石郷岡 祐 (株)日立製作所 研究開発グループ |
キーワード
自動車 | 安全性 | ハードリアルタイム |
[背景]自動運転に向けて電子制御ユニット(ECU)の協調制御が進展,高い安全性が必要
[問題]協調制御の実行保証,故障後の安全継続,検証効率化が課題
[貢献]リアルタイム分散処理,冗長化,安全検証の提案手法で課題を解決
低炭素化,交通事故低減,利便性向上を目的として,自動車制御システムの高機能化が進展している.自動車制御システムは複数の電子制御ユニット(ECU:Electronic Control Unit)で構成され,接続する車載ネットワーク(NW)を介して,ECUが協調制御することで,自動運転などの高度な制御機能を実現している.自動車の協調制御システムの故障は,人命にかかわる重大な事故につながる可能性があるため,故障時にも動作し続けられるといったさらなる安全性の向上が求められる.本研究では安全性向上をめざし,3つの課題を解決した.
まず最初に,ゲートウェイ(GW)を介して協調制御する際のリアルタイム性保証の課題に取り組んだ.異種NWに接続されたECUで協調制御を実施する場合,GWがセンサデータや制御指令値を中継する必要があるが,中継データの到着時間の予測が困難となる.そこで,これを解決するために,設計時に中継する受信メッセージと送信フレームの対応付けを行い,実行時にはそれに従うことで,最悪時の到着時間の予測が容易となるクラスタベース通信方式を提案した.提案手法をミドルウェアとして実装し,試作したGWを用いた評価により,有効性を確認できた.
つぎに,自動運転ECUなどの車両を制御するECUが走行中に故障した際の安全保証の課題に取り組んだ.従来方式として同種のECUを冗長化するホットスタンバイ方式があるが,常時実行されるために余分に計算資源を要し,コストが高くなる可能性がある.そこでこれを解決するためのレプリケーション手法を提案した.通常状態では,安全車両制御を実現する縮退制御ソフトを停止,あるいは一部のみ実行し,入力データをバックアップする.そして,万が一,自動運転ECUに故障が発生した場合には,バックアップから縮退制御ソフトをリカバリすることで,安全車両制御を即座に実行できる.提案手法を自動運転プロトタイプに適用し,従来方式と比べ,CPU負荷が低減することを確認できた.
最後に,ECU同士が共通のアクチュエータを制御する場合に生じる不具合検出の課題に取り組んだ.特定の条件が特定のタイミングで発生したときのみ現れる不具合の検出には,長い時間を要する.そこで,これを解決するために,設計時に作成した制御ロジックのモデル(制御ソフト)とアクチュエータのモデル(プラント)から,協調制御の動作を模擬するシステムモデルを構築する手法と,記号実行を利用してシステムモデルの安全性を検証する手法を提案した.検証手法は検証対象のシステムモデルの複雑度に応じて,検証時間が長くなる.したがって,設計時のモデルの複雑度を低減するために検証前に簡易化・変換を行う.提案手法を単純化したブレーキ制御システムに適用し,対象の不具合を検知できることを確認できた.
以上の研究により,本研究で着目した自動車の協調制御システムの安全性にかかわる課題を解決し,安全性向上に貢献できた.
[貢献]リアルタイム分散処理,冗長化,安全検証の提案手法で課題を解決
低炭素化,交通事故低減,利便性向上を目的として,自動車制御システムの高機能化が進展している.自動車制御システムは複数の電子制御ユニット(ECU:Electronic Control Unit)で構成され,接続する車載ネットワーク(NW)を介して,ECUが協調制御することで,自動運転などの高度な制御機能を実現している.自動車の協調制御システムの故障は,人命にかかわる重大な事故につながる可能性があるため,故障時にも動作し続けられるといったさらなる安全性の向上が求められる.本研究では安全性向上をめざし,3つの課題を解決した.
まず最初に,ゲートウェイ(GW)を介して協調制御する際のリアルタイム性保証の課題に取り組んだ.異種NWに接続されたECUで協調制御を実施する場合,GWがセンサデータや制御指令値を中継する必要があるが,中継データの到着時間の予測が困難となる.そこで,これを解決するために,設計時に中継する受信メッセージと送信フレームの対応付けを行い,実行時にはそれに従うことで,最悪時の到着時間の予測が容易となるクラスタベース通信方式を提案した.提案手法をミドルウェアとして実装し,試作したGWを用いた評価により,有効性を確認できた.
つぎに,自動運転ECUなどの車両を制御するECUが走行中に故障した際の安全保証の課題に取り組んだ.従来方式として同種のECUを冗長化するホットスタンバイ方式があるが,常時実行されるために余分に計算資源を要し,コストが高くなる可能性がある.そこでこれを解決するためのレプリケーション手法を提案した.通常状態では,安全車両制御を実現する縮退制御ソフトを停止,あるいは一部のみ実行し,入力データをバックアップする.そして,万が一,自動運転ECUに故障が発生した場合には,バックアップから縮退制御ソフトをリカバリすることで,安全車両制御を即座に実行できる.提案手法を自動運転プロトタイプに適用し,従来方式と比べ,CPU負荷が低減することを確認できた.
最後に,ECU同士が共通のアクチュエータを制御する場合に生じる不具合検出の課題に取り組んだ.特定の条件が特定のタイミングで発生したときのみ現れる不具合の検出には,長い時間を要する.そこで,これを解決するために,設計時に作成した制御ロジックのモデル(制御ソフト)とアクチュエータのモデル(プラント)から,協調制御の動作を模擬するシステムモデルを構築する手法と,記号実行を利用してシステムモデルの安全性を検証する手法を提案した.検証手法は検証対象のシステムモデルの複雑度に応じて,検証時間が長くなる.したがって,設計時のモデルの複雑度を低減するために検証前に簡易化・変換を行う.提案手法を単純化したブレーキ制御システムに適用し,対象の不具合を検知できることを確認できた.
以上の研究により,本研究で着目した自動車の協調制御システムの安全性にかかわる課題を解決し,安全性向上に貢献できた.
(2020年5月25日受付)