JP6890460B2 - 車両制御システム検証手法および検証装置および制御装置 - Google Patents
車両制御システム検証手法および検証装置および制御装置 Download PDFInfo
- Publication number
- JP6890460B2 JP6890460B2 JP2017087824A JP2017087824A JP6890460B2 JP 6890460 B2 JP6890460 B2 JP 6890460B2 JP 2017087824 A JP2017087824 A JP 2017087824A JP 2017087824 A JP2017087824 A JP 2017087824A JP 6890460 B2 JP6890460 B2 JP 6890460B2
- Authority
- JP
- Japan
- Prior art keywords
- architecture
- verification
- function
- logical
- safety
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012795 verification Methods 0.000 title claims description 65
- 238000000034 method Methods 0.000 title description 22
- 238000004364 calculation method Methods 0.000 claims description 41
- 238000012545 processing Methods 0.000 claims description 12
- 230000006870 function Effects 0.000 description 130
- 238000004891 communication Methods 0.000 description 25
- 238000013461 design Methods 0.000 description 13
- 238000011156 evaluation Methods 0.000 description 12
- 230000005856 abnormality Effects 0.000 description 10
- 238000011158 quantitative evaluation Methods 0.000 description 9
- 238000001514 detection method Methods 0.000 description 7
- 230000006872 improvement Effects 0.000 description 7
- 238000004458 analytical method Methods 0.000 description 6
- 230000033001 locomotion Effects 0.000 description 6
- 230000008569 process Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 235000008694 Humulus lupulus Nutrition 0.000 description 1
- 230000001133 acceleration Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000000691 measurement method Methods 0.000 description 1
- 238000013508 migration Methods 0.000 description 1
- 230000005012 migration Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
- 238000003786 synthesis reaction Methods 0.000 description 1
- 230000002194 synthesizing effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F1/00—Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
- G06F1/04—Generating or distributing clock signals or signals derived directly therefrom
- G06F1/14—Time supervision arrangements, e.g. real time clock
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F30/00—Computer-aided design [CAD]
- G06F30/30—Circuit design
- G06F30/32—Circuit design at the digital level
- G06F30/33—Design verification, e.g. functional simulation or model checking
- G06F30/3308—Design verification, e.g. functional simulation or model checking using simulation
- G06F30/3312—Timing analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/20—Software design
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40267—Bus for use in transportation systems
- H04L2012/40273—Bus for use in transportation systems the transportation system being a vehicle
Description
本発明は、車両制御システム検証手法および検証装置および制御装置に関する。
本技術分野の背景技術として、特開2006−012008号公報(特許文献1)がある。この公報には、「理想クロック条件と伝搬クロック条件との2種類のモードを有するタイミングモデルを用いて、効率良く、機能ブロックを含んだLSIの設計を行う方法を提供する。」ことを課題とし、解決手段として、「複数のフリップフロップを含む機能ブロックを用いたLSI設計方法であって、第1モードと第2モードで使用可能なタイミングモデルを準備するステップと、機能ブロックを1又は複数含む機能要素の機能設計を行うステップと、機能設計で定められた機能要素に対し、機能ブロックのタイミングモデルを第1モードで用いて論理合成するステップと、論理合成された機能要素に対し、タイミングモデルを第1モードで用いて第1タイミング解析を行うステップと、論理合成と第1タイミング解析の結果に基づきレイアウトを行うステップと、レイアウト後にタイミングモデルを第2モードで用いて第2タイミング解析を行うステップと、を含むことを特徴とするLSI設計方法。」が記載されている。
また別の背景技術として、特開平10−340292号公報(特許文献2)がある。この公報には、「半導体集積回路の設計において、タイミング制約を満足させるために発生する論理設計を含めたレイアウト設計の繰り返しフローを削減し設計時間の短縮を図るレイアウト方法の提供。」を課題とし、解決手段として、「下地基板上で複数のトランジスタから構成された論理機能単位のセルを配置し、セル間を信号配線で接続する半導体集積回路のレイアウトを行う際に、配置処理の中で、与えられた最大遅延時間の要求に対する遅延時間余裕度の無い、または少ない信号パス系列を構成するセルに対し、遅延時間余裕度が大きくなる度合と高密度化を考慮した上で配線改善処理と、セルを論理的に等価で駆動能力の異なるセルに置き換えるセル置換処理とを自動選択して実行する。」と記載されている。
上記背景技術では、論理機能を物理エレメントに配置した場合の遅延時間の演算方法や、改善部分の自動選択の方法などが記載されているが、機能配置について多くの候補を選択する場合等に必要な演算の効率方法については述べられておらず、さらに安全機能などシステムとして充足が必須の機能とそれ以外の機能について異なる判定方法を用いることなどは記載されていない。
特に制御成立性については、論理アーキテクチャおよび物理アーキテクチャの最適設計および最適配置において、無数の組み合わせの中から制御成立性を満たすアーキテクチャを選定および設計を行う必要がある。その場合に、上記各論理機能の物理エレメント上での動作についてシミュレーションを行うなどにより多くの組み合わせや動作パターンを検証する内容においては、一つの組合せに対する演算時間が多くかかり、最適設計に費やす時間が多くなるという問題点がある。
本発明は上記状況に鑑みて為されたものであり、論理機能を物理エレメントに配置した場合の効率的な制御成立性の判定方法と、安全に関する要件を充足するための判定方法を実現するシステムを提供する。
上記課題を解決するために、本発明の一実施の態様は、例えば特許請求の範囲に記載されている技術的思想を用いればよい。
本発明によれば、論理機能を物理エレメントに配置した場合の効率的な制御成立性の判定方法と、安全に関する要件を充足するための判定方法を実現するシステムを提供することができる。
以下、本発明に好適な実施形態の例(実施例)を説明する。本実施例は、主には車両制御システムの検証装置について説明しており、車両システムの検証における実施に好適であるが、それ以外への適用を妨げるものではない。
<車両制御システム検証装置>
車両制御システム検証装置の全体を図1に示す。車両制御システム検証装置100は、機能配置部101、安全性検証部102、アーキテクチャ定量評価部103、遅延時間計算部104、制御成立性判定部105から構成される。
車両制御システム検証装置の全体を図1に示す。車両制御システム検証装置100は、機能配置部101、安全性検証部102、アーキテクチャ定量評価部103、遅延時間計算部104、制御成立性判定部105から構成される。
機能配置部(配置部)101では、論理アーキテクチャ601と物理アーキテクチャ2を入力とし、機能配置の例のように論理アーキテクチャを物理アーキテクチャ上に配置を行う。
安全性検証部(検証部)102は、機能配置後のアーキテクチャとそのパラメータを入力とし、安全性検証のフローに従い、安全性の検証を行い、安全性検証のOKまたはNG、NGの場合の理由を出力する。
アーキテクチャ定量評価部103は前記検証結果を受け、主に安全性検証がOKのアーキテクチャについて評価を行い、評価結果を出力する。このようにして車両制御システムの検証および評価を実施する。
遅延時間計算部104は、機能配置後、特に安全性検証でOKと判定されたアーキテクチャの情報を基に、後述する遅延時間計算を実施する。制御成立性判定部105は、遅延時間計算部104の計算結果とアーキテクチャの情報を基に制御成立性判定を行い、OKまたはNGと、その評価結果を出力する。
論理アーキテクチャ、物理アーキテクチャ、機能配置、安全性検証の内容については後述する。
<車両制御システムの構成>
評価を行う車両制御システムの構成を示す。図2は車両制御システムおよび車両制御装置を有する車両システムの概要である。以下図示の各符号について説明する。
1は、自動車など内部に車両制御システムを有する車両システムである。
2は、例えば車載ネットワーク(CAN:Controller Area Network、CANFD:CAN with Flexible Data−rate、Ethernet(登録商標)、等)とコントローラ(ECU:Electronic Control Unit等)により構成される車両制御システムである。
3は、車両システム1の外部と無線通信(例えば携帯電話の通信、無線LAN、WAN、C2X(Car to X:車両対車両または車両対インフラ通信)等のプロトコルを使用した通信、またはGPS:Global Positioning Systemを用いた通信)を行い、外界(インフラ、他車、地図)の情報または自車に関する情報を取得・送信などの無線通信を実施、または診断端子(OBD)やEthernet端子、外部記録媒体(例えばUSBメモリ、SDカード、等)端子などを有し、車両制御システム2と通信を実施する通信装置である。
4は、例えば2と異なる、または同一のプロトコルを用いたネットワークにより構成される車両制御システムである。
5は、車両制御システム2の制御に従い、車両運動を制御する機械および電気装置(例えばエンジン、トランスミッション、ホイール、ブレーキ、操舵装置等)の駆動を行うアクチュエータ等の駆動装置である。
6は、外界から入力される情報を取得し情報を生成するための情報を出力する、カメラ、レーダ、LIDAR、超音波センサなどの外界センサ、および、車両システム1の状態(運動状態、位置情報、加速度、車輪速度等)を認識する力学系センサにより構成される認識装置である。
7は、ネットワークシステムに有線または無線で接続され、ネットワークシステムから送出されるデータを受信し、メッセージ情報(例えば映像、音)など必要な情報を表示または出力する、液晶ディスプレイ、警告灯、スピーカなどの出力装置である。
8は、ユーザが車両制御システム2に対して、操作の意図や指示を入力する入力信号を生成するための、例えばステアリング、ペダル、ボタン、レバー、タッチパネル、等の入力装置である。
9は、車両システム1が外界に対して、車両の状態等を通知するための、ランプ、LED、スピーカ等の通知装置である。
評価を行う車両制御システムの構成を示す。図2は車両制御システムおよび車両制御装置を有する車両システムの概要である。以下図示の各符号について説明する。
1は、自動車など内部に車両制御システムを有する車両システムである。
2は、例えば車載ネットワーク(CAN:Controller Area Network、CANFD:CAN with Flexible Data−rate、Ethernet(登録商標)、等)とコントローラ(ECU:Electronic Control Unit等)により構成される車両制御システムである。
3は、車両システム1の外部と無線通信(例えば携帯電話の通信、無線LAN、WAN、C2X(Car to X:車両対車両または車両対インフラ通信)等のプロトコルを使用した通信、またはGPS:Global Positioning Systemを用いた通信)を行い、外界(インフラ、他車、地図)の情報または自車に関する情報を取得・送信などの無線通信を実施、または診断端子(OBD)やEthernet端子、外部記録媒体(例えばUSBメモリ、SDカード、等)端子などを有し、車両制御システム2と通信を実施する通信装置である。
4は、例えば2と異なる、または同一のプロトコルを用いたネットワークにより構成される車両制御システムである。
5は、車両制御システム2の制御に従い、車両運動を制御する機械および電気装置(例えばエンジン、トランスミッション、ホイール、ブレーキ、操舵装置等)の駆動を行うアクチュエータ等の駆動装置である。
6は、外界から入力される情報を取得し情報を生成するための情報を出力する、カメラ、レーダ、LIDAR、超音波センサなどの外界センサ、および、車両システム1の状態(運動状態、位置情報、加速度、車輪速度等)を認識する力学系センサにより構成される認識装置である。
7は、ネットワークシステムに有線または無線で接続され、ネットワークシステムから送出されるデータを受信し、メッセージ情報(例えば映像、音)など必要な情報を表示または出力する、液晶ディスプレイ、警告灯、スピーカなどの出力装置である。
8は、ユーザが車両制御システム2に対して、操作の意図や指示を入力する入力信号を生成するための、例えばステアリング、ペダル、ボタン、レバー、タッチパネル、等の入力装置である。
9は、車両システム1が外界に対して、車両の状態等を通知するための、ランプ、LED、スピーカ等の通知装置である。
車両制御システム2は、その他の車両制御システム4、無線通信部3、駆動装置5、認識装置6、出力装置7、入力装置8、通知装置9などと接続され、それぞれ情報の送受信を行う。
<物理アーキテクチャ>
図3は、車両制御システム2の物理アーキテクチャ例を示している。物理アーキテクチャ300はH/W(Hardware)構成とも呼ぶ。301は車載ネットワーク上のネットワーク装置を接続するネットワークリンクであり、例えばCANバスなどのネットワークリンク、302はネットワークリンク301および駆動装置5や認識装置6や301以外のネットワークリンク(専用線含む)に接続され、駆動装置5や認識装置6の制御および情報取得、ネットワークとのデータ送受信を行うECU(Electronic Control Unit:電子制御ユニット)を示している。ECUは複数のネットワークリンク301を接続し、それぞれのネットワークリンクとデータの送受信を行うゲートウェイ(以下GW)の役割も担う。
図3は、車両制御システム2の物理アーキテクチャ例を示している。物理アーキテクチャ300はH/W(Hardware)構成とも呼ぶ。301は車載ネットワーク上のネットワーク装置を接続するネットワークリンクであり、例えばCANバスなどのネットワークリンク、302はネットワークリンク301および駆動装置5や認識装置6や301以外のネットワークリンク(専用線含む)に接続され、駆動装置5や認識装置6の制御および情報取得、ネットワークとのデータ送受信を行うECU(Electronic Control Unit:電子制御ユニット)を示している。ECUは複数のネットワークリンク301を接続し、それぞれのネットワークリンクとデータの送受信を行うゲートウェイ(以下GW)の役割も担う。
ネットワークトポロジの例は、図3に示す2つのバスに複数のECUが接続されているバス型の例以外にも、複数のECUが直接GWに接続されるスター型や、ECUが一連のリンクにリング状に接続されているリンク型、それぞれの型が混在し複数のネットワークにより構成される混在型、等がある。ECU302はネットワークから受信したデータをもとに、駆動装置5への制御信号の出力、認識装置6からの情報の取得、ネットワークへの制御信号および情報の出力、内部状態の変更、などの制御処理を行う。
ECU302、ネットワーク301、およびECU内のプロセッサを以下「物理エレメント」とも呼ぶ。
図4は、ECU302の内部構成の一例である。401はキャッシュやレジスタなどの記憶素子を持ち、制御を実行するCPUなどのプロセッサ(演算装置)、402はネットワークリンク301またはネットワークや専用線で接続された駆動装置5または/および認識装置6に対してデータの送受信を行うI/O(Input/Output)、403は図示しないクロックなどを使用し、時間および時刻の管理を行うタイマ、404はプログラムおよび不揮発性のデータを保存するROM(Read Only Memory)、405はプログラムおよび揮発性のデータを保存するRAM(Random Access Memory)、406はECU内部での通信に用いられる内部バス、を示している。後述する論理機能についてはプロセッサ401にて実行される。
<物理アーキテクチャのパラメータ>
物理アーキテクチャの物理エレメント(ECU、プロセッサ)に付与するパラメータについて、図5Aに示す。パラメータとしては、演算性能、RAM量、ROM量、コストを有し、アーキテクチャの評価に使用する。
物理アーキテクチャの物理エレメント(ECU、プロセッサ)に付与するパラメータについて、図5Aに示す。パラメータとしては、演算性能、RAM量、ROM量、コストを有し、アーキテクチャの評価に使用する。
安全性関連のパラメータとして、ハードウェアとして対応可能な安全度を有する。例としてはASILやQMなどである。多重度は例えば2重系で1系統の故障にも対応可能な場合には2(多重度の数)とする。故障率は前記物理エレメントの故障確率を安全検証に使用するパラメータとして入力する。診断率は物理エレメントで有する機能(例えばマイコン診断など)の診断のカバレッジを示している。
ECUの内部にマイコンが配置されている場合、検証の際にはECU、プロセッサのいずれかにパラメータが付与されており、そのどちらかのパラメータを使用する。ECUとマイコンの双方にパラメータが付与されている場合には、安全性を考慮し、より悪い結果を出力するパラメータ(例えばASILとして低い値)を検証に使用することにより、誤って高い検証結果を出すことがなくなり、全体としての安全性を確保することが可能となる。
また、ネットワークに付与するパラメータを図5Bに示す。ネットワークは通信速度、コスト、多重度(通信線の冗長度)のパラメータを有する。
<論理アーキテクチャ>
車両制御システムの論理アーキテクチャ例について図6に示す。
601は、車両制御システムの論理アーキテクチャ全体を示している。
602は、複数の認識装置6および通信装置3から出力される外界認識情報を統合した外界認識マップを作成する統合認識部である。
603は、統合認識部602により生成された外界認識マップおよびユーザ入力部604から入力されたユーザ入力により、自動運転制御情報(軌道等)の生成および出力、出力管理部605への出力指示、および通知管理部606への通知指示を行う自動運転制御部である。
604は、入力装置8からの入力に従い、ユーザの指示情報を生成するユーザ入力部である。
605は、自動運転制御部603および異常検出部607の出力に応じ出力装置7への出力指示を行う出力管理部である。
606は、自動運転制御部603および異常検出部607の出力に応じ通知装置9への通知指示を行う通知管理部である。
607は、自動運転制御部603からの自動運転制御情報等の通知または図示していない各部からの通知により異常を検出する異常検出部である。
608は、異常検出部607の異常検出結果等により、運動制御部609に対する出力を自動運転制御部603からの入力またはユーザ入力部604からの入力または安全制御部610の入力に切替える切替部である。
609は、切替部608からの軌道情報または運動制御情報、認識装置6から取得する車両システム1の状態、および駆動装置5からの応答、に従い複数の駆動装置5に対して制御を行う運動制御部である。
610は、異常検出の通知を受けた場合の制御を実施する安全制御部である。
車両制御システムの論理アーキテクチャ例について図6に示す。
601は、車両制御システムの論理アーキテクチャ全体を示している。
602は、複数の認識装置6および通信装置3から出力される外界認識情報を統合した外界認識マップを作成する統合認識部である。
603は、統合認識部602により生成された外界認識マップおよびユーザ入力部604から入力されたユーザ入力により、自動運転制御情報(軌道等)の生成および出力、出力管理部605への出力指示、および通知管理部606への通知指示を行う自動運転制御部である。
604は、入力装置8からの入力に従い、ユーザの指示情報を生成するユーザ入力部である。
605は、自動運転制御部603および異常検出部607の出力に応じ出力装置7への出力指示を行う出力管理部である。
606は、自動運転制御部603および異常検出部607の出力に応じ通知装置9への通知指示を行う通知管理部である。
607は、自動運転制御部603からの自動運転制御情報等の通知または図示していない各部からの通知により異常を検出する異常検出部である。
608は、異常検出部607の異常検出結果等により、運動制御部609に対する出力を自動運転制御部603からの入力またはユーザ入力部604からの入力または安全制御部610の入力に切替える切替部である。
609は、切替部608からの軌道情報または運動制御情報、認識装置6から取得する車両システム1の状態、および駆動装置5からの応答、に従い複数の駆動装置5に対して制御を行う運動制御部である。
610は、異常検出の通知を受けた場合の制御を実施する安全制御部である。
この例において、通常時に主要な制御を行う機能を主機能と呼び、ここでは602、603、604、605、606、609、が該当する。また異常の検出および異常発生後に主要な制御を行う機能を安全機能と呼び、607、608、610、が該当する。
<論理アーキテクチャのパラメータ>
論理アーキテクチャのパラメータ例を図7に示す。図7Aは主機能に付与されるパラメータであり、論理機能のタイプは主機能・安全機能の判定に使用され、実行時間(ある実行環境における)、制御周期(実行周期)、機能の実行優先度、消費RAM、消費ROMは主にアーキテクチャの評価に使用される。
論理アーキテクチャのパラメータ例を図7に示す。図7Aは主機能に付与されるパラメータであり、論理機能のタイプは主機能・安全機能の判定に使用され、実行時間(ある実行環境における)、制御周期(実行周期)、機能の実行優先度、消費RAM、消費ROMは主にアーキテクチャの評価に使用される。
図7Bは安全機能に付与されるパラメータであり、論理機能のタイプ、実行時間(ある実行環境における)、制御周期、機能の実行優先度、消費RAM、消費ROMは主機能等同様に使用される。
要求安全度は該当安全機能に要求される安全度であり、例えばQMやASILが付与され、該当安全度での安全機能実行を要求される。
独立性要求は、該当する安全機能について、故障発生時に同時に故障するべきではない機能の論理機能名が記載されている。これは例えば安全機能と主機能が同時に故障し、結果として安全制御が不可能となる、共通原因故障や従属故障といった設計を防ぐためのパラメータとなる。
実行時間(ある実行環境における)は、特定の実行環境で実行された時間について、それぞれの論理機能がパラメータとして保持している。実行環境とは、例えばマイコンの種別、動作周波数、等である。これら実行環境における実行時間を保持しておき、物理配置時の実行時間を計算する。そのため実行時間は実行環境ごとに複数持つ可能性がある。実行時間については測定の方法により楽観的または悲観的の2種類を有することがあり、楽観的とは例えば平均値、最頻値、中央値等があり、悲観的とは最悪値、余裕度や安全度を加味した平均値、等があり、ここでは悲観的な値は楽観的な値以上である。
図7Cは論理接続に対するパラメータであり、該当通信路での通信量を示している。これはアーキテクチャ定量評価に使用される。
<機能配置例>
論理アーキテクチャの物理アーキテクチャへの配置例を図8に示す。このように論理アーキテクチャ上の論理機能を物理アーキテクチャ上に配置する。これにより、どの論理機能の処理がどの物理エレメント(ECU、マイコン)上で実施され、ネットワークでの通信においてどのようなデータが処理されるかが決定される。
論理アーキテクチャの物理アーキテクチャへの配置例を図8に示す。このように論理アーキテクチャ上の論理機能を物理アーキテクチャ上に配置する。これにより、どの論理機能の処理がどの物理エレメント(ECU、マイコン)上で実施され、ネットワークでの通信においてどのようなデータが処理されるかが決定される。
論理機能間で、ネットワークで複数の経路がある場合には、例えばその中で最小のコスト(通信帯域、ホップ数)となる経路を選択するなどして効率の良い通信を実施する。
機能配置については、例えば前述する論理アーキテクチャの物理アーキテクチャに対する網羅的な配置も実施する。例えば論理アーキテクチャの全ての論理機能(La, Lb, Lc, ...)について、物理アーキテクチャの全てのエレメント(Pa, Pb, Pc, ...)に対して全ての組合せで配置を行う。例えば最初はPaに全ての論理機能を集約、次にPbに一つだけの論理機能(例えばLa)を配置しそれ以外はPaに全て配置、と順次実施する。全ての組合せで配置を行い、それぞれを評価することにより、最適なアーキテクチャの選択が可能となる。
機能配置については、例えば前述する論理アーキテクチャの物理アーキテクチャに対する網羅的な配置も実施する。例えば論理アーキテクチャの全ての論理機能(La, Lb, Lc, ...)について、物理アーキテクチャの全てのエレメント(Pa, Pb, Pc, ...)に対して全ての組合せで配置を行う。例えば最初はPaに全ての論理機能を集約、次にPbに一つだけの論理機能(例えばLa)を配置しそれ以外はPaに全て配置、と順次実施する。全ての組合せで配置を行い、それぞれを評価することにより、最適なアーキテクチャの選択が可能となる。
<安全性検証>
安全性検証の処理フローについて図9に示す。安全性検証においては、まず後述する安全要件検証を、機能配置後のアーキテクチャについて実施する(S901)。安全要件の検証結果がOKの場合(S902のyes)、結果としてOKを出力して処理を終了する(S903)。安全要件の検証結果がNGの場合(S902のno)、NG結果と、いずれの安全要件の検証がNGであったかを出力する。このようにして安全性の検証を実施する。
安全性検証の処理フローについて図9に示す。安全性検証においては、まず後述する安全要件検証を、機能配置後のアーキテクチャについて実施する(S901)。安全要件の検証結果がOKの場合(S902のyes)、結果としてOKを出力して処理を終了する(S903)。安全要件の検証結果がNGの場合(S902のno)、NG結果と、いずれの安全要件の検証がNGであったかを出力する。このようにして安全性の検証を実施する。
<安全要件検証>
安全要件検証の例においては、該当する安全機能の物理アーキテクチャでの配置先において、安全度、多重度の要件を満たしているかを判定する。これは安全度の場合には該当する安全機能のパラメータにおける要求安全度の値が、配置先の物理エレメントの対応安全度より小さいまたは等しい場合にはOKと判定する。具体的には、安全機能の要求安全度がASIL−Cの場合、配置先の物理エレメントの対応安全度がASIL−Cかそれ以上(ASIL−D等)の場合にOKと判定する。多重度の場合には、該当する安全機能のパラメータにおける多重度の値が、配置先の物理エレメントの多重度より小さいまたは等しい場合にはOKと判定する。具体的には、安全機能の多重度が2の場合、配置先の物理エレメントの多重度が2以上の場合にOKと判定する。このようにして全体での安全要件の検証を行う。
安全要件検証の例においては、該当する安全機能の物理アーキテクチャでの配置先において、安全度、多重度の要件を満たしているかを判定する。これは安全度の場合には該当する安全機能のパラメータにおける要求安全度の値が、配置先の物理エレメントの対応安全度より小さいまたは等しい場合にはOKと判定する。具体的には、安全機能の要求安全度がASIL−Cの場合、配置先の物理エレメントの対応安全度がASIL−Cかそれ以上(ASIL−D等)の場合にOKと判定する。多重度の場合には、該当する安全機能のパラメータにおける多重度の値が、配置先の物理エレメントの多重度より小さいまたは等しい場合にはOKと判定する。具体的には、安全機能の多重度が2の場合、配置先の物理エレメントの多重度が2以上の場合にOKと判定する。このようにして全体での安全要件の検証を行う。
<時間要件>
論理アーキテクチャに付与される時間要件の例について図10に示す。ここでは1000が時間要件テーブル全体を示しており、1001が要件のID、1002が時間要件の種別、1003が制約時間、1004が、時間要件が要求される論理機能のパスを示している。
論理アーキテクチャに付与される時間要件の例について図10に示す。ここでは1000が時間要件テーブル全体を示しており、1001が要件のID、1002が時間要件の種別、1003が制約時間、1004が、時間要件が要求される論理機能のパスを示している。
要件の種別は、例えば主機能(NF)と安全機能(SM)を区別するために用いられる。また制約時間は、各時間要件の入力から出力までの時間の制約を示しており、入力から出力までの処理を制約時間以下で実施するという制約を示している。
ここで機能パスでは、論理アーキテクチャ601における上記時間制約が適用される機能パスを示している。ID1の例では、認識装置6から論理パスL1(601に図示)を経由して統合認識部602、統合認識部602から論理パスL2を経由して自動運転制御部603に、と以下同様の経路についての機能パスが示されている。上記時間制約は、この機能パスを経由し、ID1の例では認識装置6の入力から駆動装置5に出力が到達するまでの時間制約を示している。
<遅延時間計算>
遅延時間計算部104で実施される、論理機能が物理エレメントに配置された場合の遅延時間の計算方法について以下説明する。
遅延時間計算部104で実施される、論理機能が物理エレメントに配置された場合の遅延時間の計算方法について以下説明する。
まず一つ目の例では、各論理機能の実行時間について、物理エレメントの演算性能(例えば動作周波数:MHz)における実行時間について各論理機能に予め割り当てておき、配置先の物理エレメントの演算性能との比で再計算を行う。例えば、ある論理機能について、実行環境が物理エレメントAの演算性能400MHzで実行時間TAが1msであった場合、異なる物理エレメントBの演算性能800MHzに配置した場合には、実行時間TBは下記の通りとなる。
このようにして演算性能の異なる物理エレメントへの配置において論理機能による遅延時間を再計算する。
また別の例では、物理エレメントのプロセッサにおけるベンチマークスコアと、論理機能のタイプ(例えば通常演算、高精度演算、大容量データ演算)により、遅延時間を計算する。これは、演算時間は動作周波数だけでなく、実行する論理機能のタイプや物理エレメント内部の演算装置の構成(例えば物理エレメントのプロセッサにおける高精度演算用のアクセラレータの有無や、データキャッシュの有無など)により演算結果が変動するためである。その場合に使用するベンチマークスコアの例について図11に示す。ここでは遅延時間計算部104が演算する論理機能のタイプごとにベンチマークスコア1100を有するとする。例えば、ある論理機能について、物理エレメントAでの実行時間がTAであった場合、異なる物理エレメントBに配置した場合には、実行時間TBは下記の通りとなる。
またネットワークでの遅延時間については、ネットワークの演算性能に対し、論理機能の通信量がビットレートを定義しているため、ネットワークでの遅延時間TNは下記の通り計算できる。
<制御成立性判定>
次に制御成立性判定部105で実施される制御成立性の判定方法について説明する。制御成立性は、性能換算を行った論理機能の実行時間(遅延時間)について、まずは全体の時間制約を論理機能ごとの遅延時間で合算したものを満たすかを判定し、その後各物理エレメントに配置された論理機能について、占有率が基準値以下であるかを、物理エレメント内で判定する。
次に制御成立性判定部105で実施される制御成立性の判定方法について説明する。制御成立性は、性能換算を行った論理機能の実行時間(遅延時間)について、まずは全体の時間制約を論理機能ごとの遅延時間で合算したものを満たすかを判定し、その後各物理エレメントに配置された論理機能について、占有率が基準値以下であるかを、物理エレメント内で判定する。
全体での制御成立性を満たすか否かの判定は下記の通りとなる。
ここでMAXは括弧内での最大の値を返す関数を示している。ここで演算装置における演算を、演算装置内の論理機能の制御周期の最大値の2倍としている理由は、例えば制御周期が10msと20msの論理機能があり、それぞれが外部から入力を受けて演算を行い、出力を行う場合、最悪のケースでは、20msの論理機能が開始された直後にデータの入力を受け、次の開始時間に前記入力されたデータを基に演算を行うまでに20msの周期の2倍かかるためである。10msの論理機能については、下記占有率の計算が基準値以下の場合にはその周期の間に処理を行うものと考える。
また、ネットワークの遅延時間は、下記計算式により計算する。
上記はネットワークでの衝突等を考慮しない効率的な演算の場合の計算式である。ネットワークにおいて、ネットワークに複数のデータが流れる場合のネットワークの遅延時間として、ネットワークでのスケジューラビリティも考慮したネットワーク遅延時間の計算式は以下になる。
ここでネットワークの他論理機能の通信量については、演算を行う論理機能に対し、優先度の高い論理機能の通信量のみを加算すれば良い。例えば主機能については、(より優先度の高い)安全機能のみを加算する等により、安全性の確保が容易に、かつ簡易な演算が可能となる。
次に物理エレメント内での占有率を計算する。計算式は下記の通りとなる。
ここで占有率が1または下記基準値を超えている場合にはシステムとして論理機能が十分に実行できないため、NGとして判定する。
占有率が1以下の場合には、例えばシステム設計での基準値(例えば0.8以下)や、レイトモノトニックスケジューリングの計算式による基準値等を予め定めておき、それ以下であればOKと判定する。
占有率が1以下の場合には、例えばシステム設計での基準値(例えば0.8以下)や、レイトモノトニックスケジューリングの計算式による基準値等を予め定めておき、それ以下であればOKと判定する。
これら判定の結果、全ての物理エレメントについて占有率が基準値以下であると判定した場合には、上記時間要件を満たしているとして判定を行う。
ここでは全体での制御成立性を計算してから個別の物理エレメントでの占有率を判定する順序を説明したが、個別の物理エレメントでの成立性を先に判定しても良い。そのようにすることにより、個別の物理エレメントでの占有率が厳しいと想定される設計の場合の評価では早く判定結果が得られることになる。
<アーキテクチャ定量評価>
アーキテクチャ定量評価においては、機能配置済みのアーキテクチャで安全性検証結果がOKのアーキテクチャについて定量評価を行う。定量評価の方法としては、物理アーキテクチャの物理エレメントに配置された複数の論理機能の、消費RAM、消費ROMを合計し、物理エレメント上での使用率を計算する。また通信についても同様にネットワーク上の論理通信の使用量を合計し、占有率を計算する。また物理アーキテクチャ全体で、使用している、つまり論理機能が1つ以上配置されている物理エレメントについてのコストを合計する。これら計算により、定量評価が可能である。
アーキテクチャ定量評価においては、機能配置済みのアーキテクチャで安全性検証結果がOKのアーキテクチャについて定量評価を行う。定量評価の方法としては、物理アーキテクチャの物理エレメントに配置された複数の論理機能の、消費RAM、消費ROMを合計し、物理エレメント上での使用率を計算する。また通信についても同様にネットワーク上の論理通信の使用量を合計し、占有率を計算する。また物理アーキテクチャ全体で、使用している、つまり論理機能が1つ以上配置されている物理エレメントについてのコストを合計する。これら計算により、定量評価が可能である。
アーキテクチャ評価結果、特に制御成立性の評価結果の例について図12に示す。ここでは例として、論理アーキテクチャの物理アーキテクチャへの配置例と、時間要件テーブル1000を画面等に出力する例について示しており、ここでは論理機能602および603が配置された物理エレメントにおいて占有率が基準値を超えており、その結果時間制約が満たされていない例を示している。この例ではそれぞれ満たされていない時間要件と、その配置されている論理機能が強調される例を示している。このようにすることにより、制御成立性を満たしていないアーキテクチャの要素とその要因を確認可能になる。
このようにすることにより、制御成立性を判定しながらアーキテクチャの評価を行うことが可能になる。特に、全ての組合せによるスケジューリング可能性を判断することなく、システム内での想定遅延時間の加算と、物理エレメント内でのスケジューリング性の簡易的な評価により制御成立性を効率的に評価し、制御成立性を満たすアーキテクチャを選択して評価することが可能となる。
次に安全関連機能に関する制御成立性を優先して判定する実施例について説明する。第1の実施例と異なる点は、制御成立性判定部105において、安全関連機能を優先的に判定する点である。具体的には、図10に記載した時間要件の例において、安全関連機能としているID2,ID3を先に判定し、主機能であるID1より優先的に制約時間の判定を行う。このようにすることにより、例えば安全機能の時間要件を満たさないアーキテクチャについてはその時点で判定を終了することにより、主機能の時間判定を優先的に行う場合に比べ、判定時間の削減を行うことが可能になる。
また、物理エレメント内での制御成立性の判定についても、安全機能を優先的に判定する。ここで優先的とは、安全関連機能の実行時間については悲観的な実行時間を用い、主機能の実行時間については楽観的な実行時間を用いた場合でも、占有率が基準値を超えていないことを計算するものである。その場合の計算式については下記の通りとなる。
ここで一般的に、機能Aの楽観的実行時間より機能Aの悲観的実行時間の方が長い。このようにして判定した場合の占有率が許容値以下であることを確認することにより、全部を悲観的に評価した場合に比べてOKとなるパターンが増加し、かつ安全機能の実行については悲観的に見ても実行に失敗することが無いことが確認可能となる。
ここで判定を行う論理機能が安全機能か否かは、論理アーキテクチャパラメータの論理機能のタイプを使用する以外に、安全分析結果900等から入力される安全要件、または安全検証部102から出力される安全要件として前記論理機能が用いられているかを判定しても良い。このようにすることにより、論理アーキテクチャパラメータの論理機能のタイプとして安全機能として付与されていた場合でも、安全分析の結果、安全機能として使用されていない機能については安全機能として判定せず、より安全分析結果に基づいた判定を行うことが可能となる。
次に、アーキテクチャ評価結果として、アーキテクチャの改善を行いやすくするための情報を出力する実施例について説明する。
まずは制御周期の改善提案の例について説明する。各演算装置において占有率が1または基準値を超えている場合、いずれかの論理機能の制御周期を増加させて占有率が1または基準値を超え無くなると、制御成立性を満たす可能性がある。そのため、必要な論理機能について制御周期を長くする提案をシステムとして出力を行うことにより、アーキテクチャの改善が行いやすくなる。
この場合、制御周期を長くすることにより、上記の時間要件を満たさなくなる場合は、妥当な改善とはならない。そのため、全ての時間要件を満たしながら制御周期を長くすることが可能か否かを判定する必要があり、制御周期の見直し後、制御成立性105での判定がOKの内容のみ評価結果として出力する。出力例を図13に示す。ここでは該当するアーキテクチャの評価結果について、論理機能602の制御周期を10msから20msに変更することにより、占有率を基準値以下にでき、また時間要件を満たしていることを示している。
この場合の占有率の計算は、式(3)による占有率、または式(4)の安全機能優先占有率の双方が使用可能である。特に安全機能優先占有率で計算することにより、演算時間が少なく、かつ安全機能が悲観値でも実行されることを判定することが可能となる。
また、論理機能の移行による改善提案の例について次に説明する。同様に演算装置における占有率が1または基準値を超える場合には、該演算装置から一部の論理機能を異なる演算装置に移動することにより、占有率が1または基準値を超えないことが可能となる。この場合の移行先の候補については、下記の計算式で導出される。
また、論理機能の移行による改善提案の例について次に説明する。同様に演算装置における占有率が1または基準値を超える場合には、該演算装置から一部の論理機能を異なる演算装置に移動することにより、占有率が1または基準値を超えないことが可能となる。この場合の移行先の候補については、下記の計算式で導出される。
上記式を満たす演算装置に対して論理機能の移行を試行し、再度制御成立性判定部105によりを判定した結果OKであった場合に、前記移行を改善提案として出力する。図13では同様に、論理機能603を異なるECUに配置する改善提案の例について示している。
次に、前記車両制御システム検証を、車両制御システム内で実施する例について説明する。本実施例における車両制御システムの構成について図14に示す。図1に示す車両制御システム検証装置100をECU302に配置し、前記検証を車両制御システム内にて実施する。
本実施例において、車両制御システム検証装置100はアーキテクチャ情報を、ネットワーク301を通じて収集する。車両制御システム検証装置100が受信するアーキテクチャ構成情報の例を図15に示す。
図15Aは物理アーキテクチャ構成情報を示しており、各物理エレメント名(ECU、マイコン)と接続しているネットワーク名、および図5で示す物理エレメントの各種パラメータが情報として入力される。これらは複数のECUが所有している情報について適宜送信され、車両制御システム検証装置100が情報を収集し、物理アーキテクチャ情報を構築する。
図15Bは論理アーキテクチャ構成情報を示しており、各論理機能名(ID)、配置されている物理エレメント名(配置場所)、図7に記載の論理アーキテクチャのパラメータ、が情報として入力される。これらも同様に複数のECUが所有している情報について適宜送信され、車両制御システム検証装置100が情報を収集し、論理アーキテクチャ情報を構築する。
これら情報を収集し、前記車両制御システム検証を実施し、ネットワーク等に検証結果を出力する。これにより、車両制御システムの状態について常に検証を実施することが可能となる。
ネットワークで取得する物理アーキテクチャ構成情報、論理アーキテクチャ構成情報、については、全ての情報を受信する必要は無く、差分だけを受信し、前記車両制御システム検証装置100が差分の更新のみを行い判定をしても良い。そのようにすることにより、通信量を削減することが可能となる。
以上説明した実施例によれば、各論理機能の連携と、該連携の実行時間制約を含む論理アーキテクチャを物理アーキテクチャに配置する配置部と、前記論理アーキテクチャが前記物理アーキテクチャに配置された場合に変換されたパラメータに基づいて処理遅延時間を演算する遅延時間計算部と、前記処理遅延時間の総和が前記実行時間制約を充足するかを検証する検証部と、を含む。
また、前記検証部は、各前記物理アーキテクチャに配置された前記論理アーキテクチャのエレメントの処理遅延時間の総和が、前記論理アーキテクチャのエレメントに付与された制御周期より小さいまたは等しいことを判定し、前記実行時間制約を充足するかを検証する。
また、前記検証について、安全機能の制御成立性の判定を優先的に実施する。
また、前記制御成立性の判定は、安全機能の実行時間に悲観的な実行時間を用いるか、または主機能の実行時間に楽観的な実行時間を用いる。
また、外部から受信したアーキテクチャの情報に基づき前記検証装置で前記アーキテクチャの検証を行い、検証結果を外部に送信する。
以上説明した実施例によれば、物理アーキテクチャに論理アーキテクチャが配置された場合の制御成立性について、配置された物理アーキテクチャの情報と論理アーキテクチャに付与された情報に基づき制御成立性の判定を効率的に行うことが可能となる。
また別の実施例では、安全関連の機能についての制御成立性の判定について、安全機能を優先的に判定することにより効率的な判定を行うことができ、かつ安全機能の所要時間を悲観的に、主機能の所要時間を楽観的に見積もることにより、安全機能の実行について悲観的な実行時間での実施を保証しかつ主機能は楽観的な性能見積もりにより選択肢を広げる判定を行うことが可能となる。
また別の実施例では、前記制御成立性の判定結果に基づきアーキテクチャの改善または最適化に向けた提案を行うことが可能となる。
さらに別の実施例によれば、これら判定を車両制御システム内で実施することにより、変更となるアーキテクチャ構成情報と制御成立性に基づいた検証を車両制御システム内で実施することが可能となる。
1 車両システム
2 車両制御システム
3 通信装置
4 車両制御システム
5 駆動装置
6 認識装置
7 出力装置
8 入力装置
9 通知装置
100 車両制御システム検証装置
101 機能配置部(配置部)
102 安全性検証部(検証部)
103 アーキテクチャ定量評価部
104 遅延時間計算部
105 制御成立性判定部
300 物理アーキテクチャ
301 ネットワークリンク
302 ECU
401 プロセッサ
402 I/O
403 タイマ
404 ROM
405 RAM
406 内部バス
601 論理アーキテクチャ
602 統合認識部
603 自動運転制御部
604 ユーザ入力部
605 出力管理部
606 通知管理部
607 異常検出部
608 切替部
609 運動制御部
610 安全制御部
1000 時間要件テーブル
1100 ベンチマークスコア
2 車両制御システム
3 通信装置
4 車両制御システム
5 駆動装置
6 認識装置
7 出力装置
8 入力装置
9 通知装置
100 車両制御システム検証装置
101 機能配置部(配置部)
102 安全性検証部(検証部)
103 アーキテクチャ定量評価部
104 遅延時間計算部
105 制御成立性判定部
300 物理アーキテクチャ
301 ネットワークリンク
302 ECU
401 プロセッサ
402 I/O
403 タイマ
404 ROM
405 RAM
406 内部バス
601 論理アーキテクチャ
602 統合認識部
603 自動運転制御部
604 ユーザ入力部
605 出力管理部
606 通知管理部
607 異常検出部
608 切替部
609 運動制御部
610 安全制御部
1000 時間要件テーブル
1100 ベンチマークスコア
Claims (4)
- 各論理機能の連携と、該連携の実行時間制約を含む論理アーキテクチャを物理アーキテクチャに配置する配置部と、
前記論理アーキテクチャが前記物理アーキテクチャに配置された場合に変換されたパラメータに基づいて処理遅延時間を演算する遅延時間計算部と、
前記処理遅延時間の総和が前記実行時間制約を充足するかを検証する検証部と、
を含み、
前記検証について、安全機能の制御成立性の判定を優先的に実施することを特徴とする検証装置。 - 請求項1に記載の検証装置において、
前記検証部は、各前記物理アーキテクチャに配置された前記論理アーキテクチャのエレメントの処理遅延時間の総和が、前記論理アーキテクチャのエレメントに付与された制御周期より小さいまたは等しいことを判定し、前記実行時間制約を充足するかを検証することを特徴とする検証装置。 - 請求項1または2に記載の検証装置を備えた制御装置であって、
前記制御成立性の判定は、安全機能の実行時間に悲観的な実行時間を用いるか、または主機能の実行時間に楽観的な実行時間を用いることを特徴とする制御装置。 - 請求項2または3に記載の検証装置を備えた制御装置であって、
外部から受信したアーキテクチャの情報に基づき前記検証装置で前記アーキテクチャの検証を行い、検証結果を外部に送信することを特徴とする制御装置。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017087824A JP6890460B2 (ja) | 2017-04-27 | 2017-04-27 | 車両制御システム検証手法および検証装置および制御装置 |
| PCT/JP2018/015329 WO2018198783A1 (ja) | 2017-04-27 | 2018-04-12 | 車両制御システム検証手法および検証装置および制御装置 |
| CN201880025695.5A CN110574027B (zh) | 2017-04-27 | 2018-04-12 | 车辆控制系统验证方法及验证装置以及控制装置 |
| EP18791883.4A EP3617914B1 (en) | 2017-04-27 | 2018-04-12 | Vehicle control system validation technique and validation device, and control device |
| US16/604,980 US11372442B2 (en) | 2017-04-27 | 2018-04-12 | Vehicle control system validation technique and validation device, and control device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017087824A JP6890460B2 (ja) | 2017-04-27 | 2017-04-27 | 車両制御システム検証手法および検証装置および制御装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018185244A JP2018185244A (ja) | 2018-11-22 |
| JP6890460B2 true JP6890460B2 (ja) | 2021-06-18 |
Family
ID=63919700
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017087824A Active JP6890460B2 (ja) | 2017-04-27 | 2017-04-27 | 車両制御システム検証手法および検証装置および制御装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11372442B2 (ja) |
| EP (1) | EP3617914B1 (ja) |
| JP (1) | JP6890460B2 (ja) |
| CN (1) | CN110574027B (ja) |
| WO (1) | WO2018198783A1 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102019203251B3 (de) | 2019-03-11 | 2020-06-18 | Volkswagen Aktiengesellschaft | Verfahren und System zur sicheren Signalmanipulation für den Test integrierter Sicherheitsfunktionalitäten |
| JP2022124258A (ja) * | 2021-02-15 | 2022-08-25 | 日立Astemo株式会社 | 車載型コンピュータシステムおよび自動運転支援システム |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5581738A (en) * | 1993-06-07 | 1996-12-03 | Xilinx, Inc. | Method and apparatus for back-annotating timing constraints into simulation models of field programmable gate arrays |
| JP2967762B2 (ja) | 1997-06-06 | 1999-10-25 | 日本電気株式会社 | 回路のレイアウト方法 |
| US6396814B1 (en) * | 1997-09-12 | 2002-05-28 | Kabushiki Kaisha Toshiba | Network construction method and communication system for communicating between different groups via representative device of each group |
| US6453451B1 (en) * | 2000-10-02 | 2002-09-17 | Lsi Logic Corporation | Generating standard delay format files with conditional path delay for designing integrated circuits |
| EP1449126A4 (en) * | 2001-08-29 | 2008-01-16 | Infineon Technologies Ag | CHIP DICE FOR INTEGRATED CIRCUITS |
| JP2004054756A (ja) * | 2002-07-23 | 2004-02-19 | Nec Electronics Corp | 消費電力見積り装置及び方法 |
| JP2006012008A (ja) | 2004-06-29 | 2006-01-12 | Oki Electric Ind Co Ltd | タイミングモデル、及びそれを用いたlsi設計方法 |
| US7739095B2 (en) * | 2007-03-13 | 2010-06-15 | Synopsys, Inc. | Method for determining best and worst cases for interconnects in timing analysis |
| JP2014102734A (ja) * | 2012-11-21 | 2014-06-05 | Renesas Electronics Corp | 性能検証プログラム、性能検証方法及び性能検証装置 |
| KR101716630B1 (ko) * | 2014-05-23 | 2017-03-14 | 미쓰비시덴키 가부시키가이샤 | 통신 장치 및 통신 방법 및 프로그램을 기록한 컴퓨터 판독가능한 기록 매체 |
| JP6248008B2 (ja) * | 2014-07-29 | 2017-12-13 | 日立オートモティブシステムズ株式会社 | ソフトウェア検証システムおよび制御装置 |
| JPWO2016017111A1 (ja) * | 2014-08-01 | 2017-05-18 | 日本電気株式会社 | 情報処理システム及びシステム設計方法 |
| JP6378128B2 (ja) * | 2015-04-28 | 2018-08-22 | ルネサスエレクトロニクス株式会社 | 性能検証装置、システム、方法、およびコンピュータに当該方法を実行させるためのプログラム |
| US10235171B2 (en) * | 2016-12-27 | 2019-03-19 | Intel Corporation | Method and apparatus to efficiently handle allocation of memory ordering buffers in a multi-strand out-of-order loop processor |
| US10607039B1 (en) * | 2017-11-27 | 2020-03-31 | Cadence Design Systems, Inc. | Constrained metric optimization of a system on chip |
-
2017
- 2017-04-27 JP JP2017087824A patent/JP6890460B2/ja active Active
-
2018
- 2018-04-12 WO PCT/JP2018/015329 patent/WO2018198783A1/ja unknown
- 2018-04-12 EP EP18791883.4A patent/EP3617914B1/en active Active
- 2018-04-12 US US16/604,980 patent/US11372442B2/en active Active
- 2018-04-12 CN CN201880025695.5A patent/CN110574027B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| EP3617914B1 (en) | 2023-09-06 |
| US11372442B2 (en) | 2022-06-28 |
| EP3617914A1 (en) | 2020-03-04 |
| US20210165444A1 (en) | 2021-06-03 |
| CN110574027A (zh) | 2019-12-13 |
| EP3617914A4 (en) | 2021-01-27 |
| WO2018198783A1 (ja) | 2018-11-01 |
| JP2018185244A (ja) | 2018-11-22 |
| CN110574027B (zh) | 2023-10-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3451174B1 (en) | Vehicle control system verification device, vehicle control system, and vehicle control system verification method | |
| JP4953861B2 (ja) | 車載ゲートウェイ装置及びデータ転送方法 | |
| JP2019007954A (ja) | 道路交通の管理 | |
| WO2017086087A1 (ja) | 処理装置および車両制御システム | |
| JP7140155B2 (ja) | モビリティエージェントを使用した車両の管理 | |
| JP2011166421A (ja) | 車内データ中継装置、車両制御システム | |
| JP6890460B2 (ja) | 車両制御システム検証手法および検証装置および制御装置 | |
| Siegel et al. | Algorithms and architectures: A case study in when, where and how to connect vehicles | |
| JP2019079199A (ja) | 信号機切替制御装置、信号機切替制御方法及び信号機切替制御プログラム | |
| JP2019159663A (ja) | 情報処理システム、情報処理方法、及び情報処理プログラム | |
| JP2009212939A (ja) | 中継装置、通信システム及び通信方法 | |
| Braun et al. | Trends in vehicle electric system design: State-of-the Art Summary | |
| JP2007072801A (ja) | 分散処理システム、車載端末、及び分散処理システムにおける管理ノード決定方法 | |
| JP7283215B2 (ja) | 車載装置、システム、制御方法、半導体集積回路及びコンピュータプログラム | |
| JP2021179762A (ja) | 車載制御装置、サーバ、検証システム | |
| JP2020078022A (ja) | ネットワークシステム | |
| US20240157828A1 (en) | Systems and methods for proactive electronic vehicle charging | |
| JP7354979B2 (ja) | 通信管理装置、通信管理方法、および通信管理プログラム | |
| JP6812765B2 (ja) | 電子制御装置 | |
| JP2019125947A (ja) | 監視装置、監視方法及びプログラム | |
| JP6573052B1 (ja) | 制御装置、制御方法、およびコンピュータプログラム | |
| Valentini | A methodology for the design of an automotive network architecture | |
| WO2019159234A1 (en) | Information processing apparatuses, method, program and non-transitory computer readable recording medium | |
| JP5302380B2 (ja) | 接続装置および接続方法 | |
| Niklas et al. | AUTOSAR–A standard in the course of time |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170508 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200124 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200127 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210209 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210326 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210427 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210525 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6890460 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |