JP6864992B2 - 車両制御システム検証装置及び車両制御システム - Google Patents

車両制御システム検証装置及び車両制御システム Download PDF

Info

Publication number
JP6864992B2
JP6864992B2 JP2016090200A JP2016090200A JP6864992B2 JP 6864992 B2 JP6864992 B2 JP 6864992B2 JP 2016090200 A JP2016090200 A JP 2016090200A JP 2016090200 A JP2016090200 A JP 2016090200A JP 6864992 B2 JP6864992 B2 JP 6864992B2
Authority
JP
Japan
Prior art keywords
safety
function
control system
vehicle control
architecture
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016090200A
Other languages
English (en)
Other versions
JP2017199229A (ja
Inventor
敏史 大塚
敏史 大塚
櫻井 康平
康平 櫻井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Astemo Ltd
Original Assignee
Hitachi Astemo Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Astemo Ltd filed Critical Hitachi Astemo Ltd
Priority to JP2016090200A priority Critical patent/JP6864992B2/ja
Priority to US16/086,666 priority patent/US11151076B2/en
Priority to CN201780011147.2A priority patent/CN109074299B/zh
Priority to EP17789284.1A priority patent/EP3451174B1/en
Priority to PCT/JP2017/015067 priority patent/WO2017187997A1/ja
Publication of JP2017199229A publication Critical patent/JP2017199229A/ja
Application granted granted Critical
Publication of JP6864992B2 publication Critical patent/JP6864992B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T17/00Component parts, details, or accessories of power brake systems not covered by groups B60T8/00, B60T13/00 or B60T15/00, or presenting other characteristic features
    • B60T17/18Safety devices; Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/76Architectures of general purpose stored program computers
    • G06F15/78Architectures of general purpose stored program computers comprising a single central processing unit
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T8/00Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force
    • B60T8/32Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration
    • B60T8/88Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means
    • B60T8/885Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means using electrical circuitry
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0225Failure correction strategy
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/25Testing of logic operation, e.g. by logic analysers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F30/00Computer-aided design [CAD]
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0002Automatic control, details of type of controller or control system architecture
    • B60W2050/0018Method for the design of a control system
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24109Execute first diagnostic, service program before normal control program
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/26Pc applications
    • G05B2219/2637Vehicle, car, auto, wheelchair

