CN116762058A - 车载型计算机系统和自动驾驶辅助系统 - Google Patents

车载型计算机系统和自动驾驶辅助系统 Download PDF

Info

Publication number
CN116762058A
CN116762058A CN202180090860.7A CN202180090860A CN116762058A CN 116762058 A CN116762058 A CN 116762058A CN 202180090860 A CN202180090860 A CN 202180090860A CN 116762058 A CN116762058 A CN 116762058A
Authority
CN
China
Prior art keywords
vehicle
ecu
computer system
program
management unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202180090860.7A
Other languages
English (en)
Inventor
S·S·拉图尔
石乡冈祐
大塚敏史
坂本英之
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Astemo Ltd
Original Assignee
Hitachi Astemo Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Astemo Ltd filed Critical Hitachi Astemo Ltd
Publication of CN116762058A publication Critical patent/CN116762058A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1415Saving, restoring, recovering or retrying at system level
    • G06F11/142Reconfiguring to eliminate the error
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3055Monitoring arrangements for monitoring the status of the computing system or of the computing system component, e.g. monitoring if the computing system is on, off, available, not available
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Traffic Control Systems (AREA)
  • Stored Programmes (AREA)
  • Control Of Driving Devices And Active Controlling Of Vehicle (AREA)

Abstract

本发明提供一种能够通过车载型计算机系统的程序更新来追加新功能的技术。车载型计算机系统包括多个ECU。各ECU能够经由通信总线与至少1个其他ECU通信。车载型计算机系统包括:测定单元,其针对ECU测定ECU状态;推算单元,其基于ECU状态和通信总线的连接结构推算车辆状态;和管理单元,其取得更新程序和更新程序的执行条件。管理单元基于车辆状态和执行条件选择要执行更新程序的第一ECU。第一ECU执行更新程序。管理单元判断是否满足更新程序的输出延迟约束。管理单元使对于更新程序成为冗余的冗余程序的执行结束。

Description

车载型计算机系统和自动驾驶辅助系统
技术领域
本发明涉及车载型计算机系统和自动驾驶辅助系统。
背景技术
车载型计算机系统能够使用OTA(Over The Air)技术等进行电子控制装置的更新或升级。
例如专利文献1中记载了车辆用程序更新系统。在专利文献1记载的结构中,中心装置基于多个更新对象装置的更新数据、对象装置ID、存储器结构以及用于读取更新数据的地址,存储包括规格数据和更新数据的分发数据包,并响应于来自车辆侧系统的通知而将其分发至车辆侧系统,其中,所述存储器结构表示对象装置的程序保存存储器是单面还是多面,并且在对象装置的更新和回滚时供参照,所述规格数据是使对象装置的ID、存储器结构和地址与预先决定的规定数据结构匹配而生成的。车辆侧系统参照接收到的分发数据包判断是否能够在车辆行驶中对存储器进行写入,控制对象装置的程序更新,在途中发生取消时基于存储器结构控制回滚。
现有技术文献
专利文献
专利文献1:日本特开2020-027669号公报
发明内容
发明要解决的技术问题
但是,现有技术中存在难以通过车载型计算机系统的程序更新来追加新功能的问题。
在专利文献1的结构中,车载的中央单元和分布单元并没有被设计成能够整合新的功能,并且也没有被设计成能够整合基于智能基础设施的自动驾驶(AD)或先进驾驶辅助系统(ADAS)应用。专利文献1的结构仅涉及固件或版本更新,并不能更新功能。因此,专利文献1的结构不能通过程序更新来追加新功能。
本发明是为了解决这样的问题而作出的,其目的在于提供一种能够通过车载型计算机系统的程序更新来追加新功能的技术。
解决问题的技术手段
本发明的车载型计算机系统之一例如下。
一种能够与车外的计算机通信的车载型计算机系统,其中,
所述车载型计算机系统包括多个ECU,各ECU能够经由通信总线与至少1个其他ECU通信,
所述车载型计算机系统包括:
测定单元,其针对所述ECU测定ECU状态;
推算单元,其基于所述ECU状态和所述通信总线的连接结构推算车辆状态;和
管理单元,其取得更新程序和所述更新程序的执行条件,
所述管理单元基于所述车辆状态和所述执行条件,选择要执行所述更新程序的第一ECU,
所述第一ECU执行所述更新程序,
所述管理单元判断是否满足所述更新程序的输出延迟约束,
所述管理单元使对于所述更新程序为冗余的冗余程序的执行结束。
本发明的自动驾驶辅助系统之一例包括上述车载型计算机系统和所述车外的计算机。
本说明书包含作为本申请要求优先权的基础的日本国专利申请第2021-021914号公开的内容。
发明效果
采用本发明的车载型计算机系统和自动驾驶辅助系统,能够通过车载型计算机系统的程序更新来追加新功能。
附图说明
图1是包括本发明实施例1的车载型计算机系统的自动驾驶辅助系统中配置的各种模块的例子。
图2是包括实施例1的车载型计算机系统的自动驾驶环境的例子。
图3是对实施例1的车载型计算机系统追加新功能的动作的概念图。
图4是实施例1的车载型计算机系统中使用的传感器的例子。
图5是实施例1的车载型计算机系统的架构的例子。
图6是实施例1的车载型计算机系统的功能模块结构的例子。
图7是实施例1的车载型计算机系统中针对多个ECU的程序的配置例。
图8A是表示实施例1中的车载型计算机系统的动作例的流程图的一部分。
图8B是表示实施例1中的车载型计算机系统的动作例的流程图的一部分。
图9是对实施例1中的车载型计算机系统追加新功能的动作例。
图10是实施例1中的车载型计算机系统中使用的信息的例子。
图11是实施例1中的管理单元DRIM与执行单元DRIC的关系的例子。
具体实施方式
以下,基于附图说明本发明的实施例。以下是示例,并不限定本发明。
实施例1
图1表示包括本发明实施例1的车载型计算机系统的自动驾驶辅助系统中配置的各种模块的例子。实施例1能够将用于扩展车辆的自主驾驶功能的智能基础设施、联网服务(connected service)、基于云的自主驾驶应用整合到车载型AD/ADAS程序中。
AD例如表示自动驾驶(Autonomous Driving),ADAS例如表示先进驾驶辅助系统(Advanced Driver Assistance System)。本说明书中,程序(program)例如表示应用程序(application program),但不限于此。
为了最优地利用车载的电子电气(EE)资源,以及为了安全的整合和车载型AD/ADAS扩展模式转移,车辆能够执行或导出车内的EE资源和网络资源。
同样地,车辆可以具有环境条件、环境识别算法、最优吞吐率条件等动态动作驾驶设计领域的知识库。
基于智能基础设施、联网服务、基于云的自主驾驶应用的资源条件和资源可用性,实施例1的车载型计算机系统能够为了安全和最优吞吐率而分配所要求的资源。
另外,也基于应用条件执行应用数据的重路由(rerouting)和调度(scheduling)。
自动驾驶车辆是使用车辆控制系统(例如AD/ADAS系统)控制的。车辆控制系统包括在基于区域(zone)或基于域(domain)的EE架构中构成的多个环境识别传感器、车辆传感器、本地化传感器、致动器(制动、转向、油门、传动等)等。
车辆控制系统包括相互通信的多个模块。使多个模块协作是有益的。另外,各模块存在包含要求传感器数据、识别数据、计划数据、应用状态数据等的多个程序的情况。模块或程序存在具有1个以上的资源条件、以及关键驾驶场景和车辆控制系统状态中的优先度的情况。为了使这些任务协作,根据可用的资源的状态相应地使各任务/服务的优先度和期限适合是有益的。
例如,在能够与智能基础设施或路侧单元、基于云的远程服务器通信的车辆,在能够对车辆控制进行辅助或完全接管的智能高速公路上行驶的情况下,能够扩展车辆的自动驾驶功能。
取决于客户端应用的资源条件,实施例1的功能模块为了安全的模式转移,能够将客户端应用整合在车载型AD/ADAS应用中。
例如,存在智能高速公路可支持能够提供脱手超级巡航和车道变更功能的高速公路领航线应用的情况。这样的场景下,车载侧的手动ON/OFF ACC(自适应巡航控制)(半自主驾驶车辆)和LKA(车道保持辅助)能够结束。但是,AEB(自动紧急制动)防碰撞应用等安全关键的应用需要与客户端应用协作。
在该客户端应用与车载型AD/ADAS安全应用的组合中,存在实时/软实时的延迟约束较为严格的情况。这样的场景下,实施例1的车载型计算机系统也能够进行应用数据的调度和重路由。
作为其他例子,使用雷达、LiDAR、摄像机等的车辆检测各自具有不同的网络带宽条件。存在相对于期限而言雷达的网络带宽要求的数据大小与摄像机的情况相比小得多的情况。在对车载型AD/ADAS应用追加智能基础设施的客户端应用的情况下,能够以最小资源条件模式执行AD/ADAS应用。
同样地,能够进行自动泊车和最优的电力使用。在装备了故障后保持工作(fail-operational)的车辆控制系统的先进的自动驾驶车辆中,实施例1的车载型计算机系统能够使用智能基础设施的自主驾驶能力,抑制车内的电力消耗。
实施例1的车载型计算机系统例如搭载在具有自动驾驶功能的汽车中,但“车载型”指的是搭载在可移动的装置中,并不特别限于搭载在汽车中。作为其他例子,也能够搭载在公交车、卡车、建筑机械、地上型机器人、仓库机器人、飞机、直升机、小艇、船舶、农机、服务机器人、列车、高尔夫球车等中。
图1表示包括实施例1的车载型计算机系统的自动驾驶辅助系统中可能配置的各种模块的例子。该自动驾驶辅助系统构成为包括车载型计算机系统和车外的计算机。自动驾驶车辆能够设定为自动模式,能够在得到来自安全驾驶员的辅助或者无辅助的情况下,按照规定的驾驶场景自动地驾驶车辆。
车载型计算机系统包括环境识别传感器系统101、环境识别系统102(收集关于驾驶场景的信息)、计划系统103、无线通信系统104、物理网络通信系统105、作用系统106、车体/底盘控制系统107、信息娱乐系统108、人机接口系统109、驾驶员监视系统110、车辆控制系统111、V2X系统112、驾驶员意图113、车辆诊断和功能故障监视系统114以及传动系统115。
自动驾驶车辆能够以手动模式、全自动模式、半自动模式中的任意一种模式行驶。车辆不需要具备图1的全部模块,也可以省略一部分模块。
自动驾驶车辆还可以包括发动机、车轮、方向盘(steering wheel)、变速器等,车辆控制系统可以对它们进行控制。自动驾驶车辆还可以包括使各模块能够相互通信的物理网络(有线网络)或无线网络,网络可以是冗余的。
图2表示包括实施例1的车载型计算机系统的自动驾驶环境的例子。本例涉及智能高速公路。智能高速公路包括路侧单元201和208、智能基础设施203和206,能够监视驾驶场景。
智能基础设施203和206能够与云服务器207通信。智能基础设施203和206能够处理通过识别传感器取得的驾驶场景信息。云服务器207对智能高速公路驾驶场景进行处理,导出车辆202、204、205和209的安全导航所需的驾驶行为。
智能基础设施203和206能够与各车辆和云服务器207直接地或经由路侧单元地进行通信。各车辆能够全自动或半自动驾驶,并且能够与路侧单元、智能基础设施和其他车辆进行通信。各车辆为了安全行驶能够使用驾驶场景识别和驾驶行为信息。自动驾驶环境还包括路面211(严密而言是配置于路面的计算机,可以埋置在道路中。关于以下“路面”也相同)和人造卫星212。
实施例1的车载型计算机系统例如能够搭载在这些车辆202、204、205和209中。车载型计算机系统能够与车外的计算机通信。作为车外的计算机的例子,可以举出路侧单元201和208、智能基础设施203和206、云服务器207、路面211、人造卫星212等。
图3是对实施例1的支持AD/ADAS的车辆追加新功能的动作的概念图。车辆307~309中搭载了实施例1的车载型计算机系统。车辆307~309是符合SAE标准L1~L2+、具有自主驾驶功能的低成本入门级车辆或中档车辆。
车辆307~309在智能高速公路上行驶,该智能高速公路能够提供安全地导航于智能高速公路上所需的驾驶行为。该情况下,通过与车外的计算机(例如路侧单元301、智能基础设施302和303、路面304、云服务器305、人造卫星306等)通信,能够使车辆307~309扩展至SAE标准L2+~L5。
这样的动作能够由应用集成器(application integrator)310实现。应用集成器310能够在车载型计算机系统上运行,能够将由智能高速公路提供的自主驾驶应用整合在车载型计算机系统中,扩展车载型计算机系统的能力。
图4表示实施例1的车载型计算机系统中使用的传感器的例子。车载型计算机系统能够包括各种传感器403~408。各传感器提供车载计算机系统的L1级(401)和L2级(402)的各种功能所需的信息。另外,在409中示出各标准的缩略语的说明。
在扩展自主驾驶能力时,AD/ADAS应用的资源开销增大。根据实施例1,能够使用智能基础设施、云服务器、联网服务等扩展SAE标准L1的能力。
图5表示实施例1的车载型计算机系统的架构的例子。在自动驾驶等级为L1和L2的情况下,安全性是“故障保护(fail-safe)”,架构是标准1oo1D。在自动驾驶等级为L3~L5的情况下,安全性是“故障后保持工作(fail-operational)”,架构是标准1oo2D。
当提高自动驾驶的等级时,计算开销增大。实施例1的车载型计算机系统能够应对SAE标准的全部AD/ADAS等级。车载型计算机系统能够使用智能基础设施、云服务器、自主驾驶应用等,为了扩展车辆的自主驾驶能力而使用驾驶场景识别和驾驶行为能力。
图6是实施例1的车载型计算机系统的功能模块结构的例子。车辆602能够与云服务器601和路侧单元603等通信。车辆602中搭载的车载型计算机系统604具备车载装置605、环境传感器606(摄像机、雷达、LiDAR、声纳等)、车辆传感器607(GNSS、IMU、里程计等)、AD/ADAS应用608、监视单元609、传动应用610、车体控制应用611、底盘控制应用612、致动器613(制动、油门、转向等)、信息娱乐单元614和地图单元615(环境位置单元等)。
车载型计算机系统604能够在各种车内EE环境中构成。例如,能够是整合域(domain)架构、混合区域(zone)/域(domain)架构、区域(zone)架构等。
图7是实施例1的车载型计算机系统中针对多个ECU的程序的配置例。车载型计算机系统具备ECU1~ECU5(701~705)。各ECU能够经由通信总线706~710与至少1个其他ECU通信。
虽然没有特别图示,但各ECU具备处理器和存储单元。处理器发挥运算单元的功能,能够执行程序。存储单元可以存储程序。通过由处理器执行该程序,ECU发挥以下说明的各种单元的功能,由此,车载型计算机系统实现本实施例中说明的功能。
车载型计算机系统具备对ECU测定ECU状态的测定单元VLASE(Vehicle LocalArea State Estimator)。测定单元VLASE例如通过由ECU执行规定的VLASE程序而实现。图7的例子中,测定单元VLASE被配置在ECU1、ECU2、ECU4、ECU5中。
ECU状态包含表示该ECU中正在执行的程序的信息。例如,ECU1执行识别程序,ECU2执行计划程序,ECU3是主ECU,ECU4执行致动器控制程序,ECU5执行显示程序。
另外,ECU状态可以包括该ECU中的处理器负荷、存储器使用量和通信总线使用量。
车载型计算机系统包括推算车辆状态的推算单元VASEM。图7的例子中,推算单元VASEM被配置在ECU3(704)中。
推算单元VASEM(Vehicle Architecture State Estimator Master)基于ECU状态和通信总线的连接结构推算车辆状态。车辆状态例如是由ECU状态和通信总线的连接结构组合而成的信息。图7的例子中,推算单元VASEM被配置在ECU4中。
另外,在ECU3(704)中也可以配置测定单元VLASE。或者,推算单元VASEM也可以具有测定单元VLASE的功能。
通信总线的连接结构包括表示各通信总线将哪个ECU与哪个ECU连接的信息。例如,ECU1与ECU2经由通信总线1(708)连接。ECU2与ECU3经由通信总线3(710)连接。ECU1与ECU3经由通信总线2(707)连接。ECU2与ECU4经由通信总线4(709)连接。ECU3与ECU5经由通信总线5(706)连接。
另外,例如ECU1与ECU4并非直接用通信总线连接,需要经过通信总线1、ECU2、通信总线4。表示这样的通信总线的连接结构的信息可以由推算单元VASEM通过测定等主动地生成,也可以事先存储在各ECU的存储单元中。
车载型计算机系统具备管理单元DRIM(Dynamic Reconfiguration IndicatorMaster)。图7的例子中,管理单元DRIM被配置在ECU3(704)中。管理单元DRIM取得更新程序和更新程度的执行条件。执行条件的具体例与图10关联地在后文中叙述。
车载型计算机系统具备执行单元DRIC(Dynamic Reconfiguration IndicatorClient)。图7的例子中,执行单元DRIC被配置在ECU1、ECU2、ECU4、ECU5中。执行单元DRIC使ECU执行特定程序或使其结束。例如,ECU2的执行单元DRIC使ECU2执行计划程序。执行单元DRIC也可以进行称为程序安装的处理。
另外,在ECU3(704)中也可以配置执行单元DRIC。或者,管理单元DRIM也可以具备执行单元DRIC的功能。
图8A和图8B是表示实施例1中的车载型计算机系统的动作例的流程图。首先,管理单元DRIM取得更新程序及其执行条件(步骤801)。更新程序及其执行条件能够用任意途径取得,例如可以事先存储在某个ECU的存储单元中,也可以从车外的计算机取得。
接着,测定单元VLASE对各ECU测定ECU状态(步骤802)。测定单元VLASE将测得的ECU状态发送至推算单元VASEM。如上所述,ECU状态能够包括表示该ECU中正在执行的程序的信息,并且能够包括该ECU中的处理器负荷、存储器使用量和通信总线使用量等。
然后,推算单元VASEM推算车辆状态(步骤803),并对管理单元DRIM通知车辆状态。
接着,管理单元DRIM决定要对更新程序分配的资源(步骤804)。资源例如包括处理器负荷、存储器使用量和通信总线使用量。分配的资源的决定方法能够由本领域技术人员适当设计。例如可以取得表示与更新程序关联的必要的资源量的信息。另外,可以按照车载型计算机系统中可用的资源相应地改变分配的资源量。
然后,管理单元DRIM决定更新程序的执行开始(或安装)和冗余程序的执行结束所需的时间(步骤805)。冗余程序指的是相对于更新程序成为冗余的程序。例如,在某个更新程序包括计划程序的全部功能的情况下,计划程序成为与该更新程序对应的冗余程序(因更新程序已包含其全部功能而成为冗余)。
关于哪个程序相对于某个更新程序成为冗余程序,其决定方法能够由本领域技术人员适当设计。例如,可以对各程序赋予ID,预先使更新程序关联冗余程序的ID。该情况下,通过在步骤801中与更新程序一同取得冗余程序的ID,能够确定冗余程序。或者,车载型计算机系统也可以将输出与更新程序同一种类的数据(例如面向同一显示装置的数据)的程序决定为冗余程序。
另外,执行开始和执行结束所需的时间的决定方法能够由本领域技术人员适当设计。例如可以按照各程序的大小相应地决定,也可以对各程序关联该时间并事先存储在存储单元中。进而,还可以基于其他各种信息进行计算或修正。
接着,管理单元DRIM判断更新程序的执行开始和冗余程序的执行结束所需的时间是否满足规定的安全基准(步骤806)。例如,判断是否能够在规定的基准时间以内完成。因为在更新程序的执行开始处理中和冗余程序的执行结束处理中,存在各程序的功能不能发挥的期间,所以判断该期间是否对车辆的安全控制造成影响是有益的。
步骤806的安全基准可以是固定的,也可以是与各程序关联的基准,也可以是根据其他条件相应变化的基准。例如,基准可以随该时间点的车速相应地变化。例如,在停车中或低速行驶时(泊车动作执行中等),可以认为各程序的功能不能发挥的期间即使略长也不会对安全造成影响,所以能够使基准时间比初始值更长,但在高速行驶时(在高速公路行驶中等)若各程序的功能不能发挥的期间较长会影响安全,所以需要在短时间内使处理完成,从而基准时间比初始值更短。
步骤806中,在需要的时间满足安全基准的情况下,车载型计算机系统进行程序的更新(步骤807)。例如,管理单元DRIM基于车辆状态和更新程序的执行条件,选择要执行更新程序的ECU(第一ECU。以下称为“目标ECU”)。然后,对选中的目标ECU发送更新程序和更新请求。接收了它们的目标ECU利用执行单元DRIC的功能开始更新程序的执行。
另外,管理单元DRIM使冗余程序的执行结束。即,对正在执行冗余程序的ECU(目标ECU或其他ECU)发送该冗余程序的结束请求。接收了结束请求的ECU利用执行单元DRIC的功能使冗余程序的执行结束。由此,不必要的资源的消耗得到抑制。此处,执行单元DRIC也可以存储为了在以后再次开始执行该冗余程序所需的信息(程序ID或程序代码等)。
接着,测定单元VLASE测定步骤807中的执行单元DRIC的处理后的ECU状态,将其发送至推算单元VASEM(步骤808)。
然后,推算单元VASEM基于更新后的ECU状态等推算车辆状态,并对管理单元DRIM通知车辆状态(步骤809)。
接着,管理单元DRIM判断是否满足更新程序的输出延迟约束(步骤810)。输出延迟约束和判断处理的具体例与图10关联地在后文中叙述。
步骤810中,在满足更新程序的输出延迟约束的情况下,目标ECU使更新程序的执行继续,由此,车载型计算机系统以新的ADAS模式工作(步骤811)。
步骤811之后,执行单元DRIC(不限于目标ECU)监视管理单元DRIM,在检测出管理单元DRIM的故障的情况下再次执行冗余程序(即管理单元DRIM在步骤807中结束执行的程序)(步骤813)。这样,能够使由发生了故障的管理单元DRIM不当结束的冗余程序再次开始执行。另外,执行冗余程序的ECU的选择方法能够由本领域技术人员适当设计,例如能够设定为最后执行该冗余程序的ECU。
另一方面,步骤810中,在不满足更新程序的输出延迟约束的情况下,车载型计算机系统执行规定的安全处理。本实施例中以安全ADAS模式工作(步骤812)。安全ADAS模式的具体内容能够由本领域技术人员适当设计。例如,将自动驾驶中的车速的最大值限制为比通常时的最大值更小的值,由此以在不满足输出延迟约束的情况下也能够进行安全驾驶的方式控制车辆。
在步骤813中再次开始执行冗余程序之后,或者步骤812之后,车载型计算机系统恢复至以前的状态(步骤814)。此处,要恢复的状态(备份或检查点)的决定方法和用于恢复的具体处理能够由本领域技术人员适当设计。例如,能够恢复或再次安装冗余程序和其他应用程序,进行系统的重新起动。
上述步骤806(图8A)中,在更新程序的执行开始和冗余程序的执行结束所需的时间不满足规定的安全基准的情况下,车载型计算机系统判断是否能够使车辆安全地停车(步骤815)。该判断的具体内容能够基于公知的自动驾驶技术等由本领域技术人员适当设计。例如,能够基于车辆行驶的道路、周围的状况、车速等判断。
在能够使车辆安全地停车的情况下,车载型计算机系统使车辆安全地停车之后,执行图8B的步骤807~814的处理。另一方面,在不能使车辆安全地停车的情况下,车载型计算机系统以安全ADAS模式工作或者以当时的AD/ADAS模式继续工作(步骤816)。该情况下,不执行更新程序。
使用图9和图10说明关于更新程序和冗余程序的判断处理的例子。图9是对实施例1中的车载型计算机系统追加新功能的动作例。图10表示实施例1中的车载型计算机系统中使用的信息的例子。
如图9所示,ECU2(903)执行计划程序。此处,设想包含计划程序的功能的、更先进的客户端应用被输入到车载型计算机系统的情况。该客户端应用是更新程序,计划程序是对于客户端应用而言的冗余程序。即,如图所示,尝试使客户端应用ON(有效)、使计划程序OFF(无效)。
如图10所示,预先定义了关于客户端应用的输入输出约束1001。输入输出约束1001表示执行条件的至少一部分,包括输入延迟约束和输出延迟约束。输入延迟约束例如包括数据大小和最大容许延迟。图10的例子中,输入延迟约束是:1M字节大小的图像(例如来自摄像机的原始图像)必须在生成后(例如从摄像机输出后)50ms以内输入至客户端应用。
输出延迟约束例如包括数据大小和最大容许输出周期。图10的例子中,输出延迟约束是关于2种控制信息(控制信息A和B)分别要求10字节大小的数据必须从客户端应用以50ms以内的周期输出。
以下说明步骤807中的目标ECU的选择处理的具体例。本例中,在步骤807中,使用更新程序的执行条件和通信总线的连接结构选择目标ECU。更新程序的执行条件例如包括输入延迟约束(也可以还包括输出延迟约束)。
通信总线的连接结构例如用输入延迟表1002表示。输入延迟表1002中,最上行表示关于摄像机图像(ECU1中生成)的输入延迟。各列表示从ECU1到各ECU的输入延迟。
从ECU1到ECU1的输入延迟因为是同一ECU所以为0。这在50ms以内,所以在ECU1中执行客户端应用时满足输入延迟约束。因此,能够将ECU1作为目标ECU。
从ECU1到ECU2的输入延迟在经由通信总线1(CAN)的情况下为10s。这超过50ms,所以在ECU2中执行客户端应用的情况下,经由通信总线1进行通信时不满足输入延迟约束。另一方面,从ECU1到ECU2的输入延迟在经由通信总线2(以太网(注册商标))和通信总线3(以太网)的情况下为20ms。这在50ms以内,所以在ECU2中执行客户端应用的情况下,经由通信总线2和3进行通信时满足输入延迟约束。因此,ECU2仅在使用特定的通信路径的情况下能够作为目标ECU。
关于其他ECU的输入延迟也是同样的所以省略说明,ECU3和ECU5仅在使用特定通信路径的情况下能够作为目标ECU,ECU4无论使用哪个通信路径都不满足输入延迟约束所以不能作为目标ECU。通过这样的判断处理,能够选择适当的目标ECU和通信路径。
另外,限定通信路径的情况下的具体处理能够由本领域技术人员适当设计。例如,管理单元DRIM对各ECU通知客户端应用的信息的传输路径,各ECU按此进行信息的发送接收。
如本例所示,在能够将多个ECU作为目标ECU的情况下,作为将哪个ECU选择为目标的判断基准,也可以使用ECU状态。例如,可以针对各ECU基于处理器负荷、存储器使用量和通信总线使用量计算总负荷,将该总负荷最低的ECU选择为目标ECU。计算总负荷的方法(函数等)能够由本领域技术人员适当设计。例如对处理器负荷、存储器使用量和通信总线使用量分别乘以权重,将结果的总和用作总负荷。通过这样的判断处理,能够选择适当的目标ECU。
输入延迟表1002例如能够基于通信时间表1003生成。通信时间表表示每种数据大小的情况下经由各通信总线的通信处理所需的时间。或者,输入延迟表1002也可以事先生成并存储。或者,输入延迟表1002也可以与更新程序关联地取得。
控制设计1004表示客户端应用的输入输出的概要。识别程序生成摄像机图像,摄像机图像被输入至客户端应用,客户端应用基于摄像机图像生成输出信息,该输出信息被输入至操作程序和显示程序。
输出判断例1005表示将ECU2作为目标ECU的情况下的输出延迟约束的达成状况(在步骤801中由管理单元DRIM测定)。本例中,控制信息A和B双方从ECU2以50ms的周期输出。因为周期都在50ms以内,所以判断为满足输出延迟约束。
另外,输出判断例1006表示将ECU2作为目标ECU的情况下的ECU3中的输出延迟的状况。在ECU3中执行操作程序,不需要控制信息A,控制信息B的输出周期是100ms。
同样地,输出判断例1007表示将ECU2作为目标ECU的情况下的ECU5中的输出延迟的状况。在ECU3中执行显示程序,控制信息A的输出周期是10.2s,不需要控制信息A。
图11表示实施例1中的管理单元DRIM与执行单元DRIC的关系的例子。管理单元DRIM将更新程序存储在RAM(随机访问存储器)中。另外,管理单元DRIM以规定的周期将心跳信号发送至各执行单元DRIC(更具体而言是实现各执行单元DRIC的各ECU)。
各执行单元DRIC基于心跳信号的缺失检测管理单元DRIM的故障。此处,“心跳信号的缺失”指的是例如在规定时刻没有接收到心跳信号,或者从接收到某一心跳信号到接收到下一心跳信号的时间超过了规定阈值。
各执行单元DRIC在检测出管理单元DRIM的故障的情况下,忽略检出之后从管理单元DRIM接收的信号。另外,各执行单元DRIC在检测出管理单元DRIM的故障的情况下,对其他执行单元DRIC发送故障信息。各执行单元DRIC接收了故障信息的情况下,忽略接收之后从管理单元DRIM接收的信号。这样,在管理单元DRIM发生了故障的情况下,抑制此后发送的错误的控制信息引起的车载型计算机系统的误动作。
另外,图10的例子中,输出延迟约束表示输出周期,但作为变形例也可以表示容许延迟。例如,在图10的例子中,输出延迟约束也可以是:对于2种控制信息(控制信息A和B),分别要求10字节大小的数据必须从客户端应用在50ms以内输出。
如以上所说明,根据实施例1的车载型计算机系统和包括它的自动驾驶辅助系统,能够通过车载型计算机系统的程序更新来追加新功能。
以上给出的是示例,本领域技术人员能够在不脱离要求保护的技术方案的范围内实施适当的变形。
附图标记说明
101……环境识别传感器系统
102……环境识别系统
103……计划系统
104……无线通信系统
105……物理网络通信系统
106……作用系统
107……车体/底盘控制系统
108……信息娱乐系统
109……人机接口系统
110……驾驶员监视系统
111……车辆控制系统
112……V2X系统
113……驾驶员意图
114……功能故障监视系统
115……传动系统
201、208……路侧单元(车外的计算机)
202、204、205、209……车辆
203、206……智能基础设施(车外的计算机)
207……云服务器(车外的计算机)
211……路面(车外的计算机)
212……人造卫星(车外的计算机)
301……路侧单元(车外的计算机)
302、303……智能基础设施(车外的计算机)
304……路面(车外的计算机)
305……云服务器(车外的计算机)
306……人造卫星(车外的计算机)
307~309……车辆
310……应用集成器
401……标准L1
402……标准L2
403~408……传感器
409……缩略语
601……云服务器
602……车辆
603……路侧单元
604……车载型计算机系统
605……车载装置
606……环境传感器
607……车辆传感器
608……AD/ADAS应用
609……监视单元
610……传动应用
611……车体控制应用
612……底盘控制应用
613……致动器
614……信息娱乐单元
615……地图单元
701~705ECU
706~710……通信总线
901、903、904、909、911ECU
905~908、910……通信总线
1001……输入输出约束(输入延迟约束和输出延迟约束)
1002……输入延迟表
1003……通信时间表
1004……控制设计
1005~1007……输出判断例
DRIC……执行单元
DRIM……管理单元
VASEM……推算单元
VLASE……测定单元
本说明书中引用的全部出版物、专利和专利申请均被视为通过直
接引用而并入本说明书。

Claims (10)

1.一种能够与车外的计算机通信的车载型计算机系统,其特征在于:
所述车载型计算机系统包括多个ECU,各ECU能够经由通信总线与至少1个其他ECU通信,
所述车载型计算机系统包括:
测定单元,其针对所述ECU测定ECU状态;
推算单元,其基于所述ECU状态和所述通信总线的连接结构推算车辆状态;和
管理单元,其取得更新程序和所述更新程序的执行条件,
所述管理单元基于所述车辆状态和所述执行条件,选择要执行所述更新程序的第一ECU,
所述第一ECU执行所述更新程序,
所述管理单元判断是否满足所述更新程序的输出延迟约束,
所述管理单元使对于所述更新程序成为冗余的冗余程序的执行结束。
2.如权利要求1所述的车载型计算机系统,其特征在于:
所述ECU在检测出所述管理单元的故障的情况下,执行已由所述管理单元结束执行的所述冗余程序。
3.如权利要求1所述的车载型计算机系统,其特征在于:
所述管理单元将所述更新程序存储在RAM中,对各所述ECU发送心跳信号,
各所述ECU基于所述心跳信号的缺失检测所述管理单元的故障,
各所述ECU在检测出所述故障的情况下,忽略检出之后从所述管理单元接收到的信号,
各所述ECU在检测出所述故障的情况下,对其他所述ECU发送故障信息,
各所述ECU在接收到所述故障信息的情况下,忽略接收之后从所述管理单元接收到的信号。
4.如权利要求1所述的车载型计算机系统,其特征在于:
所述ECU状态包括表示该ECU中正在执行的程序的信息。
5.如权利要求1所述的车载型计算机系统,其特征在于:
所述ECU状态包括该ECU中的处理器负荷、存储器使用量和通信总线使用量。
6.如权利要求1所述的车载型计算机系统,其特征在于:
所述更新程序的所述执行条件包括所述更新程序的输入延迟约束。
7.如权利要求1所述的车载型计算机系统,其特征在于:
在不满足所述更新程序的所述输出延迟约束的情况下,所述车载型计算机系统执行规定的安全处理。
8.如权利要求1所述的车载型计算机系统,其特征在于:
所述管理单元判断所述更新程序的执行开始和所述冗余程序的执行结束所需的时间是否满足规定的安全基准。
9.如权利要求8所述的车载型计算机系统,其特征在于:
所述安全基准随车速变化。
10.一种自动驾驶辅助系统,其特征在于:
包括权利要求1所述的车载型计算机系统和所述车外的计算机。
CN202180090860.7A 2021-02-15 2021-09-14 车载型计算机系统和自动驾驶辅助系统 Pending CN116762058A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2021-021914 2021-02-15
JP2021021914A JP7495890B2 (ja) 2021-02-15 2021-02-15 車載型コンピュータシステムおよび自動運転支援システム
PCT/JP2021/033760 WO2022172498A1 (ja) 2021-02-15 2021-09-14 車載型コンピュータシステムおよび自動運転支援システム

Publications (1)

Publication Number Publication Date
CN116762058A true CN116762058A (zh) 2023-09-15

Family

ID=82837629

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202180090860.7A Pending CN116762058A (zh) 2021-02-15 2021-09-14 车载型计算机系统和自动驾驶辅助系统

Country Status (4)

Country Link
JP (1) JP7495890B2 (zh)
CN (1) CN116762058A (zh)
DE (1) DE112021006067T5 (zh)
WO (1) WO2022172498A1 (zh)

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6270965B1 (ja) * 2016-11-16 2018-01-31 三菱電機株式会社 プログラムの更新制御システムおよびプログラムの更新制御方法
JP6890460B2 (ja) 2017-04-27 2021-06-18 日立Astemo株式会社 車両制御システム検証手法および検証装置および制御装置
US10248410B2 (en) * 2017-07-25 2019-04-02 Toyota Jidosha Kabushiki Kaisha Implementation decision to provide ADAS function update for a vehicle
WO2020032200A1 (ja) 2018-08-10 2020-02-13 株式会社デンソー センター装置,諸元データの生成方法及び諸元データ生成用プログラム
JP7192415B2 (ja) 2018-11-06 2022-12-20 株式会社オートネットワーク技術研究所 プログラム更新システム及び更新処理プログラム
JP2021021914A (ja) 2019-07-30 2021-02-18 怡利電子工業股▲ふん▼有限公司 裸眼3d反射型拡散片ヘッドアップディスプレイ装置

Also Published As

Publication number Publication date
JP7495890B2 (ja) 2024-06-05
DE112021006067T5 (de) 2023-09-07
WO2022172498A1 (ja) 2022-08-18
JP2022124258A (ja) 2022-08-25

Similar Documents

Publication Publication Date Title
CN109421630B (zh) 用于监测自主车辆的健康的控制器架构
US8452465B1 (en) Systems and methods for ECU task reconfiguration
WO2017064944A1 (ja) 自動運転システム、自動運転制御方法、データecuおよび自動運転ecu
JP6354561B2 (ja) 軌道判定方法、軌道設定装置、自動運転システム
US20190066406A1 (en) Method and apparatus for monitoring a vehicle
EP3915851B1 (en) System and method for estimating take-over time
US11396301B2 (en) Vehicle control apparatus, vehicle control method, and non-transitory computer-readable storage medium storing program
CN112455441A (zh) 由自主车辆执行车道改变的方法和系统
CN113859258A (zh) 用于控制自动驾驶的方法和装置
CN110893770A (zh) 车辆电力管理故障
US11472424B2 (en) Method for dynamic context-based distribution of software in a vehicle control system, and a control system
US11318953B2 (en) Fault-tolerant embedded automotive applications through cloud computing
US20210105321A1 (en) Vehicle software check
JP7495890B2 (ja) 車載型コンピュータシステムおよび自動運転支援システム
CN116030614A (zh) 用于自主车辆的牵引管理系统和方法
CN113272195A (zh) 用于智能网联车辆的控制系统及控制方法
EP3813307A1 (en) Ecu for communication
WO2022259655A1 (ja) 車両制御装置および車両制御システム
JP2020188407A (ja) 電子制御装置および移動体制御システム
US11987266B2 (en) Distributed processing of vehicle sensor data
US11604679B2 (en) Dynamic workload shifting within a connected vehicle
WO2021256014A1 (ja) 車両制御システム
US20210394736A1 (en) Process allocation control method, process allocation control system, process allocation control device, and server device
US20230159041A1 (en) Vehicle safety system for autonomous vehicles
US20240119765A1 (en) Log management apparatus, log management method, and non-transitory computer readable recording medium

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination