ホーム > 特許ランキング > 住友電気工業株式会社
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-10-21
(45)【発行日】2024-10-29
(54)【発明の名称】車両監視プログラム、車載装置、および車両監視方法
(51)【国際特許分類】
B60R 16/02 20060101AFI20241022BHJP
G06F 11/07 20060101ALI20241022BHJP
【FI】
B60R16/02 660T
B60R16/02 660W
G06F11/07 193
G06F11/07 140R
【請求項の数】
16
(21)【出願番号】P 2022532396
(86)(22)【出願日】2021-05-17
(86)【国際出願番号】 JP2021018609
(87)【国際公開番号】W WO2021261113
(87)【国際公開日】2021-12-30
【審査請求日】2023-11-21
(31)【優先権主張番号】P 2020109238
(32)【優先日】2020-06-25
(33)【優先権主張国・地域又は機関】JP
(73)【特許権者】
【識別番号】000002130
【氏名又は名称】住友電気工業株式会社
(74)【代理人】
【識別番号】110000682
【氏名又は名称】弁理士法人ワンディ-IPパ-トナ-ズ
(72)【発明者】
【氏名】矢野 純史
【審査官】菅 和幸
(56)【参考文献】
【文献】特開2016-084050(JP,A)
【文献】特開2012-245863(JP,A)
【文献】特開2014-115950(JP,A)
【文献】特開2012-035663(JP,A)
【文献】特開2005-332068(JP,A)
【文献】特開2003-294129(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
B60R 16/02
G06F 11/07
(57)【特許請求の範囲】
【請求項1】
車両に搭載される車載装置において用いられる車両監視プログラムであって、前記車載装置が有するコンピュータを、
前記車両において用いられるアプリケーションソフトの異常を検知する監視部と、
前記監視部が前記アプリケーションソフトの前記異常を検知した場合に、前記アプリケーションソフトが与える前記車両の安全運転に対しての悪影響レベルであって、人間の五感に影響を与えるアプリケーションである否かに応じてレベル分けされた前記悪影響レベルに応じて、複数の異常処理から前記異常に対する処置のための異常処理を選択する異常処理部、
として機能させるための、車両監視プログラム。
【請求項2】
前記コンピュータを、前記異常が検知された前記アプリケーションソフトが前記車両のドライバに出力を行うアプリケーションソフトであるか否かを判別する判別部として機能させ、前記異常処理部は、前記判別部による判別結果に応じて、前記悪影響レベルを決定する、
請求項1に記載の車両監視プログラム。
【請求項3】
前記コンピュータを、前記異常が検知された前記アプリケーションソフトがオーディオ用のソフトウェアまたはカーナビゲーション用のソフトウェアであるか否かを判別する判別部として機能させ、前記異常処理部は、前記判別部による判別結果に応じて、前記悪影響レベルを決定する、
請求項1に記載の車両監視プログラム。
【請求項4】
前記コンピュータを、前記異常が検知された前記アプリケーションソフトが前記車載装置が用いる記憶部にデータを書き込み可能なソフトウェアであるか否かを判別する判別部として機能させ、前記異常処理部は、前記判別部による判別結果に応じて、前記悪影響レベルを決定する、
請求項1に記載の車両監視プログラム。
【請求項5】
前記コンピュータを、前記異常が検知された前記アプリケーションソフトが診断用のソフトウェアであるか否かを判別する判別部として機能させ、前記異常処理部は、前記判別部による判別結果に応じて、前記悪影響レベルを決定する、
請求項1に記載の車両監視プログラム。
【請求項6】
前記アプリケーションソフトには、前記悪影響レベルを含む設計情報が関連付けられており、前記異常処理部は、前記アプリケーションソフトに関連付けられた前記設計情報に基づいて前記悪影響レベルを特定する、
請求項1に記載の車両監視プログラム。
【請求項7】
前記異常処理部は、第1動作モードと第2動作モードを含む動作モードを有し、前記悪影響レベルと前記動作モードの組み合わせごとに、前記組み合わせと前記異常処理が関連付けられており、
前記異常処理部は、前記第1動作モードで動作している場合、前記悪影響レベルと前記第1動作モードの組み合わせに関連付けられた前記異常処理を選択し、選択した前記異常処理を実行できない場合、前記第1動作モードから前記第2動作モードへ移行し、前記悪影響レベルと前記第2動作モードの組み合わせに関連付けられた前記異常処理を選択して実行する、
請求項1から請求項6のいずれか1項に記載の車両監視プログラム。
【請求項8】
前記悪影響レベルと前記第1動作モードの組み合わせに関連付けられた前記異常処理は、前記車両の外部に設置された情報処理装置へ前記監視部が検知した前記異常を通知する処理であり、前記悪影響レベルと前記第2動作モードの組み合わせに関連付けられた前記異常処理は、前記車両のドライバに前記監視部が検知した異常の発生を通知する処理である、
請求項7に記載の車両監視プログラム。
【請求項9】
前記悪影響レベルと前記第2動作モードの組み合わせに関連付けられた前記異常処理は、前記車両に対する処理である、請求項7に記載の車両監視プログラム。
【請求項10】
前記悪影響レベルと前記第2動作モードの組み合わせに関連付けられた前記異常処理は、前記車両のドライバへの通知画面を出力する処理である、請求項7または請求項9に記載の車両監視プログラム。
【請求項11】
前記通知画面は、前記車両の移動を促す画面である、請求項10に記載の車両監視プログラム。
【請求項12】
前記通知画面は、前記アプリケーションソフトの異常に対処するサービスを提供する施設への経路案内を含む画面である、請求項10または請求項11に記載の車両監視プログラム。
【請求項13】
前記悪影響レベルと前記第2動作モードの組み合わせに関連付けられた前記異常処理は、さらに、前記通知画面から、前記異常処理の実行結果の通知画面へ遷移させる処理である、請求項10から請求項12のいずれか1項に記載の車両監視プログラム。
【請求項14】
前記異常処理部は、前記選択した前記異常処理を正常に実行できない場合、前記異常に対する処置のために前記異常処理とは異なる異常処理を実行しない、請求項1から請求項6のいずれか1項に記載の車両監視プログラム。
【請求項15】
車両に搭載される車載装置であって、前記車両において用いられるアプリケーションソフトの異常を検知する監視部と、
前記監視部が前記アプリケーションソフトの前記異常を検知した場合に、前記アプリケーションソフトが与える前記車両の安全運転に対しての悪影響レベルであって、人間の五感に影響を与えるアプリケーションである否かに応じてレベル分けされた前記悪影響レベルに応じて、複数の異常処理から前記異常に対する処置のための異常処理を選択する異常処理部と、
を備える車載装置。
【請求項16】
車両に搭載される車載装置における車両監視方法であって、前記車両において用いられるアプリケーションソフトの異常を検知する監視ステップと、
前記アプリケーションソフトの前記異常が検知された場合に、前記アプリケーションソフトが与える前記車両の安全運転に対しての悪影響レベルであって、人間の五感に影響を与えるアプリケーションである否かに応じてレベル分けされた前記悪影響レベルに応じて、複数の異常処理から前記異常に対する処置のための異常処理を選択する選択ステップと、
を含む車両監視方法。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、車両監視プログラム、車載装置、および車両監視方法に関する。
本出願は、2020年6月25日出願の日本出願第2020-109238号に基づく優先権を主張し、前記日本出願に記載された全ての記載内容を援用するものである。
本出願は、2020年6月25日出願の日本出願第2020-109238号に基づく優先権を主張し、前記日本出願に記載された全ての記載内容を援用するものである。
【背景技術】
【0002】
車両において異常が生じた場合の異常処理として、たとえば、特開2018-170754号公報(特許文献1)には、以下のような技術が開示されている。すなわち、異常検知ECUは、監視対象データであるギア制御情報の現在値「リバース」、監視対象データであるギア制御情報の過去値「ドライブ」、および比較対象データである速度制御情報の現在値「前進中」の3つを、ルールテーブルを用いて、異常と判定する。続いて、異常検知ECUは、異常と判定したので、車両保護処理として、監視対象データであるギア制御情報を含むメッセージの送信阻止処理を行う。また、異常検知ECUは、車両保護処理として更に、外部通信装置に、異常を示す情報をサーバへと送信する異常通知送信処理を行わせるように指示する。
【先行技術文献】
【特許文献】
【0003】
【文献】特開2018-170754号公報
【発明の概要】
【0004】
本開示の車両監視プログラムは、車両に搭載される車載装置において用いられる車両監視プログラムであって、前記車載装置が有するコンピュータを、前記車両において用いられるアプリケーションソフトの異常を検知する監視部と、前記監視部が前記アプリケーションソフトの前記異常を検知した場合に、前記アプリケーションソフトが与える前記車両の安全運転に対しての悪影響レベルに応じて、複数の異常処理から前記異常に対する処置のための異常処理を選択する異常処理部、として機能させるためのプログラムである。
【0005】
本開示の車載装置は、車両に搭載される車載装置であって、前記車両において用いられるアプリケーションソフトの異常を検知する監視部と、前記監視部が前記アプリケーションソフトの前記異常を検知した場合に、前記アプリケーションソフトが与える前記車両の安全運転に対しての悪影響レベルに応じて、複数の前記異常処理から前記異常に対する処置のための異常処理を選択する異常処理部と、を備える。
【0006】
本開示の車両監視方法は、車両に搭載される車載装置における車両監視方法であって、前記車両において用いられるアプリケーションソフトの異常を検知する監視ステップと、前記アプリケーションソフトの前記異常が検知された場合に、前記アプリケーションソフトが与える前記車両の安全運転に対しての悪影響レベルに応じて、複数の前記異常処理から前記異常に対する処置のための異常処理を選択する選択ステップと、を含む。
【図面の簡単な説明】
【0007】
【発明を実施するための形態】
【0008】
[本開示が解決しようとする課題]
【0009】
エンターテイメント等の種々のサービスを提供するために、車両に種々のアプリケーションソフトが搭載されるようになる。このような各種アプリケーションソフトが搭載された環境において、車両における運転の安全性をより向上させる技術が望まれる。
【0010】
この発明は、上述の課題を解決するためになされたもので、その目的は、アプリケーションソフトの搭載された車両における運転の安全性をより効果的に向上させることが可能な車両監視プログラム、車載装置、および車両監視方法を提供することである。
【0011】
[本開示の効果]
【0012】
本開示によれば、アプリケーションソフトの搭載された車両における運転の安全性をより効果的に向上させることができる。
【0013】
[本開示の実施形態の説明]
最初に、本開示の実施形態の内容を列記して説明する。
最初に、本開示の実施形態の内容を列記して説明する。
【0014】
(1)本開示の実施の形態に係る車両監視プログラムは、車両に搭載される車載装置において用いられる車両監視プログラムであって、前記車載装置が有するコンピュータを、前記車両において用いられるアプリケーションソフトの異常を検知する監視部と、前記監視部が前記アプリケーションソフトの前記異常を検知した場合に、前記アプリケーションソフトが与える前記車両の安全運転に対しての悪影響レベルに応じて、複数の異常処理から前記異常に対する処置のための異常処理を選択する異常処理部、として機能させるためのプログラムである。
【0015】
このような構成により、車両に搭載されたアプリケーションソフトに異常が生じた場合に、当該アプリケーションソフトが車両の安全運転にどの程度影響を与えるかに応じて異常処理を適切に選択することができる。したがって、アプリケーションソフトの搭載された車両における運転の安全性をより効果的に向上させることができる。
【0016】
(2)前記コンピュータを、前記異常が検知された前記アプリケーションソフトが前記車両のドライバに出力を行うアプリケーションソフトであるか否かを判別する判別部として機能させ、前記異常処理部は、前記判別部による判別結果に基づいて、前記悪影響レベルを決定してもよい。
【0017】
このような構成により、車両の操作系に限らず、何らかの出力をドライバに対して行うアプリケーションソフトに着目した異常処理を行うことができるため、車両における運転の安全性をより向上させることができる。
【0018】
(3)前記コンピュータを、前記異常が検知された前記アプリケーションソフトがオーディオ用のソフトウェアまたはカーナビゲーション用のソフトウェアであるか否かを判別する判別部として機能させ、前記異常処理部は、前記判別部による判別結果に応じて、前記悪影響レベルを決定してもよい。
【0019】
このような構成により、特に音および光等の出力をドライバに対して行うアプリケーションソフトに着目した異常処理を行うことができるため、車両における運転の安全性をより向上させることができる。
【0020】
