JP7504222B2 - 車載用制御システム - Google Patents

車載用制御システム Download PDF

Info

Publication number
JP7504222B2
JP7504222B2 JP2022564710A JP2022564710A JP7504222B2 JP 7504222 B2 JP7504222 B2 JP 7504222B2 JP 2022564710 A JP2022564710 A JP 2022564710A JP 2022564710 A JP2022564710 A JP 2022564710A JP 7504222 B2 JP7504222 B2 JP 7504222B2
Authority
JP
Japan
Prior art keywords
state
control
list
unit
vehicle
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022564710A
Other languages
English (en)
Other versions
JPWO2022113155A1 (ja
Inventor
康次郎 近松
俊樹 池頭
裕司 奥山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of JPWO2022113155A1 publication Critical patent/JPWO2022113155A1/ja
Application granted granted Critical
Publication of JP7504222B2 publication Critical patent/JP7504222B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3055Monitoring arrangements for monitoring the status of the computing system or of the computing system component, e.g. monitoring if the computing system is on, off, available, not available
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • B60R16/0231Circuits relating to the driving or the functioning of the vehicle
    • B60R16/0232Circuits relating to the driving or the functioning of the vehicle for measuring vehicle parameters and indicating critical, abnormal or dangerous conditions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3013Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is an embedded system, i.e. a combination of hardware and software dedicated to perform a certain function in mobile devices, printers, automotive or aircraft systems
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0808Diagnosing performance data
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Automation & Control Theory (AREA)
  • Mechanical Engineering (AREA)
  • Mathematical Physics (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Steering Control In Accordance With Driving Conditions (AREA)
  • Power Steering Mechanism (AREA)

Description

本願は、車載用制御システムに関するものである。
車両には、ECU(Electronic Control Unit)と呼ばれる制御装置が複数搭載されており、各ECUは、有線または無線によって通信が可能なネットワークに接続されている。
有線または無線通信手段および通信網のネットワークが何らかの理由によって異常な状態に陥って、ECUの制御プログラムが異常な処理を行った場合には車両のユーザが意図しない不利益を被ることになる。
車両の自動操舵の制御の採用に伴い、高度の動作信頼性が求められるようになってきている。この要求に従い、車載用制御システムにおいては、制御における実行状態を監視して、異常な状態を排除する必要がある。
特許文献1においては、車載用電子機器の制御において、車載用電子機器の制御プログラムの実行状態を監視して、制御プログラムに異常な実行状態が検出された場合であっても、車載用電子機器の制御を継続できるようにするため、車載用電子機器の制御装置に接続する実行時間監視タイマ回路と、実行順序監視回路と、設定レジスタと、その他の付属回路などからなるプログラム実行監視専用回路を設け、車載用電子機器の制御プログラムが実行するタスクの実行順序及び/または制御プログラムが実行するタスクの先頭アドレスから終了アドレスまでの実行時間の監視を行い、実行順序及び/または実行時間に異常を検出した場合には、代替的な処理を行うことによって車載用電子機器の制御を継続することを提案している。
特許第6311827号公報
特許文献1において提案されている技術では、プログラムの実行状態が正常の場合と異常な場合との判別を行うために、正常な場合のプログラムの動作を予め登録しておいて、実行中の動作と登録された動作とを比較して、登録されている動作の中に条件を満たすまたは一致するものがあれば正常、一致するものがなければ異常と判断している。
しかし、車載用の電子機器では、車両の状態の変化に対応してプログラムの実行状態が変化するため、複数の状態における様々な動作を予め登録し、実行中の動作と登録された全ての動作と比較を行うことによって動作の異常の有無の監視が行われていたため、監視が冗長となるという問題があった。
本願は、前述の問題を軽減するためになされたものであって、冗長な監視を抑えることのできる車載用制御システムを提供することを目的とするものである。
本願の車載用制御システムは、システムの運用状態の情報を取得する状態管理部、前記状態管理部によって取得された前記システムの運用状態の情報を記憶する記憶部、複数の制御機能を有する制御部、前記制御部の制御機能と前記制御機能の正常な動作状態との対応関係を定めたリストを保有するリスト管理部、および前記記憶部に記憶された前記運用状態に基づいて前記リスト管理部に保有されている前記リストを選択し、前記リストに定められた制御機能の正常な動作状態と前記制御部の実行状態とを比較して前記制御機能の動作が正常か否かを監視する監視部を備え、前記状態管理部は、前記システム自身の状態に基づいて前記運用状態を決定し、前記リスト管理部は、前記システムの運用状態ごとに監視対象となる前記制御部の前記制御機能と前記制御機能の正常な動作状態との対応関係が定められたリストを保有するとともに、前記監視部は、前記運用状態に基づいて前記リスト管理部に保有されている前記リストを選択し、前記リストに定められた制御機能の正常な動作状態と前記制御部の実行状態とを比較して前記制御機能の動作が全ての条件を満たす場合は正常と判断する、ことを特徴とする。
本願の車載用制御システムによれば、車載用制御システムの置かれている状態に応じて実行状態を比較するリストを選択することによって冗長な監視を抑えることができる。
本願の実施の形態1の車載用制御システムの構成を示すブロック図である。 本願の実施の形態1の制御機能および制御機能の正常な動作状態を定めたリストの説明図である。 本願の実施の形態1の監視処理の手順を示すフロー図である。 本願の実施の形態2の制御装置の構成を示すブロック図である。 本願の実施の形態2の制御機能および制御機能の正常な動作状態を定めたリストの説明図である。 本願の実施の形態2に係る監視処理の手順を示すフロー図である。 実施の形態1および実施の形態2による車載用制御システムのハードウエアの一例を示す構成図である。
以下、本願に係る車載用制御システムの実施の形態について、図面を用いて説明する。なお、各実施の形態において、同一もしくは相当する部分は同一符号で示し、重複する説明は省略する。
実施の形態1.
車載用制御システムとしてADAS(Advanced Driver Assistance System)制御装置を例として取り上げて説明する。
図1は、実施の形態1に係るADAS制御装置の構成の一例を示した図である。ADAS制御装置100は、状態管理部110、記憶部111、監視部112、リスト管理部113、制御部114を備えている。また、リスト管理部113は、リスト(リストA120、リストB121、リストC122)を備えている。制御部114は、制御機能として、EPS(Electric Power Steering)制御機能130、ブレーキ制御機能131、自己診断機能132を備えている。なお、図1に示す構成は一例であり、状態管理部110、記憶部111、監視部112、リスト管理部113および制御部114を備えていれば、必ずしも図1に示したものと同じでなくてもよい。
以下、ADAS制御装置100の各構成とその機能について説明する。
状態管理部110は、ADAS制御装置100の置かれている状態(運用状態)を数値によって表現して、状態に応じた数値を取得し、記憶部111に取得した値を書き込む。すなわち、ADAS制御装置100は、例えばECUであり、ADAS制御装置100の置かれている状態とは、例えば初期化中、動作中、故障中、診断中などの状態である。
したがって、状態管理部110は、車載用制御システム(ADAS制御装置100)の状態に基づいて運用状態を決定するということになる。
記憶部111は、状態管理部110が取得したADAS制御装置100の置かれている状態を示す値を記憶し、新たな値が書き込まれるまで記憶を継続して保持する。
監視部112は、記憶部111に記憶されているADAS制御装置100の置かれている状態に基づいて、リスト管理部113から参照するリスト(リストA120、リストB121、リストC122)を選択する。また、監視部112は、ADAS制御装置100の制御部114において実行中の機能(EPS制御機能130、ブレーキ制御機能131、自己診断機能132)および機能の動作に関連する情報を取得し、参照しているリスト内の条件を満たす機能および動作が行われているかを比較する。比較対象とする主な要素は、例えば機能の実行時間、実行順序、予め定めた期間における実行回数である。
リスト管理部113は、状態ごとに対応した複数のリスト(リストA120、リストB121、リストC122)を保有しており、監視部112からの要求に従って、リストを提供する。保有しているリストの分割単位としては、状態管理部110で取得される状態としてもよいし、あるいは機能単位でリストを分割し監視部112が状態ごとに複数のリストを参照するようにしてもよい。
図2を用いて、本実施の形態1に係るリスト管理部113が保有する複数のリスト(リストA120、リストB121、リストC122)の構成について説明する。
図2に示すように、リストA120、リストB121、リストC122には、監視対象となる制御部114の制御機能(EPS制御機能130、ブレーキ制御機能131、自己診断機能132)および制御機能の正常な動作が記載されている。
リストA120、リストB121、リストC122には、制御機能の動作状態が正常であるとの判断要素に、正常な場合の「制御機能」、「実行時間の閾値」、「実行順序」、予め定めた期間における「実行回数の閾値」などの項目が設定されている。これらの項目は任意であり、プログラムの動作を特定できる項目であれば、その他の項目でも構わない。
「実行時間の閾値」は、機能の実行を開始してから終了するまでの時間を実行時間とし、実行時間に加えて、優先度の高い機能の割り込みによって発生する処理の遅延等を考慮して設計者あるいは学習アルゴリズムにより設定される。また、同じ機能であったとしても、車両の置かれている状態に応じて、実行されない処理を含んでいる場合、あるいは処理の遅延が許されない場合において、設定される実行時間の閾値は変化する。例えばEPS制御機能において、制御機能が動作中の状態では、自動操舵の処理が行われる。しかし、故障中の状態では、システムに操舵を任せるのは危険なため、自動操舵の処理を停止し、ドライバによる手動操舵に切り替えることが行われる。この場合、故障中と動作中では、自動操舵処理の有無によって実行時間が変化することになる。
「実行順序」は、機能内で実行される処理の順序とし、例えば、実行される関数の順序であってもよいし、実行される命令のアドレスの順序であってもよい。また、同じ機能であったとしても、特定の状態でのみ実行される処理を含んでいる場合あるいは状態に応じて実行される処理の順序が変化する場合などにおいて、設定される実行順序は変化する。例えば、自己診断機能において、動作中の状態では、自己診断機能より車両の制御に関する機能が優先される。そのため、リソース使用量の大きい処理あるいは処理負荷の大きい処理については、動作中の状態では実行されず、診断中の状態でのみ実行される。この場合、動作中と診断中では、実行順序が変化する。
予め定めた期間における「実行回数の閾値」は、周期的に起動される制御機能において、予め定めた期間中に最低限実行される回数を設定するものである。また、同じ制御機能であったとしても、状態に応じて、周期的な起動でなくなる場合あるいは制御機能の優先度の変化により、起動するタイミングが変化する場合などにおいて、予め定めた期間における実行回数の閾値は変化する。例えば、自己診断機能において、動作中あるいは故障中の状態では、周期起動で最低限の処理が実行されているため、予め定めた期間における実行回数を監視することで、制御機能が正しく起動しているかを監視する。しかし、診断中の状態では、外部から診断ツールを接続し、診断ツールから送信される診断実行の信号をトリガーとして機能を実行するため、予め定めた期間における実行回数は監視できないことになる。
図2に示すように、リスト管理部113に記憶されているリストの分割単位を状態管理部110で取得される状態に対応させて、車両の状態が動作中の場合、監視部112はリスト管理部113からリストA120を参照し、リストA120に記載されている制御機能およびこれらの制御機能の動作のみを監視する。
制御部114は、ADAS制御装置100を制御するための複数の制御機能(EPS制御機能130、ブレーキ制御機能131、自己診断機能132)を備えている。
次に、実施の形態1に係るADAS制御装置100の監視処理の一連の手順について、図3を用いて説明する。
図3において、ステップS201において、状態管理部110は、ADAS制御装置100の置かれている状態を示す値を取得する。値を取得するタイミングは、予め定めた周期で取得してもよいし、あるいは状態が変化する都度取得してもよい。
続いて、ステップS202において、状態管理部110は、ステップS201において取得した状態を示す値を記憶部111に書き込む。記憶部111は、状態管理部110が新たに状態を示す値を取得し書き込むまで、書き込まれた値を記憶する。
ステップS203において、監視部112は、記憶部111に記憶されている状態に基づいて、リスト管理部113から参照するリスト(リストA120、リストB121、リストC122)を選択する。具体的には、図2において、記憶部111に動作中の状態を示す値が記憶されている場合、監視部112はリストA120を参照する。
続いて、ステップS204において、監視部112は、制御部114から実行中の制御機能(EPS制御機能130、ブレーキ制御機能131、自己診断機能132)および制御機能の動作に関連する情報を取得する。
ステップS205において、監視部112は、ステップS203において選択したリストとステップS204において取得した実行中の制御機能および制御機能の動作に関連する情報を比較することで、実行中の制御機能が正常か異常かを判定する。具体的には、まず取得した実行中の制御機能が参照中のリスト内に記載されているか比較する。実行中の制御機能がリスト内に記載されている場合、実行中の制御機能の動作とリスト内の制御機能の正常な動作とを比較し、全ての条件を満たす場合は正常、一つの項目でも条件を満たさない場合は異常と判定する。
ステップS205において、実行中の制御機能を正常と判定した場合(異常無)、監視処理を繰り返す。
ステップS205において、実行中の制御機能を異常と判定した場合(異常有)、監視処理を終了する。監視処理終了後、監視処理において参照したリストを用いて、異常検知時のADAS制御装置100の状態の情報、異常と判定された制御機能の情報および動作の情報を、異常検知後の処置を行う機能あるいはモジュールなどに渡してもよい。
このように、本実施の形態1に係る車載用制御システムによれば、ADAS制御装置100の状態に応じた車載用制御システムの制御機能および動作を監視することができる。
さらに、ADAS制御装置100の状態に応じて、監視が必要な制御機能のみを監視することができるため、冗長な監視を抑えることができる。
さらに、ADAS制御装置100の状態に応じて動作が変化する制御機能に対して、制御機能の正常な動作を状態ごとに定めることができるため、閾値の許容範囲が広がるのを抑え、制御機能の正常な動作をより厳密に定めることができ、セキュリティ耐性を向上させることができる。
さらに、異常検知時のADAS制御装置100の状態の情報、異常と判定された制御機能の情報および動作の情報から、異常発生箇所および異常波及箇所を特定することできる。また、特定した情報を利用することで、異常検知後の処置および分析に繋ぐことができる。
実施の形態2.
次に、実施の形態2に係るADAS制御装置について、図4から図6までに基づいて説明する。
図4は、実施の形態2に係るADAS制御装置の構成の一例を示した図である。ADAS制御装置100は、外部制御装置101のEPS制御装置101-1およびエンジン制御装置101-2とそれぞれ車載ネットワーク102を通して繋がっている。車載ネットワーク102は、CAN(Controller Area Network)、Ethernet等が考えられるが、これに限るものではない。また、ネットワークアーキテクチャについても、図4に示す構成は一例であり、ADAS制御装置100と外部制御装置101が装置の情報を伝達できる通信線で接続されていれば、どのような形態でも構わない。
また、ADAS制御装置100は、図1に示したと同じ構成である。
ADAS制御装置100は、状態管理部110、記憶部111、監視部112、リスト管理部113、制御部114を備えて構成されている。また、状態管理部110は、リストA120、リストB121、リストC122を備えており、制御部114は、EPS制御機能130、ブレーキ制御機能131、自己診断機能132を備えて構成されている。なお、図1および図4に示す構成は一例であり、状態管理部110と記憶部111と監視部112とリスト管理部113と制御部114を備えており、一つ以上の外部制御装置101と車載ネットワーク102を通して繋がっていれば、必ずしも図1および図4の通りでなくてもよい。
本実施の形態2においては、ADAS制御装置100が、外部制御装置101のEPS制御装置101-1およびエンジン制御装置101-2と車載ネットワーク102を通して繋がっている点が、実施の形態1と異なる。外部制御装置101は、例えばECUでもよいし、あるいはセンシング機能を有する装置であってもよい。
以下、ADAS制御装置100の各構成要素とその機能について、実施の形態1と異なる点を簡単に説明する。
状態管理部110は、ADAS制御装置100の持つ状態を示す値に加えて、車載ネットワーク102を経由して、EPS制御装置101-1とエンジン制御装置101-2のセンサー値あるいは故障情報等を取得する。センサー値は、例えば車速、操舵角、エンジン回転数などである。
状態管理部110は、取得した値および情報に基づいて、現在の車両の状態に対応した値を決定し、記憶部111に現在の車両の状態を示す値を書き込む。車両の状態は、例えば停車中、通常走行中、縮退走行中、診断中などである。
記憶部111は、状態管理部110が決定した現在の車両の状態を示す値を記憶し、新たな値が書き込まれるまで記憶を継続して維持する。また、予め定めた期間中に車両の状態が変化し、状態管理部110が前とは異なる新たな状態を決定した場合、状態変化前の値を上書きせず、状態変化前の値と併せて新たな状態を示す値を予め定めた期間における状態遷移として記憶する。
予め定めた期間は、その期間における状態遷移によって、状態管理部110で決定した車両の状態に違いが生じるような範囲で設定する。例えば、現在の車両の状態が停車中と決定された場合において、直前の状態が通常走行中であるか縮退走行中であるかで、必要な制御機能およびそれに応じて必要となる監視が異なるため、同じ停車中であってもそれぞれ異なる車両の状態とみなす。
監視部112は、記憶部111に記憶されている状態に基づいて、リスト管理部113から参照するリスト(リストA120、リストB121、リストC122)を選択する。監視部112は、記憶部111が記憶する現在の車両の状態に基づいてリストを選択してもよいし、あるいは予め定めた期間における状態遷移に基づいて選択してもよい。
リスト管理部113は、複数のリスト(リストA120、リストB121、リストC122)を記憶しており、監視部112からの要求に従って、リストを提供する。記憶されているリストの分割単位としては、記憶部111に記憶されている現在の車両の状態、あるいは予め定めた期間における状態遷移に基づく車両の状態、あるいは機能単位でリストを分割し、車両の状態ごとに複数のリストを参照させるようにしてもよい。
図5を用いて、本実施の形態2に係るリスト管理部113が記憶する複数のリスト(リストA120、リストB121、リストC122)の構成について説明する。
図5に示すように、リストA120、リストB121、リストC122は、記憶部111に記憶されている状態あるいは予め定めた期間における状態遷移において、監視対象となる制御部114の機能(EPS制御機能130、ブレーキ制御機能131、自己診断機能132)および機能の正常な動作が記載されている。図5のリストA120、リストB121、リストC122は一例であり、必ずしも図5の通りでなくてもよい。
図5に示すように、記憶部111に記憶されている現在の車両の状態が停車中であり、過去の予め定めた期間における変化前の状態が通常走行中であった場合、監視部112はリスト管理部113からリストB121を参照し、リストB121に記載されている機能およびこれらの機能の動作のみを監視する。
次に、実施の形態2に係るADAS制御装置100の監視処理の一連の流れについて、図6を用いて説明する。
図6において、ステップS201において、状態管理部110は、ADAS制御装置100の持つ状態を示す値を取得する。値を取得するタイミングは、予め定めた周期で取得してもよいし、あるいは状態が変化する都度取得してもよい。
続いて、ステップS301において、EPS制御装置101-1およびエンジン制御装置101-2は、車載ネットワーク102を経由して自身のセンサー値あるいは故障情報等をADAS制御装置100に送信し、ADAS制御装置100はこれを受信する。
ステップS302において、状態管理部110は、ステップS201において取得した状態を示す値とステップS301において受信したEPS制御装置101-1およびエンジン制御装置101-2からの通信データ(センサー値あるいは故障情報等)に基づいて、現在の車両の状態を決定する。
続いて、ステップS303において、状態管理部110は、ステップS302において決定した現在の車両の状態を記憶部111に書き込む。記憶部111は、状態管理部110が新たに状態を示す値を取得し書き込むまで、書き込まれた値を記憶する。または、予め定めた期間中に新たな状態を取得し書き込む場合、状態変化前の値を上書きせず、状態変化前の値と併せて新たな状態を示す値を予め定めた期間における状態遷移として記憶する。現在の車両の状態だけでなく、運用状態の過去の予め定めた期間における状態遷移も記憶する点が、図3のステップS202と異なる。
ステップS304において、監視部112は、記憶部111に記憶されている状態に基づいて、リスト管理部113から参照するリスト(リストA120、リストB121、リストC122)を選択する。具体的には、図5において、記憶部111に停車中の状態を示す値が記憶されており、また、予め定めた期間における直前の状態として通常走行中の状態を示す値が記憶されている場合、監視部112はリストB121を参照する。現在の車両の状態だけでなく、運用状態の過去の予め定めた期間における状態遷移にも基づいて参照するリストを選択している点が、図3のステップS203と異なる。
続いて、ステップS204において、監視部112は、制御部114から実行中の制御機能(EPS制御機能130、ブレーキ制御機能131、自己診断機能132)および制御機能の動作に関連する情報を取得する。
ステップS205において、監視部112は、ステップS304において選択したリストとステップS204において取得した実行中の制御機能および制御機能の動作に関連する情報を比較することで、実行中の制御機能が正常か異常かを判定する。具体的には、まず取得した実行中の制御機能が参照中のリスト内に記載されているか比較する。実行中の制御機能がリスト内に記載されている場合、実行中の制御機能の動作とリスト内の制御機能の正常な動作を比較し、全ての条件を満たす場合は正常、一項目でも条件を満たさない場合は異常と判定する。
ステップS205において、実行中の制御機能を正常と判定した場合(異常無)、監視処理を繰り返す。
ステップS205において、実行中の制御機能を異常と判定した場合(異常有)、監視処理を終了する。監視処理終了後、監視処理において参照したリストを用いて、異常検知時の車両の状態、状態遷移、異常と判定された制御機能および動作の情報を、異常検知後の処置を行う機能あるいはモジュールなどに渡してもよい。
このように、本実施の形態2に係る車載制御装置によれば、車両の状態に応じた車載制御装置の制御機能および制御機能の動作を監視することができる。
さらに、現在の車両の状態だけでなく、運用状態の過去の予め定めた期間における状態遷移を考慮して車両の状態を定めるため、より詳細に車両の状態を定めることができる。
また、車両の状態に応じて、監視が必要な制御機能のみを監視することができるため、冗長な監視を抑えることができる。
さらに、車両の状態に応じて動作が変化する制御機能に対して、制御機能の正常な動作を状態ごとに定めることができるため、閾値の許容範囲が広がるのを抑え、制御機能の正常な動作をより厳密に定めることができ、セキュリティ耐性を向上させることができる。
さらに、異常検知時の車両の状態、状態遷移、異常と判定された制御機能および動作から、異常発生箇所および異常波及箇所を特定することができる。また、特定した情報を利用することで、異常検知後の処置および分析に繋ぐことができる。
なお、ADAS制御装置100は、ハードウエアの一例を図7に示すように、プロセッサ400と記憶装置401から構成される。記憶装置は図示していないが、ランダムアクセスメモリ等の揮発性記憶装置と、フラッシュメモリ等の不揮発性の補助記憶装置とを具備する。また、フラッシュメモリの代わりにハードディスクの補助記憶装置を具備してもよい。プロセッサ400は、記憶装置401から入力されたプログラムを実行する。この場合、補助記憶装置から揮発性記憶装置を介してプロセッサ400にプログラムが入力される。また、プロセッサ400は、演算結果等のデータを記憶装置401の揮発性記憶装置に出力してもよいし、揮発性記憶装置を介して補助記憶装置にデータを保存してもよい。
本願は、様々な例示的な実施の形態及び実施例が記載されているが、1つ、または複数の実施の形態に記載された様々な特徴、態様、及び機能は特定の実施の形態の適用に限られるのではなく、単独で、または様々な組み合わせで実施の形態に適用可能である。従って、例示されていない無数の変形例が、本願明細書に開示される技術の範囲内において想定される。例えば、少なくとも1つの構成要素を変形する場合、追加する場合または省略する場合、さらには、少なくとも1つの構成要素を抽出し、他の実施の形態の構成要素と組み合わせる場合が含まれるものとする。
100 ADAS制御装置、101 外部制御装置、101-1 EPS制御装置、101-2 エンジン制御装置、102 車載ネットワーク、110 状態管理部、111 記憶部、112 監視部、113 リスト管理部、114 制御部、120 リストA、121 リストB、122 リストC、130 EPS制御機能、131 ブレーキ制御機能、132 自己診断機能、400 プロセッサ、401 記憶装置

Claims (9)

  1. システムの運用状態の情報を取得する状態管理部、前記状態管理部によって取得された前記システムの運用状態の情報を記憶する記憶部、複数の制御機能を有する制御部、前記制御部の制御機能と前記制御機能の正常な動作状態との対応関係が定められたリストを保有するリスト管理部、および前記記憶部に記憶された前記運用状態に基づいて前記リスト管理部に保有されている前記リストを選択し、前記リストに定められた制御機能の正常な動作状態と前記制御部の実行状態とを比較して前記制御機能の動作が正常か否かを監視する監視部を備え
    前記状態管理部は、前記システム自身の状態に基づいて前記運用状態を決定し、
    前記リスト管理部は、前記システムの運用状態ごとに監視対象となる前記制御部の前記制御機能と前記制御機能の正常な動作状態との対応関係が定められたリストを保有するとともに、
    前記監視部は、前記運用状態に基づいて前記リスト管理部に保有されている前記リストを選択し、前記リストに定められた制御機能の正常な動作状態と前記制御部の実行状態とを比較して前記制御機能の動作が全ての条件を満たす場合は正常と判断する、ことを特徴とする車載用制御システム。
  2. 前記リストには、前記制御機能の動作状態が正常であるとの判断要素に、前記制御機能の実行時間の閾値が設定されていることを特徴とする請求項1に記載の車載用制御システム。
  3. 前記リストには、前記制御機能の動作状態が正常であるとの判断要素に、正常な場合の前記制御機能の実行順序が含められていることを特徴とする請求項1または2に記載の車載用制御システム。
  4. 前記リストには、前記制御機能の動作状態が正常であるとの判断要素に、正常な場合の前記制御機能の予め定めた期間における実行回数の閾値が含められていることを特徴とする請求項1から3のいずれか1項に記載の車載用制御システム。
  5. 前記状態管理部は、少なくとも動作中及び診断中を含む前記システム自身の状態に基づいて前記運用状態を決定し、
    前記制御部は、前記制御機能として自己診断機能を含む、ことを特徴とする請求項1から4のいずれか1項に記載の車載用制御システム。
  6. 前記システムは車両に搭載され、前記状態管理部で取得される運用状態は車両の状態を含むことを特徴とする請求項1からのいずれか1項に記載の車載用制御システム。
  7. 前記状態管理部は、前記制御部とは異なる外部制御装置から通信データを取得し、前記通信データを用いて、前記運用状態を決定することを特徴とする請求項に記載の車載用制御システム。
  8. 前記記憶部は、前記状態管理部で取得された運用状態と前記運用状態の過去の予め定めた期間における状態遷移を記憶することを特徴とする請求項に記載の車載用制御システム。
  9. 前記監視部は、前記運用状態の過去の予め定めた期間における状態遷移に基づいて前記リストを選択することを特徴とする請求項に記載の車載用制御システム。
JP2022564710A 2020-11-24 2020-11-24 車載用制御システム Active JP7504222B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2020/043581 WO2022113155A1 (ja) 2020-11-24 2020-11-24 車載用制御システム

Publications (2)

Publication Number Publication Date
JPWO2022113155A1 JPWO2022113155A1 (ja) 2022-06-02
JP7504222B2 true JP7504222B2 (ja) 2024-06-21

Family

ID=81754080

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022564710A Active JP7504222B2 (ja) 2020-11-24 2020-11-24 車載用制御システム

Country Status (5)

Country Link
US (1) US20230398955A1 (ja)
JP (1) JP7504222B2 (ja)
CN (1) CN116438521A (ja)
DE (1) DE112020007796T5 (ja)
WO (1) WO2022113155A1 (ja)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007251722A (ja) 2006-03-17 2007-09-27 Fujitsu Ten Ltd 通信装置、車載システム、データ保存方法及びプログラム
JP2008254507A (ja) 2007-04-02 2008-10-23 Toyota Motor Corp 車両用情報記録システム
JP2012089073A (ja) 2010-10-22 2012-05-10 Denso Corp 電子制御装置、及び、これを用いた電動パワーステアリング装置
WO2016047575A1 (ja) 2014-09-25 2016-03-31 日本精工株式会社 車載用電子機器の制御装置及び制御方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0445885Y2 (ja) 1986-07-09 1992-10-28
JPH04268931A (ja) * 1991-02-25 1992-09-24 Mazda Motor Corp 機器の制御方法および装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007251722A (ja) 2006-03-17 2007-09-27 Fujitsu Ten Ltd 通信装置、車載システム、データ保存方法及びプログラム
JP2008254507A (ja) 2007-04-02 2008-10-23 Toyota Motor Corp 車両用情報記録システム
JP2012089073A (ja) 2010-10-22 2012-05-10 Denso Corp 電子制御装置、及び、これを用いた電動パワーステアリング装置
WO2016047575A1 (ja) 2014-09-25 2016-03-31 日本精工株式会社 車載用電子機器の制御装置及び制御方法

Also Published As

Publication number Publication date
WO2022113155A1 (ja) 2022-06-02
DE112020007796T5 (de) 2023-09-28
JPWO2022113155A1 (ja) 2022-06-02
CN116438521A (zh) 2023-07-14
US20230398955A1 (en) 2023-12-14

Similar Documents

Publication Publication Date Title
JP6140448B2 (ja) 制御装置内の監視構想
KR20190035480A (ko) 마이크로 컨트롤러 및 마이크로 컨트롤러의 제어방법
JP2004518578A (ja) 分配された安全上重要なシステムのコンポーネントの駆動方法
US7457988B2 (en) Electronic control system and method having microcomputer monitoring prohibiting function
JP5094777B2 (ja) 車載用電子制御装置
US20170154480A1 (en) Information processing apparatus and large scale integrated circuit
Suwatthikul Fault detection and diagnosis for in-vehicle networks
US6856940B2 (en) Method and device for monitoring the functioning of a system
JP7504222B2 (ja) 車載用制御システム
JP6869743B2 (ja) 自動車用電子制御装置
JP3923810B2 (ja) 車両用電子制御装置
JP6502211B2 (ja) 車両制御装置
JP6345447B2 (ja) 自動車用電子制御装置
JP2011065402A (ja) 車両用電子制御装置
JP2768693B2 (ja) 2台のプロセッサを有するコンピュータシステムを監視する装置
WO2018116400A1 (ja) 制御装置および制御装置の故障時処理方法
JP4107671B2 (ja) 自動車内の乗員保護手段をトリガする制御ユニットおよびこのような有利な制御ユニットの正常な機能を監視する方法
JP2017007539A (ja) 制御装置
JP2010018168A (ja) 車両用異常解析システム、車両用異常解析方法、及び車両用故障解析装置
JPH0717337A (ja) 電子制御ユニットの故障判定方法及び故障判定装置
WO2023223940A1 (ja) 車載装置、プログラム及び情報処理方法
JP4613019B2 (ja) コンピュータシステム
WO2022244200A1 (ja) 制御装置
JP6501703B2 (ja) 車載制御装置
JP7003456B2 (ja) 診断装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230301

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20231219

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240215

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240514

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240611

R150 Certificate of patent or registration of utility model

Ref document number: 7504222

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150