知財求人 - 知財ポータルサイト「IP Force」
▶ バイエリシエ・モトーレンウエルケ・アクチエンゲゼルシヤフトの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2023-10-10
(54)【発明の名称】実際に受信するタイムスタンプの正確さの判断
(51)【国際特許分類】
H04L 7/00 20060101AFI20231002BHJP
【FI】
H04L7/00 990
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2023512723
(86)(22)【出願日】2021-08-26
(85)【翻訳文提出日】2023-02-21
(86)【国際出願番号】 EP2021073566
(87)【国際公開番号】W WO2022063514
(87)【国際公開日】2022-03-31
(31)【優先権主張番号】20197698.2
(32)【優先日】2020-09-23
(33)【優先権主張国・地域又は機関】EP
(81)【指定国・地域】
(71)【出願人】
【識別番号】398037767
【氏名又は名称】バイエリシエ・モトーレンウエルケ・アクチエンゲゼルシヤフト
(74)【代理人】
【識別番号】100069556
【弁理士】
【氏名又は名称】江崎 光史
(74)【代理人】
【識別番号】100111486
【弁理士】
【氏名又は名称】鍛冶澤 實
(74)【代理人】
【識別番号】100191835
【弁理士】
【氏名又は名称】中村 真介
(74)【代理人】
【識別番号】100221981
【弁理士】
【氏名又は名称】石田 大成
(74)【代理人】
【識別番号】100208258
【弁理士】
【氏名又は名称】鈴木 友子
(72)【発明者】
【氏名】ビルラ・マンジート・シン
(72)【発明者】
【氏名】アブデルハミード・モハメド-サード
(72)【発明者】
【氏名】ブドヴァイザー・カール
【テーマコード(参考)】
5K047
【Fターム(参考)】
5K047AA18
5K047KK12
(57)【要約】
【課題】バリデーターを使って、通信ネットワークの第1ECUによって提供される実際受信タイムスタンプの正確さを判断する方法を提供する。
【解決手段】バリデーターを使って、通信ネットワークの第1ECUによって提供される実際受信タイムスタンプの正確さを判断する方法を提供する。通信ネットワークは、マスタークロックと、第1スレーブクロックを持つ第1ECU、第2スレーブクロックを持つバリデーター、及び第1ECU、バリデーター及びマスタークロックを相互に接続する第1通信バスを備える。第1ECUは、判断スキームを持つ第1通信規格を使う。バリデーターを使って通信ネットワークの第1ECUによって提供される実際受信タイムスタンプの正確さを決定する方法は、第1ECUで、第1スレーブクロックのタイムをマスタークロックのグローバルタイムに同期させ、バリデーターで、第2スレーブクロックのタイムをマスタークロックのグローバルタイムに同期させ、バリデーターで、第1ECUが使う通信規格の決定論的スキームに基づいて、第1ECUから実際の通信サイクルで受信されるタイムスタンプを予測し、バリデーターで、予測されたタイムスタンプと第1ECUから実際受信タイムスタンプを比較する。
【解決手段】バリデーターを使って、通信ネットワークの第1ECUによって提供される実際受信タイムスタンプの正確さを判断する方法を提供する。通信ネットワークは、マスタークロックと、第1スレーブクロックを持つ第1ECU、第2スレーブクロックを持つバリデーター、及び第1ECU、バリデーター及びマスタークロックを相互に接続する第1通信バスを備える。第1ECUは、判断スキームを持つ第1通信規格を使う。バリデーターを使って通信ネットワークの第1ECUによって提供される実際受信タイムスタンプの正確さを決定する方法は、第1ECUで、第1スレーブクロックのタイムをマスタークロックのグローバルタイムに同期させ、バリデーターで、第2スレーブクロックのタイムをマスタークロックのグローバルタイムに同期させ、バリデーターで、第1ECUが使う通信規格の決定論的スキームに基づいて、第1ECUから実際の通信サイクルで受信されるタイムスタンプを予測し、バリデーターで、予測されたタイムスタンプと第1ECUから実際受信タイムスタンプを比較する。
【特許請求の範囲】
【請求項1】
バリデーター(62)を使って通信ネットワーク(1)の第1ECU(2)によって提供される実際受信タイムスタンプの正確さを判断する方法において、- 前記通信ネットワーク(1)は、
- マスタークロック(8)と、第1スレーブクロック(21)を持つ第1ECU(2)と、第2スレーブクロック(61)を持つバリデーター(62)とを備えて、第1ECU(2)とバリデーター(62)とマスタークロック(8)とを相互に接続する第1通信バス(9)を備え、
-第1ECU(2)は、判断スキームを持つ第1通信規格を使用して、
- 通信ネットワーク(1)の第1ECU(2)によって提供される、バリデーター(62)での実際受信タイムスタンプの正確さを判断する方法が、
- 前記第1ECU(2)で、第1スレーブクロック(21)の時刻をマスタークロック(8)のグローバル時刻(GT)に同期させること(S1)と、
- バリデーター(62)で、第2スレーブクロック(61)の時刻をマスタークロック(8)のグローバル時刻(GT)に同期させること(S1)と、
- バリデーター(62)で、第1ECU(2)が用いる通信規格の判断スキームに基づいて第1ECU(2)から実際の通信サイクルで受信されるタイムスタンプを予測すること(S2)と、
- バリデーター(62)で、予測タイムスタンプと第1ECU(2)からの実際受信タイムスタンプを比較すること(S3)と
を備える、バリデーター(62)を使って通信ネットワーク(1)の第1ECU(2)によって提供される実際受信タイムスタンプの正確さを判断する方法。
【請求項2】
バリデーター(62)で、予測タイムスタンプを、通信ネットワーク(1)の第1ECU(2)によって提供される実際受信タイムスタンプと比較することが、- バリデーター(62)で、予測タイムスタンプと実際受信タイムスタンプとの差を判断することと、
- 差を事前定義されたしきい値と比較することと、
- 前記差が事前定義されたしきい値よりも小さい場合、好ましくは前記差が特定範囲内にある場合、実際受信タイムスタンプの正確さを判断することと備える、請求項1に記載の方法。
【請求項3】
バリデーター(62)での予測タイムスタンプのグローバルタイム(GT)と実際受信タイムスタンプのグローバルタイム(GT)との差は、データ取得タスクと第1ECU(2)のデータ送信タスクとの間の固定遅延(δ)を考慮して判断され、ここでバリデーター(62)での実際受信タイムスタンプは、前記データ取得タスク中に第1ECU(2)によって提供される、請求項2に記載の方法。
【請求項4】
予測タイムスタンプと実際受信タイムスタンプの前記差は、次の式GT2-GT1-Δ+δ
を使って判断され、ここで
- GT2は、第1ECU(2)が実際受信タイムスタンプを提供するグローバル時刻(2)であり、
- GT1は、第1ECU(2)の実際の通信サイクルの開始時でのグローバル基準時刻(2)であり、
- Δは、前記第1ECU(2)が使う前記第1通信規格の判断スキームの予め定義したスロット数(n)に前記スロット(lslot)の固定期間を乗じることで受信される結果であり、
- δは、前記データ取得タスクと前記第1ECU(2)のデータ送信タスクとの間の固定遅延であり、ここで前記実際受信タイムスタンプは、前記第1ECU(2)による前記データ取得タスク中に提供される、請求項3に記載の方法。
【請求項5】
予測タイムスタンプと実際受信タイムスタンプの差は、次の式GT_Current-(GT2+δ)
を使って判断され、ここで
- GT2は、第1ECU(2)が実際受信タイムスタンプを提供するグローバル時刻であり、
- δは、前記データ取得タスクと前記第1ECU(2)のデータ送信タスクとの間の固定遅延であり、前記実際受信タイムスタンプは、前記第1ECU(2)による前記データ取得タスク中に提供され、
- GT_Currentは、バリデーター(62)で実際受信タイムスタンプを受信するグローバル時刻である、請求項3又は4に記載の方法。
【請求項6】
実際受信タイムスタンプのグローバル時刻は、次の式GT2=GT1+lt2-lt1
を使って第1ECU(2)で判断され、ここで
- GT2は、実際受信タイムスタンプを第1ECU(2)が提供するグローバル時刻であり、
- GT1は、第1ECU(2)の実際の通信サイクルの開始時のグローバル基準時刻であり、
- ltlは、実際の通信サイクルの開始時の第1スレーブクロック(21)のローカル時刻であり、
- lt2は、実際受信タイムスタンプを第1ECU(2)が提供した時点での第1スレーブクロック(21)のローカル時刻である、請求項3から5のいずれか一項に記載の方法。
【請求項7】
前記通信ネットワーク(1)が、さらに、- 第3スレーブクロック(41,51)を持つ第2ECU(4,5)と、バリデーター(62)を備えるゲートウェイECU(6)と、前記第2ECU(4,5)を前記ゲートウェイECU(6)及び前記第1通信バス(9)を介して前記第1ECU(2)に接続する第2通信バス(10)とを備え、ここで
- 前記第2ECU(4,5)は、前記第1ECU(2)が使う前記第1通信規格よりも高い安全度水準を持つ第2通信規格を使い、
- バリデーター(62)によるマスタークロック(8)の完全性は、第1通信規格よりも高い安全度水準を持つ第2通信規格の安全要件を満たすのに十分であり、
- バリデーター(62)が、第2通信規格の安全要件に従って、第1ECU(2)によって提供される実際受信タイムスタンプの正確性を判断する、
請求項1から6のいずれか一項に記載の方法。
【請求項8】
前記第1ECU(2)で、前記第1スレーブクロック(21)の時刻を前記マスタークロック(8)のグローバル時刻(GT)に同期すること(S1)が、- 第1ECU(2)で、第1ECU(2)の第1スレーブクロック(21)の時刻が、受信した同期メッセージに基づいてマスタクロック(8)のグローバルタイム(GT)に同期するように、マスタクロック(8)から同期メッセージを受信することを備える、請求項7に記載の方法。
【請求項9】
通信ネットワーク(1)の第1ECU(2)によって提供される実際受信タイムスタンプの正確さを判断するように構成されたバリデーター(62)において、- 前記通信ネットワーク(1)が、
マスタークロック(8)と、第1スレーブクロック(21)を持つ第1ECU(2)と、第1ECU(2)と、バリデーター(62)及びマスタクロック(8)を相互に接続するように構成されている第1通信バス(9)とを備え、
- 前記第1ECU(2)は、判断スキームを持つ第1通信規格を使い、
- 前記第1スレーブクロック(21)の時刻が、前記マスタクロック(8)のグローバル時刻(GT)に同期され、
- バリデーター(62)は、第2スレーブクロック(61)を備え、
- 前記第2スレーブクロック(62)の時刻が、前記マスタクロック(8)のグローバル時刻(GT)に同期され、
- 前記バリデーター(62)が、
- 前記第1ECU(2)が用いる通信規格の判断スキームに基づいて、前記第1ECU(2)から実際の通信サイクルにおいて受信するタイムスタンプを予測するように、そして
- 予測タイムスタンプを第1ECU(2)からの実際受信タイムスタンプと比較するように構成されている、バリデーター(62)。
【請求項10】
請求項2から8のいずれか一項に記載の方法を実行するように構成されている、請求項9に記載のバリデーター(62)。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、バリデーターを使用して通信ネットワークの第1ECUによって提供される、実際に受信する(実際受信)タイムスタンプの正確さを判断する方法と、この方法を実施するように構成されたバリデーターに関する。
【背景技術】
【0002】
自動運転車や自動運転車の複雑化に伴い、自動運転機能や自動運転機能が安全要件、いわゆる自動車安全度水準(ASIL)を満たすのに必要な要件を確実に満たすために、異なる電子制御ユニット(ECU)によって複数の通信バスが使用される。
【0003】
自動車安全度水準は、ISO 26262、道路車両の機能安全によって定義されたリスク分類スキームである。ASIL分類は、安全要件が最も低いQM(クオリティマネジメント、品質管理)から、安全要件が最も高いASIL Dまで、5つの安全水準(レベル)で構成されている。
【0004】
例えば、自律運転車や自動運転車のイーサネット(登録商標)では、CAN-FD(コントローラエリアネットワークフレキシブルデータレート)とフレックスレイ(Flexray)(FlexRay、登録商標)を一緒に使用できる。
【0005】
イーサネットは、ローカルエリアネットワーク(LAN)、メトロポリタンエリアネットワーク(MAN)、及びワイドエリアネットワーク(WAN)で一般的に使用されるコンピューターネットワークテクノロジーのファミリである。1980年に商業的に導入され、1983年にIEEE(米国電気電子学会)802.3として第1通信が標準化された。フレックスレイは、車載コンピューティングを管理するためにフレックスレイコンソーシアムによって開発された車載ネットワーク通信プロトコルである。CAN(コントローラエリアネットワーク)やTTP(タイムトリガプロトコル)よりも高速で信頼性の高いように設計されている。フレックスレイ規格は、ISO 17458-1から17458-5までのISO規格のセットになっている。CAN FDは、電子計装の異なる部分と制御システムの間でセンサデータと制御情報を渡すために通常使用されるデータ通信プロトコルである。このプロトコルは、最新の高性能車両で使用されている。CAN FDは、ISO 11898-1で定義されていた元のCANバスプロトコルの拡張である。
【0006】
最先端の技術では、イーサネットバスの時刻同期は、TSN(時間、時刻に敏感なネットワーク)の場合はIEEE 802.1ASに従って行われ、PTP(高精度時刻プロトコル)に関してはIEEE 1588に従って行われる。しかしながら、PTPを介した時刻同期には、同期プロセスの整合性、したがって分散タイムベースの整合性を確保できるように、それぞれの規格に加えて実行可能ないくつかの対策がある。
【0007】
しかしながら、フレックスレイバスの内部ウォールクロックには安全完全性がなく、QMである。QM基準は、この場合、通常の品質管理システム(ISO/TS 16949)で要求される対策で十分であることを意味する。フレックスレイメッセージは、イーサネット及びCAN-FDからのそれぞれのメッセージで使う必要がある。イーサネット(とCAN FDとの少なくとも一方)のそれぞれのASIL B又はASIL DタイムスタンプでQMタイムスタンプ付きのフレックスレイメッセージを使うと、ASIL Dに準拠した高度自動運転車の「干渉からの自由」機能安全要件(ISO 26262)が満たされなくなる可能性がある。
【0008】
ISO 26262「干渉からの自由」により、重要度の低いASILレベル(ASIL Aなど)の(サブ)システムは、より重要度の高いASILレベル(ASIL Cなど)のシステムに影響を与えられないことを実証可能である。目標は、エラー率の高いシステム(ASIL Aなど)が、より低いエラー率が必要なシステム(ASIL Cなど)を駆動しないようにすることである。
【0009】
したがって、自動運転車や自動運転車の場合、これらの要件を満たすために、接続された複数の通信バスとそれぞれのECUを相互に同期させる必要があることが最も複雑で困難なタスクの1つである。
【発明の概要】
【発明が解決しようとする課題】
【0010】
この技術水準に照らして、本発明の課題は、高い安全水準、例えばASIL D要件を満たす安全水準を提供し、ISO 26262による「干渉からの自由」機能安全要件を満たす、複数の接続された通信バス及びそれらの各ECUの相互の同期を評価する方法を提供することである。
【課題を解決するための手段】
【0011】
この目的は、独立請求項の特徴によって解決される。従属請求項には、本発明の好ましいさらなる発展が含まれる。
【0012】
より具体的には、バリデーターを使って通信ネットワークの第1ECUによって提供される、実際に受信する(実際受信)タイムスタンプの正確さを判断する方法によって、この課題が解決される。
【0013】
通信ネットワークは、マスタークロックと、第1スレーブクロックを持つ第1ECU、第2スレーブクロックを持つバリデーター、及び第1ECU、バリデーター及びマスタークロックを相互に接続する第1通信バスとを備える。
【0014】
第1ECUは、判断スキームを持つ第1通信規格を使う。つまり、第1ECUとバリデーターの間の接続が、判断を行う通信スキームを持っているだけで十分である。さらに、第1規格が判断スキームを持つ時刻サイクルの静的区間を持つことが可能でありかつ十分である。
【0015】
バリデーターで実際受信するタイムスタンプの正確さを判断する方法であって、前記タイムスタンプは、前記通信ネットワークの前記第1ECUによって提供されている、この方法は、
前記第1ECUで、前記第1スレーブクロックの時刻を前記マスタークロックのグローバル時刻に同期させることと、
前記バリデーターで、第2スレーブクロックの時刻をマスタークロックのグローバル時刻に同期させることと、
前記バリデーターで、前記第1ECUが使う通信規格の判断スキームに基づいて、前記第1ECUから実際の通信サイクルで受信されるタイムスタンプを予測することと、
前記バリデーターで、予測されたタイムスタンプと第1ECUからの実際受信タイムスタンプを比較することと
を備える。
前記第1ECUで、前記第1スレーブクロックの時刻を前記マスタークロックのグローバル時刻に同期させることと、
前記バリデーターで、第2スレーブクロックの時刻をマスタークロックのグローバル時刻に同期させることと、
前記バリデーターで、前記第1ECUが使う通信規格の判断スキームに基づいて、前記第1ECUから実際の通信サイクルで受信されるタイムスタンプを予測することと、
前記バリデーターで、予測されたタイムスタンプと第1ECUからの実際受信タイムスタンプを比較することと
を備える。
【0016】
バリデーターで、予測タイムスタンプを、通信ネットワークの第1ECUによって提供される、実際受信タイムスタンプを比較することは、
バリデーターにおいて、予測タイムスタンプと実際受信タイムスタンプとの差を判断することと、
前述の差を所定のしきい値と比較することと、
前述の差が前述の事前定義されたしきい値よりも小さい場合、好ましくは前述の差が特定の範囲内にある場合、実際受信タイムスタンプの正確さを判断することと
を備える。
バリデーターにおいて、予測タイムスタンプと実際受信タイムスタンプとの差を判断することと、
前述の差を所定のしきい値と比較することと、
前述の差が前述の事前定義されたしきい値よりも小さい場合、好ましくは前述の差が特定の範囲内にある場合、実際受信タイムスタンプの正確さを判断することと
を備える。
【0017】
バリデーターでの予測タイムスタンプのグローバル時刻と実際受信タイムスタンプのグローバル時刻との差は、データ取得タスクと第1ECUのデータ送信タスクとの間の固定遅延を考慮して判断可能であり、ここではバリデーターでの実際受信タイムスタンプは、データ取得タスク中に第1ECUによって提供される。
【0018】
より具体的には、予測タイムスタンプと実際受信タイムスタンプの差は、次式を使用して判断できる。
GT2_GT1-Δ+δ
GT2_GT1-Δ+δ
【0019】
GT2は、第1ECUが実際受信タイムスタンプを提供するグローバル時刻である。GT1は、第1ECUの実際の通信サイクルの開始時のグローバル基準時刻である。Δは、第1ECUが使う第1通信規格の判断スキームの予め定義されたスロット数に、スロットの固定期間を乗じることによって受信される結果である。δは、第1ECUのデータ取得タスクとデータ送信タスクとの間の固定遅延である。実際受信タイムスタンプは、データ取得タスク中に第1ECUによって提供される。第1ECUとバリデーターを接続する通信バスの判断挙動により、Δとδの両方が判断に使われ、プリコンパイル時に判断できる。
【0020】
追加又は代替として、予測されたタイムスタンプと実際受信タイムスタンプの差は、次の式を使用して判断できる。
GT_Current-(GT2+δ)
GT_Current-(GT2+δ)
【0021】
GT2は、第1ECUが実際受信タイムスタンプを提供するグローバル時刻である。δは、第1ECUのデータ取得タスクとデータ送信タスクとの間の固定遅延である。実際受信タイムスタンプは、データ取得タスク中に第1ECUによって提供される。GT Currentは、バリデーターで実際受信タイムスタンプを受信するグローバル時刻である。
【0022】
一般論として、このアプローチは、検証が必要なタイムスタンプを運ぶPDUが受信される(すなわちGT_Current)時点で、現在グローバル時刻を照会する際のソフトウェア割り込み遅延(レイテンシー)εによる従来の手順と同じ精度水準を提供しているのではない。さらに、この解決手段では、通常、より多くのコンピューティングリソースが必要である。しかしながら、判断用の変数δ1つだけの指定が提供されるという事実から、(従来の手順、解決手段は)より単純である。
【0023】
実際受信タイムスタンプのグローバル時刻は、次の式を使い第1ECUで判断できる。
GT2=GT1+lt2-ltl
GT2=GT1+lt2-ltl
【0024】
GT2は、第1ECUが実際受信タイムスタンプを提供するグローバル時刻である。GT1は、第1ECUの実際の通信サイクルの開始時のグローバル基準時刻である。lt1は、実際の通信サイクルの開始時の第1ECUの第1スレーブクロックのローカル時刻である。lt2は、第1ECUが実際受信タイムスタンプを提供した時点での第1ECUの第1スレーブクロックのローカル時刻である。
【0025】
通信ネットワークは、第3のスレーブクロックを持つ第2ECUと、バリデーターを備えるゲートウェイECUと、ゲートウェイECUを介して第2ECUと第1通信バスとを第1ECUに接続する第2通信バスとをさらに備えてよい。
【0026】
第2ECUは、第1ECUによって使用される第1通信規格よりも高い安全度水準を持つ第2通信規格を使用してよく、もしくは他の手段によって検証してよい。
【0027】
マスタークロックの完全性は、第1通信規格よりも高い安全度水準を持つ第2通信規格の安全要件を満たすのに十分であり得る。
【0028】
第1ECUによって提供される実際受信タイムスタンプの正確さは、第2通信規格の安全要件に従ってバリデーターによって判断できる。
【0029】
第1ECUにおいて、第1スレーブクロックの時刻をマスタークロックのグローバル時刻に同期させることは、第1ECUにおいて、第1ECUの第1スレーブクロックの時刻が、受信した同期メッセージに基づいてマスタークロックのグローバル時刻に同期されるように、マスタークロックから同期メッセージを受信することを備えてよい。
【0030】
さらに、バリデーターを提供できる。バリデーターは、通信ネットワークの第1ECUによって提供される実際受信タイムスタンプの正確さを判断するように構成してよい。
【0031】
通信ネットワークは、マスタークロック、第1スレーブクロックを持つ第1ECU、第1ECUを備えてよく、そしてバリデーター及びマスタークロックを相互に接続するように構成されている第1通信バスを備えてよい。
【0032】
第1ECUは、判断スキームを持つ第1通信規格を使用してよい。第1スレーブクロックの時刻は、マスタークロックのグローバル時刻に同期可能である。バリデーターは、第2スレーブクロックを備えてよく、ここで、第2スレーブクロックの時刻は、マスタークロックのグローバル時刻に同期される。
【0033】
バリデーターは、第1ECUが使う通信規格の判断スキームに基づいて、第1ECUから実際の通信サイクルで受信されるタイムスタンプを予測し、予測されたタイムスタンプを第1ECUからの実際受信タイムスタンプと比較するように構成してよい。
【0034】
方法を参照して説明した上述の事項は、装置、すなわちバリデーターにも適用され、逆もまた同様である。
【0035】
さらに、バリデーターは、上述の方法のいずれかを実行するように構成してよい。
【0036】
手短に記載すると、第1ECUのタイムスタンプを比較して予測することにより、バリデーターは、第1ECUの時刻同期がバリデーターの安全完全性に従って可能な限り最高水準の安全完全性を達成可能なことを保証する。さらに、第2ECUと第2通信バスの安全度水準がバリデーターに継承されることが保証され、第1通信バスを持つ第1ECU、ゲートウェイECUを持つバリデーター、及び第2通信バスを持つ第2ECUの安全度水準が、同等か可能な限り最高の安全度水準を達成することが保証される。
【0037】
【図面の簡単な説明】
【0038】
【発明を実施するための形態】
【0039】
図1に示す通信ネットワーク1は、自律又は自動運転車両(例えば自動車)でデータを送信するネットワークである。
【0040】
ネットワーク1は、第1通信規格を用いる2つのECU2、3と、第2通信規格を用いる2つのECU4、5と、ゲートウェイECU6と、相互接続7と、マスタークロック8と、第1通信規格を用いる第1バスシステム(すなわち第1通信バス)9と、第2通信規格を用いる第2バスシステム(すなわち第2通信バス)10とを備える。
【0041】
より具体的には、ネットワーク1は、第1判断通信規格、例えば(本願詳細な)説明の導入部で定義したフレックスレイ(FlexRay、登録商標)規格を用いる第1ECU2及び第2ECU3と、第3ECU4及び第4ECU5と、第2通信規格、例えばイーサネット規格(又はCAN FD、以下ではイーサネット(登録商標)の第2通信規格の例として用いる)を用い、ここでは、(本願明細書の詳細な)説明の導入部分で定義したように、ゲートウェイECU6としてもよい。
【0042】
第1ECU2及び第2ECU3は、それぞれ第1バスシステム9によってマスタークロック8に接続されている。また、第1ECU2及び第2ECU3も、それぞれ第1バスシステム9を介してゲートウェイECU6に接続されている。第1バスシステム9は、第1通信規格を用いる。上記の例では、第1バスシステム9は、判断を行うフレックスレイバスシステムであろう。
【0043】
第3ECU4及び第4ECU5は、それぞれ第2バスシステム10を介して相互接続7に接続されていて、第2バスシステム10は、第2通信規格を使っている。上記の例では、第2バスシステム10はイーサネットバスシステムとなるであろう。また、第3ECU4及び第4ECU5も、それぞれ相互接続7を介してゲートウェイECU6に第2バスシステム10によって接続されている。
【0044】
相互接続7は、上記例ではイーサネット相互接続(例えばスイッチ)であり、パケット交換を使ってゲートウェイECU6との間でデータを送受信することにより、ネットワーク1の第3ECU4及び第4ECU5をそれぞれゲートウェイECU6に接続するように構成されている。
【0045】
マスタークロック8は、相互接続7を介して第1バスシステム9及び第2バスシステム10に接続されている。マスタークロック8は、スレーブクロック21、31、41、51をそれぞれ備えるECU2、3、4、5及び同じくスレーブクロック6を備えるゲートウェイECU6にグローバル時刻又はマスター時刻を提供するように構成されている。このように、マスタークロック8は、ネットワーク1の第1通信規格を使って機器2、3、6のスレーブクロック21、31、41、51、61を同期させるタイミング信号を提供するように構成されている。
【0046】
ゲートウェイECU6は、上記の例ではフレックスレイ-イーサネットゲートウェイECUであってよく、第1通信規格(ここではフレックスレイ規格)を使って第1ECU2及び第2ECU3との間の相互運用性を提供し、第3ECU4及び第4ECU5は第2通信規格(ここではイーサネット規格)を使って構成される。したがって、ゲートウェイECU6は、第1及び第2通信規格との間で単方向又は双方向のプロトコル変換を行うように構成されている。
【0047】
この事例では、第2通信規格は、第1通信規格よりも高い安全度水準を持つ。例えば、第3ECU4及び第4ECU5が使うイーサネット規格はASIL Dに認定できる一方、第1ECU2及び第2ECU3が使うフレックスレイ規格はただQM(クオリティマネジメント、品質管理)である。
【0048】
以上説明したように、ゲートウェイECU6を介して第1ECU2及び第2ECU3と第3ECU4及び第4ECU5は相互に通信可能である。ただし、安全度水準の異なる通信規格を使用しているため、ASIL Dに準拠した高度自動運転車の「干渉からの自由」機能安全要件(ISO 26262)に従ってこれを行うことはできない。
【0049】
(本願の詳細な)説明の導入部分で説明されているように、ISO 26262「干渉からの自由」基準により、重要度の低いASIL水準の(下位の)システム、ここでは第1ECU2及び第2ECU3を備えた第1バスシステム9は、より重要なASIL水準のシステムに影響を与えられないことを実証できる。ここで第2バスシステム10は第3ECU4及び第4ECU5と相互接続7とを持つ。目標は、エラー率の高いシステムが、より低いエラー率が必要なシステムを駆動しないようにすることである。
【0050】
したがって、通信ネットワーク1の第1ECU2及び第2ECU3によって提供される実際受信タイムスタンプの正確さを判断する方法が提供される。すなわち、第1ECU2及び第2ECU3によって提供されるタイムスタンプは、ゲートウェイECU6によって、より高い安全水準(ここではASIL D)に認定可能である。
【0051】
したがって、ゲートウェイECU6は、バリデーター62を備え、この場合は中央バリデーターであり、本方法を実施するように構成されている。
【0052】
以下では、その方法について、図2及び図3に関して詳細に説明する。図2は、本方法のステップを示すフローチャートを示す。図3は、第1通信規格と、実際受信タイムスタンプの正確さを判断する第1及び第2可能性を使って、ゲートウェイECU6上のバリデーター62を持つ第1ECU2の通信スキームを概略的に示す。
【0053】
以上説明したように、通信ネットワーク1は、マスタークロック8、スレーブクロック21、31、41、51をそれぞれ持つECU2、3、4、5と、スレーブクロック61、バリデーター62を持つバリダ6と、第1ECU2及び第2ECU3、バリデーター62及びマスタークロック8を相互に接続する第1通信バスシステム9とを備える。
【0054】
第1ECU2及び第2ECU3が用いる第1通信規格は、判断スキームを持つ。つまり、基になる通信プロトコルは、常に事前定義されかつ固定された時刻に同じ状態のシーケンスを通過する。これにより、第1又は第2通信規格を使って第1ECU2又は第2ECU3から送られたデータパケットがいつ受信側に到着するか、ここではゲートウェイECU6のバリデーター62に到着するかを予測可能である。
【0055】
フレックスレイ規格が使用されている場合、第1バスシステム9での通信はサイクルで実行される。これらの各サイクルは、静的区間と動的区間を含む異なる複数区間に分割される。
【0056】
静的区間において、第1通信規格を使う各ECU2、3は、その特定のスロット、すなわちタイムウィンドウを持っていて、そこでメッセージを送信可能である。(メッセージは)スロットの長さを超えてはならない。メッセージが長すぎる場合は、それぞれのECU又は動的区間に割り当てられた別のサイクルを使用してメッセージを続行する必要がある。
【0057】
これは、プロトコルの判断を行う部分、つまり第1通信規格の判断を行う部分であり、ステアリング、ブレーキなどの重要なメッセージが既知の時間内に送信されることを保証する。
【0058】
予測するのに、データパケットがバリデーター62に到着すると、本方法の第1ステップS1において、ECU2、3、4、5及びゲートウェイECU6のスレーブクロック21、31、41、51、61の時刻が、それぞれマスタークロック8のグローバル時刻に同期される。
【0059】
同期(のステップ)は、第1ECU2及び第2ECU3において、各スレーブクロック21、31の時刻をマスタークロック8のグローバル時刻に同期し、第1ECU2及び第2ECU3において、それぞれ、各スレーブクロック21のローカル時刻となるようにマスタークロック8から同期メッセージを受信することを備えてよく、第1ECU2及び第2ECU3の各スレーブクロック21、31が、受信した同期メッセージに基づいてマスタークロック8のグローバル時刻に同期される。
【0060】
第2ステップS2において、バリデーター62は、第1ECU2及び第2ECU3が用いる第1通信規格の判断スキームに基づいて、第1ECU2及び第2ECU3の少なくとも一方から実際の通信サイクルにおいて受信されるタイムスタンプを予測する。
【0061】
その後、第3ステップS3において、バリデーター62は、予測されたタイムスタンプと、第1ECU2及び第2ECU3の少なくとも一方から実際受信タイムスタンプとを比較する。
【0062】
ここで、S1からS3までのステップについて、図3を用いて詳細に説明する。
【0063】
上述したように、図3では、実際受信タイムスタンプの正確さを判断する2つの可能性が示されている。タイムスタンプの正確さを判断する2つの可能性は、代替又は組み合わせて使用してよい。
【0064】
しかし、両方の可能性によれば、バリデーター62において、予測タイムスタンプを実際受信タイムスタンプと比較する第3ステップS3は、バリデーター62において、予測されたタイムスタンプと実際受信タイムスタンプとの差を判断し、差を事前定義されたしきい値と比較し、差が事前定義されたしきい値よりも小さい場合、好ましくはこの差が特定の範囲内にある場合、整合性フラグが設定されている検証マーキング、又は情報の受信者に対して透過的なその他の手段によって、実際受信タイムスタンプの正確さを判断する。
【0065】
具体的には、図3に2つのタイムラインが示されている。図3の左側には、第1ECU1のスレーブクロック21のローカル時刻ltが描かれた第1ECU1のタイムラインが表示され、図3の右側には、ゲートウェイECU6のスレーブクロック61のローカル時刻LTが描かれたバリデーター62のタイムラインが表示されている。
【0066】
全ての同期ECU2、3、4、5、6は、同期後に利用可能な同じグローバル時刻(典型的には、グローバル時刻のローカルインスタンス、つまり、同期時刻又はグローバル時刻を維持する発振器などの基盤となるローカルハードウェアカウンタから派生したローカルクロックと呼ぶ時刻)を持つ。これは、同期されたスレーブクロック21、31、41、51、61がマスタークロック8のグローバル時刻に紐付けられていることを意味する。
【0067】
同期の際、ローカル時刻lt1、LT1、及び対応する同期時刻GT1を含む基準タプルlt1、GT1、LT1、GT1が生成される。この基準タプルlt1、GT1、LT1、GT1は、任意の時点での現在の同期時刻を導出するために使われる。
【0068】
このように、この事例では、スレーブクロック21、31、41、51、61を同期させる第1ステップS1は、ローカル時刻lt、LTから同期時刻又はグローバル時刻GTへの変換に使用できる基準を生成するに過ぎない。
【0069】
第1ECU2に、現在のローカル時刻lt2(lt2>lt1)での現在の同期時刻GT2は次式で与えられる。
GT2=GT1+lt2-lt1
GT2=GT1+lt2-lt1
【0070】
GT2は、第1ECU2によってローカルスレーブクロック21から読み出された実際受信タイムスタンプを測定データに提供するグローバル時刻としてよい。GT1は、第1ECU2の実際の通信サイクルの開始時のグローバル時刻としてよい。lt1は、実際の通信サイクルの開始時における第1ECU2のスレーブクロック21のローカル時刻としてよい。lt2は、第1ECU2が実際受信タイムスタンプを提供した時点での第1ECU2のスレーブクロック21のローカル時刻としてよい。
【0071】
類推して、ゲートウェイECU6、よってバリデーター62の場合、LT2>LT1を使用した現在のローカル時刻LT2での現在の同期時刻GT2は、次式
GT2=GT1+LT2-LT1
で与えられる。
GT2=GT1+LT2-LT1
で与えられる。
【0072】
さらに、第1通信規格の通信スキームは、上で説明したように、スロットs1-snを備えた、判断を行う又は静的な部分を備えている。ここで、各スロットは、固定かつ事前定義された持続期間と、判断を行うところでない又は動的な部分11とを備える。
【0073】
第1ECU2のデータ取得タスク中に、タイムスタンプ、すなわちグローバル時刻のローカルインスタンスから発信された実際受信タイムスタンプが、データ取得タスクの静的部分で送信されるデータに添付され、それから、データ送信タスク中に第1ECU2から第1バスシステム9を介してゲートウェイECU6に送信される。
【0074】
データ送信とデータ取得タスクとの間には、第1通信規格に従って固定遅延δが設けられる。
【0075】
したがって、予測タイムスタンプのグローバル時刻と実際受信タイムスタンプのグローバル時刻との差は、データ取得タスクと第1ECU2のデータ送信タスクとの間の固定遅延6を考慮して判断可能であり、ここで、検証目的でバリデーター62によって実際受信タイムスタンプは、第1ECU2によるデータ取得タスク中に提供される。これは、実際に提供されたタイムスタンプの正確さを判断する両方の可能性に当てはまる。
【0076】
より具体的には、第1可能性に従って、予測されたタイムスタンプと実際受信タイムスタンプとの差は、次式を使用して判断できる。
GT2-GT1-Δ+δ
GT2-GT1-Δ+δ
【0077】
GT2は、第1ECU2が実際受信タイムスタンプを提供するグローバル時刻である。GT1はグローバル基準時刻である。本実施形態において、GT1は、第1ECU2の実際の通信サイクルの開始時におけるグローバル時刻である。Δは、第1ECU2が使う第1通信規格の判断スキームの予め定義された数のスロットnにスロットlslotの固定期間を乗じて受信した結果である。GT1+Δが、メッセージが第1ECU2によって送信するようにスケジュールされるときのグローバル時刻におけるインスタンスに対応するように、メッセージの予定時刻(スケジューリング)を考慮に入れる。以上説明したように、δは、第1ECU2のデータ取得タスクとデータ送信タスクとの間の固定遅延である。実際受信タイムスタンプは、第1ECU2によるデータ取得タスク中に提供される。したがって、GT2-δは、第1ECU2によるメッセージ送信がスケジュールされたグローバル時刻におけるインスタンスに相当する。この式は、両方のインスタンスを時間、時刻で比較することによって、この事実を利用する。これにより、タイムスタンプの整合性を検査できる。
【0078】
データ取得タスクの間、第1ECU2は、外部ユニット、例えばセンサからデータを取得し、実際受信タイムスタンプを取得したデータに追加可能である。タイムスタンプは、実質的に、データが第1ECU2から取得されたグローバル時刻である。
【0079】
データ送信タスク中、データ取得タスク中に取得されたデータに、追加された実際受信タイムスタンプを加えたものが、第1ECU2からバリデーター62に送られる。
【0080】
バリデーターはそれから上記の式との差を計算し、その差を事前定義されたしきい値と比較する。差が定義したしきい値よりも小さい場合、すなわち第1ECU2のジッタがしきい値よりも小さい場合、バリデーター62は、第1ECU2の実際提供タイムスタンプを正すように、その実際提供タイムスタンプを除去(デマイニング)する。これはすなわち第2通信規格の安全要件を満たす。したがって、バリデーター62は、実際受信タイムスタンプを第2通信規格(ここではASIL D)の安全水準に認定するように構成される。
【0081】
追加的又は代替的に、第2可能性に従って、予測タイムスタンプと実際受信タイムスタンプとの差は、次式を使用して判断できる。
GT_Current-(GT2+δ)
GT_Current-(GT2+δ)
【0082】
以上説明したように、GT2は、第1ECU2による実際受信タイムスタンプは、グローバル時刻であり、δは、第1ECU2のデータ取得タスクとデータ送信タスクとの間の固定遅延である。実際受信タイムスタンプは、データ取得タスク中に提供される。GT_Currentは、バリデーター62で実際受信タイムスタンプを受信するグローバル時刻である。概念的な観点からは、2つの解決手段は同じであるが、実装の労力や特定の精度の達成可能な信頼性とは異なる場合がある。
【0083】
第1可能性に類推して、このように受信した差分は、バリデーター62によって事前定義されたしきい値と比較され、ここでは不確実性ε、及び差分が小さいしきい値、すなわち第1ECU2のジッタがしきい値よりも小さい場合、バリデーター62は、第1ECU2の実際提供タイムスタンプを正す、すなわち、第2通信規格の安全要件を満たすように、この実際提供タイムスタンプを除去する。したがって、バリデーター62は、実際受信タイムスタンプを第2通信規格(ここではASIL D)の安全度水準に認定するように構成される。
【0084】
第1通信規格よりも高い安全水準を持つ第2通信規格の安全要件を満たすには、マスタークロック8の完全性で十分であるので、バリデーター62は、第2通信規格の安全要件に従って、実際受信タイムスタンプの正確さを判断可能である。
【0085】
第1ECU2に関する図3に関する上記の説明は、第2ECU3についても有効であり、第1通信規格を使って2つ以上のECU2、3が設けられている場合は、これらのECUに対しても有効である。
【0086】
要約すると、上述した実施形態により、フレックスレイバス9は、グランドマスタ8から同期メッセージを受信する。フレックスレイバス9は、与えられた同期メッセージに基づいて内部的に同期される。イーサネット通信バス10は、中央バリデーター62に対して、IEEE802・1 AS又は類似のプロトコルを介してASIL Dとの同期を提供する。ゲートウェイECU6上の中央バリデーター62は、イーサネット通信バス9とフレックスレイ通信バス10との間の比較器として機能し、受信したタイムスタンプをそれらのタイムスタンプの期待値と比較する。一方の中央バリデーター62は、イーサネット通信がASIL Dに従って検証されることを保証し、他方ではフレックスレイバス9からQM(品質管理)入力を受信して、イーサネットのクロックで検証する。フレックスレイバス9は本質的に判断処理を行うところであるため、中央バリデーター62はフレックスレイメッセージの判断処理の予定時刻(スケジューリング)を使用して、QMとして提供されるフレックスレイタイムスタンプの正確さを検証し、与えられたタイムスタンプをASIL Dに与えられたタイムスタンプを認定する。ゲートウェイECU6、ここではバリデーター62によって、フレックスレイバス9から次のサイクルに来るかもしれないタイムスタンプを予測可能である。タイムスタンプの予測は、フレックスレイ規格のデータ取得タスクとデータ送信タスクの間の固定遅延を含む判断処理の静的メッセージデータに基づいて行われる。したがって、予測されたタイムスタンプは、フレックスレイ通信バス9内のジッタが高度に自動化された車両時刻同期のしきい値、すなわち1msを超えないようにするために、受信タイムスタンプと比較される。
【符号の説明】
【0087】
1 通信ネットワーク
2、3 第1通信規格を使用したECU
4、5 第2通信規格を使用したECU
6 バリデーター付きゲートウェイECU
7 相互接続(例、スイッチ)
8 タイムグランドマスター又はマスタークロック
9 第1通信規格を使用した第1バスシステム
10 第2通信規格を用いた第2バスシステム
11 第1通信標準の判断処理を行わない部分
21 第1ECUのスレーブクロック
31 第2ECUのスレーブクロック
41 第3ECUのスレーブクロック
51 第4ECUのスレーブクロック
61 バリデーターのスレーブクロック
62 バリデーター
GT グローバル時刻
GT1 サイクル開始時のグローバル時刻
GT2 実際受信タイムスタンプを提供又は追加するグローバル時刻
GT_current バリデーターで実際に受信するタイムスタンプ(実際受信タイムスタンプ)を受信した現在のグローバル時刻
lt 第1ECUのローカル時刻
ltl 第1ECUでのサイクル開始時のローカル時刻
lt2 第2ECUで実際受信タイムスタンプを提供又は追加するローカル時刻
LT ゲートウェイECUのローカル時刻
LT1 ゲートウェイECUのサイクル開始時のローカル時刻
LT2 バリデーターでタイムスタンプを受信するゲートウェイECUでのローカル時刻
lSlot 第1通信規格の1スロットの継続期間
n スロットの数
Δ nにlSlotを乗じて得られる結果
δ データ取得タスクとデータ送信タスク間の固定遅延
S1からS3 (本願の)方法の各ステップ
2、3 第1通信規格を使用したECU
4、5 第2通信規格を使用したECU
6 バリデーター付きゲートウェイECU
7 相互接続(例、スイッチ)
8 タイムグランドマスター又はマスタークロック
9 第1通信規格を使用した第1バスシステム
10 第2通信規格を用いた第2バスシステム
11 第1通信標準の判断処理を行わない部分
21 第1ECUのスレーブクロック
31 第2ECUのスレーブクロック
41 第3ECUのスレーブクロック
51 第4ECUのスレーブクロック
61 バリデーターのスレーブクロック
62 バリデーター
GT グローバル時刻
GT1 サイクル開始時のグローバル時刻
GT2 実際受信タイムスタンプを提供又は追加するグローバル時刻
GT_current バリデーターで実際に受信するタイムスタンプ(実際受信タイムスタンプ)を受信した現在のグローバル時刻
lt 第1ECUのローカル時刻
ltl 第1ECUでのサイクル開始時のローカル時刻
lt2 第2ECUで実際受信タイムスタンプを提供又は追加するローカル時刻
LT ゲートウェイECUのローカル時刻
LT1 ゲートウェイECUのサイクル開始時のローカル時刻
LT2 バリデーターでタイムスタンプを受信するゲートウェイECUでのローカル時刻
lSlot 第1通信規格の1スロットの継続期間
n スロットの数
Δ nにlSlotを乗じて得られる結果
δ データ取得タスクとデータ送信タスク間の固定遅延
S1からS3 (本願の)方法の各ステップ
【図1】
【図2】
【図3】
【国際調査報告】