Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP7719783B2 - 制御モード切替装置、制御モード切替方法、および、プログラム - Google Patents
[go: Go Back, main page]

JP7719783B2 - 制御モード切替装置、制御モード切替方法、および、プログラム - Google Patents

制御モード切替装置、制御モード切替方法、および、プログラム

Info

Publication number
JP7719783B2
JP7719783B2 JP2022546910A JP2022546910A JP7719783B2 JP 7719783 B2 JP7719783 B2 JP 7719783B2 JP 2022546910 A JP2022546910 A JP 2022546910A JP 2022546910 A JP2022546910 A JP 2022546910A JP 7719783 B2 JP7719783 B2 JP 7719783B2
Authority
JP
Japan
Prior art keywords
robot
control mode
abnormality
score
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022546910A
Other languages
English (en)
Other versions
JPWO2022049894A1 (ja
Inventor
剛 岸川
良浩 氏家
亮 平野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Corp of America
Original Assignee
Panasonic Intellectual Property Corp of America
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Corp of America filed Critical Panasonic Intellectual Property Corp of America
Publication of JPWO2022049894A1 publication Critical patent/JPWO2022049894A1/ja
Application granted granted Critical
Publication of JP7719783B2 publication Critical patent/JP7719783B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Program-control systems
    • G05B19/02Program-control systems electric
    • G05B19/18Numerical control [NC], i.e. automatically operating machines, in particular machine tools, e.g. in a manufacturing environment, so as to execute positioning, movement or co-ordinated operations by means of program data in numerical form
    • G05B19/4155Numerical control [NC], i.e. automatically operating machines, in particular machine tools, e.g. in a manufacturing environment, so as to execute positioning, movement or co-ordinated operations by means of program data in numerical form characterised by program execution, i.e. part program or machine function execution, e.g. selection of a program
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/08Interaction between the driver and the control system
    • B60W50/10Interpretation of driver requests or demands
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W60/00Drive control systems specially adapted for autonomous road vehicles
    • B60W60/001Planning or execution of driving tasks
    • B60W60/0015Planning or execution of driving tasks specially adapted for safety
    • B60W60/0018Planning or execution of driving tasks specially adapted for safety by employing degraded modes, e.g. reducing speed, in response to suboptimal conditions
    • B60W60/00188Planning or execution of driving tasks specially adapted for safety by employing degraded modes, e.g. reducing speed, in response to suboptimal conditions related to detected security violation of control systems, e.g. hacking of moving vehicle
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05DSYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
    • G05D1/00Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
    • G05D1/0011Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots associated with a remote control arrangement
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05DSYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
    • G05D1/00Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
    • G05D1/0011Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots associated with a remote control arrangement
    • G05D1/0038Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots associated with a remote control arrangement by providing the operator with simple or augmented images from one or more cameras located onboard the vehicle, e.g. tele-operation
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05DSYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
    • G05D1/00Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
    • G05D1/0055Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots with safety arrangements
    • G05D1/0061Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots with safety arrangements for transition from automatic pilot to manual pilot and vice versa
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05DSYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
    • G05D1/00Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
    • G05D1/20Control system inputs
    • G05D1/22Command input arrangements
    • G05D1/221Remote-control arrangements
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05DSYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
    • G05D1/00Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
    • G05D1/80Arrangements for reacting to or preventing system or operator failure
    • G05D1/81Handing over between on-board automatic and on-board manual control
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/50Machine tool, machine tool null till machine tool work handling
    • G05B2219/50391Robot

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Radar, Positioning & Navigation (AREA)
  • Remote Sensing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Human Computer Interaction (AREA)
  • Aviation & Aerospace Engineering (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Manufacturing & Machinery (AREA)
  • Manipulator (AREA)

Description

本開示は、ロボットの制御モードを切り替える制御モード切替装置、および、制御モード切替方法に関する。
近年、多くのロボットシステム(ロボット)が、日常生活で利用されるようになり、ロボットの重要性が高まってきている。特に最近では労働力不足、物流の増加等の背景により、自動運転トラック、自律配送ロボット等の普及が期待されている。
このようなモビリティロボットは、工場等の予め定められた環境で動作する従来型の産業用ロボットとは異なり、公道等の公共の場で動作することが想定されている。
公共の場で動作するロボットには、不正アクセス、不正制御等の多様なセキュリティリスクが存在する。さらにロボットのセキュリティリスクは、従来のITシステムにおける情報窃取、サービス不全のリスク等だけでなく、ロボット近辺の人、モノ、環境等に影響が及ぶ場合がある。
このような状況において、例えば自動車の制御ネットワークでは、セキュリティ異常が発生していないかを監視し、対応する方法が開示されている(例えば特許文献1を参照)。
特許第6508631号公報
しかしながら、特許文献1のような方法では、車載ネットワークに対する攻撃が発生したことを検出することが可能となるものの、制御中のロボットに対して即時に取るべき対応までを判断することはできない。
例えば、攻撃検出時のロボットの制御状態によっては、単純にロボットを停止させることで、反って被害が大きくなることも考えられる。そのため、攻撃検出時には、安全な制御モードでロボットの制御を継続可能とすることが求められることがある。
そこで、本開示は、安全な制御を継続するための制御モード切替装置、および、制御モード切替方法を提供する。
本開示の一態様に係る制御モード切替装置は、ロボットの制御モードを切り替える制御モード切替装置であって、前記制御モードは、外部ネットワークを介して第1ユーザにより制御される遠隔制御モード、第2ユーザからの前記外部ネットワークを介さない操作により制御される手動制御モード、および、前記ロボットに設けられたセンサにより取得されたセンサ情報に基づいて制御される自律制御モードのうちの2つ以上を含み、前記制御モード切替装置は、前記ロボット内の制御ネットワーク上の通信メッセージと、前記制御モードとに基づいて、前記第1ユーザまたは前記第2ユーザの制御に起因するユーザ異常、前記制御ネットワークに起因するロボット異常、前記ロボットの動作環境に起因する動作環境異常、および、前記制御ネットワークに接続され前記ロボットを制御する制御装置が動作させるアプリケーションに起因するアプリケーション異常のいずれか1つ以上の異常の検知結果を取得する取得部と、取得された前記検知結果に基づいて、検知された前記異常の種類ごとに、当該異常の種類が前記ロボットにおける異常発生の要因である可能性を示すスコアを算出し、算出された前記スコアに基づいて、前記ロボットの制御モードを切り替える切替部とを備える。
本開示の一態様に係る制御モード切替方法は、ロボットの制御モードを切り替える制御モード切替方法であって、前記制御モードは、外部ネットワークを介して第1ユーザにより制御される遠隔制御モード、第2ユーザからの前記外部ネットワークを介さない操作により制御される手動制御モード、および、前記ロボットに設けられたセンサにより取得されたセンサ情報に基づいて制御される自律制御モードのうちの2つ以上を含み、前記制御モード切替方法は、前記ロボット内の制御ネットワーク上の通信メッセージと、前記制御モードとに基づいて、前記第1ユーザまたは前記第2ユーザの制御に起因するユーザ異常、前記制御ネットワークに起因するロボット異常、前記ロボットの動作環境に起因する動作環境異常、および、前記制御ネットワークに接続され前記ロボットを制御する制御装置が動作させるアプリケーションに起因するアプリケーション異常のいずれか1つ以上の異常の検知結果を取得し、取得された前記検知結果に基づいて、検知された前記異常の種類ごとに、当該異常の種類が前記ロボットにおける異常発生の要因である可能性を示すスコアを算出し、算出された前記スコアに基づいて、前記ロボットの制御モードを切り替える。
本開示によれば、安全な制御を継続することを可能な制御モード切替装置等を実現することができる。
図1は、実施の形態における、ロボット監視システムの全体構成図である。 図2は、実施の形態における、ロボットに搭載されるロボットネットワークの構成図である。 図3は、実施の形態における、TCU(Telematic Control Unit)の構成図である。 図4は、実施の形態における、セントラルECU(Electronic Control Unit)の構成図である。 図5は、実施の形態における、ユーザインタフェースECUの構成図である。 図6は、実施の形態における、Ethernet(登録商標、以下同様)スイッチの構成図である。 図7は、実施の形態における、自律運転ECUの構成図である。 図8は、実施の形態における、センサECUの構成図である。 図9は、実施の形態における、フリート管理サーバの構成図である。 図10は、実施の形態における、監視サーバの構成図である。 図11は、実施の形態における、遠隔制御端末の構成図である。 図12は、実施の形態における、異常検知結果の一例を示す図である。 図13は、実施の形態における、信用スコアの一例を示す図である。 図14は、実施の形態における、ユーザ情報の一例を示す図である。 図15は、実施の形態における、制御モードの一例を示す図である。 図16は、実施の形態における、ロボット状態の一例を示す図である。 図17は、実施の形態における、アカウント情報の一例を示す図である。 図18は、実施の形態における、ロボット信用スコアの一例を示す図である。 図19は、実施の形態における、ユーザ信用スコアの一例を示す図である。 図20は、実施の形態における、ユーザの不正な遠隔制御に対する制御モード切替シーケンスを示す図である。 図21は、実施の形態における、近接第三者による攻撃に対する制御モード切替シーケンスを示す図である。 図22は、実施の形態における、セントラルECUの異常対応処理の全体を示すフローチャートである。 図23は、実施の形態における、セントラルECUの信用スコア更新処理を示すフローチャートである。 図24は、実施の形態における、セントラルECUの異常対応処理を示すフローチャートである。 図25は、実施の形態における、セントラルECUの制御モード切替処理を示すフローチャートである。
(本開示に至った経緯)
本開示の説明に先立ち、本開示に至った経緯について説明する。
「背景技術」でも記載したように、自動運転トラック、自律配送ロボット等のロボットの普及が期待されている。しかし、このようなモビリティロボットは、工場等の予め定められた環境で動作する従来型の産業用ロボットとは異なり、公道等の様々な環境で動作することを想定しており、完全自律制御の実現には課題が残る。
そこで、ロボットが自律制御困難な場面への対応、ロボットの効率的な運行等を実現するため、遠隔オペレータによる遠隔監視または遠隔制御が可能なロボット、多数のロボットの状態を管理するフリートマネジメントシステム等が求められる。
このような技術を活用することで、リモートワーク市場を拡大し、身体的な理由、居住地、労働時間の問題等により働けなかった人に対しても職場を提供することが可能になり、多くの課題の解消に寄与することができる。
一方で、公共の場で動作するロボットに対するサイバーセキュリティの課題も存在する。例えば、自動車においては、遠隔から車載ネットワークに侵入し、自動車を不正に制御する事例が報告されている。また、船舶システムのGPS(Grobal Positioning System)に対して偽装した信号を送信することで、船舶を誘導する攻撃事例も発生している。
このように、公共の場で動作するロボットは、ロボット内の制御ネットワーク、制御アプリケーション、制御装置、センサのセキュリティを確保するだけでなく、ロボットが実際に動作する環境が信頼できないこと、悪意のある第三者が物理的にアクセスする可能性等も考慮にいれる必要がある。
また、ロボットにアクセスする外部装置、例えばサーバ、クライアントアプリケーションが動作する端末等のセキュリティも考慮する必要がある。
さらに、遠隔制御ロボットにおいては、不特定多数の遠隔オペレータが不特定多数のロボットの制御を行うことにより、遠隔オペレータの負荷分散、および、必要な時に必要な労働力を得ることによる労働力の効率的なシェアリングが進むことも予想される。このような場合に、不特定多数の遠隔オペレータによる不正な制御等も考慮にいれる必要がある。
このように、公共の場で動作するロボットは、様々なセキュリティリスクが存在する。さらにロボットのセキュリティリスクは、従来のITシステムにおける情報窃取、サービス不全のリスク等だけでなく、ロボット近辺の人、モノ、環境等に影響が及ぶ場合がある。
公共の場で動作するロボットのセキュリティリスクは、人・モノ・環境への物理的な損害へつながる可能性があるため、攻撃検出時にはただちに安全な状態へ移行する必要があるものの、攻撃検出時のロボットの制御状態によっては、単純にロボットを停止させることで、反って被害が大きくなることも考えられる。
そのため、攻撃検出時には、ロボットに発生した攻撃の原因を突き止め、適切な制御モードでロボットの制御を継続可能なシステムが求められることがある。例えば、攻撃検出時に安全な制御モードでロボットの制御を継続可能なシステムが求められることがある。
そこで、本願発明者らは、安全な制御を継続するための制御モード切替装置、および、制御モード切替方法について鋭意検討し、以下に示す制御モード切替装置、および、制御モード切替方法を創案した。
本開示の一態様に係る制御モード切替装置は、ロボットの制御モードを切り替える制御モード切替装置であって、前記制御モードは、外部ネットワークを介して第1ユーザにより制御される遠隔制御モード、第2ユーザからの前記外部ネットワークを介さない操作により制御される手動制御モード、および、前記ロボットに設けられたセンサにより取得されたセンサ情報に基づいて制御される自律制御モードのうちの2つ以上を含み、前記制御モード切替装置は、前記ロボット内の制御ネットワーク上の通信メッセージと、前記制御モードとに基づいて、前記第1ユーザまたは前記第2ユーザの制御に起因するユーザ異常、前記制御ネットワークに起因するロボット異常、前記ロボットの動作環境に起因する動作環境異常、および、前記制御ネットワークに接続され前記ロボットを制御する制御装置が動作させるアプリケーションに起因するアプリケーション異常のいずれか1つ以上の異常の検知結果を取得する取得部と、取得された前記検知結果に基づいて、検知された前記異常の種類ごとに、当該異常の種類が前記ロボットにおける異常発生の要因である可能性を示すスコアを算出し、算出された前記スコアに基づいて、前記ロボットの制御モードを切り替える切替部とを備える。
これにより、ロボットにおける異常の検知結果に基づく異常発生の要因に応じて制御モードを切り替えることが可能となり、ロボットを安全に保つために効果的である。よって、安全な制御を継続することを可能な制御モード切替装置を実現することができる。
また、例えば、前記センサ情報には、前記ロボットの位置情報、加速度、走行速度、および、カメラ画像のうち少なくとも1つ以上が含まれ、前記ユーザ異常は、前記制御モードが前記手動制御モードまたは前記遠隔制御モードであるときに、前記位置情報が予め制御が想定されている範囲の逸脱、所定の閾値を超える前記加速度または前記走行速度、および、前記カメラ画像に基づく予め想定されていない人またはモノとの接触または接近のいずれかが検知される異常であり、前記ロボット異常は、前記制御ネットワークの通信情報に含まれる故障の通知、または、前記制御ネットワークの通信異常のいずれかが検知される異常であり、前記動作環境異常は、前記位置情報の不連続な変化または無効な値、前記外部ネットワークの通信異常、前記制御ネットワークの電圧変化、前記ロボットの分解のいずれかが検知される異常であってもよい。
これにより、ユーザに起因する異常と、ロボットに起因する異常と、動作環境に起因する異常とを検出することが可能となり、異常に対して適切に制御モードを切り替えることができ効果的である。
また、例えば、前記異常の種類は、ユーザ、ロボット、動作環境、および、アプリケーションのうち少なくとも2つ以上を含み、前記切替部は、前記検知結果が、前記ユーザ異常を検知したことを含む場合にユーザのスコアを更新し、前記ロボット異常を検知したことを含む場合に前記ロボットのスコアを更新し、前記動作環境異常を検知したことを含む場合に動作環境のスコアを更新し、前記アプリケーション異常を検知したことを含む場合に、前記アプリケーションのスコアを更新してもよい。
これにより、検出した異常の種類をもとに、異常の発生原因の候補に対してスコアを算出することが可能となり、スコアに基づいて適切な制御モードに切り替えることができ効果的である。
また、例えば、前記スコアの更新は、スコアを減少することであり、前記切替部は、さらに、複数の前記第1ユーザごとに前記スコアを算出し、前記制御モードが前記遠隔制御モードであり、かつ、前記スコアが第1閾値以下となった不正な第1ユーザが前記ロボットの制御を行っている場合に、当該不正な第1ユーザによる前記制御を受け付けない、他の第1ユーザへの変更を要求、または、前記制御モードを前記遠隔制御モード以外の制御モードに切り替えの少なくとも1つを行い、前記ロボットのスコアが、第2閾値以下となった場合に、前記制御モードを、前記ロボットの制御を限定して、安全な状態で停止させる縮退モードに切り替え、前記動作環境のスコアが、第3閾値以下となった場合に、前記動作環境の確認を行うためのアラートを外部へ要求してもよい。
これにより、スコアの値と、現在の制御モードとに基づいて、ロボットの制御モードの切り替え方法を決定することが可能となり、より安全なロボットの実現に効果的である。
また、例えば、前記切替部は、2種類以上の前記スコアが所定の閾値以下となった場合は、前記ロボットのスコア、前記動作環境のスコア、前記ユーザのスコアの優先順位で、各スコアに基づく対応を行ってもよい。
これにより、制御モードの切り替えのみでは安全な対応が困難なロボットに起因する異常に対して優先的に対応することで、安全性を重視したロボットの実現に効果的である。
また、例えば、前記切替部は、前記検知結果が前記ユーザ異常を検知したことを含み、かつ、前記ロボットのスコア、前記動作環境のスコア、および、前記アプリケーションのスコアのいずれかが所定の条件を満たす場合、前記ユーザのスコアを更新しなくてもよい。
ユーザ異常が他の異常によって引き起こされている、つまりユーザが原因ではないのにユーザ異常が検知されることがある。このような場合に、ユーザのスコアが低く算出されることを抑制することができる。つまり、ユーザのスコアをより正確に算出することができる。
また、例えば、前記アプリケーションは、前記遠隔制御モードのための第1アプリケーション、前記手動制御モードのための第2アプリケーション、および、前記自律制御モードのための第3アプリケーションを含み、前記検知結果には、前記アプリケーション異常として、前記第1アプリケーションの異常、前記第2アプリケーションの異常、および、前記第3アプリケーションの異常が含まれ、前記切替部は、前記第1アプリケーションの異常が検知された場合に、前記第1アプリケーションのスコアを減少させ、前記第2アプリケーションの異常が検知された場合に、前記第2アプリケーションのスコアを減少させ、前記第3アプリケーションの異常が検知された場合に、前記第3アプリケーションのスコアを減少させ、前記第1アプリケーションのスコアが第4閾値以下となった場合に、前記制御モードが前記遠隔制御モードとなることを禁止し、前記第2アプリケーションのスコアが第5閾値以下となった場合に、前記制御モードが前記手動制御モードとなることを禁止し、前記第3アプリケーションのスコアが第6閾値以下となった場合に、前記制御モードが前記自律制御モードとなることを禁止してもよい。
これにより、ロボット内部の異常を詳細に分類することが可能となり、適切な(例えば、安全な)制御モードの切り替え先を選択でき、安全性の向上に効果的である。
また、例えば、前記切替部は、前記センサ情報、および、前記ロボットの状態の少なくとも1つに基づいて前記ロボットが所定の制御状態であるか否かを判断し、前記ロボットが所定の制御状態である場合のみ、前記制御モードの切り替えを行ってもよい。
これにより、ロボットが、制御モードをただちに切り替えた場合に、安全性に問題がある制御を行っている期間を避けて、制御モードを切り替えることが可能となる。つまり、ロボットが安全な状態で、制御モードを切り替えることができる。
また、例えば、前記切替部は、前記ロボットの前記位置情報に基づいて、前記ロボットが所定の範囲に存在している場合のみ、前記制御モードの切り替えを行ってもよい。
これにより、ロボットが、制御モードをただちに切り替えた場合に、安全性に問題があるエリアで制御を行っている期間を避けて、制御モードを切り替えることが可能となる。つまり、制御モードを安全に切り替えられる範囲において、制御モードを切り替えることができる。
また、例えば、前記取得部は、前記通信メッセージと、前記制御モードとに基づいて、前記ユーザ異常、前記ロボット異常、前記動作環境異常、および、前記アプリケーション異常のいずれか1つ以上の異常を検知する異常検知部により実現されてもよい。
これにより、外部の装置から判断結果を取得することなく制御モード切り替えの処理を行うことができる。例えば、通信環境が悪い場合であっても、制御モード切り替えの処理をより確実に行うことができる。
また、本開示の一態様に係る制御モード切替方法は、ロボットの制御モードを切り替える制御モード切替方法であって、前記制御モードは、外部ネットワークを介して第1ユーザにより制御される遠隔制御モード、第2ユーザからの前記外部ネットワークを介さない操作により制御される手動制御モード、および、前記ロボットに設けられたセンサにより取得されたセンサ情報に基づいて制御される自律制御モードのうちの2つ以上を含み、前記制御モード切替方法は、前記ロボット内の制御ネットワーク上の通信メッセージと、前記制御モードとに基づいて、前記第1ユーザまたは前記第2ユーザの制御に起因するユーザ異常、前記制御ネットワークに起因するロボット異常、前記ロボットの動作環境に起因する動作環境異常、および、前記制御ネットワークに接続され前記ロボットを制御する制御装置が動作させるアプリケーションに起因するアプリケーション異常のいずれか1つ以上の異常の検知結果を取得し、取得された前記検知結果に基づいて、検知された前記異常の種類ごとに、当該異常の種類が前記ロボットにおける異常発生の要因である可能性を示すスコアを算出し、算出された前記スコアに基づいて、前記ロボットの制御モードを切り替える。
これにより、上記の制御モード切替装置と同様の効果を奏する。
なお、これらの全般的または具体的な態様は、システム、方法、集積回路、コンピュータプログラムまたはコンピュータで読み取り可能なCD-ROM等の非一時的記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラムまたは記録媒体の任意な組み合わせで実現されてもよい。プログラムは、記録媒体に予め記憶されていてもよいし、インターネット等を含む広域通信網を介して記録媒体に供給されてもよい。
以下、図面を参照しながら、本開示の実施の形態に係る制御モード切替装置および制御モード切替方法について説明する。なお、以下で説明する実施の形態は、いずれも本開示の好ましい一具体例を示す。つまり、以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置および接続形態、ステップ、ステップの順序等は、本開示の一例であり、本開示を限定する主旨ではない。本開示は、請求の範囲の記載に基づいて特定される。したがって、以下の実施の形態における構成要素のうち、本開示の最上位概念を示す独立請求項に記載されていない構成要素は、本開示の課題を達成するために必ずしも必要ではないが、より好ましい形態を構成する構成要素として説明される。
また、各図は、模式図であり、必ずしも厳密に図示されたものではない。したがって、例えば、各図において縮尺等は必ずしも一致しない。また、各図において、実質的に同一の構成については同一の符号を付しており、重複する説明は省略または簡略化する。
また、本明細書において、同じ等の要素間の関係性を示す用語、並びに、数値、および、数値範囲は、厳格な意味のみを表す表現ではなく、実質的に同等な範囲、例えば数%程度(例えば、10%程度)の差異をも含むことを意味する表現である。
(実施の形態)
以下、遠隔、自律、手動での制御を行う制御装置により制御可能なロボットにおける、当該ロボットの制御モードを切り替える制御モード切替装置および制御モード切替方法について説明する。
[1.1 ロボット監視システムの全体構成]
図1は、本実施の形態における、ロボット監視システムの全体構成図である。図1においてロボット監視システムは、ロボット10aと、ロボット10bと、ロボット10cと、ネットワーク20と、フリート管理サーバ30と、監視サーバ40と、遠隔制御端末50とを備える。
ロボット10a、10bおよび10cは、公道等の公共の場を含む領域において、所定の作業を行うロボットであり、例えば、自動運転トラック、自律配送ロボット等が例示されるが、これに限定されない。ロボット10a、10bおよび10cは、2以上の制御モードで動作可能な移動体である。ロボット10a、10bおよび10cが有する制御モードは、外部ネットワークを介して第1ユーザにより制御される遠隔制御モード、第2ユーザからの外部ネットワークを介さない操作(例えば、手動の操作)により制御される手動制御モード、および、ロボット10a、10bおよび10cのそれぞれに設けられたセンサにより取得されたセンサ情報に基づいてそれぞれが制御される自律制御モードのうちの2つ以上を含む。本実施の形態では、ロボット10a、10bおよび10cは、遠隔制御モード、手動制御モード、および、自律制御モードの3つのモードを有する。
ロボット10a、10bおよび10cは、ロボットの制御状態、位置情報、セキュリティアラート等のロボット状態を、ネットワーク20を介して、フリート管理サーバ30、および、監視サーバ40へ通知する。ロボット10a、10b、10cは同じ構成であるため、これらをまとめてロボット10として説明する場合がある。
ネットワーク20は、ロボット10aと、ロボット10bと、ロボット10cと、フリート管理サーバ30と、監視サーバ40と、遠隔制御端末50とを互いに通信可能(例えば、無線通信可能)に接続する。ネットワーク20は、インターネットまたは専用回線を含みうる。ネットワーク20は、ロボット10とロボット10の外部の装置とを接続するネットワークであり、外部ネットワークの一例である。
フリート管理サーバ30は、ロボット10から当該ロボット10のロボット状態を受信し、ロボット10が適切に運行されているか否かを管理するためのインタフェースをロボット10の管理者へ提供する。
監視サーバ40は、主にロボット10にセキュリティインシデントが発生していないかを監視するサーバであり、ロボット10からセキュリティアラートを受信し、分析・対応するためのインタフェースを、セキュリティオペレーションセンター、または、セキュリティインシデントレスポンスチームに提供する。
なお、ロボット10を遠隔制御するためのインタフェースは、フリート管理サーバ30から提供されていてもよい。
遠隔制御端末50は、遠隔操作モードで動作するロボット10を遠隔から操作するための情報処理装置である。遠隔制御端末50は、遠隔操作者からの入力(例えば、アクセル開度、ブレーキ圧、ステアリング角度等)に基づいた制御信号を生成し、ネットワーク20を介してロボット10に送信することで、当該ロボット10を遠隔操作する。なお、遠隔操作者は、例えば、ロボット10を遠隔管理してもよい。遠隔操作者は、第1ユーザの一例である。ネットワーク20を介して遠隔操作者によりロボット10が制御される制御モードは、遠隔制御モードの一例である。
[1.2 ロボットのネットワーク構成]
図2は、本実施の形態における、ロボット10に搭載されるロボットネットワークシステムの構成図である。図2においてロボットネットワークシステム(ロボットネットワーク)は、TCU(Telematic Control Unit)100と、セントラルECU(Electronic Control Unit)200と、ユーザインタフェースECU300と、Ethernetスイッチ400と、自律運転ECU500と、センサECU600と、アクチュエータECU700とを備える。図2では省略されているが、ロボットネットワークには、さらに多くのECUが含まれうる。ロボットネットワークシステムは、制御システムの一例である。また、ロボットネットワークシステム内で送受信される情報は、通信メッセージの一例である。
各ECUは、例えば、プロセッサ(マイクロプロセッサ)、メモリ等のデジタル回路、アナログ回路、通信回路等を含む装置である。メモリは、ROM(Read Only Memory)、RAM(Random Access Memory)等であり、プロセッサにより実行される制御プログラム(コンピュータプログラム)を記憶することができる。例えばプロセッサが、制御プログラムにしたがって動作することにより、ECUは各種機能を実現する。コンピュータプログラムは、所定の機能を実現するために、プロセッサに対する命令コードが複数個組み合わされて構成されたものである。
本実施の形態では、各装置がEthernet(Ethernetに準拠して構築されるEthernetネットワーク)により接続し、通信を行う例を示しているが、ロボットネットワークはEthernet(Ethernetネットワーク)に限らない。ロボットネットワークは、例えば、Controller Area Network(CAN)(CANネットワーク)であってもよいし、FlexRay、専用通信線、無線通信を用いたネットワークであってもよい。また、ロボットネットワークは、ネットワーク20とは異なるネットワークであり、ロボット10を制御するためにロボット10の内部(物理的に内部)に設けられる制御ネットワーク(車載制御ネットワーク)である。
TCU100は、ロボット10の外のネットワーク(外部ネットワーク)との通信インタフェースを備えており、セントラルECU200から通知される分析レポート等を、ネットワーク20を介して、フリート管理サーバ30および監視サーバ40へ通知する機能を有する。
セントラルECU200は、ロボット10の中心的な役割を担うECUであり、様々なアプリケーションが動作し、ロボット10の機能を実現する。
セントラルECU200は、ロボット10の制御モードを遠隔制御とするか、自律制御とするか、手動制御とするかの判断を行う。
セントラルECU200は、ロボット10で発生した異常を検知し、発生した異常を分析することで、ロボット10に発生した異常の原因を推定し、現在のロボット10の制御状態に応じて、安全な制御モードに切り替える機能を持つ。セントラルECU200は、例えば、発生した異常(検知された異常)と当該異常の原因とが対応付けられたテーブルに基づいて、異常の原因を推定してもよい。
また、セントラルECU200は、Ethernetスイッチ400から受信するEthernetフレームに含まれる制御ネットワークの情報をもとに、ロボット10の制御状態を判断し、フリート管理サーバ30へ通知するための情報をTCU100に通知する。
また、セントラルECU200は、ロボット10内で発生した、異常について、監視サーバ40へ通知するための情報をTCU100に通知する。
セントラルECU200は、制御モード切替装置の一例である。
ユーザインタフェースECU300は、主に手動制御モード時に、ロボット10を制御するためのユーザインタフェースからユーザによる操作を受け付け、ロボット10を制御するための操作内容、例えば、ステアリング、加減速等を制御する操作内容をセントラルECU200へ通知する。ユーザインタフェースとしては、例えば、操作機器、タッチパネル、USBポート、Wi-Fi(登録商標、以下同様)モジュール等の機器が例示される。なお、当該ユーザは、第2ユーザの一例である。また、ユーザインタフェースECU300を介した制御は、ネットワーク20を介さない操作による制御の一例である。また、ユーザインタフェースECU300を介してユーザによりロボット10が制御される(例えば、直接制御される)制御モードは、手動制御モードの一例である。
Ethernetスイッチ400は、セントラルECU200、自律運転ECU500およびアクチュエータECU700と、Ethernetにより接続され、各装置から送信されるEthernetフレーム(通信メッセージの一例)を適切な装置に届けるために転送する。
自律運転ECU500は、主にロボット10が自律制御モードの時に、センサECU600により取得されるEthernetフレームに含まれるセンサ情報を用いて、アクチュエータECU700に対してアクチュエータの制御指令を行うことでロボット10の制御を実現する。
センサECU600は、例えば、ロボット10の周辺の映像を撮影するカメラ、ロボット10の周辺の物体検知を行うミリ波レーダ、速度センサ、加速度センサ、または、GPS(Global Positioning System)と接続され、各種情報をEthernetフレームに含めてEthernetスイッチ400を介して、他の装置に通知する。例えば、センサ情報には、ロボット10の位置情報、加速度、走行速度、および、カメラ画像のうち少なくとも1つ以上が含まれる。
アクチュエータECU700は、ロボット10の駆動・制御に関わるアクチュエータ、例えば、走行・飛翔するためのモータおよびエンジン、旋回、方向転換するためのステアリング等の制御を行う。
なお、本実施の形態では、センサECU600と、アクチュエータECU700とがそれぞれ一つずつ存在する例を示しているが、ロボットネットワーク上には複数のセンサECU、または、複数のアクチュエータECUが存在してもよい。
[1.3 TCUの構成]
図3は、本実施の形態における、TCU100の構成図である。図3においてTCU100は、外部通信部101と、アプリ部102と、内部通信部103と、侵入検知部104とを有する。
外部通信部101は、ネットワーク20との通信インタフェースであり、フリート管理サーバ30および監視サーバ40との通信を行い、通信内容について、アプリ部102と情報のやりとりを行う。
アプリ部102は、ロボット10の状態に関する情報をフリート管理サーバ30または監視サーバ40へ通知するためのアプリケーション、および、ネットワーク20から受信したデータに基づいて、セントラルECU200へデータを送信するアプリケーションが動作する。
内部通信部103は、セントラルECU200と接続し、アプリ部102とEthernetフレームのやりとりを行う。
侵入検知部104は、Intrusion Detection System(IDS)であり、アプリ部102の挙動からアプリケーションが不正な動作を行っていないかを監視する。例えば、侵入検知部104は、アプリケーションのCPU(Central Processing Unit)またはメモリのリソース使用率、通信量、通信先、ファイルのアクセス権限、および、不正なプロセスの起動等を監視し、基準値に収まっているかを監視する。また、侵入検知部104は、外部通信部101が不正なアクセス先と通信を行っていないか、通信フレーム内にマルウェアが含まれていないか、通信量が通常値よりも増大していないか等を監視する。異常な挙動が観測された場合、侵入検知部104は、セキュリティアラートを通知するため、アプリ部102へセキュリティアラートの送信要求を行い、セントラルECU200へセキュリティ異常を通知する。
[1.4 セントラルECUの構成]
図4は、本実施の形態における、セントラルECU200の構成図である。図4においてセントラルECU200は、通信ポート部201と、ホストOS(Operating System)部202と、ゲストOS部203と、対応判断部204と、異常検知部205と、信用スコア更新部206と、ユーザ管理部207と、異常検知結果保持部208と、信用スコア保持部209と、ユーザ情報保持部210と、制御モード保持部211とを有する。
通信ポート部201は、TCU100、ユーザインタフェースECU300、および、Ethernetスイッチ400のそれぞれと接続されており、通信を行う。また、通信ポート部201は、通信内容に応じて適切なネットワークへ転送する機能を有する。また、通信ポート部201は、ホストOS部202と情報の送受信を行う。
ホストOS部202は、セントラルECU200のメインのOperating System(OS)であり、通信ポート部201と情報の授受を行い、通信内容をゲストOS部203に通知する。また、ホストOS部202は、対応判断部204へも同様に通信内容の通知を行う。
ホストOS部202は、定期的にロボット10の状態を、フリート管理サーバ30と、監視サーバ40とに通知する。ロボット10の状態は、位置情報、制御モード、ユーザ情報、異常検知結果等が含まれうる。
ゲストOS部203は、セントラルECU200のアプリケーションが動作するOSである。セントラルECU200のアプリケーションは、例えば、ユーザインタフェースECU300から受信したユーザの制御情報をもとに、ロボット10を制御するための制御指示をEthernetスイッチ400へ送信要求を行う手動制御アプリケーション(手動制御アプリ)、TCU100から受信した遠隔ユーザの制御情報をもとにロボット10を制御するための制御指示をEthernetスイッチ400へ送信要求を行う遠隔制御アプリケーション(遠隔制御アプリ)等が動作している。ゲストOS部203は、ロボットネットワークに接続されロボット10を制御する制御装置の一例である。制御装置は、ロボット10内に設けられる。
対応判断部204は、ロボットネットワークから受信したセキュリティアラートを異常検知結果保持部208へ格納する。
また、ロボット10に異常が発生したときに、対応判断部204は、信用スコア保持部209に格納されている信用スコアと、制御モード保持部211に格納されているロボット10の制御モード(例えば、現在の制御モード)とに基づいて、安全な制御を継続可能な制御モードに切り替えるための処理を行う。対応判断部204は、ロボット10に異常が発生したときに、例えば、安全な制御を継続可能な制御モードに切り替える判断を行う。対応判断部204は、信用スコア更新部206により算出された(更新された)信用スコアに基づいて、ロボットの制御モードを切り替える。具体的には、対応判断部204は、算出された信用スコアが所定値以下となった場合に、所定値以下となった信用スコアの種類と、現在の制御モードとに応じて、制御モード保持部211の制御モードを変更する。なお、信用スコアは、異常発生の要因である可能性を示すスコアの一例である。また、制御モード保持部211の制御モードを変更することは、制御モードを切り替えることの一例である。
異常検知部205は、ゲストOS部203で動作するアプリケーションの監視と、通信ポート部201から受信した制御ネットワーク上のフレームをもとに異常制御の監視とを行う。当該フレームは、通信メッセージの一例である。
ゲストOS部203のアプリケーションの監視において、異常検知部205は、アプリケーションが不正な動作を行っていないかを監視する。異常検知部205は、例えば、アプリケーションのCPUまたはメモリのリソース使用率、通信量、通信先、ファイルのアクセス権限、不正なプロセスの起動等を監視し、基準値に収まっているかを監視する。
異常制御の監視において、異常検知部205は、ロボット10の危険な制御、不審な制御等に関わる異常挙動を検知する。
異常挙動としては、例えば、閾値を超える加速度、緊急ブレーキ等の安全機構の発動、ロボット10が想定していない人もしくはモノとの接触、または、ロボット10の人もしくはモノとの閾値以下の距離までの接近、ロボット10の予め設定されている運行ルートからの逸脱、GPS信号の不整合、ロボット10に対するタンパリング、ロボット10の分解、ユーザインタフェースECU300への不正な装置の接続等が例示される。ロボット10に対するタンパリングとしては、例えば、内部ネットワーク(ロボットネットワーク)へのタッピングである。
異常挙動としては、加えてユーザの認証失敗、通信メッセージの認証失敗、ECUの故障情報の通知等が含まれていてもよい。
異常検知部205は、検出した異常を異常検知結果保持部208に異常検知時刻とともに記録し、異常を検出したことを信用スコア更新部206、および、対応判断部204に通知する。
ここで、異常検知部205が検知する異常について説明する。異常検知部205は、上記の監視等により、第1ユーザまたは第2ユーザの制御に起因するユーザ異常、制御ネットワークに起因するロボット異常、ロボット10の動作環境に起因する動作環境異常、および、制御ネットワークに接続されロボット10を制御する制御装置が動作させるアプリケーションに起因するアプリケーション異常のいずれか1つ以上の異常を検知する。異常検知部205は、例えば、ロボット10内の制御ネットワーク上の通信メッセージと、ロボット10の現在の制御モードとに基づいて、当該いずれか1つ異常を検知する。
ユーザ異常は、制御モードが手動制御モードまたは遠隔制御モードであるときに、位置情報が予め制御が想定されている範囲の逸脱、所定の閾値を超える加速度または走行速度、および、カメラ画像に基づく予め想定されていない人またはモノとの接触または接近のいずれかが検知される異常である。
ロボット異常は、制御ネットワークの通信情報に含まれる故障の通知、または、制御ネットワークの通信異常のいずれかが検知される異常である。
動作環境異常は、ロボット10の位置情報の不連続な変化または無効な値、外部ネットワークの通信異常、制御ネットワークの電圧変化、ロボット10の分解のいずれかが検知される異常である。
なお、異常検知部205は、異常を検知することで当該異常を取得する取得部の一例である。言い換えると、取得部は、通信メッセージと、制御モードとに基づいて、ユーザ異常、ロボット異常、動作環境異常、および、アプリケーション異常のいずれか1つ以上の異常を検知する異常検知部205により実現される。
なお、本実施の形態では、異常検知部205は、セントラルECU200内部に存在するが、異常検知部205の機能は、ロボット10の内部に分散して配置されていてもよいし、フリート管理サーバ30または監視サーバ40にあってもよい。この場合、通信ポート部201は、フリート管理サーバ30または監視サーバ40の検知結果をTCU100を介して取得する取得部の一例である。
信用スコア更新部206は、異常検知結果保持部208に格納されている異常検知結果と、制御モード保持部211に格納されている制御モードとに基づいて、異常発生の要因と考えられる対象の信用スコアを算出する。異常発生の要因と考えられる対象としては、アプリ(アプリケーション)、ユーザ、ロボット、通信、動作環境が例示される。アプリ、ユーザ、ロボット、通信、動作環境は、異常の対象(異常の種類)の一例である。
信用スコアは、アプリケーションごと、ユーザごと、ロボット10内の装置ごと、通信路ごと、動作環境ごとに算出される。例えば、信用スコア更新部206は、ロボット10が遠隔制御中にルートの逸脱の不正な制御のみが検出される場合には、ロボット10の遠隔制御を行っているユーザが信用できないとして、ロボット10を制御しているユーザの信用スコアを減少させる。また、信用スコア更新部206は、ルートの逸脱の不正な制御に加えて、GPS信号の不整合も検出される場合には、ロボット10が動作している環境の信用スコアを減少させ、ロボット10で異常が検出される要因となる対象の信用スコアを減少させる。信用スコア更新部206は、例えば、検知された異常と、当該異常において減少させる異常の対象とが対応付けられたテーブルに基づいて、ロボット10での異常の発生要因となる対象の信用スコア、つまり検知された異常に対応する異常の対象の信用スコアを減少させてもよい。
このように、信用スコア更新部206は、信用スコアを算出し、算出した信用スコアが所定値よりも低くなった場合には、ロボット10の制御を現在のモードで継続するリスクが高いことを、対応判断部204へ通知する。信用スコア更新部206は、異常検知結果に基づいて、検知された異常に基づいて分類される異常の対象ごとの信頼スコアを算出するとも言える。
なお、上記では、信用スコア更新部206は、異常が検出されると、信用スコアを減少させる例について説明したが、これに限定されず、信用スコアを上昇させてもよい。
なお、上記の対応判断部204と信用スコア更新部206とを含んで、切替部が構成される。
ユーザ管理部207は、ロボット10にログインしているユーザを管理する。ロボット10には複数のユーザがログイン可能であり、ログインしているユーザはロボット10のアプリケーションを利用することができる。ユーザごとに予めロボット10の制御、監視、管理者の権限が与えられている。
ロボット10にログインしており、かつ、制御権を与えられているユーザは、ロボット10の遠隔制御が可能であり、ロボット10にログインし、監視権を与えられているユーザは、ロボット10のセンサ情報(例えばカメラ画像)にアクセスが可能になる。
また、ロボット10にログインしており、かつ、管理者の権限を与えられているユーザは、制御権および監視権に加えて、異常検知結果保持部208に格納される異常検知結果、信用スコア保持部209に格納される信用スコア、ユーザ情報保持部210に格納されるユーザ情報、および、制御モード保持部211に格納される制御モードの情報の読み取りが可能になる。
ユーザ管理部207は、ロボット10にログインするユーザの認証を行い、ユーザの権限とともにユーザ情報保持部210に格納されているユーザ情報の更新を行う。
異常検知結果保持部208には、ロボット10に関わる異常検知結果が格納されている。異常検知結果保持部208に格納される異常検知結果の詳細は、図12を用いて後述する。
信用スコア保持部209には、異常検知結果保持部208に格納されている異常検知結果と、制御モード保持部211に格納される制御モードとに基づいて、異常の発生要因となりうる対象ごとに保持される信用スコア、すなわち異常の発生要因となっている可能性の高さ、リスクの大きさ等の情報を保持している。信用スコア保持部209に格納される信用スコアの詳細は、図13を用いて後述する。
ユーザ情報保持部210には、ロボット10内にログインしているユーザの情報が格納されている。ユーザ情報保持部210に格納されるユーザ情報の詳細は、図14を用いて後述する。
制御モード保持部211には、ロボット10の現在の制御モードが格納されている。制御モード保持部211に格納される制御モードの詳細は、図15を用いて後述する。
[1.5 ユーザインタフェースECUの構成図]
図5は、本実施の形態における、ユーザインタフェースECU300の構成図である。図5においてユーザインタフェースECU300は、通信ポート部301と、外部機器接続部302とを有する。
通信ポート部301は、セントラルECU200と接続されており、セントラルECU200とメッセージの授受を行う。通信ポート部301は、主に外部機器接続部302から受信した制御情報をセントラルECU200へ通知する役割を担う。
外部機器接続部302は、ロボット10の手動制御を行うユーザが操作する機器、または、機器のインタフェースに接続している。外部接続機器としては、ステアリング、コントローラ、スイッチ、タッチパネル等が例示される。また、外部接続機器のインタフェースとしては、USBポート、Wi-Fiモジュール、診断ポート、Bluetooth(登録商標)等の通信インタフェースが例示される。
[1.6 Ethernetスイッチの構成図]
図6は、本実施の形態における、Ethernetスイッチ400の構成図である。図6において、Ethernetスイッチ400は、通信ポート部401と、侵入検知部402とを有する。
通信ポート部401は、4つの物理ポートを備え、4つの物理ポートはそれぞれ、セントラルECU200、自律運転ECU500、センサECU600、および、アクチュエータECU700と接続されており、受信したフレームの内容に応じて、フレームの転送を行う。
また、4つの物理ポートはそれぞれ、受信したフレームの監視を行うため、侵入検知部402にフレームを通知する。
侵入検知部402は、通信ポート部401から通知されたフレームを監視し、不正な通信が発生していないかどうかを確認するネットワークIDS(Intrusion Detection System)である。
不正な通信が発生していると判断された場合、侵入検知部402は、セキュリティアラートを生成し、通信ポート部401へセキュリティアラートの送信要求を行い、セントラルECU200に対してセキュリティアラートを通知する。
不正な通信は、予め設定されているアドレス以外のアドレスの利用がある、異常な通信量であるまたは通信パターンが所定の攻撃パターンに一致する場合に検知されうる。
[1.7 自律運転ECUの構成図]
図7は、本実施の形態における、自律運転ECU500の構成図である。図7において自律運転ECU500は、通信ポート部501と、アプリ部502と、アプリ監視部503とを有する。
通信ポート部501は、Ethernetスイッチ400に接続され、フレームの送受信を行う通信インタフェースである。
アプリ部502は、ロボット10の制御モードが自律制御モードの時に動作する自律制御アプリケーションが動作する。自律制御アプリケーションは、センサECU600から受信したセンサ値に基づいて、アクチュエータECU700に対してアクチュエータの制御指示のフレームの送信を行う。
アプリ監視部503は、アプリ部502の挙動を監視し、不正なプロセスの実行、異常なリソース使用の検出、診断コマンドのアクセスエラーおよびフレームに含まれるメッセージ認証コードの検証失敗等のセキュリティに関するイベントを検出する。
不正なセキュリティのイベントが検出された場合、アプリ監視部503は、セキュリティアラートを生成し、通信ポート部501へセキュリティアラートの送信要求を行い、セントラルECU200へセキュリティアラートを通知する。
[1.8 センサECUおよびアクチュエータECUの構成図]
次に、センサECU600およびアクチュエータECU700の構成について説明する。アクチュエータECU700の構成は、基本的にはセンサECU600と同じ構成であるので説明を省略する。なお、アクチュエータECU700の構成は、センサECU600と同じであるが、機能が異なる構成がある。
図8は、本実施の形態における、センサECU600の構成図である。図8においてセンサECU600は、通信ポート部601と、アプリ部602と、外部機器接続部603とを有する。
通信ポート部601は、Ethernetスイッチ400との通信インタフェースである。
アプリ部602は、外部機器接続部603から通知されるセンサ情報を、Ethernetフレームとして構成し、通信ポート部601に対して送信要求を行う。アクチュエータECU700の場合、アプリ部602は、センサECU600から通知されるセンサ情報、セントラルECU200または自律運転ECU500から通知される制御指示等に基づいて、外部機器接続部603に接続されるアクチュエータを制御する。
外部機器接続部603は、ロボット10に搭載される周辺環境およびロボット10の状態を把握する(例えば、計測する)センサと接続され、センサ情報(例えば、計測結果)を受け取る。センサは、例えば、走行速度センサ、加速度センサ、ヨーレートセンサ、GPS、カメラ、LiDAR、ミリ波レーダ等である。アクチュエータECU700の場合、外部機器接続部603は、ロボット10を制御するアクチュエータと接続される。アクチュエータは例えば、モータ、エンジン、ハンドル等である。
[1.9 フリート管理サーバの構成図]
図9は、本実施の形態における、フリート管理サーバ30の構成図である。図9においてフリート管理サーバ30は、通信部31と、フリート管理部32と、ロボット状態保持部33と、アカウント情報保持部34とを有する。
通信部31は、ネットワーク20と接続されており、ロボット10および監視サーバ40と通信を行う通信インタフェースである。
フリート管理部32は、通信部31から受信したロボット10の情報を管理する。フリート管理部32は、通信部31から受信したロボット10の制御状態に応じて、ロボット状態保持部33に格納されているロボット10の状態を更新する。
また、フリート管理部32は、ロボット10にログインしているユーザの情報をロボット10から受け取り、アカウント情報保持部34に保持されているアカウント情報を更新する。
ロボット状態保持部33は、ロボット10の状態が格納されている。ロボット状態保持部33に格納されるロボット状態の詳細は、図16を用いて後述する。
アカウント情報保持部34は、ロボット10にアクセス可能なユーザの情報を格納している。アカウント情報保持部34に格納されているアカウント情報の詳細は、図17を用いて後述する。
[1.10 監視サーバの構成図]
図10は、本実施の形態における、監視サーバ40の構成図である。図10において監視サーバ40は、通信部41と、監視部42と、分析インタフェース部43と、ロボット信用スコア保持部44と、ユーザ信用スコア保持部45とを有する。
通信部41は、ネットワーク20と接続されており、ロボット10およびフリート管理サーバ30と通信を行う通信インタフェースである。
監視部42は、ロボット10から通知される、ロボット10の状態、セキュリティアラート等に基づいて、ロボットにセキュリティインシデントが発生していないかを監視する。また、監視部42は、ロボット10から通知される信用スコアに基づいて、ロボット信用スコア保持部44に格納されるロボット10の信用スコアと、ユーザ信用スコア保持部45に格納されるユーザの信用スコアとを更新する。
分析インタフェース部43は、セキュリティインシデント発生時に、セキュリティオペレーションセンターまたはセキュリティインシデントレスポンスチームに対して、発生したセキュリティインシデントのレポートを通知するための、または、セキュリティアナリストが詳細な分析を行うための分析インタフェースである。
ロボット信用スコア保持部44は、ロボット10から通知される信用スコアに基づいてロボット10に関わる信用スコアを格納している。ロボット信用スコア保持部44に格納されるロボットの信用スコアの詳細は、図18を用いて後述する。
ユーザ信用スコア保持部45は、ロボット10から通知される信用スコアに基づいて、ユーザに関わる信用スコアを格納している。ユーザ信用スコア保持部45に格納されるユーザの信用スコアの詳細は、図19を用いて後述する。
[1.11 遠隔制御端末の構成図]
図11は、本実施の形態における、遠隔制御端末50の構成図である。図11において遠隔制御端末50は、通信部51と、遠隔制御アプリ部52と、ユーザインタフェース部53とを有する。
通信部51は、ネットワーク20と接続されており、ロボット10およびフリート管理サーバ30と通信を行う通信インタフェースである。
遠隔制御アプリ部52は、ロボット10の遠隔制御を行うためのアプリケーションであり、ユーザインタフェース部53からユーザの操作内容を受けて、通信部51を介してロボット10へ制御内容を通知する。
ユーザインタフェース部53は、ユーザがロボット10を制御するためのインタフェースを提供する。ユーザインタフェース部53は、例えば、タッチパネル、コントローラ等によるユーザ用のインタフェースである。
[1.12 異常検知結果の一例]
図12は、本実施の形態における、異常検知結果の一例を示す図である。図12に示す異常検知結果は、異常検知結果保持部208に格納されている。異常検知結果は、セントラルECU200の異常検知部205により更新されるだけでなく、ロボット10内のTCU100の侵入検知部104、Ethernetスイッチ400の侵入検知部402、および、自律運転ECU500のアプリ監視部503のいずれかから通知されるセキュリティアラートによっても更新されうる。また、異常検知結果は、ロボット10内の故障を通知するメッセージ等によっても更新されうる。
図12では、異常検知結果として、異常検知内容と、時刻(例えば、発生時刻)と、検知装置(例えば、異常を検知した装置)とを対応付けて保持している。ここでの時刻は、セントラルECU200で計測される内部のシステム時刻であってもよいし、セキュリティアラートに含まれる時刻であってもよい。
図12では、10時50分20秒に、セントラルECU200によって、ルート逸脱の異常が検知され、10時45分30秒に、セントラルECU200によって、緊急ブレーキ発動が検知され、10時45分29秒に、セントラルECU200によって、急な加減速を検知したことを示している。
なお、本実施の形態では、異常検知結果は、ロボット10内で検出された異常を保持している例を示したが、異常はロボット10内で検出されていなくてもよい。例えば、フリート管理サーバ30上において、ロボット10の異常が検出された場合に、フリート管理サーバ30からロボット10にセキュリティアラートを通知することで、異常検知結果が更新されてもよい。同様に、監視サーバ40から通知されるセキュリティアラートに基づいて異常検知結果が更新されてもよい。
[1.13 信用スコアの一例]
図13は、本実施の形態における、信用スコアの一例を示す図である。図13に示す信用スコアは、信用スコア保持部209に格納されている。信用スコアは、例えば、信用スコア更新部206により異常検知結果が更新されるタイミングで更新される。
図13では、信用スコアとして、信用スコアを保持する対象(異常の種類)がそれぞれ、アプリ(アプリケーション)、ユーザ、ロボット、通信、および、動作環境に分類されている。なお、当該対象は、少なくとも1つに分類されればよい。また、検知された異常と発生要因の対象とが対応付けられたテーブルに基づいて、異常がいずれの対象に分類されるかが判断されてもよい。
アプリは、セントラルECU200のゲストOS部203で動作する遠隔制御アプリと、自律運転ECU500のアプリ部502で動作する自律制御アプリと、セントラルECU200のゲストOS部203で動作する手動制御アプリとにさらに分類される。遠隔制御アプリは、遠隔制御モードのための第1アプリケーションであり、ロボット10の制御モードが遠隔操作モードである場合に実行される。自律制御アプリは、自律制御モードのための第3アプリケーションであり、ロボット10の制御モードが自律制御モードである場合に実行される。手動制御アプリは、手動制御モードのための第2アプリケーションであり、ロボット10の制御モードが手動制御モードである場合に実行される。例えば、遠隔制御アプリと自律制御アプリと手動制御アプリとは、排他的に実行される。
ユーザは、ロボット10にアクセスしログインしているユーザごとに信用スコアが保持される。
ロボット10は、主にロボット10の制御プラットフォームに関わる装置等に分類され、図13では、センサECU600とアクチュエータECU700とに分類されている。
通信は、ロボット内のネットワーク(ロボットネットワーク)と、ネットワーク20等の外部通信とにさらに分類される。
動作環境は、ロボットが動作する環境に分類され、図13では、ロボット10に近接する人または通信インフラの環境(通信環境)である。
図13の例では、遠隔制御アプリの信用スコアが100であり、自律制御アプリの信用スコアが100であり、手動制御アプリの信用スコアが100であり、ユーザAの信用スコアが80であり、ユーザBの信用スコアが80であり、センサECU600の信用スコアが100であり、アクチュエータECU700の信用スコアが100であり、ロボット内ネットワーク(制御ネットワーク)の信用スコアが100であり、外部通信の信用スコアが100であり、人/通信環境の信用スコアが50である。
なお、異常の種類は、アプリ、ユーザ、ロボット、通信、動作環境であってもよいし、遠隔制御アプリ、自律制御アプリ、手動制御アプリ、ユーザA、ユーザB、センサECU、アクチュエータECU、ロボット内ネットワーク、外部通信、人/通信環境であってもよい。
なお、アプリ、ユーザ、ロボット、通信、および、動作環境、または、遠隔制御アプリ、自律制御アプリ、手動制御アプリ、ユーザA、ユーザB、センサECU、アクチュエータECU、ロボット内ネットワーク、外部通信、人/通信環境は、信用スコアの種類であるとも言える。
なお、対象がアプリおよびユーザである信頼スコアは、ロボット10a~10cで共通に用いられるスコアである。また、対象「ロボット」に、アプリおよび通信が含まれていてもよい。また、信用スコアの初期値は、予め設定されている。
[1.14 ユーザ情報の一例]
図14は、本実施の形態における、ユーザ情報の一例を示す図である。図14に示すユーザ情報は、セントラルECU200のユーザ情報保持部210に格納されている。ユーザ情報は、ロボット10にログインしているユーザのIDとユーザの権限とが対応付けられて格納されている。
図14では、ロボット10にログインしているユーザは2人であり、ユーザAは制御権限を持ち、ユーザBは監視権限を持っている例を示している。
[1.15 制御モードの一例]
図15は、本実施の形態における、制御モードの一例を示す図である。図15に示す制御モードは、セントラルECU200の制御モード保持部211に格納されている。図15では、ロボット10の制御モードが遠隔制御されている状態(遠隔制御モード)であることを示している。例えば、ロボット10の現在の制御モードが、「遠隔制御」である。
なお、本実施の形態では、ロボット10の制御モードとして、ロボット10が遠隔制御されている遠隔制御モードと、ロボット10が自律制御している自律制御モードと、ロボット10が手動で制御されている手動制御モードとしたが、制御モードはこれに限らない。他の制御モードとして、例えば、緊急制御モード等が含まれていてもよい。
また、図15の例では、制御モード保持部211に格納される情報にはロボット10の制御モードのみが含まれているが、さらにロボット10の制御に関わる状態を含んでもよい。制御モード保持部211に格納される情報には、例えば、ロボット10の位置情報、ロボット10の制御状態(走行中、停止中等)等が含まれていてもよい。つまり、制御モード保持部211に、ロボット10の位置情報、ロボット10の制御状態等が格納されていてもよい。
[1.16 ロボット状態の一例]
図16は、本実施の形態における、ロボット状態の一例を示す図である。図16に示すロボット状態は、フリート管理サーバ30のロボット状態保持部33に格納されている。ロボット状態保持部33には、フリート管理サーバ30が管理するすべてのロボット10(図1の例では、ロボット10a、10bおよび10c)の状態が格納されている。
図16の例では、ロボット10aは、制御モードが遠隔制御モードであり、位置情報がXXXであり、動作状態が歩道走行中であり、ロボット10bは、制御モードが自律制御モードであり、位置情報がYYYであり、動作状態が停車中であり、ロボット10cは、制御モードが手動制御モードであり、位置情報がZZZであり、動作状態が停止中である。なお、図16に示すロボット状態は、例えば、現時点での(例えば、最新の)状態である。
[1.17 アカウント情報の一例]
図17は、本実施の形態における、アカウント情報の一例を示す図である。図17に示すアカウント情報は、フリート管理サーバ30のアカウント情報保持部34に格納されている。アカウント情報保持部34には、フリート管理サーバ30が管理するユーザのアカウント情報が格納されている。例えば、アカウント情報保持部34には、フリート管理サーバ30が管理するすべてのユーザのアカウント情報が格納されている。
図17の例では、ユーザAがロボット10aを制御中であり、ユーザBがロボット10aを監視中であり、ユーザCがロボット10bを監視中であり、ユーザDがロボット10cを監視中であることを示している。
なお、ユーザ1人が1台のロボット10を制御または監視することに限定されず、ユーザ1人が複数台のロボット10を制御または監視してもよいし、複数のユーザで1台のロボット10を制御または監視してもよい。
なお、アカウント情報には、ユーザの状態だけでなく、ロボット10に対してユーザに許可されている権限情報、接続元情報等が含まれていてもよい。
[1.18 ロボット信用スコアの一例]
図18は、本実施の形態における、ロボット信用スコアの一例を示す図である。図18に示すロボット信用スコアは、監視サーバ40のロボット信用スコア保持部44に格納されている。監視サーバ40に格納される信用スコアは、ロボット10より通知される信用スコアに基づいて更新される。例えば、図13に示す信用スコアがロボット10より通知された場合に、ロボット信用スコア保持部44に格納される当該ロボット10の信用スコアは、対象がユーザと動作環境とを除いたもののうち最小のものに更新される。
図18の例では、ロボット10aの信用スコアは100であり、ロボット10bの信用スコアは100であり、ロボっと10cの信用スコアは50である。
なお、信用スコアは、ロボット10単位ではなくロボット10の構成要素単位でロボット信用スコア保持部44に格納されていてもよい。
[1.19 ユーザ信用スコアの一例]
図19は、本実施の形態における、ユーザ信用スコアの一例を示す図である。図19に示すユーザ信用スコアは、監視サーバ40のユーザ信用スコア保持部45に格納されている。監視サーバ40に保持されるユーザの信用スコアは、ロボット10により通知される信用スコアに基づいて更新される。例えば、図13に示す信用スコアがロボット10より通知された場合に、ユーザ信用スコア保持部45に格納される当該のユーザの信用スコアは、通知されたユーザの信用スコアに更新される。
図19の例では、ユーザAの信用スコアは80であり、ユーザBの信用スコアは80であり、ユーザCの信用スコアは50であり、ユーザDの信用スコアは20であることを示している。
[1.20 ユーザの不正な遠隔制御に対する制御モード切替シーケンス]
図20は、本実施の形態における、ユーザの不正な遠隔制御に対する制御モード切替シーケンス(制御モード切替方法)を示す図である。具体的には、図20は、遠隔制御端末50を操作する正規のユーザがロボット10aを制御し、不正なルートを走行するように制御した場合に、ロボット10aの制御モードを切り替えるシーケンスを示した図である。
(S101)遠隔制御端末50は、ユーザ(遠隔操作者)からの操作により、ロボット10aにログインする処理を行い、ロボット10aの遠隔制御を開始する。ユーザは、遠隔制御端末50を操作し、ロボット10aにログインし、ロボット10aの遠隔制御を開始するとも言える。
(S102)ロボット10aのユーザ管理部207は、ユーザの認証を完了し、ログインを完了させる。ログインが完了するとユーザにロボット10aの制御権が与えられ、ロボット10aは遠隔制御モードに移行する。
(S103)ロボット10aは、ロボット10aの制御モードと、ユーザ情報のロボット状態(制御モード、ユーザ情報、位置情報等)とを、フリート管理サーバ30と監視サーバ40とに通知する。
(S104)フリート管理サーバ30は、通知されたロボット状態に従って、ロボット状態保持部33に格納されるロボット状態と、アカウント情報保持部34に格納されるアカウント情報とを更新する。
(S105)監視サーバ40は、通知されたロボット状態に従って、ユーザ信用スコア保持部45に格納されている、ロボット10aにログインしたユーザの信用スコアをロボット10aに通知する。
(S106)ロボット10aの信用スコア更新部206は、監視サーバ40より通知されたユーザの信用スコアに基づいて、セントラルECU200の信用スコア保持部209に格納される対応するユーザの信用スコアを更新する。
(S107)ユーザは、遠隔制御端末50を介して、ロボット10aに対して不正な制御を行う。例えば、ユーザは、遠隔制御端末50を介して、ロボット10aを予め制御が許されるエリアを超えて移動するように制御したとする。
(S108)ロボット10aの異常検知部205は、現在の位置情報と、予め定められた制御エリアとに基づいて、予め設定されている運行ルート(制御ルート)を逸脱していることを検知(ルート逸脱検知)し、セキュリティアラートをフリート管理サーバ30と監視サーバ40とに通知する。
(S109)ロボット10aの信用スコア更新部206は、異常検知部205が検知したルートを逸脱している異常に基づいて、当該異常の発生要因の対象であるユーザの信用スコアを減少させる。このように、信用スコア更新部206は、検知結果がユーザ異常を検知したことを含む場合にユーザの信用スコアを減少する。また、対応判断部204は、ユーザの信用スコアが所定の値(第1閾値の一例)以下となると、当該ユーザのロボット10aに対する制御権を剥奪すると判断してもよい。なお、スコアの減少は、スコアの更新の一例である。
(S110)ロボット10aの対応判断部204は、制御モードを遠隔制御モードから自律制御モードへ移行し、更新された信用スコアと制御モードのロボット10aの状態とをフリート管理サーバ30および監視サーバ40へ通知する。なお、対応判断部204は、ステップS110において、制御モードを遠隔制御モードから手動制御モードへ移行してもよい。
なお、対応判断部204は、複数のユーザがいる場合、複数のユーザごとに信用スコアを算出し、制御モードが遠隔制御モードであり、かつ、スコアが第1閾値以下となった不正なユーザがロボット10aの制御を行っている場合に、当該不正なユーザによる制御を受け付けない、他のユーザへの変更を要求、または、制御モードを遠隔制御モード以外の制御モードに切り替えの少なくとも1つを行ってもよい。
[1.21 近接第三者による攻撃に対する制御モード切替シーケンス]
図21は、本実施の形態における、近接第三者による攻撃に対する制御モード切替シーケンス(制御モード切替方法)を示す図である。図21は、ロボット10aに近接する悪意のある第三者が、ロボット10aの位置情報を改ざんし、ロボット10aを不正に制御しようとした場合に対応する制御モード切替シーケンスである。ロボット10aに近接する悪意のある第三者は、ロボット10aにログインしていないものとする。
(S201)ロボット10aは、自律制御モードで、自律制御を開始する。
(S202)ロボット10aは、制御モードの状態を、フリート管理サーバ30と、監視サーバ40とに通知する。
(S203)フリート管理サーバ30は、通知されたロボット10aの状態をもとに、ロボット状態保持部33に格納されるロボット状態を更新する。
(S204)ロボット10aに近接する悪意のある第三者がロボット10aに対して、GPS信号の改ざんを行い、ロボット10aを不正に制御する。
(S205)ロボット10aは、GPS信号の非連続な変化による異常、改ざんされたGPS信号に基づく現在位置、および、カメラ等で認識する現在位置の不整合を検出し、セキュリティアラートをフリート管理サーバ30および監視サーバ40へ通知する。ステップS205の動作は、例えば、異常検知部205により実行される。
(S206)ロボット10aの信用スコア更新部206は、異常検知部205が検知した異常検知結果に基づいて動作環境の信用スコアを減少させる。このように、信用スコア更新部206は、検知結果が動作環境異常を検知したことを含む場合に動作環境の信用スコアを減少する。
(S207)ロボット10aの対応判断部204は、動作環境の信用スコアが減少し所定の値(第3閾値の一例)以下となると、ロボット10aの安全な自律制御の継続が困難と判断し、自律制御モードから縮退モードに移行し、フリート管理サーバ30および監視サーバ40へセキュリティアラートとともにロボット10aの状態を通知する。縮退モードは、ロボット10aの機能を制限した自律運転モードであり、安全に停止可能なエリアまで必要最低限の自律走行を行い、停止するモードである。また、対応判断部204は、動作環境のスコアが所定の値(第3閾値)以下となった場合に、動作環境の確認を行うためのアラートを外部(例えば、フリート管理サーバ30および監視サーバ40)へ要求してもよい。
(S208)監視サーバ40は、セキュリティアラートを受けて、動作環境に異常が発生していることを確認するために、ロボット10aにログインして、監視権を得て、ロボット10aの周辺環境を確認する。
(S209)フリート管理サーバ30は、ロボット状態の通知を受けて、ロボット状態保持部33に格納されるロボット状態を更新する。
なお、図20および図21では図示していないが、信用スコア更新部206は、検知結果がロボット異常を検知したことを含む場合にロボット10aの信用スコアを減少し、対応判断部204は、ロボット10aの信用スコアが、所定の値(第2閾値)以下となった場合に、制御モードを縮退モードに切り替えてもよい。また、信用スコア更新部206は、検知結果がアプリケーション異常を検知したことを含む場合にアプリケーションの信用スコアを減少し、対応判断部204は、アプリケーションの信用スコアが、所定の値以下となった場合に、信用スコアが所定の値以下となったアプリケーション以外のアプリケーションを用いる制御モードに切り替えてもよい。
[1.22 セントラルECUの異常対応処理全体フローチャート]
図22は、本実施の形態における、セントラルECU200の異常対応処理の全体を示すフローチャート(制御モード切替方法)である。図22は、セントラルECU200の異常検知から異常対応を行うまでの全体フローチャートである。
(S301)セントラルECU200は、異常が検知されたか、または、異常が通知されたか否かを判断する。セントラルECU200は、異常が検知されていない、かつ、異常が通知されていない場合(S301でNo)、処理を終了する。また、セントラルECU200は、異常が検知または異常が通知された場合(S301でYes)、ステップS302を実行する。異常の検知は、例えば、異常検知部205が異常を検知したか否かにより判断される。また、異常の通知は、例えば、TCU100を介して異常が検知された検知結果が取得されか否かにより判断される。
(S302)セントラルECU200は、検知または通知された異常に基づいて、異常検知結果保持部208に格納される異常検知結果を更新する。
(S303)セントラルECU200は、異常検知結果保持部208に格納されている異常検知結果に基づいて、信用スコア保持部209に格納されている信用スコアを更新する。ステップS303の動作の詳細は、図23を用いて後述する。
(S304)セントラルECU200は、信用スコア保持部209に格納されている、信用スコアが所定値以下(例えば50)となっているものが存在するか否かを確認する。信用スコアが所定値以下となっているものが存在しない場合(S304でNo)、セントラルECU200は、処理を終了する。また、信用スコアが所定値以下となっているものが存在する場合(S304でYes)、セントラルECU200は、ステップS305を実行する。
(S305)セントラルECU200は、所定値以下となった信用スコアと、現在の制御モードとに基づいて、異常対応処理を行って終了する。ステップS305の動作の詳細は、図24および図25を用いて後述する。
[1.23 セントラルECUの信用スコア更新フローチャート]
図23は、本実施の形態における、セントラルECU200の信用スコア更新処理を示すフローチャート(制御モード切替方法)である。図23は、セントラルECU200における図22のステップS303の信用スコアを更新する処理の詳細を示すフローチャートである。
(S401)セントラルECU200は、検知した異常の種類を判断する。検知した異常が、環境異常である場合、セントラルECU200は、ステップS402を実行する。検知した異常がアプリ異常である場合、セントラルECU200は、ステップS403を実行する。検知した異常がロボット異常である場合、セントラルECU200は、ステップS404を実行する。検知した異常が通信異常である場合、セントラルECU200は、ステップS405を実行する。検知した異常がユーザ異常である場合、セントラルECU200は、ステップS406を実行する。
セントラルECU200は、ステップS401において、例えば、検知された異常と、当該異常に対応する異常の種類とが対応づけられたテーブルとに基づいて、検知した異常の種類(発生要因)を推定するとも言える。
(S402)セントラルECU200の信用スコア更新部206は、検知した異常が環境異常である場合、例えば、GPS信号の異常、タンパリングの検出、外部通信環境の遮断等が検知された場合、動作環境の信用スコアを所定の値、例えば1減少させる。
(S403)セントラルECU200の信用スコア更新部206は、検知した異常がアプリ異常である場合、例えば、アプリケーションのCPUまたはメモリのリソース使用率、通信量、通信先、ファイルのアクセス権限、または、不正なプロセスの起動等が所定のルールの範囲外である場合、当該アプリの信用スコアを所定の値、例えば1減少させる。アプリケーションのCPUまたはメモリのリソース使用率、通信量、通信先、ファイルのアクセス権限、または、不正なプロセスの起動等は、アプリ監視部503により監視されていてもよい。また、異常検知部205により、所定のルールの範囲外であるか否かが判断されてもよい。また、所定のルールは、基準値を満たす(例えば、基準値以下である)ことである。基準値は、予め設定されており、例えば、セントラルECU200に記憶されている。
この場合は、検知結果には、例えば、アプリケーション異常として、遠隔操作アプリの異常(第1アプリケーションの異常)、手動制御アプリの異常(第2アプリケーションの異常)、および、自律制御アプリの異常(第3アプリケーションの異常の異常)のいずれかが含まれる。遠隔操作アプリ、手動制御アプリおよび自律制御アプリは、異常の種類の一例である。そして、信用スコア更新部206は、遠隔操作アプリが検知された場合、遠隔操作アプリスコアを減少させ、手動制御アプリの異常が検知された場合に、手動制御アプリのスコアを減少させ、自律制御アプリの異常が検知された場合に、自律制御アプリのスコアを減少させる。
(S404)セントラルECU200の信用スコア更新部206は、検知した異常がロボット異常である場合、例えば、ECUから故障コードが通知される等であった場合、当該ECUの信用スコアを所定の値、例えば1減少させる。
(S405)セントラルECU200の信用スコア更新部206は、検知した異常が通信異常である場合、例えば、ネットワークの通信量、通信メッセージの不整合等がネットワークIDSによって通知された場合、当該ネットワークの信用スコアを所定の値、例えば1減少させる。
(S406)セントラルECU200の信用スコア更新部206は、検知した異常がユーザ異常である場合、例えば、所定の値を超える加速度検知、所定の速度を超えた走行制御、所定のエリアの逸脱、緊急ブレーキ等の安全機構の発動等、遠隔制御モード時にユーザの不正によって検出されたと考えられる異常を検出した場合、ユーザの信用スコア以外に、所定の閾値以下の信用スコアとなっている対象(異常)があるか否かを確認する。
所定の値以下の信用スコアが存在する場合(S406でYes)、セントラルECU200の信用スコア更新部206は、信用スコアの低い対象に起因してユーザ異常が引き起こされたと判断して、処理を終了する。つまり、ユーザの信用スコアは、更新されない。このように、信用スコア更新部206は、検知結果がユーザ異常を検知したことを含み、かつ、ロボット10aのスコア、動作環境のスコア、および、アプリケーションのスコアのいずれかが所定の条件を満たす場合、ユーザのスコアを更新しなくてもよい。所定の条件は、ロボット10aのスコアが所定値以下である、動作環境のスコアが所定値以下である、および、アプリケーションのスコアが所定値以下であることの少なくとも1つを含む。
また、所定の値以下の信用スコアが存在しない場合(S406でNo)、セントラルECU200は、ステップS407を実行する。
(S407)セントラルECU200の信用スコア更新部206は、対応するユーザの信用スコアを所定の値、例えば1減少させる。
このように、信用スコア更新部206は、検知した異常から異常の発生原因を推定し、推定した異常の発生要因に対応する信用スコアを減少させる。
図23に示す処理は、例えば、異常が検知されるごとに実行される。言い換えると、異常が検知されるごとに、いずれかの信用スコアが更新される。なお、ステップS406の判断は行われなくてもよい。
[1.24 セントラルECUの異常対応フローチャート]
図24は、本実施の形態における、セントラルECU200の異常対応処理を示すフローチャート(制御モード切替方法)である。図24は、セントラルECU200における図22のステップS305に示す異常対応する処理の詳細を示すフローチャートである。
(S501)セントラルECU200の対応判断部204は、閾値以下となった信用スコアの種類を確認する。閾値以下となった信用スコアの種類が環境(例えば、動作環境)であった場合、セントラルECU200は、ステップS502を実行する。閾値以下となった信用スコアの種類がアプリであった場合、セントラルECU200は、ステップS503を実行する。閾値以下となった信用スコアの種類がロボット10aであった場合、セントラルECU200は、ステップS506を実行する。閾値以下となった信用スコアの種類が通信であった場合、セントラルECU200は、ステップS507を実行する。閾値以下となった信用スコアの種類がユーザであった場合、セントラルECU200は、ステップS508を実行する。
(S502)セントラルECU200の対応判断部204は、フリート管理サーバ30および監視サーバ40に監視要求または通知を行う。
(S503)セントラルECU200の対応判断部204は、対応するアプリ(信用スコアが閾値以下となったアプリ)を介した制御モードを禁止とする。セントラルECU200の対応判断部204は、例えば、自律制御アプリの信用スコアが所定の閾値(第6閾値)以下であった場合、自律制御モードを禁止し、遠隔制御アプリの信用スコアが所定の閾値(第4閾値)以下であった場合、遠隔制御モードを禁止し、手動制御アプリの信用スコアが所定の閾値(第5閾値)以下であった場合、手動制御モードを禁止とすると判断する。判断結果は、フリート管理サーバ30および監視サーバ40に通知されてもよい。
なお、第4~第6閾値は、同じ値であってもよいし、互いに異なる値であってもよい。
(S504)セントラルECU200の対応判断部204は、制御モード保持部211に保持される現在の制御モードが禁止されているかを確認する。対応判断部204は、現在の制御モードが禁止されていた場合(S504でYes)、ステップS505を実行し、現在の制御モードが禁止されていない場合(S504でNo)、処理を終了する。
(S505)セントラルECU200の対応判断部204は、制御モードを切り替えて、終了する。ステップS505の動作の詳細は、図25を用いて後述する。
(S506)セントラルECU200の対応判断部204は、制御モードを切り替えて、終了する。ステップS506の動作の詳細は、図25を用いて後述する。
(S507)セントラルECU200の対応判断部204は、監視サーバ40に対して、ネットワーク異常の分析を要求するセキュリティアラートを通知して終了する。
(S508)セントラルECU200の対応判断部204は、対応するユーザの制御権を剥奪すると判断する。具体的には、セントラルECU200の対応判断部204は、対応するユーザの権限を監視権にする、または、対応するユーザのロボット10へのログインを禁止すると判断する。
(S509)セントラルECU200の対応判断部204は、制御モードを切り替える、または、代替のユーザによる遠隔制御へ切り替えて、終了する。ステップS509の制御モードを切り替える動作の詳細は、図25を用いて後述する。
なお、対応判断部204は、2種類以上の信用スコアが所定の閾値以下となった場合は、ロボット10aの信用スコア、動作環境の信用スコア、ユーザの信用スコアの優先順位で、各スコアに基づく対応を行ってもよい。つまり、実行される対応に優先順位が設けられてもよい。当該優先順位は、予め設定されセントラルECU200に記憶されている。対応判断部204は、ロボット10aの信用スコアおよびユーザの信用スコアが所定の閾値以下となった場合、ステップS508の処理よりステップS506の処理を優先して実行してもよい。優先して実行とは、例えば、ステップS508の処理より先にステップS506の処理を実行すること、ステップS506およびステップS508のうちステップS506の処理のみを実行すること等を含む。
[1.25 セントラルECUの制御モード切替フローチャート]
図25は、本実施の形態における、セントラルECU200の制御モード切替処理を示すフローチャート(制御モード切替方法)である。図25は、セントラルECU200における図24のステップS505、S506およびS509の制御モード切替を行う動作の詳細を示すフローチャートである。図24に示すステップS505、S506およびS509において、図25に示す処理が実行される。図25に示す動作は、例えば、ステップS505、S506およびS509における共通の動作である。
(S601)セントラルECU200の対応判断部204は、ロボット10aの現在位置が制御モード切替可能なエリアであり、かつ、制御モード切替可能な状態であるか否かを判断する。制御モード切替可能なエリアは予め定められており、ロボット10aが安全な状態で停止可能な場所が制御モード切替可能なエリアとして選択される。
また、制御モード切替可能状態とは、ロボット10aが所定の制御中であり、安全に制御主体の切り替えが困難な場合でない状態である。所定の制御中は、例えば、走行動作中(走行制御中)である。例えば、走行動作中は、制御モード切替可能状態でなく、停車中は制御モード切替可能状態である。
セントラルECU200の対応判断部204は、制御モード切替可能であると判断した場合(S601でYes)、ステップS602を実行する。また、セントラルECU200の対応判断部204は、制御モード切替可能でないと判断した場合(S601でNo)、ステップS606を実行する。
なお、ステップS601では、センサ情報、および、ロボット10aの状態の少なくとも1つに基づいて、ロボット10aの現在位置が制御モード切替可能なエリアであるか否か、および、制御モード切替可能な状態であるか否かの少なくとも1つの判断が行われればよい。これにより、ロボット10aが所定の制御状態である場合、および、ロボット10aが所定の範囲に存在している場合の少なくとも1つの場合のみにおいて、制御モードの切り替えを行うことができる。
(S602)セントラルECU200の対応判断部204は、ロボット10aの制御継続が必要であり、かつ、ロボット異常でないか否か(例えば、ロボット10aの信用スコアが所定の閾値以下でないか否か)を確認する。対応判断部204は、ロボット10aの制御継続が必要でない、または、ロボット異常である(例えば、ロボット10aの信用スコアが所定の値以下である)場合(S602でNo)、ステップS607を実行する。また、対応判断部204は、ロボット10aの制御継続が必要、かつ、ロボット異常ではない(例えば、ロボット10aの信用スコアが所定の値より大きい)場合(S602でYes)、ステップS603を実行する。
なお、ロボット10aの制御継続が必要な場合とは、ロボット10aが所定の作業中(例えば荷物の運搬等)であり、ロボット10aの制御中断により、サービスの可用性が低下する場合、または、ロボット10aの制御中断により、周囲の人、モノ、環境に安全性の影響が及ぶ場合である。
(S603)セントラルECU200の対応判断部204は、ユーザ異常であり(例えば、現在制御権を持つユーザの信用スコアが所定の値以下であり)、かつ、制御モードが遠隔制御モードであるか否かを確認する。対応判断部204は、ユーザ異常であり(例えば、信用スコアが所定の値以下であり)、かつ、遠隔制御モードであった場合(S603でYes)、ステップS604を実行する。また、対応判断部204は、ユーザ異常ではない(例えば、信用スコアが所定の値より大きい)、または、遠隔制御モードでない場合(S603でNo)、ステップS608を実行する。
なお、例えば、ユーザ異常ではないが遠隔操作モードである、ユーザ異常であるが遠隔操作モードではない、および、アプリ異常である場合に、ステップS603でNoと判断される。言い換えると、ステップS603でNoと判断された場合、異常がユーザ異常またはアプリ異常である可能性が残っている。
(S604)セントラルECU200の対応判断部204は、制御権を与えることができるユーザが存在するか否かを判断する。対応判断部204は、例えば、図17に示すアカウント情報、および、図19に示すユーザ信用スコアの少なくとも一つに基づいて、ステップS604の判断を行う。
制御権を与えることができるユーザは、例えばロボット10aにすでにログイン済みであり監視権を与えられているユーザであってもよいし、フリート管理サーバ30により新規に割り当てられたユーザであってもよい。
対応判断部204は、制御権を与えるユーザが存在する場合(S604でYes)、ステップS605を実行する。また、対応判断部204は、制御権を与えるユーザが存在しない場合(S604でNo)、ステップS609を実行する。
(S605)セントラルECU200の対応判断部204は、制御権を与えることが可能なユーザへ制御権を与え、遠隔制御モードを継続し、終了する。対応判断部204は、ステップS508(図24)とステップS605とにより、ユーザ異常と判断されたユーザからステップS604でYesと判断されたユーザに、ロボット10aの制御権を切り替えるとも言える。これにより、ユーザ異常と判断されたユーザは、ロボット10aを遠隔操作できなくなる。ユーザを切り替えることも、制御モードを切り替えることに含まれる。
(S606)セントラルECU200の対応判断部204は、制御モードを縮退モードに移行させ、ロボット10aを制御モード切替可能エリアへ移動させ、かつ、切替可能状態として、ステップS602を実行する。対応判断部204は、例えば、ロボット10aを制御モード切替可能エリアへ移動し、かつ、停止した後、ステップS602を実行する。
(S607)セントラルECU200の対応判断部204は、ロボット10aを安全なエリアで停止させ、終了する。ロボット10aが動作しなくても問題がない範囲が安全なエリアとして選択される。安全なエリアで停止させることも、制御モードを切り替えることに含まれる。
(S608)セントラルECU200の対応判断部204は、現在の制御モードが遠隔制御モードであるか否かを確認する。対応判断部204は、例えば、制御モード保持部211に格納されている現在の制御モードに基づいて、ステップS608の判断を行う。そして、対応判断部204は、遠隔制御モードであった場合(S608でYes)、ステップS609を実行する。また、対応判断部204は、遠隔制御モードでない場合(S608でNo)、ステップS610を実行する。
(S609)セントラルECU200の対応判断部204は、制御モードを自律制御モード、または、手動制御モードのうち、禁止されていない制御モードに切り替えて、制御を継続し、終了する。対応判断部204は、ステップS608でYesの場合、遠隔制御アプリの異常である可能性があるので、他のアプリを用いる制御モードに切り替える。
なお、対応判断部204は、いずれの制御モードも禁止されていない場合、より信用スコアの高いアプリによる制御モードに切り替えてもよいし、制御切替までの時間が短く済む制御モードに切り替えてもよい。また、対応判断部204は、いずれの制御モードも禁止されている場合、ロボット10aの制御を停止させる。対応判断部204は、例えば、ステップS607と同様、安全なエリアでロボット10aを停止させてもよい。
(S610)セントラルECU200の対応判断部204は、現在の制御モードが自律制御モードであるか否かを確認する。対応判断部204は、例えば、制御モード保持部211に格納される制御モードに基づいて、ステップS610の判断を行う。そして、対応判断部204は、現在の制御モードが自律制御モードであった場合(S610でYes)、ステップS611を実行する。また、対応判断部204は、現在の制御モードが自律制御モードでない場合(S610でNo)、ステップS612を実行する。
(S611)セントラルECU200の対応判断部204は、制御モードを遠隔制御モードまたは手動制御モードに切り替え、終了する。対応判断部204は、ステップS610でYesの場合、自律制御アプリの異常である可能性があるので、他のアプリを用いる制御モードに切り替える。
(S612)セントラルECU200の対応判断部204は、制御モードを自律制御モードまたは遠隔制御モードに切り替え、終了する。対応判断部204は、ステップS610でNoの場合、手動制御アプリの異常である可能性があるので、他のアプリを用いる制御モードに切り替える。
[1.26 実施の形態の効果]
本実施の形態に係るロボット制御モード切替方法では、ロボットシステムにおいて検出されるセキュリティ異常と、現在のロボット10の制御状態とに応じて、セキュリティ異常の原因を分析し、安全な制御モードを選択することを可能にする。これにより、異常が検知された場合であっても、安全な制御を継続可能なロボットシステムを実現することができる。
[その他変形例]
なお、本開示を上記各実施の形態に基づいて説明してきたが、本開示は、上記各実施の形態に限定されないのはもちろんである。以下のような場合も本開示に含まれる。
(1)上記の実施の形態では、ロボットシステムについて特定のサービスまたはアプリケーションを規定していなかったが、対象となるロボットは何でもよい。例えばロボットは、自動運転車両であってもよいし、船舶システム、ドローンのようなモビリティロボットであってもよいし、産業用ロボット、ヒト型ロボットのように特定のタスクを実行するロボットであってもよい。また、ロボットは、当該ロボットの全体が移動可能であってもよいし、ロボットを構成する一部(例えば、ロボットアーム)のみが動作可能であってもよい。本明細書におけるロボットは、移動しないロボットも含まれる。
(2)上記実施の形態では、ロボットには、自律制御、手動制御、遠隔制御の3つの制御方法が存在したが、必ずしも3つの制御手段を備える必要はない。例えば遠隔制御および自律制御のように、少なくとも2つの制御モードを備えていればよい。また、制御モードも、これらの3つに限定するものではない。ロボットは、例えば、他の制御モードとして、他のロボットと協調して動作する協調制御モード、管制センターからの命令により動作する制御モード等を備えていてもよい。
(3)上記実施の形態では、遠隔制御端末がロボットと接続し、ユーザの認証を行うことでロボットが遠隔制御モードに移行する例を示したが、ユーザの認証はフリート管理サーバが行ってもよい。また、遠隔制御端末は、フリート管理サーバを介して、ロボットの制御を行ってもよい。これにより、フリート管理サーバはユーザの操作履歴を確認することが可能となり、安全性が高まる。
(4)上記実施の形態では、フリート管理サーバと、監視サーバとに機能を分離したロボット監視システムについて説明したが、フリート管理サーバと監視サーバとの機能を集約してもよい。
(5)上記実施の形態では、セントラルECUは、定期的に、フリート管理サーバと、監視サーバとに、ロボットの状態を通知するとしたが、ロボットの状態通知は定期的でなくてもよい。例えば、フリート管理サーバあるいは、監視サーバの要求に応じて、ロボットの状態を通知してもよいし、ロボット内のイベントの発生タイミング、例えばユーザのログイン、制御モードの変化、異常の検知等のタイミングでロボットの状態を通知してもよい。これにより、ロボットとサーバとの通信における通信量を削減することができる。
(6)上記実施の形態では、対応判断部はロボット内にあるとしたが、監視サーバまたはフリート管理サーバ上で制御モード切替の判断を行ってもよい。これにより、さらに、サーバ上にあるエリア情報、近隣ロボットの状態等を用いた対応の判断が可能になる。一方、ロボットで判断する場合、即時の制御モード切替、サーバとの通信が困難な状況においても制御モードの切替等が可能になり安全性が高まる場合がある。
(7)上記実施の形態では、セントラルECUは、ハイパーバイザー等を利用した仮想マシン上にゲストOS部が動作する例を示したが、セントラルECUに、ハイパーバイザーまたは仮想化技術が搭載されていなくてもよい。
(8)上記実施の形態では、セントラルECUは、異常を検知したタイミングで信用スコアを更新していたが、信用スコアを更新するタイミングは、異常を検知したタイミングでなくてもよい。例えば、所定の間隔で異常検知結果保持部を参照し、信用スコアを更新してもよい。この時、前回の信用スコア更新時から新規に検出された異常検知結果を総合的に判断して信用スコアを更新してもよい。例えば、異常検知結果として、新規にユーザの危険運転および動作環境異常が同時に検出されている場合、動作環境異常の結果、ユーザの危険運転の異常が検出されたとして、ユーザの危険運転による当該ユーザの信用スコア減少は行われなくてもよい。
(9)上記実施の形態では、異常検知結果保持部に、異常検知内容、時刻および検知装置が格納されていたが、異常検知結果に他の情報を付与してもよい。例えば、異常検知結果に異常の深刻度を含めてもよい。深刻度は、異常発生によるロボットの制御への影響により決定されてよい。例えば、重度、中度、軽度の3段階で深刻度を表してもよい。重度は、ロボットの制御または周囲の安全性に重大な影響が発生しうる/発生している状態であり、中度は、ロボットの制御または周囲の安全性に影響を与える可能性がある状態である。また、軽度は、ロボットの制御または周囲の安全性に影響を与える可能性は低い状態であるとしてもよい。これにより、検知した異常の深刻度に応じて、即時対応または監視サーバへのアラート通知の対応を行うことが可能になる。
(10)上記実施の形態では、信用スコアの更新時に、検出した異常に対応する信用スコアを1ずつ減少させる例を示したが、信用スコアの更新方法はこれに限らない。例えば、その他の変形例(9)で、説明したように異常の深刻度に応じて減少値を変更してもよい。深刻度の高い異常の場合は、10減少させ、中度の場合は5減少させ、軽度の場合は1減少させるようにしてもよい。信用スコアの減少量(更新量の一例)は、深刻度に応じて重みづけされてもよい。また、信用スコアの最大値は100でなくても構わないし、数値化されていなくてもよい。例えば、信用スコアは、高、中、低のように段階的に示されてもよい。
(11)上記実施の形態では、信用スコアが減少するように更新される例のみを示したが、信用スコアが上昇する処理が行われてもよい。例えば1日ごとに信用スコアが所定の値が上昇してもよいし、監視サーバにより、異常の発生原因が判明した場合に、発生原因でなかった対象の信用スコアを上昇させる処理を行ってもよいし、異常の原因のリカバリが行われた場合に(例えばロボットにインストールされた不正なアプリケーションが除去された等)、信用スコアを回復(例えば、信用スコアをリセットまたは上昇)させてもよい。また、所定の時間、異常を検知しなかった場合に信用スコアを上昇させてもよい。
(12)上記実施の形態では、ユーザ情報保持部に、遠隔制御端末からログインしたユーザの情報のみを保持していたが、手動制御を行うユーザの情報を保持してもよい。この時、ユーザは、ロボットに認証されログインする手続きを行う。例えば、ユーザが所有するICカード、スマートフォン等のユーザの所有物によりユーザを認証してもよいし、IDおよびパスワードの入力等のユーザの記憶内容によりユーザを認証してもよいし、顔認証、指紋認証等のユーザの生体情報によりユーザを認証してもよいし、上記を組み合わせた多要素認証によりユーザを認証してもよい。これにより、ロボットを近接から手動で制御するユーザの操作についても、フリート管理サーバでの管理およびロボットのアクセス制御をより強力に実現でき、安全性の向上に効果的である。
(13)上記実施の形態では、信用スコアを保持する対象を、アプリ、ユーザ、ロボット、通信、動作環境に分類したうえで、それぞれさらに詳細化を行ったが、詳細化は行わなくてもよいし、分類方法はこれに限らない。遠隔制御を行うユーザに起因する異常であるか、ロボット内の構成要素に起因する異常であるか、ロボットの動作環境に起因する異常であるかのいずれか2つ以上を含んでいればよい。
(14)上記実施の形態では、制御モードが遠隔制御モードの時に、ロボットの危険な制御が検知された場合に、ユーザに起因する異常が検知されたとして、ユーザの信用スコアを減少させたが、さらに、ユーザの制御履歴の情報を加えて、ユーザの制御の結果、危険な制御が検知されたかを判断してもよい。例えば、信用スコア更新部は、ロボットの制御モードが、遠隔制御モードであり、かつ、閾値を超える加速度が検知されたときに、直近のユーザの制御履歴を参照し、ユーザが移動に関わる制御を行っていない場合には、ユーザの制御によりロボットで異常が検知された可能性は低く、動作環境に起因して異常が発生した可能性が高いとして、動作環境の信用スコアを減少させてもよい。これにより、正確に異常の原因を判断することが可能になり、適切な対応により安全性を高めることに効果的である。
(15)上記実施の形態では、環境異常が発生した場合に、監視要求および通報の対応を行う例を示したが、対応方法はこれに限らない。例えば、動作環境が信用できない状況において、ロボットの自律制御は危険であるとして、自律制御モードを禁止としてもよい。
(16)上記実施の形態では、動作環境の異常検知の対応に監視要求を行う例を示したが、遠隔制御モード中に遠隔ユーザに動作環境を確認する要求を行ってもよいし、不正な近接する第三者の存在または動作環境の異常を遠隔オペレータが通知してもよい。
(17)上記実施の形態では、ユーザの信用スコアが所定の値以下となった場合に、ロボットの制御権が剥奪される例を示したが、ロボットの制御権をさらに詳細に分類して、制御権の一部を制限してもよい。例えば、移動に関わる制御権、ドアの開閉に関わる制御権等、ロボットの制御を機能ごとに分類することで、移動に関わる制御権のみを剥奪する等してもよい。
(18)上記実施の形態では、ユーザの信用スコアが監視サーバに格納されており、ユーザのログイン時にロボットが、ユーザの信用スコアを同期することで、ロボットでユーザの制御権に関する判断を行っていたが、信用スコアの低いユーザについては、監視サーバが失効リストを作成し、ロボットまたはフリート管理サーバへ事前に配布していてもよい。これにより、不正なユーザによるアクセスをただちに排除することが可能となり、安全性が高まる。
(19)上記実施の形態では、所定の閾値以下となった信用スコアの種類によって対応を定めていたが、閾値は、信用スコアの種類によって異なってもよいし、ロボットごとに各閾値が異なっていてもよい。これにより、ロボットの種類や動作環境ごとによって安全性と可用性のバランスを柔軟に設計することが可能となる。
(20)上記の実施の形態における各装置は、具体的には、マイクロプロセッサ、ROM、RAM、ハードディスクユニット、ディスプレイユニット、キーボード、マウス等から構成されるコンピュータシステムである。RAMまたはハードディスクユニットには、コンピュータプログラムが記録されている。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、各装置は、その機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。
(21)上記の実施の形態における各装置は、構成する構成要素の一部または全部は、1個のシステムLSI(Large Scale Integration:大規模集積回路)から構成されているとしてもよい。システムLSIは、複数の構成部を1個のチップ上に集積して製造された超多機能LSIであり、具体的には、マイクロプロセッサ、ROM、RAM等を含んで構成されるコンピュータシステムである。RAMには、コンピュータプログラムが記録されている。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、システムLSIは、その機能を達成する。
また、上記の各装置を構成する構成要素の各部は、個別に1チップ化されていても良いし、一部またはすべてを含むように1チップ化されてもよい。
また、ここでは、システムLSIとしたが、集積度の違いにより、IC、LSI、スーパーLSI、ウルトラLSIと呼称されることもある。また、集積回路化の手法はLSIに限るものではなく、専用回路または汎用プロセッサで実現してもよい。LSI製造後に、プログラムすることが可能なFPGA(Field Programmable Gate Array)や、LSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用しても良い。
さらには、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてありえる。
(22)上記の各装置を構成する構成要素の一部または全部は、各装置に脱着可能なICカードまたは単体のモジュールから構成されているとしてもよい。ICカードまたはモジュールは、マイクロプロセッサ、ROM、RAM等から構成されるコンピュータシステムである。ICカードまたはモジュールは、上記の超多機能LSIを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、ICカードまたはモジュールは、その機能を達成する。このICカードまたはこのモジュールは、耐タンパ性を有するとしてもよい。
(23)本開示は、上記に示す方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、コンピュータプログラムからなるデジタル信号であるとしてもよい。
また、本開示は、コンピュータプログラムまたはデジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(登録商標) Disc)、半導体メモリ等に記録したものとしてもよい。また、これらの記録媒体に記録されているデジタル信号であるとしてもよい。
また、本開示は、コンピュータプログラムまたはデジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。
また、本開示は、マイクロプロセッサとメモリとを備えたコンピュータシステムであって、メモリは、上記コンピュータプログラムを記録しており、マイクロプロセッサは、コンピュータプログラムにしたがって動作するとしてもよい。
また、プログラムまたはデジタル信号を記録媒体に記録して移送することにより、またはプログラムまたはデジタル信号をネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。
(24)また、ブロック図における機能ブロックの分割は一例であり、複数の機能ブロックを一つの機能ブロックとして実現したり、一つの機能ブロックを複数に分割したり、一部の機能を他の機能ブロックに移してもよい。また、類似する機能を有する複数の機能ブロックの機能を単一のハードウェア又はソフトウェアが並列又は時分割に処理してもよい。
また、上記実施の形態等に係る制御モード切替装置は、単一の装置として実現されてもよいし、複数の装置により実現されてもよい。制御モード切替装置が複数の装置によって実現される場合、当該制御モード切替装置が有する各構成要素は、複数の装置にどのように振り分けられてもよい。制御モード切替装置が複数の装置で実現される場合、当該複数の装置間の通信方法は、特に限定されず、無線通信であってもよいし、有線通信であってもよい。また、装置間では、無線通信および有線通信が組み合わされてもよい。また、制御モード切替装置の各構成要素は、例えば、フリート管理サーバ、監視サーバ、遠隔制御端末のいずれかに備えられてもよい。
(25)また、フローチャートにおける各ステップが実行される順序は、本開示を具体的に説明するために例示するためのものであり、上記以外の順序であってもよい。また、上記ステップの一部が他のステップと同時(並列)に実行されてもよいし、上記ステップの一部は実行されなくてもよい。また、ステップS505、S506およびS509は、共通の動作である例について説明したが、これに限定されず、互いに異なっていてもよい。
(26)上記実施の形態及び上記変形例をそれぞれ組み合わせるとしてもよい。例えば、本開示の趣旨を逸脱しない限り、当業者が思いつく各種変形を本実施の形態に施したものや、異なる実施の形態における構成要素を組み合わせて構築される形態も、本開示に含まれてもよい。
本開示は、公共の場を移動するロボットを管理するシステムにおいて有用である。
10、10a、10b、10c ロボット
20 ネットワーク
30 フリート管理サーバ
31、41、51 通信部
32 フリート管理部
33 ロボット状態保持部
34 アカウント情報保持部
40 監視サーバ
42 監視部
43 分析インタフェース部
44 ロボット信用スコア保持部
45 ユーザ信用スコア保持部
50 遠隔制御端末
52 遠隔制御アプリ部
53 ユーザインタフェース部
100 TCU
101 外部通信部
102、502、602 アプリ部
103 内部通信部
104、402 侵入検知部
200 セントラルECU(制御モード切替装置)
201、301、401、501、601 通信ポート部
202 ホストOS部
203 ゲストOS部
204 対応判断部
205 異常検知部
206 信用スコア更新部
207 ユーザ管理部
208 異常検知結果保持部
209 信用スコア保持部
210 ユーザ情報保持部
211 制御モード保持部
300 ユーザインタフェースECU
302、603 外部機器接続部
400 Ethernetスイッチ
500 自律運転ECU
503 アプリ監視部
600 センサECU
700 アクチュエータECU

Claims (10)

  1. ロボットの制御モードを切り替える制御モード切替装置であって、
    前記制御モードは、外部ネットワークを介して第1ユーザにより制御される遠隔制御モード、第2ユーザからの前記外部ネットワークを介さない操作により制御される手動制御モード、および、前記ロボットに設けられたセンサにより取得されたセンサ情報に基づいて制御される自律制御モードのうちの2つ以上を含み、
    前記制御モード切替装置は、
    前記ロボット内の制御ネットワーク上の通信メッセージと、前記制御モードとに基づいて、前記第1ユーザまたは前記第2ユーザの制御に起因するユーザ異常、前記制御ネットワークに起因するロボット異常、前記ロボットの動作環境に起因する動作環境異常、および、前記制御ネットワークに接続され前記ロボットを制御する制御装置が動作させるアプリケーションに起因するアプリケーション異常のいずれか1つ以上の異常の検知結果を取得する取得部と、
    取得された前記検知結果に基づいて、検知された前記異常の種類ごとに、当該異常の種類が前記ロボットにおける異常発生の要因である可能性を示すスコアを算出し、算出された前記スコアに基づいて、前記ロボットの制御モードを切り替える切替部とを備え、
    前記異常の種類は、ユーザ、ロボット、動作環境、および、アプリケーションのうち少なくとも2つ以上を含み、
    前記切替部は、前記検知結果が、前記ユーザ異常を検知したことを含む場合にユーザのスコアを更新し、前記ロボット異常を検知したことを含む場合に前記ロボットのスコアを更新し、前記動作環境異常を検知したことを含む場合に動作環境のスコアを更新し、前記アプリケーション異常を検知したことを含む場合に、前記アプリケーションのスコアを更新し、
    前記スコアの更新は、スコアを減少することであり、
    前記切替部は、さらに、
    複数の前記第1ユーザごとに前記スコアを算出し、前記制御モードが前記遠隔制御モードであり、かつ、前記スコアが第1閾値以下となった不正な第1ユーザが前記ロボットの制御を行っている場合に、当該不正な第1ユーザによる前記制御を受け付けない、他の第1ユーザへの変更を要求、または、前記制御モードを前記遠隔制御モード以外の制御モードに切り替えの少なくとも1つを行い、
    前記ロボットのスコアが、第2閾値以下となった場合に、前記制御モードを、前記ロボットの制御を限定して、安全な状態で停止させる縮退モードに切り替え、
    前記動作環境のスコアが、第3閾値以下となった場合に、前記動作環境の確認を行うためのアラートを外部へ要求する、
    制御モード切替装置。
  2. 前記センサ情報には、前記ロボットの位置情報、加速度、走行速度、および、カメラ画像のうち少なくとも1つ以上が含まれ、
    前記ユーザ異常は、前記制御モードが前記手動制御モードまたは前記遠隔制御モードであるときに、前記位置情報が予め制御が想定されている範囲の逸脱、所定の閾値を超える前記加速度または前記走行速度、および、前記カメラ画像に基づく予め想定されていない人またはモノとの接触または接近のいずれかが検知される異常であり、
    前記ロボット異常は、前記制御ネットワークの通信情報に含まれる故障の通知、または、前記制御ネットワークの通信異常のいずれかが検知される異常であり、
    前記動作環境異常は、前記位置情報の不連続な変化または無効な値、前記外部ネットワークの通信異常、前記制御ネットワークの電圧変化、前記ロボットの分解のいずれかが検知される異常である、
    請求項1に記載の制御モード切替装置。
  3. 前記切替部は、2種類以上の前記スコアが所定の閾値以下となった場合は、前記ロボットのスコア、前記動作環境のスコア、前記ユーザのスコアの優先順位で、各スコアに基づく対応を行う、
    請求項1または2に記載の制御モード切替装置。
  4. 前記切替部は、前記検知結果が前記ユーザ異常を検知したことを含み、かつ、前記ロボットのスコア、前記動作環境のスコア、および、前記アプリケーションのスコアのいずれかが所定の条件を満たす場合、前記ユーザのスコアを更新しない、
    請求項のいずれか1項に記載の制御モード切替装置。
  5. 前記アプリケーションは、前記遠隔制御モードのための第1アプリケーション、前記手動制御モードのための第2アプリケーション、および、前記自律制御モードのための第3アプリケーションを含み、
    前記検知結果には、前記アプリケーション異常として、前記第1アプリケーションの異常、前記第2アプリケーションの異常、および、前記第3アプリケーションの異常が含まれ、
    前記切替部は、前記第1アプリケーションの異常が検知された場合に、前記第1アプリケーションのスコアを減少させ、前記第2アプリケーションの異常が検知された場合に、前記第2アプリケーションのスコアを減少させ、前記第3アプリケーションの異常が検知された場合に、前記第3アプリケーションのスコアを減少させ、
    前記第1アプリケーションのスコアが第4閾値以下となった場合に、前記制御モードが前記遠隔制御モードとなることを禁止し、
    前記第2アプリケーションのスコアが第5閾値以下となった場合に、前記制御モードが前記手動制御モードとなることを禁止し、
    前記第3アプリケーションのスコアが第6閾値以下となった場合に、前記制御モードが前記自律制御モードとなることを禁止する、
    請求項1~のいずれか1項に記載の制御モード切替装置。
  6. 前記切替部は、前記センサ情報、および、前記ロボットの状態の少なくとも1つに基づいて前記ロボットが所定の制御状態であるか否かを判断し、前記ロボットが所定の制御状態である場合のみ、前記制御モードの切り替えを行う、
    請求項1~のいずれか1項に記載の制御モード切替装置。
  7. 前記切替部は、前記ロボットの前記位置情報に基づいて、前記ロボットが所定の範囲に存在している場合のみ、前記制御モードの切り替えを行う、
    請求項2に記載の制御モード切替装置。
  8. 前記取得部は、前記通信メッセージと、前記制御モードとに基づいて、前記ユーザ異常、前記ロボット異常、前記動作環境異常、および、前記アプリケーション異常のいずれか1つ以上の異常を検知する異常検知部により実現される、
    請求項1~のいずれか1項に記載の制御モード切替装置。
  9. ロボットの制御モードを切り替える制御モード切替方法であって、
    前記制御モードは、外部ネットワークを介して第1ユーザにより制御される遠隔制御モード、第2ユーザからの前記外部ネットワークを介さない操作により制御される手動制御モード、および、前記ロボットに設けられたセンサにより取得されたセンサ情報に基づいて制御される自律制御モードのうちの2つ以上を含み、
    前記制御モード切替方法は、
    前記ロボット内の制御ネットワーク上の通信メッセージと、前記制御モードとに基づいて、前記第1ユーザまたは前記第2ユーザの制御に起因するユーザ異常、前記制御ネットワークに起因するロボット異常、前記ロボットの動作環境に起因する動作環境異常、および、前記制御ネットワークに接続され前記ロボットを制御する制御装置が動作させるアプリケーションに起因するアプリケーション異常のいずれか1つ以上の異常の検知結果を取得し、
    取得された前記検知結果に基づいて、検知された前記異常の種類ごとに、当該異常の種類が前記ロボットにおける異常発生の要因である可能性を示すスコアを算出し、算出された前記スコアに基づいて、前記ロボットの制御モードを切り替え、
    前記異常の種類は、ユーザ、ロボット、動作環境、および、アプリケーションのうち少なくとも2つ以上を含み、
    前記切り替えは、前記検知結果が、前記ユーザ異常を検知したことを含む場合にユーザのスコアを更新し、前記ロボット異常を検知したことを含む場合に前記ロボットのスコアを更新し、前記動作環境異常を検知したことを含む場合に動作環境のスコアを更新し、前記アプリケーション異常を検知したことを含む場合に、前記アプリケーションのスコアを更新し、
    前記スコアの更新は、スコアを減少することであり、
    前記切り替えは、さらに、
    複数の前記第1ユーザごとに前記スコアを算出し、前記制御モードが前記遠隔制御モードであり、かつ、前記スコアが第1閾値以下となった不正な第1ユーザが前記ロボットの制御を行っている場合に、当該不正な第1ユーザによる前記制御を受け付けない、他の第1ユーザへの変更を要求、または、前記制御モードを前記遠隔制御モード以外の制御モードに切り替えの少なくとも1つを行い、
    前記ロボットのスコアが、第2閾値以下となった場合に、前記制御モードを、前記ロボットの制御を限定して、安全な状態で停止させる縮退モードに切り替え、
    前記動作環境のスコアが、第3閾値以下となった場合に、前記動作環境の確認を行うためのアラートを外部へ要求する、
    制御モード切替方法。
  10. 請求項9に記載の制御モード切替方法をコンピュータに実行させるためのプログラム。
JP2022546910A 2020-09-01 2021-07-08 制御モード切替装置、制御モード切替方法、および、プログラム Active JP7719783B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JPPCT/JP2020/033120 2020-09-01
PCT/JP2020/033120 WO2022049636A1 (ja) 2020-09-01 2020-09-01 制御モード切替装置、および制御モード切替方法
PCT/JP2021/025866 WO2022049894A1 (ja) 2020-09-01 2021-07-08 制御モード切替装置、および、制御モード切替方法

Publications (2)

Publication Number Publication Date
JPWO2022049894A1 JPWO2022049894A1 (ja) 2022-03-10
JP7719783B2 true JP7719783B2 (ja) 2025-08-06

Family

ID=80490741

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022546910A Active JP7719783B2 (ja) 2020-09-01 2021-07-08 制御モード切替装置、制御モード切替方法、および、プログラム

Country Status (5)

Country Link
US (1) US12379712B2 (ja)
EP (1) EP4209851A4 (ja)
JP (1) JP7719783B2 (ja)
CN (1) CN115989467A (ja)
WO (2) WO2022049636A1 (ja)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023059942A1 (en) 2021-10-05 2023-04-13 Argo AI, LLC Systems and methods for managing, accessing and using services
JP7735791B2 (ja) * 2021-10-26 2025-09-09 株式会社オートネットワーク技術研究所 検知装置、検知方法および検知プログラム
US12134401B2 (en) * 2021-12-14 2024-11-05 Gm Cruise Holdings Llc Local assistance for autonomous vehicle-enabled rideshare service
KR20230124399A (ko) * 2022-02-18 2023-08-25 현대자동차주식회사 로보택시의 주행모드 제어 장치 및 그 방법
US12195031B2 (en) 2022-03-10 2025-01-14 Volkswagen Group of America Investments, LLC Systems and methods for dynamic data mining during data collection missions
JP7797283B2 (ja) * 2022-03-31 2026-01-13 アマノ株式会社 走行作業情報処理システム
JP2023170481A (ja) * 2022-05-19 2023-12-01 株式会社デンソー 車載通信機及びプッシュサーバ
JP2024005055A (ja) * 2022-06-29 2024-01-17 株式会社デンソーテン 通信装置および通信システム
CN119816791A (zh) * 2022-09-12 2025-04-11 松下知识产权经营株式会社 移动机器人、服务器、移动机器人控制系统以及移动机器人控制方法
US12511380B2 (en) * 2023-03-10 2025-12-30 Blackberry Limited Method and system for intrusion detection for an in-vehicle infotainment system
JP2024148357A (ja) * 2023-04-05 2024-10-18 トヨタ自動車株式会社 車両
JP7761021B2 (ja) * 2023-04-13 2025-10-28 トヨタ自動車株式会社 移動体管理装置、移動体管理システム、および遠隔制御機能の無効化方法
KR20240154342A (ko) * 2023-04-18 2024-10-25 현대자동차주식회사 Msa 기반의 로봇 관제 장치 및 그 로봇 관리 방법
KR102786229B1 (ko) * 2024-04-04 2025-03-26 주식회사 이엔플러스 전기차의 자율주행을 위한 차량 제어 방법
CN119310826B (zh) * 2024-12-16 2025-03-11 天津阿尔法优联电气有限公司 基于脉宽调制编码的地铁运行双模式控制方法及系统

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005144612A (ja) 2003-11-17 2005-06-09 Sony Corp ロボットシステム、遠隔操作装置、ロボット装置及びその制御方法
WO2017029847A1 (ja) 2015-08-19 2017-02-23 ソニー株式会社 情報処理装置、情報処理方法及びプログラム
JP2018040426A (ja) 2016-09-07 2018-03-15 トヨタ自動車株式会社 車両の走行制御装置
US20180297470A1 (en) 2017-04-12 2018-10-18 Lg Electronics Inc. Lamp for a vehicle
JP2018180859A (ja) 2017-04-11 2018-11-15 トヨタ自動車株式会社 自動運転システム
JP2019153875A (ja) 2018-03-01 2019-09-12 株式会社日立製作所 不正通信検知装置および不正通信検知プログラム
JP2020032793A (ja) 2018-08-28 2020-03-05 日立オートモティブシステムズ株式会社 車両制御装置及び車両制御システム
JP2021015561A (ja) 2019-07-16 2021-02-12 トヨタ自動車株式会社 車両制御装置

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS58174475A (ja) 1982-04-08 1983-10-13 Mitsubishi Rayon Co Ltd 電子線硬化型接着剤
JP3803416B2 (ja) * 1996-03-22 2006-08-02 ヤンマー農機株式会社 自走車両の制御モード切換装置
AU2013227999A1 (en) * 2012-09-13 2014-03-27 Technological Resources Pty Ltd A system for, and a method of, controlling operation of a vehicle in a defined area
EP2909065B1 (en) 2012-10-17 2020-08-26 Tower-Sec Ltd. A device for detection and prevention of an attack on a vehicle
US10824720B2 (en) * 2014-03-28 2020-11-03 Tower-Sec Ltd. Security system and methods for identification of in-vehicle attack originator
US10656640B2 (en) * 2016-07-07 2020-05-19 Applied Minds, Llc Systems and methods for centralized control of autonomous vehicles
JP2018062308A (ja) * 2016-10-14 2018-04-19 オムロン株式会社 運転モード切替制御装置、方法およびプログラム
US11623647B2 (en) * 2016-10-27 2023-04-11 Toyota Motor Engineering & Manufacturing North America, Inc. Driver and vehicle monitoring feedback system for an autonomous vehicle
US20190034857A1 (en) * 2017-07-28 2019-01-31 Nuro, Inc. Food and beverage delivery system on autonomous and semi-autonomous vehicle
JP7045286B2 (ja) * 2018-01-22 2022-03-31 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ データ解析装置、データ解析方法及びプログラム
CN110325410B (zh) * 2018-01-22 2022-04-26 松下电器(美国)知识产权公司 数据分析装置及存储介质
JP2019174426A (ja) * 2018-03-29 2019-10-10 パナソニックIpマネジメント株式会社 異常検知装置、異常検知方法およびプログラム
CN112654969B (zh) * 2018-10-11 2024-10-08 日本电信电话株式会社 信息处理装置、数据分析方法及存储介质
JP2020068506A (ja) * 2018-10-26 2020-04-30 パナソニックIpマネジメント株式会社 電子制御装置、電子制御システム及びプログラム
WO2020110876A1 (ja) * 2018-11-28 2020-06-04 オムロン株式会社 コントローラシステム
US11531330B2 (en) * 2020-08-05 2022-12-20 Eternal Paradise Limited Blockchain-based failsafe mechanisms for autonomous systems

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005144612A (ja) 2003-11-17 2005-06-09 Sony Corp ロボットシステム、遠隔操作装置、ロボット装置及びその制御方法
WO2017029847A1 (ja) 2015-08-19 2017-02-23 ソニー株式会社 情報処理装置、情報処理方法及びプログラム
JP2018040426A (ja) 2016-09-07 2018-03-15 トヨタ自動車株式会社 車両の走行制御装置
JP2018180859A (ja) 2017-04-11 2018-11-15 トヨタ自動車株式会社 自動運転システム
US20180297470A1 (en) 2017-04-12 2018-10-18 Lg Electronics Inc. Lamp for a vehicle
JP2019153875A (ja) 2018-03-01 2019-09-12 株式会社日立製作所 不正通信検知装置および不正通信検知プログラム
JP2020032793A (ja) 2018-08-28 2020-03-05 日立オートモティブシステムズ株式会社 車両制御装置及び車両制御システム
JP2021015561A (ja) 2019-07-16 2021-02-12 トヨタ自動車株式会社 車両制御装置

Also Published As

Publication number Publication date
EP4209851A4 (en) 2024-02-28
CN115989467A (zh) 2023-04-18
WO2022049894A1 (ja) 2022-03-10
US20230205181A1 (en) 2023-06-29
WO2022049636A1 (ja) 2022-03-10
EP4209851A1 (en) 2023-07-12
JPWO2022049894A1 (ja) 2022-03-10
US12379712B2 (en) 2025-08-05

Similar Documents

Publication Publication Date Title
JP7719783B2 (ja) 制御モード切替装置、制御モード切替方法、および、プログラム
JP7496404B2 (ja) セキュリティ処理方法及びサーバ
JP7197638B2 (ja) セキュリティ処理方法及びサーバ
JP7196882B2 (ja) 乗り物コンピュータシステム
US20210044612A1 (en) In-vehicle apparatus and incident monitoring method
US9300673B2 (en) Automation system access control system and method
KR102728211B1 (ko) 차량 침입 감지 및 방지 시스템
EP3476101B1 (en) Method, device and system for network security
WO2021038870A1 (ja) 異常車両検出サーバおよび異常車両検出方法
JPWO2019216306A1 (ja) 異常検知電子制御ユニット、車載ネットワークシステム及び異常検知方法
JP2018160786A (ja) 監視装置、監視方法およびコンピュータプログラム
KR20150069027A (ko) 하드웨어 관리 인터페이스
CN113132318B (zh) 面向配电自动化系统主站信息安全的主动防御方法及系统
WO2020075826A1 (ja) 機器、データ送信方法及びプログラム
WO2021111681A1 (ja) 情報処理装置、制御方法及びプログラム
US10701088B2 (en) Method for transmitting data
CN108696504B (zh) 用于控制对基于it系统的网络的访问的方法和控制单元
EP3509004A1 (en) Adaption of mac policies in industrial devices
Anisetti et al. Requirements and challenges for secure and trustworthy uas collaboration
US20240236122A9 (en) Advanced intrusion prevention manager
US20230050007A1 (en) System security
WO2024122142A1 (ja) セキュリティ方法、および、セキュリティ装置
KR20240010427A (ko) 통지 장치, 통지 방법, 및 컴퓨터 판독가능한 저장매체
CN118400712A (zh) 车辆信息同步处理方法、车辆管理系统、装置及设备

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20240410

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20250520

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20250704

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20250715

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20250725

R150 Certificate of patent or registration of utility model

Ref document number: 7719783

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150