放電制御に係る処理を示すフローチャートである。
【図9】本開示の実施の形態2に係る通信チェックにおいて、車両が実行する処理を示すフローチャートである。
【図10】本開示の実施の形態2に係る通信チェックにおいて、サーバ(制御コンピュータ)が実行する処理を示すフローチャートである。
【図11】本開示の実施の形態3における地域ごとの車両の分布を示す図である。
【図12】本開示の実施の形態3において、サーバ(制御コンピュータ)が実行する通信チェックに係る処理を示すフローチャートである。
【発明を実施するための形態】
【0043】
以下、本開示の実施の形態について、図面を参照しながら詳細に説明する。図中、同一又は相当部分には同一符号を付してその説明は繰り返さない。
【0044】
[実施の形態1]
図1は、この実施の形態に係る制御システムにおいて制御対象となる車両50の構成を示す図である。車両50は、本開示に係る「制御対象」の一例に相当する。
図1は、この実施の形態に係る制御システムにおいて制御対象となる車両50の構成を示す図である。車両50は、本開示に係る「制御対象」の一例に相当する。
【0045】
図1を参照して、車両50は、走行用の電力を蓄電するバッテリ130を備える。車両50は、バッテリ130に蓄えられた電力を用いて走行可能に構成される。この実施の形態に係る車両50は、エンジン(内燃機関)を備えない電気自動車(BEV)である。
【0046】
バッテリ130は、たとえばリチウムイオン電池又はニッケル水素電池のような二次電池を含んで構成される。二次電池は全固体電池であってもよい。この実施の形態では、二次電池として、複数のリチウムイオン電池を含む組電池を採用する。なお、二次電池の代わりに、電気二重層キャパシタのような他の蓄電装置を採用してもよい。この実施の形態に係るバッテリ130は、本開示に係る「蓄電装置」の一例に相当する。
【0047】
車両50は、電子制御装置(以下、「ECU(Electronic Control Unit)」と称する)150を備える。ECU150は、バッテリ130の充電制御及び放電制御を行なうように構成される。また、ECU150は、車両50の外部との通信を制御するように構成される。
【0048】
車両50は、バッテリ130の状態を監視する監視モジュール131をさらに備える。監視モジュール131は、バッテリ130の状態(たとえば、電圧、電流、及び温度)を検出する各種センサを含み、検出結果をECU150へ出力する。監視モジュール131は、上記センサ機能に加えて、SOC(State Of Charge)推定機能、SOH(State of Health)推定機能、セル電圧の均等化機能、診断機能、及び通信機能をさらに有するBMS(Battery Management System)であってもよい。ECU150は、監視モジュール131の出力に基づいてバッテリ130の状態(たとえば、温度、電流、電圧、SOC、及び内部抵抗)を取得することができる。
【0049】
EVSE(Electric Vehicle Supply Equipment)40は、車両外部の給電設備に相当する。EVSE40は、たとえば特定のユーザのみが使用可能な非公共のEVSEである。この実施の形態では、EVSE40を家庭用のEVSEとする。ただしこれに限られず、EVSE40は、不特定多数のユーザが使用可能な公共のEVSEであってもよい。
【0050】
EVSE40は、電源回路41と、充電ケーブル42と、制御装置43と、GW(ゲートウェイ)44とを備える。充電ケーブル42は、EVSE40の本体に接続される。充電ケーブル42は、常にEVSE40の本体に接続されていてもよいし、EVSE40の本体に対して着脱可能であってもよい。充電ケーブル42は、先端にコネクタ42aを有し、内部に通信線及び電力線を含む。1つの電線が通信線及び電力線の両方を兼ねてもよい。
【0051】
制御装置43は、EVSE40と電気的に接続された蓄電装置の充放電制御を行なうように構成される。制御装置43としては、プロセッサ及び記憶装置を含むコンピュータを採用できる。制御装置43は、充電ケーブル42を介して制御対象と有線通信するように構成される。また、制御装置43はインターネットを介してEVSE40の外部の装置と通信を行なうように構成される。制御装置43はGW44を通じてインターネットにアクセスする。GW44は、インターネットにアクセスするためのモデムを含む。GW44は、たとえばWLAN(無線ローカルエリアネットワーク)を介してインターネットにアクセスする。ただしこれに限られず、GW44は有線通信によりインターネットにアクセスしてもよい。GW44は、ケーブル又は光ファイバを介してインターネットにアクセスするように構成されてもよい。
【0052】
車両50は、接触充電のためのインレット110及び充放電器120を備える。インレット110は、車両50の外部から供給される電力を受電するように構成される。インレット110は、充電ケーブル42のコネクタ42aが接続可能に構成される。EVSE40につながる充電ケーブル42のコネクタ42aが車両50のインレット110に接続されることによって、車両50がプラグイン状態(すなわち、車両50とEVSE40との間で電力の授受を行なうことができる状態)になる。なお、図1には、EVSE40の給電方式に対応するインレット110及び充放電器120のみを示しているが、車両50は、複数種の給電方式(たとえば、AC方式及びDC方式)に対応できるように複数のインレットを備えてもよい。
【0053】
充放電器120は、インレット110とバッテリ130との間に位置する。充放電器120は、リレーと電力変換回路と(いずれも図示せず)を含んで構成される。リレーは、インレット110からバッテリ130までの電力経路の接続/遮断を切り替える。電力変換回路は、たとえば双方向インバータを含む。充放電器120に含まれるリレー及び電力変換回路の各々は、ECU150によって制御される。車両50は、充放電器120の状態を監視する監視モジュール121をさらに備える。監視モジュール121は、充放電器120の状態を検出する各種センサを含み、検出結果をECU150へ出力する。この実施の形態では、監視モジュール121が、上記電力変換回路に入力される電圧及び電流と、上記電力変換回路から出力される電圧及び電流とを検出するように構成される。監視モジュール121は、バッテリ130の充電電力及び放電電力を検出可能に構成される。
【0054】
プラグイン状態の車両50では、外部充電(すなわち、EVSE40から供給される電力によってバッテリ130を充電すること)と外部給電(すなわち、車両50からEVSE40へ給電を行なうこと)とが可能になる。外部充電のための電力は、たとえばEVSE40から充電ケーブル42を通じてインレット110に供給される。充放電器120は、インレット110が受電した電力をバッテリ130の充電に適した電力に変換し、変換された電力をバッテリ130へ出力するように構成される。外部給電のための電力は、バッテリ130から充放電器120に供給される。充放電器120は、バッテリ130から供給される電力を外部給電に適した電力に変換し、変換された電力をインレット110へ出力するように構成される。外部充電及び外部給電のいずれかが実行されるときには充放電器120のリレーが閉状態(接続状態)にされ、外部充電及び外部給電のいずれも実行されないときには充放電器120のリレーが開状態(遮断状態)にされる。
【0055】
ECU150は、プロセッサ151、RAM(Random Access Memory)152、記憶装置153、及びタイマ154を含んで構成される。ECU150はコンピュータであってもよい。プロセッサ151はCPU(Central Processing Unit)であってもよい。RAM152は、プロセッサ151によって処理されるデータを一時的に記憶する作業用メモリとして機能する。記憶装置153は、格納された情報を保存可能に構成される。タイマ154は、設定時刻の到来をプロセッサ151に知らせるように構成される。また、ECU150は、ECU150に内蔵されるリアルタイムクロック(RTC)回路(図示せず)を利用して現在時刻を取得できる。
【0056】
記憶装置153は、たとえばROM(Read Only Memory)及び書き換え可能な不揮発性メモリを含む。記憶装置153には、プログラムのほか、プログラムで使用される情報(たとえば、マップ、数式、及び各種パラメータ)が記憶されている。この実施の形態では、記憶装置153に記憶されているプログラムをプロセッサ151が実行することで、ECU150における各種制御が実行される。ただし、ECU150における各種制御は、ソフトウェアによる実行に限られず、専用のハードウェア(電子回路)で実行することも可能である。なお、ECU150が備えるプロセッサの数は任意であり、所定の制御ごとにプロセッサが用意されてもよい。
【0057】
車両50は、走行駆動部140と、入力装置160と、通信機器180と、駆動輪Wとをさらに備える。なお、車両50の駆動方式は、図1に示される前輪駆動に限られず、後輪駆動又は4輪駆動であってもよい。
【0058】
走行駆動部140は、図示しないPCU(Power Control Unit)とMG(Motor Generator)とを含み、バッテリ130に蓄えられた電力を用いて車両50を走行させるように構成される。PCUは、たとえば、インバータと、コンバータと、リレー(以下、「SMR(System Main Relay)」と称する)と(いずれも図示せず)を含んで構成される。PCUは、ECU150によって制御される。MGは、たとえば三相交流モータジェネレータである。MGは、PCUによって駆動され、駆動輪Wを回転させるように構成される。PCUは、バッテリ130から供給される電力を用いてMGを駆動する。また、MGは、回生発電を行ない、発電した電力をバッテリ130に供給するように構成される。SMRは、バッテリ130からPCUまでの電力経路の接続/遮断を切り替えるように構成される。SMRは、車両50の走行時に閉状態(接続状態)にされる。
【0059】
入力装置160は、ユーザからの入力を受け付ける装置である。入力装置160は、ユーザによって操作され、ユーザの操作に対応する信号をECU150へ出力する。入力装置160の例としては、各種スイッチ、各種ポインティングデバイス、キーボード、タッチパネルが挙げられる。入力装置160は、音声入力を受け付けるスマートスピーカを含んでもよい。
【0060】
通信機器180は、各種通信I/F(インターフェース)を含んで構成される。ECU150は、通信機器180を通じて車両50の外部の装置と通信を行なうように構成される。通信機器180は無線通信機を含む。無線通信機は、DCM(Data Communication Module)であってもよい。無線通信機は、5G(第5世代移動通信システム)対応の通信I/Fを含んでもよい。また、通信機器180は、EVSE40に対応する通信I/Fを含む。ECU150は通信機器180を通じてEVSE40の制御装置43と有線通信するように構成される。ECU150は充電ケーブル42を介してEVSE40と有線通信することができる。
【0061】
【0062】
車両50は、図1に示した構成を有する。この実施の形態では、EVSE40として、交流電力を提供するAC給電設備を採用する。充放電器120は、AC給電設備に対応する回路を有する。ただし、こうした形態に限られず、EVSE40は、直流電力を提供するDC給電設備であってもよい。充放電器120は、DC給電設備に対応する回路を有してもよい。
【0063】
携帯端末80は、車両50のユーザが携帯するモバイル端末に相当する。この実施の形態では、携帯端末80として、タッチパネルディスプレイを具備するスマートフォンを採用する。ただしこれに限られず、携帯端末80としては、任意の携帯端末を採用可能であり、タブレット端末、ウェアラブルデバイス(たとえば、スマートウォッチ)、電子キー、又はサービスツールなども採用可能である。
【0064】
EVSE40は、電力系統PGから電力の供給を受ける。EVSE40に内蔵される電源回路41は、電力系統PGから供給される電力を外部充電に適した電力に変換する。電源回路41は、充電電力を検出するためのセンサを含んでもよい。電力系統PGは、電気事業者(たとえば、電力会社)によって提供される電力網である。電力系統PGは、複数のEVSE(EVSE40を含む)と電気的に接続されており、各EVSEに交流電力を供給する。
【0065】
プラグイン状態の車両50では、通信機器180が充電ケーブル42を介してEVSE40と通信する。EVSE40と車両50との通信方式は任意であり、たとえば、CAN(Controller Area Network)であってもよいし、PLC(電力線通信)であってもよい。EVSE40と車両50との通信に関する規格は、ISO/IEC15118でもよいし、IEC61851でもよい。
【0066】
車両50に搭載された通信機器180は、たとえば移動体通信網(テレマティクス)を通じてサーバ30と直接的に無線通信するように構成される。車両50は、プラグイン状態とプラグアウト状態とのいずれにおいても、サーバ30と無線通信することができる。サーバ30と車両50との通信プロトコルは、OpenADRであってもよい。通信機器180とサーバ30との間でやり取りされる信号は暗号化されていてもよい。さらに、この実施の形態では、通信機器180と携帯端末80とが相互に無線通信するように構成される。通信機器180と携帯端末80との通信は、Bluetooth(登録商標)のような近距離通信(たとえば、車内及び車両周辺の範囲での直接通信)であってもよい。
【0067】
携帯端末80には所定のアプリケーションソフトウェア(以下、単に「アプリ」と称する)がインストールされている。携帯端末80は、車両50のユーザによって携帯され、上記アプリを通じてサーバ30と情報のやり取りを行なうことができる。ユーザは、たとえば携帯端末80のタッチパネルディスプレイを通じて、上記アプリを操作できる。
【0068】
サーバ30は、制御装置31と記憶装置32と通信装置33と入力装置34とを含んで構成される。制御装置31はコンピュータであってもよい。制御装置31は、プロセッサ及び記憶装置を含み、所定の情報処理を行なうとともに通信装置33を制御するように構成される。記憶装置32は、各種情報を保存可能に構成される。この実施の形態では、制御装置31において、記憶装置に記憶されているプログラムをプロセッサが実行することで、サーバ30における各種制御が実行される。ただし、サーバ30における各種制御は、ソフトウェアによる実行に限られず、専用のハードウェア(電子回路)で実行することも可能である。
【0069】
通信装置33は各種通信I/Fを含む。制御装置31は、通信装置33を通じて外部と通信するように構成される。入力装置34は、ユーザからの入力を受け付ける装置である。入力装置34は、ユーザからの入力を制御装置31へ出力する。
【0070】
サーバ30は、EVSE40、車両50、及び携帯端末80の各々と通信可能に構成される。この実施の形態では、サーバ30とEVSE40とがインターネットを介して相互に通信する。ただし、サーバ30とEVSE40との通信方式は、こうした方式に限られず適宜変更可能である。また、サーバ30及びEVSE40の各々は、EVSE管理用クラウドと通信可能に構成されてもよい。その通信プロトコルは、OCPP(Open Charge Point Protocol)であってもよい。
【0071】
この実施の形態では、サーバ30が管理する複数の車両(車両50を含む)がVPP(仮想発電所)として機能する。具体的には、サーバ30が管理する複数のxEV(電動車)を利用したエネルギーマネジメントによってVPPが実現される。サーバ30が管理する各xEVは、図1に示した構成を有するBEVであってもよい。
【0072】
図3は、この実施の形態に係る電力システムの概略的な構成を示す図である。図3に示す電力システムは、VGI(Vehicle Grid Integration)システムである。この電力システムには複数のxEVと複数のEVSEとが含まれる(図3には、各々1つのみ図示)。電力システムに含まれるxEV及びEVSEの数は、各々独立して任意であり、10個以上であってもよいし、100個以上であってもよい。電力システムにおける各xEVは、DER(Distributed Energy Resources)として機能する。電力システムは、xEV以外のDER(図示せず)をさらに含んでもよい。
【0073】
図1及び図2とともに図3を参照して、この電力システムは、電力会社E1と、電力会社E1に連絡する上位アグリゲータE2と、xEV及びEVSE(たとえば、車両50及びEVSE40)に連絡する下位アグリゲータE3とを含む。複数のDERを束ねてエネルギーマネジメントサービスを提供する電気事業者は、「アグリゲータ」と称される。
【0074】
電力会社E1は、発電事業者及び送配電事業者を兼ねる。電力会社E1は、発電所11及び送配電設備12によって電力網(すなわち、図2に示した電力系統PG)を構築するとともに、サーバ10及びスマートメータ13によって電力系統PGを保守及び管理する。発電所11は、電気を発生させるための発電装置を備え、発電装置によって生成された電力を送配電設備12に供給するように構成される。発電所11の発電方式は任意である。送配電設備12は、送電線、変電所、及び配電線を含み、発電所11から供給される電力の送電及び配電を行なうように構成される。スマートメータ13は、所定時間経過ごとに電力使用量を計測し、計測した電力使用量を記憶するとともにサーバ10へ送信するように構成される。スマートメータ13は、電力を使用する需要家(たとえば、個人又は会社)ごとに付与される。サーバ10は、各需要家のスマートメータ13から需要家ごとの電力使用量を取得する。電力会社E1は、電力使用量に応じた電気料金を各需要家から受け取ってもよい。
【0075】
電力会社E1は、たとえばアグリゲータと連携することにより、電力系統PGの電力調整を行なうことができる。上位アグリゲータE2は、複数のサーバ20を含む。下位アグリゲータE3は、複数のサーバ30を含む。図3中のサーバ30は、図2中のサーバ30と同じである。サーバ20及びサーバ30の数は、各々独立して任意であり、5個以上であってもよいし、30個以上であってもよい。
【0076】
この実施の形態では、1つのサーバ10が複数のサーバ20へエネルギーマネジメントを要請し、サーバ10から要請を受けた各サーバ20が複数のサーバ30へエネルギーマネジメントを要請する。さらに、サーバ20から要請を受けた各サーバ30が複数のxEVへエネルギーマネジメントを要請する。電力会社E1は、こうした階層構造(ツリー構造)を利用して、多くの需要家(たとえば、xEVのユーザ)にエネルギーマネジメントを要請することができる。要請は、DR(デマンドレスポンス)によって行なわれてもよい。
【0077】
サーバ30は、サーバ20からエネルギーマネジメントの要請を受けたときに、その要請に応えるために必要な数のVPP協力車両を選定する。VPP協力車両は、エネルギーマネジメントに協力するxEVである。VPP協力車両は、予めアグリゲータと契約を結んだユーザに帰属するxEVの中から選定される。この契約を結んだユーザは、アグリゲータからの要請に従う充放電を行なうことによって所定のインセンティブを受け取ることができる。また、要請に従うことを承認したにもかかわらず、要請に従わなかったユーザには、上記契約によって所定のペナルティが科される。
【0078】
この実施の形態では、上記VPP協力車両の選定が終了すると、サーバ30が、各VPP協力車両へ充放電指令(より特定的には、VPP協力車両に充放電制御を行なわせる指令)を送信する。この充放電指令により、サーバ20からの要請に従うエネルギーマネジメント(たとえば、電力系統PGの需給調整)が行なわれる。
【0079】
図3に示される電力システムにおいて、各xEVは、サーバ30との通信で用いる通信経路として、複数種の通信経路(この実施の形態では、第1通信経路及び第2通信経路)を有する。すなわち、サーバ30は、複数種の通信経路を介して各xEVと通信可能に構成される。サーバ30は、サーバ20から要請されたエネルギーマネジメントをVPP協力車両に行なわせるときに、そのVPP協力車両の状態に基づいて第1通信経路と第2通信経路とのいずれか一方を選択し、選択された通信経路を用いて、そのVPP協力車両へ充放電指令を送信する。
【0080】
第1通信経路は、サーバ30から車両用給電設備(たとえば、EVSE40)を経てxEV(たとえば、車両50)に信号を送る通信経路である。サーバ30が第1通信経路を用いて車両50へ充放電指令を送信する場合には、サーバ30からインターネット及びEVSE40(充電ケーブル42、制御装置43、及びGW44)を経由して車両50に充放電指令が送られる。
【0081】
第2通信経路は、サーバ30から無線通信でxEV(たとえば、車両50)に信号を送る通信経路である。サーバ30が第2通信経路を用いて車両50へ充放電指令を送信する場合には、サーバ30から無線通信で直接的に車両50に充放電指令が送られる。車両50は、通信機器180に含まれる無線通信機(たとえば、DCM)により、第2通信経路からの充放電指令を受信する。
【0082】
サーバ30は、充放電指令をVPP協力車両へ送信することによって、VPP協力車両に搭載された蓄電装置の充電及び放電の少なくとも一方をリモート制御することができる。以下、車両50がVPP協力車両として選ばれた場合の、サーバ30による車両50のリモート制御について説明する。
【0083】
サーバ30は、たとえば後述する診断結果(たとえば、図5のS24参照)に基づいて、車両50との通信で用いる通信経路として、第1通信経路と第2通信経路とのいずれか一方を選択する。そして、サーバ30は、選択された通信経路を用いて、プラグイン状態の車両50へ充放電指令を送信する。車両50は、サーバ30から受信した充放電指令に従ってバッテリ130の充放電を実行する。車両50は、EVSE40を用いて外部充電を行なうことで、電力系統PGの電力需要を増やすことができる。また、車両50は、EVSE40を用いて外部給電を行なうことで、電力系統PGに対して逆潮流を行なうことができる。詳細は後述するが、上記診断結果は、車両50の状態を示す情報であり、より特定的には、車両50がサーバ30と通信するための第1及び第2通信経路の各々についてサイバー攻撃を受けているか否かを示す。第1及び第2通信経路のいずれか一方がサイバー攻撃を受けている場合には、サーバ30は、サイバー攻撃を受けていない通信経路を用いて、車両50へ充放電指令を送信する。この実施の形態では、第2通信経路よりも第1通信経路のほうが通信速度が速い。第1及び第2通信経路が両方ともサイバー攻撃を受けていない場合には、サーバ30は、基本的には、第1通信経路を用いて車両50へ充放電指令を送信する。ただし、後述する安定期間(図7参照)においては、サーバ30は、第1通信経路と第2通信経路とを交互に使用する。この実施の形態では、サーバ30が、本開示に係る「コンピュータ」の一例に相当する。
【0084】
図4は、車両50のECU150によって実行される充放電制御に係る処理を示すフローチャートである。このフローチャートに示される処理は、車両50がプラグイン状態になると、開始される。図4に示す処理の実行中は、たとえば車両50のインレット110に接続されたコネクタがロックされることにより、プラグアウトが禁止される。この実施の形態では、ECU150が、本開示に係る「判断部」の一例として機能する。以下、フローチャート中の各ステップを、単に「S」と表記する。
【0085】
図1~図3とともに図4を参照して、S11では、フラグF1及びF2が両方ともONであるか否かを、ECU150が判断する。フラグF1及びF2の各々は、初期状態(たとえば、出荷時の状態)ではONに設定されている。ただし、サイバー攻撃又は通信系の故障が生じたときには、フラグF1及びF2の少なくとも一方がOFFに設定される(後述する図5のS26参照)。フラグF1及びF2が両方ともONである場合(S11にてYES)には、処理がS12に進む。S12では、以下に説明する図5に示す処理が実行される。
【0086】
図5は、図4のS12における通信チェックの詳細を示すフローチャートである。図1~図3とともに図5を参照して、S21では、サーバ30による車両50のリモート制御が開始されたか否かを、ECU150が判断する。そして、リモート制御が開始されると(S21にてYES)、処理がS22に進む。S22では、ECU150が充放電制御を実行する。図6は、図5のS22における充放電制御に係る処理の詳細を示すフローチャートである。
【0087】
図1~図3とともに図6を参照して、サーバ30は、S31において、リモート制御の開始を車両50に通知した後、S32において、今回の充放電制御に係る充放電プロファイルを取得する。サーバ30は、サーバ20からエネルギーマネジメントの要請を受けたときに、サーバ20からの要請に応えるようにVPP協力車両ごとの充放電プロファイルを決定して、決定した充放電プロファイルを記憶装置32に記憶してもよい。S32では、制御装置31が、車両50に対する充放電プロファイルを記憶装置32から読み出してもよい。
【0088】
S33では、充放電プロファイルにおける現在のタイミングが安定期間(すなわち、充放電電力が一定である期間)に属するか否かを、サーバ30が判断する。現在のタイミングが安定期間に属さない場合(S33にてNO)には、サーバ30は、S36において、充放電プロファイルに従う充放電指令を第1通信経路を介して車両50へ送信し、S37において、充放電プロファイルに従う充放電が完了したか否かを判断する。そして、充放電が完了していない場合(S37にてNO)には、処理がS33に戻る。
【0089】
一方、車両50がリモート制御の開始通知(S31)を受け取ると、図5に示したS21においてYESと判断され、図6に示す車両50の処理が開始される。S41では、後述する通信チェックが開始されたか否かを、ECU150が判断する。S33においてNOと判断された場合には、サーバ30による通信チェックが実行されないため、S41においてNOと判断され、処理がS44に進む。
【0090】
S44では、ECU150が、サーバ30から受信した充放電指令(S36)に従って充放電器120を制御する。これにより、遠隔操作によるバッテリ130の充放電制御(リモート制御)が実行される。ただし、放電中にバッテリ130の残量が空になったとき、又は充電中にバッテリ130が満充電になったときには、ECU150はサーバ30へ充放電中止要求を送る。この場合、S37においてYESと判断され、サーバ30によるリモート制御が中止される。
【0091】
続くS45では、ECU150が、充放電プロファイルに従う充放電が終了したか否かを判断する。S37においてNOと判断された場合には、サーバ30による充放電制御(リモート制御)が完了していないため、S45においてNOと判断され、処理がS41に戻る。
【0092】
充放電プロファイルにおける現在のタイミングが安定期間に属する場合(S33にてYES)には、サーバ30の制御装置31が、S34において通信チェックを開始する。この際、サーバ30は、通信チェックが開始されたことを示す信号(以下、「チェック開始信号」とも称する)を車両50へ送信する。そして、制御装置31は、S35においてNO(通信チェックが終了していない)と判断されている間はS34において通信チェックを継続する。
【0093】
一方、車両50がサーバ30からチェック開始信号を受信すると、ECU150がS41においてYESと判断する。そして、ECU150は、S42において、バッテリ130の充放電を実行するとともに所定のデータを記憶装置153に記録する。そして、ECU150は、S43においてNO(通信チェックが終了していない)と判断されている間はS42においてバッテリ130の充放電とデータの記録とを継続する。
【0094】
図7は、図6に示した処理により実行される通信チェックについて説明するための図である。図7において、線L10は充放電プロファイルの一例を示している。この充放電プロファイルは、充電プロファイル又は放電プロファイルである。線L10が示す充放電プロファイルが充電プロファイルである場合には、縦軸の充放電電力は充電電力を表わす。線L10が示す充放電プロファイルが放電プロファイルである場合には、縦軸の充放電電力は放電電力を表わす。
【0095】
図6とともに図7を参照して、線L10が示す充放電プロファイルでは、タイミングt11で充放電(充電又は放電)が開始され、充放電電力が一定電力(電力Px)に維持される安定期間を経て、タイミングt12で充放電が終了する。タイミングt11で充放電が開始されると充放電電力が上昇し、充放電電力が電力Pxに達すると安定期間に入る。そして、安定期間が終わると充放電電力が下降し始め、タイミングt12で充放電電力が0Wになり、充放電が終了する。
【0096】
安定期間に該当しない期間においては、サーバ30が、図6のS36の処理により、充放電プロファイルが示す電力値を指示する充放電指令を第1通信経路を介して車両50へ送信し、車両50が、図6のS44において、その充放電指令に従うバッテリ130の充放電を実行する。このように、サーバ30は、車両50に搭載されたバッテリ130の充放電をリモート制御する。
【0097】
安定期間においては、サーバ30が、図6のS34の処理により、充放電プロファイルに従う充放電指令を車両50へ送信する。ただし、S34では、充放電電力(充電電力又は放電電力)を電力Pxに維持することを指示する第1指令を、第1通信経路及び第2通信経路の各々を介して車両50へ送信する。具体的には、安定期間は、サーバ30が第1通信経路(すなわち、EVSE40を含む経路)を通じて車両50へ第1指令を送信する第1期間T1と、サーバ30が第2通信経路(すなわち、EVSE40を含まない経路)を通じて車両50へ第1指令を送信する第2期間T2とを含む。
【0098】
この実施の形態では、第1期間T1よりも第2期間T2のほうが短い。第2期間T2の長さは、第1期間T1の長さの半分以下であってもよい。この実施の形態では、安定期間において第1期間T1と第2期間T2とが交互に繰り返される。ただしこれに限られず、安定期間において第1期間T1と第2期間T2とは1回ずつであってもよい。
【0099】
以下では、サーバ30が車両50に向けて第1指令を第1通信経路へ送信したときに、車両50が第1通信経路を介して受信する充放電指令を、「第2指令」と称する。また、サーバ30が車両50に向けて第1指令を第2通信経路へ送信したときに、車両50が第2通信経路を介して受信する充放電指令を、「第3指令」と称する。
【0100】
たとえば、線L10が示す充放電プロファイルが充電プロファイルである場合には、第1期間T1、第2期間T2がそれぞれ第1充電期間、第2充電期間に相当する。第1充電期間においては、サーバ30から第1通信経路を介して車両50へ第1指令が送信され(図6のS34)、車両50が第2指令に従ってバッテリ130の充電を行なう(図6のS42)。この際、ECU150は、第2指令に従う充電を実行しているときのバッテリ130の充電電力(第1電力)を検出する。そして、ECU150は、第1充電期間において、第2指令が指示する電力と、充電電力の検出値(第1電力)と、取得時刻(タイムスタンプ)とを記憶装置153に継続的に記録する。第2充電期間においては、サーバ30から第2通信経路を介して車両50へ第1指令が送信され(図6のS34)、車両50が第3指令に従ってバッテリ130の充電を行なう(図6のS42)。この際、ECU150は、第3指令に従う充電を実行しているときのバッテリ130の充電電力(第2電力)を検出する。そして、ECU150は、第2充電期間において、第3指令が指示する電力と、充電電力の検出値(第2電力)と、取得時刻(タイムスタンプ)とを記憶装置153に継続的に記録する。
【0101】
上記のように、サーバ30は、バッテリ130の1回の充電中(タイミングt11からタイミングt12までの期間)に第1充電期間と第2充電期間とが含まれるようにバッテリ130の充電制御を行なう。そして、車両50は、第1及び第2充電期間の各々においてバッテリ130の充電と充電データの記録とを実行する。記録される充電電力は、たとえば、監視モジュール121により検出された充電電流及び充電電圧を含む。充電電圧が一定である場合には、ECU150は充電電流のみを記録してもよい。
【0102】
線L10が示す充放電プロファイルが放電プロファイルである場合には、第1期間T1、第2期間T2がそれぞれ第1放電期間、第2放電期間に相当する。第1放電期間においては、サーバ30から第1通信経路を介して車両50へ第1指令が送信され(図6のS34)、車両50が第2指令に従ってバッテリ130の放電を行なう(図6のS42)。この際、ECU150は、第2指令に従う放電を実行しているときのバッテリ130の放電電力(第1電力)を検出する。そして、ECU150は、第1放電期間において、第2指令が指示する電力と、放電電力の検出値(第1電力)と、取得時刻(タイムスタンプ)とを記憶装置153に継続的に記録する(図6のS42)。第2放電期間においては、サーバ30から第2通信経路を介して車両50へ第1指令が送信され(図6のS34)、車両50が第3指令に従ってバッテリ130の放電を行なう(図6のS42)。この際、ECU150は、第3指令に従う放電を実行しているときのバッテリ130の放電電力(第2電力)を検出する。そして、ECU150は、第2放電期間において、第3指令が指示する電力と、放電電力の検出値(第2電力)と、取得時刻(タイムスタンプ)とを記憶装置153に継続的に記録する(図6のS42)。
【0103】
上記のように、サーバ30は、バッテリ130の1回の放電中(タイミングt11からタイミングt12までの期間)に第1放電期間と第2放電期間とが含まれるようにバッテリ130の放電制御を行なう。そして、車両50は、第1及び第2放電期間の各々においてバッテリ130の放電と放電データの記録とを実行する。記録される放電電力は、たとえば、監視モジュール121により検出された放電電流及び放電電圧を含む。放電電圧が一定である場合には、ECU150は放電電流のみを記録してもよい。
【0104】
上記安定期間において記録されたデータは、後述する診断処理で用いられる。再び図1~図3とともに図6を参照して、上記安定期間が終了すると、S35及びS43の各々においてYES(通信チェックが終了した)と判断される。そして、充放電プロファイルの安定期間後においても、制御装置31が実行するS36の処理と、ECU150が実行するS44の処理とによって、バッテリ130の充放電(リモート制御)が実行される。図7に示すタイミングt12まで充放電が進んで充放電プロファイルが終了すると、サーバ30の制御装置31は、S37においてYES(充放電が完了した)と判断する。この際、サーバ30は、充放電が終了したことを示す信号(以下、「充放電終了信号」とも称する)を車両50へ送信する。その後、サーバ30は、図6に示す一連の処理を終了する。この実施の形態では、安定期間に該当しない期間においては、サーバ30が、通信速度の速い第1通信経路を使って充放電指令を車両50へ送信する。しかしこれに限られず、サーバ30は第1通信経路の代わりに第2通信経路を使ってもよい。また、図7に示した充放電プロファイルは一例にすぎず適宜変更可能である。
【0105】
車両50がサーバ30から上記充放電終了信号を受信すると、ECU150がS45においてYES(充放電が終了した)と判断する。これにより、図5に示したS22の処理が終了し、車両50による処理は、図5のS23に進む。図5のS23では、ECU150が、上述の安定期間において記録したデータを用いて診断処理を実行する。図8は、図5のS23における診断処理の詳細を示すフローチャートである。
【0106】
図1~図3とともに図8を参照して、S51では、図6のS42で記録された第2指令と第3指令とが一致するか否かを、ECU150が判断する。この際、ECU150は、第2指令と第3指令とのタイミングを合わせるため、第1通信経路の通信速度と第2通信経路の通信速度との差に基づいて時間補正を行なう。また、ECU150は、後述する第1電力及び第2電力についても、同様の時間補正を行なう。こうした時間補正は、データを記録するとき(図6のS42)に行なわれてもよい。
【0107】
第2指令と第3指令とのずれが所定の許容範囲内である場合には、S51においてYESと判断される。他方、第2指令と第3指令とが上記所定の許容範囲を超えてずれている場合には、S51においてNOと判断される。たとえば、第2指令が示す充放電プロファイルと第3指令が示す充放電プロファイルとをECU150が比較して、時間のずれと電力値のずれとの少なくとも一方が許容範囲を超えている場合には、S51においてNOと判断される。
【0108】
そして、第2指令と第3指令とが一致しない場合(S51にてNO)には、ECU150は、S61において、第1通信経路と第2通信経路とのいずれかが改ざん系のサイバー攻撃を受けていると判断し、S62において、第1電力と第2電力とを用いて、第1通信経路と第2通信経路とのいずれが改ざん系のサイバー攻撃を受けているかを特定する。
【0109】
具体的には、ECU150は、S62において、第1通信経路を使った充放電時の第1電力(充電電力又は放電電力の検出値)と、第2通信経路を使った充放電時の第2電力(充電電力又は放電電力の検出値)との各々によって示される充放電プロファイル(すなわち、検出された充放電プロファイル)について、いずれの充放電プロファイルが指令どおりになっていないかを特定する。そして、ECU150は、指令どおりになっていない充放電プロファイルに対応する通信経路がサイバー攻撃を受けていると判断する。
【0110】
たとえば、ECU150は、安定期間における充放電電力が所定の基準電力値よりも高過ぎる又は低過ぎる場合に、充放電プロファイルが指令どおりになっていないと判断してもよい。また、ECU150は、安定期間における充放電電力が安定しない場合に、充放電プロファイルが指令どおりになっていないと判断してもよい。また、ECU150は、充放電の開始が所定の第1基準タイミングよりも早過ぎる又は遅過ぎる場合に、充放電プロファイルが指令どおりになっていないと判断してもよい。また、ECU150は、充放電の終了が所定の第2基準タイミングよりも早過ぎる又は遅過ぎる場合に、充放電プロファイルが指令どおりになっていないと判断してもよい。なお、基準電力値、第1基準タイミング、及び第2基準タイミングの各々は、予め記憶装置153に記憶されてもよいし、充放電履歴から決定されてもよい。
【0111】
第2指令と第3指令とが一致する場合(S51にてYES)には、ECU150は、S52~S54において、図6のS42で記録された第2指令及び第3指令の各々について指令値(第2指令又は第3指令が指示する電力)と検出値(第1電力又は第2電力)とが一致するか否かを判断する。
【0112】
第2指令及び第3指令の両方につき指令値と検出値とが一致する場合には、S52においてYESと判断され、処理がS66に進む。S52においてYESと判断されることは、第2指令と第3指令とが一致し、かつ、第2指令が指示する電力と第1電力とが一致し、かつ、第3指令が指示する電力と第2電力とが一致することを意味する。S66では、充放電プロファイルに従う充放電が正常に行なわれたと、ECU150が判断する。充放電が正常に行なわれたことは、第1及び第2通信経路の各々がサイバー攻撃を受けておらず、かつ、車両50の通信系に故障が生じていないことを意味する。
【0113】
第2指令及び第3指令の両方につき指令値と検出値とが一致しない場合には、S53においてYESと判断され、処理がS65に進む。S53においてYESと判断されることは、第2指令と第3指令とが一致し、かつ、第2指令が指示する電力と第1電力とが一致せず、かつ、第3指令が指示する電力と第2電力とが一致しないことを意味する。S65では、車両50(特に、通信系)に故障が生じていると、ECU150が判断する。
【0114】
第2指令及び第3指令のうち第2指令のみについて指令値と検出値とが一致しない場合には、S54において「第2指令」と判断され、処理がS63に進む。S54において「第2指令」と判断されることは、第2指令と第3指令とが一致し、かつ、第2指令が指示する電力と第1電力とが一致せず、かつ、第3指令が指示する電力と第2電力とが一致することを意味する。S63では、第1通信経路が干渉系のサイバー攻撃を受けていると、ECU150が判断する。
【0115】
第2指令及び第3指令のうち第3指令のみについて指令値と検出値とが一致しない場合には、S54において「第3指令」と判断され、処理がS64に進む。S54において「第3指令」と判断されることは、第2指令と第3指令とが一致し、かつ、第2指令が指示する電力と第1電力とが一致し、かつ、第3指令が指示する電力と第2電力とが一致しないことを意味する。S64では、第2通信経路が干渉系のサイバー攻撃を受けていると、ECU150が判断する。
【0116】
上記S62~S66のいずれかの処理によって診断結果が得られると、図8に示す一連の処理は終了し、処理は図5のS24に進む。再び図1~図3とともに図5を参照して、S24では、ECU150が、S23(図8に示した処理)で得られた診断結果を、記憶装置153に記録するとともにサーバ30へ送信する。この際、ECU150は、サイバー攻撃を受けていない通信経路を使ってサーバ30へ診断結果を送信する。サーバ30は、各車両の診断結果を、車両IDによって区別して記憶装置32に記録し、逐次更新する。車両50において記憶装置153に記録された情報(特に、故障に関する情報)はOBD(自己診断)で使用されてもよい。
【0117】
続くS25では、ECU150が、上記S24で記録されたデータに基づいて、車両50にサイバー攻撃又は故障が発生しているか否かを判断する。サイバー攻撃と故障とのいずれかが発生している場合には、S25においてYESと判断され、処理がS26に進む。具体的には、図8に示した処理により、第1又は第2通信経路に対して改ざん系のサイバー攻撃あり(S61,S62)、第1通信経路に対して干渉系のサイバー攻撃あり(S63)、第2通信経路に対して干渉系のサイバー攻撃あり(S64)、故障発生(S65)と診断された場合には、S25においてYESと判断される。他方、サイバー攻撃と故障とのいずれも発生していない場合には、S25においてNOと判断され、図5に示す一連の処理が終了する。具体的には、図8に示した処理により正常(S66)と診断された場合には、S25においてNOと判断される。
【0118】
S26では、診断結果に応じて充放電が禁止されるように、ECU150がフラグF1及びF2を設定する。具体的には、図8に示した処理により、第1通信経路がサイバー攻撃を受けていると判断された場合(S62,S63)には、ECU150はS26でフラグF1をOFFにする。第2通信経路がサイバー攻撃を受けていると判断された場合(S62,S64)には、ECU150はS26でフラグF2をOFFにする。故障(S65)と診断された場合には、ECU150はS26でフラグF1及びF2の両方をOFFにする。なお、ECU150が図8のS62において第1通信経路と第2通信経路とのいずれがサイバー攻撃を受けているかを特定できなかった場合にも、ECU150は図5のS26においてフラグF1及びF2の両方をOFFにしてもよい。
【0119】
続くS27では、ECU150が車両50のユーザに対して報知処理を行なう。ECU150は、たとえばユーザに携帯される携帯端末80のタッチパネルディスプレイに所定のメッセージを表示させる。報知処理は、表示に限られず、音声で行なわれてもよい。ECU150は、携帯端末80の代わりに他の報知装置(たとえば、メータパネル、ヘッドアップディスプレイ、ナビゲーションディスプレイ、警告灯、又はスピーカ)に上記報知処理を行なわせてもよい。S27の処理が実行されることにより、図5に示す一連の処理が終了する。
【0120】
再び図1~図3とともに図4を参照して、フラグF1及びF2が両方ともONである場合(S11にてYES)には、S12において、上述のような通信チェックが行なわれる。他方、フラグF1及びF2の少なくとも一方がOFFである場合(S11にてNO)には、処理がS13に進む。
【0121】
S13では、フラグF1がONであるか否かを、ECU150が判断する。フラグF1がONである場合(S13にてYES)には、処理がS14に進む。フラグF1がONであることは、ECU150(判断部)により第1通信経路がサイバー攻撃を受けていないと判断されたことを意味する。S14では、第1通信経路から充放電指令を受信したか否かを、ECU150が判断する。
【0122】
フラグF1がOFFである場合(S13にてNO)には、処理がS15に進む。S15では、フラグF2がONであるか否かを、ECU150が判断する。フラグF2がONである場合(S15にてYES)には、処理がS16に進む。フラグF2がONであることには、ECU150(判断部)により第2通信経路がサイバー攻撃を受けていないと判断されたことを意味する。S16では、第2通信経路から充放電指令を受信したか否かを、ECU150が判断する。
【0123】
サイバー攻撃を受けていない通信経路からECU150が充放電指令を受信した場合(S14又はS16にてYES)には、ECU150は、S17において、充放電指令に従って充放電器120を制御する。これにより、遠隔操作によるバッテリ130の充放電制御(リモート制御)が実行される。他方、ECU150が充放電指令を受信しない場合(S14又はS16にてNO)には、処理は最初のステップ(S11)に戻る。
【0124】
ECU150(判断部)により第1通信経路がサイバー攻撃を受けていると判断された場合には、フラグF1がOFFになる。フラグF1がOFFである場合(S13にてNO)には、処理がS14に進まない。これにより、車両50が第1通信経路を介して受信した指令に従うバッテリ130の充放電は禁止される。また、ECU150(判断部)により第2通信経路がサイバー攻撃を受けていると判断された場合には、フラグF2がOFFになる。フラグF2がOFFである場合(S15にてNO)には、処理がS16に進まない。これにより、車両50が第2通信経路を介して受信した指令に従うバッテリ130の充放電は禁止される。こうした構成によれば、サイバー攻撃を受けている通信経路を使って車両50のリモート制御が行なわれることを抑制できる。
【0125】
フラグF1及びF2が両方ともOFFである場合(S15にてNO)には、処理がS18に進む。S18では、車両50に通信エラーが生じていることを、ECU150がサーバ30に通知する。続くS19では、リモート制御ではなくローカル制御によって充放電が実行されるようにECU150が設定される。その後、図4に示す一連の処理が終了する。これにより、ECU150は、所定の充放電制御(ローカル制御)を実行するようになる。この実施の形態では、ECU150が以下に説明する充放電制御を実行する。
【0126】
ECU150は、たとえば即時充電及びタイマ充電を実行する。具体的には、ECU150は、タイマ充電が設定されていないときに車両50がプラグイン状態になると、外部充電(即時充電)を開始する。また、車両50のユーザは、入力装置160又は携帯端末80を操作して、車両50(より特定的には、ECU150)にタイマ充電を設定できる。ユーザが開始時刻を指定して充電を予約することによって、車両50にタイマ充電が設定される。プラグイン状態の車両50において、設定されたタイマ充電の開始時刻が到来すると、ECU150がタイマ充電を開始する。また、車両50のユーザは、入力装置160又は携帯端末80を操作して、車両50(より特定的には、ECU150)に外部給電を指示できる。プラグイン状態の車両50は、ユーザからの指示に応じて外部給電を実行する。
【0127】
フラグF1及びF2が両方ともOFFである場合には、サーバ30によるリモート制御が適切に行なわれない可能性が高いため、ローカル制御による充放電のみが許可される。なお、ECU150は、ローカル制御による充放電についても所定の検査を行ない、充放電器120が故障している場合にはローカル制御による充放電も禁止するように構成されてもよい。
【0128】
