JP6847710B2 - Design support system, design support method, and program - Google Patents
Design support system, design support method, and program Download PDFInfo
- Publication number
- JP6847710B2 JP6847710B2 JP2017037744A JP2017037744A JP6847710B2 JP 6847710 B2 JP6847710 B2 JP 6847710B2 JP 2017037744 A JP2017037744 A JP 2017037744A JP 2017037744 A JP2017037744 A JP 2017037744A JP 6847710 B2 JP6847710 B2 JP 6847710B2
- Authority
- JP
- Japan
- Prior art keywords
- unit
- functional
- vehicle
- operating
- design support
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、設計支援システム、設計支援方法、及びプログラムに関する。 The present invention relates to a design support system, a design support method, and a program.
各種設計支援システムにより、制御システム等の設計作業の効率を向上させることが図られてきた。その設計の結果が設計者の意図するものであることを検証する必要がある。
近年の移動体は、要求される複数の機能を実現するために、複数の部位、部品を含み、それらの関係が複雑化している。それに伴い、その複数の機能に関する検証も複雑化している。
例えば、車両については、国際規格ISO26262(非特許文献1)に規定されるように機能安全の実現が求められ、車両を1つの製品として扱い、製品全体として車1台分の検証が求められるようになった。
Various design support systems have been used to improve the efficiency of design work such as control systems. It is necessary to verify that the result of the design is what the designer intended.
In recent years, mobile objects include a plurality of parts and parts in order to realize a plurality of required functions, and their relationships are complicated. Along with this, the verification of the multiple functions has become complicated.
For example, for vehicles, the realization of functional safety is required as stipulated in the international standard ISO26262 (Non-Patent Document 1), the vehicle is treated as one product, and the verification of one vehicle as a whole is required. Became.
しかしながら、非特許文献1を参照しても、車1台分の機能を複数の部位、部品などの要素に分けて構成する際に、実現する機能を如何に分割し、また、その分割の結果を如何にして検証すべきかまでは規定されていない。
本発明の目的は、複数の要素に機能分割された制御システムの設計の検証を、効率よく実施することを可能にする設計支援システム、設計支援方法、及びプログラムを提供することにある。
However, even with reference to
An object of the present invention is to provide a design support system, a design support method, and a program that enable efficient verification of the design of a control system whose functions are divided into a plurality of elements.
請求項1記載の発明は、車両(M)の運転者の操作または車両の司令部(130)の指示に応じて前記車両の少なくとも一部を作動させるための制御システム(100)の設計支援システム(500)であって、前記車両は、複数の作動部と、前記複数の作動部を制御するための制御システムとを有しており、前記複数の作動部のうちの任意の作動部は、前記運転者の操作または前記司令部の指示に基づいて作動するように設定されており、前記制御システムは、少なくとも前記任意の作動部に関する複数の機能部であって、前記作動部の作動に関し直列の関係にある複数の機能部を有しており、前記複数の機能部は、前記複数の機能部の間で前記作動部の作動のための信号の送り側となる第1機能部(100)と、前記信号の受け側となる第2機能部(220)と、を含むものであって、当該設計支援システムは、前記第1機能部から前記第2機能部へ供給される信号に関する検証結果を取得する取得部(510)と、前記第1機能部から前記第2機能部へ供給される信号に関する前記第1機能部側の第1の検証結果の入力の有無と、上記信号に関する前記第2機能部側の第2の検証結果の入力の有無と、の少なくとも一方を報知可能とする報知部(550)と、を備えることを特徴とする設計支援システムである。
請求項1によれば、本発明によって、設計者或いは設計支援システムのユーザーは、少なくとも検証が要求されていることを知ることができ、検証作業の効率向上が図れる。
The invention according to
According to
請求項2記載の発明は、前記機能部に関する検証のための条件を含む情報を記憶する記憶部(520)を備え、前記報知部は、前記検証のための条件を含む情報を表示手段に表示させることを特徴とする。
請求項2によれば、検証の基準にすべき条件等を容易に確認できるので、検証作業の効率向上が図れる。
The invention according to
According to
請求項3記載の発明は、前記報知部は、前記第1の検証結果と前記第2の検証結果とに基づいた前記第1機能部と前記第2機能部に関する設計段階を報知することを特徴とする。
請求項3によれば、双方の検証が終わっているか否かを知ることができる。また双方の検証が終わった場合に、その結果が一致しているか否かを知ることができる。そして、一致したことを可視化したことによって、機能安全の検証の結果を容易に共有することができ、検証作業の効率向上が図れる。
The invention according to
According to
請求項4記載の発明は、車両(M)の運転者の操作または車両の司令部(130)の指示に応じて前記車両の少なくとも一部を作動させるための制御システム(100)の設計支援システム(500)であって、前記車両は、複数の作動部と、前記複数の作動部を制御するための制御システムとを有しており、前記複数の可動部のうちの任意の作動部は、前記運転者の操作または前記司令部の指示に基づいて作動するように設定されており、前記制御システムは、少なくとも前記任意の作動部に関する複数の機能部であって、前記作動部の作動に関し直列の関係にある複数の機能部を有しており、前記複数の機能部は、前記複数の機能部の間で前記作動部の作動のための信号の送り側となる第1機能部(100)と、前記信号の受け側となる第2機能部(220)と、を含むものであって、当該設計支援システムは、少なくとも、前記第1機能部に関する情報と、前記第2機能部に関する情報と、前記第1機能部から前記第2機能部へ供給される信号に関する情報と、少なくとも前記第1機能部または前記第2機能部の設計または検証に関わる人に関する情報と、を表示手段に表示させる報知部(550)を備えることを特徴とする設計支援システムである。
請求項4によれば、検証結果を共有すべき相手の情報が容易に確認できるので、検証作業の効率向上が図れる。
The invention according to
According to
請求項5記載の発明は、前記機能部に関する検証のための条件を含む情報を記憶する記憶部(520)を備え、前記報知部は、前記検証のための条件を含む情報を表示手段に表示させることを特徴とする。
請求項5によれば、検証の基準にすべき条件等を容易に確認でき、共有すべき相手との情報の共有の精度があがり、検証作業の効率向上が図れる。
The invention according to
According to
請求項6記載の発明は、前記設計支援システムは、前記機能部に関する検証結果を取得する取得部(510)を備え、前記報知部は、前記第1機能部から前記第2機能部へ供給される信号に関する前記第1機能部側の第1の検証結果の入力の有無と、上記信号に関する前記第2機能部側の第2の検証結果の入力の有無と、の少なくとも一方を報知可能とすることを特徴とする。
請求項6によれば、本発明によって、設計者或いは設計支援システムのユーザーは、少なくとも検証が要求されていることを知ることができ、検証作業の効率向上が図れる。
In the invention according to
According to
請求項7記載の発明は、ユーザーの操作に応じて駆動部を駆動させる制御システム(100)を設計対象とし、当該制御システムに関する機能安全の設計を支援する設計支援システム(500)であって、当該制御システムは、複数の機能部を含み、前記複数の機能部には前記駆動部を駆動させるための処理が当該処理の流れに従って機能分割されて割り付けられており、前記複数の機能部のそれぞれが、それぞれに割り付けられた処理を実施して前記駆動部を駆動させるものであり、前記複数の機能部のうち、前記処理に係る指令を送出する第1機能部(100)と、前記第1機能部から送出された指令を受ける第2機能部(220)とについて、前記第1機能部と前記第2機能部との間の前記指令に係る信号が、前記機能分割に従い決定され、前記第2機能部の機能と当該信号との関係が前記機能安全の要求度を満足することを検証する検証部(510)を備える設計支援システムである。
請求項7によれば、本発明によって、設計者或いは設計支援システムのユーザーは、少なくとも検証が要求されていることを知ることができ、検証作業の効率向上が図れる。サービスロボットなどへの適用も可能である。
The invention according to
According to
請求項8記載の発明は、ユーザーの操作に応じて駆動部を駆動させる制御システムを設計対象とし、当該制御システムに関する機能安全の設計を支援する設計支援方法であって、当該制御システムは、複数の機能部を含み、前記複数の機能部には前記駆動部を駆動させるための処理が当該処理の流れに従って機能分割されて割り付けられており、前記複数の機能部のそれぞれが、それぞれに割り付けられた処理を実施して前記駆動部を駆動させるものであり、前記複数の機能部のうち、前記処理に係る指令を送出する第1機能部と、前記第1機能部から送出された指令を受ける第2機能部とについて、前記第1機能部と前記第2機能部との間の前記指令に係る信号が、前記機能分割に従い決定され、前記第2機能部の機能と当該信号との関係が前記機能安全の要求度を満足することを検証する過程を含む設計支援方法である。
請求項8によれば、本発明の設計支援方法によって、設計者或いは設計支援システムのユーザーは、少なくとも検証が要求されていることを知ることができ、検証作業の効率向上が図れる。
The invention according to
According to
請求項9記載の発明は、ユーザーの操作に応じて駆動部を駆動させる制御システムを設計対象とし、当該制御システムに関する機能安全の設計を支援する設計支援システムのコンピュータに実行させるためのプログラムであって、設計を支援する対象の制御システムは、複数の機能部を含み、前記複数の機能部には前記駆動部を駆動させるための処理が当該処理の流れに従って機能分割されて割り付けられており、前記複数の機能部のそれぞれが、それぞれに割り付けられた処理を実施して前記駆動部を駆動させるものであり、前記複数の機能部のうち、前記処理に係る指令を送出する第1機能部と、前記第1機能部から送出された指令を受ける第2機能部とについて、前記第1機能部と前記第2機能部との間の前記指令に係る信号が、前記機能分割に従い決定され、前記第2機能部の機能と当該信号との関係が前記機能安全の要求度を満足することを検証するステップを含むプログラムである。
請求項9によれば、本発明のプログラムによって、設計者或いは設計支援システムのユーザーは、少なくとも検証が要求されていることを知ることができ、検証作業の効率向上が図れる。
The invention according to
According to
請求項1から請求項9に記載の発明によれば、上記の構成を備えることにより、複数の要素に機能分割された制御システムの設計の検証を、効率よく実施することを可能にする設計支援システム、設計支援方法、及びプログラムを提供することができる。
According to the inventions of
以下、図面を参照し、本発明の設計支援システム、設計支援方法、及びプログラムの実施形態について説明する。 Hereinafter, the design support system, the design support method, and the embodiment of the program of the present invention will be described with reference to the drawings.
<設計支援システムの概要と実施形態の説明に用いる各種用語について>
最初に、設計支援システムの概要と、以下の実施形態の説明に用いる各種用語について説明する。
実施形態に係る設計支援システムは、下記のような制御システムの設計を支援する。その制御システムは、例えば、人の操作又は外部からの指令(又は命令)に基づいて、若しくは、指令部からの指令(又は命令)により、各種作動部が作動するように制御するものであり、例えば、可動部を動かすための駆動部を制御するもの、移動体の移動を制御するものなどである。上記の移動体には、人が搭乗してもよく、搬送車のように人が搭乗しなくてもよい。その移動体は、人の操縦により移動するものであってもよく、判断機能を有し自律して移動するものであってもよい。例えば、自動車、飛行機、歩行型のロボットなどは、上記の移動体の一例である。なお、実施形態に係る設計支援システムは、上記のような移動体の制御システムの機能安全の設計に適用可能なものである。
<About various terms used to explain the outline of the design support system and the embodiment>
First, the outline of the design support system and various terms used in the following embodiments will be described.
The design support system according to the embodiment supports the design of the following control system. The control system controls the operation of various operating units based on, for example, human operation or an external command (or command), or by a command (or command) from the command unit. For example, a device that controls a drive unit for moving a movable unit, a device that controls the movement of a moving body, and the like. A person may board the above-mentioned moving body, and a person may not board the moving body as in the case of a transport vehicle. The moving body may be one that moves by maneuvering a person, or one that has a judgment function and moves autonomously. For example, automobiles, airplanes, walking robots, etc. are examples of the above-mentioned moving bodies. The design support system according to the embodiment can be applied to the functional safety design of the mobile control system as described above.
実施形態に係るアイテムとは、移動体を移動させるなどの目的で、電気的・電子的な制御を実行するシステム又はシステムの集合体(システム群)である。例えば、アイテムは、移動体全体に係る制御システムに対応するものであってもよく、その移動体全体に係る制御システムの一部を構成するものであってもよい。上記のアイテムは、例えば、複数のシステムに分割されていて、その複数のシステムが互いに協調して作用するものであってもよい。なお、以下に示す実施形態の説明における移動体として、自動車を例示して説明する。この場合のアイテムは、「車両制御システム」に相当する。 The item according to the embodiment is a system or a group of systems (system group) that executes electrical and electronic control for the purpose of moving a moving body or the like. For example, the item may correspond to a control system for the entire moving body, or may form a part of the control system for the entire moving body. The above item may be divided into a plurality of systems, for example, and the plurality of systems may act in cooperation with each other. In addition, as a moving body in the description of the embodiment shown below, an automobile will be described as an example. The item in this case corresponds to the "vehicle control system".
実施形態に係るメカニズムとは、移動体のアイテムが作用して、その移動体の外部環境に対して影響を与え得るものを総称する。エンジン、モータ、ソレノイドなどのアクチュエータは、機械的な作用により当該移動体の外部に影響を与え得るものの一例である。また、移動体に搭載された発光体、つまり、前照灯、車幅灯などは、電気的な作用により当該移動体の外部に影響を与え得るものの一例である。なお、メカニズムには、上記の直接的に作用するものの他に間接的に作用するものも含まれることがある。例えば、移動体の一部又は全部についてそれを数値化した制御モデルを定め、このような制御モデルを用いて移動体を制御することがある。このように制御システムが移動体を制御するために参照する各種制御モデルは、例えば、論理的な作用により間接的に当該移動体の外部に影響を与え得るものの一例である。 The mechanism according to the embodiment is a general term for a mechanism by which an item of a moving body acts and can affect the external environment of the moving body. Actuators such as engines, motors, and solenoids are examples of those that can affect the outside of the moving body by mechanical action. Further, a light emitting body mounted on the moving body, that is, a headlight, a side light, or the like is an example of one that can affect the outside of the moving body by an electric action. The mechanism may include those that act indirectly in addition to those that act directly as described above. For example, a control model in which a part or all of the moving body is quantified may be defined, and the moving body may be controlled by using such a control model. The various control models that the control system refers to in order to control the moving body are, for example, examples of those that can indirectly affect the outside of the moving body by a logical action.
実施形態に係るコンセプト設計段階とは、例えば、設計対象のシステムが実現する機能を、要素に分割する設計を実施する段階のことである。 The concept design stage according to the embodiment is, for example, a stage of carrying out a design in which the functions realized by the system to be designed are divided into elements.
実施形態に係るハザードとは、国際規格ISO26262の定義に準じる。国際規格ISO26262によれば、要するに、上記のアイテムの機能不全の振る舞いにより引き起こされる人の健康に対する身体的な障害または被害になりうる原因のことである。なお、以下の説明において、国際規格ISO26262:2011(Road Vehicles-Functional Safety)のことを単に「国際規格」という。図25は、国際規格の全体を示す図である。
The hazard according to the embodiment conforms to the definition of the international standard ISO26262. According to the international
実施形態におけるASIL(Automotive Safety Integrity Level)とは、国際規格により規定された自動車用安全度水準のことである。国際規格における自動車用安全度水準は、管理すべき水準が「ASIL A」、「ASIL B」、「ASIL C」、「ASIL D」の4つに階層分けされている。その内、「ASIL A」が最も低い安全度水準に、「ASIL D」が最も高い安全度水準に対応付けられている。なお、上記の国際規格に対応するJIS C 0508−4:2012は、実施形態の技術に関連する規定の一例である。なお、自動車(車両)以外の移動体等の設計を対象にする場合には、実施形態におけるASILを、自動車(車両)以外のものに適用される安全度水準(SIL:Safety Integrity Level)に読み替えてもよい。 The ASIL (Automotive Safety Integrity Level) in the embodiment is an automobile safety level defined by an international standard. The level of safety for automobiles in international standards is divided into four levels to be managed: "ASIL A", "ASIL B", "ASIL C", and "ASIL D". Among them, "ASIL A" is associated with the lowest safety level, and "ASIL D" is associated with the highest safety level. JIS C 0508-4: 2012 corresponding to the above-mentioned international standard is an example of the provisions related to the technique of the embodiment. When designing a moving body other than an automobile (vehicle), the ASIL in the embodiment should be read as a safety integrity level (SIL) applied to something other than an automobile (vehicle). You may.
