CN110574027B - 车辆控制系统验证方法及验证装置以及控制装置 - Google Patents
车辆控制系统验证方法及验证装置以及控制装置 Download PDFInfo
- Publication number
- CN110574027B CN110574027B CN201880025695.5A CN201880025695A CN110574027B CN 110574027 B CN110574027 B CN 110574027B CN 201880025695 A CN201880025695 A CN 201880025695A CN 110574027 B CN110574027 B CN 110574027B
- Authority
- CN
- China
- Prior art keywords
- architecture
- physical
- logical
- function
- verification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F1/00—Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
- G06F1/04—Generating or distributing clock signals or signals derived directly therefrom
- G06F1/14—Time supervision arrangements, e.g. real time clock
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F30/00—Computer-aided design [CAD]
- G06F30/30—Circuit design
- G06F30/32—Circuit design at the digital level
- G06F30/33—Design verification, e.g. functional simulation or model checking
- G06F30/3308—Design verification, e.g. functional simulation or model checking using simulation
- G06F30/3312—Timing analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/20—Software design
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40267—Bus for use in transportation systems
- H04L2012/40273—Bus for use in transportation systems the transportation system being a vehicle
Abstract
本发明根据逻辑架构配置到物理架构时被转换的参数、根据物理元件内的编制性来判定车辆控制系统架构中的控制成立性,由此高效地进行判定。本发明包含:配置部(101),其将包含各逻辑功能的协作和该协作的执行时间制约的逻辑架构(601)配置到物理架构(300);延迟时间计算部(104),其根据逻辑架构(601)配置到物理架构(300)时被转换的参数对处理延迟时间进行计算;以及验证部(102),其验证处理延迟时间的总和是否满足执行时间制约。
Description
技术领域
本发明涉及车辆控制系统验证方法及验证装置以及控制装置。
背景技术
作为本技术领域的背景技术,有日本专利特开2006-012008号公报(专利文献1)。该公报以“提供一种使用具有理想时钟条件和传播时钟条件这两种模式的定时模型来高效地进行包含功能块的LSI的设计的方法”为课题,并记载了如下内容作为解决方案:“一种LSI设计方法,所述LSI使用包含多个触发器的功能块,该LSI设计方法的特征在于,包含如下步骤:准备第1模式和第2模式下可使用的定时模型的步骤;进行包含1个或多个功能块的功能要素的功能设计的步骤;在第1模式下使用功能块的定时模型对功能设计中定下的功能要素进行逻辑合成;在第1模式下使用定时模型对逻辑合成得到的功能要素进行第1定时解析的步骤;根据逻辑合成和第1定时解析的结果来进行布局的步骤;以及布局后在第2模式下使用定时模型来进行第2定时解析的步骤”。
作为另一背景技术,有日本专利特开平10-340292号公报(专利文献2)。该公报以“提供一种在半导体集成电路的设计中,削减包含为了满足定时制约而产生的逻辑设计的布局设计的重复流程,从而谋求设计时间的缩短的布局方法”为课题,并记载了如下内容作为解决方案:“在进行在基底基板上配置由多个晶体管构成的逻辑功能单位的单元、利用信号线路将单元间连接的半导体集成电路的布局时,在配置处理中,针对构成对于给出的最大延迟时间的要求没有延迟时间裕度或者延迟时间裕度较少的信号通过序列的单元,在考虑延迟时间裕度增大的程度和高密度化的基础上自动选择执行线路改善处理和将单元替换为在逻辑上等价且驱动能力不同的单元的单元替换处理”。
现有技术文献
专利文献
专利文献1:日本专利特开2006-012008号公报
专利文献2:日本专利特开平10-340292号公报
发明内容
发明要解决的问题
在上述背景技术中,记载了将逻辑功能配置到物理元件的情况下的延迟时间的运算方法、改善部分的自动选择的方法等,但针对功能配置选择大量候选的情况等所需的运算的效率方法未作叙述,进而,对安全功能等在系统上需满足的功能及其以外的功能使用不同判定方法等未作记载。
尤其是控制成立性,在逻辑架构及物理架构的最佳设计及最佳配置中,需要从无数组合当中选定及设计满足控制成立性的架构。在该情况下,在通过对上述各逻辑功能在物理元件上的动作进行模拟等来验证大量组合、动作模式的内容中,存在对一个组合的运算耗费较多时间、导致最佳设计耗费的时间增多这一问题。
本发明是鉴于上述状况而做出的,提供一种实现将逻辑功能配置到物理元件的情况下的高效的控制成立性的判定方法和满足安全相关的要件用的判定方法的系统。
解决问题的技术手段
为了解决上述问题,本发明的一实施的形态例如使用权利要求书记载的技术思想即可。
发明的效果
根据本发明,可以提供一种实现将逻辑功能配置到物理元件的情况下的高效的控制成立性的判定方法和满足安全相关的要件用的判定方法的系统。
附图说明
图1为车辆控制系统验证装置。
图2为系统的例子。
图3为物理架构的例子。
图4为控制器的构成例。
图5为物理架构的参数的例子。
图6为逻辑架构的例子。
图7为逻辑架构的参数的例子。
图8为将逻辑架构配置到物理架构的例子。
图9为安全性验证的处理流程。
图10为时间要件表格的例子。
图11为基准得分的例子。
图12为本发明的第1实施例的架构评价结果的显示例。
图13为本发明的第3实施例的架构评价结果的显示例。
图14为本发明的第4实施例的车辆控制系统。
图15为架构构成信息的例子。
具体实施方式
下面,对适于本发明的实施方式的例子(实施例)进行说明。本实施例主要对车辆控制系统的验证装置进行说明,适于车辆系统的验证中的实施,但并不妨碍对此以外的运用。
实施例1
<车辆控制系统验证装置>
图1示出车辆控制系统验证装置的整体。车辆控制系统验证装置100由功能配置部101、安全性验证部102、架构定量评价部103、延迟时间计算部104、控制成立性判定部105构成。
功能配置部(配置部)101以逻辑架构601和物理架构20为输入,如功能配置的例子那样将逻辑架构配置到物理架构上。
安全性验证部(验证部)102以功能配置后的架构及其参数为输入,按照安全性验证的流程进行安全性的验证,输出安全性验证的OK或者NG及NG的情况下的理由。
架构定量评价部103接收所述验证结果,主要对安全性验证为OK的架构进行评价,并输出评价结果。以如此方式实施车辆控制系统的验证及评价。
延迟时间计算部104在功能配置后根据尤其是安全性验证中判定为OK的架构的信息来实施后文叙述的延迟时间计算。控制成立性判定部105根据延迟时间计算部104的计算结果和架构的信息来进行控制成立性判定,输出OK或者NG及其评价结果。
逻辑架构、物理架构、功能配置、安全性验证的内容将于后文叙述。
<车辆控制系统的构成>
展示进行评价的车辆控制系统的构成。图2为具有车辆控制系统及车辆控制装置的车辆系统的概要。下面,对图示的各符号进行说明。
1为汽车等在内部具有车辆控制系统的车辆系统。
2例如为由车载网络(CAN:Controller Area Network、CANFD:CAN with FlexibleData-rate、Ethernet(注册商标)等)和控制器(ECU:Electronic Control Unit等)构成的车辆控制系统。
3是与车辆系统1的外部进行无线通信(例如使用手机的通信、无线LAN、WAN、C2X(Car to X:车辆对车辆或者车辆对基础设施通信)等协议的通信、或者使用GPS:GlobalPositioning System的通信)而实施外界(基础设施、其他车辆、地图)的信息或者与自身车辆相关的信息的获取、发送等无线通信、或者具有诊断端子(OBD)、Ethernet端子、外部记录介质(例如USB存储器、SD卡等)端子等而与车辆控制系统2实施通信的通信装置。
4例如为由使用了与2不同或相同的协议的网络构成的车辆控制系统。
5为按照车辆控制系统2的控制来进行控制车辆运动的机械及电气装置(例如发动机、变速器、车轮、制动器、操舵装置等)的驱动的执行器等驱动装置。
6为由用于获取从外界输入的信息并输出生成信息的信息的相机、雷达、LIDAR、超声波传感器等外界传感器以及识别车辆系统1的状态(运动状态、位置信息、加速度、轮速等)的力学系传感器构成的识别装置。
7为通过有线或无线连接至网络系统而接收从网络系统送出的数据、显示或输出消息信息(例如影像、声音)等必要信息的液晶显示器、警告灯、扬声器等输出装置。
8是生成用户对车辆控制系统2输入操作的意图、指示的输入信号用的例如方向盘、踏板、按钮、拨杆、触控面板等输入装置。
9是用于车辆系统1对外界通知车辆的状态等的灯、LED、扬声器等通知装置。
车辆控制系统2与其他的车辆控制系统4、无线通信部3、驱动装置5、识别装置6、输出装置7、输入装置8、通知装置9等连接,分别进行信息的收发。
<物理架构>
图3示出了车辆控制系统2的物理架构例。物理架构300也称为H/W(Hardware)构成。301为连接车载网络上的网络装置的网络链路,例如表示CAN总线等网络链路,302表示连接于网络链路301以及驱动装置5、识别装置6、301以外的网络链路(包括专线)而进行驱动装置5、识别装置6的控制及信息获取、与网络的数据收发的ECU(Electronic ControlUnit:电子控制单元)。ECU还起到连接多个网络链路301、与各网络链路进行数据的收发的网关(以下记作GW)的作用。
关于网络拓扑的例子,除了图3所示的2个总线上连接有多个ECU的总线型的例子以外,还有多个ECU直接连接至GW的星型、ECU呈环状连接于一系列链路的链路型、各类型混存而由多种网络构成的混存型等。ECU 302基于从网络接收到的数据来进行向驱动装置5的控制信号的输出、来自识别装置6的信息的获取、向网络的控制信号及信息的输出、内部状态的变更等控制处理。
以下,将ECU 302、网络301以及ECU内的处理器也称为“物理元件”。
图4为ECU 302的内部构成的一例。401表示具有缓存器、寄存器等存储元件而执行控制的CPU等处理器(运算装置),402表示对网络链路301或者由网络、专线连接在一起的驱动装置5或/及识别装置6进行数据的收发的I/O(Input/Output),403表示使用未图示的时钟等来进行时间及时刻的管理的计时器,404表示保存程序及非易失性数据的ROM(ReadOnly Memory),405表示保存程序及易失性数据的RAM(Random Access Memory),406表示用于ECU内部的通信的内部总线。后文叙述的逻辑功能在处理器401中执行。
<物理架构的参数>
图5的A示出了对物理架构的物理元件(ECU、处理器)赋予的参数。作为参数,有运算性能、RAM量、ROM量、成本,从而用于架构的评价。
作为安全性相关的参数,有作为硬件可以应对的安全度。作为例子,有ASIL、QM等。关于多重度,例如在利用双重系统也能应对1系统的故障的情况下设为2(多重度的数量)。故障率是输入所述物理元件的故障概率来作为使用于安全验证的参数。诊断率是物理元件具有的功能(例如微电脑诊断等)的诊断的覆盖范围。
在ECU的内部配置有微电脑的情况下,在验证时对ECU、处理器中的任一方赋予参数,并使用这任一方的参数。在对ECU和微电脑双方赋予了参数的情况下,考虑到安全性,将输出更差的结果的参数(例如ASIL上较低的值)用于验证,由此,不会再误给出较高的验证结果,从而能确保作为整体的安全性。
此外,对网络赋予的参数示于图5的B。网络有通信速度、成本、多重度(通信线的冗余度)等参数。
<逻辑架构>
图6示出了车辆控制系统的逻辑架构例。
601表示车辆控制系统的逻辑架构整体。
602是制作从多个识别装置6及通信装置3输出的外界识别信息统合而得的外界识别图谱的统合识别部。
603是根据由统合识别部602生成的外界识别图谱以及从用户输入部604输入的用户输入来进行自动驾驶控制信息(轨道等)的生成及输出、向输出管理部605的输出指示、以及向通知管理部606的通知指示的自动驾驶控制部。
604是按照来自输入装置8的输入来生成用户的指示信息的用户输入部。
605是根据自动驾驶控制部603及异常检测部607的输出来进行对输出装置7的输出指示的输出管理部。
606是根据自动驾驶控制部603及异常检测部607的输出来进行对通知装置9的通知指示的通知管理部。
607是根据来自自动驾驶控制部603的自动驾驶控制信息等通知或者来自未图示的各部的通知来检测异常的异常检测部。
608是根据异常检测部607的异常检测结果等、将对运动控制部609的输出切换至来自自动驾驶控制部603的输入或者来自用户输入部604的输入或者安全控制部610的输入的切换部。
609是按照来自切换部608的轨道信息或运动控制信息、从识别装置6获取的车辆系统1的状态、以及来自驱动装置5的应答对多个驱动装置5进行控制的运动控制部。
610是实施收到异常检测的通知的情况下的控制的安全控制部。
在该例中,将平时进行主要控制的功能称为主功能,此处符合的有602、603、604、605、606、609。此外,将在异常的检测中以及异常发生后进行主要控制的功能称为安全功能,符合的有607、608、610。
<逻辑架构的参数>
图7示出了逻辑架构的参数例。图7的A是对主功能赋予的参数,逻辑功能的类型被用于主功能、安全功能的判定,执行时间(某一执行环境下的)、控制周期(执行周期)、功能的执行优先度、消耗RAM、消耗ROM主要用于架构的评价。
图7的B是对安全功能赋予的参数,逻辑功能的类型、执行时间(某一执行环境下的)、控制周期、功能的执行优先度、消耗RAM、消耗ROM与主功能等同样地加以使用。
要求安全度是相应安全功能所要求的安全度,例如赋予QM或ASIL而要求相应安全度下的安全功能执行。
独立性要求针对相应安全功能而记载有在故障发生时不应同时故障的功能的逻辑功能名称。这是用于防止例如安全功能和主功能同时故障,结果无法进行安全控制的共通原因故障、从属故障等设计的参数。
执行时间(某一执行环境下的)是针对特定的执行环境下已执行的时间、由各逻辑功能以参数的形式加以保持。所谓执行环境,例如为微电脑的类别、动作频率等。保持有这些执行环境下的执行时间,并计算物理配置时的执行时间。因此,执行时间有可能针对每一执行环境而具有多个。关于执行时间,有时因测定的方法而存在乐观的或悲观的这2种情况,所谓乐观的,例如有平均值、众数、中值等,所谓悲观的,有最坏值、加入了裕度或安全度的平均值等,此处,悲观的值为乐观的值以上。
图7的C为针对逻辑连接的参数,表示相应信道上的通信量。它被用于架构定量评价。
<功能配置例>
图8示出了逻辑架构在物理架构中的配置例。如此,将逻辑架构上的逻辑功能配置在物理架构上。由此,决定哪一逻辑功能的处理在哪一物理元件(ECU、微电脑)上实施、在网络上的通信中处理何种数据。
在逻辑功能间因网络而有多个路径的情况下,例如选择其中成本(通信频带、跳数)最小的路径等来实施效率较佳的通信。
关于功能配置,例如也实施前文所述的逻辑架构在物理架构中的网罗性配置。例如,针对逻辑架构的所有逻辑功能(La、Lb、Lc、...)而对物理架构的所有元件(Pa、Pb、Pc、...)以所有组合进行配置。例如,首先将全部的逻辑功能汇集至Pa,接着对Pb仅配置一个逻辑功能(例如La),除此以外全部配置到Pa,以如此方式依序实施。通过以所有组合进行配置并评价各配置,可以实现最佳架构的选择。
<安全性验证>
图9示出了安全性验证的处理流程。在安全性验证中,首先对功能配置后的架构实施后文叙述的安全要件验证(S901)。在安全要件的验证结果为OK的情况下(S902的是),输出OK作为结果并结束处理(S903)。在安全要件的验证结果为NG的情况下(S902的否),输出NG结果以及哪一安全要件的验证为NG。以如此方式实施安全性的验证。
<安全要件验证>
在安全要件验证的例子中,判定相应安全功能在物理架构中的配置目标中是否满足安全度、多重度的要件。就安全度而言,在相应安全功能的参数中的要求安全度的值比配置目标物理元件的应对安全度更小或相等的情况下判定为OK。具体而言,在安全功能的要求安全度为ASIL-C时,在配置目标物理元件的应对安全度为ASIL-C或以上(ASIL-D等)的情况下判定为OK。就多重度而言,在相应安全功能的参数中的多重度的值比配置目标物理元件的多重度更小或相等的情况下判定为OK。具体而言,在安全功能的多重度为2时,在配置目标物理元件的多重度为2以上的情况下判定为OK。以如此方式进行整体上的安全要件的验证。
<时间要件>
图10示出了对逻辑架构赋予的时间要件的例子。此处,1000表示时间要件表格整体,1001表示要件的ID,1002表示时间要件的类别,1003表示制约时间,1004表示要求时间要件的逻辑功能的通路。
要件的类别例如为了区分主功能(NF)与安全功能(SM)而加以使用。此外,制约时间表示各时间要件的输入起到输出为止的时间的制约,表示在制约时间以内实施输入起到输出为止的处理这一制约。
此处,功能通路展示了运用逻辑架构601中的上述时间制约的功能通路。ID 1的例子展示了从识别装置6经由逻辑通路L1(示于601)到统合识别部602、从统合识别部602经由逻辑通路L2到自动驾驶控制部603、之后同样的路径相关的功能通路。上述时间制约表示经由该功能通路、在ID 1的例子中是从识别装置6的输入起到输出到达驱动装置5为止的时间制约。
<延迟时间计算>
下面,对延迟时间计算部104中实施的、逻辑功能配置到物理元件的情况下的延迟时间的计算方法进行说明。
首先,在第一例中,针对各逻辑功能的执行时间、对各逻辑功能预先分配好物理元件的运算性能(例如动作频率:MHz)下的执行时间,利用与配置目标物理元件的运算性能的比进行再计算。例如,对于某一逻辑功能,在执行环境为物理元件A的运算性能400MHz下执行时间TA为1ms时,在配置到不同的物理元件B的运算性能800MHz下的情况下,执行时间TB如下。
[数式1]
如此,在运算性能不同的物理元件中的配置中对于逻辑功能所引起的延迟时间进行再计算。
此外,在另一例中,根据物理元件的处理器的基准得分和逻辑功能的类型(例如普通运算、高精度运算、大容量数据运算)来计算延迟时间。其原因在于,运算时间不仅会根据动作频率而变动,还会根据执行的逻辑功能的类型、物理元件内部的运算装置的构成(例如物理元件的处理器中的高精度运算用加速器的有无、数据缓存器的有无等)而发生运算结果的变动。该情况下所使用的基准得分的例子示于图11。此处,延迟时间计算部104针对运算的逻辑功能的每一类型而具有基准得分1100。例如,对于某一逻辑功能,在物理元件A中的执行时间为TA时,在配置到不同物理元件B的情况下,执行时间TB如下。
[数式2]
此外,关于网络上的延迟时间,由于对于网络的运算性能而言逻辑功能的通信量定义了比特率,因此网络上的延迟时间TN可以按照如下方式计算。
[数式3]
<控制成立性判定>
接着,对控制成立性判定部105中实施的控制成立性的判定方法进行说明。关于控制成立性,首先,针对进行了性能换算的逻辑功能的执行时间(延迟时间)判定整体的时间制约是否满足每一逻辑功能的延迟时间下的合计,其后,针对配置到各物理元件的逻辑功能在物理元件内判定占用率是否为基准值以下。
是否满足整体上的控制成立性的判定如下。
[数式4]
此处,MAX表示返回括弧内的最大值的函数。此处,将运算装置中的运算设为运算装置内的逻辑功能的控制周期的最大值的2倍的原因在于,例如在有控制周期为10ms和20ms的逻辑功能、各自从外部接收输入而进行运算并进行输出的情况下,在最坏的情形下,在20ms的逻辑功能刚开始之后便收到数据的输入,到在下一开始时间根据所述输入的数据来进行运算为止会耗费20ms这一周期的2倍。关于10ms的逻辑功能,在下述占用率的计算为基准值以下的情况下,认为会在其周期内进行处理。
此外,网络的延迟时间通过下述计算式进行计算。
[数式5]
上述是不考虑网络上的冲突等的高效运算的情况下的计算式。在网络中,作为网络中流通多个数据的情况下的网络的延迟时间,网络上的可调度性也考虑在内的网络延迟时间的计算式如下。
[数式6]
此处,关于网络的其他逻辑功能的通信量,对进行运算的逻辑功能仅加上优先度较高的逻辑功能的通信量即可。例如对于主功能而言,通过仅加上(优先度更高的)安全功能等,使得安全性的确保变得容易,而且能实现简易的运算。
接着,计算物理元件内的占用率。计算式如下。
[数式7]
此处,在占用率超过1或下述基准值的情况下,在系统上无法充分执行逻辑功能,因此判定为NG。
在占用率为1以下的情况下,例如预先定好系统设计中的基准值(例如0.8以下)、基于单调速率调度的计算式得到的基准值等,若在其以下,则判定为OK。
在经过这些判定而结果判定所有物理元件的占用率都为基准值以下的情况下,判定满足上述时间要件。
此处,对在计算整体上的控制成立性之后判定单个物理元件中的占用率的顺序进行了说明,但也可先判定单个物理元件中的成立性。由此,在设想单个物理元件中的占用率严重的设计的情况下的评价中,将迅速获得判定结果。
<架构定量评价>
在架构定量评价中,在已进行了功能配置的架构中对安全性验证结果为OK的架构进行定量评价。作为定量评价的方法,对配置到物理架构的物理元件的多个逻辑功能的消耗RAM、消耗ROM进行合计,计算物理元件上的使用率。此外,通信也一样,对网络上的逻辑通信的使用量进行合计,计算占用率。此外,在物理架构整体上对在使用的也就是配置有1个以上的逻辑功能的物理元件相关的成本进行合计。通过这些计算,可以实现定量评价。
架构评价结果尤其是控制成立性的评价结果的例子示于图12。此处,作为例子,展示了逻辑架构在物理架构中的配置例和将时间要件表格1000输出至画面等的例子,此处展示的是配置了逻辑功能602及603的物理元件中占用率超过了基准值、结果未满足时间制约的例子。在该例中,展示了强调各自未得到满足的时间要件和其配置的逻辑功能的例子。由此,可以确认未满足控制成立性的架构的要素及其主要原因。
由此,可以一边判定控制成立性一边进行架构的评价。尤其可以在不对所有组合下的可编制性进行判断的情况下通过系统内的设想延迟时间的加法运算和物理元件内的编制性的简易的评价来高效地评价控制成立性,从而选择并评价满足控制成立性的架构。
实施例2
接着,对优先判定与安全关联性能相关的控制成立性的实施例进行说明。与第1实施例的不同点在于,在控制成立性判定部105中优先判定安全关联性能。具体而言,在图10记载的时间要件的例子中,先判定作为安全关联性能的ID 2、ID 3,相较于作为主功能的ID1而言优先进行制约时间的判定。由此,例如对于不满足安全功能的时间要件的架构在该时间点便结束判定,由此,与优先进行主功能的时间判定的情况相比,可以削减判定时间。
此外,物理元件内的控制成立性的判定也是优先判定安全功能。此处,所谓优先,是指即便在安全关联性能的执行时间使用悲观的执行时间、主功能的执行时间使用乐观的执行时间的情况下也要计算占用率未超过基准值。该情况下的计算式如下。
[数式8]
此处,通常,功能A的悲观的执行时间比功能A的乐观的执行时间长。通过确认如此判定的情况下的占用率为容许值以下,与全部都悲观地评价的情况相比,成为OK的模式会增加,而且能够确认即便悲观地看待安全功能的执行执行也不会失败的情况。
此处,关于进行判定的逻辑功能是否为安全功能,除了使用逻辑架构参数的逻辑功能的类型以外,也可判定是否使用了所述逻辑功能来作为从安全分析结果900等输入的安全要件或者从安全验证部102输出的安全要件。由此,即便在逻辑架构参数的逻辑功能的类型上被赋予为安全功能的情况下,经过安全分析,结果也不会将未用作安全功能的功能判定为安全功能,从而能进一步进行基于安全分析结果的判定。
实施例3
接着,对输出用于使架构的改善易于进行的信息作为架构评价结果的实施例进行说明。
首先,对控制周期的改善提案的例子进行说明。在各运算装置中占用率超过1或基准值的情况下,若增加任一逻辑功能的控制周期占用率便不再超过1或基准值,则有可能满足控制成立性。因此,通过以系统形式输出针对所需逻辑功能而延长控制周期的提案,架构的改善将变得易于进行。
在该情况下,在因延长控制周期而不再满足上述时间要件时,改善不妥当。因此,须判定是否能在满足所有时间要件的情况下延长控制周期,在重新估计控制周期后,仅输出控制成立性判定部105中的判定为OK的内容来作为评价结果。输出例示于图13。此处,相应架构的评价结果展示了如下内容:通过将逻辑功能602的控制周期从10ms变更为20ms,可以使占用率变为基准值以下,而且满足时间要件。
该情况下的占用率的计算可以使用式(3)的占用率或者式(4)的安全功能优先占用率这两者。尤其是通过以安全功能优先占用率来进行计算,运算时间较少,而且可以判定安全功能在悲观值下也会被执行的情况。
此外,接着对基于逻辑功能的转移的改善提案的例子进行说明。同样地,在运算装置中的占用率超过1或基准值的情况下,通过将一部分逻辑功能从该运算装置移动至不同运算装置,可以避免占用率超过1或基准值。该情况下的转移目标的候选通过下述计算式导出。
[数式9]
对满足上式的运算装置试行逻辑功能的转移,在再次通过控制成立性判定部105判定的结果为OK的情况下,输出所述转移作为改善提案。图13中同样展示了将逻辑功能603配置到不同ECU的改善提案的例子。
实施例4
接着,对在车辆控制系统内实施所述车辆控制系统验证的例子进行说明。图14示出了本实施例中的车辆控制系统的构成。将图1所示的车辆控制系统验证装置100配置在ECU302中,在车辆控制系统内实施所述验证。
在本实施例中,车辆控制系统验证装置100通过网络301来收集架构信息。图15示出了车辆控制系统验证装置100接收的架构构成信息的例子。
图15的A展示了物理架构构成信息,与各物理元件名(ECU、微电脑)连接在一起的网络名以及图5所示的物理元件的各种参数作为信息而被输入。关于这些信息,是酌情发送多个ECU所具有的信息而供车辆控制系统验证装置100收集信息来构建物理架构信息。
图15的B展示了逻辑架构构成信息,各逻辑功能名称(ID)、所配置的物理元件名(配置位置)、图7记载的逻辑架构的参数作为信息而被输入。这些信息也一样,是酌情发送多个ECU所具有的信息而供车辆控制系统验证装置100收集信息来构建逻辑架构信息。
收集这些信息,实施所述车辆控制系统验证,并将验证结果输出至网络等。由此,可以始终对车辆控制系统的状态实施验证。
对于经网络获取的物理架构构成信息、逻辑架构构成信息,无须接收所有信息,所述车辆控制系统验证装置100可仅接收差分而仅进行差分的更新来进行判定。由此,可以削减通信量。
根据以上说明过的实施例,包含:配置部,其将包含各逻辑功能的协作和该协作的执行时间制约的逻辑架构配置到物理架构;延迟时间计算部,其根据所述逻辑架构配置到所述物理架构时被转换的参数对处理延迟时间进行计算;以及验证部,其验证所述处理延迟时间的总和是否满足所述执行时间制约。
此外,所述验证部判定配置到各所述物理架构的所述逻辑架构的要素的处理延迟时间的总和比对所述逻辑架构的要素赋予的控制周期小或相等的情况,从而验证是否满足所述执行时间制约。
此外,对于所述验证,优先实施安全功能的控制成立性的判定。
此外,所述控制成立性的判定中,安全功能的执行时间使用悲观的执行时间,或者主功能的执行时间使用乐观的执行时间。
此外,根据从外部接收到的架构的信息在所述验证装置中进行所述架构的验证,将验证结果发送至外部。
根据以上说明过的实施例,对于物理架构中配置了逻辑架构的情况下的控制成立性,可以根据所配置的物理架构的信息和对逻辑架构赋予的信息来高效地进行控制成立性的判定。
在另一实施例中,对于安全相关的功能相关的控制成立性的判定,可以通过优先判定安全功能来进行高效的判定,而且,通过悲观地预估安全功能的所需时间、乐观地预估主功能的所需时间,对于安全功能的执行可以保证悲观的执行时间下的实施,而且,主功能可以通过乐观的性能预估来进行扩大选项的判定。
在另一实施例中,可以根据所述控制成立性的判定结果来进行面向架构的改善或优化的提案。
根据又一实施例,通过在车辆控制系统内实施这些判定,可以在车辆控制系统内实施基于变更的架构构成信息和控制成立性的验证。
符号说明
1 车辆系统
2 车辆控制系统
3 通信装置
4 车辆控制系统
5 驱动装置
6 识别装置
7 输出装置
8 输入装置
9 通知装置
100 车辆控制系统验证装置
101 功能配置部(配置部)
102 安全性验证部(验证部)
103 架构定量评价部
104 延迟时间计算部
105 控制成立性判定部
300 物理架构
301 网络链路
302 ECU
401 处理器
402 I/O
403 计时器
404 ROM
405 RAM
406 内部总线
601 逻辑架构
602 统合识别部
603 自动驾驶控制部
604 用户输入部
605 输出管理部
606 通知管理部
607 异常检测部
608 切换部
609 运动控制部
610 安全控制部
1000 时间要件表格
1100 基准得分。
Claims (3)
1.一种验证装置,其特征在于,包含:
处理器,其被配置为:
将包含各逻辑功能的协作和该协作的执行时间制约的逻辑架构配置到物理架构;
根据所述逻辑架构配置到所述物理架构时被转换的参数对处理延迟时间进行计算;以及
通过验证所述处理延迟时间的总和是否满足所述执行时间制约来确定物理架构的物理元件中的安全功能的控制成立性;以及
计算物理元件的使用率、网络上逻辑通信的占用率以及物理架构的成本,
其中,验证处理延迟时间的总和是否满足执行时间制约包括:
确定配置在物理架构中的逻辑架构的元件的处理延迟时间的总和是否小于或等于赋予给逻辑架构的元件的控制周期;以及
对于配置在每个物理元件中的每个逻辑功能,确定占用率是否等于或小于物理元件中的基准值。
2.一种控制装置,其特征在于,具备根据权利要求1所述的验证装置,
所述控制成立性的判定中,安全功能的执行时间使用悲观的执行时间,或者主功能的执行时间使用乐观的执行时间。
3.一种控制装置,其特征在于,具备根据权利要求1所述的验证装置,
根据从外部接收到的架构的信息在所述验证装置中进行所述架构的验证,并将验证结果发送至外部。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017-087824 | 2017-04-27 | ||
| JP2017087824A JP6890460B2 (ja) | 2017-04-27 | 2017-04-27 | 車両制御システム検証手法および検証装置および制御装置 |
| PCT/JP2018/015329 WO2018198783A1 (ja) | 2017-04-27 | 2018-04-12 | 車両制御システム検証手法および検証装置および制御装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110574027A CN110574027A (zh) | 2019-12-13 |
| CN110574027B true CN110574027B (zh) | 2023-10-03 |
Family
ID=63919700
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880025695.5A Active CN110574027B (zh) | 2017-04-27 | 2018-04-12 | 车辆控制系统验证方法及验证装置以及控制装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11372442B2 (zh) |
| EP (1) | EP3617914B1 (zh) |
| JP (1) | JP6890460B2 (zh) |
| CN (1) | CN110574027B (zh) |
| WO (1) | WO2018198783A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102019203251B3 (de) | 2019-03-11 | 2020-06-18 | Volkswagen Aktiengesellschaft | Verfahren und System zur sicheren Signalmanipulation für den Test integrierter Sicherheitsfunktionalitäten |
| JP2022124258A (ja) * | 2021-02-15 | 2022-08-25 | 日立Astemo株式会社 | 車載型コンピュータシステムおよび自動運転支援システム |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106464481A (zh) * | 2014-05-23 | 2017-02-22 | 三菱电机株式会社 | 通信装置、通信方法以及程序 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5581738A (en) * | 1993-06-07 | 1996-12-03 | Xilinx, Inc. | Method and apparatus for back-annotating timing constraints into simulation models of field programmable gate arrays |
| JP2967762B2 (ja) | 1997-06-06 | 1999-10-25 | 日本電気株式会社 | 回路のレイアウト方法 |
| US6396814B1 (en) * | 1997-09-12 | 2002-05-28 | Kabushiki Kaisha Toshiba | Network construction method and communication system for communicating between different groups via representative device of each group |
| US6453451B1 (en) * | 2000-10-02 | 2002-09-17 | Lsi Logic Corporation | Generating standard delay format files with conditional path delay for designing integrated circuits |
| WO2003021499A1 (en) * | 2001-08-29 | 2003-03-13 | Morphics Technology Inc. | Integrated circuit chip design |
| JP2004054756A (ja) * | 2002-07-23 | 2004-02-19 | Nec Electronics Corp | 消費電力見積り装置及び方法 |
| JP2006012008A (ja) * | 2004-06-29 | 2006-01-12 | Oki Electric Ind Co Ltd | タイミングモデル、及びそれを用いたlsi設計方法 |
| US7739095B2 (en) * | 2007-03-13 | 2010-06-15 | Synopsys, Inc. | Method for determining best and worst cases for interconnects in timing analysis |
| JP2014102734A (ja) * | 2012-11-21 | 2014-06-05 | Renesas Electronics Corp | 性能検証プログラム、性能検証方法及び性能検証装置 |
| JP6248008B2 (ja) * | 2014-07-29 | 2017-12-13 | 日立オートモティブシステムズ株式会社 | ソフトウェア検証システムおよび制御装置 |
| JPWO2016017111A1 (ja) * | 2014-08-01 | 2017-05-18 | 日本電気株式会社 | 情報処理システム及びシステム設計方法 |
| JP6378128B2 (ja) * | 2015-04-28 | 2018-08-22 | ルネサスエレクトロニクス株式会社 | 性能検証装置、システム、方法、およびコンピュータに当該方法を実行させるためのプログラム |
| US10235171B2 (en) * | 2016-12-27 | 2019-03-19 | Intel Corporation | Method and apparatus to efficiently handle allocation of memory ordering buffers in a multi-strand out-of-order loop processor |
| US10607039B1 (en) * | 2017-11-27 | 2020-03-31 | Cadence Design Systems, Inc. | Constrained metric optimization of a system on chip |
-
2017
- 2017-04-27 JP JP2017087824A patent/JP6890460B2/ja active Active
-
2018
- 2018-04-12 WO PCT/JP2018/015329 patent/WO2018198783A1/ja unknown
- 2018-04-12 EP EP18791883.4A patent/EP3617914B1/en active Active
- 2018-04-12 US US16/604,980 patent/US11372442B2/en active Active
- 2018-04-12 CN CN201880025695.5A patent/CN110574027B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106464481A (zh) * | 2014-05-23 | 2017-02-22 | 三菱电机株式会社 | 通信装置、通信方法以及程序 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2018198783A1 (ja) | 2018-11-01 |
| EP3617914B1 (en) | 2023-09-06 |
| US20210165444A1 (en) | 2021-06-03 |
| EP3617914A1 (en) | 2020-03-04 |
| US11372442B2 (en) | 2022-06-28 |
| JP6890460B2 (ja) | 2021-06-18 |
| CN110574027A (zh) | 2019-12-13 |
| JP2018185244A (ja) | 2018-11-22 |
| EP3617914A4 (en) | 2021-01-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11538344B2 (en) | Method for handling case of detecting unauthorized frame transmitted over onboard network | |
| CN109491357B (zh) | 在多个控制器上执行诊断操作的设备以及相关方法和车辆 | |
| EP3451174A1 (en) | Vehicle control system verification device, vehicle control system, and vehicle control system verification method | |
| EP2678831B1 (en) | Data rewriting support system and data rewriting support method for vehicle control apparatus | |
| JP5255579B2 (ja) | 車内データ中継装置、車両制御システム | |
| KR101582062B1 (ko) | 송신 메시지 생성 장치 및 차재 통신 시스템 | |
| JP4953861B2 (ja) | 車載ゲートウェイ装置及びデータ転送方法 | |
| CN110574027B (zh) | 车辆控制系统验证方法及验证装置以及控制装置 | |
| US7548551B2 (en) | System and method of optimizing the bandwidth of a time triggered communication protocol with homogeneous slot sizes | |
| CN113545012B (zh) | 通信装置、通信系统及消息仲裁方法 | |
| Shanker | Enhancing automotive embedded systems with FPGAs | |
| CN112477779A (zh) | 实现汽车中电子控制功能的系统、方法以及汽车 | |
| CN109479064A (zh) | 机动车接口端口 | |
| JP6979630B2 (ja) | 監視装置、監視方法及びプログラム | |
| JP2008042730A (ja) | 車載用ネットワークシステム | |
| JP2020078022A (ja) | ネットワークシステム | |
| Lapp et al. | Impact of driver assistance systems on future E/E architectures for commercial vehicles | |
| Valentini | A methodology for the design of an automotive network architecture | |
| Feiter et al. | Higher Level Protocols | |
| US20230089171A1 (en) | Method for handling case of detecting unauthorized frame transmitted over onboard network | |
| Herpel | Performance evaluation of time-critical data transmission in automotive communication systems | |
| JP6812765B2 (ja) | 電子制御装置 | |
| Heurung | In-vehicle network design methodology | |
| KR101938635B1 (ko) | 전자 제어 장치 및 그 제어 방법 | |
| CN117793673A (zh) | 基于事件的车载互联系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: Ibaraki Applicant after: Hitachi astemo Co.,Ltd. Address before: Ibaraki Applicant before: HITACHI AUTOMOTIVE SYSTEMS, Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |