知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-07-01
(45)【発行日】2024-07-09
(54)【発明の名称】データ記録装置
(51)【国際特許分類】
G06F 21/64 20130101AFI20240702BHJP
H04L 9/32 20060101ALI20240702BHJP
G06F 21/62 20130101ALI20240702BHJP
G07C 5/00 20060101ALI20240702BHJP
【FI】
G06F21/64
H04L9/32 200B
H04L9/32 200E
G06F21/62 354
G07C5/00 Z
【請求項の数】
12
(21)【出願番号】P 2020141858
(22)【出願日】2020-08-25
(65)【公開番号】P2022037627
(43)【公開日】2022-03-09
【審査請求日】2022-10-06
(73)【特許権者】
【識別番号】000004260
【氏名又は名称】株式会社デンソー
(74)【代理人】
【識別番号】110001128
【氏名又は名称】弁理士法人ゆうあい特許事務所
(72)【発明者】
【氏名】木村 貴之
(72)【発明者】
【氏名】木全 哲也
【審査官】土谷 慎吾
(56)【参考文献】
【文献】特開2018-057044(JP,A)
【文献】特開2018-186486(JP,A)
【文献】特開2003-186748(JP,A)
【文献】特開2017-174111(JP,A)
【文献】特開2016-167199(JP,A)
【文献】特開2012-146195(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/64
H04L 9/32
G06F 21/62
G07C 5/00
(57)【特許請求の範囲】
【請求項1】
車両に搭載された機器から取得したデータを記録するデータ記録装置であって、前記機器によって電子署名された複数のデータを取得する通信部(11、14、15)と、
前記複数のデータに付された電子署名の正しさを検証する署名検証部(16)と、
前記署名検証部によって検証された前記複数のデータを統合し電子署名して統合データを生成するデータ統合部(22)と、
前記統合データを記録するデータ記録部(23)と、
前記複数のデータを一時的に記録する一時記録部(17)と、
前記一時記録部に記録されたデータを間引くデータ間引き部(18)と、を備え、
前記データ間引き部は、
前記一時記録部に記録されたデータを、該記録された時刻の古い順に多く間引くことと、
該記録された時刻が所定の時間範囲に含まれるデータを他のデータよりも多く残すことと、のうち両方または一方を行い、
前記署名検証部は、前記データ間引き部による間引きが行われると、該間引き後に前記一時記録部に残されたデータを読み出して前記電子署名の正しさの検証を行い、
前記データ記録部は、所定の記録イベント発生の前後一定時間までは前記所定の記録イベント発生に近い時刻の前記統合データから順に記録し、前記所定の記録イベント発生から一定時間以上離れた時刻の前記統合データについては前記所定の記録イベント前の前記統合データを記録するデータ記録装置。
【請求項2】
前記データ統合部は、前記機器とは異なる電子署名を付与して前記統合データを生成する請求項1に記載のデータ記録装置。
【請求項3】
前記データ統合部は、一時的に記録された前記複数のデータに対し、前記所定の記録イベントが発生したときに電子署名して、前記統合データを生成する請求項1または2に記載のデータ記録装置。
【請求項4】
前記複数のデータから選択されたデータの全体または一部を対象として暗号化する暗号化部(20)を備える請求項1ないし3のいずれか1つに記載のデータ記録装置。
【請求項5】
前記複数のデータから選択されたデータの全体または一部を対象として情報量を削減する情報量削減部(21)を備える請求項1ないし4のいずれか1つに記載のデータ記録装置。
【請求項6】
該対象は、車両位置または時刻に応じて設定される請求項4または5に記載のデータ記録装置。
【請求項7】
前記機器から取得されるデータには、車両起動時の前記機器のダイアグ情報が含まれている請求項1ないし6のいずれか1つに記載のデータ記録装置。
【請求項8】
前記機器から取得されるデータには、前記機器の初期状態に関する情報が含まれている請求項1ないし7のいずれか1つに記載のデータ記録装置。
【請求項9】
前記機器から取得されるデータには、運転者の状態に関する情報が含まれている請求項1ないし8のいずれか1つに記載のデータ記録装置。
【請求項10】
前記機器から取得されるデータには、前記機器において該データが生成された時刻に関する情報が含まれている請求項1ないし9のいずれか1つに記載のデータ記録装置。
【請求項11】
前記データ記録部は、前記統合データを冗長化して記録する請求項1ないし10のいずれか1つに記載のデータ記録装置。
【請求項12】
前記データ記録部は、外部から読み出し可能な方法で前記統合データを記録する請求項1ないし11のいずれか1つに記載のデータ記録装置。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、データ記録装置に関するものである。
【背景技術】
【0002】
自動運転車両においては、交通事故等に備えて、車両の走行状態の他、車両周辺、車内、運転者の状態等を記録することが必要である。このような記録には証拠能力が求められるが、単に記録するだけでは証拠能力が限られる。これについて、電子署名等を用いて証拠能力を高める方法が提案されている(例えば、特許文献1参照)。
【先行技術文献】
【特許文献】
【0003】
【文献】特開2014-112773号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、車両に搭載されるデータ記録装置については、依然として証拠能力の向上の余地がある。例えば、車両に搭載される機器が改造によって交換された場合にも、その車両で記録されたデータであることが確認できるような証拠能力が必要である。
【0005】
本発明は上記点に鑑みて、データ記録装置においてデータの証拠能力を高めることを目的とする。
【課題を解決するための手段】
【0006】
上記目的を達成するため、請求項1に記載の発明では、車両に搭載された機器から取得したデータを記録するデータ記録装置であって、機器によって電子署名された複数のデータを取得する通信部(11、14、15)と、複数のデータに付された電子署名の正しさを検証する署名検証部(16)と、署名検証部によって検証された複数のデータを統合し電子署名して統合データを生成するデータ統合部(22)と、統合データを記録するデータ記録部(23)と、複数のデータを一時的に記録する一時記録部(17)と、一時記録部に記録されたデータを間引くデータ間引き部(18)と、を備える。そして、データ間引き部は、一時記録部に記録されたデータを、該記録された時刻の古い順に多く間引くことと、該記録された時刻が所定の時間範囲に含まれるデータを他のデータよりも多く残すことと、のうち両方または一方を行い、署名検証部は、データ間引き部による間引きが行われると、間引き後に一時記録部に残されたデータを読み出して電子署名の正しさの検証を行い、データ記録部は、所定の記録イベント発生の前後一定時間までは所定の記録イベント発生に近い時刻の統合データから順に記録し、所定の記録イベント発生から一定時間以上離れた時刻の統合データについては所定の記録イベント前の統合データを記録する。
【0007】
このように、車両に搭載された機器から取得した複数のデータについて、電子署名の正しさが検証される。そして、統合されたデータに再度電子署名が付与される。これにより、記録されたデータが、確かにその車両で記録されたものであることが保証され、データの証拠能力が高まる。
【0008】
なお、各構成要素等に付された括弧付きの参照符号は、その構成要素等と後述する実施形態に記載の具体的な構成要素等との対応関係の一例を示すものである。
【図面の簡単な説明】
【0009】
【図1】第1実施形態にかかるデータ記録装置のブロック図である。
【図2】データの間引きについて説明するための図である。
【図3】データの間引きについて説明するための図である。
【図4】画像の一部の暗号化について説明するための図である。
【図5】画像の情報量削減について説明するための図である。
【図6】通常時に実行される記録処理のフローチャートである。
【図7】記録イベント発生時に実行される記録処理のフローチャートである。
【図8】第2実施形態にかかるデータ記録装置のブロック図である。
【図9】第2実施形態における通常時の記録処理のフローチャートである。
【発明を実施するための形態】
【0010】
以下、本発明の実施形態について図に基づいて説明する。なお、以下の各実施形態相互において、互いに同一もしくは均等である部分には、同一符号を付して説明を行う。
【0011】
(第1実施形態)
第1実施形態について説明する。図1に示す本実施形態のデータ記録装置1は、車両に搭載された機器から取得されたデータを記録するものである。データ記録装置1は、例えば、日本政府や米国運輸省道路交通安全局(NHTSA:National Highway Traffic Safety Administration)が定義する自動化のレベルにおいて、レベル2以上の運転支援装置が備えられる車両に搭載される。
第1実施形態について説明する。図1に示す本実施形態のデータ記録装置1は、車両に搭載された機器から取得されたデータを記録するものである。データ記録装置1は、例えば、日本政府や米国運輸省道路交通安全局(NHTSA:National Highway Traffic Safety Administration)が定義する自動化のレベルにおいて、レベル2以上の運転支援装置が備えられる車両に搭載される。
【0012】
例えば、データ記録装置1は、自動運転で車両が制御されているときに周期的にデータを記録する。あるいは、データ記録装置1は、所定の記録イベントの発生時にデータを記録する。記録イベントは、例えば、イグニッションのオン・オフ、ブレーキの作動、運転者の異変の検知等である。また、記録イベントは、例えば、後述するセンサECU30やアクチュエータECU40等の各ECUのダイアグ信号や故障の検知、自動運転時や運転支援時の安全規定違反、事故可能性の高まり、事故責任の発生等である。また、記録イベントは、例えば、後述する制御ECU50からのイベント、後述する通信ECU60への車両外部からの通信等である。
【0013】
図1に示すように、データ記録装置1は、記録制御部10を備えている。記録制御部10は、車載通信回線を介してセンサECU(Electronic Control Unit)30、アクチュエータECU40、制御ECU50、通信ECU60と情報通信可能に接続されている。記録制御部10は、これらの機器から取得されたデータに対して所定の処理を実行し、これにより生成されたデータを記録するように構成されている。
【0014】
センサECU30は、例えば加速度センサ、車速センサ、ヨーレートセンサ、画像センサ、ミリ波レーダ、LiDAR(Light Detection And Ranging)、超音波センサ等を制御するECUである。アクチュエータECU40は、例えば車両のモーター、エンジン、ステアリング等を制御するECUである。制御ECU50は、他のECUに指示を出して自動駐車等の処理を実行するECUである。通信ECU60は、車両外部との通信を制御するECUである。
【0015】
これらの機器によって、車両センサ取得値、車両アクチュエータ状態、制御ECU状態、時刻、車両位置、車両を特定できる情報である車両情報等に関する複数のデータが取得される。この複数のデータは、各機器によって電子署名されて、記録制御部10に送信される。
【0016】
なお、車両起動時に車両に搭載された機器からダイアグ情報を取得および記憶し、このダイアグ情報が記録制御部10に送信されるデータに含まれるようにしてもよい。また、センサ、アクチュエータ、コントローラ等が所定の期間で定期的にメンテナンスされているかを示すデータが記録制御部10に送信されてもよい。また、OTA(Over The Air)によるソフトウェアの更新履歴などの機器の初期状態に関するデータが記録制御部10に送信されてもよい。後述する記録処理において、車両センサ取得値等に加えてこれらのデータも記録することで、記録処理が実行された時点でデータ記録装置1のシステムが正しく動作できる状態に整備されていたか否かを、記録したデータの利用時に確認することができる。
【0017】
また、センサECU30等から送信される複数のデータ間の時間的同期を可能にする情報が、記録制御部10に送信されるデータに含まれていてもよい。例えば、タイムスタンプや、標準時間に対してセンサECU30等がどのタイミングで動作したかを示す情報や、CAN(Controller Area Network)通信で同期を取れる信号等が、記録制御部10に送信されてもよい。車両に搭載された機器においてデータが生成された時刻に関する情報を記録制御部10に送信することで、記録制御部10において、複数のデータをタイムスロット毎に振り分けて処理することができる。
【0018】
また、運転者の状態を取得するセンサを車両に搭載し、このセンサによって検出された運転者の状態に関する情報を記録制御部10に送信してもよい。例えば、運転者の血圧、脈などの健康情報を取得するセンサを運転席のシートに配置し、このセンサから得られた情報を記録制御部10に送信してもよい。また、瞼の開口や、青信号への変化または先行車両の発進から自車両の発進までの時間によって検出される運転者の眠気情報を、記録制御部10に送信してもよい。また、運転者のアルコール検出結果を記録制御部10に送信してもよい。また、車室内のカメラやシートポジションから得られた運転者の認証情報等を記録制御部10に送信してもよい。また、運転者ではなく同乗者が操作を行った場合に、そのことが分かるように、記録イベントのトリガとなる操作を誰が行ったのかを判定し、判定結果を記録制御部10に送信してもよい。また、運転を阻害される状況だった場合に、そのことが分かるように、車内の映像や音声のデータを記録制御部10に送信してもよい。このように、運転者の状態に関する情報を記録制御部10に送信することで、後述する記録処理が、不要な動作ではなく正常な動作によって実行されたことを記録し、データの利用時に確認することができる。
【0019】
記録制御部10は、通信部11と、センサIC(Integrated Circuit)12と、制御IC13と、通信部14と、通信部15と、署名検証部16と、一時記録部17と、データ間引き部18とを備えている。また、記録制御部10は、対象判定部19と、暗号化部20と、情報量削減部21と、データ統合部22と、データ記録部23とを備えている。
【0020】
通信部11は、車載通信回線に接続されており、センサECU30、アクチュエータECU40、制御ECU50、通信ECU60によって電子署名され、記録制御部10に送信された複数のデータは、通信部11によって取得される。通信部11は、取得した複数のデータを、署名検証部16に送信する。
【0021】
通信部11は記録制御部10の外部から送信されたデータを取得するが、本実施形態では記録制御部10の内部に配置されたセンサIC12、制御IC13で生成されたデータも通信部14、通信部15によって取得され、署名検証部16に送信される。センサIC12、制御IC13においても、センサECU30等と同様に、データに電子署名が付与されてもよいし、付与されなくてもよい。
【0022】
なお、センサECU30、アクチュエータECU40、制御ECU50、通信ECU60、センサIC12、制御IC13が用いる電子署名用の鍵は、同じでもよいし、互いに異なっていてもよい。また、これらの中に、電子署名しない機器があってもよい。
【0023】
署名検証部16は、通信部11、14、15が取得した複数のデータに付された電子署名の正しさを検証するものである。具体的には、署名検証部16は、センサECU30等が用いる電子署名用の鍵に対応する署名検証用の鍵を記憶しており、複数のデータに付された電子署名が、署名検証用の鍵に対応する署名であるか否かを判定する。署名検証部16は、複数のデータに付された電子署名の検証が終了すると、通信部11、14、15から送信された複数のデータと、電子署名の検証結果とを対象判定部19に送信する。
【0024】
データ記録装置1は、前述の記録イベントが発生した際に、記録イベントの発生後に加えて発生前のデータも記録するために、常に過去一定時間のデータが一時的に保持される構成となっている。具体的には、署名検証部16は、通信部11等から送信されたデータと電子署名の検証結果を一時記録部17に送信する。一時記録部17は、署名検証部16から送信されたデータを一時的に記録するものであり、一時記録部17では、署名検証部16から送信されたデータが順次記録される。
【0025】
センサECU30等から取得されたデータは、記録イベントの前後、特に、記録イベントの前について、可能な限り長い時間範囲にわたって記録することが望ましい。しかしながら、単に記録対象とする時間範囲を長くすると、データ量が膨大になる。そこで、本実施形態では、一時記録部17に記録されたデータ(以下、一時データという)は、一時記録部17に記録されてから所定の時間が経過すると、データ間引き部18によって順次間引きされるようになっている。
【0026】
例えば、図2に示すように、データ間引き部18は、一時データを一時記録部17に記録された時刻の古い順に多く間引く。そして、データ間引き部18は、記録イベントが発生した際には、その発生のタイミングの前後の一時データを、他の一時データよりも多く残す。これにより、複数の一時データは、一時記録部17に記録された時刻に応じてサンプリング間隔が変化し、記録イベントの発生タイミングから長時間前の一時データは、サンプリング間隔が長くなる。
【0027】
