知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6556253
(24)【登録日】2019年7月19日
(45)【発行日】2019年8月7日
(54)【発明の名称】車両安全電子制御システム
(51)【国際特許分類】
B60R 16/02 20060101AFI20190729BHJP
G06F 11/16 20060101ALI20190729BHJP
【FI】
B60R16/02 660Q
B60R16/02 660H
G06F11/16 629
【請求項の数】13
【全頁数】13
(21)【出願番号】特願2017-552450(P2017-552450)
(86)(22)【出願日】2016年4月15日
(65)【公表番号】特表2018-528111(P2018-528111A)
(43)【公表日】2018年9月27日
(86)【国際出願番号】EP2016058408
(87)【国際公開番号】WO2016169856
(87)【国際公開日】20161027
【審査請求日】2017年11月6日
(31)【優先権主張番号】15164320.2
(32)【優先日】2015年4月20日
(33)【優先権主張国】EP
(73)【特許権者】
【識別番号】518238850
【氏名又は名称】ヴィオニア スウェーデン エービー
(74)【代理人】
【識別番号】100098143
【弁理士】
【氏名又は名称】飯塚 雄二
(72)【発明者】
【氏名】コルマー、ノーベルト
【審査官】
菅 和幸
(56)【参考文献】
【文献】
特開2012−218621(JP,A)
【文献】
特開2013−025570(JP,A)
【文献】
国際公開第2013/057825(WO,A1)
【文献】
特開2014−191655(JP,A)
【文献】
特開2008−234141(JP,A)
【文献】
特開2015−067107(JP,A)
【文献】
特開2014−102662(JP,A)
【文献】
特開2010−211391(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
B60R 16/02
G06F 11/16
(57)【特許請求の範囲】
【請求項1】
車両安全電子制御システムであって、
ロックステップコアを用いるロックステップアーキテクチャーを有する第1のマイクロコントローラーと、少なくとも2つの処理コアを有する第2のマイクロコントローラーとを備え、
前記第1のマイクロコントローラーの前記ロックステップコアは、前記第2のマイクロコントローラーの前記少なくとも2つの処理コアの出力を監視し、制御するように構成され、
前記第1のマイクロコントローラーのロックステップコアは、前記第2のマイクロコントローラーから、前記第2のマイクロコントローラーの前記少なくとも2つの処理コアの前記出力の比較を表すデータを受信するように構成され、そこから、前記第2のマイクロコントローラーの動作状況を導出するように構成され、
前記第2のマイクロコントローラーの前記少なくとも2つの処理コアはいずれも、それぞれの結果を得るために同じソフトウェア演算を同期して実行するように動作可能であり、前記少なくとも2つの処理コアはそれぞれ、自らのそれぞれの結果を他の処理コアの結果と比較し、それにより、前記比較データを導出するように動作可能であり、
当該システムが、死角監視、アダプティブクルーズコントロール、衝突防止支援、車線逸脱防止、後方衝突軽減の内の少なくとも1つの出力に基づいて動作することを特徴とする車両安全電子制御システム。
ロックステップコアを用いるロックステップアーキテクチャーを有する第1のマイクロコントローラーと、少なくとも2つの処理コアを有する第2のマイクロコントローラーとを備え、
前記第1のマイクロコントローラーの前記ロックステップコアは、前記第2のマイクロコントローラーの前記少なくとも2つの処理コアの出力を監視し、制御するように構成され、
前記第1のマイクロコントローラーのロックステップコアは、前記第2のマイクロコントローラーから、前記第2のマイクロコントローラーの前記少なくとも2つの処理コアの前記出力の比較を表すデータを受信するように構成され、そこから、前記第2のマイクロコントローラーの動作状況を導出するように構成され、
前記第2のマイクロコントローラーの前記少なくとも2つの処理コアはいずれも、それぞれの結果を得るために同じソフトウェア演算を同期して実行するように動作可能であり、前記少なくとも2つの処理コアはそれぞれ、自らのそれぞれの結果を他の処理コアの結果と比較し、それにより、前記比較データを導出するように動作可能であり、
当該システムが、死角監視、アダプティブクルーズコントロール、衝突防止支援、車線逸脱防止、後方衝突軽減の内の少なくとも1つの出力に基づいて動作することを特徴とする車両安全電子制御システム。
【請求項2】
前記第1のマイクロコントローラーの前記ロックステップコアは、前記第2のマイクロコントローラーから、前記少なくとも2つの処理コアの直接出力を表すデータを受信するように構成される、請求項1に記載の制御システム。
【請求項3】
前記第1のマイクロコントローラーは、前記比較データから、前記少なくとも2つの処理コアのいずれかが外乱を受けている否か、又は故障したか否かを判断するように構成される、請求項1又は2に記載の制御システム。
【請求項4】
前記第1のマイクロコントローラーの前記ロックステップコアは、前記少なくとも2つの処理コアのいずれかが外乱を受けている、又は故障したと判断するのに応答して、車両安全システムにエラーメッセージを送信すること、前記第2のマイクロコントローラーの前記外乱を受けている、又は故障した処理コアをリセットすること、前記外乱を受けている、又は故障した処理コアを所定の安全状態に入れることのうちの少なくとも1つを行うように構成される、請求項1乃至3の何れか1項に記載の制御システム。
【請求項5】
前記第2のマイクロコントローラーの前記少なくとも2つの処理コアはそれぞれ、前記ソフトウェアの実行中に、各フレーム後に自らの前記結果を前記他の処理コアコアの前記結果と比較するように動作可能である、請求項1乃至4の何れか1項に記載の制御システム。
【請求項6】
前記第2のマイクロコントローラーの前記少なくとも2つの処理コアは、車両安全関連ソフトウェアを実行するように動作可能である、請求項1乃至5のいずれか一項に記載の制御システム。
【請求項7】
前記第1のマイクロコントローラー及び前記第2のマイクロコントローラーは同期して動作するように構成される、請求項1乃至6のいずれか一項に記載の制御システム。
【請求項8】
前記第1のマイクロコントローラーは、前記第2のマイクロコントローラーを所定のサイクル時間で周期的に監視するように構成される、請求項1乃至7のいずれか一項に記載の制御システム。
【請求項9】
前記第1のマイクロコントローラーの前記ロックステップコアは、前記2つの処理コアのいずれかが外乱を受けている、又は故障したと判断するのに応答して、前記外乱を受けている、又は故障した処理コアを所定の安全状態に移行するように構成され、
前記サイクル時間は、前記第2のマイクロコントローラーの前記少なくとも2つの処理コアをそれぞれの前記安全状態に移行させるのに必要とされる時間より短い、請求項8に記載の制御システム。
前記サイクル時間は、前記第2のマイクロコントローラーの前記少なくとも2つの処理コアをそれぞれの前記安全状態に移行させるのに必要とされる時間より短い、請求項8に記載の制御システム。
【請求項10】
前記第1のマイクロコントローラーは前記第2のマイクロコントローラーのためのウォッチドッグタイマとしての役割を果たすように構成される、請求項8又は9に記載の制御システム。
【請求項11】
前記第1のマイクロコントローラーの前記ロックステップコアは、複合ソフトウェアウォッチドッグアプリケーションを実行するように動作可能である、請求項10に記載の制御システム。
【請求項12】
前記ソフトウェアウォッチドッグアプリケーションは、ハートビート監視ユニットと、プログラムフロー検査ユニット(28)と、タスク状態指示ユニットとを含む、請求項11に記載の制御システム。
【請求項13】
統合電子制御ユニットの形で設けられる、請求項1〜12のいずれか一項に記載の制御システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は電子制御システムに関し、より詳細には、車両安全電子制御システムに関する。
【背景技術】
【0002】
自動車において、現在、電子安全システムが非常に広く使用されている。そのような安全システムは、例えば、死角監視システム、アクティブクルーズコントロールシステム、プレセーフブレーキシステム、衝突回避システム、車線逸脱防止システム、後方衝突軽減システムを含むことができる。
【0003】
最新の車両安全システムの複雑性は、安全システムを提供し、管理するために必要とされる電子制御システムの性能及び信頼性を重視している。そのような制御システムは通常、いわゆる先進運転支援システム(ADAS:Advanced Driver Assistance System)アルゴリズムをホスティングし、実行するために、統合されたハードウェア及びソフトウェアを含む。
【0004】
そのようなシステムは、いわゆる自動車安全完全性レベル(ASIL:Automotive Safety Integrity Level)リスク分類方式を規定するISO 26262「道路車両の機能安全規格」(Functional Safety for Road Vehicles standard)のような非常に厳密な安全要件を満たすように要求される。ASIL−Dは、この規格下の最も高い完全性要件を表し、安全関連処理タスクに適用可能である。
【0005】
機能安全規格の要件は、制御システムが、算術ユニット、論理ユニット及びメモリユニット内の安全関連誤りを特定できなければならないことであり、それは、ロックステッププロセッサアーキテクチャーが使用される場合のASIL−D電子制御ユニットにおいてのみ可能である。しかしながら、このタイプのロックステップアーキテクチャーは、相対的に低い処理能力のみを有し、その処理能力は、レーダー、ライダー及び/又はカメラのような適切なセンサーの組を用いてADASのような最新のアプリケーションを取り扱うには不十分である。それゆえ、要求される安全完全性要件を満たしながら、改善された処理能力を提供することができる車両安全電子制御システムが必要とされている。
【0006】
現在の高性能マイクロプロセッサは、複雑すぎて、永続的及び一時的誤り検出に関する周期的な診断テストを介して、必要とされる安全完全性要件を達成することはできない。
【発明の概要】
【0007】
本発明によれば、車両安全電子制御システムであって、ロックステップコアを用いるロックステップアーキテクチャーを有する第1のマイクロコントローラーと、少なくとも2つの処理コアを有する第2のマイクロコントローラーとを備え、前記第1のマイクロコントローラーの前記ロックステップコアは、前記第2のマイクロコントローラーの前記少なくとも2つのコアの出力を監視し、制御するように構成される、車両安全電子制御システムが提供される。
【0008】
第1のマイクロコントローラーは少なくとも1つの非ロックステップコアを有することができる。
【0009】
前記第1のマイクロコントローラーの前記ロックステップコアは、前記第2のマイクロコントローラーから、前記第2のマイクロコントローラーコアの直接出力を表すデータを受信するように構成されることが好ましい。
【0010】
前記第1のマイクロコントローラーの前記ロックステップコアは、前記第2のマイクロコントローラーから、前記第2のマイクロプロセッサコアの前記出力の比較を表すデータを受信するように構成され、そこから、前記第2のマイクロコントローラーの動作状況を導出するように構成されることが有利である。
【0011】
前記第1のマイクロコントローラーは、前記比較データから、前記第2のマイクロコントローラーコアのいずれかが外乱を受けている否か、又は故障したか否かを判断するように構成されることが好都合である。
【0012】
前記第1のマイクロコントローラーの前記ロックステップコアは、前記第2のマイクロコントローラーコアのいずれかが外乱を受けている、又は故障したと判断するのに応答して、車両安全システムにエラーメッセージを送信すること、前記第2のマイクロコントローラーの前記外乱を受けている、又は故障したコアをリセットすること、前記外乱を受けている、又は故障したコアを所定の安全状態に入れることのうちの少なくとも1つを行うように構成されることが好ましい。
【0013】
前記第2のマイクロコントローラーの前記2つのコアはいずれも、それぞれの結果を得るために同じソフトウェア演算を同期して実行するように動作可能であり、前記2つのコアはそれぞれ、自らのそれぞれの結果を他のコアの結果と比較し、それにより、前記比較データを導出するように動作可能であることが有利である。
【0014】
前記第2のマイクロコントローラーの前記2つのコアはそれぞれ、前記ソフトウェアの実行中に、各フレーム後に自らの前記結果を前記他のコアの前記結果と比較するように動作可能であることが好都合である。
【0015】
前記第2のマイクロコントローラーの前記コアは、車両安全関連ソフトウェアを実行するように動作可能であることが好ましい。
【0016】
前記第1のマイクロコントローラー及び前記第2のマイクロコントローラーは同期して動作するように構成されることが有利である。
【0017】
前記第1のマイクロコントローラーは、前記第2のマイクロコントローラーを所定のサイクル時間で周期的に監視するように構成されることが好都合である。
【0018】
前記サイクル時間は、前記第2のマイクロコントローラーコアをそれぞれの前記安全状態に移行させるのに必要とされる時間より短いことが好ましい。
【0019】
前記第1のマイクロコントローラーは前記第2のマイクロコントローラーのためのウォッチドッグタイマとしての役割を果たすように構成されることが有利である。
【0020】
前記第1のマイクロコントローラーの前記ロックステップコアは、ソフトウェアウォッチドッグアプリケーションを実行するように動作可能であることが好都合である。
【0021】
前記ソフトウェアウォッチドッグアプリケーションは、ハートビート監視ユニットと、プログラムフロー検査ユニットと、タスク状態指示ユニットとを含むことが好ましい。
【0022】
制御システムは、統合電子制御ユニットの形で設けられることが有利である。
【0023】
本発明の電子制御システムは、例えば、先進運転支援システム(ADAS)のような自動車内の電子安全システムの一部として提供される場合があり、電子安全システムは、死角監視システム、アクティブクルーズコントロールシステム、プレセーフブレーキシステム、衝突回避システム、車線逸脱防止システム及び/又は後方衝突軽減システムを含むことができる。
【0024】
本発明をより容易に理解することができるように、そして、本発明の更なる特徴を認識することができるように、ここで、添付の図面を参照しがら、例として、本発明の実施形態が説明されることになる。
【図面の簡単な説明】
【0025】
【図1】本発明による電子制御システムを含むことができる通常の自動車安全システムの概観を示す概略図である。
【図2】本発明による電子制御システムの主なハードウェア要素の概観を示す概略図である。
【図4】本発明の好ましい実施形態のソフトウェア監視態様の態様を表す流れ図の形をとる概略図である。
【図5】自動車安全システムの一部として設置される、本発明による電子制御システムを示す概略図である。
【発明を実施するための形態】
【0026】
ここで図1についてのより詳細な検討に進むと、自動車2内に設置された例示的な電子安全システム1の概略図が示される(車両の向きを示すために、図1には、その一方のサイドパネルのみが示される)。安全システム1は、自動車2上の適切な位置に取り付けられた幾つかの異なるタイプのセンサーを備える。詳細には、図示されるシステム1は、車両2のそれぞれの前方角部に取り付けられる一対の発散性及び外向きのミッドレンジレーダー(「MRR」)センサー3と、車両のそれぞれの後方角部に取り付けられる類似の一対の発散性及び外向きの多機能レーダーセンサー4と、車両2の前方中央に配置される前方に向けられたロングレンジレーダー(「LRR」)センサー5と、例えば、車両のワイドスクリーンの上縁部の領域内に取り付けられる場合があるステレオビジョンシステム(「SVS」)7の一部を形成する一対の一般的に前方に向けられた光センサー6とを備える。種々のセンサー3〜6は、中央電子制御システムに動作可能に接続され、中央電子制御システムは通常、車両内の都合の良い場所に取り付けられる統合電子制御ユニット8の形で設けられる。図示される特定の構成において、前方及び後方MMRセンサー3、4は、従来のコントローラーエリアネットワーク(「CAN」)バス9を介して中央制御ユニット8に接続され、LRRセンサー5、とSVS7のセンサーとは、同じくそれ自体が既知であるタイプの、より高速のFlexRayシリアルバス10を介して、中央制御ユニット8に接続される。
【0027】
集合的に、そして制御ユニット8の制御下で、種々のセンサー3〜6を用いて、例えば、死角監視、アダプティブクルーズコントロール、衝突防止支援、車線逸脱防止、後方衝突軽減のような、様々な異なるタイプの運転支援システムを提供することができる。したがって、制御ユニット8は、そのような運転システムごとに適切なソフトウェアアルゴリズムを実行するように構成される。
【0028】
図2は、本発明による制御システムの主なハードウェア要素を概略的に示しており、そのシステムが、図1に示される統合制御ユニット8の形で提供できることは理解されよう。制御システムは、第1の(マスター)マイクロコントローラー11と、第2の(スレーブ)マイクロコントローラー12とを備える。明らかになるように、マスターコントローラー11は、処理誤りの特定、それゆえ、ロックステップアーキテクチャーを必要とする、システムの最も厳密な(ASIL−D)安全完全性要件に応じるために安全ソフトウェアを実行するように構成され、一方、スレーブマイクロコントローラー12は、より高い処理能力を有し、ロックステップアーキテクチャーを有せず、マスターマイクロコントローラー11を助けるために幾つかの安全関連処理タスクを取り扱うように構成される。マスターコントローラー11は、システムの厳密な安全完全性要件を満たすように構成されるので、いわゆる「安全マイクロコントローラー」を表すと考えることができる。同様に、スレーブマイクロコントローラー12は、マスターマイクロコントローラーより高い処理能力を有するように構成されるので、いわゆる「性能マイクロコントローラー」を表すと考えることができる。
【0029】
より詳細には、図示される特定の実施形態において、マスターマイクロコントローラー11は、図2においてそれぞれ「コア0」、「コア1/1’」及び「コア2」として表される3つの処理コア13、14、15を備えるロックステップアーキテクチャーを有する。それゆえ、理解されるように、コア14(図2においてコア1/1’で表される))は、マスターマイクロコントローラー11のいわゆる、ロックステップコア(又は冗長コア)を表す。スレーブマイクロコントローラー12は、ロックステップアーキテクチャーを必要とせず、図示される実施形態では、図2においてそれぞれ「コア4」及び「コア5」で表される2つの処理コア16、17を備える。しかしながら、他の実施形態では、マスターマイクロコントローラー11又はスレーブマイクロコントローラー12のいずれかが、より多くの処理コア(図2には示されない)を有することができることに留意されたい。
【0030】
現時点で好ましい実施形態では、マスターマイクロコントローラー11は、Infineon Technologies AG社から市販されるAurix TC29xプロセッサの形で設けることができ、一方、スレーブマイクロコントローラー12は、Texas Instruments Inc.社から市販されるFusion28プロセッサの形で設けることができると想定される。したがって、そのような実施形態において、マスターマイクロコントローラーの各コア13、14、15は500DMIPSにおいて動作することになり、一方、スレーブマイクロコントローラー12の各コア16、17は3000DMIPSにおいて動作することになると想定され、それは、マスターマイクロコントローラー11のコアに比べて著しく高い処理能力を表すことに留意されたい。しかしながら、マスターマイクロコントローラー及びスレーブマイクロコントローラーの一方又は両方のために他のタイプのプロセッサを使用できることは理解されたい。
【0031】
2つのマイクロコントローラーは、図2において18で概略的に表されるような、シリアルペリフェラルインターフェース(「SPI」)バスの形の同期シリアル通信インターフェースを介して動作可能に接続され、それゆえ、同期して動作するように構成される。好ましい実施形態において、SPIバス18は、2つのマイクロコントローラー間に必要とされる帯域幅を確立するためにシンプレックスモードにおいて動作可能な4つのチャネルを有するクワッドSPI接続の形で設けられると想定される。
【0032】
したがって、図2に概略的に表されるように、マスターマイクロコントローラーのロックステップコア14は、スレーブマイクロコントローラー12の処理コア16、17と、マスターマイクロコントローラー11の自らの他の2つの処理コア13、15との両方を監視し、制御するように構成される。同じく図2に示されるように、マスターマイクロコントローラー11は、車両バスに直接接続するように構成され、そのバスは、CAN及びFlexRayバス9、10、並びにイーサネット(登録商標)(登録商標)バスを含むことができる。
【0033】
ここで図3についての検討に進むと、マスターマイクロコントローラー11の2つの非ロックステップコア13、15は、安全関連ソフトウェアを実行するように構成され、そのソフトウェアは、図3においてブロック19によって概略的に表される、いわゆる「ブラックボックス」ソフトウェアを表すと考えることができることに留意されたい。このソフトウェア19は安全関連であるので、その処理は、ASIL−B安全完全性要件を満たすように要求され、このため、2つの非ロックステップコア13、15によって確実かつ安全に取り扱うことができる。
【0034】
高性能スレーブマイクロコントローラー12の2つの処理コア16、17は、安全関連ソフトウェアを実行するように構成され、そのソフトウェアは、ここでも、図3においてブロック20によって概略的に表されるような、いわゆる「ブラックボックス」ソフトウェアを表すと考えることができる。2つのスレーブコア16、17が動作する方法が、以下により詳細に説明されることになるが、コア16、17は、最も厳密な(ASIL−D)規格より相対的に低い(ASIL−B/C)安全完全性要件を満たすようにのみ動作することに留意されたい。本明細書において同じく後に更に詳細に説明されるように、2つのスレーブコア16、17の出力が、SPIバス18上のデータ交換を介して、最も厳密な(ASIL−D)規格を満たすように動作するマスターマイクロコントローラー11のロックステップコア14によって監視され、制御されるので、本発明のシステムではこれが許容される。スレーブコア16、17は、ロックステップコア14より著しく高い処理能力を有するので、スレーブマイクロプロセッサは、マスターマイクロコントローラー11が可能であるより、迅速、かつ効率的に複雑な安全関連ソフトウェアを実行することができる。しかしながら、ロックステップコア14が、2つのスレーブコア16、17の出力を監視し、制御するように構成されるので、最も高い(ASIL−D)安全完全性要件が満たされる。
【0035】
後に言及されるように、図3に示されるスレーブマイクロプロセッサ12の特定の構成は、上記の2つのコア16、17に加えて、他の処理コアを有するクワッドコア構成である。このタイプの構成を用いて、各実行可能タスクが専用のスレーブコア上で実行されるように、全ての必要な実行可能タスクを実行するのに十分な数の処理コアを設けることができる。
【0036】
2つのスレーブ処理コア16、17の出力を監視し、制御するだけでなく、マスターマイクロコントローラー11のロックステップコア14は、図3においてブロック21によって表されるような、フレームソフトウェアを実行するように構成される。フレームソフトウェア21は、種々のソフトウェア構成要素、活動性監視ユニット28a、到着率監視ユニット28b、制御フロー監視ユニット29、タスク状態指示ユニット30を含むことができ、それらのユニットは、合わせて、いわゆる複合ソフトウェアウォッチドッグ26を形成する。
【0037】
マスターマイクロコントローラー11は、内部バス誤り訂正符号22、メモリ誤り訂正符号23、安全管理ユニット24及びメモリ保護ユニット25のような、障害を検出し、取り扱う種々のハードウェア構成要素を含む。
【0038】
マスターマイクロコントローラー11のロックステップコア14は、スレーブマイクロプロセッサ12の処理コア16、17を周期的に監視するように構成され、好ましいサイクル時間は、スレーブマイクロコントローラーのコア16、17をそれぞれの安全状態に移行させるのに必要とされる時間より短い。さらに、複合ソフトウェアウォッチドッグ26があることによって、ロックステップコア14は、スレーブマイクロプロセッサ12のための管理者としての役割を果たすことは理解されよう。
【0039】
システムの健全性を監視するために、そして、ハードウェア及びソフトウェア障害に反応するために、ロックステップコア14によって、個々のアプリケーションソフトウェア構成要素を実行時に監視するソフトウェアサービスが提供され、それにより、安全完全性要件を満たすためにシステムの全体的な信頼性を改善する。機能安全概念は、ハートビート監視及びプログラムフロー検査を提供する複合ソフトウェアウォッチドッグ26によってサポートされる。理解されるように、ソフトウェアウォッチドッグ26は、マスターマイクロプロセッサ11上に設けられるソフトウェアプラットフォームに統合される。
【0040】
ソフトウェアウォッチドッグ26の好ましい設計は、実行可能タスク27のハートビート監視の概念に従い、図4において概略的に示される。ソフトウェアウォッチドッグ26は、ハートビート監視ユニット28と、制御フロー監視ユニット29と、タスク状態指示(「TSI」)ユニット30とを含む。
【0041】
ハートビート指示ルーチンの支援の下で、種々の実行可能タスク27は、ソフトウェアウォッチドッグ26のハートビート監視ユニット28に自らのハートビートを報告する。タスクが相対的に低い実行優先順位を有し、より高い優先順位の1つ以上のタスクによって割り込まれるときに、各タスクのデッドライン監視機構が有用な場合がある。タスク応答時間のような他のパラメータを用いて、システムの健全状態を規定することもできる。
【0042】
制御フロー監視ユニット29は、実際の実行された後続タスクを、先行タスクの所定の1組の取り得る後続タスクと比較することによって、実行可能タスク27の実行シーケンスを監視する。オペレーティングシステムは、全ての実行可能タスクを、固定スケジュールテーブルによって規定される所定の順序において実行する。制御フロー監視ユニット29は、固定スケジュールテーブルに従って、実行可能タスクの正確な起動を管理する。制御フロー検査は、種々の異なる粒度レベルにおいて達成することができる。
【0043】
ハートビート監視ユニット28及び制御フロー検査ユニット29によって特定される、実行可能タスク27のいずれかにおける誤りは、タスク状態指示ユニット30に報告される。その際、タスク状態指示ユニット30は、検出された誤りの数を、適切な所定のしきい値と比較し、そこから、各実行可能タスク27に関する個々の管理報告を生成する。その後、これらの報告を用いて、種々のタスクに関する指示状態を導出することができ、次に、指示状態を用いて、種々のソフトウェアアプリケーションのステータスを判断することができる。
【0044】
ここで、スレーブマイクロコントローラー12の2つの処理コア16、17によって実行される安全関連ソフトウェア20についての検討に進むと、好ましい実施形態において、スレーブコア16、17はいずれも、同じソフトウェア演算を同期して実行し、それにより、それぞれの結果を得るように構成されることに留意されたい。これは、最も高い(ASIL−D)安全完全性要件を満たすために、マスターマイクロコントローラー11のロックステップコア14に渡すのに適したデータが生成されるのを確実にするためである。その後、スレーブコア16、17はそれぞれ、自らのそれぞれの結果を他のコアの結果と比較し、それにより、比較データを導出するように動作し、比較データは、各コア16、17によって1つずつ与えられる2つの比較結果を含む。完全な比較データを与えるために、各スレーブコア16、17が、ソフトウェアの実行中に、各フレーム後に自らのそれぞれの結果を他のスレーブコアの対応する結果と比較することが特に有利であると考えられる。しかしながら、現時点で好ましい実施形態は、上記で説明されたように、2つの比較結果を含む比較データを導出するように動作可能であるが、他の実施形態では、例えば、両方のスレーブコア16、17の処理されたデータをマスターマイクロコントローラー11に直接送信するときには、単一の比較結果のみを導出できることに留意されたい。また、幾つかの構成において、安全関連タスクに加えて、2つのスレーブコア16、17によって、非安全関連タスクを処理することもできる。
【0045】
スレーブコア16、17によって上記のようにして得られた比較データは、その後、処理された巡回冗長符号、メッセージカウンター及びタイムスタンプとともに、SPIバス18を介してマスターマイクロコントローラー12のロックステップコア14に送信され、マスターマイクロコントローラーのフレームソフトウェア21によって(ASIL−D要件に従って)更に処理される。したがって、ロックステップコア14は、比較データに関する診断アルゴリズムを実行し、スレーブマイクロコントローラー12の動作状況を導出し、それにより、スレーブマイクロコントローラー12が正確に動作しているか否かを判断するように構成される。より具体的には、ロックステップコア14は、スレーブマイクロコントローラー12から受信された上記比較データから、上記スレーブコア16、17のいずれかが外乱を受けているか否か、又は故障したか否かを判断するように動作することができる。いずれかのスレーブコア16、17が、外乱を受けている、又は故障したと判断される場合には、ロックステップコア14は、関連する受信機にエラーメッセージを送信し、そのコアをセーフモードに入れる。
【0046】
上記のことから、本発明の制御システムが、機能安全完全性要件を満たすために、安全関連ソフトウェアルーチンが信頼性のある診断測定を受けるのを確実にしながら、先進運転支援システムのための著しく改善された処理性能を提供することは理解されよう。スレーブマイクロプロセッサ12の2つの処理コア16、17は、高い処理能力を用いて安全関連ソフトウェアを実行することができ、一方、ASIL−Dレベルまでの安全完全性要件を満たすために、結果及び比較データはマスターマイクロコントローラー11のロックステップコア14によって再検討される。また、理解されるように、生成された完全なデータではなく、計算された結果及び比較データを、更に処理するためにスレーブコア16、17からロックステップコア14に単に送信することによって、ロックステップコア14は、相対的に(スレーブコア16、17と比べて)低い処理能力を用いて、効率的に機能することができる。
【0047】
図5は、統合電子制御ユニット8において具現され、車両安全システム1の一部を形成する、本発明の電子制御システムを示す概略図である。制御ユニット8は、適切な電源31に接続され、制御及び動作するように構成される安全システム1は、CANバス9を介して制御ユニット8に接続される一対の後方ショートレンジレーダーセンサー32と、FlexRayバス10を介して制御ユニットに接続されるSVSセンサーアレイ7と、FlexRayバス10を介して制御ユニット8に同じく接続される前方ロングレンジレーダーセンサー5とを含む、幾つかの異なるタイプのセンサーを備える。さらに、車両安全システムは、センサー5、7、32からの信号、又は車両の運転者への警告表示又は警告音に応答して、車両の安全を保持する是正措置を実施するために、制御ユニット8によって制御される幾つかのアクチュエーターを備える。図5に示される特定のシステムにおいて、アクチュエーターは、車両の電子安定/ブレーキシステム33、車両のエンジン制御システム34、車両のステアリングシステム35、及び車両の計器群36の一部として設けられる。アクチュエーターの全てが、FlexRayバス10を介して制御ユニット8に接続される。
【0048】
ロックステップアーキテクチャーを有するマルチコアマスターマイクロプロセッサ11と、少なくとも2つの処理コア16、17を有するスレーブマイクロコントローラー12とを備える、本発明の制御システムは、非常に短期間において必要とされる診断機能を達成するために、マスターマイクロプロセッサ11のコア冗長性を使用することによって、ASIL−Dレベルまでの安全完全性要件を依然として満たしながら、高い全体処理能力を与えることがわかった。
【0049】
本発明のシステムの変形形態では、スレーブマイクロプロセッサ12内に更なるコアを設け、それにより、いわゆる、2oo3アーキテクチャーを提供することができる。このタイプの構成において、スレーブマイクロプロセッサ12は、その際、いわゆる「フェールオペレーショナル」プロセッサとして機能にすることになり、その際、3つ全てのスレーブコアの処理結果を比較することによって、欠陥のあるスレーブコアを特定することができる。その際、これにより、スレーブコアのうちの1つが故障した場合であっても、関連するASIL安全要件を依然として満たしながら、ソフトウェアが動作し続けることができるようになる。より高い処理能力が必要とされる場合には、追加のスレーブ処理コアを設けることができるか、又は更には、追加のスレーブマイクロプロセッサを設けることができる。
【0050】
本発明は、SPIバス9を介してマスターマイクロコントローラー11とスレーブマイクロコントローラー12との間でデータが送信される特定の実施形態を参照しながら、これまで説明されてきたが、スレーブマイクロコントローラーを車両バスに接続し、その接続を介してデータを送信することもできることに留意されたい。
【0051】
本明細書及び特許請求の範囲において使用されるときに、「備える("comprises" and "comprising")」という用語及びその変形は、規定された特徴、ステップ又は整数が含まれることを意味する。その用語は、他の特徴、ステップ又は整数の存在を除外するように解釈されるべきではない。
【0052】
これまでの説明において、又は以下の特許請求の範囲において、又は添付の図面において開示される特徴は、必要に応じて、特定の形において表されるか、開示される機能を実行するための手段に関して表されるか、又は開示される結果を得るための方法若しくはプロセスに関して表され、その多様な形において本発明を実現するために、別々に、又はそのような特徴の任意の組み合わせにおいて利用される場合がある。
【0053】
本発明は上記の例示的な実施形態に関連して説明されてきたが、本開示を与えられるときに、数多くの均等の変更形態及び変形形態が当業者には明らかになるであろう。したがって、これまでに記載された本発明の例示的な実施形態は、例示であると見なされ、限定するものと見なされるべきでない。本発明の趣旨及び範囲から逸脱することなく、説明された実施形態に対して種々の変更を加えることができる。