特表2023-552191 | 知財ポータル「IP Force」

知財求人 - 知財ポータルサイト「IP Force」

▶ コンチネンタルオートモーティヴテクロノジーズゲー・エム・ベー・ハーの特許一覧

特表2023-552191時間同期プロトコルによって制御ユニット温度を判定するための方法

書誌要約請求の範囲詳細な説明課題実施例実施するための形態図面の説明

目に優しい文字サイズ小中大 PDF Top

< >

1
1.1
2
2.1
3
3.1
4
4.1
5
5.1
6
6.1
7
7.1
8
8.1
9
10
11
12
13
14
15
16
17
18
19
20
21
22

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】公表特許公報(A)

(11)【公表番号】

(43)【公表日】2023-12-14

(54)【発明の名称】時間同期プロトコルによって制御ユニット温度を判定するための方法

(51)【国際特許分類】

H04L 7/00 20060101AFI20231207BHJP

【ＦＩ】

H04L7/00 540

【審査請求】有

【予備審査請求】未請求

(21)【出願番号】P 2023533681

(86)(22)【出願日】2021-11-30

(85)【翻訳文提出日】2023-06-01

(86)【国際出願番号】 DE2021200225

(87)【国際公開番号】W WO2022117166

(87)【国際公開日】2022-06-09

(31)【優先権主張番号】102020215247.0

(32)【優先日】2020-12-02

(33)【優先権主張国・地域又は機関】DE

(81)【指定国・地域】

(71)【出願人】

【識別番号】522388073

【氏名又は名称】コンチネンタルオートモーティヴテクロノジーズゲー・エム・ベー・ハー

【氏名又は名称原語表記】ＣｏｎｔｉｎｅｎｔａｌＡｕｔｏｍｏｔｉｖｅＴｅｃｈｎｏｌｏｇｉｅｓＧｍｂＨ

【住所又は居所原語表記】ＶａｈｒｅｎｗａｌｄｅｒＳｔｒ．９，３０１６５Ｈａｎｎｏｖｅｒ，Ｇｅｒｍａｎｙ

(74)【代理人】

【識別番号】100114890

【弁理士】

【氏名又は名称】アインゼル・フェリックス＝ラインハルト

(74)【代理人】

【識別番号】100098501

【弁理士】

【氏名又は名称】森田拓

(74)【代理人】

【識別番号】100116403

【弁理士】

【氏名又は名称】前川純一

(74)【代理人】

【識別番号】100134315

【弁理士】

【氏名又は名称】永島秀郎

(74)【代理人】

【識別番号】100162880

【弁理士】

【氏名又は名称】上島類

(72)【発明者】

【氏名】ヘルゲツィナー

【テーマコード（参考）】

5K047

【Ｆターム（参考）】

5K047AA11

5K047KK02

(57)【要約】

本発明は、イーサネットによって自動車における制御ユニット温度を判定するための方法であって、イーサネット車載電気システムの第１のサーバＥＣＵとイーサネット車載電気システムの第２のサーバＥＣＵとの間にある第１の接続経路における第１の信号の通過時間を判定するステップと、通過時間に基づいて第１の接続経路の最高速度を判定するステップと、イーサネット車載電気システムの少なくとも第１のサーバＥＣＵを識別するステップと、イーサネット車載電気システムの少なくとも第１のサーバＥＣＵを同期するステップと、同期間隔を判定するステップと、第１のサーバＥＣＵのタイムスタンプを判定するステップと、タイムスタンプを読み取る、又は第１のサーバＥＣＵのクロック時間を照会するステップと、タイムスタンプをイーサネット車載電気システムの基準クロックと比較するステップと、通過時間測定を実行するステップと、関連するクロックジェネレータの速度を判定するステップと、同期間隔の時間差分を判定するステップと、最後の同期を判定するステップとを含む、方法に関する。

【特許請求の範囲】

【請求項1】

イーサネットによって自動車（１）における制御ユニット温度を確認するための方法であって、
・イーサネットオンボードネットワーク（２）の第１のサーバＥＣＵ（１）と前記イーサネットオンボードネットワーク（２）の第２のサーバＥＣＵ（２）との間の第１の接続経路（６）における第１の信号（１０）の遅延時間（９）を判定するステップと、
・前記遅延時間（９）に基づいて、前記第１の接続経路（６）の最大速度（１１）を判定するステップと、
・前記イーサネットオンボードネットワーク（２）の少なくとも前記第１のサーバＥＣＵ（１）を識別するステップと、
・前記イーサネットオンボードネットワーク（２）の少なくとも前記第１のサーバＥＣＵ（３）を同期するステップと、
・同期間隔を確認するステップと、
・前記第１のサーバＥＣＵ（３）のタイムスタンプを確認するステップと、
・タイムスタンプを読み取る、又は前記第１のサーバＥＣＵ（１）の時間を照会するステップと、
・前記タイムスタンプを前記イーサネットオンボードネットワーク（３）の基準クロックと比較するステップと、
・遅延時間測定を実行するステップ（４１０）と、
・関連するクロックジェネレータの速度を確認するステップと、
・前記同期間隔の時間差分を確認するステップと、
・最後の同期を確認するステップと、
が実行される、方法において、
－前記サーバＥＣＵ（２）の前記クロックジェネレータ（水晶２）のクロックレートに対する、前記サーバＥＣＵ（１）の前記クロックジェネレータ（水晶１）のクロックレートの基準測定ステップ（４２０）と、
－前記サーバＥＣＵ（１）の前記クロックジェネレータ（水晶１）の前記クロックレート及び前記サーバＥＣＵ（２）の前記クロックジェネレータ（水晶２）の前記クロックレートを監視するステップと、
－前記サーバＥＣＵ（１）の温度及び前記サーバＥＣＵ（２）の温度を確認するステップと、
－前記クロックジェネレータ（水晶１、２）のどの周波数に前記確認されたサーバＥＣＵ（１、２）の温度が存在するかを判定することによって前記基準測定を評価することによって、前記サーバＥＣＵの温度変化を確認するステップと
が実行されることを特徴とする、方法。

【請求項2】

前記サーバＥＣＵ（１）及び前記サーバＥＣＵ（２）の前記クロックレートの前記基準測定がＩＥＥＥ８０２．１ＡＳプロトコルによって確認されることを特徴とする、請求項１に記載の方法。

【請求項3】

前記クロックジェネレータの前記速度が、前記ＰＴＰＮＲＲ（隣接レート比）法によって確認されることを特徴とする、請求項１又は２に記載の方法。

【請求項4】

－前記ＮＲＲが継続的に確認及び／又は監視されるステップと、
－前記遅延時間測定が実行されるステップと、
－前記ＮＲＲがロギングされるステップと、
－前記新たに記録されたＮＲＲが記憶された値と比較されるステップと
が実行され、
チェックが行われて、前記ＮＲＲが最後の値よりも大きいか否かを確かめ、前記ＮＲＲの大きい値が存在する場合、前記ＮＲＲが前記ＮＲＲの前記最後の値よりも何倍大きいかをチェックし、温度上昇分が計算され、前記最後の値よりも小さいＮＲＲ値が存在する場合、温度低下分が計算される、請求項１～３のいずれか一項に記載の方法。

【請求項5】

伝送媒体（１２）のタイプ、及び
－前記同期間隔の確認、
－前記第１の制御ユニット（３）のタイマ（４１０）のドリフトの確認、
－前記第１の制御ユニット（３）のタイムスタンプの確認、
－前記関連する前記クロックジェネレータの前記速度の確認、
－前記同期間隔の前記時間差分の確認、
－前記最後の同期の確認
が、前記イーサネットオンボードネットワーク（２）内のプログラム（１３）に伝達され、前記プログラム（１３）の接続経路の選択（１４）が、前記伝送媒体（１２）の前記タイプに基づいて適合されることを特徴とする、請求項１～４のいずれか一項に記載の方法。

【請求項6】

【請求項7】

前記伝送媒体（１２）の前記タイプが、光学式、銅、又は無線として判定されることを特徴とする、請求項１～５のいずれか一項に記載の方法。

【請求項8】

前記第１の接続経路（６）を介して伝送されるデータの損失の確率を表す伝送セキュリティ値（１５）が、前記伝送媒体（１２）の前記タイプに基づいて、前記第１の接続経路（６）に割り当てられることを特徴とする、請求項１～７のいずれか一項に記載の方法。

【請求項9】

前記第１の接続経路（６）上の複数の信号の遅延時間が判定され、前記複数の信号の最速遅延時間が選択され、前記第１の接続経路（６）の前記最大速度（１１）が、前記最速遅延時間に基づいて判定されることを特徴とする、請求項１～８のいずれか一項に記載の方法。

【請求項10】

前記第１の制御ユニット（３）と前記第２の制御ユニット（４）との間にあり、前記第１の接続経路（６）とは異なる第２の接続経路（７）上の第２の信号（１７）の遅延時間（１６）が判定され、前記第２の接続経路（７）の最大速度（１１）が判定され、前記第２の接続経路（７）の伝送媒体（１９）のタイプが、前記第２の接続経路（７）の前記最大速度（１１）に基づいて判定されることを特徴とする、請求項１～９のいずれか一項に記載の方法。

【請求項11】

前記第１の制御ユニット（３）が通常動作モードからエネルギー節約モードへと、及び／又は前記エネルギー節約モードから前記通常動作モードへと変更した後に、前記方法が行われることを特徴とする、請求項１～１０のいずれか一項に記載の方法。

【請求項12】

前記第１の信号（１０）の前記遅延時間（９）が、前記第１の制御ユニット（３）を使用して判定され、前記イーサネットオンボードネットワーク（２）の前記第２の制御ユニット（４）と第３の制御ユニット（５）との間にあり、前記第１の制御ユニット（３）に間接的にのみ接続された第３の接続経路（８）上の第３の信号（２２）の遅延時間（２１）が、前記第３の制御ユニット（５）を使用して判定され、前記第３の信号（２２）の前記遅延時間（２１）の前記判定が、前記第１の制御ユニット（３）から前記第３の制御ユニット（５）に送信されたサービスメッセージ（２０）によってトリガされることを特徴とする、請求項１～１１のいずれか一項に記載の方法。

【請求項13】

イーサネットオンボードネットワーク（２）用の制御ユニットであって、第１の制御ユニット（３）の形態として、
－信号（１０）を前記イーサネットオンボードネットワーク（２）の第２の制御ユニット（４）に送信し、前記信号（１０）を前記第２の制御ユニット（４）から受信し、
－前記第２の制御ユニット（４）までの接続経路（６）上の前記信号（１０）の遅延時間（９）を判定し、
－前記遅延時間（９）に基づいて前記接続経路（６）の最大速度（１１）を判定し、
－前記最大速度（１１）に基づいて前記接続経路（６）の伝送媒体（１２）のタイプを判定する
ように設計され、且つ少なくとも、
－マイクロプロセッサ（４０２）と、
－揮発性メモリ（４０４）及び不揮発性メモリ（４０６）と、
－少なくとも２つの通信インターフェース（４０８）と、
－同期可能タイマ４１０と
を備える、制御ユニットにおいて、
前記不揮発性メモリ（４０６）が、前記マイクロプロセッサ（４０２）によって実行されると、
請求項１～１２のいずれか一項に記載の方法の少なくとも１つの実施形態を実装可能及び実行可能であるプログラム命令を含むことを特徴とする、制御ユニット。

【請求項14】

自動車（１）用のイーサネットオンボードネットワーク（２）であって、第１の制御ユニット（３）及び第２の制御ユニット（４）を有し、前記制御ユニット（３、４）が少なくとも１つの接続経路（６，７）を介して互いに接続され、前記第１の制御ユニット（３）が、請求項１２に記載の形態である、イーサネットオンボードネットワーク（２）。

【請求項15】

前記イーサネットオンボードネットワーク（２）が、第３の制御ユニット（５）を備え、前記第１の制御ユニット（３）に間接的にのみ接続され、且つ第３の接続経路（８）を介して前記第２の制御ユニット（４）に直接接続され、前記第３の制御ユニット（５）が、前記第３の接続経路（８）上の第３の信号（２２）の遅延時間（２１）を判定するように設計され、前記第１の制御ユニット（３）が、前記第３の制御ユニット（５）へのサービスメッセージ（２０）によって前記第３の信号（２２）の前記遅延時間（２１）の前記判定をトリガするように設計されることを特徴とする、請求項１３に記載のイーサネットオンボードネットワーク。

【請求項16】

コンピュータによって前記プログラムが実行されると、請求項１～１２のいずれか一項に記載の方法（２００）を前記コンピュータに実行させる命令を含む、コンピュータプログラム製品。

【請求項17】

請求項１６に記載のコンピュータプログラム製品が記憶されたコンピュータ可読媒体。

【請求項18】

イーサネットオンボードネットワークを備える、請求項１３に記載の複数の制御ユニット（３、４、５）を有する、車両。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、時間同期プロトコルによって制御ユニット温度を確認するための方法に関する。

【背景技術】

【0002】

イーサネット技術は、ますます多くの車両において使用されており、車両にある旧式又は独自のデータ接続及びデータバスに取って代わっている。イーサネット接続は、送信機と受信機との間でデータパケットを送信するためのＯＳＩ参照モデルのレイヤ３上の複数のネットワークプロトコルをサポートする。より上位のプロトコルレイヤでは、パケットへのデータストリームの分割、相互に通信するシステム間のプロセス通信、システム非依存の形式へのデータ変換、そして最後にアプリケーションのための機能の提供が行われる。

【0003】

現在、次の形態のＥ／Ｅアーキテクチャ、いわゆる「ゾーン型アーキテクチャ」や「サーバベースアーキテクチャ」が開発されている。現行のアーキテクチャと異なるのは、制御ユニットが特定の地理的位置に配置されて、そこでセンサデータを収集する点である。従来のアーキテクチャと著しく異なるのは、演算能力及びすべての機能が中央サーバＥＣＵに集約される点、つまり、アプリケーションソフトウェアがこれらの制御ユニットでしか実行されない点である。それ以外のすべてのＥＣＵ、いわゆるゾーンコントローラは、「単に」各種センサからデータを収集する。

【0004】

ごく少数の制御ユニット（サーバ）に機能を集約するということは、１つのＥＣＵ当たりにはるかに多くの演算能力が必要とされることを意味する。この演算能力を推定できるようにするために、どの演算能力がチップ上のどのようなシステムで利用可能とされているかが把握される。

【0005】

車両で使用されるほとんどすべてのイーサネット通信ネットワークは、すべてのネットワークデバイスで同期するグローバルネットワークタイムベースを提供する時間同期に関連するプロトコルを使用する。時間同期ネットワークデバイスの普及は、今後増加し続ける。これらの新しいサーバＥＣＵにとって、最大の課題の１つが放熱である。強力な（グラフィックス）プロセッサは、現在計画中段階にあり、今日一部のテスラ車において連続生産で導入されているように、例えば水冷も含めた新しい包括的な冷却コンセプトを必要とする。

【0006】

ＥＣＵ及びその機能の管理及び診断は、安全要求がますます高まることを考えると、現在よりも更に重要な役割を果たす。ここでは、故障及び危機的状況の早期検出が重要な役割を担う。将来、電子コンポーネントの製造業者は、自動車部品メーカの業界においてより大きな責任を負わなければならなくなる。電子コンポーネントの製造業者は、サプライチェーンにおいてブラックボックスとして車両製造業者に渡される、ますます複雑且つ革新的な組立体を開発及び製造している。依然として興味深いのは、必要とされる監視エレクトロニクスが、純正コンポーネントの故障を検出するだけであるか、又は機能安全性の背景に対する信頼性に疑問があるためにまったく問題なく機能する車両コンポーネントでさえも交換しなければならないのかという問題である。交換された部品がまったく問題なく機能することが徹底的な分析によって明らかになった場合でも、このことはサプライチェーンに影響を与える。しかしながら、保証期間及び将来のサービス契約を考えると、この問題は自動車の運転者にとって不安材料にはならず、自動車の運転者に非常に満足のいくことに、事実上一晩で自動車が何度も自動的に改良される。

【0007】

このことに加えて、制御ユニットの数及び互いのネットワーキングも増え続けている。実際の制御機能に加えて、診断機能がますます重要性を増している。診断は、当初、法的な排ガス基準を遵守するための監視機能のみを行っていたが、今日、自動車製造業者の価値創造チェーン全体、すなわち、開発、テスト及び検証、生産、そして最終的にカスタマーサービスで使用されている。最近の車両の便利な機能も、そのほとんどが診断機能に基づいている。

【0008】

ＩＥＥＥ８０２．１ＡＳ規格は、時間同期に関連したそのようなプロトコルを提供する。グランドマスター又はグランドマスタークロックとも呼ばれるネットワーク内のいわゆる「ベストクロック」から、マスター－スレーブクロック階層が構築される。この場合のグランドマスターはネットワークのタイムベースを提供し、ネットワーク内の他のすべてのネットワークデバイスはこれに同期される。グランドマスターは、いわゆるベストマスタークロックアルゴリズム（ＢｅｓｔＭａｓｔｅｒＣｌｏｃｋＡｌｇｏｒｉｔｈｍ（ＢＭＣＡ））を使用して決定され、ネットワーク内でアナウンスされる。これを行うために、ＩＥＥＥ８０２．１ＡＳ互換のネットワークデバイスは、直接接続されている他のネットワークデバイスに対して、内部クロックに関する情報を含むＡｎｎｏｕｎｃｅメッセージを送信する。内部クロックに関する情報は、対応するクロックの精度、その基準又は時間基準、及びネットワークにおいてベストクロックを判定するために使用され得る他の特性の指標を提供する。そのようなＡｎｎｏｕｎｃｅメッセージの受信者は、受信した情報を自身の内部クロックの機能と比較し、別のポートから既に受信している任意のメッセージを他のネットワークデバイスのクロックに関連する情報と比較し、より良好なクロックパラメータを有している場合は、別のネットワークデバイスにおけるクロックを受け入れる。しばらくすると、ネットワークにおけるベストクロックが確認され、これがネットワークにおけるグランドマスターになる。グランドマスターに基づき、時間同期に関連するメッセージが、ネットワークを介してブロードキャストされる。時間同期に関連するメッセージを受信するネットワークデバイスは、単にメッセージを転送するのではなく、接続時に以前に確認された遅延時間用の時間情報を修正し、それによって、内部処理時間に対しても、修正された時間情報との時間同期に関連するメッセージを再送信する前に、直接接続されたネットワークデバイスから時間同期に関連するメッセージを受信する。

【0009】

ＩＥＥＥ８０２．１ＡＳとそこで定義されたｇＰＴＰ（ｇｅｎｅｒａｌｉｚｅｄｐｒｅｃｉｓｉｏｎｔｉｍｅｐｒｏｔｏｃｏｌ）にしたがうクロック階層の場合、１つのネットワークデバイスだけがネットワークのベストクロックを常に提供する。このように、このネットワークデバイスは、車両の時間全体を制御し、調節する。ネットワーク内のネットワークデバイスにおけるすべての他のクロックは、この１つのクロックによって排他的に制御される。いくつかの車両製造業者は、このイーサネットタイムマスターによって、例えばＣＡＮである、他の規格のネットワークを同期することさえもあり、これは、車両内のほとんどすべてのネットワークデバイスが、グランドマスターを提供するネットワークデバイスによって、システム時間を通知されることを意味する。その結果、単一のネットワークデバイスは、ネットワーク又は車両の単一の障害点として定義され、そのデバイスの障害又は操作は、車両の動作上の安全性に深刻な影響を及ぼす可能性がある。したがって、例えば、適切なシステム又は（半）自動運転用のシステムによる高度な運転者サポートを備えた車両では、車両のアクチュエータ用の適切な制御信号を導出するために、狭い時間窓内で取り込まれた大量のセンサデータを一緒に処理する必要がある。また、センサデータに対する最も正確で可能な時間登録は、例えば、誤動作又は操作エラーを再構築するために分析され得るログファイル内に記憶する際に、文書化の目的でも非常に重要な場合がある。後者は、特に保険会社及び法執行機関にとって非常に重要である。したがって、時間情報の安全で同期された提供が不可欠である。

【0010】

【0011】

ＥＣＵ及びその機能の管理及び診断は、安全要求がますます高まることを考えると、現在よりも更に重要な役割を果たす。ここでは、故障及び危機的状況の早期検出が重要な役割を担う。

【0012】

機能及びアプリケーションを他の制御ユニット／プロセッサに動的に転送して、最適化するコンセプトが既に開発されている。このことは、ライブマイグレーション、リアロケーション、又はマイグレーションと呼ばれる。

【0013】

ネットワークの時間同期を使用した通信ネットワークの構成又は構造の変化を検出するためのいくつかの手法が、従来技術から知られている。ネットワークの構成に対する不正な変更としては、例えば、攻撃を準備するためにネットワークデバイスを介在させ、このネットワークデバイスがメッセージを解析のために傍受し、必要に応じて、改ざんしたメッセージを再送信することが挙げられる。これは、安全且つ適切な動作を妨げる又は少なくとも乱すために用いられ得る。

【0014】

新しいアーキテクチャのおかげで、ハードウェアが一般化し、ソフトウェアがプラットフォームへの依存度が低くなったため、今初めて、異なるＥＣＵにもソフトウェアを実装する可能性が存在する。（当然のことながら、このことは、すべての機能及びＥＣＵで可能というわけではない。）したがって、どのソフトウェアがどの制御ユニット（サーバ）上で稼働するかは、システムが設計される時点では必ずしも確定していない。

【0015】

新しいサーバＥＣＵにとって、最大の課題の１つが放熱である。強力な（グラフィックス）プロセッサは、例えば水冷などの新しい包括的な冷却コンセプトを必要とする。

【0016】

新しいサーバＥＣＵの費用対効果の高い放熱及び監視の実装は、自動車業界にとって新たな挑戦となる。正確には、これらの新しいサーバＥＣＵは、ネットワークのコアを形成する、又は将来的に車両の唯一の中央制御ユニットとなる。例えばセンサデータを融合することや高度に複雑な計算を行うことなどのために、自動運転に使用されるため、問題が発生した場合にスイッチオフすることはとても簡単にできることではない。

【0017】

自律走行の場合では、加えて、すべてのサブシステムの信頼性に関する要求が同様に高まっている。すべてのサブシステムの安全防護対策のために、正確には、拡張された診断機能が重要な役割を果たす。ますます複雑化することにより診断データの交換が常に必要とされ、これらのデータも安全且つエラーなく送達されなければならない。今後数年間の１つの課題は、第１には、ステータス情報の安全且つ信頼できる伝送であり、第２には、これらのデータの冗長な提供及び伝送である。この目的のために、常にシステムの全容を把握し、場合によってはクラウドからもアクティブにされる新しいネットワーク管理コンセプトが生まれる。

【0018】

ここでは、故障及び危機的状況の早期検出が重要な役割を担う。将来、電子コンポーネントの製造業者は、自動車部品メーカの業界においてより大きな責任を負わなければならなくなる。電子コンポーネントの製造業者は、サプライチェーンにおいてブラックボックスとして車両製造業者に渡される、ますます複雑且つ革新的な組立体を開発及び製造している。機能試験に関連して、１つのタスクは、必要とされる監視エレクトロニクスが、純正コンポーネントの故障を検出するだけであるか、機能安全性の背景に対する信頼性に疑問があるためにまったく問題なく機能する車両コンポーネントを交換しなければならないのかということである。交換された部品がまったく問題なく機能することが徹底的な分析によって明らかになった場合でも、このことはサプライチェーンに影響を与える。しかしながら、保証期間及び将来のサービス契約を考えると、この問題は自動車の運転者にとって不安材料にはならず、自動車の運転者に非常に満足のいくことに、事実上一晩で自動車が何度も自動的に改良される。

【0019】

【0020】

ＥＣＵの過熱の可能性は、今後、更に大きな問題となる。安心且つ安全に関する将来の要求を満たすためには、複数の冗長化技術による早期診断が必要である。制御ユニットは、それが原因で容量限界に達した場合、ソフトウェアの実行ができなくなる。

【0021】

米国特許出願公開第２０１６２８５４６２号明細書は、振動素子と、振動素子を発振させることにより発振信号を出力する発振回路と、所望の温度範囲で発信信号の周波数温度特性を補償する温度補償回路とを含む発振器の製造方法であって、複数の温度で周波数を測定し、温度と周波数との間の関係に基づいて第１温度補償データを計算する第１温度補償調整工程と、第１温度補償調整工程の後に、温度補償回路により第１温度補償データに基づいて温度補償を行うことにより確認された周波数を複数の温度で測定し、温度と周波数との間の関係に基づいて第２温度補償データを測定する第２温度補償調整工程と、を含む、発振器の製造方法を開示している。

【0022】

国際公開第２０１４／１１１９２０Ａ１号パンフレットは、コンピュータバスを介してコンピュータ周辺機器とメッセージを通信するホストコンピュータで使用するための方法及びデバイスであって、周辺機器が複数の状態にあり得る、方法及びデバイスを記載している。周辺機器は、入力デバイスや出力デバイスである場合もあれば、ハードディスクドライブなどの大容量ストレージデバイスである場合もある。デバイスは、ＳＡＴＡなどのポイントツーポイントシリアル通信に基づき得る独自又は業界標準のプロトコル又はバスを使用してホストコンピュータ及びコンピュータ周辺機器と通信する。周辺機器の状態は、バスで運ばれるメッセージと、周辺機器の動作に関連するセンサとを監視することに基づいて判定される。センサは、マイクロフォンであってもカメラであってもよく、システムは音声処理又は画像処理を含み得る。比較によって、あらかじめ設定されたスキームにしたがって故障又は疑わしい動作を示唆することができ、それに応じて信号が生成される。

【発明の概要】

【発明が解決しようとする課題】

【0023】

本発明の目的は、次世代のサーバＥＣＵのための技術的解決策を提案することである。本発明の目的は、電力を大量消費するＥＣＵの実装のために、更なる、より速い、且つ冗長な診断の可能性を提供することである。温度センサの故障は直ちにＥＣＵの故障につながるため、本発明は温度監視の更なる方法を提案する。この場合、意図されているのは、故障の早期指摘を可能にする追加のインテリジェントメカニズムを提案することである。

【0024】

好都合なことに、本発明はまた、温度センサの故障は直ちにＥＣＵの故障につながるという問題を解決し、この問題のため、本発明は好都合なことに温度監視の方法を提案する。この場合、故障の早期指摘を可能にする追加のインテリジェントメカニズムが提案される。

【0025】

好都合なことに、提案される方法は、監視機能を持たない、又は監視に欠陥がある、又は監視が信頼できず、妥当なものにする必要がある制御ユニットのための監視機能を提供する。

【0026】

現時点では、これまで、センサなしで温度を測定することは可能ではない。本発明の開示は、好都合なことに、温度を確認するために温度センサが不要であることを提案する。更に、オンボードネットワークにおける制御ユニットのための安全機能が可能となった。

【課題を解決するための手段】

【0027】

上記の目的は、請求項１に規定される方法及び請求項１３に規定されるイーサネットネットワークによって達成される。実施形態及び更なる発展については、それぞれの従属請求項に記載されている。

【0028】

本発明の開示は、制御ユニットにおける温度変化又は熱の発生を監視するための新規なインテリジェントメカニズムを提案する。この場合、本発明は、ＥＣ温度の変化を検出するために、イーサネットベースの時間同期プロトコルを使用する。

【0029】

イーサネットベースの時間同期は、ＩＥＥＥ８０２．１ＡＳプロトコルによって実現される（イーサネットベースの時間同期はすべての高性能ＥＣＵで使用される）。この場合、各ＥＣＵにおいて、水晶が常にクロック信号をＰＬＬに渡し、次いで、クロック信号は、ソフトウェアによってネットワークのベストクロックに合わせられる。水晶は雰囲気温度の影響を（使用年数よりも極めてはるかに大きく、約２乗超）受ける。

【0030】

水晶の発振の基礎を形成する時間同期（例えば、ＰＴＰ）の精度には、水晶の物理的特性及びその品質が重要である。温度は、水晶及びその精度に最も大きい影響を与える。一般的な水晶は、＋２５℃の平均室内温度においてその仕様からの偏差が最も少ない。外部温度が低下すると発振の数は減少し、水晶は、外部温度が上昇するとより高速に発振し、このことが水晶を加熱する。図５は、温度がＡＴカット水晶に与える影響を示している。

【0031】

ＩＥＥＥ８０２．１ＡＳの仕様は、±１００ｐｐｍ以上の品質を有する水晶を推奨している。ＡＴカット水晶は、温度変化に対する発振が３次曲線に対応することによって区別される。その結果、この水晶は、他のタイプの水晶に比べて、比較的大きな温度範囲にわたっても安定して動作し得る。

【0032】

本発明の概要は、図２に簡単に示すとおりである。検査対象のコンポーネントの遅延時間測定によって、そのイーサネット水晶のクロックレートが確認され、継続的に観測され（これは、これ以上のメッセージ交換又はプロトコルを必要としない）、このＥＣＵにおける雰囲気温度は、結晶に直接影響を与えるため、クロックレートの変化に基づいて判定され得る。

【0033】

本発明の主な利点は、追加のプロトコルを使用せずに管理し、且つ制御ユニットの診断能力を更に向上させる追加の冗長メカニズムが実装されるという事実から生じる。時間同期プロトコルは、データ使用量が非常に少なく、少なくとも高い周波数で送信される。本方法は、追加のバス負荷又は新たなプロトコルなしで、常時監視を提供する。

【0034】

本方法は、特に、ネットワーク内の加入者の既存のソフトウェア又はファームウェアの更新又はアップグレードとして配信され得るソフトウェアの形態で実施されてもよく、この点で、独立した製品である。本方法は、例えば、同様に温度センサを持たない、或いは温度センサに欠陥がある、又は信頼性を持って動作をしなくなっている既に存在し納入されている制御ユニットにＯＴＡによってフラッシュされ得る。その結果、コストさえも節約され得る。

【0035】

例として、隣接する制御ユニットが過度に高いか若しくは過度に低い温度、エラー、又は攻撃などの特定のリスクにさらされているか否かの検出。

【0036】

ネットワーク内の変更の検出は、オンボードネットワークにおけるデータセキュリティ及び機能安全性を確保するための別の方法を提供する。例えば、変更された制御ユニットが使用され、運転者もワークショップもこれを実際に認識していない場合でも、ネットワーク及び制御ユニットは、本発明で説明される方法に基づいてエラーを識別することができる。標準的なイーサネットＴＳＮ又はＡＶＢにおけるプロトコル及び既存の基本機能を使用することは、プロトコルシーケンスに変更を加える必要がないことを意味する。つまり、この手段によって、バス負荷は増えず、送信機側におけるハードウェア又はソフトウェアにおいて見込まれる変更の必要がない。

【0037】

イーサネットを介した信頼性及び安全性のトピックは自動車において非常に重要であり、且つますます重要になるため、本方法及びその結果として得られる制御ユニットは自動車での用途にとって特に重要である。今後の数年間で、センサ（カメラ及びレーダ）もまたイーサネットを介して非圧縮データを送信することになる。そのようなデータレートは、イーサネットシステムをよりフェイルセーフでパフォーマンスの高いものにするための更なる技法を必要とする。本発明は、これらのアプリケーションを容易にするのに役立つ。

【0038】

今日の、及び任意の新しいシステムに関する既存の問題は、通信インターフェース及びそのサポートに依存していることである。本明細書で説明される本発明により、プラットフォームへの依存度が低くなり、開発が可能となるため、既存のＳＷプラットフォーム及びコントローラのライフサイクルを長くすることができるようになる。

【0039】

イーサネットプロトコルによる間接的な早期分析によるエラーの早期検出によって、温度変化を瞬時に判定することができる。本発明によるネットワークシステムは、コスト及び信頼性の点で改善されている。システムのテスト可能性は、本発明によってより明確に定義され、これにより、テストのコストを節約することが可能になる。加えて、本発明は、透明な安全機能を提供する。本方法の使用の更なる可能性は、水晶がハードウェアベースの時間同期で使用され、且つクロックレートが遠隔で確認され得る領域にある。

【0040】

時間同期規格にしたがって時間同期が行われるサーバＥＣＵにおいて時間同期を確保するための方法は、サーバＥＣＵのコンポーネントの時間同期を初期化すること、以前に決定されたグランドマスタークロックを提供しないサーバＥＣＵのコンポーネントのそれぞれにおいて、初期化中に決定されたグランドマスタークロックの一意クロック識別子を記憶すること、サーバＥＣＵのコンポーネントから選択されるシャドウコントローラを識別すること、同期メッセージを送信すること、シャドウコントローラに送信時間を照会すること、グランドマスタークロックを形成するコントローラによってフォローアップメッセージに時間を挿入し、且つ再送信すること、以前に決定されたグランドマスタークロックを提供しない選択されたネットワークデバイスにより、時間同期に関連する追加メッセージを送信すること（２０６）を含み、時間同期に関連する追加メッセージで送信された時間情報並びにまたＢＭＣＡ及びドメイン番号によってベストクロックを決定することに関連するクロックパラメータは、以前に決定されたグランドマスタークロックのものと一致する又はそれらと同等であり、時間同期に関連する追加メッセージは、それぞれの選択されたネットワークデバイスの識別子に対応する一意クロック識別子を含む。

【0041】

時間同期の初期化が、攻撃を十分に高い確率で排除できる安全な環境において、例えばセキュアネットワークを含む製品が製造される製造工程の終了時に実行されると特に有利である。とりわけ、例えばあらゆる種類の車両において、初期化後にネットワーク又はその構成が再び変化しない場合、１回限りの初期化で十分であり得る。

【0042】

本発明による方法は、以前に決定されたグランドマスタークロックを提供しない選択されたネットワークデバイスにより、時間同期に関連する追加メッセージを送信することも含み、時間同期に関連する追加メッセージで送信された時間情報並びにまたＢＭＣＡ及びドメイン番号によってベストクロックを決定することに関連するクロックパラメータは、以前に決定されたグランドマスタークロックのものと一致する又はそれらと同等である。ただし、時間同期に関連する追加メッセージは、それぞれの選択されたネットワークデバイスの識別子に対応する一意クロック識別子を含む。ＢＭＣＡの実行に関連するクロックパラメータは、特に、ＩＥＥＥ８０２．１ＡＳ規格による変数ｐｒｉｏｒｉｔｙ１、ｐｒｉｏｒｉｔｙ２、ｃｌｏｃｋＣｌａｓｓ、ｃｌｏｃｋＡｃｃｕｒａｃｙ、ｏｆｆｓｅｔＳｃａｌｅｄＬｏｇＶａｒｉａｎｃｅ及びｔｉｍｅＳｏｕｒｃｅの値を含む。したがって、ネットワークトラフィックを盗聴する者には、選択されたネットワークデバイスによって送信された時間同期に関連する追加メッセージのそれぞれが、初期化中に決定されたグランドマスタークロックからの時間同期に関連するメッセージと同様に、グランドマスタークロックから到来するメッセージに見え、すなわち観測者には複数のグランドマスタークロックがネットワークに存在するように見える。

【0043】

好ましくは、選択されたネットワークデバイスは、初期化中に決定されたグランドマスタークロックの周期に対応する周期において、時間同期に関連する追加メッセージを送信する。したがって、選択されたネットワークデバイスのそれぞれは、あたかもネットワーク内で唯一のクロック且つベストクロックであるかのように挙動する一種の擬似グランドマスタークロックである。時間同期に関連する追加メッセージは、同じドメイン番号で送信されるため、時間同期ツリーは、時間同期に関連するメッセージのネットワーク内での発信の点で異なるという事実にも関わらず、外部の観測者は、擬似グランドマスタークロックを、初期化中に決定されたグランドマスタークロックと区別することができない。

【0044】

選択されたネットワークデバイスは、初期化中に決定されたグランドマスタークロックの一意クロック識別子がすべてのネットワークデバイスに送信されると同時に、時間同期に関連する追加メッセージの送信を開始することができる。しかしながら、ネットワーク内のすべてのネットワークデバイスの時間同期が初めて完了した時点でのみ、時間同期に関連する追加メッセージの送信を開始することも可能である。

【0045】

時間同期に関連する追加メッセージのそれぞれが、初期化中に決定されたグランドマスタークロックによって送信される、時間同期に関連するメッセージと同様に、すべてのネットワークデバイスによって規格に準拠して転送される。すなわち、時間情報が受信リンクの遅延時間及び内部処理時間について修正された後、時間同期に関連するメッセージは、直接接続された他のネットワークデバイスに送信される。

【0046】

ネットワークデバイスは、物理インターフェースによって互いに接続される。時間同期に関連するメッセージは、インターフェースに定義された論理ポートを介して送信され、すなわち物理伝送媒体が共有される場合でも、２つのネットワークデバイス間で時間同期のためのポイントツーポイント接続が存在する。本明細書では、インターフェースという用語は、文脈上他の意味であることが明らかでない限り、ポートという用語と同義で使用される。

【0047】

本発明による方法は、初期化が完了した後にのみネットワークトラフィックを盗聴し始めた観察者にとって、初期化中に決定されたグランドマスタークロックの識別をかなり困難にする又は更に不可能にする。

【0048】

グランドマスタークロックに加えて、時間同期に関連する独自のメッセージを送信し、それによりグランドマスタークロックのふりをするネットワークデバイスの選択は、ネットワークデバイスがネットワーク又はネットワークを含むシステムの動作に不可欠であり、したがって起こり得る攻撃のためのおとりとして使用すべきではないか否かを判定するためのチェックを含むことができる。例えば、不可欠なネットワークデバイスは、例えば、スイッチ、ブリッジなど、複数のネットワークセグメントを互いに接続するネットワークデバイス又は例えば自動運転若しくは自律走行又は他の安全に関連する機能のためのドメインコンピュータなど、他のネットワークデバイスには引き受けられない機能が実装されるネットワークデバイスである。好ましくは、このようなネットワークデバイスは、選択されない。選択は、ネットワーク内の別のネットワークデバイスによっても実行され得、したがって必要に応じて（例えば、ネットワークデバイスへの攻撃が検出された場合に）これらの他のネットワークデバイスの１つにリロケートされ得る汎用機能又はソフトウェアを実行するようにネットワークデバイスが構成されているか否かをチェックすることも含み得る。好ましくは、このようなネットワークデバイスは、ネットワークのエッジに位置し、及び／又は安全性に関連しない機能を提供し、且つネットワークの残りの部分から分離されても、攻撃が検出された場合に大きい誤動作を引き起こさないネットワークデバイスと同様に、時間同期に関連する独自のメッセージを送信するように選択され得る。他のネットワークデバイスが数台のみ接続されているネットワークデバイス、例えばポートが１つのみあり、そのため、近隣のネットワークデバイスが１つのみあり、したがってより容易に分離され得るネットワークデバイスも同様である。好ましくは、時間同期に関連する独自のメッセージを送信するネットワークデバイスの選択は、特に強力な安全メカニズムを備え、したがってより良好に攻撃に耐えることができるネットワークデバイスも含み得る。単純なケースでは、時間同期に関連する独自のメッセージを送信するネットワークデバイスの選択は、ネットワークデバイスが製造されたとき又はネットワーク内で動作するように構成されたときに設定されたフラグを読み取ることを含み得る。ネットワークデバイスが、時間同期に関連する追加メッセージを送信するように構成され得るか否かを判定するための他の特徴は、適切な機能クエリによって判定され得る。

【0049】

初期化中に決定されたグランドマスタークロックを提供しないネットワークデバイスでは、本発明による方法はまた、第１のネットワークインターフェースにおいて時間同期に関連するメッセージを受信することと、時間同期に関連するメッセージで送信されたクロック識別子が、初期化中に決定されたグランドマスタークロックの記憶されたクロック識別子と一致するか否かを判定するためのチェックとを含む。クロック識別子が一致した場合、時間同期に関連するメッセージで受信された時間情報を使用して、ローカルクロックが同期される。

【0050】

本発明による方法の更なる発展形態は、初期化中に決定されたグランドマスタークロックのクロック識別子を含む、時間同期に関連するメッセージで送信された時間情報に関する差分について、時間同期に関連する追加メッセージで送信された時間情報を監視することを含む。ネットワークデバイスが、初期化中に決定されたグランドマスタークロックと同期される限り、比較が基づく時間情報は、ネットワークデバイスのクロックによっても提供され得る。時間情報の差分が検出された場合、差分が検出された関連するクロック識別子を含む、時間同期に関連する追加メッセージがブロックされ得、すなわちネットワークに転送されない。差分がネットワークデバイスへの攻撃の結果であった場合、時間同期に関連するメッセージは、受手によって確認されないため、１つのポイントのみでネットワークを監視している攻撃者は、ブロックを認識しない。代替的に、時間同期に関連する受信された追加メッセージで送信された異なる時間情報は、初期化中に決定されたグランドマスタークロックから受信された時間情報に基づいて修正及び転送され得る。時間修正の根拠は、初期化中に決定されたグランドマスタークロックに同期されたローカルクロックでもあり得る。代替的又は追加的に、対応するメッセージが、適切な保護手段を開始及び／又は制御するように構成されたネットワークの以前に定義されたネットワークデバイスに送信され得る。適切な保護手段としては、例えば、異なる時間情報を送信しているネットワークデバイス又はそのネットワークデバイスからの個々のストリーム若しくはメッセージをネットワークの他の部分から分離すること或いは対象とするネットワークデバイスを再起動することが挙げられる。

【0051】

本発明による方法の一実施形態は、初期化中に決定されたグランドマスタークロックによる、時間情報が実際の時間と異なる時間同期に関連するメッセージの散発的又は周期的な送信と、追加メッセージが異なる時間情報を適宜反映するか否かに関する、他のネットワークデバイスによって送信された時間同期に関連する追加メッセージの監視とを含む。反映しない場合、すなわち同期中の避けられない許容誤差が無視され得る場合、誤動作又は攻撃があり得、初期化中に決定されたグランドマスタークロックを提供するネットワークデバイスは、例えば、異なる時間情報の変化を反映しないネットワークデバイスをネットワークの残りの部分から分離するために、適切な保護手段を開始及び／又は制御するように構成されたネットワークの以前に定義されたネットワークデバイスに対応するメッセージを送信することができる。他のネットワークデバイスによって送信される、時間同期に関連する追加メッセージが、変更された時間情報を反映する場合、すべての擬似グランドマスタークロックが規則にしたがって挙動していると想定され得る。

【0052】

本発明によるコンピュータプログラム製品は、コンピュータによって実行されると、上記コンピュータに、上述した方法の１つ又は複数の実施形態及び更なる発展形態を実行させる命令を含む。

【0053】

本発明の開示は、制御ユニットにおける温度変化又は熱の発生を監視するための新規なインテリジェントメカニズムを提案する。この場合、本方法は、ＥＣＵ温度の変化を検出するために、イーサネットベースの時間同期プロトコルを使用する。

【0054】

イーサネットベースの時間同期は、ＩＥＥＥ８０２．１ＡＳプロトコルによって実現される（イーサネットベースの時間同期はすべての高性能ＥＣＵで使用される）。この場合、各ＥＣＵにおいて、水晶が常にクロック信号をＰＬＬに渡し、次いで、クロック信号は、ソフトウェアによってネットワークのベストクロックに合わせられる。水晶は雰囲気温度の影響を水晶の使用年数よりも極めてはるかに大きく受ける。

【0055】

【0056】

【0057】

本発明の概要及び解決策を図６に簡単に示す。検査対象のコンポーネントの遅延時間測定によって、そのイーサネット水晶のクロックレートが確認され、継続的に観測され（これは、これ以上のメッセージ交換又はプロトコルを必要としない）、このＥＣＵにおける雰囲気温度は、結晶に直接影響を与えるため、クロックレートの変化に基づいて判定され得る。

【0058】

タイムマスター機能を実装したコントローラは、特定の割り込みに対応する必要があり、そのためのリソースを確保する必要もある。しかしながら、本発明の開示の結果として、ほとんどすべてのコントローラを使用することができ、その結果、システムのコスト及びリソースが削減される。

【0059】

本方法によって提供される効果、すなわち時間同期に対する不正な攻撃、通信の歪み及びデバイスの交換に対する保護は、他の方法で且つ更に高い安全レベルでも（例えば、ハードウェア暗号化（又は認証）を使用することによって）達成され得る。本方法により、保護メカニズムをより安価に設けることができ（ＩＳＯ２６２６２の要件を満たすのに有用）、システムコストも削減される。本方法は、後にＯＴＡを介してインポートすることも可能である。

【0060】

対照的に、車両では、ネットワークに接続されたすべての加入者が、シームレスに暗号化された通信を行うのに十分なハードウェア機器を購入することは、一般に経済的ではない。説明される本方法は、必要とされるハードウェアリソースが大幅に少なく（既存の実装を使用して実行可能であり）、その結果、ネットワーク又はネットワークに接続されたデバイスの製造コストの上昇に必ずしも結び付くことなく、安全性レベルを大幅に向上させる。

【0061】

本方法は、特に、ネットワーク内の加入者の既存のソフトウェア又はファームウェアの更新又はアップグレードとして配信され得るソフトウェアの形態で実施され得、この点で独立した製品である。

【0062】

ソフトウェアベースのアプリケーション（例えば、自動運転）の実行の品質が、好都合なことに、本発明により、特に追加の金銭的支出なしに向上し得る。自動車における新しく導入されたイーサネットプロトコルの使用は、高価な実装及び更なる追加のハードウェアなしに実施することができるためには、単純な技法及び技術の所定の特性を利用するメカニズムを必要とする。本発明によるネットワークシステムは、コスト及び信頼性の点で改善されている。これにより、Ｃｏｎｔｉｎｅｎｔａｌは、ソフトウェアベースの方法により、ＥＣＵ又はネットワークを最大限に活用することができ、顧客に更なる機能性を提供することができる。

【0063】

好都合なことに、車両ネットワークの安全性は、本発明により、特に追加の金銭的支出なしに著しく且つ極めて単純に向上され得る。自動車における新しく導入されたイーサネットプロトコルの使用は、高価な実装及び更なる追加のハードウェアなしに実施することができるためには、単純な技法及び技術の所定の特性を利用するメカニズムを必要とする。通信経路の早期分析による攻撃及び異常挙動の早期検出により、車両が提供される前にギャップ及びエラーを特定することが可能になる。本発明によるネットワークシステムは、コスト及び信頼性の点で改善されている。システムのテスト可能性は、本発明によってより明確に定義され、これにより、テストのコストを節約することが可能になる。加えて、本発明は、透明な安全機能を提供する。

【0064】

今日、アプリケーションは１つの車両タイプに実装され、調整され、且つ適合される。この提示される方法により、ソフトウェアをより柔軟に設計し、あらかじめソフトウェアに恒久的にプログラムすることなく、基盤となるシステムから付加価値のあるサービスをもたらすことができる。現在、実際には最悪のケースを想定しなければならず、これには、リソース（費用）がかかり、品質も落ちる。本発明は、ソフトウェア開発者及びソフトウェア設計者が、より柔軟に、及びより正確にアプリケーションの要件に合わせることができるソフトウェア／アプリケーションを提供することを可能にする。上述の方法をソフトウェアに組み込むことにより、制御ユニット内で最適化を行うことができる。つまり、ソフトウェアは、プラットフォーム及び車両タイプに一層依存しないように設計され得る。

【0065】

新しい技術は、もはや自動車のみにとどまり得ない。ＩＰ、ＡＶＢ及びＴＳＮなどのプロトコルには、何千ページもの仕様及びテストスイートがある。これらの新しいプロトコルが自動車で制御可能であることは、現在ところ既知の事実ではない。

【0066】

新しい方法は、既存のデバイスを損なうことなく、既存のネットワークに組み込むことができる。既存のプロトコルを使用できるため、規格に反することはない。

【0067】

本方法の使用は、クロック同期コンポーネント及び埋め込みシステムを備えた他の通信システムでも可能である。

【0068】

コンピュータプログラム製品は、コンピュータ可読媒体又はデータキャリアに記憶され得る。データキャリアは、例えば、ハードディスク、ＣＤ、ＤＶＤ又はフラッシュメモリなどとして物理的な実施形態であり得るが、データキャリア又は媒体は、適切な受信機によりコンピュータによって受信することができ、且つコンピュータのメモリに記憶することができる変調された電気信号、電磁信号又は光信号も含み得る。

【0069】

少なくとも本発明によるネットワークデバイスは、マイクロプロセッサと、不揮発性メモリ及び揮発性メモリと、タイマとに加えて、少なくとも１つの物理通信インターフェースを備える。ネットワークデバイスのコンポーネントは、１つ又は複数のデータライン又はデータバスによって互いに通信可能に接続される。ネットワークデバイスのメモリは、マイクロプロセッサによって実行された場合、上述の方法の１つ又は複数の実施形態を実施するようにネットワークデバイスを構成するコンピュータプログラム命令を含む。

【0070】

本発明は、従来容易に見つけることができたグランドマスターの痕跡を、複数の偽の痕跡によって偽装又は隠蔽し、攻撃者がネットワーク内のグランドマスターの位置を定めることをより困難にして、グランドマスターを保護する。これにより、攻撃者は、もはやまったく攻撃ができなくなるか、又は少なくともかなりの時間を必要とすることになる。グランドマスターに同時に直ちに影響を与えない攻撃を検知することができ、必要な精度でシステムを同期させたままで適切な防御手段を取ることができる。

【0071】

本発明による方法は、既存のネットワークデバイスを使用して実装することができ、必要であれば、クロックを同期させるための初期化中に確認されたグランドマスタークロックに由来する時間同期に関連するメッセージを使用するだけでなく、時間同期に関連する追加メッセージを単に削除するのではなく転送するために、ソフトウェアにおける、又は時間同期に関連するメッセージの受信及び処理に使用される状態機械における調整のみが必要とされる。その結果、実装のために生じるのは、仮にあったとしても追加の低いコストのみである。既存のシステムでさえも、適切に改変されたソフトウェアにより、本方法を実施するように構成され得る。本発明による方法の別の利点は、特定の基礎となるハードウェアプラットフォームが、ＩＥＥＥ８０２．１ＡＳ規格にしたがった同期をサポートする限り、無関係であるということである。

【0072】

以下、図面を参照しながら、本発明を例として説明する。

【図面の簡単な説明】

【0073】

【図1】図１ａは、本発明によるイーサネットオンボードネットワークの例示的な実施形態を有する自動車の概略平面図を示し、図１ｂは、第１の接続経路、第２の接続経路、及び第３の接続経路を介して接続された第１の制御ユニット、第２の制御ユニット、及び第３の制御ユニットを有するイーサネットオンボードネットワークの概略図を示す。

【図1.1】図１．１は、既知の発振器の設計を示す。

【図2】図２は、検査されるノードの現在時間及びそのクロックジェネレータ特性の方法及び判定の完全なシーケンスを示す。

【図2.1】図２．１は、様々な水晶タイプの周波数－温度特性を示す。

【図3】図３は、各接続経路の伝送媒体のタイプを決定するための時間同期メッセージの暗号化のためのフローチャートを示す。

【図3.1】図３．１は、本発明による方法の一般シーケンスを示す。

【図4】図４は、時間同期が正常であるときの周波数ドリフトの鋸歯状モデルの図を示す。

【図4.1】図４．１は、イーサネット温度影響の時間同期のシステムモデルを示す。

【図5】図５は、非同期期間の計算のグラフを示す。

【図5.1】図５．１ａは、第１のＮＲＲ（自身のクロックに対する周波数オフセット）の確認を示し、図５．１ｂは、遅延時間測定の動作モデルを示す。

【図6】図６ａは、センサ融合のためにセンサのオフセットを判定するシーケンスを示し、図６は、最後の正常な同期の時間の確認を示す。

【図6.1】図６．１は、クロックレート（又は時間同期メッセージの到着）を変化させることによる温度変化の確認を示す。

【図7】図７は、個別の水晶周波数を判定するためのフローチャートを示す。

【図7.1】図７．１は、ＥＣＵにおける温度又は温度上昇分の確認を示す。

【図8】図８は、キーの計算及びメッセージの送信に関するフローチャートを示す。

【図8.1】図８．１は、ソフトウェア／リソースのリロケーションのための決定における本方法の使用を示す。

【図9】図９は、経時的なキーの使用に関するフローチャートを示す。

【図10】図１０は、イーサネットオンボードネットワークにおけるプログラムの適応に関するフローチャートを示す。

【図11】図１１は、イーサネットオンボードネットワークにおけるプログラムの適応に関するフローチャートを示す。

【図12】図１２は、信号の遅延時間の決定及び記憶に関するフローチャートを示す。

【図13】図１３は、イーサネットオンボードネットワークにおけるプログラムの実例的適応に関するフローチャートを示す。

【図14】図１４は、イーサネットオンボードネットワークにおけるプログラムの実例的適応に関するフローチャートを示す。

【図15】図１５は、最後の正常な同期時間に基づいて、受信されたデータの使用を評価するためのフローチャートを示す。

【図16】図１６は、制御ユニットの設計を示す。

【図17】図１７は、制御ユニットの通信からの生成された動的キーを有する暗号化されたリンクを示す。

【図18】図１８は、データ融合のユースケースの図を示す。

【図19】図１９は、データ融合のデータレコーダとのユースケースの図を示す。

【図20】図２０は、データ融合のための正しいデータの割り当ての図を示す。

【図21】図２１は、データ融合のための誤ったデータの割り当ての図を示す。

【図22】図２２は、同期時間が制限値を超える場合のデータの遡及的消去のためのシーケンスを示す。

【発明を実施するための形態】

【0074】

図中、同一又は類似の要素は、同一の参照符号で参照され得る。

【0075】

例示的な実施形態の説明
図１ａは、自動車１を平面図で示している。自動車１は、イーサネットオンボードネットワーク２を備える。一方、イーサネットオンボードネットワーク２は、例示的な実施形態によれば、複数の制御ユニット３、４、５を備え、これらは、制御装置又は制御デバイスとも呼ばれ得る。制御ユニットは、接続経路を介して互いに接続されている。例示的な実施形態におけるイーサネットオンボードネットワーク２の既存のトポロジーのために、制御ユニット間に複数のパラレル通信経路が存在する。接続経路は、例えば、異なる媒体タイプ又は材料から形成され得る。

【0076】

イーサネットの変形例の数が増加すると、例えば、接続速度における動的変化も使用されることになる。これは、例えば、実行時に速度が変更され得ることを意味する。例えば、１０Ｇｂｉｔ／ｓの接続経路は、エネルギーが節約されるように、１００Ｍｂｉｔ／ｓに変更され得る。これは動的な機能であるため、例えば、オンボードネットワークは、ソフトウェアの更新後又は障害状況時よりも、納品後又は自動車への初期インストール後の異なる形態である場合にあてはまる。

【0077】

イーサネットオンボードネットワーク２は、少なくとも１つの第１の制御ユニット３と、第２の制御ユニット４と、追加的に第３の制御ユニット５とを備える。第１の制御ユニット３は、第１の接続経路６によって第２の制御ユニット４に接続されている。更に、例示的な実施形態による第１の制御ユニット３はまた、第２の接続経路７によって第２の制御ユニット４に接続されている。

【0078】

第１の制御ユニット３、第２の制御ユニット４、及び／又は第３の制御ユニット５は、例えば、制御デバイス又はネットワークスイッチの形態であり得る。第２の制御ユニット４及び第３の制御ユニット５は、第３の接続経路８によって互いに接続されている。

【0079】

図１ａの例示的な実施形態によれば、第１の制御ユニット３及び第２の制御ユニット４は、第１の接続経路６を介して互いに直接接続される一方で、第１の制御ユニット３及び第２の制御ユニット４は、第２の接続経路７が更なる制御ユニットによって２つの部分に分けられるため、第２の接続経路７を介して間接的にのみ接続される。しかしながら、別の例示的な実施形態によれば、第２の接続経路７は、第１の制御ユニット３及び第２の制御ユニット４を互いに直接接続することもできる。

【0080】

一般的に言えば、本方法は、同期時のエラーを検出するのに適している。

【0081】

図２に示すように、非同期の持続時間、又は同期が正しく実行された時間及び最後の時間を計算又は判定することが可能である。既存の同期に基づいて、本方法は、例えば、同じＥＣＵ内に配置され得る「自分の」隣接ＥＣＵ又は「隣接」ＣＰＵの、ネットワーク内のクロックの誤りを確認することを提案する。これらの確認されたデータに基づき、「自分の」自身のクロック又はグランドマスターのクロックと併せて、このコンポーネントのタイムスタンプ、及び同期間隔を使用して、最後の同期からの経過時間を計算することができる。したがって、最後の正常な同期がいつ行われたかを確認することが可能である。確認時間とも呼ばれる時間において、依然として同期しているか否かを知ることが望ましい制御デバイスのＥＣＵからのタイムスタンプが記録される。次いで、一連のパラメータが、図４に例として表されているように、同期間隔の数を確認し、又はこのコンポーネントがいつから正常に同期されなくなったかを確認するための基礎として採用される。

【0082】

したがって、本方法は、ノードの最後の正常な同期がいつ行われたか、したがってノードがもはや同期されなくなった期間も判定する。これは、センサデータが信頼できるか否か、したがって使用可能か否かを判断するための基礎である。

【0083】

図４は、一般に、メッセージベースの時間同期での同期を示している。同期メッセージが到着した後、内部クロック又はオフセットが調整される。次いで、クロックは、次の同期までその独自の特性で稼働し続ける。

【0084】

図２からわかるように、本方法は、ノード、又はμＣ、又はスイッチ、又はＥＣＵ全体、又は制御ユニット３、４、５にその時間について尋ねるか、その時間をタイムスタンプにより読み取ることによって開始する。この値は、記憶される。本方法は次に、８０２．１ＡＳプロトコル（Ｐｄｅｌａｙ照会）によって、タイマの周波数ドリフトを判定する。このように、実際には遅延時間を測定するのに役立ち、少なくとも送信されるサイクリックメッセージを使用して、このＥＣＵ／μＣ、又はＥＣＵ全体、又は制御ユニット３、４、５のクロックジェネレータが動作する速度を計算する。

【0085】

遅延時間の測定には、図３のシーケンスにしたがった手順が使用される。１つのポートであるイニシエータは、接続されるポートであるレスポンダにＤｅｌａｙ＿ｒｅｑｕｅｓｔメッセージを送信することによって測定を開始し、終了タイムスタンプｔ１を生成する。この終了タイムスタンプは、イーサネット送受信機を離れるときに、できるだけ遅く書き込まれるハードウェアタイムスタンプを示す。このパケットが到着すると、レスポンダは、タイムスタンプｔ２を生成する。それに応じて、レスポンダは、Ｄｅｌａｙ＿Ｒｅｓｐｏｎｓｅメッセージを送信する。このメッセージでは、Ｄｅｌａｙ＿Ｒｅｑｕｅｓｔメッセージ用の受信タイムスタンプｔ２を送信する。このメッセージがレスポンダを離れると、レスポンダは次いで、タイムスタンプｔ３を生成し、これは、直後のＤｅｌａｙ＿Ｒｅｓｐｏｎｓｅ＿Ｆｏｌｌｏｗ＿Ｕｐメッセージで送出される。イニシエータがＤｅｌａｙ＿Ｒｅｓｐｏｎｓｅメッセージを受信すると、タイムスタンプｔ４を生成する。イニシエータは、４つのタイムスタンプｔ１～ｔ４を使用して、カバーされるルートの平均遅延時間を計算することができる。

【0086】

ＰＴＰは、ネットワーク内でベストクロックを有するマスター／スレーブクロック階層を定義する。このネットワーク内のノード用のタイムベースは、このクロック、グランドマスターから導出される。ベストマスタークロックアルゴリズム（ＢｅｓｔＭａｓｔｅｒＣｌｏｃｋＡｌｇｏｒｉｔｈｍ（ＢＭＣＡ））は、このクロックタイプを判定し、この情報をネットワークでアナウンスするために使用される。ＩＥＥＥ８０２．１ＡＳ互換システムは、クラウドでのベストクロックに関する情報を有するＡｎｎｏｕｎｃｅメッセージを隣接ノードに周期的に送信する。そのようなメッセージの受信者は、この情報を、そのクロックの機能及び別のポートから既に受信している任意のメッセージと比較する。これらのメッセージに基づいて、時間同期スパニングツリーが設定される。このプロセス中、各ポートには、４つのポートステータスのうちの１つが割り当てられる。そのリンクパートナよりもグランドマスターに対する経路が短いポートには、「マスターポート」ステータスが付与される。「スレーブ」ステータスは、このノードの他のいずれのポートも依然としてこのステータスを有していない場合に割り当てられる。無効は、ＰＴＰプロトコルを完全にサポートすることができないポートによって選択される。他の３つの状態のいずれにも該当しない場合は、「パッシブ」状態が選択される。

【0087】

最後に、時間情報は、Ｓｙｎｃ＿Ｆｏｌｌｏｗ＿Ｕｐメカニズムによって交換される。マスターポートは、Ｓｙｎｃメッセージ及びＦｏｌｌｏｗ＿Ｕｐメッセージを、隣接するリンクパートナに周期的に送信する。同期メッセージがマスターポートを離れると、タイムスタンプが生成され、後続のＦｏｌｌｏｗ＿Ｕｐメッセージにおいて直ちに送信される。このタイムスタンプは、同期メッセージが送信された時点におけるグランドマスターの現在の時間に対応している。グランドマスターから生じたメッセージは転送されないが、スイッチを含む各ノードにおいて再生成される。

【0088】

図６ａに示すように、クロックジェネレータの速度は、ＰＴＰＮＲＲ（隣接レート比）法を使用して確認又は計算され得る。周期的なＰＤｅｌａｙメッセージが、基準クロックに対するクロックジェネレータの速度（オフセット）を計算するために使用される。読み取り又は照会時間（Ｔｓｕｓｐｅｃｔ）は、現在のシステム時間（Ｔｒｅｆｅｒｅｎｃｅ）、したがって、信頼される時間、すなわち、グランドマスター又はデータが重要である時間のいずれかに割り当てられる。検査すべきコンポーネントがセンサの場合、センサの融合時間が基準として使用され得る。これは、２つの時間の差分が最初に確認されることを意味する。
Ｔｄｅｖｉａｔｉｏｎ＝Ｔｒｅｆｅｒｅｎｃｅ－Ｔｓｕｓｐｅｃｔ

【0089】

同期周波数は、最初に、Ｔｄｅｖｉａｔｉｏｎが最大でどれだけの大きさであるべきかを計算するために使用され得る。イーサネットの場合、ＰＨＹ（送受信機）とＭＡＣとの間のインターフェースは、時間情報を記録するための最も信頼のおけるインターフェースである。このインターフェース（ｘＭＩＩ）は、２５ＭＨｚの公称周波数ｆでクロックされる。自動車用イーサネットＡＶＢ／ＴＳＮ互換の実装用の水晶は、±１００ｐｐｍの最大誤り率ｆｏを超えてはならない。したがって、インターフェースに関連して考えられる最悪の水晶は、以下の式にしたがって、公称周波数ｆに対して５ｋＨｚの周波数偏差を引き起こす。
ｄｆ＝（ｆ＊ｆｏ）／１０＾６

【0090】

最大周波数（２５００２５００Ｈｚ）と最小周波数（２４９９７５００Ｈｚ）との間の周期の変化は、４０ｎｓの持続時間の周期に対して８ｐｓである。このことは、４０ｎｓの間に、２つの水晶（ひいては２つのＥＣＵ）は、＋２５℃で８ｐｓの最大時間差を有し得ることを意味する。１２５ｍｓの標準的な同期間隔ではそれぞれ、４０ｎｓの周期が３１２５０００回だけ可能であり、これは２５μｓの最大偏差に対応する。

【0091】

ＩＥＥＥ８０２．１ＡＳ仕様によれば、同期間隔は、３１．２５ｍｓ～３２秒であり得る。これは、最小間隔に対して６．２５μｓ、最大間隔に対して６．４ｍｓの最悪の場合の偏差を意味する。

【0092】

図６ｂは、クロックジェネレータの速度、及び同期間隔Ｔｄｅｖｉａｔｉｏｎの知識を確認することによって、本方法が上述の式を使用して、最後の同期がいつ行われたかを計算する方法を概略的に示している。

【0093】

図１ｂに示すイーサネットオンボードネットワーク２の例示的な実施形態では、第１の制御ユニット３、第２の制御ユニット４、及び第３の制御ユニット５が含まれる。更に、イーサネットオンボードネットワーク２はまた、第１の接続経路６、第２の接続経路７、及び第３の接続経路８を有する。例示的な実施形態によれば、第１の接続経路６上の第１の信号１０の遅延時間９が判定される。遅延時間９は、第１の信号１０が第１の接続経路６を介して第１の制御ユニット３から第２の制御ユニット４まで、又はその逆に通過する時間の長さを表す。第１の接続経路６の最大速度１１は、第１の信号１０の遅延時間９に基づいて判定される。この場合、第１の接続経路６の最大速度１１は、例えば、ケーブルの長さ、伝送速度及び／若しくは媒体タイプ、又は伝送媒体のタイプに応じて変化する。第１の接続経路６の伝送媒体１２のタイプは、最大速度１１に基づいて判定される。

【0094】

この例示的な実施形態によれば、伝送媒体１２のタイプは、光学式、銅、又は無線として判定される。光学式の場合、第１の接続経路６は、例えば、光ファイバ接続の形態である。銅の場合、第１の接続経路は、例えば、ツイストペア線を有するケーブル、例えば、シールドなしツイストペア（ＵＴＰ）ケーブルによって形成される。無線の場合、第１の接続経路６は、実質的に無線リンクの形態であり、第１の制御ユニット３及び／又は第２の制御ユニット４は、無線受信機及び／若しくは無線送信機を有するか、又は無線受信機及び／若しくは無線送信機に接続される。

【0095】

制御ユニット３は、オンボードネットワークを介してデータを制御ユニット４に転送するための遅延時間を確認する。重要な要因は、遅延時間が、第１の制御ユニット３から制御ユニット４までの伝送経路の実際の物理的状態に基づいて何らかの形態で確認されること、すなわち、伝送経路の物理的状態又は特性が存在し、それが変化すると、確認された遅延時間に変化がもたらされることである。

【0096】

この場合、１つの制御ユニット３は、ネットワークを介してデータを制御ユニット４に転送するための遅延時間を確認する。これは、別の方法で行うことができる。例えば、遅延時間は、例えば、時間同期規格ＩＥＥＥ８０２．１ＡＳ及びそこに含まれるＰＴＰプロトコルにしたがって、第１の加入者と第２の加入者との間の時間同期の過程で発生し得る。したがって、このプロトコルの範囲内で実装された「遅延要求」メッセージ及び「ピア遅延」メッセージは、例えば、データパケットとして使用され得る。しかしながら、本方法はこのことに限定されない。重要な要因は、遅延時間が、第１の加入者／制御ユニット３から第２の加入者／制御ユニット４までの伝送経路の実際の物理的状態に基づいて何らかの形態で確認されること、すなわち、伝送経路の物理的状態又は特性が存在し、それが変化すると、確認された遅延時間に変化がもたらされることのみである。

【0097】

更に、第１の制御ユニット３は、原則として、対向する制御ユニット４のＰＬＬ及び水晶の速度から導出されるメッセージ周波数を確認する。制御ユニット３は、温度や経年変化などにより絶えず変化するこれら２つの値から、これらの時間メッセージを暗号化するためのキーを導出する。

【0098】

時間同期メッセージは、生成された動的キーを使用して暗号化され、動的キーは、一般的に表現すると、接続パートナに関連する個別のパラメータから導出され得る。

【0099】

図３に示すように、個別の絶えず変化するキーは、ライン遅延２２１及びメッセージ周波数２１３に基づいて追加的に生成される。このキーは、単位時間当たりで固有のものであり、また、リンクごとに異なる。この手法の結果として、ネットワークにキーが２回存在することはない。ポイントツーポイントライン遅延及び水晶の周波数の組み合わせからキーを生成することにより、第１にキーが絶えず変化し、第２に車両ネットワーク内の各リンクで異なることになるため、キーはそれを回避しようとする試みに対して特に抵抗力がある。

【0100】

２つの値は、直接組み合わせて使用することも、他の静的な値で拡張することもでき、キーを生成するために、例えばアドレスなどを、両方の制御デバイスに知られている必要がある。それぞれの制御ユニットは、両方の制御ユニット、又は加入者／リンクパートナで方法を実行することができ、暗号化用の個別のキーを取得するために、そこからランダムな値を確認することができ、このキーは短時間しか有効ではない。キーは、時間同期に使用されるため、いかなる追加の作業も表さない、先行する測定に基づいて、何度も変更される。

【0101】

伝送媒体１２のタイプは、イーサネットオンボードネットワーク２内のプログラム１３に伝達される。プログラム１３は、例えば、第１の制御ユニット３、第２の制御ユニット４、若しくは第３の制御ユニット５、又はイーサネットオンボードネットワーク２の更なる制御ユニット内に存在することができる。伝送媒体１２のタイプは、接続経路の選択１４を適合させるための基礎として採用される。したがって、プログラム１３は、例えば、接続経路の選択１４を使用して、接続経路の選択の前とは異なる接続経路を介してデータを送信することができる。しかしながら、プログラム１３はまた、例えば、接続経路の選択１４によってデータの送信を中断することができ、後でそれを再開することができる。

【0102】

例示的な実施形態によれば、伝送セキュリティ値１５は、伝送媒体１２のタイプに基づいて、第１の接続経路６に割り当てられる。伝送セキュリティ値は、接続経路を介して送信されたデータが失われる確率を表す。すなわち、伝送セキュリティ値１５は、第１の接続経路を介してデータをどれだけ確実に送信できるかに関するステートメントを許可する。これは、エントロピーソース２００に供給される。例えばセキュリティ限界値に到達せず、且つデータが不確実に伝送され得るのみである場合は、データが目的地に遅延して到達すること、又はデータが最新であることを求める要件のためにデータを再び送る価値がない場合は、目的地にまったく到達しないことが予期されなければならない。

【0103】

更なる例示的な実施形態によれば、第１の接続経路６上の複数の信号の遅延時間が判定され、複数の信号の最速遅延時間が選択される。次いで、第１の接続経路６の最大速度１１が、最速遅延時間に基づいて判定される。

【0104】

制御ユニットは遅延測定を開始し、リンクパートナメッセージの受信を待機する。ＰＴＰの例を使用したメッセージの受信に基づいて、ライン遅延が測定され得る。一方のリンクパートナが遅延測定を開始した場合、他方のリンクパートナは必然的にこれに気付くことになり、また、これら２つの測定が関連する測定値を生成することもできるように、測定を開始する必要がある。

【0105】

第２の接続経路７及び／又は第３の接続経路８用の伝送媒体１２のタイプはまた、上述の手法と同様に判定され得る。

【0106】

それぞれの記録値は異なり、秘密のままであり、毎回、制御デバイスに記憶され、且つネットワークを介して送信されることもない（送信される必要もない）。単なる試行錯誤によるキーの発見は、十分にありそうもない。個別のキーは、２つの値を考慮して生成される。第１に、各水晶の周波数は異なり、第２に、各リンクのライン遅延は異なる。ここで、２つの変動する値が一緒に加算され、推測が更に難しい第３の値（キーの値）が与えられる。ライン遅延は、通常、５０～５００ナノ秒の範囲にあり得、周波数は、パラメータであって、＋／－ｐｐｍ単位で与えられる。往復のライン遅延は同じチャネルに基づいており、それゆえ、リンクの両側での計算値は同じである。したがって、パラメータを交換する必要はない。これは、両方のパートナがほぼ同時にキーを生成するための同じ値を有していることを意味する。一方のリンクパートナは、最後の測定から得られたこれら２つの値を使用して暗号化し、他方のリンクパートナは、その最後の値を使用して復号する。

【0107】

したがって、第２の接続経路７上で第２の信号１７の遅延時間１６を判定することも提供される。次いで、第２の接続経路７の最大速度１８が、第２の信号１７の遅延時間１６に基づいて判定される。次に、第２の接続経路７の伝送媒体１９のタイプが、第２の接続経路７の最大速度１８に基づいて判定される。

【0108】

新しいライン測定が実行されない限り、現在のキーＡ１を使用することが有利である。このようにして、リンクパートナは、新しいライン測定が事前に開始されていない場合に使用するキーを常に認識している。新しいキーは、例えば事前定義された頻度で、周期的に生成され得る、又は必要に応じて、トリガによって、若しくは常に重要なメッセージが送信される直前に開始され得る。

【0109】

第１の制御ユニット３及び第２の制御ユニット４の両方、並びにまた第３の制御ユニット５は、通常動作モード又は省エネモードで動作し得る。省エネモードでは、それぞれの制御ユニットは、通常動作モードよりも消費するエネルギーが少ない。例えば、省エネモードでは、それぞれの制御ユニットのポートの速度を、通常動作モードの速度と比較して低下させることができる。低下したポートの速度は、次に、対応する接続経路の対応する最大速度にも影響を与える。

【0110】

更なる例示的な実施形態によれば、サービスメッセージ２０は、第１の制御ユニット３から第３の制御ユニット８に送信され得る。次いで、第３の信号２２の遅延時間２１の判定が、サービスメッセージ２０によってトリガされる。第３の信号２２は、第２の制御ユニット４と第３の制御ユニット５との間で送信される。例示的な実施形態によれば、第３の信号２２の遅延時間２１は、第３の制御ユニット５によって判定される。

【0111】

図１０は、遅延時間を判定するための方法の一般的な説明を提供している。ステップＳ１において、第１の信号１０の遅延時間９が判定される。ステップＳ２において、伝送媒体１２のタイプが判定される。最後に、ステップＳ３において、プログラム１３が適合される。ステップＳ４において、第１の信号１０の遅延時間９が判定される。結果として、ステップＳ５において、伝送媒体１２のタイプが判定され得る。一方、伝送媒体１２のタイプは、以下のパラメータ、すなわち、速度２３、媒体２４、ケーブル長２５、電力伝送２６、ビットエラー率２７を含み得る。そして最後に、ステップＳ６において、プログラム１３の適合及び接続経路の選択１４が続く。

【0112】

この例によれば、接続された制御ユニット間、又はコントローラ間の信号の遅延時間を測定することが提案される。例えば、規格ＩＥＥＥ１５８８又はＩＥＥＥ８０２．１ＡＳの方法を使用して、遅延時間９、１６、及び２１を測定することができる。方法はまた、例えば、それぞれの遅延時間９、１６、及び２１を判定するために、ＴＴＥｔｈｅｒｎｅｔ（時間トリガイーサネット：ｔｉｍｅｔｒｉｇｇｅｒｅｄＥｔｈｅｒｎｅｔ）によって提供され得る。

【0113】

図１２は、それぞれの遅延時間９、１６、及び２１の判定を示している。遅延時間のローカル及び非ローカル照会について説明する。プログラム１３は、特に少なくとも１つの制御ユニット上で実行され、好ましくはまずローカルでローカル遅延時間を判定する、又は２つ以上の制御ユニットが直接接続されている場合の遅延時間を判定する。次いで、他の制御ユニットは、好ましくは、サービス指向の方法、例えば、ＳＯＭＥ／ＩＰ（スケーラブルサービス指向ミドルウェアオーバＩＰ：ＳｃａｌａｌｂｅＳａｒｃｅｏｒｉｎｅｄＭｉｄｗａｒｅｔｏｖｅｒＩＰ）によって、隣接者に対する遅延時間について照会される。これは、集中的に、又は分散的な方式のいずれかで実施され得る。照会は、システムの起動時、定義時、又はソフトウェアの更新後に１回実行することも、動的変化を検出するために周期的に実行することもできる。これらのデータは次いで、特に制御ユニットのアドレスを含めて、最初に記憶されて割り当てられる。ステップＳ７において、直接接続された制御ユニットに対するそれぞれの遅延時間が判定される。ステップＳ８において、他の接続経路のそれぞれの遅延時間が照会される。ステップＳ９において、それぞれの遅延時間及びそれに関連する接続パートナが記憶される。

【0114】

図１３は、基準測定値に基づいて他の速度を導出するための更なる方法を示している。例えば、現在の温度が非常に高い場合、又は使用されているケーブルが劣悪な場合、事前記憶された値が過度に不正確になる可能性があり得る。したがって、アプリケーション又はプログラム１３自体が、特にそこから導出及び計算され得るそれ自身のパラメータ及び他の速度に照らして、それ自身の制御ユニットで測定を実行することが提案される。ステップＳ１０において、ローカルイーサネットポートごとに１つの分析が実行される。ステップＳ１１において、チャネルパラメータが既知であるか否かのテストが実行される。既知でない場合、ステップＳ１２が続き、本方法は終了する。既知である場合、ステップＳ１３が続き、そこで、それぞれの遅延時間９、１６、及び２１が判定される。ステップＳ１４において、記憶が行われ、判定された遅延時間はチャネルパラメータに関連している。ステップＳ１５において、基準値の一覧が作成される。

【0115】

図１４は、伝送媒体１２、１９のタイプの知識による可能な最適化を示している。ステップＳ１６において、伝送媒体１２、１９のタイプが銅であるか否かについての判定がなされる。銅である場合、ステップＳ１７が続き、そこで、ＰｏＤＬ（電力オーバデータライン：ＰｏｗｅｒｏｖｅｒＤａｔａＬｉｎｅｓ）、すなわちイーサネットを介した電力供給が可能であることが確認される。ステップＳ１６における判定が、媒体が銅ではないということである場合、ステップＳ１８が続く。ステップＳ１８において、伝送媒体１２のタイプが光学式であるか否かを確認するためのチェックが実行される。光学式である場合、ステップＳ１９が続く。ステップＳ１９において、ビットエラー率がより低く、したがってこの接続経路の信頼性がそれゆえより高いことが見いだされる。ステップＳ２０において、必要でない場合に制御ユニット３、４、５のＲＸ（受信ユニット）又はＴＸ（送信ユニット）を非アクティブ化する任意選択が提供される。

【0116】

ステップＳ１８における判定が、伝送媒体１２の媒体又はタイプが光学式ではないということである場合、ステップＳ２１において、関連する接続経路としてのそれぞれの接続経路が、直接ＭＩＩ（媒体独立インターフェース：ＭｅｄｉａＩｎｄｅｐｅｎｄｅｎｔＩｎｔｅｒｆａｃｅ）接続の形態であると想定される。この場合、それぞれの制御ユニットは、例えば、ＩＥＥＥ８０２．１ＣＢ（冗長性のためのフレーム複製及び除去：ＦｒａｍｅＲｅｐｌｉｃａｔｉｏｎａｎｄＥｌｉｍｉｎａｔｉｏｎｆｏｒＲｅｄｕｎｄａｎｃｙ）に適している。

【0117】

伝送速度の知識から、更なる任意選択が生じる。現在のデータストリームと組み合わせることにより、例えば、高帯域幅接続を使用してデータを計画的に送信することができるため、不要な他の接続経路を非アクティブ化して、エネルギーを節約することが可能になる。

【0118】

加えて、高帯域幅接続の場合、冗長メカニズム（ＩＥＥＥ８０２．１ＣＢなど）を使用する任意選択が存在する。この場合、データは冗長な方式で継続的に送信されるため、この目的に対して高い帯域幅が必要である。伝送経路の速度に応じてアプリケーションを適合させることもまた考えられる。カメラは、例えば、リンク又は接続経路６、７、８の速度に応じて、送信すべき画像データの解像度を適合させることができる。

【0119】

マイクロプロセッサ４０２に加えて、図１６の制御ユニット３、４、５は、揮発性及び不揮発性メモリ４０４、４０６、２つの通信インターフェース４０８、及び同期可能なタイマ４１０を備える。ネットワークデバイスの要素は、１つ又は複数のデータ接続又はデータバス４１２を介して互いに通信可能に接続される。不揮発性メモリ４０６は、マイクロプロセッサ４０２によって実行されると、本発明による方法の少なくとも１つの実施形態を実施するプログラム命令を含み、エントロピーソースは、揮発性及び／又は不揮発性メモリ４０４、４０６内に形成され、上記エントロピーソースは次いで、接続経路６用の動的キー２８を形成するために使用される。復号中の動的キーの復号シーケンスを図１７に示す。

【0120】

図１５は、受信したデータの使用が、その最後の正常な同期時間に基づいてどのように評価されるかを示している。このシーケンスを使用して、記憶しようとされているチェックデータもまた、それぞれの使用に適しているか否かを確認することができる。これは、上記データがデータレコーダに記憶されている場合に特に有利である。データの内容もまた正しいか否かは、データレコーダにとって非常に重要である。事故が発生した場合、例えば、カメラが歩行者を検知したか否かは重要である。誤ったデータが記録された場合、又は誤った時間を有するデータが記録された場合、記録は無効であり、本方法なしではそのように検出することはできない。

【0121】

照会コンポーネントは、図２２に示すように、データストリーム及びその送信者を分析する。本方法は、データが最後に信頼されたのはいつかを確認するための基礎として使用され得る。公称制限値は、機能、システム製造業者、又はユースケース自体のいずれかによって判定される。上記ユースケースは、ＥＣＵごと及びユースケースごとに異なる場合がある。この制限値に基づいて、データは有効、無効、又は信頼できないものとして分類され得る。

【0122】

図１８及び図１９は、時間同期が非常に重要であり、且つ本方法が使用される２つのユースケースを示している。第１に、異なるセンサ／制御デバイスからの異なるデータを融合する必要があり、上記データは時間情報に基づいてセンサメッセージに含まれ、第２に、エラーが発生した場合の証拠を得るために記憶することもできる。

【0123】

図２０は、データのタイムスタンプが、正しいデータを時間に割り当てることができるように、データの融合及び記憶の両方の基礎として使用されることを示している。

【0124】

図２１は、融合ユニット、又は例としてデータレコーダにおける異なるセンサデータフレームの到着を示している。後者では、到着した順序ではなく、先行する時間同期に基づいたそれらのタイムスタンプにしたがって、データを割り当てる。ネットワーク内のデータは異なる長さの経路をたどる必要があるため、並べ替えは通常、記録されたときのこれらのセンサデータの作成に基づく。

【0125】

図２１は、タイムスタンプが誤っていること、すなわち、融合中にセンサデータにおいて不一致が生じ、その結果、時間同期が誤っていることを示しており、ここで提案される方法は使用されていない。本方法により、イーサネットオンボードネットワークのリアルタイム機能に対するクロック同期の正確性及び精度が向上する。同期プロトコルの品質の測定は、何よりもその達成可能な同期精度であり、これは追加情報として本方法から導出され得る。

【0126】

図２２は、同期時間が制限値を超える場合にデータの遡及的消去がどのように行われるかについてのシーケンスを示している。本方法はまた、例えば、データレコーダのユースケースのように、データが既に記憶されている（又はちょうど記憶されようとしている）場合にも使用される。データの内容もまた正しいか否かは、データレコーダにとって非常に重要であり、例えば、事故が発生した場合、カメラが歩行者を検出したか否かが重要である。誤ったデータ、又は誤った時間を有するデータが記録された場合、記録は無効になる。照会コンポーネントは、図２２に示すように、データストリーム及びその送信者を分析する。本方法は、データが最後に信頼されたのはいつかを確認するための基礎として使用され得る。公称制限値は、機能、システム製造業者、又はユースケース自体のいずれかによって判定される。上記ユースケースは、ＥＣＵごと及びユースケースごとに異なる場合がある。この制限値に基づいて、データは有効、無効、又は信頼できないものとして分類され得る。

【0127】

照会コンポーネントは、センサデータストリームなどのコンポーネントの記憶されたデータセットを検査するために順序をチェックしようとするデータレコーダ、クラウドストレージユニットであり得る。これは、例えば、アドレス、ストリーム、又はタイムスタンプをチェックすることによって遂行され得る。この目的のために、最後の正常な同期がチェックされ、データが最後に有効になった時間が確認される。メモリがチェックされ、誤って同期されたデータセットはリジェクトされる。

【0128】

図１．１は、発振器の既知の設計を示している。図１ａに示すような、水晶発振器回路において使用される発振する水晶は、通常、水晶の薄板、棒、又はフォーク（音叉型など）であり、電気電圧によって、機械的形状変化を経るようにされ、その結果、電気電圧を発生させ得る。その反応は、圧電性結晶の機械的な振動モードによって与えられる。

【0129】

特定の周波数、すなわちその共振周波数を有するＡＣ電圧下で発振する水晶が励起されて、特に強い共振振動が発生する（圧電発音体もこの特性を有する）。適切な結晶カットが施される場合、温度又は振幅などの周囲の影響とはほとんど独立であるため、０．０００１％超の長期安定性を有する精密クロックジェネレータとして使用される。

【0130】

発振する水晶板は、次の２つの電気的に区別可能な電気／機械モードを有する：
直列共振の場合では、ＡＣ電流に対する水晶板の皮相抵抗は特に低く、水晶板は、コイル及びコンデンサによって形成された直列回路のように振る舞う。
並列共振の場合では、皮相抵抗は特に高い。そのため、水晶板は、ＤＣ電流が流れることができない（水晶は極めて優れた絶縁体である）という特別な特徴を備えた、コンデンサ及びコイルによって形成された並列回路のように振る舞う。

【0131】

並列共振は、直列共振よりも約０．１％高い。また、かなりの振動運動が、基本周波数の３倍、５倍などに見られる。よって、９ＭＨｚの共振周波数を有する水晶も２７ＭＨｚ又は４５ＭＨｚで発振させることができる。調和結晶が、特に適するため、これらの調和振動を妨げないように、対応する懸架部を有する。

【0132】

水晶発振器における発振する水晶の動作点は、上述の固有振動数間にある。この周波数範囲では、発振する水晶は、コイルのように誘導的に振る舞う。その公称容量性負荷と併せて、水晶発振器は、その公称負荷共振周波数で発振する。公称周波数からのわずかな偏差が生じ得る、又は公称負荷容量からの変化／偏差によって補償され得る。

【0133】

既に述べたように、周波数は、若干温度依存性である。温度応答性に関してより多くが要求される場合のために、温度補償型水晶発振器（ＴｅｍｐｅｒａｔｕｒｅＣｏｍｐｅｎｓａｔｅｄＣｒｙｓｔａｌＯｓｃｉｌｌａｔｏｒ、ＴＣＸＯ）が存在する。これは、図１．１ｂに示すように、通常、水晶の温度依存の周波数変化を打ち消す制御電圧を発生させるサーミスタの使用を含む。このようにして発生された電圧は、通常、可変容量ダイオードに印加され、その結果、変化した容量によって水晶発振器の周波数が修正される。

【0134】

より高い精度が要求とされる場合、図１．１ｃに示すように水晶恒温槽が使用される。この場合では、水晶は、雰囲気温度に依存する影響を最小化するために温度制御されたハウジングに組み込まれる。内部にある水晶は、例えば、７０℃に電気的に加熱される。この設計は、恒温槽付水晶発振器（ＯｖｅｎＣｏｎｔｒｏｌｌｅｄＣｒｙｓｔａｌＯｓｃｉｌｌａｔｏｒ、ＯＣＸＯ）と呼ばれる。それぞれの場合における、「Ｘ」は「Ｃｒｙｓｔａｌ（水晶）」の短縮形である「Ｘｔａｌ」を表す。

【0135】

図２．１は、様々な水晶タイプの周波数－温度特性を示している。ＡＴ水晶が自動車分野ではイーサネットに使用される。

【0136】

既に説明したように、周波数は、若干温度依存性である。本発明は、水晶のこの特性を利用して、これから温度変化を導出する。図３．１に示すように、温度変化は、水晶ひいてはイーサネット送受信機の未制御ＰＬＬに直接影響する。これは、その後、周期的ＰＴＰメッセージを送信するためのクロック信号の生成に影響する。自動車分野では、ＡＴカット水晶が、温度安定性が良好であることから、イーサネットには常に使用される。更に、温度の影響は常に予測可能な影響である。

【0137】

図３．１は、イーサネットの時間同期のシステムモデル、及び温度変化が水晶ひいてはイーサネット送受信機の未制御ＰＬＬ与える影響を示している。これは、その後、周期的ＰＴＰメッセージを送信するためのクロック信号の生成に影響する。自動車エンジニアリングでは、ＡＴカット水晶が、温度安定性が良好であることから、イーサネットには常に使用される。更に、温度の影響は常に予測可能な影響である。

【0138】

図４．１では、提案される方法は、遅延時間測定の開始によって説明され、開始される。この場合では、ＰＤｅｌａｙ＿Ｒｅｑｕｅｓｔメッセージがネットワークを介してＥＣＵに送信される。上記ＥＣＵは、ＰＤｅｌａｙ＿Ｒｅｓｐｏｎｓｅメッセージ及びＰＤｅｌａｙ＿Ｒｅｓｐｏｎｓｅ＿ＦｏｌｌｏｗＵＰメッセージで応答する。これらのメッセージ及びその到着時間（ハードウェアタイムスタンプ）は、ＮＲＲ、すなわち自身のクロックに対する周波数オフセットを計算するために使用され、つまり、ここでは２つのクロックジェネレータ間の周波数オフセットが測定され得る。

【0139】

追加的に、遅延時間測定（ノード（ケーブル＋ＰＨＹ）間の遅延の測定）は、隣接レート比を確認することを可能にする。ＮＲＲは、２つのクロック（２つのＰＨＹ又はＥＣＵの水晶）間の周波数オフセットを測定する。例えば、これにより差分の大きさがｐｐｍ単位で確認される。このことは、イーサネットがソフトウェアタイムスタンプの代わりにハードウェアタイムスタンプ使用するため、可能である。

【0140】

ＮＲＲ＝１は、両方の水晶／ＰＬＬがまったく同じ速度で稼働している（製造上の公差によれば、事実上不可能である）ことを意味する。ＮＲＲ＝０．９９９９８は、水晶が２０ｐｐｍだけ遅く稼働していることを意味する。

【0141】

本方法は、コンポーネント（これは、ＰＣＢによってＥＣＵ内でも機能する）間における遅延時間の測定によって水晶のクロックレートを継続的に判定する。これらのデータは、ロギングされ、既に記録された値と比較される。（自身のローカルクロック／クロックジェネレータを常に考慮に入れて）偏差が変化する場合、初めて、温度上昇が基調となっているか温度低下が基調となっているかを確認することが可能になる。（経年変化もクロックジェネレータに影響するが、非常にゆっくりと影響し、連続的になされる測定にはまったく影響しない。）

【0142】

基準測定が存在する場合、つまり、クロックタイミングが所与の温度に対してどのくらい速いか遅いかを判定する又は割り当てることができる場合、温度もまた直接導出され得る。この温度に基づいて、反応は、例えば、エラー（フィードバック、エラーコード・・・）又は同期の適合であり得る。

【0143】

例：図２．１によれば、２０ｐｐｍだけ遅いクロックは、測定パートナが室温にある場合、約６０度の現在の雰囲気温度で動作する。

【0144】

温度を把握しようとしているコンポーネントは、例えば、ソフトウェアをリロケートしようとしている、又は空きリソースを探している中央ＥＣＵのネットワークマネージャであり得る。取得された温度（温度変化）に基づいて、ユニットは、ソフトウェアを転送するか、さもなければソフトウェアをそこに移動させるかを決定し得る。

【0145】

サーバコンポーネントの利用可能なリソースに基づいて、本方法は、崩壊寸前ではないコンポーネントにソフトウェアをリロケートするために使用され得る。

【0146】

説明された方法は、機能及びアプリケーションが他の制御ユニット／プロセッサに（動的に）転送される、すなわち、他の制御ユニット／プロセッサも最適化することを可能にする。このことは、ライブマイグレーション、リアロケーション、又はマイグレーションと呼ばれる。

【0147】

本明細書で説明される手法のおかげで、ハードウェアが一般化し、ソフトウェアがプラットフォームへの依存度が低くなったため、今初めて、異なるＥＣＵにもソフトウェアを実装する可能性が存在する。したがって、どのソフトウェアがどの制御ユニット（サーバ）上で稼働するかは、システムが設計される時点では必ずしも確定していない。

【0148】

図７．１で説明したように、温度を把握しようとしているコンポーネントは、例えば、ソフトウェアをリロケートしようとしている、又は空きリソースを探している中央ＥＣＵのネットワークマネージャであり得る。ネットワークによって判定され得る取得された温度（温度変化）に基づいて、ユニットは、ソフトウェアを転送するか、さもなければソフトウェアをそこに移動させるかを決定し得る。

【0149】

サーバコンポーネントの利用可能なリソースに基づいて、本方法は、崩壊寸前ではないコンポーネントにソフトウェアをリロケートするために使用され得、その結果、ネットワーク全体のより高い全体的な安定性が実現される。

【0150】

図８．１は、ソフトウェア／リソースのリロケーションのための決定における本方法の使用法を示している。グランドマスターのアドレスは同期メッセージに含まれる。

【符号の説明】

【0151】

１自動車
２イーサネットオンボードネットワーク
３第１の制御ユニット
４第２の制御ユニット
５第３の制御ユニット
６第１の接続経路
７第２の接続経路
８第３の接続経路
９第１の信号の遅延時間
１０第１の信号
１１第１の接続経路の最大速度
１２第１の接続経路の伝送媒体のタイプ
１３プログラム
１４接続経路の選択
１５伝送セキュリティ値
１６第２の信号の遅延時間
１７第２の信号
１８第２の接続経路の最大速度
１９第２の接続経路の伝送媒体のタイプ
２０サービスメッセージ
２１第３の信号の遅延時間
２２第３の信号
２３速度
２４媒体
２５ケーブル長
２６電力伝送
２７ビットエラー率
２８動的キー
２９時間同期メッセージ
２００エントロピーソース
２１１時間ｔ１における送信
２１２時間ｔ４における受信
２１３時間ｔ４における受信
２２１時間ｔ２における受信
２２２時間ｔ３における送信
２２３時間ｔ３における遅延送信
３００時間ｔ５における暗号化メッセージ
４００制御ユニット
４０２マイクロプロセッサ
４０４ＲＡＭ
４０６ＲＯＭ
４０８通信インターフェース
４１０タイマ
４１２バス／通信インターフェース
１００１暗号化メッセージを受信する
１００２ライン遅延の測定及び周波数測定を開始する
１００３最後のライン測定値及び周波数パラメータを要求する
１００４キーを生成する
１００５メッセージを復号する

【図1】