また、データ間引き部18は、一時記録部17に記録されてから所定の時間が経過した一時データであっても、記録された時刻が所定の時間範囲に含まれるものについては、図3の一点鎖線で囲まれた部分のように間引き率を低くして、他のデータよりも多く残す。この所定の時間範囲は、記録イベント発生の経緯や発生時の状況の解析に役立ちそうなデータが含まれるように設定され、例えば、ブレーキの作動、アクセルの作動、自車両の急な加減速などの前後の一定時間とされる。また、車速に応じて間引きの間隔を変化させてもよい。
【0028】
このように複数の一時データを間引きすることで、所定のタイミングで記録された一時データを多く残しつつ、データ量の増加を抑制することができる。なお、一時データを一時記録部17に記録された時刻の古い順に多く間引くことと、記録された時刻が所定の時間範囲に含まれる一時データを他の一時データよりも多く残すことのうち、いずれか一方のみを行ってもよい。
【0029】
間引きされた複数の一時データは、記録イベントが発生したときに、署名検証部16によって読み出され、対象判定部19に送信される。
【0030】
対象判定部19は、署名検証部16から送信された複数のデータそれぞれについて、そのデータに暗号化または情報量削減の対象が含まれるか否かを判定し、判定結果に応じて複数のデータを暗号化部20、情報量削減部21、データ統合部22に振り分けるものである。
【0031】
暗号化部20は、対象判定部19から送信されたデータの全体または一部を暗号化するものである。情報量削減部21は、対象判定部19から送信されたデータの情報量を削減するものである。センサECU30等から取得された複数のデータにはプライバシーに関する情報が含まれる可能性がある。そこで、プライバシー保護のため、複数のデータの一部は、暗号化部20によって暗号化されて開示範囲が限定される。あるいは、複数のデータの一部は、情報量削減部21によって情報量が削減される。
【0032】
例えば、画像センサで得られた画像がセンサECU30から記録制御部10に送信され、この画像において人物が近距離で撮像されている場合には、対象判定部19において、この画像のうち、近距離で撮像された人物の周辺部が暗号化の対象であると判定される。そして、この画像は暗号化部20に送信され、暗号化部20は、対象判定部19から送信された画像のうち、近距離で撮像された人物の周辺部を図4に示すように暗号化する。図4では、暗号化された部分をハッチングで表している。なお、近距離で撮像された人物の検出には、自動ブレーキシステム等で用いられる既知の画像認識処理部を記録制御部10やセンサECU30に配置して用いることができる。
【0033】
あるいは、対象判定部19において、この画像は情報量削減の対象であると判定され、情報量削減部21に送信される。そして、情報量削減部21は、対象判定部19から送信された画像を図5に示すように縮小して、情報量を削減する。また、センサECU30から送信された画像に車両ナンバーが写っている場合にも、同様に暗号化または情報量削減を行ってもよい。また、車内を撮像した画像についても、暗号化や情報量削減を行ってもよい。
【0034】
図4に示すように、1つのデータの一部をプライバシーに関係しそうな領域と判定して暗号化の対象としてもよいし、選択されたデータの全体を暗号化または情報量削減の対象としてもよい。例えば、GPS(Global Positioning System)受信機で得られた車両の位置に関するデータを、暗号化等の対象としてもよい。また、選択されたデータの一部を情報量削減の対象としてもよい。
【0035】
なお、国や地域によってプライバシーの対象が異なることが考えられるので、暗号化または情報量削減の対象を、車両がある国や地域などの位置情報に基づいて設定してもよい。また、暗号化または情報量削減の対象を、時刻に応じて設定してもよい。例えばプライバシーに関する法令の改正が予定されている場合には、時刻に基づいて改正法の施行後か否かを判定し、判定結果に応じて暗号化などの対象を変更することができる。
【0036】
暗号化部20が用いる暗号化の鍵は、車両内のセキュアストレージに保存される。なお、暗号化処理の際には、暗号化対象の特性に応じて複数の暗号化の鍵を使い分けてもよい。例えば、運転者情報を含むデータと、車両周辺の情報を含むデータとで、異なる暗号化の鍵を用いてもよい。暗号化を解く鍵については、車両内に保存し、特定の操作によって取得されるようにしてもよいし、個々の車両と紐づけて車両外の機関に保存してもよい。
【0037】
図1に示すように、対象判定部19において暗号化または情報量削減の対象ではないと判定されたデータ、暗号化部20によって暗号化されたデータ、情報量削減部21によって情報量が削減されたデータは、データ統合部22に送信される。
【0038】
データ統合部22は、署名検証部16によって検証された複数のデータを統合し、電子署名を付与するものである。具体的には、データ統合部22は、対象判定部19、暗号化部20、情報量削減部21から送信されたデータを統合する。そして、データ統合部22は、センサECU30、アクチュエータECU40、制御ECU50、通信ECU60、センサIC12、制御IC13とは異なる鍵を使った電子署名を、統合したデータに付与する。データ統合部22が用いる電子署名用の鍵は、例えば記録制御部10内部のセキュアストレージに保存される。データ統合部22によって統合され、電子署名が付与されたデータ(以下、統合データという)は、データ記録部23に送信される。
【0039】
統合データには、センサECU30等から送信された複数のデータの他、署名検証部16における電子署名の検証結果、記録制御部10内部の状態や各種の演算結果、発生した記録イベントの情報、ソフトウェアや記録データフォーマットのバージョン情報等が含まれる。データ統合部22は、これらのデータをセンサECU30等から取得された複数のデータに統合し電子署名して統合データを生成し、データ記録部23に送信する。
【0040】
データ記録部23は、データ統合部22が生成した統合データを不揮発性の記録媒体に記録するものである。データ記録部23は、統合データを外部から読み出し可能な方法で記録する。例えば、データ記録部23は、以下の方法のうちの1つまたは複数の方法でデータを読み出し可能とする。
【0041】
すなわち、データ記録部23は、USB(Universal Serial Bus)等の汎用的な通信用のコネクタ、あるいは専用コネクタを備えており、これにケーブルを接続することで、データ記録部23に内蔵された記録媒体に記録されたデータを読み出せるようにする。または、データ記録部23は、SD(Secure Digital)メモリカード等の記録メディアを挿入するスロットを備えており、統合データをこの記録メディアに記録する。または、データ記録部23は、Bluetooth(登録商標)等の無線通信手段を備えており、内蔵する記録媒体に記録されたデータを無線通信で伝送して読み出せるようになっている。また、データ記録部23を、CAN、Ethernet(登録商標)等の車両内ネットワークによってデータが読み出せる構成とし、通信相手のECU等において、前述した3つの方法等でデータを読み出してもよい。なお、データ記録部23において、これらの方法とは別の方法でデータが読み出し可能とされていてもよい。
【0042】
データ記録部23に記録されたデータに付与された電子署名の検証用の鍵は、例えば車両内に保存され、特定の操作によって取得される。あるいは、この検証用の鍵は、車両番号等の車両を特定できる情報と紐づけされて車両外に保存される。
【0043】
また、データ記録装置1では、データ記録部23に記録されたデータが何セットあり、どのデータが正常に記録されているか確認できるようにするために、以下の処理の一部またはすべてが行われる。
【0044】
すなわち、データ記録部23は、データの種別毎、あるいは、新たに記録されるデータが一定サイズに達する毎に、データに誤りがあるか否かを判定するための誤り検出符号を付与する。または、データ記録部23は、データのセット数を記録しておき、データの読み出し時に、読み出したデータのセット数と記録されたデータのセット数とが一致するか否かを判定できるようにする。または、データ記録装置1の出荷時に、正常な記録データとは区別可能な内容で記録媒体を初期化しておくことで、正常な記録データを識別できるようにする。
【0045】
また、データ記録部23は、データの記録中または記録後に何らかのストレスを受けてもデータを可能な限り読み出すために、以下の処理の一部またはすべてを実行し、統合データを冗長化して記録する。これにより、記録情報の冗長性が確保される。
【0046】
すなわち、データ記録部23は、データを同一の記録媒体に二重に記録し、一方のデータが壊れていても他方のデータを読み出せるようにする。または、データ記録部23は、同一のデータを2つの記録媒体に記録する。または、データ記録部23は、記録イベント発生の前後一定時間までは記録イベント発生に近い時刻のデータから順に記録し、一定時間以上離れた時刻のデータについては、記録イベントの前のデータを記録する。例えば、データ記録部23は、記録イベント発生の前後2周期までのデータを優先して記録し、その後、記録イベント発生前のデータを記録する。すなわち、記録イベントが発生した時刻をtとし、サンプリング周期をΔtとして、時刻t、t-Δt、t+Δt、t-2Δt、t+2Δt、t-3Δt、t-4Δt、t-5Δt、・・・の順に対応するデータを記録する。
【0047】
データ記録装置1の動作について説明する。データ記録装置1は、通常時には図6に示す処理を実行して、一時記録部17に一時データを記録する。まず、ステップS101にて、センサECU30、アクチュエータECU40、制御ECU50、通信ECU60、センサIC12、制御IC13は、対応するセンサやアクチュエータ等からデータを取得する。
【0048】
続くステップS102にて、センサECU30等は、取得したデータに電子署名を付与する。続くステップS103にて、センサECU30、アクチュエータECU40、制御ECU50、通信ECU60は、電子署名を付与したデータを記録制御部10に送信する。また、センサIC12、制御IC13は、電子署名を付与したデータを通信部14、通信部15に送信する。
【0049】
続くステップS104にて、通信部11、14、15は、センサECU30等から送信された複数のデータを署名検証部16に送信する。そして、署名検証部16は、データに付与された電子署名に基づいてデータの正しさを検証する。
【0050】
続くステップS105にて、署名検証部16は、電子署名を検証したデータを一時記録部17に送信し、一時記録部17は、署名検証部16から送信されたデータを記録する。続くステップS106にて、データ間引き部18は、一時記録部17に記録された一時データを間引きする。その後、処理は終了する。通常時には、このような処理が周期的に実行されて一時データが順次記録される。
【0051】
記録イベントが発生すると、データ記録装置1は、図7に示す記録処理を実行する。まず、ステップS201にて、一時記録部17は、記録された複数の一時データの上書きを防止する処理を実行する。続くステップS202にて、署名検証部16は、一時記録部17から一時データを読み出し、対象判定部19に送信する。
【0052】
続くステップS203にて、対象判定部19は、署名検証部16から送信された複数のデータそれぞれについて、暗号化の対象であるか否か、情報量削減の対象であるか否かを判定し、判定結果に応じてデータの振り分けを行う。すなわち、暗号化の対象となるデータを暗号化部20に送信し、情報量削減の対象となるデータを情報量削減部21に送信し、残りのデータをデータ統合部22に送信する。
【0053】
続くステップS204にて、暗号化部20は、対象判定部19から送信されたデータに対して暗号化処理を行い、暗号化されたデータをデータ統合部22に送信する。また、情報量削減部21は、対象判定部19から送信されたデータに対して情報量削減処理を行い、情報量が削減されたデータをデータ統合部22に送信する。
【0054】
続くステップS205にて、データ統合部22は、対象判定部19、暗号化部20、情報量削減部21から送信されたデータを統合し、電子署名して、統合データを生成する。そして、データ統合部22は、生成した統合データをデータ記録部23に送信する。
【0055】
続くステップS206にて、データ記録部23は、データ統合部22から送信されたデータに誤り検出符号を付与する。続くステップS207にて、データ記録部23は、ステップS206にて誤り検出符号を付与されたデータを記録媒体に記録する。
【0056】
続くステップS206にて、記録制御部10は、記録されるべきデータがすべて記録されたか否かを判定する。まだ記録されていないデータがあると判定されると、処理はステップS202に移行し、記録対象のデータがすべて記録されたと判定されると、処理は終了する。
【0057】
以上説明したように、本実施形態では、署名検証部16において、センサECU30等から取得された複数のデータの電子署名を検証する。そして、データ統合部22において、統合されたデータに再度電子署名が付与される。これにより、データ記録部23に記録されたデータが、確かにその車両で正規のECU、センサ、制御IC等から同じタイミングで取得されたものであることが保証され、データの証拠能力が高まる。
【0058】
(第2実施形態)
第2実施形態について説明する。本実施形態は、第1実施形態に対して暗号化および情報量削減を行うタイミングを変更したものであり、その他については第1実施形態と同様であるため、第1実施形態と異なる部分についてのみ説明する。
第2実施形態について説明する。本実施形態は、第1実施形態に対して暗号化および情報量削減を行うタイミングを変更したものであり、その他については第1実施形態と同様であるため、第1実施形態と異なる部分についてのみ説明する。
【0059】
第1実施形態では記録イベント発生時に一時データを読み出して暗号化等を行ったが、本実施形態のデータ記録装置1は、通常時の記録処理において暗号化等を行う構成とされている。
【0060】
具体的には、図8に示すように、署名検証部16が一時記録部17に接続されておらず、署名検証部16によって署名検証されたデータは、そのまま対象判定部19に送信されるようになっている。そして、一時記録部17とデータ統合部22との間でデータの送受信が可能とされており、センサECU30等から送信された複数のデータは、暗号化等が行われた後に一時記録部17に記録され、必要に応じてデータ間引き部18によって間引きされる。
【0061】
本実施形態では、図9に示すように、第1実施形態と同様にステップS101~ステップS104の処理が実行された後に、ステップS104に続くステップS107にて、対象判定部19によるデータの振り分けが行われる。そして、続くステップS108にて、暗号化部20、情報量削減部21によるデータの暗号化、情報量削減が行われる。その後、第1実施形態と同様にステップS105、ステップS106の処理が実行される。
【0062】
記録イベント発生時には、図7のステップS203とステップS204の処理が実行されず、ステップS202に続いてステップS205の処理が実行される。
【0063】
このように暗号化等の処理を通常時の記録処理で行う本実施形態は、例えばレベル4以上の自動運転時に適している。なお、レベル3以下の自動運転時に、本実施形態のように記録処理を行ってもよい。
【0064】
(他の実施形態)
なお、本発明は上記した実施形態に限定されるものではなく、特許請求の範囲に記載した範囲内において適宜変更が可能である。また、上記各実施形態において、実施形態を構成する要素は、特に必須であると明示した場合および原理的に明らかに必須であると考えられる場合等を除き、必ずしも必須のものではないことは言うまでもない。
なお、本発明は上記した実施形態に限定されるものではなく、特許請求の範囲に記載した範囲内において適宜変更が可能である。また、上記各実施形態において、実施形態を構成する要素は、特に必須であると明示した場合および原理的に明らかに必須であると考えられる場合等を除き、必ずしも必須のものではないことは言うまでもない。
【0065】
例えば、データの種類によって、暗号化や情報量削減を行うタイミングを変えてもよい。また、データの暗号化および情報量削減のうち一方のみを行ってもよいし、これらを行わなくてもよい。また、データの間引きを行わなくてもよい。
【0066】
また、センサECU30、アクチュエータECU40、制御ECU50、通信ECU60のうちの1つまたは複数のECUが、記録制御部10と統合されて一体に構成されていてもよい。また、センサIC12および制御IC13のうちいずれか一方または両方が、記録制御部10の外部に配置されていてもよい。
【0067】
本開示に記載の記録制御部及びその手法は、コンピュータプログラムにより具体化された一つ乃至は複数の機能を実行するようにプログラムされたプロセッサ及びメモリーを構成することによって提供された専用コンピュータにより、実現されてもよい。あるいは、本開示に記載の記録制御部及びその手法は、一つ以上の専用ハードウエア論理回路によってプロセッサを構成することによって提供された専用コンピュータにより、実現されてもよい。もしくは、本開示に記載の記録制御部及びその手法は、一つ乃至は複数の機能を実行するようにプログラムされたプロセッサ及びメモリーと一つ以上のハードウエア論理回路によって構成されたプロセッサとの組み合わせにより構成された一つ以上の専用コンピュータにより、実現されてもよい。また、コンピュータプログラムは、コンピュータにより実行されるインストラクションとして、コンピュータ読み取り可能な非遷移有形記録媒体に記憶されていてもよい。
【符号の説明】
【0068】
11 通信部
14 通信部
15 通信部
16 署名検証部
22 データ統合部
23 データ記録部
14 通信部
15 通信部
16 署名検証部
22 データ統合部
23 データ記録部
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】