知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-10-07
(45)【発行日】2024-10-16
(54)【発明の名称】電池監視システム
(51)【国際特許分類】
G08C 15/00 20060101AFI20241008BHJP
G06F 21/44 20130101ALI20241008BHJP
G06F 21/62 20130101ALI20241008BHJP
G06F 21/64 20130101ALI20241008BHJP
H01M 10/42 20060101ALI20241008BHJP
H01M 10/44 20060101ALI20241008BHJP
H01M 10/48 20060101ALI20241008BHJP
【FI】
G08C15/00 D
G06F21/44
G06F21/62 309
G06F21/64
H01M10/42 P
H01M10/44 Q
H01M10/48 P
【請求項の数】
11
(21)【出願番号】P 2022198705
(22)【出願日】2022-12-13
(65)【公開番号】P2023097391
(43)【公開日】2023-07-07
【審査請求日】2024-05-07
(31)【優先権主張番号】P 2021212555
(32)【優先日】2021-12-27
(33)【優先権主張国・地域又は機関】JP
(73)【特許権者】
【識別番号】000004260
【氏名又は名称】株式会社デンソー
(74)【代理人】
【識別番号】110001128
【氏名又は名称】弁理士法人ゆうあい特許事務所
(72)【発明者】
【氏名】志水 聖
(72)【発明者】
【氏名】馬渡 和明
(72)【発明者】
【氏名】大野 和幸
(72)【発明者】
【氏名】川端 久美子
(72)【発明者】
【氏名】松井 宏樹
(72)【発明者】
【氏名】内田 圭祐
(72)【発明者】
【氏名】高田 諭
(72)【発明者】
【氏名】田中 健
【審査官】菅藤 政明
(56)【参考文献】
【文献】国際公開第2021/145360(WO,A1)
【文献】特開2021-86816(JP,A)
【文献】特表2020-529020(JP,A)
【文献】特開2021-39684(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G08C 15/00-19/48
G06F 21/44
G06F 21/62-21/64
H01M 10/42-10/48
(57)【特許請求の範囲】
【請求項1】
電池監視システムであって、充放電可能な電池を監視する監視部(20)と、
前記監視部による前記電池の監視により得られた監視データが提供されるとともに、前記監視データに含まれる特定情報の少なくとも一部を、ブロックチェーンを用いて保存する上位機器(50)と、を備え、
前記上位機器は、
前記特定情報の少なくとも一部および前記ブロックチェーンの最後に連結された最後ブロックに基づくハッシュ値を含む新規ブロックを生成するブロック生成部(53)と、
前記ブロック生成部で生成された前記新規ブロックを複数の外部機器に分散して保存するための外部通信機器(55)と、を有し、
前記監視部および前記上位機器のうち、少なくとも一方には、前記監視データの信頼性を確保するためのデータ保護部(24、56)が設けられており、
前記監視部は、前記データ保護部として、前記上位機器から送信される指令信号の適否を診断する診断部(243)を有する、電池監視システム。
【請求項2】
前記監視部および前記上位機器それぞれは、前記データ保護部として、前記特定情報を相互認証するための情報認証部(241、561)を有している、請求項1に記載の電池監視システム。
【請求項3】
前記監視部は、前記データ保護部として、前記監視データを暗号化して前記上位機器に送信する暗号化通信部(245)を有している、請求項1または2に記載の電池監視システム。
【請求項4】
前記診断部は、前記上位機器からの前記指令信号を学習することによって学習済みモデルを生成し、前記学習済みモデルを用いて前記指令信号の適否を診断する、請求項1または2に記載の電池監視システム。
【請求項5】
前記監視部は、前記データ保護部として、前記診断部にて前記指令信号が不適と診断された際に自身の機能を停止する自己停止部(244)を有する、請求項1または2に記載の電池監視システム。
【請求項6】
前記上位機器は、前記電池の充電を制御する充電制御機能が含まれており、前記監視部および前記上位機器それぞれには、前記監視部に割り当てられた固有IDが記憶されており、
前記監視部および前記上位機器それぞれは、前記固有IDを相互認証するためのデータ認証部(242、562)を有し、
前記上位機器は、前記データ認証部による認証結果が前記上位機器および前記監視部それぞれに記憶された前記固有IDの不一致を示す場合に前記電池の充電を禁止する、請求項1または2に記載の電池監視システム。
【請求項7】
前記監視部は、前記データ保護部として、前記監視部の記憶部(22)に記憶された前記監視データへの外部からのアクセスを制限するアクセス制限部(247)と、前記アクセスが制限された状態において、予め設定された解除キーが前記上位機器から通知されると前記アクセスの制限を解除するアクセス解除部(248)と、を含んでいる、請求項1に記載の電池監視システム。
【請求項8】
前記アクセス制限部は、前記監視部の外部にある外部記憶装置(60)に前記監視データをバックアップデータとして記憶させた後に、前記記憶部から前記監視データを削除することで前記アクセスを制限し、前記アクセス解除部は、前記解除キーが通知されると、前記外部記憶装置に記憶された前記バックアップデータを用いて前記監視データを前記記憶部に復元することで、前記アクセスの制限を解除する、請求項7に記載の電池監視システム。
【請求項9】
前記アクセス制限部は、前記記憶部への情報アクセスを禁止することで前記アクセスを制限し、前記アクセス解除部は、前記解除キーが通知されると、前記情報アクセスを許可することで、前記アクセスの制限を解除する、請求項7または8に記載の電池監視システム。
【請求項10】
前記アクセス制限部は、前記記憶部にある前記監視データを暗号化することで前記アクセスを制限し、前記アクセス解除部は、前記解除キーが通知されると、前記暗号化された前記監視データを復号することで、前記アクセスの制限を解除する、請求項7または8に記載の電池監視システム。
【請求項11】
前記アクセス制限部は、前記記憶部にある前記監視データの読み取りおよび書き換えの少なくとも一方を禁止することで前記アクセスを制限し、前記アクセス解除部は、前記解除キーが通知されると、前記記憶部にある前記監視データの前記読み取りおよび前記書き換えを許可することで、前記アクセスの制限を解除する、請求項7または8に記載の電池監視システム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、電池監視システムに関する。
【背景技術】
【0002】
電池監視システムでは、電池に対して電気的に接続されて電池を監視する監視部で得られたデータが電池制御機器や電池充電機器等の上位機器に送信されるようになっている。このような技術において、監視部から提供される生データや当該生データを処理して得られる加工データを上位機器が暗号化し、自律的な分散台帳(いわゆる、ブロックチェーン)で管理するものが知られている(例えば、特許文献1参照)。
【先行技術文献】
【特許文献】
【0003】
【文献】欧州特許出願公開第3570058号明細書
【発明の概要】
【発明が解決しようとする課題】
【0004】
上記の特許文献1に記載の技術は、上位機器の信頼性を高める上ではとても有用であるが、監視部から提供されるデータ自体の信頼性が何ら担保されておらず、この点で信頼性に欠ける。
【0005】
本開示は、監視部から上位機器に提供されるデータの信頼性を確保可能な電池監視システムを提供することを1つの目的とする。また、本開示は、不正アクセスされた場合も、電池循環の流れに復帰させることが可能な電池監視システムを提供すること、または、電池の盗難防止を図ることが可能な電池監視システムを提供することを他の目的とする。
【課題を解決するための手段】
【0006】
請求項1に記載の発明は、
電池監視システムであって、
充放電可能な電池を監視する監視部(20)と、
監視部による電池の監視により得られた監視データが提供されるとともに、監視データに含まれる特定情報の少なくとも一部を、ブロックチェーンを用いて保存する上位機器(50)と、を備え、
上位機器は、
特定情報の少なくとも一部およびブロックチェーンの最後に連結された最後ブロックに基づくハッシュ値を含む新規ブロックを生成するブロック生成部(53)と、
ブロック生成部で生成された新規ブロックを複数の外部機器に分散して保存するための外部通信機器(55)と、を有し、
監視部および上位機器のうち、少なくとも一方には、監視データの信頼性を確保するためのデータ保護部(24、56)が設けられており、
監視部は、データ保護部として、上位機器から送信される指令信号の適否を診断する診断部(243)を有する。
電池監視システムであって、
充放電可能な電池を監視する監視部(20)と、
監視部による電池の監視により得られた監視データが提供されるとともに、監視データに含まれる特定情報の少なくとも一部を、ブロックチェーンを用いて保存する上位機器(50)と、を備え、
上位機器は、
特定情報の少なくとも一部およびブロックチェーンの最後に連結された最後ブロックに基づくハッシュ値を含む新規ブロックを生成するブロック生成部(53)と、
ブロック生成部で生成された新規ブロックを複数の外部機器に分散して保存するための外部通信機器(55)と、を有し、
監視部および上位機器のうち、少なくとも一方には、監視データの信頼性を確保するためのデータ保護部(24、56)が設けられており、
監視部は、データ保護部として、上位機器から送信される指令信号の適否を診断する診断部(243)を有する。
【0007】
これによると、監視部および上位機器の少なくとも一方に設けられたデータ保護部によって、監視データの信頼性が担保されているので、監視部から上位機器に提供されるデータの信頼性を確保することができる。
【0008】
請求項7に記載の発明は、
監視部は、データ保護部として、監視部の記憶部(22)に記憶された監視データへの外部からのアクセスを制限するアクセス制限部(247)と、アクセスが制限された状態において、予め設定された解除キーが上位機器から通知されるとアクセスの制限を解除するアクセス解除部(248)と、を含んでいる。
このように、監視部に対してアクセス制限部が設けられていれば、不正アクセスによる監視データの読み取り・改竄を抑制することができる。加えて、監視部に対してアクセス解除部が設けられているので、不正アクセスされた場合も、電池循環の流れに復帰させることができる。
監視部は、データ保護部として、監視部の記憶部(22)に記憶された監視データへの外部からのアクセスを制限するアクセス制限部(247)と、アクセスが制限された状態において、予め設定された解除キーが上位機器から通知されるとアクセスの制限を解除するアクセス解除部(248)と、を含んでいる。
このように、監視部に対してアクセス制限部が設けられていれば、不正アクセスによる監視データの読み取り・改竄を抑制することができる。加えて、監視部に対してアクセス解除部が設けられているので、不正アクセスされた場合も、電池循環の流れに復帰させることができる。
【0010】
なお、各構成要素等に付された括弧付きの参照符号は、その構成要素等と後述する実施形態に記載の具体的な構成要素等との対応関係の一例を示すものである。
【図面の簡単な説明】
【0011】
【図1】第1実施形態に係る電池監視システムの模式図である。
【図2】リチウムイオン電池を説明するための説明図である。
【図3】電池監視システムの監視部および電池ECUの概略構成図である。
【図4】新規ブロックのハッシュ値を説明するための説明図である。
【図5】ブロックチェーンを説明するための説明図である。
【図6】監視部のなりすましに関する対策を説明するための説明図である。
【図7】信号妨害によるデータ偽造に関する対策を説明するための説明図である。
【図8】上位機器の乗っ取りに関する対策を説明するための説明図である。
【図9】電池盗難に関する対策を説明するための説明図である。
【図10】第2実施形態に係る電池監視システムの模式図である。
【図11】不正アクセスに関する対策の第1実施例を説明するための説明図である。
【図12】監視部による不正アクセスの対策処理の流れを示すフローチャートである。
【図13】不正アクセスに関する対策の第2実施例を説明するための説明図である。
【図14】監視部による不正アクセスの対策処理の流れを示すフローチャートである。
【図15】不正アクセスに関する対策の第3実施例を説明するための説明図である。
【図16】監視部による不正アクセスの対策処理の流れを示すフローチャートである。
【図17】不正アクセスに関する対策の第4実施例を説明するための説明図である。
【図18】監視部による不正アクセスの対策処理の流れを示すフローチャートである。
【発明を実施するための形態】
【0012】
以下、本開示の実施形態について図面を参照して説明する。なお、以下の実施形態において、先行する実施形態で説明した事項と同一もしくは均等である部分には、同一の参照符号を付し、その説明を省略する場合がある。また、実施形態において、構成要素の一部だけを説明している場合、構成要素の他の部分に関しては、先行する実施形態において説明した構成要素を適用することができる。以下の実施形態は、特に組み合わせに支障が生じない範囲であれば、特に明示していない場合であっても、各実施形態同士を部分的に組み合わせることができる。
(第1実施形態)
本開示の第1実施形態について図1~図9に基づいて説明する。電池監視システム1は、自動車に搭載される高圧バッテリ、定置型バッテリ、ポータブルバッテリ等の充放電可能な電池BTを監視するシステムである。
(第1実施形態)
本開示の第1実施形態について図1~図9に基づいて説明する。電池監視システム1は、自動車に搭載される高圧バッテリ、定置型バッテリ、ポータブルバッテリ等の充放電可能な電池BTを監視するシステムである。
【0013】
図1に示すように、電池監視システム1は、電池BTを監視する監視部20と、監視部20による電池BTの監視により得られた監視データが提供される電池ECU50と、を備える。電池ECU50は、監視部20の上位にある上位機器である。なお、電池監視システム1は、電池ECU50の代わりに電池BTの充電を制御可能な充電器CHを備えていてもよい。この場合、充電器CHが上位機器に対応する。なお、以下では、電池ECU50および充電器CHを上位機器と呼ぶことがある。
【0014】
監視対象となる電池BTは、充放電可能な二次電池である。電池BTは、1つの電池セルで構成されていてもよいし、複数の電池セルが直列に接続された組電池で構成されていてもよい。なお、組電池は、一部の電池セルが並列に接続されていてもよい。
【0015】
具体的には、電池BTは、リチウムイオン電池で構成されている。リチウムイオン電池は、例えば、図2示すように、正極剤としてリン酸鉄リチウムLFPやニッケル・マンガン・コバルトNMCが採用され、負極剤として黒鉛が採用されたもので構成される。また、リチウムイオン電池は、例えば、正極側集電体がアルミニウムで構成され、負極側集電体が銅で構成されている。このように構成されるリチウムイオン電池は、優れた充放電のサイクル特性を有する一方で、電極電位がリチウムの析出電位に非常に近く、充電状態においてリチウムが析出し易い特徴がある。
【0016】
図3に示すように、監視部20は、接続部材WHを介して電池BTに電気的に接続されている。監視部20は、電池BTに対して一体的に取り付けられていてもよいし、電池BTに対して脱着可能に取り付けられていてもよい。なお、接続部材WHには、配線パータンが印刷されたフレキシブル基板FPCが含まれている。
【0017】
監視部20は、センサ部21、記憶部22、第1データ保護部24、および無線通信機器25を有している。図3では監視部20の各構成要素を四角の枠で囲んでいるが、これは各構成要素をまとめて示すためのものであり、各構成要素が単一の基板に実装されていることを示すものではない。
【0018】
センサ部21は、電池BTの状態を検出するものである。センサ部21は、温度センサ211、電流センサ212、電圧センサ213、劣化検出部214、SOH推定部215等を含んでいる。
【0019】
温度センサ211は、リチウムイオン電池の電池温度を検出するセンサである。温度センサ211は、例えば、フレキシブル基板FPCに対して実装されている。なお、電池温度は、電池BTの内部インピーダンスの測定結果から推定するようになっていてもよい。この場合、電池温度を推定する手段が温度センサ211としての機能を果たす。
【0020】
電流センサ212は、電池BTの出力電流を検出するセンサである。電流センサ212は、例えば、フレキシブル基板FPCに対して実装されていてもよいし、フレキシブル基板FPC以外の基板に実装されていてもよい。
【0021】
電圧センサ213は、電池BTの出力電圧を検出するセンサである。電圧センサ213は、例えば、フレキシブル基板FPCに対して実装されていてもよいし、フレキシブル基板FPC以外の基板に実装されていてもよい。
【0022】
劣化検出部214は、電池BTの残存価値を設定する上で重要な指標となる電池BTの劣化度合いを検出するものである。劣化検出部214は、析出量検出部214aおよび被膜検出部214bを有する。
【0023】
析出量検出部214aは、リチウムイオン電池におけるリチウム析出を検出する機器である。析出量検出部214aは、リチウムイオン電池におけるリチウム析出量と、リチウムイオン電池の両端を短絡させた際の電流および電圧の挙動との間の相関性を利用して、当該挙動からリチウム析出量を推定する。図示しないが、析出量検出部214aは、リチウムイオン電池の両端を一時的に短絡させて放電させる短絡回路と、短絡回路でリチウムイオン電池を短絡させた際の電流および電圧の挙動に基づいてリチウム析出量を推定する演算器を有する。短絡回路は、リチウムイオン電池の両端を短絡させるための短絡スイッチ、コイル、およびキャパシタを有する。リチウムイオン電池の内部抵抗、短絡回路のコイル、キャパシタにより自己共振回路が構成される。演算器は、リチウムイオン電池の両端を短絡させた際に、短絡回路を流れる電流および電圧のうち少なくとも一方の信号波形に含まれるリチウム析出量に相関性がある抵抗変化成分を抽出し、抽出した成分からリチウム析出量の推定値を算出する。
【0024】
このようリチウム析出量の推定方法は、非常に簡素な構成であり、リチウムイオン電池からの放電周波数を調整することで、特定の電池劣化モードを検出できる点において、非常に有用な方法である。なお、析出量検出部214aは、リチウム析出量の推定値を温度センサ211で検出される電池温度および後述の記憶部22に予め記憶された寄生抵抗値の少なくとも一方で補正した補正値をリチウム析出量として算出する。なお、析出量検出部214aは、上記以外の方法でリチウム析出量を推定するようになっていてもよい。
【0025】
被膜検出部214bは、リチウムイオン電池の充電時に負極と電解液の界面に形成される被膜の厚みを検出する。この被膜は、SEI層とも呼ばれる。SEIは、Solid Electrolyte Interphase の略称である。SEI層の厚みは、前述の短絡回路でリチウムイオン電池の両端を短絡させた際の電流および電圧の挙動と相関性を有する。被膜検出部214bは、短絡回路でリチウムイオン電池の両端を短絡させた際の電流および電圧の挙動からSEI層の厚みを推定する。具体的には、被膜検出部214bは、短絡回路で電池BTの両端を短絡させた際に、短絡回路を流れる電流および電圧のうち少なくとも一方の信号波形に含まれるSEI層の厚みに相関性がある成分を抽出し、抽出した成分からSEI層の厚みを推定する。なお、SEI層の厚みを検出する際には、リチウム析出量の検出と同様に、電池温度等で補正することが望ましい。なお、被膜検出部214bは、上記以外の方法でSEI層の厚みを推定するようになっていてもよい。
【0026】
ここで、電池BTの内部抵抗や、電池BTの内部の正極活性物質剤の割れ具合は、電池BTの劣化に直接的に影響する物理量である。このため、劣化検出部214には、電池BTの内部抵抗の検出部や、電池BTの内部の正極活性物質剤の割れ具合の検出部が含まれていてもよい。
【0027】
SOH推定部215は、電池BTの容量劣化に相関性が高い物理量に基づいて電池BTの容積率SOHを推定する。電池BTの劣化の一要因は、電池BTの内部抵抗の増加である。電池BTの内部抵抗は、リチウム析出量および電池BTの内部抵抗といった物理量と強い相関性がある。また、電池BTの内部抵抗は、温度依存性があるとともに、電池BTの電流および電圧に影響する。なお、SOHは、State of Healthの略称である。
【0028】
これらを加味して、本実施形態のSOH推定部215は、リチウム析出量、SEI層の厚み、電池BTの温度、電流、電圧を容積率SOHの推定モデルを用いて容積率SOHを推定する。容積率SOHの推定モデルは、例えば、容積率SOH、リチウム析出量、SEI層の厚み、電池BTの温度、電流、電圧それぞれの関係を規定した制御マップや関数である。なお、SOH推定部215は、上記以外の方法で電池BTの容積率SOHを推定するようになっていてもよい。また、図示しないが、監視部20は、電池BTの残存容量SOCを推定する推定部も有する。
【0029】
記憶部22は、読み書き可能な記憶媒体で構成されている。記憶部22には、センサ部21による電池BTの状態の検出結果等が記憶されている。具体的には、記憶部22には、監視部20毎に設定された固有ID、電池BTの初期容量や電池BTの修復歴等を含む電池BTの製造履歴が記憶されている。また、記憶部22には、例えば、リチウム析出量、SEI層の厚み、電池BTの内部抵抗、容積率SOH等が電池BTの使用履歴として記憶されている。以下では、固有ID、電池BTの製造履歴、電池BTの使用履歴をまとめて“特定情報”とも呼ぶ。なお、記憶部22は、非遷移的実体的記憶媒体で構成される。
【0030】
監視制御部23は、センサ部21による電池BTの状態の検出結果を監視し、この監視結果に基づいて、電池BTの状態の適否を判定する。また、監視制御部23は、電池BTの異常が検出されると、無線通信機器25を介して電池BTの異常を電池ECU50等の上位機器に向けて通知する。
【0031】
第1データ保護部24は、無線通信機器25を介して監視部20から電池ECU50等の上位機器に提供する監視データの信頼性を確保するためのものである。第1データ保護部24については後述する。
【0032】
無線通信機器25は、電池ECU50等の上位機器との間で双方向通信を可能とするための機器である。監視部20は、電池ECU50等の上位機器から各種信号を受信するとともに、電池ECU50等の上位機器に向けて監視部20による電池BTの監視により得られた監視データ等を送信する。監視データには、固有ID、電池BTの製造履歴、電池BTの使用履歴、電池BTの位置情報等の特定情報が含まれている。
【0033】
続いて、電池ECU50について説明する。電池ECU50は、電池監視システム1にける上位機器である。電池ECU50は、監視部20から提供される監視データ等に基づいて電池BTの充放電制御や温調機器による電池BTの温度調整制御を行う。なお、電池ECU50は、電池BTの充電を制御する充電制御機能が含まれている。
【0034】
具体的には、電池ECU50は、プロセッサ、メモリ51、I/O等を備えたマイクロコンピュータ、監視部20と双方向に通信するための内部通信機器52等を含んで構成されている。メモリ51は、非遷移的実体的記憶媒体で構成される。
【0035】
ところで、自動車の急速な電動化が進み、近い将来に大量の使用済み電池BTが発生すると見込まれている。電池BTを製造するには、大量のCO2排出、希少金属使用を伴う。このため、使用済み電池BTは、電池BTの残存容量SOC、容積率SOHに応じ、リユース・リビルド・リサイクルが選択されることで、循環型社会に適応したバッテリエコシステムの構築が期待されている。このようなバッテリエコシステムを構築するためには、残存容量SOC、容積率SOHといった電池BTの価値や電池BTの製造履歴・使用履歴といった情報と電池BT自体を紐づけ、管理するトレーサビリティシステムが重要である。電池BTを使用したいユーザはトレーサビリティシステムにアクセスし、必要な電池情報を把握し、その電池BTの価値に見合った金額で、電池BTを使用することが想定される。このようなトレーサビリティシステムにおいては、保存されている電池情報の信頼性が非常に重要である。
【0036】
このような背景のもと、本開示の電池監視システム1は、上記のトレーサビリティシステムにブロックチェーン技術を活用することで、トレーサビリティシステムの信頼性の向上を図っている。なお、ブロックチェーン技術とは、情報通信ネットワーク上にある端末同士を直接接続して、電池10の使用履歴等を、暗号技術を用いて分散的に処理・記録するデータベースの一種である。
【0037】
本開示の電池監視システム1は、長期にわたって使用される電池BTの状態を表すパラメータを、信頼でき、更新されたデータとして提供可能に構成されている。すなわち、電池監視システム1は、監視部20から提供される監視データや当該監視データを演算して得られるパラメータを、電池ECU50や充電器CH等の上位機器を用いて、データを暗号化(すなわち、ハッシュ化)する。そして、上位機器が、自律的な分散台帳(すなわち、ブロックチェーン)にて、そのデータを管理することで、電池監視システム1の信頼性を向上させている。
【0038】
具体的には、電池監視システム1は、電池ECU50が監視部20から提供される監視データに含まれる特定情報の少なくとも一部を、ブロックチェーンを用いて保存する。電池ECU50は、ブロック生成部53、ストレージ54、外部通信機器55、第2データ保護部56を含んで構成されている。
【0039】
ブロック生成部53は、例えば、図4に示すように、固有ID、電池BTの製造履歴、電池BTの使用履歴を含む特定情報に加えて、ブロックチェーンの最後に連結された最後ブロックBeに基づくハッシュ値を含む新規ブロックBnを生成する。
【0040】
電池ECU50は、ブロック生成部53で生成された新規ブロックBnを、自身のストレージ54に保存するとともに、外部通信機器55を利用して、インターネットINTを経由して接続される複数の外部機器に分散して保存する。例えば、図5に示す電池監視システム1Aは、インターネットINT経由して接続される他の電池監視システム1B、1C、1D、1E、1Fとの相互認証を経て各電池監視システム1B、1C、1D、1E、1Fのストレージ54に分散して保存する。
【0041】
このようなトレーサビリティシステムでは、ブロックチェーン技術によってストレージ54に保存されたデータが改竄から守られるので、電池監視システム1の信頼性が大きく向上する。
【0042】
しかし、ブロックチェーン技術は、ストレージ54に保存されたデータを改竄から守る技術であり、監視部20から上位機器へ提供されるデータ自体の信頼性が何ら担保されていない。このため、模倣品IMによる監視部20のなりすましや、電磁シールドESによる監視部20の送信信号の妨害によるデータ偽造によって、実際とは異なる監視データがストレージ54に蓄積されてしまう虞がある。このことは、トレーサビリティシステムの信頼性を棄損させる要因となる。
【0043】
また、電池ECU50等の上位機器がハッキングなどにより乗っ取られると、意図的に各種情報を操作する可能性がある。具体的には、監視部20からの通信を遮断し、電池BTの容積率SOH等が更新されないように制御して、電池BTが劣化してないと判定させるようなケースが想定される。このように、上位機器が乗っ取られた場合においても、データの信頼性が損なわれるという課題がある。
【0044】
さらに、交換型電池のように持ち運びが可能な電池BTにおいては、ブロックチェーン技術によりデータを管理されていたとしても、盗人に盗まれると、ユーザは電池BTの価値を喪失し、第三者が価値を享受することになる。このため、盗難対策が課題となる。
【0045】
これらを加味して、電池監視システム1は、監視データの信頼性を確保するためのデータ保護部が設けられている。具体的には、電池監視システム1は、監視部20に第1データ保護部24が設けられ、電池ECU50に第2データ保護部56が設けられている。
【0046】
より詳しくは、監視部20は、第1データ保護部24として、第1情報認証部241、第1データ認証部242、診断部243、自己停止部244、暗号化通信部245を有している。
【0047】
第1情報認証部241は、電池ECU50との間で、監視部20から電池ECU50に提供される特定情報を相互認証する認証部である。第1情報認証部241は、監視部20が有する特定情報と電池ECU50が有する特定情報とが一致する否かを判定する。
【0048】
第1データ認証部242は、電池ECU50との間で、監視部20に割り当てられた固有IDを相互認証する認証部である。第1データ認証部242は、監視部20が有する固有IDと電池ECU50が有する固有IDとが一致する否かを判定する。
【0049】
診断部243は、上位機器から送信される指令信号の適否を診断する。診断部243は、上位機器からの指令信号を学習することによって学習済みモデルを生成し、当該学習済みモデルを用いて指令信号の適否を診断する。診断部243は、例えば、上位機器からの指令信号の傾向を学習して学習済みモデルを生成する。
【0050】
自己停止部244は、監視部20の機能を停止させるものである。自己停止部244は、例えば、診断部243にて上位機器からの指令信号が不適と診断された際に自身の機能を停止する。自己停止部244は、例えば、監視部20を構成するICへの電源供給を遮断することで監視部20の機能を停止させる。
【0051】
暗号化通信部245は、監視データを暗号化して上位機器に送信する。暗号化通信部245は、監視データを暗号化する暗号化処理部246および無線通信機器25を含んで構成されている。
【0052】
一方、電池ECU50は、第2データ保護部56として、第2情報認証部561、第2データ認証部562、復号化処理部563、充電制限部564を有している。
【0053】
第2情報認証部561は、監視部20との間で、監視部20から電池ECU50に提供される特定情報を相互認証する認証部である。第2情報認証部561は、監視部20が有する情報と電池ECU50が有する情報とが一致する否かを判定する。
【0054】
第2データ認証部562は、監視部20との間で、監視部20に割り当てられた固有IDを相互認証する認証部である。第2データ認証部562は、監視部20が有する固有IDと電池ECU50が有する固有IDとが一致する否かを判定する。
【0055】
復号化処理部563は、監視部20の暗号化通信部245に対応して設けられている。復号化処理部563は、暗号化処理部246で暗号化された監視データを所定の復号化処理によって復号化する。
【0056】
充電制限部564は、電池BTの充電を制限するものである。充電制限部564は、例えば、第1データ認証部242および第2データ認証部562の認証結果が上位機器および監視部20それぞれに記憶された固有IDの不一致を示す場合に電池BTの充電を禁止する。
【0057】
ここで、充電スタンドCS等に設置される充電器CHは、電池ECU50とともに、電池BTの監視部20の上位機器となる。充電器CHは、電池BTの充電を制御する。充電器CHには、第2データ認証部562に対応するデータ認証部AS、充電制限部564に対応するコントローラCRが設けられている。
【0058】
このように構成される電池監視システム1は、データ保護部が監視部20および上位機器に設けられていることで、監視部20のなりすまし、信号妨害によるデータ偽造、上位機器の乗っ取り、電池盗難に対して有効な対策を講じることが可能になっている。以下、監視部20のなりすまし、信号妨害によるデータ偽造、上位機器の乗っ取り、電池盗難に関する対策を説明する。
【0059】
[監視部20のなりすまし]
監視部20のなりすましに関する対策については、図6を参照しつつ説明する。監視部20のなりすましとしては、例えば、図6に示すように、正規の監視部20を模倣品IMに交換して上位機器へ提供する監視データを改竄するような不正が考えられる。
監視部20のなりすましに関する対策については、図6を参照しつつ説明する。監視部20のなりすましとしては、例えば、図6に示すように、正規の監視部20を模倣品IMに交換して上位機器へ提供する監視データを改竄するような不正が考えられる。
【0060】
これに対して、電池監視システム1は、固有ID、電池BTの製造履歴、電池BTの使用履歴を含む特定情報の少なくとも一部を監視部20と電池ECU50の双方に保有させ、それらを各情報認証部241、561で相互認証させ、矛盾がないか判定する。例えば、各情報認証部241、561の双方で特定情報が一致する場合は正常と判定し、各情報認証部241、561の一方で特定情報が不一致となる場合は監視部20のなりすましと判定する。
【0061】
[信号妨害によるデータ偽造]
信号妨害によるデータ偽造に関する対策については、図7を参照しつつ説明する。信号妨害によるデータ偽造としては、例えば、図7に示すように、正規の監視部20が発する信号を電磁シールドESによって妨害し、模倣品IMから上位機器へ偽の監視データを提供するような不正が考えられる。
信号妨害によるデータ偽造に関する対策については、図7を参照しつつ説明する。信号妨害によるデータ偽造としては、例えば、図7に示すように、正規の監視部20が発する信号を電磁シールドESによって妨害し、模倣品IMから上位機器へ偽の監視データを提供するような不正が考えられる。
【0062】
これに対して、電池監視システム1は、監視部20で暗号化した監視データを上位機器へ提供するようになっている。上位機器では、第2情報認証部561で監視部20から提供された監視データが暗号化されているかを判定する。第2情報認証部561は、監視データが暗号化されている場合は正常と判定し、監視データが暗号化されていない場合はデータ偽造と判定する。
【0063】
[上位機器の乗っ取り]
上位機器の乗っ取りに関する対策については、図8を参照しつつ説明する。上位機器の乗っ取りとしては、例えば、図8に示すように、ハッキング等によって上位機器を乗っ取って監視部20から自分に都合のよいデータだけを要求するような不正が考えられる。
上位機器の乗っ取りに関する対策については、図8を参照しつつ説明する。上位機器の乗っ取りとしては、例えば、図8に示すように、ハッキング等によって上位機器を乗っ取って監視部20から自分に都合のよいデータだけを要求するような不正が考えられる。
【0064】
これに対して、電池監視システム1は、監視部20が上位機器から送信される指令信号の適否を診断する診断部243を有する。この診断部243は、上位機器からの指令信号を学習することによって学習済みモデルを生成し、学習済みモデルを用いて指令信号の適否を診断する。診断部243は、指令信号が過去の傾向に沿うものである場合は正常と判定し、指令信号が過去の傾向に沿わない場合は上位機器が乗っ取られていると診断する。
【0065】
[電池盗難]
電池盗難に関する対策については、図9を参照しつつ説明する。交換型電池が盗まれると、例えば、図9に示すように、充電スタンドCS等に設置される充電器CHで電池BTの充電が実施される可能性がある。
電池盗難に関する対策については、図9を参照しつつ説明する。交換型電池が盗まれると、例えば、図9に示すように、充電スタンドCS等に設置される充電器CHで電池BTの充電が実施される可能性がある。
【0066】
これに対して、電池監視システム1は、監視部20の固有IDを監視部20と充電器CHの双方に保有させ、それらを各データ認証部242、ASで相互認証させ、矛盾がないか判定する。監視部20および充電器CHは、例えば、各データ認証部242、ASの双方で固有IDが一致する場合は正常と判定し、充電を許可する。一方、監視部20および充電器CHは、各データ認証部242、ASの一方で固有IDが不一致となる場合は電池盗難と判定する。この場合、充電器CHは、電池BTの充電を禁止する。または、電池盗難と判断される場合は、監視部20や電池ECU50等にて電池BTの放電を禁止するようになっていてもよい。なお、電池盗難の判断は、ユーザが電池BTの位置情報をもとに判断し、その情報が監視部20、電池ECU50、あるいは充電器CHに転送させることで、充電、あるいは放電を禁止してもよい。
【0067】
上記の電池盗難に関する対策は、監視部20と充電器CHの間だけでなく、監視部20と電池ECU50との間でも実施可能である。つまり、電池監視システム1は、監視部20の固有IDを監視部20と電池ECU50の双方に保有させ、それらを各データ認証部242、562で相互認証させ、矛盾がないか判定するようになっていてもよい。
【0068】
以上説明した電池監視システム1は、上位機器に監視部20による電池BTの監視により得られた監視データが提供されるとともに、上位機器が監視データに含まれる特定情報の少なくとも一部を、ブロックチェーンを用いて保存する。これによると、電池監視システム1の信頼性を確保することができる。
【0069】
さらに、監視部20および上位機器のうち、少なくとも一方には、監視データの信頼性を確保するためのデータ保護部が設けられている。これによると、監視部20および上位機器の少なくとも一方に設けられたデータ保護部によって、監視データの信頼性が担保されているので、監視部20から上位機器に提供されるデータの信頼性を確保することができる。
【0070】
加えて、電池監視システム1の上位機器は、データ認証部による認証結果が上位機器および監視部20それぞれに記憶された固有IDの不一致を示す場合に電池BTの充電を禁止する。このように、監視部20および上位機器における固有IDが一致しない場合に電池BTの充電を禁止して電池BTの価値を喪失させる構成になっていれば、盗人の電池BTを盗む意欲を損なわせることができる。このことは、電池BTの盗難防止を図るうえで非常に有用である。
【0071】
また、電池監視システム1は、次の効果が得られる。
【0072】
(1)監視部20および上位機器それぞれは、データ保護部として、特定情報を相互認証するための情報認証部を有している。これによると、例えば、正規な監視部20を模倣品IMに交換して上位機器へ提供する監視データを改竄するような不正を検知することができる。この結果、監視部20のなりすましによる監視データの改竄を防止することができる。
【0073】
(2)監視部20は、データ保護部として、監視データを暗号化して上位機器に送信する暗号化通信部245を有している。このように、監視部20から上位機器に提供される監視データが暗号化されていれば、正規な監視部20からの信号を妨害して、偽の監視データを上位機器に提供するような不正を上位機器側で検知することができる。この結果、監視データの偽造を防止することができる。
【0074】
(3)監視部20は、データ保護部として、上位機器から送信される指令信号の適否を診断する診断部243を有する。これによると、例えば、上位機器になりすまして監視部20から自分に都合のよいデータだけを要求するような不正を監視部20側で検知することができる。この結果、上位機器のなりすましによる監視データの改竄を防止することができる。
【0075】
(4)診断部243は、上位機器からの指令信号を学習することによって学習済みモデルを生成し、学習済みモデルを用いて指令信号の適否を診断する。これによると、上位機器から自分に都合のよいデータだけを要求するような指令信号の傾向を学習済みモデルに反映させて、上位機器の乗っ取りの検知精度向上を図ることができる。
【0076】
(5)監視部20は、データ保護部として、診断部243にて指令信号が不適と診断された際に自身の機能を停止する自己停止部244を有する。これによれば、上位機器になりすまして監視部20から自分に都合のよいデータだけを要求するような不正による被害の拡大を抑制することができる。
【0077】
【0078】
近年、サーキュラエコノミの実現に向けて、電池資源を安心して利活用して使い切る動きが強まってきており、「電池BTの製造」→「一時利用」→「二次利用」→「リサイクル」という循環を適切にコントロールできる社会が近い将来に訪れると予測される。将来の電池循環社会では、電池利用の各工程の保有台数や健康状態のデータがクラウド上で把握され、いつどんな電池BTが供給されるかが工程ごとに予測され、生産計画を最適化できるようなシステムが必要と考えられる。
【0079】
このような循環社会の実現には、電池BTの健康状態等のセンシング情報を含む監視データの信頼性が重要であり、電池BTを含むシステムへの不正アクセスに対する対策が必要となる。不正アクセス対策としては、例えば、不正アクセスが発生した際に、監視部20の記憶部22に記憶された監視データを削除することが考えられる。なお、不正アクセスとは、正当なアクセス権限のないものによるアクセスである。例えば、上位機器の乗っ取り等による不正アクセスがある場合、監視部20の監視データ等の流出・漏洩、監視データの不正利用や改竄が実施される虞がある。
【0080】
しかしながら、不正アクセス対策として監視部20の記憶部22に記憶された監視データを削除する場合、電池BTの健康状態等が不明となってしまう。この場合、「二次利用」で使用可能かを判断できず、「一時利用」→「リサイクル」という循環となって電池BTの有効活用を図れないといった課題がある。
【0081】
これらを考慮し、本実施形態では、不正アクセスによる監視データの読み取り・改竄の対策を取りつつ、不正アクセスされた場合も電池循環の流れに復帰可能なの電池監視システム1を提案する。
【0082】
図10に示すように、本実施形態の電池監視システム1は、監視部20の第1データ保護部24に、アクセス制限部247とアクセス解除部248とが追加されている。なお、図10では、便宜上、第1データ保護部24の第1情報認証部241、第1データ認証部242、診断部243、自己停止部244、暗号化通信部245の図示を省略している。
【0083】
アクセス制限部247は、監視部20の記憶部22に記憶された監視データへの外部からのアクセスを制限するものである。アクセス制限部247は、例えば、不正アクセスの検知または予知されると、監視データへの外部からのアクセスを制限する。
【0084】
アクセス解除部248は、アクセス制限部247によって記憶部22に記憶された監視データへのアクセスが制限されている状態において、監視データへのアクセスの制限を解除するものである。アクセス解除部248は、例えば、正当なアクセス権限を有する上位機機器から解除キーが通知されると、監視データへのアクセスの制限を解除する。
【0085】
その他については、第1実施形態と同様である。本実施形態の電池監視システム1は、第1実施形態と共通の構成または均等な構成から奏される効果を第1実施形態と同様に得ることができる。
【0086】
以下、監視部20における不正アクセス対策について具体的な実施例について説明する。なお、以下の示す第1~第4実施例は、特に組み合わせに支障が生じない範囲であれば、特に明示していない場合であっても、各実施例同士を部分的に組み合わせることができる。
【0087】
[第1実施例]
まず、第1実施例について図11、図12を参照しつつ説明する。監視部20は、例えば、図11に示すような上位機器の乗っ取りによる不正アクセスに対する対策として、図12に示す処理を実行する。図12に示す処理は、監視部20によって周期的または不定期に実行される。
まず、第1実施例について図11、図12を参照しつつ説明する。監視部20は、例えば、図11に示すような上位機器の乗っ取りによる不正アクセスに対する対策として、図12に示す処理を実行する。図12に示す処理は、監視部20によって周期的または不定期に実行される。
【0088】
図12に示すように、監視部20は、ステップS100にて、記憶部22に記憶された監視データへの不正アクセスが検知または予知されるか否かを判定する。
【0089】
監視部20は、例えば、診断部243による指令信号の診断結果に基づいて不正アクセスを検知する。なお、監視部20は、診断部243の診断結果ではなく、監視部20にアクセスする際の認証キーが一致しない場合やパスワードが連続して間違っている場合に不正アクセスありと判断するようになっていてもよい。
【0090】
また、監視部20は、例えば、不正アクセスと断定できない場合であっても、それに類する行為が実施された否かに基づいて、不正アクセスを予知する。監視部20は、例えば、電池BTの状態を表す各種パラメータを要求する順序や回数が通常とは異なる場合、一回でもパスワードを間違えた場合等に不正アクセスが予知されると判断する。
【0091】
監視部20は、不正アクセスが検知または予知されるまで待機し、不正アクセスが検知または予知されると、ステップS110に移行する。監視部20は、ステップS110にて、記憶部22に記憶された監視データを、クラウドサーバ等の外部記憶装置60にバックアップデータとして記憶する。バックアップデータは、外部からは判別できないように暗号化されていることが望ましい。
【0092】
外部記憶装置60は、監視部20の外部に設けられる。外部記憶装置60と監視部20との間のデータ通信は、OTA等による無線通信または通信ケーブル等による有線通信で行われる。なお、OTAは、Over The Airの略称である。
【0093】
続いて、監視部20は、ステップS120にて、記憶部22に記憶された監視データを削除する。これにより、記憶部22へ記憶された監視データへのアクセスが制限される。前述のステップS110およびS120の処理は、アクセス制限部247によって実現される。
【0094】
続いて、監視部20は、ステップS130にて、正規の電池ECU50等の正当なアクセス権限のある上位機器から、アクセスの制限を解除する解除キーが通知されたか否かを判定する。
【0095】
監視部20は、解除キーが通知されるまで待機し、上位機器から解除キーが通知されると、ステップS140に移行する。監視部20は、ステップS140にて、外部記憶装置60からバックアップデータを取得し、当該バックアップデータから監視データを記憶部22に復元する。これにより、監視データへのアクセスの制限が解除される。前述のステップS140の処理は、アクセス解除部248によって実現される。
【0096】
以上説明した第1実施例の不正アクセス対策によれば、不正アクセスによる監視データの読み取り・改竄を防止することができる。特に、本例では、外部記憶装置60に記憶されたバックアップデータから監視データを記憶部22に復元するので、不正アクセスされた場合も電池循環の流れに復帰させることができる。
【0097】
[第1実施例の変形例]
第1実施例では、監視データへの不正アクセスが検知または予知される場合に監視データへのアクセスを制限しているが、これに限定されない。監視部20は、例えば、周期的に監視データへのアクセスを制限するようになっていたり、上位機器からの指令信号に基づいて監視データへのアクセスを制限するようになっていたりしてもよい。このことは、以降の実施例においても同様である。
また、外部記憶装置60への監視データのバックアップは、監視データへの不正アクセスが検知または予知される場合に限らず、例えば、定期的に実施されるようになっていてもよい。なお、外部記憶装置60への監視データのバックアップを定期的に実施する場合は、監視データへの不正アクセスが検知または予知された際に、監視データのバックアップを実施することなく、記憶部22から監視データを削除するようになっていてもよい。
第1実施例では、監視データへの不正アクセスが検知または予知される場合に監視データへのアクセスを制限しているが、これに限定されない。監視部20は、例えば、周期的に監視データへのアクセスを制限するようになっていたり、上位機器からの指令信号に基づいて監視データへのアクセスを制限するようになっていたりしてもよい。このことは、以降の実施例においても同様である。
また、外部記憶装置60への監視データのバックアップは、監視データへの不正アクセスが検知または予知される場合に限らず、例えば、定期的に実施されるようになっていてもよい。なお、外部記憶装置60への監視データのバックアップを定期的に実施する場合は、監視データへの不正アクセスが検知または予知された際に、監視データのバックアップを実施することなく、記憶部22から監視データを削除するようになっていてもよい。
【0098】
[第2実施例]
次に、第2実施例について図13、図14を参照しつつ説明する。監視部20は、例えば、図13に示すような上位機器の乗っ取りによる不正アクセスに対する対策として、図14に示す処理を実行する。図14に示す処理は、監視部20によって周期的または不定期に実行される。
次に、第2実施例について図13、図14を参照しつつ説明する。監視部20は、例えば、図13に示すような上位機器の乗っ取りによる不正アクセスに対する対策として、図14に示す処理を実行する。図14に示す処理は、監視部20によって周期的または不定期に実行される。
【0099】
図14に示すように、監視部20は、ステップS200にて、記憶部22に記憶された監視データへの不正アクセスが検知または予知されるか否かを判定する。この判定処理は、第1実施例と同様であるため、その説明を省略する。
【0100】
不正アクセスが検知または予知されると、監視部20は、ステップS210にて、記憶部22への情報アクセスを禁止する。監視部20は、例えば、無線通信機器25の機能停止によって外部と記憶部22との通信を途絶させたり、監視データを読み取り不可に設定したりすることで、記憶部22への情報アクセスを禁止する。これにより、記憶部22へ記憶された監視データへのアクセスが制限される。前述のステップS210の処理は、アクセス制限部247によって実現される。
【0101】
続いて、監視部20は、ステップS220にて、正規の電池ECU50等の正当なアクセス権限のある上位機器から、アクセスの制限を解除する解除キーが通知されたか否かを判定する。
【0102】
上位機器から解除キーが通知されると、監視部20は、ステップS230にて、記憶部22への情報アクセスが可能となる処理を実施して記憶部22への情報アクセスを許可する。これにより、監視データへのアクセスの制限が解除される。前述のステップS230の処理は、アクセス解除部248によって実現される。
【0103】
以上説明した第2実施例の不正アクセス対策によれば、不正アクセスによる監視データの読み取り・改竄を防止することができる。特に、本例の不正アクセス対策は、記憶部22への情報アクセスを禁止と許可を切り替える簡易な処理によって実現することができるといったメリットがある。
【0104】
[第3実施例]
次に、第3実施例について図15、図16を参照しつつ説明する。監視部20は、例えば、図15に示すような上位機器の乗っ取りによる不正アクセスに対する対策として、図16に示す処理を実行する。図16に示す処理は、監視部20によって周期的または不定期に実行される。
次に、第3実施例について図15、図16を参照しつつ説明する。監視部20は、例えば、図15に示すような上位機器の乗っ取りによる不正アクセスに対する対策として、図16に示す処理を実行する。図16に示す処理は、監視部20によって周期的または不定期に実行される。
【0105】
図16に示すように、監視部20は、ステップS300にて、記憶部22に記憶された監視データへの不正アクセスが検知または予知されるか否かを判定する。この判定処理は、第1実施例と同様であるため、その説明を省略する。
【0106】
不正アクセスが検知または予知されると、監視部20は、ステップS310にて、記憶部22に記憶された監視データを暗号化する。暗号化の手法としては、例えば、公開鍵暗号方式等が挙げられる。これにより、記憶部22へ記憶された監視データへのアクセスが制限される。前述のステップS310の処理は、アクセス制限部247によって実現される。
【0107】
続いて、監視部20は、ステップS320にて、正規の電池ECU50等の正当なアクセス権限のある上位機器から、アクセスの制限を解除する解除キーが通知されたか否かを判定する。
【0108】
上位機器から解除キーが通知されると、監視部20は、ステップS330にて、暗号化される監視データを復号する。これにより、監視データへのアクセスの制限が解除される。前述のステップS330の処理は、アクセス解除部248によって実現される。
【0109】
以上説明した第3実施例の不正アクセス対策によれば、不正アクセスによる監視データの読み取り・改竄を防止することができる。特に、本例では、監視データの暗号化および復号を行う簡易な処理によって、不正アクセスに対する対策を実施することができるといった利点がある。
【0110】
[第4実施例]
第4実施例について図17、図18を参照しつつ説明する。監視部20は、例えば、図17に示すような上位機器の乗っ取りによる不正アクセスに対する対策として、図18に示す処理を実行する。図18に示す処理は、監視部20によって周期的または不定期に実行される。
第4実施例について図17、図18を参照しつつ説明する。監視部20は、例えば、図17に示すような上位機器の乗っ取りによる不正アクセスに対する対策として、図18に示す処理を実行する。図18に示す処理は、監視部20によって周期的または不定期に実行される。
【0111】
図18に示すように、監視部20は、ステップS400にて、記憶部22に記憶された監視データへの不正アクセスが検知または予知されるか否かを判定する。この判定処理は、第1実施例と同様であるため、その説明を省略する。
【0112】
不正アクセスが検知または予知されると、監視部20は、ステップS410にて、監視データの読み取りおよび書き換えの少なくとも一方を禁止する。監視部20は、例えば、監視データが格納されたフォルダのアクセス権を読み取り不可または書き換え不可に設定することで、監視データの読み取りおよび書き換えの少なくとも一方を禁止する。これにより、記憶部22へ記憶された監視データへのアクセスが制限される。前述のステップS410の処理は、アクセス制限部247によって実現される。
【0113】
続いて、監視部20は、ステップS420にて、正規の電池ECU50等の正当なアクセス権限のある上位機器から、アクセスの制限を解除する解除キーが通知されたか否かを判定する。
【0114】
上位機器から解除キーが通知されると、監視部20は、ステップS430にて、記憶部22にある監視データの読み取りおよび書き換えを許可する。これにより、監視データへのアクセスの制限が解除される。前述のステップS430の処理は、アクセス解除部248によって実現される。
【0115】
以上説明した第4実施例の不正アクセス対策によれば、不正アクセスによる監視データの読み取りまたは改竄を防止することができる。特に、本例では、監視データが格納されたフォルダのアクセス権の設定変更を行うといった簡易な処理によって、不正アクセスに対する対策を実施することができるといった利点がある。
【0116】
(他の実施形態)
以上、本開示の代表的な実施形態について説明したが、本開示は、上述の実施形態に限定されることなく、例えば、以下のように種々変形可能である。
以上、本開示の代表的な実施形態について説明したが、本開示は、上述の実施形態に限定されることなく、例えば、以下のように種々変形可能である。
【0117】
上述の実施形態の如く、電池監視システム1は、“監視部20のなりすまし”、“信号妨害によるデータ偽造”、“上位機器の乗っ取り”、“電池盗難”、“不正アクセス”それぞれに対応可能に構成されていることが望ましいが、これに限定されない。電池監視システム1は、上記不正の一部に対応可能に構成されていたり、上記不正以外の他の不正に対応可能に構成されていたりしてもよい。
【0118】
上述の実施形態の如く、上位機器は、監視データに含まれる特定情報の少なくとも一部を、ブロックチェーンを用いて保存するようになっていることが望ましいが、そのようになっていなくてもよい。
【0119】
上述の実施形態の如く、監視部20のセンサ部21は、温度センサ211、電流センサ212、電圧センサ213、劣化検出部214、SOH推定部215が含まれていることが望ましいが、これに限定されない。監視部20のセンサ部21は、例えば、劣化検出部214およびSOH推定部215が設けられていなくてもよい。
【0120】
上述の実施形態の如く、第1データ保護部24は、第1情報認証部241、第1データ認証部242、診断部243、自己停止部244、暗号化通信部245、アクセス制限部247、アクセス解除部248を有していることが望ましいが、これに限定されない。第1データ保護部24は、例えば、第1情報認証部241、第1データ認証部242、診断部243、自己停止部244、暗号化通信部245、アクセス制限部247、アクセス解除部248の一部が設けられていなくてもよい。
【0121】
上述の実施形態の如く、電池ECU50の第2データ保護部56は、第2情報認証部561、第2データ認証部562、復号化処理部563、充電制限部564を有していることが望ましいが、これに限定されない。第2データ認証部562は、例えば、第2情報認証部561、第2データ認証部562、復号化処理部563、充電制限部564の一部が設けられていなくてもよい。
【0122】
上述の実施形態では、接続部材WHにフレキシブル基板FPCが含まれているものを例示したが、これ限らず、接続部材WHは、フレキシブル基板FPCが含まれていなくてもよい。
【0123】
上述の実施形態では、監視部20の上位機器として、電池ECU50や充電器CHを例示したが、上位機器は、電池ECU50および充電器CHとは異なる機器で構成されていてもよい。
【0124】
電池監視システム1は、リチウムイオン電池を監視対象としているが、これに限定されない。電池監視システム1の監視対象は、リチウムイオン電池以外の電池でもよい。電池監視システム1は、監視部20が上位機器に対して無線ではなく、有線で接続される構成になっていてもよい。また、電池監視システム1は、上述したものと完全に一致するものに限定されず、上述したものと一部が異なっていてもよい。
【0125】
上述の実施形態において、実施形態を構成する要素は、特に必須であると明示した場合および原理的に明らかに必須であると考えられる場合等を除き、必ずしも必須のものではないことは言うまでもない。
【0126】
上述の実施形態において、実施形態の構成要素の個数、数値、量、範囲等の数値が言及されている場合、特に必須であると明示した場合および原理的に明らかに特定の数に限定される場合等を除き、その特定の数に限定されない。
【0127】
上述の実施形態において、構成要素等の形状、位置関係等に言及するときは、特に明示した場合および原理的に特定の形状、位置関係等に限定される場合等を除き、その形状、位置関係等に限定されない。
【0128】
本開示の制御部及びその手法は、コンピュータプログラムにより具体化された一つ乃至は複数の機能を実行するようにプログラムされたプロセッサ及びメモリを構成することによって提供された専用コンピュータで、実現されてもよい。本開示の制御部及びその手法は、一つ以上の専用ハードウエア論理回路によってプロセッサを構成することによって提供された専用コンピュータで、実現されてもよい。本開示の制御部及びその手法は、一つ乃至は複数の機能を実行するようにプログラムされたプロセッサ及びメモリと一つ以上のハードウエア論理回路によって構成されたプロセッサとの組み合わせで構成された一つ以上の専用コンピュータで、実現されてもよい。また、コンピュータプログラムは、コンピュータにより実行されるインストラクションとして、コンピュータ読み取り可能な非遷移有形記録媒体に記憶されていてもよい。
【0129】
[本開示の観点]
[第1の観点]
電池監視システムであって、
充放電可能な電池を監視する監視部(20)と、
前記監視部による前記電池の監視により得られた監視データが提供されるとともに、前記監視データに含まれる特定情報の少なくとも一部を、ブロックチェーンを用いて保存する上位機器(50)と、を備え、
前記上位機器は、
前記特定情報の少なくとも一部および前記ブロックチェーンの最後に連結された最後ブロックに基づくハッシュ値を含む新規ブロックを生成するブロック生成部(53)と、
前記ブロック生成部で生成された前記新規ブロックを複数の外部機器に分散して保存するための外部通信機器(55)と、を有し、
前記監視部および前記上位機器のうち、少なくとも一方には、前記監視データの信頼性を確保するためのデータ保護部(24、56)が設けられている、電池監視システム。
[第1の観点]
電池監視システムであって、
充放電可能な電池を監視する監視部(20)と、
前記監視部による前記電池の監視により得られた監視データが提供されるとともに、前記監視データに含まれる特定情報の少なくとも一部を、ブロックチェーンを用いて保存する上位機器(50)と、を備え、
前記上位機器は、
前記特定情報の少なくとも一部および前記ブロックチェーンの最後に連結された最後ブロックに基づくハッシュ値を含む新規ブロックを生成するブロック生成部(53)と、
前記ブロック生成部で生成された前記新規ブロックを複数の外部機器に分散して保存するための外部通信機器(55)と、を有し、
前記監視部および前記上位機器のうち、少なくとも一方には、前記監視データの信頼性を確保するためのデータ保護部(24、56)が設けられている、電池監視システム。
【0130】
[第2の観点]
前記監視部および前記上位機器それぞれは、前記データ保護部として、前記特定情報を相互認証するための情報認証部(241、561)を有している、第1の観点に記載の電池監視システム。
前記監視部および前記上位機器それぞれは、前記データ保護部として、前記特定情報を相互認証するための情報認証部(241、561)を有している、第1の観点に記載の電池監視システム。
【0131】
[第3の観点]
前記監視部は、前記データ保護部として、前記監視データを暗号化して前記上位機器に送信する暗号化通信部(245)を有している、第1または第2の観点に記載の電池監視システム。
前記監視部は、前記データ保護部として、前記監視データを暗号化して前記上位機器に送信する暗号化通信部(245)を有している、第1または第2の観点に記載の電池監視システム。
【0132】
[第4の観点]
前記監視部は、前記データ保護部として、前記上位機器から送信される指令信号の適否を診断する診断部(243)を有する、第1ないし第3の観点のいずれか1つに記載の電池監視システム。
前記監視部は、前記データ保護部として、前記上位機器から送信される指令信号の適否を診断する診断部(243)を有する、第1ないし第3の観点のいずれか1つに記載の電池監視システム。
【0133】
[第5の観点]
前記診断部は、前記上位機器からの前記指令信号を学習することによって学習済みモデルを生成し、前記学習済みモデルを用いて前記指令信号の適否を診断する、第4の観点に記載の電池監視システム。
前記診断部は、前記上位機器からの前記指令信号を学習することによって学習済みモデルを生成し、前記学習済みモデルを用いて前記指令信号の適否を診断する、第4の観点に記載の電池監視システム。
【0134】
[第6の観点]
前記監視部は、前記データ保護部として、前記診断部にて前記指令信号が不適と診断された際に自身の機能を停止する自己停止部(244)を有する、第4または第5の観点に記載の電池監視システム。
前記監視部は、前記データ保護部として、前記診断部にて前記指令信号が不適と診断された際に自身の機能を停止する自己停止部(244)を有する、第4または第5の観点に記載の電池監視システム。
【0135】
[第7の観点]
前記上位機器は、前記電池の充電を制御する充電制御機能が含まれており、
前記監視部および前記上位機器それぞれには、前記監視部に割り当てられた固有IDが記憶されており、
前記監視部および前記上位機器それぞれは、前記固有IDを相互認証するためのデータ認証部(242、562)を有し、
前記上位機器は、前記データ認証部による認証結果が前記上位機器および前記監視部それぞれに記憶された前記固有IDの不一致を示す場合に前記電池の充電を禁止する、第1ないし第6の観点のいずれか1つに記載の電池監視システム。
前記上位機器は、前記電池の充電を制御する充電制御機能が含まれており、
前記監視部および前記上位機器それぞれには、前記監視部に割り当てられた固有IDが記憶されており、
前記監視部および前記上位機器それぞれは、前記固有IDを相互認証するためのデータ認証部(242、562)を有し、
前記上位機器は、前記データ認証部による認証結果が前記上位機器および前記監視部それぞれに記憶された前記固有IDの不一致を示す場合に前記電池の充電を禁止する、第1ないし第6の観点のいずれか1つに記載の電池監視システム。
【0136】
[第8の観点]
前記監視部は、前記データ保護部として、前記監視部の記憶部(22)に記憶された前記監視データへの外部からのアクセスを制限するアクセス制限部(247)と、前記アクセスが制限された状態において、予め設定された解除キーが前記上位機器から通知されると前記アクセスの制限を解除するアクセス解除部(248)と、を含んでいる、第1ないし第5の観点のいずれか1つに記載の電池監視システム。
前記監視部は、前記データ保護部として、前記監視部の記憶部(22)に記憶された前記監視データへの外部からのアクセスを制限するアクセス制限部(247)と、前記アクセスが制限された状態において、予め設定された解除キーが前記上位機器から通知されると前記アクセスの制限を解除するアクセス解除部(248)と、を含んでいる、第1ないし第5の観点のいずれか1つに記載の電池監視システム。
【0137】
[第9の観点]
電池監視システムであって、
充放電可能な電池を監視する監視部(20)と、
前記監視部による前記電池の監視により得られた監視データが提供される上位機器(50)と、を備え、
前記監視部には、前記監視データの信頼性を確保するためのデータ保護部(24)が設けられ、
前記データ保護部は、前記監視部の記憶部(22)に記憶された前記監視データへの外部からのアクセスを制限するアクセス制限部(247)と、前記アクセスが制限された状態において、予め設定された解除キーが前記上位機器から通知されると前記アクセスの制限を解除するアクセス解除部(248)と、を含んでいる、電池監視システム。
電池監視システムであって、
充放電可能な電池を監視する監視部(20)と、
前記監視部による前記電池の監視により得られた監視データが提供される上位機器(50)と、を備え、
前記監視部には、前記監視データの信頼性を確保するためのデータ保護部(24)が設けられ、
前記データ保護部は、前記監視部の記憶部(22)に記憶された前記監視データへの外部からのアクセスを制限するアクセス制限部(247)と、前記アクセスが制限された状態において、予め設定された解除キーが前記上位機器から通知されると前記アクセスの制限を解除するアクセス解除部(248)と、を含んでいる、電池監視システム。
【0138】
[第10の観点]
前記アクセス制限部は、前記監視部の外部にある外部記憶装置(60)に前記監視データをバックアップデータとして記憶させた後に、前記記憶部から前記監視データを削除することで前記アクセスを制限し、
前記アクセス解除部は、前記解除キーが通知されると、前記外部記憶装置に記憶された前記バックアップデータを用いて前記監視データを前記記憶部に復元することで、前記アクセスの制限を解除する、第8または第9の観点に記載の電池監視システム。
前記アクセス制限部は、前記監視部の外部にある外部記憶装置(60)に前記監視データをバックアップデータとして記憶させた後に、前記記憶部から前記監視データを削除することで前記アクセスを制限し、
前記アクセス解除部は、前記解除キーが通知されると、前記外部記憶装置に記憶された前記バックアップデータを用いて前記監視データを前記記憶部に復元することで、前記アクセスの制限を解除する、第8または第9の観点に記載の電池監視システム。
【0139】
[第11の観点]
前記アクセス制限部は、前記記憶部への情報アクセスを禁止することで前記アクセスを制限し、
前記アクセス解除部は、前記解除キーが通知されると、前記情報アクセスを許可することで、前記アクセスの制限を解除する、第8または第9の観点に記載の電池監視システム。
前記アクセス制限部は、前記記憶部への情報アクセスを禁止することで前記アクセスを制限し、
前記アクセス解除部は、前記解除キーが通知されると、前記情報アクセスを許可することで、前記アクセスの制限を解除する、第8または第9の観点に記載の電池監視システム。
【0140】
[第12の観点]
前記アクセス制限部は、前記記憶部にある前記監視データを暗号化することで前記アクセスを制限し、
前記アクセス解除部は、前記解除キーが通知されると、前記暗号化された前記監視データを復号することで、前記アクセスの制限を解除する、第8または第9の観点に記載の電池監視システム。
前記アクセス制限部は、前記記憶部にある前記監視データを暗号化することで前記アクセスを制限し、
前記アクセス解除部は、前記解除キーが通知されると、前記暗号化された前記監視データを復号することで、前記アクセスの制限を解除する、第8または第9の観点に記載の電池監視システム。
【0141】
[第13の観点]
前記アクセス制限部は、前記記憶部にある前記監視データの読み取りおよび書き換えの少なくとも一方を禁止することで前記アクセスを制限し、
前記アクセス解除部は、前記解除キーが通知されると、前記記憶部にある前記監視データの前記読み取りおよび前記書き換えを許可することで、前記アクセスの制限を解除する、第8または第9の観点に記載の電池監視システム。
前記アクセス制限部は、前記記憶部にある前記監視データの読み取りおよび書き換えの少なくとも一方を禁止することで前記アクセスを制限し、
前記アクセス解除部は、前記解除キーが通知されると、前記記憶部にある前記監視データの前記読み取りおよび前記書き換えを許可することで、前記アクセスの制限を解除する、第8または第9の観点に記載の電池監視システム。
【0142】
[第14の観点]
電池監視システムであって、
充放電可能な電池を監視する監視部(20)と、
前記電池の充電を制御する充電器(CH)と、を備え、
前記監視部および前記充電器それぞれには、前記監視部に割り当てられた固有IDが記憶されており、
前記監視部および前記充電器それぞれは、前記固有IDを相互認証するためのデータ認証部(242、AS)を有し、
前記充電器は、前記データ認証部による認証結果が前記充電器および前記監視部それぞれに記憶された前記固有IDの不一致を示す場合に、前記電池の充電を禁止する、電池監視システム。
電池監視システムであって、
充放電可能な電池を監視する監視部(20)と、
前記電池の充電を制御する充電器(CH)と、を備え、
前記監視部および前記充電器それぞれには、前記監視部に割り当てられた固有IDが記憶されており、
前記監視部および前記充電器それぞれは、前記固有IDを相互認証するためのデータ認証部(242、AS)を有し、
前記充電器は、前記データ認証部による認証結果が前記充電器および前記監視部それぞれに記憶された前記固有IDの不一致を示す場合に、前記電池の充電を禁止する、電池監視システム。
【0143】
[第15の観点]
前記アクセス制限部は、前記不正アクセスが検知または予知されると、前記監視データへの外部からのアクセスを制限する、第8ないし第13の観点のいずれか1つに記載の電池監視システム。
前記アクセス制限部は、前記不正アクセスが検知または予知されると、前記監視データへの外部からのアクセスを制限する、第8ないし第13の観点のいずれか1つに記載の電池監視システム。
【符号の説明】
【0144】
1 電池監視システム
20 監視部
24 第1データ保護部(データ保護部)
50 電池ECU(上位機器)
53 ブロック生成部
55 外部通信機器
56 第2データ保護部(データ保護部)
CH 充電器(上位機器)
20 監視部
24 第1データ保護部(データ保護部)
50 電池ECU(上位機器)
53 ブロック生成部
55 外部通信機器
56 第2データ保護部(データ保護部)
CH 充電器(上位機器)
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】