QM(Quality Management)とは、上記のASILを用いて管理すべき水準の内、その最も低い水準の「ASIL A」よりも低い水準のことである。この水準に割り付けられたものは、例えば、国際規格では要件管理下の対象として扱うものとはせずに、通常の品質管理で管理されている。 QM (Quality Management) is a level lower than the lowest level "ASIL A" among the levels to be managed using the above ASIL. Those assigned to this level are not treated as objects under requirements control in international standards, for example, but are managed by normal quality control.
システムの担当者(PIC1からPIC3)とは、上記の各システムの設計をそれぞれ担当する担当者のことである。 The person in charge of the system (PIC1 to PIC3) is the person in charge of designing each of the above systems.
プロセス管理者PMとは、上記の制御システム全体についてのコンセプト設計段階の設計をする者のことである。 The process manager PM is a person who designs the concept design stage for the entire control system.
<設計対象の移動体(車両)>
次に、実施形態における設計支援システムを移動体(車両)の設計に適用する事例について説明する。図1は、実施形態における設計支援システムを適用して設計する車両(以下、自車両Mと称する)の一例を示す図である。自車両Mには、車両制御システム100が搭載される。自車両Mは、例えば、二輪や三輪、四輪等の自動車であり、ディーゼルエンジンやガソリンエンジン等の内燃機関を動力源とした自動車や、電動機を動力源とした電気自動車、内燃機関および電動機を兼ね備えたハイブリッド自動車等を含む。電気自動車は、例えば、二次電池、水素燃料電池、金属燃料電池、アルコール燃料電池等の電池により放電される電力を使用して駆動される。
<Mobile object (vehicle) to be designed>
Next, an example of applying the design support system in the embodiment to the design of a moving body (vehicle) will be described. FIG. 1 is a diagram showing an example of a vehicle (hereinafter, referred to as own vehicle M) designed by applying the design support system in the embodiment. The
図1に示すように、自車両Mには、ファインダ20−1から20−7、レーダ30−1から30−6、およびカメラ40等のセンサと、ナビゲーション装置50と、車両制御システム100とが搭載される。上記ファインダ20−1から20−7、レーダ30−1から30−6、およびカメラ40等のセンサは、例えば、後述する検知デバイスDDを構成している。
As shown in FIG. 1, the own vehicle M includes sensors such as a finder 20-1 to 20-7, radars 30-1 to 30-6, a
ファインダ20−1から20−7は、例えば、照射光に対する散乱光を測定し、対象までの距離を測定するLIDAR(Light Detection and Ranging、或いはLaser Imaging Detection and Ranging)である。例えば、上述したファインダ20−1から20−6のそれぞれは、例えば、水平方向に関して150度程度の検出領域を有している。また、ファインダ20−7は、ルーフ等に取り付けられる。ファインダ20−7は、例えば、水平方向に関して360度の検出領域を有している。 Finder 20-1 to 20-7 are, for example, LIDAR (Light Detection and Ranging, or Laser Imaging Detection and Ranging) that measures scattered light with respect to irradiation light and measures the distance to an object. For example, each of the above-mentioned finder 20-1 to 20-6 has, for example, a detection region of about 150 degrees in the horizontal direction. Further, the finder 20-7 is attached to a roof or the like. The finder 20-7 has, for example, a detection region of 360 degrees with respect to the horizontal direction.
レーダ30−1から30−6は、例えばFM−CW(Frequency Modulated Continuous Wave)方式によって自車両Mを基準に定められた所定の範囲に存在する物体を検出するミリ波レーダである。 The radars 30-1 to 30-6 are millimeter-wave radars that detect an object existing in a predetermined range determined with reference to the own vehicle M by, for example, an FM-CW (Frequency Modulated Continuous Wave) method.
以下、ファインダ20−1から20−7を特段区別しない場合は、単に「ファインダ20」と記載し、レーダ30−1から30−6を特段区別しない場合は、単に「レーダ30」と記載する。 Hereinafter, when finder 20-1 to 20-7 are not particularly distinguished, it is simply described as "finder 20", and when radar 30-1 to 30-6 are not particularly distinguished, it is simply described as "radar 30".
カメラ40は、例えば、CCD(Charge Coupled Device)やCMOS(Complementary Metal Oxide Semiconductor)等の固体撮像素子を利用したデジタルカメラである。カメラ40は、フロントウインドシールド上部やルームミラー裏面等に取り付けられる。カメラ40は、例えば、周期的に繰り返し自車両Mの前方を撮像する。カメラ40は、複数のカメラを含むステレオカメラであってもよい。
The
なお、図1に示す構成はあくまで一例であり、構成の一部が省略されてもよいし、更に別の構成が追加されてもよい。 The configuration shown in FIG. 1 is merely an example, and a part of the configuration may be omitted or another configuration may be added.
図2は、実施形態に係る車両制御システム100を中心とした機能構成図である。自車両Mには、車両制御システム100(CONT100)と、走行駆動力出力装置200と、車両安定性制御装置220(VSAS220)、ブレーキ装置230(ESBS230)と、灯具240と、表示装置245(IPS245)と、ステアリング装置250(EOSS250)と、蓄電池管理装置270(BMS270)と、運行制御装置280(CCS280)と、SWセンサ290(SWSENS290)とが搭載される。これらの装置や機器は、CAN(Controller Area Network)通信線等の多重通信線やシリアル通信線、無線通信網等によって互いに接続される。
なお、特許請求の範囲における車両制御システムは、「車両制御システム100」のみを指しているのではなく、車両制御システム100以外の構成(後述する検知デバイスDDなど)を含んでもよい。
FIG. 2 is a functional configuration diagram centered on the
The vehicle control system in the claims does not only refer to the "
[SWセンサ]
SWセンサ290は、ファインダ20、レーダ30、およびカメラ40などを含む検知デバイスDDと、ナビゲーション装置50と、通信装置55と、車両センサ60と、アクセルペダル70と、アクセル開度センサ71と、ブレーキペダル80と、ブレーキ踏量センサ81と、自動運転切替スイッチ91と、を含む。
[SW sensor]
The
ナビゲーション装置50は、GNSS(Global Navigation Satellite System)受信機や地図情報(ナビ地図)、ユーザインターフェースとして機能するタッチパネル式表示装置、スピーカ、マイク等を有する。ナビゲーション装置50は、GNSS受信機によって自車両Mの位置を特定し、その位置から搭乗者によって指定された目的地までの経路を導出する。ナビゲーション装置50により導出された経路は、車両制御システム100に提供される。自車両Mの位置は、車両センサ60の出力を利用したINS(Inertial Navigation System)によって特定または補完されてもよい。また、ナビゲーション装置50は、目的地に至る経路について音声やナビ表示によって案内を行う。なお、自車両Mの位置を特定するための構成は、ナビゲーション装置50とは独立して設けられてもよい。また、ナビゲーション装置50は、例えば、搭乗者の保有するスマートフォンやタブレット端末等の端末装置の機能によって実現されてもよい。この場合、端末装置と車両制御システム100との間で、無線または有線による通信によって情報の送受信が行われる。
The
通信装置55は、例えば、セルラー網やWi−Fi網、Bluetooth(登録商標)、DSRC(Dedicated Short Range Communication)などを利用した無線通信を行う。
The
車両センサ60は、車速を検出する車速センサ、加速度を検出する加速度センサ、鉛直軸回りの角速度を検出するヨーレートセンサ、自車両Mの向きを検出する方位センサ等を含む。
The
アクセルペダル70は、車両乗員による加速指示(或いは戻し操作による減速指示)を受け付けるための操作子である。アクセル開度センサ71は、アクセルペダル70の踏み込み量を検出し、踏み込み量を示すアクセル開度信号を車両制御システム100に出力する。なお、車両制御システム100に出力するのに代えて、走行駆動力出力装置200、ステアリング装置250、またはブレーキ装置230に直接出力することがあってもよい。以下に説明する他の運転操作系の構成についても同様である。
The
ブレーキペダル80は、車両乗員による減速指示を受け付けるための操作子である。ブレーキ踏量センサ81は、ブレーキペダル80の踏み込み量(或いは踏み込み力)を検出し、検出結果を示すブレーキ信号を車両制御システム100に出力する。
The
自動運転切替スイッチ91は、車両の運転を制御する状態を、運転者が主体となって運転するモードと、車両に搭載された制御装置が主体となって運転する自動運転モードとを切替える操作を受け付けるための操作子である。 The automatic driving changeover switch 91 switches the state of controlling the driving of the vehicle between a mode in which the driver mainly operates and an automatic driving mode in which the control device mounted on the vehicle mainly operates. It is an operator for accepting.
[車両制御システム]
続いて、車両制御システム100(制御システム)について説明する。
車両制御システム100は、HMI制御部110と、走行制御部120と、自動運転制御部130とを備え、CPU(Central Processing Unit)などのプロセッサがプログラム(ソフトウェア)を実行することで実現される。また、以下に説明する機能(処理)のうち一部または全部は、LSI(Large Scale Integration)やASIC(Application Specific Integrated Circuit)、FPGA(Field-Programmable Gate Array)などのハードウェアによって実現されてもよいし、ソフトウェアとハードウェアの協働によって実現されてもよい。
[Vehicle control system]
Subsequently, the vehicle control system 100 (control system) will be described.
The
HMI制御部110は、自車両Mの乗員に対して表示装置245等を介して、自車両Mの状態等に関する各種情報を提示すると共に、乗員による入力操作を受け付ける。HMI制御部110は、各種表示装置、スピーカ、ブザー、タッチパネル、スイッチ、キーなどを含むものであってもよい。
The
走行制御部120は、自動運転制御部130によって生成された目標軌道を、予定の時刻通りに自車両Mが通過するように、走行駆動力出力装置200、車両安定性制御装置220、ブレーキ装置230、およびステアリング装置250等を制御する。走行制御部120は、周囲の状況が比較的暗い場合に、灯具240を点灯させるようにその点灯状態を制御する。
The traveling
自動運転制御部130は、カメラ、レーダ装置、およびファインダ等の検知デバイスDD、スイッチ、センサなどからの情報(スイッチ情報、センサ情報)に基づいて、自車両Mの周辺の物体の位置、および速度、加速度等の状態を認識する。自動運転制御部130は、ステアリング装置250からのステアリング情報により、自車両の操舵輪W2の制御状態を取得する。自動運転制御部130は、蓄電池管理装置270からの情報(蓄電池制御状態)により蓄電地の蓄電状態を取得する。自動運転制御部130は、運行制御装置280と連携して、自車両Mの走行を制御する。
The automatic
自動運転制御部130は、例えば、自車両Mが走行している車線(走行車線)、並びに走行車線に対する自車両Mの相対位置および姿勢を認識する。自車位置認識部122は、例えば、高精度地図情報から得られる道路区画線のパターン(例えば実線と破線の配列)と、カメラによって撮像された画像から認識される自車両Mの周辺の道路区画線のパターンとを比較することで、走行車線を認識する。そして、自動運転制御部130は、例えば、走行車線に対する自車両Mの位置や姿勢を認識し、それらに基づいて走行する推奨車線を決定して目標車線情報を生成する。
The automatic
自動運転制御部130は、決定された目標車線を走行するように、かつ、認識された自車両Mの周辺状況に対応できるように、自車両Mが将来走行する目標軌道を生成するとともに、運行制御装置280が利用する制御モデルを逐次更新する。
The automatic
続いて、走行駆動力出力装置200、車両安定性制御装置220(VSAS220)、ブレーキ装置230(ELBS230)と、灯具240と、表示装置245(IPS245)と、ステアリング装置250(EPSS250)と、蓄電池管理装置270(BMS270)と、運行制御装置280(CCS280)とについて説明する。
Subsequently, the traveling driving
[走行駆動力出力装置]
走行駆動力出力装置200は、車両が走行するための走行駆動力(トルク)を駆動輪W1に出力する。走行駆動力出力装置200は、例えば、自車両Mがエンジンを動力源とした自動車である場合、自車両Mが電動機を動力源とした電気自動車である場合、或いは、自車両Mがハイブリッド自動車である場合等が挙げられる。
[Traveling driving force output device]
The traveling driving
例えば、自車両Mが内燃機関を動力源とした自動車である場合、エンジン、エンジンを制御するエンジンECU(Electronic Control Unit)等を含むエンジン装置260(ENGS260)、ギアを含む変速機265(TMS265)等を備える。上記の場合、エンジン装置260のエンジンECUは、後述する走行制御部120から入力される情報に従って、エンジンのスロットル開度を制御することで、エンジンからエンジントルク(F5)を出力する。エンジンECUは、変速機265のシフト段等を調整する。変速機265は、エンジントルクとギア比に基づいて決定される駆動力、つまり、駆動輪W1を駆動するための駆動力(F4)を出力する。なお、エンジンは、作動部の一例である。
For example, when the own vehicle M is an automobile powered by an internal combustion engine, an engine device 260 (ENGS260) including an engine, an engine ECU (Electronic Control Unit) for controlling the engine, and a transmission 265 (TMS265) including gears. Etc. In the above case, the engine ECU of the
或いは、自車両Mが電動機を動力源とした電気自動車である場合、走行用モータおよび当該走行用モータを制御するモータECUを備える。上記の場合、モータECUは、走行制御部120から入力される情報に従って、走行用モータに与えるPWM(Pulse Width Modulation)信号のデューティ比を調整する。なお、走行用モータは、作動部の一例である。
Alternatively, when the own vehicle M is an electric vehicle powered by an electric motor, it includes a traveling motor and a motor ECU that controls the traveling motor. In the above case, the motor ECU adjusts the duty ratio of the PWM (Pulse Width Modulation) signal given to the traveling motor according to the information input from the traveling
また、或いは、自車両Mがハイブリッド自動車である場合、エンジン、ギア、蓄電池、走行用モータ(モータ)およびこれらを制御するハイブリッドシステムECUを備え、上記の各部を含むハイブリッドシステム210(HS210)を成す。上記の場合、走行駆動力出力装置200がエンジンおよび走行用モータを含む場合、ハイブリッドシステムECUは、走行制御部120から入力される情報に従って、エンジンおよび走行用モータを協調させることにより駆動輪W1を駆動する駆動力(F1:走行駆動力)を制御する。なお、エンジン、ギア、蓄電池、走行用モータ(モータ)は、作動部の一例である。
Alternatively, when the own vehicle M is a hybrid vehicle, it includes an engine, a gear, a storage battery, a traveling motor (motor), and a hybrid system ECU for controlling these, and forms a hybrid system 210 (HS210) including each of the above parts. .. In the above case, when the traveling driving
[車両安定性制御装置]
車両安定性制御装置220は、例えば、車両安定性制御ECUと、車両の安定性を制御するための油圧制御ユニットとを備える。油圧制御ユニットは、例えば、走行する車両が横滑りしたときの制動力を調整することにより、車両の安定性を確保する。車両安定性制御ECUは、車両制御システム100から入力される情報、或いはブレーキペダルから入力されるブレーキペダルの踏込量などの情報に従ってアクチュエータ(油圧制御ユニット)を操作することで、駆動輪W1の制動力(F2)を調整する。なお、油圧制御ユニットは、作動部の一例である。
[Vehicle stability control device]
The vehicle
[ブレーキ装置]
ブレーキ装置230は、例えば、ブレーキECUと、電動モータとを備える。電動モータは、例えば、走行する車両の車輪から受ける動力を電気エネルギーに変換することにより、車輪に対する制動力を生成する。ブレーキECUは、車両制御システム100から入力される情報、或いはブレーキペダルから入力されるブレーキペダルの踏込量などの情報に従って電動モータを回生状態にすることで、駆動輪W1を制動させるように、車輪の制動力(F3)を調整する。なお、電動モータは、作動部の一例である。
[Brake device]
The
[灯具]
灯具240は、例えば、前照灯(ヘッドライト)、ポジション灯(車幅灯)等を備える。灯具240は、車両制御システム100から入力される情報に従って前照灯、ポジション灯等の点灯状態を制御することで、夜間又は薄明りの状況のもとで走行可能な状態にする。なお、自車両Mの周囲の明るさ等に応じて前照灯等の点灯状態を調整するオートライト機能が知られている。オートライト機能を有する車両は、オートライト機能を有効または無効にするためのオートライトモード切替スイッチを備えていてもよい。例えば、オートライトモード切替スイッチにより、オートライト機能が有効化されている場合、自車両Mの周囲の明るさが所定値以下になっていると前照灯を点灯し、同明るさが所定値を超えていると前照灯を消灯する。なお、前照灯、ポジション灯等は、電気的な作動部の一例である。
[Lamp]
The
[表示装置]
表示装置245は、例えば、インストルメントパネルの各部、助手席や後部座席に対向する任意の箇所などに取り付けられる、LCD(Liquid Crystal Display)や有機EL(Electroluminescence)などの表示部を含む。また、表示装置245は、フロントウインドシールドやその他のウインドウに画像を投影するHUD(Head Up Display)であってもよい。なお、表示部とHUDは、電気的な作動部の一例である。
[Display device]
The
[ステアリング装置]
ステアリング装置250は、例えば、ステアリングECUと、ステアリングモータとを備える。ステアリングモータは、例えば、ラックアンドピニオン機構に力を作用させて操舵輪W2の向きを変更する。ステアリングECUは、車両制御システム100から入力される情報、或いは入力されるステアリング操舵角またはステアリングトルクの情報に従ってステアリングモータを駆動し、操舵輪W2の向きを変更させる。なお、ステアリングモータは、作動部の一例である。
[Steering device]
The
[蓄電地制御装置]
蓄電池管理装置270は、例えば、蓄電地制御ECUと、変換器とを備える。変換器は、例えば、発電機により発電された電力、又は、モータにより回生された電力を変換して、蓄電池を充電させるための電力を生成する。蓄電地制御ECUは、車両制御システム100から入力される情報、或いは入力される蓄電地の充電量の情報に従って変換量を制御する。なお、蓄電池は、電気的な作動部の一例である。
[Storage area control device]
The storage
[運行制御装置]
運行制御装置280は、例えば、運行制御ECUと、制御モデルとを備える。制御モデルは、例えば、自動運転制御において、自車両Mの走行中の状態を数値化したデータの集合体である。運行制御ECUは、車両制御システム100から入力される目標車速要求、加速割合要求等を含む情報に従って、制御目標量を決定する制御モデルを更新する。運行制御ECUは、ギアを制御するための要求を生成する。なお、運行制御装置280は、車両制御システム100の一部として構成されていてもよい。なお、制御モデルは、電気的な作動部の一例である。
[Operation control device]
The
[その他の装置]
自車両Mは、図2に示す各構成の他に、ワイパー装置等の図示しない装置を備えるものであってもよい。
[Other devices]
In addition to the configurations shown in FIG. 2, the own vehicle M may include a device (not shown) such as a wiper device.
<設計支援システム>
(第1の実施形態)
次に、実施形態の設計支援システム500について説明する。
<Design support system>
(First Embodiment)
Next, the
図3は、実施形態に係る設計支援システム500を中心とした機能構成図である。
設計支援システム500は、LAN、インターネット、公衆網などのネットワークNWを介して端末装置600−1、600−2、600−3、600−4等に接続される。例えば、端末装置600−1、600−2、600−3は、システムの担当者PIC1、PIC2、PIC3等によって操作され、600−4は、プロセス管理者PMによって操作されるものとする。以下、端末装置600−1から600−4を特段区別しない場合は、単に「端末装置600」と記載し、システムの担当者PIC1からPIC3を特に区別しない場合は、単に「システムの担当者」等と記載する。端末装置600は、パーソナルコンピュータ、携帯型の端末装置等のコンピュータである。例えば、自車両Mに関するシステム設計のプロセス管理者PM、自車両Mに関する各システムの設計者などのユーザーが端末装置600を操作する。端末装置600は、プロセス管理者PM、システムの担当者等の操作を検出して、それを設計支援システム500に通知し、それに対する設計支援システム500からの応答を受けて、端末装置600の表示部(表示手段)に表示する。これにより各ユーザーは、目的に応じて、設計支援システム500が提供する設計支援に関するサービスを利用することができる。そのサービスの詳細について後述する。
FIG. 3 is a functional configuration diagram centered on the
The
設計支援システム500は、制御部510と、記憶部520と、通信部530と、情報取得部540と、報知部550とを備える。
The
制御部510は、基礎アーキテクチャ作成部511と、初期アーキテクチャ作成部512と、影響分析部513と、機能安全要求整合判定部514と、標準アーキテクチャ更新部515と、詳細設計支援部516と、詳細設計結果検証部517とを備える。制御部510の各部の詳細は後述する。
The
記憶部520は、標準アーキテクチャDB521と、基礎アーキテクチャDB522と、初期アーキテクチャDB523と、ハザード分析情報DB524と、機能安全要求情報DB525とを、その記憶領域に格納する。
The
標準アーキテクチャDB521には、完成車両全体を構成するのに必要とされる一又は複数の標準アーキテクチャを示すデータが、その識別情報、登録日(作成日、更新日)、適用期間などの付加データとともに格納される。標準アーキテクチャとは、自車両Mの制御系を設計する際に参照され、制御系全体の設計資産として利用可能な構成を規定するものである。
In the
図4は、実施形態に係る制御系全体の標準アーキテクチャを説明するための図である。
この標準アーキテクチャは、実際の車両1台分を構成する際に、車両の種別(仕様)等により択一的に選択される冗長な構成を含むものであってもよい。例えば、標準アーキテクチャDB521に格納された標準アーキテクチャは、既に設計並びに検証されたものが含まれることがある。
FIG. 4 is a diagram for explaining a standard architecture of the entire control system according to the embodiment.
This standard architecture may include a redundant configuration that is selectively selected according to the type (specification) of the vehicle when configuring one actual vehicle. For example, the standard architecture stored in the
この図4に示す標準アーキテクチャにおいて、四角形が各種「システム」に対応付けられ、楕円が各種「システム」に含まれる「機構(メカニズム)」に対応付けられる。「機構(メカニズム)」は作動部の一例である。 In the standard architecture shown in FIG. 4, a quadrangle is associated with various "systems", and an ellipse is associated with a "mechanism" included in various "systems". The "mechanism" is an example of an operating unit.
この図4に示す各種「システム」は、前述の自車両Mのアイテムに含まれるものである。具体的には、各種「システム」として、車両制御システム100(CONT100)と、走行駆動力出力装置200と、車両安定性制御装置220(VSAS220)、ブレーキ装置230(ESBS230)と、灯具240と、表示装置245(IPS245)と、ステアリング装置250(EPSS250)と、蓄電池管理装置270(BMS270)と、運行制御装置280(CCS280)と、SWセンサ290(SWSENS290)とが含まれている。以下、上記の括弧内に示す表記を用いて説明する。この図4において、VSAS220と、ESBS230と、CCS280とが、2つずつ記載されているが、これらは、状態などを示す信号を出力する機能と状態などを示す信号を受ける機能とを分けて示すために2つに分けて表記しているが、それぞれが一体で形成されたものである。
The various "systems" shown in FIG. 4 are included in the above-mentioned items of the own vehicle M. Specifically, as various "systems", a vehicle control system 100 (CONT100), a traveling driving
また、各種「システム」間を繋ぐインタフェースには、「情報」、「動作要求」、「機構力」のそれぞれが割り当てられている。上記の図4では、「情報」を細い矢印、「動作要求」を太い矢印、「機構力」を太い輪郭線の矢印で示す。同様に、「機構(メカニズム)」の作動により可動部(作動部)に作用する「機構力」を太い輪郭線の矢印で示す。 Further, "information", "operation request", and "mechanical force" are assigned to the interface connecting various "systems". In FIG. 4 above, "information" is indicated by a thin arrow, "operation request" is indicated by a thick arrow, and "mechanical force" is indicated by a thick outline arrow. Similarly, the "mechanical force" acting on the moving part (acting part) by the operation of the "mechanism (mechanism)" is indicated by an arrow with a thick outline.
IF1からIF14は、CONT100に係るインタフェースの一例である。CONT100からの出力系インタフェース(IF1からIF6と、IF14)には、下記の通り、その役割が割り当てられている。例えば、CONT100からHS210に向かうIF1にはHS210に対する要求駆動力が割り当てられている。CONT100からVSAS220と、ESBS230と、IPS245のそれぞれに向かうIF2、IF3、IF5には、VSAS220と、ESBS230と、IPS245とに対してCONT100の制御状態を示す情報が割り当てられている。CONT100から灯具240に向かうIF4には、灯具240に対する作動要求が割り当てられている。CONT100からCCS280に向かうIF6には、CCS280に対する加速減速要求とCONT100の制御状態を示す情報が割り当てられている。CONT100からENGS260に向かうIF14にはENGS260に対する要求駆動力が割り当てられている。
IF1 to IF14 are examples of interfaces related to CONT100. The output system interfaces (IF1 to IF6 and IF14) from CONT100 are assigned their roles as follows. For example, the required driving force for the HS210 is assigned to the IF1 heading from the
CONT100の情報収集系インタフェース(IF7からIF13)には、下記の通り、その役割が割り当てられている。例えば、SWSENS290からのIF7にはスイッチ情報とセンサ情報が、EPSS250からのIF8にはステアリング情報(検出値)が割り付けられている。VSAS220からのIF9とIF10にはステアリング情報(制御目標値)と、VSAの制御状態(VSA状態)を示す情報とがそれぞれ割り付けられている。BMS270からのIF12には蓄電池の制御状態(蓄電池制御状態)に関する情報が割り付けられており、更に、BMS270からは、直流12Vの電力が各部に供給される。CCS280からのIF13にはギア制御要求情報とCCS280の制御状態を示す情報とがそれぞれ割り付けられている。
The information gathering interfaces (IF7 to IF13) of the CONT100 are assigned their roles as follows. For example, switch information and sensor information are assigned to IF7 from SWSENS290, and steering information (detection value) is assigned to IF8 from EPSS250. Steering information (control target value) and information indicating the control state of VSA (VSA state) are assigned to IF9 and IF10 from VSAS220, respectively. Information regarding the control state of the storage battery (storage battery control state) is assigned to the IF 12 from the
なお、上記の各インタフェースの個数、それに割り付けられた情報は一例を示すものであり、これに制限されるものではなく、適宜追加又は変更することができる。 The number of each of the above interfaces and the information assigned to them are shown as an example, and are not limited to these, and can be added or changed as appropriate.
更に、この図4には、それに関連する可動部と、当該可動部に関連して想定される「ハザード」の一例を示す。「ハザード」は、図4において、2点鎖線の輪郭線を有する5角形を用いて示す。この図4に例示した駆動輪(走行輪)W1は、可動部の一例である。 Further, FIG. 4 shows an example of a movable portion related thereto and an assumed “hazard” related to the movable portion. The "hazard" is shown in FIG. 4 using a pentagon having a two-dot chain outline. The drive wheel (running wheel) W1 illustrated in FIG. 4 is an example of a movable portion.
図3に戻り、記憶部520の説明を続ける。
基礎アーキテクチャDB522には、完成車両全体の構成を示す基本アーキテクチャのデータが、その識別情報、登録日(作成日、更新日)、適用製品名、適用製品識別コードなどの付加データとともに格納される。基本アーキテクチャは、標準アーキテクチャDB521に格納された標準アーキテクチャのデータに基づいて生成される。基本アーキテクチャの詳細については後述する。
Returning to FIG. 3, the description of the
The
初期アーキテクチャDB523には、設計初期の完成車両全体の構成(初期アーキテクチャ)を示すデータが、その識別情報、登録日(作成日、更新日)、適用製品名、適用製品識別コード、対象システム名、対象システムの担当者の担当者名(識別情報)などの付加データとともに格納される。初期アーキテクチャは、基礎アーキテクチャDB522に格納された基本アーキテクチャのデータに基づいて生成される。初期アーキテクチャの詳細については後述する。 In the initial architecture DB523, data indicating the configuration (initial architecture) of the entire completed vehicle at the initial design stage includes identification information, registration date (creation date, update date), applicable product name, applicable product identification code, target system name, and the like. It is stored together with additional data such as the person in charge name (identification information) of the person in charge of the target system. The initial architecture is generated based on the data of the basic architecture stored in the basic architecture DB522. Details of the initial architecture will be described later.
ハザード分析情報DB524には、想定されるハザードについてのリスクアセスメントを含むハザード分析の結果が格納される。例えば、上記の結果は、初期アーキテクチャに関連付けて格納され、初期アーキテクチャにおける各部にそれぞれ対応付けられている。
The hazard
機能安全要求情報DB525には、機能安全要求に関する情報が格納される。例えば、機能安全要求に関する情報には、システム設計の担当者間で合意が形成された結果等が含まれる。なお、機能安全要求情報DB525の詳細については後述する。
The functional safety
通信部530は、ネットワークNWに接続され、端末装置600からの要求を受けて、端末装置600と通信する。通信部530は、制御部510と当該端末装置600との通信を仲介する。
The
情報取得部540は、端末装置600からの情報を取得して、取得した情報を記憶部520に書き込む処理、又は、取得した情報に対応する所望の処理を、制御部510に実施させる。例えば、情報取得部540が端末装置600から取得する情報には、標準アーキテクチャDB521、基礎アーキテクチャDB522、初期アーキテクチャDB523等に関する情報が含まれる。さらに、端末装置600から取得する情報には、これらに各種情報を追加、変更、削除することなどの各種情報の操作に対応する情報などが含まれる。端末装置600から取得する情報には、プロセス管理者PMとシステムの担当者の何れかからの要求であって、各種情報の操作、閲覧などの要求に関する情報が含まれる。
The
報知部550は、要求又は制御に応じて、記憶部520に格納された各種情報を報知する。例えば、報知部550は、記憶部520に格納された標準アーキテクチャDB521、基礎アーキテクチャDB522、初期アーキテクチャDB523等に格納されている各種情報を端末装置600からの要求等に応じて閲覧可能にして、端末装置600に送信する。
The
上記の各部を備える設計支援システム500は、下記の各種データ(情報)を用いて、以下で説明する機能安全に係る設計を支援する。
The
例えば、本実施形態において、車両レベルの機能を複数に分割して、個々の機能に対応する複数のシステムにそれぞれ割り付けた後に、各システムの設計を開発するという設計手法に機能安全プロセスを適用させた事例について説明する。その事例は、車両レベルのシステムに関するコンセプト設計段階に適用させたものである。 For example, in the present embodiment, a functional safety process is applied to a design method in which vehicle-level functions are divided into a plurality of units, assigned to a plurality of systems corresponding to the individual functions, and then the design of each system is developed. I will explain the case. The example is applied to the concept design stage for vehicle-level systems.
図5Aは、実施形態の完成車全体の機能安全プロセスの概要について説明するための図である。 FIG. 5A is a diagram for explaining an outline of the functional safety process of the entire finished vehicle of the embodiment.
プロセス管理者PMと各システムの担当者は、連携して完成車全体の機能安全活動を実施する。例えば、プロセス管理者PMは、各システムにおける機能安全活動の進捗を管理し、完成車全体の機能安全活動を実施する。また、各システムの担当者は、自システムのアイテムを機能安全活動の対象範囲としてプロセス(2)から(4)、プロセス(6)を実施する。なお、プロセス管理者PMは、必要に応じてプロセス(5)を実施して、完成車全体の機能安全活動の標準アーキテクチャ等を見直して更新する。 The process manager PM and the person in charge of each system work together to carry out functional safety activities for the entire finished vehicle. For example, the process manager PM manages the progress of functional safety activities in each system and carries out functional safety activities for the entire finished vehicle. In addition, the person in charge of each system carries out the processes (2) to (4) and the process (6) with the items of the own system as the target range of the functional safety activity. The process manager PM implements process (5) as necessary to review and update the standard architecture of functional safety activities of the entire finished vehicle.
図5Bは、実施形態の完成車全体の機能安全プロセスに係る設計の流れと、それを支援する処理を示すフローチャートである。この図5Bは、完成車全体の機能安全プロセスに係る設計を、プロセス(1)から(6)の各プロセスに分けて実施する事例の一例を示すものである。システムの担当者とプロセス管理者PMは、例えば、以下に示すプロセス(1)から(6の手順に従い、機能安全活動に沿った設計を推進する。システムの担当者とプロセス管理者PMは、例えば、下記のように設計支援システム500を利用して機能安全活動に沿った設計を推進してもよい。
FIG. 5B is a flowchart showing a design flow related to the functional safety process of the entire finished vehicle of the embodiment and a process for supporting the design flow. FIG. 5B shows an example of an example in which the design related to the functional safety process of the entire finished vehicle is divided into the processes (1) to (6) and implemented. For example, the person in charge of the system and the process manager PM promote the design according to the functional safety activities according to the steps (1) to (6) shown below. The person in charge of the system and the process manager PM, for example, , The design in line with the functional safety activities may be promoted by using the
プロセス(1):設計支援システム500は、プロセス管理者PMの管理の元で、設計対象の開発車両のアイテムの基礎アーキテクチャを作成し、それを配布する(ステップSA10)。
例えば、設計支援システム500は、端末装置600を介して当該プロセス管理者PMに標準アーキテクチャを提示する。当該プロセス管理者PMによって開発車両のアイテムについての基礎アーキテクチャが決定され、それが端末装置600を介して設計支援システム500に登録される。設計支援システム500は、決定された基礎アーキテクチャを受けて、各システムの担当者に配布する。
Process (1): The
For example, the
プロセス(2):設計支援システム500は、例えば、システムの担当者の管理の元で、初期アーキテクチャを作成する(ステップSA20)。
Process (2): The
プロセス(3):設計支援システム500は、ハザードの影響を分析する(ステップSA30)。なお、設計支援システム500は、システムの担当者によるハザードの影響分析の結果を取得してもよい。
Process (3): The
プロセス(4):設計支援システム500は、システム間の機能安全要求の整合の検証を支援する(ステップSA40)。
Process (4): The
プロセス(5):設計支援システム500は、プロセス管理者PMによる標準アーキテクチャの更新要求に対し、それを実施する(ステップSA50)。
Process (5): The
プロセス(6):設計支援システム500は、システムの担当者による国際規格におけるPART4システムレベルの開発以降の機能安全活動の実施を支援する(ステップSA60)。
Process (6): The
続いて、上記のプロセス(1)から(6)の詳細について順に説明する。 Subsequently, the details of the above processes (1) to (6) will be described in order.
[プロセス(1)]
上記のプロセス(1)における基礎アーキテクチャを作成する処理(ステップSA10)について説明する。図6は、実施形態の基礎アーキテクチャを説明するための図である。
前述の図4に示した標準アーキテクチャのように、完成車両1台分を超える冗長な構成がその標準アーキテクチャに含まれる場合がある。例えば、図4に示した標準アーキテクチャの走行駆動力出力装置200は、冗長な構成を含む構成の一例である。この場合、冗長な構成が含まれないように択一的に選択して、図6に示すような基本アーキテクチャを生成する。図6に示す「×印」を付した構成は、選択しなかったシステムとそれに関係するインタフェース等である。
[Process (1)]
The process (step SA10) for creating the basic architecture in the above process (1) will be described. FIG. 6 is a diagram for explaining the basic architecture of the embodiment.
As in the standard architecture shown in FIG. 4 above, the standard architecture may include a redundant configuration exceeding one completed vehicle. For example, the traveling driving
図7は、実施形態に係る基礎アーキテクチャを作成する処理の手順を示すフローチャートである。 FIG. 7 is a flowchart showing a procedure of processing for creating the basic architecture according to the embodiment.
まず、基礎アーキテクチャ作成部511は、標準アーキテクチャDB521に格納された1又は複数の標準アーキテクチャの中に、所望の標準アーキテクチャが有るか否かを判定する(ステップSA11)。ステップSA11の判定の結果により、所望の標準アーキテクチャが有る場合には、基礎アーキテクチャ作成部511は、処理をステップSA13に進める。ステップSA11の判定の結果により、所望の標準アーキテクチャが無い場合には、基礎アーキテクチャ作成部511は、新たに標準アーキテクチャを生成して標準アーキテクチャDB521に登録する(ステップSA12)。
First, the basic
次に、基礎アーキテクチャ作成部511は、標準アーキテクチャDB521に登録されている標準アーキテクチャの内から所望の標準アーキテクチャを選択し、選択した標準アーキテクチャに含まれる1又は複数のシステムの内から必要とされると判定されたシステムを抽出する(ステップSA13)。
Next, the basic
次に、基礎アーキテクチャ作成部511は、抽出されたシステムに基づいて生成されたアーキテクチャを基礎アーキテクチャとして扱い、管理のための情報を付与して、基礎アーキテクチャDBに登録する(ステップSA14)。なお、抽出されなかったシステム等は、実質的に標準アーキテクチャの構成から削除されたものと同様の位置付けになる。
Next, the basic
次に、基礎アーキテクチャ作成部511は、生成された基礎アーキテクチャを、基礎アーキテクチャに関連する各システムの担当者宛に配布して(ステップSA15)、図7に示す一連の処理を終える。
Next, the basic
このプロセス(1)において、例えば、プロセス管理者PMが主体となって、自車両Mに搭載されるシステムとシステム同士の関係を整理して、そのインタフェースを「機構力」、「動作要求」、「情報」の三種類に区分する。また、プロセス管理者PMが主体となって、アイテムの境界の条件(「機構力」等)を明確化して、設計支援システム500を利用して標準アーキテクチャを作成し、その標準アーキテクチャを登録する。基礎アーキテクチャ作成部511は、その標準アーキテクチャを標準アーキテクチャDB521に追加して管理する。以降の各プロセスは、この標準アーキテクチャに基づいて行われる。
In this process (1), for example, the process manager PM takes the lead in organizing the system mounted on the own vehicle M and the relationship between the systems, and the interface is defined as "mechanical force", "operation request", and so on. It is divided into three types of "information". In addition, the process manager PM takes the lead in clarifying the conditions for item boundaries (“mechanical power”, etc.), creating a standard architecture using the
なお、基礎アーキテクチャは、新たな車両(自車両M等)の開発が開始される場合などに作成される。その場合,プロセス管理者PMは,開発対象の車両に搭載すべきシステムを決定し、設計支援システム500を用いて、標準アーキテクチャから開発対象の車両に必要なシステムを抽出する。設計支援システム500の基礎アーキテクチャ作成部511は、必要なシステムの集合体である基礎アーキテクチャを生成し、その基礎アーキテクチャを、基礎アーキテクチャDB522に追加して管理する。設計支援システム500の報知部550は、基礎アーキテクチャが作成されたことを、各システムの担当者に報知(配布又は配信等)する。
The basic architecture is created when the development of a new vehicle (own vehicle M, etc.) is started. In that case, the process manager PM determines the system to be mounted on the vehicle to be developed, and uses the
[プロセス(2)]
上記のプロセス(2)における初期アーキテクチャを作成する処理(ステップSA20)について説明する。
図8は、実施形態の初期アーキテクチャを説明するための図である。なお、図8に示された初期アーキテクチャでは、前段の基礎アーキテクチャを生成する段階で択一的に選択された部分であるHS210が残されており、ENGS260と変速機265が削除されている。
[Process (2)]
The process (step SA20) for creating the initial architecture in the above process (2) will be described.
FIG. 8 is a diagram for explaining the initial architecture of the embodiment. In the initial architecture shown in FIG. 8, HS210, which is a part selectively selected at the stage of generating the basic architecture of the previous stage, is left, and ENGS260 and the
図9は、実施形態に係る初期アーキテクチャを作成する処理の手順を示すフローチャートである。 FIG. 9 is a flowchart showing a procedure of the process of creating the initial architecture according to the embodiment.
まず、初期アーキテクチャ作成部512は、作成された基礎アーキテクチャにおいて、システム間のインタフェースの不整合性を検証する(ステップSA21)。
First, the initial
初期アーキテクチャ作成部512は、作成された基礎アーキテクチャにおいて、システム間のインタフェースに不整合があるか否かを判定する(ステップSA22)。ステップSA22の判定の結果により、基礎アーキテクチャにおいて、システム間のインタフェースに不整合が無い場合には、初期アーキテクチャ作成部512は、処理をステップSA25に進める。
The initial
ステップSA22の判定の結果により、基礎アーキテクチャにおいて、システム間のインタフェースに不整合がある場合には、初期アーキテクチャ作成部512は、基礎アーキテクチャの変更が必要か否かを判定する(ステップSA23)。例えば、初期アーキテクチャ作成部512は、基礎アーキテクチャの変更の必要性がないという判定を、システム担当者からの申告などに基づいて実施してもよい。なお、システム間のインタフェースが不足している場合などは、基礎アーキテクチャの変更が必要である場合の一例である。
If the interface between the systems is inconsistent in the basic architecture based on the result of the determination in step SA22, the initial
ステップSA23の判定の結果により、基礎アーキテクチャの変更が必要ではない場合、初期アーキテクチャ作成部512は、その基礎アーキテクチャに基づいてシステム間のインタフェースを整合させるための処理をする(ステップSA24)。例えば、システム間のインタフェースに設定された使用条件を調整することで整合する場合には、初期アーキテクチャ作成部512は、その使用条件を調整して、その不整合な状況にあるインタフェースを整合させる。インタフェースの上流側のシステムがそのインタフェースを使用することを予定していないのに対し、下流側のシステムが使用することを予定していた場合などは、使用条件が不整合な場合の一例である。なお、インタフェースに係る両システムが、当該インタフェースを使用しないことを確認できれば、システム間のインタフェースが過剰であると判定できる。ただし、この場合は、単に当該インタフェースを使用しないことを設計支援システム500に登録することで整合をとることができるので、基礎アーキテクチャの変更が必要ではない場合の一例として扱うことができる。
If it is not necessary to change the basic architecture based on the result of the determination in step SA23, the initial
ステップSA24の処理を終えて基礎アーキテクチャにおける不整合な状況が解消した後、又は、ステップSA22の判定の結果が基礎アーキテクチャにおける不整合な状況がないとされた後に、初期アーキテクチャ作成部512は、基礎アーキテクチャに基づいた初期アーキテクチャを、初期アーキテクチャDB523に登録し(ステップSA25)、図9に示す一連の処理を終える。
After the processing of step SA24 is completed and the inconsistent situation in the basic architecture is resolved, or after the result of the determination in step SA22 is that there is no inconsistent situation in the basic architecture, the initial
一方、ステップSA23の判定の結果により、基礎アーキテクチャの変更が必要である場合、初期アーキテクチャ作成部512は、基礎アーキテクチャの変更を要求するための処理をして(ステップSA26)、図9に示す一連の処理を終える。
On the other hand, when it is necessary to change the basic architecture based on the result of the determination in step SA23, the initial
例えば、開発車両の自車両Mにおいて使用するインタフェースを特定する際等に、システムの担当者は,設計支援システム500から報知された基礎アーキテクチャ(図6)に基づいて、当該インタフェースに対応する関連システムの担当者と、そのインタフェースを使用するか否かを調整して、初期アーキテクチャ(図8)に関する基礎データを整理する。なお、インタフェースに対応する関連システムとは、インタフェースを挟む上流側システムと下流側システムのことである。
For example, when specifying an interface to be used in the own vehicle M of the development vehicle, the person in charge of the system is a related system corresponding to the interface based on the basic architecture (FIG. 6) notified from the
例えば、IF1、IF2、IF8、IF10は、上流側システムと下流側システムの双方で使用することが合意されたインタフェースであり、IF3、IF9、IF11は、双方で使用しないことが合意されたインタフェースであり、IF6は、双方で調整のうえ、条件付きで使用することが合意されたインタフェースであり、IF13は、双方で使用しないことを確認して、合意されたインタフェースである。 For example, IF1, IF2, IF8, and IF10 are interfaces that have been agreed to be used by both the upstream system and the downstream system, and IF3, IF9, and IF11 are interfaces that have been agreed not to be used by both. Yes, IF6 is an interface that has been agreed to be used conditionally after adjustment by both parties, and IF13 is an interface that has been agreed to be used by both parties after confirming that they will not be used.
なお、条件付きで使用する場合とは、例えば、そのインタフェースを制限して使用する場合の他、そのインタフェースを介して伝える情報に、故障が生じていることを下流側システムに知らせる情報を付加して使用する場合等が含まれる。後者の場合、上流側システムと下流側システムの双方で、故障が生じていることを知らせる情報を使用することを条件として合意することがある。 The conditional use means, for example, the case where the interface is restricted and used, and the information transmitted through the interface is added with information for notifying the downstream system that a failure has occurred. It includes the case of using it. In the latter case, both the upstream and downstream systems may agree on the condition that they use information that informs them that a failure has occurred.
上記の図8において、各インタフェースの上流側システムと下流側システムを起点とし、インタフェースに沿って記載された点線の矢印は、上記の合意形成のために上流側システムと下流側システムのそれぞれから提供される使用又は不使用などの情報を示す。例えば、IF1、IF2、IF8、IF10のインタフェースに沿うように記された細い点線の矢印USEは、上流側システムと下流側システムのそれぞれから「使用」を示す情報が提供されたことを示す。IF13のインタフェースに沿うように記された太い点線の矢印DISUは、上流側システムと下流側システムのそれぞれから「不使用」を示す情報が提供されたことを示す。IF6のインタフェースにおいて、上流側システムから「不使用」を示す情報が提供され、下流側システムから「使用」を示す情報が提供されたことを示す。 In FIG. 8 above, starting from the upstream system and the downstream system of each interface, the dotted arrow drawn along the interface is provided from each of the upstream system and the downstream system for the above consensus building. Indicates information such as used or non-used. For example, a thin dotted arrow USE along the interfaces of IF1, IF2, IF8, and IF10 indicates that "use" information has been provided by each of the upstream and downstream systems. The thick dotted arrow DISU along the interface of IF13 indicates that the upstream system and the downstream system each provided information indicating "not used". In the interface of IF6, it is shown that the information indicating "not used" is provided from the upstream system, and the information indicating "used" is provided from the downstream system.
初期アーキテクチャ作成部512は、上記のように上流側システムと下流側システムからそれぞれ提供される情報を取得して、それを可視化する。システムの担当者は、それらの情報に基づいて互いに合意して、インタフェースごとに、使用又は不使用、使用の際の条件等を決定する。
The initial
この図8の1つの特徴として、任意の1つのインタフェースの合意状況が情報の流れを示す図中に描かれていることである。
また、他の1つの特徴として、任意の1つのインタフェースにその上流側システムと下流 側システムとから各々の関連を示す点線の矢印が、システム間のインタフェース(実線の矢印)とは別に描かれていることである。なお、実線の矢印の向きは、作動部を作動させるように情報を伝える方向を示す。
これらによって、関係者同士がお互いの関係と結果をより容易に把握することが可能になっている。
One feature of FIG. 8 is that the consensus status of any one interface is depicted in the diagram showing the flow of information.
In addition, as another feature, a dotted arrow indicating the relationship between the upstream system and the downstream system is drawn on any one interface separately from the interface between the systems (solid arrow). It is that you are. The direction of the solid arrow indicates the direction in which information is transmitted so as to operate the operating portion.
These make it possible for related parties to more easily grasp each other's relationships and results.
システムの担当者は、その調整の結果の基礎データを設計支援システム500に登録する。設計支援システム500の初期アーキテクチャ作成部512は、当該システムに関する初期アーキテクチャ(図8)を作成し、それを初期アーキテクチャDB523に登録する。
The person in charge of the system registers the basic data of the adjustment result in the
なお、初期アーキテクチャを作成する際に関連システムの担当者と整合をとった結果、インタフェースや関連システムが足りないことが判明する場合がある。このような場合、システムの担当者は,設計支援システム500を利用して、関連システムの担当者との整合の結果を,プロセス管理者PMに通知して、初期アーキテクチャの変更を要求する。プロセス管理者PMは,上記の要求を受けると、変更対象のシステムの初期アーキテクチャを更新して、新たな初期アーキテクチャを初期アーキテクチャDB523に追加して更新する。なお、プロセス管理者PMは,上記の変更対象のシステムの初期アーキテクチャの更新に合わせて、基礎アーキテクチャDB522における基礎アーキテクチャについても同様に更新してもよい。
As a result of matching with the person in charge of the related system when creating the initial architecture, it may be found that the interface and the related system are insufficient. In such a case, the person in charge of the system uses the
[プロセス(3)]
上記のプロセス(3)におけるハザードの影響を分析する処理(ステップSA30)について説明する。
[Process (3)]
The process (step SA30) for analyzing the influence of the hazard in the above process (3) will be described.
図10は、実施形態のハザードの影響の分析について説明するための図である。図10に示す構成は、前述の初期アーキテクチャ(図8)に基づくものであり、不使用と判断されたインタフェースの表示を省略している。ここでは、駆動系ハザードを例示して、その影響について分析する事例について説明する。 FIG. 10 is a diagram for explaining the analysis of the influence of the hazard of the embodiment. The configuration shown in FIG. 10 is based on the above-mentioned initial architecture (FIG. 8), and the display of the interface determined to be unused is omitted. Here, an example of analyzing the influence of the drive system hazard will be described.
図11は、実施形態に係るハザードの影響を分析する処理の手順を示すフローチャートである。 FIG. 11 is a flowchart showing a procedure for analyzing the influence of the hazard according to the embodiment.
まず、影響分析部513は、判定対象のシステムが作動部を含むものであるか否かを判定する(ステップSA31)。ステップSA31の判定の結果により、判定対象のシステムが作動部を含むものではない場合には、影響分析部513は、図11に示す一連の処理を終える。
First, the
ステップSA31の判定の結果により、判定対象のシステムが作動部を含むものである場合には、影響分析部513は、作動部を作動することに関するハザードについて、そのASILを評価して(ステップSA22)、その結果をハザード分析情報DB524に格納する。
According to the result of the determination in step SA31, when the system to be determined includes the operating unit, the
次に、影響分析部513は、判定対象のシステムが上記の作動部を作動させるための要求を受けるか否かを判定する(ステップSA33)。ステップSA33の判定の結果により、判定対象のシステムが上記の作動部を作動させるための要求を受けるものではない場合には、影響分析部513は、処理をステップSA37に進める。
Next, the
ステップSA33の判定の結果により、判定対象のシステムが上記の作動部を作動させるための要求を受けるものである場合には、影響分析部513は、その作動部を作動させるための要求について、ASILを割りあてて(ステップSA34)、その結果をハザード分析情報DB524に追加する。
If, as a result of the determination in step SA33, the system to be determined receives a request for operating the above-mentioned operating unit, the
次に、影響分析部513は、作動部を作動させるための要求にASILが割りあてられたことを、要求を出力するシステムの担当者に対して報知部550を介して報知する(ステップSA35)。
Next, the
次に、影響分析部513は、要求を出力するシステムの担当者の要求などに応じて、当該要求を出力するシステムの各インタフェースに割り当てられたASILを取得する(ステップSA36)。
Next, the
ステップSA36の処理により、要求を出力するシステムのインタフェースに割り当てられたASILを取得した後、又は、ステップSA33において判定対象のシステムが作動部を作動させるための要求を受けるものではないと判定された後に、影響分析部513は、コンセプト設計と影響分析を評価して(ステップSA37)、その結果をハザード分析情報DB524に追加して、図11に示す一連の処理を終える。
After acquiring the ASIL assigned to the interface of the system that outputs the request by the process of step SA36, or in step SA33, it is determined that the system to be determined does not receive the request to operate the operating unit. Later, the
例えば、図10に示す機構力(駆動力F1と制動力F2)に関するハザードの分析について、その一例を説明する。HS210は、機構力として駆動力F1を出力するシステムである。自システムが機構力を出力するものである場合、そのシステムの担当者は、ハザード分析およびリスクアセスメントを実施して機構力が持つハザードのASILを評価する。この例では、そのハザードのASILは「ASIL B」と評価される。設計支援システム500は、その評価の結果を受け付けて、駆動力F1に対応するHS210のASILを、上記と同じ「ASIL B」に決定する。
For example, an example of hazard analysis related to the mechanical force (driving force F1 and braking force F2) shown in FIG. 10 will be described. The HS210 is a system that outputs a driving force F1 as a mechanical force. If the own system outputs the mechanical force, the person in charge of the system performs a hazard analysis and a risk assessment to evaluate the ASIL of the hazard of the mechanical force. In this example, the hazard's ASIL is evaluated as "ASIL B". The
HS210は、自システムが、機構力F1に作用するための動作要求(要求駆動力)を、IF1のインタフェースを介して上流側のCONT100から受け付けるものであり、その機構力F1がASILにより管理される。上記のような場合、設計支援システム500は、その動作要求に対して、HS210のASILと同じ「ASIL B」を割り当てて、その後、その動作要求の要求元であるCONT100の担当者に通知する。
その後、動作要求の要求元であるCONT100の担当者は、設計支援システム500によって通知された「動作要求に対するASIL」を確認する。図10に示す場合、IF1のインタフェースを介した「動作要求に対するASIL」は、「ASIL B」である。
The HS210 receives an operation request (required driving force) for the own system to act on the mechanical force F1 from the CONT100 on the upstream side via the interface of the IF1, and the mechanical force F1 is managed by the ASIL. .. In the above case, the
After that, the person in charge of CONT100, which is the request source of the operation request, confirms the "ASIL for the operation request" notified by the
なお、同様にVSAS220は、機構力として制動力F2を出力するシステムである。設計支援システム500は、その評価の結果を受け付けて、制動力F2に対応するVSAS220のASILを、「ASIL D」に決定する。なお、VSAS220は、IF2のインタフェースを介して上流側のCONT100から制御状態に関する情報を受けるものであるが、制動力F2に作用するための動作要求(要求制動力など)を受けるものではない。このIF2のインタフェースを介して、VSAS220の上流側のCONT100には、制動系ハザードは影響しないと判定できる。
Similarly, the
続いて、上記のコンセプト設計と影響分析の評価のより具体的な事例について説明する。図12は、実施形態に係るコンセプト設計と影響分析を評価する処理の手順を示すフローチャートである。 Next, a more specific example of the above concept design and evaluation of impact analysis will be described. FIG. 12 is a flowchart showing a procedure of processing for evaluating the concept design and the impact analysis according to the embodiment.
まず、影響分析部513は、各システムの内部の影響を分析する(又は、その結果を取得する)(ステップSA371)。例えば、各システムの内部の影響を分析とは、その内部をさらに機能分割して構成した際に、当該システムの上流側又は下流側からの影響の伝搬を、上記のシステム間の関係の場合の処理と同様の方法で実施する処理としてもよい。その際に、必要に応じて、システムの内部に安全機構要素を配置するようにしてもよい。
First, the
次に、影響分析部513は、各システムの内部の影響分析の結果に基づいてインタフェースにASILを割り当てる(ステップSA372)。
Next, the
次に、影響分析部513は、上記のインタフェースに対応する他のシステムの担当者に、ASILが割り当てられたことを報知する(ステップSA373)。
Next, the
次に、影響分析部513は、上記のインタフェースに既に割り当てられていたASILに対し、同インタフェースに後から新たに割り当てられたASILが、より安全度水準が高いものであるか否かを判定する(ステップSA374)。ステップSA374において、新たに割り当てられたASILが、割り当てられていたASILと同等又はそれ以下の安全度水準である場合、この図12に示す一連の処理を終える。
Next, the
ステップSA374において、新たに割り当てられたASILが、より安全度水準が高いものである場合、影響分析部513は、コンセプト設計と影響分析を再度実施するための処理を実施して(ステップSA375)この図12に示す一連の処理を終える。
In step SA374, if the newly assigned ASIL has a higher safety level, the
ここで、実施形態のシステム間の影響分析について説明する。図13は、実施形態のシステム間の影響分析について説明するための図である。例えば、CONT100などの各システムの担当者は、安全機構要素の配置を想定した自システム内のコンセプト設計を行い、当該システム内の影響分析を実施する。 Here, the influence analysis between the systems of the embodiment will be described. FIG. 13 is a diagram for explaining the influence analysis between the systems of the embodiment. For example, the person in charge of each system such as CONT100 designs the concept in the own system assuming the arrangement of the safety mechanism elements, and carries out the influence analysis in the system.
上記の安全機構要素の配置を想定したシステムとは、システムの基本機能を司る要素機能(Functional Element)の他に、上流側のシステム又は自システム内で生じた意に反する事象の影響を軽減させる機能要素のことである。実施形態の例では、例えば、HMI制御部110を要素機能とした場合に、走行制御部120と自動運転制御部130とが連携して、安全機構要素として作用する。
The above-mentioned system assuming the arrangement of safety mechanism elements reduces the influence of unintended events that occur in the upstream system or own system, in addition to the element functions (Functional Elements) that control the basic functions of the system. It is a functional element. In the example of the embodiment, for example, when the
例えば、CONT100において、HMI制御部110は、EPSS250からステアリング情報と、各種スイッチ情報と、各種センサ情報とを受け、走行制御部120に対して、それらの情報から決定した「情報」を供給する。一方、自動運転制御部130は、VSA状態と、各種スイッチ情報と、各種センサ情報とに基づいて決定した「駆動要求」を走行制御部120に対して供給し、制御状態に関する「情報」をVSAS220に対して供給する。ここで、自動運転制御部130は、VSA状態と、各種スイッチ情報と、各種センサ情報とに基づいた解析により不自然な制御状態を検出した場合に、走行制御部120に対する「駆動要求」を調整する。
For example, in the
上記のように構成する場合、影響分析部513は、IF1のインタフェースの「駆動要求」の経路に沿って順にさかのぼり、走行制御部120と自動運転制御部130とに「ASIL B」を割り当てる。影響分析部513は、走行制御部120に対して駆動要求を供給しないHMI制御部110については、「QM」を割り付ける。
In the case of the above configuration, the
設計支援システム500は、CONT100内の各部に割り付けられた「ASIL」又は「QM」に基づいて、CONT100の各インタフェースに上記のように決定したASILを割り当てて、上記の各インタフェースに対応する関連システムの担当者に通知する。
The
システムの担当者は、設計支援システム500からの通知を受け、自システムのインタフェースに割り当てられたASIL、並びに、コンセプト設計で想定した安全機構要素の有効性を確認する。
The person in charge of the system receives the notification from the
図14は、実施形態のシステム間のインタフェースに割り当てられたASILを確認するための方法について説明するための図である。 FIG. 14 is a diagram for explaining a method for confirming the ASIL assigned to the interface between the systems of the embodiment.
例えば、設計支援システム500は、IF10のインタフェースについて、その上流側に位置付けられるVSAS220が示すVSA状態の安全度水準(「QM」)と、その下流側に位置付けられる自動運転制御部130に割り付けられた安全度水準「ASIL B」とを対比して、下流側の安全度水準「ASIL B」の方が上流側の安全度水準(「QM」)より高いことを確認する。
For example, the
また、設計支援システム500は、IF2のインタフェースについて、その下流側に位置付けられるVSAS220が示す安全度水準(「ASIL A」)と、その上流側に位置付けられる自動運転制御部130に割り付けられた安全度水準「ASIL B」とを対比して、下流側の安全度水準「ASIL A」の方が上流側の安全度水準(「ASIL B」)より高いことを確認する。
In the
設計支援システム500は、IF8のインタフェースについては、その上流側に位置付けられるEPSS250が示す安全度水準が「QM」であり、その下流側に位置付けられるHMI制御部110に割り付けられた安全度水準も、同じ「QM」であることから、安全度水準の割り付けに問題が無いことを確認する。
In the
この図14の1つの特徴は、任意のインタフェースに関する安全度水準の関係を、システム間のインタフェース(実線の矢印)とは別に、例えば点線の矢印などで、図示していることである。
これによって、ユーザーは任意のインタフェースに関する安全水準の関係をより容易に把握することができる。
One feature of FIG. 14 is that the relationship between safety levels for any interface is illustrated by, for example, dotted arrows, apart from the interfaces between systems (solid arrows).
This allows the user to more easily understand the safety level relationship for any interface.
なお、前述の図13に示す範囲には該当しないが、想定したASILよりも高いASILが割り当てられた等の場合は,コンセプト設計と影響分析とを見直すことを、各システムの担当者に要求する。 Although it does not fall under the range shown in FIG. 13, if an ASIL higher than the assumed ASIL is assigned, the person in charge of each system is requested to review the concept design and the impact analysis. ..
[プロセス(4)]
上記のプロセス(4)におけるシステム間の機能安全要求の整合の検証を支援する処理(ステップSA40)について説明する。図15は、実施形態に係るシステム間の機能安全要求の整合の検証を支援する処理の手順を示すフローチャートである。図16と図17は、実施形態に係るシステム間の機能安全要求の整合の検証を支援する処理について説明するための図である。
[Process (4)]
The process (step SA40) that supports the verification of the consistency of the functional safety requirements between the systems in the above process (4) will be described. FIG. 15 is a flowchart showing a processing procedure that supports verification of consistency of functional safety requirements between systems according to the embodiment. 16 and 17 are diagrams for explaining a process that supports verification of consistency of functional safety requirements between systems according to the embodiment.
まず、対象のインタフェースに、ASILの割り当てを要求したシステムが、検証の基準にするシステム(以下、自システムという。)であるか、或いは、他の関連システムであるかを判定する(ステップSA41)。 First, it is determined whether the system that requested the allocation of ASIL to the target interface is the system to be used as the verification standard (hereinafter referred to as the own system) or another related system (step SA41). ..
ステップSA41において、自システムであると判定した場合、機能安全要求整合判定部514は、自システムに対する関連システム側と整合をとり、その整合の結果を合意するための処理をする(ステップSA42)。例えば、図16に示すように、CONT100の担当者が、IF1、IF2、IF10の各インタフェースのASILの割り当てを要求した場合、CONT100の担当者は、CONT100に対する関連システムの各部の担当者と整合をとる。例えば、CONT100に対する関連システムは、HS210、その下流側に位置づけられるVSAS220、その上流側に位置づけられるVSAS220などである。設計支援システム500は、その整合の結果を受け付けて、例えば、整合の結果、整合が完了したことなどを、機能安全要求情報DB525に書き込み、また、その結果を端末装置600から参照可能にしてもよい。この段階で、設計支援システム500の機能安全要求整合判定部514は、合意が形成されたと判定する。
When it is determined in step SA41 that the system is the own system, the functional safety requirement matching
ステップSA41において、関連システムであると判定した場合、自システムに対する関連システム側と整合をとり、その整合の結果を合意するための処理をする(ステップSA43)。例えば、図17に示すように、CONT100に関連するシステムの担当者が、IF1、IF2の各インタフェースのASILの割り当てを要求した場合、CONT100に関連するシステムの担当者は、CONT100の担当者等と整合をとる。なお、実勢形態のCONT100に関連するシステムとは、例えば、HS210、下流側に位置づけられるVSAS220などの各部である。設計支援システム500は、その整合の結果を受け付けて、例えば、整合の結果、整合が完了したことなどを、機能安全要求情報DB525に書き込み、また、その結果を端末装置600から参照可能にしてもよい。この段階で、設計支援システム500の機能安全要求整合判定部514は、合意が形成されたと判定する。
If it is determined in step SA41 that it is a related system, it is matched with the related system side for the own system, and a process for agreeing the result of the matching is performed (step SA43). For example, as shown in FIG. 17, when the person in charge of the system related to CONT100 requests the allocation of ASIL of each interface of IF1 and IF2, the person in charge of the system related to CONT100 is the person in charge of CONT100 and the like. Make a match. The system related to the actual CONT100 is, for example, each part such as HS210 and VSAS220 located on the downstream side. The
この図17の「調整の上、条件付きで使用することに合意」とは、インタフェースを制限して使用することだけでなく、例えば、そのインタフェースの情報として、上流側システムなどが故障していることを知らせる情報を付加することなども含まれることを意味する。 The "agreement to use conditionally after adjustment" in FIG. 17 means not only limiting the use of the interface but also, for example, that the upstream system or the like is out of order as the information of the interface. It means that it also includes adding information to inform that.
図16、図17の1つの特徴は、任意のインタフェースに関する安全度水準の関係に加え、合意に関する結果を、システム間のインタフェース(実線の矢印)とは別に、例えば点線の矢印などで、図示していることである。 One feature of FIGS. 16 and 17 is that, in addition to the relationship of safety level for any interface, the result of the agreement is illustrated by, for example, a dotted arrow, separately from the interface between systems (solid arrow). That is what you are doing.
これによって、ユーザーは任意のインタフェースに関する合意に関する結果をより容易に把握することができる。 This allows the user to more easily understand the outcome of the agreement on any interface.
上記のステップSA42又はステップSA43の処理を終えて、図15に示す一連の処理を終える。 The process of step SA42 or step SA43 is completed, and the series of processes shown in FIG. 15 is completed.
図18は、実施形態の機能安全要求情報DB525の一例を示す図である。機能安全要求情報DB525には、インタフェースを識別するためのIF_ID、そのインタフェース上流側(送信元)と下流側(宛先)を示す情報、配信情報、インタフェースを使用するか否かの情報(適用)、要求されるASILのランクとその割付を要求したシステム、ASILの要求の有無、整合性の判定結果、整合性の合意状況などの情報が含まれる。機能安全要求情報DB525には、インタフェースごとに、上記の情報が格納される。
FIG. 18 is a diagram showing an example of the functional safety
[プロセス(5)]
上記のプロセス(5)における標準アーキテクチャの更新要求に対する処理(ステップSA50)について説明する。このプロセス(5)に関する処理は、前述の図7に示すように必要に応じて実施される。
[Process (5)]
The process (step SA50) for the update request of the standard architecture in the above process (5) will be described. The process related to this process (5) is carried out as necessary as shown in FIG. 7 described above.
例えば、完成されたアーキテクチャにインタフェース等が新たに追加されたなどの場合には、設計支援システム500は、各システムの担当者から標準アーキテクチャの更新要求を受けることがある。この場合、プロセス管理者PMは、その更新要求の理由とされている「追加が必要とされるインタフェース」等を標準アーキテクチャに追加するか否かを判定し、その判定の結果に基づいて、必要に応じてその構成を標準アーキテクチャに追加して、それを更新することを許可する。なお、更新された標準アーキテクチャは、次回の車両の開発時等に、技術資産として使用可能なものとして扱われる。
For example, when an interface or the like is newly added to the completed architecture, the
[プロセス(6)]
上記のプロセス(6)における詳細設計段階の機能安全活動の実施を支援するための処理(ステップSA60)について説明する。例えば、少なくとも上記のプロセス(4)までが完了した後、各システムの担当者は、担当するシステムの詳細設計を進める。
[Process (6)]
The process (step SA60) for supporting the implementation of the functional safety activity in the detailed design stage in the above process (6) will be described. For example, after at least the above process (4) is completed, the person in charge of each system proceeds with the detailed design of the system in charge.
この段階で、設計支援システム500は、システムの担当者による、国際規格におけるPART4(システムレベルの開発)以降の機能安全活動の実施を支援する。上記の通り、プロセス(4)までの機能安全活動で、自システムにおける各インタフェースに関する要求条件が明確なものとなっている。設計支援システム500は、そのインタフェースの使用/不使用の区別、使用する場合の条件などを、各システムの担当者の要求により適宜表示するようにしてもよい。
At this stage, the
以上に示した各プロセスの処理を通して、車1台分の設計における機能安全活動が実施される。 Through the processing of each process shown above, functional safety activities in the design of one vehicle are carried out.
図19と図20とを参照して、設計支援システムが生成した情報の表示の一例について説明する。図19と図20は、実施形態の設計支援システム500が生成した情報を表示する画面の一例について説明するための図である。
An example of displaying the information generated by the design support system will be described with reference to FIGS. 19 and 20. 19 and 20 are diagrams for explaining an example of a screen displaying information generated by the
図19に示す例は、比較的広い面積で表示可能な表示装置を有する端末装置600などに適した表示の一例である。上記の表示装置は、例えば、LCDや有機ELなどを含むものである。このような端末装置600としては、例えば、公称寸法で10型(インチ)から15型(インチ)程度の大きさの表示装置を有するパーソナルコンピュータ、又は、タブレット装置などが好適である。またCAD(computer-aided design)用画面装置など、それ以上の大型画面表示装置であっても良い。 The example shown in FIG. 19 is an example of a display suitable for a terminal device 600 or the like having a display device capable of displaying in a relatively large area. The above display device includes, for example, an LCD, an organic EL, or the like. As such a terminal device 600, for example, a personal computer or a tablet device having a display device having a nominal size of about 10 inches (inch) to 15 inches (inch) is suitable. Further, a larger screen display device such as a screen device for CAD (computer-aided design) may be used.
符号610は、各種情報を纏めて表示する場合の画面の範囲を示す。この画面には、設計システムの名称(Z0)、対象製品名(車種名)などの設計対象全体を総称した情報(Z1)、全体の検証状況についての情報(Z2)、設計対象全体の内の一部である検証対象についての情報(Z3)、プロセスの段階を示す情報(Z4)、対象製品又は設計業務に適用すべき規格や条件に関する情報などの情報(参考情報)(Z5)、上流側システムの担当者と検証の結果(Z6、Z7)、下流側システムの担当者と検証の結果(Z8、Z9)、検証対象の位置を示す模式図(Z10)などの各種情報が表示された領域と、それらの表示を切換えたり、情報を入力したりするための各種操作アイコンの図形が表示された領域(Z20)が含まれている。なお、上記の「検証の結果」は、対象製品又は設計業務に適用すべき規格や条件に基づいた検証の結果であり、その表示に、上記の「規格や条件」に対する対応案、設定案、回答等のうちの何れかが含まれていてもよい。それらは検証が行われる段階に応じたものであって良い。
なお、前述の各種操作アイコンは適宜の形態で良く、上下左右にスライド可能なコマンドバーであっても良い。また音声入力も可である。
また、参照できる模式図(Z10)は、制御信号等を示す図でも良いし、図8、図10、図13、図14、図16、図17或いは図21に示されるような、その時々の検証に適した情報が掲示されている図であっても良い。
The various operation icons described above may be in an appropriate form, and may be a command bar that can be slid up, down, left, and right. Voice input is also possible.
Further, the schematic diagram (Z10) that can be referred to may be a diagram showing a control signal or the like, or as shown in FIGS. 8, 10, 13, 14, 16, 17, or 21, at any time. It may be a figure in which information suitable for verification is posted.
このような情報を表示することにより、上流側システムと下流側システムの双方の検証が終わっているか否かを知ることができる。また、上記の双方の検証が終わった場合に、その結果が一致しているか否かを知ることができる。そして、その結果が一致したことを可視化してもよい。例えば、文字や記号による標記、 色や明暗による識別でも良い。これによって、機能安全の検証の結果を容易に共有することができ、検証作業の効率を向上させることができる。 By displaying such information, it is possible to know whether or not the verification of both the upstream system and the downstream system has been completed. In addition, when both of the above verifications are completed, it is possible to know whether or not the results match. Then, it may be visualized that the results match. For example, it may be marked by letters or symbols, or identified by color or light and shade. As a result, the result of the functional safety verification can be easily shared, and the efficiency of the verification work can be improved.
図20に示す例は、比較的狭い面積で表示可能な表示装置を有する端末装置600などに適した表示の一例である。上記の表示装置は、例えば、LCDや有機ELなどを含むものである。このような端末装置600としては、例えば、公称寸法で4型(インチ)から7型(インチ)程度の概ね10型に満たない大きさの表示装置を有するスマートフォン、又は、比較的小型のタブレット装置などが好適である。 The example shown in FIG. 20 is an example of a display suitable for a terminal device 600 or the like having a display device capable of displaying in a relatively narrow area. The above display device includes, for example, an LCD, an organic EL, or the like. Such a terminal device 600 is, for example, a smartphone having a display device having a nominal size of about 4 inches to 7 inches, which is less than 10 inches in size, or a relatively small tablet device. Etc. are suitable.
符号610Aと610Bは、各種情報を2画面に分割して表示する場合の画面の範囲を示す。ここでは、この場合の画面は、模式図以外の各所情報を表示する画面610A(図20(a))と、模式図を表示する画面610B(図20(b))とに分けた場合を例示するものである。
例えば、設計支援システム500の記憶部520は、各システム(機能部)に関する検証のための情報を、各種DB内に保持している。上記の検証のための情報には、安全度水準を示す値(「ASIL A」、「QM」など)、自システムを基準に据えた影響が及ぶ範囲、データの登録日などの日付、関連する規定の版数(発行版)などが含まれる。
For example, the
例えば、情報取得部540は、プロセスの管理者PM、各システムの担当者等のユーザーの要求を、端末装置600を介して取得する。
For example, the
プロセスの管理者PM、各システムの担当者等のユーザーが情報を確認する場合には、設計支援システム500は、下記のように機能する。
When a user such as a process administrator PM or a person in charge of each system confirms the information, the
報知部550は、端末装置600からの要求に応じて、プロセスの管理者PM、各システムの担当者が確認すべき情報、つまり検証のための情報を纏めた上記の画面を生成して、当該端末装置600に表示させる。上記の画面の例には、検証の段階を示す情報、自システム(検証対象)に対して上流側のシステムと下流側のシステムとの検証の結果などの、検証のための情報がそれぞれ含まれている。なお、端末装置600は、表示手段の一例である。
In response to the request from the terminal device 600, the
プロセスの管理者PM、各システムの担当者等のユーザーが情報を登録する場合には、設計支援システム500は、下記のように機能する。
When a user such as a process administrator PM or a person in charge of each system registers information, the
情報取得部540は、端末装置600から、CONT100からHS220へ供給される信号に関する検証結果を取得する。その検証結果には、CONT100からHS220へ供給される信号に関するCONT100側の第1の検証結果の入力の有無と、上記信号に関するHS220側の第2の検証結果の入力の有無とが、上記の画面の例に含まれている。報知部550は、上記の画面を端末装置600に送り、ユーザーに報知する。なお、上記の表示の例では、第1の検証結果の入力の有無と、第2の検証結果の入力の有無の双方を、1つの画面に表示するように画面を構成しているが、2つの画面に分けて表示することを制限するものではなく、報知部550は、上記検証結果の入力の有無の少なくとも一方を報知可能とするようにしてもよい。
The
上記の通り、端末装置600は、設計支援システム500が生成した情報を表示することにより、その情報を各システムの担当者、プロセス管理者PMなどに供給することができる。
As described above, the terminal device 600 can supply the information to the person in charge of each system, the process manager PM, and the like by displaying the information generated by the
なお、本実施形態に示した手法を、完成車全てに適用することに代えて、主要な部分に適用することを制限するものではない。この場合、完成車全てに適用することに比べて、システム相互の関係の網羅性が低減するが、そのような範囲については他の手法を適用して実現するようにしてもよい。 It should be noted that, instead of applying the method shown in the present embodiment to all finished vehicles, the application to the main parts is not restricted. In this case, the comprehensiveness of the relationship between the systems is reduced as compared with the case where it is applied to all the finished vehicles, but such a range may be realized by applying another method.
上記の実施形態によれば、制御システムは、車両の運転者の操作または車両の司令部の指示に応じて前記車両の少なくとも一部を作動させるものである。自車両Mは、複数の作動部と、複数の作動部を制御するための制御システムとを有する。複数の作動部のうちの任意の作動部は、運転者の操作または司令部の指示に基づいて作動するように設定されている。 According to the above embodiment, the control system operates at least a part of the vehicle in response to the operation of the driver of the vehicle or the instruction of the vehicle command. The own vehicle M has a plurality of operating units and a control system for controlling the plurality of operating units. Any of the plurality of actuating parts is set to operate based on the operation of the driver or the instruction of the command center.
その制御システムは、少なくとも任意の作動部に関する複数の機能部であって、作動部の作動に関し直列の関係にある複数の機能部を有している。なお、作動部の作動に関し直列の関係は、上流側と下流側との関係にある場合を含むものであってもよい。その複数の機能部は、その複数の機能部の間で作動部の作動のための信号の送り側となる第1機能部と、その信号の受け側となる第2機能部と、を含むものである。 The control system has a plurality of functional units relating to at least an arbitrary operating unit, and has a plurality of functional units having a serial relationship with respect to the operation of the operating unit. The series relationship with respect to the operation of the operating unit may include the case where there is a relationship between the upstream side and the downstream side. The plurality of functional units include a first functional unit that is a signal sending side for operating the operating unit among the plurality of functional units, and a second functional unit that is a signal receiving side. ..
実施形態の設計支援システムは、上記の車両の運転者の操作または車両の司令部の指示に応じて前記車両の少なくとも一部を作動させる制御システムの設計を下記のように支援する。設計支援システムは、第1機能部から第2機能部へ供給される信号に関する検証結果を取得する取得部と、第1機能部から第2機能部へ供給される信号に関する第1機能部側の第1の検証結果の入力の有無と、上記信号に関する第2機能部側の第2の検証結果の入力の有無と、の少なくとも一方を報知可能とする報知部と、を備えることにより、複数の要素に機能分割された制御システムの設計の検証を、効率よく実施することができる。 The design support system of the embodiment supports the design of a control system that operates at least a part of the vehicle in response to the operation of the driver of the vehicle or the instruction of the vehicle command center as follows. The design support system includes an acquisition unit that acquires verification results regarding signals supplied from the first function unit to the second function unit, and a first function unit side regarding signals supplied from the first function unit to the second function unit. By providing a plurality of notification units capable of notifying at least one of the presence / absence of input of the first verification result and the presence / absence of input of the second verification result on the second function unit side regarding the signal. It is possible to efficiently verify the design of the control system whose functions are divided into elements.
なお、設計支援システムは、機能部に関する検証のための条件を記憶する記憶部を備え、報知部は、検証のための条件を表示手段に表示させてもよい。なお、報知部は、検証のための条件と、その条件に対する対応案、設定案、回答などを、前述の図表示手段に表示させてもよい。 The design support system may include a storage unit for storing verification conditions related to the functional unit, and the notification unit may display the verification conditions on the display means. In addition, the notification unit may display the conditions for verification, the response plan, the setting plan, the answer, etc. for the conditions on the above-mentioned figure display means.
なお、報知部は、第1の検証結果と第2の検証結果とに基づいた第1機能部と第2機能部に関する設計段階(設計プロセス)を報知してもよい。 The notification unit may notify the design stage (design process) of the first function unit and the second function unit based on the first verification result and the second verification result.
さらに、上記の実施形態によれば、設計支援システムは、少なくとも第1機能部に関する情報と、第2機能部に関する情報と、第1機能部から第2機能部へ供給される信号に関する情報と、少なくとも第1機能部または第2機能部の設計または検証に関わる人に関する情報と、を表示手段に表示させる報知部を備えることにより、複数の要素に機能分割された制御システムの設計の検証を、効率よく実施することができる。 Further, according to the above embodiment, the design support system includes at least information about the first functional unit, information about the second functional unit, and information about the signal supplied from the first functional unit to the second functional unit. By providing a notification unit for displaying at least information about a person involved in the design or verification of the first function unit or the second function unit on a display means, verification of the design of a control system whose function is divided into a plurality of elements can be performed. It can be carried out efficiently.
なお、別の観点によれば、実施形態に係る設計支援システムは、ユーザーの操作に応じて駆動部を駆動させる制御システムを設計対象とし、当該制御システムに関する機能安全の設計を支援する。設計支援システムに係る当該制御システムは、複数の機能部を含み、前記複数の機能部には前記駆動部を駆動させるための処理が当該処理の流れに従って機能分割されて割り付けられており、前記複数の機能部のそれぞれが、それぞれに割り付けられた処理を実施して前記駆動部を駆動させるものである。設計支援システムは、複数の機能部のうち、その処理に係る指令を送出する第1機能部と、第1機能部から送出された指令を受ける第2機能部とについて、第1機能部と第2機能部との間の指令に係る信号が、機能分割に従い決定され、第2機能部の機能と当該信号との関係が機能安全の要求度を満足することを検証する検証部を備えることにより、複数の要素に機能分割された制御システムの設計の検証を、効率よく実施することができる。 From another point of view, the design support system according to the embodiment targets a control system that drives the drive unit in response to a user operation, and supports the design of functional safety related to the control system. The control system related to the design support system includes a plurality of functional units, and the processing for driving the driving unit is divided and assigned to the plurality of functional units according to the flow of the processing. Each of the functional units of the above performs the processing assigned to each of the functional units to drive the driving unit. Of the plurality of functional units, the design support system has a first functional unit and a first functional unit that sends a command related to the processing and a second functional unit that receives a command sent from the first functional unit. By providing a verification unit that verifies that the signal related to the command between the two functional units is determined according to the functional division and that the relationship between the function of the second functional unit and the signal satisfies the requirement for functional safety. , It is possible to efficiently verify the design of the control system whose functions are divided into a plurality of elements.
(第2の実施形態)
第2の実施形態について説明する。第1の実施形態では、メカニズムとしての作動部は、機械的に可動するもの(駆動輪W1)に適用した事例について例示して説明した。これに代えて、本実施形態におけるメカニズムとしての作動部は、電気的に機能するものである。これに適用した事例について説明する。
(Second embodiment)
A second embodiment will be described. In the first embodiment, an example in which the operating portion as a mechanism is applied to a mechanically movable object (driving wheel W1) has been illustrated and described. Instead of this, the actuating part as a mechanism in this embodiment functions electrically. An example applied to this will be described.
ここで例示する作動部は、灯具240の前照灯、ポジション灯などである。
図21は、実施形態の実施形態のハザードの影響の分析について説明するための図である。影響分析部513は、前述のプロセス(3)に基づいて、灯具240を点灯中に生じ得るハザードについて判定する。例えば、灯具240が意に反して突然消灯して自車両Mの周囲が暗闇になる場合を想定し、そのハザードに対するASILを「ASIL-α」に決定する。「ASIL-α」は、ASILとして定められた何れかの水準を示す。
The operating unit exemplified here is a headlight, a position lamp, or the like of the
FIG. 21 is a diagram for explaining the analysis of the influence of the hazard of the embodiment. The
次に、影響分析部513は、灯具240が意に反して突然消灯する要因を抽出する。
例えば上記の要因の抽出の結果から、その影響を分析すると下記のような事象が想定される。
Next, the
For example, when the effects are analyzed from the results of extracting the above factors, the following events are assumed.
・オートライト機能を活性化させるためのオートライトスイッチが故障して、オートライト機能を停止させる状態(非活性化状態)を指定する状態を保持し続けるOFF故障になると灯具240を消灯することが有る。
-If the auto light switch for activating the auto light function fails and keeps the state that specifies the state to stop the auto light function (deactivated state), the
・明るさセンサが明るいと誤認識すると灯具240を消灯することが有る。
-If the brightness sensor erroneously recognizes that it is bright, the
・灯具240に電力を供給する電源(例えば、12V系)が、意に反して突然遮断された状態になると灯具240を消灯する。
-When the power supply (for example, 12V system) that supplies power to the
上記の他、例えば、灯具240の点灯を要求するシステムに、遠隔操作でエンジンを始動させるためのリモートエンジンスタートシステム(不図示)等がある。リモートエンジンスタートシステムは、灯具240の点灯を単に要求するものであれば、灯具240を消灯させることはない。その場合、仮にリモートエンジンスタートシステムが故障しても、その故障が、灯具240が意に反して突然消灯する要因にはならない。
In addition to the above, for example, a system that requires lighting of the
次に、影響分析部513は、上記に挙げた事象に関係するインタフェースとシステムに「ASIL-α」を通知する。その通知の結果から、例えば、BMS270により供給状況が制御される電力(電源)が、灯具240における前照灯等の点灯状態に影響すること、その灯具240が、上記の電力を供給している時に「ASIL-α」の危険度を持つこと、などが明らかになる。
Next, the
上記のプロセスにより、BMS270が、灯具240に対して「ASIL-α」の危険度を有しているものであることが明示され、BMS270の担当者は、それを認識することができる。
Through the above process, it is clarified that the
この図21の1つの特徴は、規格などによる任意のインタフェースに関する安全度水準についての情報を、システム間のインタフェース(実線の矢印)とは別に、例えば点線の矢印などで、図示していることである。 One feature of FIG. 21 is that information about the safety level of an arbitrary interface according to a standard or the like is illustrated by, for example, a dotted arrow, separately from the interface between systems (solid line arrow). is there.
これによって、ユーザーは任意のインタフェースに関する安全度水準についての情報をより容易に把握することができる。 This allows the user to more easily obtain information about the security level for any interface.
本実施形態によれば、第1の実施形態と同様の効果を奏することの他、電気的に作動する作動部に係る事象についても、適用可能であることが分かる。 According to the present embodiment, it can be seen that the same effect as that of the first embodiment can be obtained, and that the present embodiment can also be applied to an event related to an electrically operated operating unit.
(各実施形態に共通の効果)
続いて、実施形態に共通の効果について説明する。
少なくとも実施形態の機能安全システムは、車両の運転者の操作または車両の司令部の指示に応じて前記車両の少なくとも一部を作動させるための制御システムの設計支援システムである。前記車両は、複数の作動部と、前記複数の作動部を制御するための制御システムとを有しており、前記複数の作動部のうちの任意の作動部は、前記運転者の操作または前記司令部の指示に基づいて作動するように設定されており、前記制御システムは、少なくとも前記任意の作動部に関する複数の機能部であって、前記作動部の作動に関し直列の関係にある複数の機能部を有しており、前記複数の機能部は、前記複数の機能部の間で前記作動部の作動のための信号の送り側となる第1機能部と、前記信号の受け側となる第2機能部と、を含むものであって、当該設計支援システムは、前記第1機能部から前記第2機能部へ供給される信号に関する検証結果を取得する取得部と、前記第1機能部から前記第2機能部へ供給される信号に関する前記第1機能部側の第1の検証結果の入力の有無と、上記信号に関する前記第2機能部側の第2の検証結果の入力の有無と、の少なくとも一方を報知可能とする報知部と、を備えるものである。これにより、上記の効果の他、さらに、下記の効果を奏するものである。
(Effects common to each embodiment)
Subsequently, the effects common to the embodiments will be described.
The functional safety system of at least the embodiment is a design support system of a control system for operating at least a part of the vehicle in response to the operation of the driver of the vehicle or the instruction of the command center of the vehicle. The vehicle has a plurality of operating units and a control system for controlling the plurality of operating units, and any of the plurality of operating units can be operated by the driver or said. It is set to operate based on the instructions of the command center, and the control system is a plurality of functional units relating to at least the arbitrary operating unit, and a plurality of functions having a serial relationship with respect to the operation of the operating unit. The plurality of functional units have a unit, and the plurality of functional units are a first functional unit that is a signal sending side for operating the operating unit and a first functional unit that is a receiving side of the signal among the plurality of functional units. The design support system includes two functional units, and the design support system includes an acquisition unit that acquires a verification result regarding a signal supplied from the first functional unit to the second functional unit, and the first functional unit. Whether or not the first verification result of the first function unit side regarding the signal supplied to the second function unit is input, and whether or not the second verification result of the second function unit side is input regarding the signal. It is provided with a notification unit capable of notifying at least one of the above. As a result, in addition to the above-mentioned effects, the following effects are further exerted.
・開発段階の不要な工数の削減について
本実施形態に関連する国際規格では、ウォータフォール型のV字モデルの開発プロセスの適用を定めている。国際規格では、PART3コンセプト設計を実施した後に、PART4システムレベルの開発を着手するものとされている。
このPART3コンセプト設計の段階で、本実施形態を適用することにより、PART4システムレベルの開発を開始するまでに機能安全の機能の割り付けが明確になる。これにより、PART4システムレベルの開発の段階に入ってから、機能の割り付けが不完全であることに起因する手戻りが生じることを抑制することができる。
-Reduction of unnecessary man-hours in the development stage The international standard related to this embodiment stipulates the application of the development process of the waterfall type V-shaped model. According to the international standard, after the PART3 concept design is carried out, the PART4 system level development is started.
By applying this embodiment at the stage of designing the PART3 concept, the allocation of functional safety functions will be clarified by the time the development of the PART4 system level is started. As a result, it is possible to prevent rework due to incomplete allocation of functions after entering the stage of development at the PART4 system level.
・インタフェースの種別を明確化したことによる解析容易性の向上について
実施形態の機能安全のプロセスでは、インタフェースを、そのガイドとして利用する。前述の図4等に示すように、そのインタフェースは、そのインタフェースを利用して伝達するもの(情報等)の種別により、「機構力」、「動作要求」、「情報」の三種類に区分される。物理的な影響を及ぼす情報を伝達するインタフェースは、「機構力」に分類され、他のシステムの機構力を操作するインタフェースは、「動作要求」に分類され、ハザードに直接影響を与えるかどうか不明なインタフェースは、「情報」に分類される。このように、種別を制限することにより、インタフェースの特徴が明確化されている。
-Improvement of ease of analysis by clarifying the type of interface In the functional safety process of the embodiment, the interface is used as a guide. As shown in FIG. 4 and the like described above, the interface is classified into three types, "mechanical force", "operation request", and "information", depending on the type of thing (information, etc.) transmitted using the interface. The interface. Interfaces that transmit information that has a physical effect are classified as "mechanical forces", and interfaces that operate the mechanical forces of other systems are classified as "operation requirements", and it is unknown whether they directly affect hazards. Interfaces are classified as "information". By limiting the types in this way, the characteristics of the interface are clarified.
・ハザードの影響伝達の仕組みの明確化による解析容易性の向上について
ここで、図22を参照して、実施形態のハザードの影響伝達の仕組みについて改めて整理する。図22は、ハザードの影響伝達の仕組みについて説明するための図である。
-Improvement of ease of analysis by clarifying the mechanism of hazard influence transmission Here, the mechanism of hazard influence transmission of the embodiment will be reorganized with reference to FIG. 22. FIG. 22 is a diagram for explaining a mechanism for transmitting the influence of hazards.
図22(a)に示す仮定では、例えば,システムEの内部故障等によりシステムEが機構(メカニズム)を誤って制御して、異常な機構力を発生させることで、想定外の動きに繋がることがある。このような機構力は、ハザードになることがある。 In the assumption shown in FIG. 22A, for example, the system E erroneously controls the mechanism due to an internal failure of the system E or the like to generate an abnormal mechanical force, which leads to unexpected movement. There is. Such mechanical forces can be a hazard.
図22(b)に示す仮定では、例えば、機構を持たないシステムFであっても,機構を有するシステムGに対して動作要求(要求駆動力)を出力した場合、システムGの機構に影響を与えることがある。このような機構力は、ハザードになることがある。 According to the assumption shown in FIG. 22B, for example, even if the system F does not have a mechanism, if an operation request (required driving force) is output to the system G having a mechanism, the mechanism of the system G is affected. May give. Such mechanical forces can be a hazard.
また、図22(c)に示すように、上記のハザードの影響は、ハザードの発生要因となる機構を持つシステムJから、システムIやシステムHを通じてスイッチ(SW)やセンサなど車両レベルの入力端まで達すると仮定する。 Further, as shown in FIG. 22 (c), the influence of the above hazard is caused by the vehicle-level input terminal such as a switch (SW) or a sensor from the system J having a mechanism that causes the hazard through the system I or the system H. Suppose it reaches.
ここで、図23を参照して、ハザードの発生を軽減する安全機構要素について説明する。図23は、ハザードの発生を軽減するための仕組みについて説明するための図である。図23に示すように、システムLには、安全機構要素が実装されている。この入力端から、当該ハザードまでの間に、上記の安全機構要素が設けられていることにより、機構部(作動部)に直接的な影響が作用しなくなることで、ハザードが発生する可能性が軽減する。 Here, with reference to FIG. 23, safety mechanism elements for reducing the occurrence of hazards will be described. FIG. 23 is a diagram for explaining a mechanism for reducing the occurrence of hazards. As shown in FIG. 23, a safety mechanism element is mounted on the system L. Since the above safety mechanism element is provided between this input end and the hazard, there is a possibility that a hazard may occur because the direct influence does not act on the mechanism part (operating part). Reduce.
一般に上記のような安全機構要素の有効性により、発生し得るリスクの発生確率が変化する。本実施形態によれば、図22(c)に示す手法を利用して、安全機構要素を配置した位置を容易に決定することができ、また、決定された位置に配置した安全機構要素が有効であることを容易に検証することができる。さらに、本実施形態によれば、安全機構要素の位置、またその安全機構要素があることによって期待できる安全度水準を的確に決定することができる。 In general, the effectiveness of the safety mechanism elements as described above changes the probability of occurrence of possible risks. According to the present embodiment, the position where the safety mechanism element is arranged can be easily determined by using the method shown in FIG. 22 (c), and the safety mechanism element arranged at the determined position is effective. Can be easily verified. Further, according to the present embodiment, the position of the safety mechanism element and the expected safety level due to the presence of the safety mechanism element can be accurately determined.
比較例の場合、安全機構要素の位置を的確に決定できないことにより、安全対策が必要とされないシステムに、その安全対策のための機能を過剰に設けてしまう虞がある。
これに対し、本実施形態によれば、安全機構要素の配置などを的確に決定することができ、上記のような事象が生じる虞が無い。
このように、本実施形態に示すように、ハザードの影響伝達の仕組みを明確にしたことで、解析容易性が向上する。
In the case of the comparative example, since the position of the safety mechanism element cannot be accurately determined, there is a possibility that the system for which the safety measure is not required is excessively provided with the function for the safety measure.
On the other hand, according to the present embodiment, the arrangement of the safety mechanism elements and the like can be accurately determined, and there is no possibility that the above-mentioned event will occur.
In this way, as shown in the present embodiment, by clarifying the mechanism of hazard influence transmission, the ease of analysis is improved.
図24を参照して、実施形態に係る機能安全に関する検証の範囲について説明する。図24は、実施形態のアイテムの範囲を示す図である。この図24に示す「アイテム」の範囲は、自車両Mの一部にその範囲が規定されたものである。 With reference to FIG. 24, the scope of verification regarding functional safety according to the embodiment will be described. FIG. 24 is a diagram showing a range of items of the embodiment. The range of the "item" shown in FIG. 24 is defined as a part of the own vehicle M.
比較例としての一般的な機能安全の検証対象の範囲は、「アイテム」として規定され、その範囲が、電気・電子的に作用して制御するもの(システム)に特定されていることがある。 The range of general functional safety verification targets as a comparative example is defined as an "item", and the range may be specified as an item (system) that operates and controls electrically and electronically.
これに対して、本実施形態では、自車両Mの一部の範囲を「アイテム」として扱うものとしている。上記の実施形態の手法のとおり、機械的作動部や電気的作動部などの各作動部(メカニズム)をシステムの一部として扱うようにしてもよい。そのシステムは、機構力や動作要求を出力して直接的にハザードを引き起こし,情報を介して間接的にハザードを引き起こすものと規定することができる。このため、隣接するシステム間で適切な機能安全要求を割り付けられれば、ハザード要因となる経路全てで安全方策を実施することができる。そこで、同様の手法で解析範囲を拡張して、各作動部を含むシステムも併せて解析するようにした。 On the other hand, in the present embodiment, a part of the range of the own vehicle M is treated as an "item". As in the method of the above embodiment, each operating unit (mechanism) such as a mechanical operating unit or an electrically operating unit may be treated as a part of the system. It can be defined that the system outputs a mechanical force or an operation request to directly cause a hazard, and indirectly causes a hazard through information. Therefore, if appropriate functional safety requirements are assigned between adjacent systems, safety measures can be implemented in all routes that cause hazards. Therefore, the analysis range was expanded by the same method, and the system including each operating part was also analyzed.
例えば、外部から入力されるインタフェースを有する場合には,インタフェースを通じて連結された他のシステムと機構をアイテム範囲に取り込む。また、外部に出力するためのインタフェースを有する場合には,インタフェースを通じて連結されたシステムと作動部(機構部)、物理的作用(機構力)、関連ハザードをアイテム範囲に取り込む。これにより、本実施形態の「アイテム」の範囲を、電気・電子的に作用して制御するシステムだけの範囲から、各作動部を含む範囲に拡張することができる。また、その作動部が作動させることにより所望の物理的作用を期待する構成における、物理的作用とそれに関連するハザードについても、「ASIL」や「QM」などの所定の安全度水準を割り付けるという同様の解析手法を適用することで、ハザードからその要因までの解析を、共通の解析手法を利用して実施することができる。 For example, if you have an interface that is input from the outside, other systems and mechanisms connected through the interface are included in the item range. In addition, when it has an interface for outputting to the outside, the system connected through the interface, the operating part (mechanical part), the physical action (mechanical force), and the related hazards are taken into the item range. Thereby, the range of the "item" of the present embodiment can be expanded from the range of only the system that operates and controls electrically and electronically to the range including each operating unit. In addition, a predetermined safety level such as "ASIL" or "QM" is assigned to the physical action and the hazard related to the physical action in the configuration in which the desired physical action is expected by operating the working part. By applying the analysis method of, it is possible to carry out the analysis from the hazard to the cause by using the common analysis method.
上記の通り本実施形態の機能安全のプロセスは、システム間のインタフェースの規定方法と、ハザードの影響伝達の仕組みとを含み、それらを組み合わせることにより、機能安全設計を支援することができる。 As described above, the functional safety process of the present embodiment includes a method of defining an interface between systems and a mechanism of hazard influence transmission, and by combining them, a functional safety design can be supported.
なお、この図24に示すように、上記の「アイテム」の範囲を、自車両Mの一部に限り適用することも可能であり、適用外の範囲については他の手法を組み合わせてもよい。例えば、他の手法とは、実施形態の設計支援システムを利用しないで実施する機能安全プロセスであってもよく、実施形態の設計支援システムの条件や規格が互いに異なる他の設計支援システムによる機能安全プロセスであってもよい。 As shown in FIG. 24, the above range of "items" can be applied only to a part of the own vehicle M, and other methods may be combined for the range not applicable. For example, the other method may be a functional safety process implemented without using the design support system of the embodiment, and functional safety by another design support system in which the conditions and standards of the design support system of the embodiment are different from each other. It may be a process.
なお、国際規格により安全度水準(ASIL)として規定される内容には、当該システムを検証するための方法や、安全機構要素等に求める安全度水準の検証に必要とされる「条件」などが含まれる。例えば、要求されたASILから、当該システムの開発の難易度を推定することができる。設計支援システム500は、関連システムの担当者に対して機能安全要求を通知する際には、機能安全要求とASILとを組にして通知するようにしてもよい。
The contents defined as the safety level (ASIL) by the international standard include the method for verifying the system and the "conditions" required for the verification of the safety level required for the safety mechanism elements. included. For example, the difficulty of developing the system can be estimated from the requested ASIL. When the
例えば、あるシステムに、これまでそのシステムに設定されていた安全度水準よりも高いものが要求され、ハードウェアの故障率を低減させるだけでは、要求される安全度水準を確保できないことが有る。これに代わる対策として、当該システムなどへの安全機構要素の追加がある。ただし、その安全機構要素の開発に関する難易度などにより、その開発に必要とされる要員を確保しにくい場合には、当該組織の担当者を増員することなどの対応が必要になる。その際、当該組織以外の者を受け入れたり、当該組織と直接利害関係が無い者までを受け入れたりすることがある。このような対応が必要とされる場合に、設計支援システム500から、単に機能安全要求が通知されるだけではなく、その機能安全要求にASILが組合わされて通知されることにより、その開発に必要とされるスキル、人員構成、故障検出手法、フェールセーフアクションのやり方などの検討を速やかに開始することができ、システムの詳細な開発を開始するまでに、担当者として適切な人材を確保することができる。
For example, a system is required to have a higher safety level than the safety level previously set for the system, and it may not be possible to secure the required safety level simply by reducing the failure rate of hardware. As an alternative measure, there is the addition of a safety mechanism element to the system or the like. However, if it is difficult to secure the personnel required for the development due to the difficulty of developing the safety mechanism element, it is necessary to take measures such as increasing the number of persons in charge of the organization. At that time, it may accept persons other than the relevant organization, or even accept persons who have no direct interest in the relevant organization. When such a response is required, the
なお、当該システムに関連する関連システムの担当者から、上記の「条件」に対する対応、設定、又は回答などが、設計支援システム500に登録され、関係者間でその情報が共有される。
In addition, the person in charge of the related system related to the system registers the correspondence, setting, answer, etc. for the above "condition" in the
なお、実施形態による設計支援システム500又は端末装置600は、上記の処理を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、当該記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより、上述した種々の処理を行ってもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものであってもよい。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
The
さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(例えばDRAM(Dynamic Random Access Memory))のように、一定時間プログラムを保持しているものも含むものとする。また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。 Furthermore, the "computer-readable recording medium" is a volatile memory inside a computer system that serves as a server or client when a program is transmitted via a network such as the Internet or a communication line such as a telephone line (for example, DRAM (Dynamic)). It also includes those that hold the program for a certain period of time, such as Random Access Memory)). Further, the program may be transmitted from a computer system in which this program is stored in a storage device or the like to another computer system via a transmission medium or by a transmission wave in the transmission medium. Here, the "transmission medium" for transmitting a program refers to a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line. Further, the above program may be for realizing a part of the above-mentioned functions. Further, a so-called difference file (difference program) may be used, which can realize the above-mentioned functions in combination with a program already recorded in the computer system.
以上、本発明を実施するための形態について実施形態を用いて説明したが、本発明はこうした実施形態に何等限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々の変形及び置換を加えることができる。例えば、本実施形態に示した変形例等を、他の実施形態に適用することができる。また、実施形態では、自動車を設計の対象とする一例について説明したが、これに制限されず、他の態様の移動体を設計の対象にしてもよい。
或いは、家庭用のお掃除ロボットのように、自律して移動し作業を行うサービスロボットを対象にしても良い。
さらには、固定的に設置される作業ロボットでも、上半部が一定範囲内の動作 (伸縮(往復動)、傾動、搖動、回動や回転の姿勢の変化など )を伴う家庭用、商業用或いは工業用サービスロボットを対象としても良く、複数の制御システムで構成されるメカトロシステ ムにおいて、各システム間でインタフェースをガイドに要求度の情報を付加 して検証の 合意を図る場合 に適用可能である。
Although the embodiments for carrying out the present invention have been described above using the embodiments, the present invention is not limited to these embodiments, and various modifications and substitutions are made without departing from the gist of the present invention. Can be added. For example, the modifications shown in this embodiment can be applied to other embodiments. Further, in the embodiment, an example in which an automobile is the object of design has been described, but the present invention is not limited to this, and a moving body of another aspect may be the object of design.
Alternatively, a service robot that autonomously moves and performs work, such as a household cleaning robot, may be targeted.
Furthermore, even for fixedly installed work robots, the upper half of the robot is used for home and commercial use with movements within a certain range (expansion / contraction (reciprocating movement), tilting, swinging, rotation and changes in rotational posture, etc.) Alternatively, it may be targeted at industrial service robots, and can be applied when a mechatronic system consisting of multiple control systems is used to agree on verification by adding requirement information to each system using an interface as a guide. is there.
100…車両制御システム(制御システム)
500…設計支援システム
510…制御部
511…基礎アーキテクチャ作成部
512…初期アーキテクチャ作成部
513…影響分析部
514…機能安全要求整合判定部
515…標準アーキテクチャ更新部
516…詳細設計支援部
517…詳細設計結果検証部
520…記憶部
521…標準アーキテクチャDB
522…基礎アーキテクチャDB
523…初期アーキテクチャDB
524…ハザード分析情報DB
525…機能安全要求情報DB
530…通信部
540…情報取得部
550…報知部
600…端末装置
M…自車両(移動体)
W1…駆動輪
100 ... Vehicle control system (control system)
500 ...
522 ... Basic architecture DB
523 ... Initial architecture DB
524 ... Hazard analysis information DB
525 ... Functional safety requirement information DB
530 ...
W1 ... Drive wheels
Claims (9)
前記車両は、複数の作動部と、前記複数の作動部を制御するための制御システムとを有しており、
前記複数の作動部のうちの任意の作動部は、前記運転者の操作または前記司令部の指示に基づいて作動するように設定されており、
前記制御システムは、少なくとも前記任意の作動部に関する複数の機能部であって、前記作動部の作動に関し直列の関係にある複数の機能部を有しており、
前記複数の機能部は、前記複数の機能部の間で前記作動部の作動のための信号の送り側となる第1機能部と、前記信号の受け側となる第2機能部と、を含むものであって、
当該設計支援システムは、
前記第1機能部から前記第2機能部へ供給される信号に関する検証結果を取得する取得部と、
前記第1機能部から前記第2機能部へ供給される信号に関する前記第1機能部側の第1の検証結果の入力の有無と、上記信号に関する前記第2機能部側の第2の検証結果の入力の有無と、の少なくとも一方を報知可能とする報知部と、
を備えることを特徴とする設計支援システム。 A design support system for a control system for operating at least a part of the vehicle in response to the operation of the vehicle driver or the instruction of the vehicle command.
The vehicle has a plurality of operating parts and a control system for controlling the plurality of operating parts.
Any of the plurality of actuating parts is set to operate based on the operation of the driver or the instruction of the command unit.
The control system has a plurality of functional units relating to at least the arbitrary operating unit, and has a plurality of functional units having a serial relationship with respect to the operation of the operating unit.
The plurality of functional units include a first functional unit that is a signal sending side for operating the operating unit and a second functional unit that is a signal receiving side among the plurality of functional units. It ’s a thing,
The design support system
An acquisition unit that acquires a verification result regarding a signal supplied from the first function unit to the second function unit, and an acquisition unit.
Whether or not the first verification result of the first function unit side regarding the signal supplied from the first function unit to the second function unit is input, and the second verification result of the second function unit side regarding the signal. A notification unit that can notify at least one of the presence / absence of input and
A design support system characterized by being equipped with.
を備え、
前記報知部は、
前記検証のための条件を含む情報を表示手段に表示させる
ことを特徴とする請求項1に記載の設計支援システム。 A storage unit for storing information including conditions for verification of the functional unit is provided.
The notification unit
The design support system according to claim 1, wherein information including conditions for verification is displayed on a display means.
前記第1の検証結果と前記第2の検証結果とに基づいた前記第1機能部と前記第2機能部に関する設計段階を報知する
ことを特徴とする請求項1又は請求項2記載の設計支援システム。 The notification unit
The design support according to claim 1 or 2, wherein the design stage relating to the first functional unit and the second functional unit is notified based on the first verification result and the second verification result. system.
前記車両は、複数の作動部と、前記複数の作動部を制御するための制御システムとを有しており、
前記複数の作動部のうちの任意の作動部は、前記運転者の操作または前記司令部の指示に基づいて作動するように設定されており、
前記制御システムは、少なくとも前記任意の作動部に関する複数の機能部であって、前記作動部の作動に関し直列の関係にある複数の機能部を有しており、
前記複数の機能部は、前記複数の機能部の間で前記作動部の作動のための信号の送り側となる第1機能部と、前記信号の受け側となる第2機能部と、を含むものであって、
当該設計支援システムは、少なくとも、
前記第1機能部に関する情報と、
前記第2機能部に関する情報と、
前記第1機能部から前記第2機能部へ供給される信号に関する情報と、
少なくとも前記第1機能部または前記第2機能部の設計または検証に関わる人に関する情報と、を表示手段に表示させる報知部
を備えることを特徴とする設計支援システム。 A design support system for a control system for operating at least a part of the vehicle in response to the operation of the vehicle driver or the instruction of the vehicle command.
The vehicle has a plurality of operating parts and a control system for controlling the plurality of operating parts.
Any of the plurality of actuating parts is set to operate based on the operation of the driver or the instruction of the command unit.
The control system has a plurality of functional units relating to at least the arbitrary operating unit, and has a plurality of functional units having a serial relationship with respect to the operation of the operating unit.
The plurality of functional units include a first functional unit that is a signal sending side for operating the operating unit and a second functional unit that is a signal receiving side among the plurality of functional units. It ’s a thing,
The design support system is at least
Information about the first functional unit and
Information about the second functional unit and
Information about the signal supplied from the first functional unit to the second functional unit, and
A design support system including at least a notification unit for displaying information about a person involved in the design or verification of the first functional unit or the second functional unit on a display means.
を備え、
前記報知部は、
前記検証のための条件を含む情報を表示手段に表示させる
ことを特徴とする請求項4に記載の設計支援システム。 A storage unit for storing information including conditions for verification of the functional unit is provided.
The notification unit
The design support system according to claim 4, wherein information including the conditions for verification is displayed on the display means.
前記機能部に関する検証結果を取得する取得部
を備え、
前記報知部は、
前記第1機能部から前記第2機能部へ供給される信号に関する前記第1機能部側の第1の検証結果の入力の有無と、上記信号に関する前記第2機能部側の第2の検証結果の入力の有無と、の少なくとも一方を報知可能とする
ことを特徴とする請求項4又は請求項5に記載の設計支援システム。 The design support system
It is equipped with an acquisition unit that acquires the verification results related to the functional unit.
The notification unit
Whether or not the first verification result of the first function unit side regarding the signal supplied from the first function unit to the second function unit is input, and the second verification result of the second function unit side regarding the signal. The design support system according to claim 4 or 5, wherein at least one of the presence / absence of an input of the above can be notified.
当該制御システムは、少なくとも前記任意の作動部に関する複数の機能部であって、前記作動部の作動に関し直列の関係にある複数の機能部を有しており、
前記複数の機能部のうち、前記処理に係る指令を送出する第1機能部と、前記第1機能部から送出された指令を受ける第2機能部とについて、前記第1機能部と前記第2機能部との間の前記指令に係る信号が、前記直列の関係に従い決定され、前記第2機能部の機能と当該信号との関係が前記機能安全の要求度を満足することを検証する検証部
を備える設計支援システム。 It is a design support system that supports the design of functional safety related to the control system by designing a control system that operates the operating part of the vehicle in response to the operation of the driver of the vehicle or the instruction of the command unit of the vehicle.
The control system has at least a plurality of functional units relating to the arbitrary operating unit, and has a plurality of functional units having a serial relationship with respect to the operation of the operating unit.
Among the plurality of functional units, the first functional unit that sends a command related to the processing and the second functional unit that receives a command sent from the first functional unit are the first functional unit and the second functional unit. The signal related to the command with the functional unit is determined according to the series relationship , and the verification unit verifies that the relationship between the function of the second functional unit and the signal satisfies the functional safety requirement. Design support system equipped with.
当該設計支援システムが、
前記第1機能部から前記第2機能部へ供給される信号に関する検証結果を取得し、
前記第1機能部から前記第2機能部へ供給される信号に関する前記第1機能部側の第1の検証結果の入力の有無と、上記信号に関する前記第2機能部側の第2の検証結果の入力の有無と、の少なくとも一方を報知可能とする、
設計支援方法。 It is a design support method executed by a design support system of a control system for operating at least a part of the vehicle in response to an operation of a vehicle driver or an instruction of a vehicle command, and the vehicle is a plurality of operations. It has a unit and a control system for controlling the plurality of operating units, and any operating unit among the plurality of operating units is based on the operation of the driver or the instruction of the command unit. The control system is set to operate, and the control system has at least a plurality of functional units relating to the arbitrary operating unit, and has a plurality of functional units having a serial relationship with respect to the operation of the operating unit. The plurality of functional units include a first functional unit that is a signal sending side for operating the operating unit and a second functional unit that is a signal receiving side among the plurality of functional units. It's a thing
The design support system
Obtain the verification result regarding the signal supplied from the first function unit to the second function unit, and obtain the verification result.
Whether or not the first verification result of the first function unit side regarding the signal supplied from the first function unit to the second function unit is input, and the second verification result of the second function unit side regarding the signal. It is possible to notify at least one of the presence / absence of input of
Design support method.
当該設計支援システムのコンピュータに、
前記第1機能部から前記第2機能部へ供給される信号に関する検証結果を取得させ、
前記第1機能部から前記第2機能部へ供給される信号に関する前記第1機能部側の第1の検証結果の入力の有無と、上記信号に関する前記第2機能部側の第2の検証結果の入力の有無と、の少なくとも一方を報知可能にさせる、
プログラム。 A program that causes a computer of a control system design support system for operating at least a part of the vehicle in response to an operation of a vehicle driver or an instruction of a vehicle command to execute a process. The operating unit and the control system for controlling the plurality of operating units are provided, and any operating unit among the plurality of operating units can be operated by the driver or instructed by the command unit. The control system is set to operate based on, and the control system has at least a plurality of functional units relating to the arbitrary operating unit, and having a plurality of functional units having a serial relationship with respect to the operation of the operating unit. The plurality of functional units include a first functional unit that is a signal sending side for operating the operating unit and a second functional unit that is a signal receiving side among the plurality of functional units. Including
To the computer of the design support system
Obtain the verification result regarding the signal supplied from the first function unit to the second function unit.
Whether or not the first verification result of the first function unit side regarding the signal supplied from the first function unit to the second function unit is input, and the second verification result of the second function unit side regarding the signal. Make it possible to notify at least one of the presence / absence of input of
program.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017037744A JP6847710B2 (en) | 2017-02-28 | 2017-02-28 | Design support system, design support method, and program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017037744A JP6847710B2 (en) | 2017-02-28 | 2017-02-28 | Design support system, design support method, and program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018140760A JP2018140760A (en) | 2018-09-13 |
| JP6847710B2 true JP6847710B2 (en) | 2021-03-24 |
Family
ID=63526345
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017037744A Active JP6847710B2 (en) | 2017-02-28 | 2017-02-28 | Design support system, design support method, and program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6847710B2 (en) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111985072B (en) * | 2019-05-24 | 2024-05-14 | 上海汽车变速器有限公司 | Simulation implementation method for suppressing jitter of analysis Wang Zicao limit transmission |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4467823B2 (en) * | 2001-03-12 | 2010-05-26 | 株式会社東芝 | Design support apparatus, design support method, and design support program |
| JP4961832B2 (en) * | 2006-05-18 | 2012-06-27 | 日産自動車株式会社 | In-vehicle electrical system development support device and design defect verification method |
| CN101641678B (en) * | 2007-04-09 | 2012-03-21 | 富士通株式会社 | Source program review program, source program review method and source program review device |
| JP5236533B2 (en) * | 2009-03-05 | 2013-07-17 | 株式会社トヨタIt開発センター | Method and apparatus for supporting network design |
-
2017
- 2017-02-28 JP JP2017037744A patent/JP6847710B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2018140760A (en) | 2018-09-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6972294B2 (en) | Vehicle control systems, vehicle control methods, and programs | |
| CN109656244B (en) | Autonomous traveling vehicle and control method thereof | |
| JP6776288B2 (en) | Vehicle control systems, vehicle control methods, and programs | |
| US10518769B2 (en) | Vehicle control system, traffic information sharing system, vehicle control method, and vehicle control program | |
| JP6663506B2 (en) | Vehicle control system, vehicle control method, and vehicle control program | |
| JP6496944B2 (en) | Vehicle seat device | |
| US10579072B2 (en) | Method for controlling vehicle | |
| JP6902589B2 (en) | Vehicle control devices, vehicle control methods, and programs | |
| JP2018077649A (en) | Remote operation control device, vehicle control system, remote operation control method and remote operation control program | |
| JP6907285B2 (en) | Vehicle control devices, vehicle control methods, and programs | |
| JP2020163908A (en) | Vehicle control device, vehicle control method, and program | |
| WO2017168739A1 (en) | Vehicle control device, vehicle control method, and vehicle control program | |
| JP2018172028A (en) | Vehicle control system, vehicle control method, and vehicle control program | |
| JP6464495B2 (en) | Vehicle system, vehicle control method, and vehicle control program | |
| JP7096183B2 (en) | Vehicle control systems, vehicle control methods, and programs | |
| US11447155B2 (en) | Vehicle control device, map information management system, vehicle control method, and storage medium | |
| JP2020142693A (en) | Vehicle control device, vehicle control system, vehicle control method, and program | |
| JPWO2020049685A1 (en) | Vehicle control devices, self-driving car development systems, vehicle control methods, and programs | |
| JP2020149233A (en) | Vehicle control system, vehicle control method, and program | |
| JP6847710B2 (en) | Design support system, design support method, and program | |
| JP2020192877A (en) | Control device, control method and program | |
| JP7048833B1 (en) | Vehicle control devices, vehicle control methods, and programs | |
| JP7111640B2 (en) | Vehicle control system, vehicle control method, and program | |
| CN116409318A (en) | Control device | |
| JP2021006802A (en) | Vehicle control system, vehicle control method, and program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20181005 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20191209 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200924 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20201104 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201218 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210209 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210303 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6847710 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |