JP2010285001A - Electronic control system and functional agency method - Google Patents

Electronic control system and functional agency method Download PDF

Info

Publication number
JP2010285001A
JP2010285001A JP2009138326A JP2009138326A JP2010285001A JP 2010285001 A JP2010285001 A JP 2010285001A JP 2009138326 A JP2009138326 A JP 2009138326A JP 2009138326 A JP2009138326 A JP 2009138326A JP 2010285001 A JP2010285001 A JP 2010285001A
Authority
JP
Japan
Prior art keywords
ecu
electronic control
function
control unit
failure
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2009138326A
Other languages
Japanese (ja)
Inventor
Masuzo Takemoto
益三 嵩本
Norihiko Ishizaki
徳彦 石崎
Hiroshi Uesugi
浩 上杉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Toyota Motor Corp
Renesas Electronics Corp
Original Assignee
Denso Corp
Toyota Motor Corp
Renesas Electronics Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp, Toyota Motor Corp, Renesas Electronics Corp filed Critical Denso Corp
Priority to JP2009138326A priority Critical patent/JP2010285001A/en
Publication of JP2010285001A publication Critical patent/JP2010285001A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide an electronic control system and a functional agency method capable of coping with failure of an ECU (electronic control unit) without depending on a specific ECU. <P>SOLUTION: This electronic control system 100 is provided for connecting a first electronic control unit 1 and one or more of second electronic control units A via a network 20. The first electronic control unit has a failure detecting means 36 for detecting failure of the self function and an agency request means 35 for requesting agency of the failure function of causing failure to the second electronic control unit, and the second electronic control unit has: a determining means 42 for determining whether the failure function can be substituted; and agency means 41 and 43 for acting for the functional function when it is determined that the agency can be performed. <P>COPYRIGHT: (C)2011,JPO&INPIT

Description

本発明は、車載された電子制御ユニットのフェイルセーフに関し、特に、故障した電子制御ユニットの機能を他の電子制御ユニットが代行する電子制御システム及び機能代行方法に関する。   The present invention relates to a fail safe for an on-board electronic control unit, and more particularly to an electronic control system and a function substitution method in which another electronic control unit substitutes a function of a failed electronic control unit.

車両の基本機能や車載装置の電子化が進行する反面、数多くの電子制御ユニットが搭載された結果、電子制御ユニットの故障に対応する必要が生じている。故障した電子制御ユニットを検出するため、特定のECUが他のECUを監視する技術が考えられている(例えば、特許文献1,2参照。)。特許文献1には、通信ECUがナビECU等の故障を検出すると、そのデータを情報提供センタに送信し、情報提供センタが機能を代行する技術が開示されている。また、特許文献2には、マネージャECUに必要機能を簡易化した基本プログラムを用意しておき、エンジンECU等の故障を検出すると、適切なECUに基本プログラムをダウンロードしてそのECUがエンジンECUの肩代わりをする技術が開示されている。   While the basic functions of vehicles and in-vehicle devices have been digitized, a large number of electronic control units have been installed, and as a result, it has become necessary to deal with failures of the electronic control units. In order to detect a faulty electronic control unit, a technique in which a specific ECU monitors other ECUs has been considered (see, for example, Patent Documents 1 and 2). Patent Document 1 discloses a technology in which when a communication ECU detects a failure of a navigation ECU or the like, the data is transmitted to an information providing center, and the information providing center performs a function. In Patent Document 2, a basic program that simplifies necessary functions is prepared in the manager ECU, and when a failure of the engine ECU or the like is detected, the basic program is downloaded to an appropriate ECU and the ECU is installed in the engine ECU. Techniques for taking over shoulders are disclosed.

特開平10−297446号公報JP-A-10-297446 特開2002−221075号公報JP 2002-221075 A

しかしながら、特許文献1又は2に記載された技術のように、特定のECUが他のECUに処理を振り分ける場合、特定のECUに故障が生じた場合の対応が困難になるという問題がある。また、特許文献1のように情報処理系の処理であれば他のECUで可能な処理もあるが、制御系の電子制御ユニットが故障した場合、故障した電子制御ユニットが管理するセンサやアクチュエータの処理を他のECUが肩代わりすることは困難である。この点について、特許文献2では、センサ及びアクチュエータを車載ネットワークに直接接続することで、他のECUが制御系の処理を肩代わりすることを可能とするが、かかる構成では故障の有無に拘わらずバス負荷が増大してしまい、センサやアクチュエータにアクセスするタイミングを確保することが困難になる。   However, when a specific ECU allocates processing to another ECU as in the technique described in Patent Document 1 or 2, there is a problem that it is difficult to cope with a failure in a specific ECU. In addition, there is a process that can be performed by another ECU as long as the process is an information processing system as in Patent Document 1, but when the electronic control unit of the control system fails, the sensors and actuators managed by the failed electronic control unit It is difficult for another ECU to take over the processing. With regard to this point, Patent Document 2 allows other ECUs to take over the processing of the control system by directly connecting the sensors and actuators to the in-vehicle network. The load increases, and it becomes difficult to secure the timing for accessing the sensor and the actuator.

本発明は、上記課題に鑑み、特定のECUに依存することなくECUの故障に対応可能な電子制御システム及び機能代行方法を提供することを目的とする。   In view of the above problems, an object of the present invention is to provide an electronic control system and a function substitution method that can cope with a failure of an ECU without depending on a specific ECU.

第1の電子制御ユニットと1以上の第2の電子制御ユニットがネットワークを介して接続された電子制御システムにおいて、第1の電子制御ユニットは、自己機能の故障を検出する故障検出手段と、故障した故障機能の代行を第2の電子制御ユニットに要求する代行要求手段と、を有し、第2の電子制御ユニットは、故障機能の代替が可能か否かを判定する判定手段と、代行が可能と判定した場合、前記故障機能を代行する代行手段と、を有する、ことを特徴とする。   In an electronic control system in which a first electronic control unit and one or more second electronic control units are connected via a network, the first electronic control unit includes a failure detection means for detecting a failure in self-function, a failure Proxy requesting means for requesting the second electronic control unit to substitute for the failed function. The second electronic control unit has a determination means for determining whether or not the replacement of the failed function is possible. A proxy means for substituting the fault function when it is determined to be possible.

特定のECUに依存することなくECUの故障に対応可能な電子制御システム及び機能代行方法を提供することができる。   It is possible to provide an electronic control system and a function substitution method that can cope with an ECU failure without depending on a specific ECU.

ECU1とECU_A、ECU_Bの作動時間の関係の一例を示す図である。It is a figure which shows an example of the relationship of the operating time of ECU1, ECU_A, and ECU_B. 電子制御システムの概略構成図の一例である。It is an example of the schematic block diagram of an electronic control system. ECU1とECU_Aの機能ブロック図の一例である。It is an example of a functional block diagram of ECU1 and ECU_A. 代行必要仕様テーブルの一例を示す図である。It is a figure which shows an example of a substitute required specification table. ECU_AがECU1の機能を代行するまでの手順を示すフローチャート図の一例である。It is an example of the flowchart figure which shows the procedure until ECU_A substitutes the function of ECU1. ECU1とECU_Aの機能ブロック図の一例である(実施例2)。It is an example of the functional block diagram of ECU1 and ECU_A (Example 2). 代行必要仕様テーブルの一例を示す図である(実施例2)。(Example 2) which is a figure which shows an example of a substitute required specification table. ECU_AがECU1の機能を代行するまでの手順を示すフローチャート図の一例である。It is an example of the flowchart figure which shows the procedure until ECU_A substitutes the function of ECU1.

以下、本発明を実施するための形態について図面を参照しながら実施例を挙げて説明する。   DESCRIPTION OF EMBODIMENTS Hereinafter, embodiments for carrying out the present invention will be described with reference to the drawings.

本実施形態の電子制御システム100は、ECU(Electronic Control Unit)1に故障が生じると、ECU_A又はECU_BがECU1の機能の一部又は全部を代行する。電子制御システム100は、特定のECUでなくECU1の故障した機能を提供できるECU_A又はECU_Bが機能を代行する。こうすることで、特定のECUに余計なコストをかけることなく、ECU1の故障に適切な対応が可能となる。   In the electronic control system 100 of the present embodiment, when a failure occurs in the ECU (Electronic Control Unit) 1, the ECU_A or the ECU_B performs part or all of the functions of the ECU 1. In the electronic control system 100, an ECU_A or an ECU_B that can provide a malfunctioning function of the ECU 1 instead of a specific ECU performs the function. By doing so, it is possible to appropriately cope with the failure of the ECU 1 without incurring extra costs for a specific ECU.

図1は、ECU1とECU_A、ECU_Bの作動時間の関係の一例を示す図である。図1の斜線部はそのECUが作動していることを意味する。図示するように、ECU1とECU_A、又は、ECU1とECU_Bは、作動時間に対し相補の関係にある。すなわち、ECU1が走行中に起動しているのに対し、ECU_A及びECU_Bはほぼ走行中に停止している。ECU1は例えば、エンジンECU、パワトレECU、ブレーキECU、パワステECU(EPS:electric power Steering)等、車両の基本機能「走る、曲がる、止まる」に用いられるアクチュエータを電子的に制御するECUである。一方、ECU_Aは、例えば、車両近くの電子キーを無線通信により検出してドアをアンロックする等、駐車中に必要な機能を提供する。また、ECU_Bは、例えば、車両が後退走行する際に、車両後方のカメラ画像に予想軌跡を重畳して表示する等、車庫入れ中に必要な機能を提供する(バックガイドモニタ機能)。   FIG. 1 is a diagram illustrating an example of a relationship between operating times of the ECU 1 and ECU_A and ECU_B. The shaded area in FIG. 1 means that the ECU is operating. As shown in the figure, ECU1 and ECU_A, or ECU1 and ECU_B have a complementary relationship with respect to the operation time. That is, while the ECU 1 is activated during traveling, the ECU_A and the ECU_B are substantially stopped during traveling. The ECU 1 is an ECU that electronically controls actuators used for basic functions of the vehicle such as “run, turn, stop” such as an engine ECU, a power train ECU, a brake ECU, and a power steering ECU (EPS). On the other hand, the ECU_A provides functions necessary during parking, such as detecting an electronic key near the vehicle by wireless communication and unlocking the door. Further, the ECU_B provides a function necessary during entering the garage, for example, when the vehicle travels backward, such as displaying an expected locus superimposed on a camera image behind the vehicle (back guide monitor function).

電子制御システム100は、ECU1とECU_A、又は、ECU1とECU_Bのこのような関係を利用して、走行中にECU1が故障した場合、走行中に処理能力に余裕のあるECU_A又はECU_BがECU1の機能の一部又は全部を代行する(以下、単に機能代行という)。なお、本実施形態では、走行中に停止しているECU_A又はECU_BがECU1を機能代行するが、機能代行するECUは処理能力に余裕があればよく、停止している必要はない。   The electronic control system 100 uses such a relationship between the ECU 1 and the ECU_A or the ECU 1 and the ECU_B. When the ECU 1 breaks down during traveling, the ECU_A or the ECU_B having a sufficient processing capacity during traveling is used by the ECU 1 or ECU_B. Is substituted for part or all of the above (hereinafter simply referred to as function substitution). In the present embodiment, ECU_A or ECU_B that stops while traveling performs the function of ECU 1, but the ECU that performs the function only needs to have a sufficient processing capacity and does not need to be stopped.

走行中にECU1が故障すると、ECU1がECU_A及びECU_Bに機能代行を要求し、ECU_A又はECU_Bのうち、ECU1の機能の代行に必要な能力を備えたECUがECU1の機能を代行する。ECU_A又はECU_Bが、ECU1の機能代行が可能か否かを判定するので、特定のECUに依存することなく適切なECUが機能代行することができる。   When the ECU 1 breaks down during traveling, the ECU 1 requests the ECU_A and the ECU_B to perform the function substitution, and the ECU having the capability necessary for the substitution of the function of the ECU 1 of the ECU_A or the ECU_B substitutes the function of the ECU 1. Since ECU_A or ECU_B determines whether or not the function substitution of the ECU 1 is possible, an appropriate ECU can perform the function substitution without depending on a specific ECU.

ところで、ECU1の故障には大きく次の2つの場合がある。
(I)ECU1のCPUの主要部が故障した場合
この場合、ECU_A又はECU_Bが、ECU1の機能を提供するために少なくとも最小限必要な機能を代行し、ECU_A又はECU_BがECU1のI/O処理を引き継ぐ。
(II)ECU1のCPUの一部の機能が故障した場合
この場合、ECU_A又はECU_BがECU1の一部の機能のみを代行し、処理結果をECU1に返す。ECU1は故障する前と同様にI/O処理を実行する。 By the way, there are two major cases of failure of the ECU 1.
(I) When the main part of the CPU of the ECU 1 fails In this case, the ECU_A or ECU_B performs at least the minimum necessary functions for providing the functions of the ECU 1, and the ECU_A or ECU_B performs the I / O processing of the ECU 1. take over.
(II) When some functions of the CPU of the ECU 1 fail In this case, the ECU_A or ECU_B performs only some functions of the ECU 1 and returns the processing result to the ECU 1. The ECU 1 executes the I / O processing as before the failure.

本実施例では、(I)ECU1のCPUの主要部が故障した場合について説明する。
図2は、電子制御システム100の概略構成図の一例を示す。ECU1、ECU_A及びECU_Bが車載LAN20を介して接続されている。ECU_Bの構成はECU_Aと同様であるので省略した。マイコン11には、バスを介して、周辺IC12、メモリ13、I/O14,15が接続され、更にI/O14,15にはセンサ17とアクチュエータ18が接続されている。マイコン11は、後述するCPU33、レジスタ16、RAM19、CAN通信部31、スイッチ素子、ASIC(Application Specific Integrated Circuit)等を有する。周辺IC12は、リセット回路27、タイマ、等を有する統合ICである。メモリ13は、例えばEEPROMやフラッシュメモリ等の不揮発メモリであり、ECU1が所定の機能を提供するためのアプリケーションプログラムやOS(Operaiting System)等を記憶している。I/O14はA/D変換回路、I/O15はD/A変換回路やモータ駆動回路、である。マイコン11は、メモリ13に記憶されたアプリケーションプログラムを読み出し、センサ17が検出するセンサ信号に演算を施し、アクチュエータ18を制御する等の処理を繰り返す。 In this embodiment, (I) a case where a main part of the CPU of the ECU 1 has failed will be described.
FIG. 2 shows an example of a schematic configuration diagram of the electronic control system 100. ECU1, ECU_A, and ECU_B are connected via the in-vehicle LAN 20. The configuration of ECU_B is omitted because it is the same as that of ECU_A. A peripheral IC 12, a memory 13, and I / Os 14 and 15 are connected to the microcomputer 11 via a bus, and a sensor 17 and an actuator 18 are connected to the I / Os 14 and 15. The microcomputer 11 includes a CPU 33, a register 16, a RAM 19, a CAN communication unit 31, a switch element, an ASIC (Application Specific Integrated Circuit), which will be described later. The peripheral IC 12 is an integrated IC having a reset circuit 27, a timer, and the like. The memory 13 is a nonvolatile memory such as an EEPROM or a flash memory, and stores an application program for the ECU 1 to provide a predetermined function, an OS (Operating System), and the like. I / O 14 is an A / D conversion circuit, and I / O 15 is a D / A conversion circuit or a motor drive circuit. The microcomputer 11 reads the application program stored in the memory 13, performs an operation on the sensor signal detected by the sensor 17, and repeats processing such as controlling the actuator 18.

なお、ECU1がエンジンECUであれば、センサ17は水温センサ、エンジン回転数センサ、O2センサ等であり、アクチュエータ18はスロットルモータ、インジェクタ等である。また、ECU1がブレーキECUであれば、センサ17はマスタシリンダ圧センサ、車速センサ等であり、アクチュエータ18は油圧回路に配置された増圧弁、減圧弁、圧力保持弁等である。また、ECU1がトランスミッションECUであれば、センサ17は油温センサ、アクセル開度センサ等であり、アクチュエータ18はバルブボディに内蔵された各種のソレノイドである。   If the ECU 1 is an engine ECU, the sensor 17 is a water temperature sensor, an engine speed sensor, an O2 sensor, or the like, and the actuator 18 is a throttle motor, an injector, or the like. If the ECU 1 is a brake ECU, the sensor 17 is a master cylinder pressure sensor, a vehicle speed sensor, or the like, and the actuator 18 is a pressure increasing valve, a pressure reducing valve, a pressure holding valve, or the like arranged in a hydraulic circuit. If the ECU 1 is a transmission ECU, the sensor 17 is an oil temperature sensor, an accelerator opening sensor, or the like, and the actuator 18 is various solenoids built in the valve body.

ECU_Aのマイコン21には、バスを介して、周辺IC22、メモリ23、I/O24、25が接続されている。I/O24,25にもセンサやアクチュエータが接続されていてもよい。マイコン21は、CPU41、レジスタ26、RAM29、CAN通信部43、スイッチ素子、ASIC等を有する。周辺IC22は、リセット回路27を有する。リセット回路27は、マイコン21をリセットすることで、マイコン21を起動させる。ECU_Bも同様にリセット回路と判定回路を有し、ECU_A又はECU_Bのいずれかが、ECU1の機能を代行するようになっている。   A peripheral IC 22, a memory 23, and I / Os 24 and 25 are connected to the microcomputer 21 of the ECU_A through a bus. Sensors and actuators may also be connected to the I / Os 24 and 25. The microcomputer 21 includes a CPU 41, a register 26, a RAM 29, a CAN communication unit 43, a switch element, an ASIC, and the like. The peripheral IC 22 has a reset circuit 27. The reset circuit 27 starts the microcomputer 21 by resetting the microcomputer 21. Similarly, ECU_B has a reset circuit and a determination circuit, and either ECU_A or ECU_B substitutes for the function of ECU1.

ECU_Aがドアロック及びアンロックを制御するキーレスエントリーシステム用のECU(照合ECU又はボディECU)の場合、I/O24には電子キーの検知エリアを形成する通信装置やアンテナが接続され、I/O25にはドアロックモータが接続されている。また、ECU_A又はECU_Bが、バッグガイドモニタ機能を提供するECUの場合、I/O24には後方を撮影するカメラが接続されている。   When the ECU_A is an ECU for a keyless entry system (control ECU or body ECU) that controls door lock and unlock, the I / O 24 is connected to a communication device or antenna that forms an electronic key detection area, and the I / O 25 Is connected to a door lock motor. When ECU_A or ECU_B is an ECU that provides a bag guide monitor function, the I / O 24 is connected with a camera that captures the rear.

図3は、ECU1とECU_Aの機能ブロック図の一例である。ECU1が故障を検出すると、ECU_A又はECU_BがECU1のI/O14、15を引き継ぐ形で機能代行する。マイコン11は、車載LAN20を介して他のECUと通信するためのCAN通信部31、CPU33とI/O14,15、CAN通信部31とI/O14,15の接続を択一的に切り替えるMUX34、及び、CPU33を介さずにI/O14,15とCAN通信部31が相互にアクセスすることを可能にするDMAC(Direct Memory Access Controller)32と有する。   FIG. 3 is an example of a functional block diagram of the ECU 1 and ECU_A. When the ECU 1 detects a failure, the ECU_A or ECU_B performs the function substitution in the form of taking over the I / Os 14 and 15 of the ECU 1. The microcomputer 11 includes a CAN communication unit 31 for communicating with other ECUs via the in-vehicle LAN 20, a MUX 34 that selectively switches connection between the CPU 33 and the I / Os 14 and 15, and the CAN communication unit 31 and the I / Os 14 and 15. In addition, the I / O 14 and 15 and the CAN communication unit 31 have a DMAC (Direct Memory Access Controller) 32 that enables mutual access without using the CPU 33.

また、ECU_Aは、ECU1の機能代行が可能か否かを判定する判定部42を有する。ECU_Bも判定部を有するが図示を省略した。判定部42は、例えば、起動したECU_AのCPU41がメモリ23に記憶されたプログラムを実行することで実現される。   Moreover, ECU_A has the determination part 42 which determines whether the function substitution of ECU1 is possible. The ECU_B also has a determination unit, but the illustration is omitted. The determination part 42 is implement | achieved when CPU41 of activated ECU_A runs the program memorize | stored in the memory 23, for example.

〔故障の検出〕
まずECU1の故障検出について説明する。CPU33の主要部が故障した場合、マイコン11自体が故障を検出したり、故障後にECU_A又はECU_Bに機能代行を要求するのは困難となる場合が多い。そこで、本実施例では、ECU1の周辺IC12が故障検出以降の処理を行う。 (Fault detection)
First, failure detection of the ECU 1 will be described. When the main part of the CPU 33 fails, it is often difficult for the microcomputer 11 itself to detect the failure or to request a function substitution from the ECU_A or ECU_B after the failure. Therefore, in this embodiment, the peripheral IC 12 of the ECU 1 performs processing after failure detection.

周辺IC12は、ECU1の機能代行をECU_A又はECU_Bに要求する代行要求部35、CPU33の故障を検出する故障検出部36、ECU_A又はECU_BがI/O14、15を引き継ぐことを可能にする切り替え部37、を有する。これらの機能ブロックは、比較的単純な機能を提供するのでソフト又はハードのいずれで実装してもよい。   The peripheral IC 12 includes a substitution request unit 35 that requests the ECU_A or ECU_B to perform a function substitution of the ECU 1, a failure detection unit 36 that detects a failure of the CPU 33, and a switching unit 37 that allows the ECU_A or ECU_B to take over the I / Os 14 and 15. Have. Since these functional blocks provide relatively simple functions, they may be implemented by either software or hardware.

故障検出部36は、例えばウォッチドッグタイマを実体とし、マイコン11が定期的にウォッチドッグタイマに初期値をセットすることで、マイコン11が正常動作していることを確認する。一方、マイコン11が故障しウォッチドッグタイマに初期値をセットできなくなると、ウォッチドッグタイマの値がゼロになり周辺IC12に割り込みする。故障検出部36はこの割り込みからマイコン11の異常を検出する。なお、ウォッチドッグタイマに書き込みが行われない故障では、所定のアプリケーションが応答待ちや無限ループに陥る場合が多く、不図示のリセット回路がCPU33をリセットすることでCPU33の機能が回復することがある。故障検出部36は、何回かリセットしても再度ウォッチドッグタイマから割り込みが生じることからマイコン11の故障を検出してもよい。   The failure detection unit 36 uses, for example, a watchdog timer, and the microcomputer 11 periodically sets an initial value in the watchdog timer, thereby confirming that the microcomputer 11 is operating normally. On the other hand, when the microcomputer 11 fails and the initial value cannot be set in the watchdog timer, the value of the watchdog timer becomes zero and the peripheral IC 12 is interrupted. The failure detection unit 36 detects an abnormality of the microcomputer 11 from this interrupt. It should be noted that a failure in which the watchdog timer is not written often causes a predetermined application to wait for a response or enter an infinite loop, and a reset circuit (not shown) may reset the CPU 33 to restore the function of the CPU 33. . The failure detection unit 36 may detect a failure of the microcomputer 11 because an interrupt is generated again from the watchdog timer even if reset several times.

故障検出部36がマイコン11の故障を検出すると、代行要求部35が機能代行をECU_A又はECU_Bに要求する。CPU33の主要部が故障したことを想定すると、ECU1のマイコン11と同程度の処理能力を備えた、他のECUでないと機能代行が困難となる。また、ECU_A又はECU_BがECU1と通信するまでの時間的な遅延があまり長いと、ECU又はECU_BがECU1のI/O14,15を引き継ぐことが困難である。また、ECU1の制御に高い信頼性が要求される場合、機能代行するECU_A又はECU_Bにも相応の信頼性が要求される。例えば、車両の操舵を制御するパワステECUのようにECU1に要求される信頼性が高い場合、機能代行するECU_A又はECU_Bも同等以上の信頼性を備えることが好ましい。   When the failure detection unit 36 detects a failure of the microcomputer 11, the substitution request unit 35 requests the ECU_A or ECU_B for a function substitution. If it is assumed that the main part of the CPU 33 has failed, function substitution is difficult unless it is another ECU having the same processing ability as the microcomputer 11 of the ECU 1. Further, if the time delay until the ECU_A or ECU_B communicates with the ECU 1 is too long, it is difficult for the ECU or ECU_B to take over the I / Os 14 and 15 of the ECU 1. Further, when high reliability is required for the control of the ECU 1, the ECU_A or ECU_B acting as a function also requires appropriate reliability. For example, when the reliability required for the ECU 1 is high, such as a power steering ECU that controls the steering of the vehicle, it is preferable that the ECU_A or ECU_B acting as a function also has the same or higher reliability.

代行要求部35は、代行要求する際、処理能力、遅延時間及び信頼性を含めた代行要求信号をECU_A又はECU_Bに送信することで、機能代行を要求する。これにより、ECU_A又はECU_Bの判定部42は、ECU1の機能を代行できるか否かを判定できる。   The proxy request unit 35 requests a function proxy by sending a proxy request signal including processing capability, delay time, and reliability to the ECU_A or ECU_B when requesting a proxy. Thereby, the determination part 42 of ECU_A or ECU_B can determine whether the function of ECU1 can be substituted.

代行要求部35は、ECU_A又はECU_Bに機能代行を要求するため、必要な代行必要仕様を登録した代行必要仕様テーブル38を記憶している。
図4は、代行必要仕様テーブル38の一例を示す図である。処理能力には、代行先のECUが備える仕様として、CPU33の動作クロック周波数及び作業領域(RAM29)のメモリ容量、が登録されている。また、遅延時間及び信頼性が登録されている。遅延時間は、例えば、ECU_A又はECU_BからECU1に応答要求した場合の平均的な時間である。また、信頼性は、例えばA〜Cの3段階程度に定められており、代行必要仕様の信頼性がAの場合、信頼性がAのECUでなければ機能代行できないことを、信頼性がBの場合、信頼性がA又はBのECUでなければ機能代行できないことを、信頼性がCの場合、信頼性がA〜CのECUでなければ機能代行できないことを、それぞれ意味する。代行必要仕様テーブル38の代行必要仕様は、ECU1の処理能力そのものを意味するとは限らず、ECU1の機能のうち最小限、必要な機能を他のECUが代行するために必要な仕様であればよい。 The substitution request unit 35 stores a substitution necessary specification table 38 in which necessary substitution necessary specifications are registered in order to request the ECU_A or the ECU_B to perform the function substitution.
FIG. 4 is a diagram illustrating an example of the substitution requirement specification table 38. In the processing capability, the operating clock frequency of the CPU 33 and the memory capacity of the work area (RAM 29) are registered as specifications of the substitute ECU. Also, the delay time and reliability are registered. The delay time is, for example, an average time when a response request is sent from ECU_A or ECU_B to ECU1. In addition, the reliability is determined in, for example, about three stages of A to C. When the reliability of the substitution required specification is A, the reliability can be represented by the function B unless the reliability is an ECU of A. In the case of the above, it means that the function cannot be performed unless the reliability is an ECU of A or B, and when the reliability is C, it means that the function cannot be performed unless the reliability is an ECU of A to C. The substitute necessary specification of the substitute necessary specification table 38 does not necessarily mean the processing capability itself of the ECU 1, but may be a specification that is necessary for the other ECUs to substitute the necessary functions among the functions of the ECU 1. .

代行要求部35は、故障検出部36が故障を検出すると、代行要求信号を、CAN通信部31を介してECU_A又はECU_Bに送信する。CAN通信部31は、CANプロトコルに従いフレームデータを生成し代行要求信号を格納する。CAN通信部31が同報的に代行要求信号を送信することで、車載LAN20に接続された全てのECUが、ECU1の機能の代行が可能か否かを判定することができる。なお、予め定めた複数のECU_A又はECU_Bにのみ代行要求信号を送信してもよい。   When the failure detection unit 36 detects a failure, the substitution request unit 35 transmits a substitution request signal to the ECU_A or the ECU_B via the CAN communication unit 31. The CAN communication unit 31 generates frame data according to the CAN protocol and stores a proxy request signal. When the CAN communication unit 31 broadcasts the substitute request signal, all ECUs connected to the in-vehicle LAN 20 can determine whether or not the function of the ECU 1 can be substituted. Note that the proxy request signal may be transmitted only to a plurality of predetermined ECU_A or ECU_B.

例えばECU_A及びECU_Bが代行要求信号を受信して、代行可能であることを示す準備完了信号をECU1に送信した場合、ECU1はECU_A又はECU_Bのいずれに代行を依頼するかを選択できることになる。準備完了信号については後述するが、ECU1は準備完了信号を参照して最も好ましいECU_A又はECU_Bを選択する。   For example, when the ECU_A and the ECU_B receive the substitute request signal and transmit a preparation completion signal indicating that the substitute is possible to the ECU 1, the ECU 1 can select which of the ECU_A or the ECU_B is requested to substitute. The preparation completion signal will be described later, but the ECU 1 selects the most preferable ECU_A or ECU_B with reference to the preparation completion signal.

また、代行必要仕様を全て満たすECUが複数存在する場合、ECU1は、最も早く準備完了信号を送信したECU_A又はECU_Bに、機能代行を依頼するものとする。こうすることで、ECU1の機能を代行するECUA又はECUBを早期に決定することができる。ECU1は、機能の代行を依頼しないことになったECUに対し、個別に、機能代行が不要になった旨の信号を送信する。機能代行が不要になった旨の信号を受信したECUは停止することで、消費電力の増大を抑制できる。以下の処理は、ECU_Aが機能代行するものとして説明する。   In addition, when there are a plurality of ECUs that satisfy all the necessary substitution specifications, the ECU 1 requests the functional substitution from the ECU_A or ECU_B that has transmitted the preparation completion signal earliest. By doing so, ECUA or ECUB acting as a function of ECU1 can be determined at an early stage. The ECU 1 individually transmits a signal to the effect that the function substitution is no longer necessary to the ECU that has not requested the function substitution. The ECU that has received the signal indicating that the function substitution is no longer necessary can be stopped, thereby suppressing an increase in power consumption. The following processing will be described assuming that the ECU_A performs the function substitution.

〔機能代行〕
CPU33の主要部が故障した場合、故障までECU1が実行していた処理をECU_Aが代行することになる。ここで、ECU_Aのメモリ23にECU1が実行するアプリケーションプログラムが記憶されていることは少ないので、ECU1はアプリケーションプログラムをECU_Aに送信する。そして、ECU1は、ECU_Aがアプリケーションプログラムを実行した処理結果を受信する。 [Function substitution]
When the main part of the CPU 33 breaks down, the ECU_A takes over the processing that the ECU 1 has been executing until the failure. Here, since the application program executed by the ECU 1 is rarely stored in the memory 23 of the ECU_A, the ECU 1 transmits the application program to the ECU_A. Then, the ECU 1 receives a processing result obtained when the ECU_A executes the application program.

このため、ECU_Aから準備完了信号を受信すると、ECU1の切り替え部37は、メモリ13に記憶されたアプリケーションプログラムを送信するようDMAC32に要求する。ECU_Aが充分なメモリ23の空き容量を有すれば、DMAC32はアプリケーションプログラムの全てをECU_Aが機能代行を開始する前に送信できる。ECU_Aが充分なメモリ23の容量を有していない場合、所定量毎のアプリケーションプログラムをECU_Aに送信することを繰り返す。本実施例では後者を例に説明する。   For this reason, when the preparation completion signal is received from ECU_A, the switching unit 37 of the ECU 1 requests the DMAC 32 to transmit the application program stored in the memory 13. If the ECU_A has sufficient free space in the memory 23, the DMAC 32 can transmit all of the application programs before the ECU_A starts function substitution. When ECU_A does not have sufficient capacity of memory 23, the application program for every predetermined amount is repeatedly transmitted to ECU_A. In this embodiment, the latter will be described as an example.

ところで、マイコン11がアプリケーションプログラムの実行の途中で故障した場合、故障までの処理結果をECU_Aが取得することで、故障までの制御との整合性を保ちやすくなる。例えば、モータ制御の一連のプロセスでは、それまでの処理結果を利用して次の制御量を決定することが多い。例えば、電気モータのトルクや回転数は、急激に増大させると乗員に違和感を感じさせるので、電気モータの通電量をフィードバック制御により決定する処理では、前回の制御量に応じた目標値が得られるように電気モータの制御量が決定されている。また、このように故障までの制御の整合性を保つ必要がなくても、故障までの処理結果を利用することで、ECU_Aは早期にECU1の機能代行を開始できる。アプリケーションプログラムによる故障までの演算情報は、主記憶装置であるRAM19やCPU33が使用するレジスタ16に記憶されている。また、レジスタ16にはPC(プログラムカウンタ)等、ECU1の状態を特定する情報が含まれているので、ECU_Aが再開するアプリケーションプログラムのアドレスも明らかになる。したがって、ECU_AがRAM19やレジスタ16の演算情報を利用することで、アプリケーションプログラムを途中から再開できる。   By the way, when the microcomputer 11 fails during the execution of the application program, the ECU_A obtains the processing result up to the failure, so that consistency with the control up to the failure can be easily maintained. For example, in a series of processes for motor control, the next control amount is often determined using the processing results up to that point. For example, since the occupant feels uncomfortable when the torque and the rotational speed of the electric motor are suddenly increased, a target value corresponding to the previous control amount is obtained in the process of determining the energization amount of the electric motor by feedback control. Thus, the control amount of the electric motor is determined. Further, even if it is not necessary to maintain the consistency of control up to the failure as described above, the ECU_A can start the function substitution of the ECU 1 at an early stage by using the processing result up to the failure. Calculation information up to the failure by the application program is stored in the RAM 19 which is the main storage device or the register 16 used by the CPU 33. Further, since the register 16 includes information for specifying the state of the ECU 1, such as a PC (program counter), the address of the application program that the ECU_A resumes is also clarified. Therefore, the application program can be resumed from the middle by the ECU_A using the calculation information in the RAM 19 and the register 16.

なお、CPU33の主要部が故障している場合、そもそもRAM19やレジスタ16の内容を読み出すことができないことも多いので、DMAC32はRAM19やレジスタ16の内容を呼び出せる場合に限り、これらの内容を送信する。   If the main part of the CPU 33 is faulty, the contents of the RAM 19 and the register 16 cannot often be read out in the first place. Therefore, the DMAC 32 transmits these contents only when the contents of the RAM 19 and the register 16 can be called. .

そして、切り替え部37は、I/O14,15の接続先をCPU33からCAN通信部31に切り替える。CPU33の主要部が故障してしまうと、CPU33がI/O14、15を直接、制御することは困難となる。このため、切り替え部37は、準備完了信号を受信すると、I/O14,15の接続先をCPU33からCAN通信部31に切り替える制御信号をMUX34に出力する。MUX34がI/O14,15の接続先を、CPU33からCAN通信部31に切り替えることで、センサ17が検出したセンサ信号を、CPU33を介することなくCAN通信部31がECU_Aに送信することができる。また、ECU_Aの処理結果が、直接I/O15に送信され、ECU_AがI/O15を介してアクチュエータ18を制御することができる。   Then, the switching unit 37 switches the connection destination of the I / Os 14 and 15 from the CPU 33 to the CAN communication unit 31. If the main part of the CPU 33 breaks down, it becomes difficult for the CPU 33 to directly control the I / Os 14 and 15. For this reason, when receiving the preparation completion signal, the switching unit 37 outputs a control signal for switching the connection destination of the I / Os 14 and 15 from the CPU 33 to the CAN communication unit 31 to the MUX 34. The MUX 34 switches the connection destination of the I / Os 14 and 15 from the CPU 33 to the CAN communication unit 31, so that the CAN communication unit 31 can transmit the sensor signal detected by the sensor 17 to the ECU_A without using the CPU 33. Further, the processing result of the ECU_A is directly transmitted to the I / O 15 so that the ECU_A can control the actuator 18 via the I / O 15.

このように、ECU1は、アプリケーションプログラムの送信、センサ信号の送信、処理結果の受信、を繰り返すことで、ECU_AがECU1のI/O14、15を引き継ぐことを可能にする。   Thus, ECU1 enables ECU_A to take over I / O14,15 of ECU1 by repeating transmission of an application program, transmission of a sensor signal, and reception of a processing result.

〔機能代行可能か否かの判定〕
図1にて説明したように、ECU_A又はECU_Bは停止中、走行中等の車両状態に応じて起動するので、ECU_A又はECU_Bが代行要求信号を受信する際、ECU_A又はECU_Bは周辺IC22のみが、マイコン21の起動が必要か否かを判定するために作動している状態である。 [Determining whether or not function substitution is possible]
As described with reference to FIG. 1, since ECU_A or ECU_B is activated according to the vehicle state such as stopped or running, when ECU_A or ECU_B receives the substitute request signal, only the peripheral IC 22 21 is in a state of operating to determine whether or not the activation of 21 is necessary.

CAN通信部43は、代行要求信号を受信するとリセット回路27にリセット信号を出力させる。リセット回路27がリセット信号をマイコン21に出力することで、CPU41が起動して、ECU_AがECU1の機能を代行することが可能となる。具体的には、マイコン21のCPU41やレジスタ26などの回路がリセット信号を受けて初期化される。これにより、CPU41には所定の割り込みが発生し、CPU41がスタートアップルーチンを開始する。スタートアップルーチンは、マイコン21を初期設定した後、Main関数をCPU41に実行させるが、CPU41は代行要求信号を受信したことをフラグ等で検出し、MAIN関数からサブルーチン等で実装される判定部42を呼び出す。   When receiving the proxy request signal, the CAN communication unit 43 causes the reset circuit 27 to output a reset signal. When the reset circuit 27 outputs a reset signal to the microcomputer 21, the CPU 41 is activated, and the ECU_A can substitute the function of the ECU 1. Specifically, circuits such as the CPU 41 and the register 26 of the microcomputer 21 are initialized by receiving a reset signal. As a result, a predetermined interrupt occurs in the CPU 41, and the CPU 41 starts a startup routine. The startup routine initializes the microcomputer 21 and then causes the CPU 41 to execute the Main function. The CPU 41 detects that the proxy request signal has been received by using a flag or the like, and determines the determination unit 42 implemented by a subroutine from the MAIN function. call.

判定部42は、代行要求信号に基づきECU1の機能を代行できるか否かを判定する。判定部42はECU_Aの処理能力及び信頼性をパラメータとして記憶している。判定部42は記憶しているパラメータと、代行要求信号に含まれる処理能力及び信頼性を比較して、ECU1の機能を代行できるか否かを判定する。   The determination unit 42 determines whether or not the function of the ECU 1 can be performed based on the proxy request signal. The determination unit 42 stores the processing capability and reliability of the ECU_A as parameters. The determination unit 42 compares the stored parameter with the processing capability and reliability included in the proxy request signal to determine whether the function of the ECU 1 can be substituted.

一方、ECU_Aが機能代行してからECU1が処理結果を受信するまでの遅延時間は、車載LAN20のバス負荷が大きく影響し、固定とは限らない。そこで、判定部42は、代行要求信号を受信した際のバス負荷から、要求される遅延時間を満たすか否かを判定する。バス負荷は、例えば次式で算出できる。
バス負荷= {ビット数×伝送時間}/観測時間
観測時間は5〜10秒程度で、ビット数は観測時間の間に車載LAN20上を伝送されるフレームデータの全てのビット数である。伝送時間は、1ビットの送信に必要な時間であり、例えば、伝送能力が500kbpsの場合、伝送時間は2マイクロ秒である。したがって、CAN通信部31が観測時間の間、車載LAN20上を伝送されるフレームデータを監視することで、バス負荷を求めることができる。判定部42は、バス負荷と遅延時間の関係を定めたテーブルから予想される平均的な遅延時間を求め、代行要求信号に含まれる遅延時間と比較する。 On the other hand, the delay time from when the ECU_A performs the function until the ECU 1 receives the processing result is greatly influenced by the bus load of the in-vehicle LAN 20, and is not necessarily fixed. Therefore, the determination unit 42 determines whether or not the required delay time is satisfied from the bus load when the proxy request signal is received. The bus load can be calculated by the following equation, for example.
Bus load = {number of bits × transmission time} / observation time The observation time is about 5 to 10 seconds, and the number of bits is the total number of bits of frame data transmitted on the in-vehicle LAN 20 during the observation time. The transmission time is the time required for 1-bit transmission. For example, when the transmission capability is 500 kbps, the transmission time is 2 microseconds. Accordingly, the CAN communication unit 31 can determine the bus load by monitoring the frame data transmitted on the in-vehicle LAN 20 during the observation time. The determination unit 42 obtains an expected average delay time from a table that defines the relationship between the bus load and the delay time, and compares it with the delay time included in the proxy request signal.

判定部42は判定結果を含む準備完了信号をECU1に送信する。準備完了信号の態様はいくつか考えられる。
(a)処理能力、信頼性及び遅延時間について、それぞれ代行必要仕様を満たすか否かを判定し、全て満たす場合に、判定部42が準備完了信号を送信する態様。
(b)代行必要仕様の仕様毎に、満たすか否かを記述した情報を含む準備完了信号を送信する態様。 The determination unit 42 transmits a preparation completion signal including the determination result to the ECU 1. Several modes of the ready signal can be considered.
(A) A mode in which the determination unit 42 transmits a preparation completion signal when it is determined whether or not the proxy required specifications are satisfied for the processing capability, reliability, and delay time, respectively.
(B) A mode in which a preparation completion signal including information describing whether or not the specification is satisfied is transmitted for each specification of the substitute requirement specification.

(a)の態様は、代行する可能性のある複数のECU_A及びECU_Bが代行必要仕様を満たす可能性が高い場合に有効であり、(b)の態様は、代行必要仕様を満たすECUを探すことが困難な場合に有効である。   The aspect of (a) is effective when there is a high possibility that a plurality of ECU_A and ECU_B that may be substituted will satisfy the necessary substitution specifications, and the aspect of (b) is to search for an ECU that satisfies the necessary substitution specifications. It is effective when it is difficult.

例えば、処理能力と遅延時間は代行必要仕様を満たしていなくても許容できる場合がある。一方、信頼性が代行必要仕様を満たさない場合は代行しない方が好ましい。したがって、ECU1の機能を代行するECUの選択に自由度を残しておくという意味では、(b)の態様が好ましい。(b)の準備完了信号を受信したECU1の切り替え部37は、代行必要仕様のうち、仕様の全てを満たすECUがなければ、優先度の高い仕様を満たすECUに機能の代行を依頼できる。ECU1は、仕様毎にその優先度を予め定めている。   For example, the processing capability and the delay time may be acceptable even if they do not satisfy the proxy requirements. On the other hand, if the reliability does not satisfy the requirement for substitution, it is preferable not to substitute. Therefore, the aspect of (b) is preferable in the sense that the degree of freedom is left in the selection of the ECU that performs the function of the ECU 1. The switching unit 37 of the ECU 1 that has received the preparation completion signal of (b) can request the substitution of the function from the ECU that satisfies the high-priority specification if there is no ECU that satisfies all the specifications among the necessary substitution specifications. The ECU 1 predetermines the priority for each specification.

なお、判定部42が、代行必要仕様の仕様を1つも満たしていないと判定した場合、準備完了信号をECU1に送信しなくてよい。こうすることで、選択の対象を狭めることができる。   Note that when the determination unit 42 determines that none of the specifications of the substitute required specifications are satisfied, the preparation completion signal may not be transmitted to the ECU 1. By doing so, the selection target can be narrowed.

〔機能の代行中の警告〕
ECU_AがECU1の機能を代行した場合、ECU_Aは本来の機能であるドアのアンロック機能、又は、バッグガイドモニタ機能、を提供することが困難になる。したがって、機能代行したECU_Aは、本来の機能が使用できない旨を運転者に通知することで、運転者が車両を駐車させる際に所望の機能を使用できない理由を把握できる。例えば、ECU_Aは「バッグガイドモニタ用のECUは、現在、○○ECUの機能を代行中なので利用できません。」等のメッセージや、警告ランプを点灯するようメータECUやナビECUに要求することができる。なお、車両が駐車したり運転者が強制的に代行を終了させると、ECU_Aは機能代行を終了し、本来の機能を提供する。 [Warning during function substitution]
When the ECU_A performs the function of the ECU 1, it is difficult for the ECU_A to provide the door unlock function or the bag guide monitor function, which is the original function. Therefore, the ECU_A acting as a function agent can know the reason why the driver cannot use a desired function when the driver parks the vehicle by notifying the driver that the original function cannot be used. For example, the ECU_A can request the meter ECU or the navigation ECU to turn on a warning lamp or a message such as “The ECU for the bag guide monitor is currently unavailable because the function of the OO ECU is acting on its behalf”. . Note that when the vehicle is parked or the driver forcibly terminates the substitution, the ECU_A terminates the substitution and provides the original function.

〔動作手順〕
図5は、ECU_AがECU1の機能を代行するまでの手順を示すフローチャート図の一例である。図5のフローチャート図がスタートする際、ECU1は起動中、ECU_A及びECU_Bは周辺IC22のみが起動した状態である。 [Operation procedure]
FIG. 5 is an example of a flowchart illustrating a procedure until the ECU_A performs the function of the ECU 1. When the flowchart of FIG. 5 starts, ECU1 is in the process of being activated, and ECU_A and ECU_B are in a state in which only the peripheral IC 22 is activated.

まず、故障検出部36がマイコン11の故障を検出する(S10)。これにより、代行要求部35が代行必要仕様テーブル38を参照し、代行要求信号をECU_A及びECU_Bに送信する(S20)。ECU_A及びECU_Bのいずれも起動を開始するが、図5ではECU_Aの手順のみを記載した。   First, the failure detection unit 36 detects a failure of the microcomputer 11 (S10). Thereby, the substitute request | requirement part 35 refers to the substitute required specification table 38, and transmits a substitute request signal to ECU_A and ECU_B (S20). Although both ECU_A and ECU_B start activation, only the procedure of ECU_A is shown in FIG.

ECU_Aが起動すると(S30)、判定部42がECU1の機能を代行できるか否かを判定する(S40)。判定部42は、予めパラメータとして記憶している処理能力と代行要求信号の処理能力を、予めパラメータとして記憶している信頼性と代行要求信号に含まれる信頼性とそれぞれ比較する。また、判定部42は、算出したバス負荷に基づき予想される遅延時間を求め、機能代行信号に含まれる遅延時間と比較する。   When ECU_A is activated (S30), the determination unit 42 determines whether or not the function of the ECU 1 can be substituted (S40). The determination unit 42 compares the processing capability stored in advance as a parameter and the processing capability of the proxy request signal with the reliability stored in advance as a parameter and the reliability included in the proxy request signal, respectively. Further, the determination unit 42 obtains an expected delay time based on the calculated bus load, and compares it with the delay time included in the function substitution signal.

判定部42は、ECU_AがECU1の機能を代行できると判定すると、準備完了信号をECU1に送信する(S50)。   When the determination unit 42 determines that the ECU_A can perform the function of the ECU 1, the determination unit 42 transmits a preparation completion signal to the ECU 1 (S50).

切り替え部37は、準備完了信号を送信したECUの中から代行必要仕様の全てを満たす例えばECU_Aに、アプリケーションプログラム及びセンサ信号を送信する(S60)。この場合、RAM19及びレジスタ16の内容を共に送信することが好ましい。アプリケーションプログラム及びセンサ信号を送信するため、切り替え部37は、メモリ13に記憶されたアプリケーションプログラムを送信するようDMAC32に要求する。また、切り替え部37は、I/O14,15の接続先をCPU33からCAN通信部31に切り替える制御信号をMUX34に出力する。これにより、CAN通信部31はECU_Aを宛先にセンサ信号を送信可能となる。   The switching unit 37 transmits the application program and the sensor signal to, for example, the ECU_A that satisfies all of the necessary substitution specifications from among the ECUs that have transmitted the preparation completion signal (S60). In this case, it is preferable to transmit the contents of the RAM 19 and the register 16 together. In order to transmit the application program and the sensor signal, the switching unit 37 requests the DMAC 32 to transmit the application program stored in the memory 13. The switching unit 37 also outputs a control signal for switching the connection destination of the I / Os 14 and 15 from the CPU 33 to the CAN communication unit 31 to the MUX 34. Thereby, the CAN communication part 31 can transmit a sensor signal to ECU_A as a destination.

ECU_AのCAN通信部31は、アプリケーションプログラムとセンサ信号を受信する。そして、ECU_AのCPU41がアプリケーションプログラムを実行し、センサ信号に所定の演算を施すことでECU1の機能を代行する(S70)。ECU_AのCAN通信部31は、処理結果をECU1に送信する(S80)。   The CAN communication part 31 of ECU_A receives an application program and a sensor signal. Then, the CPU 41 of the ECU_A executes the application program and performs a predetermined calculation on the sensor signal to substitute the function of the ECU 1 (S70). The CAN communication part 31 of ECU_A transmits a process result to ECU1 (S80).

ECU1のCAN通信部31は、受信した処理結果を、MUX34を介してI/O15に送出する。これにより、ECU_AがECU1のI/O15を引き継ぐ態様でECU1のアクチュエータ18を制御することができる(S90)。   The CAN communication unit 31 of the ECU 1 sends the received processing result to the I / O 15 via the MUX 34. As a result, the ECU 18 can control the actuator 18 of the ECU 1 in such a manner that the ECU_A takes over the I / O 15 of the ECU 1 (S90).

ECU_Aが引き継いだアクチュエータ18の制御の後、ECU1とECU_AはステップS60〜S90を繰り返す。   After the control of the actuator 18 taken over by the ECU_A, the ECU 1 and the ECU_A repeat steps S60 to S90.

本実施例の電子制御システム100によれば、故障したECU1の機能を代行するための仕様を満たすECU_Aを検出して、ECU_Aが機能代行するので、特定のECUに依存することなくECU1の故障に対し対応することができる。ECU_AはECU1が起動している際、起動していないECUなので、機能を代行するECU_Aの処理能力を増大する等、電子制御システム100のトータルコストを増大させずにECU1の故障に対応することができる。   According to the electronic control system 100 of the present embodiment, ECU_A satisfying the specifications for substituting the function of the failed ECU 1 is detected, and the ECU_A performs the function substitution. Therefore, the ECU 1 can be operated without depending on a specific ECU. It can respond. Since ECU_A is an ECU that is not activated when ECU1 is activated, it is possible to cope with a failure of ECU1 without increasing the total cost of electronic control system 100, such as increasing the processing capacity of ECU_A acting as a function. it can.

なお、本実施例では、ECU1の周辺IC12が故障を検出したが、車載LAN20に接続された他のECUがECU1の故障を検出することも可能である。故障を検出するECUは、起動中のECUであればよく、以下、ECU_Zという。ECU_Zは、例えば、ECU1と通信不能になったことからマイコン11の故障を検出する。ECU_Zはセンサ17の検出したセンサ信号やECU1が処理した処理結果を利用して、自らの処理を実行するECUであるため、ECU_Zは信号や処理結果が受信できないことから、ECU1の故障を検出できる。   In this embodiment, the peripheral IC 12 of the ECU 1 detects a failure, but other ECUs connected to the in-vehicle LAN 20 can also detect a failure of the ECU 1. The ECU that detects the failure may be an active ECU, and is hereinafter referred to as ECU_Z. For example, the ECU_Z detects a failure of the microcomputer 11 because communication with the ECU 1 is disabled. Since the ECU_Z is an ECU that executes its own processing using the sensor signal detected by the sensor 17 and the processing result processed by the ECU 1, the ECU_Z cannot detect the signal or the processing result, and therefore can detect a failure of the ECU 1. .

この場合、ECU1は故障の検出によりMUX34を自動的にI/O14,15側に切り替えておく。ECU_ZはECU1の故障を検出するとECU_A及びECU_Bに機能代行を要求し、ECU_A及びECU_Bが代行機能必要テーブルをECU1から読み出すことで、機能代行可能であると判定したECU_A又はECU_BがECU1の機能を代行する。以降は、ECU_A又はECU_BがECU1のCAN通信部31と通信を繰り返すことで、ECU_A又はECU_BがECU1の機能を代行できる。   In this case, the ECU 1 automatically switches the MUX 34 to the I / O 14 or 15 side when a failure is detected. When the ECU_Z detects a failure of the ECU 1, the ECU_A and the ECU_B request a function substitution, and the ECU_A and the ECU_B read the substitution function necessity table from the ECU 1, thereby determining that the function substitution is possible. To do. Thereafter, ECU_A or ECU_B can perform the function of ECU 1 by repeating communication with CAN communication unit 31 of ECU 1.

本実施例では、(II)ECU1のCPU33の一部の機能が故障した場合について説明する。この場合、ECU_A又はECU_BがECU1の一部の機能のみを代行し、処理結果をECU1に返す。ECU1は故障する前と同様にI/O処理を実行する。   In this embodiment, (II) a case where a part of the function of the CPU 33 of the ECU 1 has failed will be described. In this case, ECU_A or ECU_B performs only a partial function of ECU 1 and returns the processing result to ECU 1. The ECU 1 executes the I / O processing as before the failure.

図6は、ECU1とECU_Aの機能ブロック図の一例である。図6において図3と同一部には同一の符号を付しその説明は省略する。本実施例ではCPU33の一部が故障したので、マイコン11が故障の検出、機能代行の要求等を実行する。CPU33は、メモリ13に記憶された故障用プログラムを実行することで実現される、故障検出部36、代行要求部35、演算完了部39、及び、演算情報送信部40を有する。CPU33が実行するアプリケーションプログラムは、定期的に故障用プログラムを呼び出す、又は、処理負荷が所定値以下になると故障用プログラムを呼び出す等により、CPU33が故障用プログラムを実行する。   FIG. 6 is an example of a functional block diagram of the ECU 1 and ECU_A. In FIG. 6, the same parts as those in FIG. In this embodiment, since a part of the CPU 33 has failed, the microcomputer 11 executes failure detection, function substitution request, and the like. The CPU 33 includes a failure detection unit 36, a substitution request unit 35, a calculation completion unit 39, and a calculation information transmission unit 40 that are realized by executing a failure program stored in the memory 13. The application program executed by the CPU 33 calls the failure program periodically, or by calling the failure program when the processing load becomes a predetermined value or less, the CPU 33 executes the failure program.

〔ECU1〕
故障検出部36は、所定の演算の実行結果が予め記憶してある期待値と一致するか否かにより、マイコン11の故障を検出する。所定の演算は、故障した回路を特定しやすいように、浮動小数点演算、乗算、除算、画像処理用演算、タイマ等、個別に用意されている。 [ECU1]
The failure detection unit 36 detects a failure of the microcomputer 11 based on whether or not the execution result of the predetermined calculation matches the expected value stored in advance. Predetermined operations are individually prepared for floating point operations, multiplications, divisions, image processing operations, timers, and the like so that a failed circuit can be easily identified.

代行要求部35は、故障した回路に応じて、代行必要仕様を含む代行要求信号をECU_A及びECU_Bに送信する。代行要求部35は、実施例1と同様に代行必要仕様テーブル38を有する。
図7は、代行必要仕様テーブル38の一例を示す図である。故障した回路に対応づけて、代行必要仕様が登録されている。例えば、浮動小数点演算回路が故障した場合の代行必要仕様には、浮動小数点の演算精度が、画像処理回路が故障した場合の代行必要仕様には画像処理に必要なフレームレートが、それぞれ登録されている。代行要求部35は、故障した回路に基づき代行必要テーブルを参照し、故障した回路と代行必要仕様を含む代行要求信号をCAN通信部31から送信する。機能代行要求を受信したECU_A又はECU_Bは、代行要求信号に基づき、自らが機能代行できるか否かを判定する。 The substitution request unit 35 transmits a substitution request signal including substitution necessary specifications to the ECU_A and the ECU_B according to the failed circuit. The substitution request unit 35 has a substitution requirement specification table 38 as in the first embodiment.
FIG. 7 is a diagram illustrating an example of the substitute requirement specification table 38. The proxy required specifications are registered in association with the failed circuit. For example, the substitution required specification when the floating point arithmetic circuit fails is registered with the floating point arithmetic accuracy, and the substitute necessary specification when the image processing circuit fails is registered with the frame rate necessary for image processing. Yes. The substitution request unit 35 refers to the substitution necessary table based on the failed circuit, and transmits a substitution request signal including the broken circuit and the substitution necessary specification from the CAN communication unit 31. The ECU_A or ECU_B that has received the function substitution request determines whether or not it can perform the function substitution based on the substitution request signal.

演算情報送信部40は、準備完了信号を受信すると、RAM19及びレジスタ16に記憶された演算情報を、準備完了信号を送信したECU_Aに送信する。RAM19及びレジスタ16に記憶された演算情報は、ECU1がアクチュエータ18を制御するためにそれまで実行した演算の結果であるので、これをECU_Aに送信することで、故障までの制御との整合性を保つことができる。   When the calculation information transmission unit 40 receives the preparation completion signal, the calculation information transmission unit 40 transmits the calculation information stored in the RAM 19 and the register 16 to the ECU_A that has transmitted the preparation completion signal. Since the calculation information stored in the RAM 19 and the register 16 is the result of the calculation executed so far by the ECU 1 to control the actuator 18, the consistency with the control up to the failure can be obtained by sending this to the ECU_A. Can keep.

また、本実施例では、特定の回路による演算の代行をECU_Aに要求するものなので、アプリケーションプログラムを送信しなくてもよいが、どのような演算を要求するかは、アプリケーションプログラムに記述された一部のプログラムコードを利用すればよい。すなわち、演算情報には最低限の演算内容が含まれる。機能代行するECU_Aは、演算情報に基づき演算を代行し、処理結果をECU1に送信する。   In this embodiment, since the ECU_A is requested to perform a calculation by a specific circuit, the application program need not be transmitted, but what kind of calculation is required is described in the application program. Part of the program code may be used. That is, the calculation information includes a minimum calculation content. ECU_A acting on behalf of the function substitutes the calculation based on the calculation information, and transmits the processing result to ECU 1.

また、CPU33の一部が故障した場合、I/O14からセンサ17が検出したセンサ信号を用いて、故障前と同じ処理を実行するが、センサ信号はRAM19又はレジスタ16に記憶されている。このため、センサ信号は、CPU33がRAM19又はレジスタ16の内容をECU_A又はECU_Bに送信した際に、演算情報と一緒に送信される。したがって、実質的にECU1がECU_Aに送信する情報は実施例1と同様である。   When a part of the CPU 33 fails, the sensor signal detected by the sensor 17 from the I / O 14 is used to execute the same processing as before the failure, but the sensor signal is stored in the RAM 19 or the register 16. For this reason, the sensor signal is transmitted together with the calculation information when the CPU 33 transmits the contents of the RAM 19 or the register 16 to the ECU_A or the ECU_B. Therefore, the information that the ECU 1 transmits to the ECU_A is substantially the same as that in the first embodiment.

演算完了部39は、処理結果を用いてアクチュエータ18を制御するための演算を完了させる。すなわち、必要な一連の演算の途中で演算の代行をECU_Aに要求した場合、ECU_Aから受信した処理結果を用いて途中以降の演算を実行することで演算を完了させる。必要であれば、RAM19やレジスタ16に記憶された演算情報を利用してもよい。   The calculation completion unit 39 completes the calculation for controlling the actuator 18 using the processing result. That is, when a request for calculation is requested to ECU_A in the middle of a necessary series of calculations, the calculation is completed by executing subsequent calculations using the processing result received from ECU_A. If necessary, calculation information stored in the RAM 19 or the register 16 may be used.

本実施例のようにCPU33の例えば特定の回路だけが故障した場合、故障前と同様にCPU33がI/O14,15を制御できる。したがって、演算完了部39が演算を完了させた演算結果を用いてCPU33がI/O15からアクチュエータ18を制御する。   When only a specific circuit of the CPU 33 fails as in the present embodiment, the CPU 33 can control the I / Os 14 and 15 as before the failure. Therefore, the CPU 33 controls the actuator 18 from the I / O 15 using the calculation result obtained by the calculation completion unit 39 completing the calculation.

なお、本実施例においても、ECU_AがI/O15を引き継ぐことができる。例えば、ECU1が送信する演算情報に、一連の演算の全ての手順を含めれば演算完了部39が不要になる。また、一連の演算の最後で演算の代行をECU_Aに要求した場合、演算完了部39が演算実行する必要がない。したがって、このような場合は、ECU_Aがアクチュエータ18を制御することができる。すなわち、I/O14の接続先をCPU33に維持したまま、I/O15の接続先をCAN通信部31に切り替えれば、ECU_AがI/O15を引き継ぐ態様となる。この場合、ECU1が演算を完了させる必要がないので代行による制御の遅延を最小限にすることができる。   Also in this embodiment, the ECU_A can take over the I / O 15. For example, if the calculation information transmitted by the ECU 1 includes all procedures of a series of calculations, the calculation completion unit 39 is not necessary. Also, when the ECU_A is requested to substitute for the calculation at the end of the series of calculations, the calculation completion unit 39 does not need to execute the calculation. Therefore, in such a case, ECU_A can control the actuator 18. That is, if the connection destination of the I / O 15 is switched to the CAN communication unit 31 while the connection destination of the I / O 14 is maintained in the CPU 33, the ECU_A takes over the I / O 15. In this case, since it is not necessary for the ECU 1 to complete the calculation, it is possible to minimize the control delay due to the substitution.

以上のように、本実施例の電子制御システム100は、ECU1が演算情報の送信、処理結果の受信、I/O15の制御を繰り返すことで、ECU_Aが故障したECU1の機能を代行する。   As described above, in the electronic control system 100 according to the present embodiment, the ECU 1 performs the function of the ECU 1 in which the ECU_A has failed by repeating the transmission of calculation information, the reception of processing results, and the control of the I / O 15.

〔ECU_A又はECU_Bによる判定〕
ECU_A又はECU_Bのブロック図は実施例1と同じである。すなわち、ECU_Aが代行要求信号を受信すると、リセット回路がリセット信号をマイコン21に出力することで、CPU41が起動する。CPU41は代行要求信号を受信したことをフラグ等で検出し、MAIN関数からサブルーチン等で実装される判定部42を呼び出す。 [Decision by ECU_A or ECU_B]
The block diagram of ECU_A or ECU_B is the same as that in the first embodiment. That is, when the ECU_A receives the proxy request signal, the reset circuit outputs the reset signal to the microcomputer 21, thereby starting the CPU 41. The CPU 41 detects that the proxy request signal has been received using a flag or the like, and calls the determination unit 42 implemented by a subroutine or the like from the MAIN function.

判定部42は、代行要求信号に含まれる故障した回路と代行必要仕様、に基づきECU1の機能を代行できるか否かを判定する。ECU_AのCPU41が有する回路と回路の仕様は固定であるので、図7と同様に判定部42はECU_AのCPU41が有する回路と仕様をパラメータとして記憶している。なお、遅延時間、信頼性に関する判定方法は実施例1と同じである。   The determination unit 42 determines whether or not the function of the ECU 1 can be substituted based on the failed circuit and the substitution required specification included in the substitution request signal. Since the circuit of the CPU 41 of the ECU_A and the specification of the circuit are fixed, the determination unit 42 stores the circuit and the specification of the CPU 41 of the ECU_A as parameters as in FIG. Note that the determination method regarding delay time and reliability is the same as that in the first embodiment.

判定部42は、故障した回路の仕様、遅延時間、及び、信頼性が代行必要仕様を満たすか否かを判定し、全て満たす場合に、ECU_AがECU1の機能を代行できると判定する。本実施例の場合、故障した回路の仕様を最低限満たす、ECU_A又はECU_Bが準備完了信号をECU1に送信することになる。ECU1は、故障した回路の仕様を満たすECU_A又はECU_Bから、最も好適なECUを機能代行の依頼先に決定できる。   The determination unit 42 determines whether or not the specifications of the failed circuit, the delay time, and the reliability satisfy the proxy required specifications, and determines that the ECU_A can perform the function of the ECU 1 when all the requirements are satisfied. In the case of the present embodiment, ECU_A or ECU_B that satisfies the specifications of the faulty circuit at the minimum transmits a preparation completion signal to the ECU 1. The ECU 1 can determine the most suitable ECU as a function substitution request destination from the ECU_A or the ECU_B that satisfies the specifications of the failed circuit.

判定部42は、ECU_Aが故障した回路の仕様を満たすと判定すると、準備完了信号をECU1に送信する。ECU_Aが故障した回路の仕様を満たさないと判定すると、判定部42は、準備完了信号をECU1に送信しない。この場合、他のECU_Bが準備完了信号を送信すれば、ECU_BがECU1の機能を代行する。   When the determination unit 42 determines that the ECU_A satisfies the specification of the failed circuit, the determination unit 42 transmits a preparation completion signal to the ECU 1. When determining that the ECU_A does not satisfy the specification of the failed circuit, the determination unit 42 does not transmit a preparation completion signal to the ECU 1. In this case, if another ECU_B transmits a preparation completion signal, the ECU_B substitutes the function of the ECU 1.

〔動作手順〕
図8は、ECU_AがECU1の機能を代行するまでの手順を示すフローチャート図の一例である。図8において、図5と同一部には同一の符号を付しその説明は省略する。本実施例では、ステップS60において、ECU1がECU_Aに演算情報を送信する。なお、故障した回路以外の演算をECU_Aに要求すれば、I/O15の接続先をCPU33からCAN通信部31に切り替えることで、ECU_AがI/O15を引き継ぐことができる。 [Operation procedure]
FIG. 8 is an example of a flowchart illustrating a procedure until the ECU_A performs the function of the ECU 1. In FIG. 8, the same parts as those in FIG. In the present embodiment, in step S60, the ECU 1 transmits calculation information to the ECU_A. If calculation other than the faulty circuit is requested to ECU_A, ECU_A can take over I / O 15 by switching the connection destination of I / O 15 from CPU 33 to CAN communication unit 31.

また、ステップS90において、演算完了部39が処理結果を用いて演算を完了させると、演算結果をI/O15を介してアクチュエータ18に送出する。こうすることで、故障前と同様にECU1がI/O15を制御する態様でアクチュエータ18を制御できる(S90)。   In step S90, when the calculation completion unit 39 completes the calculation using the processing result, the calculation result is sent to the actuator 18 via the I / O 15. By doing so, the actuator 18 can be controlled in a manner in which the ECU 1 controls the I / O 15 as before the failure (S90).

本実施例の電子制御システム100によれば、実施例1の効果に加え、ECU1のCPU33の一部の回路が故障した場合でも、ECU_Aが機能代行することができる。   According to the electronic control system 100 of the present embodiment, in addition to the effects of the first embodiment, the ECU_A can perform the function substitution even when a part of the circuit of the CPU 33 of the ECU 1 fails.

実施例1と実施例2の機能代行の態様は、いずれか一方のみしか実装できないものではなく、両方を備えることが好ましい。実施例1と実施例2の機能代行の両方を備えることで、CPU33の主要部を故障した場合も一部の回路を故障した場合も、ECU_A又はECU_Bが機能代行することができる。   The function substitution mode of the first embodiment and the second embodiment can be implemented only by either one, but preferably both. By providing both the function substitution of the first embodiment and the second embodiment, the ECU_A or the ECU_B can perform the function substitution even when the main part of the CPU 33 fails or when some of the circuits break down.

11、21 マイコン
12、22 周辺IC
13、23 メモリ
14、15、24,25 I/O
16、26 レジスタ
17 センサ
18 アクチュエータ
19、29 RAM
20 車載LAN
27 リセット回路
100 電子制御システム 11, 21 Microcomputer 12, 22 Peripheral IC
13, 23 Memory 14, 15, 24, 25 I / O
16, 26 Register 17 Sensor 18 Actuator 19, 29 RAM
20 In-vehicle LAN
27 Reset circuit 100 Electronic control system

Claims (9)

第1の電子制御ユニットと1以上の第2の電子制御ユニットがネットワークを介して接続された電子制御システムにおいて、
第1の電子制御ユニットは、
自己機能の故障を検出する故障検出手段と、
故障した故障機能の代行を第2の電子制御ユニットに要求する代行要求手段と、を有し、
第2の電子制御ユニットは、
前記故障機能の代替が可能か否かを判定する判定手段と、
代行が可能と判定した場合、前記故障機能を代行する代行手段と、を有する、
ことを特徴とする電子制御システム。 In an electronic control system in which a first electronic control unit and one or more second electronic control units are connected via a network,
The first electronic control unit is
A failure detection means for detecting a failure of the self-function;
Proxy requesting means for requesting the second electronic control unit to perform a proxy for the failed fault function;
The second electronic control unit is
Determining means for determining whether or not the failure function can be replaced;
If it is determined that substitution is possible, a substitution means that substitutes the failure function,
An electronic control system characterized by that. 第1の電子制御ユニットは、
自己機能を提供するマイコン、及び、マイコンと接続された周辺ICを有し、
前記周辺ICに実装された前記故障検出手段が、マイコンの動作を監視して故障を検出する、
ことを特徴とする請求項1記載の電子制御システム。 The first electronic control unit is
It has a microcomputer that provides self-functions and a peripheral IC connected to the microcomputer.
The failure detection means mounted on the peripheral IC detects the failure by monitoring the operation of the microcomputer.
The electronic control system according to claim 1. 第1の電子制御ユニットが作動している時間帯に、第2の電子制御ユニットは作動していない時間帯がある、
ことを特徴とする請求項1又は2記載の電子制御システム。 There is a time zone in which the second electronic control unit is not operating during the time zone in which the first electronic control unit is operating,
The electronic control system according to claim 1 or 2, wherein 前記代行要求手段は、第1の電子制御ユニットのメモリ又はレジスタに記憶された故障が検出されるまでの演算情報を、第2の電子制御ユニットに送信し、
前記代行手段は、前記演算情報を処理した処理結果を第1の電子制御ユニットに送信する、
ことを特徴とする請求項1〜3いずれか1項記載の電子制御システム。 The proxy request means transmits calculation information until a failure stored in the memory or register of the first electronic control unit is detected to the second electronic control unit,
The proxy means transmits a processing result obtained by processing the calculation information to the first electronic control unit.
The electronic control system according to any one of claims 1 to 3. 第1の電子制御ユニットは、
マイコンと周辺機器を接続する入出力インターフェイスと、
前記入出力インターフェイスを第2の電子制御ユニットが引き継ぐよう、前記入出力インターフェイスの接続先をマイコンから第2の電子制御ユニットに切り替える切り替え手段と、
を有することを特徴とする請求項1〜5いずれか1項記載の電子制御システム。 The first electronic control unit is
I / O interface for connecting microcomputers and peripheral devices,
Switching means for switching the connection destination of the input / output interface from the microcomputer to the second electronic control unit so that the second electronic control unit takes over the input / output interface;
The electronic control system according to claim 1, comprising: 前記故障検出手段は、自己機能の特定の演算回路の故障を検出し、
前記代行手段は、前記演算回路と同等の演算回路により前記故障機能を代行する、
ことを特徴とする請求項4記載の電子制御システム。 The failure detection means detects a failure of a specific arithmetic circuit of self-function,
The proxy means substitutes the failure function by an arithmetic circuit equivalent to the arithmetic circuit.
The electronic control system according to claim 4. 前記判定手段は、
前記代行要求手段から通知された代行のために必要な複数の仕様毎に、満たすか否かを記述した情報を第1の電子制御ユニットに送信し、
第1の電子制御ユニットは、満たすか否かを記述した情報に基づき代行を依頼する第2の電子制御ユニットを決定する、
ことを特徴とする請求項1〜6いずれか1項記載の電子制御システム。 The determination means includes
For each of a plurality of specifications required for the substitution notified from the substitution request means, information describing whether or not to satisfy is transmitted to the first electronic control unit,
The first electronic control unit determines a second electronic control unit that requests substitution based on information describing whether or not the first electronic control unit is satisfied.
The electronic control system according to claim 1, wherein: 代行のために必要な複数の仕様に、遅延時間情報が含まれる、
ことを特徴とする請求項7記載の電子制御システム。 Delay time information is included in multiple specifications required for delegation.
The electronic control system according to claim 7. 第1の電子制御ユニットの機能を、ネットワークを介して接続されたと1以上の第2の電子制御ユニットが代行する機能代行方法において、
第1の電子制御ユニットの故障検出手段が、自己機能の故障を検出するステップと、
代行要求手段が、故障した故障機能の代行を第2の電子制御ユニットに要求するステップと、を有し、
第2の電子制御ユニットの判定手段が、前記故障機能の代替が可能か否かを判定するステップと、
代行手段が、代行が可能と判定した場合、前記故障機能を代行するステップと、を有する、ことを特徴とする機能代行方法。 In the function surrogate method in which the function of the first electronic control unit is replaced by one or more second electronic control units when connected via a network,
The failure detection means of the first electronic control unit detects a failure of the self-function;
A proxy request means requesting the second electronic control unit to perform a proxy for the failed fault function;
A step of determining whether or not the determination unit of the second electronic control unit can replace the failure function;
A proxy function method comprising: substituting the fault function when the proxy means determines that proxy is possible.
JP2009138326A 2009-06-09 2009-06-09 Electronic control system and functional agency method Pending JP2010285001A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009138326A JP2010285001A (en) 2009-06-09 2009-06-09 Electronic control system and functional agency method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009138326A JP2010285001A (en) 2009-06-09 2009-06-09 Electronic control system and functional agency method

Publications (1)

Publication Number Publication Date
JP2010285001A true JP2010285001A (en) 2010-12-24

Family

ID=43541064

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009138326A Pending JP2010285001A (en) 2009-06-09 2009-06-09 Electronic control system and functional agency method

Country Status (1)

Country Link
JP (1) JP2010285001A (en)

Cited By (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012218621A (en) * 2011-04-12 2012-11-12 Denso Corp On-board electronic control apparatus
WO2012176549A1 (en) * 2011-06-22 2012-12-27 株式会社オートネットワーク技術研究所 Electrical power supply control system, electrical power supply control device, and electrical power supply control method
JP2013006455A (en) * 2011-06-22 2013-01-10 Autonetworks Technologies Ltd Power supply control system, power supply control device, and power supply control method
JP2015205545A (en) * 2014-04-18 2015-11-19 三菱電機株式会社 Control apparatus switching system
JP2015229467A (en) * 2014-06-06 2015-12-21 本田技研工業株式会社 Electronic control system
JP2016000613A (en) * 2015-08-19 2016-01-07 三菱電機株式会社 Control unit change-over system
JP2016013789A (en) * 2014-07-03 2016-01-28 日本精工株式会社 Control device of electric power steering device
JP2016165990A (en) * 2015-03-06 2016-09-15 株式会社デンソー Control system
JP6189004B1 (en) * 2017-01-24 2017-08-30 三菱電機株式会社 Shared backup unit and control system
JP2017171114A (en) * 2016-03-24 2017-09-28 トヨタ自動車株式会社 Vehicle software allocation system
JP2018052182A (en) * 2016-09-27 2018-04-05 株式会社Subaru Vehicular electronic control system
JP2018086938A (en) * 2016-11-29 2018-06-07 株式会社デンソー Electronic control device
WO2019092961A1 (en) * 2017-11-13 2019-05-16 株式会社デンソー Automated driving control device and method for automated driving control of vehicles
JP2019179410A (en) * 2018-03-30 2019-10-17 株式会社デンソー Semiconductor device
DE102016202352B4 (en) * 2015-03-06 2020-01-30 Denso Corporation IN-VEHICLE DEVICE CONTROL SYSTEM
JP2020030536A (en) * 2018-08-21 2020-02-27 株式会社デンソー Electronic control device
JP2020190986A (en) * 2019-05-23 2020-11-26 株式会社デンソー Device for vehicle
US10946867B2 (en) 2015-11-16 2021-03-16 Hitachi Automotive Systems, Ltd. Processing device and vehicle control system
WO2022163318A1 (en) * 2021-01-26 2022-08-04 株式会社デンソー Device for vehicle
WO2022163317A1 (en) * 2021-01-26 2022-08-04 株式会社デンソー Device for vehicle

Cited By (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8718876B2 (en) 2011-04-12 2014-05-06 Denso Corporation Vehicular electronic control apparatus
JP2012218621A (en) * 2011-04-12 2012-11-12 Denso Corp On-board electronic control apparatus
DE102012205731B4 (en) 2011-04-12 2023-09-28 Denso Corporation ELECTRONIC VEHICLE CONTROL DEVICE
CN103619653A (en) * 2011-06-22 2014-03-05 株式会社自动网络技术研究所 Electrical power supply control system, electrical power supply control device, and electrical power supply control method
JP2013006455A (en) * 2011-06-22 2013-01-10 Autonetworks Technologies Ltd Power supply control system, power supply control device, and power supply control method
JP2013006454A (en) * 2011-06-22 2013-01-10 Autonetworks Technologies Ltd Power supply control system, power supply control device, and power supply control method
WO2012176549A1 (en) * 2011-06-22 2012-12-27 株式会社オートネットワーク技術研究所 Electrical power supply control system, electrical power supply control device, and electrical power supply control method
JP2015205545A (en) * 2014-04-18 2015-11-19 三菱電機株式会社 Control apparatus switching system
US9493167B2 (en) 2014-04-18 2016-11-15 Mitsubishi Electric Corporation Control device switching system
JP2015229467A (en) * 2014-06-06 2015-12-21 本田技研工業株式会社 Electronic control system
JP2016013789A (en) * 2014-07-03 2016-01-28 日本精工株式会社 Control device of electric power steering device
DE102016202352B4 (en) * 2015-03-06 2020-01-30 Denso Corporation IN-VEHICLE DEVICE CONTROL SYSTEM
JP2016165990A (en) * 2015-03-06 2016-09-15 株式会社デンソー Control system
JP2016000613A (en) * 2015-08-19 2016-01-07 三菱電機株式会社 Control unit change-over system
US10946867B2 (en) 2015-11-16 2021-03-16 Hitachi Automotive Systems, Ltd. Processing device and vehicle control system
JP2017171114A (en) * 2016-03-24 2017-09-28 トヨタ自動車株式会社 Vehicle software allocation system
JP2018052182A (en) * 2016-09-27 2018-04-05 株式会社Subaru Vehicular electronic control system
JP2018086938A (en) * 2016-11-29 2018-06-07 株式会社デンソー Electronic control device
WO2018138775A1 (en) * 2017-01-24 2018-08-02 三菱電機株式会社 Shared backup unit and control system
JP6189004B1 (en) * 2017-01-24 2017-08-30 三菱電機株式会社 Shared backup unit and control system
WO2019092961A1 (en) * 2017-11-13 2019-05-16 株式会社デンソー Automated driving control device and method for automated driving control of vehicles
JP2019089382A (en) * 2017-11-13 2019-06-13 株式会社デンソー Automatic operation control device, and automatic operation control method for vehicle
JP2019179410A (en) * 2018-03-30 2019-10-17 株式会社デンソー Semiconductor device
JP2020030536A (en) * 2018-08-21 2020-02-27 株式会社デンソー Electronic control device
JP2020190986A (en) * 2019-05-23 2020-11-26 株式会社デンソー Device for vehicle
JP7449650B2 (en) 2019-05-23 2024-03-14 株式会社デンソー Vehicle equipment
WO2022163318A1 (en) * 2021-01-26 2022-08-04 株式会社デンソー Device for vehicle
WO2022163317A1 (en) * 2021-01-26 2022-08-04 株式会社デンソー Device for vehicle

Similar Documents

Publication Publication Date Title
JP2010285001A (en) Electronic control system and functional agency method
JP6981357B2 (en) Vehicle control device
JP4365427B2 (en) Eco-run control device, eco-run control system and control method
JP2003304265A (en) Communication system
JP2011022934A (en) Electronic control unit and method for detecting failure
WO2016111213A1 (en) In-vehicle relay device and relay method
JPH11250029A (en) Monitoring method and device for computer device consisting of at least two processors
JPWO2018225352A1 (en) Vehicle control device and vehicle control system
JP2011004276A (en) On-board network, and data transmitting method
JP2006253921A (en) Network system for vehicle
JP2006301952A (en) Vehicular usb system and onboard radio communication device
JP5831523B2 (en) Electronic control unit
WO2011034052A1 (en) Vehicle electronic control device
JP5928358B2 (en) Information processing device, monitoring device, control device
CN113993752B (en) Electronic control unit and computer-readable recording medium
US8726099B2 (en) Data processing system
JP4039291B2 (en) Vehicle control device
JP4007038B2 (en) Electronic control device for vehicle
JP5533777B2 (en) Program group
JP5614365B2 (en) Data relay device, in-vehicle network
JP6279152B1 (en) Control device, control system, and control device return processing method
JP4934113B2 (en) Control device and computer program
JPH09226482A (en) Communication controller for vehicle
JP7271973B2 (en) VEHICLE CONTROL DEVICE AND OPERATING CLOCK SWITCHING METHOD
JP2020021506A (en) Electronic controller and session establishing program