知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-04-12
(45)【発行日】2024-04-22
(54)【発明の名称】車両システム
(51)【国際特許分類】
B60R 16/02 20060101AFI20240415BHJP
H04L 12/28 20060101ALI20240415BHJP
B60R 16/023 20060101ALI20240415BHJP
【FI】
B60R16/02 660W
B60R16/02 660H
H04L12/28 100A
B60R16/023 P
【請求項の数】
5
(21)【出願番号】P 2021127905
(22)【出願日】2021-08-04
(65)【公開番号】P2023022863
(43)【公開日】2023-02-16
【審査請求日】2022-12-15
(73)【特許権者】
【識別番号】000006895
【氏名又は名称】矢崎総業株式会社
(74)【代理人】
【識別番号】110001771
【氏名又は名称】弁理士法人虎ノ門知的財産事務所
(72)【発明者】
【氏名】杉山 信裕
(72)【発明者】
【氏名】▲柳▼田 曜
(72)【発明者】
【氏名】木須 直己
(72)【発明者】
【氏名】佐藤 勝美
(72)【発明者】
【氏名】池 宏武
【審査官】森本 康正
(56)【参考文献】
【文献】特開2020-050048(JP,A)
【文献】特表2021-508863(JP,A)
【文献】特開2020-053779(JP,A)
【文献】特開2020-053778(JP,A)
【文献】国際公開第2018/047510(WO,A1)
(58)【調査した分野】(Int.Cl.,DB名)
B60R 16/00-16/08
H04L 12/28
(57)【特許請求の範囲】
【請求項1】
車両に搭載され、実現する機能に対してそれぞれ予め定められたレベルの安全基準が設定された複数の機器と、前記機器に対して前記安全基準に関する処理を実行可能な制御部と、を備え、
前記制御部は、前記安全基準の前記レベル毎に割り当てられた複数の単一レベル用制御部を含み、
各前記単一レベル用制御部は、CPUを含んで構成されており、実現する機能に対して、前記割り当てられたレベルの前記安全基準が設定された前記機器が接続され且つ異なるレベルの前記安全基準が設定された前記機器が接続されず、複数のレベルの前記安全基準に関する処理を実行せずに、接続された前記機器に対して前記割り当てられたレベルに応じた前記安全基準に関する処理を実行し、
前記安全基準の前記レベルが相対的に高い前記単一レベル用制御部を構成するCPUのクロック数は、前記安全基準の前記レベルが相対的に低い前記単一レベル用制御部を構成するCPUのクロック数よりも高いことを特徴とする車両システム。
【請求項2】
前記機器及び前記制御部は、ドメインに応じて複数の制御系統に区分けされ、各前記制御系統は、少なくとも1つの前記単一レベル用制御部を含む請求項1に記載の車両システム。
【請求項3】
前記車両の外部に設けられた外部装置と通信可能な通信制御部と、前記通信制御部で受信した信号を前記複数の単一レベル用制御部に振り分け、且つ、前記複数の単一レベル用制御部から出力された信号を前記通信制御部に出力する信号振分部と、をさらに備える請求項1又は2に記載の車両システム。
【請求項4】
前記レベルが相対的に高い前記安全基準に関する処理は、前記レベルが相対的に低い前記安全基準に関する処理を少なくとも一部含む請求項1~3のいずれか1項に記載の車両システム。
【請求項5】
前記制御部は、実現する機能に対して、異なる前記レベルの前記安全基準が設定された前記機器が接続され、接続された前記機器に対して前記異なるレベルに応じた前記安全基準に関する処理を実行する複数レベル用制御部を含む請求項1~4のいずれか1項に記載の車両システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、車両システムに関する。
【背景技術】
【0002】
