DE112013007664T5 - Überwachungseinheit, Steuersystem und Überwachungsprogramm - Google Patents

Überwachungseinheit, Steuersystem und Überwachungsprogramm Download PDF

Info

Publication number
DE112013007664T5
DE112013007664T5 DE112013007664.0T DE112013007664T DE112013007664T5 DE 112013007664 T5 DE112013007664 T5 DE 112013007664T5 DE 112013007664 T DE112013007664 T DE 112013007664T DE 112013007664 T5 DE112013007664 T5 DE 112013007664T5
Authority
DE
Germany
Prior art keywords
control unit
parent
parent control
output
child
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE112013007664.0T
Other languages
English (en)
Inventor
Yuta Wada
Yuichi Tokunaga
Hirohito Nishiyama
Masuo Ito
Tatsunori Tsujimura
Shigekazu Okamura
Daisuke Tanimoto
Makoto Itoi
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of DE112013007664T5 publication Critical patent/DE112013007664T5/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/079Root cause analysis, i.e. error or fault diagnosis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Small-Scale Networks (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Computer And Data Communications (AREA)

Abstract

In einem fahrzeuginternen Netzwerksystem (100) bilden eine Elternsteuereinheit (10) und eine Kindsteuereinheit (20) eine Steuereinheit. In einem fahrzeuginternen Netzwerksystem (100) erfasst eine Überwachungseinheit (70) Kommunikationsdaten, die zwischen der Elternsteuereinheit (10) und der Kindsteuereinheit (20) vermittelt werden, und die in einem fahrzeuginternen Netzwerk (30) fließen, welches die Elternsteuereinheit und (10) und die Kindsteuereinheit (20) miteinander verbinden. Die Überwachungseinheit (70) diagnostiziert eine Abnormalität in der Elternsteuereinheit (10), basierend auf den Kommunikationsdaten, die von der Überwachungseinheit (70) erfasst werden, und Diagnosedaten, die von einer Speichereinheit gespeichert werden.

Description

  • Technisches Gebiet
  • Die vorliegende Erfindung betrifft eine Überwachungstechnik zum Überwachen des Betriebs einer Steuereinheit.
  • Technischer Hintergrund
  • Auf dem Gebiet der Automotive-Industrie schritt der Trend zu höherer Funktionalität fort, um dem Bedarf der Nutzer nach sicherem Fahren zu genügen. Die automatische Bremsfunktion, die Pre-Crash-Sicherheitsfunktion und dergleichen, welche sich in den letzten Jahren verbreiteten, sind einige der Beispiele. Bei solch einer Funktion werden eine Vielzahl von Eingaben und Ausgaben in einer komplizierten Weise miteinander in Beziehung gesetzt. Deshalb kann, wenn eine Abnormalität in der Funktion auftritt, die Funktion die Sicherheit negativ beeinträchtigen. Mit Blick darauf wurde der ISO 26262 Funktionssicherheitsstandard zum Gewährleisten der automobilen Sicherheit in Bezug auf Funktionen und ein Zertifizieren dieser im November 2011 formuliert.
  • Als eine Komponente, welche die Verantwortung für die Steuerung der automobilen Funktionen übernimmt, kann eine Steuereinheit bestimmt werden, die durch einem Mikrocomputer oder dergleichen aufgebaut ist. Um dem Erfordernis für den Funktionssicherheitsstandard zu genügen müssen ausreichende Sicherheitsmaßnahmen in der Steuereinheit verwendet werden, so dass eine ausreichende Abnahme des Versagensrisikos zertifiziert ist.
  • Patentliteratur 1 und 2 beschreiben die Sicherheitsmaßnahmen für die Steuereinheit.
  • Patentliteratur 1 beschreibt ein Einbinden einer Steuereinheit und einer anderen Steuereinheit, welche die Steuereinheit überwacht, als eine Fahrzeugsteuereinheit.
  • Patentliteratur 2 beschreibt ein Überwachen einer Steuereinheit durch eine Überwachungseinheit, welche die Schrittsperrtechnik anwendet, die unter virtuellen CPUs verwendet wird. Patentliteratur 2 weist einen Aufbau auf, bei welchem eine Abnormalität in der Steuereinheit durch Bestimmen der Gültigkeit der Eingabe/Ausgabeinformation der Steuereinheit erkannt wird.
  • Zitatliste
  • Patentliteratur
    • Patentliteratur 1: JP 2012-60842 A
    • Patentliteratur 2: JP 2013-25570 A
  • Zusammenfassung der Erfindung
  • Technisches Problem
  • Die in Patentliteratur 1 und 2 beschriebenen Maßnahmen weisen ein Problem dahingehend auf, dass die Steuereinheit ein zusätzliches konstituierende Element für die Sicherheitsmaßnahme erfordert, wie einen Verbindungsanschluss für eine Steuerleitung.
  • Es ist eine Aufgabe der vorliegenden Erfindung, eine Überwachungsfunktion für die Steuereinheit zu implementieren, ohne die Steuereinheit mit einem zusätzlichen konstituierenden Element auszustatten.
  • Lösung des Problems
  • Eine Überwachungseinheit gemäß der vorliegenden Erfindung überwacht in einem Steuersystem, das eine Elternsteuereinheit und eine Kindsteuereinheit einschließt, welche ein Gerät in Übereinstimmung mit einer Steuerung steuert, die von der Elternsteuereinheit ausgeführt wird, einen Betrieb der Elternsteuereinheit und schließt ein:
    ein Diagnosedatenspeicherteil zum Speichern von Diagnosedaten zum Diagnostizieren des Betriebs der Elternsteuereinheit;
    ein Informationserfassungsteil zum Erfassen von Kommunikationsdaten, die zwischen der Elternsteuereinheit und der Kindsteuereinheit kommuniziert werden; und
    ein Diagnoseteil zum Diagnostizieren des Betriebs der Elternsteuereinheit, basierend auf den Diagnosedaten, die von dem Diagnosedatenspeicherteil gespeichert werden, und den Kommunikationsdaten, die von dem Informationserfassungsteil erfasst werden.
  • Vorteilhafte Effekte der Erfindung
  • Die Überwachungseinheit gemäß der vorliegenden Erfindung diagnostiziert, wenn eine Steuereinheit aus einer Elternsteuereinheit und einer Kindsteuereinheit gebildet ist, eine Abnormalität in der Elternsteuereinheit, basierend auf Kommunikationsdaten, die zwischen der Elternsteuereinheit und der Kindsteuereinheit ausgetauscht werden. Daher kann die Abnormalität in der Elternsteuereinheit überwacht werden, ohne die Elternsteuereinheit mit einem zusätzlichen konstituierenden Element wie einem Verbindungsanschluss für eine Steuerleitung auszustatten.
  • Kurze Beschreibung der Zeichnungen
  • 1 ist ein Konfigurationsdiagramm eines fahrzeuginternen Netzwerksystems 100 gemäß Ausführungsform 1.
  • 2 ist ein Konfigurationsdiagramm einer Elternsteuereinheit 10 gemäß Ausführungsform 1.
  • 3 ist ein Konfigurationsdiagramm einer Kindsteuereinheit 20 gemäß Ausführungsform 1.
  • 4 ist ein Diagramm, das einen normalen Betrieb des fahrzeuginternen Netzwerksystems 100 gemäß Ausführungsform 1 darstellt.
  • 5 ist ein Konfigurationsdiagramm einer Überwachungseinheit 70 gemäß Ausführungsform 1.
  • 6 ist ein Diagramm, das einen Überwachungsbetrieb des fahrzeuginternen Netzwerksystems 100 gemäß Ausführungsform 1 darstellt.
  • 7 ist ein Konfigurationsdiagramm einer Kindsteuereinheit 20 gemäß Ausführungsform 2.
  • 8 ist ein Konfigurationsdiagramm einer Überwachungseinheit 70 gemäß Ausführungsform 2.
  • 9 ist ein Diagramm, das einen Diagnosebetrieb eines fahrzeuginternen Netzwerksystems 100 gemäß Ausführungsform 2 darstellt.
  • 10 ist ein Zustandsübergangsdiagramm der Elternsteuereinheit 10.
  • 11 ist ein Diagramm, das eine Eingabe/Ausgaberegel entsprechend zu 10 darstellt.
  • 12 ist ein Diagramm, das eine Testdatenübertragungsreihenfolge darstellt.
  • 13 ist ein Konfigurationsdiagramm des fahrzeuginternen Netzwerksystems 100, das sich von 1 unterscheidet.
  • 14 ist ein Diagramm, das ein Beispiel der Hardware-Konfiguration der Elternsteuereinheit 10, der Kindsteuereinheit 20, der Überwachungseinheit 70 und einer externen Vorrichtung 90 darstellt, die in Ausführungsform 1 und 2 gezeigt sind.
  • Beschreibung der Ausführungsformen
  • Ausführungsform 1.
  • 1 ist ein Konfigurationsdiagramm eines fahrzeuginternen Netzwerksystems 100 gemäß Ausführungsform 1.
  • Das fahrzeuginterne Netzwerksystem 100 schließt eine Elternsteuereinheit 10, eine Vielzahl von Kindsteuereinheiten 20 (Kindsteuereinheit 20a bis 20c in 1), ein fahrzeuginternes Netzwerk 30, welches die Elternsteuereinheit 10 und jede Kindsteuereinheit 20 verbindet, eine Eingabevorrichtung 40 und eine Ausgabevorrichtung 50 (Beispiele eines Geräts), von denen jede als ein Steuerziel dient, und eine Eingabe/Ausgabesignalleitung 60 ein, welche die Kindsteuereinheiten 20 und die Eingabevorrichtung 40 verbindet, und die Kindsteuereinheiten 20 und die Ausgabevorrichtung 50 verbindet.
  • Es wird angenommen, dass von den Kindsteuereinheiten 20 wenigstens eine (die Kindsteuereinheit 20a in 1) eine Überwachungseinheit 70 ist, welche den Betrieb der Elternsteuereinheit 10 überwacht. In der folgenden Beschreibung wird angenommen, dass eine Kindsteuereinheit 20, wenn lediglich beschrieben, eine Kindsteuereinheit 20 bezeichnet, die keine Überwachungseinheit 70 ist.
  • Die Eingabevorrichtung 40 ist zum Beispiel ein Sensorgerät (ein optischer Sensor oder dergleichen) oder ein Schalter (ein Frontscheinwerferschalter oder dergleichen). Die Ausgabevorrichtung 50 ist zum Beispiel ein Antriebsgerät (ein Scheibenwischer, ein Fensterheber oder dergleichen) oder ein lichtabstrahlendes Gerät (ein Frontscheinwerfer, eine Kabinenbeleuchtung oder dergleichen).
  • 2 ist ein Konfigurationsdiagramm der Elternsteuereinheit 10 gemäß Ausführungsform 1.
  • Die Elternsteuereinheit 10 schließt ein Kommunikationsteil 11, ein Informationssynchronisierungsverwaltungsteil 12 und ein Eingabe/Ausgabeinformationsberechnungsteil 13 ein.
  • Das Kommunikationsteil 11 überträgt/empfängt Kommunikationsdaten zu/von der Kindsteuereinheit 20 über das fahrzeuginterne Netzwerk 30.
  • Das Informationssynchronisierungsverwaltungsteil 12 erfasst und speichert periodisch Eingabeinformation der Eingabevorrichtung 40, die mit dem fahrzeuginternen Netzwerksystem 100 verbunden ist. Das Informationssynchronisierungsverwaltungsteil 12 gibt auch Ausgabeinformation, die ein Berechnungsergebnis des Eingabebetriebs von dem Eingabe/Ausgabeinformationsberechnungsteil 13 ist, an die Kindsteuereinheit 20 aus.
  • Des Eingabe/Ausgabeinformationsberechnungsteil 13 schlägt die Eingabeinformation nach, die in dem Informationssynchronisierungsverwaltungsteil 12 gespeichert ist, und berechnet die Ausgabeinformation in Übereinstimmung mit einer vorbestimmten Eingabe/Ausgaberegel. Die Eingabe/Ausgaberegel kann zum Beispiel eine Regel "zum Schalten einer Ausgabe von EIN an ein Frontscheinwerfer-Relais, wenn der Schalter des Frontscheinwerfers auf EIN steht" sein, oder eine Regel "zum Ausgeben einer Spannung, die x mal dem gelesenen Wert des optischen Sensors ist, an die Kabinenbeleuchtung, wo die auszugebende Spannung z V oder mehr sein sollte".
  • 3 ist ein Konfigurationsdiagramm der Kindsteuereinheit 20 gemäß Ausführungsform 1.
  • Die Kindsteuereinheit 20 schließt ein Kommunikationsteil 21, ein Informationssynchronisierungsteil 22 und ein Eingabe/Ausgabevorrichtungssteuerteil 23 ein.
  • Das Kommunikationsteil 21 überträgt/empfängt die Kommunikationsdaten zu/von der Elternsteuereinheit 10 über das fahrzeuginterne Netzwerk 30.
  • Das Informationssynchronisierungsteil 22 überträgt die Eingabeinformation der Eingabevorrichtung 40, die mit der Kindsteuereinheit 20 verbunden ist, in Beantwortung einer Anfrage der Elternsteuereinheit 10 an die Elternsteuereinheit 10.
  • Das Eingabe/Ausgabevorrichtungssteuerteil 23 gibt die Ausgabeinformation in Beantwortung einer Anfrage der Elternsteuereinheit 10 an die Ausgabevorrichtung 50, die mit der Kindsteuereinheit 20 verbunden ist.
  • Das fahrzeuginterne Netzwerk 30 verbindet das fahrzeuginterne Netzwerk 30 und jede Kindsteuereinheit 20. Es ist zu beachten, dass das fahrzeuginterne Netzwerk 30 die Elternsteuereinheit 10 und jede Kindsteuereinheit 20 nicht mit einer 1-zu-1-Verbindung koppelt. Vielmehr ist das Fahrzeugnetzwerk 30 ein Bus-gestütztes Netzwerk, in welchem ein Signal, das von einer bestimmten Einheit übertragen wird, von der Elternsteuereinheit 10 und all den Kindsteuereinheiten 20 empfangen wird. Zum Beispiel ist in 1 zu beachten, dass wenn die Elternsteuereinheit 10 ein Signal an eine bestimmte Kindsteuereinheit 20 überträgt, das Signal durch jede Kindsteuereinheit 20 empfangen werden kann. Ein Beispiel des Bus-gestützten Netzwerks, das oft von dem fahrzeuginternen Netzwerk 30 genutzt wird, ist ein CAN (Bereichssteuerungsnetzwerk, Controller Area Network).
  • Mit dem Aufbau dieses fahrzeuginternen Netzwerks 30 kann jede Kindsteuereinheit 20 die Eingabeinformation der Eingabevorrichtung 40 empfangen, welche von einer anderen Kindsteuereinheit 20 an die Elternsteuereinheit 10 übertragen wurde, und die Ausgabeinformation, welche von der Elternsteuereinheit 10 zu einer anderen Kindsteuereinheit 20 übertragen wurde.
  • 4 ist ein Diagramm, das einen Normalbetrieb des fahrzeuginternen Netzwerkssystems 100 gemäß Ausführungsform 1 darstellt.
  • In dem Normalzustand steuert die Elternsteuereinheit 10 die Eingabevorrichtung 40 und Ausgabevorrichtung 50, die mit der Kindsteuereinheit 20 verbunden ist, über das fahrzeuginterne Netzwerk 30. Bei diesem Betrieb werden die Vorgänge von S010 bis S110 periodisch wiederholt.
  • Als erstes überträgt der Informationssynchronisierungsverwaltungsteil 12 der Elternsteuereinheit 10 eine Anfrage nach der Eingabeinformation der Eingabevorrichtung 40, die mit jedem Kindsteuereinheit 20 verbunden ist, über das Kommunikationsteil 11 (S010). Die in S010 übertragene Anfrage wird über das fahrzeuginternen Netzwerk 30 an jede Kindsteuereinheit 20 kommuniziert (S020). Das Informationssynchronisierungsteil 22 von jeder Kindsteuereinheit 20 erfragt die Eingabeinformation der verbundenen Eingabevorrichtung 40 von dem Eingabe/Ausgabevorrichtungssteuerteil 23 (S030).
  • Das Eingabe/Ausgabevorrichtungssteuerteil 23 jeder Kindsteuereinheit 20 antwortet dem Informationssynchronisierungsteil 22 mit der Eingabeinformation der verbundenen Eingabevorrichtung 40 (S040). Das Informationssynchronisierungsteil 22 jeder Kindsteuereinheit 20 überträgt die Eingabeinformation der Eingabevorrichtung 40 über das Kommunikationsteil 21 an die Elternsteuereinheit 10 (S050). Die in S050 übertragene Eingabeinformation wird über das fahrzeuginterne Netzwerk 30 an die Elternsteuereinheit 10 kommuniziert (S060). Das Informationssynchronisierungsverwaltungsteil 12 der Elternssteuereinheit 10 integriert die Eingabeinformation der Eingabevorrichtung 40, die von den entsprechenden Kindsteuereinheiten 20 übertragen wird, und kommuniziert die integrierte Eingabeinformation an das Eingabe/Ausgabeinformationsberechnungsteil 13 (S070).
  • Das Eingabe/Ausgabeinformationsberechnungsteil 13 der Elternsteuereinheit 10 berechnet die Ausgabeinformation aus der kommunizierten Eingabeinformation in Übereinstimmung mit der im Vorhinein bestimmten Eingabe/Ausgaberegel (S080). Das Informationssynchronisierungsverwaltungsteil 12 der Elternsteuereinheit 14 überträgt die in S080 berechnete Ausgabeinformation über das Kommunikationsteil 11 an jede Kindsteuereinheit 20 (S090). Die in S090 übertragene Ausgabeinformation wird über das fahrzeuginterne Netzwerk 30 an jede Kindsteuereinheit 20 kommuniziert (S100). Das Informationssynchronisierungsteil 22 jeder Kindsteuereinheit 20 kommuniziert die in S100 kommunizierte Ausgabeinformation an das Eingabe/Ausgabevorrichtungsteuerteil 23, um das Eingabe/Ausgabevorrichtungssteuerteil 23 zu veranlassen, die Ausgabevorrichtung 50 zu steuern (S110).
  • Wie vorstehend von S010 bis S110 beschrieben, erzeugt die Elternsteuereinheit 10 die Ausgabeinformation basierend auf der verbundenen Eingabeinformation von den Kindsteuereinheiten 20, und die Kindsteuereinheiten 20 führen eine Ausgabesteuerung durch.
  • Ein Hardware-Versagen tritt möglicherweise zufällig in der Elternsteuereinheit 10 auf. Dementsprechend ist es wahrscheinlich, dass ein Fehler bei der Berechnung der Ausgabeinformation in S080 auftritt. Wenn ein Fehler bei der Berechnung der Ausgabeinformation in S080 auftritt, leidet die Steuerung der Ausgabevorrichtung 50 in S110. Im Ergebnis kann die Ausgabevorrichtung 50 versagen, so dass die Sicherheit der Fahrgäste und Menschen um das Fahrzeug beeinträchtigt wird. Mit Blick darauf wird gemäß Ausführungsform 1 eine der Kindsteuereinheiten 20 als die Überwachungseinheit 70 genutzt, und die Überwachungseinheit 70 überwacht die Kommunikation in dem fahrzeuginternen Netzwerk 30, wodurch ein Fehler in der Steuerungsberechnung der Elternsteuerinheit 10 überwacht wird.
  • 5 ist ein Konfigurationsdiagramm der Überwachungseinheit 70 gemäß Ausführungsform 1.
  • Die Überwachungseinheit 70 schließt ein Informationserfassungsteil 71, ein Informationsspeicherteil 72, ein Diagnoseteil 73 und ein Diagnosedatenspeicherteil 74, zusätzlich zu den konstituierenden Elementen der Kindsteuereinheit 20 ein. In 5 werden das Informationssynchronisierungsteil 22 und das Eingabe/Ausgabevorrichtungssteuerteil 23 nicht dargestellt.
  • Das Informationserfassungsteil 71 erfasste (fängt ab) die Kommunikationsdaten, die in dem fahrzeuginternen Netzwerk 30 fließen, und die zum Schätzen der Gültigkeit der Eingabe/Ausgaberegel notwendig sind.
