DE112016006679T5 - Steuerungsvorrichtung und Recovery-Verarbeitungsverfahren für Steuerungsvorrichtung - Google Patents

Steuerungsvorrichtung und Recovery-Verarbeitungsverfahren für Steuerungsvorrichtung Download PDF

Info

Publication number
DE112016006679T5
DE112016006679T5 DE112016006679.1T DE112016006679T DE112016006679T5 DE 112016006679 T5 DE112016006679 T5 DE 112016006679T5 DE 112016006679 T DE112016006679 T DE 112016006679T DE 112016006679 T5 DE112016006679 T5 DE 112016006679T5
Authority
DE
Germany
Prior art keywords
state
control device
synchronization
data
state data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE112016006679.1T
Other languages
English (en)
Other versions
DE112016006679B4 (de
Inventor
Masuo Ito
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of DE112016006679T5 publication Critical patent/DE112016006679T5/de
Application granted granted Critical
Publication of DE112016006679B4 publication Critical patent/DE112016006679B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1658Data re-synchronization of a redundant component, or initial sync of replacement, additional or spare unit
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1415Saving, restoring, recovering or retrying at system level
    • G06F11/1438Restarting or rejuvenating
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1675Temporal synchronisation or re-synchronisation of redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2038Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant with a single idle spare processing component
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/2097Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements maintaining the standby controller/processing unit updated
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Hardware Redundancy (AREA)

Abstract

Eine Steuerungsvorrichtung (1) weist eine Sende-/Empfangseinheit (7) für Synchronisationszustand auf, die so konfiguriert ist, dass sie einen Synchronisationszustand an und von eine bzw. einer weitere(n) Steuerungsvorrichtung über ein Netzwerk sendet und empfängt, und eine Sende-/Empfangseinheit (4) für Zustandsdaten, die so konfiguriert ist, dass sie Zustandsdaten an die und von der weitere(n) Steuerungs-vorrichtung über das Netzwerk sendet und empfängt. Demzufolge kann die Steuerungs-vorrichtung (1) den Synchronisationszustand der weiteren Steuerungs-vorrichtung erfassen. Selbst wenn die Steuerungsvorrichtung (1) infolge eines Fehlverhaltens neugestartet wird, empfängt die Steuerungsvorrichtung (1) Zustandsdaten von der weiteren Steuerungsvorrichtung, die mit der Steuerungsvorrichtung (1) synchronisiert worden ist und in Betrieb ist, so dass die Steuerungsvorrichtung (1) ohne Stoppen des gesamten Systems korrigiert werden kann.

