特許 7605251 モビリティ制御システム、方法、および、プログラム

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】

(24)【登録日】2024-12-16

(45)【発行日】2024-12-24

(54)【発明の名称】モビリティ制御システム、方法、および、プログラム

(51)【国際特許分類】

   G06F 21/57 20130101AFI20241217BHJP

【ＦＩ】

G06F21/57 320

G06F21/57 370

【請求項の数】 10

(21)【出願番号】P 2023105592

(22)【出願日】2023-06-28

(62)【分割の表示】P 2021537593の分割

【原出願日】2020-05-29

(65)【公開番号】P2023115229

(43)【公開日】2023-08-18

【審査請求日】2023-06-28

(31)【優先権主張番号】P 2019144749

(32)【優先日】2019-08-06

(33)【優先権主張国・地域又は機関】JP

(73)【特許権者】

【識別番号】000004237

【氏名又は名称】日本電気株式会社

(74)【代理人】

【識別番号】100103090

【弁理士】

【氏名又は名称】岩壁 冬樹

(74)【代理人】

【識別番号】100124501

【弁理士】

【氏名又は名称】塩川 誠人

(72)【発明者】

【氏名】山下 哲孝

【審査官】西間木 祐紀

(56)【参考文献】

【文献】特開２０１８－０３７０２２（ＪＰ，Ａ）

【文献】特開２０１７－１６７６４６（ＪＰ，Ａ）

【文献】特開２０１９－０７４８００（ＪＰ，Ａ）

【文献】特開２０１６－２１８９３２（ＪＰ，Ａ）

(58)【調査した分野】(Int.Cl.，ＤＢ名)

Ｇ０６Ｆ ２１／５７

(57)【特許請求の範囲】

【請求項1】

モビリティを制御するソフトウェアのアップデート状況を検知するソフトウェア状態検知部と、
前記ソフトウェアのうち前記モビリティの自動運転を制御するソフトウェアがアップデート中である状況を前記ソフトウェア状態検知部が検知した場合、前記モビリティの自動運転を行うための機能を制限する制御を行い、手動運転を行うための制御を行う制御部とを備えた
ことを特徴とするモビリティ制御システム。

【請求項2】

前記制御部は、前記ソフトウェアのうち前記モビリティの自動運転を制御するソフトウェアがアップデート待機中である状況を前記ソフトウェア状態検知部が検知した場合、アップデートにより前記モビリティの運転モードが自動運転から手動運転に変化する旨を利用者に通知する
請求項１記載のモビリティ制御システム。

【請求項3】

前記制御部は、前記ソフトウェアのうち前記モビリティの走行を制御するソフトウェアがアップデートされる状況を前記ソフトウェア状態検知部が検知した場合、前記モビリティが停止するまで前記モビリティの走行を制御するソフトウェアのアップデートを行えないように制限する制御を行う
請求項１または請求項２記載のモビリティ制御システム。

【請求項4】

前記制御部は、前記ソフトウェアのうち前記モビリティの走行を制御するソフトウェアがアップデート中である状況を前記ソフトウェア状態検知部が検知した場合、前記モビリティを運転できないように機能を制限する制御を行う
請求項１から請求項３のうちのいずれか１項に記載のモビリティ制御システム。

【請求項5】

前記制御部は、前記ソフトウェアがアップデート待機中またはアップデートに失敗した状況を前記ソフトウェア状態検知部が検知した場合、自動的にアップデートを開始するか否かの確認を利用者に通知する
請求項１から請求項４のうちのいずれか１項に記載のモビリティ制御システム。

【請求項6】

制御対象である前記モビリティに搭載される
請求項１から請求項５のうちのいずれか１項に記載のモビリティ制御システム。

【請求項7】

モビリティを制御するソフトウェアのアップデート状況を検知し、
前記ソフトウェアのうち前記モビリティの自動運転を制御するソフトウェアがアップデート中である状況が検知された場合、前記モビリティの自動運転を行うための機能を制限する制御を行い、手動運転を行うための制御を行う
ことを特徴とする制御方法。

【請求項8】

前記ソフトウェアのうち前記モビリティの自動運転を制御するソフトウェアがアップデート待機中である状況が検知された場合、アップデートにより前記モビリティの運転モードが自動運転から手動運転に変化する旨を利用者に通知する
請求項７記載のモビリティ制御方法。

【請求項9】

コンピュータに、
モビリティを制御するソフトウェアのアップデート状況を検知するソフトウェア状態検知処理、および、
前記ソフトウェアのうち前記モビリティの自動運転を制御するソフトウェアがアップデート中である状況が前記ソフトウェア状態検知処理で検知された場合、前記モビリティの自動運転を行うための機能を制限する制御を行い、手動運転を行うための制御を行う制御処理
を実行させるためのモビリティ制御プログラム。

【請求項10】

コンピュータに、
前記制御処理で、前記ソフトウェアのうち前記モビリティの自動運転を制御するソフトウェアがアップデート待機中である状況が前記ソフトウェア状態検知処理で検知された場合、アップデートにより前記モビリティの運転モードが自動運転から手動運転に変化する旨を利用者に通知させる
請求項９記載のモビリティ制御プログラム。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、ソフトウェアを搭載したモビリティの状況に応じた制御を行うモビリティ制御システム、モビリティ制御方法、および、モビリティ制御プログラムに関する。

【背景技術】

【0002】

近年、車両に代表されるモビリティが通信機能を備えることで、快適性や安全性の向上が実現されている。また、インターネットと接続することで、モビリティ内ネットワーク内だけで実現できることに加え、外部からの様々な情報サービスを享受することが可能になっている。なお、本明細書において、モビリティとは、移動手段（例えば、車両などの乗物）を意味するものとして定義される。

【0003】

モビリティの制御には、多くのソフトウェアが利用されており、例えば、上記通信機能を実現するための処理や、モビリティの各種機能を制御する処理、異常を検知する処理など、様々な処理が、ソフトウェアを用いて実現される。

【0004】

例えば、特許文献１には、車載システム内の通信データに異常が発生した場合に対処を行うシステムが記載されている。特許文献１に記載されたシステムは、車載システム内で通信データの異常が発生した場合に、車載システム内の各情報処理装置から状態を判断するための情報を収集し、セキュリティ異常とセーフティ異常のそれぞれについて発生の有無を特定する。そして、上記システムは、その異常に対して実施する対処内容を決定し、各情報処理装置に通知する。

【0005】

また、特許文献２には、診断対象データをセンタ装置に送信して車両の異常をリアルタイムに診断するシステムが記載されている。特許文献２に記載されたシステムでは、診断車両装置が検知した診断対象データをセンタ装置に送信すると、センタ装置が希有事象か否かを判定し、判定結果に基づいて診断車両が異常か否かを決定し、診断結果を診断車両装置に送信する。

【先行技術文献】

【特許文献】

【0006】

【文献】特開２０１９－７３１０２号公報

【文献】特開２０１３－１２０１４３号公報

【発明の概要】

【発明が解決しようとする課題】

【0007】

一方、特許文献１や特許文献２に記載されたシステムでは、各種処理を行うためのソフトウェアが、常に利用可能である状態を前提としている。すなわち、特許文献１や特許文献２に記載されたシステムでは、ソフトウェアそのものの状態が変化する場合については、何ら考慮されていない。そのため、ソフトウェアを用いてモビリティの制御が行われる場合に、そのソフトウェアの状態に応じて適切な制御を行うことが望まれている。

【0008】

そこで、本発明では、モビリティの制御に用いられるソフトウェアの状態に応じて適切にそのモビリティを制御できるモビリティ制御システム、モビリティ制御方法、および、モビリティ制御プログラムを提供することを目的とする。

【課題を解決するための手段】

【0009】

本発明によるモビリティ制御システムは、モビリティを制御するソフトウェアのアップデート状況を検知するソフトウェア状態検知部と、ソフトウェアのうちモビリティの自動運転を制御するソフトウェアがアップデート中である状況をソフトウェア状態検知部が検知した場合、モビリティの自動運転を行うための機能を制限する制御を行い、手動運転を行うための制御を行う制御部とを備えたことを特徴とする。

【0010】

本発明によるモビリティ制御方法は、モビリティを制御するソフトウェアのアップデート状況を検知し、ソフトウェアのうちモビリティの自動運転を制御するソフトウェアがアップデート中である状況が検知された場合、モビリティの自動運転を行うための機能を制限する制御を行い、手動運転を行うための制御を行うことを特徴とする。

【0011】

本発明によるモビリティ制御プログラムは、コンピュータに、モビリティを制御するソフトウェアのアップデート状況を検知するソフトウェア状態検知処理、および、ソフトウェアのうちモビリティの自動運転を制御するソフトウェアがアップデート中である状況がソフトウェア状態検知処理で検知された場合、モビリティの自動運転を行うための機能を制限する制御を行い、手動運転を行うための制御を行う制御処理を実行させることを特徴とする。

【発明の効果】

【0012】

本発明によれば、モビリティの制御に用いられるソフトウェアの状態に応じて適切にそのモビリティを制御できる。

【図面の簡単な説明】

【0013】

【図1】本発明によるモビリティ制御システムの一実施形態の構成例を示すブロック図である。

【図2】モビリティ制御システムの動作例を示すフローチャートである。

【図3】本発明によるモビリティ制御システムの概要を示すブロック図である。

【発明を実施するための形態】

【0014】

以下、本発明の実施形態を図面を参照して説明する。

【0015】

図１は、本発明によるモビリティ制御システムの一実施形態の構成例を示すブロック図である。本実施形態のモビリティ制御システム１００は、通信機器１０と、ユニット２０と、ソフトウェア状態検知部３０と、制御部４０と、入出力装置５０とを備えている。

【0016】

モビリティ制御システム１００は、制御対象のモビリティ３００に搭載され、そのモビリティ３００の状態に応じた対処を行うシステムである。モビリティ３００の具体例として、コネクテッドカーが挙げられる。本実施形態では、通信機能を利用した自動運転車を想定し、ＯＴＡ（Over the Air）により、通信機器１０やユニット２０に利用されるソフトウェアのアップデートが可能であるとする。また、本実施形態では、ＧＰＳ（Global Positioning System ）や、道路設置機器、インターネットなどを利用する自動運転車の各種機能を具体例として説明する。ただし、モビリティ３００は、車両に限定されず、例えば、電車や、航空機などであってもよい。

【0017】

モビリティ制御システム１００は、通信機器１０を介して、外部のセキュリティセンタ２００におけるセキュリティセンタサーバ２１０と通信を行う。セキュリティセンタサーバ２１０は、モビリティの制御に必要な情報や、ソフトウェアに関する情報をモビリティ制御システム１００に送信する。

【0018】

通信機器１０は、具体的には、セキュリティセンタサーバ２１０や、任意の外部サーバ（図示せず）との通信を行う機器である。通信機器１０の態様は任意であり、例えば、車載専用のモジュールを搭載した通信機器などにより実現される。通信機器１０は、後述するソフトウェア状態検知部３０に対し、通信状況や、外部の装置から通知されたソフトウェアの情報を通知してもよい。

【0019】

ユニット２０は、モビリティの各種状態を検知して制御を行うユニットであり、例えば、各種電子制御ユニットにより実現される。なお、図１には、ユニット２０を１つだけ図示しているが、ユニット２０の数は１つに限定されず、２つ以上であってもよい。モビリティ制御システム１００は、制御対象に応じた複数のユニット２０を含む。例えば、車両の場合、制御対象として、エンジンやブレーキ、メーターやカーナビゲーション、エアバッグなどが挙げられる。

【0020】

また、本実施形態のユニット２０が、モビリティの各種制御を行うためのソフトウェアに従って動作するコンピュータのプロセッサ（例えば、ＣＰＵ（Central Processing Unit ）、ＧＰＵ（Graphics Processing Unit））によって実現されていてもよい。

【0021】

ソフトウェアの種類として、テレマティクスを制御するソフトウェア、走行を制御するソフトウェア、自動運転を制御するソフトウェア、などが挙げられる。走行に関する制御対象として、エンジンやブレーキ、ハンドル、などが挙げられる。また、自動運転に関する制御対象として、カメラや車間センサ、ＧＰＳなどが挙げられる。なお、上述するソフトウェアの種類の分類は例示であり、ソフトウェアに応じて個々に分類が定められていてもよい。

【0022】

なお、車両が走行中の場合、上述するテレマティクスを制御するソフトウェアは、通常、手動運転中または制限付き自動運転中（例えば、通信機能を用いない範囲の自動運転）にアップデートが許可される。また、走行を制御するソフトウェアは、通常、走行中にはアップデートは許可されない。また、自動運転を制御するソフトウェアは、手動運転中であればアップデートが許可される。

【0023】

ソフトウェア状態検知部３０は、モビリティを制御するソフトウェアの状態を検知する。具体的には、ソフトウェア状態検知部３０は、通信機器１０や、モビリティの各種状態を制御するユニット２０で用いられるソフトウェアの状態を検知する。ソフトウェア状態検知部３０は、ユニット２０に対して定期的に状態を問い合わせることでソフトウェアの状態を検知してもよく、ユニット２０から通知される状況に基づいてソフトウェアの状態を検知してもよい。また、ソフトウェア状態検知部３０は、外部の装置（例えば、セキュリティセンタサーバ２１０）からソフトウェアに関する情報（例えば、アップデート情報）の通知を受けたときに、ソフトウェアの状態を検知してもよい。

【0024】

ソフトウェア状態検知部３０は、ソフトウェアの状態として、そのソフトウェアのバージョン情報、または、モビリティ制御システム１００内でのアップデート状況を検知する。ソフトウェアのアップデート状況として、現在アップデート中である、アップデート待機中である、アップデートに失敗している、などの状況が挙げられる。

【0025】

ソフトウェア状態検知部３０は、ソフトウェアのバージョン情報として、対象とするソフトウェアが最新か否かを検知する。また、ソフトウェアが最新ではない（旧バージョンである）場合、ソフトウェア状態検知部３０は、さらに、そのソフトウェアの脆弱性の有無を検知してもよい。

【0026】

ソフトウェア状態検知部３０は、モビリティ制御システム１００が利用するソフトウェアのアップデート情報や脆弱性の有無を示す情報を、通信機器１０を介して、定期的に外部の装置（例えば、セキュリティセンタサーバ２１０）に問い合わせてもよく、ソフトウェアの製造元から不定期にアップデート情報を受信するようにしてもよい。そして、ソフトウェア状態検知部３０は、外部の装置から得られたソフトウェアのアップデート情報または脆弱性の有無を示す情報に基づいて、現在利用中のソフトウェアの状態を検知してもよい。

【0027】

制御部４０は、ソフトウェア状態検知部３０が検知したソフトウェアの状態に基づいて、モビリティ３００の稼働機能を制限する制御を行う。具体的には、制御部４０は、ソフトウェアの状態に基づいて制限する機能を決定し、決定した機能について各種制御を行う。

【0028】

ソフトウェアが最新のバージョンでないことが検知された場合、制御部４０は、最新版へのアップデートの推奨を利用者へ通知する。また、そのソフトウェアが脆弱性のあるソフトウェアである場合、制御部４０は、最新版へのアップデートをより強く推奨するように利用者へ通知し、さらに、脆弱性の個所に応じた機能を制限する制御を行ってもよい。このように、脆弱性の個所に応じて機能を制限することで、一部の機能に脆弱性を有するソフトウェアにより稼働する他の機能への影響を抑制しつつ、対象とする機能のみを制限することが可能になる。

【0029】

また、この場合、制御部４０は、脆弱性の個所に応じた機能について、ソフトウェアのアップデート中に行う機能制限と同様の制限を行ってもよい。制御部４０は、例えば、後述する入出力装置５０に対して、ソフトウェアのアップデートが必要である旨を出力させる制御を行ってもよい。

【0030】

ソフトウェアがアップデート中である状況が検知された場合、制御部４０は、アップデート個所に応じた機能を制限する制御を行う。例えば、テレマティクスを制御するソフトウェアは、通信機能を利用して走行に必要な各種情報を送受信する処理を行う。そのため、テレマティクスを制御するソフトウェアがアップデート中の場合、制御部４０は、通信機器の機能を制限する制御を行ってもよい。

【0031】

また、例えば、走行を制御するソフトウェアのアップデート中に車両を稼働させることは危険である。そのため、走行を制御するソフトウェアがアップデート中の場合、制御部４０は、運転できないように、各種機能を制限する制御を行ってもよい。なお、この場合、制御部４０は、車両が停止するまでソフトウェアの更新を行えないように制御してもよい。

【0032】

また、例えば、自動運転を制御するソフトウェアがアップデート中の場合に自動運転を行うことは危険である。そのため、自動運転を制御するソフトウェアがアップデート中の場合、制御部４０は、自動運転を行うための機能を制限する制御を行い、手動運転を行うための制御を行ってもよい。

【0033】

ソフトウェアがアップデート待機中である状況が検知された場合、制御部４０は、アップデートによりモビリティの稼働機能（運転モード）が変化する旨を利用者に通知する制御を行うとともに、アップデート対象のソフトウェアの脆弱性の有無に応じた制御を行う。具体的には、アップデート待機中のソフトウェアに脆弱性があることが判明している場合、制御部４０は、脆弱性の個所に応じた機能を制限する制御を行う。

【0034】

また、ソフトウェアのアップデートに失敗している状況が検知された場合、制御部４０は、利用者に対してアップデートに失敗した旨の通知および再アップデートを促す通知する制御を行い、アップデート待機中と同様の制御を行う。すなわち、制御部４０は、上記通知とともに、アップデート対象のソフトウェアの脆弱性の有無に応じた制御を行う。

【0035】

なお、アップデート待機中またはアップデートに失敗した場合、制御部４０は、自動的にアップデートを開始するか否かの確認をユーザに通知してもよい。

【0036】

入出力装置５０は、モビリティ３００の操作者とモビリティ制御システム１００との間の入出力処理を行う装置である。入出力装置５０は、例えば、ＩＶＩ（in-vehicle infotainment ）により実現される。入出力装置５０は、制御部４０からの指示に応じて、ソフトウェアのアップデート状況や、制御部４０による制御内容を出力してもよい。

【0037】

ソフトウェア状態検知部３０と、制御部４０とは、プログラム（モビリティ制御プログラム）に従って動作するコンピュータのプロセッサ（例えば、ＣＰＵ（Central Processing Unit ）、ＧＰＵ（Graphics Processing Unit））によって実現される。

【0038】

例えば、プログラムは、モビリティ制御システム１００が備える記憶部（図示せず）に記憶され、プロセッサは、そのプログラムを読み込み、プログラムに従って、ソフトウェア状態検知部３０および制御部４０として動作してもよい。また、モビリティ制御システム１００の機能がＳａａＳ（Software as a Service ）形式で提供されてもよい。

【0039】

ソフトウェア状態検知部３０と、制御部４０とは、それぞれが専用のハードウェアで実現されていてもよい。また、各装置の各構成要素の一部又は全部は、汎用または専用の回路（circuitry ）、プロセッサ等やこれらの組合せによって実現されもよい。これらは、単一のチップによって構成されてもよいし、バスを介して接続される複数のチップによって構成されてもよい。各装置の各構成要素の一部又は全部は、上述した回路等とプログラムとの組合せによって実現されてもよい。

【0040】

また、モビリティ制御システム１００の各構成要素の一部又は全部が複数の情報処理装置や回路等により実現される場合には、複数の情報処理装置や回路等は、集中配置されてもよいし、分散配置されてもよい。

【0041】

次に、本実施形態の動作例を説明する。図２は、本実施形態のモビリティ制御システム１００の動作例を示すフローチャートである。ソフトウェア状態検知部３０は、ソフトウェアの状態として、そのソフトウェアのバージョン情報またはアップデート状況を検知する（ステップＳ３１）。制御部４０は、検知されたソフトウェアの状態に基づいて、モビリティの稼働機能を制限する制御を行う（ステップＳ３２）。

【0042】

以上のように、本実施形態では、ソフトウェア状態検知部３０が、ソフトウェアの状態として、そのソフトウェアのバージョン情報またはアップデート状況を検知し、制御部４０が、ソフトウェアの状態に基づいて、モビリティの稼働機能を制限する制御を行う。よって、モビリティの制御に用いられるソフトウェアの状態に応じて適切にそのモビリティを制御できる。

【0043】

次に、本発明の概要を説明する。図３は、本発明によるモビリティ制御システムの概要を示すブロック図である。本発明によるモビリティ制御システム８０は、制御対象のモビリティ（例えば、モビリティ３００）に搭載され、そのモビリティの状態に応じた制御を行うモビリティ制御システム（例えば、モビリティ制御システム１００）であって、モビリティを制御するソフトウェアの状態を検知するソフトウェア状態検知部８１（例えば、ソフトウェア状態検知部３０）と、ソフトウェアの状態に基づいて、モビリティの稼働機能を制限する制御を行う制御部８２（例えば、制御部４０）とを備えている。

【0044】

ソフトウェア状態検知部８１は、ソフトウェアの状態として、そのソフトウェアのバージョン情報またはアップデート状況を検知し、制御部８２は、ソフトウェアの状態に基づいて制限する機能を決定する。

【0045】

そのような構成により、モビリティの制御に用いられるソフトウェアの状態に応じて適切にそのモビリティを制御できる。

【0046】

また、ソフトウェア状態検知部８１は、ソフトウェアの状態として、ソフトウェアのアップデート状況を検知し、制御部８２は、アップデート中である状況をソフトウェア状態検知部８１が検知した場合、アップデート個所に応じた機能を制限する制御を行ってもよい。そのような構成により、アップデートにより影響する機能の変化を予め抑制することが可能になる。

【0047】

また、ソフトウェア状態検知部８１は、ソフトウェアの状態として、ソフトウェアの脆弱性の有無を検知し、制御部８２は、脆弱性の個所に応じた機能を制限する制御を行ってもよい。そのような構成により、脆弱性を有する機能に基づく不測の動作が生じることを抑制することが可能になる。

【0048】

また、ソフトウェア状態検知部８１は、ソフトウェアの状態として、ソフトウェアのアップデートの待機中またはソフトウェアのアップデートに失敗したことを検知し、制御部８２は、アップデート待機中のソフトウェアまたはアップデートに失敗したソフトウェアに含まれる脆弱性の個所に応じた機能を制限する制御を行ってもよい。そのような構成により、アップデートが行われるまでの間に生じ得る脆弱性を有する機能に基づく不測の動作を抑制することが可能になる。

【0049】

また、モビリティは、自動運転を行うコネクテッドカーであってもよい。このとき、ソフトウェア状態検知部８１は、外部の装置から得られたソフトウェアのアップデート情報または脆弱性の有無を示す情報に基づいて、現在利用中のソフトウェアの状態を検知してもよい。

【0050】

また、この場合、ソフトウェア状態検知部８１は、ソフトウェアの状態として、ソフトウェアのアップデート状況を検知し、制御部８２は、アップデート中である状況をソフトウェア状態検知部８１が検知した場合、自動運転を行うための機能を制限する制御を行ってもよい。そのような構成により、自動運転に及ぼす不測の動作を抑制することが可能になる。

【0051】

以上、実施形態及び実施例を参照して本願発明を説明したが、本願発明は上記実施形態および実施例に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。

【符号の説明】

【0052】

１０ 通信機器
２０ ユニット
３０ ソフトウェア状態検知部
４０ 制御部
５０ 入出力装置
１００ モビリティ制御システム
２００ セキュリティセンタ
２１０ セキュリティセンタサーバ
３００ モビリティ

【図1】

【図2】

【図3】