従来、車両システムとして、例えば、特許文献1には、異なる安全度が設定される複数のソフトウェアを用いて車両を制御する車両制御装置が記載されている。この車両制御装置は、例えば、異なる安全度が設定される複数のソフトウェアと、複数のソフトウェアの安全度に対応して複数に区分され、ソフトウェアにより演算されるデータを記憶する安全度対応記憶領域と、安全度の高いソフトウェアによって演算されたデータを安全度の低いソフトウェアのアクセス用に記憶する共有記憶領域と、ソフトウェアの安全度に応じて、同一のデータを参照する際のアクセス先の記憶領域を切り換える切換部とを備え、複数のソフトウェアは、同一のデータを参照するために切換部を呼び出す関数を含む。この構成により、車両制御装置は、ソフトウェアがアクセスする記憶領域が変更される場合にメモリ管理ユニットのようなハードウェアを用いなくても、ソフトウェアの関数によって切換部を呼び出して同一のデータを参照することができるので、ソフトウェアの再利用性を高めることができる。
【先行技術文献】
【特許文献】
【0003】
【文献】特開2015-99517号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
ところで、上述の特許文献1に記載の車両制御装置は、例えば、同一の車両制御装置の中に安全度が異なるソフトウェアを混在させているので、安全度が高いソフトウェアに装置の性能を合わせる必要があり、この結果、安全度が低いソフトウェアを実行する際には過剰な性能となるおそれがある。
【0005】
そこで、本発明は、上記に鑑みてなされたものであって、安全性を確保するシステムを適正に構築することができる車両システムを提供することを目的とする。
【課題を解決するための手段】
【0006】
上述した課題を解決し、目的を達成するために、本発明に係る車両システムは、車両に搭載され、実現する機能に対してそれぞれ予め定められたレベルの安全基準が設定された複数の機器と、前記機器に対して前記安全基準に関する処理を実行可能な制御部と、を備え、前記制御部は、前記安全基準の前記レベル毎に割り当てられた複数の単一レベル用制御部を含み、各前記単一レベル用制御部は、実現する機能に対して、前記割り当てられたレベルの前記安全基準が設定された前記機器が接続され且つ異なるレベルの前記安全基準が設定された前記機器が接続されず、接続された前記機器に対して前記割り当てられたレベルに応じた前記安全基準に関する処理を実行することを特徴とする。
【発明の効果】
【0007】
本発明に係る車両システムは、複数のレベルの安全基準に関する処理を実行する必要がなく、これにより従来のようにレベルが高い安全基準の処理に複数の単一レベル用制御部の性能を合わせる必要がなく、複数の単一レベル用制御部に過剰な性能を備えることを回避でき、この結果、安全性を確保するシステムを適正に構築することができる。
【図面の簡単な説明】
【0008】
【発明を実施するための形態】
【0009】
本発明を実施するための形態(実施形態)につき、図面を参照しつつ詳細に説明する。以下の実施形態に記載した内容により本発明が限定されるものではない。また、以下に記載した構成要素には、当業者が容易に想定できるもの、実質的に同一のものが含まれる。更に、以下に記載した構成は適宜組み合わせることが可能である。また、本発明の要旨を逸脱しない範囲で構成の種々の省略、置換又は変更を行うことができる。
〔実施形態〕
〔実施形態〕
【0010】
図面を参照しながら実施形態に係る車両システム1について説明する。車両システム1は、車両Vに設けられ、当該車両Vに搭載された複数の機器Eを制御部(後述する各ECU31~36)によって制御するものである。ここで、車両Vに搭載された機器E、及び、制御部は、図1に示すように、ドメインに応じて複数の制御系統D(D1~D5)に区分けされている。ここで、ドメインとは、車両Vを制御する系統を表すものであり、例えば、制御系統を区別するために車両Vの機能ごとに任意に割り振られた情報である。制御系統D1は、エンジン(モータ)で発生した回転エネルギーを効率よく駆動輪に伝えるための装置類を表すパワートレイン系(パワトレ系)を表すものである。制御系統D2は、ADAS(Advanced Driver-Assistance Systems;先進運転支援システム)又は自動運転系を表すものである。ここで、ADASは、各種センサーを用いて車両Vの周囲の状況を把握し、運転者の運転操作を支援するものである。制御系統D3は、サスペンション、ステアリング等を含むシャーシ系を表すものである。制御系統D4は、HMI(Human Machine Interface)/MM(Multi Media)系を表すものである。ここで、HMIは、運転者等のユーザに対して必要な情報を提供するものである。MMは、エンターテインメント等のマルチメディア系を表すものである。制御系統D5は、ヘッドライト、バックライト等を含むボディ系を表すものである。
【0011】
各制御系統D1~D5には、複数の機器Eが設けられており、複数の機器Eは、予め定められたレベルの安全基準(自動車安全水準)、すなわちASIL(Automotive Safety Integrity Level)が設定された機能を実現するものである。つまり、ASILは、車両Vの機能ごとに設定されており、複数の機器Eは、ASILが設定された機能を実現する。ここで、ASILとは、ISO26262規格で定義された車両Vの安全基準を表すものであり、安全基準のレベルに応じてASIL-A~ASIL-Dの4段階を含む。ASILは、ASIL-AからASIL-Dに向けて安全基準のレベルが高くなる。すなわち、ASIL-Dが最も安全基準のレベルが高く、ASIL-Cが安全基準のレベルが2番目に高く、ASIL-Bが安全基準のレベルが3番目に高く、ASIL-Aが最も安全基準のレベルが低い。車両システム1は、それぞれの制御系統Dにおいて、ASILが定められた機能を実現する各機器Eを制御するものであり、以下、車両システム1について詳細に説明する。
【0012】
車両システム1は、通信制御部としてのTCU(Telematics control unit)10と、信号振分部としてのセントラルゲートウェイ20と、複数の機器Eと、制御部として、ASIL-A用ECU31、ASIL-B用ECU32、ASIL-C用ECU33、ASIL-D用ECU34、ASIL-A+α用ECU35、複数レベル用ECU36とを備える。
【0013】
TCU10は、車両Vの外部に設けられた外部装置と通信可能な無線通信機器である。TCU10は、アンテナを介して車両Vと当該車両Vの外部装置とを無線により接続し、車両Vと当該車両Vの外部装置との間で信号の送受信を行う。TCU10は、例えば、広域無線、狭域無線等、種々の方式の無線通信により外部装置と無線通信する。TCU10は、セントラルゲートウェイ20に接続され、外部装置から受信した信号をセントラルゲートウェイ20に出力する。また、TCU10は、セントラルゲートウェイ20から出力された信号を外部装置に送信する。
【0014】
セントラルゲートウェイ20は、信号をプロトコル変換して変換後の信号を転送するものである。セントラルゲートウェイ20は、図2に示すように、プロトコル変換部21と、転送部22とを備える。
【0015】
プロトコル変換部21は、通信のプロトコルを変換するものであり、TCU10及び転送部22に接続されている。プロトコル変換部21は、例えば、Ethernet(登録商標)のプロトコルをCAN(Controller Area Network)のプロトコルに変換し、また、CANのプロトコルをEthernet(登録商標)のプロトコルに変換する。プロトコル変換部21は、例えば、TCU10から出力されたEthernet(登録商標)信号をCAN信号に変換し、変換後のCAN信号を転送部22に出力する。また、プロトコル変換部21は、転送部22から出力されたCAN信号をEthernet(登録商標)信号に変換し、変換後のEthernet(登録商標)信号をTCU10に出力する。なお、プロトコル変換部21は、Ethernet(登録商標)のプロトコルをCAN-FD(CAN with Flexible Data Rate)のプロトコルに変換してもよい。
【0016】
転送部22は、信号を転送するものであり、プロトコル変換部21及び各制御系統DのECU(例えば、ASIL-B用ECU32等)に接続されている。転送部22は、プロトコル変換部21から出力されたCAN信号を各制御系統DのECU(例えば、ASIL-B用ECU32等)に転送する(振り分ける)。また、転送部22は、各制御系統DのECU(例えば、ASIL-B用ECU32等)から出力されたCAN信号をプロトコル変換部21に出力する。また、転送部22は、各ECU31~36の間で信号を転送し、転送部22を介して各ECU31~36の間で通信可能である。なお、各ECU31~36は、転送部22を介さずに直接接続され、各ECU31~36の間で直接、通信可能でもあり、これにより冗長性を確保できる。
【0017】
複数の機器Eは、車両Vを制御する各種処理を実行するものであり、各制御系統D1~D5に設けられている。複数の機器Eは、安全基準のレベル(ASIL-A~ASIL-D)が設定された機能を実現する機器Eと、安全基準のレベル(ASIL-A~ASIL-D)が設定されていない機能を実現する機器Eとを含む。
【0018】
ASIL-A用ECU31は、機器Eに対して安全基準に関する処理を含み、適切な制御を実行するもので、個々のECUを統合した統合ECUである。ASIL-A用ECU31は、CPU、記憶部を構成するROM、RAM及びインターフェースを含む周知のマイクロコンピュータを主体とする電子回路を含んで構成される。ASIL-A用ECU31は、ASILの中で最も安全基準のレベルが低いASIL-Aが定められた機能を実現する機器Eに対して安全基準に関する処理を実行する。ASIL-A用ECU31は、割り当てられたレベルの安全基準(ASIL-A)が設定された機能を実現する機器Eが電線を介して接続され、且つ、異なるレベルの安全基準(ASIL-B、ASIL-C、ASIL-D)が設定された機能を実現する機器Eが接続されない。ASIL-Aが設定された機能には、例えば、図3に示すように、ナビゲーション機能、バックライトを点灯する機能等が含まれる。ASIL-A用ECU31は、例えば、これらのナビゲーション機能、バックライトを点灯する機能を実現する機器Eが接続され、且つ、ナビゲーション機能、バックライトを点灯する機能とは異なるレベルの安全基準が設定された機能を実現する機器Eが接続されない。ASIL-A用ECU31は、接続された機器Eに対して割り当てられた安全基準のレベル(ASIL-A)に応じた安全基準に関する処理を実行する。ASIL-A用ECU31は、例えば、図4に示すように、ASIL-Aに応じた安全基準に関する処理として、入出力データのチェックを含むエラー検出B2を実行する。ASIL-A用ECU31は、通常の処理(例えば、ナビゲーション処理、バックライト点灯処理)を実行するソフトウェアB1に対して、エラー検出B2を実行して入出力データをチェックする。ASIL-A用ECU31は、入出力データが異常である場合、その旨を外部ECU(図示省略)等に出力してもよい。
【0019】
ASIL-B用ECU32は、機器Eに対して安全基準に関する処理を含み、適切な制御を実行するもので、個々のECUを統合した統合ECUである。ASIL-B用ECU32は、CPU、記憶部を構成するROM、RAM及びインターフェースを含む周知のマイクロコンピュータを主体とする電子回路を含んで構成される。一般的には、ASIL-A用ECU32は、ASIL-A用ECU31よりも高性能(CPUのクロック数が高い)である。ASIL-B用ECU32は、ASILの中で3番目に安全基準のレベルが高いASIL-Bが定められた機能を実現する機器Eに対して安全基準に関する処理を実行する。ASIL-B用ECU32は、割り当てられたレベルの安全基準(ASIL-B)が設定された機能を実現する機器Eが電線を介して接続され、且つ、異なるレベルの安全基準(ASIL-A、ASIL-C、ASIL-D)が設定された機能を実現する機器Eが接続されない。ASIL-Bが設定された機能には、例えば、図3に示すように、リアビューカメラ機能、後退運転を支援する機能等が含まれる。ASIL-B用ECU32は、例えば、これらのリアビューカメラ機能、後退運転を支援する機能を実現する機器Eが接続され、且つ、リアビューカメラ機能、後退運転を支援する機能とは異なるレベルの安全基準が設定された機能を実現する機器Eが接続されない。ASIL-B用ECU32は、接続された機器Eに対して割り当てられた安全基準のレベル(ASIL-B)に応じた安全基準に関する処理を実行する。ASIL-B用ECU32は、例えば、図5に示すように、ASIL-Bに応じた安全基準に関する処理として、入出力データのチェック及びデータ妥当性チェックを含むエラー検出B2を実行する。ASIL-B用ECU32は、通常の処理(例えば、リアビューカメラ機能、後退運転を支援する機能)を実行するソフトウェアB1に対して、エラー検出B2を実行して入出力データをチェックし且つデータの妥当性をチェックする。ASIL-B用ECU32は、入出力データが異常である場合、又は、データが妥当でない場合、その旨を外部ECU等に出力してもよい。
【0020】
ASIL-C用ECU33は、機器Eに対して安全基準に関する処理を含み、適切な制御を実行するもので、個々のECUを統合した統合ECUである。ASIL-C用ECU33は、CPU、記憶部を構成するROM、RAM及びインターフェースを含む周知のマイクロコンピュータを主体とする電子回路を含んで構成される。一般的には、ASIL-C用ECU33は、ASIL-B用ECU32よりも高性能(CPUのクロック数が高い)である。ASIL-C用ECU33は、ASILの中で2番目に安全基準のレベルが高いASIL-Cが定められた機能を実現する機器Eに対して安全基準に関する処理を実行する。ASIL-C用ECU33は、割り当てられたレベルの安全基準(ASIL-C)が設定された機能を実現する機器Eが電線を介して接続され、且つ、異なるレベルの安全基準(ASIL-A、ASIL-B、ASIL-D)が設定された機能を実現する機器Eが接続されない。ASIL-Cが設定された機能には、例えば、図3に示すように、車車間通信機能、路車間通信機能等が含まれる。ASIL-C用ECU33は、例えば、これらの車車間通信機能、路車間通信機能を実現する機器Eが接続され、且つ、車車間通信機能、路車間通信機能とは異なるレベルの安全基準が設定された機能を実現する機器Eが接続されない。ASIL-C用ECU33は、接続された機器Eに対して割り当てられた安全基準のレベル(ASIL-C)に応じた安全基準に関する処理を実行する。ASIL-C用ECU33は、例えば、図6に示すように、ASIL-Cに応じた安全基準に関する処理として、入出力データのチェック、データ妥当性チェック、及び外部モニタリングを含むエラー検出B2を実行し、さらに、エラー表示、縮退機能を含むエラー処理B3を実行する。ASIL-C用ECU33は、通常の処理(例えば、車車間通信機能、路車間通信機能)を実行するソフトウェアB1に対して、エラー検出B2を実行して入出力データのチェック、データ妥当性チェック、及び外部モニタリングをチェックしてエラーを検出した場合、エラー処理B3を実行してエラー表示や縮退運転を実行する。
【0021】
ASIL-D用ECU34は、機器Eに対して安全基準に関する処理を含み、適切な制御を実行するもので、個々のECUを統合した統合ECUである。ASIL-D用ECU34は、CPU、記憶部を構成するROM、RAM及びインターフェースを含む周知のマイクロコンピュータを主体とする電子回路を含んで構成される。一般的には、ASIL-D用ECU34は、ASIL-C用ECU33よりも高性能(CPUのクロック数が高い)である。ASIL-D用ECU34は、ASILの中で最も安全基準のレベルが高いASIL-Dが定められた機能を実現する機器Eに対して安全基準に関する処理を実行する。ASIL-D用ECU34は、割り当てられたレベルの安全基準(ASIL-D)が設定された機能を実現する機器Eが電線を介して接続され、且つ、異なるレベルの安全基準(ASIL-A、ASIL-B、ASIL-C)が設定された機能を実現する機器Eが接続されない。ASIL-Dが設定された機能には、例えば、図3に示すように、アンチロックブレーキ機能、電動パワーステアリング機能等が含まれる。ASIL-D用ECU34は、例えば、これらのアンチロックブレーキ機能、電動パワーステアリング機能を実現する機器Eが接続され、且つ、アンチロックブレーキ機能、電動パワーステアリング機能とは異なるレベルの安全基準が設定された機能を実現する機器Eが接続されない。ASIL-D用ECU34は、接続された機器Eに対して割り当てられた安全基準のレベル(ASIL-D)に応じた安全基準に関する処理を実行する。ASIL-D用ECU34は、例えば、図7に示すように、ASIL-Dに応じた安全基準に関する処理として、入出力データのチェック、データ妥当性チェック、外部モニタリング、制御フロー監視、ソフトウェア冗長を含むエラー検出B2を実行し、さらに、エラー表示、縮退機能、並列の冗長処理を含むエラー処理B3を実行する。ASIL-D用ECU34は、通常の処理(例えば、アンチロックブレーキ機能、電動パワーステアリング機能)を実行するソフトウェアB1に対して、エラー検出B2を実行して入出力データのチェック、データ妥当性チェック、外部モニタリング、制御フロー監視、ソフトウェア冗長をチェックしてエラーを検出した場合、エラー処理B3を実行してエラー表示、縮退運転、並列の冗長処理を実行する。
【0022】
ASIL-A+α用ECU35は、機器Eに対して安全基準に関する処理を含み、適切な制御を実行するもので、個々のECUを統合した統合ECUである。ASIL-A+α用ECU35は、CPU、記憶部を構成するROM、RAM及びインターフェースを含む周知のマイクロコンピュータを主体とする電子回路を含んで構成される。ASIL-A+α用ECU35は、ASILの中で最も安全基準のレベルが低いASIL-Aが定められた機能を実現する機器Eに対して安全基準に関する処理を実行し、また、ASILが定められていない機能を実現する機器Eに対しても処理を実行するものである。ASIL-A+α用ECU35は、割り当てられたレベルの安全基準(ASIL-A)が設定された機能を実現する機器Eや、ASIL-Aが定められていない機能を実現する機器Eが電線を介して接続される。ASIL-A+α用ECU35は、接続されたASIL-Aの機器Eに対して割り当てられた安全基準のレベル(ASIL-A)に応じた安全基準に関する処理を実行し、ASILが定められていない機能を実現する機器Eに対して安全基準に関する処理を実行しない。ASIL-A+α用ECU35は、例えば、図4に示すように、ASIL-Aに応じた安全基準に関する処理として、入出力データのチェックを含むエラー検出B2を実行する。ASIL-A+α用ECU35は、通常の処理(例えば、ナビゲーション処理、バックライト点灯処理)を実行するソフトウェアB1に対して、エラー検出B2を実行して入出力データをチェックする。ASIL-A+α用ECU35は、入出力データが異常である場合、その旨を外部ECU(図示省略)等に出力してもよい。
【0023】
複数レベル用ECU36は、機器Eに対して安全基準に関する処理を含み、適切な制御を実行するもので、CPU、記憶部を構成するROM、RAM及びインターフェースを含む周知のマイクロコンピュータを主体とする電子回路を含んで構成される。複数レベル用ECU36は、異なるレベルの安全基準が定められた機能を実現する機器Eに対して安全基準に関する処理を実行する。複数レベル用ECU36は、異なるレベルの安全基準(ASIL-A、ASIL-B、ASIL-C、ASIL-D)が設定された機能を実現する機器Eがそれぞれ電線を介して接続される。複数レベル用ECU36は、例えば、異なる2つのレベルの安全基準(例えば、ASIL-A、ASIL-B)や、異なる3つのレベルの安全基準(例えば、ASIL-A、ASIL-B、ASIL-C)、異なる4つのレベルの安全基準(例えば、ASIL-A、ASIL-B、ASIL-C、ASIL-D)が設定された機能を実現する機器Eがそれぞれ電線を介して接続される。複数レベル用ECU36は、異なるレベルに応じた安全基準(ASIL-A、ASIL-B、ASIL-C、ASIL-D)に関する処理を実行する。
【0024】
次に、各制御系統D1~D5に含まれる複数のECU31~34について説明する。車両Vの各制御系統D1~D5は、各制御系統D1~D5に含まれる機器Eが実現する機能の安全基準(ASIL)のレベルに応じて、ASIL-A用ECU31、ASIL-B用ECU32、ASIL-C用ECU33、及びASIL-D用ECU34の少なくとも1つを含む。例えば、パワトレ系を表す制御系統D1は、図1に示すように、制御系統D1に含まれる機器Eが実現する機能の安全基準のレベル(ASIL-C、ASIL-D)に応じて、ASIL-C用ECU33及びASIL-D用ECU34を含む。ADAS/自動運転系を表す制御系統D2は、制御系統D2に含まれる機器Eが実現する機能の安全基準のレベル(ASIL-C、ASIL-D)に応じて、ASIL-C用ECU33及びASIL-D用ECU34を含む。シャーシ系を表す制御系統D3は、制御系統D3に含まれる機器Eが実現する機能の安全基準のレベル(ASIL-C、ASIL-D)に応じて、ASIL-C用ECU33及びASIL-D用ECU34を含む。HMI/MMを表す制御系統D4は、制御系統D4に含まれる機器Eが実現する機能の安全基準のレベル(ASIL-A、ASIL-B)に応じて、ASIL-A用ECU31及びASIL-B用ECU32を含む。ボディ系を表す制御系統D5は、制御系統D5に含まれる機器Eが実現する機能の安全基準のレベル(ASIL-A、ASIL-B)に応じて、ASIL-A用ECU31及びASIL-B用ECU32を含む。そして、各ECU31~34は、各制御系統D1~D5において、割り当てられたレベルの安全基準が設定された機能を実現する機器Eが接続され、且つ、異なるレベルの安全基準が設定された機能を実現する機器Eが接続されず、接続された機器Eに対して割り当てられたレベルに応じた安全基準に関する処理(エラー検出B2、エラー処理B3)を実行する。なお、図1に示す車両システム1の構成は、図3に示す車両システム1の構成の一部を示している。
【0025】
次に、それぞれの安全基準に関する処理の構成について説明する。レベルが相対的に高い安全基準に関する処理は、レベルが相対的に低い安全基準に関する処理を少なくとも一部を含む。例えば、レベルが最も高い安全基準(ASIL-D)に関する処理(エラー検出B2、エラー処理B3)は、図4~図7に示すように、レベルが相対的に低い安全基準(ASIL-A、ASIL-B、ASIL-C)に関する処理(エラー検出B2、エラー処理B3)を全て含む。
【0026】
次に、車両システム1の動作例について説明する。図8は、車両システム1の動作例を示すフローチャートである。車両システム1において、各ECU31~36は、機器Eから出力された信号を入力する(ステップS1)。次に、各ECU31~36は、機器Eから入力した信号に安全基準(ASIL)を示すデータが設定されているか否かを判定する(ステップS2)。各ECU31~36は、機器Eから入力した信号に安全基準(ASIL)を示すデータが設定されている場合(ステップS2;Yes)、エラー検出B2を実行する(ステップS3)。各ECU31~36は、例えば、通常の処理を実行するソフトウェアB1に対して、エラー検出B2を実行して入出力データのチェック等を実行する。次に、各ECU31~36は、エラーを検出したか否かを判定する(ステップS4)。ASIL-A用ECU31及びASIL-B用ECU32は、エラーを検出した場合(ステップS4;Yes)、安全基準のレベルがASIL-C又はASIL-Dではないので(ステップS5;No)、処理を終了する。一方で、ASIL-C用ECU33及びASIL-D用ECU34は、エラーを検出した場合(ステップS4;Yes)、安全基準のレベルがASIL-C又はASIL-Dであるので(ステップS5;Yes)、エラー処理B3を実行する。例えば、ASIL-C用ECU33は、エラー処理B3としてエラー表示や縮退運転を実行する(ステップS6)。なお、上述のステップS2で、各ECU31~36は、機器Eから入力した信号に安全基準(ASIL)を示すデータが設定されていない場合(ステップS2;No)、処理を終了する。上述のステップS4で、各ECU31~36は、エラーを検出しない場合(ステップS4;No)。処理を終了する。
【0027】
以上のように、実施形態に係る車両システム1は、複数の機器Eと、制御部とを備える。複数の機器Eは、車両Vに搭載され、それぞれに予め定められたレベルの安全基準が設定された機能を実現するものである。制御部は、機器Eに対して安全基準に関する処理を実行可能なものであり、安全基準のレベル毎に割り当てられた複数のECU31~34を含む。複数のECU31~34は、実現する機能に対して、割り当てられたレベルの安全基準が設定された機器Eが接続され、且つ、異なるレベルの安全基準が設定された機器Eが接続されず、接続された機器Eに対して割り当てられたレベルに応じた安全基準に関する処理を実行する。
【0028】
この構成により、車両システム1は、複数のECU31~34が割り当てられたレベルに応じた安全基準に関する処理を実行するので、複数のレベルの安全基準に関する処理を実行する必要がなく、これにより従来のようにレベルが高い安全基準の処理に複数のECU31~34の性能を合わせる必要がなく、複数のECU31~34に過剰な性能を備えることを回避できる。これにより、車両システム1は、システム構築に要する工数を削減することができ、製造コストを抑制することができる。この結果、車両システム1は、安全性を確保するシステムを適正に構築することができる。
【0029】
車両システム1において、機器E及び複数のECU31~34は、ドメインに応じて複数の制御系統Dに区分けされている。各制御系統Dは、少なくとも1つのECU31~34を含む。この構成により、車両システム1は、各制御系統D1~D5において、それぞれの制御系統D1~D5ごとに複数のECUを統合し、かつ安全基準のレベルごとに対応した統合ECUを設けることができるので、安全性を確保するシステムを適正に構築することができる。
【0030】
車両システム1は、TCU10と、セントラルゲートウェイ20とをさらに備える。TCU10は、車両Vの外部に設けられた外部装置と通信可能なものである。セントラルゲートウェイ20は、TCU10で受信した信号を複数のECU31~34に振り分け、且つ、複数のECU31~34から出力された信号をTCU10に出力する。この構成により、車両システム1は、安全基準とは独立してTCU10を設けることができる。
【0031】
車両システム1は、レベルが相対的に高い安全基準に関する処理は、レベルが相対的に低い安全基準に関する処理を少なくとも一部含む。この構成により、車両システム1は、安全基準に関する処理を一部、共通化することができ、工数を削減できる。また、車両システム1は、安全基準に関する処理を一部、共通化しても、個別の安全基準のレベルに応じた安全基準に関する処理を実行し、異なる安全基準のレベルに応じた安全基準に関する処理を実行ないので、安全基準が低い処理に生じた不具合が、安全基準が高い処理にも影響を及ぼすことを回避できる。この結果、車両システム1は、安全性を確保するシステムを適正に構築することができる。
【0032】
車両システム1は、実現する機能に対して、異なるレベルの安全基準が設定された機器Eが接続され、接続された機器Eに対して異なるレベルに応じた安全基準に関する処理を実行する複数レベル用制御部36を含む。この構成により、車両システム1は、様々なシステムの態様に適応することができる。
〔変形例〕
〔変形例〕
【0033】
次に、実施形態の変形例について説明する。なお、変形例では、実施形態と同等の構成要素には同じ符号を付し、その詳細な説明を省略する。図9は、変形例に係る車両システム1の構成例を示すブロック図である。変形例に係る車両システム1は、セントラルゲートウェイ20の変わりにスイッチングハブ20Aを備える点で実施形態に係る車両システム1とは異なる。
【0034】
スイッチングハブ20Aは、信号を転送するものであり、スイッチ21Aを備える。スイッチ21Aは、TCU10及び各制御系統DのECU(例えば、ASIL-A+α用ECU35等)に接続されている。スイッチ21Aは、TCU10から出力されたEthernet(登録商標)信号を各制御系統DのECU(例えば、ASIL-B用ECU32等)に転送する(振り分ける)。また、スイッチ21Aは、各制御系統DのECU(例えば、ASIL-B用ECU32等)から出力されたEthernet(登録商標)信号をTCU10に出力する。また、スイッチ21Aは、各ECU31~36の間で信号を転送し、スイッチ21Aを介して各ECU31~36の間で通信可能である。このように、変形例に係る車両システム1は、セントラルゲートウェイ20の変わりにスイッチングハブ20Aを備えるものである。
【0035】
なお、上記説明では、複数の制御系統Dは、制御系統D1~D5の5つに区分けされる例について説明したが、これに限定されず、その他の個数に区分けされてもよい。
【0036】
安全基準は、ISO26262規格で定義されたASILについて説明したが、これに限定されず、その他の基準であってもよい。
【0037】
各ECU31~36は、図2に示すように、ECU毎に設けられてもよいし、基板毎(例えば、ASIL-A用基板31A、ASIL-B用基板32A)に設けられてもよいし、マイコン毎(ASIL-A用マイコン31B、ASIL-B用マイコン32B)に設けられてもよい。
【0038】
機器E及び複数のECU31~34は、ドメインに応じて複数の制御系統Dに区分けされ、各制御系統Dは、少なくとも1つのECU31~34を含む例について説明したが、これに限定されず、例えば、機器E及び複数のECU31~34は、車両Vにおける一定の範囲を示すエリアに応じて複数の制御系統Dに区分けされ、各制御系統Dは、少なくとも1つのECU31~34を含むように構成してもよい。
【0039】
車両システム1は、TCU10と、セントラルゲートウェイ20とをさらに備える例について説明したが、これに限定されず、TCU10とセントラルゲートウェイ20とを備えなくてもよい。
【0040】
レベルが相対的に高い安全基準に関する処理は、レベルが相対的に低い安全基準に関する処理を少なくとも一部含む例について説明したが、これに限定されず、その他の方法で安全基準に関する処理を構成してもよい。
【0041】
車両システム1は、複数レベル用制御部36を含む例について説明したが、これに限定されず、複数レベル用制御部36を含まなくてもよい。
【符号の説明】
【0042】
1 車両システム
10 TCU(通信制御部)
20 セントラルゲートウェイ(信号振分部)
31 ASIL-A用ECU(制御部、単一レベル用制御部)
32 ASIL-B用ECU(制御部、単一レベル用制御部)
33 ASIL-C用ECU(制御部、単一レベル用制御部)
34 ASIL-D用ECU(制御部、単一レベル用制御部)
36 複数レベル用制御部
D、D1~D5 制御系統
E 複数の機器
V 車両
10 TCU(通信制御部)
20 セントラルゲートウェイ(信号振分部)
31 ASIL-A用ECU(制御部、単一レベル用制御部)
32 ASIL-B用ECU(制御部、単一レベル用制御部)
33 ASIL-C用ECU(制御部、単一レベル用制御部)
34 ASIL-D用ECU(制御部、単一レベル用制御部)
36 複数レベル用制御部
D、D1~D5 制御系統
E 複数の機器
V 車両
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】