JP6864992B2 - 車両制御システム検証装置及び車両制御システム - Google Patents
車両制御システム検証装置及び車両制御システム Download PDFInfo
- Publication number
- JP6864992B2 JP6864992B2 JP2016090200A JP2016090200A JP6864992B2 JP 6864992 B2 JP6864992 B2 JP 6864992B2 JP 2016090200 A JP2016090200 A JP 2016090200A JP 2016090200 A JP2016090200 A JP 2016090200A JP 6864992 B2 JP6864992 B2 JP 6864992B2
- Authority
- JP
- Japan
- Prior art keywords
- safety
- function
- control system
- vehicle control
- architecture
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012795 verification Methods 0.000 title claims description 157
- 230000006870 function Effects 0.000 claims description 274
- 238000000034 method Methods 0.000 claims description 80
- 230000008569 process Effects 0.000 claims description 73
- 238000001514 detection method Methods 0.000 claims description 46
- 238000011158 quantitative evaluation Methods 0.000 claims description 39
- 230000005856 abnormality Effects 0.000 claims description 34
- 238000004891 communication Methods 0.000 description 23
- 238000012545 processing Methods 0.000 description 20
- 238000004364 calculation method Methods 0.000 description 15
- 238000010586 diagram Methods 0.000 description 15
- 230000033001 locomotion Effects 0.000 description 10
- 238000013461 design Methods 0.000 description 9
- 238000011156 evaluation Methods 0.000 description 8
- 238000003745 diagnosis Methods 0.000 description 6
- 239000000470 constituent Substances 0.000 description 3
- 235000008694 Humulus lupulus Nutrition 0.000 description 1
- 230000001133 acceleration Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000010845 search algorithm Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60T—VEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
- B60T17/00—Component parts, details, or accessories of power brake systems not covered by groups B60T8/00, B60T13/00 or B60T15/00, or presenting other characteristic features
- B60T17/18—Safety devices; Monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/76—Architectures of general purpose stored program computers
- G06F15/78—Architectures of general purpose stored program computers comprising a single central processing unit
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60T—VEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
- B60T8/00—Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force
- B60T8/32—Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration
- B60T8/88—Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means
- B60T8/885—Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means using electrical circuitry
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/0205—Diagnosing or detecting failures; Failure detection models
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/0225—Failure correction strategy
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0428—Safety, monitoring
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/22—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/22—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
- G06F11/25—Testing of logic operation, e.g. by logic analysers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F30/00—Computer-aided design [CAD]
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W2050/0001—Details of the control system
- B60W2050/0002—Automatic control, details of type of controller or control system architecture
- B60W2050/0018—Method for the design of a control system
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24109—Execute first diagnostic, service program before normal control program
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/26—Pc applications
- G05B2219/2637—Vehicle, car, auto, wheelchair
Description
本開示はこのような状況に鑑みてなされたものであり、安全分析結果に基づき、機能の設計の安全性を網羅的に検証するための技術を提供するものである。
本明細書の記述は典型的な例示に過ぎず、本開示の特許請求の範囲又は適用例を如何なる意味に於いても限定するものではないことを理解する必要がある。
第1の実施形態は、車両制御システムの論理アーキテクチャにおいてFTAで必要とされる安全機能が存在するか、及び車両制御システムの物理アーキテクチャ上に論理アーキテクチャを配置したときに物理アーキテクチャが要求される安全度と多重度を満足するかについて検証することについて開示する。
図1は、本開示の実施形態による車両制御システム検証装置100の概略構成を示す図である。
車両制御システム検証装置100は、機能配置部101と、安全性検証部102と、アーキテクチャ定量評価部103と、を備える。
以上のようにして、車両制御システム検証装置100は、車両制御システムの検証および評価を実行する。
論理アーキテクチャ601、物理アーキテクチャ20、機能配置部101、及び安全性検証部102の詳細については後述する。
図2は、評価対象の車両制御システムを備える車両システム1の概略構成例を示す図である。車両システム1は、自動車などが該当し、内部に車両制御システムを有している。
通知装置9は、車両システム1が外界に対して、車両の状態等を通知するための装置であり、例えば、ランプ、LED、スピーカ等が該当する。
図3は、車両制御システム2の物理アーキテクチャの例を示す図である。物理アーキテクチャ20はH/W(Hardware)構成と呼ぶこともできる。
本明細書では、ECU302、ネットワークリンク301、およびECU内のプロセッサを以下物理エレメントとも呼ぶこともある。
図4は、ECU302の内部構成例を示す図である。ECU302は、内部構成として、例えば、プロセッサ401と、I/O(Input/Output)デバイス402と、タイマ403と、ROM(Read Only Memory)404と、RAM(Random Access Memory)405と、内部バス406と、を備える。
タイマ403は、図示しないクロックなどを使用し、時間および時刻の管理を行う。
図5は、物理アーキテクチャ20のパラメータ例を示す図である。図5Aは、物理アーキテクチャ20の物理エレメント(ECUやプロセッサ)に付与されるパラメータを示している。図5Bは、ネットワークに付与されるパラメータを示している。
図5Aに示されるように、物理エレメントのパラメータは、演算性能と、RAM量と、ROM量と、対応安全度と、コストと、多重度と、故障率と、診断率と、物理依存性と、を含む。これらのパラメータのうち、演算性能(MHz:プロセッサの性能)、RAM量(KB:容量)、ROM量(KB:容量)、及びコスト(yen:ECUやプロセッサの価格)は、ECUまたはプロセッサの持つパラメータを有するアーキテクチャを定量評価する際に使用される。
図5Bに示されるように、ネットワークは、通信速度(bps)、コスト(yen:ネットワークケーブルの価格)、及び多重度(通信線の冗長度)のパラメータを有する。
図6は、車両制御システム(例えば、第1の車両制御システム2)の論理アーキテクチャ601の構成例を示す図である。
統合認識部602は、複数の認識装置6、及び通信装置3から送信されてくる外界認識情報を統合した外界認識マップを作成する処理を実行する。
ユーザ入力部604は、入力装置8からの入力に従い、ユーザの指示情報を生成する。
図7は、論理アーキテクチャ601のパラメータ例を示す図である。図7Aは、主機能に付与されるパラメータを示している。図7Bは、安全機能に付与されるパラメータを示している。図7Cは、論理接続に対するパラメータを示している。
主機能のパラメータは、論理機能のタイプと、演算量と、消費RAMと、消費ROMとを含む。
論理機能のタイプは、論理機能の種別を示す情報であり、主機能・安全機能の判定に使用される。ここでは「主機能」が入力される。
演算量、消費RAM、及び消費ROMは、主にアーキテクチャの定量評価を行う際に使用される。
安全機能のパラメータは、論理機能のタイプと、安全機能のタイプと、安全制御モードと、演算量と、消費RAMと、消費ROMと、要求安全度と、検出対象と、検出故障モードと、検出率と、独立性要求と、を含む。
論理接続に対するパラメータは、該当する通信路の通信量を含む。当該通信量は、アーキテクチャを定量評価する際に使用される。
図8は、論理アーキテクチャが物理アーキテクチャに配置された場合の構成例を示す図である。
図9は、安全分析情報として用いることができるFTA(Fault Tree Analysis)の例を示す図である。FTA900は、ツリー状の構造を表しており、トップイベント(トップ事象)901と、それぞれの葉となるイベント903と、分岐のゲート902と、を含んでいる。
図10は、各イベントおよび各ゲートに付与するパラメータの例を示す図である。図10Aは、各イベントに付与するパラメータを示している。図10Bは、各ゲートに付与するパラメータを示している。
イベントのパラメータは、該当するイベントの上位に位置するイベント(上位イベント)又はゲート(上位ゲート)と、イベント種別(中間イベントか基本イベントか)と、故障機能と、故障モードと、を構成項目として有している。故障機能と故障モードの組み合わせでイベントの内容が表わされている。故障機能と故障モードについては、基本事象だけでなく、中間事象にも記載する。そのようにすることにより、例えばコンポーネントの故障だけでなくシステムレベルでの故障についても記載可能である。
ゲートのパラメータは、各ゲートの上位に位置するイベントまたはゲートと、ゲートの種別(ORまたはAND)と、を構成項目として有している。
図11は、第1の実施形態による安全性検証処理の概要を説明するためのフローチャートである。以下では、プログラムとしての安全性検証部102を動作主体として処理概要について説明するが、プログラムは車両制御システム検証装置100のプロセッサによって読み込まれ、実行されるものであるので、安全性検証部102を「プロセッサ」と読み替えることも可能である。
安全性検証部102は、まず、機能配置後のアーキテクチャについて安全要件検証処理を実行する。安全要件検証処理の詳細については後述する(図12参照)。
安全性検証部102は、安全要件の検証結果がOKの場合には(S1102でyes)、処理をステップ1103に移行させ、安全要件の検証結果がNGの場合には(S1102でno)、処理をステップ1104に移行させる。
安全性検証部102は、安全性検証結果としてOKを出力して処理を終了する。
安全性検証部102は、NG結果とその理由、及び何れの安全要件の検証がNGであったかを出力する。このようにして安全要件の検証が実施される。
図12は、安全要件検証処理(ステップ1102)の詳細を説明するためのフローチャートである。
安全要件検証処理において、安全性検証部102は、安全分析情報900の全てのイベントについてステップ1202〜ステップ1205の処理を繰り返す。
安全性検証部102は、それぞれのイベントについて、対応する安全機能がアーキテクチャ上に存在しているかを確認する。具体的には、該当する(処理対象の)イベント(例えば、ET3)の故障機能(例えば、図10の論理機能1)のパラメータが、対応する安全機能における検出故障モードと検出対象に存在するかチェックされる。対応する安全機能がある場合(ステップ1202でyesの場合)、処理はステップ1203に移行する。対応する安全機能がない場合(ステップ1202でnoの場合)、処理はステップ1205に移行する。
安全性検証部102は、物理アーキテクチャ20における、該当する安全機能の配置先において、安全度及び多重度の要件を満たしているか判定する。
安全性検証部102は、該当するイベントの内容をOKとする。
安全性検証部102は、該当するイベントの内容をNGとする。
安全性検証部102は、次のイベントについて処理を行う。全てのイベントについて処理が完了した後、処理はステップ1207に移行する。
安全性検証部102は、ステップ1201〜ステップ1206の処理結果をFTAのツリーに適用して安全要件検証の判定を行う。具体的には、安全性検証部102は、FTAの各イベントについて、上記各イベントのOK及びNGの結果をFTAに入力し、FTAのツリーに従って判定を行う。つまり、各イベントから上部にOK、NGを辿り、各ゲートでの判定をAND、ORとして判定し、最上位のイベントが発生するかを判定する。ここでは、安全性検証部102は、NGをT(True)、OKをF(False)とし、AND条件及びOR条件で判定を行い、トップイベント(トップ事象)がFalseの場合にはOKを返し、Trueの場合にはNGを返す。このようにして全体での安全要件の検証が行われる。
ステップ1203においては、配置先の検証処理では安全度の判定だけを実施しても良い。多重度は別途安全機能連携の検証でも実施するため、ステップ1203では省略可能である。これにより、演算量の削減が可能となる。
アーキテクチャ定量評価部103は、機能配置済みのアーキテクチャで安全性検証結果がOKと判定されたアーキテクチャの定量評価を行う。定量評価は、例えば、物理エレメント上の論理機能の使用率の算出、通信の占有率の算出、及び物理エレメントのコストの算出することにより実現することができる。物理エレメント上の論理機能の使用率は、物理アーキテクチャ20の物理エレメントに配置された複数の論理機能について、演算量、消費RAM、及び消費ROMのそれぞれについて合計値を算出し、物理エレメント上での使用率を計算することにより算出することができる。また、通信の占有率は、ネットワーク上の各論理機能による通信の使用量を合計し、占有率を計算することにより算出することができる。さらに、物理エレメントのコストは、物理アーキテクチャ全体で使用している物理エレメント、つまり論理機能が1つ以上配置されている物理エレメントについてのコストを合計することにより算出することができる。
第2の実施形態は、安全性の定量的評価に基づく検証および評価の別形態について開示する。具体的には、第1の実施形態における安全要件検証(ステップ1101)、または上述のアーキテクチャ定量評価で実行される、別形態の処理(安全性定量評価処理:トップイベント発生確率算出処理と呼ぶことも可能)について説明する。
図13は、第2の実施形態による安全性定量評価処理の概要を示す図である。当該処理は、トップイベントが発生する確率を算出処理に相当する。
特定された主機能に対応する物理エレメントの故障率(図5参照)、及び主機能の故障を検出する安全機能の検出率(図7参照)が取得される。
次に、取得された故障率及び検出率から残存故障率(検出できない故障の割合)が算出される。
そして、ツリーの条件に合わせて各イベントの残存故障率を積算し、トップイベントの発生確率が算出される。
図14は、第2の実施形態による安全性定量評価処理の詳細を説明するためのフローチャートである。アーキテクチャ定量評価部103は、以下の手順に従って、該当するハザード(トップイベント)の発生確率(残存故障率)を計算する。ここでは、プログラムとしてのアーキテクチャ定量評価部103を動作主体として処理内容を説明するが、プログラムは車両制御システム検証装置100のプロセッサによって読み込まれ、実行されるものであるので、アーキテクチャ定量評価部103を「プロセッサ」と読み替えることも可能である。
アーキテクチャ定量評価部103は、安全分析情報(FTA)の全てのイベントについてステップ1402〜ステップ1405の処理を繰り返す。
アーキテクチャ定量評価部103は、処理対象のイベントについて、該当する主機能と安全機能を探索する。主機能については、イベントに対応する論理機能(安全機能)の検出対象に検出(監視と言い換えることができる)の対象となる論理機能(主機能)が記載されているので、この情報が抽出される(図13の例では主機能A)。
安全機能については、処理対象のイベントの故障機能と故障モード(図10参照)から、対応する安全機能(ここでは安全機能A)が特定される。
アーキテクチャ定量評価部103は、該当する故障モードに対応する故障率であって、主機能Aが配置されているECUまたはマイコン(ここではECU2)のパラメータに記載される故障率(図5参照)を取得する。
アーキテクチャ定量評価部103は、探索した安全機能(安全機能A)の検出率を当該安全機能のパラメータ(図7参照)から取得する。
アーキテクチャ定量評価部103は、取得した故障率及び検出率を(式1)に適用して処理対象のイベントの残存故障率を計算する。
残存故障率=故障率×(1−検出率)・・・(式1)
ここでは、検出された故障は確実に処理されるものとして計算している。なお、該当する安全機能が無かった場合には、検出率を0として計算される。
アーキテクチャ定量評価部103は、全てのイベントの残存故障率を計算した後、トップイベントの発生確率をFTAツリーの構造に従って計算する。ここでは、各イベントの残存故障率を算出した後に、ANDまたはORゲートの演算に従ってトップイベントの発生確率が計算される。また、ここでは、全ての事象を独立と考え、ORゲートではそれぞれのイベントの残存故障率を加算し、ANDゲートではそれぞれのイベントの残存故障率の掛け算により上位のイベントの発生率が計算される。このようにして安全性の定量評価が実施される。
第3の実施形態は、安全性検証処理において、安全機能連携を検証する処理(安全機能連携検証処理)を実行することについて開示する。第1の実施形態との差異は、図11の安全性検証処理に安全機能連携検証処理がさらに実行される点である。以下、第3の実施形態による安全性検証処理について説明する。
図15は、第3の実施形態による安全性検証処理の概要を説明するためのフローチャートである。図15に示されるように、第1の実施形態による安全性検証処理(図11:ステップ1101〜ステップ1104)にステップ1501及びステップ1502が追加されている。以下、追加された処理についてのみ説明する。
安全性検証部102は、論理機能を配置した後の物理アーキテクチャにおける安全機能の連携について検証する。当該処理の詳細については後述する(図16参照)。
安全性検証部102は、ステップ1501の処理の結果、安全機能連携の検証結果がOKであったか否か判定する。所望の安全機能連携が行われている場合(ステップ1502でyesの場合)、処理はステップ1103に移行する。所望の安全機能連携が行われていない場合(ステップ1502でnoの場合)、処理はステップ1104に移行する。
図16は、安全機能連携検証処理(ステップ1501)の詳細を説明するためのフローチャートである。以下では、プログラムとしての安全性検証部102を動作主体として安全機能連携検証処理について説明するが、プログラムは車両制御システム検証装置100のプロセッサによって読み込まれ、実行されるものであるので、安全性検証部102を「プロセッサ」と読み替えることも可能である。
安全機能連携検証処理は、論理アーキテクチャの全ての安全機能について実行されるため、安全性検証部102は、最初に該当する安全機能のパラメータから安全制御モードを取得する。安全制御モードには機能継続や安全停止等が含まれ、該当する安全機能に対応してその情報が取得される。
安全性検証部102は、安全制御モードに合わせ、安全機能の連携が正しく行われているかについて、論理機能をチェックする。ここで、論理機能のチェックとは、取得した安全制御モードに対応した論理機能の連携が行われているか、安全制御モデル(図7参照)と安全機能の連携を比較することを意味する。図17は、安全制御モデルの例を示す図である。図17Aは、安全制御モードの「安全停止」に対応した安全制御モデルの例を示している。図17Bは、安全制御モードの「機能継続」に対応した安全制御モデルの例を示している。図17中「S」はSensorを示し、「A」はActuatorを示す。
安全性検証部102は、ステップ1602における安全機能連携のチェック結果がOKであるか判定する。チェック結果がNGであった場合(ステップ1603でnoの場合)、処理はステップ1604に移行する。チェック結果がOKであった場合(ステップ1603でyesの場合)、処理はステップ1605に移行する。
ステップ1603で論理機能チェックの結果がNGであった場合、安全性検証部102は、該当する安全要件のチェック結果がNGであったこととその理由を出力する。この場合、論理機能チェックNGとなる安全要件、またそこで不足していた論理機能の連携の情報が出力される。
安全性検証部102は、ステップ1603で確認した安全機能の連携について、配置先と経路の安全要件をチェックする。
安全性検証部102は、ステップ1605で得られた安全機能連携の安全要件チェック結果がOKか否か判断する。安全要件チェック結果がNGであった場合(ステップ1606でnoの場合)、処理はステップ1604に移行する。安全要件チェック結果がOKであった場合(ステップ1606でyesの場合)、処理はステップ1607に移行する。
安全性検証部102は、OK結果(安全機能連携の安全要件チェックの結果がOKであること)を出力する。
第4の実施形態は、車両制御システムの安全性検証を車両制御システム内で実行するための構成について開示する。
図19は、第4の実施形態による車両制御システムの構成(物理アーキテクチャ)例を示す図である。図19では、図1に示す車両制御システム検証装置100がECU302に配置され、与えられるFTAに基づいて安全性検証処理が車両制御システム内で実行される。第1乃至第3の実施形態では、主に設計時に安全性検証処理が実行されるが、第4の実施形態では、車両制御システム検証装置100が車両制御システム内に実装されているため、例えば、制御プログラムを書き換えたようなときに安全性検証処理を実行することが可能となる。
第4の実施形態において、車両制御システム検証装置100は、ネットワークリンク301を通じてアーキテクチャ情報を収集する。
図20は、第4の実施形態において車両制御システム検証装置100が受信するアーキテクチャ構成情報の例を示す図である。図20Aは、物理アーキテクチャ構成情報を示している。図20Bは、論理アーキテクチャ構成情報を示している。
(i)本開示の車両制御システム検証装置は、与えられる安全分析結果の情報に基づいて、車両制御システムの論理アーキテクチャが安全分析結果に対応する論理機能(安全機能)を有するか否かを検証する。このようにすることにより、車両制御システムのアーキテクチャの安全性を網羅的に(一部ではなく)検証することができるようになる。上記論理アーキテクチャは安全分析結果(FTA)の情報に基づいて構築されたものであっても良い。これにより、安全分析結果の要件を充足するように設定したアーキテクチャが本当に安全分析結果に対応できるか検証することができるようになる。さらに、車両制御システム検証装置は、論理アーキテクチャが配置される物理アーキテクチャが論理アーキテクチャで要求される安全度及び多重度を満足するか否かを検証する。これにより、論理アーキテクチャ上での安全性を検証できるだけでなく、物理アーキテクチャ上での安全性を検証することができるようになる。また、例えば、安全分析結果がFTAであるとき、FTAにおける複数のイベントに対応する論理アーキテクチャの安全性検証の結果と物理アーキテクチャの安全性検証の結果とをFTAに当てはめたときにトップイベントが発生するか否かを判定することにより、設計されたアーキテクチャが適切であるか否か効果的に評価することができるようになる。
2 車両制御システム
3 通信装置
4 車両制御システム
5 駆動装置
6 認識装置
7 出力装置
8 入力装置
9 通知装置
20 物理アーキテクチャ
100 車両制御システム検証装置
101 機能配置部
102 安全性検証部、
103 アーキテクチャ定量評価部
300 物理アーキテクチャ
301 ネットワークリンク
302 ECU
401 プロセッサ
402 I/Oデバイス
403 タイマ
404 ROM
405 RAM
406 内部バス
601 論理アーキテクチャ
602 統合認識部
603 自動運転制御部
604 ユーザ入力部
605 出力管理部
606 通知管理部
607 異常検出部
608 切替部
609 運動制御部
610 安全制御部
900 安全分析情報
901 トップイベント
902 ゲート
903 イベント
Claims (10)
- 車両制御システムの論理アーキテクチャの安全性を検証するためのプログラムを格納する記憶デバイスと、
前記記憶デバイスから前記プログラムを読み込み、前記論理アーキテクチャの安全性を検証するプロセッサと、を備え、
前記論理アーキテクチャの論理機能は、前記車両制御システムにおいて所定の機能を実現するための主機能と、前記車両制御システムの異常に対応するための安全機能と、によって構成され、
前記論理アーキテクチャは、前記車両制御システムの物理アーキテクチャに配置され、
前記プロセッサは、与えられる安全分析結果の情報に基づいて、前記論理アーキテクチャが前記安全分析結果に対応する論理機能を有するか否かを検証する第1の検証処理を実行し、
前記プロセッサは、さらに、前記主機能に対応する物理アーキテクチャの故障率及び、主機能の故障を検出する安全機能の検出率により算出されたイベントの発生率に基づき安全要件の定量評価を行う第2の検証処理を実行する、車両制御システム検証装置。 - 請求項1において、
前記論理アーキテクチャは、前記安全分析結果の情報に基づいて構築されたものである、車両制御システム検証装置。 - 請求項2において、
前記安全分析結果の情報は、複数のイベントの発生と最終結果であるトップイベントの発生との関係をツリー構造で表すFTAであり、
前記プロセッサは、さらに、
前記FTAにおける前記複数のイベントに対応する前記第1の検証処理の結果と前記第2の検証処理の結果とを前記FTAに当てはめたときに前記トップイベントが発生するか否かを判定する処理と、
前記判定する処理の結果を出力する処理と、
を実行する、車両制御システム検証装置。 - 請求項3において、
前記判定する処理の結果が前記トップイベントの発生を示す場合、前記プロセッサは、さらに、前記物理アーキテクチャの定量評価を行う処理を実行する、車両制御システム検証装置。 - 請求項4において、
前記物理アーキテクチャは、複数の物理エレメントとネットワークとを含み、
前記プロセッサは、前記定量評価を行う処理において、前記論理アーキテクチャを前記物理エレメントに配置したときの、前記複数の物理エレメントの使用率と、前記ネットワークの占有率を算出することにより、前記物理アーキテクチャの定量評価を行う、車両制御システム検証装置。 - 請求項4において、
前記プロセッサは、前記定量評価を行う処理において、
前記複数のイベントのそれぞれについて、前記論理アーキテクチャにおける、各イベントに対応する前記論理アーキテクチャの論理機能の残存故障率を、当該論理機能のパラメータである故障率と検出率とから算出する処理と、
前記算出された各イベントに対応する論理機能の残存故障率を前記FTAに適用して前記トップイベントの残存故障率を算出する処理と、
を実行する、車両制御システム検証装置。 - 請求項1において、
前記プロセッサは、さらに、前記車両制御システムの異常発生時に前記論理アーキテクチャが実現すべき制御内容を示す安全制御モードの情報を取得し、前記安全制御モードに対応する、前記論理アーキテクチャの各論理機能が連携して動作するか否かチェックする処理を実行する、車両制御システム検証装置。 - 請求項7において、
前記論理アーキテクチャの論理機能は、前記車両制御システムにおいて所定の機能を実現するための主機能と、前記車両制御システムの異常に対応するための安全機能と、によって構成され、
前記論理機能の連携動作をチェックするとき、前記安全制御モードが安全停止である場合、前記プロセッサは、異常を検出する機能を有する安全機能と、異常を検出する対象の主機能と、切替機能を有する安全機能との連携が前記論理アーキテクチャにおいて構築されているか否か判定する、車両制御システム検証装置。 - 請求項7において、
前記論理アーキテクチャの論理機能は、前記車両制御システムにおいて所定の機能を実現するための主機能と、前記車両制御システムの異常に対応するための安全機能と、によって構成され、
前記論理機能の連携動作をチェックするとき、前記安全制御モードが機能継続である場合、前記プロセッサは、異常を検出する機能を有する安全機能と、異常を検出する対象の主機能と、代替制御を行う機能を有する安全機能と、切替機能を有する安全機能との連携が前記論理アーキテクチャにおいて構築されているか否か判定する、車両制御システム検証装置。 - 請求項7に記載の車両制御システム検証装置を備え、
前記車両制御システム検証装置は、前記車両制御システムの物理アーキテクチャを構成する物理エレメントに配置され、
前記車両制御システム検証装置は、入力される、前記車両制御システムの前記論理アーキテクチャ及び前記物理アーキテクチャの情報と前記安全分析結果の情報とに基づいて、前記論理アーキテクチャが前記安全分析結果に対応する論理機能を有するか否かを検証する、車両制御システム。
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016090200A JP6864992B2 (ja) | 2016-04-28 | 2016-04-28 | 車両制御システム検証装置及び車両制御システム |
US16/086,666 US11151076B2 (en) | 2016-04-28 | 2017-04-13 | Vehicle control system verification device, vehicle control system, and vehicle control system verification method |
CN201780011147.2A CN109074299B (zh) | 2016-04-28 | 2017-04-13 | 车辆控制系统验证装置、车辆控制系统以及车辆控制系统验证方法 |
EP17789284.1A EP3451174B1 (en) | 2016-04-28 | 2017-04-13 | Vehicle control system verification device, vehicle control system, and vehicle control system verification method |
PCT/JP2017/015067 WO2017187997A1 (ja) | 2016-04-28 | 2017-04-13 | 車両制御システム検証装置、車両制御システム、及び車両制御システム検証方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016090200A JP6864992B2 (ja) | 2016-04-28 | 2016-04-28 | 車両制御システム検証装置及び車両制御システム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017199229A JP2017199229A (ja) | 2017-11-02 |
JP6864992B2 true JP6864992B2 (ja) | 2021-04-28 |
Family
ID=60161666
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016090200A Active JP6864992B2 (ja) | 2016-04-28 | 2016-04-28 | 車両制御システム検証装置及び車両制御システム |
Country Status (5)
Country | Link |
---|---|
US (1) | US11151076B2 (ja) |
EP (1) | EP3451174B1 (ja) |
JP (1) | JP6864992B2 (ja) |
CN (1) | CN109074299B (ja) |
WO (1) | WO2017187997A1 (ja) |
Families Citing this family (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3279830B1 (en) * | 2016-08-02 | 2020-10-28 | Veoneer Sweden AB | A vision system and method for a motor vehicle |
DE102017010716A1 (de) * | 2017-11-10 | 2019-05-16 | Knorr-Bremse Systeme für Nutzfahrzeuge GmbH | System zum wenigstens teilautonomen Betrieb eines Kraftfahrzeugs mit doppelter Redundanz |
JP6979338B2 (ja) * | 2017-11-20 | 2021-12-15 | 三菱航空機株式会社 | 配線構造の安全性評価システム |
WO2019208624A1 (ja) * | 2018-04-25 | 2019-10-31 | 日本電気通信システム株式会社 | 車載用通信装置、車両内通信システム、通信方法及びプログラム |
CN109885870A (zh) * | 2019-01-09 | 2019-06-14 | 同济大学 | 一种用于自动驾驶汽车预期功能安全的验证方法及系统 |
CN111835627B (zh) * | 2019-04-23 | 2022-04-26 | 华为技术有限公司 | 车载网关的通信方法、车载网关及智能车辆 |
CN111246422A (zh) * | 2020-01-06 | 2020-06-05 | 新石器慧通(北京)科技有限公司 | 一种车载系统热启动切换方法 |
CN113377573A (zh) * | 2020-03-10 | 2021-09-10 | 北京京东乾石科技有限公司 | 一种自动驾驶车辆的异常处理方法、装置、设备和存储介质 |
KR20210152125A (ko) * | 2020-06-08 | 2021-12-15 | 주식회사 만도모빌리티솔루션즈 | 프로세스 검사 장치 및 방법과, 전자 제어 장치 |
EP3975455A1 (en) * | 2020-09-23 | 2022-03-30 | Bayerische Motoren Werke Aktiengesellschaft | Determining correctness of actually received timestamp |
CN112462731B (zh) * | 2020-10-16 | 2022-06-24 | 北京西南交大盛阳科技股份有限公司 | 安全监督控制方法、安全监督控制装置、计算机设备及安全监督系统 |
CN112910850A (zh) * | 2021-01-16 | 2021-06-04 | 浙江吉利控股集团有限公司 | 一种控制车辆的安全验证方法及系统 |
EP4087293A1 (en) * | 2021-05-06 | 2022-11-09 | Robert Bosch GmbH | Methods and devices for radio communication |
EP4365815A1 (en) * | 2021-06-28 | 2024-05-08 | Denso Corporation | Mobile object control system and program |
CN115150437B (zh) * | 2022-09-01 | 2022-11-29 | 国汽智控(北京)科技有限公司 | 应用于车辆的自动驾驶系统的节点部署方法、装置及设备 |
CN115694707B (zh) * | 2022-12-27 | 2023-04-11 | 北京理工大学深圳汽车研究院(电动车辆国家工程实验室深圳研究院) | 一种基于业务识别的汽车区系统及实时同步调度方法 |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6892317B1 (en) * | 1999-12-16 | 2005-05-10 | Xerox Corporation | Systems and methods for failure prediction, diagnosis and remediation using data acquisition and feedback for a distributed electronic system |
WO2005003972A2 (de) * | 2003-06-24 | 2005-01-13 | Robert Bosch Gmbh | Verfahren zu überprüfung der sicherheit und zuverlässigkeit softwarebasierter elektronischer systeme |
EP1555587B1 (en) | 2004-01-13 | 2011-06-01 | Renault S.A.S. | Design of safety critical system |
ATE545224T1 (de) * | 2005-06-28 | 2012-02-15 | Tttech Computertechnik Ag | Sicheres herauffahren eines netzwerks |
US8286043B2 (en) * | 2007-02-16 | 2012-10-09 | Freescale Semiconductor, Inc. | System, computer program product and method for testing a logic circuit |
US20090012631A1 (en) * | 2007-07-03 | 2009-01-08 | Dale Fuller | Automation safety life cycle |
US8060347B2 (en) * | 2008-07-29 | 2011-11-15 | Mentor Graphics Corporation | Complexity management for vehicle electrical/electronic architecture design |
JP5480033B2 (ja) * | 2010-06-23 | 2014-04-23 | 行政院原子能委員會核能研究所 | 原子力発電プラント用コンピュータ支援トップ論理によるリスクの定量的評価方法。 |
CN102169458A (zh) * | 2011-04-18 | 2011-08-31 | 华东师范大学 | 汽车电控部件的软件正确性验证系统及其验证方法 |
US9058419B2 (en) * | 2012-03-14 | 2015-06-16 | GM Global Technology Operations LLC | System and method for verifying the integrity of a safety-critical vehicle control system |
DE102012215343A1 (de) * | 2012-08-29 | 2014-05-28 | Continental Automotive Gmbh | Verfahren zum Durchführen einer Sicherheitsfunktion eines Fahrzeugs und System zum Durchführen des Verfahrens |
US10180995B2 (en) * | 2013-07-15 | 2019-01-15 | The Boeing Company | System and method for assessing cumulative effects of a failure |
JP6066081B2 (ja) * | 2013-09-03 | 2017-01-25 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | フォールトツリーを生成する装置及び方法 |
US9195232B1 (en) * | 2014-02-05 | 2015-11-24 | Google Inc. | Methods and systems for compensating for common failures in fail operational systems |
WO2015159549A1 (ja) * | 2014-04-16 | 2015-10-22 | 日本電気株式会社 | 可用性分析装置、可用性分析方法、及び、可用性分析プログラムが記録された記録媒体 |
US10061670B2 (en) * | 2015-12-28 | 2018-08-28 | Siemens Aktiengesellschaft | Method and apparatus for automatically generating a component fault tree of a safety-critical system |
-
2016
- 2016-04-28 JP JP2016090200A patent/JP6864992B2/ja active Active
-
2017
- 2017-04-13 US US16/086,666 patent/US11151076B2/en active Active
- 2017-04-13 CN CN201780011147.2A patent/CN109074299B/zh active Active
- 2017-04-13 WO PCT/JP2017/015067 patent/WO2017187997A1/ja active Application Filing
- 2017-04-13 EP EP17789284.1A patent/EP3451174B1/en active Active
Also Published As
Publication number | Publication date |
---|---|
EP3451174A4 (en) | 2019-12-18 |
EP3451174B1 (en) | 2022-08-10 |
CN109074299A (zh) | 2018-12-21 |
CN109074299B (zh) | 2021-12-14 |
US11151076B2 (en) | 2021-10-19 |
US20190108160A1 (en) | 2019-04-11 |
EP3451174A1 (en) | 2019-03-06 |
WO2017187997A1 (ja) | 2017-11-02 |
JP2017199229A (ja) | 2017-11-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6864992B2 (ja) | 車両制御システム検証装置及び車両制御システム | |
US10332322B2 (en) | Systems and methods for vehicle-to-vehicle communication | |
CN107757525B (zh) | 自主车辆故障模式管理系统及方法 | |
US11861951B2 (en) | Driving management system, vehicle, and information processing method | |
WO2018198547A1 (ja) | 車両の電子制御装置 | |
US10459446B2 (en) | Autonomous operation verification device and autonomous system | |
JP4155198B2 (ja) | 車両の制御システムの異常検知装置 | |
JP6535572B2 (ja) | 車両制御装置、車両制御システム | |
WO2017086087A1 (ja) | 処理装置および車両制御システム | |
CN110214312A (zh) | 共享备用单元和控制系统 | |
CN105981336A (zh) | 不正常检测电子控制单元、车载网络系统以及不正常检测方法 | |
JP6620589B2 (ja) | 情報処理装置、データ抽出方法、プログラム更新方法、記憶媒体及びコンピュータプログラム | |
JP5319534B2 (ja) | 障害管理方法、および障害管理のための装置 | |
KR101802858B1 (ko) | 자동차용 통합데이터 처리 제어 시스템 및 방법 | |
SE541828C2 (en) | Method and control arrangement for prediction of malfunction of a wheel bearing unit of an axle in a vehicle | |
JP6768152B2 (ja) | 車載電源システムを動作させる方法 | |
CN115220413A (zh) | 车辆故障诊断方法、车载诊断装置 | |
JP2014031077A (ja) | 車両動作検証システム | |
JP5682388B2 (ja) | 障害診断方法及び障害診断システム | |
US11372442B2 (en) | Vehicle control system validation technique and validation device, and control device | |
Vermesan et al. | Advanced electronic architecture design for next electric vehicle generation | |
CN115384536A (zh) | 一种驾驶辅助系统控制器的评估方法、装置、设备及介质 | |
Harris | Embedded software for automotive applications | |
CN115946673B (zh) | 一种汽车制动的故障诊断方法、系统、设备和介质 | |
WO2022024634A1 (ja) | 演算装置および車両制御装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190124 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20191105 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191227 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200602 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20200731 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201001 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210316 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210405 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6864992 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |