JP6838234B2 - 車両制御装置 - Google Patents
車両制御装置 Download PDFInfo
- Publication number
- JP6838234B2 JP6838234B2 JP2017058394A JP2017058394A JP6838234B2 JP 6838234 B2 JP6838234 B2 JP 6838234B2 JP 2017058394 A JP2017058394 A JP 2017058394A JP 2017058394 A JP2017058394 A JP 2017058394A JP 6838234 B2 JP6838234 B2 JP 6838234B2
- Authority
- JP
- Japan
- Prior art keywords
- state
- deviation
- control device
- vehicle control
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012545 processing Methods 0.000 claims description 88
- 238000012544 monitoring process Methods 0.000 claims description 31
- 238000012795 verification Methods 0.000 claims description 24
- 238000013461 design Methods 0.000 claims description 17
- 238000000034 method Methods 0.000 claims description 15
- 230000007704 transition Effects 0.000 claims description 15
- 230000008569 process Effects 0.000 claims description 10
- 230000000694 effects Effects 0.000 claims description 6
- 238000004088 simulation Methods 0.000 claims description 6
- 230000014509 gene expression Effects 0.000 description 29
- 230000004913 activation Effects 0.000 description 23
- 238000006243 chemical reaction Methods 0.000 description 18
- 238000012546 transfer Methods 0.000 description 12
- 230000007547 defect Effects 0.000 description 9
- 238000010977 unit operation Methods 0.000 description 6
- 230000008859 change Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 4
- 238000001514 detection method Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000005070 sampling Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 238000000556 factor analysis Methods 0.000 description 2
- 230000003213 activating effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000001771 impaired effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000007858 starting material Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0706—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
- G06F11/0736—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
- G06F11/0739—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/079—Root cause analysis, i.e. error or fault diagnosis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0766—Error or fault reporting or storing
- G06F11/0772—Means for error signaling, e.g. using interrupts, exception flags, dedicated error registers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/48—Program initiating; Program switching, e.g. by interrupt
- G06F9/4806—Task transfer initiation or dispatching
- G06F9/4812—Task transfer initiation or dispatching by interrupt, e.g. masked
Description
本発明は、予期しない割り込み処理による不具合の要因分析を容易にする技術に関するものである。
車両制御システムは電子化された車両制御装置を操作するECU、すなわち電子制御装置(Electronic Control Unit)で構成され、通信を介して連携することで車両を制御している。車両制御装置は制御対象の状態に基づいて、適切にアクチュエータを制御することにより、車両全体を制御している。制御退場の状態に基づいてリアルタイムに制御するためには、センサ起因のイベントによって電子制御処理を開始する割り込み処理を実施する必要がある。しかしながら、マイコンの予期せぬ遅延などにより、起きるはずのないタイミングで割り込み処理が発生し、不具合を発生させる可能性がある。割り込み処理起因の不具合は、システム状態の結果から要因を辿ることが難しいため、要因分析を容易化する技術が求められている。これに関する技術として、状態遷移設計からの逸脱を検知する技術がすでに公開されている。
下記の特許文献1では、意図しない割り込み処理が発生することによるシステムの不安定化防止を目的として、割り込み処理内で状態遷移シミュレーションを行い、設計からの逸脱を検知する。
下記の特許文献2では、意図しない割り込み処理が発生することによるシステムの不安定化防止を目的として、監視マイコンが対象マイコンの割り込み要求信号を監視し、信号に応じて状態遷移シミュレーションを行うことで、設計からの逸脱を検知する。
しかし、上記の特許文献1では割り込み処理内で状態遷移シミュレーションを実施するために多大なオーバヘッドが生じ、割り込み頻度が高い車両制御装置には適用困難な課題がある。上記の特許文献2はこのオーバヘッドの課題を鑑みて、監視マイコンで状態遷移シミュレーションを実施する発明である。
しかしながら、制御ソフトの大規模化や複雑化、マルチコア化に伴い、状態遷移設計の正しさを維持することが難しくなってきており、上記の特許文献1と上記の特許文献2の双方とも、設計された状態遷移から逸脱した際に直ぐにエラーと判定するために、誤検知が多発する課題がある。
本発明は、上記のような課題を解決するためになされたものであり、割り込み処理のリアルタイム性を阻害せずに設計の逸脱を検知し、また誤検知を抑制とする意図しない割り込み処理による不具合の影響解析支援技術を提供することを目的とする。
上記課題を解決するため、本発明の車両制御装置は一例として、実行体の実行タイミングが設計想定から逸脱していることを判定し、監視状態に遷移する逸脱判定部と、割り込み処理とは異なるタイミングで逸脱影響を検証するランタイム検証部と、を備える。
本発明に係る車両制御装置によれば、割り込み処理内で設計からの逸脱のみを検知し、割り込み処理後に逸脱影響を検証するため、リアルタイム性を担保しつつ、誤検知を抑制可能となる。また、逸脱による影響が起こる場合には、エラーコードと共に逸脱時の状態を通知するため、不具合の要因特定を容易に行うことが可能になる。
本発明に係る車両制御装置は、実行体の起動が設計想定から逸脱していることを判定し、監視状態に遷移させ、監視状態では割り込み処理とは別のタイミングで逸脱影響を検証し、監視状態でエラーを検出した場合にはエラーコードと共に逸脱時の状態を通知するため、リアルタイム性を担保しつつ、誤検知を抑制し、不具合の要因特定を容易に行うことが可能になる。
以下、図面を用いて本発明の実施の形態について説明する。
以下、図面を用いて本発明の実施の形態について説明する。
<実施の形態1>
実施の形態1では本発明をエンジン制御システムのノック制御に適用したときを例題として解説する。
実施の形態1では本発明をエンジン制御システムのノック制御に適用したときを例題として解説する。
図1は、本発明の実施の形態1に関わる車両制御装置1の構成図である。車両制御装置1は演算装置(CPU)11、メモリ12、割り込みコントローラ14、ハードウェアタイマ15、アナログデジタル(AD)変換コントローラ16、Direct Memory Address(DMA)コントローラ17、ネットワークコントローラ18、クランク角センサ19、アドバンストタイマユニット20、入出力回路21を備える。本実施の形態1では演算装置11はシングルコアを想定しているが、これに限らない。例えばデュアルコアのようなマルチコアであっても良い。メモリ12のプログラム領域には、初期化処理部121、変換起動処理部122、解析起動部123、解析処理部124、逆回転時処理部125、逆回転判定部126、実行開始表明部127、実行終了表明部128、逸脱判定部129、ランタイム検証部130、逸脱状態通知部131、オペレーティングシステム132を有し、データ記憶領域には、制約式テーブル141、並列実行状態142、監視状態フラグ143、逸脱状態144、実行体特性情報145を有する。ネットワークコントローラはController Area NetworkやFlexRay、Ethernetのような車載ネットワークである。また自動車の外部と通信する無線通信であってもよい。
図2は制約式テーブル141の例である。実施の形態1のID1411は特定のシステム状態とソフト状態における制約式を識別可能なIDを示す。システム状態1412はシステムの状態を示す。例えば、実施の形態1では、1はエンジンが正常回転状態であることを示し、2はエンジンが逆回転状態であることを示す。ソフト状態1413はソフトの状態を示す。例えば、実施の形態1では、1はサンプリング状態、2は解析状態、3は待ち状態、4は停止状態を示す。制約式1414は制約式を示す。例えば、実施の形態1では、各々の実行体の実行の有無が制約式の異なるビットに対応する。例えば、クランク角センサ割り込みは4ビット目、解析起動は3ビット目、解析処理は2ビット目、逆転時処理部は1ビット目が該当している。実施の形態1における制約式は4ビットであるが、これに限らない。例えば、32ビットでも良いし、64ビットなどでも良い。
図3は平行実行状態142の例である。並列実行状態1421は現在の並列に実行されている実行体の状態を示す。
図4は監視状態フラグ143の例である。監視状態フラグ1431は現在が監視状態であるか否かを示す。例えば、実施の形態1では監視状態フラグ1431の0は監視状態でないことを示し、1は監視状態であることを示す。
図5は逸脱状態144の例である。状態1441は逸脱時の並列実行状態を示す。制約式ID1442は制約式テーブル141のID1411に対応する。実施の形態1では、制約式ID1442を制約式テーブル141のID1411に対応させているがこれに限らない。逸脱判定で使用した際の制約式が特定できれば良い。
図6は実行体特性情報145の例である。ID1451は実行体を識別可能なIDである。他への影響情報1452は、他の実行体に影響を与える可能性の有無を示す。実施の形態1では1は影響を与えることを示し、0は影響を与えないことを示す。影響を与えるとは、例えば、「ID1451が示す割り込み処理が、他のタスクと共有するグローバル変数に対して排他制御なしでwriteする」ことを示すが、これに限らない。例えば、実行時間が伸びてしまい、リアルタイム性を阻害する場合や、DMA転送でアドレス破壊を行ってしまう場合、強制リセットがかかってしまう場合などを、影響を与えると定義しても良い。
以降より、実施の形態1に係る動作フローの詳細を説明する。
図7は初期化処理部121の動作フローである。以下、図7の各ステップについて説明する。
(図7:ステップ1211)
初期化処理部121は、ハードウェアタイマ15に対して、特定のタイマカウンタと等しくなった際にAD変換コントローラ16のAD変換処理を起動するように設定する。
(図7:ステップ1212)
初期化処理部121は、ハードウェアタイマ15のタイマカウンタがステップ1211で設定した値と等しくなった後に、自動で初期値0に戻る設定を行う。
(図7:ステップ1213)
初期化処理部121は、ADコントローラ16にAD変換に関する設定と、変換終了後にDMA転送コントローラ17の転送処理を起動する設定を実施する。
(図7:ステップ1214)
初期化処理部121は、DMA転送コントローラ17に転送に関する設定と転送後に解析処理部123を割り込み処理で起動する設定を実施する。
(図7:ステップ1215)
初期化処理部121は、アドバンストタイマユニット20にクランク角センサ19の特定のパルスで変換起動処理部122を割り込み処理で起動する設定を行う。
(図7:ステップ1216)
初期化処理部121は、アドバンストタイマユニット20にクランク角センサ19の特定のパルスで逆回転時処理部125を割り込み処理で起動する設定を行う。
(図7:ステップ1217)
初期化処理部121は、10ms周期で逆回転判定部126とランタイム検証部130を起動するようにオペレーティングシステム132に設定する。
(図7:ステップ1218)
初期化処理部121は、ネットワークコントローラ18に通信の設定を行う。
図7は初期化処理部121の動作フローである。以下、図7の各ステップについて説明する。
(図7:ステップ1211)
初期化処理部121は、ハードウェアタイマ15に対して、特定のタイマカウンタと等しくなった際にAD変換コントローラ16のAD変換処理を起動するように設定する。
(図7:ステップ1212)
初期化処理部121は、ハードウェアタイマ15のタイマカウンタがステップ1211で設定した値と等しくなった後に、自動で初期値0に戻る設定を行う。
(図7:ステップ1213)
初期化処理部121は、ADコントローラ16にAD変換に関する設定と、変換終了後にDMA転送コントローラ17の転送処理を起動する設定を実施する。
(図7:ステップ1214)
初期化処理部121は、DMA転送コントローラ17に転送に関する設定と転送後に解析処理部123を割り込み処理で起動する設定を実施する。
(図7:ステップ1215)
初期化処理部121は、アドバンストタイマユニット20にクランク角センサ19の特定のパルスで変換起動処理部122を割り込み処理で起動する設定を行う。
(図7:ステップ1216)
初期化処理部121は、アドバンストタイマユニット20にクランク角センサ19の特定のパルスで逆回転時処理部125を割り込み処理で起動する設定を行う。
(図7:ステップ1217)
初期化処理部121は、10ms周期で逆回転判定部126とランタイム検証部130を起動するようにオペレーティングシステム132に設定する。
(図7:ステップ1218)
初期化処理部121は、ネットワークコントローラ18に通信の設定を行う。
図8は変換起動処理部122の動作フローである。以下、図8の各ステップについて説明する。
(図8:ステップ1221)
変換起動処理部122は0b1000を引数に実行開始表明部127を呼び出す。
(図8:ステップ1222)
変換起動処理部122はIDを示す1を引数に逸脱判定部129を呼び出す。
(図8:ステップ1223)
変換起動処理部122はハードウェアタイマ15を起動させる。
(図8:ステップ1224)
変換起動処理部122は0b1000を引数に実行終了表明部128を呼び出す。
(図8:ステップ1221)
変換起動処理部122は0b1000を引数に実行開始表明部127を呼び出す。
(図8:ステップ1222)
変換起動処理部122はIDを示す1を引数に逸脱判定部129を呼び出す。
(図8:ステップ1223)
変換起動処理部122はハードウェアタイマ15を起動させる。
(図8:ステップ1224)
変換起動処理部122は0b1000を引数に実行終了表明部128を呼び出す。
図9は解析起動部123の動作フローである。以下、図9の各ステップについて説明する。
(図9:ステップ1231)
解析起動部123は0b0100を引数に実行開始表明部127を呼び出す。
(図9:ステップ1232)
解析起動部123はIDを示す1を引数に逸脱判定部129を呼び出す。
(図9:ステップ1233)
解析起動部123はハードウェアタイマ15を停止させ、転送カウンタをインクリメントする。
(図9:ステップ1234)
解析起動部123は転送カウンタが特定の回数以上であるかを判定する。判定結果が真である場合にはステップ1235に進み、偽である場合にはステップ1237に進む。
(図9:ステップ1235)
解析起動部123は転送カウンタを初期値0にセットする。
(図9:ステップ1236)
解析起動部123は解析処理部124を割り込み処理で起動する。
(図9:ステップ1237)
解析起動部123はハードウェアタイマ15を起動させる。
(図9:ステップ1238)
解析起動部123は0b0100を引数に実行終了表明部128を呼び出す。
(図9:ステップ1231)
解析起動部123は0b0100を引数に実行開始表明部127を呼び出す。
(図9:ステップ1232)
解析起動部123はIDを示す1を引数に逸脱判定部129を呼び出す。
(図9:ステップ1233)
解析起動部123はハードウェアタイマ15を停止させ、転送カウンタをインクリメントする。
(図9:ステップ1234)
解析起動部123は転送カウンタが特定の回数以上であるかを判定する。判定結果が真である場合にはステップ1235に進み、偽である場合にはステップ1237に進む。
(図9:ステップ1235)
解析起動部123は転送カウンタを初期値0にセットする。
(図9:ステップ1236)
解析起動部123は解析処理部124を割り込み処理で起動する。
(図9:ステップ1237)
解析起動部123はハードウェアタイマ15を起動させる。
(図9:ステップ1238)
解析起動部123は0b0100を引数に実行終了表明部128を呼び出す。
図10は解析処理部124の動作フローである。以下、図10の各ステップについて説明する。
(図10:ステップ1241)
解析処理部124は0b0010を引数に実行開始表明部127を呼び出す。
(図10:ステップ1242)
解析処理部124はIDを示す2を引数に逸脱判定部129を呼び出す。
(図10:ステップ1243)
解析処理部124は解析処理を行う。
(図10:ステップ1244)
解析処理部124は0b0010を引数に実行終了表明部128を呼び出す。
(図10:ステップ1241)
解析処理部124は0b0010を引数に実行開始表明部127を呼び出す。
(図10:ステップ1242)
解析処理部124はIDを示す2を引数に逸脱判定部129を呼び出す。
(図10:ステップ1243)
解析処理部124は解析処理を行う。
(図10:ステップ1244)
解析処理部124は0b0010を引数に実行終了表明部128を呼び出す。
図11は逆回転時処理部125の動作フローである。以下、図11の各ステップについて説明する。
(図11:ステップ1251)
逆回転時処理部125は0b0001を引数に実行開始表明部127を呼び出す。
(図11:ステップ1252)
逆回転時処理部125はIDを示す4を引数に逸脱判定部129を呼び出す。
(図11:ステップ1253)
逆回転時処理部125は逆回転時の処理を行う。例えば、逆回転時にはノック制御が不要になるため、処理を停止させて初期化を行う。
(図11:ステップ1254)
逆回転時処理部125は0b0001を引数に実行終了表明部128を呼び出す。
(図11:ステップ1251)
逆回転時処理部125は0b0001を引数に実行開始表明部127を呼び出す。
(図11:ステップ1252)
逆回転時処理部125はIDを示す4を引数に逸脱判定部129を呼び出す。
(図11:ステップ1253)
逆回転時処理部125は逆回転時の処理を行う。例えば、逆回転時にはノック制御が不要になるため、処理を停止させて初期化を行う。
(図11:ステップ1254)
逆回転時処理部125は0b0001を引数に実行終了表明部128を呼び出す。
図12は逆回転判定部126の動作フローである。以下、図12の各ステップについて説明する。
(図12:ステップ1261)
逆回転判定部126はクランク角センサ19の値に基づいて逆回転しているか否かを判定する。
(図12:ステップ1261)
逆回転判定部126はクランク角センサ19の値に基づいて逆回転しているか否かを判定する。
図13は実行開始表明部127の動作フローである。以下、図13の各ステップについて説明する。
(図13:ステップ1271)
実行開始表明部127は並列実行状態142と引数の実行状態フラグでORをとり、並列実行状態142に上書きする。実施の形態1はシングルコアであるため、並列実行状態には並行に実行される実行体の状態しか保存されていないが、これに限らない。例えば、マルチコアの場合には並列に実行される実行体の状態を保存する。またFPGAやGPGPUを使用する場合には、それらも実行体の状態として管理する。またこれらに限らない。
(図13:ステップ1271)
実行開始表明部127は並列実行状態142と引数の実行状態フラグでORをとり、並列実行状態142に上書きする。実施の形態1はシングルコアであるため、並列実行状態には並行に実行される実行体の状態しか保存されていないが、これに限らない。例えば、マルチコアの場合には並列に実行される実行体の状態を保存する。またFPGAやGPGPUを使用する場合には、それらも実行体の状態として管理する。またこれらに限らない。
図14は実行終了表明部128の動作フローである。以下、図14の各ステップについて説明する。
(図14:ステップ1281)
実行終了表明部128は並列実行状態142と引数の実行状態フラグでXORをとり、並列実行状態142に上書きする。
(図14:ステップ1281)
実行終了表明部128は並列実行状態142と引数の実行状態フラグでXORをとり、並列実行状態142に上書きする。
図15は逸脱判定部129の動作フローである。以下、図15の各ステップについて説明する。
(図15:ステップ1291)
逸脱判定部129は逸脱状態144が初期値であるかを判定する。判定結果が真である場合にはステップ1292に進み、偽である場合には本動作フローを終了する。
(図15:ステップ1292)
逸脱判定部129は並列実行状態142と引数のIDに対応する制約式1414をORした結果が引数のIDに対応する制約式1414と等しくないことを判定する。判定結果が真である場合にはステップ1293に進み、偽である場合には本動作フローを終了する。
(図15:ステップ1293)
逸脱判定部129は監視状態フラグ143に1をセットする。
(図15:ステップ1294)
逸脱判定部129は並列実行状態を逸脱状態143の状態1431に、引数のIDを逸脱状態143の制約式ID1432に保存する。
(図15:ステップ1291)
逸脱判定部129は逸脱状態144が初期値であるかを判定する。判定結果が真である場合にはステップ1292に進み、偽である場合には本動作フローを終了する。
(図15:ステップ1292)
逸脱判定部129は並列実行状態142と引数のIDに対応する制約式1414をORした結果が引数のIDに対応する制約式1414と等しくないことを判定する。判定結果が真である場合にはステップ1293に進み、偽である場合には本動作フローを終了する。
(図15:ステップ1293)
逸脱判定部129は監視状態フラグ143に1をセットする。
(図15:ステップ1294)
逸脱判定部129は並列実行状態を逸脱状態143の状態1431に、引数のIDを逸脱状態143の制約式ID1432に保存する。
図16はランタイム検証部130の動作フローである。以下、図16の各ステップについて説明する。
(図16:ステップ1301)
ランタイム検証部130は逸脱状態143の状態1431と逸脱状態の制約式ID1432に基づいた制約式1414に対してXORを取ることで設計から逸脱した実行体IDを特定する。
(図16:ステップ1302)
ランタイム検証部130は実行体特性情報145において特定した実行体IDが他に影響が与えるかを判定する。判定結果が真である場合にはステップ1303に進み、偽である場合にはステップ1304に進む。
(図16:ステップ1303)
ランタイム検証部130は逸脱状態保存部131aを呼び出す。
(図16:ステップ1304)
ランタイム検証部130は監視状態フラグを0にセットすることで監視状態を解除する。
(図16:ステップ1301)
ランタイム検証部130は逸脱状態143の状態1431と逸脱状態の制約式ID1432に基づいた制約式1414に対してXORを取ることで設計から逸脱した実行体IDを特定する。
(図16:ステップ1302)
ランタイム検証部130は実行体特性情報145において特定した実行体IDが他に影響が与えるかを判定する。判定結果が真である場合にはステップ1303に進み、偽である場合にはステップ1304に進む。
(図16:ステップ1303)
ランタイム検証部130は逸脱状態保存部131aを呼び出す。
(図16:ステップ1304)
ランタイム検証部130は監視状態フラグを0にセットすることで監視状態を解除する。
図17は逸脱状態通知部131の動作フローである。以下、図17の各ステップについて説明する。
(図17:ステップ1311)
逸脱状態通知部131は不具合原因を示すエラーコードと共に逸脱状態143をネットワークに送信する。実施の形態1は逸脱状態をネットワークに送信することで通知を行っているがこれに限らない。例えば、逸脱状態をログとして保存し、整備時やソフトウェア更新時にログを参照しても良い。また無線通信で自動車の外部にあるサーバに通知しても良い。
(図17:ステップ1311)
逸脱状態通知部131は不具合原因を示すエラーコードと共に逸脱状態143をネットワークに送信する。実施の形態1は逸脱状態をネットワークに送信することで通知を行っているがこれに限らない。例えば、逸脱状態をログとして保存し、整備時やソフトウェア更新時にログを参照しても良い。また無線通信で自動車の外部にあるサーバに通知しても良い。
図18は実施の形態1における車両制御装置1の例となる動作シナリオである。システム状態はエンジンの状態を表し、ソフト状態はシステムの状態に応じた状態遷移を行う。実施の形態1では正回転の場合にはサンプリング、ノック解析、点火、サンプリングタイミング待ちを繰り返し、逆回転の場合には処理を停止する。クランク角割り込みは特定のパルスで起動され、パルスに応じて変換起動処理部122と逆回転時処理部125の適切な処理部を選択し、実行する。実施の形態1ではこのように選択を行うが、これに限らない。例えば同じタイミングで実行しても良い。転送完了割り込みはDMA転送終了時に起動され、解析起動部123を実行する。ソフトウェア割り込みは解析起動部123によって発行され、解析処理部124を実行する。検証タスクは周期的にオペレーティングシステムによって実行され、ランタイム検証130を実行する。検証タスクは他の割り込み処理のリアルタイム性を阻害しないように低い優先度で実行される。実施の形態1ではランタイム検証130を割り込み処理よりも低い優先度で実行する方法をとっているが、リアルタイム性を阻害しなければこれに限らない。例えば、割り込み処理の直後に実行しても良い。しかし、ランタイム検証が実行しなければらないデッドラインは機能安全規格ISO26262で定義されたFault Tolerant Time Interval(FTTI)におけるDiagnostic Test Intervalの時間以下で実行されなければならない。並列実行状態は並列実行状態142の値の変化を示し、制約式はそのタイミングにおけるシステム状態とソフト状態に対応した制約式1414の変化を示す。監視状態フラグは監視状態フラグ143の値の変化を示し、逸脱状態は逸脱状態144の値の変化を示す。ネットワークはネットワークコントローラ18の状態を示す。
実施の形態1ではシステム状態が逆回転に変化したタイミングで、クランク角の状態が丁度、逆回転時処理部を実行するタイミングであるとAD変換コントローラ16を停止させる初期化を実施するが、その際にAD変換中である場合には停止命令を受け付けず、変換終了後に停止される。しかし、変換終了によりDMA転送が起こるために想定外の割り込みが発生したことを検知するシナリオを示している。実施の形態1ではこのような例題を用いているがこれに限らない。例えば、マルチコアマイコン、メニーコアマイコン、FPGA搭載マイコンなどにも適用可能である。本シナリオでは、解析起動部123で設計からの逸脱を検知し、監視状態に遷移する。その後、ランタイム検証部130によって不具合の影響を検証され、結果が真であったためネットワークを介して逸脱状態を通知する。
実施の形態1ではシステム状態が逆回転に変化したタイミングで、クランク角の状態が丁度、逆回転時処理部を実行するタイミングであるとAD変換コントローラ16を停止させる初期化を実施するが、その際にAD変換中である場合には停止命令を受け付けず、変換終了後に停止される。しかし、変換終了によりDMA転送が起こるために想定外の割り込みが発生したことを検知するシナリオを示している。実施の形態1ではこのような例題を用いているがこれに限らない。例えば、マルチコアマイコン、メニーコアマイコン、FPGA搭載マイコンなどにも適用可能である。本シナリオでは、解析起動部123で設計からの逸脱を検知し、監視状態に遷移する。その後、ランタイム検証部130によって不具合の影響を検証され、結果が真であったためネットワークを介して逸脱状態を通知する。
実施の形態1では、設計からの逸脱を制約式で記載された並列実行状態で検知するため、処理のオーバヘッドを削減できる。制約式で記載することで設計からの逸脱の大枠のみを確認し、割り込み処理とは別に、逸脱の影響を詳細に調べることが可能になり、割り込み処理のリアルタイム性を担保できる。
実施の形態1では、逸脱判定部129でのみ並列実行状態が制約式を充足するか判定を行っていないが、これに限らない。例えば、ランタイム検証部130でさらに詳細な制約式で追加判定を行って良い。例えば、逸脱判定部129でタスクレベルの並列実行状態の判定を行い、ランタイム検証部130で関数レベルの並列実行状態の判定を行っても良い。
更に、例えば、タスクが他のタスクを起動するようなタスクチェインを用いたシステムである場合、逸脱判定部129で最初に起動されるタスク同士に対して逸脱判定部129で並列実行状態の判定を行い、ランタイム検証部130で2個目からのタスクも含めた並列実行状態の判定を行っても良い。
実施の形態1では、設計からの逸脱を検知する方法は制約式に限らない。例えば、状態遷移シミュレーションでも良い。
実施の形態1では、制約式テーブルを1つしか用意していないがこれに限らない。2つ以上でも良い。
実施の形態1では、逸脱判定部129とランタイム検証部130を監視対象の車両制御装置と同じECUに搭載しているが、これに限らない。例えば、別のコンピュータ上で並列に実行しつつ判定しても良いし、動作ログを解析することによって判定しても良い。
実施の形態1では、逸脱からの逸脱を検知しても、直ぐにフェールセーフのような対異常処理を実行しないため、誤検知による可用性低下を防止できる。
実施の形態1では、ランタイム検証部130が不具合の影響がないと判定した際に監視状態フラグをクリアし、監視状態を解除しているがこれに限らない。例えば、監視状態を解除しないでも良いし、システムのOFFに伴い監視状態を解除しても良い。またこれらに限らない。
実施の形態1では、逸脱状態を上書きする方法としてあるが、これに限らない。逸脱判定後の状態を時系列順に保存し続けても良い。またこれらに限らない。
実施の形態1では、ランタイム検証部130が不具合の影響があると判定した場合に、逸脱状態を通知しているが、これに限らない。逸脱状態を保存しても良いし、フェールセーフ処理を行っても良い。
以上のように、本実施の形態1によれば、逸脱判定部129が、実行体の起動が設計想定から逸脱していることを判定し、監視状態に遷移させ、ランタイム検証部130が監視状態では割り込み処理とは別のタイミングで逸脱影響を検証し、監視状態でエラーを検出した場合には逸脱状態通知部131がエラーコードと共に逸脱時の状態を通知するため、割り込み処理のリアルタイム性を阻害せずに設計の逸脱を検知でき、更に誤検知による可用性低下を防止できるため、リアルタイム性と高信頼性が求められる自動車制御システムに好適である。また、不具合の要因特定が容易に行われるため、安全性が求められる自動車制御システムに好適である。
129 逸脱判定部、130 ランタイム検証部、131a 逸脱状態保存部、131 逸脱状態通知部。
Claims (11)
- 割り込み処理の実行時に実行体の実行タイミングが設計想定から逸脱しているかを判定し、逸脱している場合には監視状態フラグを監視状態に遷移させる逸脱判定部と、
割り込み処理以外の実行時において前記監視状態フラグが監視状態であるときは逸脱の影響を検証するランタイム検証部と、
を備え、
前記逸脱判定部は、設計想定からの逸脱を、前記実行体の並列実行制約が記載された制約式からの充足性で判定することを特徴とする車両制御装置。 - 前記監視状態でエラーを検出した場合には、エラーコードと共に逸脱時の状態を保存する逸脱状態保存部を備えることを特徴とする請求項1記載の車両制御装置。
- 前記実行体は、割り込み処理、タスク、回路処理の少なくともいずれかであることを特徴とする請求項1記載の車両制御装置。
- 前記逸脱時の状態は、前記実行体の実行状況であることを特徴とする請求項1記載の車両制御装置。
- 前記並列実行制約とは、同時に並列実行が許可されたタスクや割り込み処理の群であることを特徴とする請求項1記載の車両制御装置。
- 前記並列実行制約には、同じコア内における前記並行実行制約も含まれることを特徴とする請求項1記載の車両制御装置。
- 前記並列実行制約は、マルチコアにおける処理やGPUの処理、FPGAの処理も含まれることを特徴とする請求項1記載の車両制御装置。
- 前記割り込み処理とは異なる前記タイミングとは、前記割り込み処理が実行されていない時間、または前記割り込み処理の最後の時間、または前記割り込み処理より低い優先度でランタイム検証部を実行することを特徴とする請求項1記載の車両制御装置。
- 各状態の状態遷移イベントの充足性で判定する前記逸脱判定部で構成されることを特徴とする請求項1記載の車両制御装置。
- イベント発生の充足性判定を、状態遷移シミュレーションで判定する前記逸脱判定部であることを特徴とする請求項9記載の車両制御装置。
- 監視対象のプログラムが状態遷移設計されたプログラムであることを特徴とする請求項1記載の車両制御装置。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017058394A JP6838234B2 (ja) | 2017-03-24 | 2017-03-24 | 車両制御装置 |
| US16/481,320 US11372706B2 (en) | 2017-03-24 | 2018-03-15 | Vehicle control device |
| PCT/JP2018/010156 WO2018173910A1 (ja) | 2017-03-24 | 2018-03-15 | 車両制御装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017058394A JP6838234B2 (ja) | 2017-03-24 | 2017-03-24 | 車両制御装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018160205A JP2018160205A (ja) | 2018-10-11 |
| JP6838234B2 true JP6838234B2 (ja) | 2021-03-03 |
Family
ID=63585413
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017058394A Active JP6838234B2 (ja) | 2017-03-24 | 2017-03-24 | 車両制御装置 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11372706B2 (ja) |
| JP (1) | JP6838234B2 (ja) |
| WO (1) | WO2018173910A1 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6984512B2 (ja) * | 2018-03-22 | 2021-12-22 | 株式会社デンソー | 電子制御装置 |
| JP7006461B2 (ja) * | 2018-04-02 | 2022-01-24 | 株式会社デンソー | 電子制御装置および電子制御システム |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS4995548A (ja) * | 1973-01-12 | 1974-09-10 | ||
| JP4226085B2 (ja) * | 1996-10-31 | 2009-02-18 | 株式会社ルネサステクノロジ | マイクロプロセッサ及びマルチプロセッサシステム |
| JP2001323836A (ja) * | 2000-05-17 | 2001-11-22 | Denso Corp | クランク同期タスクの異常検出方法 |
| US7260752B2 (en) * | 2004-02-19 | 2007-08-21 | International Business Machines Corporation | Method and apparatus for responding to critical abstracted platform events in a data processing system |
| JP4874440B2 (ja) | 2004-06-29 | 2012-02-15 | 株式会社デンソー | 状態とイベントの組にアクションを割り当てた対応情報に基づいてプログラムを生成するプログラム生成プログラム、プログラム生成装置、およびプログラム生成方法、ならびに、これらによって生成されるプログラム |
| JP4820692B2 (ja) * | 2006-05-30 | 2011-11-24 | Okiセミコンダクタ株式会社 | センサ制御回路 |
| JP4496205B2 (ja) | 2006-12-18 | 2010-07-07 | 日立オートモティブシステムズ株式会社 | 制御用マイクロコンピュータの検証装置および車載用制御装置 |
| US8255602B2 (en) * | 2008-09-09 | 2012-08-28 | Texas Instruments Incorporated | Effective mixing real-time software with a non-real-time operating system |
| JP5542398B2 (ja) * | 2009-09-30 | 2014-07-09 | 株式会社日立製作所 | 障害の根本原因解析結果表示方法、装置、及びシステム |
| JP2012248022A (ja) * | 2011-05-27 | 2012-12-13 | Toyota Motor Corp | 情報処理装置、故障検出装置、故障検出方法 |
| JP5518810B2 (ja) | 2011-08-18 | 2014-06-11 | 日立オートモティブシステムズ株式会社 | 車両制御装置、車両制御システム |
| DE102012205988A1 (de) * | 2012-04-12 | 2013-10-17 | Robert Bosch Gmbh | Teilnehmerstation für ein Bussystem und Verfahren zur Übertragung von Nachrichten zwischen Teilnehmerstationen eines Bussystems |
| US9921937B2 (en) * | 2014-01-23 | 2018-03-20 | Microsoft Technology Licensing, Llc | Behavior clustering analysis and alerting system for computer applications |
| KR20150129460A (ko) * | 2014-05-12 | 2015-11-20 | 현대모비스 주식회사 | 차량용 지능형 배터리 센서 및 이를 이용한 데이터 저장 방법 |
| JP2016022841A (ja) * | 2014-07-22 | 2016-02-08 | 株式会社デンソー | 車両用装置及び状態遷移プログラム |
| US9542254B2 (en) * | 2014-07-30 | 2017-01-10 | International Business Machines Corporation | Application-level signal handling and application-level memory protection |
| JP2016057969A (ja) * | 2014-09-11 | 2016-04-21 | 日立オートモティブシステムズ株式会社 | プログラム検査装置、ソフトウェア検査装置、sat制約条件データ、記憶媒体 |
| JP2019527413A (ja) * | 2016-07-07 | 2019-09-26 | アスペン テクノロジー インコーポレイテッド | 根本的原因分析を実行してプラントワイド操業での希少イベントの発生の予測モデルを構築するコンピュータシステムおよび方法 |
| CN107077408A (zh) * | 2016-12-05 | 2017-08-18 | 华为技术有限公司 | 故障处理的方法、计算机系统、基板管理控制器和系统 |
-
2017
- 2017-03-24 JP JP2017058394A patent/JP6838234B2/ja active Active
-
2018
- 2018-03-15 US US16/481,320 patent/US11372706B2/en active Active
- 2018-03-15 WO PCT/JP2018/010156 patent/WO2018173910A1/ja active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| WO2018173910A1 (ja) | 2018-09-27 |
| US20190354424A1 (en) | 2019-11-21 |
| JP2018160205A (ja) | 2018-10-11 |
| US11372706B2 (en) | 2022-06-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4222370B2 (ja) | デバッグ支援装置及びデバッグ処理方法をコンピュータに実行させるためのプログラム | |
| US9830211B2 (en) | Framework as well as method for developing time-triggered computer systems with multiple system modes | |
| JP2002278779A (ja) | 処理実行装置及びプログラム | |
| US20090217090A1 (en) | Method, operating system and computing hardware for running a computer program | |
| JP2008513900A (ja) | コンピュータシステム上でコンピュータプログラムを処理する方法 | |
| JP6838234B2 (ja) | 車両制御装置 | |
| US7788533B2 (en) | Restarting an errored object of a first class | |
| JPS5968004A (ja) | 車載用コンピユ−タのフエイルセ−フ方法 | |
| JP2008513899A (ja) | コンピュータシステム上でコンピュータプログラムを処理する方法 | |
| US8108840B2 (en) | Method for enhancing debugger performance of hardware assisted breakpoints | |
| JP2009129463A (ja) | 車両制御装置のリアルタイムシステムにおける一時的エラーの処理方法 | |
| US7711985B2 (en) | Restarting an errored object of a first class | |
| JPH02294739A (ja) | 障害検出方式 | |
| JP2010113419A (ja) | マルチコア制御装置 | |
| Koolwal et al. | Myths and realities of real-time linux software systems | |
| US10514970B2 (en) | Method of ensuring operation of calculator | |
| JP2002304304A (ja) | 処理実行装置、当該処理実行装置に搭載される処理プログラム、及び記録媒体 | |
| WO2013073009A1 (ja) | マイコンシステム、監視マイコン | |
| WO2023281766A1 (ja) | 自動車用コンピュータの制御方法、及び車両用電子制御装置 | |
| JP5425445B2 (ja) | 処理制御システム、方法及びプログラム | |
| JP2019020869A (ja) | 車両制御装置 | |
| JP2002229811A (ja) | 論理分割システムの制御方法 | |
| WO2013057769A1 (ja) | 情報処理装置、情報処理装置の制御方法および制御プログラム | |
| JPH0642207B2 (ja) | マルチレベルプログラミング方式 | |
| JP2002251299A (ja) | プログラムトレース装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170327 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190822 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190822 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20201006 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20201022 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20201027 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201126 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210105 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210115 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6838234 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |