WO2018211865A1

WO2018211865A1 - 車両制御装置

Info

Publication number: WO2018211865A1
Application number: PCT/JP2018/015175
Authority: WO
Inventors: 裕弘小田; 成沢　文雄; 敏史大塚; 勇気田中
Original assignee: 日立オートモティブシステムズ株式会社
Priority date: 2017-05-17
Filing date: 2018-04-11
Publication date: 2018-11-22
Also published as: JPWO2018211865A1; JP6861275B2

Abstract

複数のアプリケーションを各々予め定められたタイミングで開始及び終了させてシステムの挙動を安定させることを課題とする。本発明は複数のアプリケーションの実行優先度を制御するために、別途、特定のアプリケーションを用意する。当該特定のアプリケーションの実行優先度を制御することにより、上述した複数のアプリケーションの実行順序を制御する。これにより、当該複数のアプリケーションを各々予め定められたタイミングで開始及び終了させてシステムの挙動を安定させる。

Description

車両制御装置

　本発明は、車載電子システムにおける車両制御装置に関し、特に、機能安全を確保するために、アプリケーションによる処理を時分割でスケジューリングを実施する（以下「時分割スケジューリング」という）車両制御装置に適用して好適なものである。

　車載電子システムのソフトウェアは高い安全性、信頼性を実現するために、国際標準規格ISO26262の機能安全に準拠することが重要になっている。機能安全に関するソフトウェアの要件については、Freedom From Interference（以下略してFFIともいう）が定められており、これは複数のアプリケーション間における従属故障を防ぐことを目的としている。

　FFIの機能の一つとして時間保護があり、複数のアプリケーションの実行タイミングを干渉させないようにしなければならない。この時間保護を実現するためには、それぞれのアプリケーションに対して実行可能な時間を予め割り当てることにより、スケジューリングを行う手法が主流となっている。一方、機能安全の安全度レベルの観点から、複数のアプリケーションの依存関係によって、実行中のアプリケーションを一時中断させ、安全度レベルが高いアプリケーションを先に実行しなければいけない場合が生ずる。

　従来、各アプリケーションに割り当てる時間をタイムスロットとし、そのタイムスロット内でアプリケーションをスケジューリングする方法が存在している（特許文献１参照）。タイムスロットと各アプリケーションとは対応付けられている。タイムスロットの開始のタイミングで、あるアプリケーションが実行中の場合でもこれを一時中断し、そのタイムスロットに対応づけられた他のアプリケーションを優先して実行する。一方、タイムスロットを全て消費することなくアプリケーションの処理が終了した場合は、タイムスロットの残り時間を中断したアプリケーションの実行時間に割り当てる手法が提案されている。

特開２０１０－１７０３２０号公報

　上述した従来技術による時分割スケジューリングでは、タイムスロットの余りの時間も利用することでアプリケーションの実行効率を高めているが、この余りの時間は、タイムスロットに対応付けられているアプリケーションの実行時間に依存するため、再開させる他のアプリケーションがそのタイムスロットの最後までに実行を完了させることができない、すなわち、当該他のアプリケーションの最悪時間を保証することができない。その結果、当該他のアプリケーションが設計タイミングまでに処理が終了せず、システムの挙動に影響が生じることがある。

　本発明は以上の点を考慮してなされたもので、システムの挙動を安定させることができる車両制御装置を提案しようとするものである。

　かかる課題を解決するため、本発明においては、実行優先度が互いに異なる複数のアプリケーションの実行優先度を制御する実行優先度制御部と、前記実行優先度制御部によって各々設定された実行優先度に従って前記複数のアプリケーションの状態を制御する実行状態制御部と、を備え、前記実行優先度制御部は、前記複数のアプリケーションのうち高い実行優先度のアプリケーションの実行が完了した後、即座に、低い実行優先度のアプリケーションの実行を開始すべきでない場合、さらに別のアプリケーションに対して、前記高い実行優先度よりも低く、かつ、前記低い実行優先度よりも高い実行優先度として中間の実行優先度を設定し、前記実行状態制御部は、前記高い実行優先度のアプリケーションの実行が完了した後、前記低い実行優先度のアプリケーションの実行を開始させるまでに亘って、前記中間の実行優先度で前記別のアプリケーションを実行させることを特徴とする。

　本発明によれば、システムの挙動を安定させることができる。

第１の実施の形態による車両制御装置の構成例を示す図である。タイムスロット管理テーブルの一例を示す図である。アプリケーションの状態遷移図である。アプリケーションの時分割スケジューリングの一例を示す図である。実行時間が長いアプリケーションが存在する場合の時分割スケジューリングの一例を示す図である。アプリケーションの実行優先度を考慮した時分割スケジューリングの一例を示す図である。

　以下、図面について、本発明の一実施の形態について詳述する。

　（１）第１の実施の形態
　（１－１）車両制御装置の構成
　図１は、第１の実施の形態による車両制御装置の概略構成を示す。車両制御装置１０１は、アプリケーション１１１、タイムスロット管理テーブル１２３、アプリケーション制御装置１２１、及びハードウェアタイマー１３１を備えている。このハードウェアタイマー１３１は、設定されたタイミングでアプリケーション制御装置１２１に対してタイマー割り込みを通知する機能を有する。

　（１－２）アプリケーション
　アプリケーション１１１は、アプリケーション１１１Ａ，１１１Ｂ，・・・，１１１Ｙ，１１１Ｚを含んでいる。これらアプリケーション１１１Ａ，１１１Ｂ，・・・，１１１Ｙ，１１１Ｚはそれぞれ一つのタスクであり、アプリケーション制御装置１２１が管理対象とするプログラムの実行単位である。アプリケーションは少なくとも１つ生成され、アプリケーション制御装置１２１によって、いわゆる時分割スケジューリングで実行される。

　これらのアプリケーション１１１Ａ，１１１Ｂ，・・・，１１１Ｙ，１１１Ｚには、処理の内容に応じて実行時間を保証しなければならないアプリケーションと、実行時間が多少遅れてもよいアプリケーションと、が存在している。ISO26262では、機能安全の視点からタスクを低い危険事象から高い危険事象へ順にQM(Quality Management)、ASIL-A(Automotive Safety Integrity Level-A)、ASIL-B(Automotive Safety Integrity Level-B)、ASIL-C(Automotive Safety Integrity Level-C)、ASIL-D(Automotive Safety Integrity Level-D)というように安全度レベルを分類している。

　大きく分類すると、安全性担保という観点において実行時間を保証しなければならないアプリケーションはASILに該当する一方、安全保障に関係がなく実行時間が多少遅れてもよいアプリケーションはQMに該当する。

　アプリケーション１１１Ａ，１１１Ｂ，・・・，１１１Ｙ，１１１Ｚは、アプリケーション制御装置１２１から起動指示を受け取ると、リアルタイム性を保ちながら時分割スケジューリングによって実行される。

　アプリケーション１１１Ａ，１１１Ｂ，・・・，１１１Ｙ，１１１Ｚは、アプリケーション制御装置１２１から実行優先度の変更指示（図示の優先度変更指示に相当）を受け付けると、実行すべき優先度（以下「実行優先度」という）が変更される。

　タイムスロット管理テーブル１２３は、アプリケーション１１１Ａ，１１１Ｂ，・・・，１１１Ｙ，１１１Ｚを互いに識別するためのアプリケーションＩＤごとに、起動順序及び起動タイミングに関する情報を管理している。

　アプリケーション制御装置１２１は、起動タイミング設定部１２４、起動タイミング受信部１２５、起動アプリケーション判断部１２６、アプリケーション起動部１２２、及び実行優先度制御部１２７を備えている。

　起動タイミング設定部１２４は、タイムスロット管理テーブル１２３から、後述するように起動アプリケーション判断部１２６によって指定されたあるアプリケーションの次の起動タイミングを取得し、ハードウェアタイマー１３１に、その起動タイミングを設定する。

　起動タイミング受信部１２５は、ハードウェアタイマー１３１からタイマー割り込みが通知されると、起動アプリケーション判断部１２６に対してその旨通知する。

　起動アプリケーション判断部１２６は、タイムスロット管理テーブル１２３において指定された、次に起動すべきアプリケーションのアプリケーションＩＤを含む起動指示をアプリケーション起動部１２２に対して発行する。

　アプリケーション起動部１２２は、起動アプリケーション判断部１２６から起動指示を受け取ったことを契機として、アプリケーション１１１Ａ～１１１Ｚのうち当該起動指示に含まれるアプリケーションＩＤに対応するアプリケーションに対して起動指示を発行する。

　一方、実行優先度制御部１２７は、詳細は後述するが、アプリケーション１１１Ａ～１１１Ｚのうち起動されているアプリケーションの実行優先度を制御する。

　（１－３）タイムスロット管理テーブルの詳細構成
　図２は、図１に示すタイムスロット管理テーブル１２３の詳細な構成例を示す。タイムスロット管理テーブル１２３は、そのカラムとして、タイムスロットＩＤ、タイマー通知時間、アプリケーションＩＤ、及び時間保護違反判定を有する。この時間保護違反判定は、タイムスロット内でアプリケーションが処理を完了できる予定であるか否かを判定することを表している（以下「時間保護違反判定処理」ともいう）。

　タイムスロットＩＤは、各タイムスロット同士を区別するために付与される識別子である。タイマー通知時間は、時間保護違反判定処理を実施すべきとの通知を実施する時間間隔を表す。アプリケーションＩＤは、アプリケーション１１１Ａ～１１１Ｚを互いに区別するための識別子である。時間保護違反判定は、上述した時間保護違反判定処理を実施すべきか否かを表す。

　（１－４）アプリケーションの状態遷移
　図３は、アプリケーションの状態遷移の一例を表す図である。アプリケーションの状態は、例えば、実行状態３０１、実行可能状態３０２、待ち状態３０３、及び休止状態３０４に分類される。各状態については以下のようになっている。

　実行状態３０１は、図示しないＣＰＵが割り当て済でアプリケーションが実行している状態を表している。実行可能状態３０２は、例えば特定のアプリケーションを実行する条件は整っているが、実行優先度がより高いあるアプリケーションが実行状態であるため、当該特定のアプリケーションを実行できない状態を表している。

　待ち状態３０３は、アプリケーションを実行できる条件が整わないため実行できない状態を表し、例えば、何らかの条件成立を待っている状態を表している。休止状態３０４は、アプリケーションが未だに起動されていないまたは終了した状態を表している。

　アプリケーションが新たに起動される場合、アプリケーション制御装置１２１は、このアプリケーションを最初に休止状態３０４に遷移させる。次にアプリケーション制御装置１２１は、このアプリケーションを起動することによりこの休止状態３０４から実行可能状態３０２に遷移させ、このアプリケーションは、ディスパッチすることによりこの実行可能状態３０２から実行状態３０１に遷移する。アプリケーションの処理が実行完了した時、このアプリケーションは待ち状態３０３に遷移する。

　実行状態３０１のアプリケーションが存在する場合により実行優先度が高いアプリケーションが実行可能状態３０２に遷移したときには、当該実行優先度が高いアプリケーションはディスパッチして実行状態３０１に遷移し、実行状態３０１の他のアプリケーションはプリエンプションして実行可能状態３０２に遷移する。

　（１－５）時分割スケジューリング
　図４は、時分割スケジューリングの一例を示す。なお、横軸は時間を表している。

　この時分割スケジューリングは、図示のようにタイムスロットＴＳ１～ＴＳ３ごとに例えば等間隔で定められている時間に、決められた順番にアプリケーションを実行するタスクスケジューリングの一種である。

　（１－６）時分割スケジューリング
　図５は、実行時間がタイムスロットＴＳ１よりも長いアプリケーション１１１Ｂが存在する場合の時分割スケジューリングの一例を示す。

　図示のように設計上タイムスロット内で処理が完了しないような実行時間の長いアプリケーションは途中で中断する必要がある。このアプリケーションを待ち状態３０３（図３参照）に遷移させると、実行状態３０１に復帰してアプリケーションが再開するまで時間がかかりタイムスロット内で実際にアプリケーションが動作できる時間が短くなってしまう。そこで、例えば、上述のように中断する場合でも、実行可能状態３０２に遷移させるに留め、再開にかかる時間を短縮する。

　この時、アプリケーション１１１において、前記機能安全の考え方における安全度の高いアプリケーション１１１Ａと、安全度の低いアプリケーション１１１Ｂとが存在している場合、当該安全度の高いアプリケーション１１１Ａが、当該安全度の低いアプリケーション１１１Ｂに影響を受けないようにする必要がある。

　そのため、本実施の形態では、これらアプリケーション１１１Ａ，１１１Ｂとは別途、例えば、実行優先度が適宜変更されるアプリケーション１１１Ｚを新たに用意し、実行優先度制御部１２７がこのアプリケーション１１１Ｚの実行優先度を以下に示すように操作する。

　アプリケーション１１１Ａ，１１１Ｂには、設定可能な実行優先度の範囲が定められている。実行優先度制御部１２７は、アプリケーション１１１Ｚの初期の実行優先度として、アプリケーション１１１Ａ，１１１Ｂに設定可能な最低実行優先度よりもさらに低い優先度を設定する。

　図６は、タイムスロット内で各アプリケーションが実行される様子の一例を示す。アプリケーション制御装置１２１は、例えば、タイマー割り込みを契機とした３つのタイムスロットにおいて各アプリケーションが時分割で実行されている。

　図示の例では、安全度が高く実行優先度が高いアプリケーション１１１Ａ、安全度が低く実行優先度が低いアプリケーション１１１Ｂ、実行優先度の変更が可能なアプリケーション１１１Ｚの状態が遷移する様子が表されている。アプリケーション制御装置１２１は、これらのアプリケーション１１１Ａ，１１１Ｂ，１１１Ｚに対して実行可能時間、すなわち、タイムスロットＴＳ１，ＴＳ２，ＴＳ３のいずれかのタイムスロットを割り当て、各タイムスロット内でこれらのアプリケーション１１１Ａ，１１１Ｂ，１１１Ｚを実行させる。

　本実施の形態では、タイムスロットＴＳ１にはアプリケーション１１１Ｂが割り当てられており、タイムスロットＴＳ２には原則としてアプリケーション１１１Ａが割り当てられており、タイムスロットＴＳ３にはアプリケーション１１１Ｂが割り当てられている。

　アプリケーション制御装置１２１は、既述のタイマー割込みを契機として起動され、最初に時間Ｔ０に、タイムスロットＴＳ１に割り当てられているアプリケーション１１１Ｂを起動する。

　アプリケーション制御装置１２１は、アプリケーション１１１Ｂの処理がタイムスロットＴＳ１の時間（Ｔ０～ＴＩ２）内に実行を完了しなかった場合、タイムスロットＴＳ２に割り当てられているアプリケーション１１１Ａを起動するため、アプリケーション１１１Ａをディスパッチにより実行状態に遷移させる一方、アプリケーション１１１Ｂをプリエンプションにより実行可能状態に遷移させる。

　この時、アプリケーション制御装置１２１は、アプリケーション１１１Ａによる処理がタイムスロットＴＳ２の最終時間ＴＩ３よりも早い時間ＴＡで完了した場合、一見すると、現行設定されている実行優先度の関係上、アプリケーション１１１Ｂをディスパッチにより実行状態に復帰させ、本来割り当てられていないタイムスロットＴＳ２内で動作させてしまいそうにも見える。

　しかしながら本実施の形態では、このような事態を回避するために、アプリケーション制御装置１２１では、アプリケーション起動部１２２が、時間ＴＩ２においてタイマー割込みを契機としてアプリケーション１１１Ａに対して起動指示を発行してこのアプリケーション１１１Ａを起動すると同時に、実行優先度制御部１２７が、実行優先度の変更が可能なアプリケーション１１１Ｚの実行優先度を、アプリケーション１１１Ａの実行優先度より低く、かつ、本来割り当てられていないタイムスロットＴＳ２での動作が懸念されるアプリケーション１１１Ｂの実行優先度より高くなるように変更する（以下「タスクスケジューリング制御」ともいう）。

　このようなタスクスケジューリング制御により、アプリケーション１１１ＡがタイムスロットＴＳ２に対応する時間（Ｔ１―ＴＩ３）以内に実行を完了した後は（図示の時間ＴＡ以後に相当）、実行優先度制御部１２７が、アプリケーション１１１Ｚをディスパッチして時間ＴＡ～ＴＩ３において実行状態に遷移させることにより、アプリケーション１１１Ｂは当該時間ＴＡ～ＴＩ３において実行可能状態を維持する。

　次のタイムスロットＴＳ３の開始時間Ｔ２においてアプリケーション１１１Ｂを再開する際、実行優先度制御部１２７は、併せてアプリケーション１１１Ｚの実行優先度を元に戻すことにより、アプリケーション１１１Ｂは、本来自らに割り当てられていないタイムスロットＴＳ２に干渉しないようにするとともに、タイムスロットＴＳ３の開始時間Ｔ２において本来自らに割り当てられているこのタイムスロットＴＳ３での再開タイミングが保証される。

　以上のようにすると、実行効率を考慮しながらもアプリケーションの最悪時間を保証し、本来割り当てられていないタイムスロットに干渉することを防止した時分割スケジューリングを実現することができる。

　本実施の形態によれば、複数のアプリケーション１１１Ａ，１１１Ｂを各々タイムスロット内の予め定められたタイミングで開始及び終了させることができるため、システム全体の挙動を安定させることができる。これにより、車両制御装置１０１によって制御する車両を安全に運行することができる。また、車両制御装置１０１には、さらにその他にも様々な機能を搭載させてもシステムが不安定になりにくくすることができる。なお、その他にも、実行優先度にしたがったアプリケーションの事項制御も取り入れることにより，アプリケーションの切り替え時間の高速化を図ることができる。

　（１－７）時間保護違反検知時の制御
　アプリケーション制御装置１２１では、実行優先度制御部１２７が、ある特定のアプリケーションの処理が意図せず、割り当てタイムスロットの時間内で完了しなかった場合、他のアプリケーションへの時間干渉を防ぐため、既述の時間保護違反判定処理によって、そのような場合の事象を「時間保護違反」として検知し、該当特定のアプリケーションの実行について停止制御を実施するようにしても良い。

　実行優先度制御部１２７は、アプリケーションの停止制御として、時間保護違反として検知された上記特定のアプリケーションの実行優先度を、上記アプリケーション１１１Ｚに設定可能な最低実行優先度よりもさらに低い実行優先度に変更することで実現する。

　このような制御により、時間保護違反として検知された上記特定のアプリケーションは、実行可能状態に遷移する。時分割スケジューリングは、常にいずれかのアプリケーションが実行しているため、時間保護違反として検知された上記特定のアプリケーションは、これ以降復帰して動作が再開することが防止される。

　（２）第２の実施の形態
　第２の実施の形態による車両制御装置は、第１の実施の形態による車両制御装置１０１とほぼ同様の構成であるとともにほぼ同様の動作を実行するため、以下、両者において相違する点を中心として説明する。

　第２の実施の形態では、実行優先度制御部１２７が、アプリケーション１１１Ｚに対して、タイムスロットによる厳密な時間管理を必要としない機能、つまり、時間保護を必要としない機能を割り付けておき、アプリケーション１１１Ｚによって断続的に当該機能を発揮させている。

　上述した時間保護を必要としない機能の一例としては、バックグラウンドで状態を監視する機能を挙げることができる。このようにすると、アプリケーション１１１Ｚを実行優先度の制御のみならず、当該機能を発揮させることにも併せて利用できるため、リソースを無駄なく有効に活用することができる。

　上述した時間保護を必要としない機能は、全ての処理を完了するのに非常に長い時間を要するアプリケーションを、当該全ての処理の完了までに時間的な制約なく、すなわち、ベストエフォートとして動作させる機能であっても良い。

　なお、第１及び第２の実施の形態のいずれにおいても、アプリケーション１１１Ａ，１１１Ｂ，１１１Ｚという３つのアプリケーションを利用した態様に限定する意図ではなく、４つ以上のアプリケーションを用いて同様の制御を実施しても良い。

　なお、上述した各実施の形態では、車両制御装置を例示して説明しているが、車両制御装置以外の装置への適用を妨げるものではない。

　（３）その他の実施形態
　上記実施形態は、本発明を説明するための例示であり、本発明をこれらの実施形態にのみ限定する趣旨ではない。本発明は、その趣旨を逸脱しない限り、様々な形態で実施することができる。例えば、上記実施形態では、各種プログラムの処理をシーケンシャルに説明したが、特にこれにこだわるものではない。従って、処理結果に矛盾が生じない限り、処理の順序を入れ替え又は並行動作するように構成しても良い。

　本発明は、複数のアプリケーションを時分割でスケジューリングを実施する車両制御装置に広く適用することができる。

　１０１……車両制御装置、１１１Ａ～１１１Ｚ……アプリケーション、１２１……アプリケーション制御装置、１２２……アプリケーション起動部、１２３……タイムスロット管理テーブル、１２４……起動タイミング設定部、１２５……起動タイミング受信部、１２６……起動アプリケーション判断部、１２７……実行優先度制御部、３０１……実行状態、３０２……実行可能状態、３０３……待ち状態、３０４……休止状態。

Claims

　実行優先度が互いに異なる複数のアプリケーションの実行優先度を制御する実行優先度制御部と、
　前記実行優先度制御部によって各々設定された実行優先度に従って前記複数のアプリケーションの状態を制御する実行状態制御部と、
　を備え、
　前記実行優先度制御部は、
　前記複数のアプリケーションのうち高い実行優先度のアプリケーションの実行が完了した後、即座に、低い実行優先度のアプリケーションの実行を開始すべきでない場合、さらに別のアプリケーションに対して、前記高い実行優先度よりも低く、かつ、前記低い実行優先度よりも高い実行優先度として中間の実行優先度を設定し、
　前記実行状態制御部は、
　前記高い実行優先度のアプリケーションの実行が完了した後、前記低い実行優先度のアプリケーションの実行を開始させるまでに亘って、前記中間の実行優先度で前記別のアプリケーションを実行させる
　ことを特徴とする車両制御装置。
　前記実行優先度制御部は、
　前記別のアプリケーションの初期の実行優先度として、前記低い実行優先度よりもさらに低くした最低の実行優先度に設定しておき、その後、
　前記高い実行優先度のアプリケーションの実行が完了した第１のタイミングで、前記別のアプリケーションの実行優先度を前記中間の実行優先度に設定した後、前記低い実行優先度のアプリケーションの実行を開始すべき第２のタイミングで、前記別のアプリケーションの実行優先度を前記最低の実行優先度に戻す
　ことを特徴とする請求項１に記載の車両制御装置。
　前記実行状態制御部は、
　前記複数のアプリケーションのうち実行優先度が相対的に高いアプリケーションの実行を開始する際には、前記複数のアプリケーションのうち実行優先度が相対的に低いアプリケーションを待ち状態または休止状態に遷移させず実行可能状態に遷移させる一方、
　前記実行可能状態に遷移させたアプリケーションの実行を再開する際には、前記実行可能状態に遷移させたアプリケーションを前記実行可能状態から実行状態に遷移させる
　ことを特徴とする請求項１に記載の車両制御装置。
　前記実行状態制御部は、
　前記複数のアプリケーションのうち次に起動すべきアプリケーションの起動タイミングを設定する起動タイミング設定部と、
　前記起動タイミングに基づいて作成されるタイマー割込みを受信したことを契機として次に起動すべきアプリケーションを判断する起動アプリケーション判断部と、
　前記次に起動すべきアプリケーションに対して移動指示を発行するとともに、前記実行優先度制御部に対して実行優先度の変更指示を発行するアプリケーション起動部と、
　を備えることを特徴とする請求項１に記載の車両制御装置。
　前記起動タイミング設定部は、
　前記次に起動すべきアプリケーションにタイムスロットを割り当てる
　ことを特徴とする請求項４に記載の車両制御装置。
　前記実行状態制御部は、
　前記タイムスロットの時間内でアプリケーションの処理が完了しない事象としての時間保護違反が発生するか否かを判定する処理を実行し、
　前記別のアプリケーションについては前記処理の対象外に設定する
　ことを特徴とする請求項５に記載の車両制御装置。
　前記実行状態制御部は、
　前記別のアプリケーションとして、前記タイムスロットを用いた時間管理を必要としない機能を備えるアプリケーションの状態を制御する
　ことを特徴とする請求項５に記載の車両制御装置。