JP7204471B2 - VEHICLE ELECTRONIC CONTROL DEVICE, ABNORMAL SIGNAL GENERATING METHOD, ABNORMAL SIGNAL GENERATING PROGRAM - Google Patents
VEHICLE ELECTRONIC CONTROL DEVICE, ABNORMAL SIGNAL GENERATING METHOD, ABNORMAL SIGNAL GENERATING PROGRAM Download PDFInfo
- Publication number
- JP7204471B2 JP7204471B2 JP2018237890A JP2018237890A JP7204471B2 JP 7204471 B2 JP7204471 B2 JP 7204471B2 JP 2018237890 A JP2018237890 A JP 2018237890A JP 2018237890 A JP2018237890 A JP 2018237890A JP 7204471 B2 JP7204471 B2 JP 7204471B2
- Authority
- JP
- Japan
- Prior art keywords
- signal
- abnormal signal
- signal generation
- abnormal
- electronic control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/22—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
Description
本発明は、車両用電子制御装置、異常信号生成方法、異常信号生成プログラムに関する。 The present invention relates to a vehicle electronic control unit, an abnormality signal generation method, and an abnormality signal generation program.
ハードウエアとソフトウエアの統合化が進む中、ソフトウエアとハードウエアとの互換性を検証することが重要である。特に、多様なセンサ等のハードウエアシステム及び当該センサのロジックを制御するアプリ等のソフトウエアシステムが搭載される自動車では、車両に関する機能安全規格を満たし、安全性を確保するために、搭載されるハードウエアシステムまたはソフトウエアシステムが故障した場合に、自動車全体にどのような影響が与えられるかを検証し、システム間のやり取りに生じる信号を制御する手法が求められている。 As integration of hardware and software progresses, it is important to verify compatibility between software and hardware. In particular, in automobiles equipped with hardware systems such as various sensors and software systems such as applications that control the logic of the sensors, it is necessary to meet the functional safety standards for vehicles and ensure safety. There is a need for a method to verify how the entire vehicle is affected when a hardware or software system fails, and to control the signals that occur in interactions between systems.
これに対して、特開2013-161299号公報(特許文献1)には、「複数のプログラムが記憶されたプログラム記憶手段13と、前記プログラムを実行する1つ以上の演算手段11と、外部の回路と通信可能な複数のインタフェース20と、を有する情報処理装置100であって、前記プログラムがアクセス可能な前記インタフェースが登録されたインタフェース登録テーブル34と、前記インタフェースにアクセス要求した前記プログラムが、前記インタフェースにアクセスすることが許可されている場合、前記プログラムの代わりに前記インタフェースにアクセスするアクセス制御手段33と、を有する」が記載されている。
On the other hand, Japanese Patent Application Laid-Open No. 2013-161299 (Patent Document 1) describes "a program storage means 13 storing a plurality of programs, one or more computing means 11 for executing the programs, and an external An
上記の特許文献1においては、自動車に搭載されるECU等の制御装置と、ハイパーバイザ上に動作するアプリケーションとのI/Oを制御する情報処理装置が記載されている。特許文献1に係る発明によれば、あるアプリケーションが特定のI/Oポート(例えば、ECUのI/Oポート)にアクセスする命令を実行し、当該命令に対してアクセス違反が検出された場合には、ハイパーバイザがアプリケーションの代わりに当該命令を実行することにより、アクセス違反を防止することができる。
The above-mentioned
しかし、特許文献1では、自動車に搭載されるハードウエアシステムまたはソフトウエアシステムの故障をシミュレート及び評価することが検討されていない。このため、ハードウエアまたはソフトウエアの動作を検証するためには、HILS(Hardware In the Loop Simulation)やvHILS(Virtual Hardware in the Loop Simulation)等のシミュレーション手段、あるいはハードウエアの直接的な変更が必要となる。しかし、これらのシミュレーション手段は導入コストが高く、ハードウエアの直接的な変更では、速いペースで進化していく車載用デバイスのニーズに対応することが難しい。また、自動車に搭載されるハードウエア及びソフトウエアシステムの耐故障性検証のニーズに充分応えられてないといった課題がある。
However,
そこで、本発明は、コストの高いシミュレーション手段の導入や検証対象のシステムの変更を行うことなく、自動車に搭載されるシステムが故障した場合の影響を検証する手段を提供することを目的とする。 SUMMARY OF THE INVENTION Accordingly, it is an object of the present invention to provide means for verifying the effects of a failure in a system mounted on an automobile without introducing expensive simulation means or changing the system to be verified.
上記の課題を解決するために、代表的な本発明の異常信号生成ハイパーバイザを含む車両用電車制御装置の一つは、ハイパーバイザを含む車両用電子制御装置であって、前記ハイパーバイザは、異常信号生成部と、信号転送部とを備え、前記異常信号生成部は、信号生成に関する条件を定める信号生成テーブルに基づき、異常信号を生成し、前記信号転送部は、前記異常信号をテスト用実行環境に転送する。 In order to solve the above-mentioned problems, one typical vehicle train control device including an abnormal signal generating hypervisor of the present invention is a vehicle electronic control device including a hypervisor, the hypervisor comprising: An abnormal signal generator and a signal transfer unit, wherein the abnormal signal generator generates an abnormal signal based on a signal generation table that defines conditions for signal generation, and the signal transfer unit transmits the abnormal signal for testing. Transfer to the execution environment.
本発明によれば、コストの高いシミュレーション手段の導入やハードウエアシステム及びソフトウエアシステムの変更を行うことなく、自動車に搭載されるシステムが故障した場合の影響を検証することができる。
上記した以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。
According to the present invention, it is possible to verify the effects of failure of a system mounted on an automobile without introducing expensive simulation means or changing hardware and software systems.
Problems, configurations, and effects other than those described above will be clarified by the following description of the embodiments.
以下、図面を参照して、本発明の実施形態について説明する。なお、この実施形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。 Hereinafter, embodiments of the present invention will be described with reference to the drawings. It should be noted that the present invention is not limited by this embodiment. Moreover, in the description of the drawings, the same parts are denoted by the same reference numerals.
[実施例1の概要]
本発明では、自動車に搭載されるハードウエアシステム(Electric Control Unit、映像撮影システム、ブレーキ制御システム等)と、ソフトウエアシステム(Operating System等のスーパーバイザ及びその上に実装されるアプリ)との間のやり取り(信号の通信など)を制御するハイパーバイザが用いられる。一般的には、ハードウエアシステムやソフトウエアシステムにおいて生じる信号は、信号の発生源から直接に送信先に送信される。しかし、本発明では、特定のアプリ又はハードウエア宛に送信される信号は、送信先に到達する前に、ハイパーバイザで一旦捕捉され、予め用意される信号生成テーブルに基づいて異常信号が生成される。このように、信号生成テーブルに基づいて異常信号が送信先(テスト用実行環境となる検証対象のシステム)に転送されることで、送信先のシステムにおいて所望の故障を模擬的にシミュレートすることができる。また、異常信号を送信先に転送した後、宛先のシステムにおける動作の結果(システムがどう反応したか)をデータログ等で記録することで、異常信号がシステムに与えた影響を評価・検証することができる。これにより、自動車に搭載されるハードウエアシステムとソフトウエアシステムの互換性を、コストの高いシミュレーション手段の導入やハードウエアシステム及びソフトウエアシステムの変更を用いることなく、検証することが可能となる。
[Outline of Example 1]
In the present invention, the hardware system installed in the automobile (Electric Control Unit, video shooting system, brake control system, etc.) and the software system (Supervisor such as Operating System and application installed thereon) A hypervisor is used to control interactions (communication of signals, etc.). In general, signals originating in hardware or software systems are transmitted directly from their source to their destination. However, in the present invention, a signal sent to a specific application or hardware is captured by the hypervisor before it reaches the destination, and an abnormal signal is generated based on a signal generation table prepared in advance. be. In this way, the abnormal signal is transferred to the destination (the system to be verified as the test execution environment) based on the signal generation table, thereby simulating a desired failure in the destination system. can be done. In addition, after transmitting the abnormal signal to the destination, the result of the operation in the destination system (how the system reacted) is recorded in a data log, etc. to evaluate and verify the impact of the abnormal signal on the system. be able to. This makes it possible to verify the compatibility of the hardware and software systems installed in the automobile without introducing expensive simulation means or changing the hardware and software systems.
まず、図1を参照して、本発明に係る車両用電子制御装置1300の構成について説明する。車両用電子制御装置1300とは、自動車における様々な機能を総合的に制御し、車両に搭載されるセンサ等のハードウエアシステム及び当該ハードウエアシステムのロジックを制御するアプリ等のソフトウエアシステムを管理するシステムである。図1に示されるように、車両用電子制御装置1300は、仮想化環境1200と、ハイパーバイザ1100と、ECU1000とを含む。
First, the configuration of a vehicle electronic control unit 1300 according to the present invention will be described with reference to FIG. The vehicle electronic control unit 1300 comprehensively controls various functions in the vehicle, and manages hardware systems such as sensors installed in the vehicle and software systems such as applications that control the logic of the hardware systems. It is a system that As shown in FIG. 1, the vehicle electronic control unit 1300 includes a virtual environment 1200, a hypervisor 1100, and an
ECU(Electronic Control Unit)1000とは、エンジン、モーター、メーター、トランスミッション、ブレーキ、エアバッグ、ランプ、パワーステアリング、パワーウィンドウ、カーエアコン、電子キーの車両側受信部、カーオーディオ、カーナビゲーションシステム、カメラ、温度計、各種センサ等の機能を制御する補助装置である。図1に示されるように、ECU1000は、複数のCPU1010、1015と、メモリ1030と、ハードウエア信号を発信するハードウエア信号転送部1020とを含む。
なお、図1では、CPUを二つ有し、メモリとハードウエア信号転送部を1つずつ有するECU1000を示したが、本発明はそれに限定されず、各部品の数を適宜に変更してもよい。
ECU (Electronic Control Unit) 1000 refers to the engine, motor, meter, transmission, brake, airbag, lamp, power steering, power window, car air conditioner, electronic key receiver, car audio, car navigation system, and camera. , thermometer, and various sensors. As shown in FIG. 1, ECU 1000 includes a plurality of
Although FIG. 1 shows the ECU 1000 having two CPUs and one memory and one hardware signal transfer unit, the present invention is not limited to this, and the number of parts may be changed as appropriate. good.
次に、ハイパーバイザ1100について説明する。
一般的に、自動車などに搭載される電子処理システムは、RAMやCPUなどのハードウエア資源を提供するハードウエア層と、一つまたは複数の仮想機械の稼働を管理するハイパーバイザ層と、それぞれの仮想機械のOS(Operating System)を実装するスーパーバイザ層と、アプリケーションソフトウェアが稼働するアプリケーション層からなる。そして、ハイパーバイザは、仮想機械を制御する上位の制御プログラムとして、下位の層で実装されるスーパーバイザやアプリケーションソフトウェアにリソースの分配などを行う。そして、本発明におけるハイパーバイザは、外部の装置とのコミュニケーションを統括する。つまり、本発明におけるハイパーバイザ1100は、ECU1000(すなわち、ハードウエア層)と、後述する仮想化環境1200(すなわち、スーパーバイザ層及びアプリケーション層)の稼働を管理し、ECU1000と仮想化環境1200との間におけるコミュニケーション(信号のやり取りなど)を制御するものである。
Next, the hypervisor 1100 will be explained.
In general, an electronic processing system installed in an automobile or the like consists of a hardware layer that provides hardware resources such as RAM and CPU, and a hypervisor layer that manages the operation of one or more virtual machines. It consists of a supervisor layer that implements the OS (Operating System) of the virtual machine and an application layer that runs application software. As a high-level control program that controls the virtual machine, the hypervisor distributes resources to supervisors and application software implemented in lower layers. The hypervisor in the present invention controls communication with external devices. In other words, the hypervisor 1100 in the present invention manages the operations of the ECU 1000 (that is, the hardware layer) and the virtual environment 1200 (that is, the supervisor layer and the application layer), which will be described later. It controls communication (exchange of signals, etc.) in
図1に示されるように、ハイパーバイザ1100は、ECU1000及び仮想化環境1200から生じる信号を送受信する信号転送部1110と、後述する処理によって異常信号(所望の故障を検証対象のシステムにおいて模擬的に引き起こす信号)を生成する異常信号生成部1120と、異常信号の生成条件を示す信号生成テーブル1121と、信号のハイパーバイザにおける動作や生成結果を記録するデータログ1130とを含む。
また、図1に示されるように、信号転送部1110は、異常信号生成部1120と通信可能であり、異常信号生成部1120は、信号転送部1110で受信される信号と、信号生成テーブル1121とに基づいて、異常信号を生成する。ハイパーバイザは、ECU1000におけるCPU1010、1015やメモリ1030などのリソースを用いて、仮想化環境1200を構成する。
なお、図1では、ECU1000が1つのハードウエア信号転送部1020を備える場合を示しているが、ハードウエア信号転送部1020を複数備えられてもよい。そして、ハードウエア信号転送部1020が複数備えられている場合には、それぞれのハードウエア信号転送部に対応する信号転送部ga信号転送部1110内に備えられていてもよい。
As shown in FIG. 1, the hypervisor 1100 includes a
In addition, as shown in FIG. 1, the
Although FIG. 1 shows the case where the ECU 1000 includes one hardware signal transfer unit 1020, a plurality of hardware signal transfer units 1020 may be provided. When a plurality of hardware signal transfer units 1020 are provided, the signal transfer units ga corresponding to the respective hardware signal transfer units may be provided in the
仮想化環境1200とは、ハイパーバイザ1100によって構成され、仮想機械やアプリケーションを互いに独立した状態で実行させる論理空間である。図1に示されるように、仮想化環境1200内には、1つまたは複数のスーパーバイザ1210が実装される。このスーパーバイザ1210は、後述するアプリケーションにリソースを与え、当該アプリケーションの動作を管理するものであり、例えば、WindowsやLinux等のOS(オペレーティングシステム)であってもよい。スーパーバイザ1210には、スーパーバイザ上で稼働するアプリケーションのリソース使用率や動作の結果を記録するデータログ1211を備える。上述したように、スーパーバイザ1210の上では、アプリケーション(以下、「アプリ」という)1212が実装される。そして、アプリ1212は、車載のセンサ等のハードウエアの制御を行うプログラムであり、例えば、カメラ等のセンサによって撮像される画像を処理する画像処理プログラムであってもよい。
また、上述したように、アプリ1212は、ハイパーバイザ1100の信号転送部1110を介して、ECU1000に信号を送信したり、ECUから信号を受信したりする。さらに、アプリ1212は、アプリ内におけるリソース使用率や動作の結果を記録するデータログ1213を備える。
The virtualization environment 1200 is a logical space configured by the hypervisor 1100 and executing virtual machines and applications independently of each other. As shown in FIG. 1, one or more supervisors 1210 are implemented within the virtualized environment 1200 . The supervisor 1210 provides resources to an application described later and manages the operation of the application, and may be an OS (operating system) such as Windows or Linux, for example. The supervisor 1210 has a data log 1211 that records the resource usage and operation results of applications running on the supervisor. As described above, an application (hereinafter referred to as “app”) 1212 is implemented on the supervisor 1210 . The application 1212 is a program for controlling hardware such as an in-vehicle sensor. For example, the application 1212 may be an image processing program for processing an image captured by a sensor such as a camera.
Also, as described above, the application 1212 transmits signals to the
図1に示されるデータログ分析部1400は、車両用電子制御装置1300内に備えられていてもよく、ネットワークを介して車両用電子制御装置1300と通信を行う遠隔のデバイスに備えられていてもよい。ここで、データログ分析部1400とは、ハイパーバイザのデータログ1130と、スーパーバイザ1210のデータログ1211と、アプリ1212のデータログ1213のデータを取得し、後述する処理によって生成される異常信号の動作結果を分析するものである。データログ分析部1400は、例えば、ECU1000から発信された信号に基づいて生成した異常信号を信号転送部1110によってアプリ1212に送信した場合に、ハイパーバイザ、スーパーバイザ、及びアプリのそれぞれにおける影響を評価するために、それぞれのデータログの情報を取得して分析してもよい。
The data log analysis unit 1400 shown in FIG. 1 may be provided in the vehicle electronic control unit 1300, or may be provided in a remote device that communicates with the vehicle electronic control unit 1300 via a network. good. Here, the data log analysis unit 1400 acquires the data of the data log 1130 of the hypervisor, the data log 1211 of the supervisor 1210, and the data log 1213 of the application 1212, and operates the abnormal signal generated by the process described later. Analyze the results. Data log analysis unit 1400, for example, when an abnormal signal generated based on a signal transmitted from
次に、図1に示される車両用電子制御装置1300の具体例を説明する。ハードウエア信号転送部1020がIntelのAPIC(登録商標),AMDのAVID(登録商標)、ARMのGIC(登録商標)、又はARMのAMBA(登録商標)仕様のデバイス等として構成された場合には、信号転送部1110は、ハードウエア信号転送部1020から転送されるハードウエア信号をハイパーバイザで捕捉する構成にしてもよい。ここで説明した例以外にも、車両用電子制御装置1300を用いる様々な具体例は可能である。
Next, a specific example of the vehicle electronic control unit 1300 shown in FIG. 1 will be described. If the hardware signal transfer unit 1020 is configured as an Intel APIC (registered trademark), AMD AVID (registered trademark), ARM GIC (registered trademark), or ARM AMBA (registered trademark) specification device, , the
次に、図2を参照して、本発明に係る分散型システム100の構成の一例について説明する。以上では、本発明に係る仮想化環境、ハイパーバイザ、及びECUが一体となる車両用電子制御装置について説明したが、本発明はそれに限定されず、上述した車両用電子制御装置の構成要素がお互いに離れており、インターネット等のネットワークにより接続される構成も可能である。
Next, an example of the configuration of the distributed
図2に示されるように、分散型システム100は、中央サーバ150と、ECU118、119をそれぞれ搭載する自動車120、121と、ネットワーク175とからなる。中央サーバ150は、ネットワーク175を介して自動車120、121と接続される。
As shown in FIG. 2 , the distributed
中央サーバ150は、仮想化環境110と、ハイパーバイザ112とを含む検証部104と、CPU113と、メモリ114と、記憶部115と、通信部116とを含むリソース管理部106とからなる。
中央サーバ150とは、検証対象のシステム(アプリ等のソフトウエア又はECU等のハードウエアシステム)の耐故障性を検証するために、特定のエラーや故障を引き起こす異常信号の影響を検証するテスト用実行環境111を提供するサーバ装置である。このテスト用実行環境111とは、異常信号を模擬的にシミュレートし、当該信号の動作結果や影響を検証・分析するための空間である。
なお、本実施例では、一例として、テスト用実行環境111が仮想化環境において作成される論理空間を説明するが、テスト用実行環境111はこれに限定されず、特定のハードウエアデバイスとしてもよい。例えば、テスト用実行環境111は、異常信号の動作・影響を検証するために予め設定されたECU、カメラ、自動運転システム、ブレーキ制御部等のハードウエアであってもよい。
The central server 150 includes a virtualization environment 110 , a verification unit 104 including a hypervisor 112 , a resource management unit 106 including a
The central server 150 is a test execution server that verifies the effects of abnormal signals that cause specific errors and failures in order to verify the fault tolerance of the verification target system (software such as applications or hardware systems such as ECUs). It is a server device that provides the environment 111 . The test execution environment 111 is a space for simulating an abnormal signal and verifying/analyzing the operation result and influence of the signal.
In this embodiment, as an example, the test execution environment 111 is described as a logical space created in a virtual environment, but the test execution environment 111 is not limited to this, and may be a specific hardware device. . For example, the test execution environment 111 may be hardware such as an ECU, a camera, an automatic driving system, a brake control unit, etc. that are set in advance to verify the operation and influence of an abnormal signal.
中央サーバ150のハイパーバイザ112は、CPU113、メモリ114、及び記憶部115の物理リソースを用いて、テスト用実行環境111を含む仮想化環境110を作成する。また、ハイパーバイザ112は、上述したように、異常信号生成部117を含んでいる。この異常信号生成部117は、検証対象のシステムの耐故障性を検証するための異常信号を生成する機能部である。そして、異常信号生成部117は、例えば自動車120、121のECU118、119からの信号(元信号)をネットワーク175を介して受信し、後述する異常信号生成テーブルに基づいて受信した信号を加工し、これをテスト用実行環境111に転送してもよい。あるいは、新たな異常信号を異常信号生成テーブルに基づいて生成して、この異常信号をECU118又は119に転送してもよい。
The hypervisor 112 of the central server 150 creates the virtual environment 110 including the test execution environment 111 using the physical resources of the
このような分散型システム100を用いて、共通の仮想化環境下で、複数の検証対象のシステム(自動車等)に対応することにより、検証対象のシステムごとに仮想化環境を用意することが不要となり、システムのリソース(CPU,メモリ、I/O、ストレージ)を大幅に節約することができる。
By using such a distributed
次に、図3を参照して、本発明に係る信号生成テーブル1121の構成について説明する。信号生成テーブル1121は、検証対象のシステム(アプリ等のソフトウエア又はECU等のハードウエアシステム)の耐故障性を検証するための異常信号(模擬故障信号)の生成条件を示すテーブルである。図3に示されるように、信号生成テーブル1121では、信号を識別する識別子である入力・出力信号IDと、信号のタイミングに関する信号タイミング条件と、信号のデータに関する信号データ条件とが定められている、信号生成テーブル1121は手動でユーザによって作成されてもよく、後述するように、過去の異常データの分析に基づいて、人工知能によって自動的に作成されてもよい。 Next, the configuration of the signal generation table 1121 according to the present invention will be described with reference to FIG. The signal generation table 1121 is a table showing conditions for generating an abnormal signal (simulated failure signal) for verifying fault tolerance of a verification target system (software such as an application or hardware system such as an ECU). As shown in FIG. 3, the signal generation table 1121 defines an input/output signal ID that is an identifier for identifying a signal, a signal timing condition regarding signal timing, and a signal data condition regarding signal data. , the signal generation table 1121 may be manually created by the user, or may be created automatically by artificial intelligence based on analysis of past anomaly data, as described below.
図3に示されるように、信号生成テーブル1121は、信号転送部(例えば、図1における信号転送部1110)によって受信される信号のうち、加工対象の信号を識別する入力信号ID1122と、対象の信号を出力する際に割り当てる識別子を示す出力信号ID1123と、対象の信号に対して適用するタイミングの変更(遅延等)を示す信号タイミング条件1124と、対象の信号に対して適用するデータの変更を示す信号データ条件1125と、対象の信号を送信したシステムまたは対象の信号を受信するシステムの状態(異常、正常、信号を送受信してない期間等)を示す状態情報1126とを含む。この状態情報(「システム状態」ということもある)1126とは、例えば、信号の送信先となるアプリやスーパーバイザ(またはセンサ等のハードウエアデバイス)、のリソース使用率やI/Oデータ通信量が正常か否かを示す情報であってもよい。また、送信先となるソフトウエアシステム又はハードウエアシステムが正常でない場合には、当該システムの異常を示すエラーメッセージ(所定期間内には信号が届いていない、メモリ不足等)を示していてもよい。
なお、説明を簡易にするため、入力識別ID1122が1桁の数字である場合を図3に示しているが、本発明はこれに限定されない。例えば、入力識別ID1122は、特定の信号を一意に識別する文字列であってもよく、特定の信号の種類を示すものであってもよい。信号生成テーブル1121が用いられる処理については後述する。
As shown in FIG. 3, the signal generation table 1121 includes an
To simplify the explanation, FIG. 3 shows the case where the
上述したように、信号生成テーブル1121は、過去の異常データの分析に基づいて、人工知能によって自動的に生成されてもよい。ここで、人工知能とは、例えば、ルールベースの機械学習、ディープラーニング、次元削減方法、アンサンブル学習、インスタンスベースアルゴリズム、回帰分析、ベイジアンネットワーク、ニューラルネットワーク、クラスター分析、強化学習、又はこれらの技術と他の技術の組み合わせ等が上げられる。
これらの人工知能は、例えば、蓄積された過去の異常データを分析し、様々な条件化でどのような異常信号が生じるか、ソフトウエアシステム又はハードウエアシステムが特定の異常信号を受信した場合にどのように作動するか等を学習し、学習モデルを構築してもよい。そして、構築した学習モデルを使用することで、検証対象となるシステムに特定の異常状態を発生させるための最適な異常信号生成条件を導出し、これらの生成条件を信号生成テーブル1121として定めてもよい。これにより、特定の異常状態を最適に引き起こせる条件を自動的に生成することができる。
As noted above, the signal generation table 1121 may be automatically generated by artificial intelligence based on analysis of past anomaly data. Here, artificial intelligence is, for example, rule-based machine learning, deep learning, dimensionality reduction method, ensemble learning, instance-based algorithm, regression analysis, Bayesian network, neural network, cluster analysis, reinforcement learning, or these technologies A combination of other techniques and the like can be mentioned.
These artificial intelligences, for example, analyze accumulated past anomaly data, determine what kind of anomaly signals occur under various conditions, and determine when a software system or hardware system receives a specific anomaly signal. You may learn how it works and build a learning model. Then, by using the constructed learning model, optimal abnormal signal generation conditions for generating a specific abnormal state in the system to be verified are derived, and these generation conditions are defined as the signal generation table 1121. good. This allows automatic generation of conditions that can optimally trigger a particular abnormal condition.
次に、図4を参照して、ハードウエアシステム又はソフトウエアシステムから受信した信号を用いて異常信号を生成する処理について説明する。上述したように、本処理は対象のシステム(アプリ等のソフトウエア又はECU等のハードウエア等)の耐故障性を検証するために、ハードウエアシステム又はソフトウエアシステムから受信した信号(元信号)を、信号生成テーブル1121(図3参照)に示される生成条件に基づいて加工し、異常信号を生成する処理である。
なお、以下の説明では、アプリ宛の信号をECU側から発信する例として説明するが、本発明はこれに限定されない。例えば、本処理は、特定のソフトウエアシステム宛の信号をハードウエア側から発信する場合に適用してもよく、特定のハードウエアシステム宛の信号をソフトウエア側から発信する場合に適用してもよい(すなわち、検証対象のシステムがソフトウエアかハードウエアかは任意である)。
Next, with reference to FIG. 4, the process of generating an anomaly signal using a signal received from a hardware system or software system will be described. As described above, in order to verify the fault tolerance of the target system (software such as applications, hardware such as ECU, etc.), this process receives a signal (original signal) from a hardware system or software system. , processing based on the generation conditions shown in the signal generation table 1121 (see FIG. 3) to generate an abnormal signal.
In the following description, an example in which a signal addressed to an application is transmitted from the ECU side will be described, but the present invention is not limited to this. For example, this processing may be applied when a signal addressed to a specific software system is sent from the hardware side, or applied when a signal addressed to a specific hardware system is sent from the software side. Good (that is, it does not matter whether the system to be verified is software or hardware).
ステップ2000では、特定のアプリ(例えば、図1に示されるアプリ1212)又はECU(例えば、図1に示されるECU1000)宛の信号(元信号)がECU又はアプリにおいて発生する。上述したように、この信号は、ECUにおいて発生したアプリ宛の信号であってもよいし、アプリにおいて発生したECU向けの信号であってもよい。具体的には、この信号は、カメラによって取得された画像データを、仮想化環境で稼働する画像処理アプリに加工させる要求信号などが該当する。
In
ステップ2001では、信号転送部(例えば、図1に示される信号転送部1110)は、ステップ2000で発生した信号を捕捉する。ここで、「捕捉」とは、信号を捉えて、信号転送部内に一時的に保存することを意味する。
At
ステップ2002では、信号転送部は、異常信号生成部(例えば、図1に示される異常信号生成部1120)が起動中(異常信号生成機能がオンになっているか)か否かを確認する。異常信号生成部が起動中でない場合、本処理はステップ2003に進み、信号転送部は当該信号を(加工せずに)そのまま送信先に転送する。一方、異常信号生成部が起動中の場合、本処理はステップ2004へと進む。
At
ステップ2004では、信号転送部は、ステップ2001で受信した信号(例えば、信号に関連付けられているメタデータ)から、当該信号を識別する信号IDを抽出する。
At
ステップ2005では、信号転送部は、受信した信号の信号IDに該当する入力信号IDが信号生成テーブル1121(図3参照)に存在するか否かを確認する。例えば、信号転送部は、ステップ2004で信号から抽出した信号IDを、信号生成テーブル1121に記録されている入力信号IDと比較し、一致するものがあるかないかを判定する。抽出した信号IDが信号生成テーブルに記録されている入力信号IDに一致しない場合には、本処理はステップ2003に進み、信号転送部は当該信号を(加工せずに)そのまま送信先に転送する。一方、抽出した信号IDが信号生成テーブルに記録されている入力信号IDに一致する場合には、本処理はステップ2006へと進む。
At
ステップ2006では、信号転送部は、信号の送信先となるシステムの状態情報を取得する。上述したように、この状態情報とは、対象の信号を受信するシステムの状態(正常、異常等)を示す情報である。例えば、信号転送部は、ステップ2001で受信した信号の送信先となるシステムに対して状態情報の取得要求を送信し、当該送信先から状態情報の通知を受信してもよく、所定のメモリアドレスに保存されている状態情報の管理テーブル等をアクセスし、当該送信先の状態情報を読み込んでもよく、状態情報の取得方法は特に限定されない。
At
ステップ2007では、ステップ2006で取得した状態情報が信号生成テーブル(例えば、図2示される信号生成テーブル1121)に記載されている状態情報に一致するか(すなわち、送信先となるシステムが対象の信号を受信するのに適切な状態となっているか)を確認する。ステップ2006で取得した状態情報と、信号生成テーブルにおいて対象の信号について記載されている状態情報が一致しない場合には、本処理はステップ2003に進み、信号転送部は当該信号を(加工せずに)そのまま送信先となるシステムに転送する。一方、ステップ2006で取得した状態情報と、信号生成テーブルにおいて対象の信号について記載されている状態情報が一致する場合には、本処理はステップ2008へと進む。
In
ステップ2008では、異常信号生成部(例えば、図1に示される異常信号生成部1120)は、信号生成テーブルに基づいて、受信した信号を加工することにより、異常信号を生成する。ここで、異常信号を生成する処理とは、異常信号生成部が、ステップ2001で受信した信号に対して、信号生成テーブルに記載されている、当該信号に対応する処理を施し、加工した信号を異常信号として作成することを意味する。より具体的には、異常信号生成部は、信号生成テーブルに記載されている信号タイミングの条件、信号データの変更、及び/又は信号IDの変更を対象の信号に対して適用する処理を行う。この処理では、異常信号生成部は、例えば、受信した元信号のデータ列の所定箇所を所定の値に置換することで、異常信号を生成することを含む。図3を参照して一例を説明すると、信号転送部が入力信号ID「1」の信号を受信した場合、異常信号生成部は信号生成テーブルに記載されている通り、当該信号に対して、2ナノ秒の遅延を信号のタイミング変更として適用することで異常信号を生成する(なお、入力信号ID「1」の場合、出力信号ID及び信号データの変更がないため、異常信号を生成する処理は信号タイミングの変更のみとなる)。
なお、受信した元信号のタイミングを変更することにより異常信号を生成することを一例として説明したが、本発明はこれに限定されず、元信号に対してデータの変更、出力信号IDの変更など、タイミング変更以外の加工が行われていてもよい。異常信号の生成処理が終了すると(信号生成テーブルにおいて対象の信号について記載されている変更がすべて行われた時)、本処理はステップ2003に進み、信号転送部は異常信号を送信先(例えば、テスト用実行環境となるアプリ、スーパーバイザ、又はハードウエアデバイス)へと転送する。
At
Although an example of generating an abnormal signal by changing the timing of the received original signal has been described, the present invention is not limited to this, and the data of the original signal is changed, the output signal ID is changed, or the like. , processing other than timing change may be performed. When the abnormal signal generation process is completed (when all the changes described for the target signal in the signal generation table have been made), the process proceeds to step 2003, and the signal transfer unit transmits the abnormal signal to the destination (for example, transfer to the application, supervisor, or hardware device that will be the execution environment for testing.
ステップ2009では、異常信号が送信先のシステムに転送されると同時に、異常信号の影響を監視するデータログ(例えば、図1に示されるアプリのデータログ1213、スーパーバイザのデータログ1211、及びハイパーバイザのデータログ1130)が起動する。これらのデータログは、異常信号の各層における動作を監視し、記録する診断プログラムであってもよい。例えば、これらのデータログは、アプリ又はスーパーバイザにおけるリソース使用率やI/O通信量等の変化、信号のタイミング、ハードウエアデバイスの温度、電圧、性能等の変化、異常信号の種類や所望の模擬故障に応じて、異常信号の影響を定量化する様々なパラメータを記録してもよい。
In
ステップ2010では、データログ分析部(例えば、図1に示されるデータログ分析部1400)がデータログの情報(すなわち、アプリのデータログ1213、スーパーバイザのデータログ1211、及びハイパーバイザのデータログ1130の情報)を取得する。上述したように、データログ分析部とは、それぞれのデータログに記録されている情報に基づいて、異常信号の影響を分析する機能部である。データログ分析部は、例えば、各層のデータログが起動する際に、それぞれのデータログの情報を継続的に取得してもよく、所定の期間(例えば1分)ごとに定期的にデータログの情報を取得してもよい。
In
ステップ2011では、データログ分析部は、ステップ2010で取得した各データログの情報を分析する。ここで、分析するとは、異常信号が各層(アプリ層、スーパーバイザ層、ハイパーバイザ層、ハードウエア層等)に与えた影響を評価するために、それぞれのデータログの情報を解析したり、データにおけるパターンや関係を特定したりすることを意味する。例えば、データログ分析部は、データログから取得したリソース使用率、信号のタイミング、ハードウエアデバイスの温度、電圧、性能等のパラメータを所定の閾値に比較することで、異常信号が送信先において故障を引き起こしたか否か、故障の大きさなどを定量化し、検証することができる。
At
以上、異常信号を生成し、当該異常信号の影響を検証する流れを一つの異常信号について説明したが、本処理は一つの異常信号の生成・検証後に終了する必要はない。本発明の態様の一つでは、本発明に係るハイパーバイザは、以前の異常信号(例えば、第1の異常信号及び/又はそれ以前に送信された過去の信号)の影響に応じて、新しい異常信号(例えば、第2の異常信号)を生成してもよい。例えば、検証対象となるアプリやハードウエアデバイスを特定の故障状態にしたい場合には、まずは第1異常信号を生成・転送し、第1異常信号の動作結果を評価した後(例えば、検証対象が所望の故障状態になったか否かの確認後)、この動作結果に応じた第2異常信号を生成・転送してもよい。このように、模擬故障を連鎖的に引き起こすことが可能となり、故障が連続する状況をシミュレートすることができる。 The flow of generating an abnormal signal and verifying the influence of the abnormal signal has been described above for one abnormal signal, but this process does not need to end after generating and verifying one abnormal signal. In one aspect of the present invention, the hypervisor according to the present invention generates a new abnormal A signal (eg, a second anomaly signal) may be generated. For example, if you want to put the application or hardware device to be verified into a specific failure state, first generate and transfer the first abnormal signal, and after evaluating the operation result of the first abnormal signal (for example, if the verification target is After confirming whether or not a desired failure state has occurred, a second abnormality signal may be generated and transferred in accordance with this operation result. In this way, it is possible to cause simulated failures in a chain reaction, thereby simulating a situation in which failures occur consecutively.
[実施例2の概要]
次に、図5を参照して、ハードウエアシステム又はソフトウエアシステムの状態情報を用いて異常信号を生成する処理について説明する。ここで説明する処理は、検証対象のシステム(アプリ等のソフトウエア又はECU等のハードウエア)の耐故障性を検証するために、実施例1に説明したような元信号を用いずに、検証システムの状態情報を用いて所望の故障を引き起こす異常信号を(一から)生成する処理である。
なお、実施例1に説明した処理と同じように、以下の説明では、アプリ宛の信号がECU側で発信することを一例として説明するが、本発明はそれに限定されない。例えば、本処理は、特定のソフトウエアシステム宛の信号がハードウエア側から発信される場合に適用されてもよく、特定のハードウエアシステム宛の信号がソフトウエア側から発信される場合に適用されてもよい。すなわち、検証対象のシステムがソフトウエアかハードウエアかは任意である。
[Outline of Example 2]
Next, with reference to FIG. 5, processing for generating an abnormal signal using state information of the hardware system or software system will be described. In order to verify the fault tolerance of a system to be verified (software such as an application or hardware such as an ECU), the processing described here is performed without using the original signal as described in the first embodiment. is the process of generating (from scratch) an anomaly signal that causes the desired fault using the state information of
As in the processing described in the first embodiment, in the following description, an example in which a signal addressed to an application is transmitted from the ECU side will be described, but the present invention is not limited to this. For example, this process may be applied when a signal destined for a specific software system originates from the hardware side, and is applied when a signal destined for a specific hardware system originates from the software side. may That is, it is arbitrary whether the system to be verified is software or hardware.
まず、ステップ3000では、信号転送部は、異常信号生成部(例えば、図1に示される異常信号生成部1120)が起動中か否かを確認する。ここで、「起動中」とは、異常信号生成機能がオンになっていることを意味する。異常信号生成部が起動中でない場合、本処理は終了する。一方、異常信号生成部が起動中の場合、本処理はステップ3001へと進む。
First, in
次に、ステップ3001では、信号転送部は、信号の送信先となるシステムの状態情報を取得する。上述したように、この状態情報とは、対象の信号を受信するシステムの状態(正常、異常等)を示す情報である。例えば、信号転送部は、ステップ検証対象となるシステムに対して状態情報の取得要求を送信し、当該検証対象から状態情報の通知を受信してもよく、所定のメモリアドレスに保存されている状態情報の管理テーブル等をアクセスし、当該検証対象の状態情報を読み込んでもよく、状態情報の取得方法は特に限定されない。ここでは、信号転送部は、検証対象となるシステムの状態情報を継続的に監視してもよく、所定の期間(例えば1分)ごとに定期的にシステムの状態情報を取得してもよい。
Next, in
次に、ステップ3002では、信号転送部は、ステップ3001で取得した状態情報が信号生成テーブル1121(図3参照)に記載されている状態情報に一致するかを確認する。すなわち、信号転送部は、検証対象となるシステムが対象の信号を受信するのに適切な状態となっているかを確認する。ステップ3001で取得した状態情報と、信号生成テーブルにおいて対象の信号について記載されている状態情報が一致しない場合には、本処理は異常信号を生成せずに終了する。一方、ステップ3001で取得した状態情報と、信号生成テーブルにおいて対象の信号について記載されている状態情報が一致する場合には、本処理はステップ3003へと進む。
Next, in
次に、ステップ3003では、異常信号生成部(例えば、図1に示される異常信号生成部1120)は、信号生成テーブルに記載されている生成条件に基づいて、異常信号を生成する。実施例2に係る異常信号生成は、ソフトウエアシステム又はハードウエアシステムからの元信号を用いずに、検証対象のシステムの状態に応じて新たな異常信号を生成する。実施例2は、元信号に依らずに、検証対象のシステムの状態に応じて異常信号を生成する点において実施例1の異常信号生成処理と異なる。ただし、実施例1に係る異常信号生成処理と同様に、実施例2に係る異常信号生成処理では、異常信号生成部は、信号生成テーブルにおいて記載される信号タイミングの条件、信号データの条件、及び/又は信号IDの条件に従って異常信号を生成する。例えば、図3の信号生成テーブルを用いて一例を説明すると、信号転送部は、検証対象となるシステムの状態情報を取得した結果、検証対象となるシステムが「10ナノ秒以内に信号なし」の状態であると検出した場合に、異常信号生成部は信号生成テーブルに記載されている通り、メモリアドレス0x101の内容を含み、出力信号IDが「6」の異常信号を生成する。
ここでは、異常信号の内容に関する条件および出力信号IDに関する条件がある場合を一例として説明したが、本発明はこれに限定されず、異常信号のタイミングに関する条件など、他の条件に従って異常信号を生成することも可能である。異常信号の生成処理が終了すると、本処理はステップ3006に進み、信号転送部は異常信号を検証対象となるシステムへと転送する。
Next, at
Here, the case where there are a condition regarding the content of the abnormal signal and a condition regarding the output signal ID has been described as an example, but the present invention is not limited to this, and the abnormal signal is generated according to other conditions such as a condition regarding the timing of the abnormal signal. It is also possible to When the abnormal signal generation process ends, the process proceeds to step 3006, and the signal transfer unit transfers the abnormal signal to the verification target system.
ステップ3004では、異常信号が検証対象となるシステムへと転送されると同時に、異常信号の影響を監視するデータログ(例えば、図1に示されるアプリのデータログ1213、スーパーバイザのデータログ1211、及びハイパーバイザのデータログ1130)が起動する。これらのデータログは、異常信号の各層における動作を監視し、動作結果を記録する診断プログラムであってもよい。例えば、これらのデータログは、アプリ又はスーパーバイザにおけるリソース使用率やI/O通信量等の変化、信号のタイミング、ハードウエアデバイスの温度、電圧、性能等の変化、異常信号の種類や所望の模擬故障に応じて、異常信号の影響を定量化するために様々なパラメータを記録してもよい。
At
ステップ3005では、データログ分析部(例えば、図1に示されるデータログ分析部1400)がデータログの情報、すなわち、アプリのデータログ1213、スーパーバイザのデータログ1211、及びハイパーバイザのデータログ1130の情報を取得する。上述したように、データログ分析部とは、それぞれのデータログに記録されている情報に基づいて、異常信号の影響を分析する機能部である。データログ分析部は、例えば、各層のデータログが起動する際に、それぞれのデータログの情報を継続的に取得してもよく、所定の期間(例えば1分)ごとに定期的にデータログの情報を取得してもよい。
In
ステップ3006では、データログ分析部は、ステップ3005で取得した各データログの情報を分析する。ここで、分析するとは、異常信号が各層(アプリ層、スーパーバイザ層、ハイパーバイザ層、ハードウエア層等)に与えた影響を評価するために、それぞれのデータログの情報を解析したり、データにおけるパターンや関係を特定したりすることを意味する。例えば、データログ分析部は、データログから取得したリソース使用率、信号のタイミング、ハードウエアデバイスの温度、電圧、性能等のパラメータを所定の閾値に比較することで、異常信号が送信先において故障を引き起こしたか否か、故障の大きさなどを定量化し、検証することができる。
At
以上の実施例1及び実施例2において説明した異常信号生成手段では、コストの高いシミュレーション手段の導入やハードウエアシステム及びソフトウエアシステムの変更を用いることなく、自動車に搭載されるシステムが故障した場合の影響を検証することができる。これにより、自動車に搭載されるシステムの耐故障性を検証するためのコスト(金銭的なコスト及びコンピュータリソースの使用率)を抑えることができ、また、ハイパーバイザを備える一般的なコンピュータで検証を行うことが可能となる。このため、耐故障性検証用のシステムの可用性が向上し、検証の効率が上がる効果が得られる。 In the abnormal signal generation means described in the first and second embodiments above, when the system installed in the automobile fails, without introducing expensive simulation means or changing the hardware system and software system. can be verified. As a result, the cost (monetary cost and computer resource usage) for verifying the fault tolerance of the system installed in the vehicle can be reduced, and verification can be performed using a general computer equipped with a hypervisor. becomes possible. As a result, the availability of the system for fault tolerance verification is improved, and the efficiency of verification is improved.
以上、ソフトウエアシステム(アプリ、スーパーバイザ等)の状態を示す状態情報を用いて、当該ソフトウエアシステムを検証するための異常信号を生成する例を主に説明したが、本発明はこれに限定されず、ハードウエアシステムを特定の異常状態にする異常信号を生成する構成も可能である。 In the above, an example of generating an abnormal signal for verifying a software system using state information indicating the state of the software system (application, supervisor, etc.) has been mainly described, but the present invention is not limited to this. Instead, it is also possible to generate an anomaly signal that places the hardware system in a particular anomalous state.
ハードウエアシステムを特定の異常状態にする異常信号を生成する具体例の一つとしては、映像撮影部、自動運転部、エンジンスロットル部、パワーステアリング部、テレマティクス部、ブレーキ制御部、及び先進運転支援部を搭載する自動車の場合が考えられる。このような自動車には、1つの機能部が故障した場合に、他の機能部がどのような影響を受けるかを検証するニーズがある。そこで、本発明に係る異常信号生成手段によれば、1つの機能部からの信号を、上述した信号生成テーブルに基づいて加工して生成した異常信号を他の機能部に転送することで、他の機能部が特定の異常状態になった場合の動作を検証することができる。 One specific example of generating an abnormal signal that puts a hardware system in a specific abnormal state is a video capturing unit, an automatic driving unit, an engine throttle unit, a power steering unit, a telematics unit, a brake control unit, and an advanced driving assistance unit. A case of an automobile in which a part is mounted is conceivable. In such vehicles, there is a need to verify how other functional parts are affected when one functional part fails. Therefore, according to the abnormal signal generating means of the present invention, the abnormal signal generated by processing the signal from one functional unit based on the above-described signal generation table is transferred to the other functional unit. It is possible to verify the operation when the functional part of is in a specific abnormal state.
例えば、上述した自動車の場合、映像撮影部が取得した映像信号を加工して、映像の一部にノイズを導入した(映像の一部を消したり、ぼやかしたり、不鮮明な画像で置き換えたりする処理を施した)異常信号を他の車載機能部に転送することで、映像撮影部が故障した場合に、他の機能部がどう作動するか(例えば、テレマティクス部がどのタイミングで運転者に通知するか、自動運転部がマニュアル運転に切り替えるか、ブレーキ制御部がマニュアル運転に切り替えるか、エンジンスロットル部が自動車の加速を制御するか)を検証することができる。 For example, in the case of the above-mentioned car, the video signal acquired by the video recording unit is processed to introduce noise into part of the video (processing that erases, blurs, or replaces a part of the video with an unclear image). by transferring the abnormal signal to other in-vehicle functional units, how other functional units will operate if the video recording unit fails (for example, at what timing the telematics unit will notify the driver or whether the automatic driving section switches to manual driving, whether the brake control section switches to manual driving, or whether the engine throttle section controls the acceleration of the vehicle).
また、ブレーキ制御部からテレマティクス部に送信されるブレーキ信号を異常信号に変換する(または異常のブレーキ信号を新たに生成する)ことで、テレマティクス部の反応速度(異常通知を運転者に知らせるまでの時間)を検証することができる。 In addition, by converting the brake signal sent from the brake control unit to the telematics unit into an abnormal signal (or generating a new abnormal brake signal), the response speed of the telematics unit time) can be verified.
以上、本発明の実施の形態について説明したが、本発明は、上述した実施の形態に限定されるものではなく、本発明の要旨を逸脱しない範囲において種々の変更が可能である。 Although the embodiments of the present invention have been described above, the present invention is not limited to the above-described embodiments, and various modifications are possible without departing from the gist of the present invention.
1000 ECU
1100 ハイパーバイザ
1110 信号転送部
1120 異常信号生成部
1121 信号生成テーブル
1200 仮想化環境
1300 車両用電子制御装置
1400 データログ分析部
1000 ECU
1100
Claims (10)
前記ハイパーバイザは、
異常信号生成部と、信号転送部とを備え、
前記異常信号生成部は、
信号生成に関する条件を定める信号生成テーブルに基づき、異常信号を生成し、
前記信号転送部は、
前記異常信号をテスト用実行環境に転送する、
ことを特徴とする車両用電子制御装置。 A vehicle electronic control device including a hypervisor,
The hypervisor is
An abnormal signal generation unit and a signal transfer unit,
The abnormal signal generation unit is
Generate an abnormal signal based on a signal generation table that defines conditions for signal generation,
The signal transfer unit is
forwarding the abnormal signal to a testing execution environment;
A vehicle electronic control device characterized by:
前記異常信号生成部は、
前記ハイパーバイザに連携しているソフトウエアシステムまたはハードウエアシステムから受信した元信号を、前記信号生成テーブルに基づいて加工することで、前記異常信号として生成する、
ことを特徴とする車両用電子制御装置。 In the vehicle electronic control device according to claim 1,
The abnormal signal generation unit is
generating the abnormal signal by processing the original signal received from the software system or hardware system linked to the hypervisor based on the signal generation table;
A vehicle electronic control device characterized by:
前記異常信号生成部は、前記元信号のデータ列の所定箇所を所定の値に置換することで、前記異常信号を生成する、
ことを特徴とする車両用電子制御装置。 In the vehicle electronic control device according to claim 2,
The abnormal signal generation unit generates the abnormal signal by replacing a predetermined portion of the data string of the original signal with a predetermined value.
A vehicle electronic control device characterized by:
前記異常信号生成部は、
前記ハイパーバイザに連携しているソフトウエアシステムまたはハードウエアシステムから取得するシステム状態を示す状態情報と、前記信号生成テーブルとに基づき、前記異常信号を生成する、
ことを特徴とする車両用電子制御装置。 In the vehicle electronic control device according to claim 1,
The abnormal signal generation unit is
generating the abnormal signal based on state information indicating a system state obtained from a software system or hardware system linked to the hypervisor and the signal generation table;
A vehicle electronic control device characterized by:
前記信号生成テーブルは、信号を識別する識別子と、信号のタイミングに関する信号タイミング条件と、信号のデータに関する信号データ条件と、が定められたテーブルである、
ことを特徴とする車両用電子制御装置。 In the vehicle electronic control device according to claim 1,
The signal generation table is a table in which an identifier for identifying a signal, a signal timing condition regarding signal timing, and a signal data condition regarding signal data are defined.
A vehicle electronic control device characterized by:
前記ハイパーバイザは、第1の異常信号のテスト用実行環境における動作結果を記録するデータログを含み、 The hypervisor includes a data log that records results of operation in the execution environment for testing the first anomaly signal;
前記異常信号生成部は、前記データログに記録される前記第1の異常信号の前記動作結果に応じて、第2の異常信号を生成する、 The abnormal signal generation unit generates a second abnormal signal according to the operation result of the first abnormal signal recorded in the data log.
ことを特徴とする車両用電子制御装置。 A vehicle electronic control device characterized by:
前記信号転送部は、 The signal transfer unit is
前記ハイパーバイザに連携しているソフトウエアシステムまたはハードウエアシステムからの信号を受信し、 receiving signals from software or hardware systems associated with the hypervisor;
前記信号に含まれる信号識別子が、前記信号生成テーブルに予め記録された信号識別子に一致する場合、 if the signal identifier included in the signal matches a signal identifier pre-recorded in the signal generation table;
前記異常信号生成部は、 The abnormal signal generation unit is
前記信号識別子を前記信号生成テーブルに基づいて変換することで前記異常信号を生成する、 generating the abnormal signal by converting the signal identifier based on the signal generation table;
ことを特徴とする車両用電子制御装置。 A vehicle electronic control device characterized by:
前記異常信号生成部は、 The abnormal signal generation unit is
前記ハイパーバイザに連携しているソフトウエアシステムまたはハードウエアシステムから、当該システムのシステム状態を示す状態情報を取得し、 acquiring state information indicating the system state of the system from a software system or hardware system linked to the hypervisor;
前記状態情報に示される前記システム状態が、前記信号生成テーブルに予め記録されたシステム状態に一致する場合、 if the system state indicated in the state information matches a system state pre-recorded in the signal generation table;
前記信号生成テーブルに基づいて、前記異常信号を生成する、 generating the abnormal signal based on the signal generation table;
ことを特徴とする車両用電子制御装置。 A vehicle electronic control device characterized by:
前記ハイパーバイザは、 The hypervisor is
異常信号生成部と、信号転送部とを備え、 An abnormal signal generation unit and a signal transfer unit,
前記異常信号生成方法は、 The abnormal signal generation method includes:
信号生成に関する条件を定める信号生成テーブルに基づき、異常信号を前記異常信号生成部によって生成する工程と、 a step of generating an abnormal signal by the abnormal signal generator based on a signal generation table that defines conditions for signal generation;
前記異常信号を前記信号転送部によってテスト用実行環境に転送する工程と、 transferring the abnormal signal to a test execution environment by the signal transfer unit;
を含む異常信号生成方法。 Abnormal signal generation method including.
前記ハイパーバイザは、 The hypervisor is
異常信号生成部と、信号転送部とを備え、 An abnormal signal generation unit and a signal transfer unit,
前記異常信号生成プログラムは、 The abnormal signal generation program is
信号生成に関する条件を定める信号生成テーブルに基づき、異常信号を前記異常信号生成部によって生成する手順と、 a procedure for generating an abnormal signal by the abnormal signal generator based on a signal generation table that defines conditions for signal generation;
前記異常信号を前記信号転送部によってテスト用実行環境に転送する手順と、 a procedure for transferring the abnormal signal to the test execution environment by the signal transfer unit;
を前記車両用電子制御装置に実行させるための異常信号生成プログラム。 Abnormal signal generation program for causing the vehicle electronic control unit to execute.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018237890A JP7204471B2 (en) | 2018-12-20 | 2018-12-20 | VEHICLE ELECTRONIC CONTROL DEVICE, ABNORMAL SIGNAL GENERATING METHOD, ABNORMAL SIGNAL GENERATING PROGRAM |
PCT/JP2019/045590 WO2020129531A1 (en) | 2018-12-20 | 2019-11-21 | Electronic control device for vehicle, abnormal signal generation method, and abnormal signal generation program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018237890A JP7204471B2 (en) | 2018-12-20 | 2018-12-20 | VEHICLE ELECTRONIC CONTROL DEVICE, ABNORMAL SIGNAL GENERATING METHOD, ABNORMAL SIGNAL GENERATING PROGRAM |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2020101877A JP2020101877A (en) | 2020-07-02 |
JP7204471B2 true JP7204471B2 (en) | 2023-01-16 |
Family
ID=71102110
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018237890A Active JP7204471B2 (en) | 2018-12-20 | 2018-12-20 | VEHICLE ELECTRONIC CONTROL DEVICE, ABNORMAL SIGNAL GENERATING METHOD, ABNORMAL SIGNAL GENERATING PROGRAM |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP7204471B2 (en) |
WO (1) | WO2020129531A1 (en) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010093431A (en) | 2008-10-06 | 2010-04-22 | Anritsu Engineering Kk | Communication abnormality generation device |
JP2016213736A (en) | 2015-05-12 | 2016-12-15 | コハダ株式会社 | Test program and test device |
JP2018032392A (en) | 2016-08-26 | 2018-03-01 | 株式会社日立製作所 | Simulation including multiple simulators |
-
2018
- 2018-12-20 JP JP2018237890A patent/JP7204471B2/en active Active
-
2019
- 2019-11-21 WO PCT/JP2019/045590 patent/WO2020129531A1/en active Application Filing
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010093431A (en) | 2008-10-06 | 2010-04-22 | Anritsu Engineering Kk | Communication abnormality generation device |
JP2016213736A (en) | 2015-05-12 | 2016-12-15 | コハダ株式会社 | Test program and test device |
JP2018032392A (en) | 2016-08-26 | 2018-03-01 | 株式会社日立製作所 | Simulation including multiple simulators |
Also Published As
Publication number | Publication date |
---|---|
JP2020101877A (en) | 2020-07-02 |
WO2020129531A1 (en) | 2020-06-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11223525B2 (en) | Gateway device, firmware update method, and recording medium | |
US10685124B2 (en) | Evaluation apparatus, evaluation system, and evaluation method | |
US11842582B2 (en) | Layered electrical architecture for vehicle diagnostics | |
US20180229739A1 (en) | Monitoring apparatus, communication system, vehicle, monitoring method, and non-transitory storage medium | |
JP2018144800A (en) | Detection of irregularity in linked cloud-edge vehicle | |
JP5972303B2 (en) | Method for executing configuration setting of control device test system | |
US7295903B2 (en) | Device and method for on-board diagnosis based on a model | |
WO2017187997A1 (en) | Vehicle control system verification device, vehicle control system, and vehicle control system verification method | |
Lanigan et al. | Diagnosis in automotive systems: A survey | |
Drolia et al. | Autoplug: An automotive test-bed for electronic controller unit testing and verification | |
US20180370459A1 (en) | Apparatus and method for checking or monitoring in-vehicle control unit | |
WO2018179536A1 (en) | Information processing device, information processing method, program, and recording medium on which said program is stored | |
CN115756908A (en) | Method for real-time ECU crash reporting and recovery | |
Ben Lakhal et al. | Controller area network reliability: overview of design challenges and safety related perspectives of future transportation systems | |
JP7204471B2 (en) | VEHICLE ELECTRONIC CONTROL DEVICE, ABNORMAL SIGNAL GENERATING METHOD, ABNORMAL SIGNAL GENERATING PROGRAM | |
Kenjić et al. | Connectivity challenges in automotive solutions | |
DE102022122064A1 (en) | SYSTEM AND METHOD FOR IMPROVED ECU FAILURE DETECTION IN FLEET | |
Devi et al. | Bootloader design for advanced driver assistance system | |
Wagner et al. | Virtualization for Verifying Functional Safety of Highly Automated Driving Using the Example of a Real ECU Project | |
Devi et al. | 3 Bootloader Design for | |
Bozic et al. | A New Generation Automotive Tool Access Architecture for Remote in-Field Diagnosis | |
CN115765904A (en) | Embedded system timing for automobile | |
CN115733652A (en) | Temporary key exchange between vehicle software nodes | |
CN115761936A (en) | Improved target unit testing | |
Pereira | Testes Automáticos utilizando o Vector CANoe num Sensor Inercial |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210601 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220802 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220825 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20221213 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20221228 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7204471 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |