WO2020179344A1

WO2020179344A1 - 車両制御装置

Info

Publication number: WO2020179344A1
Application number: PCT/JP2020/004479
Authority: WO
Inventors: 智内藤; 成沢　文雄; 裕弘小田; 祐石郷岡; 勇気田中
Original assignee: 日立オートモティブシステムズ株式会社
Priority date: 2019-03-05
Filing date: 2020-02-06
Publication date: 2020-09-10
Also published as: CN113474220A; CN113474220B; JP2022065218A

Abstract

最新の共有データを適切に管理する。車両制御装置１は、車両に搭載される電気及び電子部品の機能に関する安全性要求レベルの異なる複数のアプリケーション１１１，１１２を有するアプリケーション部１１０と、複数のアプリケーション各々で使用する共有データを記録する記録部２１０と、複数のアプリケーション各々のタスク実行時間を制御する制御部２２０と、を備える。記録部は、ＡＳＩＬアプリケーション１１１がアクセス可能で且つＱＭアプリケーション１１２がアクセス不可能な汎用データベース２１１と、ＡＳＩＬアプリケーションがアクセス不可能で且つＱＭアプリケーションがアクセス可能なキャッシュ領域２１２とを有する。汎用データベースとキャッシュ領域とは、共有データを共有可能に構成されている。制御部は、アプリケーションの安全性要求レベルに応じて、汎用データベースとキャッシュ領域とを使い分ける。

Description

車両制御装置

　本発明は、車両制御装置に関する。

　自動車向けの国際標準規格ＩＳＯ２６２６２には、機能安全の指標としてＡＳＩＬ（Automotive Safety Integrity Level）が定められている。ＩＳＯ２６２６２では、ソフトウェアによるパーティショニングによって無干渉（ＦＦＩ：Freedom From Interference）が実現されていることを前提として、ＡＳＩＬの異なるアプリケーションが１つのマイコンに混在することを許容している。そのため、異なる安全性要求レベルのアプリケーション間の従属故障を防止する技術が必要とされる。

　ここで、プロセス空間を分離することによって、アプリケーションのメモリを保護することが可能である。異なるプロセスに属するアプリケーション間でデータをやり取りする場合、データ授受用の一時領域を用いることが一般的である。

　特許文献１には、ソフトウェア間でデータを授受する技術が開示されている。この技術では、必要なメモリ容量を低減することを課題としている。この技術の車載ＥＣＵに搭載されたマイコンは、２つのコアと、各々のコアにより実行される第１ソフト及び第２ソフトと、第３ソフトによってアクセスされないＡＳＩＬ領域と、を備える。これら第１ソフト及び第２ソフトには、第３ソフトよりも高い安全度が設定されている。第２コアの要求部は、予め定められたタイミング毎に、第１ソフトから第２ソフトに提供される全てのデータのうちの一部であって、当該タイミングにて第２ソフトが必要とする一部のデータを第１コアに要求する。第１コアの書込部は、要求部によって要求されたデータをＡＳＩＬ領域に書き込み、書込完了を第２コアに通知する。そして、第２コアの読出部は、ＡＳＩＬ領域からデータを読み出している。

特開２０１７－１９９２９４号公報

　このように特許文献１には、ＡＳＩＬソフトウェア間でデータを授受する技術が開示されている。この技術では、ＱＭ（Quality Management）ソフトウェアからアクセスできないＡＳＩＬ専用の授受領域を介して、必要なデータに絞ってやり取りすることによって、メモリ消費量を抑制している。

　時間駆動スケジューリングによってアプリケーションの実行時間を保証する環境においては、規定の時間内にアプリケーションが実行完了することが求められる。それに対して、プロセス空間を跨いでデータを授受する場合、プロセス間通信で発生するオーバーヘッドによって、ある程度の遅延が伴う。

　例えば、汎用データベースを用いてデータを一元管理するシステムにおいては、安全性要求レベルの異なるアプリケーションが１つのマイコンに混在することが想定される。そのため、安全性要求レベルの高いアプリケーションが属するプロセスに汎用データベースを配置することが望ましい。その場合、安全性要求レベルの低いアプリケーションは、プロセス間通信で汎用データベースにアクセスすることとなり、その際に発生するオーバーヘッドがアプリケーションの実行時間を保証する上での課題となる。例えば、特許文献１のアクセス方法では、データを要求するアプリケーションの数やデータのサイズに応じて処理負荷が増大し、タスクの実行時間を保証することが困難になる可能性がある。

　本発明は、上記のような課題を解決し、最新の共有データを適切に管理することを主な目的とする。

　本発明に係る車両制御装置は、車両に搭載される電気及び電子部品の機能に関する安全性要求レベルの異なる複数のアプリケーションを有するアプリケーション部と、前記複数のアプリケーション各々で使用する共有データが記録される記録部と、前記複数のアプリケーション各々のタスク実行時間を制御する制御部と、を備えた車両制御装置であって、前記記録部は、前記安全性要求レベルの高いアプリケーションがアクセス可能で且つ前記安全性要求レベルの低いアプリケーションがアクセス不可能なデータベースと、前記安全性要求レベルの高いアプリケーションがアクセス不可能で且つ前記安全性要求レベルの低いアプリケーションがアクセス可能なキャッシュと、を有し、前記データベースとキャッシュとは、前記共有データを共有可能に構成されており、前記制御部は、前記アプリケーションの安全性要求レベルに応じて、前記データベースと前記キャッシュとを使い分ける。

　本発明によれば、最新の共有データを適切に管理することができる。

実施例１に係る車両制御装置を示すブロック図。実施例１に係る時間駆動スケジューリング処理を示すタイムチャート。実施例１に係る読み出し及び書き込み処理を示すフローチャート。実施例１に係るコピー及び書き戻し処理を示すフローチャート。実施例２に係るラウンドロビンスケジューリング処理を示すタイムチャート。

　以下、添付図面を参照して幾つかの実施形態について説明する。本実施形態は、本発明を実現するための一例に過ぎず、本発明の技術的範囲を限定するものではないことに注意すべきである。各図において共通の構成については、同一の参照符号が付されている。

　＜車両制御装置＞
　図１は、第１実施形態に係る車両制御装置を示すブロック図である。

　車両制御装置１は、ハードウェアとして、メモリ１００と、ＣＰＵ（Central Processing Unit）１３０と、タイマ１４０とを有する。メモリ１００は、ソフトウェアを格納する。メモリ１００は、ソフトウェアとして、アプリケーション部１１０と、時分割ミドル部２００と、ＯＳ（Operating System）１２０とを有する。

　アプリケーション部１１０には、種別が異なる複数のアプリケーションを有する。種別が異なる複数のアプリケーションは、ＡＳＩＬアプリケーション１１１と、ＱＭアプリケーション１１２とでよい。例えば、ＡＳＩＬアプリケーション１１１は、診断アプリケーションであり、ＱＭアプリケーション１１２は、センサフュージョンアプリケーションである。ＡＳＩＬアプリケーション１１１と、ＱＭアプリケーション１１２とは、プロセス間通信可能に構成されている。アプリケーション部１１０には、ＱＭアプリケーションである軌道計画アプリケーション１１３が含まれてよい。

　時分割ミドル部２００には、記録部２１０と、制御部２２０とが含まれる。記録部２１０には、「データベース」の一例としての汎用データベース２１１と、「キャッシュ」の一例としてのキャッシュ領域２１２とが含まれる。汎用データベース２１１は、ＡＳＩＬアプリケーション１１１がアクセス可能で且つＱＭアプリケーション１１２がアクセス不可能である。汎用データベース２１１には、各アプリケーション１１１，１１２各々で使用される共有データが記録される。キャッシュ領域２１２は、ＡＳＩＬアプリケーション１１１がアクセス不可能で且つＱＭアプリケーション１１２がアクセス可能である。キャッシュ領域２１２には、各アプリケーション１１１，１１２各々で使用される共有データが一時的に記録される。制御部２２０には、メイン処理を実行するメイン処理部２２１と、コピー及び書き戻し処理を実行するコピー及び書き戻し処理部２２２とが含まれる。制御部２２０は、タイマ１４０に各アプリケーション１１１，１１２の起動タイミングを設定する。制御部２２０が設定した各アプリケーション１１１，１１２の起動タイミングが到来した場合、タイマ１４０は、各アプリケーション１１１，１１２のタスクの割り込みを発生させる。メイン処理部２２１は、タイマ１４０が発生させた各アプリケーション１１１，１１２の割り込み時間に、各アプリケーション１１１，１１２を起動する。

　制御部２２０は、アプリケーション１１１，１１２の種別に応じて、汎用データベース２１１とキャッシュ領域２１２とを使い分ける。アプリケーション１１１，１１２の種別は、例えば、各アプリケーション１１１，１１２の安全性要求レベルである。安全性要求レベルは、自動車に搭載される電気及び電子部品の機能安全に関する基準であってよい。
制御部２２０は、実行される各アプリケーション１１１，１１２の安全性要求レベルに応じて、汎用データベース２１１又はキャッシュ領域２１２へのコピー処理及び書き戻し処理２２２を実行する。尚、アプリケーション１１１，１１２の種別は、各アプリケーション１１１，１１２の優先順位でもよい。

　＜アプリケーション＞
　制御部２２０は、各アプリケーション１１１，１１２にタスクを割り当て、時間駆動スケジューリングで割り当てたタスクを実行する。ＩＳＯ２６２６２では、機能安全の視点から、危険事象が低い順に、ＱＭ、ＡＳＩＬ－Ａ、ＡＳＩＬ－Ｂ、ＡＳＩＬ－Ｃ、及びＡＳＩＬ－Ｄに、タスクの安全性要求レベルを分類している。アプリケーションは、大きく分類すると、安全性を担保しなければならないＡＳＩＬアプリケーション（診断アプリケーション）１１１と、安全性保障に関係がないＱＭアプリケーション（センサフュージョンアプリケーション）１１２とがある。例えば、ＡＳＩＬアプリケーション１１１は、ソフトウェア及びハードウェアの故障を検知する処理を実行する。ＱＭアプリケーション１１２は、センサなどの周辺装置から外部情報を取得する処理を実行する。

　＜時間駆動スケジューリング＞
　図２は、実施例１に係る時間駆動スケジューリング処理を示すタイムチャートである。

　時分割ミドルウェア３０４は、ＡＳＩＬアプリケーション１１１に割り当てられたスロット３０１と、ＱＭアプリケーション１１２に割り当てられたスロット３０２との実行単位で、各アプリケーション１１１，１１２の起動・停止を管理する。図２中のＯＳ３０３は、各スロット３０１，３０２と、時分割ミドルウェア３０４との切り替えに要する時間である。

　ＱＭアプリケーション１１２が汎用データベース２１１にアクセスする際には、専用のＡＰＩ（Application Programming Interface）が使用される。この専用のＡＰＩの処理では、次の実行タイミングで必要な共有データの取得要求３１０が時分割ミドルウェア３０４に発行される。時分割ミドルウェア３０４は、次のＱＭアプリケーション１１２に割り当てられたスロット３０２の起動直前で汎用データベース２１１からキャッシュ領域２１２に共有データを予めコピーするコピー処理を実行する（図２中の符号Ｓ１）。時分割ミドルウェア３０４は、時間駆動スケジューリングによって知り得る各アプリケーション１１１，１１２の起動タイミングに基づいて、汎用データベース２１１からキャッシュ領域２１２に共有データをコピーするタイミングを制御する。これにより、ＱＭアプリケーション１１２は、キャッシュ領域２１２から実行に必要な共有データにアクセスする読み出し処理を実行する。これにより、ＱＭアプリケーション１１２は、最新の共有データを参照することが可能になる(図２中の符号Ｓ２)。尚、汎用データベース２１１からキャッシュ領域２１２にコピーされる共有データは、ＱＭアプリケーション１１２が必要な共有データに限定してよい。これにより、メモリ消費を抑えることができる。

　次に、時分割ミドルウェア３０４は、ＱＭアプリケーション１１２の実行結果を汎用データベース２１１に格納する書き戻し処理を実行する。書き戻し処理では、ＱＭアプリケーション１１２がキャッシュ領域２１２に実行結果の共有データをコピーする書き込み処理を実行し（図２中の符号Ｓ３）、専用のＡＰＩの処理において、書き込み要求３１１が時分割ミドルウェア３０４に発行される。時分割ミドルウェア３０４は、ＱＭアプリケーション１１２に割り当てられたスロット３０２の終了直後にキャッシュ領域２１２から汎用データベース２１１に共有データを格納する書き戻し処理を実行する（図２中の符号Ｓ４）。これにより、ＡＳＩＬアプリケーション１１１は、常に最新の共有データを参照可能となる。

　一方、ＡＳＩＬアプリケーション１１１が汎用データベース２１１にアクセスする際には、ＡＳＩＬアプリケーション１１１は、最新の共有データを参照することができる。ＡＳＩＬアプリケーション１１１は、ＡＳＩＬアプリケーション１１１の実行結果を汎用データベース２１１に格納する。これにより、ＡＳＩＬアプリケーション１１１及びＱＭアプリケーション１１２は、常に最新の共有データを参照可能となる。

　＜時分割ミドルウェア＞
　時分割ミドルウェア３０４は、ＱＭアプリケーション１１２による汎用データベース２１１の共有データの読み出し及び書き込み処理（図２中のＳ２及びＳ３）を実行する。

　図３は、実施例１に係る読み出し及び書き込み処理を示すフローチャートである。

　時分割ミドルウェア３０４は、前のスロットが正常に実行完了しているか否かを判定する（Ｓ４０１）。Ｓ４０１の判定結果が偽の場合（Ｓ４０１：ＮＯ）、時分割ミドルウェア３０４は、時間保護違反の処理を実行する（Ｓ４０２）。Ｓ４０１の判定結果が真の場合（Ｓ４０１：ＹＥＳ）、時分割ミドルウェア３０４は、コピー及び書き戻し処理を呼び出す（Ｓ５００）。その後、時分割ミドルウェア３０４は、タイマ１４０に対して次のスロットの割り込みタイミングの設定処理を実行し（Ｓ４０３）、現在のスロットのタスクを実行状態に設定する（Ｓ４０４）。

　図４は、実施例１に係るコピー及び書き戻し処理を示すフローチャートである。

　図４の上半分が、ＱＭアプリケーション１１２の直後の書き戻し処理（Ｓ５１０。図２中のS４）である。時分割ミドルウェア３０４は、直前のスロットがＱＭアプリケーション１１２か否かを判定する（Ｓ５１１）。Ｓ４０１の判定結果が真の場合（Ｓ４０１：ＹＥＳ）、時分割ミドルウェア３０４は、キャッシュ領域２１２から汎用データベース２１１にＱＭアプリケーション１１２の実行結果である共有データを格納する書き戻し処理を実行する（Ｓ５１２）。これにより、汎用データベース２１１の共有データを最新の状態に保つことが可能である。

　図４の下半分が、ＱＭアプリケーション１１２の直前のコピー処理（Ｓ５２０。図２中のS１）である。時分割ミドルウェア３０４は、直後のスロットがＱＭアプリケーション１１２か否かを判定する（Ｓ５２１）。Ｓ５２１の判定結果が真の場合（Ｓ５２１：ＹＥＳ）、時分割ミドルウェア３０４は、ＱＭアプリケーション１１２の実行に必要な共有データを汎用データベース２１１からキャッシュ領域２１２にコピーするコピー処理を実行する（Ｓ５２２）。これにより、ＱＭアプリケーション１１２は、最新の共有データを参照することが可能になる。

　この構成によれば、車両制御装置１は、車両に搭載される電気及び電子部品の機能に関する安全性要求レベルの異なる複数のアプリケーション１１１，１１２を有するアプリケーション部１１０と、複数のアプリケーション１１１，１１２各々で使用する共有データを記録する記録部２１０と、複数のアプリケーション１１１，１１２各々のタスク実行時間を制御する制御部２２０と、を備える。記録部２１０は、安全性要求レベルの高いＡＳＩＬアプリケーション１１１がアクセス可能で且つ安全性要求レベル低いＱＭアプリケーション１１２がアクセス不可能な汎用データベース２１１と、安全性要求レベルの高いＡＳＩＬアプリケーション１１１がアクセス不可能で且つ安全性要求レベル低いＱＭアプリケーション１１２がアクセス可能なキャッシュ領域２１２とを有する。汎用データベース２１１とキャッシュ領域２１２とは、共有データを共有可能に構成されている。制御部２２０は、アプリケーション１１１，１１２の安全性要求レベルに応じて、汎用データベース２１１とキャッシュ領域２１２とを使い分ける。

　これにより、車両制御装置１は、ＡＳＩＬアプリケーション１１１及びＱＭアプリケーション１１２各々で使用される共有データを最新な状態に管理することが可能となる。

　さらに、制御部２２０は、安全性要求レベルの低いＱＭアプリケーション１１２を実行する場合、ＱＭアプリケーション１１２の実行に必要な共有データを汎用データベース２１１からキャッシュ領域２１２に予めコピーするコピー処理を実行する。これにより、時間駆動スケジューリングによってタスクを実行する環境において、プロセス間通信を行わずに汎用データベース２１１を更新することができ、汎用データベース２１１へのアクセスに伴う遅延を抑制することができる。したがって、プロセス間通信で発生するオーバーヘッドの影響を低減し、アプリケーション１１１，１１２の実行時間を保障することが可能となる。

　さらに、制御部２２０は、安全性要求レベルの低いＱＭアプリケーションの実行結果をキャッシュ領域２１２から汎用データベース２１１に格納する書き戻し処理を実行する。
これにより、ＡＳＩＬアプリケーション１１１が汎用データベース２１１内の最新の共有データを参照することができる。

　さらに、制御部２２０は、安全性要求レベルの高いＡＳＩＬアプリケーション１１１を実行する場合、ＡＳＩＬアプリケーション１１１の実行結果を汎用データベース２１１に格納する。これにより、ＡＳＩＬアプリケーション１１１及びＱＭアプリケーション１１２は、常に最新の共有データを参照可能となる。

　実施例２に係る車両制御装置について説明する。実施例１は、車両制御装置が時間駆動スケジューリングを実行した。しかし、実施例２では、車両制御装置がラウンドロビンスケジューリングを実行する。第２実施形態に係る車両制御装置は、第１実施形態に係る車両制御装置とは、スケジューリングの構成が異なるだけであり、その他の構成は、第１実施形態に係る車両制御装置と同様である。したがって、第１実施形態との相違点を中心に述べる。

　ラウンドロビンスケジューリングでは、実行可能なタスクにタイムスロット（実行時間）を割り当て、タイムスロット内にタスクの処理が完了しなかった場合、当該タスクを中断して別のタスクに処理を渡す。例えば、複数の端末が一つの回線を共有する環境におけるネットワークのスケジューリングにも適用可能であり、車載向けソフトウェア以外でも利用される方式である。

　図５は、実施例２に係るラウンドロビンスケジューリング処理を示すタイムチャートである。

　ラウンドロビンスケジューリング処理では、制御部２２０は、ＱＭアプリケーションに割り当てられたスロット３０２の実行タイミングの前後で時分割ミドルウェア３０４を起動する。これにより、時分割ミドルウェア３０４は、汎用データベース２１１とキャッシュ領域２１２とを利用したコピー及び書き戻し処理を実行する。なお、ＡＳＩＬアプリケーション１１１は、汎用データベース２１１にアクセスする。このため、ＡＳＩＬ１アプリケーション６０１と、ＡＳＩＬ２アプリケーション６０２との間では、時分割ミドルウェア３０４を起動しない。

　この構成によれば、制御部２２０は、各タスクに所定の実行時間を割り当てて、所定の実行時間内に一のタスクが完了しない場合、他のタスクを実行する。これにより、タスクが完了しない場合でも、別のタスクの実行に切り替えることができ、タスク実行の効率を高めることが可能となる。

　なお、本発明は上記した実施例に限定されるものではなく様々な変形例が含まれる。上記した各実施例は本発明を分かりやすく説明するために詳細に説明されたものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。さらに、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、さらに、ある実施例の構成に他の実施例の構成を加えることも可能である。さらに、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。

　１：車両制御装置、１１０：アプリケーション部、１１１：ＡＳＩＬアプリケーション、１１２：ＱＭアプリケーション、２１０：記録部、２１１：汎用データベース、２１２：キャッシュ領域、２２０：制御部

Claims

　車両に搭載される電気及び電子部品の機能に関する安全性要求レベルの異なる複数のアプリケーションを有するアプリケーション部と、
　前記複数のアプリケーション各々で使用する共有データを記録する記録部と、
　前記複数のアプリケーション各々のタスク実行時間を制御する制御部と、を備えた車両制御装置であって、
　前記記録部は、
　　前記安全性要求レベルの高いアプリケーションがアクセス可能で且つ前記安全性要求レベルの低いアプリケーションがアクセス不可能なデータベースと、
　　前記安全性要求レベルの高いアプリケーションがアクセス不可能で且つ前記安全性要求レベルの低いアプリケーションがアクセス可能なキャッシュと、を有し、
　前記データベースと前記キャッシュとは、前記共有データを共有可能に構成されており、
　前記制御部は、前記アプリケーションの安全性要求レベルに応じて、前記データベースと前記キャッシュを使い分ける車両制御装置。
　前記制御部は、前記安全性要求レベルの低いアプリケーションを実行する場合、当該アプリケーションの実行に必要な共有データを前記データベースから前記キャッシュに予めコピーするコピー処理を実行する、前記１に記載の車両制御装置。
　前記制御部は、前記安全性要求レベルの低いアプリケーションの実行結果を前記キャッシュから前記データベースに格納する書き戻し処理を実行する、請求項２に記載の車両制御装置。
　前記制御部は、前記安全性要求レベルが高いアプリケーションを実行する場合、当該アプリケーションの実行結果を前記データベースに格納する、請求項３に記載の車両制御装置。
　前記制御部は、各タスクに所定の実行時間を割り当てて、当該所定の実行時間内に一のタスクが完了しない場合、他のタスクを実行する、請求項４に記載の車両制御装置。