CN110214312A - 共享备用单元和控制系统 - Google Patents
共享备用单元和控制系统 Download PDFInfo
- Publication number
- CN110214312A CN110214312A CN201780083630.1A CN201780083630A CN110214312A CN 110214312 A CN110214312 A CN 110214312A CN 201780083630 A CN201780083630 A CN 201780083630A CN 110214312 A CN110214312 A CN 110214312A
- Authority
- CN
- China
- Prior art keywords
- unit
- ecu
- program
- swc
- spare
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3668—Software testing
- G06F11/3672—Test management
- G06F11/3692—Test management for test results analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1415—Saving, restoring, recovering or retrying at system level
- G06F11/142—Reconfiguring to eliminate the error
- G06F11/143—Reconfiguring to eliminate the error with loss of software functionality
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/202—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
- G06F11/2023—Failover techniques
- G06F11/2028—Failover techniques eliminating a faulty processor or activating a spare
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/202—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
- G06F11/2023—Failover techniques
- G06F11/203—Failover techniques using migration
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/202—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
- G06F11/2038—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant with a single idle spare processing component
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/202—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
- G06F11/2048—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant where the redundant components share neither address space nor persistent storage
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3668—Software testing
- G06F11/3672—Test management
- G06F11/3688—Test management for test execution, e.g. scheduling of test suites
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
- B60R16/023—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
- B60R16/0231—Circuits relating to the driving or the functioning of the vehicle
- B60R16/0232—Circuits relating to the driving or the functioning of the vehicle for measuring vehicle parameters and indicating critical, abnormal or dangerous conditions
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/029—Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
- B60W2050/0292—Fail-safe or redundant systems, e.g. limp-home or backup systems
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/029—Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
- B60W2050/0297—Control Giving priority to different actuators or systems
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/04—Monitoring the functioning of the control system
- B60W2050/041—Built in Test Equipment [BITE]
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/04—Monitoring the functioning of the control system
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/04—Monitoring the functioning of the control system
- B60W50/045—Monitoring control system parameters
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0706—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
- G06F11/0715—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in a system implementing multitasking
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0706—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
- G06F11/0736—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
- G06F11/0739—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
Abstract
在共享备用ECU(101)中,诊断部(132)诊断多个ECU的异常,该多个ECU为了发挥单独的功能,执行根据功能而不同的程序。加载部(135)从预先存储有多个程序的存储器加载与由诊断部(132)检测到异常的ECU即异常单元执行的程序相同的程序。执行部(131)通过执行由加载部(135)加载的程序,代替异常单元而发挥与异常单元的功能相同的功能。
Description
技术领域
本发明涉及共享备用单元和控制系统。
背景技术
在市售的汽车上搭载的ECU中追加有自我诊断功能。“ECU”是Electronic ControlUnit(电子控制单元)的缩写。故障发生瞬间的数据被存储,在维修时作为参考资料。在向ECU的输入信号发生了异常的情况下,通过将输入信号切换成存储在ECU内的标准值或基准值,能够使车行驶而确保功能安全。当ECU发生异常时,通过将输出切换成基于备用IC的固定信号,能够使车行驶而确保功能安全。“IC”是Integrated Circuit(集成电路)的缩写。
近年来,在国家推进开发的自动驾驶系统中,从防止事故的观点出发,非常重视安全方面的设计。现在的汽车本身就是一个非常复杂的系统。为了确保安全性,已制定出作为汽车用的国际安全标准的ISO 26262。在ISO26262中规定有对功能安全进行系统性管理的框架。在汽车的系统、硬件和软件等级上规定了产品开发过程。在这个框架中,以基于汽车特有的风险的方式规定了风险阶段。用ASIL对系统的结构要素进行了整理。“ASIL”是Automotive Safety Integrity Level(汽车安全完整性等级)的缩写。
关于基于ASIL的功能分类,在非专利文献1中介绍了定位即行情观的例子。例如,转弯功能中的辅助丧失和行驶功能的驱动力丧失是ASIL A以上的比较低的等级。另一方面,停车功能的制动功能丧失和转弯功能的转向锁定被定位在ASIL C以上的重大等级。要求考虑到汽车的各种功能的风险管理的设计。
特别是作为自动驾驶系统,在安装作为控制处理的中枢的ECU时,为了即使一部分硬件发生故障也不会无法控制,与航天火箭和飞行器同样,采用了多重系统的结构。即使多重系统中的1个系统发生故障,只要剩余的1个系统能够正常动作,则ECU就能够继续执行处理。该ECU一般被称作ADAS ECU。“ADAS”是Advanced Driver Assistance System(先进驾驶辅助系统)的缩写。
图15表示自动驾驶系统的多重系统的结构例。图中的2个判断ECU 311是进行自动驾驶的路径判定处理的ECU,构成双重系统。2个判断ECU 311的输出信息由切换器361进行比较。在不一致的情况下判定为故障,发生故障的判断ECU 311被从CAN 711断开。“CAN”是Controller Area Network(控制器区域网络)的缩写。图中的3个控制ECU 211是进行引擎和方向盘的控制的ECU,构成三重系统。3个控制ECU 211的输出信息由切换器261进行比较。在不一致的情况下,按照少数服从多数的方式,将少数的控制ECU 211判定为故障并从CAN711断开。
在自动驾驶系统以外的用途中,汽车也开始搭载多个ECU。近年来,搭载的ECU的数量也有显著的增加倾向。例如,用于环境对策的排气削减及低油耗化的引擎控制、用于应对事故的高度安全功能的气囊控制、行人检测系统和制动辅助功能,以及用于给驾驶员提供方便性的ETC(注册商标)和汽车导航系统等许多新的ECU已经被相继添加。“ETC”是Electronic Toll Collection System(电子收费系统)的缩写。
ECU开始承担重要的功能。但是,如果为了应对故障而单纯地使多个ECU系统多重化,则无法避免硬件成本的大幅增加。
以下,示出作为多重系统的事例而公开的网站信息。
在非专利文献2记载的技术中安装有如下功能:基本的子系统为多重系统,如果单个系统发生故障,则其他系统进行补充。该技术中的ECU具有故障安全机构,该故障安全机构即使在万一发生故障的情况下,也一定向安全的方向进行处理。
在非专利文献3中,介绍了汽车线控转向控制的三重系统ECU。成为基于由3台ECU实现的少数服从多数的、包含退缩和继续在内的故障操作的安全架构。
在非专利文献4中记载有:开发一种ECU,能够在传感器或行驶控制ECU内的微型计算机发生故障或失控的情况下检测异常,自动地断开故障系统,防止异常操作。
在非专利文献5记载的技术中,ECU由A系统CPU和B系统CPU构成。“CPU”是CentralProcessing Unit(中央控制单元)的缩写。A系统CPU和B系统CPU基于相同的输入信息通过相同的程序进行运算。运算结果被存储在各个系统的存储器中。存储在存储器中的运算结果由FS比较电路检查。“FS”是Fail Safe(失败安全)的缩写。一致状态持续中,FS继电器成为接通状态,是输出状态。在发生不一致的情况下,FS继电器成为断开状态,成为输出切断状态。
以下,示出扩展地采用多重系统的专利文献。
在专利文献1中记载有与引擎ECU的多重化相关的技术。在该技术中,不仅引擎ECU被单纯地多重化,而且引擎ECU相互分担功能,在故障时动态地改变功能。
在专利文献2记载的技术中,针对多个执行系统节点,分别准备规格不同的多个待机系统节点。在1个执行系统节点发生了障碍的情况下,选择去除障碍原因的待机系统节点,选择出的待机系统节点交接数据处理。
在专利文献3记载的技术中,同一网络上的双重系统结构的计算机的一方监视另一方,在发生障碍时将另一方断电而从网络断开。
现有技术文献
专利文献
专利文献1:日本特开2016-71771号公报
专利文献2:日本特开2007-207219号公报
专利文献3:日本特开2013-232142号公报
非专利文献
非专利文献1:“用于使开发车载系统时使用的软件工具符合ISO 26262的要求事项的作业项目的提取和考察”、[online]、2013年2月,独立行政法人信息处理推进机构,[2017年1月10日检索],互联网<URL:http://ww.ipa.go.jp/files/0000026859.pdf〉
非专利文献2:“自动驾驶”、[online]、一般财团法人日本汽车研究所、[2017年1月10日检索]、互联网<URL:http://ww.jari.or.jp/tabid/111/Default.aspx〉
非专利文献3:金子贵信,中村英夫,《高度驾驶辅助系统中的安全架构的调查》,[online],2015年6月,JARI Research Journal,[2017年1月10日检索],互联网<URL:http://ww.jari.or.jp/Portals/0/resource/JRJ_q/JRJ20150607_q.pdf〉
非专利文献4:青木啓二,《面向自动驾驶技术的开发动向与实用化的课题》,[online],2014年1月24日,ISIT汽车电子研究会,[2017年1月10日检索],互联网<URL:http://ww.car-electronics.jp/files/2013/11/CEW14_aoki.pdf〉
非专利文献5:“自动驾驶/队列行驶技术的研究开发”,[online],国立研究开发法人新能量·产业技术综合开发机构,[2017年1月10日检索],互联网<URL:http://ww.nedo.go.jp/content/100095912.pdf>
发明内容
发明要解决的课题
在以往的汽车系统中,为了应对故障时,进行了将重要的ECU系统多重化的设计。然而,近年来,ECU的数量有显著增加的趋势。因此,如果对多个ECU系统进行多重化,则无法避免硬件成本的大幅增加。
作为具体的硬件,除了ECU的微型计算机之外,搭载基板、网络接口等外围设备、网络缆线、箱体等也会增加。布线也会增加,布线设置、制作及维护的工时增加。这将导致汽车价格上涨,增加使用者的负担。
由于搭载电子设备的数量增加,因此消耗的电力也增加。这导致需要增大要搭载的电池容量。
本发明的目的在于,能够以较少的硬件实现ECU实质的多重化。
用于解决课题的手段
本发明一个方式的共享备用单元具备:诊断部,其诊断多个电子控制单元的异常,该多个电子控制单元为了发挥单独的功能,执行根据功能而不同的程序;加载部,其从预先存储有多个程序的存储器加载与由所述诊断部检测出异常的电子控制单元即异常单元执行的程序相同的程序;以及执行部,其通过执行由所述加载部加载的程序,代替所述异常单元而发挥与所述异常单元的功能相同的功能。
发明效果
在本发明中,共享备用单元能够动态地代替各ECU。因此,即使不针对一个一个的ECU单独准备备用单元,也能够实现各ECU实质的多重化。即,根据本发明,能够以较少的硬件实现ECU实质的多重化。
附图说明
图1是表示实施方式1的控制系统的结构的框图。
图2是表示实施方式1的控制系统的硬件结构的框图。
图3是表示实施方式1中的多任务的周期处理的例子的图。
图4是表示实施方式1的共享备用ECU的结构的框图。
图5是表示实施方式1的向共享备用ECU的处理交接例的图。
图6是表示实施方式1的共享备用ECU内的管理表的例子的表。
图7是表示实施方式1的共享备用ECU的动作的流程图。
图8是表示实施方式1的共享备用ECU的避让对象SWC选定处理的步骤的流程图。
图9是表示实施方式2的共享备用ECU内的管理表的例子的表。
图10是表示实施方式2的共享备用ECU的避让对象SWC选定处理的步骤的流程图。
图11是表示实施方式3的共享备用ECU的结构的框图。
图12是表示实施方式3的向共享备用ECU的处理交接例的图。
图13是表示实施方式3中的油门踏板和引擎节气门的输出控制曲线的例子的曲线图。
图14是表示实施方式3的共享备用ECU的动作的流程图。
图15是表示现有的自动驾驶系统的多重系统的结构例的框图。
具体实施方式
以下,使用附图对本发明的实施方式进行说明。在各图中,对相同或相当的部分标注相同的标号。在实施方式的说明中,对于相同或相当的部分,适当省略或简化说明。另外,本发明并不限定于以下说明的实施方式,可以根据需要进行各种变更。例如,也可以组合实施以下说明的实施方式中的2个以上的实施方式。或者,也可以部分地实施以下说明的实施方式中的1个实施方式或2个以上的实施方式的组合。
实施方式1
使用图1~图8对本实施方式进行说明。
***结构的说明***
参照图1,对本实施方式的控制系统100的结构进行说明。
控制系统100具有为了发挥单独的功能执行根据功能而不同的程序的多个电子控制单元以及可代替这多个电子控制单元中的任意电子控制单元的共享备用单元。
在本实施方式中,控制系统100相当于自动驾驶系统。
控制系统100具有控制ECU 201和判断ECU 301作为多个电子控制单元。判断ECU301是为了发挥判断行驶路径的功能而执行判断SWC 302的电子控制单元,该判断SWC 302是进行驾驶路径的判断处理的程序。“SWC”是Software Component(软件组件)的缩写。控制ECU 201是为了发挥控制引擎或方向盘的功能而执行控制SWC 202的电子控制单元,该控制SWC 202是进行引擎或方向盘的控制处理的程序。
控制系统100具有共享备用ECU 101作为共享备用单元。共享备用ECU 101是在控制ECU 201和判断ECU 301中的任意一方发生故障时作为备用而发挥功能的共享备用单元。
在实际的情况下,为了应对多个ECU的故障,在整个系统中准备多个共享备用ECU101。即使在第1共享备用ECU 101自身发生故障时,也能够向第2共享备用ECU 101和第3共享备用ECU 101切换。即,控制系统100只要具备至少一个共享备用单元即可,但在本实施方式中,作为多个共享备用单元,不仅具备图1所示的共享备用ECU 101,而且具备1个以上的其他共享备用ECU 101。
共享备用ECU 101经由切换器144而与CAN 701连接。切换器144具有将共享备用ECU 101从CAN 701断开的功能。
控制ECU 201经由切换器251而与CAN 701连接。切换器251具有将控制ECU 201从CAN 701断开的功能。在控制ECU 201发生故障时,使用切换器251将控制ECU 201从CAN 701断开。
判断ECU 301经由切换器351而与CAN 701连接。切换器351具有将判断ECU 301从CAN 701断开的功能。在判断ECU 301发生故障时,使用切换器351将判断ECU 301从CAN 701断开。
另外,CAN 701也可以置换成LIN、FlexRay(注册商标)或Ethernet(注册商标)等其他种类的网络。“LIN”是Local Interconnect Network(局域互联网)的缩写。CAN 701有时还复杂地结合有其他类型的网络。多个CAN 701的网络系统有时还经由网关或网络系统切换开关而相互连接。作为网络系统例子,存在包含引擎和转向控制设备的动力传动系统、包含汽车导航和汽车音频的多媒体系统、包含电动窗和电动座椅的主体系统以及包含各种传感器和致动器的开关/传感器系统。
在本实施方式中,不使一个一个的ECU多重化,而在这些ECU中共享能够在故障时利用的共享备用ECU 101,从而能够降低硬件成本的增加。
共享备用ECU 101具有切换功能102、分析功能103、加载功能104和诊断功能105。切换功能102是切换作为备用对象的ECU的功能。分析功能103是分析CAN消息的功能。加载功能104是解压并加载SWC的压缩映像的功能。诊断功能105是诊断外部的ECU的异常的功能。共享备用ECU 101通过这些功能而在存储器402上启动在备用对象ECU上搭载的必要最小限度的SWC组,执行备用处理。具体而言,共享备用ECU 101在代替控制ECU 201时启动控制SWC 111。共享备用ECU 101在代替判断ECU 301时启动判断SWC 121。共享备用ECU 101在OS启动后待机,使得在发生故障时能够立即执行继续处理用的SWC。“OS”是OperatingSystem(操作系统)的缩写。
在使用共享备用ECU 101时,故障ECU的网络接口被切断或被切换,或者故障ECU的电源被切断。
需要在正常动作时预先准备备用时的继续处理所需的故障ECU的状态和学习的信息。这可以使用任意的方法,但在本实施方式中,使用将这样的信息避让到远离故障ECU的独立存储区域的方法。具体而言,控制ECU 201从存储器502读取控制SWC 202的处理交接所需的信息。控制ECU 201通过发送功能204将读取到的信息经由CAN 701发送到共享备用ECU101。共享备用ECU 101接收从控制ECU 201发送的信息。共享备用ECU 101将接收到的信息存储在存储器402中。同样地,判断ECU 301从存储器602读取判断SWC 302的处理交接所需的信息。判断ECU 301通过发送功能304将读取到的信息经由CAN 701发送到共享备用ECU101。共享备用ECU 101接收从判断ECU 301发送的信息。共享备用ECU 101将接收到的信息存储在存储器402中。
在本实施方式中,准备共享备用ECU 101接收来自监视对象ECU的故障检测信号的结构。具体而言,存在接收错误检测信号的结构、接收心跳信号的结构、接收自我诊断电路等的信息的结构。
在本实施方式中,性能比较差的共享备用ECU 101并不执行全部故障ECU的软件,而是优先执行继续行驶所需的软件。因此,共享备用ECU 101基于ASIL管理SWC,选择要执行的SWC。根据本实施方式,可以不准备与多个ECU的多重化相匹配的共享备用单元。
在本实施方式中,为了能够由共享备用ECU 101在有限的存储器容量内选择性地启动多个ECU的SWC,共享备用ECU 101压缩保持存储器展开映像,在必要时解压而进行SWC的交接。具体而言,共享备用ECU 101在代替控制ECU 201时,将控制SWC 111的压缩映像114解压而启动控制SWC 111。共享备用ECU 101在代替判断ECU 301时,对判断SWC 121的压缩映像124进行解压而启动判断SWC 121。
参照图2对控制系统100的硬件结构进行说明。
共享备用ECU 101是微型计算机。共享备用ECU 101具备处理器401,并且具备存储器402和CAN接口403等其他硬件。处理器401经由信号线而与其他硬件连接,并控制这些其他硬件。
处理器401是进行各种处理的IC。具体而言,处理器401是CPU。
存储器402例如是闪存或RAM。“RAM”是Random Access Memory(随机存取存储器)的缩写。
CAN接口403包含接收数据的接收器和发送数据的发送机。CAN接口403例如是通信芯片或NIC。“NIC”是Network Interface Card(网络接口卡)的缩写。CAN接口403可以替换成USB接口。“USB”是Universal Serial Bus(通用串行总线)的缩写。
共享备用ECU 101可以具备代替处理器401的多个处理器。各个处理器与处理器401同样是进行各种处理的IC。
切换器144具备FPGA 411。“FPGA”是Field-Programmable Gate Array(现场可编程门阵列)的缩写。
控制ECU 201是微型计算机。控制ECU 201具备处理器501,并且具备存储器502和CAN接口503等其他硬件。处理器501经由信号线而与其他硬件连接,并控制这些其他硬件。
处理器501、存储器502以及CAN接口503与共享备用ECU 101的处理器401、存储器402和CAN接口403同样。
在存储器502中存储有控制SWC 202。控制SWC 202被读入到处理器501并由处理器501执行。
切换器251具备FPGA 511。
判断ECU 301是微型计算机。判断ECU 301具备处理器601,并且具备存储器602和CAN接口603等其他硬件。处理器601经由信号线而与其他硬件连接,并控制这些其他硬件。
处理器601、存储器602以及CAN接口603与共享备用ECU 101的处理器401、存储器402和CAN接口403同样。
在存储器602中存储有判断SWC 302。判断SWC 302被读入到处理器601并由处理器601执行。
切换器351具备FPGA 611。
参照图3,对ECU中的组入软件的一般的安装方式进行说明。在本实施方式中,该安装方式既适用于备用对象ECU,也适用于共享备用ECU 101。在图3中,涂黑的箭头表示任务执行中的状态,涂白的箭头表示任务待执行的状态。
基本上,如图3所示,组入OS上的应用软件大多在多任务环境下执行。即使在发生故障时处理中断,只要将单独的任务变量、共有变量或全局变量以及应用的行为的学习存储信息等当前信息存储在存储器402中,就能够通过再利用存储着的信息,在共享备用ECU101中继续执行处理。
另外,如果应用软件的执行周期为几十毫秒左右的比较短的周期,则容易在共享备用ECU 101中继续执行处理。具体而言,可以使用在处理开始时刻作为一组输入用存储信息而集中避让的信息。但是,当再次开始执行在周期的中途停止的应用软件的处理的情况下,由于从最初重新开始该周期的处理,因而产生延迟。
由于在每个周期的输入用存储信息的避让中途也存在应用软件停止的可能性,因而准备避让完成标志。能够通过该标志的ON/OFF来判定避让是否完成。如果保有2个输入用存储信息的避让区域,则即使在1个区域的避让写入未完成的情况下,通过使用位于另一个区域的过去的信息,能够将影响限制在一个周期的延迟。
参照图4,说明本实施方式的共享备用ECU 101的结构。
共享备用ECU 101作为功能要素具备执行部131、诊断部132、生成部133、管理表134、加载部135、解压部136、第1存储部137、第2存储部139、分析部140和通信部141。执行部131具备第1处理部142和第2处理部143。执行部131、诊断部132、生成部133、加载部135、解压部136和分析部140的功能通过软件来实现。管理表134、第1存储部137和第2存储部139由存储器402实现。通信部141由CAN接口403实现。
存储器402中存储有作为实现执行部131、诊断部132、生成部133、加载部135、解压部136和分析部140的功能的程序的共享备用程序。共享备用程序被读入到处理器401并由处理器401执行。在存储器402中还存储有OS。处理器401在执行OS的同时执行共享备用程序。另外,也可以将共享备用程序的一部分或全部组入到OS。
表示执行部131、诊断部132、生成部133、加载部135、解压部136和分析部140的处理结果的信息、数据、信号值和变量值存储在存储器402或处理器401内的寄存器或高速缓冲存储器中。
共享备用程序也可以存储在磁盘和光盘等移动记录介质中。
***动作的说明***
参照图1,对本实施方式的共享备用ECU 101的动作概要进行说明。共享备用ECU101的动作相当于本实施方式的备用方法。
共享备用ECU 101通过分析功能103调查经由CAN 701到达的CAN消息,通过诊断功能105检测判断ECU 301或控制ECU 201的故障。作为其他方式,也可以安装如下方式:判断ECU 301或控制ECU 201具有自我诊断功能,将发生故障时的CAN消息发送给共享备用ECU101。
共享备用ECU 101在检测到故障时,通过切换功能102参照管理表134,选定应避让的SWC,取出相应的SWC的压缩映像。具体而言,共享备用ECU 101取出判断SWC 121的压缩映像124或控制SWC 111的压缩映像114。共享备用ECU 101通过加载功能104在执行存储器上展开压缩映像而执行相应的SWC。具体而言,共享备用ECU 101执行判断SWC 121或控制SWC11。
共享备用ECU 101向切换器351或切换器251发送切断命令的CAN消息,使得发生故障的判断ECU 301或控制ECU 201不进行异常的CAN消息的发送和接收处理。
参照图4,对共享备用ECU 101的动作进行详细说明。
通信部141与CAN 701连接,进行CAN消息的发送和接收处理。通信部141将接收到的CAN消息传递给第1处理部142和分析部140。第1处理部142进行SWC启动和执行时的接收CAN消息的处理。第2处理部143将SWC启动和执行时的发送CAN消息传递给通信部141。生成部133将对切换器144的发送CAN消息传递给通信部141。
分析部140将与诊断对象ECU有关的信息传递给诊断部132。诊断部132判定ECU是否发生了故障。当诊断部132检测到故障时,将故障检测信息传递给执行部131和生成部133。分析部140将诊断对象ECU正常动作时的CAN消息信息传递给第2存储部139进行避让。
当由诊断部132报告故障时,执行部131参照管理表134选定需要避让的SWC。执行部131从第1存储部137取入必要的存储器映像,通过解压部136进行解压。执行部131通过加载部135在存储器402上展开该存储器映像。然后,执行部131启动并执行该SWC。
这样,在本实施方式中,诊断部132诊断多个ECU的异常。加载部135从预先存储有多个程序的存储器402加载与由诊断部132检测到异常的ECU即异常单元执行的程序相同的程序。执行部131通过执行由加载部135加载的程序,代替异常单元而发挥与异常单元的功能相同的功能。
作为具体例,设诊断部132检测到控制ECU 201的异常。在这种情况下,加载部135从存储器402加载控制SWC 111,该控制SWC 111是与控制ECU 201执行的控制SWC 202相同的程序。执行部131通过执行由加载部135加载的控制SWC 111,代替控制ECU 201而发挥控制引擎或方向盘的功能。
通信部141从多个ECU接收表示多个ECU在执行程序的过程中使用的状态变量的单独的消息。执行部131基于在由诊断部132检测到异常之前由通信部141从异常单元接收到的消息,设定在执行由加载部135加载的程序时使用的状态变量。
作为具体例,设诊断部132检测到控制ECU 201的异常。在该情况下,执行部131基于在由诊断部132检测到异常之前由通信部141从控制ECU 201接收到的CAN消息所示的控制SWC 202的状态变量,设定由加载部135加载的控制SWC 111的状态变量。
另外,关于准备有管理表134这一点,由于SWC的选定处理本身能够通过程序的if语句等分支处理来实现,因此,表并不一定是必须的。但是,由于SWC的设定处理的安装和维护变得容易,因此,推荐表。具体而言,用图5的例子说明SWC是如何选定的。
在图5的例子中,作为正常动作的ECU,存在高性能的ECU1、高性能的ECU2以及中性能的ECU3这3个。ECU1和ECU2分别对应于控制ECU 201。ECU3对应于判断ECU 301。在ECU1中,在ASIL D对应OS 805上,作为控制SWC 202,ASIL D SWC 11、ASIL D SWC 12和ASIL D SWC13这3个进行动作。在ECU2中,在ASIL C对应OS 815上,作为控制SWC 202,ASIL C SWC 21、ASIL B SWC 22和ASIL A SWC 23这3个进行动作。在ECU3中,在ASIL B对应OS 825上,作为判断SWC 302,ASIL B SWC 31、ASIL A SWC 32和QM SWC 33这3个进行动作。
与此相对,作为共享备用ECU 101,存在低性能的BECU1和BECU2这2个。在BECU1中,ASIL D对应OS8 34处于执行中。在BECU2中,ASIL D对应OS8 44处于执行中。
在图5的例子中,不是在ECU完全发生故障时,而是在由于温度上升而产生ECU1、ECU2、ECU3发生故障的可能性时,进行向共享备用ECU 101的避让。作为避让对象而选定的SWC是ASIL为C以上的SWC。前提是ASIL在B以下的SWC即使不动作也可以避免最坏的情况。
设由于温度上升而产生ECU1、ECU2、ECU3发生故障的可能性或者ECU1、ECU2、ECU3实际上发生了故障。此时,ECU1内的ASIL D SWC 11和ASIL D SWC12避让到BECU1,ECU1内的ASIL D SWC 13和ECU2内的ASIL C SWC 21避让到BECU2。结果,在BECU1中,在ASIL D对应OS8 34上执行ASIL D SWC41和ASIL D SWC 42作为控制SWC 111。在BECU2中,在ASIL D对应OS8 44上执行ASIL D SWC51和ASIL C SWC52作为控制SWC 111。其他ASIL为B以下的SWC不会被避让。
图6表示在图5的例子中使用的管理表134的例子。
对于正常动作的ECU1、ECU2、ECU3,按照ID而登记有作为备用对象的SWC的ID和作为避让目的地的共享备用ECU 101的ID。“ID”是Identifier(标识符)的缩写。在作为备用对象的各SWC的ID上标注有ASIL信息。关于作为避让目的地的共享备用ECU 101的ID,由于共享备用ECU 101存在2个,因而管理表134的记录也被分配2个。对于重要的ASIL的SWC,必须分配共享备用ECU 101作为避让目的地。分配给低等级的ASIL的SWC的避让目的地为1个或0个。
在上述故障的例子中,备用对象的SWC中的SWC 11和SWC 13被分配给BECU1,SWC13和SWC 21被分配给BECU2。作为分配规则,在共享备用ECU 101中动作的SWC分别为2个。在故障时分配作为避让目的地的共享备用ECU 101,当避让处理完成时,制定管理表134内的作为避让目的地的共享备用ECU 101的使用标志。由此,在下次ECU发生故障时,能够不选定相同的共享备用ECU 101而选定空闲的共享备用ECU 101。
这样,在本实施方式中,在异常单元是执行2个以上的程序的ECU的情况下,执行部131根据按照每个程序预先定义的优先度,选定使加载部135加载的程序。在由诊断部132检测到2个以上的ECU的异常的情况下,执行部131根据按照ECU与程序的每个组合预先定义的优先度,选定使加载部135加载的程序。作为优先度的定义,可以使用任意的定义,但如上所述,在本实施方式中使用ASIL。
参照图7,对在共享备用ECU 101内动作的共享备用程序的处理步骤进行说明。在汽车中,一旦引擎启动并接通电源,则共享备用ECU 101的备用对应处理持续执行到因引擎停止而断电为止。
当通过接通电源而开始备用对应处理时,在步骤S11中,执行内部信息的初始化处理。通信部141开始取得CAN 701上的CAN消息。
在步骤S12中,分析部140取入作为避让方的各ECU的当前信息并将其保存在第2存储部139中。使作为避让方的各ECU始终向共享备用ECU 101发送当前信息,但为了降低消息尺寸,也可以压缩并发送当前信息本身并由共享备用ECU 101进行解压。
在步骤S13中,诊断部132根据分析部140对CAN消息的分析结果,确认是否在任意的ECU中发生了故障。如果没有发生故障,则再次从步骤S12的处理开始,反复进行循环处理。诊断部132不仅根据接收到的CAN消息的分析结果来检测故障的发生,而且在应该定期接收的CAN消息没有到达的情况下,也检测为发生故障。
在发生了故障的情况下,在步骤S14中,执行部131确认该共享备用ECU 101是否对应于避让目的地。如果不对应于避让目的地,则从步骤S12的处理开始反复进行循环处理。
在该共享备用ECU 101对应于避让目的地的情况下,在步骤S15中,执行部131参照管理表134执行选定避让对象SWC的避让对象SWC选定处理。在此,图8表示避让对象SWC选定处理的步骤。在步骤S31中,执行部131从管理表134取得作为备用对象的SWC的ID。在步骤S32中,执行部131从作为备用对象的SWC的ID中选定ASIL在必要等级以上的ID。在步骤S33中,对于选定的作为备用对象的SWC的ID,执行部131使管理表134内的使用标志为ON。
另外,更新管理表134的使用标志本来需要通过CAN消息等还传递给其他共享备用ECU 101的管理表134,但由于其他共享备用ECU 101也同样能够检测故障,因而不需要传递,能够进行更新应对。
在步骤S16中,加载部135从第1存储部137取得在步骤S15中选定的SWC的存储器映像。加载部135通过解压部136将取得的存储器映像解压。加载部135在存储器402上展开解压后的存储器映像。
在步骤S17中,执行部131操作与避让方ECU连接的切换器,将避让方ECU从CAN 701断开。具体而言,如果避让方ECU是控制ECU 201,则执行部131通过通信部141向切换器251发送指示断开的CAN消息。如果避让方ECU是判断ECU 301,则执行部131通过通信部141向切换器351发送指示断开的CAN消息。
在步骤S18中,执行部131启动在步骤S16中展开的SWC的处理。该SWC的处理作为与备用对应处理的主循环处理相独立的其他任务而启动。
当展开的SWC的处理开始时,在步骤S21中,执行部131执行已展开的SWC的主循环处理。
***实施方式的效果的说明***
在本实施方式中,共享备用ECU 101能够动态地代替各ECU。因此,即使不针对一个一个的ECU分别准备备用单元,也能够实现各ECU实质的多重化。即,根据本实施方式,能够以较少的硬件实现ECU实质的多重化。
在本实施方式中,共享备用ECU 101具有执行部131、诊断部132、加载部135、第1存储部137、第2存储部139、分析部140和通信部141。通信部141与网络连接而进行消息的发送和接收处理。分析部140分析接收到的消息。诊断部132根据消息的分析结果判定其他ECU是否发生了故障。执行部131的第1处理部142当检测到其他多个ECU中的任意ECU的故障时,从用于继续执行的必要等级而并非必须全部地,单独地选定并启动用于备用的代替软件组件。执行部131的第2处理部143生成向连接有发生故障的ECU的切换器发送的切断指示消息并传递给通信部141。第1存储部137存储有其他多个ECU的代替软件组件的执行存储器映像。加载部135将执行存储器映像加载到执行存储器上。
根据本实施方式,通过备用ECU的共享化,能够减少使ECU为多重系统时增加的ECU的总数。结果,能够抑制硬件生产成本和功耗的增大。
在本实施方式中,作为备用对象的SWC,可以选定继续行驶所需的重要的SWC,限定在共享备用ECU 101上进行动作。因此,可以不必采用高性能的ECU作为备用ECU,因此能够进一步抑制硬件生产成本和功耗的增大。
在使ECU为多重系统的情况下,如果是双重系统,则由于2个ECU的故障而导致处理失败。如果是三重系统,则由于3个ECU的故障而导致处理失败。但是,通过共享备用ECU,能够相互利用多个备用ECU。因此,与固定的多重系统ECU相比,连续运转的耐久性提高。
在使ECU为多重系统的情况下,在硬件结构上,将多重的ECU集中配置在基板上。在假定由于汽车的局部故障,该多重系统ECU基板由于温度上升等而损坏的情况下,多重系统ECU有可能同时全部损坏。与此相比,共享备用ECU 101能够分散配置在分开的基板上,因此,能够避免卷入到局部的故障中而完全损坏。结果,与集中型的多重系统ECU的结构相比,连续运转的耐久性提高。
***其它结构***
在本实施方式中,控制系统100相当于自动驾驶系统,作为变形例,控制系统100也可以作为自动驾驶系统以外的系统来安装。特别是控制系统100搭载非常多的微型计算机,通过电子控制进行动作处理,需要针对ECU的故障的对策,多重系统的结构可用于假定的全部机械装置。作为其例子,存在航天火箭、人造卫星、飞行器、电车、船舶、潜水艇、工作设备、工程设备、医用设备和机器人等。
在本实施方式中,通过软件实现执行部131、诊断部132、生成部133、加载部135、解压部136和分析部140的功能,作为变形例,也可以通过软件和硬件的组合来实现执行部131、诊断部132、生成部133、加载部135、解压部136和分析部140的功能。即,执行部131、诊断部132、生成部133、加载部135、解压部136和分析部140的功能的一部分由专用电子电路实现,其余部分可以通过软件来实现。
专用电子电路例如是单个电路、复合电路、程序化的处理器、并列程序化的处理器、逻辑IC、GA、FPGA或ASIC。“GA”是Gate Array(门阵列)的缩写。“ASIC”是ApplicationSpecific Integrated Circuit(面向特定用途的集成电路)的缩写。
处理器401、存储器402和专用电子电路统称作“处理线路”。即,执行部131、诊断部132、生成部133、加载部135、解压部136和分析部140的功能无论通过软件来实现,还是通过软件和硬件的组合来实现,执行部131、诊断部132、生成部133、加载部135、解压部136和分析部140的功能都通过处理线路来实现。
也可以将共享备用ECU 101的“ECU”改写成“程序”、“程序产品”或“记录有程序的计算机能读取的介质”,将执行部131、诊断部132、生成部133、加载部135、解压部136和分析部140的“部”改写成“步骤”或者“处理”。
实施方式2
关于本实施方式,使用图9和图10主要说明与实施方式1的差异。
在实施方式1中,将各软件组件的继续执行的必要度等级存储在管理表134中。在本实施方式中,在该管理表134中还存储有执行各软件组件时的CPU负荷。共享备用ECU 101根据CPU负荷的计算结果从多个ECU的软件组件中选定单独的软件组件,以使CPU负荷的总容量不超过上限。
***结构的说明***
本实施方式的控制系统100的结构与图1和图2所示的实施方式1的结构相同。
本实施方式的共享备用ECU 101的结构与图4所示的实施方式1的结构相同。
***动作的说明***
图9表示一并管理SWC的执行CPU负荷的管理表134的例子。
在图9的例子中,与图6的例子相比,新增加了CPU负荷等级的列。能够以CPU负荷不超过能够避让的共享备用ECU 101的CPU负荷容量的方式进行CPU负荷的累积。在图9的例子中,在原本具备自动驾驶用的5个ECU的车载设备系统中,准备有3个共享备用ECU 101。作为自动驾驶用的5个ECU,准备有发挥道路状况认知功能的ECU1、发挥周边状况认知功能的ECU2、发挥行驶路径生成功能的ECU3、发挥转向控制功能的ECU4和发挥引擎控制功能的ECU5。这些ECU的各SWC被分配给作为避让目的地的共享备用ECU 101。作为3个共享备用ECU101,存在BECU1、BECU2、BECU3。设BECU1、BECU2、BECU3的最大CPU负荷容量分别为60、40、40。
作为CPU负荷的计算例子,对ECU3、ECU4发生故障时的SWC避让进行说明。在ECU3中,执行SWC 31、SWC 32、SWC 33。在ECU4中,执行SWC41、SWC 42、SWC43。设ASIL C的SWC和ASIL D的SWC向共享备用ECU 101避让。相应的避让对象SWC为SWC 31、SWC41、SWC 42这3个。SWC 31、SWC41、SWC 42的CPU负荷等级分别为40、20、10。
首先,对重要的ASIL D的SWC 31和SWC41的避让进行处理。作为避让目的地的共享备用ECU 101的第1候补都是BECU1。BECU1的负荷上限为60。SWC 31、SWC41的负荷合计为60。因此,SWC 31、SWC41两者都能够避让到BECU1中。检查SWC 31、SWC41的使用标志,以表示SWC31、SWC41分别避让到BECU1中。此后,即使进一步发生故障,由于BECU1处于满的状态,因此,也不能进行SWC的追加避让。
接着,对SWC 42的避让进行处理。作为避让目的地的共享备用ECU 101的第1候补是BECU2。BECU2的负荷上限为40。SWC 42的单独负荷为10。因此,SWC 42能够毫无问题地避让到BECU2中。检查SWC 42的使用标志,以表示SWC 42避让到BECU2中。此后,即使进一步发生故障,作为BECU2的负荷余量而残留有30,能够相应地进行SWC的追加避让。
这样,在本实施方式中,在异常单元是执行2个以上的程序的ECU的情况下,执行部131根据按照每个程序而预先预测出的处理器401的负荷大小,选定加载到加载部135的程序。在由诊断部132检测到2个以上的ECU的异常的情况下,执行部131根据按照ECU与程序的每个组合而预先预测出的处理器401的负荷大小,选定加载到加载部135的程序。
在共享备用ECU 101内动作的共享备用程序的处理步骤除了步骤S15的避让对象SWC选定处理以外,与图7所示的实施方式1相同。在此,图10表示避让对象SWC选定处理的步骤。步骤S41和步骤S42的处理分别与图8的步骤S31和步骤S32的处理相同。在步骤S43中,执行部131仅选定在步骤S42中选定的作为备用对象的SWC的ID中的能够根据当前的CPU负荷状况而避让的ID。在步骤S44中,对于在步骤S43中选定的备用对象的SWC的ID,执行部131使管理表134内的使用标志为ON。
***实施方式的效果的说明***
在实施方式1中,预先规定有在作为避让目的地的共享备用ECU 101上执行的避让方ECU的SWC的个数。SWC的执行CPU负荷从轻到重而存在有多种多样。因此,在本实施方式中,在管理表134中还管理SWC的执行CPU负荷。即,一边对作为执行对象的SWC计算CPU负荷一边追加作为执行对象的SWC,以使CPU负荷在CPU性能的上限值内。因此,能够有效地利用共享备用ECU 101的CPU。
实施方式3
关于本实施方式,使用图11~图14主要说明与实施方式1的差异。
在实施方式1中,执行用于备用的代替软件组件所需的当前信息作为网络上的消息而从其他多个ECU发送给共享备用ECU 101,并存储在第2存储部139中。在本实施方式中,不是将这样的当前信息作为网络上的消息来发送,而是分析在现有的网络发送接收处理中发送的网络上的消息的内容,并利用分析结果进行处理的交接。具体而言,共享备用ECU101在不具有故障ECU的当前信息的状态下,根据故障ECU的软件组件在故障前输出的信息,通过外插法预测故障ECU的软件组件在这之后应该输出的信息。
通过CAN消息等使备用时的继续处理所需的故障ECU的状态和学习的信息避让到共享备用ECU 101的独立的存储区域会导致消耗CAN 701的通信频带。因此,在本实施方式中,共享备用ECU 101不将执行中SWC的状态信息定期地避让到避让区域,而是回收已发送的现有的CAN消息,通过外插法预测输出控制值,进行继续处理。
***结构的说明***
参照图11,说明本实施方式的共享备用ECU 101的结构。
共享备用ECU 101作为功能要素还具有计算部138。计算部138的功能通过软件来实现。
***动作的说明***
在实施方式1中,如基于图4说明的那样,从分析部140向第2存储部139传递作为诊断对象的ECU正常动作时的CAN消息信息并避让。在实施方式1中,将继续执行SWC所需的内部变量信息搭载在CAN消息上从各ECU发送到共享备用ECU 101。因此,追加发送用于向共享备用ECU 101避让的CAN消息。由于CAN 701的通信频带的消耗增大,因而需要估计通信负荷,以使消耗量不会变得过大。
在本实施方式中,不需要追加的CAN消息的通信。基本上,利用从现有的SWC发送的CAN消息,在共享备用ECU 101内进行分析,当生成避让SWC的输出CAN消息时,计算通过外插法预测的输出值。
这样,在本实施方式中,通信部141从多个ECU接收这多个ECU作为程序的执行结果而发送的单独的消息。执行部131基于在由诊断部132检测到异常之前由通信部141从异常单元接收到的消息,估计异常单元在执行程序的过程中使用的状态变量。执行部131根据估计出的状态变量,设定在执行由加载部135加载的程序时使用的状态变量。
作为具体例,设诊断部132检测到控制ECU 201的异常。在该情况下,执行部131根据在由诊断部132检测到异常之前由通信部141从控制ECU 201接收到的CAN消息所示的控制SWC 202的输出值,估计控制SWC 202的状态变量。执行部131按照估计出的状态变量设定由加载部135加载的控制SWC 111的状态变量。
以下,作为具体例子,举出图12所示的电子控制节气门系统150。该电子控制节气门系统150是将汽车的油门踏板和引擎153的节气门之间电连接进行控制的机构。油门踏板和节气门的输出控制具有基本的控制模式。因此,几乎没有不规则的情况,计算上的预测容易。例如,如图13所示,作为引擎153的状态,有被称作Overventuri的状态。这是指在引擎153未达到充分的转速的时刻,即使将节气门全开,吸入的空气流的密度也不会增加,填充效率差的状态。为了避免这样的状态,在电子控制节气门系统150中,根据节气门的开度和引擎153的转速等计算输出控制值,以限制打开油门时的节气门的开度。
电子控制节气门系统150具备控制系统100、作为输入装置的油门踏板传感器152和电动机传感器154以及成为输出装置的引擎153。控制系统100具备高性能的ECU1作为控制ECU 201。控制系统100具备低性能的BECU1作为共享备用ECU 101。在ECU1中,执行控制引擎153的输出的控制SWC 202。在发生故障时,执行BECU1上的控制引擎153的输出的控制SWC111。计算通过外插法预测出的输出值的预测SWC 157也在BECU1上执行。
根据来自油门踏板传感器152的对ECU1的控制SWC 202的输入值X、来自电动机传感器154的对ECU1的控制SWC 202的输入值Y以及控制SWC 202的内部变量信息S求出向引擎153的输出值Z的计算式f如下。
Z=f(X,Y,S)
在BECU1中,继续执行ECU1的控制SWC 202所需的内部变量信息S未通过实施方式1那样的CAN消息提供,而是未知的。通过外插法预测输出值Z的计算式g如下。
Z=g(X,Y)
计算部138在ECU1的控制SWC 202刚开始避让之后的某个固定期间,使用计算式g求出引擎输出值Z。基本上,内部变量信息S根据过去的状态求出,因而在上述固定期间之后,能够重新估计内部变量信息S,能够计算计算式f中的输出值Z。
作为计算式g,使用表示二次曲线或三次曲线等近似曲线的式子。可以使用现有的方法,通过多项式或微分方程式等计算输出值Z。在本实施方式中,计算方法本身可以是以往的方法,但其特征在于,为了避让时的交接,根据CAN消息的输出值预测交接时刻的输出值。
参照图14,对在共享备用ECU 101内动作的共享备用程序的处理步骤进行说明。
步骤S51的处理与图7的步骤S11的处理相同。步骤S53~步骤S58的处理与图7的步骤S13~步骤S18的处理相同。
与图7所示的实施方式1的不同之处主要在于以下两点。
在图7的步骤S12中,分析部140通过追加的CAN消息从作为避让方的各ECU取得包含内部变量信息的当前信息。该追加的CAN消息是发往共享备用ECU 101的消息。另一方面,在步骤S52中,分析部140从正常的CAN消息取得向引擎153等设备的输出值。该正常的CAN消息不是发往共享备用ECU 101的消息,而是发往引擎153等设备的消息。
在图7的步骤S21中,执行部131执行已展开的SWC的主循环处理。该主循环处理在避让开始时刻立即开始。另一方面,在本实施方式中,在固定期间内执行基于外插法的输出控制处理,之后,开始已展开的SWC的主循环处理。具体而言,在步骤S61中,执行部131判定是否经过了固定期间。如果没有经过固定期间,则在步骤S62中,计算部138通过计算式g计算输出值。执行部131将由计算部138计算出的输出值发送给引擎153等设备。如果经过了固定期间,则在步骤S62中,执行部131执行已展开的SWC的主循环处理。在该主循环处理中,执行部131通过计算式f计算输出值。执行部131将计算出的输出值发送给引擎153等设备。
***实施方式的效果的说明***
在本实施方式中,不是将备用时继续处理所需的故障ECU的状态和学习的信息通过追加的CAN消息等,避让到共享备用ECU 101的独立存储区域,而是回收原来发送的CAN消息,通过外插法预测输出值。因此,能够削减追加的CAN消息的通信成本,能够避免网络带宽的消耗增大。
在本实施方式中,能够回收原来发送的CAN消息,通过外插法预测输出控制值,进行继续处理,由此,在原来不存在备用ECU的系统结构中,不需要现有ECU的SWC的修改。由于能够通过外置来进行追加共享备用ECU 101的开发,因而开发效率提高。
实施方式4
关于本实施方式,主要说明与实施方式1的差异。
在实施方式1中,共享备用ECU 101的内置CPU的核数为1个。在这种情况下,除非采用管理程序结构,否则不能执行多个OS。ECU的单核的硬件性能也以执行单一的OS为前提。在本实施方式中,作为共享备用ECU 101,可以使用内置有多核CPU的微型计算机或内置有多处理器的微型计算机。因此,在使AUTOSAR(注册商标)以及Linux(注册商标)等不同的OS动作的情况下,能够继续执行分别对应的SWC。
实施方式5
关于本实施方式,主要说明与实施方式1的差异。
在实施方式1中,共享备用ECU 101在1个网络系统内共享。虽然未图示,但在本实施方式中,多个网络系统通过网关连接。在该网关的位置配置有能够在多个网络系统中共享的共享备用ECU 101。如果在通信速度最快的网络系统上配置共享备用ECU 101,则通信效率提高。
实施方式6
关于本实施方式,主要说明与实施方式1的差异。
一般而言,在CAN上连接有大量的ECU,担心CAN ID被耗尽。因此,在本实施方式中,不是对多个共享备用ECU 101单独分配CAN ID,而是对多个共享备用ECU 101整体分配一个CAN ID。总之,共享备用ECU 101组监视现有的ECU组,为了在紧急时进行备用对应处理而共享1个ID。在备用对应处理开始之后,为了进行各个共享备用ECU 101之间的识别,将与CANID不同的本地的ID作为应用信息存储在CAN消息内。
这样,在本实施方式中,在多个ECU作为程序的执行结果而发送的单独的消息中包含根据ECU而不同的标识符作为发送方地址。在多个共享备用ECU 101作为执行部131的程序执行结果而发送的单独的消息中,包含共同的标识符作为发送方地址,并且包含根据共享备用ECU 101而不同的标识符作为发送数据的一部分。作为根据ECU而不同的标识符和共同的标识符,可以分配任意的地址体系的ID,但如上所述,在本实施方式中分配CAN ID。作为根据共享备用ECU 101而不同的标识符,也可以分配任意的地址体系的ID,但如上所述,在本实施方式中分配与CAN ID不同的本地ID。
实施方式7
关于本实施方式,主要说明与实施方式1的差异。
在实施方式1中,各种ECU和共享备用ECU 101与CAN 701等车辆用的有线网络连接。但是,随着近年来汽车ECU的急剧增加,CAN的网线布线一般变得非常拥挤,在汽车制造上,网线布线在各处也变得困难。因此,在本实施方式中,在与以往相同的网络通信中使用与以往相同的有线网络,另一方面,在故障时的避让处理这样限定用途中使用无线网络。即,必要的避让用通信处理经由无线网络进行。
作为具体的例子,多个共享备用ECU 101被集中收纳在一个箱中。在该箱与基干CAN上的无线网关之间进行无线通信。通过采用这样的结构,能够在不考虑布线的情况下,在现有的汽车网络系统的成品上附加设置共享备用ECU 101用箱。
标号说明
100:控制系统;101:共享备用ECU;102:切换功能;103:分析功能;104:加载功能;105:诊断功能;111:控制SWC;114:压缩映像;121:判断SWC;124:压缩映像;131:执行部;132:诊断部;133:生成部;134:管理表;135:加载部;136:解压部;137:第1存储部;138:计算部;139:第2存储部;140:分析部;141:通信部;142:第1处理部;143:第2处理部;144:切换器;150:电子控制节气门系统;152:油门踏板传感器;153:引擎;154:电动机传感器;157:预测SWC;201:控制ECU;202:控制SWC;204:发送功能;211:控制ECU;251:切换器;261:切换器;301:判断ECU;302:判断SWC;304:发送功能;311:判断ECU;351:切换器;361:切换器;401:处理器;402:存储器;403:CAN接口;411:FPGA;501:处理器;502:存储器;503:CAN接口;511:FPGA;601:处理器;602:存储器;603:CAN接口;611:FPGA;701:CAN;711:CAN;805:ASIL D对应OS;815:ASIL C对应OS;825:ASIL B对应OS;834:ASIL D对应OS;844:ASIL D对应OS。
Claims (9)
1.一种共享备用单元,该共享备用单元具备:
诊断部,其诊断多个电子控制单元的异常,该多个电子控制单元为了发挥单独的功能,执行根据功能而不同的程序;
加载部,其从预先存储有多个程序的存储器加载与由所述诊断部检测出异常的电子控制单元即异常单元执行的程序相同的程序;以及
执行部,其通过执行由所述加载部加载的程序,代替所述异常单元而发挥与所述异常单元的功能相同的功能。
2.根据权利要求1所述的共享备用单元,其中,
在所述异常单元是执行2个以上的程序的电子控制单元的情况下,所述执行部根据按照每个程序而预先定义的优先度选定使所述加载部加载的程序。
3.根据权利要求1或2所述的共享备用单元,其中,
在由所述诊断部检测到2个以上的电子控制单元的异常的情况下,所述执行部根据按照电子控制单元与程序的每个组合而预先定义的优先度,选定使所述加载部加载的程序。
4.根据权利要求1~3中的任意一项所述的共享备用单元,其中,
在所述异常单元是执行2个以上的程序的电子控制单元的情况下,所述执行部根据按照每个程序而预先预测出的处理器负荷大小选定使所述加载部加载的程序。
5.根据权利要求1~4中的任意一项所述的共享备用单元,其中,
在由所述诊断部检测到2个以上的电子控制单元的异常的情况下,所述执行部根据按照电子控制单元与程序的每个组合而预先预测出的处理器负荷大小,选定使所述加载部加载的程序。
6.根据权利要求1~5中的任意一项所述的共享备用单元,其中,
该共享备用单元还具备通信部,该通信部从所述多个电子控制单元接收表示所述多个电子控制单元在执行程序的过程中使用的状态变量的单独的消息,
所述执行部根据在由所述诊断部检测到异常之前由所述通信部从所述异常单元接收到的消息,设定在执行由所述加载部加载的程序时使用的状态变量。
7.根据权利要求1~5中的任意一项所述的共享备用单元,其中,
该共享备用单元还具有通信部,该通信部从所述多个电子控制单元接收所述多个电子控制单元作为程序执行结果而发送的单独的消息,
所述执行部根据在由所述诊断部检测到异常之前由所述通信部从所述异常单元接收到的消息,估计所述异常单元在执行程序的过程中使用的状态变量,按照估计出的状态变量设定在执行由所述加载部加载的程序时使用的状态变量。
8.一种控制系统,该控制系统具有:
权利要求1~7中的任意一项所述的共享备用单元;以及
所述多个电子控制单元。
9.根据权利要求8所述的控制系统,其中,
该控制系统具备分别作为所述共享备用单元的多个共享备用单元,
在所述多个电子控制单元作为程序执行结果而发送的单独的消息中,包含根据电子控制单元而不同的标识符作为发送方地址,
在所述多个共享备用单元作为所述执行部的程序执行结果而发送的单独的消息中,包含共同的标识符作为发送方地址,并且包含根据共享备用单元而不同的标识符作为发送数据的一部分。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2017/002340 WO2018138775A1 (ja) | 2017-01-24 | 2017-01-24 | 共用バックアップユニットおよび制御システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110214312A true CN110214312A (zh) | 2019-09-06 |
Family
ID=59720427
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780083630.1A Withdrawn CN110214312A (zh) | 2017-01-24 | 2017-01-24 | 共享备用单元和控制系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20190340116A1 (zh) |
| JP (1) | JP6189004B1 (zh) |
| CN (1) | CN110214312A (zh) |
| DE (1) | DE112017006451B4 (zh) |
| WO (1) | WO2018138775A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113556373A (zh) * | 2020-04-26 | 2021-10-26 | 华为技术有限公司 | 一种代理服务方法、装置及系统 |
| CN114596716A (zh) * | 2020-11-19 | 2022-06-07 | 常州江苏大学工程技术研究院 | 基于云计算平台的悬架道路工况识别系统及控制方法 |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6719433B2 (ja) * | 2017-09-22 | 2020-07-08 | 株式会社日立製作所 | 移動体の制御システムおよび移動体の制御方法 |
| JP6753388B2 (ja) * | 2017-11-13 | 2020-09-09 | 株式会社デンソー | 自動運転制御装置、車両の自動運転制御方法 |
| US11003153B2 (en) * | 2017-11-17 | 2021-05-11 | Intel Corporation | Safety operation configuration for computer assisted vehicle |
| WO2019131002A1 (ja) * | 2017-12-25 | 2019-07-04 | 日立オートモティブシステムズ株式会社 | 車両制御装置および電子制御システム |
| JP6861302B2 (ja) * | 2017-12-25 | 2021-04-21 | 日立Astemo株式会社 | 車両制御装置および電子制御システム |
| JP2021067960A (ja) * | 2018-02-14 | 2021-04-30 | 日立Astemo株式会社 | 車両監視システム |
| JP7010087B2 (ja) * | 2018-03-16 | 2022-01-26 | トヨタ自動車株式会社 | プログラム更新管理装置、プログラム更新管理方法、およびプログラム |
| JP6922852B2 (ja) * | 2018-06-12 | 2021-08-18 | 株式会社デンソー | 電子制御装置および電子制御システム |
| JP7048439B2 (ja) | 2018-07-03 | 2022-04-05 | 本田技研工業株式会社 | 制御装置、制御ユニット、制御方法、およびプログラム |
| CN117891603A (zh) * | 2018-12-19 | 2024-04-16 | 祖克斯有限公司 | 使用延迟确定和cpu使用率确定的安全系统操作 |
| DE102019104948A1 (de) * | 2019-02-27 | 2020-08-27 | Zf Active Safety Gmbh | Kommunikationssystem und Verfahren zur Kommunikation für ein Kraftfahrzeug |
| JP7211487B2 (ja) * | 2019-03-13 | 2023-01-24 | 日本電気株式会社 | 車両制御システム、車両の制御方法及び車両の制御プログラム |
| CN111891134B (zh) * | 2019-05-06 | 2022-09-30 | 北京百度网讯科技有限公司 | 自动驾驶处理系统和片上系统、监测处理模块的方法 |
| WO2020261519A1 (ja) * | 2019-06-27 | 2020-12-30 | 三菱電機株式会社 | 電子制御ユニット及びプログラム |
| WO2021002164A1 (en) * | 2019-07-02 | 2021-01-07 | Hitachi Automotive Systems, Ltd. | Method and control system for operating ecus of vehicles in fails-safe mode |
| JP6779354B1 (ja) | 2019-10-30 | 2020-11-04 | 三菱電機株式会社 | 制御通信システム |
| JP2022065788A (ja) * | 2020-10-16 | 2022-04-28 | 株式会社日立製作所 | 制御システム及びその制御方法 |
| JP2022114880A (ja) * | 2021-01-27 | 2022-08-08 | 株式会社オートネットワーク技術研究所 | 車載装置、及び状態変化検出方法 |
| CN113905101B (zh) * | 2021-12-06 | 2022-02-25 | 北京数字小鸟科技有限公司 | 多控制核心备份的视频处理设备 |
| JP2024046295A (ja) * | 2022-09-22 | 2024-04-03 | 株式会社アドヴィックス | 制動制御装置及びソフトウェア更新方法 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001022708A (ja) * | 1999-07-05 | 2001-01-26 | Mitsubishi Electric Corp | 車両用ネットワークシステム |
| JP4399987B2 (ja) * | 2001-01-25 | 2010-01-20 | 株式会社デンソー | 車両統合制御におけるフェイルセーフシステム |
| JP3864747B2 (ja) * | 2001-10-09 | 2007-01-10 | 株式会社デンソー | 冗長系信号処理装置 |
| JP2004318498A (ja) * | 2003-04-16 | 2004-11-11 | Toyota Central Res & Dev Lab Inc | フェールセーフ装置 |
| JP4410661B2 (ja) * | 2004-11-09 | 2010-02-03 | 株式会社日立製作所 | 分散制御システム |
| JP4920391B2 (ja) | 2006-01-06 | 2012-04-18 | 株式会社日立製作所 | 計算機システムの管理方法、管理サーバ、計算機システム及びプログラム |
| JP2010285001A (ja) * | 2009-06-09 | 2010-12-24 | Toyota Motor Corp | 電子制御システム、機能代行方法 |
| JP2011213210A (ja) * | 2010-03-31 | 2011-10-27 | Denso Corp | 電子制御装置及び制御システム |
| JP5966181B2 (ja) | 2012-05-01 | 2016-08-10 | 株式会社日立製作所 | 二重化装置および電源停止方法 |
| JP6032174B2 (ja) * | 2013-10-24 | 2016-11-24 | トヨタ自動車株式会社 | 通信制御装置 |
| JP2016071771A (ja) | 2014-10-01 | 2016-05-09 | 株式会社デンソー | 制御装置及び監視装置 |
-
2017
- 2017-01-24 DE DE112017006451.1T patent/DE112017006451B4/de not_active Expired - Fee Related
- 2017-01-24 JP JP2017528595A patent/JP6189004B1/ja not_active Expired - Fee Related
- 2017-01-24 CN CN201780083630.1A patent/CN110214312A/zh not_active Withdrawn
- 2017-01-24 WO PCT/JP2017/002340 patent/WO2018138775A1/ja active Application Filing
- 2017-01-24 US US16/470,171 patent/US20190340116A1/en not_active Abandoned
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113556373A (zh) * | 2020-04-26 | 2021-10-26 | 华为技术有限公司 | 一种代理服务方法、装置及系统 |
| WO2021218741A1 (zh) * | 2020-04-26 | 2021-11-04 | 华为技术有限公司 | 一种代理服务方法、装置及系统 |
| CN114596716A (zh) * | 2020-11-19 | 2022-06-07 | 常州江苏大学工程技术研究院 | 基于云计算平台的悬架道路工况识别系统及控制方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JPWO2018138775A1 (ja) | 2019-02-14 |
| DE112017006451B4 (de) | 2020-07-16 |
| DE112017006451T5 (de) | 2019-09-12 |
| JP6189004B1 (ja) | 2017-08-30 |
| WO2018138775A1 (ja) | 2018-08-02 |
| US20190340116A1 (en) | 2019-11-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110214312A (zh) | 共享备用单元和控制系统 | |
| EP3451174B1 (en) | Vehicle control system verification device, vehicle control system, and vehicle control system verification method | |
| WO2020153122A1 (ja) | 車両セキュリティ監視装置、方法及びプログラム | |
| US8452465B1 (en) | Systems and methods for ECU task reconfiguration | |
| CN109305197B (zh) | 列车控制方法、系统和车载控制器 | |
| JP5123321B2 (ja) | 機器制御装置及び機器制御プログラム | |
| KR20000057625A (ko) | 고장 회복 자동차 제어 시스템 및 방법 | |
| CN109937164A (zh) | 用于监测具有自动化行驶功能的机动车的方法和用于执行该方法的设备 | |
| KR101960400B1 (ko) | 제동 시스템 | |
| US9619146B2 (en) | Work machine including a controller controlling operation of different component of work machine | |
| US11769355B2 (en) | Fault diagnosis support device | |
| KR102125922B1 (ko) | 차량용 제어 장치 | |
| KR101802858B1 (ko) | 자동차용 통합데이터 처리 제어 시스템 및 방법 | |
| CN111273634A (zh) | 至少部分自动的机动车的控制系统的配置 | |
| JP7037748B2 (ja) | 電子制御ユニット及び接続認証方法 | |
| US11318929B2 (en) | Electronic control apparatus, electronic control system, and electronic control method | |
| CN102713858A (zh) | 信息处理装置的联机调试系统及联机调试方法 | |
| JP7176488B2 (ja) | データ保存装置、及びデータ保存プログラム | |
| JP5682388B2 (ja) | 障害診断方法及び障害診断システム | |
| CN112550313A (zh) | 通过云计算的容错嵌入式汽车应用程序 | |
| CN116533757A (zh) | 电压故障判断方法、装置、存储介质、控制器及车辆 | |
| JP6979630B2 (ja) | 監視装置、監視方法及びプログラム | |
| US20230267213A1 (en) | Mitigation of a manipulation of software of a vehicle | |
| US11743073B1 (en) | Systems and methods for collecting telematics data from telematics devices | |
| US20230118735A1 (en) | In-vehicle network system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20190906 |