CN110667599A - 控制装置、控制单元、控制方法及存储介质 - Google Patents

Abstract

提供利用能够重构的运算器的灵活的构造而仅在故障发生时实现故障应对专用的功能的控制装置、控制单元、控制方法及存储介质。控制装置具备：判定部，其基于监视对象的状态，判定所述监视对象是否产生了故障；运算器，其能够重构功能；存储部，其存储有用于使所述运算器重构与所述监视对象的动作相关联的功能的软件；以及处理部，在由所述判定部判定为所述监视对象产生了故障的情况下，所述处理部将所述软件从所述存储部读出并反映于所述运算器。

Description

控制装置、控制单元、控制方法及存储介质

技术领域

本发明涉及控制装置、控制单元、控制方法及存储介质。

背景技术

以往，公开了由FPGA(Field Programmable Gate Array)代表的、与能够重构的器件(运算器)相关的技术(例如，日本特开2001-136058号公报)。在专利文献1记载的技术中，基于存在于FPGA上的故障信息和逻辑电路数据，判定是否需要进行故障避免，若需要进行故障避免，则以FPGA的空闲部分替代故障部分的功能，对获取的逻辑电路数据加以局部的变更，生成避免故障的逻辑电路数据。

然而，在以往的技术中，以预先准备了逻辑电路的空闲区域为前提，在资源的空闲不充分的情况下有可能不能进行适宜的故障避免。

发明内容

本发明的技术方案是考虑这样的情形而完成的，其目的之一在于，提供一种利用能够重构的运算器的灵活的构造而仅在故障发生时实现故障应对专用的功能的控制装置、控制单元、控制方法及存储介质。

用于解决课题的方案

本发明的控制装置、控制单元、控制方法及存储介质采用了以下的结构。

(1)：本发明的一技术方案的控制装置具备：判定部，其基于监视对象的状态，判定所述监视对象是否产生了故障；运算器，其能够重构功能；存储部，其存储有用于使所述运算器重构与所述监视对象的动作相关联的功能的软件；以及处理部，在由所述判定部判定为所述监视对象产生了故障的情况下，所述处理部将所述软件从所述存储部读出并反映于所述运算器。

(2)：在上述(1)的技术方案中，在由所述判定部判定为所述监视对象产生了故障的情况下，所述处理部向反映了在没有由所述判定部判定为所述监视对象产生了故障的情况下所述运算器执行的其他软件的所述运算器的存储器区域，覆写用于重构与所述监视对象的动作相关联的功能的软件。

(3)：在上述(2)的技术方案中，在没有由所述判定部判定为所述监视对象产生了故障的情况下，所述运算器基于多个所述其他软件而进行动作，在向所述运算器的其他软件使用的存储器区域覆写所述软件的情况下，所述处理部参照针对所述其他软件设定着的第一优先级信息，向存储被设定了比进行覆写的所述软件低的优先级的所述其他软件的存储器区域，覆写用于重构与所述监视对象的动作相关联的功能的软件。

(4)：在上述(3)的技术方案中，所述控制装置还具备第一优先级没定部，该第一优先级设定部基于所述监视对象的状态来设定所述第一优先级信息。

(5)：在上述(1)的技术方案中，在所述存储部中，存储有在由所述判定部判定为所述监视对象产生了故障的情况下被读出并反映于所述运算器的多个所述软件，在由所述判定部判定为所述监视对象产生了故障的情况下，所述处理部参照针对多个所述软件设定着的第二优先级信息，将被设定了高的优先级的软件优先从所述存储部读出并反映于所述运算器。

(6)：在上述(5)的技术方案中，所述控制装置还具备第二优先级设定部，该第二优先级设定部基于所述监视对象的状态来设定所述第二优先级信息。

(7)：在本发明的一技术方案的控制单元包括2个以上的技术方案1记载的控制装置，各控制装置监视的所述监视对象是与本装置不同的其他控制装置。

(8)：在上述(1)的技术方案中，所述监视对象是进行自动驾驶车辆的车辆控制的装置，用于重构与所述监视对象的动作相关联的功能的软件是用于实现使所述自动驾驶车辆限定性地行驶的退缩功能的软件。

(9)：在上述(8)的技术方案中，在没有由所述判定部判定为所述监视对象产生了故障的情况下，所述运算器基于多个其他软件而进行动作，所述处理部根据所述自动驾驶车辆的周边状况，从所述存储部存储的多个软件中选择调出的所述软件。

(10)：在上述(8)的技术方案中，所述处理部根据所述自动驾驶车辆的周边状况，将用于重构与所述监视对象的动作相关联的功能的软件阶段性地从所述存储部读出并反映于所述运算器。

(11)：在上述(8)的技术方案中，所述处理部在向所述运算器的现有功能使用的存储器区域覆写其他软件的情况下，参照针对所述其他软件设定着的第一优先级信息，向存储被设定了低的优先级的所述其他软件的存储器区域，覆写用于重构与所述监视对象的动作相关联的功能的软件，所述控制装置还具备第一优先级设定部，该第一优先级设定部将实施与所述自动驾驶车辆的驾驶控制相关的处理的所述其他软件的第一优先级较高设定。

(12)：在上述(11)的技术方案中，所述第一优先级设定部将在乘客手动驾驶所述自动驾驶车辆时进行动作的所述其他软件的第一优先级较高设定。

(13)：在上述(8)的技术方案中，所述处理部在向所述运算器的其他软件使用的存储器区域覆写所述软件的情况下，参照针对所述软件设定着的第二优先级信息，

所述控制装置还具备第二优先级设定部，该第二优先级设定部将实施与所述自动驾驶车辆的驾驶控制相关的处理的所述软件的第二优先级较高设定。

(14)：在上述(13)的技术方案中，所述第二优先级设定部基于在通过所述退缩功能使车辆的停止后是否被使用，来变更所述软件的第二优先级。

(15)：在上述(13)的技术方案中，所述第二优先级设定部将在所述自动驾驶车辆的乘客手动驾驶所述自动驾驶车辆时不进行动作的所述软件的第二优先级较低设定。

(16)：在上述(7)的技术方案中，所述监视对象是进行自动驾驶车辆的车辆控制的装置，用于重构与所述监视对象的动作相关联的功能的软件是用于实现使所述自动驾驶车辆限定性地行驶的退缩功能的软件。

(17)：本发明的一技术方案的控制方法使计算机进行如下处理：基于监视对象的状态，判定所述监视对象是否产生了故障；以及在判定为所述监视对象产生了故障的情况下，将用于使能够重构功能的运算器重构与所述监视对象的动作相关联的功能的软件从存储部读出并反映于所述运算器。

(18)：在上述(17)的技术方案中，所述控制方法使所述计算机进行如下处理：在判定为所述监视对象产生了故障之前的期间，在使所述运算器反映了其他软件的状态下使所述运算器进行动作；以及当判定为所述监视对象产生了故障时，向所述运算器的存储器区域覆写用于重构与所述监视对象的动作相关联的功能的软件。

