JP7204471B2 - VEHICLE ELECTRONIC CONTROL DEVICE, ABNORMAL SIGNAL GENERATING METHOD, ABNORMAL SIGNAL GENERATING PROGRAM - Google Patents

VEHICLE ELECTRONIC CONTROL DEVICE, ABNORMAL SIGNAL GENERATING METHOD, ABNORMAL SIGNAL GENERATING PROGRAM Download PDF

Info

Publication number
JP7204471B2
JP7204471B2 JP2018237890A JP2018237890A JP7204471B2 JP 7204471 B2 JP7204471 B2 JP 7204471B2 JP 2018237890 A JP2018237890 A JP 2018237890A JP 2018237890 A JP2018237890 A JP 2018237890A JP 7204471 B2 JP7204471 B2 JP 7204471B2
Authority
JP
Japan
Prior art keywords
signal
abnormal signal
signal generation
abnormal
electronic control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018237890A
Other languages
Japanese (ja)
Other versions
JP2020101877A (en
Inventor
ハイロ ロペス
拓郎 森
亮輔 安岡
朋仁 蛯名
一 芹沢
亮輔 林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Astemo Ltd
Original Assignee
Hitachi Astemo Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Astemo Ltd filed Critical Hitachi Astemo Ltd
Priority to JP2018237890A priority Critical patent/JP7204471B2/en
Priority to PCT/JP2019/045590 priority patent/WO2020129531A1/en
Publication of JP2020101877A publication Critical patent/JP2020101877A/en
Application granted granted Critical
Publication of JP7204471B2 publication Critical patent/JP7204471B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/36Preventing errors by testing or debugging software

Description

本発明は、車両用電子制御装置、異常信号生成方法、異常信号生成プログラムに関する。 The present invention relates to a vehicle electronic control unit, an abnormality signal generation method, and an abnormality signal generation program.

ハードウエアとソフトウエアの統合化が進む中、ソフトウエアとハードウエアとの互換性を検証することが重要である。特に、多様なセンサ等のハードウエアシステム及び当該センサのロジックを制御するアプリ等のソフトウエアシステムが搭載される自動車では、車両に関する機能安全規格を満たし、安全性を確保するために、搭載されるハードウエアシステムまたはソフトウエアシステムが故障した場合に、自動車全体にどのような影響が与えられるかを検証し、システム間のやり取りに生じる信号を制御する手法が求められている。 As integration of hardware and software progresses, it is important to verify compatibility between software and hardware. In particular, in automobiles equipped with hardware systems such as various sensors and software systems such as applications that control the logic of the sensors, it is necessary to meet the functional safety standards for vehicles and ensure safety. There is a need for a method to verify how the entire vehicle is affected when a hardware or software system fails, and to control the signals that occur in interactions between systems.

これに対して、特開2013-161299号公報(特許文献1)には、「複数のプログラムが記憶されたプログラム記憶手段13と、前記プログラムを実行する1つ以上の演算手段11と、外部の回路と通信可能な複数のインタフェース20と、を有する情報処理装置100であって、前記プログラムがアクセス可能な前記インタフェースが登録されたインタフェース登録テーブル34と、前記インタフェースにアクセス要求した前記プログラムが、前記インタフェースにアクセスすることが許可されている場合、前記プログラムの代わりに前記インタフェースにアクセスするアクセス制御手段33と、を有する」が記載されている。 On the other hand, Japanese Patent Application Laid-Open No. 2013-161299 (Patent Document 1) describes "a program storage means 13 storing a plurality of programs, one or more computing means 11 for executing the programs, and an external An information processing apparatus 100 having a plurality of interfaces 20 capable of communicating with circuits, wherein an interface registration table 34 in which the interfaces accessible by the program are registered, and the program requesting access to the interface and access control means 33 for accessing said interface instead of said program if access to the interface is permitted."

特開2013-161299号公報JP 2013-161299 A

上記の特許文献1においては、自動車に搭載されるECU等の制御装置と、ハイパーバイザ上に動作するアプリケーションとのI/Oを制御する情報処理装置が記載されている。特許文献1に係る発明によれば、あるアプリケーションが特定のI/Oポート(例えば、ECUのI/Oポート)にアクセスする命令を実行し、当該命令に対してアクセス違反が検出された場合には、ハイパーバイザがアプリケーションの代わりに当該命令を実行することにより、アクセス違反を防止することができる。 The above-mentioned Patent Literature 1 describes an information processing device that controls I/O between a control device such as an ECU mounted on an automobile and an application that operates on a hypervisor. According to the invention of Patent Document 1, when an application executes an instruction to access a specific I/O port (for example, an I/O port of an ECU) and an access violation is detected for the instruction, can prevent access violations by having the hypervisor execute the instructions on behalf of the application.

しかし、特許文献1では、自動車に搭載されるハードウエアシステムまたはソフトウエアシステムの故障をシミュレート及び評価することが検討されていない。このため、ハードウエアまたはソフトウエアの動作を検証するためには、HILS(Hardware In the Loop Simulation)やvHILS(Virtual Hardware in the Loop Simulation)等のシミュレーション手段、あるいはハードウエアの直接的な変更が必要となる。しかし、これらのシミュレーション手段は導入コストが高く、ハードウエアの直接的な変更では、速いペースで進化していく車載用デバイスのニーズに対応することが難しい。また、自動車に搭載されるハードウエア及びソフトウエアシステムの耐故障性検証のニーズに充分応えられてないといった課題がある。 However, Patent Literature 1 does not discuss simulating and evaluating failures in hardware or software systems installed in automobiles. Therefore, in order to verify the operation of hardware or software, simulation methods such as HILS (Hardware In the Loop Simulation) and vHILS (Virtual Hardware in the Loop Simulation), or direct modification of the hardware are required. becomes. However, these simulation methods are expensive to introduce, and it is difficult to respond to the needs of automotive devices, which are evolving at a rapid pace, through direct hardware changes. In addition, there is a problem that the need for failure tolerance verification of hardware and software systems installed in automobiles cannot be sufficiently met.

そこで、本発明は、コストの高いシミュレーション手段の導入や検証対象のシステムの変更を行うことなく、自動車に搭載されるシステムが故障した場合の影響を検証する手段を提供することを目的とする。 SUMMARY OF THE INVENTION Accordingly, it is an object of the present invention to provide means for verifying the effects of a failure in a system mounted on an automobile without introducing expensive simulation means or changing the system to be verified.

上記の課題を解決するために、代表的な本発明の異常信号生成ハイパーバイザを含む車両用電車制御装置の一つは、ハイパーバイザを含む車両用電子制御装置であって、前記ハイパーバイザは、異常信号生成部と、信号転送部とを備え、前記異常信号生成部は、信号生成に関する条件を定める信号生成テーブルに基づき、異常信号を生成し、前記信号転送部は、前記異常信号をテスト用実行環境に転送する。 In order to solve the above-mentioned problems, one typical vehicle train control device including an abnormal signal generating hypervisor of the present invention is a vehicle electronic control device including a hypervisor, the hypervisor comprising: An abnormal signal generator and a signal transfer unit, wherein the abnormal signal generator generates an abnormal signal based on a signal generation table that defines conditions for signal generation, and the signal transfer unit transmits the abnormal signal for testing. Transfer to the execution environment.

本発明によれば、コストの高いシミュレーション手段の導入やハードウエアシステム及びソフトウエアシステムの変更を行うことなく、自動車に搭載されるシステムが故障した場合の影響を検証することができる。
上記した以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。 According to the present invention, it is possible to verify the effects of failure of a system mounted on an automobile without introducing expensive simulation means or changing hardware and software systems.
Problems, configurations, and effects other than those described above will be clarified by the following description of the embodiments.

本発明に係る車両用電子制御装置の一例を示すブロック図である。1 is a block diagram showing an example of a vehicle electronic control device according to the present invention; FIG. 本発明に係る分散型システムの一例を示す図である。1 is a diagram showing an example of a distributed system according to the present invention; FIG. 本発明に係る信号生成テーブルの一例を示す図である。It is a figure which shows an example of the signal generation table based on this invention. 本発明に係る実施例1において、ハードウエアシステム又はソフトウエアシステムから受信した信号を用いて異常信号を生成する処理の一例を示す図である。FIG. 4 is a diagram showing an example of processing for generating an abnormal signal using a signal received from a hardware system or a software system in Embodiment 1 according to the present invention; 本発明に係る実施例1において、ハードウエアシステム又はソフトウエアシステムの状態情報を用いて異常信号を生成する処理の一例を示す図である。FIG. 4 is a diagram showing an example of processing for generating an abnormal signal using state information of a hardware system or a software system in Embodiment 1 according to the present invention;

以下、図面を参照して、本発明の実施形態について説明する。なお、この実施形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。 Hereinafter, embodiments of the present invention will be described with reference to the drawings. It should be noted that the present invention is not limited by this embodiment. Moreover, in the description of the drawings, the same parts are denoted by the same reference numerals.

