ホーム > 特許ランキング > トヨタ自動車株式会社
知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-09-25
(45)【発行日】2023-10-03
(54)【発明の名称】車両制御装置、車両、車両制御方法及びプログラム
(51)【国際特許分類】
B60R 25/24 20130101AFI20230926BHJP
B60W 60/00 20200101ALI20230926BHJP
E05B 49/00 20060101ALI20230926BHJP
【FI】
B60R25/24
B60W60/00
E05B49/00 J
【請求項の数】
10
(21)【出願番号】P 2021084862
(22)【出願日】2021-05-19
(65)【公開番号】P2022178229
(43)【公開日】2022-12-02
【審査請求日】2023-03-23
(73)【特許権者】
【識別番号】000003207
【氏名又は名称】トヨタ自動車株式会社
(74)【代理人】
【識別番号】110001519
【氏名又は名称】弁理士法人太陽国際特許事務所
(72)【発明者】
【氏名】山本 祐介
【審査官】飯島 尚郎
(56)【参考文献】
【文献】特開2006-082710(JP,A)
【文献】特開2017-087761(JP,A)
【文献】特開2018-186449(JP,A)
【文献】特開2003-146185(JP,A)
【文献】特開2008-078769(JP,A)
【文献】米国特許出願公開第2015/0116081(US,A1)
【文献】独国特許出願公開第102019122231(DE,A1)
【文献】特開2020-183185(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
B60R 25/00-25/40
B60W 60/00
E05B 49/00
(57)【特許請求の範囲】
【請求項1】
操作信号を受信したときに制御信号を送信する通信部と、前記制御信号を受信したときに制御要求信号を送信する中継部と、に電気的に接続され、前記中継部が前記制御信号を受信したときに、前記中継部を認証するか否かの認証作業を実行する、車両に搭載された認証部と、前記認証部から前記中継部を認証することを表す認証信号を受信したときに、前記中継部から受信した前記制御要求信号に基づいて前記車両に設けられた制御対象を制御する、前記車両に搭載された制御部と、
を備える車両制御装置。
【請求項2】
前記認証部が、前記中継部から前記制御要求信号である第1制御要求信号を受信したときに、前記中継部へ前記中継部を認証するか否かを判定するための認証判定信号を送信し、且つ、前記中継部を認証するという判定を行ったときに、前記制御部へ前記認証信号を送信する請求項1に記載の車両制御装置。
【請求項3】
前記中継部が前記認証判定信号に対する応答信号を前記認証部へ送信したときに、前記認証部が、受信した前記応答信号の種類に基づいて、前記中継部を認証しないことを表す非認証信号又は前記認証信号を前記制御部へ送信する請求項2に記載の車両制御装置。
【請求項4】
前記中継部は、前記認証判定信号を受信したときに、前記応答信号及び前記制御要求信号である第2制御要求信号を前記制御部へ送信し、前記制御部は、前記第1制御要求信号、前記認証信号及び前記第2制御要求信号を受信したときに前記制御対象を制御する請求項3に記載の車両制御装置。
【請求項5】
前記制御部は、前記第1制御要求信号を受信してから所定の制限時間内に前記認証信号及び前記第2制御要求信号を受信したときに前記制御対象を制御する請求項4に記載の車両制御装置。
【請求項6】
前記制御対象が、前記車両の駆動源に電力を供給して前記駆動源を作動させる電源であり、前記制御部は前記制御要求信号を受信したときに、前記電源を電力供給不能な状態と電力供給可能な状態との一方から他方に切り替える請求項1~5の何れか1項に記載の車両制御装置。
【請求項7】
請求項1~6の何れか1項に記載の車両制御装置を備え、且つ、前記車両制御装置が前記通信部、前記中継部、前記認証部及び前記制御部を有する車両。
【請求項8】
前記通信部が、外部通信機器から前記操作信号を受信したときに前記制御信号を送信する請求項7に記載の車両。
【請求項9】
車両に搭載された通信部が、操作信号を受信したときに制御信号を送信するステップ、前記車両に搭載された中継部が、前記通信部から前記制御信号を受信したときに制御要求信号を送信するステップ、
前記車両に搭載された認証部が、前記中継部が前記制御信号を受信したときに、前記中継部を認証するか否かの認証作業を実行するステップ、及び
前記車両に搭載された制御部が、前記認証部から前記中継部を認証することを表す認証信号を受信したときに、前記中継部から受信した前記制御要求信号に基づいて前記車両に設けられた制御対象を制御するステップ、
を有する車両制御方法。
【請求項10】
車両に搭載された通信部が、操作信号を受信したときに制御信号を送信する処理、前記車両に搭載された中継部が、前記通信部から前記制御信号を受信したときに制御要求信号を送信する処理、
前記車両に搭載された認証部が、前記中継部が前記制御信号を受信したときに、前記中継部を認証するか否かの認証作業を実行する処理、及び
前記車両に搭載された制御部が、前記認証部から前記中継部を認証することを表す認証信号を受信したときに、前記中継部から受信した前記制御要求信号に基づいて前記車両に設けられた制御対象を制御する処理、
を、前記通信部、前記中継部、前記認証部及び前記制御部を有する車両制御装置に実行させるプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、車両制御装置、車両、車両制御方法及びプログラムに関する。
【背景技術】
【0002】
下記特許文献1に開示された車両は、外部通信機器と無線通信可能な通信装置と、通信装置と電気的に接続された遠隔操作受付ECU(中継部)と、遠隔操作受付ECUと電気的に接続された照合ECU(制御部)と、を備える。外部通信機器が発信した操作信号を受信した通信機器は、この操作信号を外部通信機器のID情報と一緒に遠隔操作受付ECUへ送信する。さらに遠隔操作受付ECUは、外部通信機器のID情報を照合ECUへ送信する。照合ECUは、受信した外部通信機器のID情報に基づいて、外部通信機器を認証するか否かの認証作業を実行する。照合ECUが外部通信機器を認証した場合、遠隔操作受付ECUは受信した操作信号に基づいて、車両に設けられた制御対象(例えばドアロック装置)を制御する。
【先行技術文献】
【特許文献】
【0003】
【文献】特開2008-078769号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
上記特許文献1では、遠隔操作受付ECUが信頼できるECUであるという前提で、操作信号に基づいて制御対象が制御される。そのため、遠隔操作受付ECUの信頼性の確認について改善の余地がある。
【0005】
本発明は上記事実を考慮し、通信部が操作信号を受信したときに信号を制御部へ送信する中継部の信頼性を担保しながら、制御部が受信した信号に基づいて制御対象を制御できる車両制御装置、車両、車両制御方法及びプログラムを得ることを目的とする。
【課題を解決するための手段】
【0006】
請求項1に記載の車両制御装置は、操作信号を受信したときに制御信号を送信する通信部と、前記制御信号を受信したときに制御要求信号を送信する中継部と、に電気的に接続され、前記中継部が前記制御信号を受信したときに、前記中継部を認証するか否かの認証作業を実行する、車両に搭載された認証部と、前記認証部から前記中継部を認証することを表す認証信号を受信したときに、前記中継部から受信した前記制御要求信号に基づいて前記車両に設けられた制御対象を制御する、前記車両に搭載された制御部と、を備える。
【0007】
請求項1に記載の車両制御装置では、通信部が操作信号を受信したときに、中継部が通信部から制御信号を受信し且つ制御要求信号を送信する。さらに中継部が制御信号を受信したときに、認証部が中継部を認証するか否かの認証作業を実行する。さらに制御部が、認証部から中継部を認証することを表す認証信号を受信したときに、中継部から受信した前記制御要求信号に基づいて車両に設けられた制御対象を制御する。
【0008】
このように請求項1に記載の車両制御装置は、認証部が中継部を認証したときに、制御部が、中継部から受信した制御要求信号に基づいて車両に設けられた制御対象を制御する。従って、請求項1に記載の車両制御装置は、通信部が操作信号を受信したときに信号を制御部へ送信する中継部の信頼性を担保しながら、制御部が受信した信号に基づいて制御対象を制御できる。
【0009】
請求項2に記載の発明に係る車両制御装置は、請求項1記載の発明において、前記認証部が、前記中継部から前記制御要求信号である第1制御要求信号を受信したときに、前記中継部へ前記中継部を認証するか否かを判定するための認証判定信号を送信し、且つ、前記中継部を認証するという判定を行ったときに、前記制御部へ前記認証信号を送信する。
【0010】
請求項2に記載の発明では、中継部から制御要求信号である第1制御要求信号を受信したときに、認証部が、中継部へ中継部を認証するか否かを判定するための認証判定信号を送信する。さらに認証部は中継部を認証するという判定を行ったときに、制御部へ認証信号を送信する。このように請求項2に記載の発明では、認証部が中継部から第1制御要求信号を受信したことをトリガーにして、認証部による認証作業が実行される。
【0011】
請求項3に記載の発明に係る車両制御装置は、請求項2記載の発明において、前記中継部が前記認証判定信号に対する応答信号を前記認証部へ送信したときに、前記認証部が、受信した前記応答信号の種類に基づいて、前記中継部を認証しないことを表す非認証信号又は前記認証信号を前記制御部へ送信する。
【0012】
請求項3に記載の発明では、中継部が認証判定信号に対する応答信号を認証部へ送信したときに、認証部が、受信した応答信号の種類に基づいて非認証信号又は認証信号を制御部へ送信する。制御部が非認証信号を受信した場合は、制御部は制御対象を制御しない。一方、制御部が認証信号を受信した場合は、制御部は制御要求信号に基づいて制御対象を制御する。このように請求項3に記載の発明では、制御部が、受信した信号の種類に基づいて中継部が認証されたか否かを判断し、認証された場合に制御対象を制御する。
【0013】
請求項4に記載の発明に係る車両制御装置は、請求項3記載の発明において、前記中継部は、前記認証判定信号を受信したときに、前記応答信号及び前記制御要求信号である第2制御要求信号を前記制御部へ送信し、前記制御部は、前記第1制御要求信号、前記認証信号及び前記第2制御要求信号を受信したときに前記制御対象を制御する。
【0014】
請求項4に記載の発明では、制御部は、第1制御要求信号、認証信号及び第2制御要求信号を受信したときに制御対象を制御する。このように制御部は、第1制御要求信号に加えて第2制御要求信号を受信したときに制御対象を制御する。第1制御要求信号及び第2制御要求信号は、中継部が送信する信号である。従って、制御部が第1制御要求信号及び認証信号のみに基づいて制御対象を制御する場合と比べて、中継部の信頼性の判定精度が高くなる。
【0015】
請求項5に記載の発明に係る車両制御装置は、請求項4記載の発明において、前記制御部は、前記第1制御要求信号を受信してから所定の制限時間内に前記認証信号及び前記第2制御要求信号を受信したときに前記制御対象を制御する。
【0016】
請求項5に記載の発明では、制御部は、第1制御要求信号を受信してから所定の制限時間内に認証信号及び第2制御要求信号を受信したときに制御対象を制御する。制御部が第1制御要求信号を受信してから認証信号及び第2制御要求信号を受信するまでの時間に制限がない場合は、悪意のある者が信頼性の無い中継部を操作することにより、認証部に認証信号を送信させるための応答信号及び第2制御要求信号を中継部に送信させるおそれが大きくなる。しかし請求項5に記載の発明では、第1制御要求信号を受信してから認証信号及び第2制御要求信号を受信するまでの時間を所定の制限時間に制限しているので、このような問題が発生するおそれが小さい。
【0017】
請求項6に記載の発明に係る車両制御装置は、請求項1~5の何れか1項に記載の発明において、前記制御対象が、前記車両の駆動源に電力を供給して前記駆動源を作動させる電源であり、前記制御部は前記制御要求信号を受信したときに、前記電源を電力供給不能な状態と電力供給可能な状態との一方から他方に切り替える。
【0018】
請求項6に記載の発明では、制御要求信号を受信した制御部が、車両の駆動源に電力を供給して駆動源を作動させる電源を、電力供給不能な状態と電力供給可能な状態との一方から他方に切り替える。従って、例えば電源を電力供給不能な状態から電力供給可能な状態へ切り替える場合は、制御部が制御要求信号を受信したときに、当該電源から駆動源に電力が供給され駆動源が作動する。
【0019】
請求項7に記載の発明に係る車両は、請求項1~6の何れか1項に記載の車両制御装置を備え、且つ、前記車両制御装置が前記通信部、前記中継部、前記認証部及び前記制御部を有する。
【0020】
請求項8に記載の発明に係る車両は、請求項7記載の発明において、前記通信部が、外部通信機器から前記操作信号を受信したときに前記制御信号を送信する。
【0021】
請求項9に記載の発明に係る車両制御方法は、車両に搭載された通信部が、操作信号を受信したときに制御信号を送信するステップ、前記車両に搭載された中継部が、前記通信部から前記制御信号を受信したときに制御要求信号を送信するステップ、前記車両に搭載された認証部が、前記中継部が前記制御信号を受信したときに、前記中継部を認証するか否かの認証作業を実行するステップ、及び前記車両に搭載された制御部が、前記認証部から前記中継部を認証することを表す認証信号を受信したときに、前記中継部から受信した前記制御要求信号に基づいて前記車両に設けられた制御対象を制御するステップ、を有する。
【0022】
請求項10に記載の発明に係るプログラムは、車両に搭載された通信部が、操作信号を受信したときに制御信号を送信する処理、前記車両に搭載された中継部が、前記通信部から前記制御信号を受信したときに制御要求信号を送信する処理、前記車両に搭載された認証部が、前記中継部が前記制御信号を受信したときに、前記中継部を認証するか否かの認証作業を実行する処理、及び前記車両に搭載された制御部が、前記認証部から前記中継部を認証することを表す認証信号を受信したときに、前記中継部から受信した前記制御要求信号に基づいて前記車両に設けられた制御対象を制御する処理、を、前記通信部、前記中継部、前記認証部及び前記制御部を有する車両制御装置に実行させる。
【発明の効果】
【0023】
以上説明したように、本発明に係る車両制御装置、車両、車両制御方法及びプログラムは、通信部が操作信号を受信したときに信号を制御部へ送信する中継部の信頼性を担保しながら、制御部が受信した信号に基づいて制御対象を制御できる、という優れた効果を有する。
【図面の簡単な説明】
【0024】
【発明を実施するための形態】
【0025】
以下、本発明に係る車両制御装置10、車両制御装置10を備える車両12、車両制御方法及びプログラムの実施形態について、図面を参照しながら説明する。
【0026】
図1は、実施形態の車両制御装置10を備える車両12を示している。車両制御装置10は、自動運転キット(通信部)14、中継ECU(Electronic Control Unit)(中継部)16、照合ECU18及びバス26A、26Bを備える。バス26Aは自動運転キット14と中継ECU16を電気的に接続する。バス26Bは中継ECU16と照合ECU18を電気的に接続する。自動運転キット14、中継ECU16、照合ECU18及びバス26A、26Bを有する車内ネットワークは、例えば、Ethernet(登録商標)、CAN(Controller Area Network)又はFlex Ray(登録商標)である。なお、本実施形態では、バス26Aを介した自動運転キット14と中継ECU16との間の通信、及び、バス26Bを介した中継ECU16と照合ECU18との間の通信には、多重通信が可能な通信プロトコル(例えばCAN)が適用されている。
【0027】
図1に示されるように車両12には、エンジン(駆動源)(図示省略)を制御するためのエンジンECU30が設けられている。照合ECU18には、エンジンのイグニッションスイッチ(制御対象)34が電気的に接続されている。イグニッションスイッチ34は給電線36に設けられている。給電線36の一端は電源(バッテリ)38に接続され、給電線36の他端はエンジンECU30に接続されている。イグニッションスイッチ34は、図1に実線で示されるOFF位置と、仮想線で示されるON位置と、の間を移動可能である。イグニッションスイッチ34の初期位置はOFF位置である。
【0028】
図1に示されるように自動運転キット14は車両12のセンターコンソールの内部に設けられている。但し、自動運転キット14は、車両12のセンターコンソールとは別の部位(例えば、車両天井部)に設けられてもよい。自動運転キット14は、無線通信装置(図示省略)と、図2に示される自動運転ECU15と、を有する。無線通信装置と自動運転ECU15と車両12に設けられたセンサ群(図示省略)は互いに接続されている。これらのセンサ群には、例えばカメラが含まれる。自動運転ECU15は、CPU(Central Processing Unit:プロセッサ)15A、ROM(Read Only Memory)15B、RAM(Random Access Memory)15C、ストレージ15D、通信I/F(Inter Face)15E及び入出力I/F15Fを含んで構成されている。CPU15A、ROM15B、RAM15C、ストレージ15D、通信I/F15E及び入出力I/F15Fは、バス15Zを介して相互に通信可能に接続されている。自動運転ECU15は、タイマー(図示省略)から時刻に関する情報を取得可能である。なお、図示は省略されているが、中継ECU16及びエンジンECU30のハードウェア構成は自動運転ECU15と同じである。本実施形態の自動運転キット14は、車両12を製造したメーカーとは別のメーカーによって製造される。
【0029】
CPU15Aは、中央演算処理ユニットであり、各種プログラムを実行したり、各部を制御したりする。すなわち、CPU15Aは、ROM15B又はストレージ15Dからプログラムを読み出し、RAM15Cを作業領域としてプログラムを実行する。CPU15Aは、ROM15Bに記録されているプログラムに従って、各構成の制御及び各種の演算処理を行う。例えば、CPU15Aは、自動運転制御(運転支援制御)を実行するためにステアリングホイール、ブレーキ装置、エンジン及び方向指示器の制御を行う。
【0030】
ROM15B及び中継ECU16のROMは、各種プログラム及び各種データを格納する。
【0031】
RAM15Cは、作業領域として一時的にプログラム又はデータを記憶する。ストレージ15Dは、HDD(Hard Disk Drive)又はSSD(Solid State Drive)等の記憶装置により構成され、各種プログラム及び各種データを格納する。通信I/F15Eは、自動運転ECU15が他の機器と通信するためのインタフェースである。通信I/F15Eはバス26Aに接続される。入出力I/F15Fは、車両12に搭載される各装置と通信するためのインタフェースである。
【0032】
図3には、自動運転ECU15の機能構成の一例がブロック図で示されている。自動運転ECU15は、機能構成として、ID照合部151、信号生成部152及び送信部153を有する。ID照合部151、信号生成部152及び送信部153は、CPU15AがROM15Bに記憶されたプログラムを読み出し、実行することにより実現される。
【0033】
ID照合部151は、上記無線通信装置が後述する携帯端末(外部通信機器)40から操作信号を受信したか否かを判定する。さらにID照合部151は、操作信号に含まれる携帯端末40のID情報が、ROM15Bに記録されたID情報リスト(図示省略)に含まれたID情報と一致するか否かを判定する。
【0034】
信号生成部152は、無線通信装置から受信した信号に基づいて、イグニッションスイッチ34(制御対象)を制御するための制御信号を生成する。
【0035】
送信部153は、信号生成部152が生成した制御信号を、バス26Aを介して中継ECU16へ送信する。
【0036】
図4には、中継ECU16の機能構成の一例がブロック図で示されている。中継ECU16は、機能構成として、受信部161、制御要求信号生成部162、応答信号生成部163及び送信部164を有する。受信部161、制御要求信号生成部162、応答信号生成部163及び送信部164は、中継ECU16のCPUがROMに記憶されたプログラムを読み出し、実行することにより実現される。
【0037】
受信部161は、自動運転ECU15が送信した制御信号、及び、後述する認証判定信号を受信する。
【0038】
制御要求信号生成部162は、受信部161が制御信号を受信したときに、第1制御要求信号を生成する。さらに制御要求信号生成部162は、受信部161が認証判定信号を受信したときに、第2制御要求信号を生成する。
【0039】
応答信号生成部163は、受信部161が認証判定信号を受信したときに、認証判定信号に対する応答信号を生成する。後述するように、本実施形態の認証判定信号は、AES(Advanced Encryption Standard)を利用した暗号を表す信号である。そのため、本実施形態の応答信号は、AESを利用して暗号化されたデータを復号化したデータを表す信号である。
【0040】
送信部164は、生成された第1制御要求信号、第2制御要求信号及び応答信号を、バス26Bを介して照合ECU18へ送信する。さらに送信部164は、第2制御要求信号及び応答信号を一つのメッセージに載せて照合ECU18へ送信する。
【0041】
図5に示されるように、照合ECU18は、認証マイコン(認証部)19及び制御マイコン(制御部)20を有する。さらに照合ECU18は、認証マイコン19と制御マイコン20とを接続するバス21を有する。さらに照合ECU18は通信I/F(図示省略)を有する。
【0042】
認証マイコン19は、CPU19A、ROM19B、RAM19C、及び入出力I/F19Fを含んで構成されている。CPU19A、ROM19B、RAM19C、及び入出力I/F19Fは、バス19Zを介して相互に通信可能に接続されている。認証マイコン19は、タイマー(図示省略)から時刻に関する情報を取得可能である。
【0043】
制御マイコン20は、CPU20A、ROM20B、RAM20C、及び入出力I/F20Fを含んで構成されている。CPU20A、ROM20B、RAM20C、及び入出力I/F20Fは、バス20Zを介して相互に通信可能に接続されている。制御マイコン20は、タイマー(図示省略)から時刻に関する情報を取得可能である。
【0044】
図6には、認証マイコン19の機能構成の一例がブロック図で示されている。認証マイコン19は、機能構成として、受信部191、信号生成部192及び送信部193を有する。受信部191、信号生成部192及び送信部193は、認証マイコン19のCPU19AがROM19Bに記憶されたプログラムを読み出し、実行することにより実現される。
【0045】
受信部191は、送信部164が送信した第1制御要求信号及び応答信号を受信する。
【0046】
信号生成部192は認証判定信号を生成する。上述のように、この認証判定信号はAESを利用した暗号を表す信号である。さらに信号生成部192は、受信部191が送信部164から上記応答信号を受信したときに、認証信号又は非認証信号を生成する。即ち、受信部191が受信した応答信号が表す復号化データの内容が正しいと信号生成部192が判定した場合に、信号生成部192は認証信号を生成する。この認証信号は、認証マイコン19が中継ECU16を認証したことを表す信号である。一方、受信部191が受信した応答信号が表す復号化データの内容が誤りであると信号生成部192が判定した場合に、信号生成部192は非認証信号を生成する。この非認証信号は、認証マイコン19が中継ECU16を認証しないことを表す信号である。
【0047】
送信部193は、信号生成部192が生成した認証判定信号を受信部161へ送信する。さらに送信部193は、信号生成部192が生成した認証信号又は非認証信号を、バス21を介して制御マイコン20の受信部201へ送信する。
【0048】
図7には、制御マイコン20の機能構成の一例がブロック図で示されている。制御マイコン20は、機能構成として、受信部201、判定部202及び送信部203を有する。受信部201、判定部202及び送信部203は、制御マイコン20のCPU20AがROM20Bに記憶されたプログラムを読み出し、実行することにより実現される。
【0049】
受信部201は、送信部164が送信した第1制御要求信号及び第2制御要求信号、並びに送信部193が送信した認証信号又は非認証信号を受信する。本実施形態における送信部164と受信部201との間の第1制御要求信号の送受信は、データのエラー検出機能を有するE2E通信(end-to-end通信)として実施される。なお、本明細書においてE2E通信は、「データエラー検出通信」の一例である。従って、受信部201は、送信部164から受信した第1制御要求信号の内容が、正しい内容であるか否かを検出できる。
【0050】
判定部202は、受信部201が受信した第1制御要求信号及び第2制御要求信号並びに認証信号又は非認証信号に基づいて、制御対象であるイグニッションスイッチ34を制御するか否かを判定する。即ち、判定部202は、受信部201が第1制御要求信号を受信してから所定の制限時間内に受信部201が第2制御要求信号及び認証信号を受信したときに、イグニッションスイッチ34を制御することを決定する。一方、判定部202は、受信部201が第1制御要求信号を受信してから制限時間内に受信部201が第2制御要求信号又は認証信号を受信しなかったときに、イグニッションスイッチ34を制御しないことを決定する。さらに判定部202は非認証信号を受信したときに、イグニッションスイッチ34を制御しないことを決定する。なお、この制限時間は、例えば0.5秒である。
【0051】
送信部203は、受信部201が第1制御要求信号を受信してから制限時間内に受信部201が第2制御要求信号及び認証信号を受信したときに、イグニッションスイッチ34を制御する。即ち、送信部203は、OFF位置に位置するイグニッションスイッチ34をON位置へ移動させるための電気信号をイグニッションスイッチ34へ送信する。
【0052】
図1に示される携帯端末40は、例えば、スマートフォン又はタブレット型コンピュータである。携帯端末40は、タッチパネルを有する表示部41を備える。携帯端末40はCPU、ROM、RAM、ストレージ、通信I/F及び入出力I/Fを含んで構成されている。これらCPU、ROM、RAM、ストレージ、通信I/F及び入出力I/Fは、バスを介して相互に通信可能に接続されている。携帯端末40はタイマー(図示省略)から日時に関する情報を取得可能である。携帯端末40は、自動運転キット14の上記無線通信装置と無線通信可能である。さらに自動運転用アプリケーション(ソフトウェア)が携帯端末40にインストールされている。
【0053】
【0054】
イグニッションスイッチ34がOFF位置に位置し、常時電源(図示省略)の電力が自動運転キット14、中継ECU16及び照合ECU18に供給され、且つエンジンが停止している状態を想定する。この状態で自動運転用アプリケーションが起動中の携帯端末40の表示部41に表示された始動スイッチに操作者(図示省略)の手が触れると、携帯端末40が操作信号を無線送信する。
【0055】
ステップS10において、自動運転キット14の無線通信装置が操作信号を受信したか否かを、自動運転ECU15のID照合部151が判定する。
【0056】
ステップS10においてYesと判定したとき、ステップS11において、操作信号に含まれる携帯端末40のID情報がROM15Bに記録されたID情報リストに含まれたID情報と一致するか否かを、ID照合部151が判定する。即ち、ID照合部151が、携帯端末40を認証するか否かを判定する。
【0057】
ステップS11においてYesと判定したとき、ステップS12において、信号生成部152が制御信号を生成し且つ生成された制御信号を送信部153が中継ECU16へ送信する。
【0058】
ステップS12の処理が終了すると、ステップS13において、中継ECU16の受信部161は制御信号を受信したか否かを判定する。このとき、受信部161は、鍵認証を用いて、自動運転ECU15(自動運転キット14)の認証作業を実行する。受信部161が自動運転ECU15(自動運転キット14)を認証し且つ制御信号を受信したときに、中継ECU16はステップS13でYesと判定する。
【0059】
ステップS13においてYesと判定されたとき、ステップS14において、制御要求信号生成部162が第1制御要求信号を生成し、且つ、送信部164が生成された第1制御要求信号を認証マイコン19及び制御マイコン20へ送信する。
【0060】
ステップS14の処理が終了すると、ステップS15において、認証マイコン19の受信部191及び制御マイコン20の受信部201が、送信部164から送信された第1制御要求信号を受信したか否かを判定する。このとき受信部201は、送信部164から受信した第1制御要求信号の内容が、正しい内容であるか否かを、E2E通信を利用して検出する。ここで受信部201が、受信した信号の内容が正しいと判定したとき、受信部201は第1制御要求信号を受信したと判定する。一方、受信部201が、受信した信号の内容に誤りがあると判定したとき、受信部201は第1制御要求信号を受信しなかったと判定する。受信部191及び受信部201が第1制御要求信号を受信したと判定した場合に、ステップS15においてYesと判定される。即ち、受信部191又は受信部201が第1制御要求信号を受信しなかったと判定した場合に、ステップS15においてNoと判定される。
【0061】
ステップS15においてYesと判定したとき、ステップS16において、信号生成部192が認証判定信号を生成し、且つ、送信部193が生成された認証判定信号を中継ECU16へ送信する。即ち、認証マイコン19(送信部193)が中継ECU16(送信部164)から第1制御要求信号を受信したことをトリガーにして、認証マイコン19による認証作業が開始される。
【0062】
ステップS16の処理が終了すると、ステップS17において、中継ECU16の受信部161が認証判定信号を受信したか否かを判定する。
【0063】
ステップS17においてYesと判定したとき、ステップS18において、制御要求信号生成部162が第2制御要求信号を生成し且つ応答信号生成部163が応答信号を生成する。さらにステップS18において、送信部164が生成された第2制御要求信号を制御マイコン20へ送信し、且つ、生成された応答信号を認証マイコン19へ送信する。
【0064】
ステップS18の処理が終了すると、ステップS19において、認証マイコン19の受信部191が応答信号を受信したか否かを判定する。
【0065】
ステップS19においてYesと判定したとき、ステップS20において、信号生成部192が認証信号又は非認証信号を生成し、送信部193が生成された認証信号又は非認証信号を、バス21を介して制御マイコン20の受信部201へ送信する。
【0066】
ステップS20の処理が終了すると、ステップS21において、制御マイコン20の判定部202が、ステップS15において第1制御要求信号を受信してから上記制限時間内に認証信号及び第2制御要求信号を受信したか否かを判定する。
【0067】
ステップS21においてYesと判定したとき、ステップS22において、送信部203がOFF位置に位置するイグニッションスイッチ34をON位置へ移動させる。これにより、電源38の電力が給電線36を介してエンジンECU30に供給されるのでエンジンの制御が開始される。このように、制御マイコン20(判定部202)が、受信した信号の種類に基づいて中継ECU16が認証されたか否かを判断し、中継ECU16が認証された場合にイグニッションスイッチ34を制御する。
【0068】
【0069】
(作用並びに効果)
次に、本実施形態の作用並びに効果について説明する。
次に、本実施形態の作用並びに効果について説明する。
【0070】
以上説明したように本実施形態の車両制御装置10は、認証マイコン19が中継ECU16を認証したときに、制御マイコン20が、中継ECU16から受信した制御要求信号(第1制御要求信号、第2制御要求信号)に基づいて、車両12に設けられたイグニッションスイッチ34を制御する。さらに認証マイコン19がAESを利用して、悪意のある者によって中継ECU16が管理されているか否かを判定する。即ち、認証マイコン19が悪意のある者による「なりすまし」を防止している。従って、車両制御装置10(自動運転キット14)が携帯端末40から操作信号を受信したときに制御要求信号を制御マイコン20へ送信する中継ECU16の信頼性を担保しながら、制御マイコン20が受信した制御要求信号に基づいてイグニッションスイッチ34を制御できる。
【0071】
さらに送信部164と受信部201との間の第1制御要求信号の送受信が、E2E通信として実施される。即ち、受信部201は、送信部164から受信した第1制御要求信号の内容が正しい内容であるか否かを検出する。このように本実施形態の車両制御装置10は、受信部201が受信したデータのエラーの有無を検出し、且つ、認証マイコン19が「なりすまし」を防止するので、高いセキュリティ性を有する。
【0072】
さらに制御マイコン20は、第1制御要求信号に加えて第2制御要求信号を受信したときにイグニッションスイッチ34を制御する。第1制御要求信号及び第2制御要求信号は、中継ECU16が生成及び送信する信号である。従って、制御マイコン20が第1制御要求信号及び認証信号のみに基づいてイグニッションスイッチ34を制御する場合と比べて、照合ECU18による中継ECU16の信頼性の判定精度が高い。
【0073】
従って、例えば車両12がカーシェアリングシステムにおいて利用される場合は、権限のない者が携帯端末40を操作することにより車両12を運転操作することが効果的に防止される。
【0074】
さらに制御マイコン20は、第1制御要求信号を受信してから所定の制限時間内に認証信号及び第2制御要求信号を受信したときにイグニッションスイッチ34を制御する。制御マイコン20が第1制御要求信号を受信してから認証信号及び第2制御要求信号を受信するまでの時間に制限がない場合は、悪意のある者が信頼性の無い中継ECU16を操作することにより、認証マイコン19に認証信号を送信させるための応答信号及び第2制御要求信号を中継ECU16に送信させるおそれが大きくなる。しかし本実施形態のように、制御マイコン20が第1制御要求信号を受信してから、制御マイコン20が認証信号及び第2制御要求信号を受信するまでの時間を所定の制限時間に制限する場合は、このような問題が発生するおそれが小さい。
【0075】
さらにE2E通信及びAESを適用する場合は、特別な装置を車両制御装置10に設ける必要がない。例えば、MAC鍵を利用して認証マイコン19が中継ECU16を認証するか否かの判定を行う場合は、車両制御装置10にMAC鍵を用いた認証を実行するための特別な装置を追加する必要がある。しかし本実施形態では、車両制御装置10にこのような特別な装置を設ける必要がない。
【0076】
以上、本実施形態に係る車両制御装置10、車両12、車両制御方法及びプログラムについて説明したが、車両制御装置10、車両12、車両制御方法及びプログラムは、本発明の要旨を逸脱しない範囲内において、適宜設計変更可能である。
【0077】
例えば、ステップS22において、送信部203がON位置に位置するイグニッションスイッチ34をOFF位置へ移動させてもよい。
また、ステップS22において、イグニッションスイッチ34がOFF位置に位置する場合はイグニッションスイッチ34をON位置へ移動させ、且つ、イグニッションスイッチ34がON位置に位置する場合はイグニッションスイッチ34をOFF位置へ移動させてもよい。
また、ステップS22において、イグニッションスイッチ34がOFF位置に位置する場合はイグニッションスイッチ34をON位置へ移動させ、且つ、イグニッションスイッチ34がON位置に位置する場合はイグニッションスイッチ34をOFF位置へ移動させてもよい。
【0078】
制御マイコン20が制御する制御対象はイグニッションスイッチ34でなくてもよい。例えば、制御マイコン20が、車両12のドアロック装置のアクチュエータを制御対象として制御してもよい。
【0079】
また認証マイコン19は、中継ECU16を認証する場合は認証信号を制御マイコン20へ送信し、中継ECU16を認証しない場合は信号を制御マイコン20へ送信しなくてもよい。
【0080】
E2E通信の代わりの「データエラー検出通信」として、CRC(巡回冗長検査)(Cyclic Redundancy Check)を利用して送信部164と受信部201との間の第1制御要求信号の送受信を実施してもよい。
【0081】
AESとは異なる認証判定信号を利用して、認証マイコン19が中継ECU16を認証してもよい。例えば、乱数、公開鍵又は共通鍵を表す認証判定信号を利用してもよい。またMAC鍵を表す認証判定信号を利用してもよい。
【0082】
また、中継ECU16が第2制御要求信号を照合ECU18へ送信せず、制御マイコン20が第1制御要求信号及び認証信号を受信したときに制御対象を制御してもよい。
【0083】
また、中継ECU16が第1制御要求信号を制御マイコン20へ送信せず、認証マイコン19へのみ送信してもよい。この場合は、制御マイコン20が第2制御要求信号及び認証信号を受信したときに制御対象を制御する。
【0084】
上記制限時間は、0.5秒以外の時間であってもよい。但し、制限時間は短い時間であるのが好ましい。
【0085】
また、上記制限時間を設けなくてもよい。
【0086】
照合ECU18が一つのマイコンのみを具備してもよい。即ち、照合ECU18の一つのマイコン(CPU)が、受信部191(受信部201)、信号生成部192、送信部193(送信部203)及び判定部202を実現してもよい。
【0087】
車両12と無線通信可能なコンピュータサーバを外部通信機器として利用してもよい。例えば、カーシェアリング運営会社のコンピュータサーバ(外部通信機器)に、カーシェアリング運営会社の会員が携帯端末40からアクセスしたときに、コンピュータサーバが操作信号を車両12(自動運転キット14)へ送信してもよい。
【0088】
車両12に設けられた操作装置が送信する操作信号を自動運転キット(通信部)14が受信してもよい。このような操作装置には、例えば、インストルメントパネルに設けられたディスプレイ(タッチパネル)が含まれる。
【0089】
自動運転機能を備えない車両12に本発明が適用されてもよい。
【0090】
また、自動運転キット14とは別の装置を「通信部」として利用してもよい。例えば、ECUを有する自動駐車制御装置(図示省略)を、中継ECU16と通信を行う「通信部」として車両12に設けてもよい。この場合は、携帯端末40から操作信号を受信した自動駐車制御装置が制御信号を中継ECU16へ送信し、制御マイコン20がステアリングホイール等を制御することにより自動駐車制御が実行される。
【0091】
通信部を製造したメーカーは、車両12を製造したメーカーと同一であってもよい。
【符号の説明】
【0092】
10 車両制御装置
12 車両
14 自動運転キット(通信部)
16 中継ECU(中継部)
19 認証マイコン(認証部)
20 制御マイコン(制御部)
34 イグニッションスイッチ(制御対象)
38 電源(バッテリ)
40 携帯端末(外部通信機器)
12 車両
14 自動運転キット(通信部)
16 中継ECU(中継部)
19 認証マイコン(認証部)
20 制御マイコン(制御部)
34 イグニッションスイッチ(制御対象)
38 電源(バッテリ)
40 携帯端末(外部通信機器)
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