Description

  • Technisches Gebiet
  • Die vorliegende Erfindung betrifft eine Steuerungsvorrichtung und ein Recovery-Verfahren bzw. Korrekturverfahren für eine Steuerungsvorrichtung. Sie betrifft insbesondere eine Steuerungsvorrichtung, die in einem Multiplex-System verwendet wird, und ein Recovery-Verarbeitungsverfahren bzw. Korrekturverfahren für eine solche Steuerungsvorrichtung.
  • Stand der Technik
  • Bislang werden in einer Steuerungsvorrichtung, die in einem Fahrzeug verwendet werden soll, zwei Steuerungsvorrichtungen als ein duales System zur Vorbereitung des Auftretens eines Fehlverhaltens in einer der Steuerungsvorrichtungen bereitgestellt. Es wurde auch bereits ein System vorgeschlagen, bei welchem die Berechnungsergebnisse miteinander verglichen werden, die von den zwei Steuerungsvorrichtungen erhalten werden, die in dem dualen System vorhanden sind, und wenn sich die Berechnungsergebnisse voneinander unterscheiden, wird eine Ausfallsicherheits-Verarbeitung durchgeführt, so dass die Signalausgabe sicher durchgeführt wird.
  • In der Patentliteratur 1 ist beispielsweise eine Informations-Verarbeitungsvorrichtung beschrieben, die so konfiguriert ist, dass sie zwei Prozessoren dazu veranlasst, miteinander synchronisiert zu arbeiten. In der Patentliteratur 1 gilt Folgendes: Wenn ein interner Ausfall in irgendeiner der zwei Prozessoren auftritt und demzufolge die Ausgaben aus den zwei Prozessoren nicht übereinstimmen, wird einer der Prozessoren identifiziert, in welchem das Fehlverhalten aufgetreten ist. Durch die Verwendung von internen Informationen über den Prozessor, in welchem kein Fehlverhalten auftritt, und mit einer dualen Konfiguration, wird dann die Verarbeitung fortgesetzt, die zu der Zeit durchgeführt worden ist, bei welcher das Fehlverhalten aufgetreten ist.
  • Dieser Betrieb wird durch die folgende Konfiguration implementiert. Zunächst werden zusätzlich zu den zwei Prozessoren ein Hauptspeicher und eine Steuerungsschaltung für ein duales System bereitgestellt. Außerdem sind die Steuerungsschaltung für ein duales System und die zwei Prozessoren miteinander mittels dedizierter Signalleitungen verbunden, und die zwei Prozessoren werden miteinander synchronisiert zurückgesetzt. Dann werden Informationen über den Zustand vor dem Auftreten des Fehlverhaltens vom Hauptspeicher bezogen.
  • Literaturverzeichnis
  • Patentliteratur
  • [PTL 1] JP 2002-244879 A
  • Zusammenfassung der Erfindung
  • Technisches Problem
  • Es wird der folgende Fall erwogen: In einem Multiplex-System, in welchem eine Mehrzahl von Steuerungsvorrichtungen miteinander über ein Netzwerk verbunden sind, tritt ein Fehlverhalten in einer der Steuerungsvorrichtungen auf, das durch ein Neustarten korrigiert bzw. behoben werden kann. Das Fehlverhalten, das durch ein Neustarten korrigiert werden kann, beruht beispielsweise auf einem Software-Fehler, der infolge von statischer Elektrizität oder Hintergrundstrahlung auftritt, und ist ein Fehlverhalten, bei welchem die Vorrichtung wieder in einen betriebsfähigen Zustand eintritt, indem sie von einem Überwachungszeitgeber (Watchdog) zurückgesetzt wird.
  • In einem Fall, in welchem ein solches Fehlverhalten aufgetreten ist, das durch einen Neustarten korrigiert werden kann, gilt Folgendes: Selbst dann, wenn die andere Steuerungsvorrichtung, in welcher kein Fehlverhalten auftritt, den Ausfallbetrieb bzw. Fehlverhaltensbetrieb fortsetzt, ist es wünschenswert, dass die Steuerungsvorrichtung, in welcher kein Fehlverhalten auftritt, und die Steuerungsvorrichtung, in welcher das Fehlverhalten aufgetreten ist, für die Korrektur konsequent miteinander synchronisiert sind. In diesem Fall können alle Steuerungsvorrichtungen zum Normalbetrieb zurückkehren, während das gesamte System den Betrieb nicht zu unterbrechen braucht.
  • Mit dem Konzept gemäß der Patentliteratur 1 kann der Betrieb kontinuierlich aus dem Zustand vor dem Auftreten des Fehlverhaltens wiederaufgenommen werden, aber es besteht das Problem erhöhter Kosten, da Hardware-Komponenten mit Ausnahme der Prozessoren notwendig sind, wie z. B. der Hauptspeicher und die Steuerungsschaltung für ein duales System. Außerdem besteht das Problem, dass dann, wenn das Fehlverhalten in einem der Prozessoren aufgetreten ist, der Betrieb des gesamten Systems zeitweilig gestoppt werden muss, da es notwendig ist, dass alle Prozessoren zurückgesetzt werden.
  • Die vorliegende Erfindung wurde gemacht, um die oben erwähnten Probleme zu lösen. Es ist daher Aufgabe der vorliegenden Erfindung, eine Steuerungsvorrichtung und ein Recovery-Verarbeitungsverfahren für die Steuerungsvorrichtung zum Implementieren eines Steuerungssystems anzugeben, das eine Mehrzahl von Steuerungsvorrichtungen aufweist und dazu imstande ist, es zu ermöglichen, dass dann, wenn ein Fehlverhalten in einer der Steuerungsvorrichtungen im Steuerungssystem aufgetreten ist, die Steuerungsvor-richtung, in welcher das Fehlverhalten aufgetreten ist, korrigiert bzw. wiederhergstellt wird, und zwar ohne das gesamte System zeitweilig zu stoppen und ohne dass eine zusätzliche Hardware-Komponente notwendig ist.
  • Lösung des Problems
  • Gemäß einer Ausführungsform der vorliegenden Erfindung wird eine Steuerungsvorrichtung angegeben, die in einem Multiplex-System verwendet wird, wobei die Steuerungsvorrichtung so konfiguriert ist, dass sie synchronisiert mit einer weiteren Steuerungsvorrichtung über ein Netzwerk arbeitet, wobei die Steuerungsvorrichtung Folgendes aufweist:
    • eine Zustandsdaten-Speichereinheit, die so konfiguriert ist, dass sie Daten speichert, die einen Steuerungszustand der Steuerungsvorrichtung angeben;
    • eine Sende-/Empfangseinheit für Zustandsdaten, die so konfiguriert ist, dass sie die Zustandsdaten, die in der Zustandsdaten-Speichereinheit gespeichert sind, an die weitere Steuerungsvorrichtung über das Netzwerk überträgt, und dass sie Zustandsdaten auf der weiteren Steuerungsvorrichtung von der weiteren Steuerungsvorrichtung über das Netzwerk empfängt;
    • eine Sende-/Empfangseinheit für Synchronisationszustand, die so konfiguriert ist, dass sie Informationen über einen Synchronisationszustand, der angibt, ob ein Zustand der Synchronisation der Steuerungsvorrichtung mit der weiteren Steuerungsvorrichtung ein Synchronisations-Vorbereitungszustand oder ein Synchronisations-Vervollständigungszustand ist, an die weitere Steuerungsvorrichtung über das Netzwerk übermittelt, und dass sie Informationen über einen Synchronisationszustand der weiteren Steuerungsvorrichtung von der weiteren Steuerungsvorrichtung über das Netzwerk empfängt; und
    • eine Zustandssynchronisation-Verwaltungseinheit, die so konfiguriert ist, dass sie dann, wenn die Steuerungsvorrichtung gestartet oder neugestartet werden soll, Folgendes durchführt:
      • temporäres Einstellen der Informationen über den Synchronisationszustand der Steuerungsvorrichtung in den Synchronisations-Vorbereitungszustand;
      • Bestimmen, ob die Informationen über den Synchronisationszustand der weiteren Steuerungsvorrichtung, die von der Sende-/Empfangseinheit für Synchronisationszustand empfangen worden ist, auf den Synchronisations-Vervollständigungszustand eingestellt ist; Überschreiben, wenn bestimmt wird, dass die Informationen auf den Synchronisations-Vervollständigungszustand eingestellt sind, der Zustandsdaten auf der weiteren Steuerungsvorrichtung, die von der Sende-/Empfangseinheit für Zustandsdaten empfangen wurden, in die Zustandsdaten-Speichereinheit als die Zustandsdaten der Steuerungsvorrichtung hinein; und
      • Aktualisieren der Informationen über den Synchronisationszustand der Steuerungsvorrichtung aus dem Synchronisations-Vorbereitungszustand in den Synchronisations-Vervollständigungszustand.
  • Vorteilhafte Wirkungen der Erfindung
  • Gemäß der Steuerungsvorrichtung einer Ausführungsform der vorliegenden Erfindung kann der Synchronisationszustand einer weiteren Steuerungsvorrichtung erfasst werden, und außerdem können, selbst wenn ein Neustart infolge eines Fehlverhaltens in der Steuerungsvorrichtung auftritt, die Zustandsdaten von der weiteren Steuerungsvorrichtung empfangen werden, die mit der Steuerungsvorrichtung synchronisiert worden ist und in Betrieb ist.
  • Im Ergebnis ist es möglich, das Steuerungssystem zu implementieren, das dazu imstande ist, es zu gestatten, dass die Steuerungsvorrichtung, in welcher das Fehlverhalten aufgetreten ist, korrigiert bzw. wiederhergestellt wird, und zwar ohne das gesamte System zeitweilig zu stoppen, und ohne, dass eine zusätzliche Hardware-Komponente erforderlich wäre.
  • Figurenliste
    • 1 ist ein Konfigurationsdiagramm zur Erläuterung einer Konfiguration eines gesamten Steuerungssystems und einer Hardware-Konfiguration der jeweiligen Steuerungsvorrichtung bei einer ersten Ausführungsform der vorliegenden Erfindung.
    • 2 ist ein Block-Konfigurationsdiagramm zur Erläuterung der internen Konfiguration der jeweiligen Steuerungsvorrichtung gemäß der ersten Ausführungsform der vorliegenden Erfindung.
    • 3 ist ein Diagramm zur Erläuterung von Fenstern in dem jeweiligen Betriebszyklus bei der zweiten Ausführungsform der vorliegenden Erfindung.
    • 4 ist ein Ablaufdiagramm zur Erläuterung eines Verarbeitungsablaufs bei der ersten Ausführungsform der vorliegenden Erfindung.
    • 5 ist ein Diagramm zur Erläuterung von Zustandsübergängen bei einer vierten Ausführungsform der vorliegenden Erfindung.
    • 6 ist ein Diagramm zur Erläuterung von Fenstern in jedem Betriebszyklus bei einer fünften Ausführungsform der vorliegenden Erfindung.
    • 7 ist ein Timing-Diagramm zur Erläuterung des Betriebs bei der ersten Ausführungsform der vorliegenden Erfindung.
    • 8 ist ein Blockdiagramm zur Erläuterung von Hardware-Konfigurationen von Steuerungsvorrichtungen gemäß einer dritten Ausführungsform der vorliegenden Erfindung.
    • 9 ist ein Blockdiagramm zur Erläuterung von Hardware-Konfigurationen von Steuerungsvorrichtungen gemäß der dritten Ausführungsform der vorliegenden Erfindung.
    • 10 ist ein Konfigurationsdiagramm zur Erläuterung einer Konfiguration eines gesamten Steuerungssystems und von Hardware-Konfigurationen von Steuerungsvorrichtungen bei einer sechsten Ausführungsform der vorliegenden Erfindung.
    • 11 ist ein Konfigurationsdiagramm zur Erläuterung einer Konfiguration eines gesamten Steuerungssystems und von Hardware-Konfigurationen von Steuerungsvorrichtungen bei der sechsten Ausführungsform der vorliegenden Erfindung.
    • 12 ist ein Konfigurationsdiagramm zur Erläuterung einer Konfiguration eines gesamten Steuerungssystems und von Hardware-Konfigurationen von Steuerungsvorrichtungen bei der sechsten Ausführungsform der vorliegenden Erfindung.
  • Beschreibung von Ausführungsformen
  • Erste Ausführungsform
  • 1 ist ein Diagramm zur Erläuterung einer Konfiguration eines gesamten Steuerungssystems bei einer ersten Ausführungsform der vorliegenden Erfindung. Wie in 1 veranschaulicht, sind in dem Steuerungssystem bei der ersten Ausführungsform eine Mehrzahl von Steuerungsvorrichtungen 1 bis 3 miteinander über ein Netzwerk 100 verbunden. Die Steuerungsvorrichtungen 1 bis 3 arbeiten in einem Zustand, in welchem sie miteinander synchronisiert sind.
  • Das Netzwerk 100 ist beispielsweise Ethernet (in JP eingetragene Marke), FlexRay (in JP eingetragene Marke) oder zeitgetriggertes CAN (TTCAN). Obwohl in 1 drei Steuerungsvorrichtungen dargestellt sind, kann ein jegliches Steuerungssystem verwendet werden, solange das gesamte Steuerungssystem ein Multiplex-System ist, und demzufolge ist die Anzahl vno Steuerungsvorrichtungen nicht besonders beschränkt, solange die Anzahl zwei oder mehr beträgt.
  • Die Steuerungsvorrichtung 1, die Steuerungsvorrichtung 2 und die Steuerungsvorrichtung 3 haben die gleiche Konfiguration, und demzufolge wird eine Hardware-Konfiguration der jeweiligen Steuerungsvorrichtung unter Verwendung der Steuerungsvorrichtung 1 beschrieben. Wie in 1 veranschaulicht, weist die Steuerungsvorrichtung 1 einen Prozessor 30, ein ROM 31, ein RAM 32, eine Sendeeinrichtung 33, eine Empfangseinrichtung 34 und einen Reset-IC 35 auf.
  • Das ROM 31 ist ein Speicher, der so konfiguriert ist, dass er ein Programm der Steuerungsvorrichtung 1 speichert.
  • Der Prozessor 30 ist eine Einrichtung, die so konfiguriert ist, dass sie sequenziell ein Programm aus dem ROM 31 ausliest und eine Verarbeitung gemäß dem ausgelesenen Programm ausführt.
  • Das RAM 32 ist ein Speicher, der so konfiguriert ist, dass er Daten während der Ausführung eines Programms hält, das vom Prozessor 30 verarbeitet wird.
  • Die Sendeeinrichtung 33 ist eine Einrichtung, die so konfiguriert ist, dass sie Daten, die von dem Prozessor 30 verarbeitet werden, in ein physikalisches Signal umwandelt, das gemäß einem Netzwerkprotokoll implementiert ist, und die Daten auf das Netzwerk 100 überträgt.
  • Die Empfangseinrichtung 34 ist eine Einrichtung, die so konfiguriert ist, dass sie ein physikalisches Signal empfängt, das durch das Netzwerk 100 geleitet wird, das physikalische Signal in Daten umwandelt, die vom Prozessor 30 interpretiert werden können, und die sich ergebenden Daten an den Prozessor 30 weitergibt.
  • Das Reset-IC 35 ist eine Einrichtung, die so konfiguriert ist, dass sie überwacht, ob oder ob nicht ein Programm, das auf dem Prozessor 30 ausgeführt wird, normal arbeitet, und den Prozessor 30 zurücksetzt, wenn eine Anomalie auftritt.
  • 2 ist ein Funktions-Blockdiagramm der Steuerungsvorrichtung 1 gemäß der ersten Ausführungsform. Wie oben beschrieben, haben die Steuerungsvorrichtung 1, die Steuerungsvorrichtung 2 und die Steuerungsvorrichtung 3 die gleiche Konfiguration, und demzufolge wird auch in diesem Fall die interne Funktions-Konfiguration der jeweiligen Steuerungsvorrichtung unter Verwendung der Steuerungsvorrichtung 1 beschrieben. Wie in 2 dargestellt, weist die Steuerungsvorrichtung 1 eine Sende-/Empfangseinheit 4 für Zustandsdaten, eine Zustandsdaten-Vergleichseinheit 5, eine Zustandssynchronisation-Verwaltungseinheit 6, eine Sende-/Empfangseinheit 7 für Synchronisationszustand, Middleware 8 und ein Betriebssystem und Treiber 10 auf.
  • Außerdem ist eine Steuerungseinheit 9 für Zyklus-Synchronisation in der Middleware 8 eingebaut. In 2 sind die Sende-/Empfangseinheit 4 für Zustandsdaten, die Zustandsdaten-Vergleichseinheit 5, die Zustandssynchronisation-Verwaltungseinheit 6, die Sende-/Empfangseinheit 7 für Synchronisationszustand, die Middleware 8, die Steuerungseinheit 9 für Zyklus-Synchronisation und das Betriebssystem und Treiber 10 jeweils durch die CPU 30 implementiert, die ein im ROM 31 gemäß 1 gespeichertes Programm ausführt.
  • Für das Betriebssystem und den Treiber 10 und die Middleware 8 wird beispielsweise AUTOSAR (in JP eingetragene Marke) verwendet, das eine Standardsoftware-Plattform auf dem Gebiet der Automobile ist.
  • Die Steuerungseinheit 9 für Zyklus-Synchronisation, die in der Middleware 8 bereitgestellt ist, entspricht einer Verwaltung mit synchronisierter Zeitbasis (StbM), wenn die Middleware 8 AUTOSAR (in JP eingetragene Marke) ist. Die Steuerungseinheit 9 für Zyklus-Synchronisation ist so konfiguriert, dass sie eine Synchronisation unter den Steuerungsvorrichtungen 1 bis 3 mit einem Trigger auf der Basis eines globalen Zeitgebers auf dem Netzwerk 100 erreicht. Die Steuerungseinheit 9 für Zyklus-Synchronisation gibt die Zyklus-Synchronisation 25 (siehe 3) für jeden Hauptzyklus 20 (siehe 3) aus, die im Voraus eingestellt ist.
  • Die Sende-/Empfangseinheit 4 für Zustandsdaten sendet und empfängt, als ein Verhalten der Steuerungsvorrichtung 1, Zustandsdaten, die einen Steuerungszustand eines Fahrzeugs angeben, das innerhalb der Steuerungsvorrichtung 1 verwaltet wird, und zwar zu und von den weiteren Steuerungsvorrichtungen 2 und 3 über die Sendeeinrichtung 33 und die Empfangseinrichtung 34 gemäß 1.
  • Wie hier verwendet, beziehen sich die Zustandsdaten, die den Steuerungszustand angeben, beispielsweise in einem Fahrzeug, in welchem ein automatisches Fahrsystem installiert ist, auf Daten, die angeben, ob das Fahrzeug in einem automatischen Fahrmodus oder in einem manuellen Fahrmodus ist, oder auf Daten, die einen Zustand von jeder von diversen Funktionen angeben, wie z. B. Funktionen zum Veranlassen des Fahrzeugs, während der Fahrt links und rechts abzubiegen, und zum Veranlassen des Fahrzeugs, sich mit einer weiteren Fahrspur während der Fahrt zu vereinigen, oder eine Funktion zum Parken des Fahrzeugs, wenn das Fahrzeug angehalten werden soll. Jede der Steuerungsvorrichtungen 1 bis 3 speichert ihre eigenen Zustandsdaten im RAM 32.
  • Die Zustandsdaten-Vergleichseinheit 5 vergleicht die Zustandsdaten über die Steuerungsvorrichtung 2 und 3, die von der Sende-/Empfangseinheit 4 für Zustandsdaten bezogen worden sind, mit den im RAM 32 gespeicherten Zustandsdaten, die innerhalb der Steuerungsvorrichtung 1 verwaltet werden.
  • Wenn die Steuerungsvorrichtung 1 unter einem Zustand neugestartet wird, in welchem die Steuerungsvorrichtungen 1 bis 3 miteinander synchronisiert sind, überschreibt die Zustandssynchronisation-Verwaltungseinheit 6 die Zustandsdaten, die von den anderen Steuerungsvorrichtungen 2 und 3 bezogen worden sind, in das RAM 32 der Steuerungsvorrichtung 1 hinein, und zwar als die Zustandsdaten auf der Steuerungsvorrichtung 1, so dass die Zustandsdaten auf der Steuerungsvorrichtung 1 mit den Zustandsdaten auf der Steuerungsvorrichtung 2 und der Steuerungsvorrichtung 3 übereinstimmen.
  • Außerdem verwaltet die Zustandssynchronisation-Verwaltungseinheit 6 einen Synchronisationszustand der Steuerungsvorrichtung 1. Der Synchronisationszustand bezieht sich auf Informationen, die angeben, ob ein Synchronisationszustand der Steuerungsvorrichtung 1 mit den Steuerungsvorrichtungen 2 und 3 „Vorbereiten zur Synchronisation“ (Synchronisations-Vorbereitungszustand) oder „Synchronisation vollständig“ (Synchronisations-Vervollständigungszustand) ist.
  • Der Zustand „Vorbereitung zur Synchronisation“ (Synchronisations-Vorbereitungszustand) ist ein Zustand, in welchem die Steuerungsvorrichtung 1 nicht mit den Steuerungsvorrichtungen 2 und 3 synchronisiert ist. Indessen ist der Zustand „Synchronisation vollständig“ (Synchronisations-Vervollständigungszustand) ein Zustand, in welchem die Steuerungsvorrichtung 1 mit den Steuerungsvorrichtungen 2 und 3 synchronisiert ist. Der Synchronisationszustand wird von der Zustandssynchronisation-Verwaltungseinheit 6 verwaltet, aber er kann im RAM 32 gespeichert sein.
  • Die Sende-/Empfangseinheit 7 für Synchronisationszustand unterrichtet die weiteren Steuerungsvorrichtungen 2 und 3 von der Tatsache, dass die Synchronisation des Zustands vollständig ist oder noch nicht vollständig ist, und zwar durch die Zustandssynchronisation-Verwaltungseinheit 6. Genauer gesagt: Die Sende-/Empfangseinheit 7 für Synchronisationszustand sendet und empfängt Informationen über den Synchronisationszustand, der von der Zustandssynchronisation-Verwaltungseinheit 6 verwaltet wird, an und von die bzw. den weiteren Steuerungsvorrichtungen 2 und 3, und zwar über die Sendeeinrichtung 33 und die Empfangseinrichtung 34 gemäß 1.
  • Als nächstes wird der Verarbeitungsablauf der Steuerungsvorrichtung gemäß der ersten Ausführungsform beschrieben. Wie oben beschrieben, haben die Steuerungsvorrichtung 1, die Steuerungsvorrichtung 2, und die Steuerungsvorrichtung 3 die gleiche Konfiguration und führen den gleichen Betrieb aus, und demzufolge wird der Verarbeitungsablauf der jeweiligen Steuerungsvorrichtung unter Verwendung der Steuerungsvorrichtung 1 beschrieben.
  • Der Verarbeitungsablauf wird wie folgt zusammengefasst: Nachdem sie gestartet oder neugestartet wird, sendet und empfängt die Steuerungs-vorrichtung 1 Informationen über den Synchronisationszustand und die Zustandsdaten an und von die bzw. den anderen Steuerungsvorrichtungen 2 und 3, und sie führt eine normale Verarbeitung aus, wenn der Synchronisationszustand zwischen den Steuerungsvorrichtungen 1 bis 3 erreicht ist.
  • Einzelheiten der Verarbeitungsprozedur werden unter Bezugnahme auf einen Verarbeitungsablauf beschrieben, der in 4 veranschaulicht ist. 4 ist eine Darstellung des Verarbeitungsablaufs der Steuerungsvorrichtung 1. „Start“ am Anfang des Ablaufs in 4 stellt ein Starten der Steuerungsvorrichtung 1 durch Einschalten der Energie der Steuerungsvorrichtung 1 dar, oder ein Neustarten der Steuerungsvorrichtung 1 durch eine Zurücksetz-Verarbeitung mittels eines Überwachungszeitgebers (Watchdog) oder dergleichen, nachdem ein Fehlverhalten in der Steuerungsvorrichtung 1 aufgetreten ist. Das heißt, wenn die Energie der Steuerungsvorrichtung 1 eingeschaltet worden ist, oder wenn die Steuerungsvorrichtung 1 neugestartet worden ist, nachdem das Fehlverhalten in der Steuerungsvorrichtung 1 aufgetreten ist, wird die Verarbeitung des Ablaufs gemäß 4 durchgeführt.
  • Nach dem Start führt die Steuerungsvorrichtung 1 eine Initialisierungsverarbeitung durch (Schritt S1). Diese Initialisierungsverarbeitung ist die gleiche wie die Initialisierungsverarbeitung, die in einer allgemeinen Steuerungsvorrichtung auszuführen ist.
  • Als nächstes stellt die Zustandssynchronisation-Verwaltungseinheit 6 den Synchronisationszustand der Steuerungsvorrichtung 1 auf „Vorbereiten zur Synchronisation“ ein (Schritt S2).
  • Als nächstes sendet die Sende-/Empfangseinheit 7 für Synchronisationszustand den Synchronisationszustand der Steuerungsvorrichtung 1 an die weiteren Steuerungsvorrichtungen 2 und 3 (Schritt S3).
  • Außerdem sendet die Sende-/Empfangseinheit 4 für Zustandsdaten die Zustandsdaten über die Steuerungsvorrichtung 1 an die weiteren Steuerungsvorrichtungen 2 und 3 (Schritt S4).
  • Gleichzeitig empfängt die Sende-/Empfangseinheit 7 für Synchronisationszustand den Synchronisationszustand der jeweiligen von der Steuerungsvorrichtung 2 und der Steuerungsvorrichtung 3 (Schritt S5), und die Sende-/Empfangseinheit 4 für Zustandsdaten empfängt die Zustandsdaten über jede von Steuerungsvorrichtung 2 und Steuerungsvorrichtung 3 (Schritt S6). Wenn der Synchronisationszustand und die Zustandsdaten empfangen worden sind, fährt die Verarbeitung mit Schritt S7 fort. Wenn indessen der Synchronisationszustand und die Zustandsdaten nicht empfangen werden können, springt die Verarbeitung zum Schritt S3 zurück.
  • Im Schritt S7 bestimmt die Zustandssynchronisation-Verwaltungseinheit 6, ob der Synchronisationszustand von der jeweiligen von der Steuerungsvorrichtung 2 und der Steuerungsvorrichtung 3 „Vorbereitung zur Synchronisation“ oder „Synchronisation vollständig“ ist (Schritt S7). Wenn sowohl der Synchronisationszustand der Steuerungsvorrichtung 2, als auch derjenige der Steuerungsvorrichtung 3 im Zustand „Synchronisation vollständig“ sind, fährt die Verarbeitung mit Schritt S8 fort. Andernfalls fährt die Verarbeitung mit Schritt S13 fort.
  • Im Schritt S13 vergleicht die Zustandsdaten-Vergleichseinheit 5 die Zustandsdaten, die von jeder von der Steuerungsvorrichtung 2 und der Steuerungsvorrichtung 3 empfangen worden sind, mit den Zustandsdaten, die im RAM 32 der Steuerungsvorrichtung 1 gespeichert sind (Schritt S13).
  • Als ein Ergebnis des im Schritt S13 durchgeführten Vergleichs gilt Folgendes: Wenn sowohl die Zustandsdaten über die Steuerungsvorrichtung 2, als auch die Zustandsdaten über die Steuerungsvorrichtung 3 mit den Zustandsdaten über die Steuerungsvorrichtung 1 übereinstimmen, stellt die Zustandssynchronisation-Verwaltungseinheit 6 den Synchronisationszustand der Steuerungsvorrichtung 1 auf „Synchronisation vollständig“ ein (Schritt S9). Andernfalls springt die Verarbeitung zum Schritt S3 zurück.
  • Nachdem der Synchronisationszustand im Schritt S9 auf „Synchronisation vollständig“ eingestellt worden ist, werden die Verarbeitungsschritte vom Schritt S10 bis zum Schritt S12 im Hauptzyklus 20 (siehe 3) wiederholt, der im Voraus eingestellt worden ist. Die Verarbeitungsschritte aus Schritt S10 bis Schritt S12 sind ein Normalbetrieb der Steuerungsvorrichtung 1. Es wird insbesondere der Normalbetrieb beschrieben, der im Schritt S10 bis Schritt S12 durchzuführen ist.
  • Zunächst sendet und empfängt die Sende-/Empfangseinheit 7 für Synchronisationszustand den Synchronisationszustand an die bzw. von den Steuerungsvorrichtungen 2 und 3 (Schritt S10), die Sende-/Empfangseinheit 4 für Zustandsdaten sendet und empfängt die Zustandsdaten an die bzw. von den Steuerungsvorrichtungen 2 und 3 (Schritt S11), und der Prozessor 30 führt die normale Verarbeitung aus (Schritt S12). Auf diese Weise werden die Verarbeitungsschritte vom Schritt S10 bis zum Schritt S12 wiederholt im Hauptzyklus 20 ausgeführt (siehe 3).
  • Indessen überschreibt im Schritt S8 die Zustandssynchronisation-Verwaltungseinheit 6 die Zustandsdaten, die von der Steuerungsvorrichtung 2 oder der Steuerungsvorrichtung 3 empfangen worden sind, in das RAM 32 der Steuerungsvorrichtung 1 hinein (Schritt S8), und sie stellt den Synchronisationszustand der Steuerungsvorrichtung 1 auf „Synchronisation vollständig“ ein (Schritt S9).
  • Nach dem Schritt S9 sendet und empfängt im Hauptzyklus 20 (siehe 3), der im Voraus eingestellt worden ist, die Sende-/Empfangseinheit 7 für Synchronisationszustand den Synchronisationszustand (Schritt S10), die Sende-/Empfangseinheit 4 für Zustandsdaten sendet und empfängt die Zustandsdaten (Schritt S11), und der Prozessor 30 wiederholt die normale Verarbeitung (S12).
  • Der Fall, in welchem im oben beschriebenen Schritt S7 bestimmt wird, dass mindestens einer der Synchronisationszustände der Steuerungsvorrichtung 2 und der Steuerungsvorrichtung 3 nicht „Synchronisation vollständig“ ist, entspricht dem Fall, in welchem bis jetzt in mindestens einer von der Steuerungsvorrichtung 2 und der Steuerungsvorrichtung 3 der Synchronisationszustand niemals „Synchronisation vollständig“ geworden ist. Das heißt, dieser Fall entspricht dem Fall, in welchem das gesamte System inklusive der Steuerungsvorrichtung 1, der Steuerungsvorrichtung 2 und der Steuerungsvorrichtung 3 gestartet wird.
  • Indessen gibt der Fall, in welchem im oben beschriebenen Schritt S7 bestimmt wird, dass sowohl der Synchronisationszustand der Steuerungsvorrichtung 2, als auch der Synchronisationszustand der Steuerungsvorrichtung 3 im Zustand „Synchronisation vollständig“ sind, das Ergebnis des Falls an, in welchem alle von Steuerungsvorrichtung 1, Steuerungsvorrichtung 2 und Steuerungsvorrichtung 3 einmal „Synchronisation vollständig“ geworden sind. Demzufolge entspricht dieser Fall dem Fall, in welchem die Steuerungsvorrichtung 2 und die Steuerungsvorrichtung 3 normal arbeiten und nur die Steuerungsvorrichtung 1 neugestartet worden ist.
  • Daher unterstützt der Ablauf gemäß 4 dann, wenn ein automatisches Fahrsystem für ein Fahrzeug als ein Beispiel genommen wird, sowohl den Fall, in welchem das gesamte Steuerungssystem inklusive der Steuerungsvorrichtung 1, der Steuerungsvorrichtung 2 und der Steuerungsvorrichtung 3 gestartet wird, indem z.B. ein Zündschalter des Fahrzeugs eingeschaltet wird (nachfolgend als „IG ON“ bezeichnet), als auch den Fall, in welchem während des Betriebs des Steuerungssystems nach „IG ON“, während die Steuerungsvorrichtung 2 und die Steuerungsvorrichtung 3 normal arbeiten, nur die Steuerungsvorrichtung 1 durch eine Zurücksetz-Verarbeitung neugestartet worden ist, die durch das Auftreten eines Fehlverhaltens veranlasst worden ist.
  • Es wird die Beschreibung des Betriebs des Ablaufs gemäß 4 unter Bezugnahme auf ein Timing-Diagramm gemäß 7 ergänzt. In 7 stellen die jeweiligen vertikalen Achsen die folgenden Zustände beginnend von oben dar:
    • - ob das Steuerungssystem eingeschaltet oder ausgeschaltet ist;
    • - ob oder ob nicht ein Fehlverhalten in der Steuerungsvorrichtung 1 aufgetreten ist, ob ein Zurücksetzen der Steuerungsvorrichtung 1 eingeschaltet oder ausgeschaltet ist, ob der Synchronisationszustand „Synchronisation vollständig“ oder „Vorbereitung zur Synchronisation“ ist, ob oder ob nicht der Synchronisationszustand gesendet worden ist, ob oder ob nicht die Zustandsdaten gesendet worden sind, und ob oder ob nicht normale Daten gesendet worden sind;
    • - ob oder ob nicht ein Fehlverhalten in der Steuerungsvorrichtung 2 aufgetreten ist, ob ein Zurücksetzen der Steuerungsvorrichtung 2 eingeschaltet oder ausgeschaltet ist, ob der Synchronisationszustand „Synchronisation vollständig“ oder „Vorbereitung zur Synchronisation“ ist, ob oder ob nicht der Synchronisationszustand gesendet worden ist, ob oder ob nicht die Zustandsdaten gesendet worden sind, und ob oder ob nicht normale Daten gesendet worden sind; und
    • - ob oder ob nicht ein Fehlverhalten in der Steuerungsvorrichtung 3 aufgetreten ist, ob ein Zurücksetzen der Steuerungsvorrichtung 3 eingeschaltet oder ausgeschaltet ist, ob der Synchronisationszustand „Synchronisation vollständig“ oder „Vorbereitung zur Synchronisation“ ist, ob oder ob nicht der Synchronisationszustand gesendet worden ist, ob oder ob nicht die Zustandsdaten gesendet wurden, und ob oder ob nicht normale Daten gesendet wurden.
  • Außerdem stellt in 7 die Horizontalachse die Zeit dar.
  • Wie in 7 dargestellt werden zunächst, zum Zeitpunkt t1, wenn „IG ON“ im Steuerungssystem durchgeführt wird, die Steuerungsvorrichtungen 1 bis 3 gestartet, wobei der Synchronisationszustand auf „Vorbereitung zur Synchronisation“ eingestellt ist, und senden und empfangen den Synchronisationszustand und die Zustandsdaten zueinander und voneinander. Dann stimmen zum Zeitpunkt t2 die Zustandsdaten überein, und die Steuerungsvorrichtungen 1 bis 3 stellen die Synchronisationszustände auf „Synchronisation vollständig“ ein, so dass der Normalbetrieb gestartet wird.
  • Wie in 7 dargestellt, wird ferner beispielsweise angenommen, dass ein Fehlverhalten in der Steuerungsvorrichtung 1 zum Zeitpunkt t3 aufgetreten ist. In diesem Fall wird die Steuerungsvorrichtung 1 zurückgesetzt. Gleichzeitig mit dem Zurücksetzen stellt die Steuerungsvorrichtung 1 den Synchronisationszustand auf „Vorbereitung zur Synchronisation“ ein und wird dann gestartet. Dann sendet und empfängt die Steuerungsvorrichtung 1 den Synchronisationszustand und die Zustandsdaten an die und von der Steuerungsvorrichtung 2 bzw. an die und von der Steuerungsvorrichtung 3, und sie überschreibt die Zustandsdaten, die von der Steuerungsvorrichtung 2 oder der Steuerungsvorrichtung 3 empfangen worden ist, in das RAM 32 der Steuerungsvorrichtung 1 hinein. Zum Zeitpunkt t4 ist das Überschreiben vollständig, und die Steuerungsvorrichtung 1 stellt den Synchronisationszustand auf „Synchronisation vollständig“ ein, so dass der Normalbetrieb gestartet wird.
  • Wie oben beschrieben, gilt bei der ersten Ausführungsform Folgendes: Wenn ein Fehlverhalten in einer Steuerungsvorrichtung auftritt, während die anderen Steuerungsvorrichtungen, in welchen kein Fehlverhalten auftritt, den Betrieb fortsetzen, wird veranlasst, dass der Zustand der Steuerungsvorrichtung, in welchem das Fehlverhalten aufgetreten ist, in einen Zustand korrigiert wird, in welchem sie mit den weiteren Steuerungsvorrichtungen synchronisiert ist. Demzufolge ist es möglich, den Betrieb aller Steuerungsvorrichtungen in einen Normalbetrieb zurückzuführen, ohne dass eine dedizierte Hardware-Komponente bereitgestellt wird, und ohne das gesamte System zu stoppen.
  • Wie oben beschrieben, ist die Steuerungsvorrichtung 1 gemäß der ersten Ausführungsform eine Steuerungsvorrichtung, die in einem Multiplex-System verwendet wird, wobei die Steuerungsvorrichtung so konfiguriert ist, dass sie synchronisiert mit den anderen Steuerungsvorrichtungen 2 und 3 über das Netzwerk 100 arbeitet. Die Steuerungsvorrichtung 1 weist Folgendes auf: das RAM 32 (die Zustandsdaten-Speichereinheit), das so konfiguriert ist, dass es Daten speichert, die den Steuerungszustand der Steuerungsvorrichtung 1 angeben; die Sende-/Empfangseinheit 4 für Zustandsdaten, die so konfiguriert ist, dass sie die Zustandsdaten, die im RAM 32 gespeichert sind, an die anderen Steuerungsvorrichtungen 2 und 3 über das Netzwerk 100 überträgt, und die Zustandsdaten an die weiteren Steuerungsvorrichtungen 2 und 3 von den Steuerungsvorrichtungen 2 und 3 über das Netzwerk 100 empfängt; die Sende-/Empfangseinheit 7 für Synchronisationszustand, die so konfiguriert ist, dass die Informationen über den Synchronisationszustand, der angibt, ob der Zustand der Synchronisation der Steuerungsvorrichtung 1 mit den weiteren Steuerungsvorrichtungen 2 und 3 ein Synchronisations-Vorbereitungszustand oder ein Synchronisations-Vervollständigungszustand ist, an die weiteren Steuerungsvorrichtung 2 und 3 über das Netzwerk 100 übermittelt, und dass sie die Informationen über den Synchronisationszustand der weiteren Steuerungsvorrichtungen 2 und 3 von den weiteren Steuerungsvorrichtungen 2 und 3 über das Netzwerk 100 empfängt; und die Zustandssynchronisation-Verwaltungseinheit 6, die so konfiguriert ist, dass sie dann, wenn die Steuerungsvorrichtung 1 gestartet oder neugestartet werden soll, Folgendes durchführt: temporäres Einstellen der Informationen über den Synchronisationszustand der Steuerungsvorrichtung 1 in den Synchronisations-Vorbereitungszustand; Bestimmen, ob die Informationen über den Synchronisationszustand der weiteren Steuerungsvorrichtungen 2 und 3, die von der Sende-/Empfangseinheit 7 für Synchronisationszustand empfangen worden ist, auf den Synchronisations-Vervollständigungszustand eingestellt sind; Überschreiben, wenn bestimmt wird, dass die Informationen auf den Synchronisations-Vervollständigungszustand eingestellt sind, der Zustandsdaten auf der weiteren Steuerungsvorrichtungen 2 und 3, die von der Sende-/Empfangseinheit 4 für Zustandsdaten empfangen wurden, in das RAM 32 hinein, und zwar als die Zustandsdaten der Steuerungsvorrichtung 1; und Aktualisieren der Informationen über den Synchronisationszustand der Steuerungsvorrichtung 1 aus dem Synchronisations-Vorbereitungszustand in den Synchronisations-Vervollständigungszustand.
  • Bei dieser Konfiguration gilt Folgendes: Selbst wenn ein Fehlverhalten in der Steuerungsvorrichtung 1 auftritt, kann die Steuerungsvorrichtung 1 zum Normalbetrieb in dem Zustand zurückkehren, in welchem sie mit den weiteren Steuerungsvorrichtungen 2 und 3 synchronisiert ist, ohne dass der Betrieb des gesamten Steuerungssystems gestoppt wird, und ohne dass eine zusätzliche Hardware-Komponente notwendig ist.
  • Die Steuerungsvorrichtung 1 gemäß der ersten Ausführungsform weist ferner die Zustandsdaten-Vergleichseinheit 5 auf, die für Folgendes konfiguriert ist: Wenn die Steuerungsvorrichtung 1 gestartet oder neugestartet werden soll, in einem Fall, in welchem die Zustandssynchronisation-Verwaltungseinheit 6 bestimmt, dass die Informationen über die Synchronisationszustände der weiteren Steuerungsvorrichtungen 2 und 3 auf den Synchronisations-Vorbereitungszustand eingestellt sind, Vergleichen der Zustandsdaten über die weiteren Steuerungsvorrichtungen 2 und 3, die von der Sende-/Empfangseinheit 4 für Zustandsdaten empfangen wurden, mit den Zustandsdaten über die Steuerungsvorrichtung 1, die im RAM 32 gespeichert sind.
  • Als ein Ergebnis des Vergleichs, der von der Zustandsdaten-Vergleichseinheit 5 durchgeführt wird, wird dann Folgendes durchgeführt: Wenn die Zustandsdaten über die weiteren Steuerungsvorrichtungen 2 und 3, die von der Sende-/Empfangseinheit 4 für Zustandsdaten empfangen wurden, mit den im RAM 32 gespeicherten Zustandsdaten übereinstimmen, aktualisiert die Zustandssynchronisation-Verwaltungseinheit 6 die Informationen über den Synchronisationszustand der Steuerungsvorrichtung 1 vom Synchronisations-Vorbereitungszustand in den Synchronisations-Vervollständigungszustand, ohne dass sie die Zustandsdaten in das RAM 32 hinein überschreibt.
  • Mit dieser Konfiguration gilt Folgendes: Da der Fall, in welchem die Synchronisationszustände der Steuerungsvorrichtungen 2 bis 3 der Synchronisations-Vorbereitungszustand sind, der einem Fall entspricht, in welchem das Steuerungssystem gestartet werden soll, werden die Steuerungsvorrichtungen 1 bis 3 gestartet, wobei der Synchronisationszustand auf den Synchronisations-Vorbereitungszustand eingestellt ist, und sie starten einen Normalbetrieb, wenn bestätigt worden ist, dass die Zustandsdaten übereinstimmen. Demzufolge ist es möglich, einen schnelleren Startbetrieb zu implementieren.
  • Zweite Ausführungsform
  • 3 ist ein Diagramm zur Erläuterung von Fenstern in jedem Betriebszyklus bei einer zweiten Ausführungsform der vorliegenden Erfindung. In 3 ist der Betriebszyklus von jeder von der Steuerungsvorrichtung 1, der Steuerungsvorrichtung 2 und der Steuerungsvorrichtung 3 veranschaulicht. In der jeweiligen der Steuerungsvorrichtungen 1 bis 3 wird der Hauptzyklus 20 zur Zyklus-Synchronisation 25 gestartet, die von der Steuerungseinheit 9 für Zyklus-Synchronisation bezogen wird.
  • Wie oben beschrieben, erzeugt die Steuerungseinheit 9 für Zyklus-Synchronisation die Zyklus-Synchronisation 25 mit einem Trigger, der auf einem globalen Zeitgeber auf dem Netzwerk 100 basiert. Die Steuerungsvorrichtungen 1 bis 3 werden auf eine solche Weise einer Synchronisations-Steuerung unterzogen, und zwar mittels der Steuerungseinheit 9 für Zyklus-Synchronisation, und demzufolge sind die Hauptzyklen 20 der jeweiligen Steuerungsvorrichtungen 1 bis 3 miteinander synchronisiert.
  • Wie in 3 veranschaulicht, weist der Hauptzyklus 20 ein Zustands-Synchronisationsfenster 21 und ein Normalverarbeitungs-Fenster 22 auf. Das Normalverarbeitungs-Fenster 22 ist ein Fenster eines Zeitschlitzes, in welchem eine Normalverarbeitung auszuführen ist, beispielsweise ein allgemeines Anwendungsprogramm. Außerdem ist das Zustands-Synchronisationsfenster 21 in ein Fenster 24 für Datenübertragung/-empfang und ein Sende-/Empfangsfenster 23 für Synchronisationszustand unterteilt.
  • Das Fenster 24 für Datenübertragung/-empfang ist ein Fenster für die Sende-/Empfangseinheit 4 für Zustandsdaten zum Senden und Empfangen der Zustandsdaten. Das Sende-/Empfangsfenster 23 für Synchronisationszustand ist ein Fenster für die Sende-/Empfangseinheit 7 für Synchronisationszustand zum Senden und Empfangen des Synchronisationszustands.
  • Bei einem Verfahren zum Senden und Empfangen der Zustandsdaten und des Synchronisationszustands durch die Steuerungsvorrichtungen 1 bis 3 im Fenster 24 für Datenübertragung/-empfang und im Sende-/Empfangsfenster 23 für Synchronisationszustand kann jedes Fenster temporär weiter unterteilt sein, so dass ein Zeitschlitz von jeder der Steuerungsvorrichtungen zur Verwendung zugeteilt wird, oder jede der Steuerungsvorrichtungen kann Daten beim Timing des Kopfes des Fensters senden, und die Daten können prioritätsbasiert verarbeitet werden.
  • Wie oben beschrieben, ist bei der zweiten Ausführungsform der Betrieb zur Synchronisation vom Normalbetrieb getrennt, so dass verhindert wird, dass der Betrieb zur Synchronisation die normale Verarbeitung der Steuerungsvorrichtung beeinflusst, die normal arbeitet. Es ist demzufolge möglich, dadurch die Fähigkeit des Systems zum Betrieb in Echtzeit aufrechtzuerhalten.
  • Dritte Ausführungsform
  • Die dritte Ausführungsform der vorliegenden Erfindung unterscheidet sich von der oben beschriebenen ersten Ausführungsform durch die Verarbeitung, die nach Schritt S9 gemäß 4 auszuführen ist. Um eine spezifische Beschreibung zu geben, gilt bei der dritten Ausführungsform Folgendes: Nach dem Schritt gemäß 4 bei der ersten Ausführungsform, in welchem der Synchronisationszustand auf „Synchronisation vollständig“ eingestellt worden ist (Schritt S9), d. h. während eines Zeitraums, in welchem der Normalbetrieb in dem Zustand ausgeführt wird, in welchem die Steuerungsvorrichtung 1, die Steuerungsvorrichtung 2 und die Steuerungsvorrichtung 3 miteinander synchronisiert sind, werden die Zustandsdaten, die gesendet und empfangen werden, kontinuierlich von der Zustandsdaten-Vergleichseinheit 5 geprüft.
  • Während des Normalbetriebs der Steuerungsvorrichtung 1 vergleicht die Zustandsdaten-Vergleichseinheit 5 die Zustandsdaten über die Steuerungsvorrichtung 1 mit den Zustandsdaten, die von der Steuerungsvorrichtung 2 und der Steuerungsvorrichtung 3 empfangen wurden. Wenn die Zustandsdaten über die Steuerungsvorrichtung 2 mit den Zustandsdaten über die Steuerungsvorrichtung 3 übereinstimmen und nur die Zustandsdaten über die Steuerungsvorrichtung 1 von den weiteren Zustandsdaten abweichen, überschreibt die Zustandssynchronisation-Verwaltungseinheit 6 in das RAM 32 hinein die Zustandsdaten, die von der Steuerungsvorrichtung 2 oder der Steuerungsvorrichtung 3 bezogen wurden, so dass der Betrieb fortgesetzt wird.
  • Die Bedingung zum Überschreiben der Zustandsdaten kann der Fall sein, in welchem irgendein Teil der Zustandsdaten über die Steuerungsvorrichtung 1 von demjenigen der übrigen Zustandsdaten abweicht, oder kann der Fall sein, in welchem die Einzelheiten des Unterschieds zwischen den Zustandsdaten über die Steuerungsvorrichtung 1 und den übrigen Zustandsdaten von einer Bedingung abweichen, die im Voraus definiert worden ist.
  • Wenn ferner die Zustandsdaten der Steuerungsvorrichtung 1 von den übrigen Zustandsdaten in einem Maße abweichen, der eine vorbestimmte Bedingung überschreitet, kann angenommen werden, dass ein Fehlverhalten in der Steuerungsvorrichtung 1 aufgetreten ist, so dass die Steuerungsvorrichtung 1 dadurch neugestartet wird, dass sie zurückgesetzt wird. Die Steuerungsvorrichtung 1 kann die Steuerungsvorrichtung 1 selbst zurücksetzen.
  • Außerdem können die Steuerungsvorrichtungen 1 bis 3 die in 8 dargestellten Konfigurationen haben. In 8 ist der Prozessor 30 der Steuerungsvorrichtung 1 mit dem Reset-IC 35 der Steuerungsvorrichtung 2 verbunden. Auf ähnliche Weise ist der Prozessor 30 der Steuerungsvorrichtung 2 mit dem Reset-IC 35 der Steuerungsvorrichtung 1 verbunden. Die Konfiguration der Steuerungsvorrichtung 3 ist nicht dargestellt, aber in ähnlicher Weise ist auch der Prozessor 30 der Steuerungsvorrichtung 3 mit dem Reset-IC 35 einer weiteren Steuerungsvorrichtung verbunden. Mit dieser Konfiguration können die Steue-rungsvorrichtungen, die von der Steuerungsvorrichtung 1 verschieden sind, nämlich die Steuerungsvorrichtungen 2 und 3, das Reset-IC 35 der Steuerungsvorrichtung 1 steuern.
  • Wenn also die Steuerungsvorrichtung 2 und die Steuerungsvorrichtung 3 erkennen, dass die Zustandsdaten über die Steuerungsvorrichtung 1 nicht mit den Zustandsdaten 2 und 3 übereinstimmen, können die Steuerungsvorrichtungen 2 und 3 die Steuerungs-vorrichtung 1 zurücksetzen, so dass die Steuerungsvorrichtung 1 neugestartet wird. Die Steuerungsvorrichtungen 1 bis 3 können ebenfalls die in 9 veranschaulichten Konfigurationen haben.
  • In 9 ist eine Steuerungsvorrichtung 50, die als eine vierte Steuerungsvor-richtung dient, mit dem Netzwerk 100 verbunden, mit welchem auch die Steuerungsvorrichtungen 1 bis 3 verbunden sind. Die Steuerungsvorrichtung 50 überwacht den Synchronisationszustand und die Zustandsdaten von jeder der Steuerungsvorrichtungen 1 bis 3. In 9 gilt Folgendes: Wenn die Steuerungsvorrichtung 50 detektiert hat, dass unter den Steuerungsvorrichtungen 1 bis 3 die Zustandsdaten über die Steuerungs-vorrichtung 1 nicht mit den Zustandsdaten über die Steuerungsvorrichtung 2 und die Steuerungsvorrichtung 3 übereinstimmen, kann die Steuerungsvorrichtung 50 einen Befehl zum Zurücksetzen der Steuerungsvorrichtung 1 an die Steuerungsvorrichtung 1 über das Netzwerk 100 senden, so dass die Steuerungsvorrichtung 1 angewiesen wird, die Steuerungsvorrichtung 1 neuzustarten.
  • Als ein weiteres Beispiel kann auf die gleiche Weise wie in 8 der Prozessor 30 der Steuerungsvorrichtung 50 mit dem Reset-IC 35 der Steuerungsvorrichtung 1 verbunden sein, so dass der Prozessor 30 der Steuerungsvorrichtung 50 das Reset-IC 35 der Steuerungsvorrichtung 1 steuern kann, um es dadurch zu gestatten, dass die Steuerungsvor-richtung 50 die Steuerungsvorrichtung 1 zurücksetzt.
  • Auf die oben beschriebene Weise gilt bei der dritten Ausführungsform Folgendes: Selbst während des Normalbetriebs werden die Zustandsdaten unter Verwendung des Fensters 24 für Datenübertragung/-empfang gesendet und empfangen, so dass es möglich ist, die Zustandsdaten zu prüfen. Wie oben beschrieben, ist das Fenster 24 für Datenübertragung/-empfang auch zur Wiederherstellung bzw. Korrektur aus einem geringfügigen Fehlverhaltens wirksam, der im Normalbetrieb aufgetreten ist, und es kann auch zur Bestimmung eines Fehlverhaltens durch gegenseitige Bestimmung verwendet werden.
  • Vierte Ausführungsform
  • Bei den Konfigurationen der oben beschriebenen ersten Ausführungsform und zweiten Ausführungsform gilt Folgendes: In Abhängigkeit von dem Synchronisationszustands, der im Sende-/Empfangsfenster 23 für Synchronisationszustand gesendet worden ist, kann das Fenster 24 für Datenübertragung/-empfang so eingestellt werden, dass es eine variable Länge hat.
  • Dies wird unter Verwendung eines Zustands-Übergangsdiagramms gemäß 5 als ein Beispiel beschrieben. Beispielsweise erfolgt die Beschreibung unter Verwendung der Konfiguration der ersten Ausführungsform als ein Beispiel. Für den Fall, dass das gesamte Steuerungssystem inklusive der Steuerungsvorrichtungen 1 bis 3 gestartet wird, erfolgt nur eine Überprüfung von Basis-Zustandsdaten. Dies verringert die Menge der Zustandsdaten. Zu dieser Zeit wird im Sende-/Empfangsfenster 23 für Synchronisationszustand „Vorbereitung zur Synchronisation“ als Synchronisationszustand in allen Steuerungsvorrichtungen 1 bis 3 gesendet (Schritt S30).
  • Indessen wird der folgende Fall angenommen: Sobald die Synchronisation aller Steuerungsvorrichtungen 1 bis 3 vollständig ist (Schritt S31) braucht nur die Steuerungs-vorrichtung 1 neugestartet zu werden, während die Steuerungsvorrichtung 2 und die Steuerungsvorrichtung 3 normal arbeiten. In diesem Fall gilt Folgendes: Um die Steuerungsvorrichtung 1 neuzustarten, sind zusätzlich zu den Basis-Zustandsdaten auch die Zustandsdaten, die von der Steuerungsvorrichtung 2 und der Steuerungsvorrichtung 3 erzeugt wurden, die bis zum Auftreten des Fehlverhaltens gearbeitet haben, zum Übernehmen des Zustands des Steuerungssystems notwendig.
  • Es werden längere Zustandsdaten als diese Zustandsdaten benötigt als diejenigen, die zur Zeit des Startens des Steuerungssystems notwendig sind. Zu dieser Zeit senden im Sende-/Empfangsfenster 23 für Synchronisationszustand die Steuerungsvorrichtung 2 und die Steuerungsvorrichtung 3 „Synchronisation vollständig“ als den Synchronisationszustand (Schritt S32).
  • Zu der Zeit, zu welcher das gesamte Steuerungssystem gestartet wird, können daher die von den Steuerungsvorrichtungen 2 und 3 zu sendenden Zustandsdaten verkürzt werden, aber es sind längere Zustandsdaten nötig als zu der Zeit, zu welcher die Steuerungsvorrichtung neugestartet wird. Zur Zeit des Startens des Steuerungssystems, ist der im Sende-/Empfangsfenster 23 für Synchronisationszustand gesendete Synchronisationszustand „Vorbereitung zur Synchronisation“, wohingegen der darin fließende Synchronisationszustand zu der Zeit, zu welcher die Steuerungsvorrichtung neugestartet wird, „Synchronisation vollständig“ ist.
  • Daher sind zusammengefasst die Zustandsdaten kurz, wenn der Synchronisationszustand „Vorbereitung zur Synchronisation“ ist, wohingegen die Zustandsdaten lang sind, wenn der Synchronisationszustand „Synchronisation vollständig“ ist. Durch die Verwaltung der Zustände in Abhängigkeit des Synchronisationszustands, der im Sende-/Empfangsfenster 23 für Synchronisationszustand übertragen worden ist, kann daher das Fenster 24 für Datenübertragung/-empfang so eingestellt werden, dass es eine variable Länge hat.
  • Das heißt, das Fenster 24 für Datenübertragung/-empfang wird verkürzt, wenn der Synchronisationszustand „Vorbereitung zur Synchronisation“ ist, wohingegen das Fenster 24 für Datenübertragung/-empfang verlängert wird, wenn der Synchronisationszustand „Synchronisation vollständig“ ist.
  • Außerdem können bei der zweiten Ausführungsform die von den Steuerungsvorrichtungen 1 bis 3 zu sendenden und zu empfangenen Zustandsdaten eine Variable sein, die in einem Programm als ein Parameter verwendet wird, und zwar in jeder der Steuerungsvorrichtungen 1 bis 3, aber sie können auch Daten für eine zyklische Redundanzprüfung (CRC) für eine Variable sein, die in einem Programm als ein Parameter verwendet wird, und zwar in jeder der Steuerungsvorrichtungen 1 bis 3. Nachdem im Schritt S9 gemäß 4 der Synchronisationszustand auf „Synchronisation vollständig“ eingestellt worden ist, d. h. in dem Zustand, in welchem die Steuerungsvorrichtung 1, die Steuerungsvorrichtung 2 und die Steuerungsvorrichtung 3 miteinander synchronisiert sind, werden die Zustandsdaten als die Daten zur zyklischen Redundanzprüfung während des Zeitraums verwendet, in welchem der Normalbetrieb ausgeführt wird.
  • Wenn es eine Nicht-Übereinstimmung in den Daten zur zyklischen Redundanzprüfung in der Steuerungsvorrichtung 1 gibt, wird der Synchronisationszustand auf „Vorbereitung zur Synchronisation“ eingestellt, und das Sende-/Empfangsfenster 23 für Synchronisationszustand wird verwendet, um „Vorbereitung zur Synchronisation“ zu senden.
  • Die Steuerungsvorrichtung 2 und die Steuerungsvorrichtung 3 empfangen „Vorbereitung zur Synchronisation“ im Sende-/Empfangsfenster 23 für Synchronisationszustand, und sie schaltet deren im RAM 32 gespeicherte Zustandsdaten von den Daten zur zyklischen Redundanzprüfung auf eine Variable um, die in einem Programm als ein Parameter in der Steuerungsvorrichtung verwendet wird, und sendet die Variable im Fenster 24 für Datenübertragung/-empfang.
  • Wenn die Zustandsdaten als Daten zur zyklischen Redundanzprüfung verwendet werden, wird das Fenster 24 für Datenübertragung/-empfang verkürzt, wohingegen dann, wenn die Zustandsdaten als eine Variable verwendet werden, die in einem Programm als ein Parameter in der Steuerungsvorrichtung verwendet wird, wird das Fenster 24 für Datenübertragung/-empfang verlängert.
  • Wenn außerdem die Zustandsdaten bei der zweiten Ausführungsform nicht zur Bestimmung eines Fehlverhaltens verwendet werden, kann das Fenster 24 für Datenübertragung/-empfang während des Zeitraums weggelassen werden, in welchem der Normalbetrieb ausgeführt wird, und zwar in dem Zustand, in welchem die Steuerungs-vorrichtung 1, die Steuerungsvorrichtung 2 und die Steuerungsvorrichtung 3 miteinander synchronisiert sind.
  • Selbst wenn das Fenster 24 für Datenübertragung/-empfang weggelassen wird, kann das Fenster 24 für Datenübertragung/-empfang korrigiert werden, wenn die Steuerungsvorrichtung 1, die Steuerungsvorrichtung 2 oder die Steuerungsvorrichtung 3 „Vorbereitung zur Synchronisation“ im Sende-/Empfangsfenster 23 für Synchronisationszustand sendet.
  • Wie oben beschrieben, ist bei der vierten Ausführungsform das Fenster 24 für Datenübertragung/-empfang so eingestellt, dass es eine Länge hat, die in Abhängigkeit des Synchronisationszustands oder der Zustandsdaten variabel ist. Während des Zeitraums, in welchem die Steuerungsvorrichtung 1, die Steuerungsvorrichtung 2 und die Steuerungs-vorrichtung 3 gleichzeitig aktiviert sind, oder während des Zeitraums, in welchem der Normalbetrieb in dem Zustand ausgeführt wird, in welchem die Steuerungsvorrichtung 1, die Steuerungsvorrichtung 2 und die Steuerungsvorrichtung 3 miteinander synchronisiert sind, wird das Zustands-Synchronisationsfenster 21 verkürzt, und das Normalverarbeitungs-Fenster 22 kann um den entsprechenden Wert verlängert werden. Es ist daher möglich, die Zeitresourcen von jeder Steuerungsvorrichtung wirksam zu nutzen.
  • Fünfte Ausführungsform
  • 6 ist ein Diagramm zur Erläuterung von Fenstern in dem jeweiligen Betriebszyklus bei einer fünften Ausführungsform der vorliegenden Erfindung. 3 unterscheidet sich von 6 dahingehend, dass in 6 im Zustands-Synchronisationsfenster 21 die Reihenfolge von Sende-/Empfangsfenster 23 für Synchronisationszustand und Fenster 24 für Datenübertragung/-empfang gegenüber derjenigen gemäß 3 umgekehrt ist. Das heißt, in 6 wird das Fenster 24 für Datenübertragung/-empfang als erstes bereitgestellt, und als nächstes ist das Sende-/Empfangsfenster 23 für Synchronisationszustand bereitgestellt.
  • Bei der oben beschriebenen ersten Ausführungsform gilt Folgendes: Nachdem die Zustandssynchronisation-Verwaltungseinheit 6 den Synchronisationszustand der Steuerungsvorrichtung 1 auf „Synchronisation vollständig“ eingestellt hat (Schritt S9), verwendet vom nächsten Hauptzyklus 20 an die Sende-/Empfangseinheit 7 für Synchronisationszustand das Sende-/Empfangsfenster 23 für Synchronisationszustand zum Senden des Synchronisationszustands (Schritt S10) und startet die normale Verarbeitung (Schritt S12).
  • Bei der fünften Ausführungsform wird jedoch das Fenster 24 für Datenübertragung/-empfang zuerst bereitgestellt, und das Sende-/Empfangsfenster 23 für Synchronisationszustand ist als nächstes bereitgestellt, was es ermöglicht, dass die normale Verarbeitung (Schritt S12) vom gegenwärtigen Hauptzyklus 20 an ausgeführt wird, und demzufolge ist diese Konfiguration in einem System wirksam, von dem es wünschenswert ist, dass es früher korrigiert bzw. wiederhergestellt wird.
  • Wie oben beschrieben, wird bei der fünften Ausführungsform im Hauptzyklus 20 das Sende-/Empfangsfenster 23 für Synchronisationszustand nach dem Fenster 24 für Datenübertragung/-empfang bereitgestellt, was es ermöglicht, dass die normale Verarbeitung vom gegenwärtigen Hauptzyklus 20 an ausgeführt wird. Es ist daher möglich, es zu erreichen, dass das System früher korrigiert bzw. wiederhergestellt wird.
  • Sechste Ausführungsform
  • Bei einer sechsten Ausführungsform der vorliegenden Erfindung wird ein spezifisches Beispiel eines Steuerungssystems beschrieben, auf welche die Konfiguration und das Verfahren angewendet werden, die in den oben erwähnten ersten bis fünften Ausführungsformen beschrieben sind.
  • 10 ist ein Diagramm zur Erläuterung eines Beispiels des Steuerungssystems bei der sechsten Ausführungsform. Das in 10 veranschaulichte Steuerungssystem ist in einem Fahrzeug montiert. In dem Steuerungssystem sind eine Mehrzahl von integrierten elektronischen Steuerungseinheiten 61 bis 63 miteinander über ein Netzwerk 100 verbunden. Die integrierten elektronischen Steuerungseinheiten 61 bis 63 entsprechen den Steuerungsvorrichtungen 1 bis 3, die bei der oben erwähnten ersten bis fünften Ausführungsform beschrieben sind. Das Netzwerk 100 ist ein im Fahrzeug bereitgestelltes Netzwerk.
  • Wie in 10 veranschaulicht, sind außerdem eine elektronische Steuereinheit 60 für Erkennung/Bestimmung, eine elektronische Steuereinheit 64 für Antriebsstrangsystem, eine elektronische Steuereinheit 65 für Bremse und eine elektronische Steuereinheit 66 für Lenkung ebenfalls mit dem Netzwerk 100 verbunden.
  • Die elektronische Steuereinheit 64 für Antriebsstrangsystem steuert einen Motor und einen Elektromotor zum Erzeugen einer Antriebskraft des Fahrzeugs.
  • Die elektronische Steuereinheit 65 für Bremse steuert einen Brems-Aktuator.
  • Die elektronische Steuereinheit 66 für Lenkung steuert die Servolenkung.
  • Die elektronische Steuereinheit 60 für Erkennung/Bestimmung erkennt für das automatische Fahren einen Umgebungszustand des Fahrzeugs, um eine Fahrtroute zu bestimmen.
  • Die integrierte elektronische Steuerungseinheit 61, die integrierte elektronische Steuerungseinheit 62 und die integrierte elektronische Steuerungseinheit 63 steuern integral das elektronische Steuereinheit 64 für Antriebsstrangsystem, die elektronische Steuereinheit 65 für Bremse und die elektronische Steuereinheit 66 für Lenkung, um die Fahrtroute zu erzielen, die von der elektronische Steuereinheit 60 für Erkennung/Bestimmung bestimmt wird.
  • In dem in 10 dargestellten Steuerungssystem gilt Folgendes: Um einen Ausfallbetrieb für eine integrierte Steuerungsfunktion zu implementieren, sind die integrierte elektronische Steuerungseinheit 61, die integrierte elektronische Steuerungseinheit 62 und die integrierte elektronische Steuerungseinheit 63 zu dem Zweck ausgebildet, ein Multiplex-System für die integrierte Steuerungsfunktion zu bilden. Jede der integrierten elektronischen Steuerungseinheiten 61 bis 63 weist den Prozessor 30, das ROM 31, das RAM 32, die Sendeeinrichtung 33, die Empfangseinrichtung 34 und das Reset-IC 35 auf, die bei der ersten Ausführungsform beschrieben sind.
  • Außerdem speichert das ROM 31 die Programme für die Sende-/Empfangseinheit 4 für Zustandsdaten, die Zustandsdaten-Vergleichseinheit 5, die Zustandssynchronisation-Verwaltungseinheit 6, die Sende-/Empfangseinheit 7 für Synchronisationszustand und die Steuerungseinheit 9 für Zyklus-Synchronisation. Wie in 8 gezeigt, können ferner der Prozessor 30 von jeder der integrierten elektronischen Steuerungseinheiten gemäß 10 und das Reset-IC 35 einer weiteren integrierten elektronischen Steuerungseinheit miteinander verbunden sein.
  • Der Betrieb der integrierten elektronischen Steuerungseinheiten 61 bis 63 gemäß 10 ist der gleiche wie der Betrieb der Steuerungsvorrichtungen 1 bis 3, die bei der oben erwähnten ersten bis fünften Ausführungsform beschrieben sind.
  • Bei dieser Konfiguration gilt Folgendes: Selbst wenn ein Fehlverhalten in einer der integrierten elektronischen Steuerungseinheiten auftritt, beispielsweise der integrierten elektronischen Steuerungseinheit 61, während die weiteren integrierten elektronischen Steuerungseinheiten, d. h. die integrierte elektronische Steuerungseinheit 62 und die integrierte elektronische Steuerungseinheit 63 den Betrieb fortsetzen, bezieht die integrierte elektronische Steuerungseinheit 61 die Zustandsdaten, die von der integrierten elektronischen Steuerungseinheit 62 und der integrierten elektronischen Steuerungseinheit 63 gehalten werden, während des Betriebs, so dass die integrierte elektronische Steuerungseinheit 61 synchronisiert mit der integrierten elektronischen Steuerungseinheit 62 und der integrierten elektronischen Steuerungseinheit 63 neugestartet werden kann.
  • In 10 ist das Multiplex-System für die integrierte elektronische Steuerungseinheit 61, die integrierte elektronische Steuerungseinheit 62 und die integrierte elektronische Steuerungseinheit 63 dargestellt, aber die Konfiguration eines Multiplex-Systems ist darauf nicht beschränkt, und es können auch andere elektronische Steuereinheiten verwendet werden, um ein Multiplex-System zu bilden. Im Fall von 10 können die elektronische Steuereinheit 60 für Erkennung/Bestimmung, die elektronische Steuereinheit 64 für Antriebsstrangsystem, die elektronische Steuereinheit 65 für Bremse und die elektronische Steuereinheit 66 für Lenkung verwendet werden, um ein Multiplex-System zu bilden.
  • 11 ist die Darstellung eines weiteren Beispiels des Steuerungssystems bei der sechsten Ausführungsform.
  • 11 ist eine Darstellung eines Konfigurationsbeispiels, in welchem die elektronische Steuereinheit 60 für Erkennung/Bestimmung zur Konfiguration gemäß 10 hinzugefügt ist, als die vierte Steuerungsvorrichtung, die bei der dritten Ausführungsform beschrieben ist.
  • Die elektronische Steuereinheit 60 für Erkennung/Bestimmung weist den Prozessor 30, das ROM 31, das RAM 32, die Sendeeinrichtung 33 und die Empfangseinrichtung 34 auf. Das ROM 31 speichert die Programme für die Sende-/Empfangseinheit 4 für Zustandsdaten, die Zustandsdaten-Vergleichseinheit 5 die Zustandssynchronisation-Verwaltungseinheit 6, die Sende-/Empfangseinheit 7 für Synchronisationszustand und die Steuerungseinheit 9 für Zyklus-Synchronisation. Wie in 9 dargestellt, können ferner der Prozessor 30 der elektronische Steuereinheit 60 für Erkennung/Bestimmung gemäß 11 und das Reset-IC 35 einer der integrierten elektronischen Steuerungseinheiten miteinander verbunden sein.
  • Der Betrieb der integrierten elektronischen Steuerungseinheiten 60 bis 63 gemäß 11 ist der gleiche wie der Betrieb der Steuerungsvorrichtungen 1 bis 3, die bei der oben erwähnten ersten bis fünften Ausführungsform beschrieben sind.
  • In 11 gilt Folgendes: Wenn die elektronische Steuereinheit 60 für Erkennung/Bestimmung detektiert hat, dass unter der integrierten elektronischen Steuerungseinheit 61, der integrierten elektronischen Steuerungseinheit 62 und der integrierten elektronischen Steuerungseinheit 63, beispielsweise die Zustandsdaten über die integrierte elektronische Steuerungseinheit 61 nicht mit den Zustandsdaten über die integrierte elektronische Steuerungseinheit 62 und die integrierte elektronische Steuerungseinheit 63 übereinstimmen, kann die elektronische Steuereinheit 60 für Erkennung/ Bestimmung einen Befehl zum Zurücksetzen der integrierten elektronischen Steuerungseinheit 61 auf die integrierte elektronische Steuerungseinheit 61 über das Netzwerk 100 senden, so dass die integrierte elektronische Steuerungseinheit 61 neugestartet wird, oder die elektronische Steuereinheit 60 für Erkennung/Bestimmung kann veranlassen, dass das Reset-IC 35 der integrierten elektronischen Steuerungseinheit 61 die integrierte elektronische Steuerungseinheit 61 zurücksetzt.
  • In 11 ist das Konfigurationsbeispiel dargestellt, in welchem die elektronische Steuereinheit 60 für Erkennung/Bestimmung als die vierte Steuerungsvorrichtung hinzugefügt ist, aber die vierte Steuerungsvorrichtung ist nicht auf die elektronische Steuereinheit 60 für Erkennung/Bestimmung beschränkt, und sie kann auch eine andere elektronische Steuereinheit sein. Im Fall von 11 kann die vierte Steuerungsvorrichtung die elektronische Steuereinheit 64 für Antriebsstrangsystem, die elektronische Steuereinheit 65 für Bremse oder die elektronische Steuereinheit 66 für Lenkung sein.
  • Ein Ausfallsicherheits-Betrieb und ein Ausfallbetrieb, die vom Steuerungssystem benötigt werden, unterscheiden sich abhängig vom Typ des Steuerungssystems, und demzufolge kann - wie notwendig - das Steuerungssystem ein Konfigurationsbeispiel gemäß 12 haben. In 12 weisen die integrierte elektronische Steuerungseinheit 61, die elektronische Steuereinheit 64 für Antriebsstrangsystem und die elektronische Steuereinheit 66 für Lenkung jeweils den Prozessor 30, das ROM 31, das RAM 32, die Sendeeinrichtung 33 und die Empfangseinrichtung 34 auf, und das ROM 31 speichert Programme für die Sende-/Empfangseinheit 4 für Zustandsdaten, die Zustandsdaten-Vergleichseinheit 5, die Zustandssynchronisation-Verwaltungseinheit 6, die Sende-/Empfangseinheit 7 für Synchronisationszustand und die Steuerungseinheit 9 für Zyklus-Synchronisation.
  • Der Betrieb der integrierten elektronischen Steuerungseinheiten 61, 64 und 66 gemäß 12 ist der gleiche wie der Betrieb der Steuerungsvorrichtungen 1 bis 3, die bei der oben erwähnten ersten bis fünften Ausführungsform beschrieben sind.
  • Mit dieser Konfiguration bei der sechsten Ausführungsform ist es möglich, eine Synchronisation der Zustandsdaten zu implementieren, die nicht nur die Verwendung der Zustandsdaten einbezieht, die in den einzelnen elektronischen Steuereinheiten enthalten sind, sondern auch ein gemeinsames Nutzen der Zustandsdaten unter den elektronischen Steuereinheiten, oder die Bestimmung eines Fehlverhaltens durch gegenseitige Bestimmung unter den elektronischen Steuereinheiten.
  • In 12 ist die Konfiguration der Kombination der integrierten elektronischen Steuerungseinheit 61, der elektronische Steuereinheit 64 für Antriebsstrangsystem und der elektronische Steuereinheit 66 für Lenkung dargestellt, aber die Konfiguration der Kombination von ECUs ist darauf nicht beschränkt, und es kann auch die Konfiguration verwendet werden, in welcher andere elektronische Steuereinheiten verwendet werden. Im Fall von 12 kann die Konfiguration verwendet werden, bei welcher die elektronische Steuereinheit 60 für Erkennung/Bestimmung und die elektronische Steuereinheit 65 für Bremse kombiniert sind.
  • Wie oben beschrieben, können auch bei der sechsten Ausführungsform die gleichen Wirkungen wie diejenigen der oben erwähnten ersten bis fünften Ausführungsform erzielt werden.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • JP 2002244879 A [0005]

Claims (6)

  1. Steuerungsvorrichtung, die in einem Multiplex-System verwendet wird, wobei die Steuerungsvorrichtung so konfiguriert ist, dass sie synchronisiert mit einer weiteren Steuerungsvorrichtung über ein Netzwerk arbeitet, wobei die Steuerungsvorrichtung Folgendes aufweist: eine Zustandsdaten-Speichereinheit, die so konfiguriert ist, dass sie Daten speichert, die einen Steuerungszustand der Steuerungsvorrichtung angeben; eine Sende-/Empfangseinheit für Zustandsdaten, die so konfiguriert ist, dass sie die Zustandsdaten, die in der Zustandsdaten-Speichereinheit gespeichert sind, an die weitere Steuerungsvorrichtung über das Netzwerk überträgt, und dass sie Zustandsdaten auf der weiteren Steuerungsvorrichtung von der weiteren Steuerungsvorrichtung über das Netzwerk empfängt; eine Sende-/Empfangseinheit für Synchronisationszustand, die so konfiguriert ist, dass sie Informationen über einen Synchronisationszustand, der angibt, ob ein Zustand der Synchronisation der Steuerungsvorrichtung mit der weiteren Steuerungsvorrichtung ein Synchronisations-Vorbereitungszustand oder ein Synchronisations-Vervollständigungszustand ist, an die weitere Steuerungsvorrichtung über das Netzwerk übermittelt, und dass sie Informationen über einen Synchronisationszustand der weiteren Steuerungsvorrichtung von der weiteren Steuerungsvorrichtung über das Netzwerk empfängt; und eine Zustandssynchronisation-Verwaltungseinheit, die so konfiguriert ist, dass sie dann, wenn die Steuerungsvorrichtung gestartet oder neugestartet werden soll, Folgendes durchführt: temporäres Einstellen der Informationen über den Synchronisationszustand der Steuerungsvorrichtung in den Synchronisations-Vorbereitungszustand; Bestimmen, ob die Informationen über den Synchronisationszustand der weiteren Steuerungsvorrichtung, die von der Sende-/Empfangseinheit für Synchronisationszustand empfangen worden ist, auf den Synchronisations-Vervollständigungszustand eingestellt ist; Überschreiben, wenn bestimmt wird, dass die Informationen auf den Synchronisations-Vervollständigungszustand eingestellt sind, der Zustandsdaten auf der weiteren Steuerungsvorrichtung, die von der Sende-/Empfangseinheit für Zustandsdaten empfangen wurden, in die Zustandsdaten-Speichereinheit als die Zustandsdaten der Steuerungsvorrichtung hinein; und Aktualisieren der Informationen über den Synchronisationszustand der Steuerungsvorrichtung aus dem Synchronisations-Vorbereitungszustand in den Synchronisations-Vervollständigungszustand.
  2. Steuerungsvorrichtung nach Anspruch 1, die ferner eine Zustandsdaten-Vergleichseinheit aufweist, die so konfiguriert ist, dass sie dann, wenn von der Zustandssynchronisation-Verwaltungseinheit bestimmt wird, dass die Informationen über den Synchronisationszustand der weiteren Steuerungsvorrichtung auf den Synchronisations-Vorbereitungszustand eingestellt sind, die Zustandsdaten über die weitere Steuerungsvorrichtung, die von der Sende-/Empfangseinheit für Zustandsdaten empfangen wurden, mit den Zustandsdaten vergleicht, die in der Zustandsdaten-Speichereinheit gespeichert sind, wobei, als ein Ergebnis des Vergleichs, der von der Zustandsdaten-Vergleichseinheit durchgeführt wird, dann, wenn die Zustandsdaten über die weitere Steuerungsvorrichtung, die von der Sende-/Empfangseinheit für Zustandsdaten empfangen wurden, mit den Zustandsdaten übereinstimmen, die in der Zustandsdaten-Speichereinheit gespeichert sind, die Zustandssynchronisation-Verwaltungseinheit die Informationen über den Synchronisationszustand der Steuerungsvorrichtung aus dem Synchronisations-Vorbereitungszustand in den Synchronisations-Vervollständigungszustand aktualisiert, ohne die Zustandsdaten zu überschreiben.
  3. Steuerungsvorrichtung nach Anspruch 1 oder 2, wobei die Steuerungsvorrichtung so konfiguriert ist, dass sie einen Normalbetrieb in einem festgelegten Zyklus durchführt, der im Voraus eingestellt ist, und wobei der festgelegte Zyklus Folgendes aufweist: einen Sende-/Empfangszeitraum für Synchronisationszustand für die Sende-/Empfangseinheit für Synchronisationszustand zum Senden und Empfangen der Informationen über den Synchronisationszustand; und einen Datensende-/empfangszeitraum für die Sende-/Empfangseinheit für Zustandsdaten zum Senden und Empfangen der Zustandsdaten.
  4. Steuerungsvorrichtung nach Anspruch 3, wobei der Datensende-/empfangszeitraum so eingestellt ist, dass er eine Länge hat, die in Abhängigkeit der Zustandsdaten über die Steuerungsvorrichtung und die Zustandsdaten über die weitere Steuerungsvorrichtung variabel ist, oder über die Informationen über den Synchronisationszustand der Steuerungsvorrichtung und die Informationen über den Synchronisationszustand der weiteren Steuerungsvorrichtung.
  5. Steuerungsvorrichtung nach Anspruch 3, wobei im festgelegten Zyklus der Sende-/Empfangszeitraum für Synchronisationszustand nach dem Datensende-/empfangszeitraum bereitgestellt ist.
  6. Recovery-Verarbeitungsverfahren für eine Steuerungsvorrichtung, die in einem Multiplex-System verwendet wird, wobei die Steuerungsvorrichtung so konfiguriert ist, dass sie synchronisiert mit einer weiteren Steuerungsvorrichtung über ein Netzwerk arbeitet, wobei das Recovery-Verarbeitungsverfahren Folgendes aufweist: einen Synchronisations-Abbrechschritt, in welchem Informationen über einen Synchronisationszustand, der angibt, ob ein Zustand der Synchronisation der Steuerungsvorrichtung mit der weiteren Steuerungsvorrichtung ein Synchronisations-Vorbereitungszustand oder ein Synchronisations-Vervollständigungszustand ist, auf den Synchronisations-Vorbereitungszustand eingestellt werden; einen Sende-/Empfangsschritt für Zustandsdaten, in welchem Zustandsdaten, die einen Steuerungszustand der Steuerungsvorrichtung angeben, der in einer Speichervorrichtung gespeichert ist, an die weitere Steuerungsvorrichtung über das Netzwerk übertragen werden, und in welchem Zustandsdaten über die weitere Steuerungsvorrichtung von der weiteren Steuerungsvorrichtung über das Netzwerk empfangen werden; einen Sende-/Empfangsschritt für Synchronisationszustand, in welchem die Informationen über den Synchronisationszustand, die auf den Synchronisations-Vorbereitungszustand eingestellt wurden, an die weitere Steuerungsvorrichtung über das Netzwerk gesendet werden, und in welchem Informationen über einen Synchronisationszustand der weiteren Steuerungsvorrichtung von der weiteren Steuerungsvorrichtung über das Netzwerk empfangen werden; einen Synchronisationszustand-Bestimmungsschritt, in welchem bestimmt wird, ob die Informationen über den Synchronisationszustand der weiteren Steuerungsvorrichtung, die im Sende-/Empfangsschritt für Synchronisationszustand empfangen wurden, auf den Synchronisations-Vervollständigungszustand eingestellt sind; einen Zustandsdaten-Aktualisierungsschritt, in welchem dann, wenn bestimmt wird, dass die Informationen über den Synchronisationszustand der weiteren Steuerungsvorrichtung auf den Synchronisations-Vervollständigungszustand im Synchronisationszustand-Bestimmungsschritt eingestellt wurden, die Zustandsdaten über die weitere Steuerungsvorrichtung, die im Sende-/Empfangsschritt für Zustandsdaten empfangen wurden, in die Speichervorrichtung als die Zustandsdaten über die Steuerungsvorrichtung hinein überschrieben werden; und einen Synchronisations-Korrekturschritt, in welchem die Informationen über den Synchronisationszustand vom Synchronisations-Vorbereitungszustand auf den Synchronisations-Vervollständigungszustand aktualisiert werden.
DE112016006679.1T 2016-04-01 2016-04-01 Steuerungsvorrichtung und Recovery-Verarbeitungsverfahren für Steuerungsvorrichtung Active DE112016006679B4 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2016/060908 WO2017168750A1 (ja) 2016-04-01 2016-04-01 制御装置、および、制御装置の復帰処理方法

Publications (2)

Publication Number Publication Date
DE112016006679T5 true DE112016006679T5 (de) 2018-12-13
DE112016006679B4 DE112016006679B4 (de) 2021-10-14

Family

ID=59963793

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112016006679.1T Active DE112016006679B4 (de) 2016-04-01 2016-04-01 Steuerungsvorrichtung und Recovery-Verarbeitungsverfahren für Steuerungsvorrichtung

Country Status (5)

Country Link
US (1) US10963354B2 (de)
JP (1) JP6279152B1 (de)
CN (1) CN108885575B (de)
DE (1) DE112016006679B4 (de)
WO (1) WO2017168750A1 (de)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102000395B1 (ko) * 2018-05-10 2019-10-01 경일대학교산학협력단 자율주행 차량의 운행 모드 전환을 위한 장치, 이를 위한 방법 및 이 방법을 수행하는 프로그램이 기록된 컴퓨터 판독 가능한 기록매체
DE102022207018A1 (de) 2022-07-08 2024-01-11 Volkswagen Aktiengesellschaft Verfahren zum Fehlermanagement, Computerprogrammprodukt sowie Fahrzeug

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002244879A (ja) 2001-12-28 2002-08-30 Hitachi Ltd プロセッサ二重化方式の情報処理装置

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3639055C2 (de) 1986-11-14 1998-02-05 Bosch Gmbh Robert Verfahren zur Betriebsüberwachung und Fehlerkorrektur von Rechnern eines Mehrrechnersystems und Mehrrechnersystem
JPH08287030A (ja) * 1995-04-10 1996-11-01 Hitachi Ltd 多重系計算機システムの自動再起動装置および方法
JP3864747B2 (ja) * 2001-10-09 2007-01-10 株式会社デンソー 冗長系信号処理装置
JP4195336B2 (ja) 2003-06-10 2008-12-10 株式会社東芝 電気車のフェールセーフcpu処理装置
DE10333281A1 (de) 2003-07-18 2005-02-03 Zf Lenksysteme Gmbh Verfahren zur Steuerung einer Schalteinrichtung
US7739403B1 (en) * 2003-10-03 2010-06-15 Juniper Networks, Inc. Synchronizing state information between control units
JP3965699B2 (ja) * 2005-01-31 2007-08-29 横河電機株式会社 情報処理装置および情報処理方法
US8359112B2 (en) * 2006-01-13 2013-01-22 Emerson Process Management Power & Water Solutions, Inc. Method for redundant controller synchronization for bump-less failover during normal and program mismatch conditions
GB2477238B (en) * 2006-01-13 2011-09-07 Emerson Process Management A method for redundant controller synchronisation for bump-less failover during normal and mismatch conditions
WO2008114777A1 (ja) * 2007-03-20 2008-09-25 Mitsubishi Electric Corporation 鉄道車両用通信装置
JP2009059084A (ja) * 2007-08-30 2009-03-19 Denso Corp 制御システム,電子機器およびプログラム
JP5717240B2 (ja) * 2010-08-09 2015-05-13 国立大学法人名古屋大学 通信システム及び通信装置
JP5671388B2 (ja) * 2011-03-24 2015-02-18 富士通テン株式会社 通信システムおよび通信装置
JP6094167B2 (ja) * 2012-11-20 2017-03-15 横河電機株式会社 管理装置、通信システム、及び同期方法
KR101438978B1 (ko) * 2012-12-31 2014-09-11 현대자동차주식회사 리프로그래밍 방법 및 시스템
CN104268037A (zh) * 2014-09-10 2015-01-07 上海自仪泰雷兹交通自动化系统有限公司 热冗余联锁子系统及其主备切换方法
CN104391764B (zh) * 2014-10-22 2018-02-16 上海海得控制系统股份有限公司 一种计算机容错方法及系统
US10752282B2 (en) * 2017-10-04 2020-08-25 Steering Solutions Ip Holding Corporation Triple redundancy failsafe for steering systems

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002244879A (ja) 2001-12-28 2002-08-30 Hitachi Ltd プロセッサ二重化方式の情報処理装置

Also Published As

Publication number Publication date
DE112016006679B4 (de) 2021-10-14
JP6279152B1 (ja) 2018-02-14
CN108885575A (zh) 2018-11-23
CN108885575B (zh) 2022-03-11
US20190057002A1 (en) 2019-02-21
US10963354B2 (en) 2021-03-30
JPWO2017168750A1 (ja) 2018-04-05
WO2017168750A1 (ja) 2017-10-05

Similar Documents

Publication Publication Date Title
EP1756986B1 (de) Verfahren zur etablierung einer globalen zeitbasis in einem zeitgesteuerten kommunikationssystem und kommunikationssystem
DE102014209752B4 (de) Relaiseinrichtung
DE10333932A1 (de) Synchronisation von datenverarbeitenden Einheiten
EP2090031B1 (de) Verfahren und anordnung zur kommunikation auf einem lin-bus
DE102014102582A1 (de) Fehlertolerantes Steuerungssystem
DE102015214915B4 (de) Flexibles Scheduling-Verfahren und Scheduling-Vorrichtung bei einer LIN-Kommunikation
DE102017123252A1 (de) Softwareaktualisierungsverfahren und -vorrichtung für Fahrzeug
DE10030987A1 (de) Verfahren zur Initialisierung eines Systems zur Steuerung/Regelung der Betriebsabläufe eines Kraftfahrzeugs und ein solches System
WO2004039030A2 (de) Verfahren zur übertragung von daten auf einem bus
DE112016006679B4 (de) Steuerungsvorrichtung und Recovery-Verarbeitungsverfahren für Steuerungsvorrichtung
EP1220104A2 (de) Verfahren und Kommunikationssystem zum Austausch von Daten zwischen mindestens zwei Teilnehmern über ein Bussystem
DE102016014417B4 (de) Schaltung zur überwachung eines datenverarbeitungssystems
EP3298730A1 (de) Bussystem und verfahren zum zuteilen von adressen von busteilnehmern eines bussystems
DE102015218898A1 (de) Verfahren zur redundanten Verarbeitung von Daten
DE102007041847A1 (de) Steuergerät und Verfahren zur Ansteuerung von Personenschutzmitteln
EP0458781B1 (de) Verfahren zur überwachung eines computer-netzwerks
EP3096970B1 (de) Verfahren zum betrieb eines hochspannungsnetzes eines kraftfahrzeugs und kraftfahrzeug
DE102012212680A1 (de) Verfahren und System zur fehlertoleranten Steuerung von Stellgliedern für eine begrenzte Zeit auf der Grundlage von vorberechneten Werten
DE102020213323A1 (de) Datenverarbeitungsnetzwerk zur Datenverarbeitung
DE102015014210B4 (de) Netzwerkmanagement für ein zweikanaliges FlexRay-Netzwerk
DE102016215772B4 (de) Diagnoseverfahren und Diagnoseanordnung für ein Fahrzeug
DE102020201757B4 (de) Verfahren, computerprogramm und vorrichtung zum zurücksetzen eines steuergeräts
DE102018112587A1 (de) Verfahren zum Betreiben einer Sensoranordnung in einem Kraftfahrzeug auf Basis eines DSI-Protokolls
DE102021127310B4 (de) System und Verfahren zur Datenübertragung
DE102017200520A1 (de) Diagnoseverfahren und Diagnosesystem für ein Fahrzeug

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R084 Declaration of willingness to licence
R016 Response to examination communication
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final