  • Man nehme zum Beispiel eine Eingabe/Ausgaberegel A an, gemäß welcher "eine Ausgabe an das Fahrzeugvorderlicht-Relais EIN geschaltet ist, wenn der Schalter des Frontscheinwerfers EIN geschaltet ist". Zu diesem Zeitpunkt sind in 1 die Kommunikationsdaten, die zum Schätzen der Gültigkeit der Eingabe/Ausgabe notwendig sind, Eingabeinformation des Frontscheinwerferschalters, welcher von der Kindsteuereinheit 20 an die Elternsteuereinheit 10 übertragen wird, und Ausgabeinformation für das Frontscheinwerfer-Relais, welche von der Elternsteuereinheit 10 an die Kindsteuereinheit 20 übertragen wird.
  • Das Informationsspeicherteil 72 speichert die Kommunikationsdaten, die zum Schätzen der Gültigkeit der Eingabe/Ausgaberegel notwendig sind, in der Speichereinheit.
  • Unter der Eingabe/Ausgaberegel A speichert das Informationsspeicherteil 72 "Information, die angibt, ob eine Eingabe des Schalters des Frontscheinwerfers EIN oder AUS ist" und "Information, die angibt, ob eine Ausgabe des Frontscheinwerfer-Relais EIN oder AUS ist".
  • Das Diagnoseteil 73 schätzt die Gültigkeit der Eingabe/Ausgaberegel.
  • Unter der Eingabe/Ausgaberegel A bestimmt das Diagnoseteil 73, ob die Ausgabe an das Frontscheinwerfer-Relais EIN ist oder nicht, wenn der Frontscheinwerferschalter EIN geschaltet ist. Wenn die Ausgabe an das Frontscheinwerfer-Relais EIN ist, obwohl der Frontscheinwerferschalter EIN ist, bestimmt das Diagnoseteil 73, dass die Eingabe/Ausgabewahrscheinlichkeit nicht erfüllt ist. Das Diagnosedatenspeicherteil 74 ist eine Speichereinheit, welche Eingabe/Ausgaberegeln speichert.
  • Das Diagnosedatenspeicherteil 74 speichert verschiedene Typen von Eingabe/Ausgaberegeln wie die vorstehend beschriebene Eingabe/Ausgaberegel A. Das Diagnosedatenspeicherteil 74 kann eine Tabelle speichern, welche die Beziehung zwischen der Eingabeinformation und der Ausgabeinformation als die Eingabe/Ausgaberegeln darstellt, oder eine logische Formel oder Gleichung, welche die Beziehung zwischen der Eingabeinformation und der Ausgabeinformation als die Eingabe/Ausgaberegeln darstellt.
  • Die Überwachungseinheit 70 kann mit der Eingabevorrichtung 40 und Ausgabevorrichtung 50 in der gleichen Art wie die Kindsteuereinheit 20 verbunden sein.
  • 6 ist ein Diagramm, das einen Überwachungsbetrieb des fahrzeuginternen Netzwerkssystems 100 gemäß Ausführungsform 1 darstellt.
  • Der Überwachungsbetrieb wird ausgeführt, während der in 4 (S010 bis S110) dargestellte Normalbetrieb stattfindet. Daher stellt 6 den Überwachungsbetrieb in der Form eines Zusatzes zu dem Normalbetrieb dar, der in 4 dargestellt ist. Zuerst erfasst das Informationserfassungsteil 71 der Überwachungseinheit 70 die Eingabeinformation, die in S050 von der Kindsteuereinheit 20 übertragen wird, und in dem fahrzeuginternen Netzwerk 30 in S060 (S061) fließt. Die Eingabeinformation kann leicht erfasst werden, so wie sie von dem Bus-gestützten Netzwerk ausgegeben wird. Das Informationsspeicherteil 72 der Überwachungseinheit 70 speichert die in S061 (S062) erfasste Eingabeinformation.
  • Das Informationserfassungsteil 71 der Überwachungseinheit 70 erfasst auch die Ausgabeinformation, die in S090 von der Elternsteuereinheit 10 übertragen wird, und in dem fahrzeuginternen Netzwerk 30 in S100 (S101) fließt. Das Informationsspeicherteil 72 der Überwachungseinheit 70 speichert die in S101 (S102) erfasste Ausgabeinformation.
  • Das Diagnoseteil 73 der Überwachungseinheit 70 schätzt die Beziehung zwischen der Eingabeinformation, die in S062 gespeichert ist, und der Ausgabeinformation, die in S102 gespeichert ist, gemäß der Eingabe/Ausgaberegel, die in dem Diagnosedatenspeicherteil 74 gespeichert ist (S103). Deshalb kann eine fehlerhafte Berechnung erkannt werden, die von der Elternsteuereinheit 10 in S080 ausgeführt wird.
  • Wenn in S103 eine Schätzung eine Abweichung von der Eingabe/Ausgaberegel angibt, kommuniziert das Diagnoseteil 73 der Überwachungseinheit 70 eine Abweichung von der Eingabe/Ausgaberegel an die Elternsteuereinheit 10 und jede Kindsteuereinheit 20 (S104). Zu diesem Zeitpunkt fragt, wenn nötig, das Diagnoseteil 73 das Eingabe/Ausgabevorrichtungssteuerteil 23 an, die Eingabevorrichtung 40 und Ausgabevorrichtung 50 auf einen spezifischen Ausfallsicherungs (fail safe) Zustand zu steuern (S105). Ein Beispiel des Ausfallsicherungszustands kann sein, den Frontscheinwerfer oder Scheibenwischer auf EIN zuhalten.
  • Zum Beispiel kommuniziert das Diagnoseteil 73 eine Abweichung von der Eingabe/Ausgaberegel an die Elternsteuereinheit 10 und jede Kindsteuereinheit 20 durch Übertragen eines spezifischen Signals an das fahrzeuginterne Netzwerk 30, durch Übertragen eines Signals über eine exklusive Rücksetz (reset) Signalleitung oder dergleichen. In 6 wird angenommen, dass ein spezifisches Signal an das fahrzeuginterne Netzwerk 30 übertragen wird.
  • S061 bis S062 und S101 bis S105, beschrieben als der Überwachungsbetrieb, haben keinen Einfluss auf den Normalbetrieb, der von der Elternsteuereinheit 10 und den Kindsteuereinheiten 20 durchgeführt wird, und erfordern keine spezielle Funktion oder Hardware für die Elternsteuereinheit 10.
  • Daher kann in dem fahrzeuginternen Netzwerksystem 100 gemäß Ausführungsform 1 die Abnormalität der Elternsteuereinheit 10 ohne ein Bedürfnis des Bereitstellens der Elternsteuereinheit 10 mit einem zusätzlichen konstituierenden Element wie einem Verbindungsanschluss für eine Steuerleitung überwacht werden.
  • Wie vorstehend beschrieben wird der Normalbetrieb von S010 bis S110 periodisch durchgeführt. Daher kann die Beziehung zwischen der Eingabeinformation und der Ausgabeinformation über eine Vielzahl von Zeitabschnitten gemäß der Eingabe/Ausgaberegel geschätzt werden.
  • Die Eingabe/Ausgaberegel muss nicht auf eine 1-zu-1 Beziehung wie der Eingabe/Ausgaberegel A beschränkt sein, sondern kann eine Vielzahl-zu-Vielzahl Beziehung hinsichtlich der Eingabevorrichtung 40 und Ausgabevorrichtung 50 sein, die mit der Kindsteuereinheit 20 verbunden sind.
  • Die Eingabe/Ausgaberegel kann lediglich eine sicherheitsbezogene Regel sein, welche, wenn nicht erfüllt, zu einem Risiko führen kann, dass menschliche Leben und Eigentum in Gefahr gebracht werden.
  • Ausführungsform 2.
  • In Ausführungsform 1 überwacht die Überwachungseinheit 70 nur die Kommunikationsdaten des fahrzeuginternen Netzwerks 30. Daher ist die Überwachungseinheit 70 nur in der Lage eine Abnormalität zu erkennen, wenn tatsächlich eine Berechnung der Ausgabeinformation in der Elternsteuereinheit 10 stattfindet. Deshalb kann, bei Irren der Elternsteuereinheit 10, wenn sich die Überwachungseinheit 70 bereits geirrt hatte, eine sichere Steuerung nicht garantiert werden.
  • In Hinblick darauf überträgt gemäß Ausführungsform 2 eine Überwachungseinheit 70 in willkürlicher Zeitfolge (Timing) Testdaten an eine Elternsteuereinheit 10, um eine Berechnung der gewünschten Ausgabe zu veranlassen, selbst wenn die Berechnung tatsächlich nicht notwendig ist, wodurch die Elternsteuereinheit 10 diagnostiziert wird. Dies erhöht die Wahrscheinlichkeit des Erkennens eines Versagens der Elternsteuereinheit vor einem Versagen der Überwachungseinheit 70.
  • In Ausführungsform 2 werden Dinge, welche die gleichen wie in Ausführungsform 1 sind, nicht beschrieben, und es werden Dinge beschreiben, die sich von Ausführungsform 1 unterscheiden.
  • 7 ist ein Konfigurationsdiagramm einer Kindsteuereinheit 20 gemäß Ausführungsform 2.
  • Die Kindsteuereinheit 20 schließt ein Mitteilungsverarbeitungsteil 24 zusätzlich zu den konstituierenden Elementen ein, die in 3 der Kindsteuereinheit 20 gemäß Ausführungsform 1 dargestellt sind.
  • Das Mitteilungsverarbeitungsteil 24 empfängt von der Überwachungseinheit 70 Information, die Start und Ende einer Diagnose angeben, die in willkürlicher Zeitfolge von der Überwachungseinheit 70 durchgeführt wird.
  • Das Mitteilungsverarbeitungsteil 24 macht den Prozess für ein Eingabe/Ausgabevorrichtungssteuerteil 23 ungültig, wenn das Mitteilungsverarbeitungsteil 24 Information erhält, die den Diagnosestart angibt. Das Mitteilungsverarbeitungsteil 24 bestätigt den Prozess für das Eingabe/Ausgabevorrichtungssteuerteil 23, wenn das Mitteilungsverarbeitungsteil 24 Information erhält, die das Diagnoseende angibt. Wenn der Prozess ungültig gemacht wird, hält das Eingabe/Ausgabevorrichtungssteuerteil 23 Ausgabeinformation von dem Zeitpunkt der Ungültigkeitserklärung, oder hält sichere Ausgabeinformation.
  • 8 ist ein Konfigurationsdiagramm der Überwachungseinheit 70 gemäß Ausführungsform 2.
  • Die Überwachungseinheit 70 schließt ein Benachrichtigungsteil 75 und ein Testdatenübertragungsteil 76 zusätzlich zu den konstituierenden Elementen der Überwachungseinheit 70 gemäß Ausführungsform 1 ein, die in 5 dargestellt ist.
  • Das Benachrichtigungsteil 75 überträgt Information, die Start und Ende einer Diagnose angibt, die in willkürlicher Zeitfolge durchgeführt wird, über ein fahrzeuginternes Netzwerk 30 an die Kindsteuereinheit 20.
  • Das Testdatenübertragungsteil 76 überträgt über das fahrzeuginternen Netzwerk 30 Testdaten an die Elternsteuereinheit 10, die Eingabeinformation simulieren, welche die Kindsteuereinheit 20 an die Elternsteuereinheit 10 überträgt. Das Testdatenübertragungsteil 76 überträgt als die Testdaten die Eingabeinformation in der Eingabe/Ausgaberegel, die von dem Diagnosedatenspeicherteil 74 gespeichert wird.
  • Das Testdatenübertragungsteil 76 kann Testdaten übertragen, die Eingabeinformation simuliert, welche eine Kindsteuereinheit 20 überträgt, oder Testdaten, die Eingabeinformation simuliert, welche eine Vielzahl von Kindsteuereinheiten 20 simultan überträgt.
  • 9 ist ein Diagramm, das einen Diagnosebetrieb eines fahrzeuginternen Netzwerksystems 100 gemäß Ausführungsform 2 darstellt.
  • Der Diagnosebetrieb wird von der Überwachungseinheit 70 in willkürlicher Zeitfolge gestartet.
  • Als erstes benachrichtigt das Benachrichtigungsteil 75 der Überwachungseinheit 70 jede Kindsteuereinheit 20 über ein Kommunikationsteil 21 von einem Signal, das einen Diagnosestart angibt (S200). Es ist zu beachten, dass sich selbst wenn die Elternsteuereinheit 10 diese Benachrichtigung empfängt, der Betrieb der Elternsteuereinheit 10 überhaupt nicht ändert. Die in S200 übertragene Benachrichtigung wird über das fahrzeuginterne Netzwerk 30 an jede Kindsteuereinheit 20 kommuniziert (S210). Das Mitteilungsverarbeitungsteil 24 von jeder Kindsteuereinheit 20 empfängt die in S210 übertragende Benachrichtigung und stellt das Eingabe/Ausgabevorrichtungssteuerteil 23 ein, um die Ausgabeinformation von der Elternsteuereinheit 10 zu ignorieren (S220). In S110 des in 4 dargestellten Normalbetriebs wird nämlich jede Kindsteuereinheit 20 keine Steuerung basierend auf der Ausgabeinformation ausüben.
  • Das Testdatenübertragungsteil 76 der Überwachungseinheit 70 extrahiert als die Testdaten die Eingabeinformation in der Eingabe/Ausgaberegel, die in dem Diagnosedatenspeicherteil 74 gespeichert wird, und das Informationsspeicherteil 72 speichert die extrahierten Testdaten (S230). Das Testdatenübertragungsteil 76 überträgt die in S230 extrahierten Testdaten über das fahrzeuginterne Netzwerk 30 an die Elternsteuereinheit 10 (S240). Die in S240 übertragenen Testdaten werden über das fahrzeuginternen Netzwerk 30 an die Elternsteuereinheit 10 kommuniziert (S250).
  • Ein Informationssynchronisierungsverwaltungsteil 12 der Elternsteuereinheit 10 integriert Eingabeinformation, welche die Testdaten von Vorrichtungen sind, die in S250 kommuniziert werden, und kommuniziert die integrierte Eingabeinformation an das Eingabe/Ausgabeinformationsberechnungsteil 13 (S260).
  • Ein Eingabe/Ausgabeinformationsberechnungsteil 13 der Elternsteuereinheit 10 berechnet Ausgabeinformation aus Eingabeinformation, die in S250 kommuniziert wird, in Übereinstimmung mit einer Eingabe/Ausgaberegel, die im Vorhinein geregelt wird, in derselben Art wie in S080 des in 4 dargestellten Normalbetriebs (S270). Das Informationssynchronisierungsverwaltungsteil 12 der Elternsteuereinheit 10 überträgt die in S270 erzeugte Ausgabeinformation über ein Kommunikationsteil 11 an jede Kindsteuereinheit 20, in der gleichen Art wie in S090 des in 4 dargestellten Normalbetriebs (S280). Die in S280 übertragene Ausgabeinformation wird über das fahrzeuginternen Netzwerk 30 an jede Kindsteuereinheit 20 kommuniziert (S290). Ein Informationssynchronisierungsteil 22 von jeder Kindsteuereinheit 20 kommuniziert die Ausgabeinformation, die in S290 kommuniziert wird, an das Eingabe/Ausgabevorrichtungssteuerteil 23 (S300). Da das Eingabe/Ausgabevorrichtungssteuerteil 23 in S220 eingestellt wird, um die Ausgabeinformation zu ignorieren, übt es keine Steuerung basierend auf der kommunizierten Ausgabeinformation aus.
  • Ein Informationserfassungsteil 71 der Überwachungseinheit 70 erfasst die Ausgabeinformation, die von der Elternsteuereinheit 10 in S280 übertragen wird und in dem fahrzeuginternen Netzwerk 30 in S290 fließt, in der gleichen Art wie in S101 des Überwachungsbetriebs, der in 6 dargestellt ist (S310). Ein Informationsspeicherteil 72 der Überwachungseinheit 70 speichert die Ausgabeinformation, die in S310 erfasst wird (S320).
  • Ein Diagnoseteil 73 der Überwachungseinheit 70 behandelt die Testdaten, die in S230 gespeichert werden, als die Eingabeinformation, und schätzt die Beziehung zwischen der Eingabeinformation und der Ausgabeinformation, die in S320 gespeichert wird, gemäß der Eingabe/Ausgaberegel, die in einem Diagnosedatenspeicherteil 74 gespeichert ist (S330). Daher kann eine fehlerhafte Berechnung erkannt werden, die von der Elternsteuereinheit 10 in S270 getätigt wird.
  • Wenn eine Schätzung in S330 eine Abweichung von der Eingabe/Ausgaberegel angibt, kommuniziert das Diagnoseteil 73 der Überwachungseinheit 70 eine Abweichung von der Eingabe/Ausgaberegel an die Elternsteuereinheit 10 und jede Kindsteuereinheit 20 (340), in der gleichen Art wie in S104 des Überwachungsbetriebs, der in 6 dargestellt ist. Zu diesem Zeitpunkt fragt, wenn nötig, das Diagnoseteil 73 den Eingabe/Ausgabevorrichtungssteuerteil 23 an, eine Eingabevorrichtung 40 und eine Ausgabevorrichtung 50 auf einen spezifischen Ausfallsicherheitszustand zu steuern (S305). Wenn sich das Automobil in einem sicheren Zustand befindet, kann das Diagnoseteil 73 dem Fahrer eine Mitteilung durch Licht oder Ton durchführen.
  • Die Überwachungseinheit 70 wiederholt S230 bis S350 so oft wie nötig. Wenn alle Diagnosen beendet sind, überträgt das Mitteilungsteil 75 Information, die jeder Kindsteuereinheit 20 das Diagnoseende angibt. Danach wird der Normalbetrieb ausgeführt, der in 4 dargestellt ist.
  • Wie vorstehend beschrieben kann bei dem fahrzeuginternen Netzwerksystem 100 gemäß Ausführungsform 2 eine Abnormalität in der Elternsteuereinheit 10 erkannt werden, ausgenommen dann, wenn tatsächlich eine Berechnung der Ausgabeinformation in der Elternsteuereinheit 10 stattfindet. Dies erhöht die Wahrscheinlichkeit des Erkennens eines Versagens der Elternsteuereinheit 10 vor einem Versagen der Überwachungseinheit 70.
  • Der Diagnosebetrieb kann wie vorstehend beschrieben in einer willkürlichen Zeitfolge durchgeführt werden. Wenn eine Diagnose durchgeführt wird, während der Fahrzeugkörper und der Fahrer wie bei dem Start des Motors sich in einem sicheren Zustand befinden, dann kann das Sicherheitsrisiko effektiver reduziert werden.
  • Die Testdaten können basierend auf der Eingabeinformation für eine Vielzahl von Zeitabschnitten formuliert werden. Dies ermöglicht insbesondere eine Diagnose, die einem Zustandsübergang von der Elternsteuereinheit 10 entspricht.
  • Man nehme zum Beispiel an, dass die Elternsteuereinheit 10 einen in 10 dargestellten Zustandsübergang durchläuft. Genauer gesagt durchläuft die Elternsteuereinheit 10, wenn sie sich in einem Zustand S befindet, in Beantwortung einer Eingabeinformation A von der Kindsteuereinheit 20 einen Übergang in einen Zustand T. Wenn sie sich in dem Zustand T befindet, durchläuft die Elternsteuereinheit 10 in Beantwortung von Eingabeinformation B von der Kindsteuereinheit 20 einen Übergang in den Zustand S.
  • Man nehme zu diesem Zeitpunkt an, dass eine in 11 dargestellte Eingabe/Ausgaberegel gegeben. Zum Beispiel stellt eine Eingabe/Ausgaberegel von Regel Nummer 1 in 11 eine Regel dar, die in dem Zustand S, wenn Eingabeinformation A vorliegt, dann Ausgabeinformation O ausgibt.
  • Man nehme an, dass die Eingabe/Ausgaberegel von Regel Nummer 1 diagnostiziert wird. In diesem Fall braucht die Überwachungseinheit 70 nur die Eingabeinformation A als Testdaten zu übertragen, und zu schätzen, ob die Ausgabeinformation O von der Elternsteuereinheit 10 ausgegeben wird. Nachfolgend der Eingabe/Ausgaberegel von Regel Nummer 1 kann jedoch, wenn eine Eingabe/Ausgaberegel von Regel Nummer 2 zu diagnostizieren ist, die Diagnose nicht angemessen durchgeführt werden. Genauer gesagt durchläuft die Elternsteuereinheit 10, bei der Diagnose der Eingabe/Ausgaberegel von Regeln Nummer 1, einen Übergang von dem Zustand S in den Zustand T, und dementsprechend ist die Elternsteuereinheit 10 nicht länger in dem Zustand S, wo eine Diagnose der Eingabe/Ausgaberegel von Regeln Nummer 2 möglich ist. Daher wird, selbst wenn die Eingabeinformation B gegeben ist, so dass die Eingabe/Ausgaberegel von Regel Nummer 2 diagnostiziert werden kann, die Ausgabeinformation O in Übereinstimmung mit der Regel Nummer 4 ausgegeben, anstatt der erwarteten Ausgabeinformation P.
  • Mit Blick darauf werden Testdaten in der Reihenfolge wie in 12 dargestellt übertragen, und es wird eine Schätzung durchgeführt. Genauer gesagt überträgt, wenn die Elternsteuereinheit 10 in dem Zustand S ist, die Überwachungseinheit 70 zuerst die Eingabeinformation A als die Testdaten, und schätzt, dass die Ausgabeinformation O ausgegeben wird. Da die Eingabeinformation Art übertragen wird, durchläuft die Elternsteuereinheit 10 einen Übergang in den Zustand T. Nachfolgend überträgt die Überwachungseinheit 70 die Eingabeinformation B, so dass die Elternsteuereinheit 10 einen Übergang in den Zustand S durchläuft. Dann überträgt die Überwachungseinheit 70 die Eingabeinformation B als die Testdaten, und schätzt, dass die Ausgabeinformation P ausgegeben wird.
  • In der vorstehenden Beschreibung wird wenigstens eine der Kindsteuereinheiten 20 als die Überwachungseinheit 70 bestimmt. Die Überwachungseinheit 70 kann jedoch unabhängig von den Kindsteuereinheiten 20 bereitgestellt werden. Zum Beispiel kann, wie in 13 dargestellt, das fahrzeuginterne Netzwerk 30 mit einem externen Anschluss 80 versehen werden, und einer externen Vorrichtung 90, welche als die Überwachungseinheit 70 dient, kann mit dem externen Anschluss 80 verbunden werden.
  • Wenn die Überwachungseinheit 70 als die externe Vorrichtung 90 realisiert wird, erhöht sich der Freiheitsgrad in der Hardware-Auswahl. Deshalb kann die Kapazität der Speichereinheit zum Speichern der Eingabe/Ausgaberegeln erhöht werden, und eine große Anzahl von Eingabe/Ausgaberegeln und dergleichen kann gespeichert werden. Folglich kann eine detailliertere Diagnose durchgeführt werden.
  • In der vorstehenden Beschreibung ist eine Überwachung und Diagnose der Steuereinheit in dem fahrzeuginternen Netzwerksystem 100 beispielhaft erläutert. Eine Überwachung und Diagnose der Steuereinheit kann jedoch nicht nur in dem fahrzeuginternen Netzwerkssystems 100 durchgeführt werden, sondern auch genauso in anderen Einheiten und Systemen.
  • 14 ist ein Diagramm, das ein Beispiel der Hardware-Konfiguration der Elternsteuereinheit 10, der Kindsteuereinheiten 20, der Überwachungseinheit 70 und der externen Vorrichtung 90 darstellt, die in Ausführungsformen 1 und 2 angegeben sind.
  • Die Elternsteuereinheit 10, die Kindsteuereinheit 20, die Überwachungseinheit 70 und die externe Vorrichtung 90 sind Computer, und die Elemente von jedem der Elternsteuereinheit 10, der Kindsteuereinheit 20, der Überwachungseinheit 70 und der externen Vorrichtung 90 können durch Programme realisiert sein.
  • Gemäß der Hardware-Konfiguration der Elternsteuereinheit 10, der Kindsteuereinheit 20, der Überwachungseinheit 70 und der externen Vorrichtung 90 sind eine Berechnungseinheit 901, eine externe Speichereinheit 902, eine Hauptspeichereinheit 903, eine Kommunikationseinheit 904 und eine Eingabe/Ausgabeeinheit 905 mit einem Bus verbunden.
  • Die Berechnungseinheit 901 ist eine CPU (Hauptverarbeitungseinheit, Central Processing Unit) oder dergleichen, die Programme ausführt. Die externe Speichereinheit 902 ist zum Beispiel ein ROM (Festwertspeicher, Read Only Memory), ein Flash-Speicher, eine Festplatte oder dergleichen. Die Hauptspeichereinheit 903 ist zum Beispiel ein RAM (Direktzugriffsspeicher, Random Access Memory) oder dergleichen. Die Kommunikationseinheit 904 ist zum Beispiel eine Kommunikationskarte oder dergleichen. Die Eingabe/Ausgabeeinheit 905 ist zum Beispiel eine Maus, eine Tastatur, eine Anzeigeeinheit oder dergleichen.
  • Die Programme werden üblicherweise in der externen Speichereinheit 902 gespeichert. Wenn die Programme in die Hauptspeichereinheit 903 geladen werden, werden sie von der Berechnungseinheit 901 der Reihe nach gelesen und ausgeführt.
  • Die Programme sind solche, welche die beschriebenen Funktionen als das Kommunikationsteil 11, Informationssynchronisierungsverwaltungsteil 12, Eingabe/Ausgabeinformationsberechnungsteil 13, Kommunikationsteil 21, Informationssynchronisierungsteil 22, Eingabe/Ausgabevorrichtungssteuerteil 23, Mitteilungsverarbeitungsteil 24, Informationserfassungsteil 21, Informationsspeicherteil 72, Diagnoseteil 73, Diagnosedatenspeicherteil 74, Benachrichtigungsteil 75 und Testdatenübertragungsteil 76 realisieren.
  • Weiterhin speichert die externe Speichereinheit 902 auch ein Betriebssystem (OS, Operating System). Wenigstens ein Teil des OS wird in die Hauptspeichereinheit 903 geladen. Die Berechnungseinheit 901 führt die Programme während des Ausführens des OS aus.
  • Es werden auch Informationen, Daten, Signalwerte und Variablenwerte, welche die Ergebnisse von Prozessen angeben, die als "Übertragung", "Empfang", "Erfassung", "Speicherung", "Ausgabe", "Berechnung", "Bestimmung" und dergleichen in Ausführungsformen 1 und 2 beschrieben sind, in der Form von Dateien in der Hauptspeichereinheit 903 gespeichert.
  • Die Konfiguration von 14 ist lediglich ein Beispiel der Hardware-Konfiguration jeder Einheit. Die Hardware-Konfiguration von jeder Einheit ist nicht auf die Konfiguration beschränkt, die in 14 dargestellt ist, sondern kann eine andere Konfiguration aufweisen.
  • Bezugszeichenliste
    • 100: fahrzeuginternes Netzwerksystem; 10: Elternsteuereinheit; 11: Kommunikationsteil; 12: Informationssynchronisierungsverwaltungsteil; 13: Eingabe/Ausgabeinformationsberechnungsteil; 20: Kindsteuereinheit; 21: Kommunikationsteil; 22: Informationssynchronisierungsteil; 23: Eingabe/Ausgabevorrichtungssteuerteil; 24: Mitteilungsverarbeitungsteil; 30: fahrzeuginternes Netzwerk; 40: Eingabevorrichtung; 50: Ausgabevorrichtung; 60: Eingabe/Ausgabesignalleitung; 70: Überwachungseinheit; 71: Informationserfassungsteil; 72: Informationsspeicherteil; 73: Diagnoseteil; 74: Diagnosedatenspeicherteil; 75: Benachrichtigungsteil; 76: Testdatenübertragungsteil

Claims (6)

  1. Überwachungseinheit in einem Steuersystem, das eine Elternsteuereinheit und eine Kindsteuereinheit einschließt, welche ein Gerät in Übereinstimmung mit einer Steuerung steuert, die von der Elternsteuereinheit ausgeführt wird, wobei die Überwachungseinheit einen Betrieb der Elternsteuereinheit überwacht und umfasst: ein Diagnosedatenspeicherteil zum Speichern von Diagnosedaten zum Diagnostizieren des Betriebs der Elternsteuereinheit; ein Informationserfassungsteil zum Erfassen von Kommunikationsdaten, die zwischen der Elternsteuereinheit und der Kindsteuereinheit vermittelt werden; und ein Diagnoseteil zum Diagnostizieren des Betriebs der Elternsteuereinheit basierend auf den Diagnosedaten, die von dem Diagnosedatenspeicherteil gespeichert werden, und den Kommunikationsdaten, die von dem Informationserfassungsteil erfasst werden.
  2. Überwachungseinheit nach Anspruch 1, bei welcher die Elternsteuereinheit Ausgabedaten hinsichtlich Eingabedaten berechnet, die von der Kindsteuereinheit gesendet werden, und die berechneten Ausgabedaten an die Kindsteuereinheit ausgibt, wobei die Kindsteuereinheit das Gerät basierend auf den Ausgabedaten steuert, die von der Elternsteuereinheit ausgegeben werden, wobei das Diagnosedatenspeicherteil ein Bezugsverhältnis zwischen den Eingabedaten und den Ausgabedaten als die Diagnosedaten speichert, wobei das Informationserfassungsteil die Eingabedaten, die von der Kindsteuereinheit an die Elternsteuereinheit übertragen werden, und die Ausgabedaten, die von der Elternsteuereinheit an die Kindsteuereinheit übertragen werden, erfasst, wobei das Diagnoseteil den Betrieb der Elternsteuereinheit durch Bestimmen diagnostiziert, ob die Eingabedaten und Ausgabedaten, die von dem Informationserfassungsteil erfasst werden, das Bezugsverhältnis erfüllen oder nicht.
  3. Überwachungseinheit nach Anspruch 2, weiterhin umfassend ein Testdatenübertragungsteil zum Übertragen von Testdaten an die Elternsteuereinheit, wobei die Elternsteuereinheit die Ausgabedaten berechnet, indem es die Testdaten, die von dem Testdatenübertragungsteil übertragen werden, als die Eingabedaten von der Kindsteuereinheit behandelt, wobei das Informationserfassungsteil die Ausgabedaten erfasst, die von der Elternsteuereinheit an die Kindsteuereinheit übertragen werden, und wobei das Diagnoseteil den Betrieb der Elternsteuereinheit durch Bestimmen diagnostiziert, ob die Testdaten und die Ausgabedaten, welche von dem Informationserfassungsteil erfasst werden, das Bezugsverhältnis erfüllen oder nicht.
  4. Überwachungseinheit nach Anspruch 3, weiterhin umfassend ein Benachrichtigungsteil zum Benachrichtigen der Elternsteuereinheit, das Gerät vorübergehend nicht basierend auf den Ausgabedaten zu steuern, wenn das Testdatenerfassungsteil die Testdaten übertragen soll.
  5. Steuersystem umfassend eine Elternsteuereinheit, eine Kindsteuereinheit zum Steuern eines Geräts in Übereinstimmung mit einer Steuerung, die von der Elternsteuereinheit ausgeführt wird, und eine Überwachungseinheit zum Überwachen eines Betriebs der Elternsteuereinheit, wobei die Überwachungseinheit einschließt: ein Diagnosedatenspeicherteil zum Speichern von Diagnosedaten zum Diagnostizieren des Betriebs der Elternsteuereinheit; ein Informationserfassungsteil zum Erfassen von Kommunikationsdaten, die zwischen der Elternsteuereinheit und der Kindsteuereinheit vermittelt werden; und ein Diagnoseteil zum Diagnostizieren des Betriebs der Elternsteuereinheit basierend auf den Diagnosedaten, die von dem Diagnosedatenspeicherteil gespeichert werden, und den Kommunikationsdaten, die von dem Informationserfassungsteil erfasst werden.
  6. Überwachungsprogramm in einem Steuersystem, das eine Elternsteuereinheit und eine Kindsteuereinheit einschließt, welche ein Gerät in Übereinstimmung mit einer Steuerung steuert, die von der Elternsteuereinheit ausgeführt wird, wobei das Überwachungsprogramm einen Betrieb der Elternsteuereinheit überwacht und einen Computer veranlasst auszuführen: einen Informationserfassungsprozess zum Erfassen von Kommunikationsdaten, die zwischen der Elternsteuereinheit und der Kindsteuereinheit vermittelt werden; und einen Diagnoseprozess zum Diagnostizieren des Betriebs der Elternsteuereinheit basierend auf Diagnosedaten, die in einer Speichereinheit gespeichert sind und die zum Diagnostizieren des Betriebs der Elternsteuereinheit dienen, und den Kommunikationsdaten, die in dem Informationserfassungsprozess erfasst werden.
DE112013007664.0T 2013-12-04 2013-12-04 Überwachungseinheit, Steuersystem und Überwachungsprogramm Pending DE112013007664T5 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2013/082554 WO2015083251A1 (ja) 2013-12-04 2013-12-04 監視装置、制御システム及び監視プログラム

Publications (1)

Publication Number Publication Date
DE112013007664T5 true DE112013007664T5 (de) 2016-09-01

Family

ID=53273047

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112013007664.0T Pending DE112013007664T5 (de) 2013-12-04 2013-12-04 Überwachungseinheit, Steuersystem und Überwachungsprogramm

Country Status (5)

Country Link
US (1) US10007570B2 (de)
JP (1) JP6147356B2 (de)
CN (1) CN105765543B (de)
DE (1) DE112013007664T5 (de)
WO (1) WO2015083251A1 (de)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101575547B1 (ko) * 2014-12-09 2015-12-22 현대오트론 주식회사 캔 통신 시스템의 에러 분산감지 방법 및 캔 통신 시스템
JP6489316B2 (ja) * 2015-11-04 2019-03-27 株式会社デンソー 異常診断システム及び異常診断装置
JP6629999B2 (ja) * 2016-04-12 2020-01-15 ガードノックス・サイバー・テクノロジーズ・リミテッドGuardKnox Cyber Technologies Ltd. セキュアロックダウンを実装するように構成された関連装置を有する特別にプログラムされたコンピューティングシステムおよびその使用方法
JP6438991B2 (ja) * 2017-03-14 2018-12-19 株式会社Subaru 車両用制御装置
JP6979630B2 (ja) * 2018-01-17 2021-12-15 パナソニックIpマネジメント株式会社 監視装置、監視方法及びプログラム
WO2021076888A1 (en) * 2019-10-16 2021-04-22 Lhp, Inc. Safety supervisor system for vehicles
CN112486796B (zh) * 2020-12-30 2023-07-11 智道网联科技(北京)有限公司 一种采集车载智能终端信息的方法和装置

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3842466B2 (ja) * 1998-11-20 2006-11-08 富士重工業株式会社 ハイブリッド車の制御装置
JP2007003219A (ja) * 2005-06-21 2007-01-11 Nissan Motor Co Ltd 電子制御システムの試験装置及び試験方法
JP2007067812A (ja) * 2005-08-31 2007-03-15 Fujitsu Ten Ltd フレーム監視装置
JP2007165996A (ja) * 2005-12-09 2007-06-28 Hitachi Industrial Equipment Systems Co Ltd 監視装置
JP4525762B2 (ja) 2008-02-04 2010-08-18 株式会社デンソー 車両用電子制御装置
JP5094777B2 (ja) 2009-04-07 2012-12-12 日立オートモティブシステムズ株式会社 車載用電子制御装置
DE112010005400T5 (de) 2010-03-18 2013-04-18 Toyota Jidosha Kabushiki Kaisha System für gegenseitige Überwachung von Mikrocomputern und ein Verfahren für gegenseitige Überwachung von Mikrocomputern
JP2012006535A (ja) 2010-06-28 2012-01-12 Autonetworks Technologies Ltd 車載電子制御装置
JP5246230B2 (ja) 2010-09-13 2013-07-24 株式会社デンソー 車両用電子制御装置
JP5585536B2 (ja) * 2011-05-30 2014-09-10 株式会社デンソー 車載電子制御装置および運転情報記憶システム
JP5541246B2 (ja) 2011-07-21 2014-07-09 株式会社デンソー 電子制御ユニット

Also Published As

Publication number Publication date
CN105765543A (zh) 2016-07-13
JP6147356B2 (ja) 2017-06-14
JPWO2015083251A1 (ja) 2017-03-16
US10007570B2 (en) 2018-06-26
CN105765543B (zh) 2018-11-06
US20160217023A1 (en) 2016-07-28
WO2015083251A1 (ja) 2015-06-11

Similar Documents

Publication Publication Date Title
DE112013007664T5 (de) Überwachungseinheit, Steuersystem und Überwachungsprogramm
EP1337921B1 (de) Vorrichtung zur überwachung eines prozessors
EP1600831B1 (de) Verfahren und Vorrichtung zur Überwachung mehrerer Steuergeräte mittels einer Frage-Antwort-Kommunikation
DE102017106087A1 (de) Fehlertoleranz-muster und schaltprotokoll für mehrere hot- und cold-standby-redundanzen
DE112018004312T5 (de) Fahrzeugdiagnoseapparat, Fahrzeugdiagnosesystem und Fahrzeugdiagnoseprogramm
DE102014102582A1 (de) Fehlertolerantes Steuerungssystem
DE112013006757B4 (de) Datenverarbeitungsvorrichtung und Kommunikationssystem
DE102017107284A1 (de) Verfahren und steuergerät zum überwachen eines bordnetzes eines fahrzeugs
DE102013203358A1 (de) System und verfahren zum verifizieren der integrität eines sicherheitskritischen fahrzeugsteuerungssystems
DE102011014142A1 (de) Fahrzeugsteuervorrichtung für eine CAN-Kommunikation und Diagnoseverfahren hierfür
DE102005015664A1 (de) Diagnosesystem zur Bestimmung einer gewichteten Liste möglicherweise fehlerhafter Komponenten aus Fahrzeugdaten und Kundenangaben
DE10331873B4 (de) Verfahren zur Überwachung verteilter Software
DE102006046399A1 (de) Verfahren und Vorrichtung zur Fehlerverwaltung
DE102011007437A1 (de) Verfahren und Schaltungsanrodnung zur Datenübertragung zwischen Prozessorbausteinen
DE102016204713A1 (de) Ansteuervorrichtung
EP3869338A1 (de) Elektronisches fahrzeugsicherheitssteuerungssystem
WO2008095518A1 (de) Anwendung einer verteilten diagnosearchitektur in autosar
DE112012006843T5 (de) Fahrzeugkommunikationssystem und Fahrzeugkommunikationsverfahren
EP2102723B1 (de) Verfahren und vorrichtung zum diagnostizieren von funktionen und fahrzeugsystemen
DE102015202326A1 (de) Verfahren zum Betreiben einer Datenverarbeitungseinheit eines Fahrerassistenzsystems und Datenverarbeitungseinheit
DE112018005815T5 (de) Steuereinrichtung und elektronisches Steuersystem für Fahrzeuge
EP2786162B1 (de) Verfahren zum feststellen eines fehlers in verbindungleitungen zwischen einer zentraleinheit und einer mehrzahl von voreinander unabhängigen elektronischen baueinheiten
DE102015110076A1 (de) Diagnose zur Detektion eines Kommunikationsverlusts zwischen einem Controller eines Batteriesystemmanagers und mehreren Batteriezellen-Erfassungsplatinen
EP1733284B1 (de) Ablaufsteuerung von funktionen auf miteinander wechselwirkenden geräten
DE102012221277A1 (de) Fahrzeugsteuervorrichtung

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: G06F0013000000

Ipc: G06F0011300000

R084 Declaration of willingness to licence
R016 Response to examination communication