CN117785599A - 控制装置、控制方法以及存储介质 - Google Patents

Abstract

本发明提供控制装置、控制方法以及存储介质，能够不影响车载设备本来的功能而执行控制车辆设备的软件的验证。该控制装置通过执行程序来控制被搭载于车辆的设备，其中，所述控制装置具备：存储部，其存储程序；以及处理器，处理器在开始执行存储于存储部的程序之后，能够执行验证动作，该验证动作是部分地执行程序来进行验证，所述处理器根据处理器的负荷状态来变更验证动作的执行方式。

Description

控制装置、控制方法以及存储介质

技术领域

本发明涉及控制装置、控制方法以及存储介质。

背景技术

近年来，以提高交通的安全性、提高车辆的居住性为目的，搭载于车辆的软件的功能不断发展。而且，随着软件的功能的进化，程序的构造复杂化，因此需要验证软件的行为正常的手段。例如，在专利文献1中公开了用于执行车载控制程序并监视执行内容的方法。在专利文献1的方法中，监视车载控制程序的执行内容的处理成为CPU的处理负荷，为了解决本来应执行的控制程序不能正确地动作的课题，不经由CPU而通过DMA传输来执行程序的执行时数据的制作或发送。

现有技术文献

专利文献

专利文献1：日本特开2018-41130号公报

发明内容

发明所要解决的课题

在专利文献1中，将对CPU处理的数据进行DMA传输的技术应用于车载控制程序，在能够应用的硬件以及软件构造上存在限制。因此，在执行基于软件的控制的期间，为了不给控制带来障碍，存在进行软件的验证的机会被限制的课题。

本发明是鉴于上述背景而完成的，其目的在于增加对控制车辆设备的软件进行验证的机会，进而有助于可持续的输送系统的发展。

用于解决课题的手段

本发明的一方案是一种控制装置，其通过执行程序来控制被搭载于车辆的设备，其中，所述控制装置具备：存储部，其存储所述程序；以及处理器，所述处理器在开始执行存储于所述存储部的所述程序之后，能够执行验证动作，该验证动作是部分地执行所述程序来进行验证，所述处理器根据所述处理器的负荷状态来变更所述验证动作的执行方式。

根据本发明的其他方式，所述处理器基于所述车辆的行驶状态来判定所述处理器的负荷状态，根据判定结果来变更所述验证动作的执行方式。

根据本发明的其他方式，所述处理器基于所述车辆的与所述程序相关的功能和所述车辆的行驶状态来判定所述处理器的负荷状态，并根据判定结果来变更所述验证动作的执行方式。

根据本发明的另一方案，所述处理器执行与所述车辆的行驶控制相关的所述程序，能够将所述验证动作的执行频度设定为第一频度以及比所述第一频度低的第二频度，在所述车辆的速度为第一速度以上时，设所述验证动作的执行频度为所述第二频度；在所述车辆的速度为第二速度以下时，设所述验证动作的执行频度为所述第一频度。

根据本发明的其他方式，所述处理器执行与用户上下所述车辆时进行动作的装备相关的所述程序，能够将所述验证动作的执行频度设定为第三频度以及比所述第三频度高的第四频度，在所述车辆的速度为第一速度以上时，设所述验证动作的执行频度为所述第四频度；在所述车辆的速度为第二速度以下时，设所述验证动作的执行频度为所述第三频度。

本发明的另一方案是一种控制方法，通过由具备存储部和处理器的控制装置执行存储于所述存储部的程序来控制被搭载于车辆的设备，其中，通过所述处理器，在开始执行存储于所述存储部的所述程序之后，执行验证动作，该验证动作是部分地执行所述程序来进行验证，根据所述处理器的负荷状态来变更所述验证动作的执行方式。

本发明的另一方式是一种存储介质，其是存储有由控制装置执行的控制程序，所述控制装置具备存储部和处理器，并对被搭载于车辆的设备进行控制，其中，所述控制程序使所述处理器进行以下处理：在所述处理器开始执行存储于所述存储部的程序之后，能够执行验证动作，该验证动作是部分地执行所述程序来进行验证；以及根据所述处理器的负荷状态来变更所述验证动作的执行方式。

发明效果

根据上述结构，在对搭载于车辆的设备进行控制的控制装置中，能够在抑制对设备的控制的影响的同时进行控制设备的程序的验证，因此能够增加进行程序的验证的机会。因此，能够实现程序的动作的稳定化、不适当的程序的举动的防止等，进而能够实现对可持续的输送系统的发展的贡献。

附图说明

图1是表示车辆控制系统的图。

图2是表示车辆控制系统的主要部分的结构例的框图。

图3是表示车辆的动作状态的状态迁移图。

图4是表示ECU的动作例的时序图。

图5是表示车辆控制系统的动作例的说明图。

图6是表示ECU的动作例的流程图。

附图标记说明

1…车辆控制系统、2…中央ECU、4、4a-4c…通信线、20…网关ECU、20a…第一网关ECU、20b…第二网关ECU、20c…第三网关ECU、30、30a-30i…ECU(控制装置)、31…处理器、32…存储器(存储部)、41…行驶系统ECU(控制装置)、42…车身系统ECU(控制装置)、51…执行部、52…验证部、61…OS、62…应用A、63…应用B、V…车辆。

具体实施方式

图1是表示车辆控制系统1的图。车辆控制系统1搭载于车辆V，具备进行车辆V整体的控制以及信息处理的中央ECU2。中央ECU2与包括通信线4a、4b、4c的通信线连接。中央ECU2实现对这些通信线之间的通信数据的收发进行管理的网关的功能。中央ECU2例如也可以连接有依据移动通信系统的通信标准的无线装置即未图示的TCU(Telematics ControlUnit；远程信息处理控制单元)。中央ECU2利用TCU的通信功能，例如执行OTA(Over TheAir；空中下载)管理。OTA管理包括与从车外的服务器下载车辆V所具备的车载装置的更新程序的处理、以及将下载的更新程序应用于车载装置的处理相关的控制。

在通信线4a、4b以及4c分别连接有第一网关ECU20a、第二网关ECU20b以及第三网关ECU20c。与第一网关ECU20a、第二网关ECU20b以及第三网关ECU20c连接的ECU的数量、种类没有限制，在本实施方式中示出一个结构例。在该例中，在第一网关ECU20a连接有ECU30a、30b、30c。在第二网关ECU20b连接有ECU30d、30e、30f。另外，在第三网关ECU20c连接有ECU30g、30h、30i。

以下，也将第一网关ECU20a、第二网关ECU20b以及第三网关ECU20c统称为网关ECU20，也将ECU30a-30i统称为ECU30。

在网关ECU20分别连接有配置于车辆V的车身空间的相同的分区内的多个ECU30、或者控制配置于相同的分区内的设备的动作的多个ECU30。在此，设备包括马达等设备、传感器、其他装置。

另外，在中央ECU2上，除了可以连接网关ECU20之外，还可以连接其他控制装置和装置。这样的控制装置或设备可以包括ICB(Infotainment Control Box；信息娱乐控制盒)、扬声器、麦克风、仪表盘、转向开关、GNSS(Global Navigation Satellite System；全球导航卫星系统)传感器、触摸面板等。

在本实施方式中，通信线4a、4b以及4c例如由进行依据CAN通信标准的通信的CAN总线构成。以下，将通信线4a、4b以及4c统称为通信线4。

与通信线4连接的网关ECU20按照现有技术，将待发送的数据按照CAN通信标准通过一个帧或作为多个帧的列向通信线4送出。依照CAN通信标准，在送出的各帧中包含识别代码(ID)，接收到帧的各网关ECU20基于该帧所包含的ID，判断该帧是否是发送给自身的帧。

与第一网关ECU20a、第二网关ECU20b以及第三网关ECU20c连接的ECU30的种类、功能没有特别限制。在本实施方式中，车辆控制系统1具有包括ECU30a、30b、30c的行驶系统ECU41和包括ECU30d、30e、30f的车身系统ECU42。行驶系统ECU41与车身系统ECU42的区别相当于车辆V的功能。

行驶系统ECU41所包含的ECU30是控制与车辆V的行驶相关的设备的ECU30。例如，行驶系统ECU41所包含的ECU30控制使车辆V行驶的行驶用马达、作为车辆V的驱动源的内燃机、加速器、制动器等操纵器、VSA装置(VSA；Vehicle Stability Asist；车辆稳定辅助系统)等。行驶系统ECU41也可以包括与辅助车辆V的驾驶的驾驶辅助功能、自主驾驶功能相关的ECU30。作为这种ECU30，例如可举出ADAS-ECU(ADAS；Advanced Driver-AssistaceSystem；先进驾驶辅助系统)。

车身系统ECU42所包含的ECU30对装配于车辆V的车身的装备中的不直接参与车辆V的行驶的设备进行控制。详细而言，这些设备包括不相当于使车辆V的行驶状态变化的设备的设备，也可以包括车辆V的行驶所需的设备。例如，车身系统ECU42所包含的ECU30控制电池、前照灯等灯体、用户上下车辆V时进行动作的装备、温度传感器、车外摄像头、车厢内摄像头等。用户上下车辆V时进行动作的装备例如是门、后门以及附属于它们的传感器，具体而言，可举出驱动门窗的车窗马达、驱动门锁机构的致动器、使门动作的马达、门锁传感器、门开闭传感器。另外，车身系统ECU42所包括的ECU30也可以包括控制车辆V中的与信息娱乐功能相关的设备的ECU30、执行信息娱乐功能的ECU30。作为信息娱乐功能，可举出与音乐播放、无线电广播、电视广播的接收以及视听、利用因特网等网络分发的音乐、影像的播放、视频游戏的执行等相关的功能。

除了行驶系统ECU41及车身系统ECU42之外，车辆控制系统1所包含的ECU30还可以包含MPU(Map Positioning Unit；地图定位装置)、MVC-ECU(MVC；Multi View Camera；多视角摄影)、PKS-ECU(PKS；ParkingSupport)及其他对车辆V所具备的各种设备、传感器的动作进行控制的ECU。

图1的结构是一例。例如，也可以是行驶系统ECU41所包含的ECU30与第一网关ECU20a、第二网关ECU20b以及第三网关ECU20c分散地连接的结构。另外，也可以在第一网关ECU20a连接行驶系统ECU41以外的ECU30。这同样适用于被包括在车身系统ECU42中的ECU30。

图2是表示车辆控制系统1的主要部分的结构例的框图，示出第二网关ECU20b和与第二网关ECU20b连接的ECU30d的结构。ECU30d是属于车身系统ECU42的ECU30。

ECU30d具备处理器31以及存储器32。处理器31例如由CPU(Central ProcessingUnit；中央处理器)、MCU(Micro Controller Unit；微控制器)或MPU(Micro ProcessorUnit；微处理器)构成。存储器32非易失性地存储处理器31执行的程序以及由处理器31处理的数据。存储器32例如由ROM(Read Only Memory；只读存储器)构成。存储器32也可以具备形成用于暂时存储程序以及数据的工作区域的RAM(Random Access Memory：随机存取存储器)。在本公开中，ECU30d对应于控制装置的一例。ECU30d也可以由一体地具备处理器31以及存储器32的集成电路构成。另外，ECU30d也可以是具备处理器31、存储器32以及其他电路各自作为独立的硬件的结构。存储器32对应于存储部的一例。

存储器32存储OS(Operating System；操作系统)61、应用A62和应用B63。OS61是处理器31执行的基本控制程序。通过处理器31执行OS61，实现ECU30d的基本功能，进而，处理器31构成用于执行应用程序的平台。

应用A62及应用B63是ECU30d执行的应用程序的一例。ECU30d执行的应用程序不限定于应用A62以及应用B63。ECU30d也可以能够执行3个以上的应用程序。另外，应用A62以及应用B63也可以是一个应用程序所包含的程序模块。

处理器31具有执行部51以及验证部52。它们例如是通过处理器31执行OS61而实现的功能部。执行部51执行应用A62和应用B63。通过执行部51执行应用A62及应用B63中的任一方或双方，ECU30d能够控制与ECU30d连接的设备。

验证部52验证应用A 62和应用B 63是否正常动作。通过验证部52进行验证，在应用A62以及应用B63以不完整的状态安装于ECU30d的情况下、由于数据等的损坏而不能正常地执行应用A62以及应用B63的情况下、以及对应用A62以及应用B63实施了不适当的改变的情况下，能够发现它们。

如下所述，验证部52在执行部51执行应用A62之前验证应用A62。在该情况下，执行部51通过验证用的环境、例如验证用的虚拟机来执行应用A62，使应用A62启动以及动作。执行部51通过将正在执行中的应用A62的举动、应用A62的处理结果与正常的动作进行比较，来判定应用A62是否正常地动作。同样地，验证部52在执行部51执行应用B63之前验证应用B63。

验证部52可以在执行部51正在执行应用A62或应用B63时进行应用A62以及应用B63中的任意应用的验证。在该情况下，验证部52在执行部51的动作中在后台动作，进行应用A62或者应用B63的验证。处理器31执行由执行部51进行的应用A62或应用B63的执行和验证部52的后台处理。例如，处理器31在执行部51未占用处理器31的处理的时间进行基于验证部52的后台处理。

验证部52在执行部51的动作中通过后台处理进行应用A62的验证的情况下，通过验证用的环境执行应用A62的一部分。同样地，验证部52在执行部51的动作中通过后台处理进行应用B63的验证的情况下，通过验证用的环境执行应用B63的一部分。

应用A62能够分割为多个区域。例如，应用A62被验证部52分割为图2所示的区域A1、A2、A3、…、A(X-1)、AX。应用A62也可以是能够分割区域A1-AX的结构。具体而言，区域A1-AX也可以是验证部52能够单独执行的模块。或者，也可以是，应用A62由多个程序的集合构成，区域A1-AX是能够分别执行的程序。另外，也可以是，应用A62构成为一体的程序，验证部52将应用A62分割为区域A1-AX。

与应用A62同样地，应用B63能够分割为多个区域。例如，应用B63被验证部52分割为图2所示的区域B1、B2、B3、…、B(X-1)、BX。应用B63也可以是能够分割区域B1-BX的结构。具体而言，区域B1-BX也可以是验证部52能够单独执行的模块。或者，也可以是，应用B63由多个程序的集合构成，区域B1-BX是能够分别执行的程序。此外，也可以将应用B63构成为一体的程序，验证部52将应用B63分割为区域B1-BX。

图2所示的ECU30d的结构是一例，但车辆控制系统1具备的ECU30中的ECU30d以外的ECU30也与ECU30d同样地构成。车辆控制系统1所具备的ECU30中的至少行驶系统ECU41所包含的各个ECU30以及车身系统ECU42所包含的各个ECU30与ECU30d同样地具备执行部51以及验证部52。这些ECU30与应用A62或者应用B63同样地具有能够分割的应用程序，在执行应用程序的过程中，能够通过验证部52分割应用程序来进行验证。各个ECU30执行的应用程序的数量、种类不受限制，能够根据ECU30的使用、功能适当地变更。

ECU30对应于控制装置的一例，通过处理器31执行程序。属于行驶系统ECU41的ECU30是执行与车辆V的行驶控制相关的程序的控制装置的一例，属于车身系统ECU42的ECU30是执行与用户上下车辆V时进行动作的装备相关的程序的控制装置的一例。

图3是表示车辆V的动作状态的状态转换图。

图3所示的状态S1-S5表示车辆V的动作状态。电源断开状态S1是车辆控制系统1的电源断开、且车辆V的驱动源停止的状态。电源断开状态S1例如是车辆V停车、且驾驶员等用户不在车辆V的附近的状态。

在电源断开状态S1下，当进行解除车辆V的门锁的操作等时，车辆控制系统1启动，转移到唤醒状态S2。在唤醒状态S2下，进行车辆控制系统1的各部的动作的初始化和启动。例如，在唤醒状态S2下，中央ECU2和网关ECU20检测构成车辆控制系统1的多个ECU30和连接到各个ECU30的装置的状态。另外，例如，ECU30d在唤醒状态S2下执行OS61，成为能够通过处理器31控制ECU30d的各部的状态。在车辆控制系统1的中央ECU2、网关ECU20、以及与车辆控制系统1的启动相关的ECU30的启动完成之后，车辆控制系统1能够转移到停车状态S3。

停车状态S3、可行驶状态S4以及行驶状态S5是能够使车辆V的驱动源动作的状态。将这些状态统称为IG_ON状态S10。以在唤醒状态S2下进行使车辆V的驱动源起动的操作为触发，车辆控制系统1转移到停车状态S3。该操作例如是通过SSSW(Start Stop Switch；起动-停止开关)使点火开启的操作(IG_ON操作)。

在车辆V是具有内燃机作为驱动源的车辆的情况下，在停车状态S3下，车辆V是内燃机正在动作，或者是能够迅速启动内燃机的状态。在车辆V是具有马达作为驱动源的车辆的情况下，在停车状态S3下，车辆V是能够使马达旋转的状态，例如是能够从逆变器向马达供电的状态。在停车状态S3下，车辆V不行驶。例如，车辆V的变速器的状态、即档位为P档。

在停车状态S3下，若进行使车辆V的驱动源停止的操作，则车辆V转移到电源断开状态S1。该操作例如是通过SSSW使车辆V的点火关闭的操作(IG_OFF操作)。

在停车状态S3下，若车辆V进行用于进行行驶的操作，则车辆V转移到可行驶状态S4。可行驶状态S4是车辆V能够通过用户的加速踏板等的操作而开始行驶的状态。在可行驶状态S4下，车辆V的档位为P档以外，是能够使车辆V前进或后退的状态。例如，若在停车状态S3下进行将车辆V的档位从P档切换为其他档的操作，则车辆V转移到可行驶状态S4。

另外，在可行驶状态S4下，若进行将车辆V的档位切换为P档的操作，则车辆V转移到停车状态S3。

可行驶状态S4除了车辆V完全停止的状态以外，也可以包括车辆V移动的状态。例如，可行驶状态S4也可以包括车辆V的速度是视为停止的程度的低速的情况。作为一例，本实施方式的可行驶状态S4包括车辆V处于向前进方向或后退方向行驶的状态、且车辆V的速度为低速的状态。

行驶状态S5是车辆V正在行驶的状态。

在本实施方式中，在可行驶状态S4下车辆V的速度成为第一速度以上的情况下，车辆V转移到行驶状态S5。另外，在行驶状态S5下，在车辆V的速度成为第二速度以下的情况下，车辆V从行驶状态S5转移到可行驶状态S4。第一速度例如为10km/小时，第二速度例如为5km/小时。第一速度以及第二速度是判定车辆V是可行驶状态S4还是行驶状态S5的阈值。第一速度和第二速度也可以相同。若将第二速度设为比第一速度低的值，则能够避免动作状态的频繁变更，从而优选。

在车辆控制系统1中，例如，中央ECU2监视和判定车辆V的操作状态。另外，ECU30通过从中央ECU2获取车辆V的动作状态或者动作状态的变化，能够确定车辆V的动作状态。另外，ECU30也可以通过从中央ECU2获取车辆V的速度等信息来判定车辆V的动作状态。

图4是表示ECU30的动作例的时序图，表示ECU30启动时的动作。图4的(a)的步骤ST11-ST14表示执行部51的动作，图4的(b)的步骤ST21-ST26表示验证部52的动作。在图4所示的动作例中，在ECU30启动后执行应用A62，接着执行应用B63。

执行部51及验证部52通过ECU30的起动而开始动作(步骤ST11、ST21)。执行部51通过执行OS61来进行启动应用A62以及应用B63的准备(步骤ST12)。这里，执行部51对验证部52进行验证请求，根据该验证请求，验证部52执行应用A62的验证(步骤ST22)。在步骤ST22中，验证部52在不划分区域A1至AX的状态下验证整个应用A62。将该验证称为整体验证。

验证部52在应用A62的整体验证结束时，对执行部51进行验证结束通知。执行部51在从验证部52接收到验证结束通知时，执行应用A62(步骤ST13)。随后，当执行部51请求验证部52验证应用B63时，验证部52验证整个应用B63(步骤ST23)。在应用B63的整体验证结束后，验证部52向执行部51进行验证结束通知，根据该验证结束通知，执行部51执行应用B63(步骤ST14)。

在步骤ST11-ST14以及步骤ST21-ST24中，验证部52执行应用程序A62以及应用程序B63的验证，在验证结束后，执行部51执行应用程序A62以及应用程序B63。在该动作例中，在ECU30启动时，进行执行ECU30所执行的应用程序的整体的检查。

在车辆控制系统1中，验证部52在执行部51执行应用程序的过程中验证应用程序。该验证以按每个区域在验证用的环境下执行应用程序的方式进行。在完成应用A62和应用B63的整体验证之后，验证部52开始BG(background；后台)验证处理(步骤ST24)。在BG验证处理中，验证部52选择作为验证对象的应用程序的区域(步骤ST25)，进行所选择的区域的验证(步骤ST26)。

验证部52在BG验证处理中，例如对应用A62的区域A1-AX以及应用B63的区域B1-BX分别依次执行步骤ST25-ST26的处理。验证部52的BG验证处理在执行部51的动作的后台按应用程序的每个区域执行。即，验证部52按每个区域反复执行步骤ST25-ST26的动作。

用于BG验证处理的资源的大小根据BG验证处理的执行周期而不同。当以短周期即高频度进行BG验证处理时，用于BG验证处理的资源大。ECU30变更BG验证处理的执行方式，以使得验证部52的BG验证处理不会对用于执行部51执行应用程序的资源造成过度的影响。作为BG验证处理的执行方式，可举出BG验证处理的执行周期、执行频度、在1次BG验证处理中验证的区域的数量及大小、验证的方法等。在本实施方式中，将ECU30对BG验证处理的执行周期进行变更、通过该周期的变更而对BG验证处理的执行频度进行变更的例作为对BG验证处理的执行方式进行变更的一例而进行说明。BG验证处理对应于验证动作的一例。

图5是表示车辆控制系统1的动作例的说明图。详细而言，图5是以横轴为时间轴的时序图，图5的(a)表示车辆控制系统1的电源的状态，图5的(b)表示车辆V的动作状态。图5的(c)表示属于行驶系统ECU41的ECU30执行的BG验证处理的执行状态，图5的(d)表示属于车身系统ECU42的ECU30执行的BG验证处理的执行状态。

图5示出车辆V在停车状态S3、可行驶状态S4以及行驶状态S5之间转移的期间的BG验证处理的执行状态。车辆V的动作状态在期间TE1为停车状态S3，在期间TE2为可行驶状态S4，在期间TE3为行驶状态S5，在期间TE4为可行驶状态S4，在期间TE5为停车状态S3。在期间TE1-TE5中，车辆控制系统1的电源状态为IG_ON状态S10。

属于行驶系统ECU41的ECU30进行与车辆V的驱动、制动相关的处理。因此，在车辆V行驶的期间，与执行部51的功能相关的处理器31的处理负荷高。因此，在行驶状态S5下，当降低验证部52执行BG验证处理的频度时，能够抑制处理器31的过负荷，是优选的。与此相对，在车辆V未行驶的状态、即停车状态S3以及可行驶状态S4下，属于行驶系统ECU41的ECU30执行执行部51的处理的频度低。因此，停车状态S3以及可行驶状态S4下的处理器31的处理负荷有富余。因此，即使在停车状态S3以及可行驶状态S4下验证部52以高频度实施BG验证处理，处理器31成为过负荷的可能性也非常低。

另一方面，属于车身系统ECU42的ECU30进行与车辆V的车门等相关的处理。因此，在车辆V停车的期间，与执行部51的功能相关的处理器31的处理负荷高。因此，在停车状态S3以及可行驶状态S4下，如果降低验证部52执行BG验证处理的频度，则能够抑制处理器31的过负荷，是优选的。与此相对，在车辆V行驶的状态下，属于车身系统ECU42的ECU30执行执行部51的处理的频度低。因此，行驶状态S5下的处理器31的处理负荷有富余。因此，即使在行驶状态S5下验证部52以高频度实施BG验证处理，处理器31成为过负荷的可能性也非常低。

在本实施方式中，属于行驶系统ECU41的ECU30在停车状态S3以及可行驶状态S4下提高执行BG验证处理的频度，在行驶状态S5下降低执行BG验证处理的频度。另外，属于车身系统ECU42的ECU30降低在停车状态S3以及可行驶状态S4下执行BG验证处理的频度，提高在行驶状态S5下执行BG验证处理的频度。由此，能够在避免处理器31成为过负荷的情况的同时，以必要的频度执行应用A62和应用B63的验证。

具体而言，如图5的(c)所示，属于行驶系统ECU41的ECU30在期间TE1以及期间TE2中以周期t1执行BG验证处理。在车辆V转移到行驶状态S5的情况下，即在期间TE3中，ECU30将BG验证处理的周期变更为周期t2。周期t2是比周期t1长的周期。因此，与期间TE1、TE2中的BG验证处理的执行频度相比，期间TE3中的BG验证处理的执行频度较低。另外，在期间TE4、TE5中，设ECU30执行BG验证处理的周期为周期t1。在期间TE4、TE5中，车辆V的速度成为第二速度以下，车辆V转移到可行驶状态S4或停车状态S3，因此BG验证处理的执行频度提高。

另外，如图5的(d)所示，属于车身系统ECU42的ECU30在期间TE1以及期间TE2中以周期t3执行BG验证处理。在车辆V转移到行驶状态S5的情况下，即在期间TE3中，ECU30将BG验证处理的周期变更为周期t4。周期t4是比周期t3短的周期。因此，与期间TE1、TE2中的BG验证处理的执行频度相比，期间TE3中的BG验证处理的执行频度较高。另外，在期间TE4、TE5中，设ECU30执行BG验证处理的周期为周期t3。在期间TE4、TE5中，车辆V的速度成为第二速度以下，车辆V转移到可行驶状态S4或者停车状态S3，所以BG验证处理的执行频度变低。

这样，ECU30通过与车辆V的行驶状态对应地变更BG验证处理的执行周期，从而变更BG验证处理的执行频度。BG验证处理的执行周期的变更可以由ECU30进行，也可以由中央ECU2或网关ECU20对ECU30指示执行周期的变更。在本实施方式中，参照图6对ECU30变更BG验证处理的执行周期的例进行说明。

图6是表示ECU30的动作例的流程图。图6示出验证部52在开始BG验证处理之后变更BG验证处理的执行频度的动作。步骤ST31-ST36的动作例如由验证部52执行。

首先，说明属于行驶系统ECU41的ECU30的动作。

ECU30在步骤ST24(图4)中开始BG验证处理后，将BG验证处理的执行周期设定为第一周期(步骤ST31)。第一周期在图5的例中为周期t1。通过步骤ST31的处理，BG验证处理的执行频度被设定为第一频度。

ECU30判定车辆V的车速是否为第一速度以上(步骤ST32)。在步骤ST32中，ECU30例如通过从中央ECU2取得与车辆V的速度相关的信息来进行判定。在开始图6的处理的时刻，车辆V为停车状态S3或可行驶状态S4。步骤ST32的判定是车辆V的动作状态是否从可行驶状态S4转移到行驶状态S5的判定。

在判定为车辆V的车速不是第一速度以上的情况下(步骤ST32；否)，ECU30判定车辆控制系统1是否转移到点火关闭的状态(步骤ST33)。步骤ST33的判定是车辆控制系统1是否从IG_ON状态S10转移到电源断开状态S1的判定。在判定为车辆控制系统1转移到点火关闭的状态的情况下(步骤ST33；是)，ECU30结束本处理。在判定为车辆控制系统1未转移到点火关闭的状态的情况下(步骤ST33；否)，ECU30返回步骤ST32。

在判定为车辆V的车速为第一速度以上的情况下(步骤ST32；是)，ECU30将BG验证处理的执行周期设定为第二周期(步骤ST34)。第二周期在图5的例中为周期t2。由于周期t2为长于周期t1的周期，因此通过步骤ST34的处理，BG验证处理的执行频度被设定为低于第一频度的第二频度。

然后，ECU30判定车辆V的车速是否为第二速度以下(步骤ST35)。在步骤ST35中，ECU30例如通过从中央ECU2取得与车辆V的速度相关的信息来进行判定。步骤ST35的判定是车辆V的动作状态是否从行驶状态S5转移到可行驶状态S4的判定。

在判定为车辆V的车速不是第二速度以下的情况下(步骤ST35；否)，ECU30判定车辆控制系统1是否转移到点火关闭的状态(步骤ST36)。步骤ST36的判定是车辆控制系统1是否从IG_ON状态S10转移到电源断开状态S1的判定。在判定为车辆控制系统1转移到点火关闭的状态的情况下(步骤ST36；是)，ECU30结束本处理。在判定为车辆控制系统1未转移到点火关闭的状态的情况下(步骤S36；否)，ECU30返回步骤ST35。

在判定为车辆V的车速为第二速度以下的情况下(步骤ST35；是)，ECU30转移到步骤ST31，将BG验证处理的执行周期设定为第一周期。

接下来，将说明属于车身系统ECU42的ECU30的操作。

属于车身系统ECU42的ECU30与属于行驶系统ECU41的ECU30同样地执行图6所示的动作。在该情况下，ECU30在步骤ST31中将BG验证处理的执行周期设定为第三周期。第三周期在图5的例中为周期t3。通过该步骤ST31的处理，BG验证处理的执行频度被设定为第三频度。另外，ECU30在步骤ST34中将BG验证处理的执行周期设定为第四周期。第四周期在图5的例中为周期t4。通过该步骤ST34的处理，BG验证处理的执行频度被设定为第四频度。第三周期比第四周期长。因此，第三频度是比第四频度低的频度。

这样，ECU30在车辆V为行驶状态S5的情况和车辆V为停车状态S3或可行驶状态S4的情况下，变更BG验证处理的执行频度。即，属于行驶系统ECU41的ECU30在车辆V为停车状态S3或可行驶状态S4的情况下以第一频度执行BG验证处理，在车辆V为行驶状态S5的情况下以比第一频度低的第二频度执行BG验证处理。属于车身系统ECU42的ECU30在车辆V为停车状态S3或可行驶状态S4的情况下以第三频度执行BG验证处理，在车辆V为行驶状态S5的情况下以比第三频度高的第四频度执行BG验证处理。由此，能够与ECU30执行的车辆V的功能对应地，以不导致处理器31的过负荷的方式执行处理器31执行的应用程序的验证。

在图6的动作中，ECU30通过在步骤ST32、ST35中判定车辆V的速度，来判定车辆V的动作状态是行驶状态S5还是停车状态S3或可行驶状态S4。如上所述，属于行驶系统ECU41的ECU30的处理器31在行驶状态S5下负荷大，属于车身系统ECU42的ECU30的处理器31在行驶状态S5以外的动作状态下负荷大。因此，步骤ST32、ST35的判定对应于判定车辆V的行驶状态并基于车辆V的行驶状态来判定处理器31的负荷状态。

另外，确定各个ECU30是属于行驶系统ECU41的ECU30还是属于车身系统ECU42的ECU30。因此，在步骤ST32、ST35中ECU30进行的判定对应于基于与ECU30相关的车辆V的功能和车辆V的行驶状态来判定处理器31的负荷状态。

上述实施方式表示应用了本发明的一个具体例，并不限定应用发明的方式。

在上述实施方式中，图6示出了ECU30判定车辆V的速度的例，但这是一例。例如，中央ECU2或网关ECU20可以判定车辆V的操作状态是停止状态S3、可行驶状态S4、行驶状态S5中的哪一个，并且将判定结果输出到ECU30。

在上述实施方式中，说明了通过验证部52对处理器31执行的应用程序执行整体验证以及BG验证处理的例。验证部52验证的程序不限于应用程序。例如，验证部52可以对OS61或其他控制程序执行BG验证处理。

另外，在图5中示出了期间TE1以及期间TE2中的BG验证处理的执行频度与期间TE4以及期间TE5中的BG验证处理的执行频度相同的例，但这是一例。例如，期间TE1以及期间TE2中的BG验证处理的执行频度与期间TE4以及期间TE5中的BG验证处理的执行频度也可以不同。另外，BG验证处理的执行频度可以在期间TE1和期间TE2不同，并且BG验证处理的执行频度可以在期间TE4和期间TE5不同。

图1及图2是表示为了容易理解本申请发明而将车辆控制系统1的各装置的功能结构根据主要的处理内容区分表示的概略结构的图，并不限定装置的结构。图4以及图6所示的各处理可以通过一个程序来执行，也可以通过多个程序来执行。

另外，车辆V例如是四轮汽车，但车辆V的种类没有特别限制，也可以是大型汽车、商用车、二轮车、三轮车等。此外，车辆控制系统1中的各部的结构能够任意地变更。

ECU30所具有的OS61、应用A62、应用B63以及其他程序的一部分或者全部例如也能够预先记录于能够由计算机读取的非易失性的存储介质或者记录介质。在该情况下，本发明作为记录有计算机程序的非易失性的存储介质来实现。具体地，程序可以被实现为存储介质，该存储介质以可读取的方式存储在作为构成车辆控制系统1的计算机的中央ECU2、网关ECU20或ECU30中。作为存储介质，能够使用磁存储介质、光学存储介质或半导体存储器件，可以固定于车辆控制系统1，也可以能够从车辆控制系统1装卸。

上述实施方式支持以下的结构。

(结构1)一种控制装置，通过执行程序来控制搭载于车辆的设备，其中，所述控制装置具备：存储部，其存储所述程序；以及处理器，所述处理器在开始执行存储于所述存储部的所述程序之后，能够执行验证动作，该验证动作是部分地执行所述程序来进行验证，所述处理器根据所述处理器的负荷状态来变更所述验证动作的执行方式。

根据结构1的控制装置，在对搭载于车辆的设备进行控制的控制装置中，能够抑制对设备的控制的影响的同时进行控制设备的程序的验证，因此能够增加进行程序的验证的机会。因此，能够实现程序的动作的稳定化、不适当的程序的举动的防止等，进而能够实现对可持续的输送系统的发展的贡献。

(结构2)根据结构1所述的控制装置，其中，所述处理器基于所述车辆的行驶状态来判定所述处理器的负荷状态，根据判定结果来变更所述验证动作的执行方式。

根据结构2的控制装置，基于车辆的行驶状态来变更程序的验证的方式，因此能够以验证动作不成为处理器的过负荷的主要原因的方式验证程序。

(结构3)根据结构1或结构2所述的控制装置，其中，所述处理器基于所述车辆的与所述程序相关的功能和所述车辆的行驶状态来判定所述处理器的负荷状态，并根据判定结果来变更所述验证动作的执行形态。

根据结构3的控制装置，基于车辆的与程序相关的功能和车辆的行驶状态来变更程序的验证的方式，因此能够以验证动作不成为处理器的过负荷的主要原因的方式验证程序。

(结构4)根据结构1至结构3中的任意一项所述的控制装置，其中，所述处理器执行与所述车辆的行驶控制有关的所述程序，能够将所述验证动作的执行频度设定为第一频度和比所述第一频度低的第二频度，在所述车辆的速度为第一速度以上时，设所述验证动作的执行频度为所述第二频度；在所述车辆的速度为第二速度以下时，设所述验证动作的执行频度为所述第一频度。

根据结构4的控制装置，执行与车辆的行驶控制相关的程序的控制装置在车辆行驶的状态下降低验证动作的执行频度，在车辆未行驶或以低速行驶的状态下提高验证动作的执行频度。由此，通过在基于程序的车辆的行驶控制的负荷高的状态下降低验证动作的执行频度，能够防止处理器的过负荷，在车辆的行驶控制的负荷低的状态下提高验证动作的执行频度，能够增加验证的机会。

(结构5)根据结构1至结构3中的任意一项所述的控制装置，其中，所述处理器执行与用户上下所述车辆时进行动作的装备有关的所述程序，能够将所述验证动作的执行频度设定为第三频度和比所述第三频度高的第四频度，在所述车辆的速度为第一速度以上时，设所述验证动作的执行频度为所述第四频度；在所述车辆的速度为第二速度以下时，设所述验证动作的执行频度为所述第三频度。

根据结构5的控制装置，执行与用户上下车辆时进行动作的装备相关的程序的控制装置在车辆行驶的状态下提高验证动作的执行频度，在车辆未行驶或以低速行驶的状态下降低验证动作的执行频度。由此，通过在用户上下车辆时动作的装备被使用的可能性高的状态下降低验证动作的执行频度，能够防止处理器的过负荷，在装备被使用的可能性低的状态下提高验证动作的执行频度，能够增加验证的机会。

(结构6)一种控制方法，通过由具备存储部和处理器的控制装置执行存储于所述存储部的程序来控制被搭载于车辆的设备，其中，通过所述处理器进行以下处理：在开始执行存储于所述存储部的所述程序之后，执行部分地执行所述程序来进行验证的验证动作；以及根据所述处理器的负荷状态来变更所述验证动作的执行方式。

根据结构6的控制方法，通过控制搭载于车辆的设备的控制装置，能够在抑制对设备的控制的影响的同时进行控制设备的程序的验证，因此能够增加进行程序的验证的机会。因此，能够实现程序的动作的稳定化、不适当的程序的举动的防止等，进而能够实现对可持续的输送系统的发展的贡献。

(结构7)一种存储介质，其存储有由控制装置执行的控制程序，所述控制装置具备存储部和处理器，并对搭载于车辆的设备进行控制，其中，所述控制程序使所述处理器进行以下处理：在所述处理器开始执行存储于所述存储部的程序之后，能够执行验证动作，该验证动作是部分地执行所述程序来进行验证；以及根据所述处理器的负荷状态来变更所述验证动作的执行方式。

根据结构7的存储介质所保存的程序，能够在抑制对搭载于车辆的设备的控制的影响的同时进行控制设备的程序的验证，因此能够增加进行程序的验证的机会。因此，能够实现程序的动作的稳定化、不适当的程序的举动的防止等，进而能够实现对可持续的输送系统的发展的贡献。

Claims (7)

1.一种控制装置，其通过执行程序来控制被搭载于车辆的设备，其中，

所述控制装置具备：

存储部，其存储所述程序；以及

处理器，

所述处理器在开始执行存储于所述存储部的所述程序之后，能够执行验证动作，该验证动作是部分地执行所述程序来进行验证，

所述处理器根据所述处理器的负荷状态来变更所述验证动作的执行方式。

2.根据权利要求1所述的控制装置，其中，

所述处理器基于所述车辆的行驶状态来判定所述处理器的负荷状态，根据判定结果来变更所述验证动作的执行方式。

3.根据权利要求1所述的控制装置，其中，

所述处理器基于所述车辆的与所述程序相关的功能和所述车辆的行驶状态来判定所述处理器的负荷状态，并根据判定结果来变更所述验证动作的执行方式。

4.根据权利要求1所述的控制装置，其中，

所述处理器执行与所述车辆的行驶控制相关的所述程序，

能够将所述验证动作的执行频度设定为第一频度以及比所述第一频度低的第二频度，

在所述车辆的速度为第一速度以上时，设所述验证动作的执行频度为所述第二频度；在所述车辆的速度为第二速度以下时，设所述验证动作的执行频度为所述第一频度。

5.根据权利要求1至3中的任意一项所述的控制装置，其中，

所述处理器执行与用户上下所述车辆时进行动作的装备有关的所述程序，

能够将所述验证动作的执行频度设定为第三频度以及比所述第三频度高的第四频度，

在所述车辆的速度为第一速度以上时，设所述验证动作的执行频度为所述第四频度；在所述车辆的速度为第二速度以下时，设所述验证动作的执行频度为所述第三频度。

6.一种控制方法，通过由具备存储部和处理器的控制装置执行存储于所述存储部的程序来控制被搭载于车辆的设备，其中，

通过所述处理器进行以下处理：

在开始执行存储于所述存储部的所述程序之后，执行验证动作，该验证动作是部分地执行所述程序来进行验证；以及

根据所述处理器的负荷状态来变更所述验证动作的执行方式。

7.一种存储介质，其是计算机可读的非易失性存储介质，该存储介质存储有由控制装置执行的控制程序，所述控制装置具备存储部和处理器，并对被搭载于车辆的设备进行控制，其中，

所述控制程序使所述处理器进行以下处理：

在所述处理器开始执行存储于所述存储部的程序之后，能够执行验证动作，该验证动作是部分地执行所述程序来进行验证；以及

根据所述处理器的负荷状态来变更所述验证动作的执行方式。