CN109074299B - 车辆控制系统验证装置、车辆控制系统以及车辆控制系统验证方法 - Google Patents
车辆控制系统验证装置、车辆控制系统以及车辆控制系统验证方法 Download PDFInfo
- Publication number
- CN109074299B CN109074299B CN201780011147.2A CN201780011147A CN109074299B CN 109074299 B CN109074299 B CN 109074299B CN 201780011147 A CN201780011147 A CN 201780011147A CN 109074299 B CN109074299 B CN 109074299B
- Authority
- CN
- China
- Prior art keywords
- function
- control system
- vehicle control
- security
- architecture
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60T—VEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
- B60T17/00—Component parts, details, or accessories of power brake systems not covered by groups B60T8/00, B60T13/00 or B60T15/00, or presenting other characteristic features
- B60T17/18—Safety devices; Monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/76—Architectures of general purpose stored program computers
- G06F15/78—Architectures of general purpose stored program computers comprising a single central processing unit
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60T—VEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
- B60T8/00—Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force
- B60T8/32—Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration
- B60T8/88—Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means
- B60T8/885—Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means using electrical circuitry
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/0205—Diagnosing or detecting failures; Failure detection models
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/0225—Failure correction strategy
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0428—Safety, monitoring
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/22—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/22—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
- G06F11/25—Testing of logic operation, e.g. by logic analysers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F30/00—Computer-aided design [CAD]
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W2050/0001—Details of the control system
- B60W2050/0002—Automatic control, details of type of controller or control system architecture
- B60W2050/0018—Method for the design of a control system
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24109—Execute first diagnostic, service program before normal control program
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/26—Pc applications
- G05B2219/2637—Vehicle, car, auto, wheelchair
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Computer Hardware Design (AREA)
- Mechanical Engineering (AREA)
- Transportation (AREA)
- Quality & Reliability (AREA)
- Human Computer Interaction (AREA)
- Evolutionary Computation (AREA)
- Geometry (AREA)
- Debugging And Monitoring (AREA)
- Valves And Accessory Devices For Braking Systems (AREA)
- Safety Devices In Control Systems (AREA)
- Traffic Control Systems (AREA)
- Testing And Monitoring For Control Systems (AREA)
Abstract
本发明提供一种用以根据安全分析结果来全面地验证功能的设计的安全性的技术。本揭示的车辆控制系统验证装置具备:存储设备,其存储用以验证车辆控制系统的逻辑架构的安全性的程序;以及处理器,其从存储设备读入程序来验证逻辑架构的安全性。该处理器执行根据给出的安全分析结果的信息来验证逻辑架构是否具有对应于安全分析结果的逻辑功能的处理。
Description
技术领域
本揭示涉及一种车辆控制系统验证装置、车辆控制系统以及车辆控制系统验证方法。
背景技术
近年来,汽车的电子控制在迅速复杂化,对该复杂化的应对是一个紧迫课题,业界期望更具可靠性的车辆控制系统。要实现这种车辆控制系统,较理想为能够检查车辆控制系统中安装的各功能的可靠性。
例如,专利文献1揭示了如下内容:使用用以检查所要求的系统的功能的可靠性功能,根据该目的所需的系统的硬件组件来检查基于软件的电子系统的安全性和可靠性。此外,专利文献2揭示了一种重视安全性的系统的设计和检验用的改良方法。根据专利文献1或2,可以针对与安全性、可靠性相关的要件来检查、验证架构的设计、执行的内容。
现有技术文献
专利文献
专利文献1:日本专利特表2007-506591号公报
专利文献2:日本专利特表2007-528532号公报
发明内容
发明要解决的问题
然而,专利文献1及2并未揭示如下内容:根据安全分析结果(也称为安全分析信息)来全面地验证安全功能的要件,或者除了可靠性中的多重性(多重性在专利文献1中有记载)以外还对安全功能彼此的关系性进行验证。因而,专利文献1及2揭示的技术在对车辆控制系统的各功能的验证上并不充分。
本揭示是鉴于这种状况而做成,其目的在于提供一种用以根据安全分析结果来全面地验证功能的设计的安全性的技术。
解决问题的技术手段
为了解决上述问题,作为本揭示的一实施的形态,例如使用权利要求书中记载的技术思想即可。具体而言,本揭示的车辆控制系统验证装置具备:存储设备,其存储用以验证车辆控制系统的逻辑架构的安全性的程序;以及处理器,其从存储设备读入程序来验证逻辑架构的安全性。该处理器执行根据给出的安全分析结果的信息来验证逻辑架构是否具有对应于安全分析结果的逻辑功能的处理。
本揭示相关的更多特征将通过本说明书的记述、附图来加以明确。此外,本揭示的形态通过要素以及多种要素的组合以及后面的详细记述和随附的权利要求书的样态来达成、实现。
须了解,本说明书的记述只是典型的示例,在任何意义下都不会限定本揭示的权利要求书或运用例。
发明的效果
根据本揭示,可以根据安全分析信息全面地对自动驾驶系统的逻辑架构及物理架构和基于功能配置信息的设计进行验证。
附图说明
图1为表示本揭示的实施方式的车辆控制系统验证装置100的概略构成的图。
图2为表示配备作为评价对象的车辆控制系统的车辆系统1的概略构成例的图。
图3为表示车辆控制系统2的物理架构的例子的图。
图4为表示ECU 302的内部构成例的图。
图5为表示物理架构20的参数例的图。
图6为表示车辆控制系统(例如第1车辆控制系统2)的逻辑架构601的构成例的图。
图7为表示逻辑架构601的参数例的图。
图8为表示逻辑架构配置在物理架构上的情况下的构成例的图。
图9为表示可以用作安全分析信息的FTA(Fault Tree Analysis(故障树分析))的例子的图。
图10为表示对FTA的各事件及各门赋予的参数的例子的图。
图11为用以说明第1实施方式的安全性验证处理的概要的流程图。
图12为用以说明安全要件验证处理(步骤1102)的详情的流程图。
图13为表示第2实施方式的安全性定量评价处理的概要的图。
图14为用以说明第2实施方式的安全性定量评价处理的详情的流程图。
图15为用以说明第3实施方式的安全性验证处理的概要的流程图。
图16为用以说明安全功能协作验证处理(步骤1501)的详情的流程图。
图17为表示安全控制模型的例子的图。
图18为表示与安全功能的协作相关的配置目的地和路径的安全要件的检查例的图。
图19为表示第4实施方式的车辆控制系统的构成(物理架构)例的图。
图20为表示第4实施方式中车辆控制系统验证装置100所接收的架构构成信息的例子的图。
具体实施方式
本揭示的实施方式的车辆控制系统验证装置根据给出的安全分析结果来全面地验证功能的设计的安全性以及配置的恰当性,并验证是否已满足必要的要件、安全功能间有无协作。具体而言,本揭示的车辆控制系统验证装置根据给出的安全分析结果(FTA)的信息来验证车辆控制系统的逻辑架构是否具有对应于安全分析结果的逻辑功能。再者,逻辑架构也可根据安全分析结果的信息来加以构建。其原因在于,以满足FTA的安全性的要件的方式设计架构,设计时的安全功能的验证就是检查该架构是否实际满足成为目标的FTA的安全性的要件。
此外,车辆控制系统验证装置验证车辆控制系统的物理架构是否满足逻辑架构所要求的安全度及多重性。
下面,对适合本发明的实施方式进行更详细的说明。再者,在实施方式中,主要是对车辆控制系统的验证装置进行说明,适于车辆控制系统的验证,但并不妨碍对这以外的系统的运用。
(1)第1实施方式
第1实施方式揭示如下内容:验证车辆控制系统的逻辑架构中是否存在FTA中需要的安全功能,以及在车辆控制系统的物理架构上配置了逻辑架构时物理架构是否满足所要求的安全度和多重性。
<车辆控制系统验证装置>
图1为表示本揭示的实施方式的车辆控制系统验证装置100的概略构成的图。
车辆控制系统验证装置100具备功能配置部101、安全性验证部102及架构定量评价部103。
功能配置部101例如以逻辑架构601和物理架构20为输入,执行像功能配置的例子(参考图8)那样将逻辑架构601配置在物理架构20上的处理。
安全性验证部102以功能配置后的架构和安全分析信息(例如FTA:Fault TreeAnalysis(参考图9))900为输入,按照本揭示中提出的安全性验证的流程来进行所设计的架构的安全性的验证。继而,安全性验证部102以验证结果的形式将安全性验证OK或安全性验证NG及其理由输出至功能配置部101。再者,验证结果也可直接被输出至架构定量评价部103。
架构定量评价部103接收架构的安全性的验证结果,主要对安全性验证OK的架构进行定量评价,并输出评价结果。
车辆控制系统验证装置100以如上方式执行车辆控制系统的验证及评价。
再者,车辆控制系统验证装置100可以通过具有处理器(CPU等)、存储器(ROM、RAM等)等的电脑来实现。在该情况下,功能配置部101、安全性验证部102及架构定量评价部103由程序构成,且构成为处理器从程序存储器(ROM)读入并执行各种程序。
逻辑架构601、物理架构20、功能配置部101及安全性验证部102的详情将于后文叙述。
<车辆控制系统的构成>
图2为表示配备作为评价对象的车辆控制系统的车辆系统1的概略构成例的图。汽车等相当于车辆系统1,在内部具有车辆控制系统。
车辆系统1例如具备第1车辆控制系统2、至少1个通信装置3、第2车辆控制系统4、至少1个驱动装置5、至少1个识别装置6、输出装置7、输入装置8及通知装置9。此处列举了2个车辆控制系统(第1车辆控制系统2及第2车辆控制系统4)作为例子,但并不限于2个。此外,也可采用多个车辆控制系统协作进行动作这样的构成。
第1车辆控制系统2例如由车载网络(CAN:Controller Area Network、CANFD:CANwith Flexible Data-rate、Ethernet(注册商标)等)和控制器(ECU:Electronic ControlUnit等)构成。第1车辆控制系统2与第2车辆控制系统4、通信装置3、驱动装置5、识别装置6、输出装置7、输入装置8及通知装置9等连接在一起,构成为与它们各个之间进行信息的收发。
通信装置3与车辆系统1的外部进行无线通信(例如手机的通信、使用无线LAN、WAN、C2X(Car to X:车对车或车对基础设施通信)等协议的通信、或者使用GPS(GlobalPositioning System)的通信),实施外界(例如基础设施、其他车辆、地图等)的信息或者与自身车辆相关的信息(例如表示自身车辆的状态的信息)的获取、发送等的无线通信,或者具有诊断端子(OBD)、Ethernet(注册商标)端子、外部记录介质(例如USB存储器、SD卡等)端子等而与第1车辆控制系统2实施通信。
第2车辆控制系统4例如是由使用不同于第1车辆控制系统2的协议或同一协议的网络构成的车辆控制系统。
驱动装置5按照第1车辆控制系统2的控制来进行控制车辆运动的机械及电气装置(例如发动机、变速器、车轮、制动器、操舵装置等)的驱动,例如执行器等相当于驱动装置5。
识别装置6由获取从外界输入的信息并输出用以生成信息的信息的摄像机、雷达、LIDAR、超声波传感器等外界传感器以及识别车辆系统1的状态(运动状态、位置信息、加速度、车轮速度等)的力学传感器构成。
输出装置7以有线或无线的方式与网络系统(例如上述车载网络)连接,是接收从网络系统送出的数据并显示或输出消息信息(例如影像、声音)等所需信息的装置,例如,液晶显示器、警告灯、扬声器等相当于输出装置7。
输入装置8是用以生成输入信号的装置,所述输入信号是用户对第1车辆控制系统2输入操作的意图、指示的信号,例如方向盘、踏板、按钮、操作杆、触控面板等相当于输入装置8。
通知装置9是用以供车辆系统1对外界通知车辆的状态等的装置,例如灯、LED、扬声器等相当于通知装置9。
<物理架构的例子>
图3为表示车辆控制系统2的物理架构的例子的图。物理架构20也可以称为H/W(Hardware)构成。
物理架构20例如由网络链路301和ECU(Electronic Control Unit:电子控制单元)302构成。
网络链路301用以连接车载网络上的网络装置,例如CAN总线等网络链路相当于网络链路301。
ECU 302与网络链路301及驱动装置5、识别装置6、以及301以外的网络链路(包括专线)连接,进行驱动装置5、识别装置6的控制以及信息获取、与网络的数据收发。ECU 302还与多个网络链路301连接而担负着与各网络链路进行数据的收发的网关(以下记作GW)的作用。
作为网络拓扑构成例,除了图3所示的2条总线上连接有多个ECU的总线型的例子以外,也可以采用多个ECU直接连接于GW的星型、ECU呈环状连接于一系列链路的链路型、各种类型混存而由多种网络构成的混存型等。ECU 302根据从网络接收到的数据来进行对驱动装置5的控制信号的输出、来自识别装置6的信息的获取、对网络的控制信号及信息的输出、内部状态的变更等控制处理。
在本说明书中,以下,有时也将ECU 302、网络链路301以及ECU内的处理器称为物理部件。
<ECU的内部构成例>
图4为表示ECU 302的内部构成例的图。ECU 302例如具备处理器401、I/O(Input/Output)装置402、计时器403、ROM(Read Only Memory)404、RAM(Random Access Memory)405及内部总线406作为内部构成。
处理器401具有缓存、寄存器等存储元件并执行控制,例如由CPU等构成。处理器401执行后文叙述的逻辑功能。
I/O装置402对由网络链路301或网络、专线连接起来的驱动装置5或/及识别装置6进行数据的收发。I/O装置402例如可以由通信I/F(Interface)设备构成。
计时器403使用未图示的时钟等来进行时间及时刻的管理。
ROM 404保存程序以及非易失性的数据。RAM 405保存程序以及易失性的数据。内部总线406是ECU 302内部的通信所使用的总线。
<物理架构的参数>
图5为表示物理架构20的参数例的图。图5A展示了对物理架构20的物理部件(ECU、处理器)赋予的参数。图5B展示了对网络赋予的参数。
(i)物理部件的参数
如图5A所示,物理部件的参数包括运算性能、RAM量、ROM量、应对安全度、成本、多重性、故障率、诊断率及物理依存性。这些参数当中,运算性能(MHz:处理器的性能)、RAM量(KB:容量)、ROM量(KB:容量)及成本(日元:ECU、处理器的价格)在对具有ECU或处理器的参数的架构进行定量评价时使用。
应对安全度是与安全性相关的参数,是表示硬件(ECU)能够应对的安全等级的信息。应对安全度在ISO26262中有规定,例如ASIL(Automotive Safety Integrity Level(汽车安全完整性等级))、QM(Quality Management(质量管理))等相当于应对安全度。
多重性是表示ECU所具有的系统数的信息。例如,在ECU具有两重系统而能够应对1个系统的故障的情况下,多重性为2(多重性的数量)。
故障率是表示物理部件(ECU、处理器)持续动作时发生一次故障的时间(Failurein time)的信息,用于安全验证。
诊断率是表示物理部件所具有的功能(例如微电脑诊断等)的诊断的覆盖范围。例如,若诊断率为99%,则表示可以应对99%的故障,但剩下1%无法应对。无法应对哪一故障有时在设计时便已知晓。
物理依存性是表示相应物理部件依存于哪一硬件(例如ECU连接于与别的ECU相同的电源的情况)的信息。
再者,在像图4所示那样于ECU的内部配置有微电脑(处理器)的情况下,在验证时,对ECU、处理器中的某一方赋予有参数,使用其中某一方的参数。如此,在对ECU和微电脑双方赋予有参数的情况下,考虑到安全性,将输出更差结果的参数(例如作为ASIL较低的值)用于验证。由此,误输出高验证结果的情况不复存在,能够确保整体上的安全性。
此外,关于故障率及诊断率,此处记载的是对所有故障模式都相同的参数的例子,但也可针对各部件的每一故障模式而设为不同参数。由此,能够实现基于与故障模式相应的故障率、诊断率的验证及评价,从而能够实现更详细的定量评价、验证。
(ii)网络的参数
如图5B所示,网络具有通信速度(bps)、成本(日元:网络线缆的价格)及多重性(通信线的冗余度)等参数。
<逻辑架构>
图6为表示车辆控制系统(例如第1车辆控制系统2)的逻辑架构601的构成例的图。
车辆控制系统的逻辑架构601例如具备综合识别部602、自动驾驶控制部603、用户输入部604、输出管理部605、通知管理部606、异常检测部607、切换部608、运动控制部609及安全控制部610。
综合识别部602执行制作外界识别图的处理,所述外界识别图是将从多个识别装置6及通信装置3发送来的外界识别信息综合而得到的。
自动驾驶控制部603根据由综合识别部602生成的外界识别图以及从用户输入部604输入的用户输入来生成自动驾驶控制信息(轨道等),并输出至异常检测部607及切换部608。此外,自动驾驶控制部603对输出管理部605进行输出指示,此外,对通知管理部606进行通知指示。输出管理部605根据自动驾驶控制部603及异常检测部607的输出来进行对输出装置7的输出指示。通知管理部606根据自动驾驶控制部603及异常检测部607的输出来进行对通知装置9的通知指示。
用户输入部604按照来自输入装置8的输入来生成用户的指示信息。
异常检测部607根据来自自动驾驶控制部603的自动驾驶控制信息等或者来自未图示的各部的规定信息来检测异常,并将异常检测结果输出至切换部608、安全控制部610、输出管理部605及通知管理部606。
切换部608根据异常检测部607的异常检测结果等而将对运动控制部609的输出切换至来自自动驾驶控制部603的输入、来自用户输入部604的输入、或者安全控制部610的输入。具体而言,当由异常检测部607检测到异常时,从自动驾驶控制部603起的正常控制系统(也称为主控制系统:602→603→608→609)切换为异常时控制系统(也称为安全控制系统:602→610→608→609)。
运动控制部609按照从切换部608提供的轨道信息或运动控制信息、从识别装置6获取的车辆系统1的状态以及来自驱动装置5的响应对多个驱动装置5进行控制。
安全控制部610实施收到异常检测的通知的情况下的控制。安全控制部610具有自动驾驶控制部603的简化功能,构成为可以在紧急情况下(检测到异常时)代替执行自动驾驶控制部603的功能的一部分。
在图6的例子中,将平时进行主要控制的功能称为主功能,将异常的检测以及异常发生后进行主要控制的功能称为安全功能。综合识别部602、自动驾驶控制部603、用户输入部604、输出管理部605、通知管理部606及运动控制部609相当于主功能。此外,异常检测部607、切换部608及安全控制部610相当于安全功能。
<逻辑架构的参数>
图7为表示逻辑架构601的参数例的图。图7A展示了对主功能赋予的参数。图7B展示了对安全功能赋予的参数。图7C展示了对应于逻辑连接的参数。
(i)主功能的参数
主功能的参数包括逻辑功能的类型、运算量、消耗RAM及消耗ROM。
逻辑功能的类型是表示逻辑功能的类别的信息,用于主功能、安全功能的判定。此处输入“主功能”。
运算量(MHz)是表示执行相应功能所需的ECU或处理器的性能的信息。消耗RAM(KB)是表示执行相应功能所需的RAM的消耗量的信息。消耗ROM(KB)是表示执行相应功能所需的ROM的消耗量的信息。
运算量、消耗RAM及消耗ROM主要在进行架构的定量评价时使用。
(ii)安全功能的参数
安全功能的参数包括逻辑功能的类型、安全功能的类型、安全控制模式、运算量、消耗RAM、消耗ROM、要求安全度、检测对象、检测故障模式、检测率及独立性要求。
逻辑功能的类型是表示逻辑功能的类别的信息,用于主功能、安全功能的判定。此处输入“安全功能”。运算量(MHz)是表示执行相应功能所需的ECU或处理器的性能的信息。消耗RAM(KB)是表示执行相应功能所需的RAM的消耗量的信息。消耗ROM(KB)是表示执行相应功能所需的ROM的消耗量的信息。运算量、消耗RAM及消耗ROM主要在执行架构的定量评价时使用。与主功能一样,该逻辑功能的类型、运算量、消耗RAM及消耗ROM在进行架构的定量评价时使用。
安全功能的类型是表示相应安全功能的类别的信息,用于后文叙述的安全功能协作的判断。例如,安全功能的类型表示相当于检测、控制、切换中的哪一功能。
安全控制模式是表示对相应安全功能应实现的安全控制要求有何种内容的信息。例如,赋予功能停止、功能继续等信息。此外,安全控制模式中还包含所要求的多重性的信息。
要求安全度是表示相应安全功能所要求的安全度的信息。例如,赋予QM、ASIL,在物理架构上要求相应安全度下的安全功能的执行。
检测对象是表示相应安全功能成为应检测事件(例如异常)的对象的逻辑功能的信息。例如,在相应功能为异常检测部607时,检测对象为综合识别部602及自动驾驶控制部603。
检测故障模式是表示相应逻辑功能对应于多种故障模式(例如故障时停止、故障时输出假值、故障时延迟输出值等)当中的哪一故障模式的信息。
检测率与物理部件的“诊断率”一样,是表示在相应安全功能下能够检测出哪种程度的故障、错误的信息。例如,检测率为99%的情况意指可以检测99%的故障、错误,但剩下1%的故障、错误无法检测。
独立性要求是表示相应安全功能发生故障时不应同时发生故障的逻辑功能名的信息。独立性要求是用以防止例如安全功能和主功能同时发生故障、结果导致安全控制失效的共因故障、从属故障等设计的参数。
(iii)逻辑连接的参数
对应于逻辑连接的参数包括相应通信路径的通信量。该通信量在对架构进行定量评价时使用。
(iv)关于以上说明过的参数,有架构设计时必需的组合。因而,在未赋予必需的参数的情况下,在架构验证时必须判断为NG。例如,在尽管安全功能的类型为“检测”但未赋予检测对象、检测故障模式及检测率等参数的情况下,在安全性验证时输出NG。
<功能配置例>
图8为表示逻辑架构配置在物理架构上的情况下的构成例的图。
功能配置部101将给出的逻辑架构601(参考图6)配置在给出的物理架构20(参考图3)上。由此,决定在哪一物理部件(ECU、微电脑)上执行哪一逻辑功能的处理、对网络上的通信实施何种内容。
在图8的配置例中,相互的关联性较强的逻辑功能配置在同一ECU中。例如,作为主功能的综合识别部602和自动驾驶控制部603以及用户输入部604和输出管理部605分别配置在同一ECU中。作为安全功能的异常检测部607和安全控制部610配置在同一ECU中。此外,作为安全功能的切换部608和作为主功能的运动控制部609配置在同一ECU中。
再者,在逻辑功能间在网络上有多条路径的情况下,例如优选选择其中成本(通信频带、跳数)最小的路径等来实施高效的通信。
<安全分析信息>
图9为表示可以用作安全分析信息的FTA(Fault Tree Analysis)的例子的图。FTA900呈现出树状的结构,包含顶事件(顶事项)901、成为各叶的事件903以及分支的门902。
顶事件(树的最上部的事项)为危险事件(危险的事项),通过AND或OR门与下位事项连结,分解为成为顶事件的发生原因的下位事件。OR门意指在发生某一事项的情况下会发生上位事项,AND门意指仅在发生两种事项的情况下会发生上位事项。如此一来,可以将导致最上位的危险发生的事件的关系性明确化。
<事件及门的参数>
图10为表示对各事件及各门赋予的参数的例子的图。图10A展示了对各事件赋予的参数。图10B展示了对各门赋予的参数。
(i)事件的参数
事件的参数具有位于相应事件的上位的事件(上位事件)或者门(上位门)、事件类别(中间事件还是基本事件)、故障功能以及故障模式作为构成项目。以故障功能与故障模式的组合来表现事件的内容。关于故障功能和故障模式,不仅对基本事项记载,还对中间事项记载。由此,不仅可以记载例如组件的故障,还能记载系统级别的故障。
再者,关于故障功能,另行准备有表示逻辑功能的内容的表格(未图示),可以通过参考该表格来掌握各逻辑功能的内容。
(ii)门的参数
门的参数具有位于各门的上位的事件或着门以及门的类别(OR或AND)作为构成项目。
(iii)通过以上参数,在发生了任一事件(逻辑功能的故障)的情况下,能够表现出危险是在何种条件下发生的。
<安全性验证处理>
图11为用以说明第1实施方式的安全性验证处理的概要的流程图。以下是以程序形式的安全性验证部102为动作主体对处理概要进行说明,但由于程序是由车辆控制系统验证装置100的处理器读入并执行,因此也可以将安全性验证部102改称作“处理器”。
(i)步骤1101
安全性验证部102首先对功能配置后的架构执行安全要件验证处理。安全要件验证处理的详情将于后文叙述(参考图12)。
(ii)步骤1102
在安全要件的验证结果为OK的情况下(S1102中为“是”),安全性验证部102使处理转移至步骤1103,在安全要件的验证结果为NG的情况下(S1102中为“否”),使处理转移至步骤1104。
(iii)步骤1103
安全性验证部102输出OK作为安全性验证结果并结束处理。
(iv)步骤1104
安全性验证部102输出NG结果及其理由以及哪一安全要件的验证NG。以如此方式实施安全要件的验证。
<安全要件验证处理>
图12为用以说明安全要件验证处理(步骤1102)的详情的流程图。
(i)步骤1201
在安全要件验证处理中,安全性验证部102针对安全分析信息900的所有事件反复进行步骤1202~步骤1205的处理。
(ii)步骤1202
安全性验证部102针对各事件而确认对应的安全功能是否存在于架构上。具体而言,检查相应(处理对象)事件(例如ET3)的故障功能(例如图10的逻辑功能1)的参数是否存在于对应的安全功能中的检测故障模式和检测对象中。在有对应的安全功能的情况(步骤1202中为“是”的情况)下,处理转移至步骤1203。在没有对应的安全功能的情况(步骤1202中为“否”的情况)下,处理转移至步骤1205。
(iii)步骤1203
安全性验证部102对于物理架构20中的相应安全功能的配置目的地判定是否满足安全度及多重性的要件。
就安全度而言,在作为相应安全功能的参数的要求安全度的值小于或等于配置目的地的物理部件的应对安全度的情况下判定为OK。具体而言,在安全功能的要求安全度为ASIL-C的情况下,在配置目的地的物理部件的应对安全度为ASIL-C或以上(ASIL-D等)的情况下判定为OK。
就多重性而言,在作为相应安全功能的参数的安全控制模式中包含的要求多重性的值小于或等于配置目的地的物理部件的多重性的情况下判定为OK。具体而言,在安全功能的要求多重性为2的情况下,在配置目的地的物理部件的多重性为2以上的情况下判定为OK。
在配置目的地的安全度及多重性OK的情况(步骤1203中为“是”的情况)下,处理转移至步骤1204。在配置目的地的安全度及多重性NG的情况(步骤1203中为“否”的情况)下,处理转移至步骤1205。
(iv)步骤1204
安全性验证部102将相应事件的内容设为OK。
(v)步骤1205
安全性验证部102将相应事件的内容设为NG。
(vi)步骤1206
安全性验证部102对下一事件进行处理。在针对所有事件完成处理之后,处理转移至步骤1207。
(vii)步骤1207
安全性验证部102将步骤1201~步骤1206的处理结果运用于FTA树来进行安全要件验证的判定。具体而言,安全性验证部102针对FTA的各事件而将上述各事件的OK及NG的结果输入至FTA,按照FTA树来进行判定。也就是说,从各事件朝上部顺着OK、NG,将各门的判定设为AND、OR来进行判定,从而判定是否会发生最上位的事件。此处,安全性验证部102将NG设为T(True)、OK设为F(False),在AND条件及OR条件下进行判定,在顶事件(顶事项)为False的情况下返回OK,在为True的情况下返回NG。以如此方式进行整体上的安全要件的验证。
再者,在NG的情况下,返回所记录的所有NG事件。由此,车辆控制系统验证装置100可以向用户展示有缺陷的安全要件。
(viii)变形例
在步骤1203中,也可在配置目的地的验证处理中仅实施安全度的判定。由于多重性在安全功能协作的验证中也会另行实施,因此在步骤1203中可以省略。由此,可以削减运算量。
此外,在步骤1207中,也可不进行FTA树中的判定,而是在任一事件中有NG的情况下根据该结果将安全要件验证判定为NG而结束安全要件验证处理。通过以安全功能应对应所有安全要件的形式来进行判定,能够不进行FTA树的运算、缩短处理时间。
<架构定量评价>
架构定量评价部103进行已配置功能的架构中安全性验证结果判定为OK的架构的定量评价。定量评价例如可以通过物理部件上的逻辑功能的使用率的算出、通信的占用率的算出、以及物理部件的成本的算出来实现。物理部件上的逻辑功能的使用率可以针对物理架构20的物理部件中配置的多种逻辑功能通过如下操作来算出:针对运算量、消耗RAM及消耗ROM中的各方而算出合计值,从而计算物理部件上的使用率。此外,可以通过对网络上的基于各逻辑功能的通信的使用量进行合计而计算占用率,从而算出通信的占用率。进一步地,物理部件的成本可以通过对与物理架构整体所使用的物理部件也就是配置有1种以上的逻辑功能的物理部件相关的成本进行合计来算出。
通过这些计算,能够实现进行过安全性验证的架构的定量评价。再者,也可仅对已验证安全性的架构进行定量评价。由此,可以削减不满足安全性的不需要的架构的评价时间。
(2)第2实施方式
第2实施方式揭示基于安全性的定量评价的验证及评价的另一形态。具体而言,对第1实施方式中的安全要件验证(步骤1101)或者上述架构定量评价中执行的另一形态的处理(安全性定量评价处理:也可以称为顶事件发生概率算出处理)进行说明。
<安全性定量评价处理(顶事件发生概率算出处理)的概要>
图13为表示第2实施方式的安全性定量评价处理的概要的图。该处理相当于算出发生顶事件的概率的处理。
选择构成FTA的多个事件中的1个,根据对应于该事件的逻辑功能的检测对象(参考图7)和对应于事件的逻辑功能的故障功能及故障模式(参考图10)来确定主功能及安全功能。
获取与确定出的主功能相对应的物理部件的故障率(参考图5)以及检测主功能的故障的安全功能的检测率(参考图7)。
接着,根据获取到的故障率及检测率来算出残留故障率(无法检测的故障的比例)。
继而,根据树的条件来累计各事件的残留故障率,从而算出顶事件的发生概率。
<安全性定量评价处理(顶事件发生概率算出处理)的详情>
图14为用以说明第2实施方式的安全性定量评价处理的详情的流程图。架构定量评价部103按照以下次序来计算相应危险(顶事件)的发生概率(残留故障率)。此处是以程序形式的架构定量评价部103为动作主体来说明处理内容,但由于程序是由车辆控制系统验证装置100的处理器读入并执行,因此也可以将架构定量评价部103改称作“处理器”。
(i)步骤1401及1406
架构定量评价部103针对安全分析信息(FTA)的所有事件反复进行步骤1402~步骤1405的处理。
(ii)步骤1402
架构定量评价部103针对处理对象事件而探索相应的主功能和安全功能。关于主功能,由于对应于事件的逻辑功能(安全功能)的检测对象中记载有成为检测(可以改叫做监视)的对象的逻辑功能(主功能),因此该信息被提取出来(图13的例子中为主功能A)。
关于安全功能,根据处理对象事件的故障功能和故障模式(参考图10)来确定对应的安全功能(此处为安全功能A)。
(iii)步骤1403
架构定量评价部103获取与相应故障模式相对应的、配置有主功能A的ECU或微电脑(此处为ECU2)的参数中记载的故障率(参考图5)。
(iv)步骤1404
架构定量评价部103从探索出的安全功能(安全功能A)的参数(参考图7)中获取该安全功能的检测率。
(v)步骤1405
架构定量评价部103将获取到的故障率及检测率运用于(式1)来计算处理对象事件的残留故障率。
残留故障率=故障率×(1-检测率)···(式1)
此处,检测到的故障作为被可靠地处理的故障来进行计算。再者,在没有相应安全功能的情况下,将检测率设为0来进行计算。
(vi)步骤1407
在计算出所有事件的残留故障率之后,架构定量评价部103按照FTA树的结构来计算顶事件的发生概率。此处,在算出各事件的残留故障率之后,按照AND或OR门的运算来计算顶事件的发生概率。此外,此处将所有事项视为独立,OR门下将各事件的残留故障率相加,AND门下将各事件的残留故障率相乘,由此计算上位事件的发生率。以如此方式实施安全性的定量评价。
再者,在安全要件验证处理(步骤1101)中执行安全性定量评价的情况下,例如将危险的残留故障率与每一危险的要求值(例如ASIL-D下的10FIT等)进行比较,根据为该值以下这一情况来判断为验证OK。
(3)第3实施方式
第3实施方式揭示在安全性验证处理中执行验证安全功能协作的处理(安全功能协作验证处理)这一情况。与第1实施方式的差异在于,在图11的安全性验证处理中还执行安全功能协作验证处理。下面,对第3实施方式的安全性验证处理进行说明。
<安全性验证处理的概要>
图15为用以说明第3实施方式的安全性验证处理的概要的流程图。如图15所示,在第1实施方式的安全性验证处理(图11:步骤1101~步骤1104)中追加了步骤1501及步骤1502。以下仅对追加的处理进行说明。
(i)步骤1501
安全性验证部102对配置逻辑功能之后的物理架构中的安全功能的协作进行验证。该处理的详情将于后文叙述(参考图16)。
(ii)步骤1502
安全性验证部102判定步骤1501的处理的结果即安全功能协作的验证结果是否为OK。在进行有所期望的安全功能协作的情况(步骤1502中为“是”的情况)下,处理转移至步骤1103。在未进行有所期望的安全功能协作的情况(步骤1502中为“否”的情况)下,处理转移至步骤1104。
<安全功能协作验证处理的详情>
图16为用以说明安全功能协作验证处理(步骤1501)的详情的流程图。以下是以程序形式的安全性验证部102为动作主体对安全功能协作验证处理进行说明,但由于程序是由车辆控制系统验证装置100的处理器读入并执行,因此也可以将安全性验证部102改称作“处理器”。
(i)步骤1601
安全功能协作验证处理是针对逻辑架构的所有安全功能来加以执行,因此,安全性验证部102首先从相应安全功能的参数中获取安全控制模式。安全控制模式中包含功能继续、安全停止等,从而对应于相应安全功能而获取该信息。
(ii)步骤1602
安全性验证部102根据安全控制模式、针对是否准确地进行有安全功能的协作来检查逻辑功能。此处,所谓逻辑功能的检查,意指针对是否进行有与获取到的安全控制模式相对应的逻辑功能的协作来比较安全控制模型(参考图7)与安全功能的协作。图17为表示安全控制模型的例子的图。图17A展示了与安全控制模式的“安全停止”相对应的安全控制模型的例子。图17B展示了与安全控制模式的“功能继续”相对应的安全控制模型的例子。图17中,“S”表示Sensor(传感器),“A”表示Actuator(执行器)。
在图17A的与“安全停止”相对应的安全控制模型中,参数的安全功能类型(参考图7)中具有“检测”功能的安全功能(安全功能A)与参数的检测对象(参考图7)所指定的主功能A、B、C连结在一起。此外,主功能C的输出被输入到安全功能类型(参考图7)中具有“切换”功能的安全功能(安全功能B)。在安全控制模式指定的是“安全停止”的情况下需要这种协作,因此安全性验证部102检查逻辑架构上是否构建有这种协作。
在图17B的与“功能继续”相对应的安全控制模型中,参数的安全功能类型(参考图7)中具有“检测”功能的安全功能(安全功能A)与参数的检测对象(参考图7)所指定的主功能A、B、C连结在一起,这一点是一样的。另一方面,在进行“功能继续”的情况下,需要进行“功能继续”用的控制的安全功能,检测结果的输出被输入到安全功能类型(参考图7)中具有“控制”功能的安全功能(安全功能C)。该安全功能C还具有用以进行“控制”的输入(S)。继而,该安全功能(安全功能C)的输出结果被输入到进行“切换”的安全功能(安全功能B)。在安全控制模式指定的是“功能继续”的情况下需要这种协作,因此安全性验证部102检查逻辑架构上是否构建有这种协作。
(iii)步骤1603
安全性验证部102判定步骤1602中的安全功能协作的检查结果是否为OK。在检查结果为NG的情况(步骤1603中为“否”的情况)下,处理转移至步骤1604。在检查结果为OK的情况(步骤1603中为“是”的情况)下,处理转移至步骤1605。
(iv)步骤1604
在步骤1603中逻辑功能检查的结果为NG的情况下,安全性验证部102输出相应安全要件的检查结果为NG这一内容及其理由。在该情况下,输出逻辑功能检查NG的安全要件、以及该处不足的逻辑功能的协作的信息。
在步骤1606中安全要件的检查结果为NG的情况下,安全性验证部102输出NG结果和NG理由。在该情况下,NG理由中输出安全度及/或多重性不足的安全要件和路径的信息。
(v)步骤1605
安全性验证部102针对步骤1603中确认过的安全功能的协作而检查配置目的地和路径的安全要件。
图18为表示与安全功能的协作相关的配置目的地和路径的安全要件的检查例的图。图18A展示了安全功能A与安全功能B协作、该功能的安全度的要求为ASIL-D的例子。图18B还展示了指定功能继续作为安全功能的安全控制模式的情况下的评价例。
在图18A的情况下,安全性验证部102确认配置目的地的ECU1和ECU3、其中间的NW(网络)1、ECU2及NW2是否满足要求的安全度(ASIL-D)。此外,也同样地确认多重性。以如此方式进行功能协作时的安全要件的检查。
在图18B的情况下,像图18B所示那样配置有各功能。关于安全功能的协作,以与图18A的情况相同的方式进行安全度的判定。此外,在图18B的情况下,追加有“功能继续”用的功能。在“功能继续”的情况下,需要主功能与安全功能独立且冗余化的路径。其原因在于,在主功能的路径因故障等而无法使用的情况下,需要通过别的路径来实现与发生了故障的主功能同样的功能。因此,安全性验证部102通过路径探索算法来检索是否有独立的别的路径。在有独立的路径(图18B的ECU2→NW2→ECU3→NW6→ECU6和ECU4→NW4→ECU5→NW5→ECU6这2条路径)、而且这些路径满足规定的安全度的情况下,将安全要件的检查判定为OK。再者,虽然上文中记载为“别的路径”,但不仅可为完全存在别的路径的构成,也可为网络、ECU进行了冗余化(在内部进行了多重化)的构成。在该情况下,可以通过路径上的物理部件的多重性是否超过了所要求的多重性来进行判定。
(vi)步骤1606
安全性验证部102判断步骤1605中获得的安全功能协作的安全要件检查结果是否为OK。在安全要件检查结果为NG的情况(步骤1606中为“否”的情况)下,处理转移至步骤1604。在安全要件检查结果为OK的情况(步骤1606中为“是”的情况)下,处理转移至步骤1607。
(vii)步骤1607
安全性验证部102输出OK结果(安全功能协作的安全要件检查的结果为OK这一内容)。
(4)第4实施方式
第4实施方式揭示用以在车辆控制系统内执行车辆控制系统的安全性验证的构成。
<车辆控制系统构成>
图19为表示第4实施方式的车辆控制系统的构成(物理架构)例的图。图19中,图1所示的车辆控制系统验证装置100配置在ECU 302中,根据给出的FTA而在车辆控制系统内执行安全性验证处理。在第1至第3实施方式中,主要是在设计时执行安全性验证处理,而在第4实施方式中,由于车辆控制系统验证装置100安装在车辆控制系统内,因此,例如可以在改写控制程序这样的时候执行安全性验证处理。
在第4实施方式中,车辆控制系统验证装置100通过网络链路301来采集架构信息。
<架构构成信息>
图20为表示第4实施方式中车辆控制系统验证装置100所接收的架构构成信息的例子的图。图20A展示了物理架构构成信息。图20B展示了逻辑架构构成信息。
物理架构构成信息(图20A)包含各物理部件名(ECU、微电脑)、与相应物理部件连接在一起的网络名以及物理部件的各种参数(参考图5)作为构成项目。该物理架构信息通过由车辆控制系统验证装置100从多个ECU采集各自所具有的信息来加以构建。
逻辑架构构成信息(图20B)包含各逻辑功能名(ID)、供配置的物理部件名(配置位置)以及逻辑架构的参数(参考图7)作为构成项目。该逻辑架构信息也是通过由车辆控制系统验证装置100从多个ECU采集各自所具有的信息来加以构建。
除了物理架构构成信息及逻辑架构信息以外,车辆控制系统验证装置100还采集预先保持在ECU 302、网络链路301中的安全分析信息。继而,车辆控制系统验证装置100执行车辆控制系统验证及安全性验证的处理,并对网络等输出验证结果。由此,可以总是对车辆控制系统的状态实施安全性的验证。
关于通过网络获取的物理架构构成信息、逻辑架构构成信息及安全分析信息,车辆控制系统验证装置100无须获取所有信息,可仅接收差分而仅进行差分的更新来进行判定。由此,能够削减通信量。
(5)总结
(i)本揭示的车辆控制系统验证装置根据给出的安全分析结果的信息来验证车辆控制系统的逻辑架构是否具有对应于安全分析结果的逻辑功能(安全功能)。由此,可以全面地(而非部分地)验证车辆控制系统的架构的安全性。上述逻辑架构也可以根据安全分析结果(FTA)的信息来加以构建。由此,可以验证以满足安全分析结果的要件的方式设定的架构是否真的可以对应安全分析结果。进一步地,车辆控制系统验证装置验证供配置有逻辑架构的物理架构是否满足逻辑架构所要求的安全度及多重性。由此,不仅可以验证逻辑架构上的安全性,还可以验证物理架构上的安全性。此外,例如在安全分析结果为FTA时,判定在将与FTA中的多个事件相对应的逻辑架构的安全性验证的结果和物理架构的安全性验证的结果套入FTA时是否会发生顶事件,由此,可以有效地评价所设计的架构是否恰当。
此外,本揭示的车辆控制系统验证装置对物理架构(例如包含多个物理部件和网络)进行定量评价。具体而言,算出将逻辑架构配置在物理部件上的时候的多个物理部件的使用率和网络的占用率,由此可以进行物理架构的定量评价。
(ii)作为定量评价的别的形态,本揭示的车辆控制系统验证装置针对FTA的多个事件中的各方、根据对应于各事件的逻辑架构的逻辑功能的参数即故障率和检测率来算出该逻辑功能的残留故障率,并将该对应于各事件的逻辑功能的残留故障率运用于FTA来算出顶事件的残留故障率。由此,可以提供即便在安全功能恰当的情况下也发生顶事件(例如有危险性的故障)的概率。继而,可以根据该结果来考察是否需要进一步改良架构(降低故障率、提升检测率)。
(iii)本揭示的车辆控制系统验证装置检查各逻辑功能是否对应于表示发生异常时逻辑架构应实现的控制内容的安全控制模式而协作进行动作。例如,在安全控制模式为安全停止的情况下,检查具有检测异常的功能的安全功能、检测异常的对象主功能以及具有切换功能的安全功能是否协作进行动作。此外,在安全控制模式为功能继续的情况下,检查具有检测异常的功能的安全功能、检测异常的对象主功能、具有进行替代控制的功能的安全功能以及具有切换功能的安全功能是否协作进行动作。由此,可以对架构中的安全功能的协作进行验证。此外,可以对与各安全控制模式的种类相应的功能协作进行验证。
(iv)本揭示的车辆控制系统验证装置也可以配置在车辆控制系统的物理架构内。在该情况下,车辆控制系统验证装置获取从外部输入的车辆控制系统的逻辑架构及物理架构的信息和安全分析结果的信息,根据这些信息对架构的安全性进行验证。例如,针对逻辑架构而验证其是否具有对应于安全分析结果(FTA)的逻辑功能(安全功能)。针对物理架构而验证是否满足所要求的安全度及多重性。
如此,通过在车辆控制系统内安装该车辆控制系统验证装置,例如在改写了控制程序这样的情况下也能验证车辆控制系统的安全性。
(v)本揭示的实施方式也可以通过实现其功能的软件的程序代码来实现。在该情况下,将记录有程序代码的存储介质提供给系统或装置,该系统或装置的电脑(或CPU、MPU)读出存储介质中存储的程序代码。在该情况下,由从存储介质读出的程序代码自身实现前文所述的实施方式的功能,该程序代码自身以及存储它的存储介质构成本发明。作为这种用以供给程序代码的存储介质,例如使用软盘、CD-ROM、DVD-ROM、硬盘、光盘、磁光盘、CD-R、磁带、非易失性存储卡、ROM等。
此外,也可由在电脑上运行的OS(操作系统)等根据程序代码的指示来进行实际的处理的一部分或全部,通过该处理来实现前文所述的实施方式的功能。进而,也可将从存储介质读出的程序代码写入至电脑上的存储器,之后由电脑的CPU等根据该程序代码的指示来进行实际的处理的一部分或全部,通过该处理来实现前文所述的实施方式的功能。
进一步地,也可经由网络来发送实现实施方式的功能的软件的程序代码,由此将其存储至系统或装置的硬盘、存储器等存储单元或者CD-RW、CD-R等存储介质中,使用时,由该系统或装置的电脑(或CPU、MPU)读出并执行该存储单元、该存储介质中存储的程序代码。
最后,须了解,此处所述的过程及技术在本质上与任何特定装置都不相关,通过任何合适的组件的组合都能实现。进而,可以按照此处记述的讲授来使用通用目的的多种类型的装置。要执行此处所述的方法的步骤,也许构建专用装置较为有益。此外,可以通过实施方式中揭示的多个构成要素的适当的组合来形成各种发明。例如,可从实施方式中展示的所有构成要素当中去掉若干构成要素。进而,也可酌情组合跨及不同实施方式的构成要素。本揭示是与具体例相关联来进行的记述,但这些具体例在所有观点下都是为了说明而非限定。本领域技术人员当了解存在适合实施本揭示的硬件、软件及固件的大量组合。例如,记述的软件可以通过汇编程序、C/C++、perl、Shell、PHP、Java(注册商标)等广大范围的程序或脚本语言来安装。
进而,在上述实施方式中,控制线、信息线展示的是认为说明上需要的部分,在产品上未必展示了所有控制线、信息线。也可所有构成都相互连接在一起。
此外,具有本技术领域的通常的知识的人根据此处揭示的本揭示的说明书及实施方式的考察将会明了本揭示的其他安装。所记述的实施方式的多种形态及/或组件可以单独使用,也可以任意组合使用。说明书和具体例只是典型,本揭示的范围和构思示于权利要求书。
符号说明
1车辆系统、2车辆控制系统、3通信装置、4车辆控制系统、5驱动装置、6识别装置、7输出装置、8输入装置、9通知装置、20物理架构、100车辆控制系统验证装置、101功能配置部、102安全性验证部、103架构定量评价部、300物理架构、301网络链路、302ECU、401处理器、402I/O设备、403计时器、404ROM、405RAM、406内部总线、601逻辑架构、602综合识别部、603自动驾驶控制部、604用户输入部、605输出管理部、606通知管理部、607异常检测部、608切换部、609运动控制部、610安全控制部、900安全分析信息、901顶事件、902门、903事件。
Claims (10)
1.一种车辆控制系统验证装置,其特征在于,具备:
存储设备,其存储用以验证车辆控制系统的逻辑架构的安全性的程序;以及
处理器,其从所述存储设备读入所述程序来验证所述逻辑架构的安全性,
所述处理器执行第1验证处理,所述第1验证处理根据给出的安全分析结果的信息来验证所述逻辑架构是否具有对应于所述安全分析结果的逻辑功能,
所述逻辑架构配置在所述车辆控制系统的物理架构上,
所述安全分析结果的信息是以树结构来表示多个事件的发生与作为最终结果的顶事件的发生的关系的FTA,
所述处理器在判定会发生所述顶事件的情况下,进而执行进行所述物理架构的定量评价的处理,在进行所述定量评价的处理中,所述处理器执行如下处理:
针对所述多个事件中的各方、根据对应于各事件的所述逻辑架构的逻辑功能的参数即故障率和检测率来算出该逻辑功能的残留故障率;以及将所述算出的对应于各事件的逻辑功能的残留故障率运用于所述FTA来算出所述顶事件的残留故障率。
2.根据权利要求1所述的车辆控制系统验证装置,其特征在于,
所述逻辑架构是根据所述安全分析结果的信息来构建的。
3.根据权利要求1所述的车辆控制系统验证装置,其特征在于,
所述处理器进而执行第2验证处理,所述第2验证处理验证所述物理架构是否满足所述逻辑架构所要求的安全度及多重性。
4.根据权利要求3所述的车辆控制系统验证装置,其特征在于,
所述处理器进而执行如下处理:
判定处理,判定在将与所述FTA中的所述多个事件相对应的所述第1验证处理的结果和所述第2验证处理的结果套入所述FTA时是否会发生所述顶事件;以及
输出处理,输出所述判定处理的结果。
5.根据权利要求1所述的车辆控制系统验证装置,其特征在于,
所述物理架构包含多个物理部件和网络,
在进行所述定量评价的处理中,所述处理器算出将所述逻辑架构配置在所述物理部件上的时候的所述多个物理部件的使用率和所述网络的占用率,由此进行所述物理架构的定量评价。
6.根据权利要求1所述的车辆控制系统验证装置,其特征在于,
所述处理器进而执行如下处理:获取表示所述车辆控制系统发生异常时所述逻辑架构应实现的控制内容的安全控制模式的信息,检查与所述安全控制模式相对应的所述逻辑架构的各逻辑功能是否协作进行动作。
7.根据权利要求6所述的车辆控制系统验证装置,其特征在于,
所述逻辑架构的逻辑功能由用以在所述车辆控制系统中实现规定功能的主功能和用以应对所述车辆控制系统的异常的安全功能构成,
在检查所述逻辑功能的协作动作时,在所述安全控制模式为安全停止的情况下,所述处理器判定所述逻辑架构中是否构建有具有检测异常的功能的安全功能、检测异常的对象主功能以及具有切换功能的安全功能的协作。
8.根据权利要求6所述的车辆控制系统验证装置,其特征在于,
所述逻辑架构的逻辑功能由用以在所述车辆控制系统中实现规定功能的主功能和用以应对所述车辆控制系统的异常的安全功能构成,
在检查所述逻辑功能的协作动作时,在所述安全控制模式为功能继续的情况下,所述处理器判定所述逻辑架构中是否构建有具有检测异常的功能的安全功能、检测异常的对象主功能、具有进行替代控制的功能的安全功能以及具有切换功能的安全功能的协作。
9.一种车辆控制系统,其特征在于,
具备根据权利要求1所述的车辆控制系统验证装置,
所述车辆控制系统验证装置配置在构成所述车辆控制系统的物理架构的物理部件中,
所述车辆控制系统验证装置根据输入的所述车辆控制系统的所述逻辑架构及所述物理架构的信息和所述安全分析结果的信息,来验证所述逻辑架构是否具有对应于所述安全分析结果的逻辑功能。
10.一种车辆控制系统验证方法,其用以验证车辆控制系统的架构的安全性,该车辆控制系统验证方法的特征在于,包含如下内容:
处理器获取输入的所述车辆控制系统的逻辑架构及物理架构;
所述处理器获取输入的安全分析结果的信息;以及
所述处理器从存储设备至少读入用以验证所述逻辑架构的安全性的程序,根据所述安全分析结果的信息来验证所述逻辑架构是否具有对应于所述安全分析结果的逻辑功能,
所述安全分析结果的信息是以树结构来表示多个事件的发生与作为最终结果的顶事件的发生的关系的FTA,
所述处理器在判定会发生所述顶事件的情况下,进而执行进行所述物理架构的定量评价的处理,在进行所述定量评价的处理中,所述处理器执行如下处理:
针对所述多个事件中的各方、根据对应于各事件的所述逻辑架构的逻辑功能的参数即故障率和检测率来算出该逻辑功能的残留故障率;以及将所述算出的对应于各事件的逻辑功能的残留故障率运用于所述FTA来算出所述顶事件的残留故障率。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016090200A JP6864992B2 (ja) | 2016-04-28 | 2016-04-28 | 車両制御システム検証装置及び車両制御システム |
JP2016-090200 | 2016-04-28 | ||
PCT/JP2017/015067 WO2017187997A1 (ja) | 2016-04-28 | 2017-04-13 | 車両制御システム検証装置、車両制御システム、及び車両制御システム検証方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109074299A CN109074299A (zh) | 2018-12-21 |
CN109074299B true CN109074299B (zh) | 2021-12-14 |
Family
ID=60161666
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201780011147.2A Active CN109074299B (zh) | 2016-04-28 | 2017-04-13 | 车辆控制系统验证装置、车辆控制系统以及车辆控制系统验证方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US11151076B2 (zh) |
EP (1) | EP3451174B1 (zh) |
JP (1) | JP6864992B2 (zh) |
CN (1) | CN109074299B (zh) |
WO (1) | WO2017187997A1 (zh) |
Families Citing this family (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3279830B1 (en) * | 2016-08-02 | 2020-10-28 | Veoneer Sweden AB | A vision system and method for a motor vehicle |
DE102017010716A1 (de) * | 2017-11-10 | 2019-05-16 | Knorr-Bremse Systeme für Nutzfahrzeuge GmbH | System zum wenigstens teilautonomen Betrieb eines Kraftfahrzeugs mit doppelter Redundanz |
JP6979338B2 (ja) * | 2017-11-20 | 2021-12-15 | 三菱航空機株式会社 | 配線構造の安全性評価システム |
WO2019208624A1 (ja) * | 2018-04-25 | 2019-10-31 | 日本電気通信システム株式会社 | 車載用通信装置、車両内通信システム、通信方法及びプログラム |
CN109885870A (zh) * | 2019-01-09 | 2019-06-14 | 同济大学 | 一种用于自动驾驶汽车预期功能安全的验证方法及系统 |
CN111835627B (zh) * | 2019-04-23 | 2022-04-26 | 华为技术有限公司 | 车载网关的通信方法、车载网关及智能车辆 |
CN111246422A (zh) * | 2020-01-06 | 2020-06-05 | 新石器慧通(北京)科技有限公司 | 一种车载系统热启动切换方法 |
CN113377573A (zh) * | 2020-03-10 | 2021-09-10 | 北京京东乾石科技有限公司 | 一种自动驾驶车辆的异常处理方法、装置、设备和存储介质 |
KR20210152125A (ko) * | 2020-06-08 | 2021-12-15 | 주식회사 만도모빌리티솔루션즈 | 프로세스 검사 장치 및 방법과, 전자 제어 장치 |
EP3975455A1 (en) * | 2020-09-23 | 2022-03-30 | Bayerische Motoren Werke Aktiengesellschaft | Determining correctness of actually received timestamp |
CN112462731B (zh) * | 2020-10-16 | 2022-06-24 | 北京西南交大盛阳科技股份有限公司 | 安全监督控制方法、安全监督控制装置、计算机设备及安全监督系统 |
CN112910850A (zh) * | 2021-01-16 | 2021-06-04 | 浙江吉利控股集团有限公司 | 一种控制车辆的安全验证方法及系统 |
EP4087293A1 (en) * | 2021-05-06 | 2022-11-09 | Robert Bosch GmbH | Methods and devices for radio communication |
WO2023276569A1 (ja) * | 2021-06-28 | 2023-01-05 | 株式会社デンソー | 移動体の制御システム、プログラム |
CN115220421B (zh) * | 2022-06-02 | 2024-05-14 | 智己汽车科技有限公司 | 一种自动驾驶系统在环的故障树分析和验证方法及设备 |
CN115150437B (zh) * | 2022-09-01 | 2022-11-29 | 国汽智控(北京)科技有限公司 | 应用于车辆的自动驾驶系统的节点部署方法、装置及设备 |
CN115694707B (zh) * | 2022-12-27 | 2023-04-11 | 北京理工大学深圳汽车研究院(电动车辆国家工程实验室深圳研究院) | 一种基于业务识别的汽车区系统及实时同步调度方法 |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6892317B1 (en) * | 1999-12-16 | 2005-05-10 | Xerox Corporation | Systems and methods for failure prediction, diagnosis and remediation using data acquisition and feedback for a distributed electronic system |
DE112004001617D2 (de) * | 2003-06-24 | 2006-05-11 | Bosch Gmbh Robert | Verfahren zur Überprüfung der Sicherheit und Zuverlässigkeit softwarebasierter elektronischer Systeme |
EP1555587B1 (en) | 2004-01-13 | 2011-06-01 | Renault S.A.S. | Design of safety critical system |
US8265100B2 (en) * | 2005-06-28 | 2012-09-11 | Wilfried Steiner | Safe start-up of a network |
DE602007010039D1 (de) * | 2007-02-16 | 2010-12-02 | Freescale Semiconductor Inc | System und rechnerprogrammprodukt zum testen einer logischen schaltung |
US20090012631A1 (en) * | 2007-07-03 | 2009-01-08 | Dale Fuller | Automation safety life cycle |
US8060347B2 (en) * | 2008-07-29 | 2011-11-15 | Mentor Graphics Corporation | Complexity management for vehicle electrical/electronic architecture design |
JP5480033B2 (ja) * | 2010-06-23 | 2014-04-23 | 行政院原子能委員會核能研究所 | 原子力発電プラント用コンピュータ支援トップ論理によるリスクの定量的評価方法。 |
CN102169458A (zh) * | 2011-04-18 | 2011-08-31 | 华东师范大学 | 汽车电控部件的软件正确性验证系统及其验证方法 |
US9058419B2 (en) * | 2012-03-14 | 2015-06-16 | GM Global Technology Operations LLC | System and method for verifying the integrity of a safety-critical vehicle control system |
DE102012215343A1 (de) * | 2012-08-29 | 2014-05-28 | Continental Automotive Gmbh | Verfahren zum Durchführen einer Sicherheitsfunktion eines Fahrzeugs und System zum Durchführen des Verfahrens |
US10180995B2 (en) * | 2013-07-15 | 2019-01-15 | The Boeing Company | System and method for assessing cumulative effects of a failure |
JP6066081B2 (ja) * | 2013-09-03 | 2017-01-25 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | フォールトツリーを生成する装置及び方法 |
US9195232B1 (en) * | 2014-02-05 | 2015-11-24 | Google Inc. | Methods and systems for compensating for common failures in fail operational systems |
US20170147459A1 (en) * | 2014-04-16 | 2017-05-25 | Nec Corporation | Availability analysis device, availability analysis method, and recording medium having availability analysis program recorded therein |
US10061670B2 (en) * | 2015-12-28 | 2018-08-28 | Siemens Aktiengesellschaft | Method and apparatus for automatically generating a component fault tree of a safety-critical system |
-
2016
- 2016-04-28 JP JP2016090200A patent/JP6864992B2/ja active Active
-
2017
- 2017-04-13 WO PCT/JP2017/015067 patent/WO2017187997A1/ja active Application Filing
- 2017-04-13 US US16/086,666 patent/US11151076B2/en active Active
- 2017-04-13 CN CN201780011147.2A patent/CN109074299B/zh active Active
- 2017-04-13 EP EP17789284.1A patent/EP3451174B1/en active Active
Also Published As
Publication number | Publication date |
---|---|
CN109074299A (zh) | 2018-12-21 |
WO2017187997A1 (ja) | 2017-11-02 |
EP3451174B1 (en) | 2022-08-10 |
JP2017199229A (ja) | 2017-11-02 |
EP3451174A1 (en) | 2019-03-06 |
US11151076B2 (en) | 2021-10-19 |
EP3451174A4 (en) | 2019-12-18 |
JP6864992B2 (ja) | 2021-04-28 |
US20190108160A1 (en) | 2019-04-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109074299B (zh) | 车辆控制系统验证装置、车辆控制系统以及车辆控制系统验证方法 | |
JP6805559B2 (ja) | リプログマスタ | |
US10332322B2 (en) | Systems and methods for vehicle-to-vehicle communication | |
JP6414568B2 (ja) | 車両用装置 | |
US11107300B2 (en) | Driving management system, vehicle, and information processing method | |
JP6856100B2 (ja) | リプログマスタ | |
WO2019142458A1 (ja) | 車両監視装置、不正検知サーバ、および、制御方法 | |
US10459446B2 (en) | Autonomous operation verification device and autonomous system | |
CN103488161B (zh) | 用于ecu任务重构的系统和方法 | |
US11220288B2 (en) | Method and device for the control of a safety-relevant process and transportation vehicle | |
CN110214312A (zh) | 共享备用单元和控制系统 | |
CN105981336A (zh) | 不正常检测电子控制单元、车载网络系统以及不正常检测方法 | |
CN108351822A (zh) | 处理装置及车辆控制系统 | |
CN112840282A (zh) | 异常检测方法以及异常检测装置 | |
KR20190119514A (ko) | 차량용 온보드 사이버보안진단 시스템, 전자 제어 장치 및 그것의 동작 방법 | |
WO2022133997A1 (zh) | 控制方法、监控方法、电子控制单元、控制器和控制系统 | |
CN103253273A (zh) | 车辆的安全运行 | |
SE541828C2 (en) | Method and control arrangement for prediction of malfunction of a wheel bearing unit of an axle in a vehicle | |
JP2014031077A (ja) | 車両動作検証システム | |
CN110574027B (zh) | 车辆控制系统验证方法及验证装置以及控制装置 | |
CN110466450B (zh) | 汽车安全检测系统 | |
US20230192139A1 (en) | Method and system for addressing failure in an autonomous agent | |
KR20200058194A (ko) | 차량의 v2x 검사 단말기 및 그 방법 | |
WO2023272570A1 (zh) | 电子控制单元ecu更新的方法、ecu和终端 | |
Ismail et al. | ISO 26262 automotive functional safety: issues and challenges |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: Ibaraki Applicant after: Hitachi astemo Co.,Ltd. Address before: Ibaraki Applicant before: HITACHI AUTOMOTIVE SYSTEMS, Ltd. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |