JP6968726B2 - 車両制御装置 - Google Patents
車両制御装置 Download PDFInfo
- Publication number
- JP6968726B2 JP6968726B2 JP2018024694A JP2018024694A JP6968726B2 JP 6968726 B2 JP6968726 B2 JP 6968726B2 JP 2018024694 A JP2018024694 A JP 2018024694A JP 2018024694 A JP2018024694 A JP 2018024694A JP 6968726 B2 JP6968726 B2 JP 6968726B2
- Authority
- JP
- Japan
- Prior art keywords
- task
- unit
- data
- vehicle control
- reliability
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Description
図1は、本発明の実施形態1に係る車両制御装置100を備える車両システム10の概略図である。車両システム10は、車両制御装置100、無線通信部11、駆動装置12、認識装置13、出力装置14、入力装置15、通知装置16を備える。
図2は、車両制御装置100の構成図である。車両制御装置100は、ソフトウェア210とハードウェア220によって構成されている。ソフトウェア210は、アプリケーション部110、タスク実行制御部120、システム管理部130、共有データ管理部140、動作ログ管理部150、OS(Operating System)160を有する。ハードウェア220は、CPU(Central Processing Unit)221、メモリ222、タイマ223、ネットワークアダプタ224、周辺装置225を有する。
車両制御装置100の詳細について説明する前に、タスクスケジューリングに関する概要をまず説明する。OSが管理対象とするプログラムの並行実行の単位、すなわち1つのタスク中のプログラムは逐次的に実行されるのに対して、異なるタスクのプログラムは並行して実行される。ただし、並行して実行されるというのは、アプリケーションからみた概念的な動作であり、実装上はOSの制御のもとで、それぞれのタスクが時間駆動で実行される。タスクは1アプリケーションにつき最低1個生成される。
図6は、車両制御装置100の詳細を説明する図である。便宜上、アプリケーション部110が実行するタスクを、第1タスク111と第2タスク112に分類した。タスク実行制御部120は、安全要求レベルの低いアプリケーションを第1タスク111として処理し、安全要求レベルの高いアプリケーションを第2タスク112として処理するものとする。
スケジューリング部123は、前のスロットのタスクが実行完了しているか否か判定する。完了している場合はステップS106へスキップし、完了していない場合はステップS102へ進む。
スケジューリング部123は、スケジューリングテーブル1231が記述している当該タスクの時間エラー判定フラグを参照する。フラグが「する」であればステップS104へ進み、それ以外であればステップS103へ進む。
時間エラー判定フラグは、当該タスクがスロット時間内に完了したか否かを判定する場合は「する」にセットされている。すなわちそのタスクは、スロット時間内に完了することが予定されている。時間エラー判定フラグが「する」以外である場合、そのタスクは複数のスロットにまたがって実行されることが予定されている。ステップS103〜S105はこのことを前提にしている。
スケジューリング部123は、タスク状態管理部124を介して、前のスロットのタスク状態を待機状態へ遷移させる。本ステップを実施する場合、前のスロットのタスクはスロット時間内に完了しないことが予定されているからである。
スケジューリング部123は、前のスロットのエラーフラグを立てる(S104)。スケジューリング部123は、タスク状態管理部124を介して、前のスロットのタスクを強制終了して休止状態へ遷移させる(S105)。強制終了には時間を要するので、S105においてタスクを一時的に待機状態へ遷移させ、空いているスロットで休止状態へ遷移させてもよい。
スケジューリング部123は、スケジューリングテーブル1231が記述している終了時刻においてスケジューリング部123が動作開始するように、タイマ223をセットする(S106)。スケジューリング部123は、タスク状態管理部124を介して、現在のスロットに割り当てられたタスクを実行状態へ遷移させる(S107)。スロットにタスクが割り当てられていない場合には、そのスロットではタスクを動作させない。スケジューリング部123は以上のステップにしたがって、決められたスロット時間内でタスクを実行する。
本実施形態1に係る車両制御装置100は、安全要求レベルが高い第2タスク112(ASIL)を実行する際には共有データ部141に対してデータを書き込み、安全要求レベルが低い第1タスク111(QM)を実行する際には保護通信データ部143に対してデータを書き込む。妥当性検証部142は、保護通信データ部143に対して書き込まれたデータを検証した上で、共有データ部141に移行する。これにより、第2タスク112については遅延を防止しつつ、第1タスク111についてはデータの正常性を維持し、リアルタイム性とデータ正常性を両立することができる。
図14は、本発明の実施形態2に係る車両制御装置100の詳細を説明する図である。本実施形態2においては、タスクの信頼性を判断し、信頼できるタスクについては妥当性チェックを実施しないこととする。妥当性検証部142/スロット分類管理部131/スロット分類通知部132/保護適用判定部122以外の動作は実施形態1と同様であるので、以下では主に差異点について説明する。
スロット分類管理部131は、現在のスロットの信頼フラグが「非信頼」である場合は、信頼度カウンタを更新せずステップS1709へスキップする。それ以外であればステップS1702以降を実施する。
スロット分類管理部131は、現在の異常通信フラグがONであれば(S1702)、現在のスロットの信頼フラグを「非信頼」にセットし(S1703)、信頼度カウンタをリセットする(S1704)。現在の異常通信フラグがOFFであればステップS1705へ進む。
スロット分類管理部131は、現在の正常通信フラグがONであれば(S1705)、信頼度カウンタを1つインクリメントし(S1706)、信頼度カウンタが規定値以上に達すれば(S1707)、信頼フラグを「信頼」にセットする(S1708)。現在の正常通信フラグがOFFであるか、または信頼度カウンタが規定値未満であれば、ステップS1709へスキップする。
スロット分類管理部131は、信頼フラグと信頼度カウンタをセットした後、妥当性検証部142が立ち上げた異常通信フラグと正常通信フラグをOFFにする。
本実施形態2に係る車両制御装置100は、安全要求レベルが低い第1タスク111(QM)を実施する際には、信頼フラグによりその信頼度を判定し、信頼できる場合は妥当性チェックを省略する。また安全要求レベルが高い第2タスク112(ASIL)については、実施形態1と同様に信頼度によらず妥当性チェックを省略する。これにより、安全性を確保しつつ実行時間を確保することができる。
図20は、動作ログ151の例である。動作ログ管理部150は、後述するフローチャートにしたがって各タスクの動作ログ151を記録する。動作ログ151はデータフィールドとして、開始時刻、終了時刻、タスクID、終了時の状態、を有する。動作ログ151を記録することにより、各時刻におけるタスクの状態を確認することができる。また、異常なデータ通信を試みたタスクを発見することができる。特に終了時の状態を記録しておくことにより、タスクが正常に動作しているか、時間違反が発生したことによる強制終了か、異常通信を発生させたか、などを確認することができる。
スケジューリングテーブル1231、スロット分類テーブル1311、信頼度テーブル1312は、自動生成することもできる。例えば各タスクの周期や最悪実行時間などの設計データにしたがって、スケジューリングテーブル1231を自動生成することが考えられる。さらに、生成したスケジューリングテーブル1231を各タスクの安全要求レベルを用いて、スロット分類テーブル1311を自動生成することができる。信頼度テーブル1312は、各タスクの安全要求レベルから自動生成することができる。
本発明は上記実施形態に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施形態は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施形態の構成の一部を他の実施形態の構成に置き換える事が可能であり、また、ある実施形態の構成に他の実施形態の構成を加えることも可能である。また、各実施形態の構成の一部について他の構成の追加・削除・置換をすることができる。
110:アプリケーション部
111:第1タスク
112:第2タスク
120:タスク実行制御部
121:データアクセス制御部
122:保護適用判定部
123:スケジューリング部
124:タスク状態管理部
130:システム管理部
131:スロット分類管理部
132:スロット分類通知部
133:スロット時間監視部
140:共有データ管理部
141:共有データ部
142:妥当性検証部
143:保護通信データ部
150:動作ログ管理部
Claims (8)
- 車両の動作を制御する車両制御装置であって、
前記車両の動作を制御する第1および第2タスクを実行するタスク実行制御部を備え、 前記タスク実行制御部は、前記第1タスクに対してあらかじめ割り当てられた第1タイムスロットにおいて前記第1タスクを実行するとともに、前記第2タスクに対してあらかじめ割り当てられた第2タイムスロットにおいて前記第2タスクを実行し、
前記車両制御装置はさらに、前記第1および第2タイムスロットにおいて前記タスク実行制御部が実行するタスクが充足する必要がある安全要求レベルを前記タスク実行制御部に対して通知するスロット分類通知部を備え、
前記スロット分類通知部は、前記第1および第2タイムスロットそれぞれの開始時点において前記タスク実行制御部に対して前記安全要求レベルを通知することにより、前記タスク実行制御部が前記第1および第2タスクを実行する前に、前記第1および第2タスクが充足すべき安全条件を規定し、
前記車両制御装置はさらに、
前記第1タスクと前記第2タスクとの間で共有するデータを保持する共有データ部、 前記第1タスクと前記第2タスクとの間で共有するデータを前記共有データ部に格納する前に妥当性を検証するため一時的に保持する保護データ部、
を備え、
前記タスク実行制御部は、前記安全要求レベルが第1分類であるタスクを実行するときは前記保護データ部に対してデータを書き込み、
前記タスク実行制御部は、前記安全要求レベルが第2分類であるタスクを実行するときは前記共有データ部に対してデータを書き込み、
前記車両制御装置はさらに、前記第1タスクの信頼度と前記第2タスクの信頼度を定義する信頼度テーブルを備え、
前記タスク実行制御部は、前記安全要求レベルが前記第1分類でありかつ前記信頼度テーブルが定義している前記信頼度が閾値以上であるタスクを実行するときは、前記共有データ部に対してデータを書き込む
ことを特徴とする車両制御装置。 - 前記車両制御装置はさらに、前記保護データ部に対して書き込まれたデータの妥当性をチェックする妥当性検証部を備え、
前記妥当性検証部は、前記保護データ部が保持しているデータが妥当であると判断した場合はそのデータを前記共有データ部に移行する
ことを特徴とする請求項1記載の車両制御装置。 - 前記タスク実行制御部は、前記安全要求レベルが前記第1分類でありかつ前記信頼度テーブルが定義している前記信頼度が前記閾値未満であるタスクを実行するときは、前記保護データ部に対してデータを書き込む
ことを特徴とする請求項1記載の車両制御装置。 - 前記タスク実行制御部は、前記安全要求レベルが前記第2分類であるタスクを実行するときは、前記信頼度テーブルが定義している前記信頼度の値によらず、前記共有データ部に対してデータを書き込む
ことを特徴とする請求項1記載の車両制御装置。 - 前記車両制御装置はさらに、前記保護データ部に対して書き込まれたデータの妥当性をチェックする妥当性検証部を備え、
前記妥当性検証部は、前記保護データ部が保持しているデータが妥当であると判断した場合はそのデータを前記共有データ部に移行する
ことを特徴とする請求項1記載の車両制御装置。 - 前記車両制御装置はさらに、前記信頼度テーブルを更新する信頼度管理部を備え、
前記妥当性検証部は、前記タスク実行制御部が前記保護データ部に対してデータを書き込むごとに前記チェックを実施し、
前記信頼度管理部は、前記保護データ部に対して書き込まれたデータが妥当であると前記妥当性検証部が判断するごとに、前記保護データ部に対してデータを書き込んだタスクの前記信頼度を高める
ことを特徴とする請求項5記載の車両制御装置。 - 前記信頼度管理部は、前記保護データ部に対して書き込まれたデータが妥当でないと前記妥当性検証部が判断したときは、前記保護データ部に対してデータを書き込んだタスクの前記信頼度を前記閾値未満に下げる
ことを特徴とする請求項6記載の車両制御装置。 - 前記第1タスクの前記安全要求レベルと前記第2タスクの前記安全要求レベルは異なる ことを特徴とする請求項1記載の車両制御装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018024694A JP6968726B2 (ja) | 2018-02-15 | 2018-02-15 | 車両制御装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018024694A JP6968726B2 (ja) | 2018-02-15 | 2018-02-15 | 車両制御装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019139669A JP2019139669A (ja) | 2019-08-22 |
JP6968726B2 true JP6968726B2 (ja) | 2021-11-17 |
Family
ID=67694147
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018024694A Active JP6968726B2 (ja) | 2018-02-15 | 2018-02-15 | 車両制御装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6968726B2 (ja) |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5853716B2 (ja) * | 2012-01-17 | 2016-02-09 | トヨタ自動車株式会社 | 情報処理装置およびタスク制御方法 |
JP2016066139A (ja) * | 2014-09-24 | 2016-04-28 | 日立オートモティブシステムズ株式会社 | 車両制御装置 |
WO2017056725A1 (ja) * | 2015-09-30 | 2017-04-06 | 日立オートモティブシステムズ株式会社 | 車載制御装置 |
-
2018
- 2018-02-15 JP JP2018024694A patent/JP6968726B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2019139669A (ja) | 2019-08-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2851799B1 (en) | Fault tolerant batch processing | |
JP4738413B2 (ja) | ソース・データをターゲット・データに移行する方法及びシステム | |
US9396353B2 (en) | Data allocation among devices with different data rates | |
JP5516744B2 (ja) | スケジューラ、マルチコアプロセッサシステムおよびスケジューリング方法 | |
JP5273043B2 (ja) | 情報処理装置、実行環境転送方法及びそのプログラム | |
US11243808B2 (en) | Information processing apparatus and storage medium storing execution control program | |
US11934865B2 (en) | Vehicle control system for dynamically updating system components | |
WO2022009741A1 (ja) | 電子制御装置 | |
JP6968726B2 (ja) | 車両制御装置 | |
US20060288049A1 (en) | Method, System and computer Program for Concurrent File Update | |
JP2006031203A (ja) | 車載情報端末 | |
JP6861591B2 (ja) | 車両制御装置 | |
JP2014146366A (ja) | マルチコアプロセッサシステム、マルチコアプロセッサシステムの制御方法および制御プログラム | |
CN110959152B (zh) | 访问控制装置 | |
US10834021B1 (en) | Dynamic management of concurrent access to shared computing resources | |
JP2007058412A (ja) | 車載システム及び車載システムにおけるリソースの管理方法 | |
KR102544755B1 (ko) | 분산 저장 방법 및 장치, 전자 기기, 컴퓨터 판독 가능 매체 및 컴퓨터 프로그램 제품 | |
JP7236939B2 (ja) | 制御装置および制御方法 | |
WO2020179344A1 (ja) | 車両制御装置 | |
US10146478B1 (en) | Providing concurrent access to shared computing resources by interleaving commands and maintaining a consistent object state | |
JP2010026575A (ja) | スケジューリング方法およびスケジューリング装置並びにマルチプロセッサシステム | |
KR102268796B1 (ko) | 하이퍼바이저 기반 plc 서비스 처리 장치 | |
JP5146272B2 (ja) | 情報処理装置 | |
EP1736872A2 (en) | Method, system and computer program for concurrent file update | |
JP2022078486A (ja) | 記憶制御システム、及び、記憶制御方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200727 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210714 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210810 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20211006 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20211019 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20211027 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6968726 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |