JP2007528532A - 安全性重視システムの設計方法 - Google Patents
安全性重視システムの設計方法 Download PDFInfo
- Publication number
- JP2007528532A JP2007528532A JP2006548570A JP2006548570A JP2007528532A JP 2007528532 A JP2007528532 A JP 2007528532A JP 2006548570 A JP2006548570 A JP 2006548570A JP 2006548570 A JP2006548570 A JP 2006548570A JP 2007528532 A JP2007528532 A JP 2007528532A
- Authority
- JP
- Japan
- Prior art keywords
- architecture
- functional specification
- fault tolerance
- mapping
- safety
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
Abstract
【解決手段】一組の望ましくないイベントを識別し、該イベントに、それぞれの深刻度の指標を付け、システム・アーキテクチャのインプリメンテーションのための最初のアーキテクチャの機能仕様を開発し、前記機能仕様において、該イベントの深刻度に結びつけて考えられたフォールト・トレランスの要求条件を洗練し、洗練されたフォールト・トレランスの要求条件を発信し、前記機能仕様において、複製と該複製に付けられた該複製の独立性の指標とを作り出し、システム・アーキテクチャのハードウエア構造を限定し、前記機能仕様を前記ハードウエア構造の上に写像し、前記独立性の指標が、写像の過程において、保存されることを自動的にベリファイすることを特徴とする、システム・アーキテクチャを生み出す方法。
【選択図】図6
Description
"Advanced Design and ValidationTechniques for ElectronicControl Units", Max Fuchs et al, SAE, 1998 SAE paper 980199 オンラインで入手可能:www4.informamatik.tu-muenchen.de/publ/papers/FEMPS98.pdf "State charts: A Visual Formalism For Complex Systems", David Harel, Sciece of Computer Programming 8, Elsevier Science Publisher B. V (North Holland), 1987 "Formal Methods and Their Role in the Certification of Critical Systems", John Rushby, Technicalreport CSL-95-1, Computer Science Laboratory, SRI International, Menlo Park, CA, 1995 "The SystematicDesign of Embedded Real-Time Systems", H. Kopetz, Lecture notes, Hermann Kopetz, 1996; また "Real Time Systems: Design Principles for Distributed Embedded Applications", H. Kopetz, publishedby Kluwer Academic,1997 "IEC 61508: Functional safety of electrical/electronic/programmable electronicsafety-related systems", International Electrotechnical Commission (IEC), 1998 "System Engineering for Time TriggeredArchitectures",(SETTA).DeliverableD7.3 Final Document,version 1.0", XP-002264808, 18 April 2002.これは URL を経由して見られる: "http:www.setta.org"
前記方法は、
a)一組の望ましくないイベントを識別(identify)し、前記望ましくないイベントのそれぞれに、それぞれの深刻度(severity)の指標(indicator)を付ける(ascribe)ことを含み、
b)前記望ましくないイベントのそれぞれを、可能性がある場所において、前記アーキテクチャの1つまたは複数のアクチュエータに結びつけて考える(associate with)ことを含み、
c)前記アーキテクチャのインプリメンテーション(implementation)のために提案された最初のアーキテクチャの機能仕様(functional specification)を開発する(develop)ことを含み、前記最初のアーキテクチャの前記機能仕様は、構成要素へのデータフロー(dataflow)と該構成要素間のデータフローとを含み、前記構成要素は、例として、センサまたはアクチュエータを含み、
前記方法は、
d)前記機能仕様において、各前記望ましくないイベントの深刻度に結びつけて考えられた(associated with)フォールト・トレランス(fault tolerance)の要求条件を洗練(refine)し、洗練された、前記機能仕様のフォールト・トレランスの要求条件を発信すること(issuing)を含み、
e)前記機能仕様において、複製と該複製に付けられた該複製の独立性の指標とを作り出すことを含み、前記独立性の指標は前記洗練されたフォールト・トレランスの要求条件を反映し、
前記方法は、
f)前記システムのアーキテクチャのための、相互にネットワークで接続された一連の電子制御ユニットを例とする、ハードウエア構造を限定する(define)ことを含み、
g)前記機能仕様を前記ハードウエア構造の上に写像(mapping)することを含み、
h)前記独立性の指標が、写像の過程において、保存されることを自動的にベリファイ(verify)することを含む。
前記手順は、
a)一組の望ましくないイベントを識別(identify)し、前記望ましくないイベントのそれぞれに、それぞれの深刻度(severity)の指標(indicator)を付ける(ascribe)ことを含み、
b)前記望ましくないイベントのそれぞれを、可能性がある場所において、前記アーキテクチャの1つまたは複数のアクチュエータに結びつけて考える(associate with)ことを含み、
c)前記アーキテクチャのインプリメンテーション(implementation)のために提案された最初のアーキテクチャの機能仕様(functional specification)を開発する(develop)ことを含み、前記最初のアーキテクチャの前記機能仕様は、構成要素へのデータフロー(dataflow)と該構成要素間のデータフローとを含み、前記構成要素は、例として、センサまたはアクチュエータを含み、
前記手順は、
d)前記機能仕様において、各前記望ましくないイベントの深刻度に結びつけて考えられた(associated with)フォールト・トレランス(fault tolerance)の要求条件を洗練(refine)し、洗練された、前記機能仕様のフォールト・トレランスの要求条件を発信すること(issuing)を含み、
e)前記機能仕様において、複製と該複製に付けられた該複製の独立性の指標とを作り出すことを含み、前記独立性の指標は前記洗練されたフォールト・トレランスの要求条件を反映し、
前記手順は、
f)前記システムのアーキテクチャのための、相互にネットワークで接続された一連の電子制御ユニットを例とする、ハードウエア構造を限定する(define)ことを含み、
g)前記機能仕様を前記ハードウエア構造の上に写像(mapping)することを含み、
h)前記独立性の指標が、写像の過程において、保存されることを自動的にベリファイ(verify)することを含む。
with one faulty process"(1つの故障プロセスを伴う分散されたコンセンサスの不可能性)は、もし、相異なる分散されたプロセス(それは、異なったCPUにおいて異なった周波数で進行するプロセスを意味する)の間の情報伝達の速さについての仮定がなされなければ、コンセンサスの問題は解けないであろうと、議論している。この論文の結論は、プロセス間での情報交換が同期していないシステムを設計する場合には、或る同期化の手段が必要であるということである:少なくともクロック・スピードについての仮定が期待される。望むらくは、これは、内蔵システムへの適用において常に実現することであり、したがって、少なくとも理論的には、非同期のフォールト・トレラントのシステムを設計することは不可能ではない。
D1は5ms=毎にクロック1*N1サイクルで送られ、D2は5ms=毎にクロック2*N2サイクルで送られ、D3は5ms=毎にクロック3*N3サイクルで送られる;
クロック1、クロック2およびクロック3は3%よりも少ない変動を持つ;そして
“f" を計算するタスクは1ms以内に、5ms毎に遂行される。
D1fは古さ(age)が範囲R1[-15,545ms..-11,5ms]の範囲内にある信号を代表する
1,5ms + 5ms+ (0,003*5ms) + 1ms + 5ms + 3ms = 15,515ms
D2fは古さ(age)が範囲R2[-19,545ms..-14,5ms]の範囲内にある信号を代表する
1,5ms + 5ms+ (0,003*5ms) + 1ms + 8ms + 4ms = 19,515ms
D3fは古さ(age)が範囲R3[-19,545ms..-16,5ms]の範囲内にある信号を代表する
1,5ms + 5ms+ (0,003*5ms) + 1ms + 10ms + 2ms = 19,515ms
範囲R1とR2とが共通範囲を持たないことは、われわれが観測する現象の頻度がサンプリングの頻度の桁よりも大きな桁のオーダーである限りは、問題ではない。もしも、われわれが見つけようとしている信号が20msよりも低いか、それと同じオーダーの頻度で進展するものであれば、われわれのサンプリングは無意味となる。人間の行動の場合には、頻度はむしろ数百ミリ秒の範囲内にあり、そして、ブレ−キ・ペダルの場合には、通常、軽いブレーキについては確かに100msを超え、ペダルは少なくとも1秒間は踏まれている。
a)一組の好ましくないイベントを識別すること(identifying)と、それらの好ましくないイベントの各々にそれぞれの深刻度(severity)を表す指標(indicator)を付けること(ascribing);
b)それらの好ましくないイベントの各々を、可能な範囲で、機能的設計によって提案されたシステムのアーキテクチャにおける1つまたは複数のアクチュエータに関連させること(associating);
c)そのシステムのアーキテクチャのインプリメンテーションのために提案された初期アーキテクチャの機能的仕様(specification)を開発すること(developing)、その初期アーキテクチャの機能的仕様は、それについての構成要素へのデータフローと構成要素間のデータフローとを含み、その構成要素は、たとえば、センサまたはアクチュエータを含む;そして
d)前記機能的仕様における、前記好ましくないイベントの深刻度に関連したフォールト・トレランスの要求を洗練すること(refining)と、前記機能的仕様における、洗練されたフォールト・トレランスの要求を発信すること(issuing)。
・ECU436、434、そして、それらそれぞれのコネクタ428、432;
・ネットワーク430;
・リンク422、426;そして
・コネクタ424。
図3Cにおいて、データフローFT(o)1 651、FT(o)2 653およびFT(o)3 655は自由せあるべきであり、それは、或る1つの故障が、同時に、これらの1つよりも多いフローにおける誤差を生じえないことを意味する。
- FS(i)1とFS(i)2とは自由であり、
- F1、F2、F3は自由であり、それは、単一の故障は、複数の複製の
処理中に同時に故障を生じえないことを意味し、
- F2に送られたデータフロー "o1"(622)と F3に送られたデータフ
ロー "o1"(628)とは自由であり、
- F2で作られた "o2" と、F3で作られた“o3" とは自由である。
1 望ましくないイベントとその重要性(gravity)の識別(identification)。
2 実または仮想のセンサとアクチュエータによって構成されたシステムの機能
仕様決定(functional specification)。
3 リンプ-ホーム・モード(limp-home modes)の記述。
4 望ましくないイベントを実または仮想のアクチュエータと関連づけること
(association)。
5 機能的アーキテクチャの上での望ましくないイベントの洗練(refinement)。
6 安全性要求条件の洗練(refinement)とともに冗長度の導入。
7 ハードウエア・アーキテクチャの定義。
8 電子制御ユニット上へ機能を写像すること。
9 結果として生じる電子的アーキテクチャのフォールト・トレランスをベリフ
ァイすること。
10 物理的構成要素の幾何学的写像と配線。
11 結果として生じる電気-電子的アーキテクチャのフォールト・トレランス
をベリファイすること。
このステップはよく知られている、機能的故障解析(Functional Failure Analysis)(FFA)のステップであり、FFAは安全性解析の古典的部分である。或るシステムに対するFAAの結果は望ましくないイベントを、そのイベントが起こったときの結果の深刻度(severity)とともに識別することである。
このステップは、例えば図2に関連して上記された技術を用いて遂行されるであろう。
モードの記述は、機能的アーキテクチャを補足するものである。或るシステムは、制御-自動機械(control
automata)、例えば、ステート・チャート(state chart)によって構成されるとして記述されることができ、ステート・チャートはデータフローをトリガ(trigger)する(上記非特許文献1参照)。最高のレベルにおいて、自動機械はシステム・ノードをインプリメントしなければならず、システム・ノードとしては、初期化、ノミナル・モード、リンプ-ホーム・モード、および、或るモードから他のモードへのスイッチ機能がある。
われわれのプロセスにおいて、われわれは、FFAの結果の部分のみを考える。各望ましくないイベントに対して、われわれは、関連のあるアクチュエータ、すなわち、他のアクチュエータは正常に機能しているのに、そのアクチュエータの故障が望ましくないイベントを生じるアクチュエータを考える。例えば、車両のブレーキ・システムに対しては、われわれは、望ましくないイベントは、「ブレーキ操作における安定性の欠如」と考えることができる。これは、アクチュエータの1つがブレーキ操作をしていず、他のアクチュエータがブレーキ操作をしている場合に、可能であろう。もしも、われわれの目標が、システムが1つの故障に対してトレラントであることにあるならば、或る解析が、例えば、安全性の欠如はアクチュエータの1つの故障によるとの結論に導くかも知れない。その場合に、われわれは、「ブレーキ操作中の安定性の欠如」を各ブレーキ・アクチュエータのみと関連づける(associate)ことであろう。いま、われわれが、望ましくないイベントを「ブレーキ操作が要求されているのにブレーキをかけないこと」と考えるならば、アクチュエータのいずれもが、この望ましくないイベントが明らかにすべてのブレーキに関連づけられるような健全なコマンド受け取っていないことは明白である。
スタート 901 において、機能的アーキテクチャはセンサ、アクチュエータおよびデータフローで構成され、いくつかのデータフローは電流をモデル化し、バッテリーはセンサとしてモデル化され、前のステップ(a)において、望ましくないイベントが識別され、アクチュエータと結びつけられる;設計技術者は、それから、彼がフェイル・サイレントを期待するのか、フォールト・トレラントを期待するのか、なにも要求しないのかを、各アクチュエータの異なった入力の流れから、その隔離されたアクチュエータに付随する望ましくないイベントに応じて示すことができる。
i)入力についてどのような新しい安全性要求条件が求められているか;そして、
ii)機能それ自体に対して、どのようなレベルの安全性が要求されているか(フォールト・トレランス(FT)、フォールト・サイレンス(FS)、なにも要求しない(N))。
それから、ステップ 931 において、それぞれの機能に対して、複製をインプリメントするように選ばれた機能のインプリメンテーションモードと、票決機構とが要求されれ、それは、それまでに生成された安全性要求条件に依存している。このステップにおいて、われわれはまた、図3Aないし3D、4Aないし4Dに示されているように、自由性条件を収集する。
この段階において、われわれは電子制御ユニット(ECU)と、システムをインプリメントするネットワークを特定する。安全性解析が定量的なコンテキストにおいては、各ハードウエア構成要素の予期される単位時間当たりの故障率が特定される。
このステップにおいて、例えば図4において図解されているように、機能が電子制御ユニットに写像される。
このステップは、自由性条件のベリフィケーションからなる。このベリフィケーションは自動的に実行されることが可能である。例えば、自由性条件に結びつけられたデータフローは、設計ツールとしてプログラム化されたコンピュータに受入れらるようなデータベース中に記録されることができるであろう。データフローをインプリメントする構成要素も、また、類似のやり方でそのようなデータベース中に記録されることができるであろう。われわれは、それから、その設計ツールを用いて、いくつかの自由なデータフフローをインプリメントする構成要素が存在するか否かを、自動的に見いだす。
このステップにおいては、配線の経路、コネクタおよび電子制御ユニット間のケーブル、バッテリー、センサ、アクチュエータおよびさらに一般な電気構成要素が特定される。
自由性のプロパティは、構成要素の写像を通じて洗練される:2つの配線W1とW2とが、それぞれ、データフローD1とD2を同一のコネクタCに運んでいるとする。もしもCが誤っているとすると、W1とW2の両方が、同じ誤りによって非接続となり、それは、自由性条件条件に関して、健全ではない。
−同じコネクタへ自由なデータフローを運んでいる配線を、確率が特定されている場合と、コネクタが誤っている確率が、要求されている自由性の誤りの確率よりも低い場合とを除いて、非接続とすること。
−集結し、1つのケーブル中で自由なデータフローを運んでいる配線を、ケーブル製造プロセスが、十分に低い確率にまで、短絡、断線の発生を抑えている場合を除いて、非接続とすること。
Claims (9)
- システムのアーキテクチャを生み出す方法であって、前記アーキテクチャは相互に接続された複数の電気装置を含み、前記システムは、望ましい例としてフォールト・トレラントなシステムを含み、
前記方法は、
a)一組の望ましくないイベントを識別し、前記望ましくないイベントのそれぞれに、それぞれの深刻度の指標を付けることを含み、
b)前記望ましくないイベントのそれぞれを、可能性がある場所において、前記アーキテクチャの1つまたは複数のアクチュエータに結びつけて考えることを含み、
c)前記アーキテクチャのインプリメンテーションのために提案された最初のアーキテクチャの機能仕様を開発することを含み、前記最初のアーキテクチャの前記機能仕様は、構成要素へのデータフローと該構成要素間のデータフローとを含み、該構成要素は、例として、センサまたはアクチュエータを含み、
前記方法は、
d)前記機能仕様において、各前記望ましくないイベントの深刻度に結びつけて考えられたフォールト・トレランスの要求条件を洗練し、洗練された、前記機能仕様のフォールト・トレランスの要求条件を発信することを含み、
e)前記機能仕様において、複製と該複製に付けられた該複製の独立性の指標とを作り出すことを含み、前記独立性の指標は前記洗練されたフォールト・トレランスの要求条件を反映し、
前記方法は、
f)前記システムのアーキテクチャのための、相互にネットワークで接続された一連の電子制御ユニットを例とする、ハードウエア構造を限定することを含み、
g)前記機能仕様を前記ハードウエア構造の上に写像することを含み、
h)前記独立性の指標が、写像の過程において、保存されることを自動的にベリファイすることを含むことを特徴とするシステムのアーキテクチャを生み出す方法。 - 請求項1に記載のシステムのアーキテクチャを生み出す方法において、望ましくは前記 c)の段階において、ノミナル・モードおよびリンプ-ホーム・モードを例とする一連のオペレーションのモードを定義することを特徴とするシステムのアーキテクチャを生み出す方法。
- 請求項2に記載のシステムのアーキテクチャを生み出す方法において、前記一連のオペレーションのモードを1つまたは複数のステート・チャートの形で明確化することを特徴とするシステムのアーキテクチャを生み出す方法。
- 請求項1、2または3に記載のシステムのアーキテクチャを生み出す方法において、ハードウエア構成要素および/または配線に、写像を幾何学的に行った後に、前記独立性の指標が該写像に際して保存されていることを自動的にベリファイすることを特徴とするシステムのアーキテクチャを生み出す方法。
- 請求項1、2、3または4に記載のシステムのアーキテクチャを生み出す方法において、深刻度を、単位時間当たりに故障が起こる確率の形で特定することを特徴とするシステムのアーキテクチャを生み出す方法。
- 請求項1ないし5のいずれかに記載のシステムのアーキテクチャを生み出す方法において、前記アーキテクチャを製造するために一組のデータを出力することを特徴とするシステムのアーキテクチャを生み出す方法。
- 請求項1ないし6のいずれかに記載のシステムのアーキテクチャを生み出す方法において、前記アーキテクチャは、ブレーキ・システムのための制御回路を例とする安全性重視アーキテクチャを例とする、車両のためのアーキテクチャであることを特徴とするシステムのアーキテクチャを生み出す方法。
- コンピュータ読み取り可能な媒体を含むコンピュータ・プログラム製品において、前記媒体は、コンピュータ・プログラムのコード手段を有し、前記プログラムがロードされたときに、前記コード手段は、コンピュータに、システムのアーキテクチャを設計し、ベリファイする手順を実行させ、
前記手順は、
a)一組の望ましくないイベントを識別し、前記望ましくないイベントのそれぞれに、それぞれの深刻度の指標を付けることを含み、
b)前記望ましくないイベントのそれぞれを、可能性がある場所において、前記アーキテクチャの1つまたは複数のアクチュエータに結びつけて考えることを含み、
c)前記アーキテクチャのインプリメンテーションのために提案された最初のアーキテクチャの機能仕様を開発することを含み、前記最初のアーキテクチャの前記機能仕様は、構成要素へのデータフローと該構成要素間のデータフローとを含み、前記構成要素は、例として、センサまたはアクチュエータを含み、
前記手順は、
d)前記機能仕様において、各前記望ましくないイベントの深刻度に結びつけて考えられたフォールト・トレランスの要求条件を洗練し、洗練された、前記機能仕様のフォールト・トレランスの要求条件を発信することを含み、
e)前記機能仕様において、複製と該複製に付けられた該複製の独立性の指標とを作り出すことを含み、前記独立性の指標は前記洗練されたフォールト・トレランスの要求条件を反映し、
前記手順は、
f)前記システムのアーキテクチャのための、相互にネットワークで接続された一連の電子制御ユニットを例とする、ハードウエア構造を限定する(define)ことを含み、
g)前記機能仕様を前記ハードウエア構造の上に写像することを含み、
h)前記独立性の指標が、写像の過程において、保存されることを自動的にベリファイすることを含むことを特徴とするコンピュータ読み取り可能な媒体を含むコンピュータ・プログラム製品。 - システムのアーキテクチャの設計とベリフィケーションに適合した設計ツールであって、前記設計ツールは、請求項1ないし7のいずれかに記載のシステムのアーキテクチャを生み出す方法における各段階のインプリメンテーションに適合するか、または、請求項8に記載のコンピュータ読み取り可能な媒体を含むコンピュータ・プログラム製品を用いてプログラムされることを特徴とする、システムのアーキテクチャの設計とベリフィケーションに適合した設計ツール。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP04300018A EP1555587B1 (en) | 2004-01-13 | 2004-01-13 | Design of safety critical system |
EP04300018.1 | 2004-01-13 | ||
PCT/IB2005/050701 WO2005069089A2 (en) | 2004-01-13 | 2005-01-13 | Design of safety critical systems |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007528532A true JP2007528532A (ja) | 2007-10-11 |
JP2007528532A6 JP2007528532A6 (ja) | 2008-01-17 |
Family
ID=34610242
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006548570A Pending JP2007528532A (ja) | 2004-01-13 | 2005-01-13 | 安全性重視システムの設計方法 |
Country Status (6)
Country | Link |
---|---|
US (1) | US7694250B2 (ja) |
EP (2) | EP1555587B1 (ja) |
JP (1) | JP2007528532A (ja) |
AT (2) | ATE511669T1 (ja) |
DE (1) | DE602005006732D1 (ja) |
WO (1) | WO2005069089A2 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11151076B2 (en) | 2016-04-28 | 2021-10-19 | Hitachi Automotive Systems, Ltd. | Vehicle control system verification device, vehicle control system, and vehicle control system verification method |
Families Citing this family (25)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2936766A3 (fr) * | 2008-10-07 | 2010-04-09 | Renault Sas | Procede de traitement de signaux issus de differents capteurs pour determiner la position d'un organe de commande de direction d'un vehicule automobile |
US8117483B2 (en) * | 2009-05-13 | 2012-02-14 | Freescale Semiconductor, Inc. | Method to calibrate start values for write leveling in a memory system |
US9678483B2 (en) | 2011-01-26 | 2017-06-13 | Honeywell International Inc. | Programmable controller with both safety and application functions |
DE102011075545A1 (de) * | 2011-05-10 | 2012-11-15 | Robert Bosch Gmbh | Verfahren und Vorrichtung zur Überprüfung eines Sensorsignals und zur Ansteuerung eines Insassenschutzmittels eines Fahrzeugs |
US8397191B1 (en) * | 2011-11-07 | 2013-03-12 | Xilinx, Inc. | Determining failure rate from circuit design layouts |
US10379143B2 (en) | 2014-07-23 | 2019-08-13 | Cummins, Inc. | System and method for improving a battery management and accumulator system |
CN106573530B (zh) | 2014-08-26 | 2018-08-03 | 康明斯有限公司 | 电动发动机附件控制 |
EP3110061B1 (de) * | 2015-06-23 | 2020-03-11 | TTTech Auto AG | Verteiltes echtzeitcomputersystem sowie verfahren zur erzwingung des fail-silent-verhaltens eines verteilten echtzeitcomputersystems |
KR20170111076A (ko) * | 2016-03-25 | 2017-10-12 | 엘에스산전 주식회사 | 철도 차량의 제동장치 고장 진단 장치와 이를 이용한 제동 성능 저하에 따른 자동 열차 운전 장치 및 철도 차량의 제동장치 고장 진단 방법 |
WO2017179059A1 (en) * | 2016-04-14 | 2017-10-19 | B. G. Negev Technologies And Applications Ltd., At Ben-Gurion University | Self-stabilizing secure and heterogeneous systems |
US10417077B2 (en) | 2016-09-29 | 2019-09-17 | 2236008 Ontario Inc. | Software handling of hardware errors |
CA3052954C (en) | 2017-02-10 | 2023-04-04 | Nissan North America, Inc. | Autonomous vehicle operational management including operating a partially observable markov decision process model instance |
KR102090919B1 (ko) | 2017-02-10 | 2020-05-18 | 닛산 노쓰 아메리카, 인크. | 자율주행 차량 운용 관리 차단 모니터링 |
WO2019089015A1 (en) | 2017-10-31 | 2019-05-09 | Nissan North America, Inc. | Autonomous vehicle operation with explicit occlusion reasoning |
WO2020204871A1 (en) | 2017-12-22 | 2020-10-08 | Nissan North America, Inc. | Shared autonomous vehicle operational management |
WO2019164531A1 (en) | 2018-02-26 | 2019-08-29 | Nissan North America, Inc. | Centralized shared autonomous vehicle operational management |
US11120688B2 (en) | 2018-06-29 | 2021-09-14 | Nissan North America, Inc. | Orientation-adjust actions for autonomous vehicle operational management |
CN110807773B (zh) * | 2019-11-12 | 2023-04-11 | 中广核检测技术有限公司 | 一种核电站表面缺陷全景图像检测方法 |
US11635758B2 (en) | 2019-11-26 | 2023-04-25 | Nissan North America, Inc. | Risk aware executor with action set recommendations |
US11899454B2 (en) | 2019-11-26 | 2024-02-13 | Nissan North America, Inc. | Objective-based reasoning in autonomous vehicle decision-making |
US11613269B2 (en) * | 2019-12-23 | 2023-03-28 | Nissan North America, Inc. | Learning safety and human-centered constraints in autonomous vehicles |
US11300957B2 (en) | 2019-12-26 | 2022-04-12 | Nissan North America, Inc. | Multiple objective explanation and control interface design |
US11577746B2 (en) | 2020-01-31 | 2023-02-14 | Nissan North America, Inc. | Explainability of autonomous vehicle decision making |
US11714971B2 (en) | 2020-01-31 | 2023-08-01 | Nissan North America, Inc. | Explainability of autonomous vehicle decision making |
US11782438B2 (en) | 2020-03-17 | 2023-10-10 | Nissan North America, Inc. | Apparatus and method for post-processing a decision-making model of an autonomous vehicle using multivariate data |
Family Cites Families (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5598344A (en) * | 1990-04-06 | 1997-01-28 | Lsi Logic Corporation | Method and system for creating, validating, and scaling structural description of electronic device |
WO1993013340A1 (en) * | 1991-12-23 | 1993-07-08 | Caterpillar Inc. | Vehicle diagnostic control system |
US5365423A (en) * | 1992-01-08 | 1994-11-15 | Rockwell International Corporation | Control system for distributed sensors and actuators |
DE19527541A1 (de) * | 1995-07-27 | 1997-01-30 | Siemens Ag | Vorrichtung zur Erzeugung von Steuersignalen |
US6999824B2 (en) * | 1997-08-21 | 2006-02-14 | Fieldbus Foundation | System and method for implementing safety instrumented systems in a fieldbus architecture |
US6199173B1 (en) * | 1997-10-01 | 2001-03-06 | Micron Electronics, Inc. | Method for mapping environmental resources to memory for program access |
US5914845A (en) * | 1998-05-01 | 1999-06-22 | Chase; Ronald Cole | Surge protector system |
US6161071A (en) * | 1999-03-12 | 2000-12-12 | Navigation Technologies Corporation | Method and system for an in-vehicle computing architecture |
US6647301B1 (en) * | 1999-04-22 | 2003-11-11 | Dow Global Technologies Inc. | Process control system with integrated safety control system |
US6789054B1 (en) * | 1999-04-25 | 2004-09-07 | Mahmoud A. Makhlouf | Geometric display tools and methods for the visual specification, design automation, and control of adaptive real systems |
EP1100007A3 (en) | 1999-08-13 | 2001-12-05 | General Electric Company | A method of optimizing a design project |
US7865349B2 (en) * | 2001-01-19 | 2011-01-04 | National Instruments Corporation | Simulation, measurement and/or control system and method with coordinated timing |
SE522545C2 (sv) * | 2001-03-06 | 2004-02-17 | Goalart Ab | System, anordning och förfarande för diagnostisering av flödesprocesser |
US7451063B2 (en) * | 2001-07-20 | 2008-11-11 | Red X Holdings Llc | Method for designing products and processes |
GB0122681D0 (en) * | 2001-09-20 | 2001-11-14 | Mead Corp | Packaging systems apparatus and method therefor |
US7260505B2 (en) * | 2002-06-26 | 2007-08-21 | Honeywell International, Inc. | Method and apparatus for developing fault codes for complex systems based on historical data |
FR2846117B1 (fr) * | 2002-10-21 | 2008-08-22 | Renault Sas | Procede et dispositif pour synthetiser une architecture electrique |
JP2006510990A (ja) * | 2002-12-20 | 2006-03-30 | ルノー・エス・アー・エス | 機能アーキテクチャの機能の欠陥診断方法 |
US7913232B2 (en) * | 2003-02-21 | 2011-03-22 | The Math Works, Inc. | Certifying software for safety-critical systems |
US8180466B2 (en) * | 2003-11-21 | 2012-05-15 | Rosemount Inc. | Process device with supervisory overlayer |
US7076350B2 (en) * | 2003-12-19 | 2006-07-11 | Lear Corporation | Vehicle energy management system using prognostics |
-
2004
- 2004-01-13 AT AT04300018T patent/ATE511669T1/de not_active IP Right Cessation
- 2004-01-13 EP EP04300018A patent/EP1555587B1/en not_active Expired - Lifetime
-
2005
- 2005-01-13 EP EP05708849A patent/EP1706799B1/en not_active Not-in-force
- 2005-01-13 DE DE602005006732T patent/DE602005006732D1/de not_active Expired - Fee Related
- 2005-01-13 AT AT05708849T patent/ATE395643T1/de not_active IP Right Cessation
- 2005-01-13 JP JP2006548570A patent/JP2007528532A/ja active Pending
- 2005-01-13 US US10/585,934 patent/US7694250B2/en not_active Expired - Fee Related
- 2005-01-13 WO PCT/IB2005/050701 patent/WO2005069089A2/en active IP Right Grant
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11151076B2 (en) | 2016-04-28 | 2021-10-19 | Hitachi Automotive Systems, Ltd. | Vehicle control system verification device, vehicle control system, and vehicle control system verification method |
Also Published As
Publication number | Publication date |
---|---|
ATE511669T1 (de) | 2011-06-15 |
EP1555587B1 (en) | 2011-06-01 |
DE602005006732D1 (de) | 2008-06-26 |
US20070168096A1 (en) | 2007-07-19 |
EP1706799B1 (en) | 2008-05-14 |
US7694250B2 (en) | 2010-04-06 |
WO2005069089A2 (en) | 2005-07-28 |
EP1706799A2 (en) | 2006-10-04 |
EP1555587A1 (en) | 2005-07-20 |
WO2005069089A3 (en) | 2005-10-27 |
ATE395643T1 (de) | 2008-05-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2007528532A (ja) | 安全性重視システムの設計方法 | |
JP2007528532A6 (ja) | 安全性重視システムの設計方法 | |
JP4749414B2 (ja) | 組み込まれたシステムの実証方法 | |
Kopetz | Software engineering for real-time: A roadmap | |
Pataricza et al. | UML-based design and formal analysis of a safety-critical railway control software module | |
JP5680514B2 (ja) | 自己診断機能を備えたコンピュータ、ソフトウェア作成方法、およびソフトウェア作成装置 | |
Pimentel | An architecture for a safety-critical steer-by-wire system | |
Gunzert et al. | Component-based development and verification of safety critical software for a brake-by-wire system with synchronous software components | |
Banci et al. | The role of formal methods in developing a distributed railway interlocking system | |
Battram et al. | A Modular Safety Assurance Method considering Multi-Aspect Contracts during Cyber Physical System Design. | |
Qiu | Decentralized/distributed failure diagnosis and supervisory control of discrete event systems | |
Morel | Model-based safety approach for early validation of integrated and modular avionics architectures | |
KR20060110358A (ko) | 안전 임계 시스템의 설계 | |
Zhai et al. | Achieving ASIL D for microcontroller in safety-critical drive-by-wire system | |
Philippi | Analysis of fault tolerance and reliability in distributed real-time system architectures | |
Braun et al. | Simulation-based verification of the MOST netinterface specification revision 3.0 | |
Chaaban et al. | Simulation of a steer-by-wire system using FlexRay-based ECU network | |
Hedenetz | A development framework for ultra-dependable automotive systems based on a time-triggered architecture | |
Ammar et al. | Formal verification of Time-Triggered Ethernet protocol using PRISM model checker | |
Touloupis et al. | Safety-critical architectures for automotive applications | |
Debouk et al. | Architecture of by-wire systems design elements and comparative methodology | |
Pimentel | Safety-critical automotive systems | |
Papadopoulos et al. | Component Failure Behaviour: Patterns and Reuse in Automated System Safety Analysis | |
France et al. | The Modeling and Simulation of an Automotive Braking System Using the TTP/C Protocol | |
Hall et al. | Verification and validation of distributed flight critical systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20071220 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100810 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20100929 |
|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20101006 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20101012 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20101104 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110201 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110927 |