IP Force 特許公報掲載プロジェクト 2022.1.31 β版

知財求人 - 知財ポータルサイト「IP Force」

▶ パナソニックオートモーティブシステムズ株式会社の特許一覧

特開2024-63876優先度判定システム、優先度判定方法及びプログラム
<>
  • 特開-優先度判定システム、優先度判定方法及びプログラム 図1
  • 特開-優先度判定システム、優先度判定方法及びプログラム 図2
  • 特開-優先度判定システム、優先度判定方法及びプログラム 図3
  • 特開-優先度判定システム、優先度判定方法及びプログラム 図4
  • 特開-優先度判定システム、優先度判定方法及びプログラム 図5
  • 特開-優先度判定システム、優先度判定方法及びプログラム 図6
  • 特開-優先度判定システム、優先度判定方法及びプログラム 図7
  • 特開-優先度判定システム、優先度判定方法及びプログラム 図8
  • 特開-優先度判定システム、優先度判定方法及びプログラム 図9
  • 特開-優先度判定システム、優先度判定方法及びプログラム 図10
  • 特開-優先度判定システム、優先度判定方法及びプログラム 図11
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024063876
(43)【公開日】2024-05-14
(54)【発明の名称】優先度判定システム、優先度判定方法及びプログラム
(51)【国際特許分類】
   G06Q 10/04 20230101AFI20240507BHJP
【FI】
G06Q10/04
【審査請求】未請求
【請求項の数】11
【出願形態】OL
(21)【出願番号】P 2022172040
(22)【出願日】2022-10-27
(71)【出願人】
【識別番号】322003857
【氏名又は名称】パナソニックオートモーティブシステムズ株式会社
(74)【代理人】
【識別番号】100109210
【弁理士】
【氏名又は名称】新居 広守
(74)【代理人】
【識別番号】100137235
【弁理士】
【氏名又は名称】寺谷 英作
(74)【代理人】
【識別番号】100131417
【弁理士】
【氏名又は名称】道坂 伸一
(72)【発明者】
【氏名】伊藤 功将
(72)【発明者】
【氏名】大谷 真慶
(72)【発明者】
【氏名】福原 優貴
(72)【発明者】
【氏名】福井 裕隆
(72)【発明者】
【氏名】飯田 琢磨
【テーマコード(参考)】
5L010
5L049
【Fターム(参考)】
5L010AA04
5L049AA04
(57)【要約】
【課題】移動体の状況の変化に応じて適切にタスクの優先度を判定できる優先度判定システムを提供する。
【解決手段】優先度判定システム10は、複数の異常データを取得する異常取得部11と、複数の状況データを取得する状況取得部12と、リスク値を算出するリスク値算出部14と、リスク値に基づいてタスク毎の優先度を判定する優先度判定部15と、判定の結果に基づく出力をする出力部17と、複数の異常データのそれぞれについて、状況変化通知対象データであるか否かを判定する状況変化通知管理部16と、を備え、状況変化通知管理部16は、状況変化通知対象データであると判定した異常データに対応する移動体100に対して、変化後の状況データを通知することを要求し、リスク値算出部14は、変化後の状況データに基づいてリスク値を再算出し、優先度判定部15は、再算出されたリスク値に基づいてタスクの優先度を再判定する。
【選択図】図1
【特許請求の範囲】
【請求項1】
それぞれ、複数の移動体のそれぞれの異常を示す複数の異常データを取得する異常取得部と、
それぞれ、前記複数の移動体のそれぞれの状況を示す複数の状況データを取得する状況取得部と、
前記複数の異常データのそれぞれについて、対応する移動体の状況データに基づいて、異常のリスクを示すリスク値を算出するリスク値算出部と、
前記複数の異常データのそれぞれの前記リスク値に基づいて、前記複数の異常データのそれぞれが示す異常に対処するためのタスク毎の優先度を判定する優先度判定部と、
前記判定の結果に基づく出力をする出力部と、
前記複数の異常データのそれぞれについて、対応する移動体に対して、状況の変化があった場合に変化後の状況データを通知させることを要する状況変化通知対象データであるか否かを判定する状況変化通知管理部と、を備え、
前記状況変化通知管理部は、前記状況変化通知対象データであると判定した異常データに対応する移動体に対して、状況の変化があった場合に変化後の状況データを通知することを要求し、
前記リスク値算出部は、変化後の状況データが取得された場合、当該変化後の状況データに基づいて、対応する移動体の異常データの前記リスク値を再算出し、
前記優先度判定部は、再算出された前記リスク値に基づいて、対応する移動体の異常データが示す異常に対処するためのタスクの優先度を再判定する
優先度判定システム。
【請求項2】
前記状況変化通知管理部は、前記複数の異常データのうち特定の種類の異常データを前記状況変化通知対象データであると判定する
請求項1に記載の優先度判定システム。
【請求項3】
前記状況変化通知管理部は、前記特定の種類の異常データに対応する状況の項目を決定し、前記状況変化通知対象データであると判定した異常データに対応する移動体に対して、前記項目についての状況の変化があった場合に、変化後の状況データを通知することを要求する
請求項2に記載の優先度判定システム。
【請求項4】
前記状況変化通知管理部は、前記特定の種類の異常データが示す異常の対処が行われた場合、前記状況変化通知対象データであると判定した異常データに対応する移動体に対して、変化後の状況データを通知することを停止させる
請求項2又は3に記載の優先度判定システム。
【請求項5】
前記複数の状況データのそれぞれは、移動体の種類を示す種類情報、移動体の位置を示す位置情報、前記位置情報に対応する地点の交通情報、移動体の走行状態を示す走行状態情報、移動体の運転支援状態を示す運転支援状態情報、及び、移動体の充放電状態を示す充放電状態情報の少なくとも1つの情報を含む
請求項1~3のいずれか1項に記載の優先度判定システム。
【請求項6】
前記リスク値は、異常の種類に応じて決定される基礎リスク値を、対応する移動体の状況データを用いて補正した値である
請求項1~3のいずれか1項に記載の優先度判定システム。
【請求項7】
前記タスク毎の優先度は、前記複数の異常データのそれぞれの前記リスク値と、前記タスク毎の所定の指標値とに基づいて判定される
請求項1~3のいずれか1項に記載の優先度判定システム。
【請求項8】
前記タスク毎の所定の指標値は、前記タスク毎の実行されることでリスクが軽減される割合及び前記タスク毎の実行に要する時間の少なくとも一方である
請求項7に記載の優先度判定システム。
【請求項9】
前記優先度判定部は、前記判定を、定期的に、タスクが実施される毎に、異常が検知される毎に、又は、前記リスク値が算出される毎に行う
請求項1~3のいずれか1項に記載の優先度判定システム。
【請求項10】
それぞれ、複数の移動体のそれぞれの異常を示す複数の異常データを取得し、
それぞれ、前記複数の移動体のそれぞれの状況を示す複数の状況データを取得し、
前記複数の異常データのそれぞれについて、対応する移動体の状況データに基づいて、異常のリスクを示すリスク値を算出し、
前記複数の異常データのそれぞれの前記リスク値に基づいて、前記複数の異常データのそれぞれが示す異常に対処するためのタスク毎の優先度を判定し、
前記判定の結果に基づく出力をし、
前記複数の異常データのそれぞれについて、対応する移動体に対して、状況の変化があった場合に変化後の状況データを通知させることを要する状況変化通知対象データであるか否かを判定し、
前記状況変化通知対象データであると判定した異常データに対応する移動体に対して、状況の変化があった場合に変化後の状況データを通知することを要求し、
変化後の状況データが取得された場合、当該変化後の状況データに基づいて、対応する移動体の異常データの前記リスク値を再算出し、
再算出された前記リスク値に基づいて、対応する移動体の異常データが示す異常に対処するためのタスクの優先度を再判定する
優先度判定方法。
【請求項11】
請求項10に記載の優先度判定方法をコンピュータに実行させるためのプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、優先度判定システム、優先度判定方法及びプログラムに関する。
【背景技術】
【0002】
従来、移動体の異常の内容だけでなく、移動体の状況にも基づいて異常のリスク値を算出し、このリスク値に基づいて異常に対処するためのタスクの優先度を判定する優先度判定システムが開示されている(例えば特許文献1)。例えば、複数の移動体に対して同じ攻撃が実施された場合であっても、攻撃された移動体の状況によってはリスク値が異なり、すなわち、リスク値に基づいて判定されるタスクの優先度も異なってくるため、どの移動体の異常についてどのタスクを実行すればよいかを判断しやすくなる。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2021-149260号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、上記特許文献1に開示された優先度判定システムでは、一度移動体の状況データを取得した後、移動体において状況の変化が発生したとしても、リスク値を見直すことは想定されていない。例えば、移動体において異常が発生したときの走行状態が「停止中」であったため、低いリスク値が算出されてこの異常に対処するためのタスクの優先度が低いと判定され、このタスクが分析者への割り当て待ち状態となったとする。その後、移動体の走行状態が「走行中」に変化したとする。この場合、異常のリスクは高くなるが、タスクの優先度は低いままであり、分析者へのタスクの割り当て待ち状態が維持される。
【0005】
そこで、本開示は、移動体の状況の変化に応じて適切にタスクの優先度を判定することができる優先度判定システム等を提供する。
【課題を解決するための手段】
【0006】
本開示の一態様に係る優先度判定システムは、それぞれ、複数の移動体のそれぞれの異常を示す複数の異常データを取得する異常取得部と、それぞれ、前記複数の移動体のそれぞれの状況を示す複数の状況データを取得する状況取得部と、前記複数の異常データのそれぞれについて、対応する移動体の状況データに基づいて、異常のリスクを示すリスク値を算出するリスク値算出部と、前記複数の異常データのそれぞれの前記リスク値に基づいて、前記複数の異常データのそれぞれが示す異常に対処するためのタスク毎の優先度を判定する優先度判定部と、前記判定の結果に基づく出力をする出力部と、前記複数の異常データのそれぞれについて、対応する移動体に対して、状況の変化があった場合に変化後の状況データを通知させることを要する状況変化通知対象データであるか否かを判定する状況変化通知管理部と、を備え、前記状況変化通知管理部は、前記状況変化通知対象データであると判定した異常データに対応する移動体に対して、状況の変化があった場合に変化後の状況データを通知することを要求し、前記リスク値算出部は、変化後の状況データが取得された場合、当該変化後の状況データに基づいて、対応する移動体の異常データの前記リスク値を再算出し、前記優先度判定部は、再算出された前記リスク値に基づいて、対応する移動体の異常データが示す異常に対処するためのタスクの優先度を再判定する。
【0007】
また、本開示の一態様に係る優先度判定方法は、それぞれ、複数の移動体のそれぞれの異常を示す複数の異常データを取得し、それぞれ、前記複数の移動体のそれぞれの状況を示す複数の状況データを取得し、前記複数の異常データのそれぞれについて、対応する移動体の状況データに基づいて、異常のリスクを示すリスク値を算出し、前記複数の異常データのそれぞれの前記リスク値に基づいて、前記複数の異常データのそれぞれが示す異常に対処するためのタスク毎の優先度を判定し、前記判定の結果に基づく出力をし、前記複数の異常データのそれぞれについて、対応する移動体に対して、状況の変化があった場合に変化後の状況データを通知させることを要する状況変化通知対象データであるか否かを判定し、前記状況変化通知対象データであると判定した異常データに対応する移動体に対して、状況の変化があった場合に変化後の状況データを通知することを要求し、変化後の状況データが取得された場合、当該変化後の状況データに基づいて、対応する移動体の異常データの前記リスク値を再算出し、再算出された前記リスク値に基づいて、対応する移動体の異常データが示す異常に対処するためのタスクの優先度を再判定する処理を含む。
【0008】
また、本開示の一態様に係るプログラムは、上記の優先度判定方法をコンピュータに実行させるためのプログラムである。
【発明の効果】
【0009】
本開示の一態様に係る優先度判定システム等は、移動体の状況の変化に応じて適切にタスクの優先度を判定することができる。
【図面の簡単な説明】
【0010】
図1】実施の形態における優先度判定システムの一例を示す構成図である。
図2】移動体毎のインシデント管理テーブルの一例を示す図である。
図3】実施の形態における優先度判定システムと移動体との動作の流れの一例を示すシーケンス図である。
図4】実施の形態における優先度判定システムの動作の一例を示すフローチャートである。
図5】異常データ及び状況データの一例を示す図である。
図6】車種の情報の一例を示す図である。
図7】基礎リスク値を補正するための状況データ毎の倍率の一例を示す図である。
図8】状況変化通知対象データの一例を示す図である。
図9】実施の形態における移動体の、状況変化通知に関する動作の一例を示すフローチャートである。
図10】状況の項目毎の状況の変化の判定方法を説明するための図である。
図11】実施の形態における優先度判定システムの、状況変化通知待ち受け状態時の動作の一例を示すフローチャートである。
【発明を実施するための形態】
【0011】
(実施の形態)
以下、実施の形態における優先度判定システムについて図面を参照しながら説明する。
【0012】
図1は、実施の形態における優先度判定システム10の一例を示す構成図である。なお、図1には、優先度判定システム10と通信可能に接続される移動体100(例えば自動車)、及び、異常に対処する分析者等が利用するディスプレイ201及びキーボード202も示されている。なお、優先度判定システム10と通信可能に接続される移動体100は複数存在するが、図1では、1つの移動体100を示している。
【0013】
優先度判定システム10と通信可能に接続される複数の移動体100のそれぞれは、例えば、CAN(Controller Area Network)等の車載ネットワークが搭載された自動車等の車両であり、優先度判定システム10等と無線通信が可能なコネクテッドカーである。
【0014】
移動体100は、異常通知部101及び状況通知部102を備える。例えば、異常通知部101は、車載ネットワーク又は車載ネットワークに接続されたECU(Electronic Control Unit)等において外部からの攻撃若しくは不正又は故障等の異常が発生したときに、当該異常を示す異常データを優先度判定システム10に送信する。なお、異常通知部101は、車載ネットワークにおけるログデータを、異常検知を行う異常検知サーバ等に送信し、異常検知サーバ等から優先度判定システム10へ、ログデータに基づいて検知された異常を示す異常データが送信されてもよい。また、状況通知部102は、自身の状況を示す状況データを優先度判定システム10に送信する。例えば、状況通知部102は、常時又は特定のタイミング毎に状況データを優先度判定システム10に送信してもよい。また、詳細は後述するが、状況通知部102は、自身の状況に変化があったときに、変化後の状況データを優先度判定システム10に送信する機能を有する。
【0015】
分析者は、例えば、SOC(Security Operation Center)等の端末を利用して移動体100を監視する。例えば、当該端末は、複数(例えば数100、数1000等)の移動体100異常情報の収集を行い、異常検知時に異常の内容を分析し、SIRT(Security Incident Response Team)等に通知する端末である。例えば、当該端末は、SIEM(Security Information and Event Management)等のソフトウェアを利用可能となっている。優先度判定システム10は、SIEM又はSOAR(Security Orchestration Automation and Response)とサーバシステムとして連携することが想定される。後述するように、当該端末には優先度判定システム10から異常に対処するためのタスクの優先度の判定の結果に基づく出力がされ、分析者は、数多くの移動体100において発生する異常に対処するための数多くのタスクの中から当該出力に応じて効果的にタスクを実行していくことができる。当該端末は、優先度判定システム10と有線通信又は無線通信が可能となっている。例えば、ディスプレイ201及びキーボード202は、当該端末と接続されている。
【0016】
優先度判定システム10は、分析者が実行するタスクの優先度を判定するためのコンピュータであり、例えば、サーバである。優先度判定システム10は、プロセッサ、メモリ及び通信インタフェース等を含む。メモリは、ROM(Read Only Memory)及びRAM(Random Access Memory)等であり、プロセッサにより実行されるプログラムを記憶することができる。優先度判定システム10は、異常取得部11、状況取得部12、インシデント管理部13、リスク値算出部14、優先度判定部15、状況変化通知管理部16、出力部17及び入力部18を備える。異常取得部11、状況取得部12、インシデント管理部13、リスク値算出部14、優先度判定部15、状況変化通知管理部16、出力部17及び入力部18は、メモリに格納されたプログラムを実行するプロセッサ等によって実現される。優先度判定システム10を構成する構成要素は、複数のサーバに分散して配置されていてもよい。
【0017】
異常取得部11は、複数の異常データを取得する。複数の異常データのそれぞれは、複数の移動体100のそれぞれの異常を示す。例えば、異常取得部11は、優先度判定システム10が備える通信インタフェース等を介して、複数の移動体100(若しくは異常検知サーバ等)から複数の異常データを取得する。
【0018】
状況取得部12は、複数の状況データを取得する。複数の状況データのそれぞれは、複数の移動体100のそれぞれの状況を示す。例えば、状況取得部12は、優先度判定システム10が備える通信インタフェース等を介して、複数の移動体100、路側機又はサーバ等から複数の状況データを取得する。例えば、複数の状況データのそれぞれは、移動体100の種類(例えば車種)を示す種類情報、移動体100の位置を示す位置情報、位置情報に対応する地点の交通情報、移動体100の走行状態を示す走行状態情報、移動体100の運転支援状態を示す運転支援状態情報、及び、移動体100の充放電状態を示す充放電状態情報の少なくとも1つの情報を含む。例えば、状況取得部12は、移動体100から位置情報、走行状態情報、運転支援状態情報及び充放電状態情報を取得してもよく、サーバからサーバが管理している種類情報又は異常の発生状況(例えば流行している攻撃等)等を取得してもよく、路側機から移動体100の異常が発生した場所の交通情報を取得してもよい。なお、複数の状況データのそれぞれは、これらの情報に対してさらに他のサーバ等からの情報を組み合わせたものであってもよい。
【0019】
インシデント管理部13は、異常取得部11及び状況取得部12が取得した複数の異常データ及び状況データを管理する。例えば、インシデント管理部13は、移動体100毎に異常データ及び状況データを管理する。また、例えば、インシデント管理部13は、後述するリスク値算出部14で算出されたリスク値を、対応する異常データに対応付けて管理する。
【0020】
図2は、移動体100毎のインシデント管理テーブルの一例を示す図である。
【0021】
例えば、インシデント管理部13は、図2に示されるように、インシデント管理テーブルにおいて、移動体100毎の異常種類、走行状態、位置、運転支援状態、充放電状態、車種及びリスク値を管理する。例えば、インシデント管理部13は、移動体Aについて、運転機能障害系の異常が発生しており、走行中であり、都市部に位置し、半自動運転の状態であり、充放電中ではなく、車種Aであり、現在の移動体Aの状況における運転機能障害系の異常のリスク値が800であることを管理している。また、例えば、インシデント管理部13は、移動体Bについて、盗難系の異常が発生しており、停止中であり、都市部に位置し、手動運転の状態であり、充電中であり、車種Bであり、現在の移動体Bの状況における盗難系の異常のリスク値が400であることを管理している。
【0022】
リスク値算出部14は、複数の異常データのそれぞれについて、対応する移動体100の状況データに基づいて、異常のリスクを示すリスク値を算出する。例えば、リスク値算出部14は、インシデント管理部13において管理されている、図2に示されるようなインシデント管理テーブルにおける異常データ(例えば異常種類)及び状況データ(例えば、走行状態、位置、運転支援状態、充放電状態及び車種)に基づいて、リスク値を算出する。例えば、リスク値算出部14は、異常データ又は状況データが取得される毎にリスク値を算出する。リスク値算出部14の詳細については後述する。
【0023】
優先度判定部15は、複数の異常データのそれぞれのリスク値に基づいて、複数の異常データのそれぞれが示す異常に対処するためのタスク毎の優先度を判定する。例えば、優先度判定部15は、複数の異常データのそれぞれのリスク値と、タスク毎の所定の指標値、例えば、タスク毎の実行されることでリスクが軽減される割合及びタスク毎の実行に要する時間の少なくとも一方とに基づいてタスク毎の優先度を判定する。例えば、優先度判定部15は、複数の異常データのそれぞれのリスク値と、タスク毎の所定の指標値として、タスク毎の実行されることでリスクが軽減される割合と、タスク毎の実行に要する時間とに基づいてタスク毎の優先度を判定する。優先度判定部15の詳細については後述する。なお、タスク毎の所定の指標値としては、他にもタスク毎の負荷を示す値やリスクに対する影響度合いを示す値等であってもよい。例えば、優先度判定部15は、上記判定を、定期的に、タスクが実施される毎に、異常が検知される毎に、又は、リスク値が算出される毎に行う。
【0024】
なお、図示していないが、優先度判定システム10は、リスク値算出部14がリスク値の算出を行う際に用いるルール及び優先度判定部15が優先度の判定を行う際に用いるルールを記憶していてもよい。これらのルールの詳細については後述する。
【0025】
また、図示していないが、優先度判定システム10は、複数の異常データのそれぞれが示す異常と、異常に対処するための1以上のタスクとの対応関係を記憶していてもよい。また、優先度判定システム10は、各タスクについて、タスクを実行することで軽減されるリスクの割合(リスク値の配分率とも呼ぶ)及びタスクを完了するのに要する予想対応時間を記憶していてもよい。これらの詳細については後述する。
【0026】
状況変化通知管理部16は、複数の異常データのそれぞれについて、対応する移動体100に対して、状況の変化があった場合に変化後の状況データを通知させることを要する状況変化通知対象データであるか否かを判定する。状況変化通知管理部16の詳細については後述する。
【0027】
出力部17は、SOC等の端末(ディスプレイ201等)に対して、優先度判定部15での優先度の判定の結果に基づく出力をする。出力部17は、優先度判定システム10が備える通信インタフェース等を介して、優先度の判定の結果をSOC等の端末に送信する。出力部17からの出力の詳細については後述する。
【0028】
入力部18には、SOC等の端末(キーボード202等)を介して、異常の対処が行われたこと(言い換えると異常に対処するためのタスクが実行されたこと)が入力される。入力部18は、優先度判定システム10が備える通信インタフェース等を介して、異常の対処が行われたことを取得する。
【0029】
次に、優先度判定システム10と移動体100との動作の流れについて、図3を用いて説明する。
【0030】
図3は、実施の形態における優先度判定システム10と移動体100との動作の流れの一例を示すシーケンス図である。ここでは、移動体100として、移動体A及びBを示している。
【0031】
まず、移動体A及びBを含む複数の移動体100は、それぞれ異常データ及び状況データを優先度判定システム10へ送信する(ステップS101A、ステップS101B)。これにより、優先度判定システム10は、複数の異常データ及び複数の状況データを取得する。
【0032】
次に、優先度判定システム10は、取得した複数の異常データ及び複数の状況データを用いて、リスク値の算出、優先度の判定及び状況変化通知の要否の判定を行う(ステップS102)。
【0033】
次に、優先度判定システム10は、優先度の判定の結果をディスプレイ201へ出力する(ステップS103)。これにより、分析者は、優先度の高いタスクから実行していくことができる。
【0034】
次に、優先度判定システム10は、状況変化通知が必要な移動体100(例えば移動体A)に、状況変化通知を開始させる要求(状況変化通知開始要求とも呼ぶ)を送信する(ステップS104)。これにより、移動体Aは、状況の変化を監視する状態(状況変化監視中状態とも呼ぶ)に遷移する。
【0035】
移動体Aは、状況の変化の発生を検出した場合(ステップS105)、状況の変化を優先度判定システム10に通知する(ステップS106)。
【0036】
次に、優先度判定システム10は、通知された変化後の状況データを用いてリスク値を再計算し、優先度を再判定する(ステップS107)。
【0037】
次に、優先度判定システム10は、再判定された優先度の判定の結果をディスプレイ201へ出力する(ステップS108)。例えば、ステップS103の時点では、優先度が低かったタスクの優先度が高くなった場合、分析者は、当該タスクを優先的に実行することができる。
【0038】
優先度判定システム10は、移動体Aのインシデント(異常)の対処が完了した場合(ステップS109)、例えば、入力部18に移動体Aのインシデントの対処が完了したことが入力された場合、移動体Aに状況変化通知を停止させる要求(状況変化通知停止要求とも呼ぶ)を送信する(ステップS110)。これにより、移動体Aは、状況変化監視中状態を解除する。
【0039】
なお、ステップS109で移動体Aのインシデントの対処が完了する前に、再度移動体Aの状況の変化があった場合には、再度ステップS105からの処理が行われる。
【0040】
次に、優先度判定システム10の動作について図4を用いて説明する。
【0041】
図4は、実施の形態における優先度判定システム10の動作の一例を示すフローチャートである。
【0042】
まず、異常取得部11は、それぞれ、複数の移動体100のそれぞれの異常を示す複数の異常データを取得する(ステップS11)。例えば、SOC等の端末で監視される移動体100は数多く存在し、それに伴って異常取得部11は、数多くの異常データを取得することになる。
【0043】
次に、状況取得部12は、それぞれ、複数の移動体100のそれぞれの状況を示す複数の状況データを取得する(ステップS12)。例えば、SOC等の端末で監視される移動体100は数多く存在し、それに伴って状況取得部12は、数多くの状況データを取得することになる。異常データ及び状況データの具体例について、図5を用いて説明する。
【0044】
図5は、異常データ及び状況データの一例を示す図である。図5には、複数の移動体100のうち移動体Aから取得した異常データ及び状況データの一例が示される。
【0045】
例えば、図5に示されるように、移動体Aから取得された異常データは、「XXXX」という「運転機能障害系」の種類の異常を示す情報を含む。また、移動体Aから取得された状況データは、例えば、異常が発生したときの移動体Aの走行状態が「走行中」であり、位置が「都市部」であり、運転支援状態が「半自動運転」であり、充放電状態が「非充放電中」であり、種類(車種)が「車種A」であることを示す情報を含む。
【0046】
図6は、車種の情報の一例を示す図である。図6の(a)は、車種Aの情報の一例を示す図であり、図6の(b)は、車種Bの情報の一例を示す図である。
【0047】
図6の(a)に示されるように、「車種A」は、市場台数が5000台の車種であり、問題発生時の被害想定額が前期利益未満である車種であり、用途が営業車両の車種であることを示す。図6の(b)に示されるように、「車種B」は、市場台数が20000台の車種であり、問題発生時の被害想定額が前期利益以上である車種であり、用途が家庭用車両の車種であることを示す。
【0048】
次に、リスク値算出部14は、複数の異常データのそれぞれについて、対応する移動体100の状況データに基づいて、異常のリスク値を算出する(ステップS13)。例えば、リスク値算出部14は、複数の異常データのそれぞれについて、まずは基礎リスク値を決定する。基礎リスク値は、異常の種類に応じて算出される値であり、例えば、SIEMによるスコア値又はCTI(Cyber Threat Intelligence)によるスコア値等を用いて決定(例えば算出)することができる。リスク値算出部14によって算出されるリスク値は、例えば、異常の種類に応じて決定される基礎リスク値を、対応する移動体100の状況データを用いて補正した値である。例えば、基礎リスク値が補正されることで得られるリスク値が大きいほど、その異常のリスクは大きくなる。ここで、基礎リスク値を補正するための倍率について図7を用いて説明する。
【0049】
図7は、基礎リスク値を補正するための状況データ毎の倍率の一例を示す図である。なお、図7の(b)は、状況変化通知対象項目の状況を示す状況データの倍率を示している。状況変化通知対象項目については後述する。
【0050】
例えば、優先度判定システム10には、図7の(a)に示されるように、「市場台数1000台未満」の車種の移動体100で発生した異常の基礎リスク値を1.0倍に補正するルールが記憶され、「市場台数1000台以上10000台未満」の車種の移動体100で発生した異常の基礎リスク値を1.2倍に補正するルールが記憶され、「市場台数10000台以上」の車種の移動体100で発生した異常の基礎リスク値を2.0倍に補正するルールが記憶される。「市場台数1000台未満」の車種の移動体100は、市場台数が少なく異常が発生してもその影響力は小さいため、「市場台数1000台未満」の車種の移動体100で発生した異常の基礎リスク値は大きく補正されない。一方で、「市場台数10000台以上」の車種の移動体100は、市場台数が多く異常が発生するとその影響力は大きいため、「市場台数10000台以上」の車種の移動体100で発生した異常の基礎リスク値は大きく補正される。
【0051】
また、例えば、優先度判定システム10には、図7の(a)に示されるように、「被害想定額前期利益未満」の車種の移動体100で発生した異常の基礎リスク値を1.0倍に補正するルールが記憶され、「被害想定額前期利益以上」の車種の移動体100で発生した異常の基礎リスク値を2.0倍に補正するルールが記憶される。「被害想定額前期利益未満」の車種の移動体100は、被害想定額が小さいため、「被害想定額前期利益未満」の車種の移動体100で発生した異常の基礎リスク値は大きく補正されない。一方で、「被害想定額前期利益以上」の車種の移動体100は、被害想定額が大きいため、「被害想定額前期利益以上」の車種の移動体100で発生した異常の基礎リスク値は大きく補正される。
【0052】
なお、これらの補正値(倍率)は、車種に紐づいて記憶されていてもよいし、市場台数又は被害想定額等に紐づいて記憶されていてもよい。補正値が市場台数又は被害想定額等に紐づいて記憶されている場合、中間値として車種と車種毎の市場台数又は被害想定額等が優先度判定システム10において記憶されていてもよいし、優先度判定システム10から外部のシステムに問い合わせて取得されてもよい。
【0053】
また、例えば、優先度判定システム10には、図7の(a)に示されるように、「家庭用車両」である移動体100で発生した異常の基礎リスク値を1.0倍に補正するルールが記憶され、「営業車両」である移動体100で発生した異常の基礎リスク値を1.2倍に補正するルールが記憶され、「緊急車両」である移動体100で発生した異常の基礎リスク値を2.0倍に補正するルールが記憶される。「家庭用車両」である移動体100は、頻繁に使用されにくい分、異常が発生しても問題が発生する確率が低くなるため、「家庭用車両」である移動体100で発生した異常の基礎リスク値は大きく補正されない。「営業車両」である移動体100は、頻繁に使用される分、異常が発生すると問題が発生する確率が高くなるため、「営業車両」である移動体100で発生した異常の基礎リスク値は「家庭用車両」よりも大きく補正される。「緊急車両」である移動体100は、社会的重要度が高い車両であるため、「緊急車両」である移動体100で発生した異常の基礎リスク値は大きく補正される。
【0054】
また、例えば、優先度判定システム10には、図7の(b)に示されるように、「田園地帯」に位置する移動体100で発生した異常の基礎リスク値を1.0倍に補正するルールが記憶され、「都市部」に位置する移動体100で発生した異常の基礎リスク値を2.0倍に補正するルールが記憶される。田園地帯は、人が少なく交通量も少ないため、「田園地帯」に位置する移動体100で発生した異常の基礎リスク値は大きく補正されない。都市部は、人が多く交通量も多いため、「都市部」に位置する移動体100で発生した異常の基礎リスク値は大きく補正される。
【0055】
また、例えば、優先度判定システム10には、図7の(b)に示されるように、「停止中」の移動体100で発生した異常の基礎リスク値を1.0倍に補正するルールが記憶され、「走行中」の移動体100で発生した異常の基礎リスク値を2.0倍に補正するルールが記憶される。「停止中」の移動体100は、停止しており異常が発生しても危険な状態になりにくいため、「停止中」の移動体100で発生した異常の基礎リスク値は大きく補正されない。「走行中」の移動体100は、走行しており異常が発生した場合危険な状態になりやすいため、「走行中」の移動体100で発生した異常の基礎リスク値は大きく補正される。
【0056】
また、例えば、優先度判定システム10には、図7の(b)に示されるように、「手動運転」の移動体100で発生した異常の基礎リスク値を1.0倍に補正するルールが記憶され、「半自動運転」の移動体100で発生した異常の基礎リスク値を1.2倍に補正するルールが記憶され、「完全自動運転」の移動体100で発生した異常の基礎リスク値を1.5倍に補正するルールが記憶される。「手動運転」の移動体100は、手動で運転されており異常が発生しても危険な状態になりにくいため、「手動運転」の移動体100で発生した異常の基礎リスク値は大きく補正されない。「半自動運転」又は「完全自動運転」の移動体100は、自動で運転しており異常が発生した場合危険な状態になりやすいため、「半自動運転」又は「完全自動運転」の移動体100で発生した異常の基礎リスク値は大きく補正される。
【0057】
また、例えば、優先度判定システム10には、図7の(b)に示されるように、「非充放電中」の移動体100で発生した異常の基礎リスク値を1.0倍に補正するルールが記憶され、「放電中」の移動体100で発生した異常の基礎リスク値を1.2倍に補正するルールが記憶され、「V2X放電中」又は「充電中」の移動体100で発生した異常の基礎リスク値を1.5倍に補正するルールが記憶される。「非充放電中」の移動体100は、充放電が行われておらず異常が発生しても危険な状態になりにくいため、「非充放電中」の移動体100で発生した異常の基礎リスク値は大きく補正されない。「放電中」、「V2X放電中」又は「充電中」の移動体100は、充放電が行われており異常が発生した場合危険な状態になりやすいため、「放電中」、「V2X放電中」又は「充電中」の移動体100で発生した異常の基礎リスク値は大きく補正される。
【0058】
例えば、異常が発生した移動体100が、図5に示されるように、走行中であり(倍率2.0)、都市部に位置しており(倍率2.0)、半自動運転が行われており(倍率1.2)、非充放電中であり(倍率1.0)、車種が車種Aである(すなわち、図6の(a)に示されるように、市場台数が5000台であり(倍率1.2)、被害想定額が前期利益未満であり(倍率1.0)、営業車両である(倍率1.2))場合、リスク値を以下のように算出することができる。
【0059】
リスク値=基礎リスク値×2.0×2.0×1.2×1.0×1.2×1.0×1.2
このように、リスク値算出部14は、複数の異常データのそれぞれについて、対応する移動体100(異常が発生した移動体100)の状況データを用いて基礎リスク値を補正することで異常のリスク値を算出する。
【0060】
次に、優先度判定部15は、リスク値算出部14によって算出された複数の異常データのそれぞれのリスク値に基づいて、複数の異常データのそれぞれに対処するためのタスク毎の優先度を判定する(ステップS14)。
【0061】
例えば、移動体100で発生した異常が、「IVI(In Viecle Infotainment)での不正な通信」である場合、当該異常に対処するためのタスクとして、移動体100のユーザへ異常の発生を通知する「ユーザ通知」、IVIと車載ネットワークとを遮断する「コネクション遮断」、当該異常の詳細に分析する「詳細分析」、及び、当該異常に対する対策がなされたプログラム等を配信する「恒久パッチ配信」が予め定義付けられている。言い換えると、優先度判定システム10には、異常と当該異常に対処するためのタスクとの対応関係が記憶されている。また、各タスクには、リスク値の配分率及び予想対応時間が対応付けられている。
【0062】
「ユーザ通知」を実行することで軽減されるリスクの割合は0.10(10%)であり、「ユーザ通知」を完了するのに要する予想対応時間は1秒の場合、1秒かけて「ユーザ通知」を実行することで「IVIでの不正な通信」のリスク値を10%軽減できる。
【0063】
「コネクション遮断」を実行することで軽減されるリスクの割合は0.40(40%)であり、「コネクション遮断」を完了するのに要する予想対応時間は10秒の場合、10秒かけて「コネクション遮断」を実行することで「IVIでの不正な通信」のリスク値を40%軽減できる。
【0064】
「詳細分析」を実行することで軽減されるリスクの割合は0.10(10%)であり、「詳細分析」を完了するのに要する予想対応時間は3600秒の場合、3600秒かけて「詳細分析」を実行することで「IVIでの不正な通信」のリスク値を10%軽減できる。
【0065】
「恒久パッチ配信」を実行することで軽減されるリスクの割合は0.40(40%)であり、「恒久パッチ配信」を完了するのに要する予想対応時間は60秒の場合、60秒かけて「恒久パッチ配信」を実行することで「IVIでの不正な通信」のリスク値を40%軽減できる。
【0066】
例えば、タスク毎の優先度は、実行されることでリスクが軽減される割合が大きいタスクほど高くなるように判定され、実行に要する時間が短いタスクほど高くなるように判定される。つまり、優先度判定部15は、短い時間で大きくリスクを軽減できるタスクの優先度を高くする。例えば、優先度判定システム10には、以下のような優先度の計算式で表すことができるルールが記憶され、優先度判定部15は、当該計算式にリスク値の配分率と予想対応時間とを代入することでタスク毎の優先度を判定する。なお、以下の式1及び式2において、rvdecはリスク値の軽減量、rvはリスク値、rratioはリスク値の配分率、pはタスクの重要度(重要度が大きいタスクほど優先的に実行されることが望まれることから、pはタスクの優先度ともいえる)、αはチューニング重み、testは予想対応時間である。
【0067】
【数1】
【0068】
【数2】
【0069】
なお、上記式では、リスク値の配分率及び予想対応時間が極端に小さい場合や極端に大きい場合に、タスクの優先度が大きく変化してしまうため、優先度の判定には以下の式が用いられてもよい。なお、以下の式3においてαは1以上である。
【0070】
【数3】
【0071】
ただし、例えば、「IVIでの不正な通信」に対処するためのタスクとして「恒久パッチ配信」は、「詳細分析」が完了した後でないと実行することができないタスクである。このため、優先度判定システム10には、「恒久パッチ配信」の優先度が「詳細分析」の優先度よりも高くならないようなルールが記憶される。例えば、タスクによってチューニング重みが調整されることで、特定のタスクの優先度を低くしたり高くしたりすることができる。
【0072】
例えば、優先度判定システム10には、「IVIでの不正な通信」の他にも様々な異常と1以上のタスクとの対応関係が記憶されており、優先度判定部15は、様々な異常について、この対応関係を参照することで、タスク毎の優先度を判定することができる。なお、「IVIでの不正な通信」には、複数のタスクが対応付けられているが、タスクが1つのみ対応付けられている異常が存在していてもよい。
【0073】
このように、優先度判定部15は、リスク値算出部14によって算出されたリスク値に基づいてタスク毎の優先度を判定する。具体的には、優先度判定部15は、実行されることでリスクが軽減される割合が大きいタスクほど優先度を高くし(言い換えると実行されることでリスクが軽減される割合が小さいタスクほど優先度を低くし)、また、タスクの実行に要する時間が短いタスクほど優先度を高くする(言い換えるとタスクの実行に要する時間が長いタスクほど優先度を低くする)。
【0074】
そして、出力部17は、優先度判定部15での判定の結果に基づく出力をする(ステップS15)。例えば、出力部17は、判定の結果に基づく出力として優先度の高いタスクから実行していくことを促すアラートをディスプレイ201に出力して、ディスプレイ201は、当該アラートを表示する。なお、出力部17は、当該アラートをスピーカなどに出力して、スピーカなどは、当該アラートを音声出力してもよい。これにより、分析者は、優先度の高いタスクから実行することができる。なお、優先度の判定及び判定の結果に基づく出力は、新たな異常が検知された際に行われてもよいし、定期的に行われてもよいし、優先度が再判定された際に行われてもよいし、それらを組み合わせて行われてもよい。
【0075】
次に、状況変化通知管理部16は、複数の異常データのそれぞれについて、対応する移動体100に対して、状況の変化があった場合に変化後の状況データを通知させることを要する状況変化通知対象データであるか否かを判定する(ステップS16)。例えば、状況変化通知管理部16は、複数の異常データのうち特定の種類の異常データを状況変化通知対象データであると判定する。
【0076】
図8は、状況変化通知対象データの一例を示す図である。図8には、状況変化通知対象データとして、運転機能障害系の異常データ、画面ロック系の異常データ及び充放電制御障害系の異常データが示されており、状況変化通知対象データではない異常データとして、情報漏洩系の異常データ及び盗難系の異常データが示されている。また、図8には、状況変化通知対象データ毎の、変化があった場合に通知させる必要のある状況の項目(状況変化通知対象項目とも呼ぶ)も示されている。
【0077】
例えば、状況変化通知管理部16は、複数の異常データのうちの特定の種類の異常データとして、運転機能障害系の異常データ、画面ロック系の異常データ及び充放電制御障害系の異常データを状況変化通知対象データであると判定する。特定の種類の異常データは、移動体100における状況が変化した際に、異常によるリスクが変化し得るデータであり、言い換えると、算出されるリスク値、ひいては判定される優先度が変化し得るデータである。
【0078】
例えば、安全運転が脅かされるような運転機能に影響を与える運転機能障害系の異常が移動体100に発生している場合に、移動体100の位置、走行状態又は運転支援状態が変化したときには、当該異常によるリスクが変わり得る。例えば、当該異常の発生時には移動体100の位置が「田園地帯」だった場合、当該異常によるリスクは低いが、しばらくして位置が「都市部」に変化した場合、当該異常によるリスクが高くなる。このため、状況変化通知管理部16は、運転機能障害系の異常データが、対応する移動体100(具体的には、当該異常データを送信した移動体100)に対して、状況の変化があった場合に変化後の状況データを通知させることを要する状況変化通知対象データであると判定する。
【0079】
また、例えば、カーナビゲーションシステム等の車載情報機器の画面がロックされ操作不能となるような画面ロック系の異常が移動体100に発生している場合に、移動体100の走行状態が変化したときには、当該異常によるリスクが変わり得る。例えば、当該異常の発生時には移動体100が「停止中」だった場合、当該異常によるリスクは低いが、しばらくして「走行中」に変化した場合、当該異常によるリスクが高くなる。このため、状況変化通知管理部16は、画面ロック系の異常データが、対応する移動体100に対して、状況の変化があった場合に変化後の状況データを通知させることを要する状況変化通知対象データであると判定する。
【0080】
また、例えば、バッテリーの充放電制御に異常(例えば過電流等)をきたす充放電制御障害系の異常が移動体100に発生している場合に、移動体100の充放電状態が変化したときには、当該異常によるリスクが変わり得る。例えば、当該異常の発生時には移動体100が「非放電中」だった場合、当該異常によるリスクは低いが、しばらくして「充電中」に変化した場合、当該異常によるリスクが高くなる。このため、状況変化通知管理部16は、充放電制御障害系の異常データが、対応する移動体100に対して、状況の変化があった場合に変化後の状況データを通知させることを要する状況変化通知対象データであると判定する。
【0081】
なお、例えば、ロック強制解除等の盗難系の異常が移動体100に発生している場合には、移動体100の状況が変化しても当該異常によるリスクは変わりにくい。このため、状況変化通知管理部16は、充放電制御障害系の異常データが、対応する移動体100に対して、状況の変化があった場合に変化後の状況データを通知させることを要する状況変化通知対象データでないと判定する。
【0082】
状況変化通知管理部16は、複数の異常データのそれぞれが状況変化通知対象データでないと判定した場合(ステップS16でNo)、処理を終了する。
【0083】
状況変化通知管理部16は、複数の異常データのいずれかが状況変化通知対象データであると判定した場合(ステップS16でYes)、状況変化通知対象データであると判定した異常データに対応する移動体100に対して、状況の変化があった場合に変化後の状況データを通知することを要求する、言い換えると、状況変化通知開始要求を送信する(ステップS17)。状況変化通知開始要求は、状況の変化があった場合に変化後の状況データを通知させる指示を示す情報である。例えば、状況変化通知管理部16は、特定の種類の異常データに対応する状況の項目を決定し、状況変化通知対象データであると判定した異常データに対応する移動体100に対して、当該項目についての状況の変化があった場合に、変化後の状況データを通知することを要求する。
【0084】
例えば、状況変化通知管理部16は、図8に示されるような異常の種類と状況の項目(状況変化通知対象項目)との対応関係を参照することで、特定の種類の異常データとして運転機能障害系の異常データに対応する状況の項目を「位置」、「走行状態」及び「運転支援状態」に決定し、当該異常データに対応する移動体100に対して、「位置」、「走行状態」又は「運転支援状態」についての状況の変化があった場合に、変化後の状況データを通知することを要求する。これにより、当該要求を受けた移動体100は、移動体100の「位置」、「走行状態」及び「運転支援状態」を監視し、「位置」、「走行状態」及び「運転支援状態」のいずれかが変化した場合に、変化後の「位置」、「走行状態」又は「運転支援状態」を優先度判定システム10に通知することができる。
【0085】
また、例えば、状況変化通知管理部16は、図8に示されるような異常の種類と状況の項目との対応関係を参照することで、特定の種類の異常データとして画面ロック系の異常データに対応する状況の項目を「走行状態」に決定し、当該異常データに対応する移動体100に対して、「走行状態」についての状況の変化があった場合に、変化後の状況データを通知することを要求する。これにより、当該要求を受けた移動体100は、移動体100の「走行状態」を監視し、「走行状態」が変化した場合に、変化後の「走行状態」を優先度判定システム10に通知することができる。
【0086】
また、例えば、状況変化通知管理部16は、図8に示されるような異常の種類と状況の項目との対応関係を参照することで、特定の種類の異常データとして充放電制御障害系の異常データに対応する状況の項目を「充放電状態」に決定し、当該異常データに対応する移動体100に対して、「充放電状態」についての状況の変化があった場合に、変化後の状況データを通知することを要求する。これにより、当該要求を受けた移動体100は、移動体100の「充放電状態」を監視し、「充放電状態」が変化した場合に、変化後の「充放電状態」を優先度判定システム10に通知することができる。
【0087】
そして、優先度判定システム10は、状況変化通知開始要求を送信した移動体100からの状況変化通知待ち受け状態に遷移する(ステップS18)。
【0088】
なお、ステップS11での処理とステップS12での処理とは、順序が逆であってもよいし並行して行われてもよい。また、ステップS16からステップS18までの処理は、ステップS11及びステップS12が行われた後に行われればよく、ステップS13、ステップS14又はステップS15の前に行われてもよい。
【0089】
また、特定の種類の異常、状況変化通知対象項目及びこれらの組み合わせは、図8に示されるものに限らない。例えば、特定の種類の異常、状況変化通知対象項目及びこれらの組み合わせは、適宜増やしたり、変更したりすることができる。
【0090】
図9は、実施の形態における移動体100の、状況変化通知に関する動作の一例を示すフローチャートである。
【0091】
状況通知部102は、状況変化監視中状態であるか否かを判定し(ステップS21)、状況変化監視中状態でない場合(ステップS21でNo)、状況変化通知開始要求を受信したか否かを判定する(ステップS22)。状況通知部102は、状況変化通知開始要求を受信した場合(ステップS22でYes)、状況変化監視中状態に遷移し(ステップS23)、状況変化通知開始要求を受信していない場合(ステップS22でNo)、ステップS21からの処理を再度行う。
【0092】
状況通知部102は、状況変化監視中状態である場合(ステップS21でYes)、状況変化通知停止要求を受信したか否かを判定する(ステップS24)。状況通知部102は、状況変化通知停止要求を受信していない場合(ステップS24でNo)、通知が必要な状況の変化が発生したか否かを判定する(ステップS25)。ここで、移動体100における状況の変化の判定方法について、図10を用いて説明する。
【0093】
図10は、状況の項目毎の状況の変化の判定方法を説明するための図である。
【0094】
例えば、位置が田園地帯/都市部に変化したか否かは、行政区画情報から得られる人口密度情報に基づいて判定することができる。また、例えば、位置が都市部に変化したか否かは、地図データから得られる信号機密度、交差点数密度、店舗等密度、車線数等に基づいて判定することができる。
【0095】
例えば、走行状態が停止中/走行中に変化したか否かは、一定時間における移動距離の変化に基づいて判定することができる。
【0096】
例えば、運転支援状態が手動運転/半自動運転/完全自動運転に変化したか否かは、運転支援機能の動作状況の変化に基づいて判定することができる。
【0097】
例えば、充放電状態が非充放電中/放電中/V2X放電中/充電中に変化したか否かは、移動体の充放電状態の変化に基づいて判定することができる。
【0098】
状況通知部102は、通知が必要な状況の変化が発生していない場合(ステップS25でNo)、ステップS21からの処理を再度行う。状況通知部102は、通知が必要な状況の変化が発生している場合(ステップS25でYes)、変化後の状況を優先度判定システム10へ通知し(ステップS26)、ステップS21からの処理を再度行う。
【0099】
状況通知部102は、状況変化通知停止要求を受信した場合(ステップS24でYes)、状況変化監視中状態を解除する(ステップS27)。
【0100】
図11は、実施の形態における優先度判定システム10の、状況変化通知待ち受け状態時の動作の一例を示すフローチャートである。
【0101】
インシデント管理部13は、イベントを取得したか否かを判定する(ステップS31)。例えば、イベントは、分析者からの対処完了イベント又は移動体100からの状況変化通知のイベント(具体的には、変化後の状況データを取得したことを示すイベント)である。インシデント管理部13は、イベントを取得しない場合(ステップS31でNo)、ステップS31からの処理を再度行う。
【0102】
インシデント管理部13は、状況変化通知のイベントを取得した場合(ステップS31でYes(状況変化通知))、つまり、変化後の状況データが取得された場合、リスク値算出部14は、変化後の状況データに基づいて、対応する移動体100の異常データのリスク値を再算出する(ステップS32)。例えば、「停止中」の走行状態の移動体100の運転機能障害系の異常データのリスク値が「停止中」の倍率1.0に基づいて400と算出されていた場合に、当該移動体100から走行状態が「走行中」に変化した状況データが取得された場合、リスク値算出部14は、当該移動体100の当該異常データのリスク値を、「走行中」の倍率2.0に基づいて800と再算出する。
【0103】
次に、優先度判定部15は、再算出されたリスク値に基づいて、対応する移動体100の異常データが示す異常に対処するためのタスクの優先度を再判定する(ステップS33)。例えば、走行状態が「停止中」から「走行中」に変化した状況データを送信した移動体100の運転機能障害系の異常データが示す異常に対処するためのタスクの優先度を高くする。
【0104】
そして、出力部17は、優先度判定部15での判定の結果に基づく出力をする(ステップS34)。例えば、出力部17は、前回出力した判定の結果とは異なる判定の結果を出力することができ、移動体100の状況に応じて優先度が高くなったタスクを実行させることができる。
【0105】
一方で、インシデント管理部13は、対処完了イベントを取得した場合(ステップS31でYes(対処完了イベント))、具体的には、状況変化通知開始要求を送信した移動体100における特定の種類の異常データが示す異常の対処が行われた場合、状況変化通知管理部16は、状況変化通知対象データであると判定した異常データに対応する移動体100に対して、変化後の状況データを通知することを停止させる、言い換えると、状況変化通知停止要求を送信する(ステップS35)。状況変化通知停止要求は、状況の変化があった場合に変化後の状況データを通知することを停止させる指示を示す情報である。
【0106】
以上説明した通り、複数の異常データのうち、状況変化通知対象データについては、対応する移動体100から、状況の変化があった場合に変化後の状況データが通知される。このため、一度移動体100の状況データが取得された後、移動体100において状況の変化が発生したとしても、その変化後の状況に応じたリスク値が再算出されて、タスクの優先度が再判定される。したがって、移動体100の状況の変化に応じて適切にタスクの優先度を判定することができる。
【0107】
(その他の実施の形態)
以上のように、本開示に係る技術の例示として実施の形態を説明した。しかしながら、本開示に係る技術は、これに限定されず、適宜、変更、置き換え、付加、省略等を行った実施の形態にも適用可能である。例えば、以下のような変形例も本開示の一実施の形態に含まれる。
【0108】
例えば、上記実施の形態では、優先度判定システム10を構成する構成要素がサーバに配置される例について説明したが、これに限らない。例えば、異常取得部11、状況取得部12、インシデント管理部13、リスク値算出部14及び状況変化通知管理部16は、移動体100に配置されていてもよい。この場合、これらの構成要素が配置された移動体100は、複数の移動体100のそれぞれの状況データを取りまとめているサーバから状況データを取得してもよいし、複数の移動体100のそれぞれが複数の移動体100のそれぞれの状況データを共有していてもよい。また、優先度判定部15は、移動体100に配置されていてもよい。例えば、アラートを構成する情報に、判定されたタスクの優先度(タスクの重要度)が追加されて、優先度判定部15が配置された移動体100からサーバ等に当該アラートが通知されてもよい。また、優先度判定部15が配置された移動体100は、タスクの定義を記憶するサーバに、異常に対処するためのタスク、リスク値の配分率及び予想対応時間等を問い合わせてもよいし、複数の移動体100のそれぞれがこれらの情報を共有していてもよい。
【0109】
また、例えば、上記実施の形態では、タスク毎の優先度は、上記式1~式3に示されるように、複数の異常データのそれぞれのリスク値と、タスク毎の実行されることでリスクが軽減される割合及びタスク毎の実行に要する時間の両方とに基づいて判定される例について説明したが、これに限らない。例えば、タスク毎の優先度は、複数の異常データのそれぞれのリスク値と、タスク毎の実行されることでリスクが軽減される割合及びタスク毎の実行に要する時間のいずれか一方とに基づいて判定されてもよい。
【0110】
また、例えば、優先度判定システム10は、複数の異常データのうち異常の発生場所が近い異常データを1つの異常データとして処理してもよい。
【0111】
また、例えば、上記実施の形態では、SOC等の端末は、優先度判定システム10と有線通信又は無線通信が可能となっており、優先度判定システム10(出力部17)が当該端末のディスプレイ201等に対して、優先度の判定の結果に基づく出力をする例について説明したが、これに限らない。例えば、判定されたタスク毎の優先度がSOAR等の自動化ツールに提供され、判定された優先度に基づいて自動でタスクが処理されてもよい。
【0112】
また、例えば、優先度判定システム10が有する機能は、SOAR等の自動化ツールに実装されてもよく、優先度の判定の結果に基づく出力が自動化ツールから行われてもよい。
【0113】
また、例えば、上記実施の形態では、状況変化通知管理部16は、特定の種類の異常データに対応する状況の項目を決定し、状況変化通知対象データであると判定した異常データに対応する移動体100に対して、当該項目についての状況の変化があった場合に、変化後の状況データを通知することを要求する例を説明したが、これに限らない。例えば、状況変化通知管理部16は、特定の種類の異常データに対応する状況の項目を決定しなくてもよく、状況変化通知対象データであると判定した異常データに対応する移動体100に対して、任意の項目についての状況の変化があった場合に、変化後の状況データを通知することを要求してもよい。
【0114】
また、例えば、上記実施の形態では、状況変化通知管理部16は、特定の種類の異常データが示す異常の対処が行われた場合、状況変化通知対象データであると判定した異常データに対応する移動体100に対して、変化後の状況データを通知することを停止させる例を説明したが、これに限らない。例えば、状況変化通知管理部16は、特定の種類の異常データが示す異常の対処が行われた場合であっても、状況変化通知対象データであると判定した異常データに対応する移動体100に対して、変化後の状況データを通知することを停止させなくてもよい。例えば、移動体100は、時間経過等によって自動的に状況変化監視中状態を解除してもよい。
【0115】
また、例えば、移動体100は、車両に限らず、列車、航空機(例えば無人航空機)又は船舶等であってもよい。
【0116】
なお、本開示は、優先度判定システム10として実現できるだけでなく、優先度判定システム10を構成する各構成要素が行うステップ(処理)を含む優先度判定方法として実現できる。
【0117】
優先度判定方法は、図4及び図11に示されるように、それぞれ、複数の移動体のそれぞれの異常を示す複数の異常データを取得し(ステップS11)、それぞれ、複数の移動体のそれぞれの状況を示す複数の状況データを取得し(ステップS12)、複数の異常データのそれぞれについて、対応する移動体の状況データに基づいて、異常のリスク値を算出し(ステップS13)、複数の異常データのそれぞれのリスク値に基づいて、複数の異常データのそれぞれが示す異常に対処するためのタスク毎の優先度を判定し(ステップS14)、判定の結果に基づく出力をし(ステップS15)、複数の異常データのそれぞれについて、対応する移動体に対して、状況の変化があった場合に変化後の状況データを通知させることを要する状況変化通知対象データであるか否かを判定し(ステップS16)、状況変化通知対象データであると判定した異常データに対応する移動体に対して、状況の変化があった場合に変化後の状況データを通知することを要求し(ステップS17)、変化後の状況データが取得された場合、当該変化後の状況データに基づいて、対応する移動体の異常データのリスク値を再算出し(ステップS32)、再算出されたリスク値に基づいて、対応する移動体の異常データが示す異常に対処するためのタスクの優先度を再判定する(ステップS33)処理を含む。
【0118】
例えば、優先度判定方法におけるステップは、コンピュータ(コンピュータシステム)によって実行されてもよい。そして、本開示は、優先度判定方法に含まれるステップを、コンピュータに実行させるためのプログラムとして実現できる。
【0119】
さらに、本開示は、そのプログラムを記録したCD-ROM等である非一時的なコンピュータ読み取り可能な記録媒体として実現できる。
【0120】
例えば、本開示が、プログラム(ソフトウェア)で実現される場合には、コンピュータのCPU、メモリ及び入出力回路等のハードウェア資源を利用してプログラムが実行されることによって、各ステップが実行される。つまり、CPUがデータをメモリ又は入出力回路等から取得して演算したり、演算結果をメモリ又は入出力回路等に出力したりすることによって、各ステップが実行される。
【0121】
また、上記実施の形態の優先度判定システム10に含まれる各構成要素は、専用又は汎用の回路として実現されてもよい。
【0122】
また、上記実施の形態の優先度判定システム10に含まれる各構成要素は、集積回路(IC:Integrated Circuit)であるLSI(Large Scale Integration)として実現されてもよい。
【0123】
また、集積回路はLSIに限られず、専用回路又は汎用プロセッサで実現されてもよい。プログラム可能なFPGA(Field Programmable Gate Array)、又は、LSI内部の回路セルの接続及び設定が再構成可能なリコンフィギュラブル・プロセッサが、利用されてもよい。
【0124】
さらに、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて、優先度判定システム10に含まれる各構成要素の集積回路化が行われてもよい。
【0125】
その他、実施の形態に対して当業者が思いつく各種変形を施して得られる形態、本開示の趣旨を逸脱しない範囲で各実施の形態における構成要素及び機能を任意に組み合わせることで実現される形態も本開示に含まれる。
【0126】
(付記)
以上の実施の形態の記載により、下記の技術が開示される。
【0127】
(技術1)それぞれ、複数の移動体のそれぞれの異常を示す複数の異常データを取得する異常取得部と、それぞれ、前記複数の移動体のそれぞれの状況を示す複数の状況データを取得する状況取得部と、前記複数の異常データのそれぞれについて、対応する移動体の状況データに基づいて、異常のリスクを示すリスク値を算出するリスク値算出部と、前記複数の異常データのそれぞれの前記リスク値に基づいて、前記複数の異常データのそれぞれが示す異常に対処するためのタスク毎の優先度を判定する優先度判定部と、前記判定の結果に基づく出力をする出力部と、前記複数の異常データのそれぞれについて、対応する移動体に対して、状況の変化があった場合に変化後の状況データを通知させることを要する状況変化通知対象データであるか否かを判定する状況変化通知管理部と、を備え、前記状況変化通知管理部は、前記状況変化通知対象データであると判定した異常データに対応する移動体に対して、状況の変化があった場合に変化後の状況データを通知することを要求し、前記リスク値算出部は、変化後の状況データが取得された場合、当該変化後の状況データに基づいて、対応する移動体の異常データの前記リスク値を再算出し、前記優先度判定部は、再算出された前記リスク値に基づいて、対応する移動体の異常データが示す異常に対処するためのタスクの優先度を再判定する優先度判定システム。
【0128】
これによれば、複数の異常データのうち、状況変化通知対象データについては、対応する移動体から、状況の変化があった場合に変化後の状況データが通知される。このため、一度移動体の状況データが取得された後、移動体において状況の変化が発生したとしても、その変化後の状況に応じたリスク値が再算出されて、タスクの優先度が再判定される。したがって、移動体の状況の変化に応じて適切にタスクの優先度を判定することができる。
【0129】
(技術2)前記状況変化通知管理部は、前記複数の異常データのうち特定の種類の異常データを前記状況変化通知対象データであると判定する技術1に記載の優先度判定システム。
【0130】
例えば、異常の種類によっては、移動体における状況に変化があったとしても、リスク値が変わらないものもある。そこで、状況の変化の監視が必要な異常が発生している移動体にのみ、状況の変化があった場合に変化後の状況データを通知させることで、効率的なシステム運用が可能となる。
【0131】
(技術3)前記状況変化通知管理部は、前記特定の種類の異常データに対応する状況の項目を決定し、前記状況変化通知対象データであると判定した異常データに対応する移動体に対して、前記項目についての状況の変化があった場合に、変化後の状況データを通知することを要求する技術2に記載の優先度判定システム。
【0132】
例えば、移動体の状況の項目によっては、変化があったとしてもリスク値が変わらないものもある。そこで、必要な状況の項目の変化のみ移動体に監視させることで、効率的なシステム運用が可能となる。
【0133】
(技術4)前記状況変化通知管理部は、前記特定の種類の異常データが示す異常の対処が行われた場合、前記状況変化通知対象データであると判定した異常データに対応する移動体に対して、変化後の状況データを通知することを停止させる技術2又は3に記載の優先度判定システム。
【0134】
これによれば、異常の対処が行われた場合、当該異常が発生した移動体からの変化後の状況の通知は不要となるため、当該通知を停止させることができる。
【0135】
(技術5)前記複数の状況データのそれぞれは、移動体の種類を示す種類情報、移動体の位置を示す位置情報、前記位置情報に対応する地点の交通情報、移動体の走行状態を示す走行状態情報、移動体の運転支援状態を示す運転支援状態情報、及び、移動体の充放電状態を示す充放電状態情報の少なくとも1つの情報を含む技術1~4のいずれかに記載の優先度判定システム。
【0136】
これによれば、異常のリスクに影響を与え得る種類情報、位置情報、交通情報、走行状態情報、運転支援状態情報及び充放電状態情報の少なくとも1つの情報をリスク値に反映することができる。
【0137】
(技術6)前記リスク値は、異常の種類に応じて決定される基礎リスク値を、対応する移動体の状況データを用いて補正した値である技術1~5のいずれかに記載の優先度判定システム。
【0138】
これによれば、異常の種類に応じて容易に決定できる基礎リスク値を、状況データを用いて補正することで、リスク値を容易に算出することができる。
【0139】
(技術7)前記タスク毎の優先度は、前記複数の異常データのそれぞれの前記リスク値と、前記タスク毎の所定の指標値とに基づいて判定される技術1~6のいずれかに記載の優先度判定システム。
【0140】
これによれば、複数の異常データのそれぞれのリスク値と、タスク毎の所定の指標値とに基づいてタスク毎の優先度を容易に判定することができる。
【0141】
(技術8)前記タスク毎の所定の指標値は、前記タスク毎の実行されることでリスクが軽減される割合及び前記タスク毎の実行に要する時間の少なくとも一方である技術7に記載の優先度判定システム。
【0142】
これによれば、実行されることでリスクが軽減される割合が大きいタスクの優先度を高くすることができ、また、実行に要する時間が短いタスクの優先度を高くすることができる。
【0143】
(技術9)前記優先度判定部は、前記判定を、定期的に、タスクが実施される毎に、異常が検知される毎に、又は、前記リスク値が算出される毎に行う技術1~8のいずれかに記載の優先度判定システム。
【0144】
これによれば、これらのタイミングで、優先度の判定を自動的に行うことができる。
【0145】
(技術10)それぞれ、複数の移動体のそれぞれの異常を示す複数の異常データを取得し、それぞれ、前記複数の移動体のそれぞれの状況を示す複数の状況データを取得し、前記複数の異常データのそれぞれについて、対応する移動体の状況データに基づいて、異常のリスクを示すリスク値を算出し、前記複数の異常データのそれぞれの前記リスク値に基づいて、前記複数の異常データのそれぞれが示す異常に対処するためのタスク毎の優先度を判定し、前記判定の結果に基づく出力をし、前記複数の異常データのそれぞれについて、対応する移動体に対して、状況の変化があった場合に変化後の状況データを通知させることを要する状況変化通知対象データであるか否かを判定し、前記状況変化通知対象データであると判定した異常データに対応する移動体に対して、状況の変化があった場合に変化後の状況データを通知することを要求し、変化後の状況データが取得された場合、当該変化後の状況データに基づいて、対応する移動体の異常データの前記リスク値を再算出し、再算出された前記リスク値に基づいて、対応する移動体の異常データが示す異常に対処するためのタスクの優先度を再判定する優先度判定方法。
【0146】
これによれば、移動体の状況の変化に応じて適切にタスクの優先度を判定することができる優先度判定方法を提供できる。
【0147】
(技術11)技術10に記載の優先度判定方法をコンピュータに実行させるためのプログラム。
【0148】
これによれば、移動体の状況の変化に応じて適切にタスクの優先度を判定することができるプログラムを提供できる。
【産業上の利用可能性】
【0149】
本開示は、例えば車両を監視するシステムに適用できる。
【符号の説明】
【0150】
10 優先度判定システム
11 異常取得部
12 状況取得部
13 インシデント管理部
14 リスク値算出部
15 優先度判定部
16 状況変化通知管理部
17 出力部
18 入力部
100 移動体
101 異常通知部
102 状況通知部
201 ディスプレイ
202 キーボード
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11