(4)前記コンピュータを、前記異常が検知された前記アプリケーションソフトが前記車載装置が用いる記憶部にデータを書き込み可能なソフトウェアであるか否かを判別する判別部として機能させ、前記異常処理部は、前記判別部による判別結果に応じて、前記悪影響レベルを決定してもよい。
【0021】
このような構成により、車両におけるアクチュエータ制御、および車載センサの計測結果等の内容を変更可能なアプリケーションソフトに着目した異常処理を行うことができるため、車両における運転の安全性をより向上させることができる。
【0022】
(5)前記コンピュータを、前記異常が検知された前記アプリケーションソフトが診断用のソフトウェアであるか否かを判別する判別部として機能させ、前記異常処理部は、前記判別部による判別結果に応じて、前記悪影響レベルを決定してもよい。
【0023】
このような構成により、車両のドライバ等の固有情報を車両の外部に提供するアプリケーションソフトに着目した異常処理を行うことができるため、車両のセキュリティを向上させることができる。
【0024】
(6)前記アプリケーションソフトには、前記悪影響レベルを含む設計情報が関連付けられており、前記異常処理部は、前記アプリケーションソフトに関連付けられた前記設計情報に基づいて前記悪影響レベルを特定してもよい。
【0025】
このような構成により、アプリケーションソフトの設計情報に含まれた悪影響レベルに応じて適切な異常処理を行うことができるため、車両のセキュリティを向上させることができる。
【0026】
(7)前記異常処理部は、第1動作モードと第2動作モードを含む動作モードを有し、前記悪影響レベルと前記動作モードの組み合わせごとに、前記組み合わせと前記異常処理が関連付けられており、前記異常処理部は、前記第1動作モードで動作している場合、前記悪影響レベルと前記第1動作モードの組み合わせに関連付けられた前記異常処理を選択し、選択した前記異常処理を実行できない場合、前記第1動作モードから前記第2動作モードへ移行し、前記悪影響レベルと前記2動作モードの組み合わせに関連付けられた前記異常処理を選択して実行してもよい。
【0027】
このような構成により、異常情報を車両の外部に通知する等の異常処理を行えないという別の異常に対して、当該別の異常に応じた処理を行うことができ、車両においてより優れた異常対処機能を提供することができる。
【0028】
(8)前記悪影響レベルと前記第1動作モードの組み合わせに関連付けられた前記異常処理は、前記車両の外部に設置された情報処理装置へ前記監視部が検知した前記異常を通知する処理であり、前記悪影響レベルと前記第2動作モードの組み合わせに関連付けられた前記異常処理は、前記車両のドライバに前記監視部が検知した異常の発生を通知する処理であってもよい。
【0029】
このような構成により、異常情報を車両の外部に通知できない場合に、ドライバに異常の発生を通知して異常に対する対処を促すことができる。
【0030】
(9)前記悪影響レベルと前記第2動作モードの組み合わせに関連付けられた前記異常処理は、前記車両に対する処理であってもよい。
【0031】
このような構成により、異常情報を車両の外部に通知する等の異常処理を行えない場合に、場所移動等の車両に対する効果的な内容の処理を行うことができる。
【0032】
(10)前記悪影響レベルと前記第2動作モードの組み合わせに関連付けられた前記異常処理は、前記車両のドライバへの通知画面を出力する処理であってもよい。
【0033】
このように、異常情報を車両の外部に通知する等の異常処理を行えないという別の異常が生じた場合に車両のドライバへの通知を行う構成により、車両のドライバに対する通知機会をある程度制限し、ドライバの運転の快適性を向上させることができる。
【0034】
(11)前記通知画面は、前記車両の移動を促す画面であってもよい。
【0035】
このような構成により、異常情報を車両の外部に通知する等の異常処理を行えないという別の異常が生じた場合に、たとえば、車両を安全な場所に移動する旨をドライバに通知することができるため、ドライバの運転の快適性を向上させながら、車両における運転の安全性をより向上させることができる。
【0036】
(12)前記通知画面は、前記アプリケーションソフトの異常に対処するサービスを提供する施設への経路案内を含む画面であってもよい。
【0037】
このような構成により、異常情報を車両の外部に通知する等の異常処理を行えないという別の異常が生じた場合に、たとえば、アプリケーションソフトの異常に対処可能な施設への経路をドライバに通知することができるため、ドライバの運転の快適性を向上させながら、車両における運転の安全性をより向上させることができる。
【0038】
(13)前記悪影響レベルと前記第2動作モードの組み合わせに関連付けられた前記異常処理は、さらに、前記通知画面から、前記異常処理の実行結果の通知画面へ遷移させる処理であってもよい。
【0039】
このような構成により、たとえば、ドライバが車両を安全な場所に移動した上で異常処理の実行結果を確認することができるため、ドライバの利便性を向上させることができる。
【0040】
(14)前記異常処理部は、前記選択した前記異常処理を正常に実行できない場合、前記異常に対する処置のために前記異常処理とは異なる異常処理を実行しなくてもよい。
【0041】
このような構成により、車載装置が有するコンピュータにかかる異常処理の負荷を抑制することができる。
【0042】
(15)本開示の実施の形態に係る車載装置は、車両に搭載される車載装置であって、前記車両において用いられるアプリケーションソフトの異常を検知する監視部と、前記監視部が前記アプリケーションソフトの前記異常を検知した場合に、前記アプリケーションソフトが与える前記車両の安全運転に対しての悪影響レベルに応じて、複数の前記異常処理から前記異常に対する処置のための異常処理を選択する異常処理部と、を備える。
【0043】
このような構成により、車両に搭載されたアプリケーションソフトに異常が生じた場合に、当該アプリケーションソフトが車両の安全運転にどの程度影響を与えるかに応じて異常処理の内容を適切に変更することができる。したがって、アプリケーションソフトの搭載された車両における運転の安全性をより効果的に向上させることができる。
【0044】
(16)本開示の実施の形態に係る車両監視方法は、車両に搭載される車載装置における車両監視方法であって、前記車両において用いられるアプリケーションソフトの異常を検知する監視ステップと、前記アプリケーションソフトの前記異常が検知された場合に、前記アプリケーションソフトが与える前記車両の安全運転に対しての悪影響レベルに応じて、複数の前記異常処理から前記異常に対する処置のための異常処理を選択する選択ステップと、を含む。
【0045】
このような構成により、車両に搭載されたアプリケーションソフトに異常が生じた場合に、当該アプリケーションソフトが車両の安全運転にどの程度影響を与えるかに応じて異常処理の内容を適切に変更することができる。したがって、アプリケーションソフトの搭載された車両における運転の安全性をより効果的に向上させることができる。
【0046】
本開示の一態様は、車載装置の一部または全部を実現する半導体集積回路として実現され得たり、車載装置を含むシステムとして実現され得る。
【0047】
以下、本開示の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。また、以下に記載する実施の形態の少なくとも一部を任意に組み合わせてもよい。
【0048】
【0049】
図1を参照して、車両管理システム401は、車載システム201と、サーバ301,302と、表示装置303とを備える。車載システム201は、車両161に搭載され、1または複数の車載装置を備える。図1では、一例として、車載システム201が2つの車載装置101,102を備える場合を示している。車載装置101は、管理部51と、更新部52とを備える。
【0050】
車載装置は、たとえば、TCU(Telematics Control Unit)、自動運転ECU(Electronic Control Unit)、エンジンECU、センサ、ナビゲーション装置、ヒューマンマシンインタフェース、およびカメラ等である。図1に示す例では、車載装置101は、車両161の外部における装置たとえばサーバ301,302と図示しない無線基地局等を介して通信を行う。
【0051】
車載システム201における各車載装置は、車載ネットワーク151を構成する。車載ネットワーク151における各車載装置の接続関係は、たとえば固定されている。
【0052】
サーバ301は、たとえばOTA(Over the Air)サーバであり、車載ネットワーク151において用いられる各種ソフトウェアの更新等を行う。
【0053】
サーバ302は、たとえばSOC(Security Operation Center)サーバであり、車載ネットワーク151を監視し、たとえば、サイバー攻撃の検出および分析を行う。サーバ302は、たとえばクラウドサーバである。
【0054】
車載装置101における更新部52は、起動待ちの状態において、車載ネットワーク151におけるアプリケーションソフトAPを更新する必要性が生じた場合、サーバ301からアプリケーションソフトAPをダウンロードする。次に、更新部52は、対象の車載装置ここでは車載装置102へアプリケーションソフトAPを転送する。
【0055】
車載装置102は、車載装置101から転送されたアプリケーションソフトAPをインストールすることにより、たとえばセキュリティ上安全なバージョンにソフトウェアをバージョンアップする。そして、車載装置102は、更新完了を示す完了通知を車載装置101へ送信する。
【0056】
車載装置101における更新部52は、車載装置102から完了通知を受信して、起動待ちの状態へ遷移する。
【0057】
車載装置101における管理部51は、車載装置101における各種アプリケーションソフトの異常検知等を行う。たとえば、管理部51は、更新部52の状態遷移を制御するアプリケーションソフトを監視し、監視結果を示すログ情報を作成してサーバ302へアップロードする。
【0058】
サーバ302は、管理部51から受信したログ情報を分析し、たとえば、分析結果を表示装置303の画面に表示する処理を行うことにより、監視状況を可視化する。具体的には、たとえば、サーバ302は、更新部52の状態遷移が正常であると判断した場合、監視状況を示すグラフおよび正常である旨を表示装置303の画面に表示する。
【0059】
図2は、本開示の実施の形態に係る車載システムにおいて異常が発生した状況の一例を示す図である。
【0060】
図2を参照して、車載装置101における更新部52がサーバ301からアプリケーションソフトAPをダウンロードした状態において、何らかの異常により、車載装置102へのアプリケーションソフトAPの転送に失敗した場合、車載装置102におけるソフトウェアとしてセキュリティ上脆弱性のあるバージョンが維持されてしまう。
【0061】
車載装置101における管理部51は、このような更新部52の状態遷移の異常を検知し、検知結果を示すログ情報を作成してサーバ302へアップロードする。
【0062】
サーバ302は、管理部51から受信したログ情報を分析し、更新部52の状態遷移が異常であると判断し、監視状況を示すグラフおよび異常である旨を表示装置303の画面に表示する。
【0063】
図3は、本開示の実施の形態に係る車載装置の構成を詳細に示す図である。
【0064】
図3を参照して、車載装置101は、管理部51と、更新部52と、車外通信部53と、車内通信部54と、記憶部55とを備える。管理部51は、監視部1と、判別部2と、異常処理部3とを含む。管理部51および更新部52は、たとえば、CPU(Central Processing Unit)またはDSP(Digital Signal Processing)等のプロセッサによって実現される。車外通信部53および車内通信部54は、たとえば通信用IC(Integrated Circuit)等の通信回路によって実現される。記憶部55は、たとえば不揮発性メモリである。
【0065】
車外通信部53は、車両161の外部におけるサーバ302等と通信を行う。車内通信部54は、車載ネットワーク151における他の車載装置と通信を行う。
【0066】
更新部52は、車外通信部53および車内通信部54を介して上述のようなアプリケーションソフトの更新を行う。
【0067】
監視部1は、車両161において用いられるアプリケーションソフトの異常を検知する。より詳細には、監視部1は、たとえば車載装置101における各種アプリケーションソフトの異常を検知し、検知結果を異常処理部3に通知する。
【0068】
判別部2は、監視部1が異常を検知したアプリケーショソフトの種別を判別する。
【0069】
異常処理部3は、判別部2による判別結果に基づいて、アプリケーションソフトが与える車両の安全運転に対しての悪影響レベルを決定する。異常処理部3は、判別部2が決定した悪影響レベルに応じて、複数の異常処理から異常に対する処置のための異常処理を選択する
【0070】
また、異常処理部3は、後述するサーバ302への通知を車外通信部53を介して行い、また、後述するドライバへの通知を車内通信部54を介して行う。
【0071】
図4は、本開示の実施の形態に係る管理部51による異常検知に用いられる設計情報の一例を示す図である。
【0072】
図4を参照して、車両管理システム401において管理対象となるアプリケーションソフトの作成者は、当該アプリケーションソフトのアクセス許可、状態遷移、および使用リソース等を定義し、設計情報に登録する。すなわち、設計情報は、車両161に搭載されるアプリケーションソフトの振る舞いに関する定義内容を示す。
【0073】
図4に示す例では、アプリケーションソフトはサービス1,3へのアクセスが許可されている。また、アプリケーションの状態は、A状態からB状態、B状態からC状態、C状態からA状態の順で遷移する。アプリケーションソフトの使用リソースについては、CPUの占有率が10%以下かつメモリの占有率が5%以下である。
【0074】
図5は、本開示の実施の形態に係る管理部51が設計情報を取得する方法を示す図である。
【0075】
図5を参照して、車両161に管理対象のアプリケーションソフトがインストールされるまでに、設計情報が車載システム201に展開される。
【0076】
展開先は、管理部51であってもよいし、アプリケーションソフトを実行するプラットフォームまたはミドルウェアであってもよい。
【0077】
展開先が管理部51の場合、管理部51は、記憶部55に設計情報を直接保存する。一方、展開先がプラットフォーム等の場合、管理部51は、プラットフォーム等から設計情報を取得して記憶部55に保存する。
【0078】
管理部51における監視部1は、設計情報に基づいて、アプリケーションソフトの異常を判断する。より詳細には、監視部1は、記憶部55における設計情報を参照することにより、アプリケーションソフトの異常を判断することができる。具体的には、監視部1は、アプリケーションソフトの、アクセス先、状態遷移、およびリソースの使用状況等に関する異常を判断することができる。なお、監視部1は、このような例に限らず、たとえばアプリケーションソフトのバージョンの異常を判断する構成であってもよい。
【0079】
図6は、本開示の実施の形態に係る管理部51による異常処理の一例を示す図である。
【0080】
図6を参照して、管理部51における異常処理部3は、異常が検知されたアプリケーションソフトが与える車両161の安全運転に対しての悪影響レベルに応じて、複数の異常処理から異常に対する処置のための異常処理を選択する。
【0081】
一例として、異常処理部3は、異常が検知されたアプリケーションソフトの悪影響レベルに対応する処置を実行する。上記例では、異常処理部3が、判別部2の判別結果に基づてい悪影響レベルを決定していた。しかし、アプリケーションソフトの悪影響レベルが上述の設計情報において予め登録されている場合は、異常処理部3が、アプリケーションソフトに関連付けられた設計情報に基づいて悪影響レベルを特定する。
【0082】
また、異常処理部3は、特定の異常処理を行うことができない場合、別の異常処理を行う。たとえば、別の異常処理は、車両161に対する処理または車両161以外に対する処理である。
【0083】
より詳細には、異常処理部3は、第1動作モードである通常モードと第2動作モードであるエマージェンシーモードを含む動作モードを有する。異常処理は、悪影響レベルと動作モードの組み合わせごとに上記組み合わせと関連付けられている。異常処理部3は、通常モードで動作している場合、悪影響レベルと通常モードの組み合わせに関連付けられた異常処理を選択して実行する。異常処理部3は、上記異常処理を行ってもアプリケーションソフトの異常状態が改善されない場合、通常モードからエマージェンシーモードへ移行し、悪影響レベルとエマージェンシーモードの組み合わせに関連付けられた異常処理を選択して実行する。
【0084】
記憶部55は、アプリケーションソフトの悪影響レベルと、異常発生時の処置と、通常モードからエマージェンシーモードへの移行条件と、エマージェンシーモードにおける処置との対応関係を示す異常処理テーブルtb2を記憶している。
【0085】
異常処理テーブルtb2では、悪影響レベル1のアプリケーションソフトに異常が発生した場合、異常処理部3がサーバ302へ異常を通知すると定義されている。そして、何らかの原因により異常処理部3が当該異常の通知を行えない場合、異常処理部3は通常モードからエマージェンシーモードへ移行し、車両161のドライバに異常発生を通知する。
【0086】
また、悪影響レベル2のアプリケーションソフトに異常が発生した場合、異常処理部3はサーバ302へ異常を通知するとともに、当該アプリケーションソフトの削除、または復旧すなわち更新を行う。そして、何らかの原因により、異常処理部3が当該異常の通知を行えないか、または当該アプリケーションソフトの削除もしくは復旧が行えない場合、異常処理部3は通常モードからエマージェンシーモードへ移行する。次に、異常処理部3は、車両161のドライバに異常発生を通知するとともに車両161を安全な場所へ移動するよう指示し、かつウィルスチェック等を駆使して復旧の障害となる原因の特定および除去を行う。
【0087】
アプリケーションソフトの種別の判別例として、判別部2は、異常が検知されたアプリケーションソフトが車両161のドライバに対して出力を行うアプリケーションソフトであるか否かを判別する。そして、異常処理部3は、判別部2による判別結果に基づいて悪影響レベルを決定する。
【0088】
具体的には、たとえば、判別部2は、異常が検知されたアプリケーションソフトがオーディオ用のソフトウェアまたはカーナビゲーション用のアプリケーションソフトであるか否かを判別する。そして、異常処理部3は、判別部2による判別結果に基づいて悪影響レベルを決定する。
【0089】
このように、アプリケーションソフトの悪影響レベル分けの基準は、一例として、アプリケーションソフトに異常が発生した場合に、ドライバの安全に直接影響するかどうかである。すなわち、車載システム201では、一例として、アプリケーションソフトが人間の五感に影響を与えるアプリケーションである否かに応じて悪影響レベル分けが行われ、悪影響レベルに応じた異常処理が設定される。
【0090】
より詳細には、異常発生時にドライバの安全に影響を与えるアプリケーションソフトとして、人間の五感に影響するものが悪影響レベル2に設定される。
【0091】
たとえば、音楽アプリケーションソフトの異常により音量が急激に上がり、ドライバが驚いた結果、ハンドル操作を誤って事故を起こす可能性が考えられる。
【0092】
また、カーナビゲーション等の画面表示アプリケーションソフトの異常により、画面にドライバを惑わすような表示がなされたり、過度な光が発せられたりするなどして、ドライバが注意力をそがれた結果、事故を起こす可能性が考えられる。
【0093】
その他、座席の制御を行うアプリケーションソフトによって座席の振動または移動が行われ、ドライバが注意力をそがれた結果、事故を起こす可能性が考えられる。
【0094】
他の例として、判別部2は、異常が検知されたアプリケーションソフトが車両161における車載装置が用いる記憶部にデータを書き込み可能なソフトウェアであるか否かを判別する。、そして、異常処理部3は、判別部2による判別結果に基づいて悪影響レベルを決定する。
【0095】
具体的には、たとえば、車両161におけるアクチュエータ制御、車載センサの計測結果、音楽アプリケーションソフトにおける音量、およびカーナビゲーション等の画面表示アプリケーションソフトの表示内容を変更可能なアプリケーションソフトが悪影響レベル2に設定される。
【0096】
他の例として、判別部2は、異常が検知されたアプリケーションソフトが診断用のソフトウェアであるか否かを判別する。そして、異常処理部3は、判別部2による判別結果に基づいて悪影響レベルを決定する。
【0097】
具体的には、たとえば、人体の五感に影響しないアプリケーションソフトとして、ドライバの運転状況をモニタリングしてクラウドサーバ等に結果を通知する運転診断アプリケーションソフト、および車両161における機器の状態診断アプリケーションソフト等があり、このようなアプリケーションソフトが悪影響レベル1に設定される。
【0098】
なお、管理部51は、アプリケーションソフトを3つ以上の悪影響レベルに分ける構成であってもよい。
【0099】
[動作の流れ]
本開示の実施の形態に係る車両管理システムにおける各装置は、メモリを含むコンピュータを備え、当該コンピュータにおけるCPU等の演算処理部は、以下のフローチャートおよびシーケンスの各ステップの一部または全部を含むプログラムを当該メモリから読み出して実行する。これら複数の装置のプログラムは、それぞれ、外部からインストールすることができる。これら複数の装置のプログラムは、それぞれ、記録媒体に格納された状態で流通する。
[アプリケーションソフトの導入]
本開示の実施の形態に係る車両管理システムにおける各装置は、メモリを含むコンピュータを備え、当該コンピュータにおけるCPU等の演算処理部は、以下のフローチャートおよびシーケンスの各ステップの一部または全部を含むプログラムを当該メモリから読み出して実行する。これら複数の装置のプログラムは、それぞれ、外部からインストールすることができる。これら複数の装置のプログラムは、それぞれ、記録媒体に格納された状態で流通する。
[アプリケーションソフトの導入]
【0100】
図7は、本開示の実施の形態に係る車両管理システムによるアプリケーションソフトのインストールのシーケンスの一例を示す図である。
【0101】
図7を参照して、まず、車載装置101における管理部51は、アプリケーションIDをサーバ301に通知する(ステップS81)。
【0102】
次に、サーバ301は、管理部51から通知されたアプリケーションIDに対応するアプリケーションソフトをデータベース61から取得し(ステップS82)、管理部51へ送信する(ステップS83)。
【0103】
図8は、本開示の実施の形態に係る車両管理システムにおけるアプリケーションソフトのインストールに用いる各種情報の一例を示す図である。
【0104】
図8を参照して、サーバ301は、たとえば、サーバ301の内部または外部に設けられた図示しない記憶装置においてデータベース61,62を保持する。
【0105】
データベース61には、各種アプリケーションソフトの本体がアプリケーションID(APP ID)に対応付けて登録されている。
【0106】
データベース62には、アプリケーションIDと、アプリケーションソフトのバージョンと、搭載VID(Version Identifier)等のメタ情報との対応関係を示すテーブルが登録されている。
【0107】
車載装置101は、記憶部55において、アプリケーションIDと、アプリケーションソフトのバージョンと、ハッシュ値と、アプリケーションソフトの搭載場所との対応関係を示すテーブルtb1を保持している。
【0108】
再び図7を参照して、次に、管理部51は、サーバ301から受信したアプリケーションソフトのハッシュ値を算出するとともに、テーブルtb1を参照することにより、当該アプリケーションソフトに対応するハッシュ値を取得し、2つのハッシュ値を比較する(ステップS84)。
【0109】
次に、管理部51は、比較結果をサーバ301に通知する。すなわち、ハッシュ値が一致しない場合、サーバから誤ったアプリケーションソフトをダウンロードした可能性があり、また、管理部51が誤ったサーバからアプリケーションソフトをダウンロードした可能性がある(ステップS85)。
【0110】
図9は、本開示の実施の形態に係る車載システム401がアプリケーションソフトをインストールする際の動作手順を定めたフローチャートである。
【0111】
図9を参照して、まず、更新部52は、アプリケーションソフトをサーバ301からダウンロードする(ステップS1)。
【0112】
次に、管理部51は、アプリケーションソフトの署名検証を行い(ステップS2)、アプリケーションソフトの署名に問題がないか判別する(ステップS3)。管理部51は、署名に問題がある場合(ステップS3でNO)、アプリケーションソフトのインストールを行わず、処理を終了する。
【0113】
一方、管理部51は、アプリケーションソフトの署名に問題が無い場合(ステップS3でYES)、将来の異常時にアプリケーションソフトの書き戻しを行うために、アプリケーションソフトのコピー等、アプリケーションソフトを再現できる要素を取得する(ステップS4)。
【0114】
次に、管理部51は、アプリケーションソフトのハッシュ値を算出し、暗号化したアプリケーションソフトの本体および算出したハッシュ値を記憶部55に保存する。なお、管理部51は、ハッシュ値を記憶部55に保存するとともに、上記本体をクラウドサーバに保存する構成であってもよい(ステップS5)。
【0115】
次に、更新部52により、対象の車載装置においてアプリケーションソフトがインストールされる(ステップS6)。
【0116】
[アプリケーションソフトの運用時における異常処理]
車載システム201において、まず、管理部51は、車両161において用いられるアプリケーションソフトの異常を検知する。
車載システム201において、まず、管理部51は、車両161において用いられるアプリケーションソフトの異常を検知する。
【0117】
次に、管理部51は、アプリケーションソフトの異常を検知した場合に、以下の図10および図11に示すように、当該アプリケーションソフトが与える車両161の安全運転に対しての悪影響レベルに応じて、複数の異常処理から異常に対する処置のための異常処理を選択する。
【0118】
【0119】
図10を参照して、まず、監視部1は、車両161における悪影響レベル1のアプリケーションソフトの異常を検知する(ステップS11)。判別部2は、異常が検知されたアプリケーションソフトの種別を判別する(ステップS12)。異常処理部3は、判別部2が判別した判別結果に基づいて、アプリケーションソフトの悪影響レベルを1に決定する(ステップS13)。
【0120】
次に、異常処理部3は、サーバ302へ異常を通知する(ステップS14)。管理部51は、異常の通知が完了したか否かを判別し(ステップS15)、異常の通知が完了した場合(ステップS15でYES)、処理を終了する。
【0121】
一方、異常処理部3は、異常の通知が行えなかった場合(ステップS15でNO)、車両161のドライバへの異常通知処理1を行う(ステップS16)。
【0122】
【0123】
図11を参照して、まず、監視部1は、車両161における悪影響レベル2のアプリケーションソフトの異常を検知する(ステップS21)。判別部2は、異常が検知されたアプリケーションソフトの種別を判別する(ステップS22)。異常処理部3は、判別部2が判別した判別結果に基づいて、アプリケーションソフトの悪影響レベルを2に決定する(ステップS23)。
【0124】
次に、異常処理部3は、サーバ302へ異常を通知する(ステップS24)。
【0125】
次に、異常処理部3は、異常の通知が完了したか否か判別し(ステップS25)、異常の通知が行えなかった場合(ステップS25でNO)、車両161のドライバへの異常通知処理1を行う(ステップS26)。
【0126】
一方、異常処理部3は、異常の通知が完了した場合(ステップS25でYES)、アプリケーションソフトの削除または更新処理を行う(ステップS27)。
【0127】
次に、異常処理部3は、アプリケーションソフトの削除または更新処理が完了したか否かを判別する(ステップS28)。アプリケーションソフトの削除または更新処理が行えなかった場合(ステップS28でNO)、車両161のドライバへの異常通知処理2を行う(ステップS29)。
【0128】
一方、異常処理部3は、アプリケーションソフトの削除または更新処理が完了した場合(ステップS28でYES)、サーバ302へ対処完了を通知する(ステップS30)。
【0129】
次に、異常処理部3は、対処完了の通知の完了したか否かを判別する(ステップS31)。異常処理部3は、対処完了の通知が行えなかった場合(ステップS31でNO)、車両161のドライバへの異常通知処理1を行う(ステップS32)。
【0130】
一方、異常処理部3は、対処完了の通知が完了した場合(ステップS31でYES)、処理を終了する。
【0131】
図12は、本開示の実施の形態に係る管理部51による異常通知処理1を行う際の動作手順を定めたフローチャートである。
【0132】
図12を参照して、異常処理部3は、車両161の外部への通信手段が断たれていることをドライバへ通知する(ステップS61)。
【0133】
図13は、本開示の実施の形態に係る管理部51による異常通知処理1における表示画面の一例を示す図である。
【0134】
異常処理が行えない場合に異常処理部3が行う別の異常処理は、たとえば車両161のドライバへの通知画面を出力する処理である。具体的には、図13を参照して、異常処理部3は、車両161のドライバへの通知画面を出力する異常通知処理1を行う。
【0135】
たとえば、通知画面は、アプリケーションソフトの異常に対処するサービスを提供する施設への経路案内を含む画面である。具体的には、たとえば、異常処理部3は、通信異常である旨、自動車ディーラーでの通信機器の確認等の対処を促す旨、および自動車ディーラーまでのナビゲーションを含む通知画面SC1を車両161の表示装置に表示する処理を行う。
【0136】
図14は、本開示の実施の形態に係る管理部51が異常通知処理2を行う際の動作手順を定めたフローチャートである。図15は、本開示の実施の形態に係る管理部51による異常通知処理2における表示画面の一例を示す図である。
【0137】
図14は、異常処理部3が車両161の移動をドライバに促す通知画面を出力する処理を実行すること、および当該通知画面を異常処理の実行結果の通知画面へ遷移させる処理を実行することを示す。
【0138】
【0139】
より詳細には、異常処理部3は、車両161のドライバへの通知画面であって車両161の移動を促す通知画面を出力する。具体的には、たとえば、異常処理部3は、アプリケーションソフトの異常が発生した旨、安全な場所への移動をドライバに促す旨、および安全な場所までのナビゲーションを含む通知画面SC11を車両161の表示装置に表示する処理を行う(ステップS71)。
【0140】
次に、異常処理部3は、安全な場所への車両161の移動が完了したか否かを判別する(ステップS72)。異常処理部3は、安全な場所への車両161の移動が完了した場合(ステップS72でYES)、車外通信部53を介してサーバ302と通信し、ウィルス対策ソフト等をダウンロードして実行することにより、異常原因の除去を行う(ステップS73)。一方、異常処理部3は、安全な場所への車両161の移動が完了していない場合(ステップS72でNo)、通知画面SC11の表示を継続する。
【0141】
ここで、異常処理部3は、車両161のドライバへの通知画面を異常処理の実行結果の通知画面へ遷移させる。具体的には、たとえば、異常処理部3は、アプリケーションソフトの異常に対して処置中である旨を含む通知画面SC12を車両161の表示装置に表示する処理を行う。
【0142】
次に、異常処理部3は、異常原因の除去である処置が完了したか否かを判別する(ステップS74)。異常処理部3は、異常原因の除去である処置が完了した場合(ステップS74でYES)、アプリケーションソフトの異常に対する処置が完了した旨を含む通知画面SC13を車両161の表示装置に表示する処理を行う(ステップS75)。
【0143】
一方、異常処理部3は、異常原因の除去の処置が行えなかった場合(ステップS74でNO)、車両161のドライバへ処置失敗を通知する(ステップS76)。
【0144】
より詳細には、異常処理部3は、アプリケーションソフトの異常から自動復旧できない旨、および最寄りの自動車ディーラーへの連絡を促す旨を含む通知画面SC14を車両161の表示装置に表示する処理を行う。
【0145】
図16は、本開示の実施の形態に係る管理部51がアプリケーションソフトの削除または更新処理を行う際の動作手順を定めたフローチャートである。図16は、更新アプリケーションソフトが車両161において保存されている場合における、図11に示すステップS25の処理の詳細を示している。
【0146】
図16を参照して、まず、異常処理部3は、異常が検知された対象アプリケーションソフトを削除する(ステップS41)。
【0147】
次に、異常処理部3は、上述のように記憶部55において保存しておいた(図9のステップS5)対象アプリケーションソフトのコピーおよびハッシュ値を取得する(ステップS42)。
【0148】
次に、異常処理部3は、取得した対象アプリケーションソフトのハッシュ値を算出し、記憶部55から取得したハッシュ値と照合する(ステップS43)。
【0149】
異常処理部3は、取得したハッシュ値と算出したハッシュ値とが一致するか否か判別する(ステップS44)。異常処理部3は、取得したハッシュ値と算出したハッシュ値とが一致する場合(ステップS44でYES)、取得した対象アプリケーションソフトをインストールする、すなわち対象アプリケーションソフトを更新する(ステップS45)。
【0150】
一方、異常処理部3は、取得したハッシュ値と算出したハッシュ値とが一致しない場合(ステップS44でNO)、記憶部55に保存しておいた対象アプリケーションソフトがたとえば改ざんされたと判断し、対象アプリケーションソフトを更新せずに処理を終了する。
【0151】
図17は、本開示の実施の形態に係る管理部51がアプリケーションソフトの削除または更新処理を行う際の動作手順を定めたフローチャートである。図17は、更新アプリケーションソフトがサーバ301において保存されている場合における、図11に示すステップS25の処理の詳細を示している。
【0152】
図17を参照して、まず、異常処理部3は、異常が検知された対象アプリケーションソフトを削除する(ステップS51)。
【0153】
次に、異常処理部3は、記憶部55において保存しておいた(図9のステップS5)対象アプリケーションソフトのハッシュ値を取得するとともに、図7に示すように更新アプリケーションソフトのIDを用いてサーバ301に問い合わせを行い、対象アプリケーションソフトを取得する(ステップS52)。
【0154】
次に、異常処理部3は、取得した対象アプリケーションソフトのハッシュ値を算出し、記憶部55から取得したハッシュ値と照合する(ステップS53)。
【0155】
異常処理部3は、取得したハッシュ値と算出したハッシュ値とが一致するか否かを判別する(ステップS54)。異常処理部3は、取得したハッシュ値と算出したハッシュ値とが一致する場合(ステップS54でYES)、取得した対象アプリケーションソフトをインストールする、すなわち対象アプリケーションソフトを更新する(ステップS55)。
【0156】
一方、異常処理部3は、取得したハッシュ値と算出したハッシュ値とが一致しない場合(ステップS54でNO)、記憶部55に保存しておいた対象アプリケーションソフトがたとえば改ざんされたと判断し、対象アプリケーションソフトを更新せずに処理を終了する。
【0157】
以上のように、本開示の実施の形態では、管理部51は、たとえばアプリケーションソフトの動的な振る舞いから、不具合または改ざん等によって想定動作から逸脱したことまたは逸脱しようとしていることを検知して、車両161の不安全状態への移行を防ぐことができる。また、管理部51によって異常からの自動復旧を行うことができる。
【0158】
なお、本開示の実施の形態に係る車載システム201では、車両161の外部における装置と通信可能な車載装置101が管理部51を備える構成であるとしたが、これに限定するものではない。車載ネットワークにおける他の車載装置が、管理部51を備える構成であってもよい。
【0159】
また、本開示の実施の形態に係る車載装置101では、異常処理部3は、異常処理を行うことができない場合、別の異常処理を行う構成であるとしたが、これに限定するものではなく、当該別の異常処理を行わない構成であってもよい。
【0160】
ところで、車両がエンターテイメント等の種々のサービスをドライバに提供するために、車両に種々のアプリケーションソフトが搭載されるようになる。このような各種アプリケーションソフトが搭載された環境において、車両における運転の安全性をより向上させる技術が望まれる。
【0161】
具体的には、たとえば、車両がIT化することで、OTAにより車外からサービスおよびアプリケーションソフトが頻繁に追加され、車両の機能向上、および性能改善等が実施されることが想定され、これまでの車両にはなかった状況が発生する。車両のアプリケーションソフトの不具合は車両の不安全につながる可能性があり、民生アプリケーションソフトよりも安全が意識される必要がある。
【0162】
これに対して、本開示の実施の形態に係る車両監視プログラムおよび車載装置101では、監視部1は、車両161において用いられるアプリケーションソフトの異常を検知する。異常処理部3は、監視部1がアプリケーションソフトの異常を検知した場合に、当該アプリケーションソフトが与える車両161の安全運転への悪影響レベルに応じて、複数の異常処理から異常に対する処置のための異常処理を選択する。
【0163】
また、本開示の実施の形態に係る車両監視方法では、まず、監視部1は、車両161において用いられるアプリケーションソフトの異常を検知する。次に、異常処理部3は、アプリケーションソフトの異常を検知した場合に異常処理を行い、当該アプリケーションソフトが与える車両161の安全運転に対しての悪影響レベルに応じて、複数の異常処理から異常に対する処置のための異常処理を選択する。
【0164】
このような構成により、車両に搭載されたアプリケーションソフトに異常が生じた場合に、当該アプリケーションソフトが車両の安全運転にどの程度影響を与えるかに応じて異常処理が適切に選択される。
【0165】
したがって、本開示の実施の形態に係る車両監視プログラム、車載装置、および車両監視方法では、アプリケーションソフトの搭載された車両における運転の安全性をより効果的に向上させることができる。
【0166】
上記実施の形態は、すべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記説明ではなく特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。
【0167】
以上の説明は、以下に付記する特徴を含む。
[付記1]
車両に搭載される車載装置であって、
前記車両において用いられるアプリケーションソフトの異常を検知する監視部と、
前記監視部が前記アプリケーションソフトの前記異常を検知した場合に、前記アプリケーションソフトが与える前記車両の安全運転への悪影響レベルに応じて、複数の前記異常処理から前記異常に対する処置のための異常処理を選択する異常処理部とを備え、
前記監視部は、前記車両に搭載されるアプリケーションソフトの振る舞いに関する定義内容を示す設計情報を取得し、前記設計情報に基づいて、前記アプリケーションソフトの異常を検知する、車載装置。
[付記1]
車両に搭載される車載装置であって、
前記車両において用いられるアプリケーションソフトの異常を検知する監視部と、
前記監視部が前記アプリケーションソフトの前記異常を検知した場合に、前記アプリケーションソフトが与える前記車両の安全運転への悪影響レベルに応じて、複数の前記異常処理から前記異常に対する処置のための異常処理を選択する異常処理部とを備え、
前記監視部は、前記車両に搭載されるアプリケーションソフトの振る舞いに関する定義内容を示す設計情報を取得し、前記設計情報に基づいて、前記アプリケーションソフトの異常を検知する、車載装置。
【符号の説明】
【0168】
1 監視部、2 判別部、3 異常処理部、51 管理部、52 更新部、53 車外通信部、54 車内通信部、55 記憶部、101,102 車載装置、161 車両、201 車載システム、301,302 サーバ、303 表示装置、401 車両管理システム
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】