知財求人 - 知財ポータルサイト「IP Force」
▶ ロベルト・ボッシュ・ゲゼルシャフト・ミト・ベシュレンクテル・ハフツングの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-02-07
(54)【発明の名称】安全な時間信号の提供方法
(51)【国際特許分類】
G06F 1/14 20060101AFI20240131BHJP
G04G 5/00 20130101ALI20240131BHJP
G04R 20/02 20130101ALI20240131BHJP
H04L 7/00 20060101ALI20240131BHJP
【FI】
G06F1/14 512
G04G5/00 Z
G04R20/02
H04L7/00 990
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2023533860
(86)(22)【出願日】2021-11-22
(85)【翻訳文提出日】2023-06-02
(86)【国際出願番号】 EP2021082418
(87)【国際公開番号】W WO2022117379
(87)【国際公開日】2022-06-09
(31)【優先権主張番号】102020215301.9
(32)【優先日】2020-12-03
(33)【優先権主張国・地域又は機関】DE
(81)【指定国・地域】
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.UNIX
(71)【出願人】
【識別番号】591245473
【氏名又は名称】ロベルト・ボッシュ・ゲゼルシャフト・ミト・ベシュレンクテル・ハフツング
【氏名又は名称原語表記】ROBERT BOSCH GMBH
(74)【代理人】
【識別番号】100118902
【弁理士】
【氏名又は名称】山本 修
(74)【代理人】
【識別番号】100196508
【弁理士】
【氏名又は名称】松尾 淳一
(72)【発明者】
【氏名】フォーグラー,ベンヤミン
(72)【発明者】
【氏名】フォイヒター,ビルフリート
【テーマコード(参考)】
2F002
5K047
【Fターム(参考)】
2F002AA12
2F002AD00
2F002AF00
2F002GA01
5K047AA03
5K047BB01
5K047KK02
5K047KK15
(57)【要約】
第1の時間源(13)からの第1の時間信号(22)と、第2の時間源(15)からの第2の時間信号(26)とが、装置(10)によって受信かつ評価され、前記第1の時間源(13)と、前記第2の時間源(15)とは、互いに独立しており、前記装置(10)内に第1のユニット(30)を備え、前記第1のユニット(30)は、前記2つの時間信号(22、26)が互いに比較され、前記2つの時間信号(22、26)間の検知された偏差が評価され、この評価に基づいて安全な時間信号(46)が出力される、観察機能および比較機能を有する、安全な時間信号(46)の提供方法。
【特許請求の範囲】
【請求項1】
- 第1の時間源(13)からの第1の時間信号(22)と、第2の時間源(15)からの第2の時間信号(26)とが、装置(10)によって受信かつ評価され、前記第1の時間源(13)と、前記第2の時間源(15)とは、互いに独立しており、前記装置(10)内に第1のユニット(30)を備え、前記第1のユニット(30)は、前記2つの時間信号(22、26)が互いに比較され、前記2つの時間信号(22、26)間の検知された偏差が評価され、この評価に基づいて安全な時間信号(46)が出力される、観察機能および比較機能を有する、安全な時間信号(46)の提供方法。
【請求項2】
前記第1のユニット(30)には、前記観察機能および前記比較機能を実行する際に使用される独立した時間ベース(34)が割り当てられている、請求項1に記載の方法。
【請求項3】
前記観察機能および前記比較機能は周期的に実行される、請求項1または2に記載の方法。
【請求項4】
前記2つの時間信号(22、26)で送信されるデータの異なる形式を調整する、第2のユニット(32)が設けられている、請求項1~3のいずれか一項に記載の方法。
【請求項5】
前記比較の結果、前記2つの時間信号(22、26)の偏差が所定の許容誤差外にあると判明した場合、エラー応答(40)をトリガする、第3のユニット(36)が設けられている、請求項1~4のいずれか一項に記載の方法。
【請求項6】
前記実行された比較に応じてステータス信号(42)が追加的に出力される、請求項1~5のいずれか一項に記載の方法。
【請求項7】
前記2つの時間源(13、15)のうち少なくとも1つのフリーズを検知するために設けられている、第4のユニット(42)が設けられている、請求項1~6のいずれか一項に記載の方法。
【請求項8】
前記2つの時間信号(22、26)のうち少なくとも1つは、GPS信号と、UTC信号と、を含む群から選択されている、請求項1~7のいずれか一項に記載の方法。
【請求項9】
前記安全な時間信号は車両に提供される、請求項1~8のいずれか1項に記載の方法。
【請求項10】
請求項1~9のいずれか一項に記載の方法を実施するために構成されている、時間信号の提供装置。【発明の詳細な説明】
【技術分野】
【0001】
本発明は、特にセキュリティ関連の用途のための安全な時間信号の提供方法と、この方法を実施するための装置に関する。
【背景技術】
【0002】
時間信号は、現在の時刻と、場合によっては現在の日付とを情報として伝える信号である。例えば電子制御システムおよび電子制御装置、特に、例えば車両分野で使用するための組み込みシステムにおいて、セキュリティ関連の機能にも絶対的な日時情報を必要とするシステムおよびソフトウェアがますます使用されるようになっている。これらの信号は、例えば、保存されたファイルやデータの「年齢」が関係する日付/タイムスタンプを表示する、ファイル/データ記憶システムに関連して使用される。この事は、これらのデータが製造時に一回のみ恒久的にプログラムされるのではなく、耐用年数の間に1回、複数回、または頻繁に「より新しい」データに置き換えられたり補完されたりする場合に該当し得る。
【0003】
例えば携帯電話、スマートフォン、PCアプリケーションなどの消費財の分野では、ソフトウェアが、特にオペレーティングシステムのルーチンを通じて、日付/時刻の値を提供することが一般的であり、既知である。この時刻は、典型的には、対応するオペレーティングシステムのタイマ(OSタイマ)および/またはCPUクロックジェネレータ(CPU:central processing unit)から導き出される。そのために、時計を1回、または複数回、実際の時刻に調整する必要があり、これは対応する機能やコマンドで表すことができる。これらのソフトウェアクロックは、システム起動時ごとにリセットされるか、電源オフの状態でも時計が動き続けるリアルタイムクロック(RTCモジュール:Real-Time-Clock)によってサポートされている。
【0004】
このような既知の時計タイマは、対応するエラーや不正確な設定により、検知されないエラーを伴う日付/時刻値や、全く合っていない、現実と相違した日付/時刻値が発生するため、セキュリティ関連の用途には十分ではないことに注意する必要がある。さらに、使用されるタイマ自体はエラーなく機能するが、偶然に、または例えばセキュリティ関連の攻撃によって意図的に、時刻が誤設定されるというエラー源が生じる。
【0005】
セキュリティ関連の機能については、OSタイマ、クロックジェネレータ、およびそれらから導き出されるタイムクロック(例えば周期的タスク)を、通常ウォッチドッグと組み合わせて、冗長的な、独立したクロックモジュールで保護できることが知られている。しかし、これは、典型的には1ミリ秒~1秒の非常に短い周期であり、したがって、例えば±10%または±20%の比較的大きな許容誤差を有する、クロックなどの相対的な時間値にのみ適用される。したがって、これらの保護手段は、絶対的な時刻信号の生成には十分ではなく、また適切でない。
【0006】
さらに、ソース、例えばGPS受信機(GPS: global positioning system)やRTCモジュールから得られる信号では、十分な安全性が得られないことが知られている。さらに、現在使用可能な絶対的な時間源は、特にQM(QM:quality management)または消費者品質でのみ利用可能であることが知られている。
【発明の概要】
【課題を解決するための手段】
【0007】
これらの背景から、請求項1の特徴を有する方法と、請求項10に係る装置とを提示する。実施形態は、引用形式請求項および明細書に記載されている。
この方法により、セキュリティ関連の用途のための特に安全かつ絶対的な時間信号が提供される。この方法は、第1の時間源からの第1の時間信号と、第2の時間源からの第2の時間信号とが、この方法を実施するための装置によって受信かつ評価され、第1の時間源と第2の時間源とは、互いに独立していることを企図する。これは、第1の時間源の動作は第2の時間源の動作に影響を与えず、第2の時間源の動作は第1の時間源の動作に影響を与えないことを意味する。したがって、提供される2つの時間信号も互いに独立しており、これら2つの信号間に依存関係はない。
この方法により、セキュリティ関連の用途のための特に安全かつ絶対的な時間信号が提供される。この方法は、第1の時間源からの第1の時間信号と、第2の時間源からの第2の時間信号とが、この方法を実施するための装置によって受信かつ評価され、第1の時間源と第2の時間源とは、互いに独立していることを企図する。これは、第1の時間源の動作は第2の時間源の動作に影響を与えず、第2の時間源の動作は第1の時間源の動作に影響を与えないことを意味する。したがって、提供される2つの時間信号も互いに独立しており、これら2つの信号間に依存関係はない。
【0008】
装置内の第1のユニットは、観察機能および比較機能を有する。これは、この第1のユニットは、2つの時間信号、またはこれら2つの時間信号によって送信される、特に時間値を表すデータもしくは情報が観察、監視され、それらが互いに比較されることを意味する。そして、検知された2つの時間信号の偏差が評価される。この評価に基づいて、安全な時間信号が出力される。この時、許容誤差または許容誤差閾値が考慮される。
【0009】
第1のユニットには独立した時間ベースを割り当てることができ、時間べ―スは観察機能および比較機能を実行する際に使用される。これにより、2つの時間信号の伝送エラーに関係なく、確実に比較を行うことができる。実施形態では、観察機能および比較機能は周期的に、すなわち定期的に繰り返して実行される。
【0010】
さらに、2つの時間信号で送信されるデータの異なる形式を調整する、第2のユニットを設けてもよい。このようにして、時間信号をその形式に関係なく処理することができる。
【0011】
比較の結果、2つの時間信号の偏差が所定の許容誤差外にあると判明した場合、エラー応答をトリガする、第3のユニットを設けてもよい。この第3のユニットは、ステータス信号を出力してもよい。しかし、このステータス信号は、この第3のユニットの存在とは関係なく、記載された装置によって出力されてもよい。
【0012】
したがって、提示された方法により、冒頭で説明した複合システム、特に車両内の安全な時刻信号の欠如を、適切な手段によって改善し、その結果、十分に安全かつ絶対的な時刻信号が、セキュリティ関連の用途または機能で利用可能になる。
【0013】
最後に、2つの時間源のうち1つのフリーズを検知することができる。そのために、例えば第4のユニットを設けてもよい。
提示された方法により、少なくとも2つの独立した時間源および信号から安全な時間信号を生成し、時間値の対応する誤差を検知し、少なくとも1つの適切な誤差反応を実行することが達成される。
提示された方法により、少なくとも2つの独立した時間源および信号から安全な時間信号を生成し、時間値の対応する誤差を検知し、少なくとも1つの適切な誤差反応を実行することが達成される。
【0014】
したがって、提示された方法では、実施形態のうち少なくとも一部において、
1.独立した少なくとも2つの時間信号源の処理と、
2.時間信号を解析し、エラーを検知する、周期的に実行される観察機能と、
3.これによる、使用機能のための信号としての安全な時間と、
4.安全な時間のステータスと、エラー応答のトリガとなる連動と、
が企図されている。
1.独立した少なくとも2つの時間信号源の処理と、
2.時間信号を解析し、エラーを検知する、周期的に実行される観察機能と、
3.これによる、使用機能のための信号としての安全な時間と、
4.安全な時間のステータスと、エラー応答のトリガとなる連動と、
が企図されている。
【0015】
これらを達成するために、特に多様で冗長な時間源が使用される。一方で、これらは、例えばWiFi接続を介してクラウドサーバシステムから提供される時間信号で構成されている。これは例えば、いわゆる「UTC時間」(UTC:協定世界時)として知られ、単純なQMシステムで適宜使用される。他方で、これらは、GPS衛星からのいわゆる「GPS時間」信号として、GPS受信機モジュールで受信、処理、および提供される、独立した時間信号で構成されている。
【0016】
協定世界時とは、現在有効な世界時であり、世界的に統一された時間軸が必要とされる場所での時間表記に使用されるものである。
さらなる実施形態では、2つのGPS受信機が使用され、それらは構造的に分離され、冗長であり、異なる製造業者のモジュールが使用される。さらなる実施形態は、GPS受信機と組み合わせたRTCベースの時計や、クラウドサーバ時刻値など、さらなる独立した時間源によるものである。さらなる実施形態では、前述の時間源と、電波時計受信機との組み合わせが企図される。これは、典型的には、世界時の原子時間を提供することができる。
さらなる実施形態では、2つのGPS受信機が使用され、それらは構造的に分離され、冗長であり、異なる製造業者のモジュールが使用される。さらなる実施形態は、GPS受信機と組み合わせたRTCベースの時計や、クラウドサーバ時刻値など、さらなる独立した時間源によるものである。さらなる実施形態では、前述の時間源と、電波時計受信機との組み合わせが企図される。これは、典型的には、世界時の原子時間を提供することができる。
【0017】
上記の全ての実施形態において、時間信号は、信号エラーまたはその伝送を予防または検知するためのセキュリティに関する特別な手段が、典型的にはその技術に含まれない方法で利用可能である。そのため、それぞれ1つの時間源で、検知されない時間値のエラーや破損が生じる可能性がある。
【0018】
例えばUTC「Universal Time Code」や「GPS時間」などの異なる表示で存在している2つの時間値は、時間エラーや欠陥を検知するために、第1のステップで共通の同じ表示方法に換算される。この時、例えばうるう秒、1024週ごとのGPS時間形式におけるカウンタのオーバーフロー、タイムゾーンなどの既知のずれが適宜考慮され、補正される。
【0019】
2つの時間信号は、周期的に実行される観察機能および比較機能によって観察され、評価される。この観察機能は、第3の独立した時間ベース、例えば、CPUクロックや制御装置のSW実行で実行することができる。信号源や伝送路の不正確性に応じた、2つの時計の小さな偏差、例えば±5秒程度は、「正常」として許容される。より大きな偏差、ひいてはエラーを伴う偏差が発生した場合は、適切なエラー反応を行うことができる。
【0020】
エラー反応は段階的に行われ、まず、最後の安全な時間値を短い許容時間だけさらに使い続けるか、関連する機能またはシステム全体を安全なエラー状態にすることからなる。
さらに、観察機能は、1つの時計、または、特に2つの時計のフリーズや動作停止(stuck-atエラー)も検知する。ここでも、安全な時間信号の使用により、時計の十分に短い「停止時間」が許容される。許容誤差を超えた場合、代替的または補完的に、適切なエラー反応をトリガしてもよい。したがって、観察機能は、実際の安全な時間信号に加えて、時間信号の完全性/正確性/劣化状態を示す少なくとも一つのステータス信号も提供する。任意選択的に、時間信号を使用してそれぞれの機能でさらなるエラー反応をさらにトリガしてもよい。
さらに、観察機能は、1つの時計、または、特に2つの時計のフリーズや動作停止(stuck-atエラー)も検知する。ここでも、安全な時間信号の使用により、時計の十分に短い「停止時間」が許容される。許容誤差を超えた場合、代替的または補完的に、適切なエラー反応をトリガしてもよい。したがって、観察機能は、実際の安全な時間信号に加えて、時間信号の完全性/正確性/劣化状態を示す少なくとも一つのステータス信号も提供する。任意選択的に、時間信号を使用してそれぞれの機能でさらなるエラー反応をさらにトリガしてもよい。
【0021】
さらなる実施形態では、観察機能は、典型的にはシステムの起動後に最初に存在する信号源の初期の「欠陥」を許容し、対応するステータス状態によってそれを示してもよい。したがって、信頼性が高く、ロバストで、同時に安全なシステムの起動が可能である。
【0022】
第1の時間源と第2の時間源の使用については、上記および図の説明で記載する。当然ながら、この方法は、これら2つの時間源よりも多くの時間源で実施してもよい。
提示された装置は、上記方法を実施するために使用され、例えば、ハードウェアおよび/またはソフトウェアで実装される。
提示された装置は、上記方法を実施するために使用され、例えば、ハードウェアおよび/またはソフトウェアで実装される。
【0023】
本発明のさらなる利点および実施形態は、説明および添付の図面に記載されている。
上述した特徴および以下に説明する特徴は、それぞれ記載された組み合わせで使用できるだけでなく、本発明の範囲から外れることなく、他の組み合わせで、または単独で使用可能であることは明らかである。
上述した特徴および以下に説明する特徴は、それぞれ記載された組み合わせで使用できるだけでなく、本発明の範囲から外れることなく、他の組み合わせで、または単独で使用可能であることは明らかである。
【図面の簡単な説明】
【0024】
【図1】提示された方法を実施するための装置の一実施形態の概略図である。
【図2】提示された方法の考えられる経過のフローチャートである。
【図3】提示された方法の考えられるさらなる経過のフローチャートである。
【発明を実施するための形態】
【0025】
本発明を、実施形態に基づいて図面に概略的に表し、図面を参照しながら以下に詳細に説明する。
図1は、本明細書に記載の方法を実施するための装置の一実施形態の概略図であり、全体に参照数字10が付されている。図では、さらに、衛星16を介して一旦伝送され、それとは関係なく、無線リンク18を介して伝送される世界時14を有する地球12を象徴的に示している。したがって、互いに独立した第1の時間源13と第2の時間源15とが存在する。この結果、GPS受信機20を介して伝送される第1の時間信号22、この場合はGPS時間信号と、移動無線ネットワーク、WiFiおよび同等のネットワーク24を介して伝送される第2の時間信号26、この場合はUTC時間信号と、が得られる。2つの時間信号22、26は、装置10の入力値である。
図1は、本明細書に記載の方法を実施するための装置の一実施形態の概略図であり、全体に参照数字10が付されている。図では、さらに、衛星16を介して一旦伝送され、それとは関係なく、無線リンク18を介して伝送される世界時14を有する地球12を象徴的に示している。したがって、互いに独立した第1の時間源13と第2の時間源15とが存在する。この結果、GPS受信機20を介して伝送される第1の時間信号22、この場合はGPS時間信号と、移動無線ネットワーク、WiFiおよび同等のネットワーク24を介して伝送される第2の時間信号26、この場合はUTC時間信号と、が得られる。2つの時間信号22、26は、装置10の入力値である。
【0026】
装置10は、観察機能および比較機能を実行する。これは、装置が2つの時間信号22、26または2つの時間信号22、26によって送信される情報を、特に周期的に観察または監視し、それらを互いに比較することを意味する。このために、2つの時間信号22、26を互いに比較し、偏差を検知する第1のユニット30が設けられ、許容誤差を考慮することができる。この場合、2つの時間信号22、26、またはそれらが伝送する時間値は異なる表示で存在するため、時間値を共通の表示方法に換算する第2のユニット32が設けられている。
【0027】
絶対的な時間の表記は、さまざまな方法で表示することができる。広く普及しているのは、1970年1月1日からの経過秒数の数値として現在時刻を表すUTCのUnixタイムスタンプである。しかし、時間表記は、「年-月-日-時:分:秒」のように「人的な」形態で、「テキスト」として、または数値によってデータ構造に符号化されて保存、伝送、または取り決めてもよいし、「GPS時間」に用いられるように、1980年1月6日からの経過週数に、「現在の週の秒数」を足した数値として表記してもよい。代替的に、例えば「2020.1.1からの秒数」のように、独自の表現で任意にかつ一義的に定義してもよい。さらに、例えばうるう秒のような形態の系統的な既知の偏差も、この時点で修正してもよい。
【0028】
図示の装置30の実施形態では、第3の独立した時間ベース34がさらに設けられ、それに基づいて観察機能および比較機能が実行される。この別個の時間ベースは、1つまたは2つの信号の無効な偏差や欠陥を、その期間に短時間だけ許容する許容時間を実現するために必要である。
【0029】
第3のユニット36は、検知された偏差が所定の許容誤差外である場合、エラー反応40をトリガする。さらに、比較に応じてステータス信号42を出力する。
また、第4のユニット42が設けられており、このユニットは、特に、2つの時間信号が妥当な値ペア22、26上でフリーズしていることを検知するために設けられている。
また、第4のユニット42が設けられており、このユニットは、特に、2つの時間信号が妥当な値ペア22、26上でフリーズしていることを検知するために設けられている。
【0030】
そして、第1ユニット30は、2つの時間信号22、26の実行された比較に依存して、安全な時間信号46を出力する。
原則的に、ここでは時間表記のさらなる使用に応じて、例えば、「最も若い」値、「最も古い」値、または加重平均、算術平均などの中間の規定値の選択など、適切な様々な方策があり得る。本実施形態では、2つの信号の偏差が許容誤差内であれば、エラーのない通常動作において、より高い可用性と精度が期待できる信号源の時間値のみが使用される。それ以上の偏差が生じるエラーの場合は、比較によって最後に確認された正しい時間値が保持される。
原則的に、ここでは時間表記のさらなる使用に応じて、例えば、「最も若い」値、「最も古い」値、または加重平均、算術平均などの中間の規定値の選択など、適切な様々な方策があり得る。本実施形態では、2つの信号の偏差が許容誤差内であれば、エラーのない通常動作において、より高い可用性と精度が期待できる信号源の時間値のみが使用される。それ以上の偏差が生じるエラーの場合は、比較によって最後に確認された正しい時間値が保持される。
【0031】
短い許容時間内に、2つの時間値が再び十分に一致した場合、エラーのない通常動作に戻り、現在の時間値が再び提供される。
起動時には、まず複数の有効な時間値が確認され、常に無効で不正確な初期規定値から、現在の時間値へと切り替えられる。関連するステータスが「初期」/「無効」から「有効」へと切り替わる。
起動時には、まず複数の有効な時間値が確認され、常に無効で不正確な初期規定値から、現在の時間値へと切り替えられる。関連するステータスが「初期」/「無効」から「有効」へと切り替わる。
【0032】
記載のユニット30、32、36、42は、装置のハードウェアモジュールとして、純粋なソフトウェアモジュールとして、またはハード・ソフトウェアソリューションとして実装することができる。
【0033】
図2は、記載の方法の考えられる経過をフローチャートで示したものである。第1のステップ50で、方法を実施するための装置は、第1の時間値を送信する第1の時間信号と、第2の時間値を送信する第2の時間信号と、を受信する。第2のステップ52で、2つの時間信号または時間値が互いに比較される。許容誤差を考慮した比較結果から、第3のステップ54で、正確性またはエラー状態を示すステータス信号とともに安全な時間信号が形成され、出力される。追加的に、第4のステップ56で、許容時間の経過後にエラー反応がトリガされる。
【0034】
出力信号の具体的な構成は、典型的にはシステム設計によるものである。現在の設計では、このセーフタイム機能から、別個のステータス信号とともに常に時間が出力される。別の実施形態では、時間をフリーズさせたり、無効な値に設定したり、エラー応答がトリガされた際に時間の提供を終了したりしてもよく、その場合、ステータスは必要でなくなることもある。別個のステータス信号が使用されない場合、ステータスは時間の具体的な値で表されてもよい(例:「無効な値」、時間=「-1」、「-2」等)。これらの場合、ステータスはセーフタイムの状態(無効な値、または時間が提供されていない、ここではステータス=「無効」と解釈される)によって暗示的に伝達されることに注意されたい。
【0035】
図3は、提示された方法の考えられるさらなる経過を示し、特に任意選択的なステップが強調されている。
任意選択的な起動段階70において、第1のステップ72で時間が受信される。これらの時間は、第2のステップ74で互いに比較される。そして、第3のステップ76で、時間を複数回確認し、安定しているかどうかを検査する。時間が安定していない場合、実施形態は第1のステップ72に戻り(矢印78)、時間が安定している場合(矢印80)、起動フェーズ70を終了し、実施形態は第4のステップ82で継続される。
任意選択的な起動段階70において、第1のステップ72で時間が受信される。これらの時間は、第2のステップ74で互いに比較される。そして、第3のステップ76で、時間を複数回確認し、安定しているかどうかを検査する。時間が安定していない場合、実施形態は第1のステップ72に戻り(矢印78)、時間が安定している場合(矢印80)、起動フェーズ70を終了し、実施形態は第4のステップ82で継続される。
【0036】
この第4のステップ82で、時間が受信される。第5のステップ84で、これらの時間が互いに比較される。比較に成功し、時間が許容誤差内にあれば(矢印86)、第6のステップ88で安全な時間が出力される。第5のステップ84の比較が失敗するか、時間が許容誤差外にあれば(矢印90)、任意選択的な第7のステップ92で許容時間が確認される。許容時間を超えていなければ(矢印94)、第4のステップ82に戻る。許容時間を超えていれば、第8のステップ96で安全な状態に移行する。
【図1】
【図2】
【図3】
【国際調査報告】