以上説明したように、実施の形態1に係る制御システム1は、車両50(制御対象)に搭載されたバッテリ130の充電及び放電をリモート制御するサーバ30を備える。サーバ30は、バッテリ130の充電電力又は放電電力を指示する第1指令を、第1通信経路及び第2通信経路の各々を介して車両50へ送信するように構成される。制御システム1は、車両50に搭載されたECU150(判断部を含む)をさらに備える。ECU150は、サーバ30が第1指令を送信したときに車両50が第1通信経路を介して受信する第2指令と、サーバ30が第1指令を送信したときに車両50が第2通信経路を介して受信する第3指令とを用いて、第1通信経路と第2通信経路とのいずれかがサイバー攻撃を受けているか否かを判断する。具体的には、ECU150は、図8に示した処理により、第1通信経路と第2通信経路とのいずれかがサイバー攻撃を受けているか否かを判断する。ECU150は、第2指令と第3指令とを用いることで、第1通信経路と第2通信経路とのいずれかがサイバー攻撃を受けているか否かを的確に判断しやすくなる。
【0129】
図8に示した処理は、車両50の通信系の故障を検知するが、故障を検知することは必須ではない。図8に示した処理は、改ざん系のサイバー攻撃と干渉系のサイバー攻撃との両方を検知するが、いずれか一方のみを検知するように変更されてもよい。たとえば、S51、S61、及びS62のみによって、改ざん系のサイバー攻撃のみを検知してもよい。また、S61で改ざん系のサイバー攻撃を受けたことを検知したときに、攻撃を受けた通信経路を特定せずに、図8に示した処理を終了してもよい。第1通信経路と第2通信経路とのいずれかがサイバー攻撃を受けている場合にフラグF1及びF2の両方がOFFにされてもよい。
【0130】
[実施の形態2]
本開示の実施の形態2に係る制御システムについて説明する。実施の形態2は実施の形態1と共通する部分が多いため、主に相違点について説明し、共通する部分についての説明は割愛する。
本開示の実施の形態2に係る制御システムについて説明する。実施の形態2は実施の形態1と共通する部分が多いため、主に相違点について説明し、共通する部分についての説明は割愛する。
【0131】
実施の形態1では、車両50に搭載されたECU150が、第1通信経路と第2通信経路とのいずれかがサイバー攻撃を受けているか否かを判断する。しかしこれに限られず、車両50の外部のコンピュータ(たとえば、サーバ30)が、第1通信経路と第2通信経路とのいずれかがサイバー攻撃を受けているか否かを判断してもよい。
【0132】
実施の形態2に係る制御システムでは、サーバ30が車両50から第2指令及び第3指令を取得し、サーバ30が、第1指令、第2指令、及び第3指令に基づいて、第1通信経路と第2通信経路とのいずれかがサイバー攻撃を受けているか否かを判断する。具体的には、実施の形態2に係る制御システムでは、車両50が図9に示す処理を実行し、サーバ30が図10に示す処理を実行する。
【0133】
図9は、本開示の実施の形態2に係る通信チェックにおいて、車両50が実行する処理を示すフローチャートである。車両50は、図4に示した処理を実行し、図4のS12において、図5に示した処理に代えて、以下に説明する図9に示す処理を実行する。図4のS12においては、サーバ30が、図6に示したリモート制御を実行する。図9のS21、S22は、それぞれ図5のS21、S22と同じである。
【0134】
図1~図3とともに図9を参照して、S21では、サーバ30による車両50のリモート制御が開始されたか否かを、ECU150が判断する。そして、リモート制御が開始されると(S21にてYES)、処理がS22に進む。S22では、ECU150が、図6に示した充放電制御を実行する。続くS23Aでは、ECU150が、図6のS42で記録されたデータ(第2指令、第3指令、第1電力、及び第2電力を含む)をサーバ30へ送信する。車両50は、第1通信経路を介してサーバ30へ第2指令及び第1電力を送信するとともに、第2通信経路を介してサーバ30へ第3指令及び第2電力を送信してもよい。
【0135】
図10は、実施の形態2に係る通信チェックにおいて、サーバ30が実行する処理を示すフローチャートである。このフローチャートに示される処理は、サーバ30が車両50から上記データ(図9のS23A)を受信すると、開始される。図10に示す処理は、S51,S61,S62に代えてS51A,S51B,S61A,S62Aが採用されること以外は、図8に示す処理と同じである。以下、S51A、S51B、S61A、及びS62Aについて説明する。
【0136】
図1~図3とともに図10を参照して、S51Aでは、第2指令及び第3指令が両方とも第1指令に一致するか否かを、サーバ30の制御装置31が判断する。第1指令は、充放電プロファイル(たとえば、図7参照)によって示されてもよい。第2指令及び第3指令は、サーバ30が車両50から受信したデータに含まれる。第2指令及び第3指令が両方とも第1指令に一致する場合(S51AにてYES)には、処理がS52に進む。
【0137】
第2指令と第3指令とのいずれか一方が第1指令に一致しない場合(S51AにてNO)には、処理がS51Bに進む。S51Bでは、第2指令と第3指令とのどちらが第1指令に不一致かを、制御装置31が判断する。
【0138】
第2指令と第1指令とが一致しない場合には、S51Bにおいて「第2指令」と判断され、続くS61Aにおいて、第1通信経路が改ざん系のサイバー攻撃を受けていると、ECU150が判断する。他方、第3指令と第1指令とが一致しない場合には、S51Bにおいて「第3指令」と判断され、続くS62Aにおいて、第2通信経路が改ざん系のサイバー攻撃を受けていると、ECU150が判断する。
【0139】
サーバ30は、上記図10に示す処理により、第1通信経路及び第2通信経路の各々についてサイバー攻撃を受けているか否かを的確に判断することが可能になる。なお、図10のS51Bにおいて第2指令及び第3指令の両方が第1指令に一致しない場合には、制御装置31は、車両50の通信系に故障が生じていると判断してもよい。
【0140】
【0141】
[実施の形態3]
本開示の実施の形態3に係る制御システムについて説明する。実施の形態3は実施の形態2と共通する部分が多いため、主に相違点について説明し、共通する部分についての説明は割愛する。
本開示の実施の形態3に係る制御システムについて説明する。実施の形態3は実施の形態2と共通する部分が多いため、主に相違点について説明し、共通する部分についての説明は割愛する。
【0142】
実施の形態3に係る制御システムでは、サーバ30が管理する複数の車両の各々について、サーバ30が診断処理を実行する。サーバ30は、各車両の診断結果を、車両IDによって区別して記憶装置32に記録し、逐次更新する。サーバ30が管理する複数の車両は、互いに異なる構成を有してもよいが、実施の形態3では、各車両が図1に示した構成を有する。
【0143】
図11は、実施の形態3における地域ごとの車両の分布を示す図である。図11において、X座標及びY座標は経度及び緯度(車両位置)を示す。図11を参照して、サーバ30が管理する車両50A~50Dは、地域A~Dに存在する。車両50A、50B、50C、50Dはそれぞれ地域A、B、C、D内に存在する。
【0144】
サーバ30は、以下に説明する図12に示す処理を地域A~Dの各々について実行する。図12は、実施の形態3においてサーバ30が実行する通信チェックに係る処理を示すフローチャートである。このフローチャートに示される処理は、地域ごとに実行される。以下では、処理の対象となる地域(地域A~Dのいずれか)を、「対象地域」と称する。
【0145】
図1~図3とともに図12を参照して、S71では、サーバ30の制御装置31が、対象地域内の各車両に通信チェック(診断処理を含む)を実行する。ただし、サーバ30が通信チェックを行なう車両は、フラグF1及びF2が両方ともONである車両に限られる(図4参照)。各車両に関する通信チェックの方法は、実施の形態2と同じであってもよい。
【0146】
S72では、制御装置31が、上記S71で取得された各車両の診断結果を記憶装置32に記録する。続くS73では、制御装置31が、各車両の診断結果を用いて、対象地域に存在する所定数以上の車両が同じ通信経路にサイバー攻撃を受けているか否かを判断する。たとえば、対象地域に存在する所定数以上の車両が第1通信経路にサイバー攻撃を受けている場合には、S73においてYESと判断される。また、対象地域に存在する所定数以上の車両が第2通信経路にサイバー攻撃を受けている場合にも、S73においてYESと判断される。
【0147】
S73においてYESと判断された場合には、制御装置31は、S74において、対象地域がサイバー攻撃を受けていると判断する。そして、制御装置31は、S75において、対象地域に存在する各車両のユーザに対して報知処理を行なう。たとえば、図11に示す地域Aがサイバー攻撃を受けている場合には、地域Aに存在する各車両50Aのユーザに対して報知処理を行なう。サーバ30が管理する各車両のユーザ端末は、サーバ30に登録されている。ユーザ端末は、モバイル端末でもよいし、車載端末でもよい。サーバ30に登録された情報は、車両IDと紐付けられて記憶装置32に保存される。
【0148】
S75における報知処理の方法は任意である。制御装置31は、たとえば車両ユーザに携帯される携帯端末のタッチパネルディスプレイに所定のメッセージを表示させてもよい(図5のS27参照)。S75の処理が実行されると、図12に示す一連の処理が終了する。サーバ30の制御装置31は、本開示に係る「報知部」の一例として機能する。
【0149】
他方、S73においてNOと判断された場合には、S74及びS75の処理が行なわれることなく、図12に示す一連の処理が終了する。
【0150】
上記図12に示す処理によれば、地域に対するサイバー攻撃の有無を的確に判断することが可能になる。また、上記報知処理(S75)により、ユーザが、サイバー攻撃を受けていることを把握しやすくなり、早期に対応措置を行ないやすくなる。
【0151】
【0152】
図1~図3とともに図13を参照して、S73Aでは、サーバ30の制御装置31が、各車両の診断結果を用いて、対象地域に存在する所定数以上の車両が同じサイバー攻撃を受けているか否かを判断する。制御装置31は、サイバー攻撃を受けた各車両に同じ症状が生じている場合に、それらの車両が同じサイバー攻撃を受けていると認定してもよい。たとえば、制御装置31は、サイバー攻撃を受けた各車両について、同じ通信経路に対する指令が同じように改ざんされている場合に、それらの車両が同じサイバー攻撃を受けていると認定してもよい。
【0153】
【0154】
図14を参照して、この例では、線L10に対応する第1指令が改ざんされるパターンを所定のパターン(たとえば、線L11~L17で示される7つのパターン)に分類して、同じ通信経路に対する指令(第2指令又は第3指令)が同じパターンで改ざんされていた場合に、図13のS73AにおいてYESと判断される。線L11は、充放電の開始が第1指令よりも早いパターンを示す。線L12は、充放電の開始が第1指令よりも遅いパターンを示す。線L13は、充放電の終了が第1指令よりも早いパターンを示す。線L14は、充放電の終了が第1指令よりも遅いパターンを示す。線L15は、安定期間における充放電電力が第1指令よりも低いパターンを示す。線L16は、安定期間における充放電電力が第1指令よりも高いパターンを示す。線L17は、安定期間における充放電電力が安定しないパターンを示す。
【0155】
再び図1~図3とともに図13を参照して、S73AにおいてYESと判断された場合には、制御装置31は、S74において、対象地域がサイバー攻撃を受けていると判断し、S75において、対象地域に存在する各車両のユーザに対して報知処理を行なう。他方、S73AにおいてNOと判断された場合には、S74及びS75の処理が行なわれることなく、図13に示す一連の処理が終了する。上記図13に示す処理によっても、地域に対するサイバー攻撃の有無を的確に判断することが可能になる。
【0156】
なお、サーバ30は、図13のS71において、バッテリ130のSOCが同程度の車両のみを通信チェックの対象としてもよい。たとえば、充電プロファイルによる通信チェックを行なう場合には、バッテリ130のSOCが所定値(たとえば、20%)以下の車両のみを通信チェックの対象としてもよい。また、放電プロファイルによる通信チェックを行なう場合には、バッテリ130のSOCが所定値(たとえば、80%)以上の車両のみを通信チェックの対象としてもよい。こうすることで、これらの車両が同じサイバー攻撃を受けているか否かを正確に判断しやすくなる。
【0157】
[他の実施の形態]
上記各実施の形態においてサーバ30に実装されたリモート制御に係る機能の少なくとも一部は、定置式のコンピュータではなく、モバイル端末に搭載されてもよい。また、上記実施の形態2,3においてサーバ30に実装された診断処理に係る機能の少なくとも一部は、定置式のコンピュータではなく、モバイル端末に搭載されてもよい。
上記各実施の形態においてサーバ30に実装されたリモート制御に係る機能の少なくとも一部は、定置式のコンピュータではなく、モバイル端末に搭載されてもよい。また、上記実施の形態2,3においてサーバ30に実装された診断処理に係る機能の少なくとも一部は、定置式のコンピュータではなく、モバイル端末に搭載されてもよい。
【0158】
上記各実施の形態では、エネルギーマネジメントを行なうための充放電中の安定期間を利用して、診断処理に用いられるデータを取得し、記録している。しかしこれに限られず、エネルギーマネジメントを行なうための充放電の前又は後に、診断処理に用いられるデータを取得するための充放電を実行し、その充放電中に上記データを取得し、記録してもよい。
【0159】
上記各実施の形態では、制御コンピュータ(サーバ30)が、制御対象(車両50)に搭載された蓄電装置の充電及び放電の両方をリモート制御している。しかしこれに限られず、制御コンピュータは蓄電装置の充電及び放電の一方のみをリモート制御してもよい。
【0160】
電力会社は、事業別に分社化されていてもよい。発電事業者と送配電事業者とが異なる会社であってもよい。1つのアグリゲータが、上位アグリゲータ及び下位アグリゲータの両方の役割を果たしてもよい。制御コンピュータは、電力市場からエネルギーマネジメントの要請を受けてもよい。制御コンピュータは、アグリゲータサーバに限られず、複数種の通信経路を介して車両と通信可能なコンピュータであれば任意である。
【0161】
車両の構成は、図1に示した構成に限られない。たとえば、車両は、外部充電及び外部給電のうちいずれか一方のみを行なうように構成されてもよい。車両は、非接触充電可能に構成されてもよい。車両は、乗用車に限られず、バス又はトラックであってもよい。車両は、BEVに限られず、内燃機関を備えるPHEVであってもよい。車両は、自動運転可能に構成されてもよいし、飛行機能を備えてもよい。
【0162】
制御対象は、車両に限られず、車両以外の乗り物(鉄道車両、船、飛行機等)であってもよいし、無人の移動体であってもよいし、建物であってもよいし、電気機器であってもよい。
【0163】
今回開示された実施の形態は、すべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記した実施の形態の説明ではなくて特許請求の範囲によって示され、特許請求の範囲と均等の意味及び範囲内でのすべての変更が含まれることが意図される。
【符号の説明】
【0164】
1 制御システム、10,20,30 サーバ、31 制御装置、32 記憶装置、33 通信装置、34 入力装置、40 EVSE、41 電源回路、42 充電ケーブル、42a コネクタ、43 制御装置、44 GW、50,50A,50B,50C,50D 車両、80 携帯端末、110 インレット、120 充放電器、121 監視モジュール、130 バッテリ、131 監視モジュール、140 走行駆動部、150 ECU、151 プロセッサ、152 RAM、153 記憶装置、154 タイマ、160 入力装置、180 通信機器、PG 電力系統。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】