CN113498509A - 替代装置、替代控制程序及替代方法 - Google Patents

替代装置、替代控制程序及替代方法 Download PDF

Info

Publication number
CN113498509A
CN113498509A CN202080016093.0A CN202080016093A CN113498509A CN 113498509 A CN113498509 A CN 113498509A CN 202080016093 A CN202080016093 A CN 202080016093A CN 113498509 A CN113498509 A CN 113498509A
Authority
CN
China
Prior art keywords
vehicle
substitute
program
unit
vehicle control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202080016093.0A
Other languages
English (en)
Inventor
石川史也
宫下之宏
上田浩史
足立直树
相羽慎一
上口翔悟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sumitomo Wiring Systems Ltd
AutoNetworks Technologies Ltd
Sumitomo Electric Industries Ltd
Original Assignee
Sumitomo Wiring Systems Ltd
AutoNetworks Technologies Ltd
Sumitomo Electric Industries Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sumitomo Wiring Systems Ltd, AutoNetworks Technologies Ltd, Sumitomo Electric Industries Ltd filed Critical Sumitomo Wiring Systems Ltd
Publication of CN113498509A publication Critical patent/CN113498509A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/023Avoiding failures by using redundant parts
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0225Failure correction strategy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2023Failover techniques
    • G06F11/2028Failover techniques eliminating a faulty processor or activating a spare
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0002Automatic control, details of type of controller or control system architecture
    • B60W2050/0004In digital systems, e.g. discrete-time systems involving sampling
    • B60W2050/0006Digital architecture hierarchy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2023Failover techniques
    • G06F11/203Failover techniques using migration
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/815Virtual
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/85Active fault masking without idle spares

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Theoretical Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Small-Scale Networks (AREA)
  • Hardware Redundancy (AREA)
  • Debugging And Monitoring (AREA)
  • Stored Programmes (AREA)

Abstract

替代装置搭载于安装有多个车载控制装置的车辆,具备控制部和替代部,上述控制部基于从上述多个车载控制装置发送的发送数据来控制替代部,基于上述发送数据,确定异常的车载控制装置,使确定出的上述异常的车载控制装置无效,将用于发挥确定出的上述异常的车载控制装置在正常时实施的功能的程序应用于上述替代部,上述替代部通过执行所应用的上述程序来替代无效了的上述车载控制装置。

Description

替代装置、替代控制程序及替代方法
技术领域
本公开涉及替代装置、替代控制程序及替代方法。
本申请主张基于在2019年3月11日提出申请的日本申请第2019-044034号的优先权,并援引上述日本申请记载的全部记载内容。
背景技术
在车辆中搭载有发动机控制等的动力传动系统、空调器控制等的车身系统等的用于控制车载设备的ECU(Electronic Control Unit:电子控制单元)。ECU包含MPU等运算处理部、RAM等能够改写的非易失性的存储部及用于与其他ECU进行通信的通信部,通过读入并执行存储于存储部的控制程序来进行车载设备的控制。搭载于该车辆的ECU中的任一个ECU通过判断从其他ECU发送来的消息是否为有效的消息来检测伪装消息,在检测到伪装消息的情况下,在数据帧的接收过程中通过错误帧对伪装消息进行覆写(例如参照专利文献1)。
在先技术文献
专利文献1:日本特开2018-182767号公报
发明内容
本公开的一形态的替代装置搭载于安装有多个车载控制装置的车辆,具备控制部和替代部,
上述控制部基于从上述多个车载控制装置发送的发送数据来控制替代部,
上述控制部基于上述发送数据来确定异常的车载控制装置,
上述控制部使所确定的上述异常的车载控制装置无效,
上述控制部将用于发挥所确定的上述异常的车载控制装置在正常时实施的功能的程序应用于上述替代部,
上述替代部通过执行所应用的上述程序来替代无效了的上述车载控制装置。
附图说明
图1是例示包含实施方式1的替代装置的车载控制装置替代系统的结构的示意图。
图2是例示替代装置的物理结构的框图。
图3是例示基于替代装置的替代的一形态的说明图(顺序图)。
图4是例示替代装置的控制部的处理的流程图。
图5是例示实施方式2(虚拟环境)的替代装置的逻辑结构的框图。
具体实施方式
[本公开要解决的课题]
专利文献1的ECU能够将来自发送伪装消息的异常或不正当的ECU的不正当的消息通过错误帧覆写,但是未考虑替代该成为异常的ECU在本来正常时实施的功能这一点。
本公开的目的提供一种在检测到异常的ECU的情况下,替代该ECU的功能的替代装置等。
[本公开的效果]
根据本公开的一形态,能够提供一种在检测到异常的ECU的情况下,替代该ECU的功能的替代装置等。
[本公开的实施方式的说明]
首先,列举本公开的实施形态进行说明。另外,也可以将以下记载的实施方式的至少一部分任意组合。
(1)本公开的一形态的替代装置搭载于安装有多个车载控制装置的车辆,具备控制部和替代部,
上述控制部基于从上述多个车载控制装置发送的发送数据来控制替代部,
上述控制部基于上述发送数据来确定异常的车载控制装置,
上述控制部所确定的上述异常的车载控制装置无效,
上述控制部将用于发挥所确定的上述异常的车载控制装置在正常时实施的功能的程序应用于上述替代部,
上述替代部通过执行所应用的上述程序来替代无效了的上述车载控制装置。
在本形态中,控制部使确定出的异常的车载控制装置无效,将用于发挥该异常的车载控制装置在正常时实施的功能的程序应用于替代部。应用了该程序的替代部通过执行该程序而替代无效了的车载控制装置。因此,能够使成为异常的车载控制装置无效而防止对其他车载装置或车辆造成影响,并且使替代部替代地实施成为异常的车载控制装置本来在正常时实施的功能。
(2)本公开的一形态的替代装置中,
上述多个车载控制装置通过控制局域网络或以太网的通信协议而与上述控制部以能够通信的方式连接,
上述替代部通过上述控制局域网络及上述以太网的通信协议而与上述控制部以能够通信的方式连接。
在本形态中,上述替代部通过CAN及Ethernet的通信协议而与控制部以能够通信的方式连接,因此能够替代使用了CAN作为通信协议的车载控制装置及使用了Ethernet作为通信协议的车载控制装置这两方的车载控制装置。
(3)本公开的一形态的替代装置中,
上述控制部如下进行控制:在将上述程序应用于上述替代部之前,用于对从上述多个车载控制装置发送的上述发送数据进行中继的中继路径不包含上述替代部,
在将上述程序应用于上述替代部之后,上述中继路径包含上述替代部。
在本形态中,控制部在对车载控制装置间的通信进行中继时,在将用于替代成为异常的车载控制装置的程序向替代部应用之前,在该进行中继用的中继路径不包含替代部。因此,来自车载控制装置的发送数据不会中继到替代部,因此即使该发送数据包含不正当的数据等,也能够担保替代部对于该不正当的数据等的坚固性。
(4)本公开的一形态的替代装置中,上述替代部替代车载控制装置,该车载控制装置进行基于经由用于与其他车载控制装置进行通信的通信路径而取得的数据来生成输出的数据,并将生成的上述数据经由上述通信路径而输出的处理。
在本形态中,车载控制装置替代车载控制装置,该车载控制装置进行基于经由与其他车载控制装置而进行通信用的通信路径取得的数据,生成输出的数据,并将上述生成的数据经由上述通信路径而输出的处理。即,该车载控制装置不是与成为控制对象的电动机、制动器或各种传感器等的车载装置通过线束等直接连接的车载控制装置,而是生成基于经由通信路径取得的数据而输出的数据,并将该生成的数据经由通信路径而输出。因此,不需要将替代部与成为控制对象的车载装置连接的线束等,能够简化车辆内的配线。
(5)本公开的一形态的替代装置中,
在上述车辆中安装有用于与车外的外部服务器进行通信的车外通信装置,
上述控制部经由上述车外通信装置而从上述外部服务器取得上述程序,
上述控制部将取得的上述程序应用于上述替代部。
在本形态中,控制部经由车外通信装置而从外部服务器取得程序。因此,即使在替代装置具备的存储部未存储用于发挥确定出的异常的车载控制装置在正常时实施的功能的程序的情况下,也能够从外部服务器取得该程序而应用于替代部。
(6)本公开的一形态的替代装置中,
上述控制部对无效了的上述车载控制装置进行恢复处理,
在无效了的上述车载控制装置通过上述恢复处理而变为正常的情况下,上述控制部使基于上述替代部的替代停止。
在本形态中,控制部对无效了的车载控制装置进行例如该车载控制装置的重新启动或对于该车载控制装置的重编程的执行等恢复处理。控制部在无效了的车载控制装置通过该恢复处理而成为正常的情况下,使基于替代部的替代停止,因此能够使成为异常的车载控制装置高效地恢复。
(7)本公开的一形态的替代装置中,
上述替代部通过虚拟化操作系统生成虚拟环境,
在上述虚拟环境上执行上述程序。
在本形态中,在替代部通过虚拟化操作系统生成虚拟环境,程序在虚拟环境上执行。因此,在替代部与被替代的车载控制装置中,即使存在例如硬件结构上的差异的情况下,通过基于虚拟化操作系统的虚拟环境也能够吸收该差异,替代部能够高效地替代多个不同种类的车载控制装置。
(8)本公开的一形态的替代装置中,
上述虚拟环境对应于无效了的上述车载控制装置的个数而生成,
上述程序的个数与无效了的上述车载控制装置的个数相同,
上述程序分别在对应于上述个数而生成的各虚拟环境上执行。
在本形态中,虚拟环境对应于确定出的异常的车载控制装置的个数而生成,在生成的各虚拟环境上,分别执行与确定出的异常的车载控制装置分别对应的程序。因此,即使替代部在物理上由单一的装置构成的情况下,包含该替代部的替代装置也能够同时替代多个车载控制装置。
(9)本公开的一形态的替代控制程序使计算机执行如下的处理:
基于从搭载于车辆的多个车载控制装置发送的发送数据来确定异常的车载控制装置,
使所确定的上述异常的车载控制装置无效,
通过执行用于发挥所确定的上述异常的车载控制装置在正常时实施的功能的程序来替代无效了的上述车载控制装置。
在本形态中,能够使计算机作为替代装置发挥功能。
(10)本公开的一形态的替代方法中,
基于从搭载于车辆的多个车载控制装置发送的发送数据来确定异常的车载控制装置,
使所确定的上述异常的车载控制装置无效,
通过执行用于发挥所确定的上述异常的车载控制装置在正常时实施的功能的程序来替代无效了的上述车载控制装置。
在本形态中,能够提供一种在检测到异常的ECU的情况下替代该ECU的功能的替代方法。
[本公开的实施方式的详情]
关于本公开,基于表示其实施方式的附图而具体地进行说明。以下,参照附图来说明本公开的实施方式的替代装置6。另外,本公开不限定为这些例示,而由权利要求书表示,并包含与权利要求书等同的意思及范围内的全部变更。
(实施方式1)
以下,基于附图来说明实施方式。图1是例示包含实施方式1的替代装置6的车载控制装置替代系统S的结构的示意图。图2是例示替代装置6的物理结构的框图。
车载控制装置替代系统S包含搭载于车辆的替代装置6、车外通信装置1,将从经由车外网络N而连接的外部服务器100取得的程序应用于替代装置6包含的替代ECU5(替代部),由此替代安装于该车辆C的多个车载ECU3(Electronic Control Unit/车载控制装置)中的任一个车载ECU3。
外部服务器100例如是与互联网或公共线路网等车外网络N连接的服务器等计算机,具备RAM(Random Access Memory:随机存取存储器)、ROM(Read Only Memory:只读存储器)或硬盘等存储部101。在外部服务器100中,由车载ECU3的制造厂商等生成的用于控制该车载ECU3的程序或数据保存于存储部101。该程序或数据作为更新程序而向车辆C发送,用于对搭载于车辆C的车载ECU3的程序或数据进行更新。这样构成的外部服务器100也称为OTA(Over The Air:空中下载)服务器。搭载于车辆C的车载ECU3从外部服务器100取得通过无线通信而发送来的更新程序,通过应用作为执行该更新程序的程序,而能够对本ECU执行的程序进行更新(更新)。在外部服务器100的存储部101中存储有向后述的替代ECU5应用的程序(替代程序)。
在车辆C中搭载有车外通信装置1、替代装置6、显示装置7及用于控制各种车载设备的多个车载ECU3。替代装置6包含车载中继装置2及替代ECU5。车载中继装置2与车外通信装置1通过例如串行线缆等线束以能够通信的方式连接。车载中继装置2及车载ECU3通过与CAN(Control Area Network:控制局域网络/注册商标)或以太网(Ethernet/注册商标)等通信协议对应的通信线41及车内LAN4以能够通信的方式连接。
车外通信装置1包含车外通信部(未图示)及用于与车载中继装置2进行通信的输入输出I/F(未图示)。车外通信部是使用3G、LTE、4G、WiFi等移动体通信的协议进行无线通信用的通信装置,经由与车外通信部连接的天线11而与外部服务器100进行数据的收发。车外通信装置1与外部服务器100的通信经由例如公共线路网或互联网等外部网络N而进行。输入输出I/F是用于与车载中继装置2进行例如串行通信的通信接口。车外通信装置1与车载中继装置2经由输入输出I/F及与输入输出I/F连接的串行线缆等线束而相互进行通信。在本实施方式中,车外通信装置1设为与车载中继装置2不同的装置,通过输入输出I/F等将这些装置连接成能够通信,但是不限定于此。车外通信装置1可以作为车载中继装置2的一构成部位而内置于车载中继装置2。
替代装置6包含车载中继装置2及替代ECU5,基于从车载ECU3发送的发送数据来确定异常的车载ECU3,使确定出的异常的车载ECU3无效,并且将用于发挥确定出的异常的车载ECU3在正常时实施的功能的程序(替代程序)应用于替代ECU5,由此来替代无效了的车载ECU3。
车载中继装置2包含:控制部20、存储部21、输入输出I/F22及车内通信部23。车载中继装置2是例如对认知系统的车载ECU3、判断系统的车载ECU3及操作系统的车载ECU3等的基于多个通信线41的系统的部分进行总括,对这些部分间的车载ECU3彼此的通信进行中继的网关(中继器)。或者,车载中继装置2可以构成为对车辆C整体进行控制的车身ECU的一功能部。车载中继装置2是从车外通信装置1取得车外通信装置1通过无线通信从外部服务器100接收到的更新程序,经由车内LAN4而将该更新程序向预定的车载ECU3(作为更新对象的车载ECU3)发送的结构(更新主要部)。
控制部20由CPU(Central Processing Unit:中央处理器)或MPU(MicroProcessing Unit:微处理器)等构成,通过读出并执行预先存储于存储部21的控制程序及数据而进行各种控制处理及运算处理等。车载中继装置2的控制部20作为替代装置6的控制部发挥功能。
车载中继装置2的控制部20(替代装置6的控制部)通过执行存储于存储部21的控制程序,而作为基于从车载ECU发送的发送数据来判定该发送数据是否异常的判定部发挥功能。车载中继装置2的控制部20(替代装置6的控制部)通过执行存储于存储部21的控制程序,而作为确定判定为异常的发送数据的发送源即异常的车载ECU的确定部发挥功能。车载中继装置2的控制部20(替代装置6的控制部)通过执行存储于存储部21的控制程序,而作为使确定出的异常的车载ECU无效的无效化部发挥功能。车载中继装置2的控制部20(替代装置6的控制部)通过执行存储于存储部21的控制程序,而作为将用于发挥确定出的异常的车载ECU在正常时实施的功能的程序(替代程序)应用于替代ECU5的替代程序应用部发挥功能。车载中继装置2的控制部20(替代装置6的控制部)通过执行存储于存储部21的控制程序,而作为经由车外通信装置1取得从外部服务器100发送来的车载ECU3的程序或应用于替代ECU5的程序(替代程序)的取得部发挥功能。
存储部21由RAM(Random Access Memory:随机存取存储器)等易失性的存储器元件或ROM(Read Only Memory:只读存储器)、EEPROM(Electrically ErasableProgrammable ROM:带电可擦可编程只读存储器)或闪存器等非易失性的存储器元件构成,预先存储有控制程序及在处理时参照的数据。存储于存储部21的控制程序可以是存储有从车载中继装置2能够读取的记录介质211读出的控制程序的程序。另外,可以从与未图示的通信网连接的未图示的外部计算机下载控制程序,并存储于存储部21。
在存储部21存储有在进行用于车载ECU3间的通信或者车载ECU3与外部服务器100之间的通信的中继处理时使用的中继路径信息(路由表)。该中继路径信息基于通信协议来决定书写方式。在通信协议为CAN的情况下,CAN用中继路径信息包含CAN消息包含的消息识别符(CAN-ID)及与该CAN-ID建立了关联的中继目的地(CAN通信部232的I/O端口编号)。在通信协议为TCP/IP的情况下,TCP/IP用中继路径信息包含IP包中包含的发送目的地地址(MAC地址或IP地址)及与该发送目的地地址建立了关联的中继目的地(以太网通信部231的物理端口编号)。
控制部20可以基于替代ECU5进行的替代处理的执行或停止来变更中继路径信息,详情在后文叙述。即,在替代ECU5停止替代处理的期间,控制部20例如可以从中继路径信息中去除替代ECU5,在车载ECU3间的通信或与外部服务器100的通信中,避免替代ECU5包含于这些通信路径。在替代ECU5执行替代处理的期间,控制部20在中继路径信息中包含替代ECU5,在车载ECU3间的通信或与外部服务器100的通信中,将替代ECU5包含于这些中继路径(对车载ECU3间的通信或与外部服务器100的通信进行中继用的路径)。在替代ECU5停止替代处理的期间,从中继路径信息中去除替代ECU5,由此避免将该替代ECU5包含于中继路径,由此能够抑制替代ECU5受到来自车外的外部装置或车内的不正当的车载ECU3的攻击的情况。
在存储部21存储有从外部服务器100发送来的车载ECU3的程序。在存储部21存储有应用于替代ECU5的程序(替代程序)。通过使替代ECU5的硬件规格与车载ECU3的硬件规格相同,或者使两规格具有互换性,能够使用从外部服务器100发送来的车载ECU3的程序作为应用于替代ECU5的程序(替代程序),详情在后文叙述。
在存储部21存储有搭载于车辆C的全部车载ECU3的结构信息(车辆结构信息)。存储于存储部21的车载ECU3各自的结构信息(车辆结构信息)包含例如车载ECU3的制造编号(串行编号)、ECU部号(型号)、软件部号、程序的当前版本、旧版本、动作面数、动作面、MAC(Media Access Control:介质访问控制)地址、IP地址、上次更新完成日期时间、更新状态及VIN(车辆辨别编号)。另外,在车载ECU3通过CAN连接的情况下,车载ECU3的结构信息可以包含该车载ECU3在发送消息时使用(包含)的CAN-ID。上述车辆结构信息与在各个车载ECU3中不重复地设定的基于连续号码等的ECU-ID建立关联地管理,例如作为表格形式的数据而存储于存储部21。控制部20在IG开关被接通或断开时等预定的定时,稳定地从搭载于车辆C的全部车载ECU3或特定的车载ECU3取得车载ECU3各自的结构信息,并存储于存储部21。
控制部20能够通过参照存储部21存储的车辆结构信息包含的软件部号及程序的当前版本等,来确定要替代的车载ECU3的程序。控制部20可以基于确定出的该程序来确定向替代ECU5应用的程序(替代程序)。或者,可以将唯一地辨别各个车载ECU3的ECU-ID与替代该ECU-ID时向替代ECU应用的程序(替代程序)建立关联地存储于存储部21,控制部20基于该ECU-ID来确定替代程序。
输入输出I/F22与车外通信装置1的输入输出I/F12相同地是例如用于进行串行通信的通信接口。车载中继装置2经由输入输出I/F22而与车外通信装置1、显示装置7(HMI装置)及、进行车辆C的启动及停止的IG开关(未图示)以能够通信的方式连接。
车内通信部23是使用了例如CAN(Control Area Network:控制局域网)或以太网(Ethernet/注册商标)的通信协议的输入输出接口(CAN通信部232、以太网通信部231),控制部20经由车内通信部23而与连接于车内LAN4的车载ECU3或其他中继装置等的车载设备相互进行通信。
以太网通信部231是与由100BASE-T1或1000BASE-T1等以太网线缆411传送的TCP/IP的包对应的以太网PHY部。
CAN通信部232是与在CAN总线412上传送的CAN消息对应的结构,是接收由高侧及低侧的两根配线构成的CAN总线412上的差动电压的电位差产生的波形,并将接收到的波形解密成由1和0的位列表示的信号的CAN收发器。或者,CAN通信部232可以是包含CAN收发器及CAN控制器的结构。
车内通信部23(以太网通信部231、CAN通信部232)设置多个,在车内通信部23分别连接构成车内LAN4的通信线41(以太网线缆411、CAN总线412)。通过这样设置多个车内通信部23,而将车内LAN4分成多个部分,在各部分根据该车载ECU3的功能(认知系统功能、判断系统功能、操作系统功能)来连接车载ECU3。
替代ECU5基于来自车载中继装置2的控制部20(替代装置6的控制部)的指示,作为替代装置6的替代部发挥功能。替代ECU5与车载中继装置2相同地包含:控制部50、存储部51及车内通信部52。存储部51与车载中继装置2相同地由易失性及非易失性的存储器元件构成,存储发挥与替代的车载ECU3相同的功能的程序(替代程序)。控制部50与车载中继装置2相同地由CPU等构成,通过读出并执行存储于存储部51的程序(替代程序)来进行与车载设备等的控制相关的处理,替代无效了的车载ECU3。
车内通信部52与车载中继装置2相同地包含以太网通信部521及CAN通信部522中的至少任一方,替代ECU5经由以太网通信部521或CAN通信部522而与车载中继装置2的控制部20(替代装置6的控制部)进行通信。
车内通信部52包含以太网通信部521及CAN通信部522,替代ECU5优选通过以太网通信部521及CAN通信部522这两个车内通信部52与车载中继装置2连接。替代ECU5具备以太网通信部521及CAN通信部522,由此能够替代仅具有以太网通信部的车载ECU3及仅具有CAN通信部的车载ECU3这两方的车载ECU3。
与替代ECU5的车内通信部52(以太网通信部521及CAN通信部522)连接的车载中继装置2的车内通信部23(以太网通信部231及CAN通信部232)优选为与连接于车载ECU3的车内通信部23(以太网通信部231及CAN通信部232)不同的车内通信部23。通过使连接于替代ECU5的车内通信部23与连接于车载ECU3的车内通信部23不同,而在连接车载ECU3的部分以外的部分连接替代ECU5,能够可靠地确保替代ECU5与车载中继装置2之间的通信的带域宽度。
替代ECU5图示作为与车载中继装置2不同的框体,但是不限定于此。替代ECU5也可以内置于与车载中继装置2相同的框体并与车载中继装置2一体化而构成。在该情况下,内置替代ECU5的车载中继装置2本身相当于替代装置6。
设为对基于替代ECU5的替代处理进行控制的控制部(替代装置6的控制部)是车载中继装置2的控制部20,但是不限定于此。包含对基于替代ECU5的替代处理进行控制的控制部的替代装置6也可以是与车载中继装置2另行构成的专用装置。该专用装置与车载中继装置2及替代ECU5以能够通信的方式连接,将经由车载中继装置2而取得的程序(替代程序)向替代ECU5发送,来将该程序应用于替代ECU5。或者,也可以是车载中继装置2的控制部20与替代ECU5的控制部50协作而发挥作为替代装置6的控制部的功能。
应用于替代ECU5的程序(替代程序)由车载中继装置2经由车外通信装置1而从外部服务器100取得,但是不限定于此。也可以是应用于替代ECU5的程序(替代程序)的个数或种类根据成为替代的对象的车载ECU3的个数而成为多个,这多个替代程序全部或一部分预先存储于车载中继装置2的存储部21或替代ECU5的存储部51的结构。在该情况下,车载中继装置2的控制部20通过参照本装置的存储部21来取得替代程序,并将取得的替代程序应用于替代ECU5。或者,在替代程序预先存储于替代ECU5的存储部51的情况下,车载中继装置2的控制部20可以通过向替代ECU5发送例如应用指示信号而向替代ECU5应用存储于本ECU的存储部51的替代程序。
车载ECU3与替代ECU5相同地包含:控制部(未图示)、存储部(未图示)及车内通信部(未图示)。存储部由RAM(Random Access Memory:随机存取存储器)等易失性的存储器元件或者ROM(Read Only Memory:只读存储器)、EEPROM(Electrically ErasableProgrammable ROM:带电可擦可编程只读存储器)或闪存器等非易失性的存储器元件构成,存储有车载ECU3的程序或数据。该程序或数据是由从车载中继装置2发送的更新程序更新的对象。另外,在存储部中存储有本ECU的结构信息。车内通信部与替代ECU5或车载中继装置2相同地包含以太网通信部或CAN通信部,车载ECU3经由车内通信部而与车载中继装置2(替代装置6)进行通信。
不限定为搭载于车辆C的全部车载ECU3由替代ECU5替代的情况。也可以是搭载于车辆C的一部分的车载ECU3由替代ECU5替代的情况。也可以是由替代ECU5替代的车载ECU3的硬件规格与替代ECU5的硬件规格相同或者在这些硬件规格间具有互换性。通过这些硬件规格相同或具有互换性,而能够通过替代ECU5执行与由车载ECU3执行的程序相同的程序。
如图1及图2所示,车载ECU3也可以是通过执行存储于存储部的程序而被功能分类为例如认知系统、判断系统或操作系统的结构。
认知系统的车载ECU3与例如相机、红外线传感器或LIDAR(Light Detection andRanging:激光雷达)等传感器42连接,对从该传感器42输出的输出值进行例如数字变换,经由车内LAN4而向判断系统的车载ECU3发送(输出)。
判断系统的车载ECU3例如接收(取得)从认知系统的车载ECU3发送的数据,基于接收到的数据,进行生成用于发挥车辆C的自动驾驶功能的数据或加工数据的处理,将生成等的该数据经由车内LAN4而向操作系统的车载ECU3发送(输出)。
操作系统的车载ECU3例如与电动机、发动机或制动器等的促动器43(车载驱动装置)连接,接收(取得)从判断系统的车载ECU3发送来的数据,基于接收到的数据,控制该促动器的动作,进行车辆C的行驶、停止或转向等的操作,发挥自动驾驶功能。
即,判断系统的车载ECU3未与传感器42或促动器43直接连接,对经由车内LAN4取得的数据进行加工或者基于取得的数据而生成输出的数据,进行将生成等的该数据向操作系统的车载ECU3等其他车载ECU3输出的处理。因此,通过替代ECU5替代判断系统的车载ECU3等未与传感器42或促动器43直接连接而进行数据生成等的车载ECU3,由此,不需要将替代ECU5与传感器42或促动器43通过线束等直接连接,能够简化车内的配线。
显示装置7是例如车辆导航装置的显示器等的HMI(Human Machine Interface:人机接口)装置。显示装置7与车载中继装置2的输入输出I/F22通过串行线缆等线束以能够通信的方式连接。在显示装置7显示从车载中继装置2的控制部20经由输入输出I/F22而输出的数据或信息。
替代装置6是包含车载中继装置2及替代ECU5的结构,在图2中,替代装置包含的替代ECU5记载为一个,但是不限定于此。替代装置6可以包含两个以上的替代ECU5。通过替代装置6包含多个替代ECU5,即使在多个车载ECU3同时期地变得异常的情况下,也能够通过多个替代ECU5对这多个车载ECU3分别进行替代。
图3是例示基于替代装置6的替代的一形态的说明图(顺序图)。在图3中,关于替代装置6替代无效了的车载ECU3的处理,使用包含外部服务器100、车载ECU3及替代装置6(车载中继装置2、替代ECU5)的处理的顺序图进行说明。
车载ECU3向车载中继装置2发送数据(S1)。车载ECU3通过执行存储于本ECU的存储部的程序而执行与车载装置或车载器的控制相关的处理,将生成的数据利用其他的车载ECU3或组播进行发送。
车载中继装置2取得发送来的数据,进行异常检测(S2)。车载中继装置2为了进行中继处理而接收从搭载于车辆C的全部车载ECU3发送来的数据,并基于接收到的该数据的标题信息及中继路径信息而进行中继。车载中继装置2通过对接收到的数据进行分析等而作为判定该数据的正确与否的判定部发挥功能,进行接收到的数据的异常检测。在数据的正确与否的判定中,不正当的数据是例如从由于经由车外通信装置1等从车外侵入的病毒等而成为了异常的状态的车载ECU3或被不正当地更换的车载ECU3等不正当的车载ECU3发送的消息。控制部20对于接收到的数据执行诊断程序(诊断工序),或者发挥IDS(IntrusionDetection System:入侵检测系统)的功能,由此对该数据进行分析来判定正确与否。或者,控制部20也可以将以与发送数据时规定的发送周期不同的周期发送的数据判定作为不正当的数据。
车载中继装置2对判定为异常的数据的发送源的车载ECU3进行确定(S3)。车载中继装置2例如参照判定为异常的数据的标题信息,确定作为该数据的发送源的车载ECU3。在该数据为IP包的情况下,车载中继装置2提取标题信息包含的发送源的IP地址或MAC地址,基于提取出的发送源地址,并参照车辆结构信息,从而确定作为发送源的车载ECU3(ECU-ID)。在该数据为CAN消息的情况下,车载中继装置2提取标题信息包含的CAN-ID,基于提取的CAN-ID,并参照车辆结构信息,从而确定作为发送源的车载ECU33(ECU-ID)。
车载中继装置2使确定出的异常的车载ECU3无效(S4)。作为使确定出的异常的车载ECU3无效的处理,车载中继装置2例如对于该异常的车载ECU3发送用于使其强制停止的信号。接收到该信号的车载ECU3向停止状态转变。该强制停止用的信号可以包含将向接收到该信号的车载ECU3供给的电力切断的信号。或者,车载中继装置2也可以对于从确定出的异常的车载ECU3发送的数据不进行中继而废弃,使该异常的车载ECU3的功能无效。或者,车载中继装置2可以将确定出的异常的车载ECU3的MAC地址或ECU-ID等发送源地址向其他车载ECU3发送(广播),向其他车载ECU3通知无视或废弃包含该发送源地址的数据,从而使该异常的车载ECU3的功能无效。
车载中继装置2从外部服务器100取得向替代ECU5应用的程序(替代程序)(S5)。车载中继装置2例如参照车辆结构信息,确定无效了的车载ECU3在正常时实施的程序,从外部服务器100取得发挥与确定出的该程序相同的功能的程序(替代程序)。如上所述,在无效了的车载ECU3的硬件规格与替代ECU5的硬件规格相同或具有互换性的情况下,向替代ECU5应用的程序(替代程序)是与无效了的车载ECU3在正常时实施的程序相同的程序。
即使无效了的车载ECU3的硬件规格与替代ECU5的硬件规格不同或不具有互换性的情况下,车载中继装置2将吸收这些硬件规格的差异的模拟器作为中间软件而安装于替代ECU5(使替代ECU5执行)。车载中继装置2也可以在该模拟器上将无效了的车载ECU3在正常时实施的程序作为替代程序而应用于替代ECU5。通过将吸收硬件规格的差异的模拟器安装于替代ECU5,能够将与替代的车载ECU3执行的程序相同的程序作为替代程序应用于替代ECU5(使替代ECU5执行)。
车载中继装置2进行的替代程序的取得不限定为从外部服务器100的取得。在替代程序或模拟器已经预先存储于车载中继装置2的存储部21的情况下,车载中继装置2可以参照存储部21而取得该预先存储的替代程序等。
车载中继装置2向替代ECU5应用程序(替代程序)(S6)。车载中继装置2将取得的替代程序向替代ECU5发送,并且发送启动信号以使替代ECU5执行替代程序而启动。在替代程序预先存储于替代ECU5的存储部51的情况下,车载中继装置2向替代ECU5发送确定执行的替代程序的信息,并且发送启动信号以使替代ECU5执行该替代程序而启动。
车载中继装置2变更中继路径信息(S7)。车载中继装置2以替代ECU5能够发挥无效了的车载ECU3执行的功能的方式,变更中继路径信息。在替代ECU5连接于与无效了的车载ECU3不同的车内通信部23的情况下,替代ECU5与其他车载ECU3进行通信,因此车载中继装置2在中继路径信息中,变更连接替代ECU5的车内通信部23的端口编号与替代ECU5的MAC地址、IP地址、ECU-ID或CAN-ID等的建立关联。
应用了替代程序的替代ECU5执行该替代程序,开始无效了的车载ECU3的替代(S8)。替代程序是用于发挥无效了的车载ECU3在正常时实施的功能的程序,因此替代ECU5能够发挥与无效了的ECU同等的功能。即使在无效了的ECU和替代ECU5在车载中继装置2中连接于不同的车内通信部23的情况下,通过变更中继路径信息,替代ECU5与其他车载ECU3等的通信也由车载中继装置2中继,能够确保替代ECU5及其他车载ECU3等的通畅的通信环境。
车载中继装置2对于无效了的车载ECU3执行恢复处理(S9)。作为对于无效了的车载ECU3的恢复处理,车载中继装置2例如向该无效了的车载ECU3发送使其重新启动(复位)的重新启动信号。或者,车载中继装置2也可以进行从外部服务器100取得无效了的车载ECU3的正规的程序并将取得的程序应用于无效了的车载ECU3的处理,即重编程处理。或者,车载中继装置2与可以与无效了的车载ECU3通过诊断模式进行通信,通过对该无效了的车载ECU3执行自我恢复处理而尝试恢复处理。
车载中继装置2确认无效了的车载ECU3是否通过恢复处理而恢复(正常化)(S10)。车载中继装置2例如与恢复了的车载ECU3通过诊断模式通信,取得基于恢复了的车载ECU3的自我诊断结果,从而确认无效了的车载ECU3是否恢复(正常化)。
车载中继装置2在无效了的车载ECU3已恢复(正常化)的情况下,向替代ECU5输出(发送)使替代结束的信号(S11)。
从车载中继装置2取得(接收到)使替代结束的信号的替代ECU5使正在执行的替代程序停止,结束替代(S12)。
车载中继装置2以成为替代ECU5开始替代处理之前的中继路径信息的方式变更当前的中继路径信息(S13)。能够通过以成为替代ECU5开始替代处理之前的中继路径信息的方式变更当前的中继路径信息,而使恢复为进行正常动作的车载ECU3与其他车载ECU3能够进行通信。
图4是例示替代装置6的控制部20的处理的流程图。车载中继装置2(替代装置6)的控制部20在例如车辆C为启动状态下(IG开关接通),稳态地进行以下的处理。
车载中继装置2的控制部20取得从车载ECU3发送的发送数据(S100)。控制部20在对车载ECU3间的通信进行中继时,接收(取得)从这些车载ECU3发送的数据。
车载中继装置2的控制部20判定取得的发送数据是否异常(S101)。控制部20关于从车载ECU3发送的发送数据(接收到的接收数据),例如,基于该接收数据的发送定时或基于IDS的分析结果等,判定取得的发送数据是否异常。
在从车载ECU3发送的发送数据不异常的情况下(S101:否),即从车载ECU3发送的发送数据正常的情况下,车载中继装置2的控制部20为了再次执行S100的处理而进行循环处理。
在从车载ECU3发送的发送数据异常的情况下(S101:是),车载中继装置2的控制部20基于发送数据来确定异常的车载ECU3(S102)。控制部20提取取得的发送数据的标题信息包含的发送源地址或消息识别符(CAN-ID)等,参照车辆结构信息,确定该异常的发送数据的发送源即异常的车载ECU3。
车载中继装置2的控制部20使异常的车载ECU3无效(S103)。控制部20对于确定出的异常的车载ECU3,输出例如使其强制结束的信号,使该异常的车载ECU3无效。或者,可以通过废弃从确定出的异常的车载ECU3发送的数据等而使该异常的车载ECU3无效。
车载中继装置2的控制部20取得用于向替代ECU5应用的程序(S104)。控制部20例如参照车辆结构信息,确定无效了的车载ECU3的程序,从外部服务器100取得发挥与确定出的程序相同的功能的程序(替代程序)。或者,在替代程序预先存储(保存)于车载中继装置2的存储部21等、车载中继装置2的控制部20能够参照(访问)的存储区域的情况下,可以取得(使用)所保存的该替代程序。
车载中继装置2的控制部20将取得的程序应用于替代ECU5(S105)。控制部20将取得的程序(替代程序)向替代ECU5发送,并且向替代ECU5输出(发送)启动信号,由此将该替代程序应用于替代ECU5。应用了替代程序的替代ECU5通过执行该替代程序而启动,发挥与无效了的车载ECU3相同的功能,由此替代该车载ECU3。
车载中继装置2的控制部20变更中继路径信息(S106)。控制部20以使替代ECU5能够与其他车载ECU3进行通信的方式变更存储于本装置的存储部21的中继路径信息。
车载中继装置2的控制部20尝试无效了的车载ECU3的恢复(S107)。控制部20例如向无效了的车载ECU3发送重新启动信号,执行重编程处理,或者与无效了的车载ECU3进行基于诊断模式的通信,使无效了的车载ECU3执行自我恢复处理,由此尝试恢复处理。
车载中继装置2的控制部20判定无效了的车载ECU3是否恢复(S108)。控制部20例如与恢复的车载ECU3通过诊断模式进行通信,取得基于恢复的车载ECU3的自我诊断结果,从而判定无效了的车载ECU3是否恢复(正常化)。或者,控制部20可以对无效了的车载ECU3进行重编程处理而使其重新启动之后,对于从重新启动后的车载ECU3发送的发送数据进行分析,从而判定该重新启动后的车载ECU3是否正常地恢复(正常化)。
在未恢复的情况下(S108:否),车载中继装置2的控制部20再次使异常的车载ECU3无效(S1081)。在虽然尝试恢复处理但是无效了的车载ECU3未恢复(正常化)的情况下,即该车载ECU3的异常状态持续的情况下,控制部20再次使该异常的状态持续的车载ECU3无效。
在恢复了的情况下(S108:是),车载中继装置2的控制部20使基于替代ECU5的替代结束(S109)。在通过恢复处理而无效了的车载ECU3已恢复(正常化)的情况下,控制部20向替代ECU5输出(发送)例如使替代结束的信号。取得(接收)了使替代结束的信号的替代ECU5停止正在执行的替代程序,结束替代。
车载中继装置2的控制部20变更中继路径信息(S110)。控制部20以成为替代ECU5开始替代处理之前的中继路径信息的方式,变更当前的中继路径信息。
车载中继装置2的控制部20在进行了S110或S1081的处理之后,结束本流程图的处理。或者,控制部20也可以在进行了S110的处理之后,为了再次执行S100的处理而进行循环处理。车载中继装置2的控制部20也可以将本流程图的处理中的与判定(S101、S108)相关的判定结果是确定为异常的车载ECU3涉及的信息存储于存储部21,向显示装置7或外部服务器100输出,将这些信息向车辆C的操作者或外部服务器100的管理者报知。
替代装置6使成为异常的车载ECU3无效而防止对其他车载装置或车辆C造成影响,并能够使替代ECU5替代地实施成为异常的车载ECU3本来在正常时实施的功能。因此,例如,在车辆C具备自动驾驶功能的情况下,即使某一个车载ECU3发生异常,也能够通过使异常的车载ECU3无效,替代ECU5进行替代,而使自动驾驶继续。
替代装置6基于存储于本装置的车辆结构信息,确定替代的车载ECU3执行的程序。替代装置6从外部服务器100取得通过应用于替代ECU5而发挥与确定出的该程序相同的功能的程序(替代程序),因此不用压迫本装置的存储部21的存储区域而能够取得与多个车载ECU3的程序对应的替代程序。
替代装置6在通过替代ECU5替代了无效了的车载ECU3之后,尝试该无效了的车载ECU3的恢复,在无效了的车载ECU3已恢复(正常化)的情况下,结束基于替代ECU5的替代。因此,能够使成为异常的车载ECU3的功能由替代ECU5替代而持续,并使该异常的车载ECU3高效地恢复。
(实施方式2)
图5是例示实施方式2(虚拟环境)的替代装置6的逻辑结构的框图。实施方式2的替代装置6在虚拟环境上执行替代ECU5中的替代程序,这一点与实施方式1不同。实施方式2的替代装置6与实施方式1的替代装置6相同地包含车载中继装置2及替代ECU5(替代部)。实施方式2的替代装置6包含的车载中继装置2具有与实施方式1的替代装置6相同的结构及功能,省略详细的说明。
实施方式2的替代装置6包含的替代ECU5与实施方式1的替代ECU5相同地包含控制部50、存储部51及车内通信部52,车内通信部52包含以太网通信部521及CAN通信部522中的至少任一方或两方。即,实施方式1的替代ECU5与实施方式2的替代ECU5的硬件结构为相同的结构。
图5是例示实施方式2的替代ECU5的逻辑结构的图,是例示将基于控制部50等的硬件层(物理基盘)设为最下层,将在虚拟环境下执行的替代程序设为最上层的阶层结构的框图。
在替代ECU5的存储部51存储有虚拟化操作系统53(Hypervisor:虚拟机监视器),替代ECU5的控制部50使用虚拟化操作系统53而启动,由此能够在虚拟化操作系统53上构筑多个虚拟环境。虚拟化的方式可以是如图5所示通过虚拟化操作系统53直接地访问控制部50等的硬件资源的虚拟机监控器方式、或者在虚拟化操作系统53与硬件资源之间介有Linux(注册商标)等操作系统的主操作系统方式。
使用虚拟化操作系统53而启动后的替代ECU5通过虚拟化操作系统53的功能能够构筑多个虚拟环境,向多个虚拟环境分配替代ECU5具备的控制部50等的硬件资源。被分配了该硬件资源的虚拟环境分别具备虚拟的控制部(虚拟控制部)、存储部(虚拟存储部)及车内通信部(虚拟车内通信部),作为虚拟ECU54发挥功能。
在虚拟ECU54各自的虚拟存储部分别存储例如Ubuntu(注册商标)等客户操作系统,虚拟ECU54分别使客户操作系统启动,在该客户操作系统上执行替代程序,由此替代无效了的车载ECU。如上所述,虚拟存储部的实体是分别被分配了虚拟ECU54的存储部51的存储区域,因此客户操作系统也与虚拟化操作系统53相同地存储于存储部51,这是不言而喻的。在客户操作系统上的程序的动作环境与成为替代对象的无效了的车载ECU中的程序的动作环境不同的情况下,可以启动在客户操作系统上吸收该动作环境的差异的模拟器作为中间软件。或者,在使用容器方式的虚拟化操作系统53的情况下,不需要客户操作系统,可以在该虚拟化操作系统53上生成容器,在该容器上启动模拟器,吸收该动作环境的差异。
使用虚拟化操作系统53而启动的替代ECU5由构筑的任一虚拟环境(虚拟ECU54)中的一个虚拟ECU54,执行对该虚拟环境进行管理的程序(虚拟环境管理程序)。执行虚拟环境管理程序的虚拟ECU54与车载中继装置2的控制部20进行通信,基于从车载中继装置2发送的信号,执行由虚拟化操作系统53准备的命令等,由此进行新的虚拟ECU54的生成或生成的虚拟ECU54的删除。即,执行虚拟环境管理程序的虚拟ECU54可以兼作虚拟化操作系统53的控制面板。
执行虚拟环境管理程序的虚拟ECU54在从车载中继装置2发送了替代程序的情况下,生成新的虚拟ECU54,在生成的虚拟ECU54上,执行从车载中继装置2取得的该替代程序,从而能够将替代程序应用于替代装置6。也可以是,执行虚拟环境管理程序的虚拟ECU54在从车载中继装置2发送了使替代结束的信号的情况下,基于该信号使执行替代处理的虚拟ECU54中的替代程序停止,或者将生成的虚拟ECU54删除。
通过使用虚拟化操作系统53而启动的替代ECU5,将进行虚拟ECU54的生成或删除等的虚拟环境的整体管理的虚拟ECU54和执行替代程序的虚拟ECU54设为不同的动作环境,抑制这些虚拟ECU54间的相互干涉,能够实现虚拟ECU54各自的稳定运行。
通过使用安装在虚拟化操作系统53上的客户操作系统或模拟器,能够使虚拟ECU54的程序执行环境与无效了的车载ECU3的程序执行环境相同或具有互换性。因此,即使车载ECU3与替代ECU5的硬件规格不同,也能吸收该规格的差异,能够由虚拟ECU54执行与作为替代对象的车载ECU3的程序相同的程序作为替代程序。
如图5所示,替代ECU5根据来自车载中继装置2的控制部20的指示,生成多个虚拟ECU54,在生成的多个虚拟ECU54各自能够执行不同的替代程序。因此,即使同时期地多个车载ECU3成为异常的情况下,也能够利用单一的替代ECU5生成多个虚拟ECU54,能够进行该多个车载ECU3的替代。
应认为本次公开的实施方式在全部的点上为例示而不是限制性的。本公开的范围不是由上述的意思而由权利要求书公开,并包含与权利要求书等同的意思及范围内的全部变更。
附图标记说明
C 车辆
S 车载控制装置替代系统
100 外部服务器(OTA服务器)
101 存储部
1 车外通信装置
11 天线
2 车载中继装置(网关)
20 控制部
21 存储部
211 记录介质
22 输入输出I/F
23 车内通信部
231 以太网通信部
232 CAN通信部
3 车载ECU(车载控制装置)
4 车内LAN
41 通信线
411 以太网线缆
412 CAN总线
42 传感器
43 促动器
5 替代ECU(替代部)
50 控制部
51 存储部
52 车内通信部
521 以太网通信部
522 CAN通信部
53 虚拟化操作系统
54 虚拟ECU(虚拟环境)
6 替代装置
7 显示装置。

Claims (10)

1.一种替代装置,搭载于安装有多个车载控制装置的车辆,具备控制部和替代部,
所述控制部基于从所述多个车载控制装置发送的发送数据来控制替代部,
所述控制部基于所述发送数据来确定异常的车载控制装置,
所述控制部使所确定的所述异常的车载控制装置无效,
所述控制部将用于发挥所确定的所述异常的车载控制装置在正常时实施的功能的程序应用于所述替代部,
所述替代部通过执行所应用的所述程序来替代无效了的所述车载控制装置。
2.根据权利要求1所述的替代装置,其中,
所述多个车载控制装置通过控制局域网络或以太网的通信协议而与所述控制部以能够通信的方式连接,
所述替代部通过所述控制局域网络及所述以太网的通信协议而与所述控制部以能够通信的方式连接。
3.根据权利要求1或2所述的替代装置,其中,
所述控制部如下进行控制:在将所述程序应用于所述替代部之前,用于对从所述多个车载控制装置发送的所述发送数据进行中继的中继路径不包含所述替代部,
在将所述程序应用于所述替代部之后,所述中继路径包含所述替代部。
4.根据权利要求1~3中任一项所述的替代装置,其中,
所述替代部替代车载控制装置,该车载控制装置进行基于经由用于与其他车载控制装置进行通信的通信路径而取得的数据来生成输出的数据,并将生成的所述数据经由所述通信路径而输出的处理。
5.根据权利要求1~4中任一项所述的替代装置,其中,
在所述车辆中安装有用于与车外的外部服务器进行通信的车外通信装置,
所述控制部经由所述车外通信装置而从所述外部服务器取得所述程序,
所述控制部将取得的所述程序应用于所述替代部。
6.根据权利要求1~5中任一项所述的替代装置,其中,
所述控制部对无效了的所述车载控制装置进行恢复处理,
在无效了的所述车载控制装置通过所述恢复处理而变为正常的情况下,所述控制部使基于所述替代部的替代停止。
7.根据权利要求1~5中任一项所述的替代装置,其中,
所述替代部通过虚拟化操作系统生成虚拟环境,
在所述虚拟环境上执行所述程序。
8.根据权利要求7所述的替代装置,其中,
所述虚拟环境对应于无效了的所述车载控制装置的个数而生成,
所述程序的个数与无效了的所述车载控制装置的个数相同,
所述程序分别在对应于所述个数而生成的各虚拟环境上执行。
9.一种替代控制程序,使计算机执行如下的处理:
基于从搭载于车辆的多个车载控制装置发送的发送数据,来确定异常的车载控制装置,
使所确定的所述异常的车载控制装置无效,
通过执行用于发挥所确定的所述异常的车载控制装置在正常时实施的功能的程序来替代无效了的所述车载控制装置。
10.一种替代方法,
基于从搭载于车辆的多个车载控制装置发送的发送数据,来确定异常的车载控制装置,
使所确定的所述异常的车载控制装置无效,
通过执行用于发挥所确定的所述异常的车载控制装置在正常时实施的功能的程序来替代无效了的所述车载控制装置。
CN202080016093.0A 2019-03-11 2020-01-15 替代装置、替代控制程序及替代方法 Pending CN113498509A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2019-044034 2019-03-11
JP2019044034A JP7225948B2 (ja) 2019-03-11 2019-03-11 代替装置、代替制御プログラム及び代替方法
PCT/JP2020/001054 WO2020183897A1 (ja) 2019-03-11 2020-01-15 代替装置、代替制御プログラム及び代替方法

Publications (1)

Publication Number Publication Date
CN113498509A true CN113498509A (zh) 2021-10-12

Family

ID=72427213

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202080016093.0A Pending CN113498509A (zh) 2019-03-11 2020-01-15 替代装置、替代控制程序及替代方法

Country Status (4)

Country Link
US (1) US11630746B2 (zh)
JP (2) JP7225948B2 (zh)
CN (1) CN113498509A (zh)
WO (1) WO2020183897A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114666363A (zh) * 2022-02-25 2022-06-24 阿波罗智联(北京)科技有限公司 信息传输方法、装置、电子设备、存储介质及产品

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE112018007548B4 (de) * 2018-06-01 2021-07-08 Mitsubishi Electric Corporation Datenkommunikationssteuerungseinrichtung, Datenkommunikationssteuerprogramm und Datensteuerungssystem
US20210327173A1 (en) * 2019-05-31 2021-10-21 Lg Electronics Inc. Autonomous vehicle system and autonomous driving method for vehicle
IL295313A (en) * 2020-05-21 2022-10-01 High Sec Labs Ltd A system and method for identifying and preventing cyber attacks in vehicle networks
WO2024090288A1 (ja) * 2022-10-27 2024-05-02 ソフトバンクグループ株式会社 Central Brain制御の冗長設定

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3864747B2 (ja) * 2001-10-09 2007-01-10 株式会社デンソー 冗長系信号処理装置
JP2008168649A (ja) * 2007-01-05 2008-07-24 Mazda Motor Corp 車両用制御システム
JP6024564B2 (ja) 2013-03-28 2016-11-16 株式会社オートネットワーク技術研究所 車載通信システム
US9401923B2 (en) * 2013-10-23 2016-07-26 Christopher Valasek Electronic system for detecting and preventing compromise of vehicle electrical and control systems
JP5784786B1 (ja) * 2014-04-11 2015-09-24 三菱電機株式会社 電子制御装置
WO2015170453A1 (ja) * 2014-05-08 2015-11-12 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車載ネットワークシステム、不正検知電子制御ユニット及び不正対処方法
JP2018182767A (ja) 2018-08-22 2018-11-15 日立オートモティブシステムズ株式会社 Ecu、ネットワーク装置、及び車用ネットワーク装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114666363A (zh) * 2022-02-25 2022-06-24 阿波罗智联(北京)科技有限公司 信息传输方法、装置、电子设备、存储介质及产品
CN114666363B (zh) * 2022-02-25 2024-03-01 阿波罗智联(北京)科技有限公司 信息传输方法、装置、电子设备、存储介质及产品

Also Published As

Publication number Publication date
US20220206909A1 (en) 2022-06-30
JP2020149130A (ja) 2020-09-17
JP7485110B2 (ja) 2024-05-16
US11630746B2 (en) 2023-04-18
JP7225948B2 (ja) 2023-02-21
JP2023041817A (ja) 2023-03-24
WO2020183897A1 (ja) 2020-09-17

Similar Documents

Publication Publication Date Title
WO2020183897A1 (ja) 代替装置、代替制御プログラム及び代替方法
JP7071574B2 (ja) ゲートウェイ装置、車載ネットワークシステム及びファームウェア更新方法
US11223525B2 (en) Gateway device, firmware update method, and recording medium
US11842185B2 (en) Gateway device, in-vehicle network system, and firmware update method
WO2020189710A1 (ja) 車載更新装置、更新処理プログラム及び、プログラムの更新方法
WO2020080273A1 (ja) 車載更新装置、更新処理プログラム及び、プログラムの更新方法
JP2020075580A (ja) プログラム更新システム及び更新処理プログラム
JP6060782B2 (ja) 中継装置
JP7310570B2 (ja) 車載更新装置、プログラム及び、プログラムの更新方法
WO2021205819A1 (ja) 車載中継装置、情報処理方法及びプログラム
US12001538B2 (en) On-board computer, computer execution method, and computer program
WO2021205825A1 (ja) 車載装置、情報処理方法及びコンピュータプログラム
US20230107783A1 (en) In-vehicle information processing apparatus, information processing method, and server program
CN115315692A (zh) 车载中继装置、信息处理方法及程序
WO2020105657A1 (ja) 車載中継装置及び中継方法
CN114128222A (zh) 中继装置系统
CN113631430B (zh) 车载计算机、计算机执行方法及计算机程序
CN112204926B (zh) 数据通信控制装置、非易失性存储器以及车辆控制系统
CN118043234A (zh) 车载装置、程序以及程序的更新方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination