车辆控制装置
阅读说明:本技术 车辆控制装置 (Vehicle control device ) 是由 内藤智 成泽文雄 小田裕弘 石乡冈祐 田中勇气 于 2020-02-06 设计创作,主要内容包括:本发明涉及一种能够适当地管理最新的共享数据的车辆控制系统。车辆控制装置(1)具备:应用程序部(110),其具有与装载在车辆上的电气以及电子部件的功能相关的安全性要求等级不同的多个应用程序(111、112);记录部(210),其记录由多个应用程序各自使用的共享数据;以及控制部(220),其控制多个应用程序各自的任务执行时间。记录部具有ASIL应用程序(111)能够访问且QM应用程序(112)不能访问的通用数据库(211)和ASIL应用程序不能访问且QM应用程序能够访问的缓存区域(212)。通用数据库和缓存区域被构成为能够共享共享数据。控制部根据应用程序的安全性要求等级,区分使用通用数据库和缓存区域。(The present invention relates to a vehicle control system capable of appropriately managing latest shared data. A vehicle control device (1) is provided with: an application unit (110) having a plurality of applications (111, 112) having different levels of safety requirements with respect to functions of electric and electronic components mounted on a vehicle; a recording unit (210) that records shared data used by each of the plurality of application programs; and a control unit (220) that controls the task execution time of each of the plurality of application programs. The recording unit has a general database (211) that the ASIL application (111) can access and the QM application (112) cannot access, and a buffer area (212) that the ASIL application cannot access and the QM application can access. The general database and the cache area are configured to be able to share shared data. The control unit discriminates between the general-purpose database and the cache area according to the security requirement level of the application program.)
技术领域
本发明涉及车辆控制装置。
背景技术
在面向汽车的国际标准规ISO26262中,作为功能安全的指标,规定了ASIL(Automotive Safety Integrity Level:汽车安全完整性等级)。在ISO 26262中,以通过软件的分区实现无干扰(FFI:Freedom From Interference)为前提,允许ASIL不同的应用程序混合在1个微型计算机中。因此,需要防止不同安全性要求等级的应用程序间的从属故障的技术。
在此,通过分离进程空间,可以保护应用程序的存储器。在属于不同进程的应用程序之间交换数据的情况下,一般使用数据收发用的临时区域。
在专利文献1中,公开了在软件之间交换数据的技术。在该技术中,以降低必要的存储器容量为课题。装载在该技术的车载ECU中的微型计算机具备:2个核心、由每个核心执行的第1软件和第2软件以及不被第3软件访问的ASIL区域。对这些第1软件和第2软件设定比第3软件高的安全度。第2核心的请求部在每个预先设定的时刻,向第1核心请求从第1软件向第2软件提供的全部数据中的一部分、即在该时刻第2软件需要的一部分数据。第1核心的写入部将由请求部请求的数据写入ASIL区域,并向第2核心通知写入完成。并且,第2核心的读出部从ASIL区域读出数据。
现有技术文献
专利文献
专利文献1:日本特开2017-199294号公报
发明内容
发明要解决的问题
这样,在专利文献1中公开了在ASIL软件间交换数据的技术。在该技术中,通过由QM(Quality Management:质量管理)软件不能访问的ASIL专用的交换区域,缩小必要的数据而进行交换,从而抑制存储器消耗量。
在通过时间驱动调度保证应用程序的执行时间的环境中,要求应用程序在规定的时间内完成执行。相对于此,当跨进程空间交换数据时,由于在进程间通信中产生的开销而导致一定程度的延迟。
例如,在使用通用数据库对数据进行集中式管理的系统中,设想安全性要求等级不同的应用程序混合在1个微型计算机中。因此,希望在安全性要求等级高的应用程序所属的进程中配置通用数据库。在这种情况下,安全性要求等级低的应用程序在进程间通信中访问通用数据库,此时产生的开销成为在保证应用程序的执行时间上的课题。例如,在专利文献1的访问方法中,根据请求数据的应用程序的数量或数据的大小,处理负荷增大,有可能难以保证任务的执行时间。
本发明的主要目的在于解决所述问题,适当地管理最新的共享数据。
解决问题的技术手段
本发明的车辆控制装置具备:应用程序部,其具有与装载在车辆的电气以及电子部件的功能相关的安全性要求等级不同的多个应用程序;记录部,其记录由所述多个应用程序各自使用的共享数据;以及控制部,其控制所述多个应用程序各自的任务执行时间,该车辆控制装置的特征在于,所述记录部具有:所述安全性要求等级高的应用程序能够访问且所述安全性要求等级低的应用程序不能访问的数据库;以及所述安全性要求等级高的应用程序不能访问且所述安全性要求等级低的应用程序能够访问的缓存器,所述数据库和缓存器被构成为能够共享所述共享数据,所述控制部根据所述应用程序的安全性要求等级,区分使用所述数据库和所述缓存器。
发明的效果
根据本发明,能够适当地管理最新的共享数据。
附图说明
图1是表示实施例1的车辆控制装置的框图。
图2是表示实施例1的时间驱动调度处理的时序图。
图3是表示实施例1的读出以及写入处理的流程图。
图4是表示实施例1的复制以及回写处理的流程图。
图5是表示实施例2的循环调度处理的时序图。
具体实施方式
以下,参照附图对几个实施方式进行说明。应该注意,本实施方式只不过是用于实现本发明的1个例子,并不限定本发明的技术范围。在各图中,对共同的构成标注相同的参照符号。
实施例1
<车辆控制装置>
图1是表示第1实施方式的车辆控制装置的框图。
车辆控制装置1作为硬件具有存储器100、CPU(Central Processing Unit)130以及计时器140。存储器100存储软件。存储器100作为软件具有应用程序部110、时分中间部200以及OS(Operating System)120。
应用程序部110具有类型不同的多个应用程序。类型不同的多个应用程序可以是ASIL应用程序111和QM应用程序112。例如,ASIL应用程序111是诊断应用程序,QM应用程序112是传感器融合应用程序。ASIL应用程序111和QM应用程序112被构成为能够进程间通信。应用程序部110也可以包含作为QM应用程序的轨道规划应用程序113。
时分中间部200包含记录部210和控制部220。记录部210包含作为“数据库”的一例的通用数据库211和作为“缓存器”的一例的缓存区域212。通用数据库211是ASIL应用程序111能够访问且QM应用程序112不能访问的。在通用数据库211中记录有各应用程序111、112各自所使用的共享数据。缓存区域212是ASIL应用程序111不能访问且QM应用程序112能够访问的。在缓存区域212中,临时记录由各应用程序111、112各自使用的共享数据。控制部220包含执行主处理的主处理部221和执行复制以及回写处理的复制以及回写处理部222。控制部220在定时器140中设定各应用程序111、112的启动时刻。在由控制部220设定的各应用程序111、112的启动时刻到来的情况下,计时器140使各应用程序111、112的任务中断。主处理部221在计时器140产生的各应用程序111、112的中断时间启动各应用程序111、112。
控制部220根据应用程序111、112的类型,区分使用通用数据库211和缓存区域212。应用程序111、112的类型例如是各应用程序111、112的安全性要求等级。安全性要求等级可以是与安装在汽车上的电气以及电子部件的功能安全相关的标准。
控制部220根据执行的各应用程序111、112的安全性要求等级,执行对通用数据库211或缓存区域212的复制处理以及回写处理222。另外,应用程序111、112的类型也可以是各应用程序111、112的优先顺序。
<应用程序>
控制部220对各应用程序111、112分配任务,执行由时间驱动调度分配的任务。在ISO 26262中,从功能安全的观点出发,按照危险事件从低到高的顺序,将任务的安全性要求等级分类为QM、ASIL-A、ASIL-B、ASIL-C、以及ASIL-D。应用程序大致分类为必须保证安全性的ASIL应用程序(诊断应用程序)111和与安全性保障无关的QM应用程序(传感器融合应用程序)112。例如,ASIL应用程序111执行检测软件以及硬件的故障的处理。QM应用程序112执行从诸如传感器等的外围装置获取外部信息的处理。
<时间驱动调度>
图2是表示实施例1的时间驱动调度处理的时序图。
时分中间件304以分配给ASIL应用程序111的时隙301和分配给QM应用程序112的时隙302的执行单位来管理各应用程序111、112的启动、停止。图2中的OS303是切换各时隙301、302与时分中间件304所需的时间。
当QM应用程序112访问通用数据库211时,使用专用API(ApplicationProgramming Interface应用程序编程接口)。在该专用API的处理中,在下个执行时刻所需的共享数据的获取请求310被发放给时分中间件304。时分中间件304在分配给下个QM应用程序112的时隙302将要启动之前,执行将共享数据从通用数据库211预先复制到缓存区域212的复制处理(图2中的符号S1)。时分中间件304基于由时间驱动调度可知的应用程序111、112的启动时刻来控制将共享数据从通用数据库211复制到缓存区域212的时刻。因此,QM应用程序112执行从缓存区域212访问执行所需的共享数据的读取处理。由此,QM应用程序112能够参照最新的共享数据(图2中的标号S2)。另外,从通用数据库211复制到缓存区域212的共享数据可以限于QM应用程序112所需的共享数据。由此,能够抑制存储器消耗。
接着,时分中间件304执行将QM应用程序112的执行结果存储在通用数据库211中的回写处理。在回写处理中,QM应用程序112执行将执行结果的共享数据复制到缓存区域212的写入处理(图2中的符号S3),在专用的API的处理中,向时分中间件304发放写入请求311。时分中间件304在分配给QM应用程序112的时隙302刚结束之后,执行将共享数据从缓存区域212存储到通用数据库211中的回写处理(图2中的符号S4)。由此,ASIL应用程序111总是能够参照最新的共享数据。
另一方面,当ASIL应用程序111访问通用数据库211时,ASIL应用程序111可以参照最新的共享数据。ASIL应用程序111将ASIL应用程序111的执行结果存储在通用数据库211中。由此,ASIL应用程序111和QM应用程序112总是能够参照最新的共享数据。
<时分中间件>
时分中间件304执行QM应用程序112对通用数据库211的共享数据的读取和写入处理(图2中的S2和S3)。
图3是表示实施例1的读出和写入处理的流程图。
时分中间件304判定先前的时隙是否已经正常地执行完成(S401)。当S401的判定结果为假时(S401:否),时分中间件304执行时间保护违反处理(S402)。当S401的判断结果为真时(S401:是),时分中间件304调用复制和回写处理(S500)。然后,时分中间件304对定时器140执行下个时隙的中断时刻的设定处理(S403),将当前时隙的任务设定为执行状态(S404)。
图4是表示实施例1的复制以及回写处理的流程图。
图4的上半部分为紧随QM应用程序112之后的回写处理(S510。图2中的S4)。时分中间件304判定紧接在前的时隙是否是QM应用程序112(S511)。当S401的判定结果为真时(S401:是),时分中间件304执行将作为QM应用程序112的执行结果的共享数据从缓存区域212存储到通用数据库211中的回写处理(S512)。由此,能够将通用数据库211的共享数据保持在最新的状态。
图4的下半部分为紧接在QM应用程序112前的复制处理(S520。图2中的S1)。时分中间件304判定紧接在后的时隙是否是QM应用程序112(S521)。当S521的判断结果为真时(S521:是),时分中间件304执行将QM应用程序112的执行所需的共享数据从通用数据库211复制到缓存区域212的复制处理(S522)。由此,QM应用程序112能够参照最新的共享数据。
根据该构成,车辆控制装置1具备:应用程序部110,其具有与装载在车辆上的电气以及电子部件的功能相关的安全性要求等级不同的多个应用程序111、112;记录部210,其记录由多个应用程序111、112各自使用的共享数据;以及控制部220,其控制多个应用程序111、112各自的任务执行时间。记录部210具有:安全性要求等级高的ASIL应用程序111能够访问且安全性要求等级低的QM应用程序112不能访问的通用数据库211、安全性要求等级高的ASIL应用程序111不能访问且安全性要求等级低的QM应用程序112能够访问的缓存区域212。通用数据库211和缓存区域212被构成为能够共享共享数据。控制部220根据应用程序111、112的安全性要求等级,区分使用通用数据库211和缓存区域212。
由此,车辆控制装置1能够将由ASIL应用程序111以及QM应用程序112各自所使用的共享数据管理为最新的状态。
此外,在执行安全性要求等级低的QM应用程序112的情况下,控制部220执行将QM应用程序112的执行所需的共享数据从通用数据库211预先复制到缓存区域212的复制处理。由此,在通过时间驱动调度来执行任务的环境中,能够不进行进程间通信地更新通用数据库211,能够抑制伴随对通用数据库211的访问的延迟。因此,可以降低在进程间通信中发生的开销的影响,保障应用程序111、112的执行时间。
此外,控制部220执行将安全性要求等级低的QM应用程序的执行结果从缓存区域212存储到通用数据库211中的回写处理。
由此,ASIL应用程序111能够参照通用数据库211内的最新的共享数据。
进而,控制部220在执行安全性要求等级高的ASIL应用程序111的情况下,将ASIL应用程序111的执行结果存储在通用数据库211中。由此,ASIL应用程序111以及QM应用程序112总是能够参照最新的共享数据。
实施例2
对实施例2的车辆控制装置进行说明。在实施例1中,车辆控制装置执行时间驱动调度。但是,在实施例2中,车辆控制装置执行循环调度。第2实施例的车辆控制装置与第1实施例的车辆控制装置的不同之处仅在于调度的构成,而其他构成与根据第1实施例的车辆控制装置相同。因此,以与第1实施方式的不同点为中心进行叙述。
在循环调度中,对能够执行的任务分配时隙(执行时间),在时隙内任务的处理没有完成的情况下,中断该任务,将处理交给其他的任务。例如,也能够应用于多个终端共享1个线路的环境中的网络的调度,是在面向车载的软件以外也被利用的方式。
图5是表示实施例2的循环调度处理的时序图。
在循环调度处理中,控制部220在分配给QM应用程序的时隙302的执行时刻的之前和之后启动时分中间件304。由此,时分中间件304执行利用了通用数据库211和缓存区域212的复制以及和回写处理。此外,ASIL应用程序111访问通用数据库211。因此,在ASIL1应用程序601和ASIL2应用程序602之间不启动时分中间件304。
根据该构成,控制部220对各任务分配规定的执行时间,在规定的执行时间内1个任务没有完成的情况下,执行其他的任务。由此,即使在任务没有完成的情况下,也能够切换为其他任务的执行,能够提高任务执行的效率。
另外,本发明不限定于所述的实施例,包含各种变形例。所述各实施例是为了容易理解地说明本发明而详细说明的实施例,并不一定限定于具备所说明的全部构成。此外,某个实施例的构成的一部分可以替换为另一个实施例的构成,并且还可以将另一个实施例的构成添加到某个实施例的构成中。进而,对于各实施例的构成的一部分,能够进行其他构成的追加、删除以及置换。
符号说明
1:车辆控制装置,110:应用程序部,111:ASIL应用程序,112:QM应用程序,210:记录部,211:通用数据库,212:缓存区域,220:控制部。
- 上一篇:一种医用注射器针头装配设备
- 下一篇:车辆前部结构