JP6789159B2 - Vehicle control device - Google Patents

Vehicle control device Download PDF

Info

Publication number
JP6789159B2
JP6789159B2 JP2017055179A JP2017055179A JP6789159B2 JP 6789159 B2 JP6789159 B2 JP 6789159B2 JP 2017055179 A JP2017055179 A JP 2017055179A JP 2017055179 A JP2017055179 A JP 2017055179A JP 6789159 B2 JP6789159 B2 JP 6789159B2
Authority
JP
Japan
Prior art keywords
communication module
sub
data
main
vehicle
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017055179A
Other languages
Japanese (ja)
Other versions
JP2018158591A (en
Inventor
公義 山崎
公義 山崎
洋斗 山岡
洋斗 山岡
睦 中塚
睦 中塚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Honda Motor Co Ltd
Keihin Corp
Original Assignee
Honda Motor Co Ltd
Keihin Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Honda Motor Co Ltd, Keihin Corp filed Critical Honda Motor Co Ltd
Priority to JP2017055179A priority Critical patent/JP6789159B2/en
Publication of JP2018158591A publication Critical patent/JP2018158591A/en
Application granted granted Critical
Publication of JP6789159B2 publication Critical patent/JP6789159B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/023Avoiding failures by using redundant parts
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0043Signal treatments, identification of variables or parameters, parameter estimation or state estimation
    • B60W2050/0044In digital systems
    • B60W2050/0045In digital systems using databus protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Control Of Driving Devices And Active Controlling Of Vehicle (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、例えば自動車等の車両に用いられる制御装置(車両用制御装置)であって、メイン制御部及びサブ制御部を備えて冗長化された制御装置等に関する。 The present invention relates to a control device (vehicle control device) used for a vehicle such as an automobile, and is a redundant control device including a main control unit and a sub control unit.

例えば特許文献1は、駆動装置の制御装置を開示し、その制御装置は、メイン系マイコン及びサブ系マイコンを備え、AD(Analog-to-Digital)変換モジュール及びCAN(Controller Area Network)モジュールが冗長化されている。特許文献1の制御装置では、具体的には、入力データを演算する出力演算ソフトがメイン系マイコンのみに格納されている。メイン系CANモジュールが異常であり、且つサブ系CANモジュールが正常である時に、メイン系マイコンは、DPRAM(Dual Port RAM)に格納されるサブ系CAN入力データを使用し、サブ系CANモジュールでの通信を実行することができる。 For example, Patent Document 1 discloses a control device for a drive device, the control device includes a main system microcomputer and a sub system microcomputer, and an AD (Analog-to-Digital) conversion module and a CAN (Controller Area Network) module are redundant. It has been converted. Specifically, in the control device of Patent Document 1, the output calculation software for calculating the input data is stored only in the main microcomputer. When the main system CAN module is abnormal and the sub system CAN module is normal, the main system microcomputer uses the sub system CAN input data stored in the DP RAM (Dual Port RAM), and the sub system CAN module is used. Communication can be performed.

なお、特許文献1のサブ系マイコン(サブ系駆動装置(ATCU)用制御装置のCPU)は、サブ系CANモジュールの状態(正常又は異常)及びサブ系CAN入力データ(入力値)をDPRAMに常に書き込むことができる。 In addition, the sub system microcomputer (CPU of the control device for the sub system drive device (ATCU)) of Patent Document 1 always transmits the state (normal or abnormal) of the sub system CAN module and the sub system CAN input data (input value) to the DPRAM. Can be written.

特開2016−055832号公報Japanese Unexamined Patent Publication No. 2016-055832

特許文献1では、メイン系CANモジュールが正常である時に、メイン系CANモジュールでの通信が実行される一方、サブ系CANモジュールでの通信は、実行されない。従って、メイン系CANモジュールの状態が正常から異常に変化し、且つサブ系CANモジュールが正常である時に、サブ系CANモジュールでの通信が実際に実行される。しかしながら、サブ系CANモジュールが起動する時に、サブ系CANモジュールでの通信が実際には実行されない可能性を本発明者らは認識した。言い換えれば、サブ系マイコンによってサブ系CANモジュールが正常であることが誤って判定される時に、サブ系CANモジュールに送信データの送信命令が伝わっていても、サブ系CANモジュールは、送信データを実際に送信することができない。 In Patent Document 1, when the main CAN module is normal, the communication in the main CAN module is executed, while the communication in the sub CAN module is not executed. Therefore, when the state of the main CAN module changes from normal to abnormal and the sub CAN module is normal, the communication in the sub CAN module is actually executed. However, the present inventors have recognized that communication in the sub CAN module may not actually be executed when the sub CAN module is activated. In other words, when the sub system microcomputer erroneously determines that the sub system CAN module is normal, even if the transmission data transmission command is transmitted to the sub system CAN module, the sub system CAN module actually transmits the transmission data. Cannot be sent to.

また、特許文献1では、メイン系マイコンが異常である時に、サブ系CANモジュールでの通信は、実行されない。なぜならば、サブ系CANモジュールでの通信は、メイン系マイコンによって制御されるからである。 Further, in Patent Document 1, when the main system microcomputer is abnormal, communication in the sub system CAN module is not executed. This is because the communication in the sub CAN module is controlled by the main microcomputer.

本発明の1つの目的は、サブ系CANモジュール等のサブ通信モジュールを確実に動作可能な車両用制御装置を提供することである。本発明のもう1つの目的は、メイン系マイコン等のメイン制御部が故障する状況であっても、サブ通信モジュールを動作可能な車両用制御装置を提供することである。本発明の他の目的は、以下に例示する態様及び最良の実施形態、並びに添付の図面を参照することによって、当業者に明らかになるであろう。 One object of the present invention is to provide a vehicle control device capable of reliably operating a sub communication module such as a sub system CAN module. Another object of the present invention is to provide a vehicle control device capable of operating a sub communication module even in a situation where a main control unit such as a main microcomputer fails. Other objects of the invention will become apparent to those skilled in the art by reference to the embodiments and best embodiments illustrated below, as well as the accompanying drawings.

以下に、本発明の概要を容易に理解するために、本発明に従う態様を例示する。 Hereinafter, in order to easily understand the outline of the present invention, embodiments according to the present invention will be illustrated.

第1の態様において、車載ネットワークに接続されるメイン制御部及びサブ制御部を有する車両用制御装置は、
前記車載ネットワーク上の通信を実行可能な第1のメイン通信モジュールと、
前記車載ネットワーク上の通信を実行可能な第1のサブ通信モジュールと、
前記車載ネットワークとは異なる経路上の通信を実行可能な第2のメイン通信モジュールと、
前記異なる経路上の通信を実行可能な第2のサブ通信モジュールと、
を備え、
前記第1のサブ通信モジュールは、所定のデータで構成される送信データを前記第1のメイン通信モジュールに送信し、
前記第1のメイン通信モジュールは、前記送信データに基づき構成される返信データを前記第1のサブ通信モジュールに送信し、
前記第1のサブ通信モジュールが前記返信データを受信する時に、前記サブ制御部は、前記返信データに基づき、前記第1のサブ通信モジュールが正常であるか否かを確認し、
前記第1のメイン通信モジュールが故障していることが前記メイン制御部によって判定される時に、前記第2のメイン通信モジュールは、故障データを前記第2のサブ通信モジュールに送信し、
前記第2のサブ通信モジュールが前記故障データを受信する時に、前記サブ制御部は、前記第1のメイン通信モジュールが故障していることを判定し、
前記車載ネットワークを介して前記第1のサブ通信モジュールが正常であることが確認された後に、前記異なる経路を介して前記第1のメイン通信モジュールが故障していることが判定される時に、前記車載ネットワーク上の車載装置への制御データの送信は、前記第1のメイン通信モジュールの代わりに前記第1のサブ通信モジュールによって実行される。 In the first aspect, the vehicle control device having a main control unit and a sub control unit connected to the vehicle-mounted network is
The first main communication module capable of executing communication on the in-vehicle network and
The first sub-communication module capable of executing communication on the in-vehicle network and
A second main communication module capable of executing communication on a route different from the in-vehicle network, and
With the second sub-communication module capable of performing communication on the different routes,
With
The first sub-communication module transmits transmission data composed of predetermined data to the first main communication module.
The first main communication module transmits reply data configured based on the transmission data to the first sub communication module.
When the first sub-communication module receives the reply data, the sub-control unit confirms whether or not the first sub-communication module is normal based on the reply data.
When the main control unit determines that the first main communication module has failed, the second main communication module transmits failure data to the second sub communication module.
When the second sub-communication module receives the failure data, the sub-control unit determines that the first main communication module has failed, and determines that the first main communication module has failed.
After confirming that the first sub-communication module is normal via the in-vehicle network, when it is determined that the first main communication module has failed via the different route, the said The transmission of control data to the vehicle-mounted device on the vehicle-mounted network is executed by the first sub-communication module instead of the first main communication module.

第1の態様では、車載ネットワーク(例えばCAN)上の車載装置への制御データの送信が第1のサブ通信モジュールによって実行される前に、第1のサブ通信モジュールは、車載ネットワークを介して送信データを第1のメイン通信モジュールに実際に送信し、その実行結果としての返信データを第1のメイン通信モジュールから実際に受信している。第1の態様では、第1のサブ通信モジュールが実際に送信データを送信できたことが確認されているので、第1のサブ通信モジュールは、車載ネットワーク上の車載装置に制御データを確実に送信することができる。このように、第1の態様では、サブ通信モジュールを確実に動作可能な車両用制御装置を提供することができる。 In the first aspect, the first sub-communication module transmits over the vehicle-mounted network before the transmission of control data to the vehicle-mounted device on the vehicle-mounted network (eg CAN) is performed by the first sub-communication module. The data is actually transmitted to the first main communication module, and the reply data as the execution result is actually received from the first main communication module. In the first aspect, since it is confirmed that the first sub-communication module was able to actually transmit the transmission data, the first sub-communication module reliably transmits the control data to the in-vehicle device on the in-vehicle network. can do. As described above, in the first aspect, it is possible to provide a vehicle control device capable of reliably operating the sub-communication module.

第1の態様に従属する第2の態様において、
前記第2のメイン通信モジュールからのデータが断絶する時に、前記サブ制御部は、前記第1のメイン通信モジュールからのデータが断絶しているか否かを判定してもよく、
前記第2のメイン通信モジュールからのデータが断絶し、且つ前記第1のメイン通信モジュールからのデータが断絶しない時に、前記車載ネットワーク上の前記車載装置への前記制御データの送信は、前記第1のメイン通信モジュールによって実行され続けてもよい。 In the second aspect, which is subordinate to the first aspect,
When the data from the second main communication module is cut off, the sub-control unit may determine whether or not the data from the first main communication module is cut off.
When the data from the second main communication module is interrupted and the data from the first main communication module is not interrupted, the transmission of the control data to the vehicle-mounted device on the vehicle-mounted network is performed by the first. It may continue to be executed by the main communication module of.

第2の態様では、第2のメイン通信モジュールからのデータが断絶する状況であっても、第1のメイン通信モジュールからのデータが断絶しない時に、サブ制御部は、車載ネットワークの異常(例えばメイン制御部の故障)ではなく、異なる経路の異常(例えばSPI通信線の断線)を推定することができる。第2の態様では、第1のメイン通信モジュールからのデータが断絶しない時に、言い換えれば、第1のメイン通信モジュールが実際に例えば返信データを送信できたことが確認されているので、第1のメイン通信モジュールは、車載ネットワーク上の車載装置に制御データを確実に送信することができる。このように、第1のメイン通信モジュールの動作は、継続可能である。 In the second aspect, even in a situation where the data from the second main communication module is interrupted, when the data from the first main communication module is not interrupted, the sub-control unit causes an abnormality in the vehicle-mounted network (for example, the main). It is possible to estimate an abnormality of a different route (for example, a disconnection of the SPI communication line) instead of a failure of the control unit. In the second aspect, when the data from the first main communication module is not interrupted, in other words, it is confirmed that the first main communication module can actually transmit, for example, reply data, so that the first The main communication module can reliably transmit control data to the in-vehicle device on the in-vehicle network. In this way, the operation of the first main communication module can be continued.

第2の態様に従属する第3の態様において、
前記第2のメイン通信モジュールからのデータが断絶し、且つ前記第1のメイン通信モジュールからのデータも断絶する時に、前記サブ制御部は、前記メイン制御部が故障していることを推定し、且つ前記車載ネットワーク上の前記車載装置への前記制御データの送信を前記第1のサブ通信モジュールによって実行してもよい。 In the third aspect, which is subordinate to the second aspect,
When the data from the second main communication module is cut off and the data from the first main communication module is also cut off, the sub-control unit estimates that the main control unit is out of order. Moreover, the transmission of the control data to the vehicle-mounted device on the vehicle-mounted network may be executed by the first sub-communication module.

第3の態様では、第2のメイン通信モジュールからのデータが断絶し、且つ第1のメイン通信モジュールからのデータも断絶する時に、サブ制御部は、異なる経路の異常(例えばSPI通信線の断線)ではなく、メイン制御部の故障を推定することができる。第3の態様では、言い換えれば、第1のメイン通信モジュールが実際に例えば返信データを送信できなかったことが確認されているので、第1のメイン通信モジュールは、もはや車載ネットワーク上の車載装置に制御データを確実に送信することができない。従って、第1のメイン通信モジュールの代わりに第1のサブ通信モジュールは、車載ネットワーク上の車載装置に制御データを確実に送信することができる。 In the third aspect, when the data from the second main communication module is disconnected and the data from the first main communication module is also disconnected, the sub-control unit performs an abnormality of a different route (for example, disconnection of the SPI communication line). ), But the failure of the main control unit can be estimated. In the third aspect, in other words, since it is confirmed that the first main communication module could not actually transmit the reply data, for example, the first main communication module is no longer used as an in-vehicle device on the in-vehicle network. Control data cannot be transmitted reliably. Therefore, instead of the first main communication module, the first sub-communication module can reliably transmit control data to the in-vehicle device on the in-vehicle network.

第1〜第3の態様の何れか1つの態様に従属する第4の態様において、
前記第1のサブ通信モジュールから前記第1のメイン通信モジュールに送信される前記送信データを構成する前記所定のデータは、所定の間隔で前記サブ制御部での所定の演算を実行することによって生成される可変データであってもよい。 In the fourth aspect, which is subordinate to any one of the first to third aspects,
The predetermined data constituting the transmission data transmitted from the first sub communication module to the first main communication module is generated by executing a predetermined operation in the sub control unit at a predetermined interval. It may be variable data to be generated.

第4の態様では、送信データを構成する所定のデータが可変データであるので、送信データは、所定の間隔で変更される。従って、送信データに基づき構成される返信データも所定の間隔で変更される。このような返信データを利用することによって、第4の態様では、第1のサブ通信モジュールが実際に送信データを送信できたことをより一層確実に確認することができる。言い換えれば、返信データが固定データであり、又は送信データ(可変データ)が返信データに反映されない時に、サブ制御部は、第1のサブ通信モジュールが正常であることを確認しない又は第1のサブ通信モジュールの異常を判定することができる。 In the fourth aspect, since the predetermined data constituting the transmission data is variable data, the transmission data is changed at predetermined intervals. Therefore, the reply data constructed based on the transmission data is also changed at predetermined intervals. By using such reply data, in the fourth aspect, it is possible to more reliably confirm that the first sub-communication module was able to actually transmit the transmission data. In other words, when the reply data is fixed data or the transmission data (variable data) is not reflected in the reply data, the sub control unit does not confirm that the first sub communication module is normal or the first sub. It is possible to determine an abnormality in the communication module.

第4の態様に従属する第5の態様において、
前記返信データが前記可変データに基づく時に、前記サブ制御部は、前記第1のサブ通信モジュールが正常であることを確認してもよい。 In the fifth aspect, which is subordinate to the fourth aspect,
When the reply data is based on the variable data, the sub control unit may confirm that the first sub communication module is normal.

第5の態様では、返信データが可変データ(所定の間隔で変更される送信データ)に基づく時に、第1のサブ通信モジュールが実際に送信データを送信できたことをより一層確実に確認することができる。 In the fifth aspect, when the reply data is based on variable data (transmission data changed at predetermined intervals), it is more reliably confirmed that the first sub-communication module was able to actually transmit the transmission data. Can be done.

第5の態様に従属する第6の態様において、
前記返信データが前記可変データに基づかない時に、前記サブ制御部は、前記第1のサブ通信モジュールの異常を前記異なる経路を介して前記メイン制御部に送信してもよく、
前記異なる経路を介して前記第1のサブ通信モジュールの前記異常が前記メイン制御部によって受信され、且つ前記第1のメイン通信モジュールが故障していることが前記メイン制御部によって判定される時に、前記第2のメイン通信モジュールは、前記第1のメイン通信モジュールの前記故障データを前記第2のサブ通信モジュールに送信せず、且つ前記車載ネットワーク上の前記車載装置への前記制御データの送信は、前記第1のメイン通信モジュール及び前記第1のサブ通信モジュールによって実行されなくてもよい。 In the sixth aspect, which is subordinate to the fifth aspect,
When the reply data is not based on the variable data, the sub-control unit may transmit the abnormality of the first sub-communication module to the main control unit via the different route.
When the abnormality of the first sub-communication module is received by the main control unit via the different paths and the main control unit determines that the first main communication module is out of order. The second main communication module does not transmit the failure data of the first main communication module to the second sub-communication module, and the control data is transmitted to the vehicle-mounted device on the vehicle-mounted network. , It may not be executed by the first main communication module and the first sub communication module.

第6の態様では、返信データが可変データ(所定の間隔で変更される送信データ)に基づかない時に、サブ制御部は、第1のサブ通信モジュールの異常を異なる経路を介してメイン制御部に送信する。第6の態様では、第1のメイン通信モジュールが故障する状況であっても、メイン制御部は、第1のメイン通信モジュールが故障していることをサブ制御部に伝えない。従って、第6の態様では、返信データが可変データに基づかない時に、サブ制御部は、第1のメイン通信モジュールが故障していることを判定できないので、第1のサブ通信モジュールは、車載ネットワーク上の車載装置に制御データを送信しない。 In the sixth aspect, when the reply data is not based on variable data (transmission data changed at predetermined intervals), the sub-control unit sends an abnormality of the first sub-communication module to the main control unit via a different route. Send. In the sixth aspect, even in a situation where the first main communication module fails, the main control unit does not notify the sub control unit that the first main communication module has failed. Therefore, in the sixth aspect, when the reply data is not based on the variable data, the sub-control unit cannot determine that the first main communication module is out of order, so that the first sub-communication module is an in-vehicle network. Do not send control data to the above in-vehicle device.

第1〜第6の態様の何れか1つの態様に従属する第7の態様において、
前記サブ制御部は、前記第1のサブ通信モジュールが故障しているか否かを判定してもよく、
前記第1のサブ通信モジュールが故障していないことが前記サブ制御部によって判定された後に、前記サブ制御部は、前記返信データに基づき、前記第1のサブ通信モジュールが正常であるか否かを確認してもよい。 In the seventh aspect, which is subordinate to any one of the first to sixth aspects,
The sub control unit may determine whether or not the first sub communication module is out of order.
After the sub-control unit determines that the first sub-communication module has not failed, the sub-control unit determines whether or not the first sub-communication module is normal based on the reply data. May be confirmed.

第7の態様では、第1のサブ通信モジュールが故障していないことがサブ制御部によって判定される時に、第1のサブ通信モジュールが実際に送信データを送信できたか否かを返信データによって確かめることができる。言い換えれば、第1のサブ通信モジュールが故障していないことがサブ制御部によって判定される時に、第1のサブ通信モジュールでの送信が実際には実行されない可能性を本発明者らは認識した。 In the seventh aspect, when it is determined by the sub-control unit that the first sub-communication module has not failed, it is confirmed by the reply data whether or not the first sub-communication module was able to actually transmit the transmission data. be able to. In other words, the present inventors have recognized that when the sub-control unit determines that the first sub-communication module has not failed, the transmission in the first sub-communication module may not actually be executed. ..

第1〜第7の態様の何れか1つの態様に従属する第8の態様において、
前記第1のサブ通信モジュールは、前記返信データに基づく次の所定のデータで構成される次の送信データを前記第1のメイン通信モジュールに送信してもよく、
前記第1のメイン通信モジュールが前記送信データを受信する時に、前記メイン制御部は、前記送信データ及び前記返信データに基づき、前記第1のメイン通信モジュールが正常であるか否かを確認してもよく、
前記第1のメイン通信モジュールが正常であることが確認されない時に、前記第2のメイン通信モジュールは、前記第1のメイン通信モジュールの異常を前記第2のサブ通信モジュールに送信してもよい。 In the eighth aspect, which is subordinate to any one of the first to seventh aspects,
The first sub-communication module may transmit the next transmission data composed of the next predetermined data based on the reply data to the first main communication module.
When the first main communication module receives the transmission data, the main control unit confirms whether or not the first main communication module is normal based on the transmission data and the reply data. Well,
When it is not confirmed that the first main communication module is normal, the second main communication module may transmit an abnormality of the first main communication module to the second sub communication module.

第8の態様では、第1のメイン通信モジュールが故障していないことがメイン制御部によって判定される状況であっても、第1のメイン通信モジュールでの送信が実際には実行されない可能性を本発明者らは認識した。言い換えれば、第8の態様では、第1のメイン通信モジュールは、車載ネットワークを介して返信データを第1のサブ通信モジュールに実際に送信し、その実行結果としての返信データが送信データに反映されない時に、第1のメイン通信モジュールでの送信が実際には実行されていないことを推定し、又は第1のメイン通信モジュールが正常であることが確認されない。このような状況において、第8の態様では、メイン制御部は、第1のメイン通信モジュールの異常をサブ制御部に伝えることができる。 In the eighth aspect, even in a situation where the main control unit determines that the first main communication module has not failed, there is a possibility that the transmission in the first main communication module is not actually executed. The inventors have recognized. In other words, in the eighth aspect, the first main communication module actually transmits the reply data to the first sub communication module via the in-vehicle network, and the reply data as the execution result is not reflected in the transmission data. Occasionally, it is presumed that transmission in the first main communication module is not actually being performed, or it is not confirmed that the first main communication module is normal. In such a situation, in the eighth aspect, the main control unit can notify the sub control unit of the abnormality of the first main communication module.

第1〜第8の態様の何れか1つの態様に従属する第9の態様において、
前記車載ネットワーク上の前記車載装置への前記制御データの送信が、前記第1のメイン通信モジュールの代わりに前記第1のサブ通信モジュールによって実行される時に、前記制御データは、前記車載装置の動作を縮退させる縮退データであってもよい。 In the ninth aspect, which is subordinate to any one of the first to eighth aspects,
When the transmission of the control data to the vehicle-mounted device on the vehicle-mounted network is executed by the first sub-communication module instead of the first main communication module, the control data is the operation of the vehicle-mounted device. It may be degenerate data that degenerates.

第9の態様では、第1のメイン通信モジュールの故障がサブ制御部に伝えられる時に、サブ制御部は、車載装置に縮退データを送信することができる。言い換えれば、第9の態様では、第1のサブ通信モジュールが冗長化されない時に、車両用制御装置によって制御される車載装置の機能を縮小し又は車載装置の一部を停止することができる。 In the ninth aspect, when the failure of the first main communication module is notified to the sub control unit, the sub control unit can transmit the degenerate data to the in-vehicle device. In other words, in the ninth aspect, when the first sub-communication module is not made redundant, the function of the vehicle-mounted device controlled by the vehicle control device can be reduced or a part of the vehicle-mounted device can be stopped.

当業者は、例示した本発明に従う態様が、本発明の精神を逸脱することなく、さらに変更され得ることを容易に理解できるであろう。 Those skilled in the art will readily appreciate that the embodiments according to the invention exemplified may be further modified without departing from the spirit of the invention.

本発明に従う車両用制御装置の構成例を示す。A configuration example of a vehicle control device according to the present invention is shown. 図2(A)は、第1のサブ通信モジュールが正常であるか否かを確認するためのCAN送信データ(所定のデータ)を生成するサブ制御装置の動作例を示すフローチャート図を示し、図2(B)は、CAN送信データ(所定のデータ)に基づくCAN返信データを生成するメイン制御装置の動作例を示すフローチャート図を示す。FIG. 2A shows a flowchart showing an operation example of a sub control device that generates CAN transmission data (predetermined data) for confirming whether or not the first sub communication module is normal. 2 (B) shows a flowchart showing an operation example of the main control device which generates CAN reply data based on CAN transmission data (predetermined data). 図3(A)は、サブ制御装置に縮退データを送信させるためのCAN故障データを生成するメイン制御装置の動作例を示すフローチャート図を示し、図3(B)は、縮退データを生成するサブ制御装置の動作例を示すフローチャート図を示す。FIG. 3 (A) shows a flowchart showing an operation example of the main control device that generates CAN failure data for causing the sub control device to transmit degenerate data, and FIG. 3 (B) shows a sub that generates degenerate data. A flowchart showing an operation example of the control device is shown.

以下に説明する最良の実施形態は、本発明を容易に理解するために用いられている。従って、当業者は、本発明が、以下に説明される実施形態によって不当に限定されないことを留意すべきである。 The best embodiments described below have been used to facilitate understanding of the present invention. Therefore, one of ordinary skill in the art should note that the present invention is not unreasonably limited by the embodiments described below.

図1は、本発明に従う車両用制御装置の構成例を示す。図1には図示されていないが、自動車等の車両は、典型的には、多くのECU(Electronic Control Unit)を備え、それらのECUは、例えばCAN等の車載ネットワークに接続されている。また、それらのECUは、図示されない各種のアクチュエータを制御し、車両の走行を実現することができる。図1に示される車両用制御装置は、それらのECUの中の1つのECU、又はそれらのECUを統括する統括ECUであり、車両用制御装置は、例えば2線式差動電圧方式のCAN通信を実行可能なCAN(広義には、車載ネットワーク)に接続されるメイン制御部12及びサブ制御部22を有する。メイン制御部12及びサブ制御部22のそれぞれは、典型的には、例えばCPU等の演算部を備えている。 FIG. 1 shows a configuration example of a vehicle control device according to the present invention. Although not shown in FIG. 1, a vehicle such as an automobile typically includes many ECUs (Electronic Control Units), and these ECUs are connected to an in-vehicle network such as CAN. Further, these ECUs can control various actuators (not shown) to realize the running of the vehicle. The vehicle control device shown in FIG. 1 is one of those ECUs, or a general control ECU that controls those ECUs, and the vehicle control device is, for example, a 2-wire differential voltage type CAN communication. It has a main control unit 12 and a sub control unit 22 connected to a CAN (in a broad sense, an in-vehicle network) capable of executing the above. Each of the main control unit 12 and the sub control unit 22 typically includes a calculation unit such as a CPU.

図1において、メイン制御部12は、例えばCAN通信モジュール等の第1のメイン通信モジュール14(車載ネットワークモジュール)でCAN上の通信を実行し、通常の動作として、車載ネットワーク上のECU(広義には、車載装置)に制御データを送信することができる。他方、サブ制御部22は、通常の動作として、車載ネットワーク上のECUに制御データを送信しない。メイン側のCAN通信モジュールが故障する場合に限って、サブ制御部22は、例外又は緊急の動作として、第1のサブ通信モジュール24(具体的には、サブ側のCAN通信モジュール)で車載ネットワーク上のECUに制御データを送信可能である。このように冗長化されたメイン側及びサブ側のCAN通信モジュールが車両用制御装置に設けられている。 In FIG. 1, the main control unit 12 executes communication on the CAN by a first main communication module 14 (vehicle-mounted network module) such as a CAN communication module, and as a normal operation, an ECU (in a broad sense) on the vehicle-mounted network. Can transmit control data to the in-vehicle device). On the other hand, the sub control unit 22 does not transmit control data to the ECU on the vehicle-mounted network as a normal operation. Only when the CAN communication module on the main side fails, the sub control unit 22 uses the first sub communication module 24 (specifically, the CAN communication module on the sub side) as an exception or an emergency operation to the in-vehicle network. Control data can be transmitted to the above ECU. The CAN communication modules on the main side and the sub side which are made redundant in this way are provided in the vehicle control device.

図1の車両用制御装置は、具体的には、メイン制御装置10及びサブ制御装置20を備え、メイン制御装置10及びサブ制御装置20の各々は、例えばSPI(Serial Peripheral Interface)等のCANとは異なる経路上の通信(メイン・サブ間通信)を実行可能なSPI通信モジュールを有している。第2のメイン通信モジュール16(具体的には、メイン側のSPI通信モジュール)は、第1のメイン通信モジュール14(メイン側のCAN通信モジュール)の故障、異常等を第2のサブ通信モジュール26(具体的には、サブ側のSPI通信モジュール)に伝えることができる。同様に、第2のサブ通信モジュール26(具体的には、サブ側のSPI通信モジュール)は、第1のサブ通信モジュール24(サブ側のCAN通信モジュール)の故障、異常等を第1のメイン通信モジュール16(具体的には、メイン側のSPI通信モジュール)に伝えることができる。 Specifically, the vehicle control device of FIG. 1 includes a main control device 10 and a sub control device 20, and each of the main control device 10 and the sub control device 20 has a CAN such as an SPI (Serial Peripheral Interface). Has an SPI communication module capable of executing communication on different routes (communication between main and sub). The second main communication module 16 (specifically, the SPI communication module on the main side) causes a failure, abnormality, etc. of the first main communication module 14 (CAN communication module on the main side) to be detected by the second sub communication module 26. (Specifically, it can be transmitted to the SPI communication module on the sub side). Similarly, the second sub-communication module 26 (specifically, the SPI communication module on the sub side) causes a failure, abnormality, etc. of the first sub-communication module 24 (CAN communication module on the sub side) as the first main. It can be transmitted to the communication module 16 (specifically, the SPI communication module on the main side).

図2(A)は、第1のサブ通信モジュール24(サブ側のCAN通信モジュール)が正常であるか否かを確認するためのCAN送信データ(所定のデータ)を生成するサブ制御装置20の動作例を示すフローチャート図を示す。図2(B)は、CAN送信データ(所定のデータ)に基づくCAN返信データを生成するメイン制御装置10の動作例を示すフローチャート図を示す。 FIG. 2A shows a sub control device 20 that generates CAN transmission data (predetermined data) for confirming whether or not the first sub communication module 24 (CAN communication module on the sub side) is normal. A flowchart showing an operation example is shown. FIG. 2B shows a flowchart showing an operation example of the main control device 10 that generates CAN reply data based on CAN transmission data (predetermined data).

第1のサブ通信モジュール24(サブ側のCAN通信モジュール)は、通常の動作として、車載ネットワーク上のECU(広義には、車載装置)に制御データを送信せず、メイン制御装置10だけに対して、サブ側のCAN通信モジュールが正常であるか否かを確認するためのCAN送信データ(所定のデータ)を送信することができる(図2(A)のステップST04参照)。 As a normal operation, the first sub communication module 24 (CAN communication module on the sub side) does not transmit control data to the ECU (in a broad sense, the in-vehicle device) on the in-vehicle network, and only to the main control device 10. Therefore, CAN transmission data (predetermined data) for confirming whether or not the CAN communication module on the sub side is normal can be transmitted (see step ST04 in FIG. 2A).

なお、サブ制御装置20が通常の動作を開始する時に、メイン側の返信データ(サブ側の受信データ)には初期値が設定されて、サブ制御装置20は、例えばステップST01及びステップST02を省略し、ステップST03を実行する。言い換えれば、サブ制御装置20が通常の動作を開始する時に、サブ制御装置20は、直ぐにステップST03でCAN送信データ(所定のデータ)を生成することができる。 When the sub control device 20 starts normal operation, initial values are set for the reply data on the main side (received data on the sub side), and the sub control device 20 omits, for example, steps ST01 and ST02. Then, step ST03 is executed. In other words, when the sub control device 20 starts a normal operation, the sub control device 20 can immediately generate CAN transmission data (predetermined data) in step ST03.

図2(A)のステップST03において、サブ制御装置20は、サブ側の所定の演算として、例えば受信データの数値と任意に設定されるサブ側の例えば固定の数値とを加算する。サブ側の演算値である加算値は、所定のデータ(所定の数値)に設定される。サブ制御装置20は、その所定のデータを含む送信データを生成し、サブ制御装置20は、サブ側のCAN通信モジュールを使用して、CAN上のメイン制御装置10に送信データ(所定のデータ)を送信する(ステップST04参照)。 In step ST03 of FIG. 2A, the sub control device 20 adds, for example, a numerical value of received data and, for example, a fixed numerical value on the sub side that is arbitrarily set, as a predetermined operation on the sub side. The added value, which is the calculated value on the sub side, is set to predetermined data (predetermined numerical value). The sub control device 20 generates transmission data including the predetermined data, and the sub control device 20 uses the CAN communication module on the sub side to transmit data (predetermined data) to the main control device 10 on the CAN. Is transmitted (see step ST04).

ところで、第1のメイン通信モジュール14(メイン側のCAN通信モジュール)は、通常の動作として、車載ネットワーク上のECUに制御データを送信するとともに、サブ制御装置20だけに対して、サブ側のCAN通信モジュールからの送信データ(所定のデータ)に基づくCAN返信データを生成することができる(図2(B)のステップST13参照)。 By the way, the first main communication module 14 (CAN communication module on the main side) transmits control data to the ECU on the vehicle-mounted network as a normal operation, and CAN on the sub side only with respect to the sub control device 20. CAN reply data based on transmission data (predetermined data) from the communication module can be generated (see step ST13 in FIG. 2B).

なお、メイン制御装置10が通常の動作を開始する時に、メイン制御装置10は、例えばステップST11及びステップST12を省略し、ステップST13を実行する。言い換えれば、メイン制御装置10がサブ制御装置20からの送信データ(所定のデータ)を受信する時に、メイン側の受信データにサブ側の送信データ(所定のデータ)が設定されて、メイン制御装置10は、ステップST13で受信データ(所定のデータ)に基づく返信データ(メイン側の送信データ)を生成することができる。 When the main control device 10 starts a normal operation, the main control device 10 omits, for example, step ST11 and step ST12, and executes step ST13. In other words, when the main control device 10 receives the transmission data (predetermined data) from the sub control device 20, the transmission data (predetermined data) on the sub side is set to the reception data on the main side, and the main control device In step 10, the reply data (transmission data on the main side) based on the reception data (predetermined data) can be generated in step ST13.

図2(B)のステップST13において、メイン制御装置10は、メイン側の所定の演算として、例えば受信データの数値(所定のデータの所定の数値)と任意に設定されるメイン側の例えば固定の数値とを加算する。メイン側の演算値である加算値は、メイン側の送信データの数値に設定される。メイン制御装置10は、その送信データを含む返信データを生成し、メイン制御装置10は、メイン側のCAN通信モジュールを使用して、CAN上のサブ制御装置20に返信データを送信する(ステップST14参照)。 In step ST13 of FIG. 2B, the main control device 10 is set as a predetermined operation on the main side, for example, a numerical value of received data (a predetermined numerical value of predetermined data) and a fixed value on the main side which is arbitrarily set. Add the numerical value. The added value, which is the calculated value on the main side, is set to the numerical value of the transmitted data on the main side. The main control device 10 generates reply data including the transmission data, and the main control device 10 transmits the reply data to the sub control device 20 on the CAN by using the CAN communication module on the main side (step ST14). reference).

図2(A)のステップST01において、サブ制御装置20は、ステップST04で送信データ(所定のデータ)を送信した後に、一定時間が経過したか否かを判定することができる。ここで、一定時間は、サブ制御装置20での送信データ(所定のデータ)の送信からサブ制御装置20での受信データ(返信データ)の受信までに要する通常の時間に基づき、例えば、一定時間は、通常の時間に最大の許容時間を追加することによって設定される。 In step ST01 of FIG. 2A, the sub-control device 20 can determine whether or not a certain time has elapsed after transmitting the transmission data (predetermined data) in step ST04. Here, the fixed time is, for example, a fixed time based on the normal time required from the transmission of the transmission data (predetermined data) in the sub control device 20 to the reception of the received data (reply data) in the sub control device 20. Is set by adding the maximum allowed time to the normal time.

一定時間が経過した後に、サブ制御装置20は、サブ側のCAN通信モジュール(具体的には受信バッファ)に受信されているサブ側の受信データを読み出することができる。なお、メイン制御装置10は、メイン側のCAN通信モジュールを使用して、CAN上のサブ制御装置20にメイン側の返信データを送信するので、サブ側の受信データは、通常、メイン側の返信データと一致する。図2(A)のステップST02において、サブ制御装置20は、サブ側の受信データが正当であるか否かが確認される。具体的には、サブ制御装置20は、サブ側の受信データ(=メイン側の返信データ)の数値が図2(B)のステップ13でのメイン側の演算値と一致しているか否かを確認するために、メイン側の所定の演算と同一の演算を実行する(図2(A)のステップST02参照)。 After a certain period of time has elapsed, the sub control device 20 can read the received data on the sub side that has been received by the CAN communication module (specifically, the receive buffer) on the sub side. Since the main control device 10 uses the CAN communication module on the main side to transmit the reply data on the main side to the sub control device 20 on the CAN, the received data on the sub side is usually the reply on the main side. Match the data. In step ST02 of FIG. 2A, the sub control device 20 confirms whether or not the received data on the sub side is valid. Specifically, the sub control device 20 determines whether or not the numerical value of the received data (= reply data on the main side) on the sub side matches the calculated value on the main side in step 13 of FIG. 2 (B). In order to confirm, the same operation as the predetermined operation on the main side is executed (see step ST02 in FIG. 2A).

図2(A)のステップST02において、より具体的には、サブ制御装置20は、サブ制御部22(具体的にはRAM)に記憶されたサブ側の演算値(ステップST03の実行結果である所定のデータの所定の数値)を読み出し、その演算値(所定のデータの所定の数値)と任意に設定されるメイン側の例えば固定の数値とを加算する。或いは、サブ制御装置20は、サブ側のCAN通信モジュール(具体的には送信バッファ)に記憶されたサブ側の送信データの数値を読み出し、その数値(所定のデータの所定の数値)と任意に設定されるメイン側の例えば固定の数値とを加算する。 More specifically, in step ST02 of FIG. 2A, the sub control device 20 is an execution result (execution result of step ST03) on the sub side stored in the sub control unit 22 (specifically, RAM). A predetermined numerical value of a predetermined data) is read out, and the calculated value (a predetermined numerical value of the predetermined data) and, for example, a fixed numerical value on the main side arbitrarily set are added. Alternatively, the sub control device 20 reads out the numerical value of the transmission data on the sub side stored in the CAN communication module (specifically, the transmission buffer) on the sub side, and arbitrarily sets the numerical value (a predetermined numerical value of the predetermined data). Add, for example, a fixed value on the main side to be set.

ステップST02では、サブ制御装置20は、サブ側の受信データ(=メイン側の返信データ)の数値が加算値と一致しているか否かを確認することができる。なお、メイン側の例えば固定の数値は、サブ制御装置20及びメイン制御装置10間で同一の数値が用いられ、その数値は、サブ制御装置20及びメイン制御装置10の各々に予め設定されている。ステップST04でサブ側のCAN通信モジュールが送信データ(所定のデータ)を実際に送信できた時には、サブ側の受信データ(=メイン側の返信データ)の数値が加算値と一致するので、サブ制御装置20は、サブ側のCAN通信モジュールが正常であることを確認する。 In step ST02, the sub control device 20 can confirm whether or not the numerical value of the received data (= reply data on the main side) on the sub side matches the added value. As the fixed numerical value on the main side, for example, the same numerical value is used between the sub control device 20 and the main control device 10, and the numerical value is preset in each of the sub control device 20 and the main control device 10. .. When the CAN communication module on the sub side can actually transmit the transmission data (predetermined data) in step ST04, the numerical value of the reception data on the sub side (= reply data on the main side) matches the added value, so that the sub control The device 20 confirms that the CAN communication module on the sub side is normal.

他方、ステップST04でサブ側のCAN通信モジュールが送信データ(所定のデータ)を実際に送信できなかった時には、サブ側の受信データ(=メイン側の返信データ)の数値が加算値と一致しないので、サブ制御装置20は、サブ側のCAN通信モジュールが正常であることを確認しない。言い換えれば、サブ側の受信データ(=メイン側の返信データ)の数値が加算値と一致しない時に、サブ制御装置20は、サブ側のCAN通信モジュールでの送信が実際には実行されていないことを推定し、サブ側のCAN通信モジュールの異常を判定することができる(図2(A)のステップST05参照)。 On the other hand, when the CAN communication module on the sub side cannot actually transmit the transmission data (predetermined data) in step ST04, the numerical value of the reception data (= reply data on the main side) on the sub side does not match the added value. , The sub control device 20 does not confirm that the CAN communication module on the sub side is normal. In other words, when the numerical value of the received data (= reply data on the main side) on the sub side does not match the added value, the sub control device 20 does not actually execute the transmission on the CAN communication module on the sub side. Can be estimated and an abnormality of the CAN communication module on the sub side can be determined (see step ST05 in FIG. 2A).

以下に、サブ側の送信データ(所定のデータ)とメイン側の返信データとの関係について、具体的に説明する。サブ側の受信データが例えば「0」(=初期値)を表し、サブ側の固定値が例えば「2」である時に、ステップST03で所定のデータは、例えば「2」(=「0」+「2」)を表す。従って、例えば「2」を表すサブ側の送信データが実際にサブ側のCAN通信モジュールからメイン側のCAN通信モジュールに伝わる時に、ステップST12でのメイン側の受信データは、例えば「2」を表す。メイン側の受信データが「2」を表し、メイン側の固定値が例えば「3」である時に、ステップST13でメイン側の返信データは、例えば「5」(=「2」+「3」)を表す。従って、例えば「3」を表すメイン側の返信データ(送信データ)が実際にメイン側のCAN通信モジュールからサブ側のCAN通信モジュールに伝わる時に、ステップST02でのサブ側の受信データ(メイン側の送信データ)は、例えば「5」を表す。同時に、ステップST02において、ステップST04で送信された送信データの数値(「2」)とメイン側の固定値(「3」)との加算値(「5」)が演算されて、この加算値とサブ側の受信データ(メイン側の送信データ)の数値とが比較される。ステップST04でサブ側のCAN通信モジュールが送信データを実際に送信できた時には、サブ側の受信データ(=メイン側の返信データ)の数値が加算値と一致するので、サブ制御装置20は、サブ側のCAN通信モジュールが正常であることを確認する。なお、次のステップST03で次の所定のデータは、例えば「7」(=「5」+「2」)を表す。このように、サブ側のCAN通信モジュールが正常である時に、送信データを構成する所定のデータは、可変データ(所定の間隔で変更される送信データ)である。 The relationship between the transmission data (predetermined data) on the sub side and the reply data on the main side will be specifically described below. When the received data on the sub side represents, for example, "0" (= initial value) and the fixed value on the sub side is, for example, "2", the predetermined data in step ST03 is, for example, "2" (= "0" +). Represents "2"). Therefore, for example, when the transmission data on the sub side representing "2" is actually transmitted from the CAN communication module on the sub side to the CAN communication module on the main side, the reception data on the main side in step ST12 represents, for example, "2". .. When the received data on the main side represents "2" and the fixed value on the main side is, for example, "3", the reply data on the main side is, for example, "5" (= "2" + "3") in step ST13. Represents. Therefore, for example, when the reply data (transmission data) on the main side representing "3" is actually transmitted from the CAN communication module on the main side to the CAN communication module on the sub side, the reception data on the sub side (main side) in step ST02 (Transmission data) represents, for example, "5". At the same time, in step ST02, the added value (“5”) of the numerical value (“2”) of the transmitted data transmitted in step ST04 and the fixed value (“3”) on the main side is calculated, and this added value and the added value are calculated. The numerical value of the received data on the sub side (transmitted data on the main side) is compared. When the CAN communication module on the sub side can actually transmit the transmission data in step ST04, the numerical value of the reception data (= reply data on the main side) on the sub side matches the added value, so that the sub control device 20 is sub. Confirm that the CAN communication module on the side is normal. In the next step ST03, the next predetermined data represents, for example, "7" (= "5" + "2"). As described above, when the CAN communication module on the sub side is normal, the predetermined data constituting the transmission data is variable data (transmission data changed at a predetermined interval).

ところで、例えば「7」を表すサブ側の次の送信データが実際にサブ側のCAN通信モジュールからメイン側のCAN通信モジュールに伝わない時に、次のステップST12でのメイン側の次の受信データは、前の受信データであり続け、例えば「2」を表す。従って、次のステップST13でメイン側の次の返信データは、例えば「5」(=「2」+「3」)を表し続ける。次のステップST02において、ステップST02でのサブ側の次の受信データ(メイン側の次の送信データ)は、例えば「5」を表し続ける。同時に、次のステップST02において、ステップST04で送信されなかった送信データの数値(「7」)とメイン側の固定値(「3」)との次の加算値(「10」)が演算されて、この次の加算値とサブ側の次の受信データ(メイン側の次の送信データ)の数値とが比較される。ステップST04でサブ側のCAN通信モジュールが送信データを実際に送信できなかった時には、サブ側の受信データ(=メイン側の返信データ)の数値が加算値と一致しないので、サブ制御装置20は、サブ側のCAN通信モジュールが正常であることを確認しない。即ち、サブ制御装置20は、サブ側のCAN通信モジュールでの送信が実際には実行されていないことを推定し、サブ側のCAN通信モジュールの異常を判定することができる(ステップST05参照)。 By the way, for example, when the next transmission data on the sub side representing "7" is not actually transmitted from the CAN communication module on the sub side to the CAN communication module on the main side, the next reception data on the main side in the next step ST12 is , Continues to be the previous received data, for example representing "2". Therefore, in the next step ST13, the next reply data on the main side continues to represent, for example, "5" (= "2" + "3"). In the next step ST02, the next received data on the sub side (next transmitted data on the main side) in step ST02 continues to represent, for example, "5". At the same time, in the next step ST02, the next addition value (“10”) of the numerical value (“7”) of the transmission data that was not transmitted in step ST04 and the fixed value (“3”) on the main side is calculated. , This next addition value is compared with the numerical value of the next received data (next transmitted data on the main side) on the sub side. When the CAN communication module on the sub side cannot actually transmit the transmission data in step ST04, the numerical value of the reception data (= reply data on the main side) on the sub side does not match the added value, so that the sub control device 20 Do not confirm that the CAN communication module on the sub side is normal. That is, the sub control device 20 can estimate that the transmission by the CAN communication module on the sub side is not actually executed, and determine the abnormality of the CAN communication module on the sub side (see step ST05).

図2(B)のステップST11において、メイン制御装置10は、ステップST14で送信データ(返信データ)を送信した後に、一定時間が経過したか否かを判定することができる。ここで、一定時間は、メイン制御装置10での送信データ(返信データ)の送信からメイン制御装置10での受信データ(送信データ)の受信までに要する通常の時間に基づき、例えば、一定時間は、通常の時間に最大の許容時間を追加することによって設定される。 In step ST11 of FIG. 2B, the main control device 10 can determine whether or not a certain time has elapsed after transmitting the transmission data (reply data) in step ST14. Here, the fixed time is based on the normal time required from the transmission of the transmission data (reply data) by the main control device 10 to the reception of the received data (transmission data) by the main control device 10, for example, the fixed time is , Set by adding the maximum permissible time to the normal time.

一定時間が経過した後に、メイン制御装置10は、メイン側のCAN通信モジュール(具体的には受信バッファ)に受信されているメイン側の受信データを読み出することができる。なお、サブ制御装置20は、サブ側のCAN通信モジュールを使用して、CAN上のメイン制御装置10にサブ側の送信データを送信するので、メイン側の受信データは、通常、サブ側の送信データと一致する。図2(B)のステップST12において、メイン制御装置10は、メイン側の受信データが正当であるか否かが確認される。具体的には、メイン制御装置10は、メイン側の受信データ(=サブ側の送信データ)の数値が図2(A)のステップ03でのサブ側の演算値と一致しているか否かを確認するために、サブ側の所定の演算と同一の演算を実行する(図2(B)のステップST12参照)。 After a certain period of time has elapsed, the main control device 10 can read the received data on the main side that has been received by the CAN communication module (specifically, the receive buffer) on the main side. Since the sub control device 20 uses the CAN communication module on the sub side to transmit the transmission data on the sub side to the main control device 10 on the CAN, the reception data on the main side is usually transmitted on the sub side. Match the data. In step ST12 of FIG. 2B, the main control device 10 confirms whether or not the received data on the main side is valid. Specifically, the main control device 10 determines whether or not the numerical value of the received data (= transmitted data on the sub side) on the main side matches the calculated value on the sub side in step 03 of FIG. 2 (A). In order to confirm, the same operation as the predetermined operation on the sub side is executed (see step ST12 in FIG. 2B).

図2(B)のステップST12において、より具体的には、メイン制御装置10は、メイン制御部12(具体的にはRAM)に記憶されたメイン側の演算値(ステップST13の実行結果である返信データの数値)を読み出し、その演算値(返信データの数値)と任意に設定されるサブ側の例えば固定の数値とを加算する。或いは、メイン制御装置10は、メイン側のCAN通信モジュール(具体的には送信バッファ)に記憶されたメイン側の送信データの数値を読み出し、その数値(返信データの数値)と任意に設定されるサブ側の例えば固定の数値とを加算する。 More specifically, in step ST12 of FIG. 2B, the main control device 10 is an execution result (execution result of step ST13) on the main side stored in the main control unit 12 (specifically, RAM). (Numerical value of reply data) is read, and the calculated value (numerical value of reply data) and, for example, a fixed numerical value on the sub side arbitrarily set are added. Alternatively, the main control device 10 reads out the numerical value of the transmission data on the main side stored in the CAN communication module (specifically, the transmission buffer) on the main side, and arbitrarily sets the numerical value (the numerical value of the reply data). Add, for example, a fixed value on the sub side.

ステップST12では、メイン制御装置10は、メイン側の受信データ(=サブ側の送信データ)の数値が加算値と一致しているか否かを確認することができる。なお、サブ側の例えば固定の数値は、メイン制御装置10及びサブ制御装置20間で同一の数値が用いられ、その数値は、メイン制御装置10及びサブ制御装置20の各々に予め設定されている。ステップST14でメイン側のCAN通信モジュールが送信データ(返信データ)を実際に送信できた時には、メイン側の受信データ(=サブ側の送信データ)の数値が加算値と一致するので、サブ制御装置20は、サブ側のCAN通信モジュールが正常であることを確認する。 In step ST12, the main control device 10 can confirm whether or not the numerical value of the received data (= transmitted data on the sub side) on the main side matches the added value. As the fixed numerical value on the sub side, for example, the same numerical value is used between the main control device 10 and the sub control device 20, and the numerical value is preset in each of the main control device 10 and the sub control device 20. .. When the CAN communication module on the main side can actually transmit the transmission data (reply data) in step ST14, the numerical value of the reception data (= transmission data on the sub side) on the main side matches the added value, so that the sub control device 20 confirms that the CAN communication module on the sub side is normal.

他方、ステップST14でメイン側のCAN通信モジュールが送信データ(返信データ)を実際に送信できなかった時には、メイン側の受信データ(=サブ側の送信データ)の数値が加算値と一致しないので、メイン制御装置10は、メイン側のCAN通信モジュールが正常であることを確認しない。言い換えれば、メイン側の受信データ(=サブ側の送信データ)の数値が加算値と一致しない時に、メイン制御装置10は、メイン側のCAN通信モジュールでの送信が実際には実行されていないことを推定し、メイン側のCAN通信モジュールの異常を判定することができる(図2(B)のステップST15参照)。 On the other hand, when the CAN communication module on the main side cannot actually transmit the transmission data (reply data) in step ST14, the numerical value of the reception data (= transmission data on the sub side) on the main side does not match the added value. The main control device 10 does not confirm that the CAN communication module on the main side is normal. In other words, when the numerical value of the received data (= transmitted data on the sub side) on the main side does not match the added value, the main controller 10 does not actually execute the transmission on the CAN communication module on the main side. Can be estimated and an abnormality of the CAN communication module on the main side can be determined (see step ST15 in FIG. 2B).

以下に、メイン側の送信データ(返信データ)とサブ側の次の送信データとの関係について、具体的に説明する。例えば「5」を表すメイン側の送信データが実際にメイン側のCAN通信モジュールからサブ側のCAN通信モジュールに伝わる時に、ステップST02でのサブ側の受信データは、例えば「5」を表す。サブ側の受信データが「5」を表し、サブ側の固定値が例えば「2」である時に、ステップST03でサブ側の次の送信データは、例えば「7」(=「5」+「2」)を表す。従って、例えば「7」を表すサブ側の次の所定のデータ(次の送信データ)が実際にサブ側のCAN通信モジュールからメイン側のCAN通信モジュールに伝わる時に、ステップST12でのメイン側の受信データ(メイン側の受信データ)は、例えば「7」を表す。同時に、ステップST12において、ステップST14で送信された送信データの数値(「5」)とサブ側の固定値(「2」)との加算値(「7」)が演算されて、この加算値とメイン側の受信データ(サブ側の次の送信データ)の数値とが比較される。ステップST14でメイン側のCAN通信モジュールが送信データを実際に送信できた時には、メイン側の受信データ(=サブ側の次の送信データ)の数値が加算値と一致するので、メイン制御装置10は、メイン側のCAN通信モジュールが正常であることを確認する。なお、次のステップST13で次の返信のデータは、例えば「10」(=「7」+「3」)を表す。このように、メイン側のCAN通信モジュールが正常である時に、返信データは、可変データである。 The relationship between the transmission data (reply data) on the main side and the next transmission data on the sub side will be specifically described below. For example, when the transmission data on the main side representing "5" is actually transmitted from the CAN communication module on the main side to the CAN communication module on the sub side, the reception data on the sub side in step ST02 represents, for example, "5". When the received data on the sub side represents "5" and the fixed value on the sub side is, for example, "2", the next transmitted data on the sub side in step ST03 is, for example, "7" (= "5" + "2". "). Therefore, for example, when the next predetermined data (next transmission data) on the sub side representing "7" is actually transmitted from the CAN communication module on the sub side to the CAN communication module on the main side, the reception on the main side in step ST12. The data (received data on the main side) represents, for example, "7". At the same time, in step ST12, the added value (“7”) of the numerical value (“5”) of the transmitted data transmitted in step ST14 and the fixed value (“2”) on the sub side is calculated, and this added value and the added value are calculated. The numerical value of the received data on the main side (next transmitted data on the sub side) is compared. When the CAN communication module on the main side can actually transmit the transmission data in step ST14, the numerical value of the reception data on the main side (= the next transmission data on the sub side) matches the added value, so that the main control device 10 , Confirm that the CAN communication module on the main side is normal. The data of the next reply in the next step ST13 represents, for example, "10" (= "7" + "3"). As described above, when the CAN communication module on the main side is normal, the reply data is variable data.

ステップST14でメイン側のCAN通信モジュールが送信データを実際に送信できなかった時には、メイン側の受信データ(=サブ側の次の送信データ)の数値が加算値と一致しないので、メイン制御装置10は、メイン側のCAN通信モジュールが正常であることを確認しない。即ち、メイン制御装置10は、メイン側のCAN通信モジュールでの送信が実際には実行されていないことを推定し、メイン側のCAN通信モジュールの異常を判定することができる(ステップST15参照)。 When the CAN communication module on the main side cannot actually transmit the transmission data in step ST14, the numerical value of the reception data on the main side (= the next transmission data on the sub side) does not match the added value, so that the main control device 10 Does not confirm that the CAN communication module on the main side is normal. That is, the main control device 10 can estimate that the transmission by the CAN communication module on the main side is not actually executed, and determine the abnormality of the CAN communication module on the main side (see step ST15).

なお、メイン制御装置10は、図2(B)のステップST12(及びステップST15)を常に省略してもよく、従って、例えば、サブ制御装置20だけがサブ側のCAN通信モジュールが正常であるか否かを確認してもよい。また、サブ制御装置20は、図2(A)のステップST05を常に省略してもよく、従って、例えば、サブ制御装置20はサブ側のCAN通信モジュールの異常をメイン制御装置10に伝えなくてもよい、言い換えれば、サブ制御装置20だけがサブ側のCAN通信モジュールの異常を認識してもよい。さらに、ステップST03及び/又はステップST13において所定の演算の実行は、省略されてもよく、従って、例えば、所定データ及び/返信データは、固定データであってもよく、この場合に、例えば、受信バッファが初期化されてステップST12及び/又はステップST02において受信データが正当(所定データ及び/返信データ)であるか否かが確認されてもよい。加えて、例えば、メイン制御装置10によってメイン側のCAN通信モジュールの故障が判定される時に、ステップST04及びステップST14は、1回だけ実行されてもよく、この場合に、サブ側のCANモジュールで車載ネットワーク上のECUに制御データを送信する前に、サブ制御装置20は、サブ側のCANモジュールの正常を確認し、且つメイン側のCAN通信モジュールの故障を判定してもよい。 Note that the main control device 10 may always omit step ST12 (and step ST15) of FIG. 2B. Therefore, for example, only the sub control device 20 has a normal CAN communication module on the sub side. You may check whether or not. Further, the sub control device 20 may always omit step ST05 of FIG. 2A. Therefore, for example, the sub control device 20 does not notify the main control device 10 of the abnormality of the CAN communication module on the sub side. In other words, only the sub control device 20 may recognize the abnormality of the CAN communication module on the sub side. Further, the execution of the predetermined operation in step ST03 and / or step ST13 may be omitted, and therefore, for example, the predetermined data and / reply data may be fixed data, and in this case, for example, reception. The buffer may be initialized and it may be confirmed in step ST12 and / or step ST02 whether or not the received data is valid (predetermined data and / reply data). In addition, for example, when the main controller 10 determines the failure of the CAN communication module on the main side, steps ST04 and ST14 may be executed only once. In this case, the CAN module on the sub side may execute the steps ST04 and ST14 only once. Before transmitting the control data to the ECU on the vehicle-mounted network, the sub control device 20 may confirm the normality of the CAN module on the sub side and determine the failure of the CAN communication module on the main side.

図3(A)は、サブ制御装置20に縮退データを送信させるためのCAN故障データを生成するメイン制御装置10の動作例を示すフローチャート図を示し、図3(B)は、縮退データを生成するサブ制御装置20の動作例を示すフローチャート図を示す。図1のメイン制御装置10がCAN上のECUを制御又は統括する時に、メイン制御装置10の役割は、大きい。1例として、メイン制御装置10が例えば複数のECUを制御しながら車両の自動走行を実現する時に、メイン側のCAN通信モジュールの故障に応じて、サブ制御装置20は、通常の自動走行から、例えば待避自動走行(自動走行停止を含む)等の例外又は緊急の自動走行に移行することができる。言い換えれば、メイン側のCAN通信モジュールが故障している時に、サブ制御装置20は、例えば複数のECUにそれらの動作を縮退させる縮退データを送信することができる。 FIG. 3 (A) shows a flowchart showing an operation example of the main control device 10 for generating CAN failure data for causing the sub control device 20 to transmit degenerate data, and FIG. 3 (B) shows a flowchart for generating degenerate data. A flowchart showing an operation example of the sub-control device 20 is shown. When the main control device 10 of FIG. 1 controls or controls the ECU on the CAN, the role of the main control device 10 is large. As an example, when the main control device 10 realizes automatic driving of a vehicle while controlling a plurality of ECUs, for example, the sub control device 20 changes from normal automatic driving to a failure of the CAN communication module on the main side. For example, it is possible to shift to an exception such as evacuation automatic driving (including automatic driving stop) or emergency automatic driving. In other words, when the CAN communication module on the main side is out of order, the sub-control device 20 can transmit degenerate data that degenerates their operations to, for example, a plurality of ECUs.

図3(A)のステップST21において、メイン制御装置10のメイン制御部12は、第1のメイン通信モジュール14に対応するメイン側の例えばCAN通信モジュールが故障しているか否かを判定する。メイン制御部12は、例えばCANコントローラを含み、CAN通信モジュールは、例えばCANトランシーバであり、CANコントローラは、CANトランシーバの故障を検出又は診断することができる。メイン側のCAN通信モジュールが故障していない時に、メイン制御部12は、例えば通常の自動走行に必要な制御出力値をリアルタイムに計算し、その制御出力値に基づき例えばアクチュエータを制御するECUに制御出力値を含む送信データをメイン側のCAN通信モジュールから送信する(ステップST22及びST23参照)。これにより、例えば車両の通常の自動走行が実現される。 In step ST21 of FIG. 3A, the main control unit 12 of the main control device 10 determines whether or not, for example, the CAN communication module on the main side corresponding to the first main communication module 14 has failed. The main control unit 12 includes, for example, a CAN controller, the CAN communication module is, for example, a CAN transceiver, and the CAN controller can detect or diagnose a failure of the CAN transceiver. When the CAN communication module on the main side is not out of order, the main control unit 12 calculates, for example, the control output value required for normal automatic driving in real time, and controls the ECU that controls the actuator, for example, based on the control output value. The transmission data including the output value is transmitted from the CAN communication module on the main side (see steps ST22 and ST23). As a result, for example, normal automatic driving of the vehicle is realized.

メイン側のCAN通信モジュールが故障している時に、メイン制御部12は、サブ側のCAN通信モジュールが故障しているか否かを判定することができる(ステップST24参照)。図3(B)のステップST30において、サブ制御装置20のサブ制御部22は、第1のサブ通信モジュール24に対応するサブ側の例えばCAN通信モジュールが故障しているか否かを判定し、CAN通信モジュールの故障を例えばSPI通信でメイン制御部12に伝えることができる(ステップST36参照)。 When the CAN communication module on the main side is out of order, the main control unit 12 can determine whether or not the CAN communication module on the sub side is out of order (see step ST24). In step ST30 of FIG. 3B, the sub-control unit 22 of the sub-control device 20 determines whether or not the sub-side, for example, the CAN communication module corresponding to the first sub-communication module 24 is out of order, and CAN. The failure of the communication module can be notified to the main control unit 12 by, for example, SPI communication (see step ST36).

メイン側のCAN通信モジュールが故障している時に、メイン制御部12は、サブ側のCAN通信モジュールが異常であるか否かを判定することができる(ステップST24参照)。図2(A)のステップST02及びST05において、サブ制御部22は、サブ側のCAN通信モジュールが正常であるか否かを確認することができ、CAN通信モジュールの異常を例えばSPI通信でメイン制御部12に伝えることができる。 When the CAN communication module on the main side is out of order, the main control unit 12 can determine whether or not the CAN communication module on the sub side is abnormal (see step ST24). In steps ST02 and ST05 of FIG. 2A, the sub control unit 22 can confirm whether or not the CAN communication module on the sub side is normal, and mainly controls the abnormality of the CAN communication module by, for example, SPI communication. It can be told to the part 12.

なお、図3(A)のステップST24において、メイン制御部12は、サブ側のCAN通信モジュールの故障又は異常の何れかを受信しているか否かを判定しているが、サブ側のCAN通信モジュールの異常だけを受信しているか否かを判定してもよい。或いは、メイン制御部12は、サブ側のCAN通信モジュールの故障だけを受信しているか否かを判定してもよい。 In step ST24 of FIG. 3A, the main control unit 12 determines whether or not a failure or abnormality of the CAN communication module on the sub side is received, but CAN communication on the sub side is received. It may be determined whether or not only the abnormality of the module is received. Alternatively, the main control unit 12 may determine whether or not only the failure of the CAN communication module on the sub side is received.

図3(A)のステップST24において、メイン側のCAN通信モジュールが故障し、サブ側のCAN通信モジュールも故障している時に、メイン制御部12は、ステップST25を実行しない。同様に、メイン側のCAN通信モジュールが故障し、サブ側のCAN通信モジュールが異常である時に、メイン制御部12は、ステップST25を実行しない。メイン側のCAN通信モジュールが故障しているが、サブ側のCAN通信モジュールが故障しないで、正常であることがメイン制御部12によって確認される時に、メイン制御部12は、ステップST25を実行する。 In step ST24 of FIG. 3A, when the CAN communication module on the main side has failed and the CAN communication module on the sub side has also failed, the main control unit 12 does not execute step ST25. Similarly, when the CAN communication module on the main side fails and the CAN communication module on the sub side is abnormal, the main control unit 12 does not execute step ST25. When the CAN communication module on the main side has failed, but the CAN communication module on the sub side has not failed and is confirmed by the main control unit 12 to be normal, the main control unit 12 executes step ST25. ..

図3(A)のステップST25において、サブ制御装置20に縮退データを送信させるために、メイン制御部12は、メイン側のCAN通信モジュールの故障を表す故障データ(縮退動作指示)を例えばSPI通信でサブ制御部22に伝えることができる(図3(B)のステップST35、ST33及びST34参照)。 In step ST25 of FIG. 3A, in order to cause the sub-control device 20 to transmit the degenerate data, the main control unit 12 transmits, for example, SPI communication of the failure data (degenerate operation instruction) indicating the failure of the CAN communication module on the main side. Can be transmitted to the sub-control unit 22 (see steps ST35, ST33 and ST34 in FIG. 3B).

サブ側のCAN通信モジュールが故障していない時に、サブ制御部22は、メイン制御装置10とサブ制御装置20との間のSPI通信が有効であるか否かを判定することができる(図3(B)のステップST30及びST31参照)。例えばメイン制御部12から出力されるクロック信号がサブ制御部22によって受信されない時に、サブ制御部22は、SPI通信が有効でないこと、即ちメイン側のSPI通信モジュールからのデータが断絶していることを判定することができる。 When the CAN communication module on the sub side is not out of order, the sub control unit 22 can determine whether or not SPI communication between the main control device 10 and the sub control device 20 is effective (FIG. 3). (B) See steps ST30 and ST31). For example, when the clock signal output from the main control unit 12 is not received by the sub control unit 22, SPI communication is not valid in the sub control unit 22, that is, the data from the SPI communication module on the main side is disconnected. Can be determined.

なお、図3(A)のステップST21でメイン側のCAN通信モジュールが故障していない時に、メイン制御部12は、SPI通信でメイン側のCAN通信モジュールの非故障をサブ制御部22に伝えてもよく、言い換えれば、メイン制御部12は、常に、SPI通信でメイン側のCAN通信モジュールの非故障又は故障の何れか一方をサブ制御部22に伝えてもよい。従って、メイン制御部12から出力されるクロック信号がサブ制御部22によって受信される状況であっても、サブ制御部22(サブ側のSPI通信モジュール)によって受信されるデータ信号がメイン側のCAN通信モジュールの非故障又は故障の何れか一方を表さない時に、サブ制御部22は、ステップST31でSPI通信が有効でないこと、即ちメイン側のSPI通信モジュールからのデータが断絶していることを判定することができる。 When the CAN communication module on the main side has not failed in step ST21 of FIG. 3A, the main control unit 12 notifies the sub control unit 22 of the non-failure of the CAN communication module on the main side by SPI communication. In other words, the main control unit 12 may always notify the sub control unit 22 of either non-failure or failure of the CAN communication module on the main side by SPI communication. Therefore, even if the clock signal output from the main control unit 12 is received by the sub control unit 22, the data signal received by the sub control unit 22 (SPI communication module on the sub side) is the CAN on the main side. When it does not indicate either non-failure or failure of the communication module, the sub-control unit 22 indicates that SPI communication is not valid in step ST31, that is, the data from the SPI communication module on the main side is disconnected. It can be determined.

メイン制御装置10とサブ制御装置20との間のSPI通信が有効でない時に、サブ制御部22は、メイン側のCAN通信モジュールが正常であるか否かを判定することができる(図3(B)のステップST32参照)。例えば図2(A)のステップST02において、サブ制御部22は、メイン側のCAN通信モジュールからの送信データ又は返信データを受信する時に、メイン側のCAN通信モジュールが正常であること、即ちメイン側のCAN通信モジュールからのデータが断絶していないことを判定することができる。 When the SPI communication between the main control device 10 and the sub control device 20 is not valid, the sub control unit 22 can determine whether or not the CAN communication module on the main side is normal (FIG. 3 (B). ) Step ST32). For example, in step ST02 of FIG. 2A, when the sub-control unit 22 receives the transmission data or the reply data from the CAN communication module on the main side, the CAN communication module on the main side is normal, that is, the main side. It can be determined that the data from the CAN communication module of the above is not interrupted.

なお、図2(B)のステップST12でメイン側のCAN通信モジュールが正常であることが確認される時に、メイン制御部12は、SPI通信でメイン側のCAN通信モジュールの異常をサブ制御部22に伝えない。従って、サブ制御部22(サブ側のSPI通信モジュール)によって受信されるデータ信号がメイン側のCAN通信モジュールの異常を表さない時に、サブ制御部22は、メイン側のCAN通信モジュールが正常であること、即ちメイン側のCAN通信モジュールからのデータが断絶していないことを判定することができる。 When it is confirmed in step ST12 of FIG. 2B that the CAN communication module on the main side is normal, the main control unit 12 detects an abnormality in the CAN communication module on the main side by SPI communication. Don't tell. Therefore, when the data signal received by the sub control unit 22 (SPI communication module on the sub side) does not indicate an abnormality of the CAN communication module on the main side, the CAN communication module on the main side of the sub control unit 22 is normal. It can be determined that there is, that is, the data from the CAN communication module on the main side is not interrupted.

図3(B)のステップST32において、好ましくは、上述のように、メイン制御装置10とサブ制御装置20との間のCAN通信を用いて、サブ制御部22は、メイン側のCAN通信モジュールの正常を確認することができる。しかしながら、サブ制御部22は、メイン制御装置10とCAN上のECUとの間のCAN通信を用いて、言い換えれば、メイン側のCAN通信モジュールがECU宛の送信データを送信していることを確認して、メイン側のCAN通信モジュールが正常であること、即ちメイン側のCAN通信モジュールからのデータが断絶していないことを判定してもよい。 In step ST32 of FIG. 3B, preferably, as described above, using CAN communication between the main control device 10 and the sub control device 20, the sub control unit 22 uses the CAN communication module on the main side. Normality can be confirmed. However, the sub control unit 22 confirms that the CAN communication module on the main side is transmitting the transmission data addressed to the ECU by using the CAN communication between the main control device 10 and the ECU on the CAN. Then, it may be determined that the CAN communication module on the main side is normal, that is, the data from the CAN communication module on the main side is not interrupted.

メイン制御装置10とサブ制御装置20との間のSPI通信が有効でないが、メイン側のCAN通信モジュールが正常である時に、サブ制御部22は、SPI通信線の断線を推定することができる。従って、サブ制御部22は、図3(B)のステップST33及びST34を実行しない。 Although the SPI communication between the main control device 10 and the sub control device 20 is not valid, the sub control unit 22 can estimate the disconnection of the SPI communication line when the CAN communication module on the main side is normal. Therefore, the sub-control unit 22 does not execute steps ST33 and ST34 in FIG. 3B.

他方、メイン制御装置10とサブ制御装置20との間のSPI通信が有効でなく、メイン側のCAN通信モジュールが正常でない時に、サブ制御部22は、メイン制御部12の故障を推定することができる。従って、サブ制御部22は、図3(B)のステップST33及びST34を実行する。特に、メイン制御部12又はメインCPUが故障している時に、言い換えれば、メイン制御装置10が完全に故障している時に、メイン制御部12は、縮退動作指示をサブ制御部22に与えることができない。このような状況において、メイン制御部12の故障がサブ制御部22によって推定され得る。 On the other hand, when the SPI communication between the main control device 10 and the sub control device 20 is not valid and the CAN communication module on the main side is not normal, the sub control unit 22 may estimate the failure of the main control unit 12. it can. Therefore, the sub-control unit 22 executes steps ST33 and ST34 of FIG. 3B. In particular, when the main control unit 12 or the main CPU is out of order, in other words, when the main control device 10 is completely out of order, the main control unit 12 may give a degenerate operation instruction to the sub control unit 22. Can not. In such a situation, the failure of the main control unit 12 can be estimated by the sub control unit 22.

メイン制御部12の故障を推定する時に、サブ制御部22は、例えば例外又は緊急の自動走行に必要な縮退動作用制御出力値をリアルタイムに計算し、その縮退動作用制御出力を含む送信データ(縮退データ)をサブ側のCAN通信モジュールから送信する(ステップST33及びST34参照)。これにより、例えば車両の例外又は緊急の自動走行が実現される。 When estimating the failure of the main control unit 12, the sub control unit 22 calculates the degenerate operation control output value required for, for example, an exception or emergency automatic driving in real time, and the transmission data including the degenerate operation control output ( Degenerate data) is transmitted from the CAN communication module on the sub side (see steps ST33 and ST34). This allows, for example, vehicle exceptions or emergency autonomous driving.

メイン制御装置10とサブ制御装置20との間のSPI通信が有効である時に、サブ制御部22は、メイン側のCAN通信モジュールが故障しているか否かを判定することができる(ステップST35参照)。また、メイン制御装置10とサブ制御装置20との間のSPI通信が有効である時に、サブ制御部22は、メイン側のCAN通信モジュールが異常である否かを判定することができる(ステップST35参照)。なお、ステップST35において、サブ制御部22は、メイン側のCAN通信モジュールの故障又は異常の何れかを受信しているか否かを判定しているが、メイン側のCAN通信モジュールの故障だけを受信しているか否かを判定してもよい。或いは、サブ制御部22は、メイン側のCAN通信モジュールの異常だけを受信しているか否かを判定してもよい。 When the SPI communication between the main control device 10 and the sub control device 20 is valid, the sub control unit 22 can determine whether or not the CAN communication module on the main side has failed (see step ST35). ). Further, when SPI communication between the main control device 10 and the sub control device 20 is valid, the sub control unit 22 can determine whether or not the CAN communication module on the main side is abnormal (step ST35). reference). In step ST35, the sub control unit 22 determines whether or not a failure or abnormality of the CAN communication module on the main side is received, but receives only a failure of the CAN communication module on the main side. It may be determined whether or not it is done. Alternatively, the sub-control unit 22 may determine whether or not only the abnormality of the CAN communication module on the main side is received.

図3(B)のステップST35において、サブ制御部22は、メイン側のCAN通信モジュールの故障又は異常を表す故障データ又は異常データ(縮退動作指示)を例えばSPI通信で受信可能である。縮退動作指示を受信する時に、サブ制御部22は、例えば例外又は緊急の自動走行に必要な縮退動作用制御出力値をリアルタイムに計算し、その縮退動作用制御出力を含む送信データ(縮退データ)をサブ側のCAN通信モジュールから送信する(ステップST33及びST34参照)。これにより、例えば車両の例外又は緊急の自動走行が実現される。 In step ST35 of FIG. 3B, the sub-control unit 22 can receive failure data or abnormality data (degenerate operation instruction) indicating a failure or abnormality of the CAN communication module on the main side, for example, by SPI communication. When receiving the degenerate operation instruction, the sub-control unit 22 calculates, for example, the degenerate operation control output value required for exception or emergency automatic driving in real time, and the transmission data (degenerate data) including the degenerate operation control output. Is transmitted from the CAN communication module on the sub side (see steps ST33 and ST34). This allows, for example, vehicle exceptions or emergency autonomous driving.

なお、メイン制御装置10は、図3(A)のステップST24を常に省略してもよく、従って、例えば、サブ制御装置20は、図2(A)のステップST02の実行結果がサブ側のCAN通信モジュールの正常を表すことを所定の間隔で確認してもよい。言い換えれば、図3(A)のステップST24が省略される時に、図3(B)のステップST30でサブ側のCAN通信モジュールの非故障が判定される毎に、サブ制御装置20は、図2(A)のステップST02でサブ側のCAN通信モジュールの正常(非異常)を確認し、その後に、図3(B)の例えばST31を実行してもよい。 The main control device 10 may always omit step ST24 in FIG. 3A. Therefore, for example, in the sub control device 20, the execution result of step ST02 in FIG. 2A is a CAN on the sub side. It may be confirmed at predetermined intervals that it represents the normality of the communication module. In other words, when step ST24 of FIG. 3A is omitted, every time step ST30 of FIG. 3B determines that the CAN communication module on the sub side has not failed, the sub-control device 20 is set to FIG. The normality (non-abnormality) of the CAN communication module on the sub side may be confirmed in step ST02 of (A), and then, for example, ST31 of FIG. 3B may be executed.

本発明は、上述の例示的な実施形態に限定されず、また、当業者は、上述の例示的な実施形態を特許請求の範囲に含まれる範囲まで、容易に変更することができるであろう。 The present invention is not limited to the above-mentioned exemplary embodiments, and those skilled in the art will be able to easily modify the above-mentioned exemplary embodiments to the extent included in the claims. ..

10・・・メイン制御装置、12・・・メイン制御部、14・・・第1のメイン通信モジュール(例えばCAN通信モジュール)、16・・・第2のメイン通信モジュール(例えばSPI通信モジュール)、20・・・サブ制御装置、22・・・サブ制御部、24・・・第1のサブ通信モジュール(例えばCAN通信モジュール)、26・・・第2のサブ通信モジュール(例えばSPI通信モジュール)。 10 ... main control device, 12 ... main control unit, 14 ... first main communication module (for example, CAN communication module), 16 ... second main communication module (for example, SPI communication module), 20 ... Sub-control device, 22 ... Sub-control unit, 24 ... First sub-communication module (for example, CAN communication module), 26 ... Second sub-communication module (for example, SPI communication module).

Claims (9)

車載ネットワークに接続されるメイン制御部及びサブ制御部を有する車両用制御装置であって、
前記車載ネットワーク上の通信を実行可能な第1のメイン通信モジュールと、
前記車載ネットワーク上の通信を実行可能な第1のサブ通信モジュールと、
前記車載ネットワークとは異なる経路上の通信を実行可能な第2のメイン通信モジュールと、
前記異なる経路上の通信を実行可能な第2のサブ通信モジュールと、
を備え、
前記第1のサブ通信モジュールは、所定のデータで構成される送信データを前記第1のメイン通信モジュールに送信し、
前記第1のメイン通信モジュールは、前記送信データに基づき構成される返信データを前記第1のサブ通信モジュールに送信し、
前記第1のサブ通信モジュールが前記返信データを受信する時に、前記サブ制御部は、前記返信データに基づき、前記第1のサブ通信モジュールが正常であるか否かを確認し、
前記第1のメイン通信モジュールが故障していることが前記メイン制御部によって判定される時に、前記第2のメイン通信モジュールは、故障データを前記第2のサブ通信モジュールに送信し、
前記第2のサブ通信モジュールが前記故障データを受信する時に、前記サブ制御部は、前記第1のメイン通信モジュールが故障していることを判定し、
前記車載ネットワークを介して前記第1のサブ通信モジュールが正常であることが確認された後に、前記異なる経路を介して前記第1のメイン通信モジュールが故障していることが判定される時に、前記車載ネットワーク上の車載装置への制御データの送信は、前記第1のメイン通信モジュールの代わりに前記第1のサブ通信モジュールによって実行されることを特徴とする車両用制御装置。 A vehicle control device having a main control unit and a sub control unit connected to an in-vehicle network.
The first main communication module capable of executing communication on the in-vehicle network and
The first sub-communication module capable of executing communication on the in-vehicle network and
A second main communication module capable of executing communication on a route different from the in-vehicle network, and
With the second sub-communication module capable of performing communication on the different routes,
With
The first sub-communication module transmits transmission data composed of predetermined data to the first main communication module.
The first main communication module transmits reply data configured based on the transmission data to the first sub communication module.
When the first sub-communication module receives the reply data, the sub-control unit confirms whether or not the first sub-communication module is normal based on the reply data.
When the main control unit determines that the first main communication module has failed, the second main communication module transmits failure data to the second sub communication module.
When the second sub-communication module receives the failure data, the sub-control unit determines that the first main communication module has failed, and determines that the first main communication module has failed.
After confirming that the first sub-communication module is normal via the in-vehicle network, when it is determined that the first main communication module has failed via the different route, the said A vehicle control device characterized in that transmission of control data to an in-vehicle device on an in-vehicle network is executed by the first sub-communication module instead of the first main communication module. 前記第2のメイン通信モジュールからのデータが断絶する時に、前記サブ制御部は、前記第1のメイン通信モジュールからのデータが断絶しているか否かを判定し、
前記第2のメイン通信モジュールからのデータが断絶し、且つ前記第1のメイン通信モジュールからのデータが断絶しない時に、前記車載ネットワーク上の前記車載装置への前記制御データの送信は、前記第1のメイン通信モジュールによって実行され続けることを特徴とする請求項1に記載の車両用制御装置。 When the data from the second main communication module is cut off, the sub-control unit determines whether or not the data from the first main communication module is cut off.
When the data from the second main communication module is interrupted and the data from the first main communication module is not interrupted, the transmission of the control data to the vehicle-mounted device on the vehicle-mounted network is performed by the first. The vehicle control device according to claim 1, wherein the control device for a vehicle is continuously executed by the main communication module of the above. 前記第2のメイン通信モジュールからのデータが断絶し、且つ前記第1のメイン通信モジュールからのデータも断絶する時に、前記サブ制御部は、前記メイン制御部が故障していることを推定し、且つ前記車載ネットワーク上の前記車載装置への前記制御データの送信を前記第1のサブ通信モジュールによって実行することを特徴とする請求項2に記載の車両用制御装置。 When the data from the second main communication module is cut off and the data from the first main communication module is also cut off, the sub-control unit estimates that the main control unit is out of order. The vehicle control device according to claim 2, further comprising transmitting the control data to the vehicle-mounted device on the vehicle-mounted network by the first sub-communication module. 前記第1のサブ通信モジュールから前記第1のメイン通信モジュールに送信される前記送信データを構成する前記所定のデータは、所定の間隔で前記サブ制御部での所定の演算を実行することによって生成される可変データであることを特徴とする請求項1乃至3の何れか1項に記載の車両用制御装置。 The predetermined data constituting the transmission data transmitted from the first sub communication module to the first main communication module is generated by executing a predetermined operation in the sub control unit at a predetermined interval. The vehicle control device according to any one of claims 1 to 3, wherein the variable data is generated. 前記返信データが前記可変データに基づく時に、前記サブ制御部は、前記第1のサブ通信モジュールが正常であることを確認することを特徴とする請求項4に記載の車両用制御装置。 The vehicle control device according to claim 4, wherein when the reply data is based on the variable data, the sub control unit confirms that the first sub communication module is normal. 前記返信データが前記可変データに基づかない時に、前記サブ制御部は、前記第1のサブ通信モジュールの異常を前記異なる経路を介して前記メイン制御部に送信し、
前記異なる経路を介して前記第1のサブ通信モジュールの前記異常が前記メイン制御部によって受信され、且つ前記第1のメイン通信モジュールが故障していることが前記メイン制御部によって判定される時に、前記第2のメイン通信モジュールは、前記第1のメイン通信モジュールの前記故障データを前記第2のサブ通信モジュールに送信せず、且つ前記車載ネットワーク上の前記車載装置への前記制御データの送信は、前記第1のメイン通信モジュール及び前記第1のサブ通信モジュールによって実行されないことを特徴とする請求項5に記載の車両用制御装置。 When the reply data is not based on the variable data, the sub-control unit transmits an abnormality of the first sub-communication module to the main control unit via the different route.
When the abnormality of the first sub-communication module is received by the main control unit via the different paths and the main control unit determines that the first main communication module is out of order. The second main communication module does not transmit the failure data of the first main communication module to the second sub-communication module, and the control data is transmitted to the vehicle-mounted device on the vehicle-mounted network. The vehicle control device according to claim 5, wherein the control device for a vehicle is not executed by the first main communication module and the first sub communication module. 前記サブ制御部は、前記第1のサブ通信モジュールが故障しているか否かを判定し、
前記第1のサブ通信モジュールが故障していないことが前記サブ制御部によって判定された後に、前記サブ制御部は、前記返信データに基づき、前記第1のサブ通信モジュールが正常であるか否かを確認することを特徴とする請求項1乃至6の何れか1項に記載の車両用制御装置。 The sub control unit determines whether or not the first sub communication module is out of order, and determines whether or not the first sub communication module is out of order.
After the sub-control unit determines that the first sub-communication module has not failed, the sub-control unit determines whether or not the first sub-communication module is normal based on the reply data. The vehicle control device according to any one of claims 1 to 6 , wherein the control device for a vehicle is characterized in that. 前記第1のサブ通信モジュールは、前記返信データに基づく次の所定のデータで構成される次の送信データを前記第1のメイン通信モジュールに送信し、
前記第1のメイン通信モジュールが前記送信データを受信する時に、前記メイン制御部は、前記送信データ及び返信データに基づき、前記第1のメイン通信モジュールが正常であるか否かを確認し、
前記第1のメイン通信モジュールが正常であることが確認されない時に、前記第2のメイン通信モジュールは、前記第1のメイン通信モジュールの異常を前記第2のサブ通信モジュールに送信することを特徴とする請求項1乃至7の何れか1項に記載の車両用制御装置。 The first sub-communication module transmits the next transmission data composed of the next predetermined data based on the reply data to the first main communication module.
When the first main communication module receives the transmission data, the main control unit confirms whether or not the first main communication module is normal based on the transmission data and the reply data.
When the first main communication module is not confirmed to be normal, the second main communication module transmits an abnormality of the first main communication module to the second sub communication module. The vehicle control device according to any one of claims 1 to 7. 前記車載ネットワーク上の前記車載装置への前記制御データの送信が、前記第1のメイン通信モジュールの代わりに前記第1のサブ通信モジュールによって実行される時に、前記制御データは、前記車載装置の動作を縮退させる縮退データであることを特徴とする請求項1乃至8の何れか1項に記載の車両用制御装置。 When the transmission of the control data to the vehicle-mounted device on the vehicle-mounted network is executed by the first sub-communication module instead of the first main communication module, the control data is the operation of the vehicle-mounted device. The vehicle control device according to any one of claims 1 to 8 , wherein the data is degenerate data.
JP2017055179A 2017-03-21 2017-03-21 Vehicle control device Active JP6789159B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017055179A JP6789159B2 (en) 2017-03-21 2017-03-21 Vehicle control device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017055179A JP6789159B2 (en) 2017-03-21 2017-03-21 Vehicle control device

Publications (2)

Publication Number Publication Date
JP2018158591A JP2018158591A (en) 2018-10-11
JP6789159B2 true JP6789159B2 (en) 2020-11-25

Family

ID=63796074

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017055179A Active JP6789159B2 (en) 2017-03-21 2017-03-21 Vehicle control device

Country Status (1)

Country Link
JP (1) JP6789159B2 (en)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6898807B2 (en) * 2017-08-23 2021-07-07 日立Astemo株式会社 Vehicle control device
JP7111606B2 (en) * 2018-12-19 2022-08-02 日立Astemo株式会社 Electronic control unit and in-vehicle system
JP7135928B2 (en) * 2019-02-20 2022-09-13 株式会社デンソー Monitoring device and driving force control system
JP6936350B2 (en) * 2020-02-05 2021-09-15 本田技研工業株式会社 Vehicle control device and vehicle control method
CN113467298B (en) * 2021-06-28 2022-10-18 通号城市轨道交通技术有限公司 Tramcar vehicle-mounted controller and tramcar

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11312014A (en) * 1998-04-28 1999-11-09 Nec Home Electron Ltd Method for judging failure of controller and device therefor
JP5423224B2 (en) * 2009-08-07 2014-02-19 株式会社オートネットワーク技術研究所 Control system
JP5662181B2 (en) * 2011-02-01 2015-01-28 株式会社ケーヒン Electronic control device for moving body
EP2719599A4 (en) * 2011-06-07 2017-05-10 Daesung Electric Co., Ltd. Device and method for detecting error in dual controller system
DE102012224103A1 (en) * 2012-12-20 2014-06-26 Continental Teves Ag & Co. Ohg Device for outputting a measurement signal indicating a physical measurand
JP6258166B2 (en) * 2014-09-12 2018-01-10 日立オートモティブシステムズ株式会社 Control device for driving device

Also Published As

Publication number Publication date
JP2018158591A (en) 2018-10-11

Similar Documents

Publication Publication Date Title
JP6789159B2 (en) Vehicle control device
JP6266748B2 (en) Motor control system and motor control method
US20100168877A1 (en) Electronic system with component redundancy, and control chain for a motor implementing such system
JP2005521182A (en) Redundant array of control units
JP3857678B2 (en) Vehicle transmission system
KR102488152B1 (en) Control architecture for vehicles
JP2006222649A (en) Gateway device with network monitoring function
WO2019131002A1 (en) Vehicle control device and electronic control system
JP4966888B2 (en) Double series vehicle control system
JP6802374B2 (en) Vehicle control device and vehicle control system
JP2008047107A (en) Process control
JP7023722B2 (en) Duplex control system
KR20210050573A (en) Vehicle control system
JP6901881B2 (en) Vehicle control device
WO2020149035A1 (en) Vehicle-mounted equipment control device
EP3787236A1 (en) In-vehicle network system
JP7346608B2 (en) Apparatus and method for providing redundant communication within a vehicle architecture and corresponding control architecture
JP6732143B1 (en) Vehicle control device
JP4948583B2 (en) Control system
CN113994273B (en) Apparatus and method for providing redundant communications within a vehicle architecture and corresponding control architecture
JP2018160030A (en) Control device, control method and fault-tolerant device
JP5949538B2 (en) Relay device, communication system, and communication method
JP4566531B2 (en) Serial communication dual system controller
KR20170110213A (en) Field Bus Communication System for Ship
WO2020039739A1 (en) Communication terminal, abnormality check method of communication terminal, and program for communication terminal

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20191120

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200827

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200908

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200908

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20201006

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20201102

R150 Certificate of patent or registration of utility model

Ref document number: 6789159

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313115

R360 Written notification for declining of transfer of rights

Free format text: JAPANESE INTERMEDIATE CODE: R360

R360 Written notification for declining of transfer of rights

Free format text: JAPANESE INTERMEDIATE CODE: R360

R371 Transfer withdrawn

Free format text: JAPANESE INTERMEDIATE CODE: R371

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313115

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350