Description

本開示は、車両制御システム検証装置、車両制御システム、及び車両制御システム検証方法に関する。
近年、自動車の電子制御は急速に複雑化してきており、その対応が緊急課題であり、より信頼性のある車両制御システムが望まれている。このような車両制御システムを実現するためには、車両制御システムで実装される各機能の信頼性を検査できるようにすることが望ましい。
例えば、特許文献1は、要求されるシステムの機能を検査するための信頼性機能を用いて、そのために必要とされる、システムのハードウェアコンポーネントに基づいて、ソフトウェアベースの電子システムの安全性と信頼性を検査することを開示している。また、特許文献2は、安全性重視システムの設計とベリファイのための改良された方法について開示している。特許文献1或いは2によれば、安全性や信頼性に関連する要件に対し、アーキテクチャの設計、インプリメンテーションの内容を検査・検証することができる。
特表2007−506591号公報 特表2007−528532号公報
しかしながら、特許文献1及び2には、安全分析結果(安全分析情報ともいう)から網羅的に安全機能の要件を検証することや、信頼性における多重度(多重度については特許文献1に記載されている)以外に安全機能同士の関係性を検証することについては開示されていない。従って、特許文献1及び2に開示の技術では、車両制御システムの各機能を検証する上で十分ではない。
本開示はこのような状況に鑑みてなされたものであり、安全分析結果に基づき、機能の設計の安全性を網羅的に検証するための技術を提供するものである。
上記課題を解決するために、本開示の一実施の態様として、例えば特許請求の範囲に記載されている技術的思想を用いればよい。具体的には、本開示による車両制御システム検証装置は、車両制御システムの論理アーキテクチャの安全性を検証するためのプログラムを格納する記憶デバイスと、記憶デバイスからプログラムを読み込み、論理アーキテクチャの安全性を検証するプロセッサと、を備える。当該プロセッサは、与えられる安全分析結果の情報に基づいて、論理アーキテクチャが安全分析結果に対応する論理機能を有するか否かを検証する処理を実行する。
本開示に関連する更なる特徴は、本明細書の記述、添付図面から明らかになるものである。また、本開示の態様は、要素及び多様な要素の組み合わせ及び以降の詳細な記述と添付される特許請求の範囲の様態により達成され実現される。
本明細書の記述は典型的な例示に過ぎず、本開示の特許請求の範囲又は適用例を如何なる意味に於いても限定するものではないことを理解する必要がある。
本開示によれば、自動運転システムの論理アーキテクチャおよび物理アーキテクチャと機能配置情報に基づく設計について、安全分析情報に基づき網羅的に検証を行うことが可能となる。
本開示の実施形態による車両制御システム検証装置100の概略構成を示す図である。 評価対象の車両制御システムを備える車両システム1の概略構成例を示す図である。 車両制御システム2の物理アーキテクチャの例を示す図である。 ECU302の内部構成例を示す図である。 物理アーキテクチャ20のパラメータ例を示す図である。 車両制御システム(例えば、第1の車両制御システム2)の論理アーキテクチャ601の構成例を示す図である。 論理アーキテクチャ601のパラメータ例を示す図である。 論理アーキテクチャが物理アーキテクチャに配置された場合の構成例を示す図である。 安全分析情報として用いることができるFTA(Fault Tree Analysis)の例を示す図である。 FTAの各イベントおよび各ゲートに付与するパラメータの例を示す図である。 第1の実施形態による安全性検証処理の概要を説明するためのフローチャートである。 安全要件検証処理(ステップ1102)の詳細を説明するためのフローチャートである。 第2の実施形態による安全性定量評価処理の概要を示す図である。 第2の実施形態による安全性定量評価処理の詳細を説明するためのフローチャートである。 第3の実施形態による安全性検証処理の概要を説明するためのフローチャートである。 安全機能連携検証処理(ステップ1501)の詳細を説明するためのフローチャートである。 安全制御モデルの例を示す図である。 安全機能の連携に関する配置先と経路の安全要件のチェック例を示す図である。 第4の実施形態による車両制御システムの構成(物理アーキテクチャ)例を示す図である。 第4の実施形態において車両制御システム検証装置100が受信するアーキテクチャ構成情報の例を示す図である。
本開示の実施形態による車両制御システム検証装置は、与えられる安全分析結果に基づいて、機能の設計の安全性及び配置の適切さを網羅的に検証し、必要な要件を充足しているか否か、安全機能間の連携の有無について検証するものである。具体的には、本開示による車両制御システム検証装置は、与えられる安全分析結果(FTA)の情報に基づいて、車両制御システムの論理アーキテクチャが安全分析結果に対応する論理機能を有するか否かを検証する。なお、論理アーキテクチャは、安全分析結果の情報に基づいて構築しても良い。設計時の安全機能の検証は、FTAの安全性の要件を満足するようにアーキテクチャを設計し、それが実際にターゲットとなるFTAの安全性の要件を満足するか否かチェックするものだからである。
また、車両制御システム検証装置は、車両制御システムの物理アーキテクチャが論理アーキテクチャで要求される安全度及び多重度を満足するか否かを検証する。
以下、本発明に好適な実施形態について、より詳細に説明する。なお、実施形態では、主に車両制御システムの検証装置について説明しており、車両制御システムの検証に好適であるが、それ以外のシステムに対しての適用を妨げるものではない。
(1)第1の実施形態
第1の実施形態は、車両制御システムの論理アーキテクチャにおいてFTAで必要とされる安全機能が存在するか、及び車両制御システムの物理アーキテクチャ上に論理アーキテクチャを配置したときに物理アーキテクチャが要求される安全度と多重度を満足するかについて検証することについて開示する。
<車両制御システム検証装置>
図1は、本開示の実施形態による車両制御システム検証装置100の概略構成を示す図である。
車両制御システム検証装置100は、機能配置部101と、安全性検証部102と、アーキテクチャ定量評価部103と、を備える。
機能配置部101は、例えば、論理アーキテクチャ601と物理アーキテクチャ20とを入力とし、機能配置の例(図8参照)のように論理アーキテクチャ601を物理アーキテクチャ20上に配置する処理を実行する。
安全性検証部102は、機能配置後のアーキテクチャと安全分析情報(例えばFTA:Fault Tree Analysis(図9参照))900を入力とし、本開示で提案される安全性検証のフローに従って設計されたアーキテクチャの安全性の検証を行う。そして、安全性検証部102は、検証結果として、安全性検証OK、或いは安全性検証NG及びその理由を機能配置部101に出力する。なお、検証結果は、アーキテクチャ定量評価部103に直接出力されるようにしても良い。
アーキテクチャ定量評価部103は、アーキテクチャの安全性の検証結果を受け、主に安全性検証がOKのアーキテクチャについて定量評価を行い、評価結果を出力する。
以上のようにして、車両制御システム検証装置100は、車両制御システムの検証および評価を実行する。
なお、車両制御システム検証装置100は、プロセッサ(CPUなど)やメモリ(ROMやRAMなど)などを有するコンピュータによって実現することができる。この場合、機能配置部101、安全性検証部102、及びアーキテクチャ定量評価部103はプログラムによって構成され、プロセッサがプログラムメモリ(ROM)から各種プログラムを読み込み、実行するように構成される。
論理アーキテクチャ601、物理アーキテクチャ20、機能配置部101、及び安全性検証部102の詳細については後述する。
<車両制御システムの構成>
図2は、評価対象の車両制御システムを備える車両システム1の概略構成例を示す図である。車両システム1は、自動車などが該当し、内部に車両制御システムを有している。
車両システム1は、例えば、第1の車両制御システム2と、少なくとも1つの通信装置3と、第2の車両制御システム4と、少なくとも1つの駆動装置5と、少なくとも1つの認識装置6と、出力装置7と、入力装置8と、通知装置9と、を備えている。ここでは、例として2つの車両制御システム(第1の車両制御システム2及び第2の車両制御システム4)を挙げたが、2つに限られるものではない。また、複数の車両制御システムが連携して動作するような構成を採用しても良い。
第1の車両制御システム2は、例えば車載ネットワーク(CAN:Controller Area Network、CANFD:CAN with Flexible Data-rate、Ethernet(登録商標)等)とコントローラ(ECU:Electronic Control Unit等)により構成される。第1の車両制御システム2は、第2の車両制御システム4、通信装置3、駆動装置5、認識装置6、出力装置7、入力装置8、及び通知装置9などと接続され、それぞれとの間で情報の送受信を行うように構成されている。
通信装置3は、車両システム1の外部と無線通信(例えば、携帯電話の通信、無線LAN、WAN、C2X(Car to X:車両対車両または車両対インフラ通信)等のプロトコルを使用した通信、またはGPS(Global Positioning System)を用いた通信)を行い、外界(例えば、インフラ、他車、地図など)の情報または自車に関する情報(例えば、自車の状態を示す情報)を取得・送信などの無線通信を実施、または診断端子(OBD)やEthernet(登録商標)端子、外部記録媒体(例えばUSBメモリ、SDカード、等)端子などを有し、第1の車両制御システム2と通信を実施するものである。
第2の車両制御システム4は、例えば、第1の車両制御システム2と異なるプロトコル、或いは同一のプロトコルを用いたネットワークにより構成される車両制御システムである。
駆動装置5は、第1の車両制御システム2の制御に従い、車両運動を制御する機械および電気装置(例えばエンジン、トランスミッション、ホイール、ブレーキ、操舵装置等)の駆動を行うものであり、例えばアクチュエータ等が該当する。
認識装置6は、外界から入力される情報を取得し情報を生成するための情報を出力する、カメラ、レーダ、LIDAR、超音波センサなどの外界センサ、および、車両システム1の状態(運動状態、位置情報、加速度、車輪速度等)を認識する力学系センサにより構成される。
出力装置7は、ネットワークシステム(例えば、上述の車載ネットワーク)に有線または無線で接続され、ネットワークシステムから送出されるデータを受信し、メッセージ情報(例えば映像、音)など必要な情報を表示または出力する装置であり、例えば、液晶ディスプレイ、警告灯、スピーカなどが該当する。
入力装置8は、ユーザが第1の車両制御システム2に対して、操作の意図や指示を入力する入力信号を生成するための装置であり、例えばステアリング、ペダル、ボタン、レバー、タッチパネル等が該当する。
通知装置9は、車両システム1が外界に対して、車両の状態等を通知するための装置であり、例えば、ランプ、LED、スピーカ等が該当する。
<物理アーキテクチャの例>
図3は、車両制御システム2の物理アーキテクチャの例を示す図である。物理アーキテクチャ20はH/W(Hardware)構成と呼ぶこともできる。
物理アーキテクチャ20は、例えば、ネットワークリンク301と、ECU(Electronic Control Unit:電子制御ユニット)302と、によって構成される。
ネットワークリンク301は、車載ネットワーク上のネットワーク装置を接続するためのネットワークリンクであり、例えばCANバスなどのネットワークリンクが該当する。
ECU302は、ネットワークリンク301および駆動装置5や認識装置6や301以外のネットワークリンク(専用線含む)に接続され、駆動装置5や認識装置6の制御および情報取得、ネットワークとのデータ送受信を行う。ECU302は、複数のネットワークリンク301と接続され、それぞれのネットワークリンクとデータの送受信を行うゲートウェイ(以下GW)の役割をも担っている。
ネットワークトポロジ構成例としては、図3に示す2つのバスに複数のECUが接続されているバス型の例以外にも、複数のECUが直接GWに接続されるスター型や、ECUが一連のリンクにリング状に接続されているリンク型、それぞれの型が混在し複数のネットワークにより構成される混在型等を採用することもできる。ECU302は、ネットワークから受信したデータを基に、駆動装置5への制御信号の出力、認識装置6からの情報の取得、ネットワークへの制御信号および情報の出力、内部状態の変更、などの制御処理を行う。
本明細書では、ECU302、ネットワークリンク301、およびECU内のプロセッサを以下物理エレメントとも呼ぶこともある。
<ECUの内部構成例>
図4は、ECU302の内部構成例を示す図である。ECU302は、内部構成として、例えば、プロセッサ401と、I/O(Input/Output)デバイス402と、タイマ403と、ROM(Read Only Memory)404と、RAM(Random Access Memory)405と、内部バス406と、を備える。
プロセッサ401は、キャッシュやレジスタなどの記憶素子を持ち、制御を実行するものであり、例えばCPUなどで構成される。プロセッサ401は、後述する論理機能を実行する。
I/Oデバイス402は、ネットワークリンク301またはネットワークや専用線で接続された駆動装置5または/および認識装置6に対してデータの送受信を行う。I/Oデバイス402は、例えば、通信I/F(Interface)デバイスで構成することができる。
タイマ403は、図示しないクロックなどを使用し、時間および時刻の管理を行う。
ROM404は、プログラムおよび不揮発性のデータを保存する。RAM405は、プログラムおよび揮発性のデータを保存する。内部バス406は、ECU302内部での通信に用いられるバスである。
<物理アーキテクチャのパラメータ>
図5は、物理アーキテクチャ20のパラメータ例を示す図である。図5Aは、物理アーキテクチャ20の物理エレメント(ECUやプロセッサ)に付与されるパラメータを示している。図5Bは、ネットワークに付与されるパラメータを示している。
(i)物理エレメントのパラメータ
図5Aに示されるように、物理エレメントのパラメータは、演算性能と、RAM量と、ROM量と、対応安全度と、コストと、多重度と、故障率と、診断率と、物理依存性と、を含む。これらのパラメータのうち、演算性能(MHz:プロセッサの性能)、RAM量(KB:容量)、ROM量(KB:容量)、及びコスト(yen:ECUやプロセッサの価格)は、ECUまたはプロセッサの持つパラメータを有するアーキテクチャを定量評価する際に使用される。
対応安全度は、安全性関連のパラメータであり、ハードウェア(ECU)として対応可能な安全レベルを示す情報である。対応安全度はISO26262で規定されており、例えばASIL(Automotive Safety Integrity Level)やQM(Quality Management)などが該当する。
多重度は、ECUが有する系統数を示す情報である。例えば、ECUが2重系統を有し、1系統の故障に対応可能な場合には多重度は2(多重度の数)とされる。
故障率は、物理エレメント(ECUやプロセッサ)が動作させ続けたときに故障が一回発生する時間(Failure in time)を示す情報であり、安全検証に使用される。
診断率は、物理エレメントで有する機能(例えばマイコン診断など)の診断のカバレッジを示している。これは、例えば、診断率が99%であれば、99%の故障には対応できるが残り1%には対応できないことを示している。どの故障に対応できないかは設計時に分かっていることもある。
物理依存性は、該当する物理エレメントがどのハードウェアに依存しているか(例えば、ECUが別のECUと同じ電源につながっている場合)を示す情報である。
なお、図4に示されるように、ECUの内部にマイコン(プロセッサ)が配置されている場合、検証の際にはECU、プロセッサのいずれかにパラメータが付与されており、そのどちらかのパラメータを使用する。このようにECUとマイコンの双方にパラメータが付与されている場合には、安全性を考慮し、より悪い結果を出力するパラメータ(例えばASILとして低い値)を検証に使用する。これにより、誤って高い検証結果を出すことがなくなり、全体としての安全性を確保することが可能となる。
また、ここで、故障率及び診断率は、全ての故障モードに対して同じパラメータの例を記載しているが、各エレメントの故障モードごとに異なるパラメータとしても良い。このようにすることにより、故障モードに応じた故障率・診断率による検証および評価が可能になり、より詳細な定量評価、検証が可能となる。
(ii)ネットワークのパラメータ
図5Bに示されるように、ネットワークは、通信速度(bps)、コスト(yen:ネットワークケーブルの価格)、及び多重度(通信線の冗長度)のパラメータを有する。
<論理アーキテクチャ>
図6は、車両制御システム(例えば、第1の車両制御システム2)の論理アーキテクチャ601の構成例を示す図である。
車両制御システムの論理アーキテクチャ601は、例えば、統合認識部602と、自動運転制御部603と、ユーザ入力部604と、出力管理部605と、通知管理部606と、異常検出部607と、切替部608と、運動制御部609と、安全制御部610と、を備えている。
統合認識部602は、複数の認識装置6、及び通信装置3から送信されてくる外界認識情報を統合した外界認識マップを作成する処理を実行する。
自動運転制御部603は、統合認識部602により生成された外界認識マップ、及びユーザ入力部604から入力されたユーザ入力に基づいて、自動運転制御情報(軌道等)を生成し、異常検出部607、及び切替部608に出力する。また、自動運転制御部603は、出力管理部605に出力指示を行い、また、通知管理部606に通知指示を行う。出力管理部605は、自動運転制御部603および異常検出部607の出力に応じて出力装置7への出力指示を行う。通知管理部606は、自動運転制御部603および異常検出部607の出力に応じて通知装置9への通知指示を行う。
ユーザ入力部604は、入力装置8からの入力に従い、ユーザの指示情報を生成する。
異常検出部607は、自動運転制御部603からの自動運転制御情報等または図示しない各部からの所定情報に基づいて異常を検出し、異常検出結果を切替部608、安全制御部610、出力管理部605、及び通知管理部606に出力する。
切替部608は、異常検出部607の異常検出結果等により、運動制御部609に対する出力を自動運転制御部603からの入力、ユーザ入力部604からの入力、または安全制御部610の入力に切替える。具体的には、異常検出部607によって異常が検出されると、自動運転制御部603からの通常制御系統(主制御系統ともいう:602→603→608→609)から異常時制御系統(安全制御系統ともいう:602→610→608→609)に切り替えられる。
運動制御部609は、切替部608から提供される軌道情報または運動制御情報、認識装置6から取得する車両システム1の状態、及び駆動装置5からの応答に従って、複数の駆動装置5に対して制御を行う。
安全制御部610は、異常検出の通知を受けた場合の制御を実施する。安全制御部610は、自動運転制御部603の縮退機能を有しており、緊急時(異常検出時)に自動運転制御部603の機能の一部を代替的に実行できるように構成されている。
図6の例では、通常時に主要な制御を行う機能を主機能と呼び、異常の検出および異常発生後に主要な制御を行う機能を安全機能と呼ぶ。主機能には、統合認識部602、自動運転制御部603、ユーザ入力部604、出力管理部605、通知管理部606、及び運動制御部609が該当する。また、安全機能には、異常検出部607、切替部608、及び安全制御部610が該当する。
<論理アーキテクチャのパラメータ>
図7は、論理アーキテクチャ601のパラメータ例を示す図である。図7Aは、主機能に付与されるパラメータを示している。図7Bは、安全機能に付与されるパラメータを示している。図7Cは、論理接続に対するパラメータを示している。
(i)主機能のパラメータ
主機能のパラメータは、論理機能のタイプと、演算量と、消費RAMと、消費ROMとを含む。
論理機能のタイプは、論理機能の種別を示す情報であり、主機能・安全機能の判定に使用される。ここでは「主機能」が入力される。
演算量(MHz)は、該当する機能を実行するために必要とされるECU或いはプロセッサの性能を示す情報である。消費RAM(KB)は、該当する機能を実行するために必要とされるRAMの消費量を示す情報である。消費ROM(KB)は、該当する機能を実行するために必要とされるROMの消費量を示す情報である。
演算量、消費RAM、及び消費ROMは、主にアーキテクチャの定量評価を行う際に使用される。
(ii)安全機能のパラメータ
安全機能のパラメータは、論理機能のタイプと、安全機能のタイプと、安全制御モードと、演算量と、消費RAMと、消費ROMと、要求安全度と、検出対象と、検出故障モードと、検出率と、独立性要求と、を含む。
論理機能のタイプは、論理機能の種別を示す情報であり、主機能・安全機能の判定に使用される。ここでは「安全機能」が入力される。演算量(MHz)は、該当する機能を実行するために必要とされるECU或いはプロセッサの性能を示す情報である。消費RAM(KB)は、該当する機能を実行するために必要とされるRAMの消費量を示す情報である。消費ROM(KB)は、該当する機能を実行するために必要とされるROMの消費量を示す情報である。演算量、消費RAM、及び消費ROMは、主にアーキテクチャの定量評価を実行する際に使用される。当該論理機能のタイプ、演算量、消費RAM、及び消費ROMは、主機能と同様にアーキテクチャの定評評価を行う際に使用される。
安全機能のタイプは、該当する安全機能の種別を示す情報であり、後述する安全機能連携の判断に使用される。例えば、安全機能のタイプは、検出・制御・切替のどの機能に該当するかを示す。
安全制御モードは、該当する安全機能が実現すべき安全制御にどのような内容が要求されているかを示す情報である。例えば、機能停止、機能継続などの情報が付与される。また、安全制御モードには、要求される多重度の情報も含まれる。
要求安全度は、該当する安全機能に要求される安全度を示す情報である。例えば、QMやASILが付与され、該当する安全度での安全機能の実行が物理アーキテクチャ上で要求される。
検出対象は、該当する安全機能がイベント(例えば、異常)を検出すべき対象となる論理機能を示す情報である。例えば、該当する機能が異常検出部607であるとき、検出対象は統合認識部602及び自動運転制御部603となる。
検出故障モードは、複数の故障モード(例えば、故障時は停止、故障時は偽値出力、故障時は遅れて値を出力等)のうち該当する論理機能がどの故障モードに対応するかを示す情報である。
検出率は、物理エレメントの「診断率」と同様、該当する安全機能においてどの程度の故障や誤りを検出することができるかを示す情報である。例えば、検出率99%である場合、99%の故障・誤りは検出できるが、残り1%の故障・誤りは検出できないことを意味している。
独立性要求は、該当する安全機能について、故障発生時に同時に故障するべきではない論理機能名を示す情報である。独立性要求は、例えば、安全機能と主機能が同時に故障し、結果として安全制御が不可能となる、共通原因故障や従属故障といった設計を防ぐためのパラメータとなっている。
(iii)論理接続のパラメータ
論理接続に対するパラメータは、該当する通信路の通信量を含む。当該通信量は、アーキテクチャを定量評価する際に使用される。
(iv)以上説明したパラメータについては、アーキテクチャ設計時に必須の組み合わせがある。従って、必須のパラメータが付与されていない場合には、アーキテクチャ検証時にNGとして判断する必要がある。例えば、安全機能のタイプが「検出」であるにも拘らず、検出対象、検出故障モード、及び検出率等のパラメータが付与されていない場合には安全性検証時にNGが出力される。
<機能配置例>
図8は、論理アーキテクチャが物理アーキテクチャに配置された場合の構成例を示す図である。
機能配置部101は、与えられた論理アーキテクチャ601(図6参照)を、与えられた物理アーキテクチャ20(図3参照)上に配置する。これにより、どの論理機能の処理がどの物理エレメント(ECU、マイコン)上で実行され、ネットワークでの通信にどのような内容が実施されるかが決定される。
図8の配置例では、互いに関連性が強い論理機能が同一のECUに配置される。例えば、主機能である、統合認識部602と自動運転制御部603、及びユーザ入力部604と出力管理部605がそれぞれ同一のECUに配置される。安全機能である異常検出部607と安全制御部610が同一のECUに配置される。また、安全機能である切替部608と主機能である運動制御部609が同一のECUに配置される。
なお、論理機能間で、ネットワークで複数の経路がある場合には、例えばその中で最小のコスト(通信帯域、ホップ数)となる経路を選択するなどして効率の良い通信を実施することが好ましい。
<安全分析情報>
図9は、安全分析情報として用いることができるFTA(Fault Tree Analysis)の例を示す図である。FTA900は、ツリー状の構造を表しており、トップイベント(トップ事象)901と、それぞれの葉となるイベント903と、分岐のゲート902と、を含んでいる。
トップイベント(ツリーの最上部の事象)は、ハザードイベント(危険な事象)とされ、ANDやORのゲートで下位の事象と連結され、トップイベントの発生原因となる下位イベントに分解される。ORのゲートは、どちらかの事象が発生した場合に上位の事象が発生することを意味し、ANDのゲートは両方の事象が発生した場合にのみ上位の事象が発生することを意味する。このようにして最上位のハザードを発生させるイベントの関係性を明確化することができる。
<イベント及びゲートのパラメータ>
図10は、各イベントおよび各ゲートに付与するパラメータの例を示す図である。図10Aは、各イベントに付与するパラメータを示している。図10Bは、各ゲートに付与するパラメータを示している。
(i)イベントのパラメータ
イベントのパラメータは、該当するイベントの上位に位置するイベント(上位イベント)又はゲート(上位ゲート)と、イベント種別(中間イベントか基本イベントか)と、故障機能と、故障モードと、を構成項目として有している。故障機能と故障モードの組み合わせでイベントの内容が表わされている。故障機能と故障モードについては、基本事象だけでなく、中間事象にも記載する。そのようにすることにより、例えばコンポーネントの故障だけでなくシステムレベルでの故障についても記載可能である。
なお、故障機能に関しては、論理機能の内容を示すテーブル(図示せず)が別途用意されており、当該テーブルを参照することにより各論理機能の内容を把握することができるようになっている。
(ii)ゲートのパラメータ
ゲートのパラメータは、各ゲートの上位に位置するイベントまたはゲートと、ゲートの種別(ORまたはAND)と、を構成項目として有している。
(iii)以上のパラメータにより、いずれかのイベント(論理機能の故障)が発生した場合に、どのような条件でハザードが発生するかを表現することが可能になる。
<安全性検証処理>
図11は、第1の実施形態による安全性検証処理の概要を説明するためのフローチャートである。以下では、プログラムとしての安全性検証部102を動作主体として処理概要について説明するが、プログラムは車両制御システム検証装置100のプロセッサによって読み込まれ、実行されるものであるので、安全性検証部102を「プロセッサ」と読み替えることも可能である。
(i)ステップ1101
安全性検証部102は、まず、機能配置後のアーキテクチャについて安全要件検証処理を実行する。安全要件検証処理の詳細については後述する(図12参照)。
(ii)ステップ1102
安全性検証部102は、安全要件の検証結果がOKの場合には(S1102でyes)、処理をステップ1103に移行させ、安全要件の検証結果がNGの場合には(S1102でno)、処理をステップ1104に移行させる。
(iii)ステップ1103
安全性検証部102は、安全性検証結果としてOKを出力して処理を終了する。
(iv)ステップ1104
安全性検証部102は、NG結果とその理由、及び何れの安全要件の検証がNGであったかを出力する。このようにして安全要件の検証が実施される。
<安全要件検証処理>
図12は、安全要件検証処理(ステップ1102)の詳細を説明するためのフローチャートである。
(i)ステップ1201
安全要件検証処理において、安全性検証部102は、安全分析情報900の全てのイベントについてステップ1202〜ステップ1205の処理を繰り返す。
(ii)ステップ1202
安全性検証部102は、それぞれのイベントについて、対応する安全機能がアーキテクチャ上に存在しているかを確認する。具体的には、該当する(処理対象の)イベント(例えば、ET3)の故障機能(例えば、図10の論理機能1)のパラメータが、対応する安全機能における検出故障モードと検出対象に存在するかチェックされる。対応する安全機能がある場合(ステップ1202でyesの場合)、処理はステップ1203に移行する。対応する安全機能がない場合(ステップ1202でnoの場合)、処理はステップ1205に移行する。
(iii)ステップ1203
安全性検証部102は、物理アーキテクチャ20における、該当する安全機能の配置先において、安全度及び多重度の要件を満たしているか判定する。
安全度の場合には、該当する安全機能のパラメータである要求安全度の値が、配置先の物理エレメントの対応安全度より小さいか、または等しい場合にはOKと判定される。具体的には、安全機能の要求安全度がASIL−Cの場合、配置先の物理エレメントの対応安全度がASIL−Cかそれ以上(ASIL−D等)の場合にOKと判定される。
多重度の場合には、該当する安全機能のパラメータである安全制御モードに含まれる要求多重度の値が、配置先の物理エレメントの多重度より小さいまたは等しい場合にはOKと判定される。具体的には、安全機能の要求多重度が2の場合、配置先の物理エレメントの多重度が2以上の場合にOKと判定される。
配置先の安全度及び多重度がOKの場合(ステップ1203でyesの場合)、処理はステップ1204に移行する。配置先の安全度及び多重度がNGの場合(ステップ1203でnoの場合)、処理はステップ1205に移行する。
(iv)ステップ1204
安全性検証部102は、該当するイベントの内容をOKとする。
(v)ステップ1205
安全性検証部102は、該当するイベントの内容をNGとする。
(vi)ステップ1206
安全性検証部102は、次のイベントについて処理を行う。全てのイベントについて処理が完了した後、処理はステップ1207に移行する。
(vii)ステップ1207
安全性検証部102は、ステップ1201〜ステップ1206の処理結果をFTAのツリーに適用して安全要件検証の判定を行う。具体的には、安全性検証部102は、FTAの各イベントについて、上記各イベントのOK及びNGの結果をFTAに入力し、FTAのツリーに従って判定を行う。つまり、各イベントから上部にOK、NGを辿り、各ゲートでの判定をAND、ORとして判定し、最上位のイベントが発生するかを判定する。ここでは、安全性検証部102は、NGをT(True)、OKをF(False)とし、AND条件及びOR条件で判定を行い、トップイベント(トップ事象)がFalseの場合にはOKを返し、Trueの場合にはNGを返す。このようにして全体での安全要件の検証が行われる。
なお、NGの場合には、記録されたNGイベントの全てを返すようにする。これにより、車両制御システム検証装置100は、ユーザに対して不備のあった安全要件を提示することが可能になる。
(viii)変形例
ステップ1203においては、配置先の検証処理では安全度の判定だけを実施しても良い。多重度は別途安全機能連携の検証でも実施するため、ステップ1203では省略可能である。これにより、演算量の削減が可能となる。
また、ステップ1207においては、FTAツリーでの判定を行わず、いずれかのイベントでNGがあった場合に、その結果を基に安全要件検証をNGと判定し、安全要件検証処理を終了しても良い。全ての安全要件には安全機能が対応すべきとして判定することにより、FTAツリーの演算を行わず、処理時間を短縮することが可能となる。
<アーキテクチャ定量評価>
アーキテクチャ定量評価部103は、機能配置済みのアーキテクチャで安全性検証結果がOKと判定されたアーキテクチャの定量評価を行う。定量評価は、例えば、物理エレメント上の論理機能の使用率の算出、通信の占有率の算出、及び物理エレメントのコストの算出することにより実現することができる。物理エレメント上の論理機能の使用率は、物理アーキテクチャ20の物理エレメントに配置された複数の論理機能について、演算量、消費RAM、及び消費ROMのそれぞれについて合計値を算出し、物理エレメント上での使用率を計算することにより算出することができる。また、通信の占有率は、ネットワーク上の各論理機能による通信の使用量を合計し、占有率を計算することにより算出することができる。さらに、物理エレメントのコストは、物理アーキテクチャ全体で使用している物理エレメント、つまり論理機能が1つ以上配置されている物理エレメントについてのコストを合計することにより算出することができる。
これらの計算により、安全性が検証されたアーキテクチャの定量評価が可能となる。なお、安全性が検証済みのアーキテクチャのみを定量評価するようにしても良い。これにより、安全性を満たさない不要なアーキテクチャ評価時間を削減することが可能となる。
(2)第2の実施形態
第2の実施形態は、安全性の定量的評価に基づく検証および評価の別形態について開示する。具体的には、第1の実施形態における安全要件検証(ステップ1101)、または上述のアーキテクチャ定量評価で実行される、別形態の処理(安全性定量評価処理:トップイベント発生確率算出処理と呼ぶことも可能)について説明する。
<安全性定量評価処理(トップイベント発生確率算出処理)の概要>
図13は、第2の実施形態による安全性定量評価処理の概要を示す図である。当該処理は、トップイベントが発生する確率を算出処理に相当する。
FTAを構成する複数のイベントのうち1つを選択し、当該イベントに対応する論理機能の検出対象(図7参照)とイベントに対応する論理機能の故障機能及び故障モード(図10参照)とから、主機能及び安全機能が特定される。
特定された主機能に対応する物理エレメントの故障率(図5参照)、及び主機能の故障を検出する安全機能の検出率(図7参照)が取得される。
次に、取得された故障率及び検出率から残存故障率(検出できない故障の割合)が算出される。
そして、ツリーの条件に合わせて各イベントの残存故障率を積算し、トップイベントの発生確率が算出される。
<安全性定量評価処理(トップイベント発生確率算出処理)の詳細>
図14は、第2の実施形態による安全性定量評価処理の詳細を説明するためのフローチャートである。アーキテクチャ定量評価部103は、以下の手順に従って、該当するハザード(トップイベント)の発生確率(残存故障率)を計算する。ここでは、プログラムとしてのアーキテクチャ定量評価部103を動作主体として処理内容を説明するが、プログラムは車両制御システム検証装置100のプロセッサによって読み込まれ、実行されるものであるので、アーキテクチャ定量評価部103を「プロセッサ」と読み替えることも可能である。
(i)ステップ1401及び1406
アーキテクチャ定量評価部103は、安全分析情報(FTA)の全てのイベントについてステップ1402〜ステップ1405の処理を繰り返す。
(ii)ステップ1402
アーキテクチャ定量評価部103は、処理対象のイベントについて、該当する主機能と安全機能を探索する。主機能については、イベントに対応する論理機能(安全機能)の検出対象に検出(監視と言い換えることができる)の対象となる論理機能(主機能)が記載されているので、この情報が抽出される(図13の例では主機能A)。
安全機能については、処理対象のイベントの故障機能と故障モード(図10参照)から、対応する安全機能(ここでは安全機能A)が特定される。
(iii)ステップ1403
アーキテクチャ定量評価部103は、該当する故障モードに対応する故障率であって、主機能Aが配置されているECUまたはマイコン(ここではECU2)のパラメータに記載される故障率(図5参照)を取得する。
(iv)ステップ1404
アーキテクチャ定量評価部103は、探索した安全機能(安全機能A)の検出率を当該安全機能のパラメータ(図7参照)から取得する。
(v)ステップ1405
アーキテクチャ定量評価部103は、取得した故障率及び検出率を(式1)に適用して処理対象のイベントの残存故障率を計算する。
残存故障率=故障率×(1−検出率)・・・(式1)
ここでは、検出された故障は確実に処理されるものとして計算している。なお、該当する安全機能が無かった場合には、検出率を0として計算される。
(vi)ステップ1407
アーキテクチャ定量評価部103は、全てのイベントの残存故障率を計算した後、トップイベントの発生確率をFTAツリーの構造に従って計算する。ここでは、各イベントの残存故障率を算出した後に、ANDまたはORゲートの演算に従ってトップイベントの発生確率が計算される。また、ここでは、全ての事象を独立と考え、ORゲートではそれぞれのイベントの残存故障率を加算し、ANDゲートではそれぞれのイベントの残存故障率の掛け算により上位のイベントの発生率が計算される。このようにして安全性の定量評価が実施される。
なお、安全性定量評価の実施を安全要件検証処理(ステップ1101)で実行する場合には、例えば、ハザードの残存故障率を、ハザードごとの要求値(例えばASIL−Dで10FIT等)と比較し、その値以下であることから検証OKと判断する。
(3)第3の実施形態
第3の実施形態は、安全性検証処理において、安全機能連携を検証する処理(安全機能連携検証処理)を実行することについて開示する。第1の実施形態との差異は、図11の安全性検証処理に安全機能連携検証処理がさらに実行される点である。以下、第3の実施形態による安全性検証処理について説明する。
<安全性検証処理の概要>
図15は、第3の実施形態による安全性検証処理の概要を説明するためのフローチャートである。図15に示されるように、第1の実施形態による安全性検証処理(図11:ステップ1101〜ステップ1104)にステップ1501及びステップ1502が追加されている。以下、追加された処理についてのみ説明する。
(i)ステップ1501
安全性検証部102は、論理機能を配置した後の物理アーキテクチャにおける安全機能の連携について検証する。当該処理の詳細については後述する(図16参照)。
(ii)ステップ1502
安全性検証部102は、ステップ1501の処理の結果、安全機能連携の検証結果がOKであったか否か判定する。所望の安全機能連携が行われている場合(ステップ1502でyesの場合)、処理はステップ1103に移行する。所望の安全機能連携が行われていない場合(ステップ1502でnoの場合)、処理はステップ1104に移行する。
<安全機能連携検証処理の詳細>
図16は、安全機能連携検証処理(ステップ1501)の詳細を説明するためのフローチャートである。以下では、プログラムとしての安全性検証部102を動作主体として安全機能連携検証処理について説明するが、プログラムは車両制御システム検証装置100のプロセッサによって読み込まれ、実行されるものであるので、安全性検証部102を「プロセッサ」と読み替えることも可能である。
(i)ステップ1601
安全機能連携検証処理は、論理アーキテクチャの全ての安全機能について実行されるため、安全性検証部102は、最初に該当する安全機能のパラメータから安全制御モードを取得する。安全制御モードには機能継続や安全停止等が含まれ、該当する安全機能に対応してその情報が取得される。
(ii)ステップ1602
安全性検証部102は、安全制御モードに合わせ、安全機能の連携が正しく行われているかについて、論理機能をチェックする。ここで、論理機能のチェックとは、取得した安全制御モードに対応した論理機能の連携が行われているか、安全制御モデル(図7参照)と安全機能の連携を比較することを意味する。図17は、安全制御モデルの例を示す図である。図17Aは、安全制御モードの「安全停止」に対応した安全制御モデルの例を示している。図17Bは、安全制御モードの「機能継続」に対応した安全制御モデルの例を示している。図17中「S」はSensorを示し、「A」はActuatorを示す。
図17Aの「安全停止」に対応した安全制御モデルでは、パラメータの安全機能タイプ(図7参照)で「検出」機能を持つ安全機能(安全機能A)が、パラメータの検出対象(図7参照)で指定されている主機能A、B、Cと連結されている。また、主機能Cの出力が安全機能タイプ(図7参照)で「切替」機能を持つ安全機能(安全機能B)へと入力されている。安全制御モードで「安全停止」が指定されている場合にはこのような連携が必要となるため、安全性検証部102は、このような連携が論理アーキテクチャ上で構築されているか否かチェックする。
図17Bの「機能継続」に対応した安全制御モデルでは、パラメータの安全機能タイプ(図7参照)で「検出」機能を持つ安全機能(安全機能A)が、パラメータの検出対象(図7参照)で指定されている主機能A、B、Cと連結されている点は同様である。一方、「機能継続」を行う場合には、「機能継続」のための制御を行う安全機能が必要となり、検出結果の出力が安全機能タイプ(図7参照)で「制御」機能を持つ安全機能(安全機能C)へと入力されている。当該安全機能Cは、「制御」を行うための入力(S)をも有している。そして、当該安全機能(安全機能C)の出力結果が「切替」を行う安全機能(安全機能B)へと入力される。安全制御モードで「機能継続」が指定されている場合にはこのような連携が必要となるため、安全性検証部102は、このような連携が論理アーキテクチャ上で構築されているか否かチェックする。
(iii)ステップ1603
安全性検証部102は、ステップ1602における安全機能連携のチェック結果がOKであるか判定する。チェック結果がNGであった場合(ステップ1603でnoの場合)、処理はステップ1604に移行する。チェック結果がOKであった場合(ステップ1603でyesの場合)、処理はステップ1605に移行する。
(iv)ステップ1604
ステップ1603で論理機能チェックの結果がNGであった場合、安全性検証部102は、該当する安全要件のチェック結果がNGであったこととその理由を出力する。この場合、論理機能チェックNGとなる安全要件、またそこで不足していた論理機能の連携の情報が出力される。
ステップ1606で安全要件のチェック結果がNGであった場合、安全性検証部102は、NG結果とNG理由を出力する。この場合、NG理由には安全度及び/又は多重度が不足していた安全要件と経路の情報が出力される。
(v)ステップ1605
安全性検証部102は、ステップ1603で確認した安全機能の連携について、配置先と経路の安全要件をチェックする。
図18は、安全機能の連携に関する配置先と経路の安全要件のチェック例を示す図である。図18Aは、安全機能Aと安全機能Bが連携しており、その機能の安全度の要求がASIL−Dの例を示している。図18Bは、さらに安全機能の安全制御モードとして機能継続が指定されている場合の評価例を示している。
図18Aの場合、安全性検証部102は、配置先のECU1とECU3、その中間のNW(ネットワーク)1、ECU2、及びNW2についても要求の安全度(ASIL−D)を満たしているか否か確認する。また、多重度についても同様に確認する。このようにして機能連携時の安全要件のチェックが行われる。
図18Bの場合、図18Bに示す通りに各機能が配置されている。安全機能の連携については図18Aの場合と同様に安全度の判定が行われる。また、図18Bの場合、「機能継続」のための機能が追加されている。「機能継続」の場合には主機能と安全機能で独立し、かつ冗長化した経路が必要となる。主機能による経路が故障等によって使えない場合には別の経路で故障した主機能と同様の機能が実現される必要があるからである。そこで、安全性検証部102は、経路探索アルゴリズムにより独立した別の経路があるか検索を行う。独立した経路があり(図18BのECU2→NW2→ECU3→NW6→ECU6と、ECU4→NW4→ECU5→NW5→ECU6の2つの経路)、さらにそれら経路が所定の安全度を満たしている場合には、安全要件のチェックをOKと判定する。なお、上記では「別の経路」と記したが、完全に別の経路が存在する場合だけでなく、ネットワークやECUが冗長化(内部で多重化)されている構成でも良い。その場合には経路での物理エレメントの多重度が要求されている多重度を超えているか否かで判定することができる。
(vi)ステップ1606
安全性検証部102は、ステップ1605で得られた安全機能連携の安全要件チェック結果がOKか否か判断する。安全要件チェック結果がNGであった場合(ステップ1606でnoの場合)、処理はステップ1604に移行する。安全要件チェック結果がOKであった場合(ステップ1606でyesの場合)、処理はステップ1607に移行する。
(vii)ステップ1607
安全性検証部102は、OK結果(安全機能連携の安全要件チェックの結果がOKであること)を出力する。
(4)第4の実施形態
第4の実施形態は、車両制御システムの安全性検証を車両制御システム内で実行するための構成について開示する。
<車両制御システム構成>
図19は、第4の実施形態による車両制御システムの構成(物理アーキテクチャ)例を示す図である。図19では、図1に示す車両制御システム検証装置100がECU302に配置され、与えられるFTAに基づいて安全性検証処理が車両制御システム内で実行される。第1乃至第3の実施形態では、主に設計時に安全性検証処理が実行されるが、第4の実施形態では、車両制御システム検証装置100が車両制御システム内に実装されているため、例えば、制御プログラムを書き換えたようなときに安全性検証処理を実行することが可能となる。
第4の実施形態において、車両制御システム検証装置100は、ネットワークリンク301を通じてアーキテクチャ情報を収集する。
<アーキテクチャ構成情報>
図20は、第4の実施形態において車両制御システム検証装置100が受信するアーキテクチャ構成情報の例を示す図である。図20Aは、物理アーキテクチャ構成情報を示している。図20Bは、論理アーキテクチャ構成情報を示している。
物理アーキテクチャ構成情報(図20A)は、各物理エレメント名(ECU、マイコン)と、該当する物理エレメントと接続しているネットワーク名と、物理エレメントの各種パラメータ(図5参照)と、を構成項目として含んでいる。当該物理アーキテクチャ情報は、車両制御システム検証装置100が、複数のECUから、それぞれが所有している情報を収集することによって構築される。
論理アーキテクチャ構成情報(図20B)は、各論理機能名(ID)と、配置されている物理エレメント名(配置場所)と、論理アーキテクチャのパラメータ(図7参照)と、を構成項目として含んでいる。当該論理アーキテクチャ情報も、車両制御システム検証装置100が、複数のECUから、それぞれが所有している情報を収集することによって構築される。
車両制御システム検証装置100は、物理アーキテクチャ構成情報及び論理アーキテクチャ情報以外に、ECU302やネットワークリンク301に予め保持された安全分析情報を収集する。そして、車両制御システム検証装置100は、車両制御システム検証及び安全性検証の処理を実行し、ネットワーク等に検証結果を出力する。これにより、車両制御システムの状態について常に安全性の検証を実施することが可能となる。
ネットワークで取得される、物理アーキテクチャ構成情報、論理アーキテクチャ構成情報、及び安全分析情報については、全ての情報を取得する必要は無く、差分だけを受信し、車両制御システム検証装置100が差分の更新のみを行い判定をしても良い。そのようにすることにより、通信量を削減することが可能となる。
(5)まとめ
(i)本開示の車両制御システム検証装置は、与えられる安全分析結果の情報に基づいて、車両制御システムの論理アーキテクチャが安全分析結果に対応する論理機能(安全機能)を有するか否かを検証する。このようにすることにより、車両制御システムのアーキテクチャの安全性を網羅的に(一部ではなく)検証することができるようになる。上記論理アーキテクチャは安全分析結果(FTA)の情報に基づいて構築されたものであっても良い。これにより、安全分析結果の要件を充足するように設定したアーキテクチャが本当に安全分析結果に対応できるか検証することができるようになる。さらに、車両制御システム検証装置は、論理アーキテクチャが配置される物理アーキテクチャが論理アーキテクチャで要求される安全度及び多重度を満足するか否かを検証する。これにより、論理アーキテクチャ上での安全性を検証できるだけでなく、物理アーキテクチャ上での安全性を検証することができるようになる。また、例えば、安全分析結果がFTAであるとき、FTAにおける複数のイベントに対応する論理アーキテクチャの安全性検証の結果と物理アーキテクチャの安全性検証の結果とをFTAに当てはめたときにトップイベントが発生するか否かを判定することにより、設計されたアーキテクチャが適切であるか否か効果的に評価することができるようになる。
また、本開示の車両制御システム検証装置は、物理アーキテクチャ(例えば、複数の物理エレメントとネットワークを含む)を定量評価する。具体的には、論理アーキテクチャを物理エレメントに配置したときの、複数の物理エレメントの使用率と、ネットワークの占有率を算出することにより、物理アーキテクチャの定量評価を行うことができる。
(ii)定量評価の別の形態として、本開示の車両制御システム検証装置は、FTAの複数のイベントのそれぞれについて、論理アーキテクチャにおける、各イベントに対応する論理アーキテクチャの論理機能の残存故障率を、当該論理機能のパラメータである故障率と検出率とから算出し、当該各イベントに対応する論理機能の残存故障率をFTAに適用してトップイベントの残存故障率を算出する。このようにすることにより、安全機能が適切であった場合であってもトップイベント(例えば、危険性のある故障)が発生してしまう確率を提供することが可能となる。そして、この結果に基づいて、さらなるアーキテクチャの改良(故障率を下げたり、検出率を上げたりする)が必要であるか考察することが可能となる。
(iii)本開示の車両制御システム検証装置は、異常発生時に論理アーキテクチャが実現すべき制御内容を示す安全制御モードに対応して各論理機能が連携動作するか否かチェックする。例えば、安全制御モードが安全停止である場合には、異常を検出する機能を有する安全機能と、異常を検出する対象の主機能と、切替機能を有する安全機能とが連携して動作するか否かチェックされる。また、安全制御モードが機能継続である場合には、異常を検出する機能を有する安全機能と、異常を検出する対象の主機能と、代替制御を行う機能を有する安全機能と、切替機能を有する安全機能とが連携して動作するか否かチェックされる。このようにすることにより、アーキテクチャにおける安全機能の連携について検証することができるようになる。また、各安全制御モードの種類に応じた機能連携について検証することができるようになる。
(iv)本開示の車両制御システム検証装置は、車両制御システムの物理アーキテクチャ内に配置することも可能である。この場合、車両制御システム検証装置は、外部から入力される、車両制御システムの論理アーキテクチャ及び物理アーキテクチャの情報と安全分析結果の情報を取得し、これらに基づいて、アーキテクチャの安全性について検証する。例えば、論理アーキテクチャについては、それが安全分析結果(FTA)に対応する論理機能(安全機能)を有するか否か検証される。物理アーキテクチャについても、要求される安全度及び多重度が充足されるか検証される。このように車両制御システム内に当該車両制御システム検証装置を実装することにより、例えば、制御プログラムを書き換えたような場合にも車両制御システムの安全性を検証することができるようになる。
(v)本開示の実施形態は、その機能を実現するソフトウェアのプログラムコードによっても実現できる。この場合、プログラムコードを記録した記憶媒体をシステム或は装置に提供し、そのシステム或は装置のコンピュータ(又はCPUやMPU)が記憶媒体に格納されたプログラムコードを読み出す。この場合、記憶媒体から読み出されたプログラムコード自体が前述した実施形態の機能を実現することになり、そのプログラムコード自体、及びそれを記憶した記憶媒体は本発明を構成することになる。このようなプログラムコードを供給するための記憶媒体としては、例えば、フレキシブルディスク、CD−ROM、DVD−ROM、ハードディスク、光ディスク、光磁気ディスク、CD−R、磁気テープ、不揮発性のメモリカード、ROMなどが用いられる。
また、プログラムコードの指示に基づき、コンピュータ上で稼動しているOS(オペレーティングシステム)などが実際の処理の一部又は全部を行い、その処理によって前述した実施の形態の機能が実現されるようにしてもよい。さらに、記憶媒体から読み出されたプログラムコードが、コンピュータ上のメモリに書きこまれた後、そのプログラムコードの指示に基づき、コンピュータのCPUなどが実際の処理の一部又は全部を行い、その処理によって前述した実施の形態の機能が実現されるようにしてもよい。
さらに、実施の形態の機能を実現するソフトウェアのプログラムコードを、ネットワークを介して配信することにより、それをシステム又は装置のハードディスクやメモリ等の記憶手段又はCD−RW、CD−R等の記憶媒体に格納し、使用時にそのシステム又は装置のコンピュータ(又はCPUやMPU)が当該記憶手段や当該記憶媒体に格納されたプログラムコードを読み出して実行するようにしても良い。
最後に、ここで述べたプロセス及び技術は本質的に如何なる特定の装置に関連することはなく、コンポーネントの如何なる相応しい組み合わせによってでも実装できることを理解する必要がある。更に、汎用目的の多様なタイプのデバイスがここで記述した教授に従って使用可能である。ここで述べた方法のステップを実行するのに、専用の装置を構築するのが有益であることが判るかもしれない。また、実施形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態にわたる構成要素を適宜組み合わせてもよい。本開示は、具体例に関連して記述したが、これらは、すべての観点に於いて限定の為ではなく説明の為である。本分野にスキルのある者には、本開示を実施するのに相応しいハードウェア、ソフトウェア、及びファームウエアの多数の組み合わせがあることが解るであろう。例えば、記述したソフトウェアは、アセンブラ、C/C++、perl、Shell、PHP、Java(登録商標)等の広範囲のプログラム又はスクリプト言語で実装できる。
さらに、上述の実施形態において、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。全ての構成が相互に接続されていても良い。
加えて、本技術分野の通常の知識を有する者には、本開示のその他の実装がここに開示された本開示の明細書及び実施形態の考察から明らかになる。記述された実施形態の多様な態様及び/又はコンポーネントは、単独又は如何なる組み合わせでも使用することが出来る。明細書と具体例は典型的なものに過ぎず、本開示の範囲と着想は後続する特許請求範囲で示される。
1 車両システム
2 車両制御システム
3 通信装置
4 車両制御システム
5 駆動装置
6 認識装置
7 出力装置
8 入力装置
9 通知装置
20 物理アーキテクチャ
100 車両制御システム検証装置
101 機能配置部
102 安全性検証部、
103 アーキテクチャ定量評価部
300 物理アーキテクチャ
301 ネットワークリンク
302 ECU
401 プロセッサ
402 I/Oデバイス
403 タイマ
404 ROM
405 RAM
406 内部バス
601 論理アーキテクチャ
602 統合認識部
603 自動運転制御部
604 ユーザ入力部
605 出力管理部
606 通知管理部
607 異常検出部
608 切替部
609 運動制御部
610 安全制御部
900 安全分析情報
901 トップイベント
902 ゲート
903 イベント

Claims (10)

  1. 車両制御システムの論理アーキテクチャの安全性を検証するためのプログラムを格納する記憶デバイスと、
    前記記憶デバイスから前記プログラムを読み込み、前記論理アーキテクチャの安全性を検証するプロセッサと、を備え、
    前記論理アーキテクチャの論理機能は、前記車両制御システムにおいて所定の機能を実現するための主機能と、前記車両制御システムの異常に対応するための安全機能と、によって構成され、
    前記論理アーキテクチャは、前記車両制御システムの物理アーキテクチャに配置され、
    前記プロセッサは、与えられる安全分析結果の情報に基づいて、前記論理アーキテクチャが前記安全分析結果に対応する論理機能を有するか否かを検証する第1の検証処理を実行し、
    前記プロセッサは、さらに、前記主機能に対応する物理アーキテクチャの故障率及び、主機能の故障を検出する安全機能の検出率により算出されたイベントの発生率に基づき安全要件の定量評価を行う第2の検証処理を実行する、車両制御システム検証装置。
  2. 請求項1において、
    前記論理アーキテクチャは、前記安全分析結果の情報に基づいて構築されたものである、車両制御システム検証装置。
  3. 請求項2において、
    前記安全分析結果の情報は、複数のイベントの発生と最終結果であるトップイベントの発生との関係をツリー構造で表すFTAであり、
    前記プロセッサは、さらに、
    前記FTAにおける前記複数のイベントに対応する前記第1の検証処理の結果と前記第2の検証処理の結果とを前記FTAに当てはめたときに前記トップイベントが発生するか否かを判定する処理と、
    前記判定する処理の結果を出力する処理と、
    を実行する、車両制御システム検証装置。
  4. 請求項3において、
    前記判定する処理の結果が前記トップイベントの発生を示す場合、前記プロセッサは、さらに、前記物理アーキテクチャの定量評価を行う処理を実行する、車両制御システム検証装置。
  5. 請求項4において、
    前記物理アーキテクチャは、複数の物理エレメントとネットワークとを含み、
    前記プロセッサは、前記定量評価を行う処理において、前記論理アーキテクチャを前記物理エレメントに配置したときの、前記複数の物理エレメントの使用率と、前記ネットワークの占有率を算出することにより、前記物理アーキテクチャの定量評価を行う、車両制御システム検証装置。
  6. 請求項4において、
    前記プロセッサは、前記定量評価を行う処理において、
    前記複数のイベントのそれぞれについて、前記論理アーキテクチャにおける、各イベントに対応する前記論理アーキテクチャの論理機能の残存故障率を、当該論理機能のパラメータである故障率と検出率とから算出する処理と、
    前記算出された各イベントに対応する論理機能の残存故障率を前記FTAに適用して前記トップイベントの残存故障率を算出する処理と、
    を実行する、車両制御システム検証装置。
  7. 請求項1において、
    前記プロセッサは、さらに、前記車両制御システムの異常発生時に前記論理アーキテクチャが実現すべき制御内容を示す安全制御モードの情報を取得し、前記安全制御モードに対応する、前記論理アーキテクチャの各論理機能が連携して動作するか否かチェックする処理を実行する、車両制御システム検証装置。
  8. 請求項7において、
    前記論理アーキテクチャの論理機能は、前記車両制御システムにおいて所定の機能を実現するための主機能と、前記車両制御システムの異常に対応するための安全機能と、によって構成され、
    前記論理機能の連携動作をチェックするとき、前記安全制御モードが安全停止である場合、前記プロセッサは、異常を検出する機能を有する安全機能と、異常を検出する対象の主機能と、切替機能を有する安全機能との連携が前記論理アーキテクチャにおいて構築されているか否か判定する、車両制御システム検証装置。
  9. 請求項7において、
    前記論理アーキテクチャの論理機能は、前記車両制御システムにおいて所定の機能を実現するための主機能と、前記車両制御システムの異常に対応するための安全機能と、によって構成され、
    前記論理機能の連携動作をチェックするとき、前記安全制御モードが機能継続である場合、前記プロセッサは、異常を検出する機能を有する安全機能と、異常を検出する対象の主機能と、代替制御を行う機能を有する安全機能と、切替機能を有する安全機能との連携が前記論理アーキテクチャにおいて構築されているか否か判定する、車両制御システム検証装置。
  10. 請求項7に記載の車両制御システム検証装置を備え、
    前記車両制御システム検証装置は、前記車両制御システムの物理アーキテクチャを構成する物理エレメントに配置され、
    前記車両制御システム検証装置は、入力される、前記車両制御システムの前記論理アーキテクチャ及び前記物理アーキテクチャの情報と前記安全分析結果の情報とに基づいて、前記論理アーキテクチャが前記安全分析結果に対応する論理機能を有するか否かを検証する、車両制御システム。
JP2016090200A 2016-04-28 2016-04-28 車両制御システム検証装置及び車両制御システム Active JP6864992B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2016090200A JP6864992B2 (ja) 2016-04-28 2016-04-28 車両制御システム検証装置及び車両制御システム
US16/086,666 US11151076B2 (en) 2016-04-28 2017-04-13 Vehicle control system verification device, vehicle control system, and vehicle control system verification method
CN201780011147.2A CN109074299B (zh) 2016-04-28 2017-04-13 车辆控制系统验证装置、车辆控制系统以及车辆控制系统验证方法
EP17789284.1A EP3451174B1 (en) 2016-04-28 2017-04-13 Vehicle control system verification device, vehicle control system, and vehicle control system verification method
PCT/JP2017/015067 WO2017187997A1 (ja) 2016-04-28 2017-04-13 車両制御システム検証装置、車両制御システム、及び車両制御システム検証方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016090200A JP6864992B2 (ja) 2016-04-28 2016-04-28 車両制御システム検証装置及び車両制御システム

Publications (2)

Publication Number Publication Date
JP2017199229A JP2017199229A (ja) 2017-11-02
JP6864992B2 true JP6864992B2 (ja) 2021-04-28

Family

ID=60161666

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016090200A Active JP6864992B2 (ja) 2016-04-28 2016-04-28 車両制御システム検証装置及び車両制御システム

Country Status (5)

Country Link
US (1) US11151076B2 (ja)
EP (1) EP3451174B1 (ja)
JP (1) JP6864992B2 (ja)
CN (1) CN109074299B (ja)
WO (1) WO2017187997A1 (ja)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3279830B1 (en) * 2016-08-02 2020-10-28 Veoneer Sweden AB A vision system and method for a motor vehicle
DE102017010716A1 (de) * 2017-11-10 2019-05-16 Knorr-Bremse Systeme für Nutzfahrzeuge GmbH System zum wenigstens teilautonomen Betrieb eines Kraftfahrzeugs mit doppelter Redundanz
JP6979338B2 (ja) * 2017-11-20 2021-12-15 三菱航空機株式会社 配線構造の安全性評価システム
WO2019208624A1 (ja) * 2018-04-25 2019-10-31 日本電気通信システム株式会社 車載用通信装置、車両内通信システム、通信方法及びプログラム
CN109885870A (zh) * 2019-01-09 2019-06-14 同济大学 一种用于自动驾驶汽车预期功能安全的验证方法及系统
CN111835627B (zh) * 2019-04-23 2022-04-26 华为技术有限公司 车载网关的通信方法、车载网关及智能车辆
CN111246422A (zh) * 2020-01-06 2020-06-05 新石器慧通(北京)科技有限公司 一种车载系统热启动切换方法
CN113377573A (zh) * 2020-03-10 2021-09-10 北京京东乾石科技有限公司 一种自动驾驶车辆的异常处理方法、装置、设备和存储介质
KR20210152125A (ko) * 2020-06-08 2021-12-15 주식회사 만도모빌리티솔루션즈 프로세스 검사 장치 및 방법과, 전자 제어 장치
EP3975455A1 (en) * 2020-09-23 2022-03-30 Bayerische Motoren Werke Aktiengesellschaft Determining correctness of actually received timestamp
CN112462731B (zh) * 2020-10-16 2022-06-24 北京西南交大盛阳科技股份有限公司 安全监督控制方法、安全监督控制装置、计算机设备及安全监督系统
CN112910850A (zh) * 2021-01-16 2021-06-04 浙江吉利控股集团有限公司 一种控制车辆的安全验证方法及系统
EP4087293A1 (en) * 2021-05-06 2022-11-09 Robert Bosch GmbH Methods and devices for radio communication
EP4365815A1 (en) * 2021-06-28 2024-05-08 Denso Corporation Mobile object control system and program
CN115150437B (zh) * 2022-09-01 2022-11-29 国汽智控(北京)科技有限公司 应用于车辆的自动驾驶系统的节点部署方法、装置及设备
CN115694707B (zh) * 2022-12-27 2023-04-11 北京理工大学深圳汽车研究院(电动车辆国家工程实验室深圳研究院) 一种基于业务识别的汽车区系统及实时同步调度方法

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6892317B1 (en) * 1999-12-16 2005-05-10 Xerox Corporation Systems and methods for failure prediction, diagnosis and remediation using data acquisition and feedback for a distributed electronic system
WO2005003972A2 (de) * 2003-06-24 2005-01-13 Robert Bosch Gmbh Verfahren zu überprüfung der sicherheit und zuverlässigkeit softwarebasierter elektronischer systeme
EP1555587B1 (en) 2004-01-13 2011-06-01 Renault S.A.S. Design of safety critical system
ATE545224T1 (de) * 2005-06-28 2012-02-15 Tttech Computertechnik Ag Sicheres herauffahren eines netzwerks
US8286043B2 (en) * 2007-02-16 2012-10-09 Freescale Semiconductor, Inc. System, computer program product and method for testing a logic circuit
US20090012631A1 (en) * 2007-07-03 2009-01-08 Dale Fuller Automation safety life cycle
US8060347B2 (en) * 2008-07-29 2011-11-15 Mentor Graphics Corporation Complexity management for vehicle electrical/electronic architecture design
JP5480033B2 (ja) * 2010-06-23 2014-04-23 行政院原子能委員會核能研究所 原子力発電プラント用コンピュータ支援トップ論理によるリスクの定量的評価方法。
CN102169458A (zh) * 2011-04-18 2011-08-31 华东师范大学 汽车电控部件的软件正确性验证系统及其验证方法
US9058419B2 (en) * 2012-03-14 2015-06-16 GM Global Technology Operations LLC System and method for verifying the integrity of a safety-critical vehicle control system
DE102012215343A1 (de) * 2012-08-29 2014-05-28 Continental Automotive Gmbh Verfahren zum Durchführen einer Sicherheitsfunktion eines Fahrzeugs und System zum Durchführen des Verfahrens
US10180995B2 (en) * 2013-07-15 2019-01-15 The Boeing Company System and method for assessing cumulative effects of a failure
JP6066081B2 (ja) * 2013-09-03 2017-01-25 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation フォールトツリーを生成する装置及び方法
US9195232B1 (en) * 2014-02-05 2015-11-24 Google Inc. Methods and systems for compensating for common failures in fail operational systems
WO2015159549A1 (ja) * 2014-04-16 2015-10-22 日本電気株式会社 可用性分析装置、可用性分析方法、及び、可用性分析プログラムが記録された記録媒体
US10061670B2 (en) * 2015-12-28 2018-08-28 Siemens Aktiengesellschaft Method and apparatus for automatically generating a component fault tree of a safety-critical system

Also Published As

Publication number Publication date
EP3451174A4 (en) 2019-12-18
EP3451174B1 (en) 2022-08-10
CN109074299A (zh) 2018-12-21
CN109074299B (zh) 2021-12-14
US11151076B2 (en) 2021-10-19
US20190108160A1 (en) 2019-04-11
EP3451174A1 (en) 2019-03-06
WO2017187997A1 (ja) 2017-11-02
JP2017199229A (ja) 2017-11-02

Similar Documents

Publication Publication Date Title
JP6864992B2 (ja) 車両制御システム検証装置及び車両制御システム
US10332322B2 (en) Systems and methods for vehicle-to-vehicle communication
CN107757525B (zh) 自主车辆故障模式管理系统及方法
US11861951B2 (en) Driving management system, vehicle, and information processing method
WO2018198547A1 (ja) 車両の電子制御装置
US10459446B2 (en) Autonomous operation verification device and autonomous system
JP4155198B2 (ja) 車両の制御システムの異常検知装置
JP6535572B2 (ja) 車両制御装置、車両制御システム
WO2017086087A1 (ja) 処理装置および車両制御システム
CN110214312A (zh) 共享备用单元和控制系统
CN105981336A (zh) 不正常检测电子控制单元、车载网络系统以及不正常检测方法
JP6620589B2 (ja) 情報処理装置、データ抽出方法、プログラム更新方法、記憶媒体及びコンピュータプログラム
JP5319534B2 (ja) 障害管理方法、および障害管理のための装置
KR101802858B1 (ko) 자동차용 통합데이터 처리 제어 시스템 및 방법
SE541828C2 (en) Method and control arrangement for prediction of malfunction of a wheel bearing unit of an axle in a vehicle
JP6768152B2 (ja) 車載電源システムを動作させる方法
CN115220413A (zh) 车辆故障诊断方法、车载诊断装置
JP2014031077A (ja) 車両動作検証システム
JP5682388B2 (ja) 障害診断方法及び障害診断システム
US11372442B2 (en) Vehicle control system validation technique and validation device, and control device
Vermesan et al. Advanced electronic architecture design for next electric vehicle generation
CN115384536A (zh) 一种驾驶辅助系统控制器的评估方法、装置、设备及介质
Harris Embedded software for automotive applications
CN115946673B (zh) 一种汽车制动的故障诊断方法、系统、设备和介质
WO2022024634A1 (ja) 演算装置および車両制御装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190124

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20191105

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191227

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200602

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20200731

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201001

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210316

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210405

R150 Certificate of patent or registration of utility model

Ref document number: 6864992

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250