(19)：本发明的一技术方案的存储介质，其存储有如下程序，该程序使计算机进行如下处理：基于监视对象的状态，判定所述监视对象是否产生了故障；以及在判定为所述监视对象产生了故障的情况下，将用于使能够重构功能的运算器重构与所述监视对象的动作相关联的功能的软件从存储部读出并反映于所述运算器。

发明效果

根据(1)～(19)的技术方案，利用能够重构的运算器的灵活的构造而仅在故障发生时实现故障应对专用的功能。

另外，根据(2)的技术方案，只要利用条件不成立，则在运算器就没有写入规定功能，所以，能够选择搭载于控制装置的最佳的运算器。

另外，根据(3)～(4)的技术方案，能够基于第一优先级来使规定功能的生成顺序最佳化，所以，能够缩短生成时间，提早实现规定功能。

另外，根据(5)～(6)的技术方案，能够基于第二优先级来使规定功能的生成顺序最佳化，所以，能够缩短生成时间，提早实现规定功能。

另外，根据(8)及(15)的技术方案，仅在自动驾驶的精度降低了的情况下生成退缩功能，所以，能够在使运算器小型化的同时，还实现退缩控制。

附图说明

图1是由两个控制装置构成的控制单元的结构图。

图2是一方的控制装置处于故障状态的情况下的控制单元的结构图。

图3是以往的控制单元的结构图。

图4是示出一方的控制装置成为故障状态之前的、另一方的控制装置的存储器利用状态的一例的图。

图5是示出一方的控制装置成为了故障状态之后的、另一方的控制装置的存储器利用状态的一例的图。

图6是示出由FOF生成部进行的、基于第一优先级生成FOF部的处理的流程的一例的流程图。

图7是示出一方的控制装置成为故障状态之前的、另一方的控制装置的存储器利用状态的一例的图。

图8是示出一方的控制装置成为了故障状态之后、且开始了FOF部的生成之后的另一方的控制装置的存储器利用状态的一例的图。

图9是示出由FOF生成部进行的、基于第二优先级生成FOF部的处理的流程的一例的流程图。

图10是示出由第二优先级设定部设定的FOF部的第二优先级与FOF部的对应关系的图。

图11是示出一方的控制装置成为故障状态之前的、另一方的控制装置的存储器利用状态的一例的图。

图12是示出一方的控制装置成为了故障状态之后的、另一方的控制装置的存储器利用状态的一例的图。

图13是示出一方的控制装置使功能停止了之后的、另一方的控制装置的存储器利用状态的一例的图。

图14是示出由FOF生成部进行的生成FOF部的处理的流程的一例的流程图。

图15是示出实施方式的控制装置的硬件结构的一例的图。

图16是包括实施方式的控制单元(控制装置)的、车辆控制装置的结构图。

图17是自动驾驶控制装置的结构图。

具体实施方式

以下，参照附图，对本发明的控制装置、控制单元、控制方法及存储介质的实施方式进行说明。

<实施方式>

[控制装置的结构]

图1是包括控制装置100-1及控制装置100-2的控制单元1的结构图。图1所示的控制装置100-1及控制装置100-2例如分别进行与控制对象的对象装置TG-1及对象装置TG-2的控制相关的处理。对象装置TG-1与对象装置TG-2既可以是分体的装置，也可以是一体的装置。后者的情况下，对象装置TG-1与对象装置TG-2关于同一装置的不同功能分别进行控制。需要说明的是，在图1的说明中，标号中的连字符及接在其后的数字表示是与哪一个控制装置对应的结构。另外，有时适当省略连字符及接在其后的数字而进行说明。

控制单元1包括2个以上的控制装置100。2个以上的控制装置100互相监视其他控制装置100是否在稳定运转。2个以上的控制装置100既可以具有全都相同的功能，也可以一部分的功能不同。2个以上的控制装置100具有互相补足的功能，以使得即便在一部分的功能与其他控制装置100不同且某个控制装置100由于故障等而脱离了的情况下，通过其他控制装置100，也能够安全地控制控制对象。

控制单元1例如既可以采用热待机形式的冗余结构，也可以采用冷待机形式的冗余结构，还可以经由负荷分散机而进行负荷平衡。

另外，在以下的说明中设为，在控制装置100中，FPGA(Field Programmable GateArray)(后述)的存储器区域被有效活用于控制对象的控制，不具有充分的剩余容量(空闲容量)。

控制装置100例如具备相互监视部102、故障判定部104、FOF(Fail OperationalFunction)生成部106、第一优先级设定部108、第二优先级设定部110、FOF部112及对象控制部114。

相互监视部102以规定的间隔相对于其他控制装置100收发包含通知自身正在正常地动作的信息(或者确认对方正在正常地动作的信息)的心跳(heartbeat)消息，由此监视彼此的动作状态。心跳消息中也可以包括表示控制装置100的控制处理结果的一部分或全部的数据，在该情况下，相互监视部102也可以相互确认控制处理结果的数据。相互监视部102将心跳消息的收发结果向故障判定部104输出。

故障判定部104基于通过相互监视部102实现的来自其他控制装置100的心跳消息的接收结果，判定其他控制装置100是否发生了故障。故障判定部104例如在规定的次数(例如几次(several times))以上连续没有接收到来自其他控制装置100的心跳消息的情况下，判定为其他控制装置100处于故障状态。故障判定部104在判定为其他控制装置100处于故障状态的情况下，向FOF生成部106、第一优先级设定部108及第二优先级设定部110输出表示该意旨的信息。

FOF生成部106根据由故障判定部104输出的信号，从存储部300读出实现FOF功能的程序，使其展开到控制装置100所具备的FPGA的存储器区域而生成FOF部112。所谓FOF，是实施与控制装置100的不良状况相关的对策的专用的功能，例如，是使对象装置TG暂时停止而实现失效保护，使对象装置TG的显示部进行促使修理、更换的警告这样的功能。FOF既可以由单个软件来实现，也可以准备针对每个功能的软件而由多个针对每个功能的软件来实现。FOF在由多个针对每个功能的软件来实现的情况下，通过根据控制对象的周边环境的状态，从外部存储装置选择性地读出适于周边环境的状况的软件来实现。

在以下的说明中，有时将FOF实现的功能称作“退缩功能”。需要说明的是，FOF生成部106是“处理部”的一例，FOF部112是由“用于重构与监视对象的动作相关联的功能的软件”实现的要素的一例。

第一优先级设定部108在由FOF生成部106生成多个FOF部112时，设定生成的优先程度。第一优先级设定部108将设定的优先级向FOF生成部106输出。需要说明的是，第一优先级设定部108既可以预先设定第一优先级，也可以在FOF生成部106的处理即将开始时设定。第一优先级设定部108例如既可以将以连续值表示的优先程度或者“高、中、低”这样的阶段性的优先程度作为第一优先级而设定，也可以作为优先顺序而设定。

第二优先级设定部110为了确保由FOF生成部106生成FOF部112的处理所需的存储器容量，在从控制装置100所具备的现有功能回收作业存储器区域，或者回收确保了现有功能自身的存储器时作为判断材料而使用，设定现有功能的优先级。第二优先级设定部110将设定的优先级向FOF生成部106输出。需要说明的是，第二优先级设定部110既可以预先设定第二优先级，也可以在FOF生成部106的处理即将开始时设定。第二优先级设定部110与第一优先级设定部108同样，例如，既可以将以连续值表示的优先程度、或者“高、中、低”这样的阶段性的优先程度作为第二优先级而设定，也可以作为优先顺序而设定。

需要说明的是，关于第一优先级设定部108和第二优先级设定部110，既可以在控制装置100仅具备任一方，也可以省略双方。

对象控制部114进行与控制装置100的对象装置TG相关的控制。对象控制部114在由FOF生成部106生成FOF部112的情况下，有可能不再实现。

需要说明的是，FOF部112及对象控制部114在控制装置100所包含的FPGA(能够重构的运算器的一例)上实现。FOF部112是仅在其他控制装置100发生了故障时反映于控制装置100的功能，平常时不发挥功能。FOF部112例如通过在检测到监视对象的其他控制装置100的故障的情况下覆写于对象控制部114的展开的存储器区域的一部分而生成，发挥功能直到其他控制装置100的修理或更换时。

[FOF生成]

以下，对生成FOF部112的过程进行说明。需要说明的是，在以下的说明中，关于回收由FOF部112使用的存储器区域的一部分或全部的控制装置100上实现的其他功能，为了方便起见，将对象控制部114—1A称作“功能A”，将对象控制部114-1B称作“功能B”，将对象控制部114-1C称作“功能C”，将对象控制部114—1D称作“功能D”。

图2是控制装置100—1将控制装置100-2判定为故障状态的时机的控制单元1的功能概要图。FOF生成部106-1在由控制装置100-1的故障判定部104-1判定为控制装置100-2处于故障状态的情况下，从存储部300调出构成FOF的初始信息(例如，将软件压缩保存而得到的文件)，保存于控制装置100-1。存储部300既可以是闪存器、HDD(Hard Disk Drive)等存储装置，也可以是能够与控制装置100的控制对象通信的外部服务器。

如上所述，由于在控制装置100-1没有存储器容量的剩余，所以，若不进行通过FOF生成部106实现的存储器区域的调整，则无法生成FOF部112。因此，FOF生成部106—1通过释放其他功能(例如，没有正在执行控制的对象控制部114-1A～114-1C)使用的存储器区域的一部分或全部来确保生成FOF部112-1的存储器容量。此时，FOF生成部106-1基于由第一优先级设定部108-1设定的其他功能的第一优先级，决定使存储器释放的功能、进行释放的存储器的比例，使用释放出的存储器区域来进行部分重构(Partial Reconfiguration)，由此生成FOF部112-1。所谓部分重构，是对于FPGA的一部分(例如，释放出的存储器区域)，一边不停止剩余的FPGA的功能(例如，控制执行中的对象控制部114-1D)地继续执行处理，一边动态地再次设定功能。另外，FOF生成部106-1也可以基于由第二优先级设定部110-1设定的第二优先级，生成FOF部112-1。

[控制单元的比较例]

图3是示出比较例的控制单元1Z的结构图的图。比较例的控制单元1Z由控制装置100Z-1及控制装置100Z-2构成。另外，控制装置100Z具备相互监视部102Z、对象控制部114Z及FOF部112Z。如图3所示，在将FOF部112Z预先设置于控制装置100Z的情况下，即便是平常时，也需要确保存储FOF部112Z的存储器区域。

设想在控制单元1Z进行控制对象装置TG的高负荷的处理的情况下，需要分配给对象控制部114Z的存储器区域变大。该情况下，希望通过尽可能多地分配对象控制部114Z能够使用的存储器区域，来提高对象控制部114Z的处理性能。然而，不得不始终确保存储FOF部112Z的存储器区域，对象控制部114Z能够使用的存储器区域的利用状况可以说是非高效的。或者，使用控制装置100Z的使用者为了使控制装置100Z存储FOF部112Z且提高对象控制部114Z的处理效率，有可能使搭载于控制单元1Z的控制装置100Z的运算器大型化。

与控制装置100Z相比较，本实施方式的控制装置100能够进行在平常时尽可能多地分配对象控制部114能够使用的存储器区域而仅在故障时生成FOF部112这样的高效的运算器利用。另外，使用控制装置100的使用者能够根据控制装置100的平常时的处理量，选择更小型的器件作为搭载控制装置100的最佳的器件。

[考虑了第一优先级的FOF生成]

以下，使用图4及图5，对通过第一优先级设定部108实现的第一优先级的设定规则进行说明。需要说明的是，在以下的说明中，使用图2所示的对象控制部(功能A)114-1A、对象控制部(功能B)114-1B、对象控制部(功能C)114-1C及对象控制部(功能D)114-1D。在以下的说明中，为了方便起见，将对象控制部114-1A称作“功能A”，将对象控制部114—1B称作“功能B”，将对象控制部114-1C称作“功能C”，将对象控制部114-1D称作“功能D”。

图4是示出控制装置100-2成为故障状态之前的、控制装置100-1的FPGA的存储器区域的利用状况的一例的图。图4按功能示出控制装置100-2被判定为处于故障状态之前的、基于功能A、功能B、功能C及功能D的FPGA的存储器区域的利用状况和第一优先级设定部108对各功能设定的优先顺序。在图4所示的时机，假设由功能A、功能B、功能C及功能D使用FPGA的全部存储器区域。第一优先级设定部108例如按各功能的存储器区域的利用率多的顺序设定优先顺序，对功能A设定优先顺序“1”，对功能B设定优先顺序“2”，对功能C设定优先顺序“3”，对功能D设定优先顺序“4”。

图5是示出控制装置100-2成为了故障状态之后的、控制装置100-1的FPGA的存储器区域的利用状况的一例的图。如图5所示，在为了构成FOF部112而需要FPGA的存储器区域的50[％]的情况下，FOF生成部106基于由第一优先级设定部108设定的优先级，选定作为存储器区域的确保对象的功能。在图5的例子中，FOF生成部106通过从全部功能中一点一点释放存储器区域，来确保FOF部112所需的存储器区域。如图5所示，FOF生成部106从优先顺序较低的功能起，以较高的比例释放被分配给本功能的存储器区域，由此确保FOF部112所需的存储器区域。例如，FOF生成部106将在图4所示的状态下40[％]的存储器区域使用率的优先顺序“1”的功能A如图5所示设为30[％]的存储器区域使用率，使原来的4分之1的存储器区域释放。另外，FOF生成部106将在图4所示的状态下10[％]的存储器区域使用率的优先顺序“4”的功能D如图5所示设为1[％]的存储器区域使用率，使原来的10分之9的存储器区域释放。这样，FOF生成部106根据优先顺序调整使各功能释放的存储器区域。

以下，使用图6，说明通过FOF生成部106实现的生成FOF部112的处理的流程。图6是示出通过FOF生成部106实现的生成FOF部112的处理的流程的一例的流程图。需要说明的是，以下的流程图的说明，作为图2所示的结构的通过控制装置100-1实现的处理而进行说明。

首先，相互监视部102—1向监视对象的控制装置100-2发送心跳消息(步骤S100)。接着，故障判定部104-1基于从监视对象的控制装置100-2是否有响应，来判定控制装置100-2是否处于故障状态(步骤S102)。故障判定部104-1在没有判定为控制装置100-2处于故障状态的情况下，在一定时间经过后使处理再次返回步骤S100。故障判定部104—1在判定为控制装置100-2处于故障状态的情况下，使第一优先级设定部108-1设定对象控制部114-1的优先级(步骤S104)。

接着，FOF生成部106-1基于由第一优先级设定部108—1设定的优先级，确保存储器区域(步骤S106)，生成FOF部112—1(步骤S108)。FOF生成部106-1起动生成的FOF部112-1，使处理开始(步骤S110)。以上，结束本流程图的处理的说明。

[第一优先级设定的其他规则]

以下，使用图7及图8，对通过第一优先级设定部108实现的优先级的其他设定规则进行说明。图7是示出控制装置100-2成为故障状态之前的、控制装置100-1的FPGA的存储器区域的利用状况的另一例的图。与图4相比较，图7追加了表示功能的使用状况(Active(使用中)或Inactive(非使用中))的状况栏。另外，在图7中，假设第一优先级设定部108对各功能设定“高”、“中”、“低”中的某一方作为优先级。第一优先级设定部108例如对功能A设定优先级“高”。需要说明的是，在图7的例子中设为，功能B及功能D处于处理执行中(Active)，而功能A及功能C没有进行处理(Inactive)。

图8是示出控制装置100-2成为了故障状态之后的、控制装置100—1的FPGA的存储器区域的利用状况的另一例的图。如图8所示，在为了构成FOF部112而需要FPGA的存储器区域的50[％]的情况下，FOF生成部106基于由第一优先级设定部108设定的优先级及状况，选定作为存储器区域的确保对象的功能。在图8的例子中，FOF生成部106首先从没有正在进行处理的功能A及功能C释放存储器区域。此时，FOF生成部106如图8所示，既可以使功能C的全部存储器区域释放，也可以将存储用于实现功能C的程序的区域也作为释放对象。这是因为，FOF生成部106判断为在由FOF部112发挥功能而控制装置100-2的修理完成之前，功能C不会发挥功能。另一方面，FOF生成部106关于功能A的存储器区域，与功能C不同，保持着一部分的存储器区域被分配了的状态。这是由功能A的优先级为“高”而功能C的优先级为“中”引起的差异。

另外，FOF生成部106在以使功能A及功能C释放出的存储器区域不满足FOF部112的生成所需的存储器区域的情况下，从处理执行中的功能B及功能D也释放存储器区域。不过，即便在生成FOF部112的情况下，关于对象装置TG的控制最低限度所需的功能(例如，在手动操作时必须实现的功能)，FOF生成部106也不会释放全部存储器区域或者删除功能本身。

图9是示出通过FOF生成部106实现的生成FOF部112的处理的流程的另一例的流程图。需要说明的是，图9所示的步骤S200及步骤S202与图6的步骤S100及步骤S102对应，步骤S206与图6的步骤S106对应，步骤S210及步骤S212与图6的步骤S108及S110对应。因此，以下，以步骤S204、S208及S214为中心进行说明。

在步骤S202中判定为处于故障状态的情况下，FOF生成部106设定对象控制部114的第一优先级(步骤S204)。

步骤S208的处理之后，FOF生成部106判定是否处于用于FOF部112的生成的存储器区域仍然不足的状态(步骤S208)。FOF生成部106在判定为存储器区域仍然不足的情况下，从对象控制部114进一步释放存储器区域(步骤S214)。FOF生成部106在没有判定为存储器区域仍然不足的情况下，使处理前进至步骤S212。以上，结束本流程图的处理的说明。

[考虑了第二优先级的FOF生成]

以下，对通过第二优先级设定部110实现的第二优先级的设定规则、以及FOF生成部106参照第二优先级而调整生成FOF部112的时机的情况下的处理进行说明。需要说明的是，在以下的例子中，设为如图2所示，控制单元1的控制装置100-2成为故障状态，控制装置100-1通过生成FOF部112而利用对象装置TG的退缩功能进行控制来进行说明。需要说明的是，在以下的说明中，也使用图2的对象控制部(功能A)114-1A、对象控制部(功能B)114—1B、对象控制部(功能C)114—1C及对象控制部(功能D)114-1D来进行说明。

图10是示出由第二优先级设定部110设定的FOF部112的第二优先级与FOF部112的对应关系的图。第二优先级设定部110例如在像“高、中、低”那样阶段性地设定第二优先级的情况下，设为对FOF部112的功能1设定了第二优先级“高”，对功能2设定了第二优先级“低”。

图11是示出控制装置100-2成为故障状态之前的、控制装置100-1的存储器利用状态的一例的图。在图11所示的阶段中，在控制装置100-1中，针对对象装置TG的功能A正在实施紧急控制功能，正在使用存储器区域的70[％]。紧急控制功能例如是进行用于对象装置TG的暂时停止、安全确认的控制的功能，是在中途不应该停止的控制。另外，在图11所示的阶段中，在控制装置100-1中，设为针对对象装置TG的功能B、功能C及功能D正在实施控制功能，但是也可以在中途停止。

在图11所示的时机，控制单元1的控制装置100—1判定为控制装置100-2处于故障状态，关于控制装置100-1的剩余的存储器区域，功能B、功能C及功能D正在使用。第一优先级设定部108在上述的使用状况下，对功能A设定第一优先级“高”，对功能B、功能C及功能D设定第一优先级“低”。

此时，FOF生成部106基于对象装置TG的使用状况，决定使用FPGA的存储器区域的70[％]而生成2个功能(功能1及功能2)作为FOF部112。FOF生成部106参照第一优先级设定部108设定的第一优先级，选择为了生成FOF部112而从第一优先级低的功能B、功能C及功能D释放存储器区域。另外，由于释放的存储器区域最大为30[％]，所以，FOF生成部106决定先生成FOF部112的功能1，在紧急控制功能结束之后再生成FOF部112的功能2。

图12是示出控制装置100-2成为了故障状态之后的、控制装置100-1的存储器利用状态的一例的图。FOF生成部106从功能B、功能C及功能D逐渐释放存储器区域，开始FOF部112的功能1的生成，分配从功能B、功能C及功能D释放出的存储器区域。在该时机，设为功能A结束了控制。

图13是示出控制装置100-2成为了故障状态之后、且开始了FOF部112的生成之后的控制装置100-1的存储器利用状态的一例的图。FOF生成部106使功能A所使用的存储器区域释放，生成FOF部112的功能1及功能2，使该处理开始。此时，若存储器区域存在剩余，则FOF生成部106既可以如图13所示那样分配给对象控制部114(功能B、功能C及功能D)，也可以追加分配给FOF部112。

另外，FOF生成部106在存在进一步生成的FOF部112、且已经生成的FOF部112结束了基于其功能的处理而不会再次进行同样的处理的情况下，也可以删除已经生成的FOF部112，生成新的FOF部112。

[流程图]

图14是示出FOF生成部106参照第一优先级生成FOF部112的处理的流程的一例的流程图。需要说明的是，图14所示的步骤S300及步骤S302与图6的步骤S100及S102对应。因此，以下，对步骤S304以后进行说明。

故障判定部104在步骤S302的处理中判定为处于故障状态的情况下，使第二优先级设定部110设定FOF部112的各功能的第二优先级(步骤S304)。接着，FOF生成部106将第一优先级高、且控制执行中的对象控制部114实现的功能从存储器区域的释放对象中排除(步骤S306)。接着，FOF生成部106从在步骤S306中排除了的功能以外确保存储器区域(步骤S308)，从第二优先级高的FOF部112起开始生成(步骤S310)。接着，起动先行生成的第二优先级高的FOF部112的功能(步骤S312)。

接着，FOF生成部106判定控制执行中的对象控制部114实现的功能是否结束了处理(步骤S314)。FOF生成部106在判定为结束了处理的情况下，确保追加存储器区域(步骤S316)，开始FOF部112的追加生成(步骤S318)。FOF生成部106起动追加生成完成后的FOF部112的功能(步骤S320)。以上，结束本流程图的处理的说明。

需要说明的是，FOF部112也可以适当调出对象控制部114并援用功能。该情况下，对被援用于FOF部112的对象控制部114设定高的第一优先级。在FOF部112调出对象控制部114并援用功能的情况下，FOF部112也可以根据援用的对象控制部114的功能而阶段性地构成。例如，在继续援用与对象装置TG的温度控制生成相关的对象控制部114的功能的情况下，FOF生成部106也可以不使所生成的FOF部112具有温度控制生成的功能。

[硬件结构]

图15是示出车辆控制装置5所搭载的控制装置100的硬件结构的一例的图。需要说明的是，在图15的说明中，标号中的连字符及接在其后的数字表示控制装置100的构成要素。如图所示，控制装置100构成为，通信控制器100—10、CPU100-20、被作为工作存储器而使用的RAM(Random Access Memory)100-30、保存引导程序等的ROM(Read Only Memory)100-40、闪存器、HDD等存储装置100-50、驱动装置100-60、FPGA100-70等通过内部总线或者专用通信线而相互连接。通信控制器100-10进行与控制装置100以外的构成要素的通信。在存储装置100-50保存有CPU100-2执行的程序100-50a。该程序由DMA(Direct MemoryAccess)控制器(未图示)等展开到FPGA100-70上的RAM100-30，由CPU100-20执行。由此，实现识别部130及行动计划生成部140。

上述说明的实施方式，能够如以下这样表现。

一种控制装置，其具备：

存储装置，其存储有程序；以及

硬件处理器，

所述硬件处理器构成为通过执行存储于所述存储装置的程序而进行如下处理：

基于监视对象的状态，判定所述监视对象是否产生了故障；以及

在判定为所述监视对象产生了故障的情况下，将用于使能够重构功能的运算器重构与所述监视对象的动作相关联的功能的软件读出并反映于所述运算器。

根据以上说明的第一实施方式，具备：故障判定部104，其基于监视对象的状态，判定监视对象是否产生了故障；存储部300，其存储有用于在能够重构功能的FPGA中重构与监视对象的动作相关联的功能的FOF部112；以及FOF生成部106，在由故障判定部104判定为监视对象产生了故障的情况下，所述FOF生成部106生成FOF部112，由此，能够利用能够重构的FPGA的灵活的构造而仅在故障发生时实现故障应对专用的FOF部112。

另外，根据第一实施方式的控制装置100，若是平常时则能够将FPGA仅用于对象控制部114的控制，所以，能够进行在平常时尽可能多地分配对象控制部114能够使用的存储器区域而仅在故障时生成FOF部112这样的高效的运算器利用，能够根据控制装置100的平常时的处理量，选择搭载控制装置100的最佳的器件。

另外，根据第一实施方式的控制装置100，能够基于由第一优先级设定部108设定的第一优先级和/或由第二优先级设定部110设定的第二优先级使FOF部112的生成顺序最佳化，能够缩短生成时间，提早实现基于FOF部112的控制。

<适用例>

以下，对实施方式的适用例进行说明。在本例中，设为控制单元(控制装置)的控制对象是搭载于自动驾驶车辆M的设备。

[车辆控制时的整体结构]

图16是包括实施方式的控制单元(控制装置)的、车辆控制装置5的结构图。搭载车辆控制装置5的车辆例如是二轮、三轮、四轮等的车辆，其驱动源是柴油发动机、汽油发动机等内燃机、电动机、或者它们的组合。电动机使用由连结于内燃机的发电机产生的发电电力、或者二次电池、燃料电池的放电电力而进行动作。

车辆控制装置5例如具备相机10、雷达装置12、探测器14、物体识别装置16、通信装置20、HMI(Human Machine Interface)30、车辆传感器40、导航装置50、MPU(MapPositioning Unit)60、驾驶操作件80、自动驾驶控制装置ADA、行驶驱动力输出装置200、制动装置210及转向装置220。这些装置、设备通过CAN(Controller Area Network)通信线等多路通信线、串行通信线、无线通信网等而互相连接。需要说明的是，图16所示的结构只不过是一例，既可以省略结构的一部分，也可以还追加别的结构。

相机10例如是利用了CCD(Charge Coupled Device)、CMOS(Complementary MetalOxide Semiconductor)等固体摄像元件的数码相机。相机10安装于搭载车辆控制装置5的车辆(以下，自动驾驶车辆M)的任意部位。在对前方进行拍摄的情况下，相机10安装于前风窗玻璃上部、车室内后视镜背面等。相机10例如周期性地反复对自动驾驶车辆M的周边进行拍摄。相机10也可以是立体摄影机。

雷达装置12向自动驾驶车辆M的周边放射毫米波等电波，并且检测由物体反射后的电波(反射波)来至少检测物体的位置(距离及方位)。雷达装置12安装于自动驾驶车辆M的任意部位。雷达装置12也可以利用FM-CW(Frequency Modulated Continuous Wave)方式来检测物体的位置及速度。

探测器14是LIDAR(Light Detection and Ranging)。探测器14向自动驾驶车辆M的周边照射光并测定散射光。探测器14基于从发光到受光的时间，来检测距对象的距离。所照射的光例如是脉冲状的激光。探测器14安装于自动驾驶车辆M的任意部位。

物体识别装置16对相机10、雷达装置12及探测器14中的一部分或全部的检测结果进行传感器融合处理，来识别物体的位置、种类、速度等。物体识别装置16将识别结果向自动驾驶控制装置ADA输出。物体识别装置16可以将相机10、雷达装置12及探测器14的检测结果直接向自动驾驶控制装置ADA输出。也可以从车辆控制装置5中省略物体识别装置16。

通信装置20例如利用蜂窝网、Wi-Fi网、Bluetooth(注册商标)、DSRC(DedicatedShort Range Communication)等，与存在于自动驾驶车辆M的周边的其他车辆通信，或者经由无线基地站而与各种服务器装置通信。

HMI30对自动驾驶车辆M的乘客提示各种信息，并且接受由乘客进行的输入操作。HMI30包括各种显示装置、扬声器、蜂鸣器、触摸面板、开关、按键等。

车辆传感器40包括检测自动驾驶车辆M的速度的车速传感器、检测加速度的加速度传感器、检测绕铅垂轴的角速度的横摆角速度传感器、以及检测自动驾驶车辆M的朝向的方位传感器等。

导航装置50例如具备GNSS(Global Navigation Satellite System)接收机51、导航HMI52及路径决定部53。导航装置50在HDD(Hard Disk Drive)、闪存器等存储装置保持有第一地图信息54。GNSS接收机51基于从GNSS卫星接收到的信号来确定自动驾驶车辆M的位置。自动驾驶车辆M的位置也可以由利用了车辆传感器40的输出的INS(InertialNavigation System)来确定或补充。导航HMI52包括显示装置、扬声器、触摸面板、按键等。导航HMI52也可以与前述的HMI30一部分或全部共通化。路径决定部53例如参照第一地图信息54来决定从由GNSS接收机51确定出的自动驾驶车辆M的位置(或者输入的任意的位置)到由乘客使用导航HMI52输入的目的地为止的路径(以下，地图上路径)。第一地图信息54例如是利用表示道路的线路和由线路连接的节点来表现道路形状的信息。第一地图信息54也可以包括道路的曲率、POI(Point Of Interest)信息等。地图上路径被向MPU60输出。导航装置50也可以基于地图上路径而进行使用了导航HMI52的路径引导。导航装置50例如也可以通过乘客所持有的智能手机、平板终端等终端装置的功能来实现。导航装置50也可以经由通信装置20向导航服务器发送当前位置和目的地，从导航服务器取得与地图上路径同等的路径。

MPU60例如包括推荐车道决定部61，在HDD、闪存器等存储装置保持有第二地图信息62。推荐车道决定部61将从导航装置50提供的地图上路径分割为多个区段(例如，关于车辆行进方向，按每100[m]分割)，参照第二地图信息62，按每个区段来决定推荐车道。推荐车道决定部61进行在左数第几条车道上行驶这样的决定。在地图上路径存在分支部位的情况下，推荐车道决定部61以使自动驾驶车辆M能够在用于向分支目的地行进的合理的路径上行驶的方式决定推荐车道。

第二地图信息62是精度比第一地图信息54高的地图信息。第二地图信息62例如包括车道的中央的信息或者车道的边界的信息等。另外，第二地图信息62中可以包括道路信息、交通限制信息、住所信息(住所、邮政编码)、设施信息、电话号码信息等。第二地图信息62可以通过通信装置20与其他装置通信而随时更新。

驾驶操作件80例如包括油门踏板、制动踏板、换挡杆、转向盘、异形方向盘、操纵杆及其他操作件。在驾驶操作件80安装有对操作量或者操作的有无进行检测的传感器，其检测结果被向自动驾驶控制装置ADA、或者行驶驱动力输出装置200、制动装置210及转向装置220中的一部分或全部输出。

自动驾驶控制装置ADA例如具备第一控制部120及第二控制部160。自动驾驶控制装置ADA中的第一控制部120是上述实施方式中的控制装置100—1的适用例，第二控制部160是上述实施方式中的控制装置100-2的适用例。不限定于此，也可以像控制装置100-1的适用对象是第一控制部120中的识别部130，控制装置100-2的适用对象是行动计划生成部140这样决定适用对象。除此之外，也可以对图16或17所示的车辆控制装置5的构成要素中的任意的构成要素适用控制装置100-1及控制装置100-2。适用的控制装置100-1与控制装置100-2的组合是控制单元1。

图17是自动驾驶控制装置ADA的结构图。第一控制部120例如具备识别部130和行动计划生成部140。第一控制部120和第二控制部160分别通过例如由CPU(CentralProcessing Unit)等硬件处理器执行程序(软件)来实现。另外，这些构成要素中的一部分或全部既可以由LSI(Large Scale Integration)、ASIC(Application SpecificIntegrated Circuit)、FPGA、GPU(Graphics Processing Unit)等硬件(电路部；包括circuitry)来实现，也可以由软件与硬件的协同配合来实现。程序既可以预先保存于自动驾驶控制装置ADA的HDD、闪存器等存储装置，也可以保存于DVD、CD-ROM等可装卸的存储介质并通过将存储介质装配于驱动装置而安装于自动驾驶控制装置ADA的HDD、闪存器。

第一控制部120例如并行地实现基于AI(Artificial Intelligence：人工智能)的功能和基于被预先赋予的模型的功能。例如，“识别交叉路口”的功能可以通过并行地执行基于深度学习等的交叉路口的识别和基于预先被赋予的条件(存在可图形匹配的信号、道路标示等)的识别并对双方打分而综合地进行评价来实现。由此，保证自动驾驶的可靠性。

识别部130例如具备周边状况识别部132、对象识别部134、交通场景选择部136及文本生成部138。周边状况识别部132基于从相机10、雷达装置12及探测器14经由物体识别装置16输入的信息，来识别处于自动驾驶车辆M的周边的物体的位置及速度、加速度等状态。物体的位置例如作为以自动驾驶车辆M的代表点(重心、驱动轴中心等)为原点的绝对坐标上的位置而被识别，用于控制。物体的位置既可以由该物体的重心、角部等代表点来表示，也可以由表现出的区域来表示。所谓物体的“状态”，也可以包括物体的加速度、加加速度、或者“行动状态”(例如是否正在进行车道变更或者正要进行车道变更)。

行动计划生成部140生成自动驾驶车辆M自动地(不依赖于驾驶员的操作地)将来行驶的目标轨道，以便原则上在由推荐车道决定部61决定的推荐车道上行驶而且能够应对自动驾驶车辆M的周边状况。目标轨道例如包括速度要素。例如，目标轨道表现为将自动驾驶车辆M应该到达的地点(轨道点)依次排列而成的轨道。轨道点是按沿途距离计每隔规定的行驶距离(例如几[m]程度)的自动驾驶车辆M应该到达的地点，有别于此，每隔规定的采样时间(例如零点几[sec]程度)的目标速度及目标加速度作为目标轨道的一部分而生成。另外，轨道点也可以是每隔规定的采样时间的、在该采样时刻自动驾驶车辆M应该到达的位置。在该情况下，目标速度、目标加速度的信息由轨道点的间隔来表现。

行动计划生成部140在生成目标轨道时，可以设定自动驾驶的事件。自动驾驶的事件有定速行驶事件、低速追随行驶事件、车道变更事件、分支事件、汇合事件、接管事件等。行动计划生成部140生成与起动了的事件相应的目标轨道。

第二控制部160控制行驶驱动力输出装置200、制动装置210及转向装置220，以使得自动驾驶车辆M按照预定的时刻通过由行动计划生成部140生成的目标轨道。

第二控制部160例如具备取得部162、速度控制部164及转向控制部166。取得部162取得由行动计划生成部140生成的目标轨道(轨道点)的信息，将其存储于存储器(未图示)。速度控制部164基于在存储器存储的目标轨道所附带的速度要素，来控制行驶驱动力输出装置200或制动装置210。转向控制部166根据存储于存储器的目标轨道的弯曲状况，来控制转向装置220。速度控制部164及转向控制部166的处理例如通过前馈控制与反馈控制的组合来实现。作为一例，转向控制部166将与自动驾驶车辆M的前方的道路的曲率相应的前馈控制与基于从目标轨道的偏离的反馈控制组合来执行。

行驶驱动力输出装置200将用于使车辆行驶的行驶驱动力(转矩)向驱动轮输出。行驶驱动力输出装置200例如具备内燃机、电动机及变速器等的组合和对它们进行控制的ECU。ECU按照从第二控制部160输入的信息或者从驾驶操作件80输入的信息来控制上述结构。

制动装置210例如具备制动钳、向制动钳传递液压的液压缸、使液压缸产生液压的电动马达及制动ECU。制动ECU按照从第二控制部160输入的信息或者从驾驶操作件80输入的信息来控制电动马达，使得与制动操作相应的制动转矩被向各车轮输出。制动装置210可以具备将通过驾驶操作件80所包含的制动踏板的操作而产生的液压经由主液压缸向液压缸传递的机构作为备用。需要说明的是，制动装置210不限于上述说明的结构，也可以是按照从第二控制部160输入的信息来控制致动器，将主液压缸的液压向液压缸传递的电子控制式液压制动装置。

转向装置220例如具备转向ECU和电动马达。电动马达例如使力作用于齿条-小齿轮机构而变更转向轮的朝向。转向ECU按照从第二控制部160输入的信息或者从驾驶操作件80输入的信息来驱动电动马达，从而变更转向轮的朝向。

[向车辆控制装置的适用例1]

如前所述，在车辆控制装置5中，例如，第二控制部160由控制装置100-1实现，第一控制部120由控制装置100-2实现。在控制装置100-2发生故障了的情况下，例如，控制装置100-1使自动驾驶车辆M逐渐减速、停止。

以下，返回图7，对在车辆控制装置5中第一优先级设定部108设定第一优先级的设定规则进行说明。需要说明的是，在图7的例子中设为，功能A是控制自动驾驶车辆M的追尾减轻制动的功能，功能B是支援自动驾驶车辆M的车道维持的功能，功能C是支援自动驾驶车辆M的车道变更的功能，功能D是控制自动驾驶车辆M的车室内的功能。在图16及图17中，省略了关于用于实现这些单独的功能的功能部的图示。

FOF部112例如在自动驾驶控制装置ADA的控制对象是自动驾驶车辆M的情况下，实现与向经销商、维修工厂等进行自动驾驶车辆M的故障联系相关的功能、与暂时停止于路侧方地带相关的功能、与将乘客送至经销商、维修工厂等相关的功能这样的、使自动驾驶车辆M限定性地行驶的功能。FOF部112既可以由自动驾驶控制装置ADA来实现，也可以是在乘客的手动驾驶下进行工作的功能。

FOF生成部106即便在生成FOF部112的情况下，关于自动驾驶车辆M的控制最低限度所需的功能、在由自动驾驶车辆M的乘客进行手动驾驶时所需的功能(例如，功能A的追尾减轻制动)，也不会释放全部的存储器区域或者删除功能的程序本身。

FOF生成部106也可以基于自动驾驶车辆M处于无人行驶中的情况、自动驾驶车辆M的气温、天气等周边环境，决定也可以不使功能D发挥功能，基于该判定结果，进行存储器区域的释放。在功能D正在进行自动驾驶车辆M的空调等的控制且自动驾驶车辆M处于无人行驶中的情况下，FOF生成部106决定也可以进行包括功能D的功能删除的存储器区域的释放。另一方面，在功能D正在进行自动驾驶车辆M的空调等的控制且自动驾驶车辆M的乘客中包括幼儿、老人的情况下，FOF生成部106决定不进行包括功能D的功能删除的存储器区域的释放。

另外，FOF生成部106在自动驾驶车辆M正在进行像障碍物绕行控制那样的与行驶事件相关联的控制的情况下，根据该事件而调整FOF部112的生成时机。

例如，自动驾驶车辆M的识别部130在自动驾驶车辆M的行驶方向前方识别到障碍物，使行动计划生成部140设定障碍物绕行事件，行动计划生成部140生成用于绕过障碍物的行驶轨道。在上述的障碍物绕行事件刚发生后由控制装置100检测到其他控制装置100的故障的情况下，FOF生成部106也可以使FOF部112的生成时机延迟。FOF生成部106例如将FOF部112的生成时机设为障碍物绕行事件结束后。

[向车辆控制装置的适用例2]

以下，返回图10，对在车辆控制装置5中第二优先级设定部110设定第二优先级的设定规则进行说明。需要说明的是，在图10的例子中设为，功能1是使自动驾驶车辆M暂时停止于路侧等的功能，功能2是向自动驾驶车辆M的经销商、修理工厂联系而安排自动驾驶控制装置ADA的修理·更换，并以自动驾驶或手动驾驶使自动驾驶车辆M移动至经销商、修理工厂的功能。

第二优先级设定部110在控制装置100检测到其他控制装置100的故障的情况下，首先使自动驾驶车辆M暂时停止于路侧等之后，向经销商、修理工厂联系而安排修理·更换，所以，对于FOF部112的功能1，设定比功能2高的第二优先级。

另外，第二优先级设定部110在结束了基于FOF部112的功能1的自动驾驶车辆M的暂时停止的情况下，在通过FOF部112的功能2向经销商等联系而安排了修理·更换之后，在使自动驾驶车辆M移动至修理工厂等的情况下，设想在使自动驾驶车辆M移动至修理工厂时会进行手动驾驶，所以，将FOF部112的功能2的第二优先级设定得比第一优先级高。另外，第二优先级设定部110在FOF部112中存在在手动驾驶时工作的功能(例如功能2)的情况下，将该功能的第二优先级较高设定，将在手动驾驶时不发挥作用的功能(例如功能1)的第二优先级较低设定。

如以上所说明那样，根据车辆控制装置5，进行作为监视对象的自动驾驶车辆M的车辆控制、作为用于实现使自动驾驶车辆M限定性地行驶的退缩功能的软件的FOF部112能够利用可重构的FPGA的灵活的构造而仅在故障发生时实现故障应对专用的功能。

另外，根据车辆控制装置5，仅在自动驾驶的精度降低了的情况下生成作为退缩功能的FOF部112，所以，能够在使控制装置100小型化的同时，还实现退缩控制。

以上使用实施方式说明了本发明的具体实施方式，但本发明丝毫不被这样的实施方式限定，在不脱离本发明的主旨的范围内能够施加各种变形及替换。

Claims (19)

1.一种控制装置，其中，

所述控制装置具备：

判定部，其基于监视对象的状态，判定所述监视对象是否产生了故障；

运算器，其能够重构功能；

存储部，其存储有用于使所述运算器重构与所述监视对象的动作相关联的功能的软件；以及

处理部，在由所述判定部判定为所述监视对象产生了故障的情况下，所述处理部将所述软件从所述存储部读出并反映于所述运算器。

2.根据权利要求1所述的控制装置，其中，

在由所述判定部判定为所述监视对象产生了故障的情况下，所述处理部向反映了在没有由所述判定部判定为所述监视对象产生了故障的情况下所述运算器执行的其他软件的所述运算器的存储器区域，覆写用于重构与所述监视对象的动作相关联的功能的软件。

3.根据权利要求2所述的控制装置，其中，

在没有由所述判定部判定为所述监视对象产生了故障的情况下，所述运算器基于多个所述其他软件而进行动作，

在向所述运算器的其他软件使用的存储器区域覆写所述软件的情况下，所述处理部参照针对所述其他软件设定着的第一优先级信息，向存储被设定了比进行覆写的所述软件低的优先级的所述其他软件的存储器区域，覆写用于重构与所述监视对象的动作相关联的功能的软件。

4.根据权利要求3所述的控制装置，其中，

所述控制装置还具备第一优先级设定部，该第一优先级设定部基于所述监视对象的状态来设定所述第一优先级信息。

5.根据权利要求1所述的控制装置，其中，

在所述存储部中，存储有在由所述判定部判定为所述监视对象产生了故障的情况下被读出并反映于所述运算器的多个所述软件，

在由所述判定部判定为所述监视对象产生了故障的情况下，所述处理部参照针对多个所述软件设定着的第二优先级信息，将被设定了高的优先级的软件优先从所述存储部读出并反映于所述运算器。

6.根据权利要求5所述的控制装置，其中，

所述控制装置还具备第二优先级设定部，该第二优先级设定部基于所述监视对象的状态来设定所述第二优先级信息。

7.一种控制单元，其中，

所述控制单元包括2个以上的权利要求1所述的控制装置，

各控制装置监视的所述监视对象是与本装置不同的其他控制装置。

8.根据权利要求1所述的控制装置，其中，

所述监视对象是进行自动驾驶车辆的车辆控制的装置，

用于重构与所述监视对象的动作相关联的功能的软件是用于实现使所述自动驾驶车辆限定性地行驶的退缩功能的软件。

9.根据权利要求8所述的控制装置，其中，

在没有由所述判定部判定为所述监视对象产生了故障的情况下，所述运算器基于多个其他软件而进行动作，

所述处理部根据所述自动驾驶车辆的周边状况，从所述存储部存储的多个软件中选择调出的所述软件。

10.根据权利要求8所述的控制装置，其中，

所述处理部根据所述自动驾驶车辆的周边状况，将用于重构与所述监视对象的动作相关联的功能的软件阶段性地从所述存储部读出并反映于所述运算器。

11.根据权利要求8所述的控制装置，其中，

所述处理部在向所述运算器的现有功能使用的存储器区域覆写其他软件的情况下，参照针对所述其他软件设定着的第一优先级信息，向存储被设定了低的优先级的所述其他软件的存储器区域，覆写用于重构与所述监视对象的动作相关联的功能的软件，

所述控制装置还具备第一优先级设定部，该第一优先级设定部将实施与所述自动驾驶车辆的驾驶控制相关的处理的所述其他软件的第一优先级较高设定。

12.根据权利要求11所述的控制装置，其中，

所述第一优先级设定部将在乘客手动驾驶所述自动驾驶车辆时进行动作的所述其他软件的第一优先级较高设定。

13.根据权利要求8所述的控制装置，其中，

所述处理部在向所述运算器的其他软件使用的存储器区域覆写所述软件的情况下，参照针对所述软件设定着的第二优先级信息，

所述控制装置还具备第二优先级设定部，该第二优先级设定部将实施与所述自动驾驶车辆的驾驶控制相关的处理的所述软件的第二优先级较高设定。

14.根据权利要求13所述的控制装置，其中，

所述第二优先级设定部基于在通过所述退缩功能使车辆停止后所述第二优先级设定部是否被使用，来变更所述软件的第二优先级。

15.根据权利要求13所述的控制装置，其中，

所述第二优先级设定部将在所述自动驾驶车辆的乘客手动驾驶所述自动驾驶车辆时不进行动作的所述软件的第二优先级较低设定。

16.根据权利要求7所述的控制单元，其中，

所述监视对象是进行自动驾驶车辆的车辆控制的装置，

用于重构与所述监视对象的动作相关联的功能的软件是用于实现使所述自动驾驶车辆限定性地行驶的退缩功能的软件。

17.一种控制方法，其中，

所述控制方法使计算机进行如下处理：

基于监视对象的状态，判定所述监视对象是否产生了故障；以及

在判定为所述监视对象产生了故障的情况下，将用于使能够重构功能的运算器重构与所述监视对象的动作相关联的功能的软件从存储部读出并反映于所述运算器。

18.根据权利要求17所述的控制方法，其中，

所述控制方法使所述计算机进行如下处理：

在判定为所述监视对象产生了故障之前的期间，在使所述运算器反映了其他软件的状态下使所述运算器进行动作；以及

当判定为所述监视对象产生了故障时，向所述运算器的存储器区域覆写用于重构与所述监视对象的动作相关联的功能的软件。

19.一种存储介质，其中，

所述存储介质存储有如下程序，该程序使计算机进行如下处理：

基于监视对象的状态，判定所述监视对象是否产生了故障；以及

在判定为所述监视对象产生了故障的情况下，将用于使能够重构功能的运算器重构与所述监视对象的动作相关联的功能的软件从存储部读出并反映于所述运算器。

Images