Search

JP-2026077822-A - 車両制御システム、車両製造方法、プログラム及び情報処理装置

JP2026077822AJP 2026077822 AJP2026077822 AJP 2026077822AJP-2026077822-A

Abstract

【課題】遠隔または自動での車両制御を実行しつつ、遠隔または自動での車両制御機能を無効化することでセキュリティを担保する車両制御システムを提供する。 【解決手段】通信機能を有する通信端末(102)を備える車両(101)と、通信端末を介した通信を用いて車両の運転制御を実行する、車両に搭載されたECU(103)と、車両の外部から通信端末を介してECUに車両の運転制御をするために用いられる制御指示値を送信する送信部(104)と、車両の外部から通信端末を介してECUに不可逆に車両の運転制御の無効化を要求する無効化要求部(105)と、を備え、運転制御を実行後に無効化要求部から無効化が要求された場合に不可逆な前記運転制御の無効化を実行する、車両制御システム(100)を提供する。 【選択図】図2

Inventors

  • 安山 翔悟
  • 澤野 拓朗
  • 横山 大樹

Assignees

  • トヨタ自動車株式会社

Dates

Publication Date
20260513
Application Date
20260218
Priority Date
20221031

Claims (13)

  1. 通信機能を有する通信端末を備える車両と、 前記通信端末を介した通信を用いて前記車両の運転制御を実行する、前記車両に搭載されたECU(Electronic Control Unit)と、 前記車両の外部から前記通信端末を介して前記ECUに前記車両の運転制御をするために用いられる制御指示値を送信する送信部と、 前記車両の外部から前記通信端末を介して前記ECUに不可逆に前記車両の運転制御の無効化を要求する無効化要求部と、を備え、 前記運転制御を実行後に前記無効化要求部から無効化が要求された場合に不可逆な前記運転制御の無効化を実行し、 前記制御指示値は、CAN通信を用いて通信され、 前記運転制御の無効化は、ダイアグノシス通信を用いて通信される車両制御システム。
  2. 前記運転制御の無効化を実行後、ダイアグノシス通信を用いて無効化が確認される、請求項1に記載の車両制御システム。
  3. 前記車両制御システムは、車両工場において検査時に運転制御が実行され、出荷前に無効化が実行される、請求項1に記載の車両制御システム。
  4. 前記通信端末は、ドングルまたはデータコミュニケーションモジュールである、請求項1に記載の車両制御システム。
  5. 前記通信端末は、前記運転制御の無効化後、作業員によって回収される、請求項1に記載の車両制御システム。
  6. 前記運転制御の無効化は、 前記ECUの回路を焼き付かせる、または 前記ECUに記憶された前記通信機能の発揮するアプリを削除する、または 前記ECUに記憶された前記通信機能を発揮するソフトウェアを書き換える、ことで実行される、請求項1に記載の車両制御システム。
  7. 前記運転制御の無効化は、 前記車両が所定の位置に来たことを検出した場合、または 作業員が所定の操作をした場合、または 生産管理情報を参照し、運転制御の必要のないことを確認した場合、または 無効化指示を受信した場合、または 前記車両が給電装置で所定の給電を完了した場合、または 前記車両にラップを完了した場合、に実行される、請求項1に記載の車両制御システム。
  8. 前記車両制御システムは、車両工場に設置された撮像装置の情報に基づいて運転制御が実行され、 前記撮像装置で撮影された作業員の動作の情報に基づいて、前記運転制御の無効化が実行される、請求項1に記載の車両制御システム。
  9. 前記不可逆な運転制御の無効化が実行された後、前記車両が所定の動作を実行する、請求項1に記載の車両制御システム。
  10. 前記所定の動作は、 非常点滅灯の点灯、または ホーンの鳴動、または ワイパ動作、または 車輪を左右に動かす、または 車両の外部に設置されているモニタへの表示である、請求項9に記載の車両制御システム。
  11. 車両工場において検査時に車両の外部から通信端末を介する要求により、前記車両を運転制御し、 前記運転制御を実行後かつ出荷前に前記車両の外部から前記通信端末を介して無効化が要求された場合、不可逆な前記車両の運転制御の無効化をする車両製造方法であって、 前記運転制御は、CAN通信を用いて通信され、 前記運転制御の無効化は、ダイアグノシス通信を用いて通信される、車両製造方法。
  12. 車両の外部から通信端末を介する要求による、前記車両の運転制御することと、 前記運転制御を実行後に前記車両の外部から前記通信端末を介して無効化が要求された場合、不可逆な前記車両の運転制御の無効化することを車両に搭載されたECU(Electronic Control Unit)に実行させるプログラムであって、 前記運転制御は、CAN通信を用いて通信され、 前記運転制御の無効化は、ダイアグノシス通信を用いて通信される、プログラム。
  13. 車両の外部から通信端末を介してECUに前記車両の運転制御をするために用いられる制御指示値を送信する送信部と、 前記車両の外部から前記通信端末を介して前記ECUに不可逆に前記車両の運転制御の無効化を要求する無効化要求部と、を備え、 前記運転制御を実行後に前記無効化要求部から無効化が要求された場合に、不可逆な前記運転制御の無効化を実行する情報処理装置であって、 前記制御指示値は、CAN通信を用いて通信され、 前記運転制御の無効化は、ダイアグノシス通信を用いて通信される情報処理装置。

Description

本開示は車両制御システム、車両製造方法、プログラム及び情報処理装置に関する。 特許文献1には、高いセキュリティ性の確保を可能にした認証システム及び認証方法の発明が記載されている。特許文献1に記載の発明は、車両及び端末の間でチャレンジレスポンス認証を行う場合、車両側で乱数値の生値を生成する。生値は車両において第1変換乱数に変換され、この第1変換乱数値から第1認証値が生成される。車両側の第1認証値は車両から端末に送信され端末において同様に生成された第1認証値と照合される。また、端末は車両から受信した乱数値の生値を第2変換乱数値に変換し、この第2変換乱数値から第2認証値を生成する。端末側の第2認証値は端末から車両に送信され、車両において同様に生成された第2認証値と照合される。第1認証値及び第2認証値の照合がともに成立すればチャレンジレスポンス認証が成立に移行する。 特開2021-129158号公報 実施の形態にかかる車両制御システムの概略図である。実施の形態にかかる車両制御システムの構成例を示すブロック図である。実施の形態にかかる車両の製造方法のフローチャートである。第1実施形態におけるシステム50の構成を示す概念図である。システム50の構成を示すブロック図である。第1実施形態における車両400の走行制御の処理手順を示すフローチャートである。第2実施形態におけるシステム50vの概略構成を示す説明図である。第2実施形態における車両400vの走行制御の処理手順を示すフローチャートである。 実施の形態 以下、図面を参照して本発明の実施の形態について説明する。しかしながら、特許請求の範囲にかかる発明を以下の実施の形態に限定するものではない。また、実施の形態で説明する構成の全てが課題を解決するための手段として必須であるとは限らない。説明の明確化のため、以下の記載及び図面は、適宜、省略、及び簡略化がなされている。各図面において、同一の要素には同一の符号が付されており、必要に応じて重複説明は省略されている。 (実施の形態にかかる車両制御システムの説明) 図1は、実施の形態にかかる車両制御システムの概略図である。図2は、実施の形態にかかる車両制御システムの構成例を示すブロック図である。図1及び2を参照しながら、実施の形態にかかる車両制御システムを説明する。 車両制御システム100は、例えば車両製造工場で用いられる。車両製造時において、検査時に遠隔または自動制御により車両を移動し、出荷前に遠隔または自動制御を無効にする必要がある。検査時に遠隔または自動制御することで無人で操縦でき人為的な事故を起こしにくくする。また、出荷前に遠隔または自動制御を無効にすることで車両の使用時に遠隔制御されることを防ぐ。車両制御システム100により、出荷前の車両の制御が自動運転で行われることができる。 図1及び2に示すように、車両制御システム100は、車両101と、通信端末102と、ECU(Electronic Control Unit)103と、送信部104と、無効化要求部105と、を備える。 車両101は、製造されるあらゆる車両に用いることができる。車両101は、乗用車、トラック、バス、及び工事用車両など製造され検査される車両である。 通信端末102は、車両の外部の装置と通信する通信機能を有する端末である。通信端末102は、例えばドングルなど車両101に搭載された無線通信端末である。ドングルは、遠隔または自動制御の無効化後、作業員によって出荷前に回収される。また、通信端末は、データコミュニケーションモジュール(DCM(Data Communication Module))であってもよい。通信端末102は、有線通信端末でもよい。通信端末102は、車両の制御及び検査に一般的なCAN(Controller Area Network)通信及びダイアグノシス通信を用いて通信できる。CAN通信とは、多方向に送信または受信を行うことができる通信規格である。ダイアグノシス通信は、要求と応答が1対1で対応付けることができる通信規格であり、故障の診断などに用いられる。 ECU103は、例えばブレーキECUなど、車両101に搭載され、車両101を制御する一般的なECUである。ECU103は、通信端末を介した通信を用いて遠隔または自動で車両の運転制御を実行する。そのため、ECU103は、CAN通信を介した制御指示値に従い車両のアクチュエータを制御する。制御指示値は、舵角、加速度、自動運転のためのマップと経路情報、映像など運転制御するために必要なデータである。運転制御とは、加速度、速度、及び舵角などの制御である。また、ECU103は、遠隔または自動の運転制御を実行後に、ダイアグノシス通信を介した指示により不可逆に車両の遠隔または自動の運転制御の無効化を実行する。そのため、ECU103は、FPGA(Field Programable Gate Array)、及びフラッシュメモリなどを搭載したセキュアマイコンを備える。ECU103は、例えばハードウェアセキュリティモジュールを備える。既存の通信規格を使い分けることによって、安価にセキュリティを高めることができる。 送信部104は、制御PC(Personal Computer)またはサーバなど車両の外部の情報処理装置である。送信部104は、車両101の外部から通信端末102を介してECU103に車両の遠隔または自動の運転制御を要求するための制御指示値を送信する。そのため送信部104は、CAN通信を介して車両101に遠隔または自動の運転制御のための制御指示値を送信する。 無効化要求部105は、電子検査装置など、車両の外部の情報処理装置である。無効化要求部105は、車両101の外部から通信端末102を介してECU103に不可逆に車両の遠隔または自動の運転制御の無効化を要求する。そのため、無効化要求部105は、ダイアグノシス通信を介して車両101に遠隔または自動の運転制御の無効化を要求する。 ここでは、送信部104は、無効化要求部105と異なる情報処理装置であると記載したが、同じ情報処理装置であってもよい。情報処理装置は、1つの情報処理装置であっても複数の情報処理装置であってもよい。また、情報処理装置の機能の一部または全部をクラウドに分散させることができる。また、通信端末102は、1つであると記載した。しかしながら、通信端末102が複数あり、通信規格毎に通信端末を使い分けてもよい。 これらの装置を用いて、車両制御システム100は、遠隔または自動の運転制御を実行後に、不可逆な遠隔または自動の運転制御の無効化を実行する。不可逆な運転制御の無効化は、遠隔または自動の運転制御に用いられた回路を焼き付かせることで実現できる。回路を焼き付かせるためにヒューズを用いる、または半田でショートさせるなどが考えられる。また、不可逆な運転制御の無効化は、車両に搭載されたソフトウェアから遠隔または自動の運転制御のためのアプリを削除する、または車両に搭載されたソフトウェアを書き換えることで実現できる。 不可逆な運転制御の無効化は、車両が工程上の所定の位置に来た場合をトリガにできる。所定の位置とは、例えば工場での工程終了の位置、出荷直前の位置、または遠隔または自動運転しなくなる工程の位置である。所定の位置は、情報処理装置が取得しても、車両が取得してもよい。 不可逆な運転制御の無効化は、作業員が所定の操作をした場合をトリガにできる。所定の操作とは、例えばウインカを操作する、または撮像装置で作業員を撮影したとき、作業員が所定の動作たとえば、所定の姿勢を取ることである。このように、作業員の所定の操作は情報処理装置が取得しても、車両が取得してもよい。 不可逆な運転制御の無効化は、生産管理情報を参照し、運転制御の必要のないことを確認した場合をトリガにしてもよい。生産管理情報は、どの車両がこの時間どこにいるかの情報である。情報処理装置が生産管理情報を参照し、送信部104から無効化指示を送信してもよい。 不可逆な運転制御の無効化は、遠隔または自動の運転制御の無効化指示を受信した場合をトリガにしてもよい。例えば、情報処理装置の送信部104が無効化指示を送信する。 不可逆な運転制御の無効化は、車両が給電装置で所定の給電を完了した場合をトリガにしてもよい。撮像装置が給電装置に入った時間を記録し、給電時間に応じて所定の給電が完了したことを情報処理装置に通知してトリガにしてもよい。また、車両がSOC(State Of Charge)を監視し、所定の給電が完了したことを検出することをトリガにしてもよい。 不可逆な運転制御の無効化は、作業員が車両にラップを完了した場合をトリガにしてもよい。ラップとは、納車前の保護シールの貼り付けである。 また、運転制御の無効化を実行後、ダイアグノシス通信を用いて無効化が確認される。このように、既存の通信規格を用いて無効化を確認できる。また、無効化ができていなかった場合、再度、無効化要求部105が、無効化のための通信を行う。 ダイアグノシス通信を用いて運転制御の無効化を確認する以外に、人が目で見て運転制御の無効化を確認してもよい。例えば不可逆な運転制御の無効化が実行された後、車両が所定の動作を実行してもよい。所定の動作は、非常点滅灯の点灯、またはホーンの鳴動、またはワイパ動作、または車輪を左右に動かす、または車両の外部に設置されているモニタへの完了の旨の表示である。 所定の動作を確認した作業員は、車両に乗り込んでドングルを回収する、または次の目的地に向けて運転を開始する。 このように既存の技術を用いて、遠隔または自動での車両制御を実行しつつ、遠隔または自動での車両制御機能を無効化することでセキュリティを担保する車両遠隔制御システムを提供できる。そのため安価で安全なシステムを構築できる。 (実施の形態にかかる車両製造方法の説明) 図3は、実施の形態にかかる車両の製造方法のフローチャートである。図3を参照しながら、実施の形態にかかる車両の製造方法を説明する。 実施の形態にかかる車両の製造方法は、車両制御システム100を用いる。まず、車両101を遠隔または自動で制御する(ステップS301)。車両工場において車両を組み立て後、検査時に車両101の外部から通信端末102を介する要求により車両を遠隔または自動で運転制御する。そのため、送信部104は、車両101制御指示値を通信端末102経由でCAN通信によりECU103に送信する。そして、ECU103は、制御指示値を受信する。ECU103により運転制御が実現され、遠隔または自動制御により車両が走行する。 次に遠隔または自動の運転制御を無効化する(ステップS302)。出荷前に車両の外部から通信端末を介する要求により、不可逆な車両の遠隔の運転制御の無効化をする。そのため、遠隔または自動での車両制御が不要となったとき、無効化要求部105は、通信端末102経由でダイアグノシス通信によりECU103に無効化要求を送信する。そして、ECU103が無効化要求を受信する。最後に、ECU103が送信部104からの制御指示値の受信を無効化する状態へ遷移する。それによりセキュリティが確保される。 このように、遠隔または自動での車両制御を実行しつつ、遠隔または自動での車両制御機能を無効化することでセキュリティを担保する車両の製造方法を提供できる。また、出荷前の車両の制御を自動運転で行って車両を製造できる。 (第1実施形態におけるシステムの説明) 図4は、第1実施形態におけるシステム50の構成を示す概念図である。システム50は、移動体としての1以上の車両400と、サーバ200と、1以上の外部センサ300とを備える。 本開示において、「移動体」は、移動し得る物体を意味し、例えば、車両や電動垂直離着陸機(いわゆる空飛ぶ自動車)である。車両