JP7435435B2 - 車両用装置 - Google Patents

車両用装置 Download PDF

Info

Publication number
JP7435435B2
JP7435435B2 JP2020213696A JP2020213696A JP7435435B2 JP 7435435 B2 JP7435435 B2 JP 7435435B2 JP 2020213696 A JP2020213696 A JP 2020213696A JP 2020213696 A JP2020213696 A JP 2020213696A JP 7435435 B2 JP7435435 B2 JP 7435435B2
Authority
JP
Japan
Prior art keywords
video
error detection
image
display
crc
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020213696A
Other languages
English (en)
Other versions
JP2022099727A (ja
Inventor
明 工藤
崇博 都築
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2020213696A priority Critical patent/JP7435435B2/ja
Priority to PCT/JP2021/043210 priority patent/WO2022137967A1/ja
Priority to CN202180086412.XA priority patent/CN116636149A/zh
Publication of JP2022099727A publication Critical patent/JP2022099727A/ja
Priority to US18/336,593 priority patent/US20230328224A1/en
Application granted granted Critical
Publication of JP7435435B2 publication Critical patent/JP7435435B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N17/00Diagnosis, testing or measuring for television systems or their details
    • HELECTRICITY
    • H03ELECTRONIC CIRCUITRY
    • H03MCODING; DECODING; CODE CONVERSION IN GENERAL
    • H03M13/00Coding, decoding or code conversion, for error detection or error correction; Coding theory basic assumptions; Coding bounds; Error probability evaluation methods; Channel models; Simulation or testing of codes
    • H03M13/03Error detection or forward error correction by redundancy in data representation, i.e. code words containing more digits than the source words
    • H03M13/05Error detection or forward error correction by redundancy in data representation, i.e. code words containing more digits than the source words using block codes, i.e. a predetermined number of check bits joined to a predetermined number of information bits
    • H03M13/09Error detection only, e.g. using cyclic redundancy check [CRC] codes or single parity bit
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60KARRANGEMENT OR MOUNTING OF PROPULSION UNITS OR OF TRANSMISSIONS IN VEHICLES; ARRANGEMENT OR MOUNTING OF PLURAL DIVERSE PRIME-MOVERS IN VEHICLES; AUXILIARY DRIVES FOR VEHICLES; INSTRUMENTATION OR DASHBOARDS FOR VEHICLES; ARRANGEMENTS IN CONNECTION WITH COOLING, AIR INTAKE, GAS EXHAUST OR FUEL SUPPLY OF PROPULSION UNITS IN VEHICLES
    • B60K35/00Instruments specially adapted for vehicles; Arrangement of instruments in or on vehicles
    • B60K35/20Output arrangements, i.e. from vehicle to user, associated with vehicle functions or specially adapted therefor
    • B60K35/21Output arrangements, i.e. from vehicle to user, associated with vehicle functions or specially adapted therefor using visual output, e.g. blinking lights or matrix displays
    • B60K35/213Virtual instruments
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60KARRANGEMENT OR MOUNTING OF PROPULSION UNITS OR OF TRANSMISSIONS IN VEHICLES; ARRANGEMENT OR MOUNTING OF PLURAL DIVERSE PRIME-MOVERS IN VEHICLES; AUXILIARY DRIVES FOR VEHICLES; INSTRUMENTATION OR DASHBOARDS FOR VEHICLES; ARRANGEMENTS IN CONNECTION WITH COOLING, AIR INTAKE, GAS EXHAUST OR FUEL SUPPLY OF PROPULSION UNITS IN VEHICLES
    • B60K35/00Instruments specially adapted for vehicles; Arrangement of instruments in or on vehicles
    • B60K35/20Output arrangements, i.e. from vehicle to user, associated with vehicle functions or specially adapted therefor
    • B60K35/21Output arrangements, i.e. from vehicle to user, associated with vehicle functions or specially adapted therefor using visual output, e.g. blinking lights or matrix displays
    • B60K35/22Display screens
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/08Error detection or correction by redundancy in data representation, e.g. by using checking codes
    • G06F11/10Adding special bits or symbols to the coded information, e.g. parity check, casting out 9's or 11's
    • G06F11/1004Adding special bits or symbols to the coded information, e.g. parity check, casting out 9's or 11's to protect a block of data words, e.g. CRC or checksum
    • HELECTRICITY
    • H03ELECTRONIC CIRCUITRY
    • H03MCODING; DECODING; CODE CONVERSION IN GENERAL
    • H03M13/00Coding, decoding or code conversion, for error detection or error correction; Coding theory basic assumptions; Coding bounds; Error probability evaluation methods; Channel models; Simulation or testing of codes
    • H03M13/61Aspects and characteristics of methods and arrangements for error correction or error detection, not provided for otherwise
    • H03M13/611Specific encoding aspects, e.g. encoding by means of decoding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/004Arrangements for detecting or preventing errors in the information received by using forward error control
    • H04L1/0056Systems characterized by the type of code used
    • H04L1/0061Error detection codes
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60KARRANGEMENT OR MOUNTING OF PROPULSION UNITS OR OF TRANSMISSIONS IN VEHICLES; ARRANGEMENT OR MOUNTING OF PLURAL DIVERSE PRIME-MOVERS IN VEHICLES; AUXILIARY DRIVES FOR VEHICLES; INSTRUMENTATION OR DASHBOARDS FOR VEHICLES; ARRANGEMENTS IN CONNECTION WITH COOLING, AIR INTAKE, GAS EXHAUST OR FUEL SUPPLY OF PROPULSION UNITS IN VEHICLES
    • B60K2360/00Indexing scheme associated with groups B60K35/00 or B60K37/00 relating to details of instruments or dashboards
    • B60K2360/1523Matrix displays
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60KARRANGEMENT OR MOUNTING OF PROPULSION UNITS OR OF TRANSMISSIONS IN VEHICLES; ARRANGEMENT OR MOUNTING OF PLURAL DIVERSE PRIME-MOVERS IN VEHICLES; AUXILIARY DRIVES FOR VEHICLES; INSTRUMENTATION OR DASHBOARDS FOR VEHICLES; ARRANGEMENTS IN CONNECTION WITH COOLING, AIR INTAKE, GAS EXHAUST OR FUEL SUPPLY OF PROPULSION UNITS IN VEHICLES
    • B60K2360/00Indexing scheme associated with groups B60K35/00 or B60K37/00 relating to details of instruments or dashboards
    • B60K2360/16Type of output information
    • B60K2360/178Warnings

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Chemical & Material Sciences (AREA)
  • Mechanical Engineering (AREA)
  • Transportation (AREA)
  • Combustion & Propulsion (AREA)
  • General Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Multimedia (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Instrument Panels (AREA)
  • Controls And Circuits For Display Device (AREA)

Description

本開示は、出力する映像の誤りを検出する車両用装置に関する。
車両に搭載される車両用装置は、安全に関わる処理を実行することがあることから、その作動に正確性が求められる。そのため、例えば特許文献1では、プログラムの実行順序に対して誤り検出を行うことにより、予め決められている実行順序で処理が行われているか否かを確認することが提案されている。
特許第6434840号
さて、近年の車両用装置では、インスツルメンツパネルに液晶パネルなどの表示装置を設け、速度メータや、エアバッグやブレーキ等の車両機能の故障やシートベルト非着用などを警告するテルテールをフルグラフィックス表示することがある。
その場合、いわゆる機能安全を実現するために、テルテールの表示に関しては、例えば「車両機能が故障により作動しない場合には、乗員がその不作動を認識できるようにテルテールを点灯して告知する」などの安全目標が設定される。そして、車両用装置には、その安全目標を達成できる設計であることが求められる。以下、安全目標をSG(Safety Goal)と称する。
しかしながら、車両用装置から映像を出力する場合には、正しい処理を正しい順序で実行したとしても、その実行結果に基づいて生成された映像が必ずしも正しいものになっていない状況が想定される。
例えば、車両用装置は、一般的に生成する映像の元になる画像を記憶しており、その画像に基づいて映像を生成および出力している。このとき、仮に元になる画像が例えばソフトエラーによって破損してしまった場合には、正しい順序で正しい処理を実行したとしても、破損した画像に基づいて映像が生成されることになる。その結果、例えば警告表示を行うべき状況であるにも関わらず警告が表示されていない状態、すなわち、設定された安全目標を達成できていない状態が発生し得る。
本開示は、上記した事情に鑑みてなされたものであり、その目的は、自身が出力する映像の誤りを検出することができる車両用装置を提供することにある。
上記目的を達成するために、一態様としての車両用装置(1)は、表示装置(6)への表示に関する処理を実行する制御部(10)と、表示装置に表示する映像を生成する映像処理部(11)と、映像処理部が生成した映像を表示装置に対して出力する映像出力部(12)と、映像処理部が生成する映像の元になる画像、および、当該画像に対して予め演算されている誤り検出符号(30)を記憶している記憶部(4)と、誤り検出符号を演算する演算部(13)と、映像出力部から出力される映像に対して演算される誤り検出符号と記憶部に記憶されている誤り検出符号とを比較することにより、表示装置に対して出力される映像の誤りを検出する映像誤り検出部(16)と、を備える。
このような構成としたことにより、車両用装置は、それぞれの誤り検出符号を比較し、両者が一致すれば、出力される映像が元になる画像に基づいて正しく生成されていることを確認できる一方、両者が一致しなければ、出力される映像が元になる画像とは異なっていることを確認できる。また、車両用装置において最も後段側となる映像に対して誤り検出が実施されるため、表示装置に映像を表示する処理においてどの時点で不具合が発生したとしても、その不具合を検出することが可能となる。したがって、自身が出力する映像の誤りを検出することができる。
第1実施形態による車両用装置の構成例を模式的に示す図 テルテール画像の一例を模式的に示す図 メータディスプレイへの表示例を模式的に示す図 CRCマスタの一例を模式的に示す図 映像表示処理の流れを示す図 映像誤り検出処理の流れを示す図 第2実施形態によるCRCマスタの一例を模式的に示す図 表示領域の表示態様とCRCマスタとの関係を模式的に示す図 第3実施形態による車両用装置の構成例を模式的に示す図
以下、複数の実施形態について説明する。また、各実施形態において実質的に共通する部位には同一符号を付すものとする。
(第1実施形態)
以下、第1実施形態について説明する。図1に示すように、車両用装置1は、SoC2、RAM3およびROM4などを備えている。この車両用装置1は、車両に搭載されている他のECU5や表示装置としてのメータディスプレイ6とともに、映像誤り検出システム7を構築している。なお、SoCはSystem on a Chipの略であり、ECUはElectronic Control Unitの略である。また、車両用装置1もECU5の一種ではあるものの、説明をわかり易くするために、ここでは車両用装置1とECU5とを区別している。
SoC2は、制御部10、映像処理部11、映像出力部12、CRC演算部13、通信部14などをパッケージ内に収容した半導体集積回路である。制御部10は、図示しないプロセッサで構成されており、RAM3、ROM4、映像処理部11、映像出力部12、CRC演算部13、通信部14に対して内部バス15を介して接続されている。この制御部10は、プログラムを実行することによって車両用装置1の全体を制御する。また、制御部10は、本実施形態に関連して、メータディスプレイ6に映像を出力するための各種ソフトウェア処理を実行する。
この制御部10には、映像誤り検出部16がソフトウェアによって実現されている。映像誤り検出部16は、詳細は後述するが、表示装置に対して出力される映像の誤りを検出する。また、映像誤り検出部16は、映像出力部12から出力される映像に対して演算される誤り検出符号とROM4に記憶されている誤り検出符号とを比較することにより、メータディスプレイ6に対して出力される映像の誤りを検出する。
RAM3は、例えばDDRメモリのような揮発性の記憶装置で実現されている。なお、DDRはDouble Data Rateの略である。このRAM3には、制御部10が実行する処理に関する各種のデータが一時的に記憶されるとともに、詳細は後述するが、テルテールの点灯状態を示すテルテール情報20、メータディスプレイ6に表示するためのテルテール映像21およびメータ映像22などが記憶される。これらテルテール映像21およびメータ映像22は、RAM3上に予め設けられている描画領域に描画されることで、RAM3に格納つまりは記憶される。
ROM4は、例えばいわゆるFlashROM、eMMC、UFSなどの不揮発性の記憶装置で実現されている。このROM4は、本実施形態における記憶部を構成している。なお、eMMCはembedded Multi Media Cardの略であり、UFSはUniversal Flash Storageの略である。
このROM4には、制御部10が実行するプログラムや、誤り検出符号であるCRCマスタ30、メータディスプレイ6に表示するテルテール映像21の元になるテルテール画像31、メータ映像22の元になるメータ画像32などが記憶されている。CRCマスタ30は、詳細については後述するが、テルテール画像31に対して予め演算された誤り検出符号であり、ROM4に予め記憶されている。なお、CRCはCyclic Redundancy Checkの略である。
具体的には、図2に示すように、テルテール画像31としては、例えばエアバッグ警告画像31a、サイドエアバッグ警告画像31b、ブレーキ警告画像31c、ABS警告画像31d、シートベルト非着用警告画像31eなどが記憶されている。ただし、図2に示すテルテール画像31の数や種類は一例であり、テルテール画像31は、例えば国土交通省発行の協定規則第121号車両の手動操作装置、テルテール及びインジケータの位置及び識別に係る認可に関する統一規定等に準拠したものが用意されている。また、メータ画像32としては、例えばメータ針32aやメータ目盛り32bなどの画像がROM4に記憶されている。
これらの画像は、映像処理部11によって処理される。具体的には、映像処理部11は、制御部10からの指令を受けて、記憶部に記憶されているテルテール画像31やメータ画像32を読み出した後、RAM3上に設定されている描画領域にテルテール映像21やメータ映像22として描画する。本実施形態では、ROM4に記憶されていて、映像を生成するためのパーツとなるものを画像と称し、それらのパーツをメータディスプレイ6に表示するために大きさや位置を調整して描画領域に再描画したものを映像と称している。
描画領域に描画されたテルテール映像21とメータ映像22は、映像出力部12によってメータディスプレイ6に対して出力される。具体的には、映像出力部12は、制御部10からの指令を受けて、RAM3上の描画領域に描画されたテルテール映像21とメータ映像22を読み出し、それらを合成した合成映像を生成してメータディスプレイ6に対して出力する。
この合成映像は、映像信号に変換された後、映像ケーブル17を介してメータディスプレイ6に送信されて表示される。つまり、映像出力部12から出力される合成映像は、車両用装置1において最も後段側で処理されることになる。そして、後述するように、CRC演算部13は、この合成映像に対してCRC演算を実施する。以下、映像出力部12から出力される合成映像を、単に映像出力部12から出力される映像とも称する。
なお、これら映像処理部11および映像出力部12は、本実施形態ではSoC2が内蔵しているGPUやIPUを利用しているが、映像処理部11と映像出力部12とを同一モジュールで構成とすることもできる。なお、GPUはGraphics Processing Unitの略であり、IPUはImage Processing Unitの略である。
CRC演算部13は、入力されたデータに対してCRC演算を実施するものであり、本実施形態に関連して、映像出力部12から出力された映像、すなわち、映像出力部12が合成した合成画像に対するCRC演算も実施する。このCRC演算部13は、誤り検出符号を演算する演算部を構成している。
通信部14は、SoC2と外部の装置との間の通信を行う。本実施形態の場合、通信部14は、車載ネットワーク18を介してECU5から、図1にSTSとして示す車両ステータスを受信可能な構成となっている。この車両ステータスは、車両の状態を特定可能な情報を含むものであり、テルテールを点灯するか否かを示すテルテール情報20や、車両の速度やエンジン回転数などのメータディスプレイ6への表示に必要となる情報が含まれている。また、車両ステータスは、制御部10の処理によってRAM3に記憶される。
ただし、通信部14は、車両ステータスを必要な間隔で通信可能な帯域を有するものであればその構成は問わず、例えばCAN、LINなどの調歩同期式通信を採用することができる。また、SoC2に外付けでCANやLIN用の通信回路を接続し、その間をSPI、I2C、RS232Cなどの通信方式で接続する構成とすることもできる。なお、CANはController Area Networkの略であり、LINはLocal Interconnect Networkの略であり、SPIはSerial Peripheral Interfaceの略であり、I2CはInter-Integrated Circuitの略である。
ECU5は、車両の機能に関する各種の制御を行うものであり、図1には説明の簡略化のために1つのみ示しているが、実際には複数個が車両に搭載されている。ECU5としては、例えばエアバッグ制御用、エンジン制御用、ブレーキ制御用、パワーステアリング制御用、充電制御用、トランスミッション制御用などがある。本実施形態の場合、ECU5は、テルテールを点灯すべき車両の状態であるか否かを特定できる車両ステータスを取得して車両用装置1に送信可能に構成されている。
メータディスプレイ6は、例えば液晶表示器や有機EL表示器で構成されており、インスツルメンツパネルの概ね運転者の正面となる位置に設けられている。メータディスプレイ6は、車両用装置1と映像ケーブル17で接続されており、車両用装置1の映像出力部12から出力された映像が表示される。以下、テルテール映像21やメータ映像22を合成して出力される合成映像においては、つまりは、メータディスプレイに表示される映像においては、単にテルテールとも称する。
このメータディスプレイ6には、図3に示すように、速度メータ40や現在時刻41、エアバッグやブレーキといった車両機能の故障を警告したりシートベルト非着用を警告したりする複数のテルテールが表示される。なお、図3は一例であり、回転数メータや他の情報が表示される構成であってもよい。
表示されるテルテールは、表示領域(R)内の予め定められている位置に、テルテールの種類ごとに予め定められた所定の位置に、警告用に定められている所定以上の大きさ且つ所定の色でフルグラフィックス表示される。図3の場合、表示領域(R)には8個の表示位置H1~表示位置H8が設定されており、各表示位置には個別のテルテールが予め割り当てられている。そして、各テルテールは、車両の状態に応じて予め設定された表示態様となるように点灯状態または消灯状態が設定される。なお、テルテールを表示する位置や数は一例である。
例えば、図3に示す表示例:警告なしでは、テルテールを点灯すべき不具合が検知されておらず警告が不要であることから、各表示位置においてテルテールは消灯状態になっている。一方、図3に示す表示例:警告ありでは、エアバッグおよびサイドエアバッグに不具合が検出されており、それらを警告する必要があることから、エアバッグの不具合を警告するテルテール映像21aが予め定められている例えば表示位置(H1)に点灯状態で表示され、サイドエアバッグの不具合を警告するテルテール映像21bが予め割り当てられている例えば表示位置(H2)に点灯状態で表示されている。
ここで、点灯状態とは、警告用に定められている色や大きさでテルテールがメータディスプレイ6に表示されている状態を意味し、消灯状態とは、テルテールをメータディスプレイ6に表示しない状態、および、点灯状態とは異なる態様でメータディスプレイ6に表示されている状態を含んでいる。より平易に言えば、点灯状態とは警告をするために法規等により予め定められた表示態様で表示されている状態であり、消灯状態とは、非警告表示すなわち警告表示とは異なる表示態様で表示されている状態を意味している。
そのため、例えばテルテールが表示される位置を把握できる程度に例えば外縁だけがうっすらと表示されている状態や、警告用に定められている色とは異なる例えば薄い白やグレーなどの色で表示されている状態、あるいは、不具合が生じていないことを示す色で表示されている状態も消灯状態に含まれる。また、このようにテルテールを消灯状態で表示する場合には、点灯状態のテルテール画像31と消灯状態のテルテール画像31とを予めROM4に記憶しておき、車両の状態に応じて選択することで実現できる。
そして、ROM4に記憶されているテルテール画像31に対しては、予めCRC演算により誤り検出符号が求められ、CRCマスタ30としてROM4に記憶されている。本実施形態の場合、ROM4には、図4に示すように個別のテルテール画像31に対して予め演算された誤り検出符号である複数のCRCマスタ30が記憶されている。なお、テルテール画像31は例えば開発用コンピュータで生成されてROM4に記憶されることになるが、CRCマスタ30は、ROM4に記憶される前のテルテール画像31に対して予め演算されたものである。
このCRCマスタ30には、例えばエアバッグ警告画像31aに対して演算されたCRCマスタ30a、サイドエアバッグ警告画像31bに対して演算されたCRCマスタ30b、ブレーキ警告画像31cに対して演算されたCRCマスタ30c、ABS警告画像31dに対して演算されたCRCマスタ30d、シートベルト非着用警告画像31eに対して演算されたCRCマスタ30eなどが記憶されている。
これらのCRCマスタ30は、元になるテルテール画像31にそれぞれ対応付けられた状態で記憶されている。なお、図4には示していないものの、実際には、必要とされる他のテルテール画像31に対して演算されたCRCマスタ30も、元になるテルテール画像31にそれぞれ対応付けられた状態で記憶されている。
そして、実際の車両の状態に対応するCRCマスタ30と、実際に出力されるテルテール映像21に対する誤り検出符号とを比較することにより、出力される映像の正しさが検証される。換言すると、CRCマスタ30を用いることにより、テルテールが正しく表示されているか否か、および、各テルテールの表示状態が車両ステータスと一致しているか否かを検証することが可能になる。
次に、上記した構成の作用について説明する。
前述のように、エアバッグやブレーキ等の車両機能の故障やシートベルト非着用などを警告するテルテールをフルグラフィックス表示する場合には、例えば国際規格ISO26262に適合したいわゆる機能安全を実現できるように、発生し得る不具合による影響を回避あるいは軽減するための安全目標が設定される。
このISO26262では不具合つまりはハザードを評価する指標としてASILが提案されている。ASILでは、過酷度、ハザードの発生頻度、回避可能性等に基づいてクラス分けがなされており、各クラスに見合った設計レベルでの開発が要求されている。なお、ASILは、(Automotive Safety Integrity Level)の略である。
そして、車両用装置1には、安全目標を達成できる設計になっていることが求められている。具体的には、本実施形態の車両用装置1に用いられているSoC2は、必要とされるASILのクラスに対応したデバイスが選定されている。以下、安全目標をSG(Safety Goal)と称し、SGを達成できている状態をSG非侵害、SGを達成できてない状態をSG侵害と称する。
ここで、SGの例としては、本実施形態のようにテルテールをフルグラフィックス表示する場合であれば、例えば「車両機能が故障により作動しない場合には、乗員がその不作動を認識できるようにテルテールを点灯して告知する」ことが挙げられる。この場合、SG侵害となる状態の例としては、速度メータ等が表示されていてメータディスプレイ6の表示が正常に動作しているように見えているものの、テルテールが点灯状態となるべき時に消灯状態になっている状態や、テルテールが消灯状態となるべき時に点灯状態になっている状態が挙げられる。
しかし、車両用装置1から映像を出力する場合、正しい処理を正しい順序で実行したとしても、その実行結果に基づいて生成された映像が必ずしも正しいものになっていない状況が想定される。換言すると、ノイズの影響を受ける可能性があると一般的に考えられている映像ケーブル17等の伝送経路に映像を出力する前の時点で、映像に誤りが発生している状況が想定される。
具体的には、車両用装置1は、生成する映像の元になる画像をROM4に記憶しており、その画像に基づいて映像を生成および出力する。このとき、仮に元になる画像が例えばソフトエラーによって破損してしまった場合には、正しい処理を正しい順序で実行したとしても、破損した画像に基づいた映像が生成されることになる。すなわち、実行結果に基づいて生成された映像が正しいものになっていない状況が発生することになる。
その結果、例えばテルテールを点灯状態で表示すべき状況であるにも関わらず表示されなかったり、テルテールを表示すべきでない状況であるにも関わらず表示されてしまったり、表示すべきテルテールとは異なるテルテールが表示されてしまったりするなどのSG侵害が発生し得る。
そこで、車両用装置1は、図5に示す表示処理と図6に示す映像誤り検出処理とを実行することにより、自身が出力する映像におけるSG侵害となり得る誤りを検出している。なお、以下に説明する各処理は制御部10や制御部10、映像処理部11、映像出力部12、CRC演算部13、通信部14によって実行されるものの、説明の簡略化のために、ここでは車両用装置1を主体にして説明する。
車両用装置1は、図5に示す表示処理において、まずECU5から車両ステータスを取得し(S101)、取得した車両ステータスに含まれているテルテール情報20をRAM3に記憶する(S102)。このとき、車両用装置1は、メータ映像22を生成するために車速やエンジン回転数などの車両情報も車両ステータスから取得して記憶している。これらの処理は、制御部10および通信部14によって行われる。
続いて、車両用装置1は、テルテール情報20に基づいて、ROM4からテルテール画像31を読み出し(S103)、RAM3上にテルテール映像21を生成する(S104)。このとき、車両用装置1内では、制御部10から映像処理部11に対してテルテール映像21を生成する指示が与えられ、指示を受け取った映像処理部11がROM4からテルテール画像31を読み出し、テルテール情報20に基づいて各テルテールの点灯状態または消灯状態を設定し、RAM3上の描画領域に所定の大きさ且つ所定の色で描画することでテルテール映像21が生成される。
なお、RAM3上には、メータ映像22を描画するための描画領域やメータ映像22を描画するための描画領域が、いわゆるレイヤー構造のように個別に設けられている。また、ステップS103、S104の処理と、後述するステップS105、S106の処理とは順不同あるいは同時に指示することができる。
また、車両用装置1は、車両情報に基づいて、ROM4からメータ画像32を読み出して(S105)、RAM3上にメータ映像22を生成する(S106)。このとき、車両用装置1内では、制御部10から映像処理部11に対してメータ映像22を生成する指示が与えられ、指示を受け取った映像処理部11がROM4からメータ針32aやメータ目盛り32bの画像を読み出して、車両情報に基づいて針の向きなどを設定して、RAM3上の描画領域に描画することでメータ映像22が生成される。
続いて、車両用装置1は、各映像を合成して合成映像を生成し(S107)、表示装置に対して出力するとともに(S108)、合成映像に対してCRC演算を実施する(S109)。以下、映像出力部12から出力された映像に対してCRC演算部13により演算された誤り検出符号を、便宜的にHW-CRCと称する。なお、HWはhardwareの略である。
このとき、車両用装置1は、合成映像のうちテルテール映像21が表示されている領域に対してCRC演算を実施する。つまり、車両用装置1は、メータディスプレイ6に例えば速度メータ等の他の情報が表示される場合において、誤り検出の対象となる範囲を絞り込んでいる。
そして、車両用装置1は、映像誤り検出処理を実施する(S110)。この映像誤り検出処理は、映像誤り検出部16によって実行される。なお、本実施形態では、車両用装置1のハードウェア設計がそもそも高品質であることに加えて、ソフトエラーに起因する不具合が現実的に発生する確率が稀であることに鑑みて、映像を表示することを優先し、その後に映像誤り検出処理を実施することで映像の検証を行っている。ただし、まず合成映像に対して映像誤り検出処理を実施してその正しさを検証した後、検証された状態の合成映像を出力する構成とすることもできる。
車両用装置1は、図6に示す映像誤り検出処理において、ROM4のテルテール画像31に対してCRC演算を実施する(S201)。このとき、車両用装置1は、テルテール情報20に基づいて必要なテルテール画像31を特定し、特定したテルテール画像31をROM4から読み出してCRC演算を実施する。つまり、本実施形態では、誤りを検出する際の基準となる誤り検出符号を、RAM3に記憶するのではなく、予めROM4に記憶している。以下、ROM4から読み出したテルテール画像31に対してCRC演算部13により演算された誤り検出符号を、便宜的にSW-CRCと称する。なお、SWはSoftwareの略である。
そして、車両用装置1は、取得したSW-CRCを対応する画像用のCRCマスタ30と比較し、両者が一致するか否かを判定する(S202)。つまり、車両用装置1は、SW-CRCと、そのSW-CRCを演算したテルテール画像31に対応付けられているCRCマスタ30をROM4から読み出して、両者を比較している。このようにSW-CRCとCRCマスタ30とを比較することにより、ROM4から読み出されたテルテール画像31、および、CRCマスタ30の双方の正しさを検証することができる。
すなわち、SW-CRCとCRCマスタ30とが一致すれば、ROM4に記憶されているテルテール画像31とCRCマスタ30とが正しいものであること、つまりは、それらを用いたテルテール映像21の検証結果の信頼性が担保される。
一方、SW-CRCとCRCマスタ30とが一致しなければ、テルテール画像31またはCRCマスタ30のうち少なくとも一方に誤りがあること、つまりは、生成されたテルテール映像21の正しさを検証できない状態であることを把握できる。この場合、例えばテルテール映像21に誤りは無く、CRCマスタ30が誤っており、生成されたテルテール映像21が正しい場合も想定されるものの、その正しさを検証することができないことから、車両用装置1はSG侵害と判定している。
そのため、車両用装置1は、SW-CRCとCRCマスタ30とが一致しない場合には(S202:NO)、SG侵害と判定して(S205)、表示態様を安全サイドに移行する(S206)。本実施形態では、車両用装置1は、自身をリセットすることにより、または、メータディスプレイ6への映像の出力を停止することにより、表示態様を安全サイドに移行する。つまり、車両用装置1は、誤ったテルテールの表示が行われないようにすることで、SG侵害を回避している。
なお、車両用装置1がリセットされた場合や映像の出力が停止された場合、メータディスプレイ6に何も表示されない状態になるものの、その状態は明らかに何らかの故障や異常が発生した状態出ることを把握でき、停車する等の対応を取ることができるようになる。この場合、誤った映像がわずかに表示されたとしても、その表示が継続されること、つまりは、誤った映像が表示され続けることを抑制する構成も含まれる。
つまり、本実施形態では、例えばエアバッグに異常が発生しているにも関わらすその不具合が警告されないといったSG侵害の状態に比べれば、メータディスプレイ6に何も表示されない状態のほうがより安全サイドになるという考え方に基づいている。ただし、この安全サイドに移行する構成は一例であり、SG侵害の状態を抑制できるのであれば、他の構成とすることができる。
これに対して、車両用装置1は、SW-CRCとCRCマスタ30とが一致する場合には(S202:YES)、テルテール情報20に基づいて、正しさが検証されたCRCマスタ30と取得したHW-CRCとを比較し(S203)、CRCマスタ30とSW-CRCとが一致するかを判定する(S204)。なお、図示は省略するが、このとき、車両用装置1は、各テルテールについてそれぞれCRCマスタ30とSW-CRCとを比較することで、出力される映像の表示内容と車両の状態とを比較している。つまり、車両用装置1は、出力される映像の表示内容と車両の状態とが一致しない誤りを検出している。
そして、車両用装置1は、いずれかのテルテールについて比較結果が一致しなかった場合には(S204:NO)、SG侵害と判定して(S205)、表示態様を安全サイドに移行する(S206)。これは、比較結果が一致しないのは、例えばRAM3に格納されたテルテール画像31が破損し、その破損したテルテール画像31に基づいて生成されたことによってテルテール映像21が誤っている状態、あるいは、テルテールが車両ステータスに沿った状態で表示されていない状態になっていると考えられるためである。
なお、ROM4に記憶されているテルテール画像31が破損した場合には、破損した画像に基づいて生成される映像のHW-CRCがCRCマスタ30と一致しなくなるため、同様に映像の誤りを検出することができる。つまり、出力される映像におけるテルテールの表示態様と車両の状態とを比較することによっても誤りを検出することができる。
一方、車両用装置1は、各テルテールについて比較結果がそれぞれ一致する場合には(S204:YES)、正しいテルテール映像21が生成されており、且つ、各テルテールが車両ステータスに沿った状態で表示されていることから、SG侵害ではないと判定してリターンする。この場合、合成映像がSGを満たした状態となっていることが担保されることになる。
そして、映像誤り処理からリターンすると、車両用装置1は、図5に示すように表示処理を終了する。なお、ここでは説明のために処理を終了する流れを示しているが、実際には、所定の映像更新タイミングになったことや車両ステータスが取得されたことに基づいて表示処理が繰り返される、あるいは、次の更新を待機することになる。
このように、車両用装置1は、映像出力部12から出力される合成映像、すなわち、自身において最も後段側で処理されるデータに対して映像誤り検出処理を実施することにより、SG侵害になり得る誤りを検出するとともに、自身が出力する映像の正しさを検証している。
以上説明した車両用装置1によれば、次のような効果を得ることができる。
車両用装置1は、表示装置への表示に関する処理を実行する制御部10と、表示装置に表示する映像を生成する映像処理部11と、映像処理部11が生成した映像を表示装置に対して出力する映像出力部12と、映像処理部11が生成する映像の元になる画像およびその画像に対して予め演算された誤り検出符号を記憶している記憶部と、誤り検出符号を演算する演算部と、映像出力部12から出力される映像に対して演算される誤り検出符号と記憶部に記憶されている誤り検出符号とを比較することにより、表示装置に対して出力される映像の誤りを検出する映像誤り検出部16と、を備えている。
これにより、車両用装置1は、自身から出力する映像が元になる画像に基づいて正しく生成されていることを検証でき、映像の誤りを検出することができる。このとき、車両用装置1は、映像出力部12から出力される合成映像、すなわち、自身において最も後段側で処理されるデータに対して誤り検出を実施することから、自身の内部のいずれにおいて故障が生じたとしても、その故障に基づく映像の誤りを検出することができる。
また、車両用装置1は、元になる画像に対して演算された誤り検出符号を予め記憶部に記憶しており、記憶部に記憶されている誤り検出符号と、映像出力部12から出力される映像に対して演算された誤り検出符号とを比較することにより、記憶部に記憶されている元になる画像および記憶部に予め記憶されている誤り検出符号の双方の正しさを検証する。
これにより、予め記憶部に記憶されていて、映像の誤りを検出する際の基準となる画像と誤り検出符号との双方について、その正しさを検証することができる。そして、正しいことが検証された誤り検出符号を用いて映像の誤りを検出することにより、検出結果の信頼性をより向上させることができる。
また、誤りを検出する際の基準となる誤り検出符号をROM4に記憶していることから、テルテール画像31に基づいて演算した誤り検出符号をRAM3に記憶しておく構成と比べて、誤り検出符号そのものが破損することによって映像の誤り検出ができなくなる恐れを低減することができる。
また、車両用装置1は、車両の状態に応じて表示態様が予め定められているテルテールを含む映像の誤りを検出する。これにより、例えば警告表示を行うべき状況であるにも関わらず警告が表示されていない状態、すなわち、SG侵害になり得る誤りを抑制することができ、車両の安全性および信頼性をより向上させることができる。
また、車両用装置1は、出力される映像におけるテルテールの表示態様と車両の状態とを比較することにより、出力される映像の表示内容と車両の状態とが一致しない誤りを検出する。これにより、単に映像の誤りを検出するのではなく、映像の表示内容が車両の状態に一致していないという誤りを検出することができ、SG侵害になり得る誤りを抑制することができ、車両の安全性および信頼性をより向上させることができる。
また、車両用装置1は、映像出力部12から出力される映像において、テルテールが表示される領域に対して演算される誤り検出符号と比較することにより、誤りを検出する。これにより、メータディスプレイ6に例えば速度メータ等の他の情報が表示される場合であっても、誤り検出の対象となる範囲を絞り込むことにより、より高速かつ迅速に処理することができる。
また、車両用装置1は、映像の誤りを検出した場合、誤った映像が表示装置に表示されることを抑制する。これにより、車両機能に不具合が発生しているにも関わらすその不具合が警告されないといったSG侵害の状態になることを抑制できる。この場合、誤った映像がわずかに表示されたとしても、その表示が継続されること、つまりは、誤った映像が表示され続けることを抑制する構成も含んでいる。
(第2実施形態)
以下、第2実施形態について説明する。第2実施形態では、映像の誤りを検出するためのCRCマスタ30の構成が第1実施形態と異なっている。ただし、車両用装置1の主たる構成および誤りを検出する処理の流れは共通するので、図1から図6も参照しながら説明する。
本実施形態の車両用装置1は、図7に示すように、ROM4には、テルテール画像31用のCRCマスタに加えて、テルテールの表示領域(R)の全体に対して演算された誤り検出符号であるCRCマスタ30が記憶されている。以下、表示領域(R)の全体に対して演算されたCRCマスタ30を、便宜的に領域用のCRCマスタ30とも称し、テルテール画像31に対して演算されたCRCマスタ30を画像用のCRCマスタ30とも称する。
本実施形態の場合、図8に示すように、表示領域(R)には8個のテルテールの表示位置H1~表示位置H8が設定されている。このとき、各テルテールは車両の状態に応じて点灯状態または消灯状態が設定されるため、表示領域(R)における各テルテールの表示態様の組み合わせの数は、2^8=256個になる。そのため、ROM4には、領域用のCRCマスタ30が256個記憶されている。
これらの領域用のCRCマスタ30は、各表示位置にテルテールが点灯状態または消灯状態で正しく表示されている映像を、その組み合わせの数だけ事前に準備し、準備したそれぞれの映像の表示領域(R)に対してCRC演算を実施することによって求められている。
例えば、CRCマスタ30fは、図8に全消灯として示すように、全ての表示位置(H1~H8)のテルテールが消灯状態になっている状態に対応している。なお、図8では、テルテールが点灯状態にあることを、ハッチングにて模式的に示している。同様に、CRCマスタ30gは、表示位置(H1)のテルテールが点灯状態であり、他の表示位置(H2~H8)が消灯状態となっている状態に対応している。
また、CRCマスタ30hは、表示位置(H2)のテルテールが点灯状態であり、他の表示位置(H1、H3~H8)が消灯状態となっている状態に対応している。また、CRCマスタ30iは、2つの表示位置(H1、H2)のテルテールが点灯状態であり、他の表示位置(H3~H8)が消灯状態となっている状態に対応している。また、CRCマスタ30jは、全ての表示位置(H1~H8)のテルテールが消灯状態となっている状態に対応している。なお、図7、図8には図示を省略しているが、他の組み合わせの領域用のCRCマスタ30も記憶されている。
そして、車両用装置1は、映像誤りを検出する際、図6に示すようにステップS201においてSW-CRCを取得し、取得したSW-CRCと対応する画像用のCRCマスタ30とを比較して(S202)両者が一致した場合には(S202:YES)、出力される合成映像のうち複数の表示位置(H1~H8)が含まれている表示領域(R)全体に対してCRC演算を行うことで、表示領域(R)に対するHW-CRCを取得する。その後、車両用装置1は、ステップS204において、取得した表示領域(R)のHW-CRCとテルテール情報20に基づいて特定される領域用のCRCマスタ30とを比較する。
つまり、本実施形態では、車両用装置1は、テルテールの表示状態の誤りを個別に検出するのではなく、表示領域(R)の表示内容の誤りを一括して検出している。より平易に言えば、車両用装置1は、テルテールそのものの誤りと、テルテール情報20との不一致つまりは点灯状態および消灯状態の誤りとを、一括して検出している。
このような構成によっても、車両用装置1は、自身から出力する映像が元になる画像に基づいて正しく生成されていることを検証でき、映像の誤りを検出することができるなど、第1実施形態と同様の効果を得ることができる。
また、本実施形態のように表示領域(R)に対して一括して誤り検出を行うことにより、テルテール映像21そのものの誤り、ならびに、テルテールの点灯状態および消灯状態の誤りを一括して検出することができ、迅速に誤り検出を実施することができる。
また、表示領域(R)に対して一括して誤り検出を行う場合であっても、仮にテルテール画像31またはCRCマスタ30のうち少なくとも一方に誤りがあっても、生成されたテルテール映像21と領域用のCRCマスタ30とを比較することによって最終的には誤りを検出することができる。
(第3実施形態)
以下、第3実施形態について説明する。第3実施形態では、複数の半導体装置を用いている点において第1実施形態と異なっている。ただし、各機能部の構成や誤りを検出する処理の流れは共通するので、それらについては同一符号を付して説明するものとする。
図9に示すように、本実施形態の車両用装置101は、第1の半導体装置としてのSoC102と、第2の半導体装置としてのμC103とを備えている。SoC102は、基本的には第1実施形態のSoC2と共通するものの、映像誤り検出部16は備えていない。また、SoCに接続されているROM4には、CRCマスタ30が記憶されていない。このROM4は、第1の半導体装置側の記憶部を構成している。
μC103は、いわゆるマイコンであり、内蔵プロセッサ110、内蔵RAM111、内蔵ROM112、第1通信部113および第2通信部114などを備えている。なお、μCは、マイクロコンピュータの略称である。これらSoC102、μC103などにより、映像誤り検出システム7が構築されている。
内蔵プロセッサ110は、図示しないCPUで構成されており、内蔵RAM111、内蔵ROM112、第1通信部113および第2通信部114と内部バス115で接続されている。また、内蔵プロセッサ110は、プログラムを実行することにより、映像誤り検出部16の少なくとも一部の機能をソフトウェアで実現している。なお、映像誤り検出部16は、第1実施形態と共通する機能を有しており、表示装置に対して出力される映像の誤りを検出するものである。
また、内蔵プロセッサ110は、誤りが検出された際にSoC102をリセットするRST信号を出力する。このRST信号は、例えばGPIOにより出力する構成等を採用することができる。なお、RSTはresetの略であり、GPIOはGeneral-Purpose Input/Outputの略である。
内蔵RAM111は、μCに内蔵された揮発性の記憶装置で実現されており、内蔵プロセッサ110が実行する処理に関する各種のデータ、ECU5から受信したテルテール情報20を含む車両ステータス、および、本実施形態に関連してSoC102から受信したHW-CRCなどを一時的に記憶する。
内蔵ROM112は、例えばいわゆるFlashROM、eMMC、UFSなどの不揮発性の記憶装置で実現されており、μCで実行するプログラムや、本実施形態に関連してCRCマスタ30を記憶している。内蔵ROM112は、第2の半導体装置側の記憶部を構成する。
第1通信部113は、μC103とSoC102との間の通信を行うものである。この第1通信部113は、内蔵プロセッサ110からの指令を受けて、車両ステータスのSoC102への伝送や、SoC102からのHW-CRCの受信を行う。なお、第1通信部113は、車両ステータスやHW-CRCを必要な間隔で通信可能な帯域があれば、使用される通信方式は問わないが、例えばCAN、LIN、SPI、I2C、RS232Cなどの通信方式を採用することができる。
第2通信部114は、車載ネットワーク18を介してECU5との間で通信を行うものである。なお、第2通信部114は、車両ステータスを必要な間隔で通信可能な帯域を有するものであればその構成は問わず、例えばCAN、LIN、SPI、I2C、RS232Cなどの通信方式を採用することができる。つまり、本実施形態では、車両用装置101に予め搭載されている通信用の半導体装置を利用する構成としている。これにより、ハードウェア構成が過度に複雑化することを抑制できる。
ここで、SoC102とμC103とを設ける技術的意義について説明する。前述のように、ISO26262ではハザードを評価する指標としてASILが提案されており、そのASILのクラスに適合するための設計レベルによる開発が要求されている。そして、第1実施形態では、表示装置に出力される映像についてSGを満たすために、ASILのクラスに対応したデバイスをSoC102に選定している。
しかし、SoC102のように画像処理用の機能部やCRC演算用の機能部を内蔵している半導体装置は、その種類が比較的限定されるとともに、ASILに対応したデバイスになるとその選択肢がさらに限定されてしまう。また、選択肢が限定されるということは、コストの上昇を招くことになる。
その一方で、μC103のように画像処理に関する機能部やCRC演算に関する機能部を備えておらず、機能がある程度限定されているデバイスは、要求されるASILのクラスに対応したものであっても、SoC102に比べるとその種類が豊富であり、選択肢が多く、且つ、SoC102に比べて比較的安価であることが多くなっている。
そこで、本実施形態では、μC103については要求されるASILのクラス、例えばASIL-Bに対応したものを採用し、SGを達成するための主たる機能部分をμC103が担当する構成とすることにより、SoC102単体については要求されるクラスに対して低いASIL-A未満のクラスのものであっても、車両用装置101全体としてSGを達成できる構成としている。
具体的には、本実施形態の車両用装置101は、SoC102とμC103とを通信可能に接続するとともに、制御部10、映像処理部11、映像出力部12および演算部をSoC102に設け、映像誤り検出部16をμC103に設けている。そして、車両用装置101は、SoC102とμC103とを連携して作動させることにより、映像の誤りを検出している。
映像の誤りを検出する処理の全体的な流れは第1実施形態と共通するため詳細な説明は省略するが、車両用装置101では、μC103がECU5から車両ステータスを受信すると、SoC102への送信に適した形にデータ列を変更し、第1通信部113を介してデータ列をSoC102に送信するとともに、CRCマスタ30との比較に備えて車両ステータスを内蔵RAM111に記憶する。
SoC102は、データ列を受信すると、図5に示す表示処理を実行し、データ列から車両ステータスを取得し(S101)、テルテール情報20を含む車両ステータスをRAM3に記憶する(S102)。そして、SoC102は、テルテール画像31を読み出してテルテール映像21を生成するとともに(S103、S104)、メータ画像32を読み出してメータ映像22を生成する(S105、S106)。
続いて、SoC102は、各映像を合成し(S107)、合成映像を出力し(S108)、合成映像に対してCRC演算を実施してHW-CRCを取得した後に(S109)、映像誤り検出処理を実行する(S110)。なお、映像誤り検出処理を先に実行し、正しいことが検証された合成映像を出力する処理の流れとすることができる。
SoC102は、図6に示す映像誤り検出処理を実行し、ROM4のテルテール画像31に対してCRC演算を実施して、SW-CRCを取得する(S201)。
SW-CRCを取得すると、Soc102は、SW-CRCと対応するCRCマスタ30と比較して両者が一致するか否かを判定する(S202)。このようにSW-CRCとCRCマスタ30とを比較することにより、ROM4から読み出されたテルテール画像31、および、内蔵ROM112に記憶されているCRCマスタ30の双方の正しさを検証でき、それらを用いたテルテール映像21の検証結果の信頼性が担保される。
そして、仮にSW-CRCとCRCマスタ30とが一致しなければ、テルテール画像31またはCRCマスタ30のうち少なくとも一方に誤りがあること、つまりは、生成されたテルテール映像21の正しさを検証できない状態であることを把握できる。
そのため、SoC102は、SW-CRCとCRCマスタ30とが一致しない場合には(S202:NO)、SG侵害と判定して(S205)、表示態様を安全サイドに移行する(S206)。
この場合、SoC102は、第1実施形態と同様に自身をリセットしたりメータディスプレイ6への映像の出力の停止を指示したりすることによって表示態様を安全サイドに移行する構成とすることができる。これにより、誤ったテルテールの表示が行われないようにすることが可能となり、SG侵害を回避することができる。ただし、この安全サイドに移行する構成は一例であり、SG侵害の状態を抑制できるのであれば、他の構成とすることができる。
一方、SoC102は、SW-CRCとCRCマスタ30とが一致する場合には(S202:YES)、ステップS109で取得したHW-CRCをμC103に送信して、正しさが検証されたCRCマスタ30とHW-CRCとの比較をμC103に実施させる。そして、μC103は、CRCマスタ30と受信したHW-CRCとをテルテール情報20に基づいて比較し(S203)、CRCマスタ30とSW-CRCとが一致するかを判定する(S204)。このとき、μC103は、第1実施形態で説明したように個別のテルテール画像31に対して予め演算された画像用のCRCマスタ30と一致するか否かを判定したり、第2実施形態で説明したように表示領域(R)に対して予め演算された領域用のCRCマスタ30と一致するか否かを判定したりすることができる。
そして、μC103は、いずれかのテルテールについて比較結果が一致しなかった場合には(S204:NO)、SG侵害と判定して(S205)、表示態様を安全サイドに移行する(S206)。これは、比較結果が一致しないのは、例えばRAM3に格納されたテルテール画像31が破損し、その破損したテルテール画像31に基づいて生成されたことによってテルテール映像21が誤っている状態、あるいは、テルテールが車両ステータスに沿った状態で表示されていない状態になっていると考えられるためである。本実施形態では、μC103は、SoC102に対してRST信号を出力することにより、SoC102をリセットしてメータディスプレイ6への表示を停止させることにより、表示態様を安全サイドに移行している。
なお、ROM4に記憶されているテルテール画像31が破損した場合には、破損した画像に基づいて生成される映像のHW-CRCがCRCマスタ30と一致しなくなるため、同様に映像の誤りを検出することができる。つまり、出力される映像におけるテルテールの表示態様と車両の状態とを比較することによっても誤りを検出することができる。
一方、μC103は、各テルテールについて比較結果がそれぞれ一致する場合には(S204:YES)、正しいテルテール映像21が生成されており、且つ、各テルテールが車両ステータスに沿った状態で表示されていることから、SG侵害ではないと判定してリターンする。この場合、合成映像がSGを満たした状態となっていることが担保されることになる。
映像誤り処理からリターンすると、つまりは、SG侵害ではない状態になっていると、SoC102は、図5に示すように表示処理を終了する。なお、ここでは説明のために処理を終了する流れを示しているが、実際には、所定の映像更新タイミングになったことや車両ステータスが取得されたことに基づいて表示処理が繰り返される、あるいは、次の更新を待機することになる。
このように、車両用装置101では、SoC102とμC103とを設け、それらを連携して作動させることにより、自身において最も後段側で処理されることになる映像出力部12から出力される合成映像に対して映像誤り検出処理を実施し、SG侵害になり得る誤りを検出するとともに車両用装置101から出力する映像の正しさを検証している。
以上説明した車両用装置101によれば、次のような効果を得ることができる。
車両用装置101は、第1の半導体装置としてのSoC102と、第1の半導体装置よりも機能が限定されている第2の半導体装置としてのμC103とを備えている。そして、車両用装置101は、第1の半導体装置と第2の半導体装置とを通信可能に接続し、制御部10、映像処理部11、映像出力部12および演算部を第1の半導体装置に設け、映像誤り検出部16の少なくとも一部の機能を第2の半導体装置に設けるとともに、第1の半導体装置と第2の半導体装置とを連携して作動させることにより映像の誤りを検出する。
このような構成とすることにより、車両用装置101全体としてSGを達成できる構成としつつも、映像を処理するために相対的に高機能にならざるを得ないSoC102について選択肢を広げることができる。また、選択肢が広がることから、相対的に安価なものを使用することが可能となる。
一方、μC103については、機能がある程度限定されていることから、要求されるASILのクラスに対応したものであっても、SoC102に比べて種類が豊富であり、選択肢が多く、且つ、SoC102に比べて比較的安価なものを採用することができる。
したがって、車両用装置101全体としてSGを達成できるとともに、コストが過度に増加することを抑制できる。
また、本実施形態の車両用装置101によっても、自身から出力する映像が元になる画像に基づいて正しく生成されていることを検証でき、映像の誤りを検出することができるなど、第1実施形態と同様の効果を得ることができる。
また、本実施形態の車両用装置101によっても、表示領域(R)に対して一括して誤り検出を行う構成とすることにより、テルテール映像21そのものの誤りとテルテールの点灯状態および消灯状態の誤りとを一括して検出することができ、誤り検出を迅速に行うことができるなど、第2実施形態と同様の効果を得ることができる。
また、実施形態では、SoC102側でSW-CRCの演算とCRCマスタ30との比較を行う構成を例示したが、μC103側でそれらの処理を行う構成とすることができる。つまり、μC103に、映像誤り検出部16の機能のうち、実施形態で例示したHW-CRCと比較する以外の機能、または、全部の機能を設ける構成とすることができる。その場合、μC103からSoC102に対してCRC演算や比較の実施を指示し、その演算結果や比較結果を受け取る構成とすることができる。あるいは、μC103からCRC演算部13を利用可能に構成し、μC103がCRC演算部13に対してSW-CRCの演算を実行させる構成とすることもできる。
また、上記した各実施形態の構成は、例えば以下のように変形、拡張あるいは組み合わせることができる。
実施形態では1つの表示領域(R)が設定されている構成を例示したが、複数の表示領域が設定されている構成に適用することもできる。その場合、実施形態と同様に各表示領域に対して演算した誤り検出符号と比較することにより映像の誤りを検出する構成とすることができる。また、個別の表示位置に対して誤り検出符号を演算した誤り検出符号と比較する処理を例えばテルテールの数分繰り返して映像の誤りを検出する構成とすることができる。
また、複数の表示領域を対象として予めマスタとなる誤り検出符号を求めてROM4に記憶しておき、出力される映像の複数の表示領域に対して演算した誤り検出符号と比較することにより映像の誤りを検出する構成とすることができる。
実施形態ではメータディスプレイ6への表示に対する映像誤りを検出する構成に適用した例を示したが、例えばナビゲーション画面を表示する他のディスプレイへの表示に対する映像誤りを検出する構成に適用することができる。また、例えばテルテール専用のディスプレイへの表示に対する映像誤りを検出する構成に適用することもできる。
実施形態では誤り検出符号の演算にCRC演算を用いる構成を例示したが、入力されたデータの同一性を確認することができるものであれば、例えばMD5、SHA-1、SHA-2などの他の手法を用いることができる。演算部は、実施形態で例示したCRC演算部13に限らず、誤り検出符号を演算可能な他の構成とすることができる。なお、MD5は、Message Digest algorithm 5の略であり、SHAはSecure Hash Algorithmの略である。
実施形態では一回の誤り検出結果に基づいてSG侵害を判定する処理の流れを例示したが、冗長化として複数回の検出結果に基づいてSG侵害を判定する処理の流れとすることができる。
実施形態では主としてソフトアエラーについて説明したが、システマティック故障の検出に利用することができる。すなわち、例えば誤ったテルテール画像31がROM4に記憶されていた場合やテルテール画像31そのものに誤りがあった場合には、誤ったHW-CRCが常に演算されることになることから、ROM4に誤って別の画像や破損した画像を記憶したなどのシステマティック故障を検出することができる。
本開示は、実施例に準拠して記述されたが、本開示は当該実施例や構造に限定されるものではないと理解される。本開示は、様々な変形例や均等範囲内の変形をも包含する。加えて、様々な組み合わせや形態、さらには、それらに一要素のみ、それ以上、あるいはそれ以下、を含む他の組み合わせや形態をも、本開示の範疇や思想範囲に含まれるものである。
本開示に記載の制御部及びその手法は、コンピュータプログラムにより具体化された一つ乃至は複数の機能を実行するようにプログラムされたプロセッサ及びメモリを構成することによって提供された専用コンピュータにより、実現されてもよい。あるいは、本開示に記載の制御部及びその手法は、一つ以上の専用ハードウェア論理回路によってプロセッサを構成することによって提供された専用コンピュータにより、実現されてもよい。もしくは、本開示に記載の制御部及びその手法は、一つ乃至は複数の機能を実行するようにプログラムされたプロセッサ及びメモリと一つ以上のハードウェア論理回路によって構成されたプロセッサとの組み合わせにより構成された一つ以上の専用コンピュータにより、実現されてもよい。また、コンピュータプログラムは、コンピュータにより実行されるインストラクションとして、コンピュータ読み取り可能な非遷移有形記録媒体に記憶されていてもよい。
図面中、1は車両用装置、2はSoC、4はROM(記憶部)、6はメータディスプレイ(表示装置)、10は制御部、11は映像処理部、12は映像出力部、13はCRC演算部、16は映像誤り検出部、21はテルテール映像、31はテルテール画像、33はCRCマスタ(誤り検出符号)、101は車両用装置、102はSoC(第1の半導体装置)、103はμC(第2の半導体装置)、112は内蔵ROM(記憶部)を示す。

Claims (7)

  1. 表示装置(6)への表示に関する処理を実行する制御部(10)と、
    前記表示装置に表示する映像を生成する映像処理部(11)と、
    前記映像処理部が生成した映像を前記表示装置に対して出力する映像出力部(12)と、
    前記映像処理部が生成する映像の元になる画像、および、当該画像に対して予め演算されている誤り検出符号(30)を記憶している記憶部(4)と、
    誤り検出符号を演算する演算部(13)と、
    前記映像出力部から出力される映像に対して演算される誤り検出符号と、前記記憶部に記憶されている誤り検出符号(30)と、を比較することにより、前記表示装置に対して出力される映像の誤りを検出する映像誤り検出部(16)と、
    を備える車両用装置。
  2. 前記映像誤り検出部は、前記記憶部に記憶されている画像に対して演算した誤り検出符号と、前記記憶部に記憶されている誤り検出符号とを比較することにより、記憶部に記憶されている画像および誤り検出符号の双方の正しさを検証する請求項1記載の車両用装置。
  3. 前記映像誤り検出部は、車両の状態に応じて表示態様が予め定められているテルテールを含む映像の誤りを検出する請求項1または2記載の車両用装置。
  4. 前記映像誤り検出部は、出力される映像の表示内容と車両の状態とが一致しない誤りを検出する請求項1から3のいずれか一項記載の車両用装置。
  5. 前記映像誤り検出部は、前記映像出力部から出力される映像において、テルテールが表示される領域に対して演算される誤り検出符号と比較することにより、誤りを検出する請求項3または4記載の車両用装置。
  6. 第1の半導体装置(102)と、
    前記第1の半導体装置よりも機能が限定されている第2の半導体装置(102)と、を備え、
    前記第1の半導体装置と前記第2の半導体装置とを通信可能に接続するとともに、前記制御部、前記映像処理部、前記映像出力部および前記演算部の機能を前記第1の半導体装置に設け、前記誤り検出部の少なくとも一部の機能を前記第2の半導体装置に設け、
    前記第1の半導体装置と前記第2の半導体装置とを連携して作動させることにより映像の誤りを検出する請求項1から5のいずれか一項記載の車両用装置。
  7. 前記誤り検出部は、映像の誤りを検出した場合、誤った映像が前記表示装置に表示されることを抑制する請求項1から6のいずれか一項記載の車両用装置。
JP2020213696A 2020-12-23 2020-12-23 車両用装置 Active JP7435435B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2020213696A JP7435435B2 (ja) 2020-12-23 2020-12-23 車両用装置
PCT/JP2021/043210 WO2022137967A1 (ja) 2020-12-23 2021-11-25 車両用装置
CN202180086412.XA CN116636149A (zh) 2020-12-23 2021-11-25 车辆用装置
US18/336,593 US20230328224A1 (en) 2020-12-23 2023-06-16 Vehicular device and method for the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020213696A JP7435435B2 (ja) 2020-12-23 2020-12-23 車両用装置

Publications (2)

Publication Number Publication Date
JP2022099727A JP2022099727A (ja) 2022-07-05
JP7435435B2 true JP7435435B2 (ja) 2024-02-21

Family

ID=82157674

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020213696A Active JP7435435B2 (ja) 2020-12-23 2020-12-23 車両用装置

Country Status (4)

Country Link
US (1) US20230328224A1 (ja)
JP (1) JP7435435B2 (ja)
CN (1) CN116636149A (ja)
WO (1) WO2022137967A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115817167B (zh) * 2022-11-11 2023-08-29 远峰科技股份有限公司 一种车载仪表屏的图像显示方法与装置
CN116679145A (zh) * 2023-06-06 2023-09-01 深圳市众鸿科技股份有限公司 一种仪表盘显示故障的检测方法和系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010060711A (ja) 2008-09-02 2010-03-18 Sharp Corp 表示装置
JP2018150956A (ja) 2017-03-10 2018-09-27 株式会社エクセディ 車輌用の摩擦発生構造
US20190181982A1 (en) 2017-12-13 2019-06-13 Qualcomm Incorporated Error detection in automobile tell-tales

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10134139B2 (en) * 2016-12-13 2018-11-20 Qualcomm Incorporated Data content integrity in display subsystem for safety critical use cases

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010060711A (ja) 2008-09-02 2010-03-18 Sharp Corp 表示装置
JP2018150956A (ja) 2017-03-10 2018-09-27 株式会社エクセディ 車輌用の摩擦発生構造
US20190181982A1 (en) 2017-12-13 2019-06-13 Qualcomm Incorporated Error detection in automobile tell-tales

Also Published As

Publication number Publication date
WO2022137967A1 (ja) 2022-06-30
JP2022099727A (ja) 2022-07-05
CN116636149A (zh) 2023-08-22
US20230328224A1 (en) 2023-10-12

Similar Documents

Publication Publication Date Title
US20230328224A1 (en) Vehicular device and method for the same
JP4670940B2 (ja) 電子式セーフィングシステム
JP6451550B2 (ja) 車載表示システム、制御装置、表示装置
US9207661B2 (en) Dual core architecture of a control module of an engine
CN102043680B (zh) 一种ecu嵌入式软件刷新和下载编程的方法及系统
JP6658391B2 (ja) 車両用映像表示システム
US11001143B2 (en) Dynamically re-configurable displays with reconfigurable regions of interest for safety critical content
JP5746791B2 (ja) フェール・サイレント機能を備えた回路構成
JP2014529064A (ja) 回路装置、及び、センサ信号の妥当性検査方法
CN114802059B (zh) 一种液晶仪表系统用车辆故障报警方法及系统
US9925935B2 (en) In-vehicle communication system and in-vehicle communication method
CN115148169A (zh) 影像处理装置以及显示装置
JP5274819B2 (ja) 車両用乗員検知システム
CN115817167B (zh) 一种车载仪表屏的图像显示方法与装置
JP2016126692A (ja) 電子制御装置
JP2012183877A (ja) 車両用乗員保護システムの検知処理装置
CN114126929B (zh) 用于激活车辆的人员保护装置的控制器和方法
CN113557496B (zh) 用于提供图像数据的设备
Anisimov et al. Smart Clusters-Safety Requirements and Concepts
JP6524989B2 (ja) 演算器の動作保証方法
CN112224200A (zh) 车辆设备控制系统的控制器以及功能安全控制方法
CN118046751A (zh) 车辆仪表显示方法、装置、显示设备以及车辆
US12128915B2 (en) Device for providing image data
US11180157B2 (en) Monitoring apparatus and driving force control system
JP2006184051A (ja) 車載式故障診断システムの検査装置および検査方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230125

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240109

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240122

R151 Written notification of patent or utility model registration

Ref document number: 7435435

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151