[go: up one dir, main page]

JP7172155B2 - Electronic control device and software generation method - Google Patents

Electronic control device and software generation method Download PDF

Info

Publication number
JP7172155B2
JP7172155B2 JP2018112768A JP2018112768A JP7172155B2 JP 7172155 B2 JP7172155 B2 JP 7172155B2 JP 2018112768 A JP2018112768 A JP 2018112768A JP 2018112768 A JP2018112768 A JP 2018112768A JP 7172155 B2 JP7172155 B2 JP 7172155B2
Authority
JP
Japan
Prior art keywords
application
functional safety
access
applications
software
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018112768A
Other languages
Japanese (ja)
Other versions
JP2019215725A (en
Inventor
総一郎 荒井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2018112768A priority Critical patent/JP7172155B2/en
Publication of JP2019215725A publication Critical patent/JP2019215725A/en
Application granted granted Critical
Publication of JP7172155B2 publication Critical patent/JP7172155B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Stored Programmes (AREA)

Description

本発明は、電子制御装置及びソフトウエア生成方法に関する。 The present invention relates to an electronic control device and software generation method.

車載用の電子制御装置(以下ECUと称す)には、情報入出力制御などの制御機能を実現するアプリケーションプログラム(以下アプリと称す)が搭載されることが増加している。特に、近年は、情報入出力制御のアプリとして例えばナビ制御のアプリや情報ディスプレイ制御のアプリなど、また、自動運転制御のアプリなど、複数のアプリを、1個のECUに搭載するケースが多くなっている。 Application programs (hereinafter referred to as applications) that implement control functions such as information input/output control are increasingly installed in vehicle electronic control units (hereinafter referred to as ECUs). Especially in recent years, there are many cases where multiple applications such as navigation control applications, information display control applications, and automatic driving control applications are installed in one ECU as information input/output control applications. ing.

従来においては、メータ表示及びエンターテインメント情報表示などの車両制御に関連する重要アプリと、車両制御に関連しない非重要アプリとを、組み合わせて1個のECUに搭載している。この場合、各アプリの機能安全レベルが明白なため、即ち、重要アプリの機能安全レベルが例えばASIL-C、非重要アプリの機能安全レベルが例えばASIL無しであるため、開発工程はいわゆる1直線の開発工程であって、特に問題となることはなかった。尚、上記1直線の開発工程においては、各アプリの機能安全レベルを決定し、ソフトをビルドし、即ち、2個のアプリと基盤ソフト(OSなどを含む)とをリンクしてECUで動作するロードモジュールを作成し、更に、ロードモジュールのアプリ毎にデバグした上で、ロードモジュールの結合デバグを行なうようにしていた。 Conventionally, important applications related to vehicle control, such as meter display and entertainment information display, and non-important applications not related to vehicle control are combined and mounted in one ECU. In this case, since the functional safety level of each application is clear, i.e. the functional safety level of critical applications is ASIL-C, and the functional safety level of non-critical applications is ASIL-less, the development process is a so-called straight line. During the development process, there were no particular problems. In addition, in the above-mentioned straight line development process, the functional safety level of each application is determined and the software is built. After creating a load module and debugging each application of the load module, the combined debugging of the load modules was performed.

特開2000-132410号公報JP-A-2000-132410

しかし、近年、2個の重要アプリ、例えば、自動運転アプリと、自動運転モード・ユーザインターフェースアプリ(即ち、メータ表示の進化系の重要アプリであり、表示出力の制御とユーザ意思入力の制御等が備わっている重要アプリ)とを、組み合わせて1個のECUに搭載する構成が要望されている。 However, in recent years, there are two important applications, for example, an automatic driving application and an automatic driving mode/user interface application (that is, an important application for the evolution of meter display, which controls display output and user input). There is a demand for a configuration in which these important applications are combined and mounted on a single ECU.

この構成の場合、まず機能安全レベルを決定する工程において、一方の重要アプリの機能安全レベルASIL-xとして5種類、即ち、ASIL無し、ASIL-AからASIL-Dが考えられると共に、他方の重要アプリの機能安全レベルASIL-yとして5種類、即ち、ASIL無し、ASIL-AからASIL-Dが考えられる。そして、各アプリの機能安全レベルASIL-x、ASIL-yが開発工程の終盤まで決まっていないことが多い。 In the case of this configuration, in the process of first determining the functional safety level, five types of functional safety level ASIL-x for one important application are considered: no ASIL, ASIL-A to ASIL-D, and the other important application There are five types of functional safety level ASIL-y for the application: no ASIL, ASIL-A to ASIL-D. And in many cases, the functional safety levels ASIL-x and ASIL-y of each application are not decided until the end of the development process.

このため、ロードモジュールを作成する場合に、5×5=25通りの機能安全レベルの組み合わせのロードモジュールを予備的に作成する必要がある。更に、作成した25通りのロードモジュールについて、各ロードモジュールのアプリ毎にデバグした上で、各ロードモジュールの結合デバグを行なう必要があることから、膨大な開発工数を要する事態となっている。更に、3個以上の重要アプリを搭載する場合には、開発工数がより一層増大するおそれがあった。 Therefore, when creating a load module, it is necessary to preliminarily create load modules with 5×5=25 combinations of functional safety levels. Furthermore, it is necessary to debug each application of each load module for each of the 25 created load modules, and then to debug each load module in combination, resulting in a situation requiring a huge amount of development man-hours. Furthermore, when installing three or more important applications, there is a possibility that the number of development man-hours will increase further.

本発明の目的は、複数の重要アプリをECUに搭載する場合に、開発工数を低減することができる電子制御装置及びソフトウエア生成方法を提供することにある。 SUMMARY OF THE INVENTION It is an object of the present invention to provide an electronic control device and software generation method capable of reducing development man-hours when installing a plurality of important applications in an ECU.

請求項1の発明は、車両制御機能を有する複数のアプリを搭載した電子制御装置であって、前記複数のアプリと、前記複数のアプリ毎の機能安全レベル指定情報を入力情報として生成された機能安全制御機能を有する基盤ソフトとをリンクして生成されたロードモジュール2を搭載したものである。複数のアプリは、第1アプリと、第1アプリよりも機能安全レベルの高い第2アプリと、を備える。基盤ソフトは、第1アプリからのアクセスを検出すると、第2アプリに割込みさせ、第2アプリの割込みルーチンにおいて、第1アプリがアクセス可能とするアクセス情報に基づいて第1アプリからアクセス禁止と把握したときには、第1アプリの動作と同一の機能を有するアクセスを第2アプリに代行して実行させる。 The invention of claim 1 is an electronic control device equipped with a plurality of applications having a vehicle control function, wherein the function is generated using as input information the plurality of applications and functional safety level designation information for each of the plurality of applications. It is equipped with a load module 2 generated by linking with basic software having a safety control function. The multiple apps include a first app and a second app with a functional safety level higher than that of the first app. When the base software detects access from the first application, it interrupts the second application, and in the interrupt routine of the second application, based on the access information that allows access from the first application, access from the first application is prohibited. When the second application is executed, the access having the same function as the operation of the first application is executed on behalf of the second application.

請求項5の発明は、車両制御機能を有する複数のアプリを搭載した電子制御装置のソフトウエア生成方法であって、前記複数のアプリ毎の機能安全レベル指定情報を入力情報として機能安全制御機能を有する基盤ソフトを生成し、前記複数のアプリと前記基盤ソフトとをリンクしてロードモジュールを生成するように構成されたものである。複数のアプリは、第1アプリと、前記第1アプリよりも機能安全レベルの高い第2アプリと、を備える。このとき、基盤ソフトは、第1アプリからのアクセスを検出すると、第2アプリに割込みさせ、第2アプリの割込みルーチンにおいて、第1アプリがアクセス可能とするアクセス情報に基づいて前記第1アプリからアクセス禁止と把握したときには、第1アプリの動作と同一の機能を有するアクセスを前記第2アプリに代行して実行させる。 According to a fifth aspect of the present invention, there is provided a method for generating software for an electronic control device having a plurality of applications having a vehicle control function, wherein the functional safety control function is generated using functional safety level designation information for each of the plurality of applications as input information. and linking the plurality of applications with the base software to generate a load module. The plurality of applications includes a first application and a second application having a functional safety level higher than that of the first application. At this time, when the base software detects an access from the first application, it interrupts the second application, and in the interrupt routine of the second application, based on the access information that the first application can access, the first application When it is determined that the access is prohibited, the access having the same function as the operation of the first application is performed by the second application.

第1実施形態を示すもので、パソコンと開発工程を説明する図The figure which shows 1st Embodiment and explains a personal computer and a development process. アプリと基盤ソフトを説明する図Diagram explaining the application and basic software 機能安全レベルの組み合わせと機能安全対策の表を示す図Diagram showing table of functional safety level combinations and functional safety measures 機能安全レベルの組み合わせの一例を示すもので、アプリと基盤ソフトを説明する図This diagram shows an example of a combination of functional safety levels and explains an application and basic software. 機能安全レベルの組み合わせの他の例を示すもので、アプリと基盤ソフトを説明する図This is another example of a combination of functional safety levels, and a diagram explaining an application and basic software アドレスのチェックテーブルファイルの一例を示す図Diagram showing an example of an address check table file チェックルーチンの動作を説明する図Diagram explaining the operation of the check routine

(第1実施形態)
以下、第1実施形態について、図1ないし図7を参照して説明する。図1は、本実施形態のECUのソフトウエア、即ち、ロードモジュールを製造すると共に、ロードモジュールをデバッグする装置、例えばパソコン1を示す。尚、パソコン1の代わりに他のコンピュータを用いても良い。 (First embodiment)
A first embodiment will be described below with reference to FIGS. 1 to 7. FIG. FIG. 1 shows a device such as a personal computer 1 for manufacturing the software of the ECU of the present embodiment, that is, the load module, and for debugging the load module. It should be noted that another computer may be used instead of the personal computer 1 .

本実施形態においては、例えば2個のアプリ、即ち、アプリXとアプリYをECUに搭載する構成について説明する。この構成の場合、図2に示すように、アプリXと、アプリYと、電子制御装置の基盤ソフトとをリンク(即ち、結合)することにより、ロードモジュール2を作成(即ち、ビルド)する。 In this embodiment, for example, a configuration in which two applications, that is, application X and application Y are installed in the ECU will be described. In this configuration, as shown in FIG. 2, the load module 2 is created (ie, built) by linking (ie, coupling) the application X, the application Y, and the base software of the electronic control unit.

ここで、2個のアプリの機能安全レベルとしては、ASIL無し、ASIL-A、ASIL-B、ASIL-C、ASIL-Dの5段階があり、ASIL無しは機能安全性が弱く、ASIL-AからASIL-Dまで順に機能安全性が強くなる。2個のアプリの機能安全レベルの組み合わせによって決まる機能安全対策を、表にして図3に示す。 Here, there are five levels of functional safety for the two applications: no ASIL, ASIL-A, ASIL-B, ASIL-C, and ASIL-D. Without ASIL, the functional safety is weak, and ASIL-A Functional safety increases in order from ASIL-D to ASIL-D. FIG. 3 shows a table of functional safety measures determined by the combination of functional safety levels of two applications.

この表、即ち、機能安全対策の機能表においては、5段階ある機能安全レベルを、ASIL無しと、ASIL-A,B,C(以下、ASIL-C以下と称す)と、ASIL-Dの3つのレベルに分けて、機能安全対策を設定している。尚、より精密に機能安全対策を設定して実施する必要がある場合には、ASIL-C以下のランクの機能安全対策を細分化、即ち、ASIL-A、ASIL-B、ASIL-Cに分けるように構成すれば良い。 In this table, that is, the functional table of functional safety measures, there are five functional safety levels: no ASIL, ASIL-A, B, C (hereinafter referred to as ASIL-C and below), and ASIL-D. Functional safety measures are set according to three levels. If it is necessary to set and implement more precise functional safety measures, subdivide the functional safety measures below ASIL-C, that is, divide them into ASIL-A, ASIL-B, and ASIL-C. It should be configured as follows.

本実施形態においては、電子制御装置に搭載する2個のアプリX、アプリYの機能安全レベルの組み合わせ、即ち、アプリX、アプリYの機能安全レベルの指定情報、例えばASILレベル・コンフィグファイル(図1参照)から分かる機能安全レベルの組み合わせと、図3の表とに基づいて、必要な機能安全対策(即ち、機能安全制御機能)を求める。そして、図1のステップS10に示すように、上記求めた機能安全対策を組み込んだ基盤ソフトを生成する。更に、図1のステップS20に示すように、この機能安全対策を組み込んだ基盤ソフトと、上記2個のアプリX、Yとをリンクしてロードモジュール2を作成する。この後、図1のステップS30に示すように、ロードモジュール2の結合デバッグを行なうように構成されている。そして、結合デバッグの完了により、複数機能搭載ECU用ソフトの開発が完了する。
次に、機能安全対策の具体例について、図4~図7を参照して説明する。 In this embodiment, the combination of the functional safety levels of the two applications X and Y installed in the electronic control device, that is, the specification information of the functional safety levels of the applications X and Y, for example, the ASIL level configuration file (Fig. 1) and the table in FIG. Then, as shown in step S10 of FIG. 1, base software incorporating the functional safety measures obtained above is generated. Furthermore, as shown in step S20 in FIG. 1, the load module 2 is created by linking the base software incorporating this functional safety measure and the two applications X and Y described above. After that, as shown in step S30 of FIG. 1, the load module 2 is configured to be debugged by connection. The completion of combined debugging completes the development of software for ECUs equipped with multiple functions.
Next, specific examples of functional safety measures will be described with reference to FIGS. 4 to 7. FIG.

まず、アプリXの機能安全レベルが例えばASIL-Dで、アプリYの機能安全レベルが例えばASIL無しである場合、即ち、図3の表の中の番号3の組み合わせの場合について説明する。この場合、アプリXについては、ASIL-Dで開発されているため、機能安全レベルが高いことから、図4にて右方向の矢印で示すように、機能安全対策は不要である。 First, the case where the functional safety level of application X is, for example, ASIL-D and the functional safety level of application Y is, for example, no ASIL, that is, the case of combination No. 3 in the table of FIG. 3 will be described. In this case, application X is developed in ASIL-D, so its functional safety level is high, so no functional safety measures are necessary, as indicated by the arrow pointing to the right in FIG.

これに対して、アプリYは、ASIL無しで開発されており、機能安全レベルが低いため、即ち、アプリの検証レベルが低いため、予期しないアクセスを行なう可能性がある。そこで、アプリYのアクセス阻止、即ち、アクセス禁止を行い、アプリXにそのアクセスを代行動作させる機能安全対策の機能、即ち、機能安全制御機能を基盤ソフトに組み込む。 On the other hand, application Y is developed without ASIL, and has a low functional safety level, ie, a low application verification level, so there is a possibility of unexpected access. Therefore, a functional safety control function, ie, a functional safety control function, is incorporated into the base software to block access to application Y, that is, to prohibit access, and to allow application X to operate the access on behalf of application Y.

具体的には、基盤ソフトは、アプリYからのアクセスを検出し、アプリXに割込みをかける。アプリXは、割込みルーチンにて、基盤ソフトが保有する「アプリYのアクセス情報」のテーブルに基づいて、アプリYの動作を把握し、アプリYの動作と同一の機能を有するアクセスをアプリXが代行して実行する。例えばアプリYのリード動作は、アプリXのライト動作に置換えられて実行される。このため、アプリXに代行動作させるための付加ルーチンや動作置換テーブルファイル等を生成し、これらルーチンやファイル等を基盤ソフトに組込むように構成されている。 Specifically, the platform software detects access from application Y and interrupts application X. FIG. In the interrupt routine, application X grasps the operation of application Y based on the table of "access information of application Y" held by the platform software, and requests access having the same function as the operation of application Y. Execute on behalf of For example, the read operation of application Y is replaced with the write operation of application X and executed. For this reason, an additional routine, an action replacement table file, etc., for causing the application X to operate on behalf of the application X are generated, and these routines, files, etc. are incorporated into the base software.

次に、アプリXの機能安全レベルが例えばASIL-Dで、アプリYの機能安全レベルが例えばASIL-C(即ち、ASIL-C以下)である場合、即ち、図3の表の中の番号2の組み合わせの場合の機能安全対策について説明する。この場合、図5に示すように、アプリXについては、ASIL-Dで開発されているため、機能安全対策は不要である。これに対して、アプリYは、ASIL-C以下で開発されており、機能安全レベルが比較的低いため、アプリYがアクセスする際に、そのアクセス内容が安全であるかどうかをチェックする必要がある。そこで、アプリYのアクセス時には、所定のチェック機能を動作させる機能を基盤ソフトに保有させる対策を行なうように構成されている。 Next, if the functional safety level of application X is, for example, ASIL-D, and the functional safety level of application Y is, for example, ASIL-C (that is, ASIL-C or lower), that is, number 2 in the table of FIG. Functional safety measures for the combination of In this case, as shown in FIG. 5, application X is developed in ASIL-D, so no functional safety measures are required. On the other hand, application Y was developed with ASIL-C or lower, and the functional safety level is relatively low. be. Therefore, when the application Y is accessed, a countermeasure is taken such that the basic software has a function to operate a predetermined check function.

具体的には、アプリYがアクセスする際に、基盤ソフトがチェックする情報、例えばアドレス範囲やアクセス権限やアクセス内容などの情報を、予めチェックデータテーブルとして保存しておき、アプリYがアクセスする際に、基盤ソフトが上記チェックデータテーブルをチェックするチェックルーチンを動作させるように構成されている。本実施形態では、上記チェックテーブルファイル及び上記チェックルーチンを作成して、基盤ソフトに予め組込むように構成されている。尚、チェック結果を格納するログファイルは、上記チェックルーチンにより作成される。ログファイルについては、後述する。
チェックテーブルファイルのうちの例えばアドレスのチェックテーブルファイルの一例を、図6に示す。 Specifically, when the application Y accesses, the information to be checked by the infrastructure software, such as the address range, access authority, and access details, is stored in advance as a check data table, and when the application Y accesses, First, the base software is configured to operate a check routine for checking the check data table. In this embodiment, the check table file and the check routine are created and incorporated into the base software in advance. A log file for storing the check result is created by the above check routine. Log files are described later.
FIG. 6 shows an example of an address check table file among the check table files.

例えば、図7に示すように、アプリYを実行しているときに、ステップS100にて、メモリアクセスが発生したとする。この場合、まず、(1)基盤ソフトは、上記メモリアクセスを検知して、図6のチェックテーブルファイルに基づいて上記アクセスが正常なものか否かをチェックし、ログファイル3に上記チェック結果を格納するルーチンを起動する。これにより、基盤ソフトは、チェック結果をログファイル3に格納する。 For example, as shown in FIG. 7, assume that memory access occurs in step S100 while application Y is being executed. In this case, (1) first, the platform software detects the memory access, checks whether the access is normal based on the check table file of FIG. Invoke the store routine. As a result, the base software stores the check result in the log file 3. FIG.

次いで、(2)制御に付随するダイアグルーチンによって、定期的にログファイル3に格納されたNG結果を監視するように構成されている。この場合、NG結果を検出したら、NG結果を、ECUの管理者、例えば車両に搭載されたECUの場合には、ドライバへ通知するなどの処理を実行することが好ましい。尚、NG結果の監視頻度は、危険性や影響性に応じて適宜設定されるように構成されている。 Next, (2) the diagnostic routine associated with the control is configured to periodically monitor the NG results stored in the log file 3 . In this case, when the NG result is detected, it is preferable to perform processing such as notifying the NG result to the administrator of the ECU, for example, the driver in the case of the ECU installed in the vehicle. It should be noted that the NG result monitoring frequency is configured to be appropriately set according to the risk and influence.

このような構成の本実施形態においては、2個のアプリX、Y毎の機能安全レベルの指定情報を入力情報として機能安全制御機能、即ち、機能安全対策を有する基盤ソフトを生成し、前記2個のアプリX、Yと前記生成した基盤ソフトとを用いてロードモジュール2を生成するように構成した。この構成によれば、2個のアプリX、Y毎の機能安全レベルを変更した場合でも、ロードモジュールを容易に作成してデバグすることができる、即ち、機能安全レベルの組合わせを任意に変えつつ、しかも一気に結合デバグを実行することができる。このため、従来構成に比べて、複数の重要アプリをECUに搭載する場合に、開発工数を大幅に低減することができる。 In this embodiment having such a configuration, functional safety control functions, i.e., base software having functional safety measures are generated using the designation information of the functional safety level for each of the two applications X and Y as input information. The load module 2 is generated using the applications X and Y and the generated base software. According to this configuration, even if the functional safety level of each of the two applications X and Y is changed, the load module can be easily created and debugged. It is possible to execute combined debugging at once. Therefore, when a plurality of important applications are installed in the ECU, the number of development man-hours can be greatly reduced compared to the conventional configuration.

また、本実施形態では、前記機能安全制御機能は、前記アプリ内の情報アクセスを制限する機能を備えるように構成したので、前記アプリ内の情報アクセスの安全性を高めることができる。 Further, in the present embodiment, the functional safety control function is configured to have a function of restricting information access within the application, so that the safety of information access within the application can be enhanced.

また、本実施形態では、前記機能安全制御機能は、外部から与えられた割込み信号を管理する機能を備えるように構成したので、前記アプリの割込み動作の安全性を高めることができる。 Further, in this embodiment, the functional safety control function is configured to have a function of managing an interrupt signal given from the outside, so that the safety of the interrupt operation of the application can be improved.

また、本実施形態では、前記機能安全制御機能は、前記基盤ソフトに組込む機能安全制御機能として予め想定されている機能群、例えば図3に示す機能安全対策の機能表の中から、前記アプリ毎の機能安全レベルの指定情報に基づいて選択された機能を備えるように構成した。この構成によれば、必要な機能安全対策を組み込んだ基盤ソフトを容易に生成することができる。 Further, in the present embodiment, the functional safety control function is a function group assumed in advance as a functional safety control function to be incorporated in the base software, for example, from the function table of functional safety measures shown in FIG. function selected based on the specified information of the functional safety level. According to this configuration, it is possible to easily generate base software incorporating necessary functional safety measures.

また、本実施形態においては、2個のアプリX、YをECUに搭載する構成について説明したが、これに限られるものではなく、3個以上のアプリをECUに搭載するように構成しても良い。例えば3個のアプリA、B、CをECUに搭載する構成の場合、機能安全対策は、アプリ間に必要なため、アプリAとアプリBとの間、アプリAとアプリCとの間、アプリBとアプリCとの間にそれぞれ機能安全対策が必要となる。アプリ数をNとすると、機能安全対策が必要なアプリ間は、N2通りあり、それぞれのアプリ間に、図3の表に示す機能安全レベルの組合わせ及び機能安全対策を実施するように構成することができる。そして、このように構成した機能安全対策の機能群の情報を基盤ソフトに組み込み、組み込んだ基盤ソフトとN個のアプリをリンクしてロードモジュールを生成するように構成することが好ましい。 Further, in the present embodiment, the configuration in which two applications X and Y are installed in the ECU has been described, but the configuration is not limited to this, and three or more applications may be installed in the ECU. good. For example, in the case of a configuration in which three applications A, B, and C are installed in the ECU, functional safety measures are required between applications. Functional safety measures are required between B and application C, respectively. If the number of applications is N, there are N C 2 types of applications that require functional safety measures. Can be configured. Then, it is preferable to incorporate the information of the function group of the functional safety measures configured in this way into the basic software, link the incorporated basic software and N applications, and generate the load module.

本開示は、実施例に準拠して記述されたが、本開示は当該実施例や構造に限定されるものではないと理解される。本開示は、様々な変形例や均等範囲内の変形をも包含する。加えて、様々な組み合わせや形態、さらには、それらに一要素のみ、それ以上、あるいはそれ以下、を含む他の組み合わせや形態をも、本開示の範疇や思想範囲に入るものである。 Although the present disclosure has been described with reference to examples, it is understood that the present disclosure is not limited to such examples or structures. The present disclosure also includes various modifications and modifications within the equivalent range. In addition, various combinations and configurations, as well as other combinations and configurations including single, more, or less elements thereof, are within the scope and spirit of this disclosure.

図面中、1はパソコン、2はロードモジュール、3はログファイルである。 In the drawing, 1 is a personal computer, 2 is a load module, and 3 is a log file.

Claims (8)

車両制御機能を有する複数のアプリを搭載した電子制御装置であって、
複数のアプリと、
前記複数のアプリ毎の機能安全レベルの指定情報を入力情報として生成された機能安全制御機能を有する基盤ソフトとをリンクして生成されたロードモジュール(2)と、を備え、
前記複数のアプリは、第1アプリ(Y)と、前記第1アプリよりも機能安全レベルの高い第2アプリ(X)と、を備え、
前記基盤ソフトは、前記第1アプリからのアクセスを検出すると、前記第2アプリに割込みさせ、前記第2アプリの割込みルーチンにおいて、前記第1アプリがアクセス可能とするアクセス情報に基づいて前記第1アプリからアクセス禁止と把握したときには、前記第1アプリの動作と同一の機能を有するアクセスを前記第2アプリに代行して実行させる電子制御装置。 An electronic control device equipped with a plurality of applications having a vehicle control function,
multiple apps and
a load module (2) generated by linking base software having a functional safety control function generated using the designation information of the functional safety level for each of the plurality of applications as input information ,
The plurality of applications include a first application (Y) and a second application (X) having a functional safety level higher than that of the first application,
Upon detecting an access from the first application, the platform software causes the second application to interrupt, and in an interrupt routine of the second application, the first application based on access information that the first application can access. An electronic control device that causes the second application to perform access having the same function as the operation of the first application when it is determined that access is prohibited from the application . 前記機能安全制御機能は、前記アプリ内の情報アクセスを制限する機能を備えている請求項1記載の電子制御装置。 The electronic control device according to claim 1, wherein the functional safety control function includes a function of restricting information access within the application. 前記機能安全制御機能は、前記基盤ソフトに組込む機能安全制御機能として予め想定されている機能群の中から、前記アプリ毎の機能安全レベル指定情報に基づいて選択された機能を備えている請求項1又は2記載の電子制御装置。 3. The functional safety control function comprises a function selected based on the functional safety level designation information for each application from among a group of functions assumed in advance as functional safety control functions to be incorporated into the platform software. 3. The electronic control device according to 1 or 2 . 前記ロードモジュールは、前記複数のアプリと前記基盤ソフトとを結合して生成された請求項1から3のいずれか一項記載の電子制御装置。 4. The electronic control device according to any one of claims 1 to 3 , wherein the load module is generated by combining the plurality of applications and the base software. 車両制御機能を有する複数のアプリを搭載した電子制御装置のソフトウエア生成方法であって、
前記複数のアプリ毎の機能安全レベル指定情報を入力情報として機能安全制御機能を有する基盤ソフトを生成し、
前記複数のアプリと前記基盤ソフトとをリンクしてロードモジュールを生成するように構成され
前記複数のアプリは、第1アプリ(Y)と、前記第1アプリよりも機能安全レベルの高い第2アプリ(X)と、を備え、
前記基盤ソフトは、前記第1アプリからのアクセスを検出すると、前記第2アプリに割込みさせ、前記第2アプリの割込みルーチンにおいて、前記第1アプリがアクセス可能とするアクセス情報に基づいて前記第1アプリからアクセス禁止と把握したときには、前記第1アプリの動作と同一の機能を有するアクセスを前記第2アプリに代行して実行させる電子制御装置のソフトウエア生成方法。 A software generation method for an electronic control device equipped with a plurality of applications having a vehicle control function,
generating basic software having a functional safety control function using the functional safety level designation information for each of the plurality of applications as input information;
configured to generate a load module by linking the plurality of applications and the base software ;
The plurality of applications include a first application (Y) and a second application (X) having a functional safety level higher than that of the first application,
Upon detecting an access from the first application, the platform software causes the second application to interrupt, and in an interrupt routine of the second application, the first application based on access information that the first application can access. A method of generating software for an electronic control device that causes an access having the same function as the operation of the first application to be executed on behalf of the second application when it is determined that access is prohibited from the application . 前記機能安全制御機能は、前記アプリ内の情報アクセスを制限する機能を備えている請求項5記載の電子制御装置のソフトウエア生成方法。 6. The method of generating software for an electronic control unit according to claim 5 , wherein said functional safety control function includes a function of restricting information access within said application. 前記機能安全制御機能は、前記基盤ソフトに組込む機能安全制御機能として予め想定されている機能群の中から、前記アプリ毎の機能安全レベル指定情報に基づいて選択された機能を備えている請求項5又は6記載の電子制御装置のソフトウエア生成方法。 3. The functional safety control function comprises a function selected based on the functional safety level designation information for each application from among a group of functions assumed in advance as functional safety control functions to be incorporated into the platform software. 7. The method of generating software for an electronic control device according to 5 or 6 . 前記ロードモジュールは、前記複数のアプリと前記基盤ソフトとを結合して生成された請求項5から7のいずれか一項記載の電子制御装置のソフトウエア生成方法。 8. The method of generating software for an electronic control unit according to claim 5 , wherein said load module is generated by combining said plurality of applications and said base software.
JP2018112768A 2018-06-13 2018-06-13 Electronic control device and software generation method Active JP7172155B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018112768A JP7172155B2 (en) 2018-06-13 2018-06-13 Electronic control device and software generation method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018112768A JP7172155B2 (en) 2018-06-13 2018-06-13 Electronic control device and software generation method

Publications (2)

Publication Number Publication Date
JP2019215725A JP2019215725A (en) 2019-12-19
JP7172155B2 true JP7172155B2 (en) 2022-11-16

Family

ID=68919740

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018112768A Active JP7172155B2 (en) 2018-06-13 2018-06-13 Electronic control device and software generation method

Country Status (1)

Country Link
JP (1) JP7172155B2 (en)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003337713A (en) 2002-05-21 2003-11-28 Hitachi Ltd Method for controlling processor
JP2010033435A (en) 2008-07-30 2010-02-12 Autonetworks Technologies Ltd Control apparatus, control method, and computer program
JP2015099517A (en) 2013-11-20 2015-05-28 日立オートモティブシステムズ株式会社 Vehicle control device
JP2015531521A (en) 2012-10-09 2015-11-02 コンチネンタル オートモーティヴ ゲゼルシャフト ミット ベシュレンクテル ハフツングContinental Automotive GmbH Method and controller for controlling the separate execution of a plurality of linked program blocks
JP2016029547A (en) 2014-07-25 2016-03-03 株式会社デンソー Execution module generation apparatus and electronic control unit
JP2016066139A (en) 2014-09-24 2016-04-28 日立オートモティブシステムズ株式会社 Vehicle control unit
US20170083391A1 (en) 2015-09-21 2017-03-23 Freescale Semiconductor Inc. Safety Level Specific Error Response Scheme for Mixed Criticality Systems

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4104721A (en) * 1976-12-30 1978-08-01 International Business Machines Corporation Hierarchical security mechanism for dynamically assigning security levels to object programs
JPH0887424A (en) * 1994-09-16 1996-04-02 Toshiba Corp Electronic computer

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003337713A (en) 2002-05-21 2003-11-28 Hitachi Ltd Method for controlling processor
JP2010033435A (en) 2008-07-30 2010-02-12 Autonetworks Technologies Ltd Control apparatus, control method, and computer program
JP2015531521A (en) 2012-10-09 2015-11-02 コンチネンタル オートモーティヴ ゲゼルシャフト ミット ベシュレンクテル ハフツングContinental Automotive GmbH Method and controller for controlling the separate execution of a plurality of linked program blocks
JP2015099517A (en) 2013-11-20 2015-05-28 日立オートモティブシステムズ株式会社 Vehicle control device
JP2016029547A (en) 2014-07-25 2016-03-03 株式会社デンソー Execution module generation apparatus and electronic control unit
JP2016066139A (en) 2014-09-24 2016-04-28 日立オートモティブシステムズ株式会社 Vehicle control unit
US20170083391A1 (en) 2015-09-21 2017-03-23 Freescale Semiconductor Inc. Safety Level Specific Error Response Scheme for Mixed Criticality Systems

Also Published As

Publication number Publication date
JP2019215725A (en) 2019-12-19

Similar Documents

Publication Publication Date Title
US9405515B1 (en) Computing systems utilizing controlled dynamic libraries and isolated execution spaces
EP3242214B1 (en) Method and device for protecting information of mcu chip
US20080276129A1 (en) Software tracing
CN111124921B (en) Method, device, equipment and storage medium for detecting memory boundary crossing
JP2015518605A (en) Functional architecture patterns for safety applications
JP5975923B2 (en) Vehicle control device
US7797134B2 (en) System and method for testing a memory with an expansion card using DMA
US7536694B2 (en) Exception handling in a multiprocessor system
CA2658634A1 (en) Controlled frequency core processor and method for starting-up said core processor in a programmed manner
CA2551045C (en) Input-output control apparatus, input-output control method, process control apparatus and process control method
JP7172155B2 (en) Electronic control device and software generation method
US9646252B2 (en) Template clauses based SAT techniques
CN114330176A (en) Chip verification method and device, electronic equipment and storage medium
US7350109B2 (en) System and method for testing a memory using DMA
US20090265534A1 (en) Fairness, Performance, and Livelock Assessment Using a Loop Manager With Comparative Parallel Looping
JP2011008702A (en) Fault processor
US8689206B2 (en) Isolating operating system in-memory modules using error injection
JP2015099517A (en) Vehicle control device
US20100077383A1 (en) Simulation method and storage medium for storing program
Ohly et al. Automated MPI correctness checking what if there was a magic option?
CN111258617B (en) Electronic equipment
WO2012172682A1 (en) Arithmetic processing device and control method for arithmetic processing device
WO2022255005A1 (en) Monitoring system, monitoring method, monitoring device, and function restricting device
CN113791936B (en) Data backup method, device and storage medium
Arena et al. A case study in obtaining freedom from interference in a mixed-asil architecture

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210218

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220207

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220322

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220510

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20221004

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20221017

R151 Written notification of patent or utility model registration

Ref document number: 7172155

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151