JP2023047373A - 車両システム - Google Patents

車両システム Download PDF

Info

Publication number
JP2023047373A
JP2023047373A JP2021156244A JP2021156244A JP2023047373A JP 2023047373 A JP2023047373 A JP 2023047373A JP 2021156244 A JP2021156244 A JP 2021156244A JP 2021156244 A JP2021156244 A JP 2021156244A JP 2023047373 A JP2023047373 A JP 2023047373A
Authority
JP
Japan
Prior art keywords
asil
level
ecu
zone
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2021156244A
Other languages
English (en)
Inventor
信裕 杉山
Nobuhiro Sugiyama
曜 ▲柳▼田
Akira Yanagida
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yazaki Corp
Original Assignee
Yazaki Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yazaki Corp filed Critical Yazaki Corp
Priority to JP2021156244A priority Critical patent/JP2023047373A/ja
Priority to PCT/JP2022/035625 priority patent/WO2023048274A1/ja
Priority to CN202280059606.5A priority patent/CN117940321A/zh
Publication of JP2023047373A publication Critical patent/JP2023047373A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】安全性を確保するシステムを適正に構築することができる車両システムを提供する。【解決手段】車両システム1において、複数の機器Eは、実現する機能に対してそれぞれ予め定められたレベルの安全基準が設定されている。セントラルECU30は、安全基準のレベル毎に割り当てられ、割り当てられたレベルに応じた確認処理を機器Eに対して実行可能であるASIL用ECU31~34を含む。ネットワーク分岐部40は、複数のゾーンECU21~24から送信される機器Eからの入力信号を、当該機器Eの機能に対応したレベルが割り当てられたASIL用ECU31~34に振り分けて送信し、且つ、ASIL用ECU31~34から送信されるASIL用ECU31~34からの出力信号を、確認処理の対象となった機器Eからの入力信号を送信したゾーンECU21~24に振り分けて送信する。【選択図】図1

Description

本発明は、車両システムに関する。
従来、車両システムとして、例えば、特許文献1には、異なる安全度が設定される複数のソフトウェアを用いて車両を制御する車両制御装置が記載されている。この車両制御装置は、例えば、異なる安全度が設定される複数のソフトウェアと、複数のソフトウェアの安全度に対応して複数に区分され、ソフトウェアにより演算されるデータを記憶する安全度対応記憶領域と、安全度の高いソフトウェアによって演算されたデータを安全度の低いソフトウェアのアクセス用に記憶する共有記憶領域と、ソフトウェアの安全度に応じて、同一のデータを参照する際のアクセス先の記憶領域を切り換える切換部とを備え、複数のソフトウェアは、同一のデータを参照するために切換部を呼び出す関数を含む。この構成により、車両制御装置は、ソフトウェアがアクセスする記憶領域が変更される場合にメモリ管理ユニットのようなハードウェアを用いなくても、ソフトウェアの関数によって切換部を呼び出して同一のデータを参照することができるので、ソフトウェアの再利用性を高めることができる。
特開2015-99517号公報
ところで、上述の特許文献1に記載の車両制御装置は、例えば、同一の車両制御装置の中に安全度が異なるソフトウェアを混在させているので、安全度が高いソフトウェアに装置の性能を合わせる必要があり、この結果、安全度が低いソフトウェアを実行する際には過剰な性能となるおそれがある。
そこで、本発明は、上記に鑑みてなされたものであって、安全性を確保するシステムを適正に構築することができる車両システムを提供することを目的とする。
上述した課題を解決し、目的を達成するために、本発明に係る車両システムは、車両に搭載され、実現する機能に対してそれぞれ予め定められたレベルの安全基準が設定された複数の機器と、それぞれが制御系統ごとに区分けされた前記機器を制御する複数の機器制御部と、前記複数の機器に対して前記安全基準に関する確認処理を実行可能な中央制御部と、前記機器からの前記確認処理に係る入力信号、及び、前記中央制御部からの前記確認処理に係る出力信号を、前記複数の機器制御部と前記中央制御部との間で中継する中継部と、を備え、前記中央制御部は、前記安全基準の前記レベル毎に割り当てられ、前記割り当てられたレベルに応じた前記確認処理を前記機器に対して実行可能である複数の単一レベル用制御部を含み、前記中継部は、前記複数の機器制御部から送信される前記機器からの前記入力信号を、当該機器の機能に対応した前記レベルが割り当てられた前記単一レベル用制御部に振り分けて送信し、且つ、前記複数の単一レベル用制御部から送信される前記単一レベル用制御部からの前記出力信号を、前記確認処理の対象となった前記機器からの前記入力信号を送信した前記機器制御部に振り分けて送信することを特徴とする。
本発明に係る車両システムは、複数のレベルの安全基準に関する処理を実行する必要がなく、これにより、従来のように同一のシステムの中に複数レベルの安全基準がある場合に、レベルの高い安全基準の処理を、レベルの低い安全基準の処理を行うものに対しても適用する必要がなくなり、過剰性能を与えずにすむので、安全性を確保するシステムを適正に構築することができる。
図1は、実施形態に係る車両システムの構成例を示す概略図である。 図2は、実施形態に係る車両システムの構成例を示すブロック図である。 図3は、実施形態に係るゾーンECUの構成例を示すブロック図である。 図4は、実施形態に係る車両の機能と車両安全基準との関係を示す図である。 図5は、実施形態に係るASIL-Aのソフトウェアの構成例を示す図である。 図6は、実施形態に係るASIL-Bのソフトウェアの構成例を示す図である。 図7は、実施形態に係るASIL-Cのソフトウェアの構成例を示す図である。 図8は、実施形態に係るASIL-Dのソフトウェアの構成例を示す図である。 図9は、実施形態に係る入力信号のフレームの構成例を示す図である。 図10は、実施形態に係るレベル統合フレームの構成例を示す図である。 図11は、実施形態に係る出力信号のフレームの構成例を示す図である。 図12は、実施形態に係る送信先統合フレームの構成例を示す図である。 図13は、実施形態に係るフレームの通信例を示す図である。 図14は、実施形態に係る車両システムの動作例を示すフローチャートである。 図15は、実施形態の第1変形例に係る車両システムの構成例を示す概略図である。 図16は、実施形態の第2変形例に係る車両システムの構成例を示す概略図である。
本発明を実施するための形態(実施形態)につき、図面を参照しつつ詳細に説明する。以下の実施形態に記載した内容により本発明が限定されるものではない。また、以下に記載した構成要素には、当業者が容易に想定できるもの、実質的に同一のものが含まれる。更に、以下に記載した構成は適宜組み合わせることが可能である。また、本発明の要旨を逸脱しない範囲で構成の種々の省略、置換又は変更を行うことができる。
〔実施形態〕
図面を参照しながら実施形態に係る車両システム1について説明する。車両システム1は、車両Vに設けられ、当該車両Vに搭載された複数の機器Eを制御するものである。複数の機器Eは、制御系統ごとに区分けされている。複数の制御系統には、例えば、エンジン(モータ)で発生した回転エネルギーを効率よく駆動輪に伝えるための装置類を表すパワートレイン系(パワトレ系)を表す制御系統や、スペンション、ステアリング等を含むシャーシ系を表す制御系統、ADAS(Advanced Driver-Assistance Systems;先進運転支援システム)又は自動運転系を表す制御系統、バックライト等を含むボディ系を表す制御系統等がある。なお、ADASとは、各種センサーを用いて車両Vの周囲の状況を把握し、運転者の運転操作を支援するものである。複数の機器Eは、図1に示すように、車両VのエリアD(「ゾーン」とも称する。)ごとに区分けされて設けられている。ここで、エリアDとは、車両Vにおける一定の範囲を示すものであり、当該車両Vは、複数のエリアD(例えば、第1エリアD1~第4エリアD4)に区分けされている。
各エリアDには、複数の機器Eが設けられており、複数の機器Eは、予め定められたレベルの安全基準(自動車安全水準)、すなわちASIL(Automotive Safety Integrity Level)が設定された機能を実現するものである。つまり、ASILは、車両Vの機能ごとに設定されており、複数の機器Eは、ASILが設定された機能を実現する。ここで、ASILとは、ISO26262規格で定義された車両Vの安全基準を表すものであり、安全基準のレベルに応じてASIL-A~ASIL-Dの4段階を含む。ASILは、ASIL-AからASIL-Dに向けて安全基準のレベルが高くなる。すなわち、ASIL-Dが最も安全基準のレベルが高く、ASIL-Cが安全基準のレベルが2番目に高く、ASIL-Bが安全基準のレベルが3番目に高く、ASIL-Aが最も安全基準のレベルが低い。車両システム1は、ASILが定められた機能を実現する各機器Eを制御するものであり、以下、車両システム1について詳細に説明する。
車両システム1は、TCU(Telematics control unit)10と、複数の機器Eと、機器制御部20と、中央制御部としてセントラルECU30と、中継部としてのネットワーク分岐部40とを備える。
TCU10は、車両Vの外部に設けられた外部装置と通信可能な無線通信機器である。TCU10は、アンテナを介して車両Vと当該車両Vの外部装置とを無線により接続し、車両Vと当該車両Vの外部装置との間で信号の送受信を行う。TCU10は、例えば、広域無線、狭域無線等、種々の方式の無線通信により外部装置と無線通信する。TCU10は、ネットワーク分岐部40に接続され、外部装置から受信した信号をネットワーク分岐部40に出力する。また、TCU10は、ネットワーク分岐部40から出力された信号を外部装置に送信する。
複数の機器Eは、車両Vに搭載され、当該車両Vを制御する各種処理を実行するものであり、上述したように、車両VのエリアDごとに区分けされて設けられている。各エリアDには、それぞれ異なる制御系統の機器Eが混在している。各エリアDには、例えば、パワートレイン系(パワトレ系)の機器E、シャーシ系の機器E、ADAS又は自動運転系の機器E、ボディ系の機器E等のうち少なくとも1つが含まれる。
機器制御部20は、複数の機器Eを制御するものであり、複数のゾーンECU21~24を含んで構成される。複数のゾーンECU21~24は、エリアDごとに区分けされて設けられている。
ゾーンECU21は、第1エリアD1に設けられており、パワトレ系の機器E、シャーシ系の機器E、ADAS又は自動運転系の機器E、ボディ系の機器E等のうち少なくとも1つの機器Eが接続され、それぞれ異なる制御系統の機器Eが混在して接続されている。ゾーンECU21は、例えば、図3に示すように、I/F20aと、CPU20bと、I/O20cとを備える。
I/F20aは、接続ケーブルのコネクタ形状を規定し、さらに、信号のフォーマット、通信のプロトコル、信号の処理手順等を規定するものである。I/F20aは、CPU20b及びネットワーク分岐部40に接続され、CPU20bから出力された信号をネットワーク分岐部40に出力する。また、I/F20aは、ネットワーク分岐部40から出力された信号をCPU20bに出力する。
CPU20bは、複数の機器Eを制御するものである。CPU20bは、I/O20c及びI/F20aに接続され、I/O20cを介して機器Eから出力された信号をI/F20aに出力する。また、CPU20bは、I/F20aから出力された信号に基づいて、I/O20cを介して機器Eを制御する。
I/O20cは、信号を入力及び出力可能な入出力回路である。I/O20cは、I/O211cと、I/O212cと、I/O213cと、I/O214cとを含んで構成される。I/O211c~I/O214cは、それぞれ異なるASILが設定された機能を実現する機器Eが接続される。具体的には、I/O211cは、ASIL-Aが設定された機能を実現する機器Eが接続され、I/O212cは、ASIL-Bが設定された機能を実現する機器Eが接続され、I/O213cは、ASIL-Cが設定された機能を実現する機器Eが接続され、I/O214cは、ASIL-Dが設定された機能を実現する機器Eが接続される。I/O211c~I/O214cは、複数の機器E及びCPU20bに接続され、複数の機器Eから出力された信号をCPU20bに出力する。また、I/O211c~I/O214cは、CPU20bから出力される信号を複数の機器Eに出力する。上述のように構成されたゾーンECU21は、機器Eからの入力信号S1を、ネットワーク分岐部40に送信する。また、ゾーンECU21は、ネットワーク分岐部40から送信された出力信号S4に基づいて、機器Eを制御する。
ゾーンECU22は、第2エリアD2に設けられており、パワトレ系の機器E、シャーシ系の機器E、ADAS又は自動運転系の機器E、ボディ系の機器E等のうち少なくとも1つの機器Eが接続され、それぞれ異なる制御系統の機器Eが混在して接続されている。ゾーンECU22は、例えば、図3に示すように、I/F20aと、CPU20bと、I/O20cとを備える。なお、I/F20a、CPU20b、及び、I/O20cの具体的な構成は、上記ゾーンECU21で説明したので、ここでは省略する。ゾーンECU22は、機器Eからの入力信号S1を、ネットワーク分岐部40に送信する。また、ゾーンECU22は、ネットワーク分岐部40から送信された出力信号S4に基づいて、機器Eを制御する。
ゾーンECU23は、第3エリアD3に設けられており、パワトレ系の機器E、シャーシ系の機器E、ADAS又は自動運転系の機器E、ボディ系の機器E等のうち少なくとも1つの機器Eが接続され、それぞれ異なる制御系統の機器Eが混在して接続されている。ゾーンECU23は、例えば、図3に示すように、I/F20aと、CPU20bと、I/O20cとを備える。なお、I/F20a、CPU20b、及び、I/O20cの具体的な構成は、上記ゾーンECU21で説明したので、ここでは省略する。ゾーンECU23は、機器Eからの入力信号S1を、ネットワーク分岐部40に送信する。また、ゾーンECU23は、ネットワーク分岐部40から送信された出力信号S4に基づいて、機器Eを制御する。
ゾーンECU24は、第4エリアD4に設けられており、パワトレ系の機器E、シャーシ系の機器E、ADAS又は自動運転系の機器E、ボディ系の機器E等のうち少なくとも1つの機器Eが接続され、それぞれ異なる制御系統の機器Eが混在して接続されている。ゾーンECU24は、例えば、図3に示すように、I/F20aと、CPU20bと、I/O20cとを備える。なお、I/F20a、CPU20b、及び、I/O20cの具体的な構成は、上記ゾーンECU21で説明したので、ここでは省略する。ゾーンECU24は、機器Eからの入力信号S1を、ネットワーク分岐部40に送信する。また、ゾーンECU24は、ネットワーク分岐部40から送信された出力信号S4に基づいて、機器Eを制御する。
次に、セントラルECU30について説明する。セントラルECU30は、複数の機器Eに対して安全基準(ASIL)に関する確認処理を含み、適切な制御を実行するものである。セントラルECU30は、安全基準のレベル毎に1つずつ割り当てられ、割り当てられたレベルに応じた確認処理を機器Eに対して実行可能である複数のECUを含んで構成される。具体的には、セントラルECU30は、複数のECUとして、ASIL-A用ECU31と、ASIL-B用ECU32と、ASIL-C用ECU33と、ASIL-D用ECU34とを含んで構成される。
ASIL-A用ECU31は、複数の機器Eに対してASIL―Aに関する確認処理を含み、適切な制御を実行するもので、個々のECUを統合した統合ECUである。ASIL-A用ECU31は、CPU、記憶部を構成するROM、RAM及びインターフェースを含む周知のマイクロコンピュータを主体とする電子回路を含んで構成される。ASIL-A用ECU31は、ASILの中で最も安全基準のレベルが低いASIL-Aが設定された機能を実現する機器Eからの入力信号S2(後述するレベル統合フレームF21)に含まれるデータに対して、ASIL―Aに関する確認処理を実行する。ASIL-Aが設定された機能には、例えば、図4に示すように、ナビゲーション機能、バックライトを点灯する機能等が含まれる。ASIL-A用ECU31は、ナビゲーション機能、バックライトを点灯する機能等を実現する機器Eからの入力信号S2に含まれるデータに対して、当該ASIL-A用ECU31に割り当てられた安全基準のレベル(ASIL-A)に応じた確認処理を実行する。ASIL-A用ECU31は、例えば、図5に示すように、ASIL-Aに応じた確認処理として、入出力データのチェックを含むエラー検出B2を実行する。ASIL-A用ECU31は、通常の処理(例えば、ナビゲーション処理、バックライト点灯処理)を実行するソフトウェアB1に対して、エラー検出B2を実行して入出力データを確認する。ASIL-A用ECU31は、確認結果が正常である場合、その旨を表す出力信号S3をネットワーク分岐部40に送信し、確認結果が異常である場合、その旨を表す出力信号S3をネットワーク分岐部40に送信する。
ASIL-B用ECU32は、複数の機器Eに対してASIL―Bに関する確認処理を含み、適切な制御を実行するもので、個々のECUを統合した統合ECUである。ASIL-B用ECU32は、CPU、記憶部を構成するROM、RAM及びインターフェースを含む周知のマイクロコンピュータを主体とする電子回路を含んで構成される。一般的には、ASIL-B用ECU32は、ASIL-A用ECU31よりも高性能(CPUのクロック数が高い)である。ASIL-B用ECU32は、ASILの中で3番目に安全基準のレベルが高いASIL-Bが設定された機能を実現する機器Eからの入力信号S2(後述するレベル統合フレームF22)に含まれるデータに対して、ASIL―Bに関する確認処理を実行する。ASIL-Bが設定された機能には、例えば、図4に示すように、リアビューカメラ機能、後退運転を支援する機能等が含まれる。ASIL-B用ECU32は、リアビューカメラ機能、後退運転を支援する機能等を実現する機器Eからの入力信号S2に含まれるデータに対して、当該ASIL-B用ECU32に割り当てられた安全基準のレベル(ASIL-B)に応じた確認処理を実行する。ASIL-B用ECU32は、例えば、図6に示すように、ASIL-Bに応じた確認処理として、入出力データのチェック及びデータ妥当性チェックを含むエラー検出B2を実行する。ASIL-B用ECU32は、通常の処理(例えば、リアビューカメラ機能、後退運転を支援する機能)を実行するソフトウェアB1に対して、エラー検出B2を実行して入出力データをチェックし且つデータの妥当性をチェックする。ASIL-B用ECU32は、確認結果が正常である場合、その旨を表す出力信号S3をネットワーク分岐部40に送信し、確認結果が異常である場合、その旨を表す出力信号S3をネットワーク分岐部40に送信する。
ASIL-C用ECU33は、複数の機器Eに対してASIL―Cに関する確認処理を含み、適切な制御を実行するもので、個々のECUを統合した統合ECUである。ASIL-C用ECU33は、CPU、記憶部を構成するROM、RAM及びインターフェースを含む周知のマイクロコンピュータを主体とする電子回路を含んで構成される。一般的には、ASIL-C用ECU33は、ASIL-B用ECU32よりも高性能(CPUのクロック数が高い)である。ASIL-C用ECU33は、ASILの中で2番目に安全基準のレベルが高いASIL-Cが設定された機能を実現する機器Eからの入力信号S2(後述するレベル統合フレームF23)に含まれるデータに対して、ASIL―Cに関する確認処理を実行する。ASIL-Cが設定された機能には、例えば、図4に示すように、車車間通信機能、路車間通信機能等が含まれる。ASIL-C用ECU33は、車車間通信機能、路車間通信機能等を実現する機器Eからの入力信号S2に含まれるデータに対して、当該ASIL-C用ECU33に割り当てられた安全基準のレベル(ASIL-C)に応じた確認処理を実行する。ASIL-C用ECU33は、例えば、図7に示すように、ASIL-Cに応じた確認処理として、入出力データのチェック、データ妥当性チェック、及び外部モニタリングを含むエラー検出B2を実行し、さらに、エラー表示、縮退機能を含むエラー処理B3を実行する。ASIL-C用ECU33は、通常の処理(例えば、車車間通信機能、路車間通信機能)を実行するソフトウェアB1に対して、エラー検出B2を実行して入出力データのチェック、データ妥当性チェック、及び外部モニタリングをチェックし、確認結果が正常である場合、その旨を表す出力信号S3をネットワーク分岐部40に送信し、確認結果が異常である場合、エラー処理B3を実行してエラー表示や縮退運転を実行する旨を表す出力信号S3をネットワーク分岐部40に送信する。
ASIL-D用ECU34は、複数の機器Eに対してASIL―Dに関する確認処理を含み、適切な制御を実行するもので、個々のECUを統合した統合ECUである。ASIL-D用ECU34は、CPU、記憶部を構成するROM、RAM及びインターフェースを含む周知のマイクロコンピュータを主体とする電子回路を含んで構成される。一般的には、ASIL-D用ECU34は、ASIL-C用ECU33よりも高性能(CPUのクロック数が高い)である。ASIL-D用ECU34は、ASILの中で最も安全基準のレベルが高いASIL-Dが設定された機能を実現する機器Eからの入力信号S2(後述するレベル統合フレームF24)に含まれるデータに対して、ASIL―Dに関する確認処理を実行する。ASIL-Dが設定された機能には、例えば、図4に示すように、アンチロックブレーキ機能、電動パワーステアリング機能等が含まれる。ASIL-D用ECU34は、アンチロックブレーキ機能、電動パワーステアリング機能等を実現する機器Eからの入力信号S2に含まれるデータに対して、当該ASIL-D用ECU34に割り当てられた安全基準のレベル(ASIL-D)に応じた確認処理を実行する。ASIL-D用ECU34は、例えば、図8に示すように、ASIL-Dに応じた確認処理として、入出力データのチェック、データ妥当性チェック、外部モニタリング、制御フロー監視、ソフトウェア冗長を含むエラー検出B2を実行し、さらに、エラー表示、縮退機能、並列の冗長処理を含むエラー処理B3を実行する。ASIL-D用ECU34は、通常の処理(例えば、アンチロックブレーキ機能、電動パワーステアリング機能)を実行するソフトウェアB1に対して、エラー検出B2を実行して入出力データのチェック、データ妥当性チェック、外部モニタリング、制御フロー監視、ソフトウェア冗長をチェックし、確認結果が正常である場合、その旨を表す出力信号S3をネットワーク分岐部40に送信し、確認結果が異常である場合、エラー処理B3を実行してエラー表示、縮退運転、並列の冗長処理を実行する旨を表す出力信号S3をネットワーク分岐部40に送信する。
次に、それぞれの安全基準に応じた確認処理の構成について説明する。レベルが相対的に高い安全基準に関する処理は、レベルが相対的に低い安全基準に関する処理を少なくとも一部を含む。例えば、レベルが最も高い安全基準(ASIL-D)に関する処理(エラー検出B2、エラー処理B3)は、図5~図8に示すように、レベルが相対的に低い安全基準(ASIL-A、ASIL-B、ASIL-C)に関する処理(エラー検出B2、エラー処理B3)を全て含む。また、レベルが2番目に高い安全基準(ASIL-C)に関する処理(エラー検出B2、エラー処理B3)は、図5~図7に示すように、レベルが相対的に低い安全基準(ASIL-A、ASIL-B)に関する処理(エラー検出B2)を全て含む。また、レベルが3番目に高い安全基準(ASIL-B)に関する処理(エラー検出B2)は、図5、図6に示すように、レベルが相対的に低い安全基準(ASIL-A)に関する処理(エラー検出B2)を全て含む。
次に、ネットワーク分岐部40について説明する。ネットワーク分岐部40は、機器制御部20(複数のゾーンECU21~24)とセントラルECU30との間で信号を中継するものである。ネットワーク分岐部40は、例えば、機器制御部20から送信される機器Eからの確認処理に係る入力信号S1、及び、セントラルECU30から送信されるセントラルECU30からの確認処理に係る出力信号S3を、機器制御部20とセントラルECU30との間で中継する。ネットワーク分岐部40は、信号統合部41と、信号振分部42とを含んで構成される。
信号統合部41は、複数の信号において、当該信号を構成する各フレームに含まれるデータを統合した統合フレームを生成するものである。信号統合部41は、例えば、複数のゾーンECU21~24から送信される機器Eからの入力信号S1を構成する複数の入力フレームF1に含まれるデータから、レベル毎に抽出したデータを、当該レベル毎に統合して当該レベル毎のレベル統合フレームF2を生成する。ここで、機器Eからの入力信号S1を構成する複数の入力フレームF1は、図9に示すように、複数のデータ領域を含んで構成されている。具体的には、入力フレームF1は、フレームのスタートを表す「フレームスタート」、送信元の識別子を表す「送信元ID:ゾーンECU〇〇」、送信元の識別子を表す「送信先ID:ネットワーク分岐部」、ASIL-A~ASIL-Dまでのデータ領域を表す「ASIL-A」、「ASIL-B」、「ASIL-C」、「ASIL-D」、エラー検出及び訂正領域を表す「エラー検出・訂正領域」、フレームのエンドを表す「フレームエンド」を表すデータ領域を含んで構成される。上記「ASIL-A」のデータ領域には、ASIL-Aが設定された機能を実現する機器Eからのデータが保存され、「ASIL-B」のデータ領域には、ASIL-Bが設定された機能を実現する機器Eからのデータが保存され、「ASIL-C」のデータ領域には、ASIL-Cが設定された機能を実現する機器Eからのデータが保存され、「ASIL-D」のデータ領域には、ASIL-Dが設定された機能を実現する機器Eからのデータが保存される。なお、図9では、4つの入力フレームF1(F11~F14)を図示しており、それぞれの入力フレームF1は、ゾーンECU21~24の各々から送信されるフレームに対応している。例えば、送信元IDがゾーンECU21である入力フレームF11は、ゾーンECU21から送信されるフレームに対応し、送信元IDがゾーンECU22である入力フレームF12は、ゾーンECU22から送信されるフレームに対応し、送信元IDがゾーンECU23である入力フレームF13は、ゾーンECU23から送信されるフレームに対応し、送信元IDがゾーンECU24である入力フレームF14は、ゾーンECU24から送信されるフレームに対応している。
信号統合部41は、複数のゾーンECU21~24から送信される複数の入力フレームF1(F11~F14)に含まれるデータ領域から、安全基準のレベル(ASIL-A~ASIL-D)毎にデータを抽出する。そして、信号統合部41は、安全基準のレベル毎に抽出したデータを、当該レベル毎に統合して当該レベル毎のレベル統合フレームF2(F21~F24)を生成する。ここで、レベル統合フレームF2は、図10に示すように、複数のデータ領域を含んで構成されている。具体的には、レベル統合フレームF2は、フレームのスタートを表す「フレームスタート」、送信元の識別子を表す「送信元ID:ネットワーク分岐部」、送信先の識別子を表す「送信先ID:ASIL-〇用ECU〇〇」、ゾーンECU21~ゾーンECU24までのデータ領域を表す「ゾーンECU21」、「ゾーンECU22」、「ゾーンECU23」、「ゾーンECU24」、エラー検出及び訂正領域を表す「エラー検出・訂正領域」、フレームのエンドを表す「フレームエンド」を表すデータ領域を含んで構成される。
信号統合部41は、例えば、図9に示す4つの入力フレームF1(F11~F14)において、ASIL-Aのデータ領域に含まれるデータ、ASIL-Bのデータ領域に含まれるデータ、ASIL-Cのデータ領域に含まれるデータ、ASIL-Dのデータ領域に含まれるデータを安全基準のレベル毎に区別して抽出する。そして、信号統合部41は、安全基準のレベル(ASIL-A~ASIL-D)毎に抽出したデータを、図10に示すように、同じレベル毎に統合して当該レベル毎のレベル統合フレームF2(F21~F24)を生成する。
信号統合部41は、例えば、図9に示す4つの入力フレームF1(F11~F14)において、ASIL-Aのデータ領域に含まれる全てのデータを、送信先IDをASIL-A用ECU31とするレベル統合フレームF21に統合(集約)する。このとき、信号統合部41は、各ゾーンECU21~24から送信されたASIL-Aのデータを、レベル統合フレームF21におけるゾーンECU21~24毎に区分けされたデータ領域において、対応するデータ領域にそれぞれ格納する。信号統合部41は、例えば、ゾーンECU21から送信されたASIL-Aのデータを、レベル統合フレームF21(送信先ID:ASIL-A用ECU31)におけるゾーンECU21に区分けされたデータ領域に格納し、ゾーンECU22から送信されたASIL-Aのデータを、レベル統合フレームF21におけるゾーンECU22に区分けされたデータ領域に格納し、ゾーンECU23から送信されたASIL-Aのデータを、レベル統合フレームF21におけるゾーンECU23に区分けされたデータ領域に格納し、ゾーンECU24から送信されたASIL-Aのデータを、レベル統合フレームF21におけるゾーンECU24に区分けされたデータ領域に格納する。
また、信号統合部41は、例えば、図9に示す4つの入力フレームF1(F11~F14)において、ASIL-Bのデータ領域に含まれる全てのデータを、送信先IDをASIL-B用ECU32とするレベル統合フレームF22に統合(集約)する。このとき、信号統合部41は、例えば、ゾーンECU21から送信されたASIL-Bのデータを、レベル統合フレームF22(送信先ID:ASIL-B用ECU32)におけるゾーンECU21に区分けされたデータ領域に格納し、ゾーンECU22から送信されたASIL-Bのデータを、レベル統合フレームF22におけるゾーンECU22に区分けされたデータ領域に格納し、ゾーンECU23から送信されたASIL-Bのデータを、レベル統合フレームF22におけるゾーンECU23に区分けされたデータ領域に格納し、ゾーンECU24から送信されたASIL-Bのデータを、レベル統合フレームF22におけるゾーンECU24に区分けされたデータ領域に格納する。
また、信号統合部41は、例えば、図9に示す4つの入力フレームF1(F11~F14)において、ASIL-Cのデータ領域に含まれる全てのデータを、送信先IDをASIL-C用ECU33とするレベル統合フレームF23に統合(集約)する。このとき、信号統合部41は、例えば、ゾーンECU21から送信されたASIL-Cのデータを、レベル統合フレームF23(送信先ID:ASIL-C用ECU33)におけるゾーンECU21に区分けされたデータ領域に格納し、ゾーンECU22から送信されたASIL-Cのデータを、レベル統合フレームF23におけるゾーンECU22に区分けされたデータ領域に格納し、ゾーンECU23から送信されたASIL-Cのデータを、レベル統合フレームF23におけるゾーンECU23に区分けされたデータ領域に格納し、ゾーンECU24から送信されたASIL-Cのデータを、レベル統合フレームF23におけるゾーンECU24に区分けされたデータ領域に格納する。
また、信号統合部41は、例えば、図9に示す4つの入力フレームF1(F11~F14)において、ASIL-Dのデータ領域に含まれる全てのデータを、送信先IDをASIL-D用ECU34とするレベル統合フレームF24に統合(集約)する。このとき、信号統合部41は、例えば、ゾーンECU21から送信されたASIL-Dのデータを、レベル統合フレームF24(送信先ID:ASIL-D用ECU34)におけるゾーンECU21に区分けされたデータ領域に格納し、ゾーンECU22から送信されたASIL-Dのデータを、レベル統合フレームF24におけるゾーンECU22に区分けされたデータ領域に格納し、ゾーンECU23から送信されたASIL-Dのデータを、レベル統合フレームF24におけるゾーンECU23に区分けされたデータ領域に格納し、ゾーンECU24から送信されたASIL-Dのデータを、レベル統合フレームF24におけるゾーンECU24に区分けされたデータ領域に格納する。
このように、信号統合部41は、複数のゾーンECU21~24から送信される機器Eからの入力信号S1を構成する複数の入力フレームF1に含まれるデータから、レベル(ASIL-A~ASIL-D)毎に抽出したデータを、当該レベル毎に統合して当該レベル毎のレベル統合フレームF2(F21~F24)を生成する。
次に、信号統合部41が、ASIL用ECU31~34から送信される出力信号S3を構成する複数のフレームに含まれるデータを統合する例について説明する。信号統合部41は、例えば、複数のASIL用ECU31~34から送信されるASIL用ECU31~34からの出力信号S3を構成する複数の出力フレームF3に含まれるデータから、送信先となるゾーンECU21~24毎に抽出したデータを、当該送信先となるゾーンECU21~24毎に統合して当該送信先となるゾーンECU21~24毎の送信先統合フレームF4を生成する。ここで、送信先となるゾーンECU21~24とは、確認処理の対象となった機器Eからの入力信号S1を送信したゾーンECU21~24である。
ASIL用ECU31~34からの出力信号S3を構成する複数の出力フレームF3(F31~F34)は、図11に示すように、複数のデータ領域を含んで構成されている。具体的には、それぞれの出力フレームF3は、フレームのスタートを表す「フレームスタート」、送信元の識別子を表す「送信元ID:ASIL-〇用ECU〇〇」、送信元の識別子を表す「送信先ID:ネットワーク分岐部」、ゾーンECU21~ゾーンECU24までのデータ領域を表す「ゾーンECU21」、「ゾーンECU22」、「ゾーンECU23」、「ゾーンECU24」、エラー検出及び訂正領域を表す「エラー検出・訂正領域」、フレームのエンドを表す「フレームエンド」を表すデータ領域を含んで構成される。上記「ゾーンECU21」のデータ領域には、送信先がゾーンECU21であるデータが保存され、上記「ゾーンECU22」のデータ領域には、送信先がゾーンECU22であるデータが保存され、上記「ゾーンECU23」のデータ領域には、送信先がゾーンECU23であるデータが保存され、上記「ゾーンECU24」のデータ領域には、送信先がゾーンECU24であるデータが保存される。なお、図11では、4つの出力フレームF3(F31~F34)を図示しており、それぞれの出力フレームF3(F31~F34)は、ASIL用ECU31~34の各々から送信されるフレームに対応している。例えば、送信元IDがASIL-A用ECU31である出力フレームF31は、ASIL-A用ECU31から送信されるフレームに対応し、送信元IDがASIL-B用ECU32である出力フレームF32は、ASIL-B用ECU32から送信されるフレームに対応し、送信元IDがASIL-C用ECU33である出力フレームF33は、ASIL-C用ECU33から送信されるフレームに対応し、送信元IDがASIL-D用ECU34である出力フレームF34は、ASIL-D用ECU34から送信されるフレームに対応している。
信号統合部41は、複数のASIL用ECU31~34から送信される複数の出力フレームF3(F31~F34)に含まれるデータ領域から、ゾーンECU21~24毎にデータを抽出する。そして、信号統合部41は、抽出したデータを、当該ゾーンECU21~24毎に統合して当該ゾーンECU21~24毎の送信先統合フレームF4(F41~F44)を生成する。ここで、送信先統合フレームF4(F41~F44)は、図12に示すように、複数のデータ領域を含んで構成されている。具体的には、送信先統合フレームF4は、フレームのスタートを表す「フレームスタート」、送信元の識別子を表す「送信元ID:ネットワーク分岐部」、送信先の識別子を表す「送信先ID:ゾーンECU〇〇」、ASIL-A~ASIL-Dまでのデータ領域を表す「ASIL-A」、「ASIL-B」、「ASIL-C」、「ASIL-D」、エラー検出及び訂正領域を表す「エラー検出・訂正領域」、フレームのエンドを表す「フレームエンド」を表すデータ領域を含んで構成される。
信号統合部41は、例えば、図11に示す4つの出力フレームF3(F31~F34)において、ゾーンECU21のデータ領域に含まれるデータ、ゾーンECU22のデータ領域に含まれるデータ、ゾーンECU23のデータ領域に含まれるデータ、ゾーンECU24のデータ領域に含まれるデータをゾーンECU21~24毎に区別して抽出する。そして、信号統合部41は、ゾーンECU21~24毎に抽出したデータを、図12に示すように、同じ送信先毎に統合して当該送信先毎の送信先統合フレームF4(F41~F44)を生成する。
信号統合部41は、例えば、図11に示す4つの出力フレームF3(F31~F34)において、ゾーンECU21のデータ領域に含まれる全てのデータを、送信先IDをゾーンECU21とする送信先統合フレームF41に統合(集約)する。このとき、信号統合部41は、各ASIL用ECU31~34から送信されたゾーンECU21宛てのデータを、送信先統合フレームF41におけるASIL-A~ASIL-D毎に区分けされたデータ領域において、対応するデータ領域にそれぞれ格納する。信号統合部41は、例えば、ASIL-A用ECU31から送信されたゾーンECU21のデータを、送信先統合フレームF41(送信先ID:ゾーンECU21)におけるASIL-Aに区分けされたデータ領域に格納し、ASIL-B用ECU32から送信されたゾーンECU21のデータを、送信先統合フレームF41におけるASIL-Bに区分けされたデータ領域に格納し、ASIL-C用ECU33から送信されたゾーンECU21のデータを、送信先統合フレームF41におけるASIL-Cに区分けされたデータ領域に格納し、ASIL-D用ECU34から送信されたゾーンECU21のデータを、送信先統合フレームF41におけるASIL-Dに区分けされたデータ領域に格納する。
また、信号統合部41は、例えば、図11に示す4つの出力フレームF3(F31~F34)において、ゾーンECU22のデータ領域に含まれる全てのデータを、送信先IDをゾーンECU22とする送信先統合フレームF42に統合(集約)する。このとき、信号統合部41は、各ASIL用ECU31~34から送信されたゾーンECU22宛てのデータを、送信先統合フレームF42におけるASIL-A~ASIL-D毎に区分けされたデータ領域において、対応するデータ領域にそれぞれ格納する。信号統合部41は、例えば、ASIL-A用ECU31から送信されたゾーンECU22のデータを、送信先統合フレームF42(送信先ID:ゾーンECU22)におけるASIL-Aに区分けされたデータ領域に格納し、ASIL-B用ECU32から送信されたゾーンECU22のデータを、送信先統合フレームF42におけるASIL-Bに区分けされたデータ領域に格納し、ASIL-C用ECU33から送信されたゾーンECU22のデータを、送信先統合フレームF42におけるASIL-Cに区分けされたデータ領域に格納し、ASIL-D用ECU34から送信されたゾーンECU22のデータを、送信先統合フレームF42におけるASIL-Dに区分けされたデータ領域に格納する。
また、信号統合部41は、例えば、図11に示す4つの出力フレームF3(F31~F34)において、ゾーンECU23のデータ領域に含まれる全てのデータを、送信先IDをゾーンECU23とする送信先統合フレームF43に統合(集約)する。このとき、信号統合部41は、各ASIL用ECU31~34から送信されたゾーンECU23宛てのデータを、送信先統合フレームF43におけるASIL-A~ASIL-D毎に区分けされたデータ領域において、対応するデータ領域にそれぞれ格納する。信号統合部41は、例えば、ASIL-A用ECU31から送信されたゾーンECU23のデータを、送信先統合フレームF43(送信先ID:ゾーンECU23)におけるASIL-Aに区分けされたデータ領域に格納し、ASIL-B用ECU32から送信されたゾーンECU23のデータを、送信先統合フレームF43におけるASIL-Bに区分けされたデータ領域に格納し、ASIL-C用ECU33から送信されたゾーンECU23のデータを、送信先統合フレームF43におけるASIL-Cに区分けされたデータ領域に格納し、ASIL-D用ECU34から送信されたゾーンECU23のデータを、送信先統合フレームF43におけるASIL-Dに区分けされたデータ領域に格納する。
また、信号統合部41は、例えば、図11に示す4つの出力フレームF3(F31~F34)において、ゾーンECU24のデータ領域に含まれる全てのデータを、送信先IDをゾーンECU24とする送信先統合フレームF44に統合(集約)する。このとき、信号統合部41は、各ASIL用ECU31~34から送信されたゾーンECU24宛てのデータを、送信先統合フレームF44におけるASIL-A~ASIL-D毎に区分けされたデータ領域において、対応するデータ領域にそれぞれ格納する。信号統合部41は、例えば、ASIL-A用ECU31から送信されたゾーンECU24のデータを、送信先統合フレームF44(送信先ID:ゾーンECU24)におけるASIL-Aに区分けされたデータ領域に格納し、ASIL-B用ECU32から送信されたゾーンECU24のデータを、送信先統合フレームF44におけるASIL-Bに区分けされたデータ領域に格納し、ASIL-C用ECU33から送信されたゾーンECU24のデータを、送信先統合フレームF44におけるASIL-Cに区分けされたデータ領域に格納し、ASIL-D用ECU34から送信されたゾーンECU24のデータを、送信先統合フレームF44におけるASIL-Dに区分けされたデータ領域に格納する。
このように、信号統合部41は、複数のASIL用ECU31~34から送信されるASIL用ECU31~34からの出力信号S3を構成する複数の出力フレームF3に含まれるデータから、送信先となるゾーンECU21~24毎に抽出したデータを、当該送信先となるゾーンECU21~24毎に統合して当該送信先となるゾーンECU21~24毎の送信先統合フレームF4を生成する。
次に、信号振分部42について説明する。信号振分部42は、信号を送信先に応じて振り分けて送信するものである。信号振分部42は、例えば、複数のゾーンECU21~24から送信される機器Eからの入力信号S1を、当該機器Eの機能に対応したレベルが割り当てられたASIL用ECU31~34に振り分けて送信する。この例では、信号振分部42は、入力信号S1に基づいて信号統合部41によって生成した各レベル統合フレームF2(F21~F24)を、対応するレベルが割り当てられたASIL用ECU31~34にそれぞれ振り分けて送信する。信号振分部42は、例えば、信号統合部41によって生成したレベル統合フレームF21(送信先ID:ASIL-A用ECU31)を、安全基準に関する確認処理としてASIL-Aが割り当てられたASIL-A用ECU31に振り分けて送信する。信号振分部42は、信号統合部41によって生成したレベル統合フレームF22(送信先ID:ASIL-B用ECU32)を、安全基準に関する確認処理としてASIL-Bが割り当てられたASIL-B用ECU32に振り分けて送信する。信号振分部42は、信号統合部41によって生成したレベル統合フレームF23(送信先ID:ASIL-C用ECU33)を、安全基準に関する確認処理としてASIL-Cが割り当てられたASIL-C用ECU33に振り分けて送信する。信号振分部42は、信号統合部41によって生成したレベル統合フレームF24(送信先ID:ASIL-D用ECU34)を、安全基準に関する確認処理としてASIL-Dが割り当てられたASIL-D用ECU34に振り分けて送信する。そして、信号振分部42は、レベル統合フレームF21~F24を送信する際に、割り当てられたレベルが相対的に低いASIL用ECU31、32に対する入力信号S1、すなわち入力信号S1に基づくレベル統合フレームF21、F22よりも、割り当てられたレベルが相対的に高いASIL用ECU33、34に対する入力信号S1、すなわち入力信号S1に基づくレベル統合フレームF23、F24を優先して送信する。
また、信号振分部42は、ASIL用ECU31~34から送信されるASIL用ECU31~34からの出力信号S3を、確認処理の対象となった機器Eからの入力信号S1を送信したゾーンECU21~24に振り分けて送信する。この例では、信号振分部42は、信号統合部41によって生成した各送信先統合フレームF4(F41~F44)を、対応する送信先となるゾーンECU21~24にそれぞれ振り分けて送信する。信号振分部42は、例えば、信号統合部41によって生成した送信先統合フレームF41(送信先ID:ゾーンECU21)を、確認処理の対象となった機器Eからの入力信号S1を送信したゾーンECU21に振り分けて送信する。信号振分部42は、信号統合部41によって生成した送信先統合フレームF42(送信先ID:ゾーンECU22)を、確認処理の対象となった機器Eからの入力信号S1を送信したゾーンECU22に振り分けて送信する。信号振分部42は、信号統合部41によって生成した送信先統合フレームF43(送信先ID:ゾーンECU23)を、確認処理の対象となった機器Eからの入力信号S1を送信したゾーンECU23に振り分けて送信する。信号振分部42は、信号統合部41によって生成した送信先統合フレームF44(送信先ID:ゾーンECU24)を、確認処理の対象となった機器Eからの入力信号S1を送信したゾーンECU24に振り分けて送信する。
各ゾーンECU21~24は、信号振分部42から送信された各送信先統合フレームF41~44に基づいて、それぞれに接続された機器Eを制御する。例えば、ゾーンECU21は、送信先統合フレームF41のデータ領域に格納されたデータ(安全基準のレベル、すなわちASIL-A~ASIL-Dに応じた確認処理結果)に基づいて、当該ゾーンECU21に接続された機器E、すなわちASIL-A~ASIL-Dが設定された機能を実現する機器Eを制御する。ゾーンECU22は、送信先統合フレームF42のデータ領域に格納されたデータ(安全基準のレベルに応じた確認処理結果)に基づいて、当該ゾーンECU22に接続された機器Eを制御する。ゾーンECU23は、送信先統合フレームF43のデータ領域に格納されたデータ(安全基準のレベルに応じた確認処理結果)に基づいて、当該ゾーンECU23に接続された機器Eを制御する。ゾーンECU24は、送信先統合フレームF44のデータ領域に格納されたデータ(安全基準のレベルに応じた確認処理結果)に基づいて、当該ゾーンECU24に接続された機器Eを制御する。
次に、各フレームの通信例について説明する。図13は、実施形態に係る各フレームの通信例を示す図である。ネットワーク分岐部40の信号統合部41は、上り通信において、各ゾーンECU21~24からそれぞれ送信される各入力フレームF11~F14を受信する。信号統合部41は、予め定められた一定周期で受信した各入力フレームF11~F14に含まれるデータから、レベル毎に抽出したデータを、当該レベル毎に統合して当該レベル毎のレベル統合フレームF21~F24を生成する。なお、この例では、信号統合部41は、図13に示すように、予め定められた一定周期で、4つの入力フレームF11~F14を受信しているが、例えば、予め定められた一定周期で、3つの入力フレームF11~F13しか受信していない場合、当該3つの入力フレームF11~F13に含まれるデータから、レベル毎に抽出したデータを、当該レベル毎に統合して当該レベル毎のレベル統合フレームF21~F24を生成してもよい。次に、信号振分部42は、信号統合部41によって生成した各レベル統合フレームF21~F24を、対応するレベルが割り当てられたASIL用ECU31~34にそれぞれ振り分けて送信する。このとき、信号振分部42は、レベル統合フレームF21~F24を送信する際に、割り当てられたレベルが相対的に低いASIL用ECU31、32に送信するレベル統合フレームF21、F22よりも、割り当てられたレベルが相対的に高いASIL用ECU33、34に送信するレベル統合フレームF23、F24を優先して送信する。例えば、信号振分部42は、割り当てられたレベルが最も高いASIL-D用ECU34に送信するレベル統合フレームF24から順番に送信する。具体的には、信号振分部42は、割り当てられたレベルが最も高いASIL-D用ECU34に送信するレベル統合フレームF24を最初に送信し、次に、割り当てられたレベルが2番目に高いASIL-C用ECU33に送信するレベル統合フレームF23を2番目に送信し、その次に、割り当てられたレベルが3番目に高いASIL-B用ECU32に送信するレベル統合フレームF22を3番目に送信し、最後に、割り当てられたレベルが最も低いASIL-A用ECU31に送信するレベル統合フレームF21を送信する。なお、信号振分部42は、割り当てられたレベルが最も高いASIL-D用ECU34に送信するレベル統合フレームF24から順番に送信する例について説明したが、これに限定されない。
信号統合部41は、下り通信において、各ASIL用ECU31~34からそれぞれ送信される各出力フレームF31~F34を受信する。信号統合部41は、予め定められた一定周期で受信した各出力フレームF31~F34に含まれるデータから、送信先となるゾーンECU21~24毎に抽出したデータを、当該ゾーンECU21~24毎に統合して当該ゾーンECU21~24毎の送信先統合フレームF41~F44を生成する。なお、この例では、信号統合部41は、図13に示すように、予め定められた一定周期で、4つの出力フレームF31~F34を受信しているが、例えば、予め定められた一定周期で、3つの出力フレームF31~F34しか受信していない場合、当該3つの出力フレームF31~F34に含まれるデータから、送信先となるゾーンECU21~24毎に抽出したデータを、当該ゾーンECU21~24毎に統合して当該ゾーンECU21~24毎の送信先統合フレームF41~F44を生成してもよい。次に、信号振分部42は、信号統合部41によって生成した各送信先統合フレームF41~F44を、対応する送信先となるゾーンECU21~24にそれぞれ振り分けて送信する。このように、車両システム1は、レベル統合フレームF2及び送信先統合フレームF4を用いることにより、これらの統合フレームを用いない場合と比較して、フレーム数を半分にすることができ、通信量が増加することを抑制することができる。
次に、車両システム1の動作例について説明する。図14は、実施形態に係る車両システム1の動作例を示すフローチャートである。車両システム1において、ゾーンECU21~24は、各機器Eからの入力信号S1を構成する入力フレームF1(F11~F14)をネットワーク分岐部40に送信する(ステップST1)。次に、ネットワーク分岐部40の信号統合部41は、複数の入力フレームF1に含まれるデータから、レベル毎に抽出したデータを統合して、レベル統合フレームF2を生成する(ステップST2)。信号統合部41は、例えば、複数のゾーンECU21~24から送信される複数の入力フレームF1(F11~F14)に含まれるデータ領域から、安全基準のレベル(ASIL-A~ASIL-D)毎にデータを抽出する。そして、信号統合部41は、安全基準のレベル毎に抽出したデータを、当該レベル毎に統合して当該レベル毎のレベル統合フレームF2(F21~F24)を生成する。次に、ASIL用ECU31~34は、レベル統合フレームF2(F21~F24)に含まれるデータに対して安全基準に関する確認処理を実行する(ステップST3)。例えば、ASIL-A用ECU31は、レベル統合フレームF21のデータ領域に含まれるデータに対して、ASIL―Aに関する確認処理を実行する。同様に、ASIL-B用ECU32は、レベル統合フレームF22のデータ領域に含まれるデータに対して、ASIL―Bに関する確認処理を実行し、ASIL-C用ECU33は、レベル統合フレームF23のデータ領域に含まれるデータに対して、ASIL―Cに関する確認処理を実行し、ASIL-D用ECU34は、レベル統合フレームF24のデータ領域に含まれるデータに対して、ASIL―Dに関する確認処理を実行する。次に、ASIL用ECU31~34は、確認処理結果を含む出力フレームF3(F31~F34)をネットワーク分岐部40に送信する(ステップST4)。次に、信号統合部41は、複数の出力フレームF3に含まれるデータから、送信先毎に抽出したデータを統合して、送信先統合フレームF4を生成する(ステップST5)。信号統合部41は、例えば、ASIL用ECU31~34の各々から送信される各出力フレームF31~F34に含まれるデータから、送信先となるゾーンECU21~24毎に抽出したデータを、当該送信先となるゾーンECU21~24毎に統合して当該送信先となるゾーンECU21~24毎の送信先統合フレームF41~F44を生成する。次に、ゾーンECU21~24は、送信先統合フレームF4のデータに基づいて各機器Eを制御する(ステップST6)。例えば、ゾーンECU21は、ネットワーク分岐部40から送信された送信先統合フレームF41のデータ領域に含まれるデータに基づいて、パワトレ系の機器Eを制御する。ゾーンECU21は、例えば、ネットワーク分岐部40から送信された送信先統合フレームF41のデータ領域に含まれる確認結果のデータが正常を表す場合、パワトレ系の機器Eを通常運転する。一方で、ゾーンECU21は、ネットワーク分岐部40から送信された送信先統合フレームF41のデータ領域に含まれる確認結果のデータが異常を表す場合、パワトレ系の機器Eに対してエラー表示や縮退運転を実行する。
以上のように、実施形態に係る車両システム1は、複数の機器Eと、複数のゾーンECU21~24と、セントラルECU30と、ネットワーク分岐部40とを備える。複数の機器Eは、車両Vに搭載され、実現する機能に対してそれぞれ予め定められたレベルの安全基準が設定されている。複数のゾーンECU21~24は、それぞれが制御系統ごとに区分けされた機器Eを制御する。セントラルECU30は、複数の機器Eに対して安全基準に関する確認処理を実行可能なものである。ネットワーク分岐部40は、機器Eからの確認処理に係る入力信号S1、及び、セントラルECU30からの確認処理に係る出力信号S3を、複数のゾーンECU21~24とセントラルECU30との間で中継する。ここで、セントラルECU30は、安全基準のレベル毎に割り当てられ、割り当てられたレベルに応じた確認処理を機器Eに対して実行可能であるASIL用ECU31~34を含む。ネットワーク分岐部40は、複数のゾーンECU21~24から送信される機器Eからの入力信号S1を、当該機器Eの機能に対応したレベルが割り当てられたASIL用ECU31~34に振り分けて送信し、且つ、ASIL用ECU31~34から送信されるASIL用ECU31~34からの出力信号S3を、確認処理の対象となった機器Eからの入力信号S1を送信したゾーンECU21~24に振り分けて送信する。
この構成により、車両Vシステム1は、ASIL用ECU31~34が複数のレベルの安全基準に関する処理を実行する必要がなく、従来のように同一のシステムの中に複数レベルの安全基準がある場合に、レベルの高い安全基準の処理を、レベルの低い安全基準の処理を行うものに対しても適用する必要がなくなり、ASIL用ECU31~34に過剰な性能を備えることを回避できる。これにより、車両システム1は、システム構築に要する工数を削減することができ、開発コストを抑制することができる。また、車両システム1は、セントラルECU30のASIL用ECU31~34が安全基準のレベル毎に1つずつ割り当てられるので、セントラルECU30を安全基準のレベル数に応じて集約することができる。この結果、車両システム1は、安全性を確保するシステムを適正に構築することができる。
車両システム1において、ネットワーク分岐部40は、複数のゾーンECU21~24から送信される機器Eからの入力信号S1を構成する複数の入力フレームF1に含まれるデータから、レベル毎に抽出したデータを、当該レベル毎に統合して当該レベル毎のレベル統合フレームF2を生成し、生成した各レベル統合フレームF2を、対応するレベルが割り当てられたASIL用ECU31~34にそれぞれ振り分けて送信する。また、ネットワーク分岐部40は、ASIL用ECU31~34から送信されるASIL用ECU31~34からの出力信号S3を構成する複数の出力フレームF3に含まれるデータから、送信先となるゾーンECU21~24毎に抽出したデータを、当該送信先となるゾーンECU21~24毎に統合して当該送信先となるゾーンECU21~24毎の送信先統合フレームF4を生成し、生成した各送信先統合フレームF4を、対応する送信先となるゾーンECU21~24にそれぞれ振り分けて送信する。この構成により、車両システム1は、フレームを統合することにより、フレーム数を削減することができるので、通信ネットワークにおいて通信量が増加することを抑制することができる。
車両システム1において、ネットワーク分岐部40は、割り当てられた安全基準のレベルが相対的に低いASIL用ECU31、32に対する入力信号S1よりも、割り当てられた安全基準のレベルが相対的に高いASIL用ECU33、34に対する入力信号S1を優先して送信する。この構成により、車両システム1は、例えば、アンチロックブレーキ機能、電動パワーステアリング機能等の安全基準のレベルが相対的に高い確認処理を優先して実施することができるので、これらの安全基準のレベルが相対的に高い機能を実現する機器Eに対して、確認処理の結果を迅速に送信することができる。これにより、車両システム1は、アンチロックブレーキ機能、電動パワーステアリング機能等の相対的に重要度の高い機器Eを素早く動作させることができる。
車両システム1において、レベルが相対的に高い安全基準に関する処理は、レベルが相対的に低い安全基準に関する処理を少なくとも一部含む。この構成により、車両システム1は、安全基準に関する処理を一部、共通化することができ、工数を削減できる。また、車両システム1は、安全基準に関する処理を一部、共通化しても、個別の安全基準のレベルに応じた安全基準に関する処理を実行し、異なる安全基準のレベルに応じた安全基準に関する処理を実行しないので、安全基準が低い処理に生じた不具合が、安全基準が高い処理にも影響を及ぼすことを回避できる。この結果、車両システム1は、安全性を確保するシステムを適正に構築することができる。
〔変形例〕
次に、実施形態の変形例について説明する。なお、変形例では、実施形態と同等の構成要素には同じ符号を付し、その詳細な説明を省略する。
セントラルECU30は、図2に示すように、ECU毎(ASIL-A用ECU31、ASIL-B用ECU32、ASIL-C用ECU33、ASIL-D用ECU34)に設けられてもよいし、セントラルECU30Aは、図15に示すように、基板毎(ASIL-A用基板31A、ASIL-B用基板32A、ASIL-C用基板33A、ASIL-D用基板34A)に設けられてもよいし、セントラルECU30Bは、図16に示すように、CPU(マイコン)毎(ASIL-A用マイコン31B、ASIL-B用マイコン32B、ASIL-C用マイコン33B、ASIL-D用マイコン34B)に設けられてもよい。なお、セントラルECU30Aは、ネットワーク分岐部40及び各基板のCPUに接続される通信I/F回路35Aが設けられ、セントラルECU30Bは、ネットワーク分岐部40及び各CPUに接続される通信I/F回路35Bが設けられている。
ネットワーク分岐部40は、安全基準のレベル毎に統合したレベル統合フレームF2を生成し、また、送信先となるゾーンECU21~24毎に統合した送信先統合フレームF4を生成してフレームを統合してフレームを振り分けて送信する例について説明したが、これに限定されず、フレームを統合せずにフレームを個別に振り分けて送信してもよい。
ネットワーク分岐部40は、割り当てられた安全基準のレベルが相対的に低いASIL用ECU31、32に対する入力信号S1よりも、割り当てられた安全基準のレベルが相対的に高いASIL用ECU33、34に対する入力信号S1を優先して送信する例について説明したが、このような安全基準のレベルに基づく優先送信をせずに、送信してもよい。
レベルが相対的に高い安全基準に関する処理は、レベルが相対的に低い安全基準に関する処理を少なくとも一部含む例について説明したが、これに限定されず、その他の方法で安全基準に関する処理を構成してもよい。
複数のエリアDは、4つに区分けされる例について説明したが、これに限定されず、その他の個数に区分けされてもよい。
複数の機器制御部20は、典型的には、エリア・ゾーンごとに区分けされるが、エリア・ゾーンごとの区分けはあくまでも一例であり、例えば、車両Vを制御する系統を表すドメインごとに設けられてもよい。複数の機器制御部20をドメインごとに設ける場合、各機器制御部20に接続される複数の機器Eは、それぞれが同じドメイン(制御系統)の機器Eである。
安全基準は、ISO26262規格で定義されたASILについて説明したが、これに限定されず、その他の基準であってもよい。
I/O211c~I/O214cは、それぞれ異なるASILが設定された機能を実現する機器Eが接続される例について説明したが、これに限定されず、例えば、I/O211c~I/O214cの中の機器Eに異なるASILが混在してもよい。例えば、I/O211cは、ASIL-A~ASIL-Dの機器Eが混在して接続されてもよい。
1 車両システム
20 複数の機器制御部
30 セントラルECU(中央制御部)
31 ASIL-A用ECU(単一レベル用制御部)
32 ASIL-B用ECU(単一レベル用制御部)
33 ASIL-C用ECU(単一レベル用制御部)
34 ASIL-D用ECU(単一レベル用制御部)
40 ネットワーク分岐部(中継部)
E 複数の機器
F1 入力フレーム(フレーム)
F2 レベル統合フレーム
F3 出力フレーム(フレーム)
F4 送信先統合フレーム
S1 入力信号
S3 出力信号
V 車両

Claims (4)

  1. 車両に搭載され、実現する機能に対してそれぞれ予め定められたレベルの安全基準が設定された複数の機器と、
    それぞれが制御系統ごとに区分けされた前記機器を制御する複数の機器制御部と、
    前記複数の機器に対して前記安全基準に関する確認処理を実行可能な中央制御部と、
    前記機器からの前記確認処理に係る入力信号、及び、前記中央制御部からの前記確認処理に係る出力信号を、前記複数の機器制御部と前記中央制御部との間で中継する中継部と、を備え、
    前記中央制御部は、前記安全基準の前記レベル毎に割り当てられ、前記割り当てられたレベルに応じた前記確認処理を前記機器に対して実行可能である複数の単一レベル用制御部を含み、
    前記中継部は、前記複数の機器制御部から送信される前記機器からの前記入力信号を、当該機器の機能に対応した前記レベルが割り当てられた前記単一レベル用制御部に振り分けて送信し、且つ、前記複数の単一レベル用制御部から送信される前記単一レベル用制御部からの前記出力信号を、前記確認処理の対象となった前記機器からの前記入力信号を送信した前記機器制御部に振り分けて送信することを特徴とする車両システム。
  2. 前記中継部は、前記複数の機器制御部から送信される前記機器からの前記入力信号を構成する複数のフレームに含まれるデータから、前記レベル毎に抽出したデータを、当該レベル毎に統合して当該レベル毎のレベル統合フレームを生成し、生成した各前記レベル統合フレームを、対応する前記レベルが割り当てられた前記単一レベル用制御部にそれぞれ振り分けて送信し、かつ、前記複数の単一レベル用制御部から送信される前記単一レベル用制御部からの前記出力信号を構成する複数のフレームに含まれるデータから、送信先となる前記機器制御部毎に抽出したデータを、当該送信先となる前記機器制御部毎に統合して当該送信先となる前記機器制御部毎の送信先統合フレームを生成し、生成した各前記送信先統合フレームを、対応する前記送信先となる前記機器制御部にそれぞれ振り分けて送信する、
    請求項1に記載の車両システム。
  3. 前記中継部は、前記割り当てられたレベルが相対的に低い前記単一レベル用制御部に対する前記入力信号よりも、前記割り当てられたレベルが相対的に高い前記単一レベル用制御部に対する前記入力信号を優先して送信する請求項1又は2に記載の車両システム。
  4. 前記レベルが相対的に高い前記安全基準に関する処理は、前記レベルが相対的に低い前記安全基準に関する処理を少なくとも一部含む請求項1~3のいずれか1項に記載の車両システム。
JP2021156244A 2021-09-27 2021-09-27 車両システム Pending JP2023047373A (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2021156244A JP2023047373A (ja) 2021-09-27 2021-09-27 車両システム
PCT/JP2022/035625 WO2023048274A1 (ja) 2021-09-27 2022-09-26 車両システム
CN202280059606.5A CN117940321A (zh) 2021-09-27 2022-09-26 车辆系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021156244A JP2023047373A (ja) 2021-09-27 2021-09-27 車両システム

Publications (1)

Publication Number Publication Date
JP2023047373A true JP2023047373A (ja) 2023-04-06

Family

ID=85720837

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021156244A Pending JP2023047373A (ja) 2021-09-27 2021-09-27 車両システム

Country Status (3)

Country Link
JP (1) JP2023047373A (ja)
CN (1) CN117940321A (ja)
WO (1) WO2023048274A1 (ja)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013143093A (ja) * 2012-01-12 2013-07-22 Toyota Motor Corp 情報処理装置、情報処理システム
JP6704458B2 (ja) * 2016-09-07 2020-06-03 日立オートモティブシステムズ株式会社 車載用処理装置
JP7074004B2 (ja) * 2018-09-25 2022-05-24 株式会社オートネットワーク技術研究所 中継装置システム及び中継装置
WO2020129911A1 (ja) * 2018-12-18 2020-06-25 株式会社オートネットワーク技術研究所 統括ecu、制御方法、制御システム及びプログラム
EP4045373A4 (en) * 2019-10-16 2023-11-15 LHP, Inc. VEHICLE SECURITY MONITORING SYSTEM

Also Published As

Publication number Publication date
CN117940321A (zh) 2024-04-26
WO2023048274A1 (ja) 2023-03-30

Similar Documents

Publication Publication Date Title
US20220284711A1 (en) Power and Data Center (PDC) for Automotive Applications
CN109906587B (zh) 车载中继装置、车载监视装置、车载控制网络系统、通信监视方法以及计算机可读取记录介质
EP2959654B1 (en) Information processing device and information processing method
CN106230678A (zh) 基于车载网关控制器的信息处理方法及网关控制器
CN105659532B (zh) 用于车辆的电气子系统、消息过滤器和方法
Navale et al. (R) evolution of E/E architectures
CN108075797B (zh) 车载通信系统
CN109532720A (zh) 一种具有后配置功能的以太网网关的智能汽车
CN110971453B (zh) 网络拓扑确定方法、装置、车辆网络拓扑结构及车辆
AU2018303353B2 (en) Configurable management system for a vehicle and method of use
JP2010274783A (ja) 制御装置及びコンピュータプログラム
EP2869538A1 (en) Communication bridge between bus networks
Axelsson et al. A Comparative Case Study of Distributed Network Architectures for Different Automotive Applications.
WO2023048274A1 (ja) 車両システム
JP2013071611A (ja) 車両用データ設定システム及びその出力設定方法
JP2005297953A (ja) 車両における走行挙動の制御装置
CN109917775A (zh) 一种汽车安全网关数据传输方法及电子设备
CA3228229A1 (en) Zonal control architecture for software-defined vehicle
JP7471756B2 (ja) 車両システム
WO2020129911A1 (ja) 統括ecu、制御方法、制御システム及びプログラム
EP4324123A1 (en) Validation of time synchronization
US20240132058A1 (en) Vehicle system
Leute et al. Software-free Vehicle Lamps due to Zone-oriented Electronic Architecture
Lapp et al. Impact of driver assistance systems on future E/E architectures for commercial vehicles
CN219761329U (zh) 车辆通信系统及车辆