WO2021024589A1

WO2021024589A1 - モビリティ制御システム、方法、および、プログラム

Info

Publication number: WO2021024589A1
Application number: PCT/JP2020/021377
Authority: WO
Inventors: 哲孝山下
Original assignee: 日本電気株式会社
Priority date: 2019-08-06
Filing date: 2020-05-29
Publication date: 2021-02-11
Also published as: JPWO2021024589A1; US20220283798A1; JP7310891B2; JP2023115229A

Abstract

モビリティ制御システム８０は、制御対象のモビリティに搭載され、そのモビリティの状態に応じた制御を行う。ソフトウェア状態検知部８１は、モビリティを制御するソフトウェアの状態を検知する。制御部８２は、ソフトウェアの状態に基づいて、モビリティの稼働機能を制限する制御を行う。また、ソフトウェア状態検知部８１は、ソフトウェアの状態として、そのソフトウェアのバージョン情報またはアップデート状況を検知し、制御部８２は、ソフトウェアの状態に基づいて制限する機能を決定する。

Description

モビリティ制御システム、方法、および、プログラム

　本発明は、ソフトウェアを搭載したモビリティの状況に応じた制御を行うモビリティ制御システム、モビリティ制御方法、および、モビリティ制御プログラムに関する。

　近年、車両に代表されるモビリティが通信機能を備えることで、快適性や安全性の向上が実現されている。また、インターネットと接続することで、モビリティ内ネットワーク内だけで実現できることに加え、外部からの様々な情報サービスを享受することが可能になっている。なお、本明細書において、モビリティとは、移動手段（例えば、車両などの乗物）を意味するものとして定義される。

　モビリティの制御には、多くのソフトウェアが利用されており、例えば、上記通信機能を実現するための処理や、モビリティの各種機能を制御する処理、異常を検知する処理など、様々な処理が、ソフトウェアを用いて実現される。

　例えば、特許文献１には、車載システム内の通信データに異常が発生した場合に対処を行うシステムが記載されている。特許文献１に記載されたシステムは、車載システム内で通信データの異常が発生した場合に、車載システム内の各情報処理装置から状態を判断するための情報を収集し、セキュリティ異常とセーフティ異常のそれぞれについて発生の有無を特定する。そして、上記システムは、その異常に対して実施する対処内容を決定し、各情報処理装置に通知する。

　また、特許文献２には、診断対象データをセンタ装置に送信して車両の異常をリアルタイムに診断するシステムが記載されている。特許文献２に記載されたシステムでは、診断車両装置が検知した診断対象データをセンタ装置に送信すると、センタ装置が希有事象か否かを判定し、判定結果に基づいて診断車両が異常か否かを決定し、診断結果を診断車両装置に送信する。

特開２０１９－７３１０２号公報特開２０１３－１２０１４３号公報

　一方、特許文献１や特許文献２に記載されたシステムでは、各種処理を行うためのソフトウェアが、常に利用可能である状態を前提としている。すなわち、特許文献１や特許文献２に記載されたシステムでは、ソフトウェアそのものの状態が変化する場合については、何ら考慮されていない。そのため、ソフトウェアを用いてモビリティの制御が行われる場合に、そのソフトウェアの状態に応じて適切な制御を行うことが望まれている。

　そこで、本発明では、モビリティの制御に用いられるソフトウェアの状態に応じて適切にそのモビリティを制御できるモビリティ制御システム、モビリティ制御方法、および、モビリティ制御プログラムを提供することを目的とする。

　本発明によるモビリティ制御システムは、制御対象のモビリティに搭載され、そのモビリティの状態に応じた制御を行うモビリティ制御システムであって、モビリティを制御するソフトウェアの状態を検知するソフトウェア状態検知部と、ソフトウェアの状態に基づいて、モビリティの稼働機能を制限する制御を行う制御部とを備え、ソフトウェア状態検知部が、ソフトウェアの状態として、そのソフトウェアのバージョン情報またはアップデート状況を検知し、制御部が、ソフトウェアの状態に基づいて制限する機能を決定することを特徴とする。

　本発明によるモビリティ制御方法は、対象とするモビリティの状態に応じた制御を行うモビリティ制御方法であって、ソフトウェアの状態として、そのソフトウェアのバージョン情報またはアップデート状況を検知し、ソフトウェアの状態に基づいて、モビリティの稼働機能を制限する制御を行うことを特徴とする。

　本発明によるモビリティ制御プログラムは、制御対象のモビリティに搭載され、そのモビリティの状態に応じた制御を行うコンピュータに適用されるモビリティ制御プログラムであって、コンピュータに、モビリティを制御するソフトウェアの状態を検知するソフトウェア状態検知処理、および、ソフトウェアの状態に基づいて、モビリティの稼働機能を制限する制御を行う制御処理を実行させ、ソフトウェア状態検知処理で、ソフトウェアの状態として、そのソフトウェアのバージョン情報またはアップデート状況を検知させ、制御処理で、ソフトウェアの状態に基づいて制限する機能を決定させることを特徴とする。

　本発明によれば、モビリティの制御に用いられるソフトウェアの状態に応じて適切にそのモビリティを制御できる。

本発明によるモビリティ制御システムの一実施形態の構成例を示すブロック図である。モビリティ制御システムの動作例を示すフローチャートである。本発明によるモビリティ制御システムの概要を示すブロック図である。

　以下、本発明の実施形態を図面を参照して説明する。

　図１は、本発明によるモビリティ制御システムの一実施形態の構成例を示すブロック図である。本実施形態のモビリティ制御システム１００は、通信機器１０と、ユニット２０と、ソフトウェア状態検知部３０と、制御部４０と、入出力装置５０とを備えている。

　モビリティ制御システム１００は、制御対象のモビリティ３００に搭載され、そのモビリティ３００の状態に応じた対処を行うシステムである。モビリティ３００の具体例として、コネクテッドカーが挙げられる。本実施形態では、通信機能を利用した自動運転車を想定し、ＯＴＡ（Over the Air）により、通信機器１０やユニット２０に利用されるソフトウェアのアップデートが可能であるとする。また、本実施形態では、ＧＰＳ（Global Positioning System ）や、道路設置機器、インターネットなどを利用する自動運転車の各種機能を具体例として説明する。ただし、モビリティ３００は、車両に限定されず、例えば、電車や、航空機などであってもよい。

　モビリティ制御システム１００は、通信機器１０を介して、外部のセキュリティセンタ２００におけるセキュリティセンタサーバ２１０と通信を行う。セキュリティセンタサーバ２１０は、モビリティの制御に必要な情報や、ソフトウェアに関する情報をモビリティ制御システム１００に送信する。

　通信機器１０は、具体的には、セキュリティセンタサーバ２１０や、任意の外部サーバ（図示せず）との通信を行う機器である。通信機器１０の態様は任意であり、例えば、車載専用のモジュールを搭載した通信機器などにより実現される。通信機器１０は、後述するソフトウェア状態検知部３０に対し、通信状況や、外部の装置から通知されたソフトウェアの情報を通知してもよい。

　ユニット２０は、モビリティの各種状態を検知して制御を行うユニットであり、例えば、各種電子制御ユニットにより実現される。なお、図１には、ユニット２０を１つだけ図示しているが、ユニット２０の数は１つに限定されず、２つ以上であってもよい。モビリティ制御システム１００は、制御対象に応じた複数のユニット２０を含む。例えば、車両の場合、制御対象として、エンジンやブレーキ、メーターやカーナビゲーション、エアバッグなどが挙げられる。

　また、本実施形態のユニット２０が、モビリティの各種制御を行うためのソフトウェアに従って動作するコンピュータのプロセッサ（例えば、ＣＰＵ（Central Processing Unit ）、ＧＰＵ（Graphics Processing Unit））によって実現されていてもよい。

　ソフトウェアの種類として、テレマティクスを制御するソフトウェア、走行を制御するソフトウェア、自動運転を制御するソフトウェア、などが挙げられる。走行に関する制御対象として、エンジンやブレーキ、ハンドル、などが挙げられる。また、自動運転に関する制御対象として、カメラや車間センサ、ＧＰＳなどが挙げられる。なお、上述するソフトウェアの種類の分類は例示であり、ソフトウェアに応じて個々に分類が定められていてもよい。

　なお、車両が走行中の場合、上述するテレマティクスを制御するソフトウェアは、通常、手動運転中または制限付き自動運転中（例えば、通信機能を用いない範囲の自動運転）にアップデートが許可される。また、走行を制御するソフトウェアは、通常、走行中にはアップデートは許可されない。また、自動運転を制御するソフトウェアは、手動運転中であればアップデートが許可される。　

　ソフトウェア状態検知部３０は、モビリティを制御するソフトウェアの状態を検知する。具体的には、ソフトウェア状態検知部３０は、通信機器１０や、モビリティの各種状態を制御するユニット２０で用いられるソフトウェアの状態を検知する。ソフトウェア状態検知部３０は、ユニット２０に対して定期的に状態を問い合わせることでソフトウェアの状態を検知してもよく、ユニット２０から通知される状況に基づいてソフトウェアの状態を検知してもよい。また、ソフトウェア状態検知部３０は、外部の装置（例えば、セキュリティセンタサーバ２１０）からソフトウェアに関する情報（例えば、アップデート情報）の通知を受けたときに、ソフトウェアの状態を検知してもよい。

　ソフトウェア状態検知部３０は、ソフトウェアの状態として、そのソフトウェアのバージョン情報、または、モビリティ制御システム１００内でのアップデート状況を検知する。ソフトウェアのアップデート状況として、現在アップデート中である、アップデート待機中である、アップデートに失敗している、などの状況が挙げられる。

　ソフトウェア状態検知部３０は、ソフトウェアのバージョン情報として、対象とするソフトウェアが最新か否かを検知する。また、ソフトウェアが最新ではない（旧バージョンである）場合、ソフトウェア状態検知部３０は、さらに、そのソフトウェアの脆弱性の有無を検知してもよい。

　ソフトウェア状態検知部３０は、モビリティ制御システム１００が利用するソフトウェアのアップデート情報や脆弱性の有無を示す情報を、通信機器１０を介して、定期的に外部の装置（例えば、セキュリティセンタサーバ２１０）に問い合わせてもよく、ソフトウェアの製造元から不定期にアップデート情報を受信するようにしてもよい。そして、ソフトウェア状態検知部３０は、外部の装置から得られたソフトウェアのアップデート情報または脆弱性の有無を示す情報に基づいて、現在利用中のソフトウェアの状態を検知してもよい。

　制御部４０は、ソフトウェア状態検知部３０が検知したソフトウェアの状態に基づいて、モビリティ３００の稼働機能を制限する制御を行う。具体的には、制御部４０は、ソフトウェアの状態に基づいて制限する機能を決定し、決定した機能について各種制御を行う。

　ソフトウェアが最新のバージョンでないことが検知された場合、制御部４０は、最新版へのアップデートの推奨を利用者へ通知する。また、そのソフトウェアが脆弱性のあるソフトウェアである場合、制御部４０は、最新版へのアップデートをより強く推奨するように利用者へ通知し、さらに、脆弱性の個所に応じた機能を制限する制御を行ってもよい。このように、脆弱性の個所に応じて機能を制限することで、一部の機能に脆弱性を有するソフトウェアにより稼働する他の機能への影響を抑制しつつ、対象とする機能のみを制限することが可能になる。

　また、この場合、制御部４０は、脆弱性の個所に応じた機能について、ソフトウェアのアップデート中に行う機能制限と同様の制限を行ってもよい。制御部４０は、例えば、後述する入出力装置５０に対して、ソフトウェアのアップデートが必要である旨を出力させる制御を行ってもよい。

　ソフトウェアがアップデート中である状況が検知された場合、制御部４０は、アップデート個所に応じた機能を制限する制御を行う。例えば、テレマティクスを制御するソフトウェアは、通信機能を利用して走行に必要な各種情報を送受信する処理を行う。そのため、テレマティクスを制御するソフトウェアがアップデート中の場合、制御部４０は、通信機器の機能を制限する制御を行ってもよい。

　また、例えば、走行を制御するソフトウェアのアップデート中に車両を稼働させることは危険である。そのため、走行を制御するソフトウェアがアップデート中の場合、制御部４０は、運転できないように、各種機能を制限する制御を行ってもよい。なお、この場合、制御部４０は、車両が停止するまでソフトウェアの更新を行えないように制御してもよい。

　また、例えば、自動運転を制御するソフトウェアがアップデート中の場合に自動運転を行うことは危険である。そのため、自動運転を制御するソフトウェアがアップデート中の場合、制御部４０は、自動運転を行うための機能を制限する制御を行い、手動運転を行うための制御を行ってもよい。

　ソフトウェアがアップデート待機中である状況が検知された場合、制御部４０は、アップデートによりモビリティの稼働機能（運転モード）が変化する旨を利用者に通知する制御を行うとともに、アップデート対象のソフトウェアの脆弱性の有無に応じた制御を行う。具体的には、アップデート待機中のソフトウェアに脆弱性があることが判明している場合、制御部４０は、脆弱性の個所に応じた機能を制限する制御を行う。

　また、ソフトウェアのアップデートに失敗している状況が検知された場合、制御部４０は、利用者に対してアップデートに失敗した旨の通知および再アップデートを促す通知する制御を行い、アップデート待機中と同様の制御を行う。すなわち、制御部４０は、上記通知とともに、アップデート対象のソフトウェアの脆弱性の有無に応じた制御を行う。

　なお、アップデート待機中またはアップデートに失敗した場合、制御部４０は、自動的にアップデートを開始するか否かの確認をユーザに通知してもよい。

　入出力装置５０は、モビリティ３００の操作者とモビリティ制御システム１００との間の入出力処理を行う装置である。入出力装置５０は、例えば、ＩＶＩ（in-vehicle infotainment ）により実現される。入出力装置５０は、制御部４０からの指示に応じて、ソフトウェアのアップデート状況や、制御部４０による制御内容を出力してもよい。

　ソフトウェア状態検知部３０と、制御部４０とは、プログラム（モビリティ制御プログラム）に従って動作するコンピュータのプロセッサ（例えば、ＣＰＵ（Central Processing Unit ）、ＧＰＵ（Graphics Processing Unit））によって実現される。

　例えば、プログラムは、モビリティ制御システム１００が備える記憶部（図示せず）に記憶され、プロセッサは、そのプログラムを読み込み、プログラムに従って、ソフトウェア状態検知部３０および制御部４０として動作してもよい。また、モビリティ制御システム１００の機能がＳａａＳ（Software as a Service ）形式で提供されてもよい。

　ソフトウェア状態検知部３０と、制御部４０とは、それぞれが専用のハードウェアで実現されていてもよい。また、各装置の各構成要素の一部又は全部は、汎用または専用の回路（circuitry ）、プロセッサ等やこれらの組合せによって実現されもよい。これらは、単一のチップによって構成されてもよいし、バスを介して接続される複数のチップによって構成されてもよい。各装置の各構成要素の一部又は全部は、上述した回路等とプログラムとの組合せによって実現されてもよい。

　また、モビリティ制御システム１００の各構成要素の一部又は全部が複数の情報処理装置や回路等により実現される場合には、複数の情報処理装置や回路等は、集中配置されてもよいし、分散配置されてもよい。

　次に、本実施形態の動作例を説明する。図２は、本実施形態のモビリティ制御システム１００の動作例を示すフローチャートである。ソフトウェア状態検知部３０は、ソフトウェアの状態として、そのソフトウェアのバージョン情報またはアップデート状況を検知する（ステップＳ３１）。制御部４０は、検知されたソフトウェアの状態に基づいて、モビリティの稼働機能を制限する制御を行う（ステップＳ３２）。

　以上のように、本実施形態では、ソフトウェア状態検知部３０が、ソフトウェアの状態として、そのソフトウェアのバージョン情報またはアップデート状況を検知し、制御部４０が、ソフトウェアの状態に基づいて、モビリティの稼働機能を制限する制御を行う。よって、モビリティの制御に用いられるソフトウェアの状態に応じて適切にそのモビリティを制御できる。

　次に、本発明の概要を説明する。図３は、本発明によるモビリティ制御システムの概要を示すブロック図である。本発明によるモビリティ制御システム８０は、制御対象のモビリティ（例えば、モビリティ３００）に搭載され、そのモビリティの状態に応じた制御を行うモビリティ制御システム（例えば、モビリティ制御システム１００）であって、モビリティを制御するソフトウェアの状態を検知するソフトウェア状態検知部８１（例えば、ソフトウェア状態検知部３０）と、ソフトウェアの状態に基づいて、モビリティの稼働機能を制限する制御を行う制御部８２（例えば、制御部４０）とを備えている。

　ソフトウェア状態検知部８１は、ソフトウェアの状態として、そのソフトウェアのバージョン情報またはアップデート状況を検知し、制御部８２は、ソフトウェアの状態に基づいて制限する機能を決定する。

　そのような構成により、モビリティの制御に用いられるソフトウェアの状態に応じて適切にそのモビリティを制御できる。

　また、ソフトウェア状態検知部８１は、ソフトウェアの状態として、ソフトウェアのアップデート状況を検知し、制御部８２は、アップデート中である状況をソフトウェア状態検知部８１が検知した場合、アップデート個所に応じた機能を制限する制御を行ってもよい。そのような構成により、アップデートにより影響する機能の変化を予め抑制することが可能になる。

　また、ソフトウェア状態検知部８１は、ソフトウェアの状態として、ソフトウェアの脆弱性の有無を検知し、制御部８２は、脆弱性の個所に応じた機能を制限する制御を行ってもよい。そのような構成により、脆弱性を有する機能に基づく不測の動作が生じることを抑制することが可能になる。

　また、ソフトウェア状態検知部８１は、ソフトウェアの状態として、ソフトウェアのアップデートの待機中またはソフトウェアのアップデートに失敗したことを検知し、制御部８２は、アップデート待機中のソフトウェアまたはアップデートに失敗したソフトウェアに含まれる脆弱性の個所に応じた機能を制限する制御を行ってもよい。そのような構成により、アップデートが行われるまでの間に生じ得る脆弱性を有する機能に基づく不測の動作を抑制することが可能になる。

　また、モビリティは、自動運転を行うコネクテッドカーであってもよい。このとき、ソフトウェア状態検知部８１は、外部の装置から得られたソフトウェアのアップデート情報または脆弱性の有無を示す情報に基づいて、現在利用中のソフトウェアの状態を検知してもよい。

　また、この場合、ソフトウェア状態検知部８１は、ソフトウェアの状態として、ソフトウェアのアップデート状況を検知し、制御部８２は、アップデート中である状況をソフトウェア状態検知部８１が検知した場合、自動運転を行うための機能を制限する制御を行ってもよい。そのような構成により、自動運転に及ぼす不測の動作を抑制することが可能になる。

　以上、実施形態及び実施例を参照して本願発明を説明したが、本願発明は上記実施形態および実施例に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。

　この出願は、２０１９年８月６日に出願された日本特許出願２０１９－１４４７４９を基礎とする優先権を主張し、その開示の全てをここに取り込む。

　１０　通信機器
　２０　ユニット
　３０　ソフトウェア状態検知部
　４０　制御部
　５０　入出力装置
　１００　モビリティ制御システム
　２００　セキュリティセンタ
　２１０　セキュリティセンタサーバ
　３００　モビリティ

Claims

　制御対象のモビリティに搭載され、当該モビリティの状態に応じた制御を行うモビリティ制御システムであって、
　前記モビリティを制御するソフトウェアの状態を検知するソフトウェア状態検知部と、
　前記ソフトウェアの状態に基づいて、前記モビリティの稼働機能を制限する制御を行う制御部とを備え、
　前記ソフトウェア状態検知部は、前記ソフトウェアの状態として、当該ソフトウェアのバージョン情報またはアップデート状況を検知し、
　前記制御部は、前記ソフトウェアの状態に基づいて制限する機能を決定する
　ことを特徴とするモビリティ制御システム。
　ソフトウェア状態検知部は、ソフトウェアの状態として、ソフトウェアのアップデート状況を検知し、
　制御部は、アップデート中である状況をソフトウェア状態検知部が検知した場合、アップデート個所に応じた機能を制限する制御を行う
　請求項１記載のモビリティ制御システム。
　ソフトウェア状態検知部は、ソフトウェアの状態として、ソフトウェアの脆弱性の有無を検知し、
　制御部は、脆弱性の個所に応じた機能を制限する制御を行う
　請求項１または請求項２記載のモビリティ制御システム。
　ソフトウェア状態検知部は、ソフトウェアの状態として、ソフトウェアのアップデートの待機中またはソフトウェアのアップデートに失敗したことを検知し、
　制御部は、アップデート待機中のソフトウェアまたはアップデートに失敗したソフトウェアに含まれる脆弱性の個所に応じた機能を制限する制御を行う
　請求項１から請求項３のうちのいずれか１項に記載のモビリティ制御システム。
　モビリティは、自動運転を行うコネクテッドカーであり、
　ソフトウェア状態検知部は、外部の装置から得られたソフトウェアのアップデート情報または脆弱性の有無を示す情報に基づいて、現在利用中のソフトウェアの状態を検知する
　請求項１から請求項４のうちのいずれか１項に記載のモビリティ制御システム。
　ソフトウェア状態検知部は、ソフトウェアの状態として、ソフトウェアのアップデート状況を検知し、
　制御部は、アップデート中である状況をソフトウェア状態検知部が検知した場合、自動運転を行うための機能を制限する制御を行う
　請求項５記載のモビリティ制御システム。
　対象とするモビリティの状態に応じた制御を行うモビリティ制御方法であって、
　ソフトウェアの状態として、当該ソフトウェアのバージョン情報またはアップデート状況を検知し、
　前記ソフトウェアの状態に基づいて、前記モビリティの稼働機能を制限する制御を行う
　ことを特徴とするモビリティ制御方法。
　ソフトウェアの状態として、ソフトウェアのアップデート状況を検知し、
　アップデート中である状況を検知した場合、アップデート個所に応じた機能を制限する制御を行う
　請求項７記載のモビリティ制御方法。
　制御対象のモビリティに搭載され、当該モビリティの状態に応じた制御を行うコンピュータに適用されるモビリティ制御プログラムであって、
　前記コンピュータに、
　前記モビリティを制御するソフトウェアの状態を検知するソフトウェア状態検知処理、および、
　前記ソフトウェアの状態に基づいて、前記モビリティの稼働機能を制限する制御を行う制御処理を実行させ、
　前記ソフトウェア状態検知処理で、前記ソフトウェアの状態として、当該ソフトウェアのバージョン情報またはアップデート状況を検知させ、
　前記制御処理で、前記ソフトウェアの状態に基づいて制限する機能を決定させる
　ためのモビリティ制御プログラム。
　コンピュータに、
　ソフトウェア状態検知処理で、ソフトウェアの状態として、ソフトウェアのアップデート状況を検知させ、
　制御処理で、アップデート中である状況をソフトウェア状態検知処理で検知した場合、アップデート個所に応じた機能を制限する制御を行わせる
　請求項９記載のモビリティ制御プログラム。