WO2020203022A1

WO2020203022A1 - 自動車用演算システム及び受信データの処理方法

Info

Publication number: WO2020203022A1
Application number: PCT/JP2020/009464
Authority: WO
Inventors: 大介堀籠; 真介坂下
Original assignee: Mazda Motor Corp
Current assignee: Mazda Motor Corp
Priority date: 2019-03-29
Filing date: 2020-03-05
Publication date: 2020-10-08
Anticipated expiration: 2021-09-29
Also published as: US20220153299A1; EP3937431A4; JP2020167607A; CN113678408A; EP3937431A1

Abstract

自動車用演算システム（ＳＹ）は、自動車に据え付けられて車外環境の情報を取得する車外情報取得装置（Ｍ１）からの出力を基に生成した経路に沿って走行する際の自動車（１）の目標運動を決定し、当該目標運動を実現するための制御信号をアクチュエータ（７）に出力する演算装置（６）と、外部のネットワーク（９０）と演算装置（６）との間に設けられ、ネットワーク（９０）を介して外部の通信装置からのアクセスに対し、予め設定された基準に基づいて当該アクセスの正当性を判断し、通信装置のアクセスを許可するか否かを決定するセキュリティゲートウェイ装置（４）とを備える。

Description

自動車用演算システム及び受信データの処理方法

　ここに開示する技術は、例えば、自動車用演算システム及び受信データの処理方法に関する。

　近年、車車間通信で得られた情報や、外部サーバ等とのネットワーク通信を介して得られた情報等を用いた安全運転支援技術や自動運転技術の導入が進められている。このような車外との通信では、様々な通信方式の機器や装置に対して接続されるとともに、送受信される情報の種類も多岐にわたっている。これらの情報には、個人情報や運転制御にかかわる重要な情報が含まれる場合があり、サイバー攻撃等の不正なアクセスを防ぐ必要がある。さらに、自動車に入出力される情報量（特に、入力情報量）が、これから飛躍的に増加していくことが予想されている。そこで、これらの通信において、機密性、完全性、可用性に優れていることが望まれる。

　特許文献１には、車内で機能毎に分離された複数のネットワークのいずれかでインシデントが検知された場合に、インシデントの発生箇所及び車両の制御状態に基づいて、遮断対象とするネットワークを判断し、遮断する技術が開示されている。

　具体的に、特許文献１の技術において、通信制御部は、各装置間で送受信される車両ＥＣＵ情報パケットを受信し、車両ＥＣＵ情報パケットに含まれる情報が時系列順に車両ＥＣＵ情報として車両ＥＣＵ情報ＤＢに格納する。そして、例えば、異常な通信パターンが発生した場合、インシデント検知処理部が、センタサーバから受信したインシデント判定情報と、車両ＥＣＵ情報ＤＢから取得した車両ＥＣＵ情報パケットに含まれるＣＡＮＩＤとを比較し、これらが一致した場合にインシデントが発生したと判断して制御部に通知し、制御部が、不正な通信を遮断するように構成されている。

特開２０１８－１３３７２１号公報

　しかしながら、特許文献１の技術では、インシデントが発生した場合に、そのインシデントが発生した箇所を特定し、その特定場所に基づく通信を切断するように構成されているので、不正なアクセスを検出するのが遅れる恐れがある。

　ここに開示された技術は、斯かる点に鑑みてなされたものであり、その目的とするところは、自動走行用の演算機能を有する自動車用演算システムにおいて、演算負荷を抑えつつ、セキュリティ性を高めることにある。

　前記課題を解決するために、ここに開示された技術では、自動車に搭載される自動車用演算システムを対象として、自動車に据え付けられて車外環境の情報を取得する車外情報取得装置からの出力を受け、道路上であって障害物を回避する経路を生成し、当該経路に沿って走行する際の自動車の目標運動を決定し、当該目標運動を実現するための制御信号を、駆動力と制動力と操舵角とを生成するアクチュエータに出力する演算装置と、外部のネットワークと前記演算装置との間に設けられ、当該ネットワークを介して外部の通信装置からアクセスされた場合に、予め設定された基準に基づいて当該アクセスの正当性を判断し、前記通信装置のアクセスを許可するか否かを決定するセキュリティゲートウェイ装置とを備えるという構成とした。

　例えば、前記セキュリティゲートウェイ装置は、前記ネットワークを介して受信された受信信号を復号する復号部と、前記アクセスの正当性を判断し、前記通信装置のアクセスを許可するか否かを決定する認証部と、前記認証部によりアクセスが許可された通信装置から受信され、かつ、前記復号部で復号された信号を、暗号化して前記演算装置に出力する暗号化部とを備えている、という構成にしてもよい。

　ここで、外部の通信装置からのアクセスには、例えば、外部の通信装置が本態様の演算装置に対して、車内情報の読み出しや書き込みの要求をする、いわゆるアクセス要求と、本態様の演算装置が外部の通信装置（外部の管理サーバーを含む）に対して情報等を要求し、外部の通信装置から本態様の演算装置に情報を返送するためのアクセスとを含む概念である。

　この構成によると、演算装置は、車外情報取得装置からの出力は、直接受けるように構成されているのに対して、外部のネットワークからのアクセスについてはセキュリティゲートウェイ装置を通すようにしている。このように、セキュリティゲートウェイ装置を介在させることにより、外部の通信装置からのアクセス状況等により、演算装置の処理が影響されないようにすることができ、演算装置に過度の負担がかかることを防ぐことができる。

　また、外部の通信装置からのアクセス経路をセキュリティゲートウェイ装置への入力にまとめて、セキュリティゲートウェイ装置で認証等の処理を実行し、真正と認められた通信装置のみの信号が演算装置側に流れるようにしている。これにより、例えば、駆動力、制動力、操舵角を生成するような重要な機能を有する演算装置に対して、不正アクセスをより確実に防ぐことができる。

　前記自動車用演算システムにおいて、前記セキュリティゲートウェイ装置は、前記通信装置のアクセスが正当であった場合において、前記演算装置が休止状態または停止状態のときに、前記演算装置を起動させるための起動信号を出力する、としてもよい。

　これにより、外部の通信装置からのアクセスがない場合に、演算装置を休止状態または停止状態にして待機させることができるようになる。

　前記自動車用演算システムにおいて、前記車外情報取得装置は、カメラを含み、前記セキュリティゲートウェイ装置は、前記カメラの撮影画像と前記アクセスしてきた前記通信装置との照合結果を基に当該通信装置のアクセスの正当性を判断する、ようにしてもよい。

　これにより、カメラに撮影された通信装置からのアクセスの正当性を判断するので、セキュリティ性を向上させることができるとともに、セキュリティゲートウェイ装置の負荷を軽減することができる。

　また、自動車が外部のネットワークから受けた受信データを処理する方法を対象として、受信データ処理方法として、車外環境の情報を取得する車外情報取得装置からの出力を受け、道路上であって障害物を回避する経路を生成し、当該経路に沿って走行する際の自動車の目標運動を決定する演算装置と、外部のネットワークと前記演算装置との間に設けられたセキュリティゲートウェイ装置とを備え、前記車外情報取得装置からの出力を基に、車外の対象物を認識する認識工程と、外部の通信装置から外部のネットワークを介して前記セキュリティゲートウェイ装置にアクセスを受けた場合に、予め設定された基準を基に前記通信装置を特定する特定工程と、前記特定工程で特定された通信装置と前記認識工程で認識された対象物とを照合する照合工程と、前記照合工程で一致が確認された通信装置からのアクセスに対し認証処理を実行する認証工程と、前記認証工程で認証された前記通信装置から受信したデータを前記セキュリティゲートウェイ装置で復号して前記演算装置に出力する復号工程とを含む、としてもよい。

　このように、予め設定された基準を基に通信装置を特定し、照合工程で一致が確認された後に、認証処理を実行するようにしているので、セキュリティ性を向上させることができるとともに、セキュリティゲートウェイ装置の負荷を軽減することができる。

　さらに、自動車が外部のネットワークから受けた受信データを処理する受信データ処理方法を対象として、車外環境の情報を取得する車外情報取得装置からの出力を受け、道路上であって障害物を回避する経路を生成し、当該経路に沿って走行する際の自動車の目標運動を決定する演算装置と、外部のネットワークと前記演算装置との間に設けられたセキュリティゲートウェイ装置とを備え、外部のネットワークを介して互いに異なる複数の通信対象装置から前記セキュリティゲートウェイ装置に対して前記主演算装置へのアクセスがあった場合に、それぞれの前記通信対象装置を特定する特定工程と、前記特定工程で特定された通信対象装置の優先順位を予め設定された基準に基づいて設定する設定工程と、前記設定工程で設定された優先順位にしたがって前記複数の通信装置の認証処理を実行する認証工程と、前記認証工程で認証された前記通信装置から受信したデータを前記セキュリティゲートウェイ装置で復号して前記演算装置に出力する復号工程とを含む、としてもよい。

　例えば、自動車が走行している場合には、周囲の状況は刻々と変化し、特に、車車間通信では、通信相手も刻々と変化することが想定される。そこで、上記態様のように、特定された通信対象装置に優先順位を設定して、その優先順位で認証処理を行うことにより、重要度の高い通信相手から順に通信を確立させることができるようになる。例えば、自車両との距離、接近又は離れていくスピード等の状況に応じて、その通信相手との通信の重要度が変わるようにしておけば、自車両に対してより影響度の高い通信先から順に通信を確立させることができるようになり、安全性、利便性を高めることができる。

　前記受信データ処理方法において、前記特定工程は、前記通信装置の中から、予め設定された基準を基に不正なアクセスをする装置を特定する不正装置特定工程を含み、前記不正装置特定工程で特定された装置を、前記優先順位の付与対象から除外する、としてもよい。

　これにより、不要な認証処理を防ぐことができ、負荷を軽減することができる。

　以上説明したように、ここに開示された技術によると、自動走行用の演算機能を有する自動車用演算システムにおいて、演算負荷を抑えつつ、セキュリティ性を高めることができる。

実施形態に係る自動車用演算システムの機能構成を示すブロック図である。演算システムによる受信データ処理方法１を示すフローチャートである。演算システムの設定工程における処理を説明するための図である。演算システムの設定工程における処理を説明するための図である。演算システムによる受信データ処理方法２を示すフローチャートである。実システムへの導入例の機能構成を示すブロック図である。実システムへの導入例の機能構成を示すブロック図である。

　以下、例示的な実施形態について、図面を参照しながら詳細に説明する。

　（実施形態）
　図１は、本実施形態に係る自動車用演算システムＳＹ（以下、単に演算システムＳＹともいう）の構成を示す。演算システムＳＹは、例えば、四輪の自動車１に搭載される演算システムである。自動車１は、運転者によるアクセル等の操作に応じて走行するマニュアル運転と、運転者の操作をアシストして走行するアシスト運転と、運転者の操作なしに走行する自動運転とが可能な自動車である。尚、以下の説明では、本実施形態の自動車１を他の車両と区別するために、自車両１ということがある。

　演算システムＳＹは、車外情報取得装置Ｍ１からの出力を受け、道路上であって障害物を回避する経路を生成し、その経路に沿って走行する際の自動車１の目標運動を決定するように構成されている。さらに、演算システムＳＹは、決定した目標運動を実現するための制御信号を、駆動力と制動力と操舵角とを生成するアクチュエータ７に出力するように構成されている。本実施形態では、上記の目標運動の決定と、目標運動を実現するための制御信号の出力とが、１ユニット構成の演算装置で実現されている点に特徴がある。１ユニット構成の演算装置６とは、例えば、１つ又は複数のチップで構成されたマイクロプロセッサであって、ＣＰＵやメモリ等を有している。メモリは、プロセッサによって実行可能なソフトウェアであるモジュールを格納している。演算装置６の各部の機能は、プロセッサがメモリに格納された各モジュールを実行することによって実現される。また、メモリに、演算装置６で使用されるモデルのデータを格納してもよい。なお、プロセッサおよびメモリは、それぞれ、複数個あってもかまわない。また、演算装置６の各部の機能について、ハードウェア回路で実現してもよい。

　車外情報取得装置Ｍ１は、演算システムＳＹに自動車１の車外環境の情報を出力するセンサ等で構成され、例えば、（１）自動車１のボディ等に設けられかつ車外環境を撮影する複数のカメラ５０と、（２）自動車１のボディ等に設けられかつ車外の物標等を検知する複数のレーダ５１と、（３）自動車１の絶対速度を検出する車速センサと、（４）自動車１のアクセルペダルの踏み込み量を検出するアクセル開度センサと、（５）自動車１のステアリングホイールの回転角度（操舵角）を検出する操舵角センサと、（６）自動車１のブレーキペダルの踏み込み量を検出するブレーキセンサと、（７）全地球測位システム（Ｇｌｏｂａｌ　Ｐｏｓｉｔｉｏｎｉｎｇ　Ｓｙｓｔｅｍ：ＧＰＳ）を利用して、自動車１の位置（車両位置情報）を検出する位置センサと、を含んでいる。なお、図１では、車外情報取得装置Ｍ１として、カメラ５０とレーダ５１を図示し、それ以外の構成（車速センサ、アクセル開度センサ、操舵角センサ、ブレーキセンサ、位置センサ）については、まとめて「車外情報取得装置」と記載している。

　各カメラ５０は、例えば、自動車１の周囲を水平方向に３６０°撮影できるようにそれぞれ配置されている。各カメラ５０は、車外環境を示す光学画像を撮像して画像データを生成する。各カメラ５０は、生成した画像データを演算装置６に出力する。なお、後述する図３Ａでは、説明の便宜上、カメラ５０が、自動車１の４隅に設けられており、右前、左前、右後、左後のカメラに、記載順にそれぞれ、５０１，５０２，５０３，５０４の符号を付して説明するものとする。また、図示は省略しているが、各カメラと対応する位置にそれぞれレーダ５１が設置されているものとする。ただし、カメラ５０の設置数や設置場所は、図３Ａの配置に限定されるものではない。

　各レーダ５１は、カメラ５０と同様に、検出範囲が自動車１の周囲を水平方向に３６０°広がるようにそれぞれ配置されている。レーダ５１の種類は、特に限定されるものではなく、例えば、ミリ波レーダや赤外線レーダを採用することができる。図３Ａでは、図示していないが、レーダ５１は、例えば、各カメラと対応する位置に設けられる。

　演算システムＳＹは、車外情報取得装置Ｍ１からの出力に加えて、車内情報取得装置Ｍ２からの出力を受けて、車外情報取得装置Ｍ１および車内情報取得装置Ｍ２からの出力に基づいて経路を生成し、目標運動を決定するように構成されていてもよい。

　車内情報取得装置Ｍ２は、演算システムＳＹに自動車１の車内環境の情報を出力するセンサ等で構成され、例えば（１）自動車１の車内ミラーやダッシュボード等に設けられかつ運転者の表情や姿勢、社内環境等を撮影する車内カメラと、（２）運転者の生体情報（体温、心拍数、呼吸等）を取得する車内センサと、を含んでいる。

　アクチュエータ７は、演算システムＳＹからの制御を受けて動作するように構成され、例えば、エンジン７１と、ブレーキ７２と、ステアリング７３と、トランスミッション７４とを含んでいる。また、アクチュエータ７には、エアバックやパワーウィンドウのような、いわゆるボディ系のアクチュエータ７５も含まれる（図１では、「ボディ系」と記載）。なお、本開示で「アクチュエータ」という場合、エンジン７１、ブレーキ７２、ステアリング７３、トランスミッション７４のように、駆動力と制動力と操舵角とを生成する各種アクチュエータを区別せずに、それらのアクチュエータの少なくともいずれか１つを指し示す場合と、上記アクチュエータ類を総称する意味で用いる場合とがある。なお、具体的な図示は省略するが、アクチュエータ７は、そのそれぞれにおいて、ＥＣＵを含んでいてもよいし、ＥＣＵを含まずに後述する自動運転機能部６０の制御を受けて動作するように構成されていてもよい。

　エンジン７１は、動力駆動源であり、内燃機関（ガソリンエンジン、ディーゼルエンジン）を含む。演算システムＳＹは、自動車１を加速又は減速させる必要がある場合に、エンジン７１に対してエンジン出力変更信号を出力する。エンジン７１は、マニュアル運転時には、運転者のアクセルペダルの操作量等により制御されるが、アシスト運転や自動運転時には、演算システムＳＹから出力された目標運動を示す目標運動信号（以下、単に目標運動信号という）に基づいて制御される。尚、図示は省略しているが、エンジン７１の回転軸には、エンジン７１の出力により発電する発電機が連結されている。エンジン７１は、駆動力を生成するアクチュエータの一例である。

　ブレーキ７２は、制動力をここでは電動ブレーキである。演算システムＳＹは、自動車１を減速させる必要がある場合に、ブレーキ７２に対してブレーキ要求信号を出力する。ブレーキ要求信号を受けたブレーキ７２は、該ブレーキ要求信号に基づいてブレーキアクチュエータ（図示省略）を作動させて、自動車１を減速させる。ブレーキ７２は、マニュアル運転時には、運転者のブレーキペダルの操作量等により制御されるが、アシスト運転や自動運転時には、演算システムＳＹから出力された目標運動信号に基づいて制御される。ブレーキ７２は、制動力を生成するアクチュエータの一例である。

　ステアリング７３は、ここではＥＰＳ（Ｅｌｅｃｔｒｉｃ　Ｐｏｗｅｒ　Ｓｔｅｅｒｉｎｇ）である。演算システムＳＹは、自動車１の進行方向を変更する必要がある場合に、ステアリング７３に対して操舵方向変更信号を出力する。ステアリング７３は、マニュアル運転時には、運転者のステアリングホイール（所謂ハンドル）の操作量等により制御されるが、アシスト運転や自動運転時には、演算システムＳＹから出力された目標運動信号に基づいて制御される。ステアリング７３は、操舵角を生成するアクチュエータの一例である。

　トランスミッション７４は、有段式のトランスミッションである。演算装置６は、出力すべき駆動力に応じて、トランスミッション７４に対してギヤ段変更信号を出力する。トランスミッション７４は、マニュアル運転時には、運転者のシフトレバーの操作や運転者のアクセルペダルの操作量等により制御されるが、アシスト運転や自動運転時には、演算装置６により算出された目標運動に基づいて制御される。

　演算システムＳＹは、マニュアル運転時には、アクセル開度センサ等の出力に基づく制御信号をエンジン７１等に出力する。一方で、演算システムＳＹは、アシスト運転時や自動運転時には、自動車１の走行経路を設定して、自動車１が該走行経路を走行するように、エンジン７１等に制御信号を出力する。

　＜１．演算システムの構成＞
　図１に示すように、演算システムＳＹは、テレマティックスユニット２と、Ｖ２Ｘ通信ユニット３と、セキュリティゲートウェイ装置４と、演算装置６とを備えている。ここで、演算装置６とセキュリティゲートウェイ装置４とは、機能的に分離されているとともに、物理的にも互いに分離されている。例えば、演算装置６及びセキュリティゲートウェイ装置４が、半導体チップで実現される場合、互いに別チップで構成され、電源供給ラインが別系統で実現されるのがよい。

　テレマティックスユニット２は、ＲＦ部２１と、復調部２２とを備える。ＲＦ部２１は、外部のネットワーク９０（例えば、４Ｇ回線等の移動通信網）から車載アンテナ（図示省略）を介して受信したＲＦ信号を処理する。復調部２２は、ＲＦ部２１に受けたＲＦ信号を復調して、セキュリティゲートウェイ装置４に出力する。

　Ｖ２Ｘ通信ユニット３は、ＲＦ部３１と、復調部３２とを備える。ＲＦ部３１は、車載アンテナ（図示省略）を介して、外部の通信機器、例えば、周囲を走行している車両８に搭載された通信ユニット（図示省略）から受信したＲＦ信号を処理する。復調部３２は、ＲＦ部３１に受けたＲＦ信号を復調して、セキュリティゲートウェイ装置４に出力する。

　ここで、外部のネットワーク９０とは、自車両１との間で相互通信が可能に構成された車外の移動体通信網やインターネット等の通信網、通信ユニットが搭載された装置等で形成される通信環境・構成を広く含む概念として使用するものとする。

　例えば、テレマティックスユニット２と接続される外部のネットワーク９０として、サーバ９１等の情報処理装置や携帯電話等の端末装置９２が接続されたインターネットが例示される。また、自動車１の搭乗者や整備担当者等が所有していて車外から車内に持ち込まれた端末装置９２とテレマティックスユニット２とが、Ｂｌｕｅｔｏｏｔｈ（登録商標）やＷｉ－Ｆｉ（登録商標）等により互いに直接通信するような構成が含まれる。

　また、例えば、Ｖ２Ｘ通信ユニット３が周囲を走行している車両との間で、直接的、または間接的に、相互間の情報通信をする場合、いわゆる車車間通信を行う場合にも、それは外部のネットワーク９０を介して通信することに含むものとする。

　以下の説明では、説明の便宜上、演算装置６へのアクセス要求を行っている通信ユニットを搭載した装置（自動車を含む）を総称して、単に、外部通信装置と呼ぶ場合がある。

　なお、テレマティックスユニット２及びＶ２Ｘ通信ユニット３において、それぞれのＲＦ部２１，３１及び復調部２２，３２の回路構成は、従来から知られている一般的な回路を採用することができるので、ここでは、その説明を省略するものとする。また、テレマティックスユニット２及びＶ２Ｘ通信ユニット３において、両ユニット２０，３０を統合して１つの通信ユニットとし、その通信ユニット内で共通する回路構成をまとめるようにしてもよい。

　セキュリティゲートウェイ装置４は、テレマティックスユニット２及びＶ２Ｘ通信ユニット３の復調部２２，３２からの出力を受ける認証部４１と、復号部４２と、暗号化部４３とを備えている。本実施形態では、外部通信装置からのアクセスが、このセキュリティゲートウェイ装置４に集約され、このセキュリティゲートウェイ装置４での認証を経て演算装置６に入力される点に特徴がある。

　認証部４１は、外部のネットワーク９０を介して外部通信装置から演算装置６へのアクセスがあった場合に、予め設定された基準に基づいて、その外部通信装置からのアクセスの正当性を判断し、演算装置６へのアクセスを許可するか否かを決定する。「予め設定された基準」は、アクセスの正当性の判断ができる基準であれば、特に限定されるものではないが、例えば、認証局のデジタル署名を付与した公開鍵暗号方式に基づいて、外部通信装置の正当性を判断することができる。また、予め設定された基準として、自社が予め保有したり、ネットワーク９０を介して受領した、ホワイトリスト、ブラックリスト等のリスト情報を用いてもよい。認証部４１は、認証部４１で正当性が認証された外部通信装置からの受信信号を復号部４２に出力する。

　復号部４２では、認証部４１から受信したデータを復号する。換言すると、復号部４２は、認証部４１で正当性が認められた外部通信装置からの受信データを復号する。例えば、前述のような公開鍵暗号方式に基づく暗号データが受信された場合には、その復号処理を実行する。また、復号に際して、ハッシュ演算を用いた改ざん検出を行うようにしてもよい。

　なお、認証部４１と復号部４２とは、連携して処理を行う場合があり、受信したデータの種類や属性によって、処理の順番が変わったり、それぞれで実施する処理の内容が変わったりすることがある。

　認証部４１で認証され、復号部４２で復号されたデータは、暗号化部４３で暗号化され、演算装置６に出力される。すなわち、セキュリティゲートウェイ装置４と、演算装置６との間は、暗号化通信により接続される。なお、暗号化部４３を省いて、セキュリティゲートウェイ装置４から演算装置６に、認証部４１で認証され、復号部４２で復号されたデータをそのまま送信するようにしてもよい。暗号化部４３に用いる暗号方式は、特に限定されず、必要なセキュリティレベルに応じて使い分けすることができる。また、選択された暗号方式に対応する回路構成は、それぞれの暗号方式に応じて従来から知られているものを用いることができるので、ここではその詳細説明を省略する。

　なお、送信するデータの重要度に応じて、暗号化部４３で使用する暗号化レベルを変えるようにしてもよい。例えば、個人情報や直近の一定時間内に使用しないような情報について、暗号化のセキュリティレベルを高めるようにしてもよい。一方で、演算装置６が熱縮退モードで動作することや、負荷が増加する傾向があることが検知された場合に、セキュリティレベルを下げて、復号化の負担を減らすようにしてもよい。また、セキュリティ性を向上させる観点から、外部のネットワーク９０で用いられる暗号方式とは異なる暗号方式を用いるようにしてもよい。

　さらに、セキュリティゲートウェイ装置４と演算装置６との間にも認証を要するようにしてもよい。そうすることで、セキュリティゲートウェイ装置４を交換できるように構成しても、セキュリティ性を確保することができる。

　演算装置６は、自動運転機能部６０と、暗号化部４３の出力を復号し自動運転機能部６０に出力する復号部６１と、認証部６２とを備える。復号部６１の構成は、暗号化部４３で暗号化された信号を復号できるように構成されていればよく、従来から知られている構成を用いることができる。

　自動運転機能部６０は、アシスト運転や自動運転をする場合に、車外情報取得装置Ｍ１からの出力に基づいて、自動車１の目標運動を決定し、アクチュエータ７をその目標運動に沿って動作させるための制御信号を出力する。自動運転機能部６０の構成については、後述する「実システムへの導入例」で一例を挙げて説明するものとし、ここではその詳細説明を省略する。

　認証部６２は、セキュリティゲートウェイ装置４の認証部４１と連携して、前述の被認証装置からのアクセスの正当性を判断する機能を有する。具体的な動作は、以下の「２．演算システムの動作」において説明する。

　＜２．演算システムの動作＞
　次に、演算システムＳＹの動作について説明する。なお、演算装置６の自動運転機能部６０を中心とした自動運転に関わる動作については、後述する「実システムへの導入例」で一例を挙げて説明するものとし、ここでは、外部のネットワークから受けた受信データの処理方法について説明する。

　なお、以下に説明する受信データの処理方法は、セキュリティゲートウェイ装置４（特に、認証部４１）と演算装置６（特に、認証部６２）との連携動作により実現されるものであり、その主体がどちらであるかについて、特に限定されるものではない。すなわち、以下の動作説明において、説明の便宜上、セキュリティゲートウェイ装置４と演算装置６のいずれか一方で処理が行われるように記載したものについて、他方側の装置でその処理が実行されてもよいし、両方の装置で分担して処理が実行されてもよい。また、「セキュリティゲートウェイ装置４の認証部４１」での処理に関し、単に、「セキュリティゲートウェイ装置４」の処理として説明する。演算装置６の認証部６２についても同様である。

　－２－１．受信データ処理方法１－
　図２のフローチャートを参照しつつ、外部のネットワーク９０から受けた受信データの処理方法１について説明する。ここでは、外部のネットワーク９０から、（１）正当なアクセス権限を有する自動車Ａと、（２）例えば、なりすまし等の不正な自動車Ｂからのアクセス要求があったものとして説明する。

　まず、自動車Ａからのアクセス要求に関する受信処理について説明する。

　図２のステップＳ１０１において、セキュリティゲートウェイ装置４は、外部のネットワーク９０を介して、外部通信装置からのアクセス要求を受けると、その特定処理を実行する。ここでは、自動車Ａからのアクセス要求を受けているので、自動車Ａを特定するための特定処理を実行する。例えば、車車間通信の場合、標準規格に基づいた情報として、車種やメーカー名等の情報が送信されるので、セキュリティゲートウェイ装置４は、その情報に基づいて、自動車Ａを特定する。図３Ａでは、自動車Ａの特定処理の結果、自車両１の左前方を走行する自動車８１からのアクセス要求が特定されたものとする。

　このとき、演算装置６では、カメラ５０で撮影された撮像情報や、レーダ５１の受信電波情報を受け取り、車外の対象物を認定する（ステップＳ１０２）。例えば、演算装置６では、自車両１の周囲のどの位置に、どのような自動車８が走行しているかを認定する。認定された自動車８等の対象物は、例えば、図３Ｂのようなリストで管理され、演算装置６の保有するデータベース等に登録される。ここでは、自動車Ａは、データベースに自動車８１として登録されている一方で、自動車Ｂは、データベースに登録されていないものとする。

　次のステップＳ１０３では、演算装置６またはセキュリティゲートウェイ装置４において、セキュリティゲートウェイ装置４で特定された自動車Ａが、ステップＳ１０２の認定処理で認定された自動車に含まれているかどうかの照合が行われる。自動車Ａは、データベースに登録されているので、自動車Ａ（自動車８１）が自車両１の周囲を走っていることが確認され、照合ＯＫと判定される。

　その後、ステップＳ１０４において、セキュリティゲートウェイ装置４は、自動車Ａから送られてきた受信データに基づいて認証処理を行う。そして、認証がＯＫであれば、セキュリティゲートウェイ装置４は、自動車Ａに認証ＯＫの旨を示す通知を送り、自動車Ａと演算装置１との間のデータ通信が確立される。

　次に、自動車Ｂからのアクセス要求に関する受信処理について説明する。

　図２のステップＳ１１１において、セキュリティゲートウェイ装置４は、外部のネットワーク９０を介して、自動車Ｂからのアクセス要求を受けると、自動車Ａの場合と同様に、自動車Ｂの特定処理を実行する。

　次のステップＳ１１３では、自動車Ａと同様に、自動車Ｂが、ステップＳ１０２の認定処理で認定された自動車に含まれているかどうかの照合が行われる。自動車Ｂは、データベースに登録されていないので、照合ＮＧと判定される。

　その後、セキュリティゲートウェイ装置４は、自動車Ｂに対して、認証処理を実行することなく、認証ＮＧの通知を送り、処理は終了する。

　以上のように、本受信方法によると、車外情報取得装置Ｍ１で取得された情報を基にして、アクセス要求があった外部の通信装置（ここでは、自動車）の照合を行うようにしている。これにより、セキュリティ性を高めることができる。

　さらに、アクセス要求に対する照合工程が終わり、照合ＯＫとなってから、認証処理を実行するようにしている。すなわち、照合ＮＧとなる場合には、認証処理を実行しないようにしている。これにより、無駄な処理を排除することができ、演算負荷を抑えることができる。例えば、自車両の周囲に数台の自動車が走行している場合に、多数の自動車が走っているように見せかけるような飽和攻撃を受けた場合にも、自車両の周囲の自動車についてのみ認証処理を実行するようにすることができる。

　－２－２．受信データ処理方法２－
　次に、図４のフローチャートを参照しつつ、外部のネットワークから受けた受信データの処理方法２について説明する。ここでは、図３Ａ，図３Ｂ（以下、まとめて図３ともいう）に記載された自動車８１，８３～８５からのアクセス要求があったものとして説明する。図４では、その中から自動車８１，８３に関する処理を抜粋して記載している。また、自動車８２は通信機能を有していない自動車であるものとする。

　図４のステップＳ２０１において、セキュリティゲートウェイ装置４は、外部のネットワーク９０を介して、外部通信装置からのアクセス要求を受けると、前述　のステップＳ１０１と同様に、その外部通信装置を特定するための特定処理を実行する。ここでは、図３Ｂに示した自動車８１，８３～８５が特定されたものとする。

　このとき、演算装置６では、ステップＳ１０２と同様に、カメラ５０で撮影された画像情報や、レーダ５１の受信電波情報を受け取り、車外の対象物を認定する（ステップＳ２０２）。ここでは、自動車８１～８５が認定されたものとする。

　その後、演算装置６は、セキュリティゲートウェイ装置４からステップＳ２０１の特定処理の結果として自動車８１，８３～８５の情報を受け、演算装置６で認定された自動車８１～８５の情報と紐付けし、それらを取りまとめてデータベース等に登録する。

　図３Ｂにおいて、メーカー名や車種等を示すＩＤ情報は、例えば、セキュリティゲートウェイ装置４が各自動車８１，８３～８５から受信した情報に含まれたものである。各車両の車速、加減速状況及び位置（方向）は、カメラ５０およびレーダ５１の取得情報に基づいて、演算装置６側で認定された情報である。

　なお、図３Ｂにおいて、「優先領域内」とは自車両１から予め設定された範囲（以下、優先領域という）内に存在する自動車であるか否かを示す情報であるものとする。優先領域内に存在するか否かについても、カメラ５０およびレーダ５１の取得情報に基づいて判断することができる。

　セキュリティゲートウェイ装置４と演算装置６とのデータの紐付けは、例えば、セキュリティゲートウェイ装置４で受けたＩＤ情報と、カメラ５０およびレーダ５１の取得情報に基づく演算装置６での認定情報とを対比して、共通の構成要素を有するもの同士が紐付けされる。

　次のステップＳ２０３では、演算装置６において、予め設定された基準に基づいて自動車８１～８５の優先順位の設定が行われる。優先順位は、例えば、複数の自動車からのアクセス要求があった場合に、相対的に早くに通信を確立させた方がよいものに対して高く設定される。具体的には、例えば、予め設定された基準として、自車両１と距離に基づいて、自車両１に近いほど、優先順位が高く設定される。また、例えば、自車両１から所定の範囲を優先領域に設定し、その優先領域内の自動車を優先するとしてもよい。具体的に、例えば、図４に示すように、自動車８１，８３からのアクセス要求があった場合、優先領域内の自動車８３を優先する。

　また、例えば、図３Ｂに示すように、自動車８１～８５の車速情報が得られていた場合には、自車両１との距離と加減速の状況、方向等に基づいて優先順位が設定される、というように、複数のパラメータを総合的に判断することを基準として設定するようにしてもよい。

　演算装置６で設定された優先順位の情報は、セキュリティゲートウェイ装置４に送られ、セキュリティゲートウェイ装置４では、その優先順位にしたがって、認証処理が実行される。図４の例では、まずステップＳ２０４において、自動車８３の認証処理が実行され、自動車８３と演算装置６との相互間で通信が確立される。そしてその後、ステップＳ２０５において自動車８１の認証処理が実行され、自動車８１と演算装置６との相互間で通信が確立される。

　以上のように、本受信方法によると、車外情報取得装置Ｍ１で取得された情報を基にして、アクセスがあった外部通信装置（ここでは、自動車）の優先順位を設定し、その優先順位に基づいて認証処理を実行するようにしている。これにより、複数の外部通信装置から同時にアクセスがあるような場合にも、より適切な外部通信装置から順に通信を確立させることができる。

　また、例えば、車外情報取得装置Ｍ１で取得された情報で認定されなかった外部通信装置については、優先順位を大幅に下げるか、優先順位の付与の対象外とするような処理を行うようにしてもよい。そうすることで、不正なアクセスを排除することができ、セキュリティ性を高めることができる。

　なお、上記２つの「受信データ処理方法」の説明では、外部通信装置として自動車を例に説明したが、外部通信装置は、自動車に限定されない。例えば、外部通信装置が、二輪車等のような他の車両であってもよく、道路等に設置された路側器のようなものであってもよい。この場合においても、自動車の場合と同様に、受信処理を行うことができる。

　外部通信装置から送られてくるデータとしては、例えば、地図情報や、ソフトウェアのアップデート情報が含まれる。演算装置６では、外部の通信装置から受信したデータは、内部のソフトウェアのアップデートに用いたり、自車両１の経路生成に使用したりする。

　以上をまとめると、本実施形態に係る演算システムＳＹは、自動車に据え付けられている車外情報取得装置Ｍ１からの出力を受けた演算装置６が、道路上であって障害物を回避する経路を生成し、当該経路に沿って走行する際の自動車１の目標運動を決定し、当該目標運動を実現するための制御信号を、駆動力と制動力と操舵角とを生成するアクチュエータ７に出力するように構成されている。ここで、演算装置６は、車外情報取得装置Ｍ１からの出力は、直接受けるように構成されているのに対して、外部のネットワーク９０からのアクセスについてはセキュリティゲートウェイ装置４を通すようにしている。

　このように、セキュリティゲートウェイ装置４を介在させることにより、外部の通信装置からのアクセス状況等により、演算装置６の処理が影響されないようにすることができる。例えば、多数の外部の通信装置からのアクセスを受けた場合、その処理に対する負荷が上昇するが、セキュリティゲートウェイ装置４を介在させて認証処理等をさせることで、演算装置６に過度の負担がかかることを防ぐことができる。また、車外情報取得装置Ｍ１からの出力は、演算装置６に直接与えるので、比較的大容量のデータでも遅延することなく送信することができる。

　また、外部通信装置からのアクセス経路をセキュリティゲート４への入力にまとめて、セキュリティゲート４で認証等の処理を実行し、真正と認められた外部通信装置のみの信号が演算装置６側に流れるようにしている。これにより、駆動力と制動力と操舵角とを生成するような重要な機能を有する演算装置６に対して、不正アクセスをより確実に防ぐことができる。例えば、特許文献１のように、受信データからインシデントを判断する場合には、不正の発見が遅れる場合があるが、本実施形態の構成を採用することで、外部の通信装置と演算装置６とが直接通信するような状況を避け、不正の発見の遅れを防ぎ、乗っ取られるリスクを大幅に低減することができる。

　さらに、セキュリティゲートウェイ装置４と演算装置６とを物理的に分離することで、セキュリティゲートウェイ装置４のソフトウェアをアップデートしたり、ハードウェアを新しい仕様のものに交換しやすくすることができる。

　（その他の実施形態）
　ここに開示された技術は、上記実施形態に限られるものではなく、請求の範囲の主旨を逸脱しない範囲で代用が可能である。

　例えば、セキュリティゲートウェイ装置４が、外部のネットワークを介して受けた車外通信装置からのアクセスが正当であった場合に、演算装置６が休止状態または停止状態のときに、演算装置６を起動させるための起動信号を出力するように構成されていてもよい。この起動信号は、例えば、主演算部６１０、セーフティ機能部６３０、乃至、バックアップセーフティ機能部６５０の電源を管理している電源回路（図示省略）等に送られ、電源回路がその起動信号を受けたことをトリガに復帰するように構成されていてもよい。

　（実システムへの導入例）
　図５Ａ及び図５Ｂを参照しながら、実システムへの導入例について説明する。なお、以下の説明では、図５Ａ及び図５Ｂをまとめて、単に図５と呼ぶものとする。

　－１．概要－
　まず、本開示に係る自動車用演算システムＳＹ（以下、単に演算システムＳＹという）は、機能的には、（１）車外環境、車内環境（運転者の状態を含む）を認知するための構成（以下、認知系ブロックＢ１ともいう）と、（２）認知系ブロックＢ１での認知結果に基づいて各種状態・状況等を判断し、自動車１の動作を決定するための構成（以下、判断系ブロックＢ２ともいう）と、（３）判断系ブロックＢ２での決定を基に、具体的にアクチュエータ類に伝達する信号・データ等を生成するための構成（以下、操作系ブロックＢ３ともいう）、とに分かれている。本開示の技術は、認知系ブロックＢ１、判断系ブロックＢ２及び操作系ブロックＢ３が、１つのユニットに集約されて、実現されている点に特徴を有する。演算システムＳＹでは、認知系ブロックＢ１、判断系ブロックＢ２及び操作系ブロックＢ３により、前述の自動運転機能部６０としての機能を実現している。図５において演算システムＳＹは、プロセッサとメモリとを備える。メモリは、プロセッサによって実行可能なソフトウェアであるモジュールを格納している。図５に示す認知系ブロックＢ１、判断系ブロックＢ２及び操作系ブロックＢ３の各部の機能は、プロセッサが、メモリに格納された各モジュールを実行することによって、実現される。また、メモリは、各モジュールで使用されるモデルのデータを格納している。なお、プロセッサおよびメモリは、それぞれ、複数個あってもかまわない。

　また、本演算システムＳＹは、（１）通常運転時における自動運転を実現するための認知系ブロックＢ１、判断系ブロックＢ２及び操作系ブロックＢ３とで構成された主演算部６１０と、（２）主に主演算部６１０の認知系ブロックＢ１及び判断系ブロックＢ２を補完する機能を有するセーフティ機能部６３０と、（３）主演算部６１０やセーフティ機能部６３０の機能が失陥した場合等の異常事態が発生した際に、自動車１を安全な位置まで移動させるバックアップセーフティ機能部６５０とを備えている。

　本演算システムＳＹにおいて、主演算部６１０の認知系ブロックＢ１および判断系ブロックＢ２では、ニューラルネットワークを利用した深層学習により構築された各種モデルを利用して処理を実行する。このようなモデルを使用した処理を行うことで、車両状態、車外環境、運転者の状態等の総合的な判断に基づく運転制御、すなわち、大量の入力情報をリアルタイムで協調させて制御することができるようになる。深層学習を利用した車外環境の認定及び経路の算出は、未だ発展途上の状態であり、ＡＳＩＬ－Ｂ程度に留まるとされている。なお、図５では、参考情報として、各ブロックのＡＳＩＬ情報を記載しているが、本記載に限定されるものではなく、各ブロックが図５とは異なる機能安全レベルを有していてもよい。

　セーフティ機能部６３０は、（１）従来より自動車等に採用されている物標等の認定方法に基づいて、車外にある物体（本開示では、対象物と呼んでいる）を認識する、（２）従来より自動車等に採用されている方法で、車両が安全に通過できる安全領域を設定し、その安全領域を通過するような経路を自動車が通過すべき走行経路として設定する、ように構成されている。このような、いわゆるルールベースの判断や処理を行うことにより、ＡＳＩＬ－Ｄ相当の機能安全レベルを実現することができる。

　そして、本演算システムＳＹは、主演算部６１０とセーフティ機能部６３０とが、同一の入力情報（車外情報取得装置Ｍ１や車内情報取得装置Ｍ２で取得された情報を含む）に基づいて、同一の目的の処理（例えば、経路生成）を、並列に進めるようにしている点に特徴がある。これにより、主演算部６１０から逸脱処理が導き出されることを監視することができるとともに、必要に応じて、セーフティ機能部６３０による判断や処理の方を採用したり、主演算部６１０に再演算をさせたりすることができるようになっている。

　主演算部６１０とセーフティ機能部６３０とは、両機能をあわせて（以下、両機能をあわせたものを車両制御機能ともいう）、それを１つ又は複数のチップで構成するようにしてもよいし、主演算部６１０とセーフティ機能部６３０のそれぞれを独立したチップで構成するようにしてもよい。

　また、本演算システムＳＹでは、主演算部６１０及びセーフティ機能部６３０の両方が故障するような事態にも対処できるように、バックアップセーフティ機能部６５０（バックアップ演算装置３０に相当）を設けている。バックアップセーフティ機能部６５０は、車外情報に基づいてルールベースで経路を生成し、安全な位置に停車させるまでの車両制御を実行する機能を、主演算部６１０及びセセーフティ機能部６３０とは別構成として用意したものである。したがって、主演算部６１０及びセーフティ機能部６３０とは、別々の装置（チップ）で構成されるのが好ましい。

　－２．構成－
　以下において、図５を参照しつつ、本演算システムＳＹの具体的構成について、説明する。なお、実施形態と共通の構成については、共通の符号を使用して説明する場合がある。また、共通の構成についての詳細説明を省略する場合がある。

　演算システムＳＹには、自動車の車外環境の情報を取得する車外情報取得装置Ｍ１、及び、車内環境の情報を取得する車内情報取得装置Ｍ２のそれぞれで取得されたデータが入力信号として与えられる。また、演算システムＳＹへの入力信号として、車外ネットワーク（例えば、インターネット等）に接続されたシステムやサービスからの情報がセキュリティゲートウェイ装置４を介して入力されるようにしてもよい。

　車外情報取得装置Ｍ１として、例えば、（１）複数のカメラ５０、（２）複数のレーダ５１、（３）車速センサ５２等のメカセンサー５２０、（４）アクセル開度センサ５３、操舵角センサ５４、ブレーキセンサ５５等のドライバ入力部５３０、（５）ＧＰＳ等の測位システムを含む位置センサ５６等が例示される。

　車内情報取得装置Ｍ２として、例えば、車内カメラ５８、車内センサ５９等が例示される。車内センサ５９には、例えば、アクセルペダル、ブレーキペダル、ステアリング、各種スイッチ等の各種操作対象物への運転者の操作を検出するセンサを含む。なお、図５では、車内情報取得装置Ｍ２の図示を省略している。

　－２－１．主演算部－
　ここでは、主演算部６１０の構成例及び主演算部６１０による深層学習を用いた経路生成について説明する。

　図５に示すように、主演算部６１０は、カメラ５０及び／またはレーダ５１の入力に基づいて、車外の物体（対象物）を認識する物体認識部６１１を有する。物体認識部６１１は、カメラ５０で撮像された社外の画像（映像を含む）や、レーダ５１を用いた反射波のピークリストにより、車外の物体を認識する機能を有する。また、主演算部６１０は、実施形態に示したとおり、深層学習を利用して、認識された物体が何かを判別する機能を有する。物体認識部６１１には、従来から知られている画像や電波に基づく物体認識技術を適用することができる。

　物体認識部６１１で認識された結果は、マップ生成部６１２に送られる。マップ生成部６１２では、自車両の周囲を複数の領域（例えば、前方、左右方向、後方）に分け、各領域ごとにマップ作成処理を行う。マップ作成処理では、それぞれの領域に対して、カメラ５０で認識された物体情報と、レーダ５１で認識された物体情報とを統合し、マップに反映させる。

　マップ生成部６１２で生成されたマップ、セキュリティゲートウェイ４から入力されて復号部６１で復号されたデータの一部（例えば、マップ情報）は、車外環境推定部６１３において、深層学習を用いた画像認識処理により車外環境の推定に使用される。具体的に、車外環境推定部６１３では、深層学習を利用して構築された環境モデル６１４に基づく画像認識処理により車外環境を表す３Ｄマップを作成する。深層学習では、多層ニューラルネットワーク（ＤＮＮ：Ｄｅｅｐ　Ｎｅｕｒａｌ　Ｎｅｔｗｏｒｋ）が用いられる。多層ニューラルネットワークとして、例えば、ＣＮＮ（Ｃｏｎｖｏｌｕｔｉｏｎａｌ　Ｎｅｕｒａｌ　Ｎｅｔｗｏｒｋ）がある。より具体的に、車外環境推定部６１３では、（１）各領域ごとのマップが結合され、自車両１の周囲を表した統合マップが生成され、（２）その統合マップ内の動体物に対し、自車両１との距離、方向、相対速度の変位が予測され、（３）その結果が、車外環境モデル６１４に組み込まれる。さらに、車外環境推定部６１３では、（４）車内または車外から取り込んだ高精度地図情報、ＧＰＳ等で取得された位置情報・車速情報・6軸情報の組み合わせによって統合マップ上での自車両１の位置を推定するとともに、（５）前述の経路コストの計算を行い、（６）その結果が、各種センサで取得された自車両１の運動情報とともに車外環境モデル６１４に組み込まれる。これらの処理により、車外環境推定部６１３では、随時、車外環境モデル６１４が更新され、経路生成部６２１による経路生成に使用される。上記の物体認識部６１１、マップ生成部６１２、車外環境推定部６１３での処理結果や、車外環境モデル６１４は、前述のセキュリティゲートウェイ装置４の認証部４１での処理に利用される。すなわち、物体認識部６１１、マップ生成部６１２、車外環境推定部６１３、乃至、車外環境モデル６１４は、認証部６２としての機能を包含している。なお、図示は省略するが、認証部６２としての機能をセーフティ機能部６３０に持たせるようにしてもよい。

　ＧＰＳ等の測位システムの信号、車外ネットワークから送信される例えばカーナビゲーション用のデータは、セキュリティゲートウェイ装置４を介して入力され、復号部６１で復号されて、経路探索部６２２に送られる。経路探索部６２２は、ＧＰＳ等の測位システムの信号、車外ネットワークから送信される例えばナビゲーション用のデータを用いて、車両の広域経路を探索する。

　経路生成部６２１では、車外環境モデル６１４と、経路探索部６２２の出力とを基にして、車両の走行経路を生成する。

　－２－２．セーフティ機能部－
　ここでは、セーフティ機能部６３０の構成及びセーフティ機能部６３０によるルールベースの経路生成について説明する。

　図５に示すように、セーフティ機能部６３０は、主演算部６１０と同じ、カメラ５０及び／またはレーダ５１の入力に基づいて、車外の物体（対象物）を認識する物体認識部６３１を有する。セーフティ機能部６３０では、主演算部６１０と同様の手法により車外の物体を認識した後に、深層学習を利用せずに、従来から知られているルールベースの手法により認識された物体が何かを判別するようにしている。例えば、従来から知られており、ＡＳＩＬ－Ｄ相当の機能安全レベルを実現している識別機を通して、認識された物体が何かを判別する。

　物体認識部６３１で認識された結果は、動体と静止物とに分類される。図５では、６３２の符号を付して「動体・静止物分類」と記載した回路ブロックで実行される。具体的に、ここでは、（１）自車両の周囲が複数の領域（例えば、前方、左右方向、後方）に分けられ、（２）各領域で、カメラ５０で認識された物体情報と、レーダ５１で認識された物体情報とが統合され、（３）各領域に対する導体及び静止物との分類情報が生成される。そして、（４）各領域ごとの分類結果が統合され、（５）自車両周辺の導体及び静止物との分類情報として、例えば、例えば、図２に示されるようなグリッドマップ上で管理される。また、動体物に対しては、（６）自車両との距離、方向、相対速度が予測され、その結果が動体物の付属情報として組み込まれるとともに、（７）車内または車外から取り込んだ高精度地図情報、ＧＰＳ等で取得された位置情報・車速情報・６軸情報の組み合わせによって、動体・静止物に対する自車両の位置が推定される。また、セーフティ機能部６３０では、車速情報・６軸情報に基づく車両状態を検出し、自車両１の付属情報として経路生成に使用する。セーフティ機能部６３０では、ここで推定された動体・静止物に対する自車両の位置と、安全領域の探索結果に基づいて、経路が生成される。

　主演算部６１０及びセーフティ機能部６３０で生成された経路は、目標運動決定部７１０に送られ、両経路の比較結果等に応じて最適な目標運動が決定される。例えば、前述の実施形態に記載しているように、主演算部６１０で生成した経路が、セーフティ機能部６３０で探索された安全領域から外れる時には、セーフティ機能部６３０で生成された経路が採用される。

　目標運動決定部６２３は、主演算部６１０及び第２演算部１１０，１２０からの出力を受けて自動車１の目標運動を決定する。

　車両運動エネルギー操作部６２４及びエネルギーマネジメント部６２５は、目標運動決定部６２３で決定された目標運動を達成する上で、最もエネルギー効率がよくなるようにアクチュエータ７の制御量を算出する。具体的に例示すると、例えば、エネルギーマネジメント部は、目標運動決定部６２３で決定されたエンジントルクを達成する上で、最も燃費が向上するような、吸排気バルブ（図示省略）の開閉タイミングやインジェクタ（図示省略）の燃料噴射タイミング等を算出する。

　－２－３．バックアップセーフティ機能部－
　ここでは、バックアップセーフティ機能部６５０の構成及びバックアップセーフティ機能部６５０によるルールベースの経路生成について説明する。バックアップセーフティ機能部６５０は、ルールベースで最低限の安全停車位置への移動動作、停車動作ができるようにするために必要な構成を備えたものとなっている。大枠の構成は、セーフティ機能部６３０を同じような機能で実現することができる。

　図５に示すように、バックアップセーフティ機能部６５０では、物体認識部６３１で認識された結果を基に、動体と静止物とが分類される。図５では、６５３の符号を付して「動体・静止物分類」と記載した回路ブロックで実行される。物体認識部６３１は、図５に示すように、セーフティ機能部６３０と共通のものを使用してもよいし、個別に、バックアップセーフティ機能部６５０に設けられていてもよい。さらに、バックアップセーフティ機能部６５０は、車両状態を計測する車両状態計測部６５１と、運転者の操作状態を把握するドライバ操作認知部６５２とを備えている。車両状態計測部６５１は、自車両１の付属情報として経路生成に使用するために、車速情報・６軸情報に基づく車両状態を取得する。それ以外の機能については、主演算部６１０及びセーフティ機能部６３０とは独立して設けられているものの、実質的な機能は、これまで説明してきた構成と同様であり、ここではその詳細説明を省略する。

　ここに開示された技術は、自動車に搭載される自動車用演算システムとして有用である。

ＳＹ　演算システム
４　セキュリティゲートウェイ装置
４１　認証部
４２　復号部
４４　暗号化部
６　演算装置
Ｍ１　車外情報取得装置

Claims

　自動車に搭載される自動車用演算システムであって、
　自動車に据え付けられて車外環境の情報を取得する車外情報取得装置からの出力を受け、道路上であって障害物を回避する経路を生成し、当該経路に沿って走行する際の自動車の目標運動を決定し、当該目標運動を実現するための制御信号を、駆動力と制動力と操舵角とを生成するアクチュエータに出力する演算装置と、
　外部の通信装置が接続された外部のネットワークと前記演算装置との間に設けられ、前記通信装置からのアクセスに対して、予め設定された基準に基づいて当該アクセスの正当性を判断し、前記通信装置のアクセスを許可するか否かを決定するセキュリティゲートウェイ装置とを備える
ことを特徴とする自動車用演算システム。
　請求項１に記載の自動車用演算システムにおいて、
　前記セキュリティゲートウェイ装置は、
　前記ネットワークを介して受信された受信信号を復号する復号部と、
　前記アクセスの正当性を判断し、前記通信装置のアクセスを許可するか否かを決定する認証部と、
　前記認証部によりアクセスが許可された通信装置から受信され、かつ、前記復号部で復号された信号を、暗号化して前記演算装置に出力する暗号化部とを備えている
ことを特徴とする自動車用演算システム。
　請求項１に記載の自動車用演算システムにおいて、
　前記セキュリティゲートウェイ装置は、前記通信装置のアクセスが正当であった場合において、前記演算装置が休止状態または停止状態のときに、前記演算装置を起動させるための起動信号を出力する
ことを特徴とする自動車用演算システム。
　請求項１に記載の自動車用演算システムにおいて、
　前記車外情報取得装置は、カメラを含み、
　前記セキュリティゲートウェイ装置は、前記カメラの撮影画像と前記アクセスしてきた前記通信装置との照合結果を基に当該通信装置のアクセスの正当性を判断する
ことを特徴とする自動車用演算システム。
　車外環境の情報を取得する車外情報取得装置からの出力を受け、道路上であって障害物を回避する経路を生成し、当該経路に沿って走行する際の自動車の目標運動を決定する演算装置と、外部の通信装置が接続された外部のネットワークと前記演算装置との間に設けられたセキュリティゲートウェイ装置とを備える自動車用演算システムにおける、外部のネットワークから受けた受信データの処理方法であって、
　前記車外情報取得装置からの出力を基に、車外の対象物を認識する認識工程と、
　前記通信装置から前記セキュリティゲートウェイ装置へのアクセスに対して、予め設定された基準を基に前記通信装置を特定する特定工程と、
　前記特定工程で特定された通信装置と前記認識工程で認識された対象物とを照合する照合工程と、
　前記照合工程で一致が確認された通信装置からのアクセスに対し認証処理を実行する認証工程と、
　前記認証工程で認証された前記通信装置から受信したデータを前記セキュリティゲートウェイ装置で復号して前記演算装置に出力する復号工程とを含む
ことを特徴とする受信データ処理方法。
　車外環境の情報を取得する車外情報取得装置からの出力を受け、道路上であって障害物を回避する経路を生成し、当該経路に沿って走行する際の自動車の目標運動を決定する演算装置と、外部の通信装置が接続された外部のネットワークと前記演算装置との間に設けられたセキュリティゲートウェイ装置とを備える自動車用演算システムにおける、外部のネットワークから受けた受信データの処理方法であって、
　外部のネットワークを介して互いに異なる複数の前記通信装置から前記セキュリティゲートウェイ装置にアクセスがあった場合に、それぞれの前記通信装置を特定する特定工程と、
　前記特定工程で特定された通信装置の優先順位を予め設定された基準に基づいて設定する設定工程と、
　前記設定工程で設定された優先順位にしたがって前記複数の通信装置の認証処理を実行する認証工程と、
　前記認証工程で認証された前記通信装置から受信したデータを前記セキュリティゲートウェイ装置で復号して前記演算装置に出力する復号工程とを含む
ことを特徴とする受信データ処理方法。
　請求項６に記載の受信データ処理方法において、
　前記特定工程は、前記通信装置の中から、予め設定された基準を基に不正なアクセスをする装置を特定する不正装置特定工程を含み、
　前記不正装置特定工程で特定された装置を、前記優先順位の付与対象から除外する
ことを特徴とする受信データ処理方法。