[実施例1の概要]
本発明では、自動車に搭載されるハードウエアシステム(Electric Control Unit、映像撮影システム、ブレーキ制御システム等)と、ソフトウエアシステム(Operating System等のスーパーバイザ及びその上に実装されるアプリ)との間のやり取り(信号の通信など)を制御するハイパーバイザが用いられる。一般的には、ハードウエアシステムやソフトウエアシステムにおいて生じる信号は、信号の発生源から直接に送信先に送信される。しかし、本発明では、特定のアプリ又はハードウエア宛に送信される信号は、送信先に到達する前に、ハイパーバイザで一旦捕捉され、予め用意される信号生成テーブルに基づいて異常信号が生成される。このように、信号生成テーブルに基づいて異常信号が送信先(テスト用実行環境となる検証対象のシステム)に転送されることで、送信先のシステムにおいて所望の故障を模擬的にシミュレートすることができる。また、異常信号を送信先に転送した後、宛先のシステムにおける動作の結果(システムがどう反応したか)をデータログ等で記録することで、異常信号がシステムに与えた影響を評価・検証することができる。これにより、自動車に搭載されるハードウエアシステムとソフトウエアシステムの互換性を、コストの高いシミュレーション手段の導入やハードウエアシステム及びソフトウエアシステムの変更を用いることなく、検証することが可能となる。 [Outline of Example 1]
In the present invention, the hardware system installed in the automobile (Electric Control Unit, video shooting system, brake control system, etc.) and the software system (Supervisor such as Operating System and application installed thereon) A hypervisor is used to control interactions (communication of signals, etc.). In general, signals originating in hardware or software systems are transmitted directly from their source to their destination. However, in the present invention, a signal sent to a specific application or hardware is captured by the hypervisor before it reaches the destination, and an abnormal signal is generated based on a signal generation table prepared in advance. be. In this way, the abnormal signal is transferred to the destination (the system to be verified as the test execution environment) based on the signal generation table, thereby simulating a desired failure in the destination system. can be done. In addition, after transmitting the abnormal signal to the destination, the result of the operation in the destination system (how the system reacted) is recorded in a data log, etc. to evaluate and verify the impact of the abnormal signal on the system. be able to. This makes it possible to verify the compatibility of the hardware and software systems installed in the automobile without introducing expensive simulation means or changing the hardware and software systems.

まず、図1を参照して、本発明に係る車両用電子制御装置1300の構成について説明する。車両用電子制御装置1300とは、自動車における様々な機能を総合的に制御し、車両に搭載されるセンサ等のハードウエアシステム及び当該ハードウエアシステムのロジックを制御するアプリ等のソフトウエアシステムを管理するシステムである。図1に示されるように、車両用電子制御装置1300は、仮想化環境1200と、ハイパーバイザ1100と、ECU1000とを含む。 First, the configuration of a vehicle electronic control unit 1300 according to the present invention will be described with reference to FIG. The vehicle electronic control unit 1300 comprehensively controls various functions in the vehicle, and manages hardware systems such as sensors installed in the vehicle and software systems such as applications that control the logic of the hardware systems. It is a system that As shown in FIG. 1, the vehicle electronic control unit 1300 includes a virtual environment 1200, a hypervisor 1100, and an ECU 1000. FIG.

ECU(Electronic Control Unit)1000とは、エンジン、モーター、メーター、トランスミッション、ブレーキ、エアバッグ、ランプ、パワーステアリング、パワーウィンドウ、カーエアコン、電子キーの車両側受信部、カーオーディオ、カーナビゲーションシステム、カメラ、温度計、各種センサ等の機能を制御する補助装置である。図1に示されるように、ECU1000は、複数のCPU1010、1015と、メモリ1030と、ハードウエア信号を発信するハードウエア信号転送部1020とを含む。
なお、図1では、CPUを二つ有し、メモリとハードウエア信号転送部を1つずつ有するECU1000を示したが、本発明はそれに限定されず、各部品の数を適宜に変更してもよい。 ECU (Electronic Control Unit) 1000 refers to the engine, motor, meter, transmission, brake, airbag, lamp, power steering, power window, car air conditioner, electronic key receiver, car audio, car navigation system, and camera. , thermometer, and various sensors. As shown in FIG. 1, ECU 1000 includes a plurality of CPUs 1010 and 1015, a memory 1030, and a hardware signal transfer section 1020 that transmits hardware signals.
Although FIG. 1 shows the ECU 1000 having two CPUs and one memory and one hardware signal transfer unit, the present invention is not limited to this, and the number of parts may be changed as appropriate. good.

次に、ハイパーバイザ1100について説明する。
一般的に、自動車などに搭載される電子処理システムは、RAMやCPUなどのハードウエア資源を提供するハードウエア層と、一つまたは複数の仮想機械の稼働を管理するハイパーバイザ層と、それぞれの仮想機械のOS(Operating System)を実装するスーパーバイザ層と、アプリケーションソフトウェアが稼働するアプリケーション層からなる。そして、ハイパーバイザは、仮想機械を制御する上位の制御プログラムとして、下位の層で実装されるスーパーバイザやアプリケーションソフトウェアにリソースの分配などを行う。そして、本発明におけるハイパーバイザは、外部の装置とのコミュニケーションを統括する。つまり、本発明におけるハイパーバイザ1100は、ECU1000(すなわち、ハードウエア層)と、後述する仮想化環境1200(すなわち、スーパーバイザ層及びアプリケーション層)の稼働を管理し、ECU1000と仮想化環境1200との間におけるコミュニケーション(信号のやり取りなど)を制御するものである。 Next, the hypervisor 1100 will be explained.
In general, an electronic processing system installed in an automobile or the like consists of a hardware layer that provides hardware resources such as RAM and CPU, and a hypervisor layer that manages the operation of one or more virtual machines. It consists of a supervisor layer that implements the OS (Operating System) of the virtual machine and an application layer that runs application software. As a high-level control program that controls the virtual machine, the hypervisor distributes resources to supervisors and application software implemented in lower layers. The hypervisor in the present invention controls communication with external devices. In other words, the hypervisor 1100 in the present invention manages the operations of the ECU 1000 (that is, the hardware layer) and the virtual environment 1200 (that is, the supervisor layer and the application layer), which will be described later. It controls communication (exchange of signals, etc.) in

図1に示されるように、ハイパーバイザ1100は、ECU1000及び仮想化環境1200から生じる信号を送受信する信号転送部1110と、後述する処理によって異常信号(所望の故障を検証対象のシステムにおいて模擬的に引き起こす信号)を生成する異常信号生成部1120と、異常信号の生成条件を示す信号生成テーブル1121と、信号のハイパーバイザにおける動作や生成結果を記録するデータログ1130とを含む。
また、図1に示されるように、信号転送部1110は、異常信号生成部1120と通信可能であり、異常信号生成部1120は、信号転送部1110で受信される信号と、信号生成テーブル1121とに基づいて、異常信号を生成する。ハイパーバイザは、ECU1000におけるCPU1010、1015やメモリ1030などのリソースを用いて、仮想化環境1200を構成する。
なお、図1では、ECU1000が1つのハードウエア信号転送部1020を備える場合を示しているが、ハードウエア信号転送部1020を複数備えられてもよい。そして、ハードウエア信号転送部1020が複数備えられている場合には、それぞれのハードウエア信号転送部に対応する信号転送部ga信号転送部1110内に備えられていてもよい。 As shown in FIG. 1, the hypervisor 1100 includes a signal transfer unit 1110 that transmits and receives signals generated from the ECU 1000 and the virtual environment 1200, and an abnormal signal (a desired failure that is simulated in the system to be verified) by processing described later. signal), a signal generation table 1121 indicating conditions for generating the abnormal signal, and a data log 1130 for recording the operation and generation results of the signal in the hypervisor.
In addition, as shown in FIG. 1, the signal transfer unit 1110 can communicate with the abnormal signal generation unit 1120, and the abnormal signal generation unit 1120 can transmit signals received by the signal transfer unit 1110 and the signal generation table 1121. to generate an anomaly signal. The hypervisor configures a virtual environment 1200 using resources such as CPUs 1010 and 1015 and memory 1030 in ECU 1000 .
Although FIG. 1 shows the case where the ECU 1000 includes one hardware signal transfer unit 1020, a plurality of hardware signal transfer units 1020 may be provided. When a plurality of hardware signal transfer units 1020 are provided, the signal transfer units ga corresponding to the respective hardware signal transfer units may be provided in the signal transfer unit 1110 .

仮想化環境1200とは、ハイパーバイザ1100によって構成され、仮想機械やアプリケーションを互いに独立した状態で実行させる論理空間である。図1に示されるように、仮想化環境1200内には、1つまたは複数のスーパーバイザ1210が実装される。このスーパーバイザ1210は、後述するアプリケーションにリソースを与え、当該アプリケーションの動作を管理するものであり、例えば、WindowsやLinux等のOS(オペレーティングシステム)であってもよい。スーパーバイザ1210には、スーパーバイザ上で稼働するアプリケーションのリソース使用率や動作の結果を記録するデータログ1211を備える。上述したように、スーパーバイザ1210の上では、アプリケーション(以下、「アプリ」という)1212が実装される。そして、アプリ1212は、車載のセンサ等のハードウエアの制御を行うプログラムであり、例えば、カメラ等のセンサによって撮像される画像を処理する画像処理プログラムであってもよい。
また、上述したように、アプリ1212は、ハイパーバイザ1100の信号転送部1110を介して、ECU1000に信号を送信したり、ECUから信号を受信したりする。さらに、アプリ1212は、アプリ内におけるリソース使用率や動作の結果を記録するデータログ1213を備える。 The virtualization environment 1200 is a logical space configured by the hypervisor 1100 and executing virtual machines and applications independently of each other. As shown in FIG. 1, one or more supervisors 1210 are implemented within the virtualized environment 1200 . The supervisor 1210 provides resources to an application described later and manages the operation of the application, and may be an OS (operating system) such as Windows or Linux, for example. The supervisor 1210 has a data log 1211 that records the resource usage and operation results of applications running on the supervisor. As described above, an application (hereinafter referred to as “app”) 1212 is implemented on the supervisor 1210 . The application 1212 is a program for controlling hardware such as an in-vehicle sensor. For example, the application 1212 may be an image processing program for processing an image captured by a sensor such as a camera.
Also, as described above, the application 1212 transmits signals to the ECU 1000 and receives signals from the ECU via the signal transfer unit 1110 of the hypervisor 1100 . Furthermore, the application 1212 has a data log 1213 that records resource usage and operation results within the application.

図1に示されるデータログ分析部1400は、車両用電子制御装置1300内に備えられていてもよく、ネットワークを介して車両用電子制御装置1300と通信を行う遠隔のデバイスに備えられていてもよい。ここで、データログ分析部1400とは、ハイパーバイザのデータログ1130と、スーパーバイザ1210のデータログ1211と、アプリ1212のデータログ1213のデータを取得し、後述する処理によって生成される異常信号の動作結果を分析するものである。データログ分析部1400は、例えば、ECU1000から発信された信号に基づいて生成した異常信号を信号転送部1110によってアプリ1212に送信した場合に、ハイパーバイザ、スーパーバイザ、及びアプリのそれぞれにおける影響を評価するために、それぞれのデータログの情報を取得して分析してもよい。 The data log analysis unit 1400 shown in FIG. 1 may be provided in the vehicle electronic control unit 1300, or may be provided in a remote device that communicates with the vehicle electronic control unit 1300 via a network. good. Here, the data log analysis unit 1400 acquires the data of the data log 1130 of the hypervisor, the data log 1211 of the supervisor 1210, and the data log 1213 of the application 1212, and operates the abnormal signal generated by the process described later. Analyze the results. Data log analysis unit 1400, for example, when an abnormal signal generated based on a signal transmitted from ECU 1000 is transmitted to application 1212 by signal transfer unit 1110, evaluates the influence on each of the hypervisor, supervisor, and application. For this purpose, the information in each data log may be obtained and analyzed.

次に、図1に示される車両用電子制御装置1300の具体例を説明する。ハードウエア信号転送部1020がIntelのAPIC(登録商標),AMDのAVID(登録商標)、ARMのGIC(登録商標)、又はARMのAMBA(登録商標)仕様のデバイス等として構成された場合には、信号転送部1110は、ハードウエア信号転送部1020から転送されるハードウエア信号をハイパーバイザで捕捉する構成にしてもよい。ここで説明した例以外にも、車両用電子制御装置1300を用いる様々な具体例は可能である。 Next, a specific example of the vehicle electronic control unit 1300 shown in FIG. 1 will be described. If the hardware signal transfer unit 1020 is configured as an Intel APIC (registered trademark), AMD AVID (registered trademark), ARM GIC (registered trademark), or ARM AMBA (registered trademark) specification device, , the signal transfer unit 1110 may be configured such that the hardware signal transferred from the hardware signal transfer unit 1020 is captured by the hypervisor. Various specific examples using the vehicle electronic control unit 1300 are possible other than the example described here.

次に、図2を参照して、本発明に係る分散型システム100の構成の一例について説明する。以上では、本発明に係る仮想化環境、ハイパーバイザ、及びECUが一体となる車両用電子制御装置について説明したが、本発明はそれに限定されず、上述した車両用電子制御装置の構成要素がお互いに離れており、インターネット等のネットワークにより接続される構成も可能である。 Next, an example of the configuration of the distributed system 100 according to the present invention will be described with reference to FIG. In the above, the virtualization environment, the hypervisor, and the ECU according to the present invention have been described as an electronic control device for a vehicle. A configuration in which they are separated from each other and connected by a network such as the Internet is also possible.

図2に示されるように、分散型システム100は、中央サーバ150と、ECU118、119をそれぞれ搭載する自動車120、121と、ネットワーク175とからなる。中央サーバ150は、ネットワーク175を介して自動車120、121と接続される。 As shown in FIG. 2 , the distributed system 100 consists of a central server 150 , vehicles 120 and 121 carrying ECUs 118 and 119 respectively, and a network 175 . Central server 150 is connected to vehicles 120 , 121 via network 175 .

中央サーバ150は、仮想化環境110と、ハイパーバイザ112とを含む検証部104と、CPU113と、メモリ114と、記憶部115と、通信部116とを含むリソース管理部106とからなる。
中央サーバ150とは、検証対象のシステム(アプリ等のソフトウエア又はECU等のハードウエアシステム)の耐故障性を検証するために、特定のエラーや故障を引き起こす異常信号の影響を検証するテスト用実行環境111を提供するサーバ装置である。このテスト用実行環境111とは、異常信号を模擬的にシミュレートし、当該信号の動作結果や影響を検証・分析するための空間である。
なお、本実施例では、一例として、テスト用実行環境111が仮想化環境において作成される論理空間を説明するが、テスト用実行環境111はこれに限定されず、特定のハードウエアデバイスとしてもよい。例えば、テスト用実行環境111は、異常信号の動作・影響を検証するために予め設定されたECU、カメラ、自動運転システム、ブレーキ制御部等のハードウエアであってもよい。 The central server 150 includes a virtualization environment 110 , a verification unit 104 including a hypervisor 112 , a resource management unit 106 including a CPU 113 , a memory 114 , a storage unit 115 and a communication unit 116 .
The central server 150 is a test execution server that verifies the effects of abnormal signals that cause specific errors and failures in order to verify the fault tolerance of the verification target system (software such as applications or hardware systems such as ECUs). It is a server device that provides the environment 111 . The test execution environment 111 is a space for simulating an abnormal signal and verifying/analyzing the operation result and influence of the signal.
In this embodiment, as an example, the test execution environment 111 is described as a logical space created in a virtual environment, but the test execution environment 111 is not limited to this, and may be a specific hardware device. . For example, the test execution environment 111 may be hardware such as an ECU, a camera, an automatic driving system, a brake control unit, etc. that are set in advance to verify the operation and influence of an abnormal signal.

中央サーバ150のハイパーバイザ112は、CPU113、メモリ114、及び記憶部115の物理リソースを用いて、テスト用実行環境111を含む仮想化環境110を作成する。また、ハイパーバイザ112は、上述したように、異常信号生成部117を含んでいる。この異常信号生成部117は、検証対象のシステムの耐故障性を検証するための異常信号を生成する機能部である。そして、異常信号生成部117は、例えば自動車120、121のECU118、119からの信号(元信号)をネットワーク175を介して受信し、後述する異常信号生成テーブルに基づいて受信した信号を加工し、これをテスト用実行環境111に転送してもよい。あるいは、新たな異常信号を異常信号生成テーブルに基づいて生成して、この異常信号をECU118又は119に転送してもよい。 The hypervisor 112 of the central server 150 creates the virtual environment 110 including the test execution environment 111 using the physical resources of the CPU 113 , memory 114 and storage unit 115 . The hypervisor 112 also includes the anomaly signal generator 117 as described above. The anomaly signal generation unit 117 is a functional unit that generates an anomaly signal for verifying fault tolerance of the system to be verified. The abnormal signal generator 117 receives, for example, signals (original signals) from the ECUs 118 and 119 of the automobiles 120 and 121 via the network 175, processes the received signals based on an abnormal signal generation table described later, This may be transferred to the test execution environment 111 . Alternatively, a new abnormality signal may be generated based on the abnormality signal generation table and this abnormality signal may be transferred to the ECU 118 or 119 .

このような分散型システム100を用いて、共通の仮想化環境下で、複数の検証対象のシステム(自動車等)に対応することにより、検証対象のシステムごとに仮想化環境を用意することが不要となり、システムのリソース(CPU,メモリ、I/O、ストレージ)を大幅に節約することができる。 By using such a distributed system 100 and supporting a plurality of verification target systems (automobiles, etc.) under a common virtualization environment, there is no need to prepare a virtualization environment for each verification target system. As a result, system resources (CPU, memory, I/O, storage) can be greatly saved.

次に、図3を参照して、本発明に係る信号生成テーブル1121の構成について説明する。信号生成テーブル1121は、検証対象のシステム(アプリ等のソフトウエア又はECU等のハードウエアシステム)の耐故障性を検証するための異常信号(模擬故障信号)の生成条件を示すテーブルである。図3に示されるように、信号生成テーブル1121では、信号を識別する識別子である入力・出力信号IDと、信号のタイミングに関する信号タイミング条件と、信号のデータに関する信号データ条件とが定められている、信号生成テーブル1121は手動でユーザによって作成されてもよく、後述するように、過去の異常データの分析に基づいて、人工知能によって自動的に作成されてもよい。 Next, the configuration of the signal generation table 1121 according to the present invention will be described with reference to FIG. The signal generation table 1121 is a table showing conditions for generating an abnormal signal (simulated failure signal) for verifying fault tolerance of a verification target system (software such as an application or hardware system such as an ECU). As shown in FIG. 3, the signal generation table 1121 defines an input/output signal ID that is an identifier for identifying a signal, a signal timing condition regarding signal timing, and a signal data condition regarding signal data. , the signal generation table 1121 may be manually created by the user, or may be created automatically by artificial intelligence based on analysis of past anomaly data, as described below.

図3に示されるように、信号生成テーブル1121は、信号転送部(例えば、図1における信号転送部1110)によって受信される信号のうち、加工対象の信号を識別する入力信号ID1122と、対象の信号を出力する際に割り当てる識別子を示す出力信号ID1123と、対象の信号に対して適用するタイミングの変更(遅延等)を示す信号タイミング条件1124と、対象の信号に対して適用するデータの変更を示す信号データ条件1125と、対象の信号を送信したシステムまたは対象の信号を受信するシステムの状態(異常、正常、信号を送受信してない期間等)を示す状態情報1126とを含む。この状態情報(「システム状態」ということもある)1126とは、例えば、信号の送信先となるアプリやスーパーバイザ(またはセンサ等のハードウエアデバイス)、のリソース使用率やI/Oデータ通信量が正常か否かを示す情報であってもよい。また、送信先となるソフトウエアシステム又はハードウエアシステムが正常でない場合には、当該システムの異常を示すエラーメッセージ(所定期間内には信号が届いていない、メモリ不足等)を示していてもよい。
なお、説明を簡易にするため、入力識別ID1122が1桁の数字である場合を図3に示しているが、本発明はこれに限定されない。例えば、入力識別ID1122は、特定の信号を一意に識別する文字列であってもよく、特定の信号の種類を示すものであってもよい。信号生成テーブル1121が用いられる処理については後述する。 As shown in FIG. 3, the signal generation table 1121 includes an input signal ID 1122 that identifies a signal to be processed among signals received by the signal transfer unit (for example, the signal transfer unit 1110 in FIG. 1), and an input signal ID 1122 that identifies a signal to be processed. An output signal ID 1123 indicating an identifier assigned when outputting a signal, a signal timing condition 1124 indicating a timing change (delay, etc.) to be applied to the target signal, and a data change to be applied to the target signal. and state information 1126 indicating the state of the system that transmitted the signal of interest or the system that received the signal of interest (abnormal, normal, period during which no signal is transmitted or received, etc.). This state information (also referred to as "system state") 1126 indicates, for example, the resource usage rate and I/O data traffic volume of an application or supervisor (or a hardware device such as a sensor) to which a signal is to be sent. It may be information indicating whether it is normal or not. In addition, if the software system or hardware system to be the destination is not normal, an error message indicating an abnormality in the system (no signal received within a predetermined period, insufficient memory, etc.) may be displayed. .
To simplify the explanation, FIG. 3 shows the case where the input identification ID 1122 is a single digit number, but the present invention is not limited to this. For example, the input identification ID 1122 may be a character string that uniquely identifies a specific signal, or may indicate the type of the specific signal. Processing using the signal generation table 1121 will be described later.

上述したように、信号生成テーブル1121は、過去の異常データの分析に基づいて、人工知能によって自動的に生成されてもよい。ここで、人工知能とは、例えば、ルールベースの機械学習、ディープラーニング、次元削減方法、アンサンブル学習、インスタンスベースアルゴリズム、回帰分析、ベイジアンネットワーク、ニューラルネットワーク、クラスター分析、強化学習、又はこれらの技術と他の技術の組み合わせ等が上げられる。
これらの人工知能は、例えば、蓄積された過去の異常データを分析し、様々な条件化でどのような異常信号が生じるか、ソフトウエアシステム又はハードウエアシステムが特定の異常信号を受信した場合にどのように作動するか等を学習し、学習モデルを構築してもよい。そして、構築した学習モデルを使用することで、検証対象となるシステムに特定の異常状態を発生させるための最適な異常信号生成条件を導出し、これらの生成条件を信号生成テーブル1121として定めてもよい。これにより、特定の異常状態を最適に引き起こせる条件を自動的に生成することができる。 As noted above, the signal generation table 1121 may be automatically generated by artificial intelligence based on analysis of past anomaly data. Here, artificial intelligence is, for example, rule-based machine learning, deep learning, dimensionality reduction method, ensemble learning, instance-based algorithm, regression analysis, Bayesian network, neural network, cluster analysis, reinforcement learning, or these technologies A combination of other techniques and the like can be mentioned.
These artificial intelligences, for example, analyze accumulated past anomaly data, determine what kind of anomaly signals occur under various conditions, and determine when a software system or hardware system receives a specific anomaly signal. You may learn how it works and build a learning model. Then, by using the constructed learning model, optimal abnormal signal generation conditions for generating a specific abnormal state in the system to be verified are derived, and these generation conditions are defined as the signal generation table 1121. good. This allows automatic generation of conditions that can optimally trigger a particular abnormal condition.

次に、図4を参照して、ハードウエアシステム又はソフトウエアシステムから受信した信号を用いて異常信号を生成する処理について説明する。上述したように、本処理は対象のシステム(アプリ等のソフトウエア又はECU等のハードウエア等)の耐故障性を検証するために、ハードウエアシステム又はソフトウエアシステムから受信した信号(元信号)を、信号生成テーブル1121(図3参照)に示される生成条件に基づいて加工し、異常信号を生成する処理である。
なお、以下の説明では、アプリ宛の信号をECU側から発信する例として説明するが、本発明はこれに限定されない。例えば、本処理は、特定のソフトウエアシステム宛の信号をハードウエア側から発信する場合に適用してもよく、特定のハードウエアシステム宛の信号をソフトウエア側から発信する場合に適用してもよい(すなわち、検証対象のシステムがソフトウエアかハードウエアかは任意である)。 Next, with reference to FIG. 4, the process of generating an anomaly signal using a signal received from a hardware system or software system will be described. As described above, in order to verify the fault tolerance of the target system (software such as applications, hardware such as ECU, etc.), this process receives a signal (original signal) from a hardware system or software system. , processing based on the generation conditions shown in the signal generation table 1121 (see FIG. 3) to generate an abnormal signal.
In the following description, an example in which a signal addressed to an application is transmitted from the ECU side will be described, but the present invention is not limited to this. For example, this processing may be applied when a signal addressed to a specific software system is sent from the hardware side, or applied when a signal addressed to a specific hardware system is sent from the software side. Good (that is, it does not matter whether the system to be verified is software or hardware).

ステップ2000では、特定のアプリ(例えば、図1に示されるアプリ1212)又はECU(例えば、図1に示されるECU1000)宛の信号(元信号)がECU又はアプリにおいて発生する。上述したように、この信号は、ECUにおいて発生したアプリ宛の信号であってもよいし、アプリにおいて発生したECU向けの信号であってもよい。具体的には、この信号は、カメラによって取得された画像データを、仮想化環境で稼働する画像処理アプリに加工させる要求信号などが該当する。 In step 2000, a signal (original signal) directed to a particular app (eg, app 1212 shown in FIG. 1) or ECU (eg, ECU 1000 shown in FIG. 1) is generated in the ECU or app. As described above, this signal may be a signal generated in the ECU and directed to the application, or may be a signal generated in the application and directed to the ECU. Specifically, this signal corresponds to a request signal for processing image data acquired by a camera by an image processing application running in a virtual environment.

ステップ2001では、信号転送部(例えば、図1に示される信号転送部1110)は、ステップ2000で発生した信号を捕捉する。ここで、「捕捉」とは、信号を捉えて、信号転送部内に一時的に保存することを意味する。 At step 2001 , a signal transfer unit (eg, signal transfer unit 1110 shown in FIG. 1) captures the signal generated at step 2000 . Here, "capturing" means capturing a signal and temporarily storing it in the signal transfer unit.

ステップ2002では、信号転送部は、異常信号生成部(例えば、図1に示される異常信号生成部1120)が起動中(異常信号生成機能がオンになっているか)か否かを確認する。異常信号生成部が起動中でない場合、本処理はステップ2003に進み、信号転送部は当該信号を(加工せずに)そのまま送信先に転送する。一方、異常信号生成部が起動中の場合、本処理はステップ2004へと進む。 At step 2002, the signal transfer unit checks whether the abnormal signal generator (for example, the abnormal signal generator 1120 shown in FIG. 1) is activated (whether the abnormal signal generation function is turned on). If the abnormal signal generation unit is not activated, the process proceeds to step 2003, and the signal transfer unit transfers the signal (without processing) to the destination as it is. On the other hand, if the abnormal signal generator is activated, the process proceeds to step 2004 .

ステップ2004では、信号転送部は、ステップ2001で受信した信号(例えば、信号に関連付けられているメタデータ)から、当該信号を識別する信号IDを抽出する。 At step 2004, the signal transfer unit extracts a signal ID that identifies the signal from the signal received at step 2001 (for example, metadata associated with the signal).

ステップ2005では、信号転送部は、受信した信号の信号IDに該当する入力信号IDが信号生成テーブル1121(図3参照)に存在するか否かを確認する。例えば、信号転送部は、ステップ2004で信号から抽出した信号IDを、信号生成テーブル1121に記録されている入力信号IDと比較し、一致するものがあるかないかを判定する。抽出した信号IDが信号生成テーブルに記録されている入力信号IDに一致しない場合には、本処理はステップ2003に進み、信号転送部は当該信号を(加工せずに)そのまま送信先に転送する。一方、抽出した信号IDが信号生成テーブルに記録されている入力信号IDに一致する場合には、本処理はステップ2006へと進む。 At step 2005, the signal transfer unit checks whether or not the input signal ID corresponding to the signal ID of the received signal exists in the signal generation table 1121 (see FIG. 3). For example, the signal transfer unit compares the signal IDs extracted from the signals in step 2004 with the input signal IDs recorded in the signal generation table 1121 to determine whether there is a match. If the extracted signal ID does not match the input signal ID recorded in the signal generation table, the process proceeds to step 2003, and the signal transfer unit transfers the signal (without processing) to the destination as it is. . On the other hand, if the extracted signal ID matches the input signal ID recorded in the signal generation table, the process proceeds to step 2006 .

ステップ2006では、信号転送部は、信号の送信先となるシステムの状態情報を取得する。上述したように、この状態情報とは、対象の信号を受信するシステムの状態(正常、異常等)を示す情報である。例えば、信号転送部は、ステップ2001で受信した信号の送信先となるシステムに対して状態情報の取得要求を送信し、当該送信先から状態情報の通知を受信してもよく、所定のメモリアドレスに保存されている状態情報の管理テーブル等をアクセスし、当該送信先の状態情報を読み込んでもよく、状態情報の取得方法は特に限定されない。 At step 2006, the signal transfer unit obtains status information of the system to which the signal is to be sent. As described above, this status information is information indicating the status (normal, abnormal, etc.) of the system that receives the target signal. For example, the signal transfer unit may transmit a status information acquisition request to the system that is the transmission destination of the signal received in step 2001, and receive notification of the status information from the transmission destination. The state information management table or the like stored in the destination may be accessed and the state information of the destination may be read, and the method of acquiring the state information is not particularly limited.

ステップ2007では、ステップ2006で取得した状態情報が信号生成テーブル(例えば、図2示される信号生成テーブル1121)に記載されている状態情報に一致するか(すなわち、送信先となるシステムが対象の信号を受信するのに適切な状態となっているか)を確認する。ステップ2006で取得した状態情報と、信号生成テーブルにおいて対象の信号について記載されている状態情報が一致しない場合には、本処理はステップ2003に進み、信号転送部は当該信号を(加工せずに)そのまま送信先となるシステムに転送する。一方、ステップ2006で取得した状態情報と、信号生成テーブルにおいて対象の信号について記載されている状態情報が一致する場合には、本処理はステップ2008へと進む。 In step 2007, whether the state information obtained in step 2006 matches the state information described in the signal generation table (for example, the signal generation table 1121 shown in FIG. 2) (i.e., if the destination system is in an appropriate state to receive ). If the state information acquired in step 2006 and the state information described for the target signal in the signal generation table do not match, the process proceeds to step 2003, and the signal transfer unit transfers the signal (without processing ) is transferred to the destination system as is. On the other hand, if the state information acquired in step 2006 matches the state information described for the target signal in the signal generation table, the process proceeds to step 2008 .

ステップ2008では、異常信号生成部(例えば、図1に示される異常信号生成部1120)は、信号生成テーブルに基づいて、受信した信号を加工することにより、異常信号を生成する。ここで、異常信号を生成する処理とは、異常信号生成部が、ステップ2001で受信した信号に対して、信号生成テーブルに記載されている、当該信号に対応する処理を施し、加工した信号を異常信号として作成することを意味する。より具体的には、異常信号生成部は、信号生成テーブルに記載されている信号タイミングの条件、信号データの変更、及び/又は信号IDの変更を対象の信号に対して適用する処理を行う。この処理では、異常信号生成部は、例えば、受信した元信号のデータ列の所定箇所を所定の値に置換することで、異常信号を生成することを含む。図3を参照して一例を説明すると、信号転送部が入力信号ID「1」の信号を受信した場合、異常信号生成部は信号生成テーブルに記載されている通り、当該信号に対して、2ナノ秒の遅延を信号のタイミング変更として適用することで異常信号を生成する(なお、入力信号ID「1」の場合、出力信号ID及び信号データの変更がないため、異常信号を生成する処理は信号タイミングの変更のみとなる)。
なお、受信した元信号のタイミングを変更することにより異常信号を生成することを一例として説明したが、本発明はこれに限定されず、元信号に対してデータの変更、出力信号IDの変更など、タイミング変更以外の加工が行われていてもよい。異常信号の生成処理が終了すると(信号生成テーブルにおいて対象の信号について記載されている変更がすべて行われた時)、本処理はステップ2003に進み、信号転送部は異常信号を送信先(例えば、テスト用実行環境となるアプリ、スーパーバイザ、又はハードウエアデバイス)へと転送する。 At step 2008, the abnormal signal generator (for example, the abnormal signal generator 1120 shown in FIG. 1) generates an abnormal signal by processing the received signal based on the signal generation table. Here, the processing for generating the abnormal signal means that the abnormal signal generation unit performs processing corresponding to the signal described in the signal generation table for the signal received in step 2001, and generates the processed signal. It means to create as an anomaly signal. More specifically, the abnormal signal generation unit performs a process of applying the signal timing condition, signal data change, and/or signal ID change described in the signal generation table to the target signal. In this process, the abnormal signal generation unit generates the abnormal signal by, for example, replacing a predetermined portion of the data string of the received original signal with a predetermined value. To explain an example with reference to FIG. 3, when the signal transfer unit receives a signal with an input signal ID of “1”, the abnormal signal generation unit generates 2 Generate an anomaly signal by applying a nanosecond delay as a signal timing change (note that in the case of an input signal ID of "1", there is no change in the output signal ID and signal data, so the process for generating an anomaly signal is signal timing only).
Although an example of generating an abnormal signal by changing the timing of the received original signal has been described, the present invention is not limited to this, and the data of the original signal is changed, the output signal ID is changed, or the like. , processing other than timing change may be performed. When the abnormal signal generation process is completed (when all the changes described for the target signal in the signal generation table have been made), the process proceeds to step 2003, and the signal transfer unit transmits the abnormal signal to the destination (for example, transfer to the application, supervisor, or hardware device that will be the execution environment for testing.

ステップ2009では、異常信号が送信先のシステムに転送されると同時に、異常信号の影響を監視するデータログ(例えば、図1に示されるアプリのデータログ1213、スーパーバイザのデータログ1211、及びハイパーバイザのデータログ1130)が起動する。これらのデータログは、異常信号の各層における動作を監視し、記録する診断プログラムであってもよい。例えば、これらのデータログは、アプリ又はスーパーバイザにおけるリソース使用率やI/O通信量等の変化、信号のタイミング、ハードウエアデバイスの温度、電圧、性能等の変化、異常信号の種類や所望の模擬故障に応じて、異常信号の影響を定量化する様々なパラメータを記録してもよい。 In step 2009, the anomaly signal is forwarded to the destination system, while data logs that monitor the effects of the anomaly signal (e.g., app data log 1213, supervisor data log 1211, and hypervisor data log 1213 shown in FIG. 1). data log 1130) is activated. These data logs may be diagnostic programs that monitor and record activity at each layer of the abnormal signal. For example, these data logs can be used to identify changes in resource usage, I/O traffic, etc. in the app or supervisor, changes in signal timing, hardware device temperature, voltage, performance, etc., types of abnormal signals, and desired simulations. Depending on the fault, various parameters that quantify the effect of the anomalous signal may be recorded.

ステップ2010では、データログ分析部(例えば、図1に示されるデータログ分析部1400)がデータログの情報(すなわち、アプリのデータログ1213、スーパーバイザのデータログ1211、及びハイパーバイザのデータログ1130の情報)を取得する。上述したように、データログ分析部とは、それぞれのデータログに記録されている情報に基づいて、異常信号の影響を分析する機能部である。データログ分析部は、例えば、各層のデータログが起動する際に、それぞれのデータログの情報を継続的に取得してもよく、所定の期間(例えば1分)ごとに定期的にデータログの情報を取得してもよい。 In step 2010, the data log analysis unit (for example, the data log analysis unit 1400 shown in FIG. 1) analyzes data log information (i.e., application data log 1213, supervisor data log 1211, and hypervisor data log 1130). information). As described above, the data log analysis unit is a functional unit that analyzes the effects of abnormal signals based on the information recorded in each data log. The data log analysis unit may, for example, continuously acquire information of each data log when the data log of each layer is activated, and periodically acquire the data log at predetermined intervals (for example, one minute). information may be obtained.

ステップ2011では、データログ分析部は、ステップ2010で取得した各データログの情報を分析する。ここで、分析するとは、異常信号が各層(アプリ層、スーパーバイザ層、ハイパーバイザ層、ハードウエア層等)に与えた影響を評価するために、それぞれのデータログの情報を解析したり、データにおけるパターンや関係を特定したりすることを意味する。例えば、データログ分析部は、データログから取得したリソース使用率、信号のタイミング、ハードウエアデバイスの温度、電圧、性能等のパラメータを所定の閾値に比較することで、異常信号が送信先において故障を引き起こしたか否か、故障の大きさなどを定量化し、検証することができる。 At step 2011 , the data log analysis unit analyzes the information of each data log acquired at step 2010 . Analyzing here means analyzing the information in each data log and It means to identify patterns or relationships. For example, the data log analysis unit compares parameters such as resource usage rate, signal timing, hardware device temperature, voltage, and performance obtained from the data log with predetermined thresholds to determine whether an abnormal signal has failed at the destination. It is possible to quantify and verify whether or not a failure has occurred and the magnitude of the failure.

以上、異常信号を生成し、当該異常信号の影響を検証する流れを一つの異常信号について説明したが、本処理は一つの異常信号の生成・検証後に終了する必要はない。本発明の態様の一つでは、本発明に係るハイパーバイザは、以前の異常信号(例えば、第1の異常信号及び/又はそれ以前に送信された過去の信号)の影響に応じて、新しい異常信号(例えば、第2の異常信号)を生成してもよい。例えば、検証対象となるアプリやハードウエアデバイスを特定の故障状態にしたい場合には、まずは第1異常信号を生成・転送し、第1異常信号の動作結果を評価した後(例えば、検証対象が所望の故障状態になったか否かの確認後)、この動作結果に応じた第2異常信号を生成・転送してもよい。このように、模擬故障を連鎖的に引き起こすことが可能となり、故障が連続する状況をシミュレートすることができる。 The flow of generating an abnormal signal and verifying the influence of the abnormal signal has been described above for one abnormal signal, but this process does not need to end after generating and verifying one abnormal signal. In one aspect of the present invention, the hypervisor according to the present invention generates a new abnormal A signal (eg, a second anomaly signal) may be generated. For example, if you want to put the application or hardware device to be verified into a specific failure state, first generate and transfer the first abnormal signal, and after evaluating the operation result of the first abnormal signal (for example, if the verification target is After confirming whether or not a desired failure state has occurred, a second abnormality signal may be generated and transferred in accordance with this operation result. In this way, it is possible to cause simulated failures in a chain reaction, thereby simulating a situation in which failures occur consecutively.

[実施例2の概要]
次に、図5を参照して、ハードウエアシステム又はソフトウエアシステムの状態情報を用いて異常信号を生成する処理について説明する。ここで説明する処理は、検証対象のシステム(アプリ等のソフトウエア又はECU等のハードウエア)の耐故障性を検証するために、実施例1に説明したような元信号を用いずに、検証システムの状態情報を用いて所望の故障を引き起こす異常信号を(一から)生成する処理である。
なお、実施例1に説明した処理と同じように、以下の説明では、アプリ宛の信号がECU側で発信することを一例として説明するが、本発明はそれに限定されない。例えば、本処理は、特定のソフトウエアシステム宛の信号がハードウエア側から発信される場合に適用されてもよく、特定のハードウエアシステム宛の信号がソフトウエア側から発信される場合に適用されてもよい。すなわち、検証対象のシステムがソフトウエアかハードウエアかは任意である。 [Outline of Example 2]
Next, with reference to FIG. 5, processing for generating an abnormal signal using state information of the hardware system or software system will be described. In order to verify the fault tolerance of a system to be verified (software such as an application or hardware such as an ECU), the processing described here is performed without using the original signal as described in the first embodiment. is the process of generating (from scratch) an anomaly signal that causes the desired fault using the state information of
As in the processing described in the first embodiment, in the following description, an example in which a signal addressed to an application is transmitted from the ECU side will be described, but the present invention is not limited to this. For example, this process may be applied when a signal destined for a specific software system originates from the hardware side, and is applied when a signal destined for a specific hardware system originates from the software side. may That is, it is arbitrary whether the system to be verified is software or hardware.

まず、ステップ3000では、信号転送部は、異常信号生成部(例えば、図1に示される異常信号生成部1120)が起動中か否かを確認する。ここで、「起動中」とは、異常信号生成機能がオンになっていることを意味する。異常信号生成部が起動中でない場合、本処理は終了する。一方、異常信号生成部が起動中の場合、本処理はステップ3001へと進む。 First, in step 3000, the signal transfer section checks whether or not the abnormal signal generator (for example, the abnormal signal generator 1120 shown in FIG. 1) is in operation. Here, "in operation" means that the abnormal signal generation function is turned on. If the abnormal signal generator is not activated, this process ends. On the other hand, if the abnormal signal generator is activated, the process proceeds to step 3001 .

次に、ステップ3001では、信号転送部は、信号の送信先となるシステムの状態情報を取得する。上述したように、この状態情報とは、対象の信号を受信するシステムの状態(正常、異常等)を示す情報である。例えば、信号転送部は、ステップ検証対象となるシステムに対して状態情報の取得要求を送信し、当該検証対象から状態情報の通知を受信してもよく、所定のメモリアドレスに保存されている状態情報の管理テーブル等をアクセスし、当該検証対象の状態情報を読み込んでもよく、状態情報の取得方法は特に限定されない。ここでは、信号転送部は、検証対象となるシステムの状態情報を継続的に監視してもよく、所定の期間(例えば1分)ごとに定期的にシステムの状態情報を取得してもよい。 Next, in step 3001, the signal transfer unit acquires state information of the system to which the signal is to be sent. As described above, this status information is information indicating the status (normal, abnormal, etc.) of the system that receives the target signal. For example, the signal transfer unit may transmit a state information acquisition request to a system to be step-verified, receive notification of state information from the verification target, and receive a state information stored in a predetermined memory address. The state information to be verified may be read by accessing an information management table or the like, and the acquisition method of the state information is not particularly limited. Here, the signal transfer unit may continuously monitor the status information of the system to be verified, or may periodically acquire the status information of the system at predetermined intervals (for example, one minute).

次に、ステップ3002では、信号転送部は、ステップ3001で取得した状態情報が信号生成テーブル1121(図3参照)に記載されている状態情報に一致するかを確認する。すなわち、信号転送部は、検証対象となるシステムが対象の信号を受信するのに適切な状態となっているかを確認する。ステップ3001で取得した状態情報と、信号生成テーブルにおいて対象の信号について記載されている状態情報が一致しない場合には、本処理は異常信号を生成せずに終了する。一方、ステップ3001で取得した状態情報と、信号生成テーブルにおいて対象の信号について記載されている状態情報が一致する場合には、本処理はステップ3003へと進む。 Next, in step 3002, the signal transfer unit checks whether the state information obtained in step 3001 matches the state information described in the signal generation table 1121 (see FIG. 3). That is, the signal transfer unit checks whether the system to be verified is in an appropriate state to receive the target signal. If the state information acquired in step 3001 and the state information described for the target signal in the signal generation table do not match, this process ends without generating an abnormal signal. On the other hand, if the state information acquired in step 3001 matches the state information described for the target signal in the signal generation table, the process proceeds to step 3003 .

次に、ステップ3003では、異常信号生成部(例えば、図1に示される異常信号生成部1120)は、信号生成テーブルに記載されている生成条件に基づいて、異常信号を生成する。実施例2に係る異常信号生成は、ソフトウエアシステム又はハードウエアシステムからの元信号を用いずに、検証対象のシステムの状態に応じて新たな異常信号を生成する。実施例2は、元信号に依らずに、検証対象のシステムの状態に応じて異常信号を生成する点において実施例1の異常信号生成処理と異なる。ただし、実施例1に係る異常信号生成処理と同様に、実施例2に係る異常信号生成処理では、異常信号生成部は、信号生成テーブルにおいて記載される信号タイミングの条件、信号データの条件、及び/又は信号IDの条件に従って異常信号を生成する。例えば、図3の信号生成テーブルを用いて一例を説明すると、信号転送部は、検証対象となるシステムの状態情報を取得した結果、検証対象となるシステムが「10ナノ秒以内に信号なし」の状態であると検出した場合に、異常信号生成部は信号生成テーブルに記載されている通り、メモリアドレス0x101の内容を含み、出力信号IDが「6」の異常信号を生成する。
ここでは、異常信号の内容に関する条件および出力信号IDに関する条件がある場合を一例として説明したが、本発明はこれに限定されず、異常信号のタイミングに関する条件など、他の条件に従って異常信号を生成することも可能である。異常信号の生成処理が終了すると、本処理はステップ3006に進み、信号転送部は異常信号を検証対象となるシステムへと転送する。 Next, at step 3003, the abnormal signal generator (for example, the abnormal signal generator 1120 shown in FIG. 1) generates an abnormal signal based on the generation conditions described in the signal generation table. The abnormal signal generation according to the second embodiment generates a new abnormal signal according to the state of the verification target system without using the original signal from the software system or hardware system. The second embodiment differs from the abnormal signal generation process of the first embodiment in that the abnormal signal is generated according to the state of the system to be verified, regardless of the original signal. However, as in the abnormal signal generation process according to the first embodiment, in the abnormal signal generation process according to the second embodiment, the abnormal signal generation unit uses the signal timing conditions, the signal data conditions, and the conditions described in the signal generation table. / Or generate an anomaly signal according to the conditions of the signal ID. For example, to explain an example using the signal generation table of FIG. When the state is detected, the abnormal signal generator generates an abnormal signal including the contents of memory address 0x101 and having an output signal ID of "6" as described in the signal generation table.
Here, the case where there are a condition regarding the content of the abnormal signal and a condition regarding the output signal ID has been described as an example, but the present invention is not limited to this, and the abnormal signal is generated according to other conditions such as a condition regarding the timing of the abnormal signal. It is also possible to When the abnormal signal generation process ends, the process proceeds to step 3006, and the signal transfer unit transfers the abnormal signal to the verification target system.

ステップ3004では、異常信号が検証対象となるシステムへと転送されると同時に、異常信号の影響を監視するデータログ(例えば、図1に示されるアプリのデータログ1213、スーパーバイザのデータログ1211、及びハイパーバイザのデータログ1130)が起動する。これらのデータログは、異常信号の各層における動作を監視し、動作結果を記録する診断プログラムであってもよい。例えば、これらのデータログは、アプリ又はスーパーバイザにおけるリソース使用率やI/O通信量等の変化、信号のタイミング、ハードウエアデバイスの温度、電圧、性能等の変化、異常信号の種類や所望の模擬故障に応じて、異常信号の影響を定量化するために様々なパラメータを記録してもよい。 At step 3004, the anomalous signal is forwarded to the system under verification while data logs monitoring the effects of the anomalous signal (e.g., app data log 1213, supervisor data log 1211, and The hypervisor's datalog 1130) is activated. These data logs may be diagnostic programs that monitor activity in each layer of the abnormal signal and record the results of the activity. For example, these data logs can be used to identify changes in resource usage, I/O traffic, etc. in the app or supervisor, changes in signal timing, hardware device temperature, voltage, performance, etc., types of abnormal signals, and desired simulations. Depending on the fault, various parameters may be recorded to quantify the effect of the anomalous signal.

ステップ3005では、データログ分析部(例えば、図1に示されるデータログ分析部1400)がデータログの情報、すなわち、アプリのデータログ1213、スーパーバイザのデータログ1211、及びハイパーバイザのデータログ1130の情報を取得する。上述したように、データログ分析部とは、それぞれのデータログに記録されている情報に基づいて、異常信号の影響を分析する機能部である。データログ分析部は、例えば、各層のデータログが起動する際に、それぞれのデータログの情報を継続的に取得してもよく、所定の期間(例えば1分)ごとに定期的にデータログの情報を取得してもよい。 In step 3005, the data log analysis unit (for example, the data log analysis unit 1400 shown in FIG. 1) analyzes the data log information, that is, the application data log 1213, the supervisor data log 1211, and the hypervisor data log 1130. Get information. As described above, the data log analysis unit is a functional unit that analyzes the effects of abnormal signals based on the information recorded in each data log. The data log analysis unit may, for example, continuously acquire information of each data log when the data log of each layer is activated, and periodically acquire the data log at predetermined intervals (for example, one minute). information may be obtained.

ステップ3006では、データログ分析部は、ステップ3005で取得した各データログの情報を分析する。ここで、分析するとは、異常信号が各層(アプリ層、スーパーバイザ層、ハイパーバイザ層、ハードウエア層等)に与えた影響を評価するために、それぞれのデータログの情報を解析したり、データにおけるパターンや関係を特定したりすることを意味する。例えば、データログ分析部は、データログから取得したリソース使用率、信号のタイミング、ハードウエアデバイスの温度、電圧、性能等のパラメータを所定の閾値に比較することで、異常信号が送信先において故障を引き起こしたか否か、故障の大きさなどを定量化し、検証することができる。 At step 3006 , the data log analysis unit analyzes the information of each data log acquired at step 3005 . Analyzing here means analyzing the information in each data log and It means to identify patterns or relationships. For example, the data log analysis unit compares parameters such as resource usage rate, signal timing, hardware device temperature, voltage, and performance obtained from the data log with predetermined thresholds to determine whether an abnormal signal has failed at the destination. It is possible to quantify and verify whether or not a failure has occurred and the magnitude of the failure.

以上の実施例1及び実施例2において説明した異常信号生成手段では、コストの高いシミュレーション手段の導入やハードウエアシステム及びソフトウエアシステムの変更を用いることなく、自動車に搭載されるシステムが故障した場合の影響を検証することができる。これにより、自動車に搭載されるシステムの耐故障性を検証するためのコスト(金銭的なコスト及びコンピュータリソースの使用率)を抑えることができ、また、ハイパーバイザを備える一般的なコンピュータで検証を行うことが可能となる。このため、耐故障性検証用のシステムの可用性が向上し、検証の効率が上がる効果が得られる。 In the abnormal signal generation means described in the first and second embodiments above, when the system installed in the automobile fails, without introducing expensive simulation means or changing the hardware system and software system. can be verified. As a result, the cost (monetary cost and computer resource usage) for verifying the fault tolerance of the system installed in the vehicle can be reduced, and verification can be performed using a general computer equipped with a hypervisor. becomes possible. As a result, the availability of the system for fault tolerance verification is improved, and the efficiency of verification is improved.

変形例Modification

以上、ソフトウエアシステム(アプリ、スーパーバイザ等)の状態を示す状態情報を用いて、当該ソフトウエアシステムを検証するための異常信号を生成する例を主に説明したが、本発明はこれに限定されず、ハードウエアシステムを特定の異常状態にする異常信号を生成する構成も可能である。 In the above, an example of generating an abnormal signal for verifying a software system using state information indicating the state of the software system (application, supervisor, etc.) has been mainly described, but the present invention is not limited to this. Instead, it is also possible to generate an anomaly signal that places the hardware system in a particular anomalous state.

ハードウエアシステムを特定の異常状態にする異常信号を生成する具体例の一つとしては、映像撮影部、自動運転部、エンジンスロットル部、パワーステアリング部、テレマティクス部、ブレーキ制御部、及び先進運転支援部を搭載する自動車の場合が考えられる。このような自動車には、1つの機能部が故障した場合に、他の機能部がどのような影響を受けるかを検証するニーズがある。そこで、本発明に係る異常信号生成手段によれば、1つの機能部からの信号を、上述した信号生成テーブルに基づいて加工して生成した異常信号を他の機能部に転送することで、他の機能部が特定の異常状態になった場合の動作を検証することができる。 One specific example of generating an abnormal signal that puts a hardware system in a specific abnormal state is a video capturing unit, an automatic driving unit, an engine throttle unit, a power steering unit, a telematics unit, a brake control unit, and an advanced driving assistance unit. A case of an automobile in which a part is mounted is conceivable. In such vehicles, there is a need to verify how other functional parts are affected when one functional part fails. Therefore, according to the abnormal signal generating means of the present invention, the abnormal signal generated by processing the signal from one functional unit based on the above-described signal generation table is transferred to the other functional unit. It is possible to verify the operation when the functional part of is in a specific abnormal state.

例えば、上述した自動車の場合、映像撮影部が取得した映像信号を加工して、映像の一部にノイズを導入した(映像の一部を消したり、ぼやかしたり、不鮮明な画像で置き換えたりする処理を施した)異常信号を他の車載機能部に転送することで、映像撮影部が故障した場合に、他の機能部がどう作動するか(例えば、テレマティクス部がどのタイミングで運転者に通知するか、自動運転部がマニュアル運転に切り替えるか、ブレーキ制御部がマニュアル運転に切り替えるか、エンジンスロットル部が自動車の加速を制御するか)を検証することができる。 For example, in the case of the above-mentioned car, the video signal acquired by the video recording unit is processed to introduce noise into part of the video (processing that erases, blurs, or replaces a part of the video with an unclear image). by transferring the abnormal signal to other in-vehicle functional units, how other functional units will operate if the video recording unit fails (for example, at what timing the telematics unit will notify the driver or whether the automatic driving section switches to manual driving, whether the brake control section switches to manual driving, or whether the engine throttle section controls the acceleration of the vehicle).

また、ブレーキ制御部からテレマティクス部に送信されるブレーキ信号を異常信号に変換する(または異常のブレーキ信号を新たに生成する)ことで、テレマティクス部の反応速度(異常通知を運転者に知らせるまでの時間)を検証することができる。 In addition, by converting the brake signal sent from the brake control unit to the telematics unit into an abnormal signal (or generating a new abnormal brake signal), the response speed of the telematics unit time) can be verified.

以上、本発明の実施の形態について説明したが、本発明は、上述した実施の形態に限定されるものではなく、本発明の要旨を逸脱しない範囲において種々の変更が可能である。 Although the embodiments of the present invention have been described above, the present invention is not limited to the above-described embodiments, and various modifications are possible without departing from the gist of the present invention.

1000 ECU
1100 ハイパーバイザ
1110 信号転送部
1120 異常信号生成部
1121 信号生成テーブル
1200 仮想化環境
1300 車両用電子制御装置
1400 データログ分析部 1000 ECU
1100 Hypervisor 1110 Signal transfer unit 1120 Abnormal signal generation unit 1121 Signal generation table 1200 Virtual environment 1300 Vehicle electronic control unit 1400 Data log analysis unit

Claims (10)

ハイパーバイザを含む車両用電子制御装置であって、
前記ハイパーバイザは、
異常信号生成部と、信号転送部とを備え、
前記異常信号生成部は、
信号生成に関する条件を定める信号生成テーブルに基づき、異常信号を生成し、
前記信号転送部は、
前記異常信号をテスト用実行環境に転送する、
ことを特徴とする車両用電子制御装置。 A vehicle electronic control device including a hypervisor,
The hypervisor is
An abnormal signal generation unit and a signal transfer unit,
The abnormal signal generation unit is
Generate an abnormal signal based on a signal generation table that defines conditions for signal generation,
The signal transfer unit is
forwarding the abnormal signal to a testing execution environment;
A vehicle electronic control device characterized by: 請求項1に記載の車両用電子制御装置において、
前記異常信号生成部は、
前記ハイパーバイザに連携しているソフトウエアシステムまたはハードウエアシステムから受信した元信号を、前記信号生成テーブルに基づいて加工することで、前記異常信号として生成する、
ことを特徴とする車両用電子制御装置。 In the vehicle electronic control device according to claim 1,
The abnormal signal generation unit is
generating the abnormal signal by processing the original signal received from the software system or hardware system linked to the hypervisor based on the signal generation table;
A vehicle electronic control device characterized by: 請求項2に記載の車両用電子制御装置において、
前記異常信号生成部は、前記元信号のデータ列の所定箇所を所定の値に置換することで、前記異常信号を生成する、
ことを特徴とする車両用電子制御装置。 In the vehicle electronic control device according to claim 2,
The abnormal signal generation unit generates the abnormal signal by replacing a predetermined portion of the data string of the original signal with a predetermined value.
A vehicle electronic control device characterized by: 請求項1に記載の車両用電子制御装置において、
前記異常信号生成部は、
前記ハイパーバイザに連携しているソフトウエアシステムまたはハードウエアシステムから取得するシステム状態を示す状態情報と、前記信号生成テーブルとに基づき、前記異常信号を生成する、
ことを特徴とする車両用電子制御装置。 In the vehicle electronic control device according to claim 1,
The abnormal signal generation unit is
generating the abnormal signal based on state information indicating a system state obtained from a software system or hardware system linked to the hypervisor and the signal generation table;
A vehicle electronic control device characterized by: 請求項1に記載の車両用電子制御装置において、
前記信号生成テーブルは、信号を識別する識別子と、信号のタイミングに関する信号タイミング条件と、信号のデータに関する信号データ条件と、が定められたテーブルである、
ことを特徴とする車両用電子制御装置。 In the vehicle electronic control device according to claim 1,
The signal generation table is a table in which an identifier for identifying a signal, a signal timing condition regarding signal timing, and a signal data condition regarding signal data are defined.
A vehicle electronic control device characterized by: 請求項1に記載の車両用電子制御装置において、 In the vehicle electronic control device according to claim 1,
前記ハイパーバイザは、第1の異常信号のテスト用実行環境における動作結果を記録するデータログを含み、 The hypervisor includes a data log that records results of operation in the execution environment for testing the first anomaly signal;
前記異常信号生成部は、前記データログに記録される前記第1の異常信号の前記動作結果に応じて、第2の異常信号を生成する、 The abnormal signal generation unit generates a second abnormal signal according to the operation result of the first abnormal signal recorded in the data log.
ことを特徴とする車両用電子制御装置。 A vehicle electronic control device characterized by: 請求項1に記載の車両用電子制御装置において、 In the vehicle electronic control device according to claim 1,
前記信号転送部は、 The signal transfer unit is
前記ハイパーバイザに連携しているソフトウエアシステムまたはハードウエアシステムからの信号を受信し、 receiving signals from software or hardware systems associated with the hypervisor;
前記信号に含まれる信号識別子が、前記信号生成テーブルに予め記録された信号識別子に一致する場合、 if the signal identifier included in the signal matches a signal identifier pre-recorded in the signal generation table;
前記異常信号生成部は、 The abnormal signal generation unit is
前記信号識別子を前記信号生成テーブルに基づいて変換することで前記異常信号を生成する、 generating the abnormal signal by converting the signal identifier based on the signal generation table;
ことを特徴とする車両用電子制御装置。 A vehicle electronic control device characterized by: 請求項1に記載の車両用電子制御装置において、 In the vehicle electronic control device according to claim 1,
前記異常信号生成部は、 The abnormal signal generation unit is
前記ハイパーバイザに連携しているソフトウエアシステムまたはハードウエアシステムから、当該システムのシステム状態を示す状態情報を取得し、 acquiring state information indicating the system state of the system from a software system or hardware system linked to the hypervisor;
前記状態情報に示される前記システム状態が、前記信号生成テーブルに予め記録されたシステム状態に一致する場合、 if the system state indicated in the state information matches a system state pre-recorded in the signal generation table;
前記信号生成テーブルに基づいて、前記異常信号を生成する、 generating the abnormal signal based on the signal generation table;
ことを特徴とする車両用電子制御装置。 A vehicle electronic control device characterized by: ハイパーバイザを含む車両用電子制御装置における異常信号生成方法であって、 A method for generating an abnormal signal in a vehicle electronic control device including a hypervisor,
前記ハイパーバイザは、 The hypervisor is
異常信号生成部と、信号転送部とを備え、 An abnormal signal generation unit and a signal transfer unit,
前記異常信号生成方法は、 The abnormal signal generation method includes:
信号生成に関する条件を定める信号生成テーブルに基づき、異常信号を前記異常信号生成部によって生成する工程と、 a step of generating an abnormal signal by the abnormal signal generator based on a signal generation table that defines conditions for signal generation;
前記異常信号を前記信号転送部によってテスト用実行環境に転送する工程と、 transferring the abnormal signal to a test execution environment by the signal transfer unit;
を含む異常信号生成方法。 Abnormal signal generation method including. ハイパーバイザを含む車両用電子制御装置における異常信号生成プログラムであって、 An abnormality signal generating program in a vehicle electronic control device including a hypervisor,
前記ハイパーバイザは、 The hypervisor is
異常信号生成部と、信号転送部とを備え、 An abnormal signal generation unit and a signal transfer unit,
前記異常信号生成プログラムは、 The abnormal signal generation program is
信号生成に関する条件を定める信号生成テーブルに基づき、異常信号を前記異常信号生成部によって生成する手順と、 a procedure for generating an abnormal signal by the abnormal signal generator based on a signal generation table that defines conditions for signal generation;
前記異常信号を前記信号転送部によってテスト用実行環境に転送する手順と、 a procedure for transferring the abnormal signal to the test execution environment by the signal transfer unit;
を前記車両用電子制御装置に実行させるための異常信号生成プログラム。 Abnormal signal generation program for causing the vehicle electronic control unit to execute.
JP2018237890A 2018-12-20 2018-12-20 VEHICLE ELECTRONIC CONTROL DEVICE, ABNORMAL SIGNAL GENERATING METHOD, ABNORMAL SIGNAL GENERATING PROGRAM Active JP7204471B2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2018237890A JP7204471B2 (en) 2018-12-20 2018-12-20 VEHICLE ELECTRONIC CONTROL DEVICE, ABNORMAL SIGNAL GENERATING METHOD, ABNORMAL SIGNAL GENERATING PROGRAM
PCT/JP2019/045590 WO2020129531A1 (en) 2018-12-20 2019-11-21 Electronic control device for vehicle, abnormal signal generation method, and abnormal signal generation program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018237890A JP7204471B2 (en) 2018-12-20 2018-12-20 VEHICLE ELECTRONIC CONTROL DEVICE, ABNORMAL SIGNAL GENERATING METHOD, ABNORMAL SIGNAL GENERATING PROGRAM

Publications (2)

Publication Number Publication Date
JP2020101877A JP2020101877A (en) 2020-07-02
JP7204471B2 true JP7204471B2 (en) 2023-01-16

Family

ID=71102110

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018237890A Active JP7204471B2 (en) 2018-12-20 2018-12-20 VEHICLE ELECTRONIC CONTROL DEVICE, ABNORMAL SIGNAL GENERATING METHOD, ABNORMAL SIGNAL GENERATING PROGRAM

Country Status (2)

Country Link
JP (1) JP7204471B2 (en)
WO (1) WO2020129531A1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010093431A (en) 2008-10-06 2010-04-22 Anritsu Engineering Kk Communication abnormality generation device
JP2016213736A (en) 2015-05-12 2016-12-15 コハダ株式会社 Test program and test device
JP2018032392A (en) 2016-08-26 2018-03-01 株式会社日立製作所 Simulation including multiple simulators

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010093431A (en) 2008-10-06 2010-04-22 Anritsu Engineering Kk Communication abnormality generation device
JP2016213736A (en) 2015-05-12 2016-12-15 コハダ株式会社 Test program and test device
JP2018032392A (en) 2016-08-26 2018-03-01 株式会社日立製作所 Simulation including multiple simulators

Also Published As

Publication number Publication date
JP2020101877A (en) 2020-07-02
WO2020129531A1 (en) 2020-06-25

Similar Documents

Publication Publication Date Title
US11223525B2 (en) Gateway device, firmware update method, and recording medium
US10685124B2 (en) Evaluation apparatus, evaluation system, and evaluation method
US11842582B2 (en) Layered electrical architecture for vehicle diagnostics
US20180229739A1 (en) Monitoring apparatus, communication system, vehicle, monitoring method, and non-transitory storage medium
JP2018144800A (en) Detection of irregularity in linked cloud-edge vehicle
JP5972303B2 (en) Method for executing configuration setting of control device test system
US7295903B2 (en) Device and method for on-board diagnosis based on a model
WO2017187997A1 (en) Vehicle control system verification device, vehicle control system, and vehicle control system verification method
Lanigan et al. Diagnosis in automotive systems: A survey
Drolia et al. Autoplug: An automotive test-bed for electronic controller unit testing and verification
US20180370459A1 (en) Apparatus and method for checking or monitoring in-vehicle control unit
WO2018179536A1 (en) Information processing device, information processing method, program, and recording medium on which said program is stored
CN115756908A (en) Method for real-time ECU crash reporting and recovery
Ben Lakhal et al. Controller area network reliability: overview of design challenges and safety related perspectives of future transportation systems
JP7204471B2 (en) VEHICLE ELECTRONIC CONTROL DEVICE, ABNORMAL SIGNAL GENERATING METHOD, ABNORMAL SIGNAL GENERATING PROGRAM
Kenjić et al. Connectivity challenges in automotive solutions
DE102022122064A1 (en) SYSTEM AND METHOD FOR IMPROVED ECU FAILURE DETECTION IN FLEET
Devi et al. Bootloader design for advanced driver assistance system
Wagner et al. Virtualization for Verifying Functional Safety of Highly Automated Driving Using the Example of a Real ECU Project
Devi et al. 3 Bootloader Design for
Bozic et al. A New Generation Automotive Tool Access Architecture for Remote in-Field Diagnosis
CN115765904A (en) Embedded system timing for automobile
CN115733652A (en) Temporary key exchange between vehicle software nodes
CN115761936A (en) Improved target unit testing
Pereira Testes Automáticos utilizando o Vector CANoe num Sensor Inercial

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210601

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220802

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220825

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20221213

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20221228

R150 Certificate of patent or registration of utility model

Ref document number: 7204471

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150