DE60219705T2 - Ausfallsicheres Überwachunggssystem sowie passende Methode in eine integriete Fahrzeugsteuerung - Google Patents

Ausfallsicheres Überwachunggssystem sowie passende Methode in eine integriete Fahrzeugsteuerung Download PDF

Info

Publication number
DE60219705T2
DE60219705T2 DE60219705T DE60219705T DE60219705T2 DE 60219705 T2 DE60219705 T2 DE 60219705T2 DE 60219705 T DE60219705 T DE 60219705T DE 60219705 T DE60219705 T DE 60219705T DE 60219705 T2 DE60219705 T2 DE 60219705T2
Authority
DE
Germany
Prior art keywords
vehicle
ecu
necessary
control section
component
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60219705T
Other languages
English (en)
Other versions
DE60219705D1 (de
Inventor
Takeshi Kariya-city Suganuma
Yoshimitsu Kariya-city Fujii
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Application granted granted Critical
Publication of DE60219705D1 publication Critical patent/DE60219705D1/de
Publication of DE60219705T2 publication Critical patent/DE60219705T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • B60R16/0231Circuits relating to the driving or the functioning of the vehicle
    • B60R16/0232Circuits relating to the driving or the functioning of the vehicle for measuring vehicle parameters and indicating critical, abnormal or dangerous conditions
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T8/00Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force
    • B60T8/32Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration
    • B60T8/88Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means
    • B60T8/885Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means using electrical circuitry
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W30/00Purposes of road vehicle drive control systems not related to the control of a particular sub-unit, e.g. of systems using conjoint control of vehicle sub-units, or advanced driver assistance systems for ensuring comfort, stability and safety or drive control systems for propelling or retarding the vehicle
    • B60W30/18Propelling the vehicle
    • B60W30/1819Propulsion control with control means using analogue circuits, relays or mechanical links
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T2270/00Further aspects of brake control systems not otherwise provided for
    • B60T2270/40Failsafe aspects of brake control systems
    • B60T2270/408Hierarchical failure detection
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • B60W2050/021Means for detecting failure or malfunction

Description

  • Diese Erfindung bezieht sich auf ein ausfallsicheres bzw. ein Ausfallsicherungssystem, das bei einer integrierten Steuerung eines Fahrzeugs wie etwa eines Automobils bzw. Kraftfahrzeugs verwendet wird. Zusätzlich bezieht sich diese Erfindung auf ein Verfahren zur Ausfallsicherung.
  • Ein integriertes Steuersystem für ein Fahrzeug umfasst eine Vielzahl von computerbasierten Steuerungen, die zur Steuerung von Bauelementen (strukturellen Komponenten) des Fahrzeugs ausgelegt sind. Zwischen den Steuerungen können Daten übertragen werden. Die Datenübertragung zwischen den Steuerungen ermöglicht dem integrierten Steuersystem, eine stabile Steuerung des Fahrzeugs bereit zu stellen.
  • Die Bauelemente des Fahrzeugs umfassen zum Beispiel einen Motor, ein Getriebe und eine Klimaanlage. Die Steuerungen sind Stellgliedern in den Bauelementen zugeordnet. In dem Fall, dass eine der Steuerungen ausfällt bzw. versagt, kann das zugeordnete Stellglied oder können die zugeordneten Stellglieder nicht angesteuert und gesteuert werden. In diesem Fall besteht die Möglichkeit, dass sich das Fahrzeug überhaupt nicht fortbewegen kann und keine Notheimkehr durchgeführt werden kann.
  • Die japanische Patentanmeldung mit Offenlegungsnummer P2000-14709A offenbart ein Multi-CPU-System, bei dem der Ausfall einer CPU von einer anderen, normal arbeitenden CPU erfasst werden kann. Die normale CPU erhält Systeminformationen über die ausgefallene CPU. Die normale CPU extrahiert aus den Systeminformationen ein Programm, das der ausgefallenen CPU zugeordnet ist. Die normale CPU lädt das extrahierte Programm in einen Speicher darin oder einen Speicher in einer Reserve-CPU. Auf diese Weise funktioniert die normale CPU oder die Reserve-CPU im Einklang mit dem geladenen Programm, und arbeitet sie für die ausgefallene CPU.
  • Die japanische Patentanmeldung mit Offenlegungsnummer 53-114630 offenbart ein erstes Datenautobahnsystem, das eine Hauptstation und eine Unterhauptstation umfasst. Die Hauptstation weist eine CPU auf. Gleichermaßen weist die Unterhauptstation eine CPU auf. Die CPU der Hauptstation und die CPU der Unterhauptstation sind über ein Datenanschlussmodul verbunden. In dem Fall, dass die CPU der Hauptstation ausfällt, wird die CPU der Unterhauptstation über das Datenanschlussmodul bezüglich des CPU-Ausfalls benachrichtigt. Die CPU der Unterhauptstation gibt eine Besitzergreifungsanweisung an die CPU der Hauptstation aus, und die Unterhauptstation dient als Hauptstation. Die CPU der Unterhauptstation wird mit Daten von einer externen Speichervorrichtung geladen, um eine Sicherung bzw. ein Backup des Datenautobahnsystems online bzw. in Echtzeit durchzuführen. Die japanische Anmeldung 53-114630 offenbart auch ein zweites Datenautobahnsystem, das eine Hauptstation und eine Unterhauptstation umfasst, die physikalisch unabhängig voneinander sind. Eine externe Speichervorrichtung der Unterhauptstation weist einen speziellen Bereich auf, der die gleichen Daten speichert wie diejenigen in einer externen Speichervorrichtung der Hauptstation. In dem Fall, dass die Hauptstation ausfällt, greift eine CPU der Unterhauptstation auf den speziellen Bereich der externen Speichervorrichtung von dieser zu, so dass die Unterhauptstation als Hauptstation dient.
  • Das US-Patent mit der Nummer 4,532,594 bezieht sich auf ein elektronisches Steuersystem für ein Kraftfahrzeug, welches ein Motorsteuersystem und ein Fahrzeugantriebsinformationssystem umfasst. Das Motorsteuersystem arbeitet zur Steuerung des Motorbetriebs durch Verwendung eines Mikrocomputers. Das Fahrzeugantriebsinformationssystem arbeitet zur Vorbereitung und Anzeige von verschiedenen Antriebsinformationen durch Verwendung eines weiteren Mikrocomputers. Die beiden Mikrocomputer sind Partner. In jedem Mikrocomputer ist ein Sicherungs- bzw. Backup-Programm gespeichert, um bei Ausfall des Partnermikrocomputers zumindest die kritischen Aufträge des Partnermikrocomputers abzusichern, um die Fortsetzung eines sicheren Betriebs des Fahrzeugs zu gewährleisten.
  • Die japanische Patentanmeldung mit Offenlegungsnummer 64-13601 offenbart eine elektronische Steuervorrichtung für ein Fahrzeug, welche einen Hauptspeicher und einen Zweitspeicher umfasst. Der Zweitspeicher ist von batteriegepufferter Bauart. Wenn ein Motor anhält, werden Informationen aus einem vorgeschriebenen Bereich des Hauptspeichers übermittelt und in dem Zeitspeicher abgespeichert. Nachdem die Abspeicherung der Informationen bestätigt ist, wird eine Energieversorgung abgeschaltet. Wird die Energieversorgung eingeschaltet, werden die Informationen von dem Zweitspeicher zurück in den vorgeschriebenen Bereich des Hauptspeichers übermittelt.
  • Das US-Patent mit der Nummer 5,957,985 , welches die Druckschrift des nächstliegenden Standes der Technik darstellt und den Oberbegriff von unabhängigem Anspruch 1 offenbart, bezieht sich auf ein fehlerausgleichendes Automobilsteuersystem, welches unterschiedliche und getrennte Automobilkomponenten integriert und Fehlertoleranz gegenüber Komponentenausfall bereitstellt. Das Automobilsteuersystem umfasst eine Hauptsteuereinheit (MCU: "Master Control Unit"), die über einen primären Datenkommunikationsbus elektrisch mit den elektronischen Automobilkomponenten gekoppelt ist. Die MCU ist ein Master von dem Bus und verwaltet einen Datenfluss über den Bus zwischen den elektronischen Automobilkomponenten. Die MCU kann mit einer Leitweglenkungstabelle konfiguriert sein, um in einer Komponente beobachtete Daten an eine oder mehrere andere Komponenten zu lenken. Die MCU ist auch zur Durchführung der gleichen Funktionen wie denjenigen fähig, die von lokalen Steuerungen an den elektronischen Komponenten durchgeführt werden. Während einer Initialisierung wird Treibersoftware für alle lokalen Steuerungen heruntergeladen und an der MCU gespeichert. In dem Fall, dass eine lokale Steuerung ausfällt, führt die MCU die Treibersoftware für die ausgefallene Steuerung aus, um die elektronische Automobilkomponente an Stelle der ausgefallenen lokalen Steuerung fernzusteuern. An jeder der elektronischen Komponenten ist eine Schalt- bzw. Vermittlungslogik installiert, um Daten selektiv an den primären Bus zu lenken, wobei die ausgefallene Steuerung umgangen wird. Das Automobilsteuersystem weist eine sekundäre Steuereinheit (SCU: „Secondary Control Unit") auf, die über den primären Bus elektrisch mit der MCU gekoppelt ist. Die SCU ist ein eigenständiger Computer, der Clients und andere Vorrichtungen auf einem sekundären Unterstützungsbus unterstützt. Die SCU ist auch konfiguriert, die MCU abzusichern. Während eines normalen Betriebs ist die SCU der MCU untergeordnet und wird sie von dieser auf dem primären Bus gesteuert. In dem Fall, dass die MCU ausfällt, übernimmt die SCU eine Steuerung des Datenkommunikationsnetzwerks und verwaltet sie den Datenfluss zwischen den elektronischen Automobilkomponenten.
  • Die japanische Patentanmeldung mit Offenlegungsnummer 4-279836 offenbart ein Master-Slave-Mehrprozessorsystem für eine Steuerung und eine Diagnosevorrichtung in einem Motorfahrzeug. Für eine separate und optional gleichzeitige übergreifende Ausführung von verschiedenen Programmen verwendet das Mehrprozessorsystem nur einen ROM, der auf einfache Weise ersetzt werden kann, oder einen RAM mit Inhalten, die über eine Schnittstelle neuerlich geladen oder überschrieben werden können. Das Mehrprozessorsystem ermöglicht die optionale Verwendung von zumindest einem Slave-Prozessor für beliebig unterschiedliche oder veränderbare Aufgaben. Daten in einem Speicherbereich des Slave-Prozessors können im Einklang mit den Inhalten von dem ROM oder dem RAM durch einen schnellen Zugriff von einem Master-Prozessor modifiziert oder einem Überschreiben unterzogen werden.
  • Es ist eine erste Aufgabe dieser Erfindung, ein verbessertes ausfallsicheres bzw. Ausfallsicherungssystem bei einer integrierten Steuerung eines Fahrzeugs bereit zu stellen.
  • Es ist eine zweite Aufgabe dieser Erfindung, ein verbessertes Verfahren zur Ausfallsicherung bereit zu stellen.
  • Gemäß einem ersten Aspekt der Erfindung ist ein ausfallsicheres bzw. Ausfallsicherungssystem wie in Anspruch 1 definiert bereit gestellt.
  • Gemäß einem zweiten Aspekt der Erfindung ist ein Verfahren wie in Anspruch 17 definiert bereit gestellt.
  • Weitere Aspekte der Erfindung sind in den abhängigen Ansprüchen dargelegt.
  • 1 ist ein Blockschaltbild eines integrierten Fahrzeugsteuersystems gemäß dem Stand der Technik.
  • 2 ist ein Blockschaltbild eines ausfallsicheren Systems gemäß einem speziellen Ausführungsbeispiel dieser Erfindung.
  • 3 ist eine Darstellung der Verarbeitungsgeschwindigkeiten, der Speicherkapazitäten und der Prioritätsgrade von elektronischen Steuereinheiten (ECUs) gemäß 2.
  • 4 ist eine Darstellung der minimalen Verarbeitungsgeschwindigkeiten, die für die Ausführung von Grundprogrammen notwendig sind, die den Grundfunktionen von ECUS entsprechen, der Größen der Grundprogramme und der Prioritätsgrade von den ECUs.
  • 5 ist ein Blockschaltbild des ausfallsicheren Systems gemäß 2, bei dem eine der ECUS ausfällt.
  • 6 ist ein Ablaufdiagramm eines Segments eines Steuerprogramms für eine Leiter-ECU gemäß 2.
  • 7 ist ein Ablaufdiagramm eines Blocks gemäß 6.
  • 8 ist ein Ablaufdiagramm eines Segments eines Steuerprogramms für jede ECU gemäß 2 mit Ausnahme der Leiter-ECU.
  • Zum besseren Verständnis dieser Erfindung wird nachstehend ein System gemäß dem Stand der Technik erläutert.
  • 1 zeigt ein integriertes Fahrzeugsteuersystem gemäß dem Stand der Technik, das elektronische Steuereinheiten (ECUS) 110, 120 und 130 umfasst. Die ECUs 110, 120 und 130 sind über Kommunikationsleitungen LN miteinander verbunden. Die ECUs 110, 120 und 130 können über die Kommunikationsleitungen LN miteinander kommunizieren. Mit der ECU 110 sind Sensoren 111 und 112, sowie Stellglieder 113 und 114 verbunden. Gleichermaßen sind mit den ECUs 120 und 130 andere Sensoren und Stellglieder verbunden.
  • Die ECU 110 steuert die Stellglieder 113 und 114 an und steuert diese in Erwiderung auf Signale, die von den Sensoren 111 und 112 zugeführt werden, ebenso wie auf Signale, die über die Kommunikationsleitungen LN von den anderen ECUS zugeführt werden. Gleichermaßen arbeitet jede der ECUs 120 und 130 bezüglich der mit diesen verbundenen Stellgliedern. Dementsprechend werden alle Stellglieder auf einer integrierten Grundlage gesteuert.
  • Jede der ECUS 110, 120 und 130 ist nur den Stellgliedern zugeordnet, die mit dieser verbunden sind. Daher können die Stellglieder 113 und 114 in dem Fall, dass die ECU 110 ausfällt, nicht angesteuert und gesteuert werden. In diesem Fall besteht die Möglichkeit, dass sich das zugehörige Fahrzeug überhaupt nicht fortbewegen kann und keine Notheimkehr durchgeführt werden kann.
  • Grundlegende Ausführungsbeispiele
  • Ein erstes grundlegendes Ausführungsbeispiel dieser Erfindung bezieht sich auf ein ausfallsicheres bzw. Ausfallsicherungssystem, das bei einer integrierten Steuerung für ein Fahrzeug verwendet wird. An dem Fahrzeug ist eine Vielzahl von Bauelementen (strukturellen Komponenten) bereit gestellt. Beispiele der Bauelemente sind ein Motor, ein Automatikgetriebe, eine Bremsvorrichtung und eine Klimaanlage. Das integrierte Steuersystem implementiert eine integrierte Steuerung der Bauelemente, wodurch eine stabile Steuerung des Fahrzeugs bereit gestellt wird.
  • Das integrierte Steuersystem für das Fahrzeug umfasst eine Vielzahl von Stellgliedern bzw. Stellern zum jeweiligen Betätigen der Bauelemente, eine Vielzahl von Sensoren zum jeweiligen Erfassen von Zustandsgrößen, die bei einer Steuerung eines Betriebs der Bauelemente verwendet werden, eine Vielzahl von Bauelement-Steuerabschnitten zum jeweiligen Ansteuern und Steuern der Stellglieder bzw. Steller auf Grundlage der von den Sensoren erfassten Zustandsgrößen gemäß voreingestellten Steuerprogrammen, und einen Manager- bzw. Leiter-Steuerabschnitt zum Überwachen von Betriebsbedingungen der Bauelement-Steuerabschnitte. Solche unter den Stellgliedern bzw. Stellern und den Sensoren, die für eine Fortbewegung des Fahrzeugs notwendig sind, die Bauelement-Steuerabschnitte und der Leiter-Steuerabschnitt sind mit einer Kommunikationsleitung verbunden, um Kommunikationen unter diesen zu implementieren. Dadurch wird das Fahrzeug auf einer integrierten Grundlage gesteuert.
  • Vorzugsweise sind solche unter den Stellgliedern und den Sensoren, die nicht für eine Fortbewegung des Fahrzeugs notwendig sind, direkt mit den entsprechenden Bauelement-Steuerabschnitten verbunden, ohne mit der Kommunikationsleitung verbunden zu sein. Diese Auslegung ist im Hinblick auf Kosten vorteilhaft, da es nicht notwendig ist, diese Stellglieder und Sensoren mit Funktionen zur Kommunikation über die Kommunikationsleitung zu versehen. Wahlweise können solche unter den Stellgliedern und den Sensoren, die nicht für eine Fortbewegung des Fahrzeugs notwendig sind, direkt mit der Kommunikationsleitung verbunden sein.
  • Bei dem ausfallsicheren System, das mit dem ersten grundlegende Ausführungsbeispiel dieser Erfindung in Beziehung steht, sind den Bauelement-Steuerabschnitten jeweils voreingestellte Prioritätsgrade gegeben. Der Leiter-Steuerabschnitt speichert ein oder mehrere Ersatzprogramme, die zur Implementierung von Funktionen von solchen unter den Bauelement-Steuerabschnitten ausgelegt sind, die für eine Fortbewegung des Fahrzeugs notwendig sind. In dem Fall, dass einer unter den Bauelement-Steuerabschnitten ausfällt, der für eine Fortbewegung des Fahrzeugs notwendig ist, kann das Bauelement, welches ein von dem ausgefallenen Bauelement-Steuerabschnitt zu steuerndes Objekt darstellt, gemäß dem Ersatzprogramm gesteuert und betrieben werden, das dem ausgefallenen Bauelement-Steuerabschnitt entspricht.
  • Im Speziellen wählt in dem Fall, dass der Leiter-Steuerabschnitt einen Ausfall von einem unter den Bauelement-Steuerabschnitten erfasst, der für eine Fortbewegung des Fahrzeugs notwendig ist, eine Herunterladeeinrichtung einen aus nicht ausgefallenen der Bauelement-Steuerabschnitte als Herunterladeziel gemäß den Prioritätsgraden aus und lädt sie das Ersatzprogramm, das dem ausgefallenen Bauelement-Steuerabschnitt entspricht, in den ausgewählten Herunterladeziel-Bauelement-Steuerabschnitt herunter. Der ausgewählte Herunterladeziel-Bauelement-Steuerabschnitt weist einen niedrigeren Prioritätsgrad als der ausgefallene Bauelement-Steuerabschnitt auf.
  • Der Herunterladeziel-Bauelement-Steuerabschnitt treibt und steuert das Stellglied, das dem ausgefallenen Bauelement-Steuerabschnitt entspricht, auf Grundlage der Zustandsgröße, die von dem Sensor erfasst wird, der dem ausgefallenen Bauelement-Steuerabschnitt entspricht, gemäß dem heruntergeladenen Ersatzprogramm.
  • In dem Fall, dass einer unter den Bauelement-Steuerabschnitten ausfällt, der für eine Fortbewegung des Fahrzeugs notwendig ist, dient daher ein anderer Bauelement-Steuerabschnitt für die Funktion des ausgefallenen Bauelement-Steuerabschnitts. Dementsprechend wird dem Fahrzeug ermöglicht, eine Fortbewegung fortzusetzen. Demnach kann das Fahrzeug an einen sicheren Ort oder zu einem Kundendienst bewegt werden.
  • Vorzugsweise speichert der Leiter-Steuerabschnitt ein oder mehrere Ersatzprogramme, die zur Implementierung von Funktionen von nur solchen unter den Bauelement-Steuerabschnitten ausgelegt sind, die für eine Fortbewegung des Fahrzeugs notwendig sind. Diese Auslegung ist im Hinblick auf Programmverwaltung und Kosten vorteilhaft. Der Leiter-Steuerabschnitt kann Ersatzprogramme speichern, die zur Implementierung der Funktionen von allen Bauelement-Steuerabschnitten ausgelegt sind.
  • Der Herunterladeziel-Bauelement-Steuerabschnitt kann das Stellglied, das dem ausgefallenen Bauelement-Steuerabschnitt entspricht, auf Grundlage der Zustandsgröße, die von dem Sensor erfasst wird, der nicht dem ausgefallenen Bauelement-Steuerabschnitt entspricht, gemäß dem heruntergeladenen Ersatzprogramm ansteuern und steuern. Der Herunterladeziel-Bauelement-Steuerabschnitt kann das Stellglied, das nicht dem ausgefallenen Bauelement-Steuerabschnitt entspricht, auf Grundlage der Zustandsgröße, die von dem Sensor erfasst wird, der dem ausgefallenen Bauelement-Steuerabschnitt entspricht, gemäß dem heruntergeladenen Ersatzprogramm ansteuern und steuern.
  • Ein zweites grundlegendes Ausführungsbeispiel dieser Erfindung beruht auf dem ersten grundlegenden Ausführungsbeispiel von dieser. Das zweite grundlegende Ausführungsbeispiel dieser Erfindung zeichnet sich dadurch aus, dass die Ersatzprogramme Grundprogramme umfassen, die zur Implementierung von Grundfunktionen von solchen unter den Bauelement-Steuerabschnitten ausgelegt sind, die für eine Fortbewegung des Fahrzeugs notwendig sind. In dem Fall, dass der Leiter-Steuerabschnitt einen Ausfall von einem unter den Bauelement-Steuerabschnitten erfasst, der für eine Fortbewegung des Fahrzeugs notwendig ist, lädt die Herunterladeeinrichtung das Grundprogramm, das dem ausgefallenen Bauelement-Steuerabschnitt entspricht, in den ausgewählten Herunterladeziel-Bauelement-Steuerabschnitt herunter.
  • Die Grundfunktionen der Bauelement-Steuerabschnitte meinen vereinfachte Funktionen von diesen, die für eine Fortbewegung des Fahrzeugs notwendig sind. Programmsegmente zur Implementierung von Korrekturen und anderen feinen Vorgängen in der allgemeinen Fahrzeugsteuerung sind aus den Grundprogrammen weggelassen. Daher sind die Größen der Grundprogramme relativ klein. Dementsprechend kann jedes der Grundprogramme in solche der Bauelement-Steuerabschnitte installiert werden, die nur geringe Speicherkapazitäten aufweisen. Daher können mehr der Bauelement-Steuerabschnitte als Herunterladeziel ausgewählt werden.
  • Ein drittes grundlegendes Ausführungsbeispiel dieser Erfindung beruht auf dem ersten grundlegenden Ausführungsbeispiel von dieser. Das dritte grundlegende Ausführungsbeispiel dieser Erfindung zeichnet sich dadurch aus, dass solche unter den Bauelement-Steuerabschnitten, die für eine Fortbewegung des Fahrzeugs notwendig sind, eine elektronische Steuereinheit zur Steuerung des Motors als ein Bauelement umfassen.
  • Ein viertes grundlegendes Ausführungsbeispiel dieser Erfindung beruht auf dem zweiten grundlegenden Ausführungsbeispiel von dieser. Das vierte grundlegende Ausführungsbeispiel dieser Erfindung zeichnet sich dadurch aus, dass solche unter den Bauelement-Steuerabschnitten, die für eine Fortbewegung des Fahrzeugs notwendig sind, eine elektronische Steuereinheit zur Steuerung des Motors als ein Bauelement umfassen und eine Grundfunktion der elektronischen Steuereinheit eine Kraftstoffeinspritzrate und eine Zündzeitsteuerung festlegt. Gemäß der Grundfunktion der elektronischen Steuereinheit ist es möglich, ein solches Achsmoment zu erzeugen, um zu ermöglichen, dass sich das Fahrzeug bewegt.
  • Ein fünftes grundlegendes Ausführungsbeispiel dieser Erfindung beruht auf dem ersten grundlegenden Ausführungsbeispiel von dieser. Das fünfte grundlegende Ausführungsbeispiel dieser Erfindung zeichnet sich dadurch aus, dass solche unter den Bauelement- Steuerabschnitten, die für eine Fortbewegung des Fahrzeugs notwendig sind, eine elektronische Steuereinheit zur Steuerung des Automatikgetriebes als ein Bauelement umfassen.
  • Ein sechstes grundlegendes Ausführungsbeispiel dieser Erfindung berruht auf dem zweiten grundlegenden Ausführungsbeispiel von dieser. Das sechste grundlegende Ausführungsbeispiel dieser Erfindung zeichnet sich dadurch aus, dass solche unter den Bauelement-Steuerabschnitten, die für eine Fortbewegung des Fahrzeugs notwendig sind, eine elektronische Steuereinheit zur Steuerung des Automatikgetriebes als ein Bauelement umfassen und eine Grundfunktion der elektronischen Steuereinheit ein Übersetzungsverhältnis in dem Automatikgetriebe festlegt. Wird das Übersetzungsverhältnis in dem Automatikgetriebe auf einen Wert festgelegt, der einer niedrigen Geschwindigkeit bzw. Drehzahl entspricht, kann verhindert werden, dass der Motor abgewürgt wird bzw. zum Stillstand kommt.
  • Ein siebtes grundlegendes Ausführungsbeispiel dieser Erfindung beruht auf dem ersten grundlegenden Ausführungsbeispiel von dieser. Das siebte grundlegende Ausführungsbeispiel dieser Erfindung zeichnet sich dadurch aus, dass solche unter den Bauelement-Steuerabschnitten, die für eine Fortbewegung des Fahrzeugs notwendig sind, eine elektronische Steuereinheit zur Steuerung der Bremsvorrichtung als ein Bauelement umfassen.
  • Ein achtes grundlegendes Ausführungsbeispiel dieser Erfindung beruht auf dem zweiten grundlegenden Ausführungsbeispiel von dieser. Das achte grundlegende Ausführungsbeispiel dieser Erfindung zeichnet sich dadurch aus, dass solche unter den Bauelement-Steuerabschnitten, die für eine Fortbewegung des Fahrzeugs notwendig sind, eine elektronische Steuereinheit zur Steuerung der Bremsvorrichtung als ein Bauelement umfassen und eine Grundfunktion der elektronischen Steuereinheit eine Steuerung der Bremsvorrichtung lediglich in Erwiderung auf einen Grad eines Herabdrückens eines Bremspedals implementiert. Hochleistungs-Bremssteuerschritte wie etwa ein Antiblockier-Bremssteuerschritt sind aus der Grundfunktion der elektronischen Steuereinheit weggelassen. Gemäß der Grundfunktion der elektronischen Steuereinheit ist es möglich zu verhindern, dass die Bremsvorrichtung unter allgemeinen bzw. gewöhnlichen Fahrzeugfortbewegungsbedingungen deaktiviert bzw. betriebsunfähig wird.
  • Ein neuntes grundlegendes Ausführungsbeispiel dieser Erfindung beruht auf dem ersten grundlegenden Ausführungsbeispiel von dieser. Das neunte grundlegende Ausführungsbeispiel dieser Erfindung zeichnet sich dadurch aus, dass die Prioritätsgrade voreingestellt sind in einer Reihenfolge von Bauelement-Steuerabschnitten, die für eine Fortbewegung des Fahrzeugs notwendig sind, Bauelement-Steuerabschnitten, die Fahrleistungen des Fahrzeugs verbessern, Bauelement-Steuerabschnitten, die einen Komfort des Fahrzeugs erhöhen, und anderen Bauelement-Steuerabschnitten.
  • Die Bauelement-Steuerabschnitte, die für eine Fortbewegung des Fahrzeugs notwendig sind, umfassen eine elektronische Steuereinheit zur Steuerung des Motors, eine elektronische Steuereinheit zur Steuerung des Automatikgetriebes, eine elektronische Steuereinheit zur Steuerung der Bremsvorrichtung und eine elektronische Steuereinheit zur Steuerung von Instrumenten wie etwa einem Geschwindigkeitsmesser. Die elektronische Steuereinheit zur Steuerung des Motors, die elektronische Steuereinheit zur Steuerung des Automatikgetriebes und die elektronische Steuereinheit zur Steuerung der Bremsvorrichtung sind für eine Fortbewegung des Fahrzeugs notwendiger bzw. wichtiger, und ihnen ist ein höherer Prioritätsgrad gegeben.
  • Die Bauelement-Steuerabschnitte, die Fahrleistungen des Fahrzeugs verbessern, umfassen eine elektronische Steuereinheit zur Steuerung einer Navigationsvorrichtung, welche Navigationsdienste an einen Fahrzeugfahrer bereit stellt. Die Bauelement-Steuerabschnitte, die einen Komfort des Fahrzeugs erhöhen, umfassen eine elektronische Steuereinheit zur Steuerung der Klimaanlage, welche die Temperatur im Innenraum des Fahrzeugs abstimmt. Die anderen Bauelement-Steuerabschnitte umfassen eine elektronische Steuereinheit zur Steuerung von elektrischen Fahrzeugfenstern.
  • Ein zehntes grundlegendes Ausführungsbeispiel dieser Erfindung beruht auf dem ersten grundlegenden Ausführungsbeispiel von dieser. Das zehnte grundlegende Ausführungsbeispiel dieser Erfindung zeichnet sich dadurch aus, dass der durch die Herunterladeeinrichtung ausgewählte Herunterladeziel-Bauelement-Steuerabschnitt eine Verarbeitungsgeschwindigkeit aufweist, die zur Implementierung der Funktion des ausgefallenen Bauelement-Steuerabschnitts notwendig ist, und eine Speicherkapazität aufweist, die zum Speichern des Ersatzprogramms notwendig ist, das dem ausgefallenen Bauelement-Steuerabschnitt entspricht. Es ist möglich, das Ersatzprogramm auf sichere Weise in den Herunterladeziel-Bauelement-Steuerabschnitt herunterzuladen. Außerdem kann das Ersatzprogramm mit einer vorgeschriebenen Verarbeitungsgeschwindigkeit ausgeführt werden und ist dem Fahrzeug eine Fortbewegung möglich.
  • Ein elftes grundlegendes Ausführungsbeispiel dieser Erfindung beruht auf dem zehnten grundlegenden Ausführungsbeispiel von dieser. Das elfte grundlegende Ausführungsbeispiel dieser Erfindung zeichnet sich dadurch aus, dass der durch die Herunterladeeinrichtung ausgewählte Herunterladeziel-Bauelement-Steuerabschnitt den niedrigsten Prioritätsgrad aufweist. Das Ersatzprogramm wird in einen von nicht ausgefallenen Bauelement-Steuerabschnitten heruntergeladen, der den niedrigsten Prioritätsgrad aufweist. Es ist möglich, dass Funktionen übrig bleiben, die für eine Fortbewegung des Fahrzeugs notwendiger bzw. wichtiger sind.
  • Ein zwölftes grundlegendes Ausführungsbeispiel dieser Erfindung beruht auf dem ersten grundlegenden Ausführungsbeispiel von dieser. Das zwölfte grundlegende Ausführungsbeispiel dieser Erfindung zeichnet sich dadurch aus, dass die Herunterladeeinrichtung eine Einrichtung zum Löschen eines Hauptsteuerprogramms aus einem Speicherbereich in dem Herunterladeziel-Bauelement-Steuerabschnitt und zum Schreiben des Ersatzprogramms dort hinein aufweist. Es ist nicht notwendig, die Speicherkapazität von jedem der Bauelement-Steuerabschnitte zu erweitern. Daher ist das zwölfte grundlegende Ausführungsbeispiel dieser Erfindung im Hinblick auf Kosten vorteilhaft. Vorzugsweise wird bei einem Kundendienst das Hauptsteuerprogramm erneut in den Herunterladeziel-Bauelement-Steuerabschnitt installiert.
  • Ein dreizehntes grundlegendes Ausführungsbeispiel dieser Erfindung beruht auf dem ersten grundlegenden Ausführungsbeispiel von dieser. Das dreizehnte grundlegende Ausführungsbeispiel dieser Erfindung zeichnet sich dadurch aus, dass der Leiter-Steuerabschnitt Informationen über den ausgefallenen Bauelement-Steuerabschnitt abspeichert und die Herunterladeeinrichtung ein Herunterladen des Ersatzprogramms, das dem ausgefallenen Bauelement-Steuerabschnitt entspricht, bei Motorstart in Erwiderung auf die Informationen ausführt, die durch den Leiter-Steuerabschnitt abgespeichert werden. Da von einem Wechselstromgenerator bzw. einer Lichtmaschine in dem Fahrzeug zugeführte elektrische Energie bei Motorstart verwendet werden kann, ist es möglich, das Herunterladen des Ersatzprogramms auf sichere Weise auszuführen, ohne eine zusätzliche Energieeinspeiseschaltung bereit zu stellen.
  • Ein vierzehntes grundlegendes Ausführungsbeispiel dieser Erfindung beruht auf dem ersten grundlegenden Ausführungsbeispiel von dieser. Das vierzehnte grundlegende Ausführungsbeispiel dieser Erfindung zeichnet sich dadurch aus, dass der Herunterladeziel-Bauelement-Steuerabschnitt einen vorhergehenden Steuervorgang unterbricht, wenn die Herunterladeeinrichtung ein Herunterladen des Ersatzprogramms ausführt, das dem ausgefallenen Bauelement-Steuerabschnitt entspricht. Es ist möglich, das Herunterladen des Ersatzprogramms auf sichere Weise auszuführen.
  • Spezielles Ausführungsbeispiel
  • 2 zeigt eine ausfallsicheres bzw. Ausfallsicherungssystem gemäß einem speziellen Ausführungsbeispiel dieser Erfindung. Das ausfallsichere System gemäß 2 ist in einem integrierten System zur Implementierung einer integrierten Steuerung von Bauelementen (strukturellen Komponenten) eines Fahrzeugs enthalten. Die Bauelemente des Fahrzeugs umfassen zum Beispiel einen Motor, ein Automatikgetriebe, eine Bremsvorrichtung, eine Klimaanlage und eine Navigationsvorrichtung (wobei diese nicht gezeigt sind).
  • Das ausfallsichere System gemäß 2 enthält elektronische Steuereinheiten (ECUS) 1, 2, 3, 4, 5, 6 und 7. Die ECU 1 ist zur Steuerung des Motors gemäß einem voreingestellten Steuerprogramm ausgelegt. Die ECU 1 wird als die Motor-ECU 1 bezeichnet. Die ECU 2 ist zur Steuerung des Automatikgetriebes gemäß einem voreingestellten Steuerprogramm ausgelegt. Die ECU 2 wird als die Getriebe-ECU 2 bezeichnet. Die ECU 3 ist zur Steuerung der Bremsvorrichtung gemäß einem voreingestellten Steuerprogramm ausgelegt. Die ECU 3 wird als die Fahrsteuerung-ECU 3 bezeichnet. Die ECU 4 ist zur Steuerung der Klimaanlage gemäß einem voreingestellten Steuerprogramm ausgelegt. Die ECU 4 wird als die Klimaanlage-ECU 4 bezeichnet. Die ECU 5 ist zur Steuerung der Navigationsvorrichtung gemäß einem voreingestellten Steuerprogramm ausgelegt. Die ECU 5 wird als die Navigation-ECU 5 bezeichnet. Die ECU 6 ist zur Steuerung von Instrumenten wie etwa einem Geschwindigkeitsmesser gemäß einem voreingestellten Steuerprogramm ausgelegt. Die ECU 6 wird als die erste Karosserie-ECU 6 bezeichnet. Die ECU 7 ist zur Steuerung von elektrischen Fenstern und einem Türverriegelungsschlüssel gemäß einem voreingestellten Steuerprogramm ausgelegt. Die ECU 7 wird als die zweite Karosserie-ECU 7 bezeichnet. Das ausfallsichere System gemäß 2 enthält auch eine Leiter-ECU 10, die als Leiter- bzw. Manager-Steuerung dient und die Betriebsbedingungen von den ECUs 1 bis 7 überwacht.
  • Jede der ECUs 1 bis 7 umfasst einen Mikrocomputer mit einer Kombination eines Eingabe/Ausgabe-Anschlusses, eines Verarbeitungsteils und eines Speichers. Jede der ECUs 1 bis 7 arbeitet im Einklang mit einem Programm, das in ihrem Speicher gespeichert ist. Der Speicher enthält zum Beispiel einen elektrisch löschbaren programmierbaren ROM und einen RAM. Die Leiter-ECU 10 umfasst einen Mikrocomputer mit einer Kombination eines Eingabe/Ausgabe-Anschlusses, eines Verarbeitungsteils und eines Speichers. Die Leiter-ECU 10 arbeitet im Einklang mit einem Steuerprogramm, das in ihren Speicher gespeichert ist. Der Speicher enthält zum Beispiel einen ROM und einen RAM. Der Speicher enthält auch einen nichtflüchtigen Speicher wie etwa einen Flash-Speicher. Die ECUS 1 bis 7 und 10 sind für eine Datenübermittlung über Kommunikationsleitungen L miteinander verbunden. Jede der ECUs 1 bis 7 und 10 umfasst auch eine Kommunikationseinheit (eine Kommunikationsschnittstelle), über die ihr Mikrocomputer mit den Kommunikationsleitungen L verbunden ist.
  • Im Speziellen umfasst die Motor-ECU 1 einen Mikrocomputer 1a und eine Kommunikationseinheit (eine Kommunikationsschnittstelle) 1b. Der Mikrocomputer 1a hat eine Verarbeitungsgeschwindigkeit von 25 MIPS und eine Speicherkapazität von 320 KB. Die Kommunikationseinheit 1b ist mit den Kommunikationsleitungen L verbunden. Die Motor-ECU 1 kann Datenkommunikationen über die Kommunikationseinheit 1b durchführen. Mit der Motor-ECU 1 sind Sensoren und Schalter verknüpft oder verbunden. Die Sensoren und Schalter umfassen einen Gaspedalpositionssensor zum Erfassen des Grads eines Herabdrückens eines Gaspedals, einen Luftmengenmesser zum Erfassen des Luftströmungsdurchsatzes in den Motor, einen Ansauglufttemperatursensor zum Erfassen der Temperatur von Ansaugluft, einen Drosselpositionssensor zum Erfassen des Grad einer Öffnung eines Drosselventils, einen Sauerstoffkonzentrationssensor zum Erfassen einer Sauerstoffkonzentration in Abgas, einen Kühlmitteltemperatursensor zum Erfassen der Temperatur eines Motorkühlmittels, einen Kurbelwinkelsensor zum Erfassen der Winkelposition und Drehgeschwindigkeit einer Kurbelwelle und einen Zündschalter (einen Zündschlüssel). Außerdem sind mit der Motor-ECU 1 Stellglieder zur Steuerung des Motors verknüpft oder verbunden. Die Stellglieder umfassen Kraftstoffeinspritzdüsen, die für Zylinder des Motors bereitgestellt sind, einen Zünder zum Erzeugen einer hohen Zündspannung, eine Kraftstoffpumpe zum Zuführen von Kraftstoff von einem Kraftstofftank an die Kraftstoffeinspritzdüsen und einen Drosselantriebsmotor zum Öffnen und Schließen des Drosselventils.
  • Ausführlicher ausgedrückt umfassen die mit der Motor-ECU 1 verknüpften oder verbundenen Sensoren solche 11, die für die Fortbewegung des Fahrzeugs notwendig sind. Ein Beispiel eines solchen Sensors 11 ist der Kurbelwinkelsensor. Die Sensoren 11 sind direkt mit den Kommunikationsleitungen L verbunden. Im Speziellen umfassen die Sensoren 11 Kommunikationseinheiten (Kommunikationsschnittstellen) 11a, die mit den Kommunikationsleitungen L verbunden sind. Signale werden von den Sensoren 11 über die Kommunikationsleitungen L an die Motor-ECU 1 übertragen. Die mit der Motor-ECU 1 verknüpften oder verbundenen Stellglieder umfassen solche 12, die für die Fortbewegung des Fahrzeugs notwendig sind. Beispiele der Stellglieder 12 sind die Kraftstoffeinspritzdüsen, der Zünder und die Kraftstoffpumpe. Die Stellglieder 12 sind direkt mit den Kommunikationsleitungen L verbunden. Im Speziellen umfassen die Stellglieder 12 Kommunikationseinheiten (Kommunikationsschnittstellen) 12a, die mit den Kommunikationsleitungen L verbunden sind. Signale werden von der Motor-ECU 1 über die Kommunikationsleitungen L an die Stellglieder 12 übertragen.
  • Die Getriebe-ECU 2 umfasst einen Mikrocomputer 2a und eine Kommunikationseinheit (eine Kommunikationsschnittstelle) 2b. Der Mikrocomputer 2a hat eine Verarbeitungsgeschwindigkeit von 25 MIPS und eine Speicherkapazität von 320 KB. Die Kommunikationseinheit 2b ist mit den Kommunikationsleitungen L verbunden. Die Getriebe-ECU 2 kann Datenkommunikationen über die Kommunikationseinheit 2b durchführen. Mit der Getriebe-ECU 2 sind Sensoren und Schalter verknüpft oder verbunden. Die Sensoren und Schalter umfassen einen Drehgeschwindigkeitssensor zum Erfassen der Drehgeschwindigkeit einer Antriebswelle zwischen einem Drehmomentwandler und dem Automatikgetriebe, einen Fahrzeuggeschwindigkeitssensor zum Erfassen der Geschwindigkeit des Fahrzeugs aus der Drehgeschwindigkeit einer Fahrzeugantriebswelle, die mit einer Abtriebswelle des Automatikgetriebes gekoppelt ist, einen Hydraulikflüssigkeitstemperatursensor zum Erfassen der Temperatur einer Arbeitsmittels bzw. -mediums in dem Automatikgetriebe und einen Schaltungspositionsschalter zum Erfassen der Betriebsposition (Schaltungsposition) einer durch einen Fahrzeugfahrer bedienten Schalthebel. Außerdem sind mit der Getriebe-ECU 2 Stellglieder zur Steuerung des Automatikgetriebes verknüpft oder verbunden. Die Stellglieder umfassen Schaltungssolenoide zum Ändern des Getriebeübersetzungsverhältnisses, ein Leitungsdrucksolenoid zum Steuern der Kraft eines Eingriffes von Gangverbindungs-/-trennungskupplungen und ein Sperrdrucksolenoid zum Steuern der Sperrkraft einer Sperrkupplung, die fungiert, um die Antriebs- und Abtriebswellen des Drehmomentwandlers zu koppeln.
  • Ausführlicher ausgedrückt umfassen die mit der Getriebe-ECU 2 verknüpften oder verbundenen Sensoren solche 21, die für die Fortbewegung des Fahrzeugs notwendig sind. Beispiele der Sensoren 21 sind der Drehgeschwindigkeitssensor und der Fahrzeuggeschwindigkeitssensor. Die Sensoren 21 sind direkt mit den Kommunikationsleitungen L verbunden. Im Speziellen umfassen die Sensoren 21 Kommunikationseinheiten (Kommunikationsschnittstellen) 21a, die mit den Kommunikationsleitungen L verbunden sind. Signale werden von den Sensoren 21 über die Kommunikationsleitungen L an die Getriebe-ECU 2 übertragen. Die mit der Motor-ECU 2 verknüpften oder verbundenen Stellglieder umfassen solche 22, die für die Fortbewegung des Fahrzeugs notwendig sind. Beispiele der Stellglieder 22 sind die Schaltungssolenoide und das Leitungsdrucksolenoid. Die Stellglieder 22 sind direkt mit den Kommunikationsleitungen L verbunden. Im Speziellen umfassen die Stellglieder 22 Kommunikationseinheiten (Kommunikationsschnittstellen) 22a, die mit den Kommunikationsleitungen L verbunden sind. Signale werden von der Getriebe-ECU 2 über die Kommunikationsleitungen L an die Stellglieder 22 übertragen.
  • Die Fahrsteuerung-ECU 3 umfasst einen Mikrocomputer 3a und eine Kommunikationseinheit (eine Kommunikationsschnittstelle) 3b. Der Mikrocomputer 3a hat eine Verarbeitungsgeschwindigkeit von 15 MIPS und eine Speicherkapazität von 128 KB. Die Kommunikationseinheit 3b ist mit den Kommunikationsleitungen L verbunden. Die Fahrsteuerung-ECU 3 kann Datenkommunikationen über die Kommunikationseinheit 3b durchführen. Die Fahrsteuerung-ECU 3 implementiert die Steuerung der Bremsvorrichtung, die eine Antiblockierbremseinheit (ein Antiblockierbremssystem, ABS) umfasst, um zu verhindern, dass die Antriebsräder des Fahrzeugs blockieren, wenn das Fahrzeug abrupt abgebremst wird. Die Fahrsteuerung-ECU 3 und die Motor-ECU 1 arbeiten zusammen, um eine Zwischenfahrzeugsteuerung oder einen automatischen Fahrtregler (ACC: „Automatic Cruise Control") zum Messen der Entfernung zwischen einem vorausfahrenden Fahrzeug und dem vorliegenden Fahrzeug durch einen Laserradar und zum Steuern der Zwischenfahrzeugentfernung auf einen konstanten Wert, eine Fahrzeugstabilisierungssteuerung (VSC: „Vehicle Stabilizing Control") zum Stabilisieren des Körpers bzw. der Karosserie des Fahrzeugs, wenn sich das Fahrzeug entlang einer kurvigen Straße fortbewegt, und eine Traktionssteuerung (TRC: „Traction Control") zum Verhindern, dass die Antriebsräder des Fahrzeugs während einer Beschleunigung durchdrehen, zu implementieren. Mit der Fahrsteuerung-ECU 3 sind Sensoren und Schalter verknüpft oder verbunden. Die Sensoren und Schalter umfassen einen Hauptzylinderdrucksensor zum Erfassen des hydraulischen Drucks in einem Hauptzylinder der Bremsvorrichtung, einen Lenkungssensor zum Erfassen des Lenkungswinkels des Fahrzeugs und einen Giergeschwindigkeitssensor zum Erfassen der Giergeschwindigkeit des Körpers bzw. der Karosserie des Fahrzeugs. Außerdem sind mit der Fahrsteuerung-ECU 3 Stellglieder verknüpft oder verbunden. Die Stellglieder umfassen ein Bremsstellglied zum Erzeugen des hydraulischen Drucks in dem Hauptzylinder und zum Ausführen einer Bremssteuerung.
  • Ausführlicher ausgedrückt umfassen die mit der Fahrsteuerung-ECU 3 verknüpften oder verbundenen Sensoren solche 31, die für die Fortbewegung des Fahrzeugs notwendig sind. Ein Beispiel eines solchen Sensors 31 ist der Hauptzylinderdrucksensor. Die Sensoren 31 sind direkt mit den Kommunikationsleitungen L verbunden. Im Speziellen umfassen die Sensoren 31 Kommunikationseinheiten (Kommunikationsschnittstellen) 31a, die mit den Kommunikationsleitungen L verbunden sind. Signale werden von den Sensoren 31 über die Kommunikationsleitungen L an die Fahrsteuerung-ECU 3 übertragen. Die mit der Fahrsteuerung-ECU 3 verknüpften oder verbundenen Stellglieder umfassen solche 32, die für die Fortbewegung des Fahrzeugs notwendig sind. Ein Beispiel eines solchen Stellglieds 32 ist das Bremsstellglied. Die Stellglieder 32 sind direkt mit den Kommunikationsleitungen L verbunden. Im Speziellen umfassen die Stellglieder 32 Kommunikationseinheiten (Kommunikationsschnittstellen) 32a, die mit den Kommunikationsleitungen L verbunden sind. Signale werden von der Fahrsteuerung-ECU 3 über die Kommunikationsleitungen L an die Stellglieder 32 übertragen.
  • Die Klimaanlage-ECU 4 umfasst einen Mikrocomputer 4a und eine Kommunikationseinheit (eine Kommunikationsschnittstelle) 4b. Der Mikrocomputer 4a hat eine Verarbeitungsgeschwindigkeit von 5 MIPS und eine Speicherkapazität von 128 KB. Die Kommunikationseinheit 4b ist mit den Kommunikationsleitungen L verbunden. Die Klimaanlage-ECU 4 kann Datenkommunikationen über die Kommunikationseinheit 4b durchführen. Mit der Klimaanlagensteuerung-ECU 4 sind Sensoren und Schalter verbunden. Die Sensoren und Schalter umfassen einen Atmosphärentemperatursensor, einen Fahrzeuginnenlufttemperatursensor und einen von dem Fahrzeugfahrer betätigten Klimaanlagenschalter. Außerdem sind mit der Klimaanlage-ECU 4 Stellglieder verbunden. Die Stellglieder umfassen einen Gebläsemotor zum Antreiben von Luft und eine Luftmischklappe zum Ändern der Luftmischungsbedingungen. Die Klimaanlage-ECU 4 kann übertragene Daten über die Kommunikationsleitungen L empfangen. Die übertragenen Daten stellen zum Beispiel die Fahrzeuggeschwindigkeit, die Motordrehgeschwindigkeit und die Motorkühlmitteltemperatur dar. Die Klimaanlage-ECU 4 treibt und steuert die zugehörigen Stellglieder in Erwiderung auf die Ausgabesignale von den zugehörigen Sensoren und Schaltern und die über die Kommunikationsleitungen L empfangenen Daten.
  • Die Navigation-ECU 5 umfasst einen Mikrocomputer 5a und eine Kommunikationseinheit (eine Kommunikationsschnittstelle) 5b. Der Mikrocomputer 5a hat eine Verarbeitungsgeschwindigkeit von 25 MIPS und eine Speicherkapazität von 4000 KB. Die Kommunikationseinheit 5b ist mit den Kommunikationsleitungen L verbunden. Die Navigation-ECU 5 kann Datenkommunikationen über die Kommunikationseinheit 5b durchführen. Mit der Navigation-ECU 5 sind Sensoren und Schalter verbunden. Die Sensoren und Schalter umfassen eine Positionserfassungsvorrichtung, eine Kartendateneingabevorrichtung, Sensoren zum Erfassen von Positionsinformationen und Bedienungs- bzw. Betriebsschalter. Die Positionserfassungsvorrichtung enthält einen GPS- („Global Positioning System") Empfänger. Mit der Navigation-ECU 5 sind Stellglieder verbunden. Die Stellglieder umfassen solche zum Angeben der momentanen Position des Fahrzeugs auf einer Anzeige.
  • Die Navigation-ECU 5 kann über die Kommunikationsleitungen L Informationen über die Parameter wie etwa die Fahrzeuggeschwindigkeit empfangen, die bei der Berechnung der momentanen Position des Fahrzeugs verwendet werden.
  • Die erste Karosserie-ECU bzw. Erstkörper-ECU 6 umfasst einen Mikrocomputer 6a und eine Kommunikationseinheit (eine Kommunikationsschnittstelle) 6b. Der Mikrocomputer 6a hat eine Verarbeitungsgeschwindigkeit von 3 MIPS und eine Speicherkapazität von 64 KB. Die Kommunikationseinheit 6b ist mit den Kommunikationsleitungen L verbunden. Die erste Karosserie-ECU 6 kann Datenkommunikationen über die Kommunikationseinheit 6b durchführen. Die erste Karosserie-ECU 6 ist zum Steuern der Instrumente wie etwa des Geschwindigkeitsmessers in dem Fahrzeugarmaturenbrett ausgelegt. Mit der ersten Karosserie-ECU 6 sind Stellglieder verbunden. Die Stellglieder umfassen solche zum Aktivieren der Instrumente. Die erste Karosserie-ECU 6 kann übertragene Daten über die Kommunikationsleitungen L empfangen. Die übertragenen Daten stellen zum Beispiel die Fahrzeuggeschwindigkeit und die Motorkühlmitteltemperatur dar. Die erste Karosserie-ECU 6 treibt und steuert die zugehörigen Stellglieder in Erwiderung auf die über die Kommunikationsleitungen L empfangenen Daten.
  • Die zweite Karosserie-ECU bzw. Zweitkörper-ECU 7 umfasst einen Mikrocomputer 7a und eine Kommunikationseinheit (eine Kommunikationsschnittstelle) 7b. Der Mikrocomputer 7a hat eine Verarbeitungsgeschwindigkeit von 1 MIPS und eine Speicherkapazität von 16 KB. Die Kommunikationseinheit 7b ist mit den Kommunikationsleitungen L verbunden. Die zweite Karosserie-ECU 7 kann Datenkommunikationen über die Kommunikationseinheit 7b durchführen. Die zweite Karosserie-ECU 7 ist zum Steuern der elektrisch betriebenen Fenster und des Türverriegelungsschlüssels ausgelegt. Mit der zweiten Karosserie-ECU 7 sind Sensoren und Schalter verbunden. Die Sensoren und Schalter umfassen Sensoren zum Erfassen der Drehgeschwindigkeiten von Antriebsmotoren der elektrisch betriebenen Fenster, Schalter für elektrisch betriebene Fenster und Türverriegelungsschalter. Außerdem sind mit der zweiten Karosserie-ECU 7 Stellglieder verbunden. Die Stellglieder umfassen solche zum Aktivieren der Antriebsmotoren der elektrisch betriebenen Fenster und der Türverriegelungsmotoren. Die zweite Karosserie-ECU 7 kann übertragene Daten über die Kommunikationsleitungen L empfangen. Die übertragenen Daten stellen zum Beispiel die Fahrzeuggeschwindigkeit dar. Die zweite Karosserie-ECU 7 bestimmt, ob die Fahrzeuggeschwindigkeit gleich oder größer einem vorgeschriebenen Wert wird oder nicht. Wird die Fahrzeuggeschwindigkeit gleich oder größer dem vorgeschriebenen Wert, aktiviert die zweite Karosserie-ECU 7 die Türverriegelungsmotoren, um die Fahrzeugtüren automatisch zu verriegeln.
  • Die Leiter-ECU 10 umfasst einen Mikrocomputer 10a und eine Kommunikationseinheit (eine Kommunikationsschnittstelle) 10b. Die Kommunikationseinheit 10b ist mit den Kommunikationsleitungen L verbunden. Die Leiter-ECU 10 kann Datenkommunikationen über die Kommunikationseinheit 10b durchführen. Der Speicher in der Leiter-ECU 10 speichert ein Grundprogramm oder Grundprogramme, das/die ausgelegt ist/sind, um welchen unter den ECUs 1 bis 7 zu ermöglichen, für die Fortbewegung des Fahrzeugs notwendige Grundfunktionen zu implementieren. Die Leiter- ECU 10 bestimmt, ob jede der ECUS 1 bis 7 ausfällt oder nicht. In dem Fall, dass eine der ECUs 1 bis 7 ausfällt, die für die Fortbewegung des Fahrzeugs notwendig ist, überträgt die Leiter-ECU 10 das der ausgefallenen ECU entsprechende Grundprogramm über die Kommunikationsleitungen L an eine der anderen normalen ECUs.
  • Um das Fahrzeug optimal zu steuern, werden Daten zwischen den ECUS 1 bis 7 und 10, den Sensoren 11, 21 und 31, sowie den Stellgliedern 12, 22 und 32 über die Kommunikationsleitungen L und die Kommunikationseinheiten 1b bis 7b, 10b, 11a, 21a, 31a, 12a, 22a und 32a übertragen.
  • Das ausfallsichere System gemäß 2 zeichnet sich durch den folgenden Ausfallsicherungsvorgang aus. In dem Fall, dass eine der ECUS 1 bis 7 ausfällt, wird verhindert, dass das Fahrzeug vollständig angehalten oder betriebsunfähig wird. Im Speziellen arbeitet in einem solchen Fall eine normale ECU (eine nicht ausgefallene ECU) unter den ECUs 1 bis 7 zur Ausführung der notwendigen Funktion der ausgefallenen ECU. Auf diese Weise wird dem Fahrzeug ermöglicht, an einen sicheren Ort oder zu einem Kundendienst zu fahren.
  • Der Speicher in der Leiter-ECU 10 speichert Grundprogramme zur Implementierung der vereinfachten Grundfunktionen der Motor-ECU 1, der Getriebe-ECU 2 und der Fahrsteuerung-ECU 3, die zum Fortbewegen des Fahrzeugs notwendig sind. In dem Fall, dass eine von der ECU 1, der Getriebe-ECU 2 und der Fahrsteuerung-ECU 3 ausfällt, wird das mit dem ausgefallenen Programm in Beziehung stehende Grundprogramm von einer der anderen ECUs (normalen ECUs) ausgeführt. Aus den Grundprogrammen sind Programmsegmente zur Implementierung von Diagnosen und Korrekturen bei der allgemeinen Fahrzeugsteuerung weggelassen. Dementsprechend sind die Größen der Grundprogramme relativ gering.
  • Im Speziellen speichert der Speicher in der Leiter-ECU 10 ein Grundprogramm, das einer Grundfunktion der Motor-ECU 1 entspricht. Das Grundprogramm ist zur Implementierung einer grundlegenden Einspritz-/Zündsteuerung ausgelegt, durch welche die Rate einer Kraftstoffeinspritzung in den Motor und die Zündzeitsteuerung auf vorbestimmte Werte festgelegt werden. Programmsegmente zur Implementierung von Korrekturen der Kraftstoffeinspritzrate und der Zündzeitsteuerung sind aus dem Grundprogramm weggelassen. Gemäß der Ausführung des Grundprogramms werden die Kraftstoffeinspritzdüsen angewiesen, Kraftstoff mit der festgelegten Rate einzuspritzen, während der Zünder angewiesen wird, eine Zündung mit der festgelegten Zündzeitsteuerung bereit zu stellen. Auf diese Weise ermöglicht die Ausführung des Grundprogramms, dass der Motor ein Drehmoment ausgibt, das für die Fortbewegung des Fahrzeugs notwendig ist.
  • Zusätzlich speichert der Speicher in der Leiter-ECU 10 ein Grundprogramm, das einer Grundfunktion der Getriebe-ECU 2 entspricht. Das Grundprogramm ist zur Implementierung einer Steuerung eines festgelegten Übersetzungsverhältnisses ausgelegt, durch die die im Eingriff stehenden Gänge in dem Automatikgetriebe festgelegt werden oder das Getriebeübersetzungsverhältnis auf einen vorbestimmten Wert festgelegt wird. Vorzugsweise entsprechen die im Eingriff stehenden Gänge und das festgelegte Getriebeübersetzungsverhältnis einer niedrigen Geschwindigkeit bzw. Drehzahl. Programmsegmente zur Implementierung einer feinen Übersetzungsverhältnissteuerung sind aus dem Grundprogramm weggelassen. Gemäß der Ausführung des Grundprogramms wird das Automatikgetriebe angewiesen, ein festgelegtes Achsmoment in einer Beziehung zu dem Motordrehmoment bereit zu stellen, das durch die Grundfunktion der Motor-ECU 1 hervorgerufen wird. Auf diese Weise ermöglicht die Ausführung des Grundprogramms, dass sich das Fahrzeug fortbewegt, während verhindert wird, dass der Motor abgewürgt wird bzw. zum Stillstand kommt.
  • Außerdem speichert der Speicher in der Leiter-ECU 10 ein Grundprogramm, das einer Grundfunktion der Fahrsteuerung-ECU 3 entspricht. Das Grundprogramm ist zur Implementierung einer festgelegten Grundbremssteuerung ausgelegt, durch die das Bremsen lediglich ansprechend auf den Grad eines Herabdrückens eines Bremspedals durchgeführt wird. Programmsegmente zur Implementierung von Steuervorgängen auf hoher Ebene, die ABS, ACC, VSC und TRC entsprechen, sind aus dem Grundprogramm weggelassen. Gemäß der Ausführung des Grundprogramms wird verhindert, dass die Bremsvorrichtung unter allgemeinen bzw. gewöhnlichen Fahrzeugfortbewegungsbedingungen deaktiviert bzw. betriebsunfähig wird. Dadurch wird die Sicherheit des Fahrzeugs sichergestellt.
  • Den ECUS 1 bis 7 sind jeweils voreingestellte Prioritätsgrade (voreingestellte Prioritätsniveaus) gegeben. Der Speicher in der Leiter-ECU 10 speichert Informationen über die Prioritätsgrade, die den ECUS 1 bis 7 gegeben sind. Die Leiter-ECU 10 bestimmt das Ziel, an das jedes der Grundprogramme heruntergeladen wird, im Einklang mit der durch die Prioritätsgrade gegebenen Reihenfolge. Die Leiter-ECU 10 überträgt das Grundprogramm an das bestimmte Ziel.
  • Wie gemäß 3 gezeigt ist der höchste Prioritätsgrad „A" der Motor-ECU 1, der Getriebe-ECU 2 und der Fahrsteuerung-ECU 3 gegeben, die für die Fortbewegung des Fahrzeugs notwendig sind. Der zweithöchste Prioritätsgrad „B" ist der ersten Karosserie-ECU 6 gegeben, die für die Fortbewegung des Fahrzeugs notwendig ist. Der mittlere Prioritätsgrad „C", der niedriger ist als der zweithöchste Prioritätsgrad „B", ist der Navigation-ECU 5 gegeben, die die Fahrleistungen des Fahrzeugs verbessert. Der zweitniedrigste Prioritätsgrad „D", der niedriger ist als der mittlere Prioritätsgrad „C", ist der Klimaanlage-ECU 4 gegeben, die den Komfort des Innenraums des Fahrzeugs verbessert. Der niedrigste Prioritätsgrad „E" ist der zweiten Karosserie-ECU 7 gegeben. Die Verarbeitungsgeschwindigkeiten und Speicherkapazitäten der Mikrocomputer 1a bis 7a in der ECU 1 bis 7 sind ebenfalls in 3 angegeben. Der Speicher in der Leiter-ECU 10 speichert Informationen über die Verarbeitungsgeschwindigkeiten und Speicherkapazitäten der Mikrocomputer 1a bis 7a in der ECU 1 bis 7.
  • Wie vorstehend erwähnt speichert der Speicher in der Leiter-ECU 10 die Grundprogramme, die den Grundfunktionen von der Motor-ECU 1, der Getriebe-ECU 2 und der Fahrsteuerung-ECU 3 entsprechen. Wie gemäß 4 gezeigt ist die minimale Verarbeitungsgeschwindigkeit, die für die Ausführung des Grundprogramms notwendig ist, das der Grundfunktion der Motor-ECU 1 entspricht, gleich 7 MIPS und ist die Größe des Grundprogramms gleich 32 KB. Die minimale Verarbeitungsgeschwindigkeit, die für die Ausführung des Grundprogramms notwendig ist, das der Grundfunktion der Getriebe-ECU 2 entspricht, ist gleich 5 MIPS und die Größe des Grundprogramms ist gleich 16 KB. Die minimale Verarbeitungsgeschwindigkeit, die für die Ausführung des Grundprogramms notwendig ist, das der Grundfunktion der Fahrsteuerung-ECU 3 entspricht, ist gleich 3 MIPS und die Größe des Grundprogramms ist gleich 16 KB. Der Speicher in der Leiter-ECU 10 speichert Informationen über die minimalen Verarbeitungsgeschwindigkeiten, die für die Ausführung der Grundprogramme notwendig sind, die den Grundfunktionen von der Motor-ECU 1, der Getriebe-ECU 2 und der Fahrsteuerung-ECU 3 entsprechen. Außerdem speichert der Speicher in der Leiter-ECU 10 Informationen über die Größen der Grundprogramme, die den Grundfunktionen von der Motor-ECU 1, der Getriebe-ECU 2 und der Fahrsteuerung-ECU 3 entsprechen.
  • Unter Bezugnahme auf 5 bezieht sich die Leiter-ECU 10 in dem Fall, dass die Getriebe-ECU 2 ausfällt, auf die minimale Verarbeitungsgeschwindigkeit (5 MIPS), die für die Ausführung des Grundprogramms notwendig ist, das der Grundfunktion der Getriebe-ECU 2 entspricht, und auch auf die Größe (16 KB) des Grundprogramms, und wählt sie auf Grundlage der minimalen Verarbeitungsgeschwindigkeit und der Grundprogrammgröße eine aus den ECUS 1 und 3 bis 7 als Ersatz für die ausgefallene Getriebe-ECU 2 aus. Die Ersatz-ECU muss eine Kapazität zur Speicherung des Grundprogramms basierend auf einem Herunterladen und eine Fähigkeit zur Ausführung des Grundprogramms aufweisen. Ausführlicher ausgedrückt ist es erforderlich, dass die Ersatz-ECU eine Verarbeitungsgeschwindigkeit aufweist, die gleich oder größer der minimalen Verarbeitungsgeschwindigkeit (5 MIPS) ist, und eine Speicherkapazität aufweist, die gleich oder größer der Grundprogrammgröße (16 KB) ist. Die Ersatz-ECU entspricht einem Ziel, an das das Grundprogramm von der Leiter-ECU 10 heruntergeladen wird.
  • Im Speziellen ist es erforderlich, dass das auszuwählende Herunterladeziel einen niedrigeren Prioritätsgrad aufweist als die Getriebe-ECU 2 (Prioritätsgrad „A"). Daher werden die erste Karosserie-ECU 6 (Prioritätsgrad „B"), die Navigation-ECU 5 (Prioritätsgrad „C"), die Klimaanlage-ECU 4 (Prioritätsgrad „D") und die zweite Karosserie-ECU 7 (Prioritätsgrad „E") vorläufig ausgewählt, die in ihrem Prioritätsgrad niedriger sind als die Getriebe-ECU 2. Unter den ECUs 4 bis 7 werden weiterhin die Navigation-ECU 5 und die Klimaanlage-ECU 4 als welche ausgewählt, die die Anforderungen bezüglich der minimalen Verarbeitungsgeschwindigkeit und der Grundprogrammgröße erfüllen. Es wird eine der ECUs 4 und 5 ausgewählt, die den niedrigsten Prioritätsgrad aufweist. Daher wird schließlich die Klimaanlage-ECU 4 als das Herunterladeziel ausgewählt.
  • Anschließend überträgt die Leiter-ECU 10 das Grundprogramm, das der Grundfunktion der Getriebe-ECU 2 entspricht, an die Klimaanlage-ECU 4, so dass das Grundprogramm in die Klimaanlage-ECU 4 heruntergeladen wird. Die Klimaanlage-ECU 4 führt das heruntergeladene Grundprogramm aus. Gemäß dem heruntergeladenen Grundprogramm empfängt die Klimaanlage-ECU 4 über die Kommunikationsleitungen L die Sensorausgabesignale, die ursprünglich an die Getriebe-ECU 2 gerichtet sind, und erzeugt sie Ansteuersignale in Erwiderung auf die empfangenen Sensorausgabesignale. Die Klimaanlage-ECU 4 überträgt die Ansteuersignale an die Stellglieder, die ursprünglich der Getriebe-ECU 2 zugeordnet sind. Als Ergebnis hiervon arbeitet die Klimaanlage-ECU 4 für die Grundfunktion der Getriebe-ECU 2, was notwendig ist, um dem Fahrzeug eine Fortbewegung zu ermöglichen. Daher kann das Fahrzeug an einen sicheren Ort oder zu einem Kundendienst bewegt werden.
  • In dem Fall, dass die Motor-ECU 1 ausfällt, bezieht sich die Leiter-ECU 10 auf die minimale Verarbeitungsgeschwindigkeit (7 MIPS), die für die Ausführung des Grundprogramms notwendig ist, das der Grundfunktion der Motor-ECU 1 entspricht, und auch auf die Größe (32 KB) des Grundprogramms, und wählt sie auf Grundlage der minimalen Verarbeitungsgeschwindigkeit und der Grundprogrammgröße eine aus den ECUS 2 bis 7 als Ersatz für die ausgefallene Motor-ECU 1 aus. Die Ersatz-ECU muss eine Kapazität zur Speicherung des Grundprogramms basierend auf einem Herunterladen und eine Fähigkeit zur Ausführung des Grundprogramms aufweisen. Ausführlicher ausgedrückt ist es erforderlich, dass die Ersatz-ECU eine Verarbeitungsgeschwindigkeit aufweist, die gleich oder größer der minimalen Verarbeitungsgeschwindigkeit (7 MIPS) ist, und eine Speicherkapazität aufweist, die gleich oder größer der Grundprogrammgröße (32 KB) ist. Die Ersatz-ECU entspricht einem Ziel, an das das Grundprogramm von der Leiter-ECU 10 heruntergeladen wird.
  • Im Speziellen ist es erforderlich, dass das auszuwählende Herunterladeziel einen niedrigeren Prioritätsgrad aufweist als die Motor-ECU 1 (Prioritätsgrad „A"). Daher werden die erste Karosserie-ECU 6 (Prioritätsgrad „B"), die Navigation-ECU 5 (Prioritätsgrad „C"), die Klimaanlage-ECU 4 (Prioritätsgrad „D") und die zweite Karosserie-ECU 7 (Prioritätsgrad „E") vorläufig ausgewählt, die in ihrem Prioritätsgrad niedriger sind als die Motor-ECU 1. Unter den ECUS 4 bis 7 wird weiterhin die Navigation-ECU 5 als eine ausgewählt, die die Anforderungen bezüglich der minimalen Verarbeitungsgeschwindigkeit und der Grundprogrammgröße erfüllt. Daher wird schließlich die Navigation-ECU 5 als das Herunterladeziel ausgewählt.
  • Anschließend überträgt die Leiter-ECU 10 das Grundprogramm, das der Grundfunktion der Motor-ECU 1 entspricht, an die Navigation-ECU 5, so dass das Grundprogramm in die Navigation-ECU 5 heruntergeladen wird. Die Navigation-ECU 5 führt das heruntergeladene Grundprogramm aus. Gemäß dem heruntergeladenen Grundprogramm empfängt die Navigation-ECU 5 über die Kommunikationsleitungen L die Sensorausgabesignale, die ursprünglich an die Motor-ECU 1 gerichtet sind, und erzeugt sie Ansteuersignale in Erwiderung auf die empfangenen Sensorausgabesignale. Die Navigation-ECU 5 überträgt die Ansteuersignale an die Stellglieder, die ursprünglich der Motor-ECU 1 zugeordnet sind. Als Ergebnis hiervon arbeitet die Navigation-ECU 5 für die Grundfunktion der Motor-ECU 1, was notwendig ist, um dem Fahrzeug eine Fortbewegung zu ermöglichen. Dadurch kann das Fahrzeug an einen sicheren Ort oder zu einem Kundendienst bewegt werden.
  • In dem Fall, dass die Fahrsteuerung-ECU 3 ausfällt, bezieht sich die Leiter-ECU 10 auf die minimale Verarbeitungsgeschwindigkeit (3 MIPS), die für die Ausführung des Grundprogramms notwendig ist, das der Grundfunktion der Fahrsteuerung-ECU 3 entspricht, und auch auf die Größe (16 KB) des Grundprogramms, und wählt sie auf Grundlage der minimalen Verarbeitungsgeschwindigkeit und der Grundprogrammgröße eine aus den ECUs 1 bis 2 und 4 bis 7 als Ersatz für die ausgefallene Fahrsteuerung-ECU 3 aus. Die Ersatz-ECU muss eine Kapazität zur Speicherung des Grundprogramms basierend auf einem Herunterladen und einer Fähigkeit zur Ausführung des Grundprogramms aufweisen. Ausführlicher ausgedrückt ist es erforderlich, dass die Ersatz-ECU eine Verarbeitungsgeschwindigkeit aufweist, die gleich oder größer der minimalen Verarbeitungsgeschwindigkeit (3 MIPS) ist, und eine Speicherkapazität aufweist, die gleich oder größer der Grundprogrammgröße (16 KB) ist. Die Ersatz-ECU entspricht einem Ziel, an das das Grundprogramm von der Leiter-ECU 10 heruntergeladen wird.
  • Im Speziellen ist es erforderlich, dass das auszuwählende Herunterladeziel einen niedrigeren Prioritätsgrad aufweist als die Fahrsteuerung-ECU 3 (Prioritätsgrad „A"). Daher werden die erste Karosserie-ECU 6 (Prioritätsgrad „B"), die Navigation-ECU 5 (Prioritätsgrad „C"), die Klimaanlage-ECU 4 (Prioritätsgrad „D") und die zweite Karosserie-ECU 7 (Prioritätsgrad „E") vorläufig ausgewählt, die in ihrem Prioritätsgrad niedriger sind als die Fahrsteuerung-ECU 3. Unter den ECUS 4 bis 7 werden weiterhin die Navigation-ECU 5 und die Klimaanlage-ECU 4 als welche ausgewählt, die die Anforderungen bezüglich der minimalen Verarbeitungsgeschwindigkeit und der Grundprogrammgröße erfüllen. Eine der ECUS 4 und 5, die den niedrigsten Prioritätsgrad aufweist, wird ausgewählt. Daher wird schließlich die Klimaanlage-ECU 4 als das Herunterladeziel ausgewählt.
  • Anschließend überträgt die Leiter-ECU 10 das Grundprogramm, das der Grundfunktion der Fahrsteuerung-ECU 3 entspricht, an die Klimaanlage-ECU 4, so dass das Grundprogramm in die Klimaanlage-ECU 4 heruntergeladen wird. Die Klimaanlage-ECU 4 führt das heruntergeladene Grundprogramm aus. Gemäß dem heruntergeladenen Grundprogramm empfängt die Klimaanlage-ECU 4 über die Kommunikationsleitungen L die Sensorausgabesignale, die ursprünglich an die Fahrsteuerung-ECU 3 gerichtet sind, und erzeugt sie Ansteuersignale in Erwiderung auf die empfangenen Sensorausgabesignale. Die Klimaanlage-ECU 4 überträgt die Ansteuersignale an die Stellglieder, die ursprünglich der Fahrsteuerung-ECU 3 zugeordnet sind. Als Ergebnis hiervon arbeitet die Klimaanlage-ECU 4 für die Grundfunktion der Fahrsteuerung-ECU 3, was notwendig ist, um dem Fahrzeug eine Fortbewegung zu ermöglichen. Demnach kann das Fahrzeug an einen sicheren Ort oder zu einem Kundendienst bewegt werden.
  • Die Leiter-ECU 10 arbeitet im Einklang mit einem Steuerprogramm, das in ihrem internen Speicher gespeichert ist. 6 ist ein Ablaufdiagramm eines Segments des Steuerprogramms, das gestartet wird, wenn der Zündschalter in seine EIN-Stellung umgeschaltet wird.
  • Unter Bezugnahme auf 6 liest ein erster Schritt S110 des Programmsegments Informationen (Ausfallinformationen) über Ausfälle von den ECUS 1 bis 7 oder ruft diese ab, welche gespeichert wurden, als der Motor zuletzt angehalten wurde, oder als der Zündschlüssel zuletzt in seine AUS-Stellung umgeschaltet wurde.
  • Ein Schritt S120, der auf Schritt S110 folgt, bestimmt, ob die ECUS 1 bis 7 eine ausgefallene ECU beinhalten oder nicht, indem auf die Ausfallinformationen Bezug genommen wird. Beinhalten die ECUs 1 bis 7 keine ausgefallene ECU, schreitet das Programm von dem Schritt S120 zu einem Schritt S180 fort. Beinhalten die ECUS 1 bis 7 andererseits eine ausgefallene ECU, schreitet das Programm von dem Schritt S120 zu einem Block S130 fort, um eine Herunterladeziel-ECU auszuwählen.
  • Folglich wird die Ausführung der Bestimmung dahingehend, ob die ECUS 1 bis 7 eine ausgefallene ECU beinhalten oder nicht, durch die Umschaltung des Zündschlüssels in seine EIN-Stellung veranlasst. Dementsprechend kann ein Herunterladen eines Grundprogramms zu einem Zeitpunkt des Anlassens des Motors durchgeführt werden, für den Lasten auf den ECUs 1 bis 7 relativ gering sind.
  • Der Schritt S180 überträgt Signale an die ECUs 1 bis 7, die diese anweisen, in übliche bzw. gewöhnlichen Steuermodi zu arbeiten. Mit anderen Worten weist der Schritt S180 die ECUS 1 bis 7 an, in den üblichen Steuermodi zu arbeiten. In Erwiderung auf die Anweisungssignale beginnen die ECUs 1 bis 7 mit einem Betrieb in den üblichen Steuermodi. In diesem Fall implementieren die ECUs 1 bis 7 übliche Steuervorgänge. Nach dem Schritt S180 schreitet das Programm zu einem Schritt S190 fort.
  • Der Schritt S190 implementiert eine gewöhnliche Überwachungsbetriebsart. Der Schritt S190 überwacht Betriebsbedingungen der ECUS 1 bis 7, um Informationen über Ausfälle von diesen zu erhalten.
  • Ein Schritt S200, der dem Schritt S190 nachfolgt, bestimmt, ob Informationen vorhanden sind oder nicht, die einen Ausfall von zumindest einer der ECUs 1 bis 7 darstellen. Sind keine Informationen vorhanden, die einen Ausfall von zumindest einer der ECUS 1 bis 7 darstellen, kehrt das Programm von dem Schritt S200 zu dem Schritt S190 zurück. Sind andererseits Informationen vorhanden, die einen Ausfall von zumindest einer der ECUS 1 bis 7 darstellen, schreitet das Programm von dem Schritt S200 zu einem Schritt S210 fort.
  • Der Schritt S210 überträgt Anweisungssignale an die ECUS 1 bis 7, die diese zwingen, ihre Steuervorgänge zu unterbrechen bzw. einzustellen, um die Sicherheit des Fahrzeugs aufrecht zu erhalten. Mit anderen Worten weist der Schritt S210 die ECUs 1 bis 7 an, ihre Steuervorgänge zu unterbrechen. In Erwiderung auf die Anweisungssignale unterbrechen die ECUs 1 bis 7 ihre Steuervorgänge. Vorzugsweise aktiviert der Schritt S210 einen Sprachgenerator (einen Sprachsynthesizer), um den Fahrzeugfahrer hörbar zu informieren, dass sich der Ausfall einer ECU ereignet.
  • Ein Schritt S220, der auf den Schritt S210 folgt, speichert die Informationen über die ausgefallene ECU in dem nichtflüchtigen Speicher. Nach dem Schritt S220 endet der aktuelle Ausführungszyklus des Programmsegments.
  • Wie gemäß 7 gezeigt weist der Herunterladeziel-Auswahlblock S130 Schritte S310, S320, S330 und S340 auf. Der Schritt S310 folgt dem Schritt S120 gemäß 6. Der Schritt S310 identifiziert im Einklang mit den Ausfallinformationen die ausgefallene ECU unter den ECUS 1 bis 7. Der Schritt S310 liest die Informationen über die minimale Verarbeitungsgeschwindigkeit, die für die Ausführung des Grundprogramms notwendig ist, das der Grundfunktion der ausgefallenen ECU entspricht, aus dem Speicher. Zusätzlich liest der Schritt S310 die Informationen über die Größe des Grundprogramms, das der Grundfunktion der ausgefallenen ECU entspricht, aus dem Speicher.
  • Der Schritt S320, der dem Schritt S310 folgt, liest die Informationen über die Prioritätsgrade, die den ECUs 1 bis 7 gegeben sind, aus dem Speicher. Der Schritt S320 gruppiert die ECUS 1 bis 7 durch Bezugnahme auf die Ausfallinformationen in eine ausgefallene und normale. Der Schritt S320 wählt normale ECUS aus den ECUS 1 bis 7 aus, die in ihrem Prioritätsgrad niedriger sind als die ausgefallene ECU.
  • Der Schritt S330, der dem Schritt S320 nachfolgt, liest die Informationen über die Verarbeitungsgeschwindigkeiten und Speicherkapazitäten der normalen ECUs, die durch den Schritt S320 ausgewählt werden, aus dem Speicher. Unter den normalen ECUs, die durch den Schritt S320 ausgewählt werden, wählt der Schritt S330 solche aus, die Speicherkapazitäten aufweisen, die gleich oder größer der Größe des Grundprogramms sind, das der Grundfunktion der ausgefallenen ECU entspricht, und die Verarbeitungsgeschwindigkeiten aufweisen, die gleich oder größer der minimalen Verarbeitungsgeschwindigkeit sind, die für die Ausführung des Grundprogramms notwendig ist, das der Grundfunktion der ausgefallenen ECU entspricht.
  • Der Schritt S340 folgt dem Schritt S330. Unter den ECUS, die durch den Schritt S330 ausgewählt werden, wählt der Schritt S340 eine, die den niedrigsten Prioritätsgrad aufweist, als eine Herunterladeziel-ECU aus. Der Schritt S340 wird von einem Schritt S140 gemäß 6 gefolgt.
  • Unter Bezugnahme auf 6 bestimmt der Schritt S140, ob von dem Herunterladeziel-Auswahlblock S130 eine Herunterladeziel-ECU erfolgreich gefunden wurde oder nicht. Wurde eine Herunterladeziel-ECU erfolgreich gefunden, schreitet das Programm von dem Schritt S140 zu einem Schritt S150 fort. Andernfalls schreitet das Programm von dem Schritt S140 zu dem Schritt S180 fort.
  • Der Schritt S150 überträgt ein Signal an die Herunterladeziel-ECU, welches anweist, dass der Betrieb der Herunterladeziel-ECU in einen Programmschreibmodus wechselt. Mit anderen Worten weist der Schritt S150 die Herunterladeziel-ECU an, ihren Betrieb in den Programmschreibmodus zu wechseln. In Erwiderung auf das Anweisungssignal beginnt die Herunterladeziel-ECU damit, in dem Programmschreibmodus zu arbeiten.
  • Ein Schritt S160, der dem Schritt S150 nachfolgt, überträgt das Grundprogramm, das der Grundfunktion der ausgefallenen ECU entspricht, als ein Ersatzprogramm an die Herunterladeziel-ECU. Das übertragene Grundprogramm, (das übertragene Ersatzprogramm) wird in die Herunterladeziel-ECU installiert. Ist die Installation des Grundprogramms abgeschlossen, überträgt die Herunterladeziel-ECU ein Schreibendesignal. Nach dem Schritt S160 schreitet das Programm zu einem Schritt S170 fort.
  • Der Schritt S170 bestimmt, ob das Schreibendesignal von der Herunterladeziel-ECU empfangen wurde oder nicht. Wurde das Schreibendesignal empfangen, schreitet das Programm von dem Schritt S170 zu dem Schritt S180 fort. Andernfalls wird der Schritt S170 wiederholt.
  • Wie vorstehend erwähnt weist der Schritt S180 die ECUS 1 bis 7 an, in den üblichen Steuermodi zu arbeiten. Daraufhin implementiert der Schritt S190 die gewöhnliche Überwachungsbetriebsart. Der Schritt S190 überwacht Betriebsbedingungen der ECUs 1 bis 7, um Informationen über Ausfälle von diesen zu erhalten. Im Speziellen überträgt der Schritt S190 Testsignale an die ECUS 1 bis 7. Der Schritt S190 erhält Informationen über Ausfälle der ECUS 1 bis 7 aus ihren Antworten auf die Testsignale. Wahlweise kann der Schritt S190 Informationen über Ausfälle der ECUS 1 bis 7 auf der Grundlage von einem Ausfall angebenden Signalen erhalten, die spontan von den ECUS 1 bis 7 ausgegeben werden.
  • Anschließend bestimmt der Schritt S200, ob Informationen vorhanden sind oder nicht, die einen Ausfall von zumindest einer der ECUs 1 bis 7 darstellen. Sind keine Informationen vorhanden, die einen Ausfall von zumindest einer der ECUS 1 bis 7 darstellen, kehrt das Programm von dem Schritt S200 zu dem Schritt S190 zurück. Sind andererseits Informationen vorhanden, die einen Ausfall von zumindest einer der ECUS 1 bis 7 darstellen, schreitet das Programm von dem Schritt S200 zu dem Schritt S210 fort. Wie vorstehend erwähnt weist der Schritt S210 die ECUS 1 bis 7 an, ihre Steuervorgänge zu unterbrechen, um die Sicherheit des Fahrzeugs aufrecht zu erhalten. Vorzugsweise aktiviert der Schritt S210 den Sprachgenerator (den Sprachsynthesizer), um den Fahrzeugfahrer hörbar zu informieren, dass sich der Ausfall einer ECU ereignet. Danach speichert der Schritt S220 die Informationen über die ausgefallene ECU in den nichtflüchtigen Speicher. Nach dem Schritt S220 endet der aktuelle Ausführungszyklus des Programmsegments.
  • In dem Fall, dass die ausgefallene ECU die Fortbewegung des Fahrzeugs nicht behindert, kann der Schritt S210 eine Ausgabe der Anweisungssignale zum Zwingen der ECUs 1 bis 7, ihre Steuervorgänge zu unterbrechen, unterlassen.
  • Jede der ECUs 1 bis 7 arbeitet im Einklang mit einem Steuerprogramm, das in ihrem internen Speicher des elektrisch löschbaren programmierbaren Typs gespeichert ist. 8 ist ein Ablaufdiagramm eines Untersegments des Steuerprogramms, das gestartet wird, wenn der Zündschalter in seine EIN-Stellung umgeschaltet wird. Das Steuerprogramm hat ein Hauptsegment zur Implementierung der Hauptarbeit (des Steuervorgangs), die der vorliegenden ECU zugeordnet ist.
  • Unter Bezugnahme auf 8 bestimmt ein erster Schritt S410 des Programmuntersegments, ob ein Anweisungssignal zum Wechseln des Betriebs der vorliegenden ECU in den Programmschreibmodus von der Leiter-ECU 10 empfangen wurde oder nicht. Wurde das Anweisungssignal empfangen, schreitet das Programm von dem Schritt S410 zu einem Schritt S420 fort. Andernfalls schreitet das Programm von dem Schritt S410 zu einem Schritt S450 fort.
  • Der Schritt S420 löscht das Hauptsegment des Steuerprogramms aus dem Speicher, um einen nutzbaren Bereich darin bereit zu stellen. Im Speziellen initialisiert der Schritt S420 einen Teil des Speichers, der das Hauptsegment des Steuerprogramms speichert.
  • Ein Schritt S430, der dem Schritt S420 nachfolgt, empfängt das Grundprogramm (das Ersatzprogramm) von der Leiter-ECU 10. Der Schritt S430 schreibt das empfangene Grundprogramm in den nutzbaren Bereich in dem Speicher als ein neues Hauptsegment des Steuerprogramms. Wenn das Schreiben des Grundprogramms abgeschlossen ist, schreitet das Programm von dem Schritt S430 zu einem Schritt S440 fort.
  • Der Schritt S440 überträgt ein Schreibendesignal an die Leiter-ECU 10. Nach dem Schritt S440 schreitet das Programm zu einem Schritt S460 fort.
  • Der Schritt S460 weist die Ausführung des Hauptsegments des Steuerprogramms an. Als Ergebnis hiervon wird das Hauptsegment des Steuerprogramms von der vorliegenden ECU ausgeführt. Demnach arbeitet die vorliegende ECU in dem Fall, dass das ursprüngliche Hauptsegment des Steuerprogramms durch das Ersatzprogramm ersetzt wurde, für die ausgefallene ECU. Somit wird dem Fahrzeug eine Fortbewegung ermöglicht. Andererseits implementiert die vorliegende ECU in dem Fall, dass das ursprüngliche Hauptsegment des Steuerprogramms bleibt, den dadurch festgesetzten Steuervorgang. Nach dem Schritt S460 endet der aktuelle Ausführungszyklus des Programmuntersegments.
  • Der Schritt S450 bestimmt, ob von der Leiter-ECU 10 ein Signal empfangen wurde oder nicht, das die vorliegende ECU anweist, in dem üblichen Steuermodus zu arbeiten. Wurde das Anweisungssignal empfangen, schreitet das Programm von dem Schritt S450 zu dem Schritt S460 fort. Andernfalls kehrt das Programm von dem Schritt S450 zu dem Schritt S410 zurück.
  • Wie vorhergehend erwähnt weist der Schritt S460 die Ausführung des Hauptsegments des Steuerprogramms an. Daher wird das Hauptsegment des Steuerprogramms ausgeführt und wird der zugehörige Steuervorgang implementiert. Nach dem Schritt S460 endet der aktuelle Ausführungszyklus des Programmuntersegments.
  • Das ausfallsichere System gemäß 2 weist die folgenden Merkmale auf. Die voreingestellten Prioritätsgrade werden jeweils den ECUS 1 bis 7 gegeben. Die ECUS 1 bis 7 weisen vorbestimmte Verarbeitungsgeschwindigkeiten und Speicherkapazitäten auf. Die Motor-ECU 1, die Getriebe-ECU 2 und die Fahrsteuerung-ECU sind für die Fortbewegung des Fahrzeugs notwendig. In dem Fall, dass die Leiter-ECU 10 einen Ausfall von einer der ECUS 1 bis 3 erfasst, bestimmt die Leiter-ECU 10 normale der ECUS 1 bis 7 und wählt sie eine aus den normalen ECUS gemäß den Prioritätsgraden, den Verarbeitungsgeschwindigkeiten und den Speicherkapazitäten aus. Die Leiter-ECU 10 lädt das Grundprogramm, das der Grundfunktion der ausgefallenen ECU entspricht, in die ausgewählte ECU herunter. Somit arbeitet die ausgewählte ECU für die ausgefallene ECU, und treibt und steuert sie die der ausgefallenen ECU zugeordneten Stellglieder.
  • Dadurch wird in dem Fall, dass eine der ECUS 1 bis 3 ausfällt, dem Fahrzeug ermöglicht, eine Fortbewegung fortzusetzen. Dementsprechend kann das Fahrzeug an einen sicheren Ort oder zu einem Kundendienst bewegt werden.
  • Durch die Leiter-ECU 10 können nicht nur die ECUs 1 bis 7, sondern auch andere ECUS gesteuert werden. Beliebige unter den ECUs 1 bis 7 können von einem Systemdesigner bzw. -gestalter willkürlich als ECUs bezeichnet werden, die für die Fortbewegung des Fahrzeugs notwendig sind. Der Speicher in der Leiter-ECU 10 kann ferner die Grundprogramme speichern, die den Grundfunktionen von anderen ECUs als denjenigen entsprechen, die für die Fortbewegung des Fahrzeugs notwendig sind. Das Grundprogramm kann in einen ungenutzten Bereich des Speichers in der Herunterladeziel-ECU geschrieben werden. Ausfälle von den ECUS 1 bis 7 können durch wechsel- bzw. gegenseitige Überwachungsvorgänge erfasst werden, die durch die ECUS 1 bis 7 implementiert werden. Vorzugsweise weisen die Kommunikationsleitungen L zwei Drähte auf. Die Kommunikationsleitungen L können durch eine eindrahtige Kommunikationsleitung ersetzt werden. Die Verarbeitungsgeschwindigkeiten und Speicherkapazitäten von den ECUs 1 bis 7 können gleich Werten sein, die sich von denjenigen gemäß 3 unterscheiden.
  • Ein ausfallsicheres bzw. Ausfallsicherungssystem, das bei einer integrierten Steuerung eines Fahrzeugs verwendet wird, umfasst Bauelement-Steuerabschnitte. Voreingestellte Prioritätsgrade werden jeweils den Bauelement-Steuerabschnitten gegeben. Ein Leiter-Steuerabschnitt speichert ein oder mehrere Ersatzprogramme, die zur Implementierung von Funktionen von solchen unter den Bauelement-Steuerabschnitten ausgelegt sind, die für eine Fortbewegung des Fahrzeugs notwendig sind. Eine Herunterladeeinrichtung fungiert, wenn einer der Bauelement-Steuerabschnitte ausfällt, der für eine Fortbewegung des Fahrzeugs notwendig ist, zum Auswählen von einem aus nicht ausgefallenen der Bauelement-Steuerabschnitte als Herunterladeziel gemäß den Prioritätsgraden und zum Herunterladen des Ersatzprogramms, das dem ausgefallenen Bauelement-Steuerabschnitt entspricht, in den ausgewählten Herunterladeziel-Bauelement-Steuerabschnitt. Der ausgewählte Herunterladeziel-Bauelement-Steuerabschnitt weist einen niedrigeren Prioritätsgrad auf als der ausgefallene Bauelement-Steuerabschnitt. Der Herunterladeziel-Bauelement-Steuerabschnitt arbeitet gemäß dem heruntergeladenen Ersatzprogramm für den ausgefallenen Bauelement-Steuerabschnitt.

Claims (17)

  1. Ausfallsicheres System, das bei einer integrierten Steuerung eines Fahrzeugs verwendet wird, mit: einer Vielzahl von Eingabe-Ausgabe-Elementen (11, 12, 21, 22, 31, 32); einer Vielzahl von Bauelement-Steuerabschnitten (1 bis 7) zum Betrieb mit den Eingabe-Ausgabe-Elementen jeweils gemäß voreingestellten Steuerprogrammen, wobei den Bauelement-Steuerabschnitten (1 bis 7) jeweils voreingestellte Prioritätsgrade gegeben sind; einem Leiter-Steuerabschnitt (10) zum Speichern von einem oder mehreren Ersatzprogrammen, die zur Implementierung von Funktionen von solchen unter den Bauelement-Steuerabschnitten (1 bis 7) ausgelegt sind, die für eine Fortbewegung des Fahrzeugs notwendig sind; einer Kommunikationsleitung (L); wobei solche unter den Eingabe-Ausgabe-Elementen (11, 12, 21, 22, 31, 32), die für eine Fortbewegung des Fahrzeugs notwendig sind, die Bauelement-Steuerabschnitte (1 bis 7) und der Leiter-Steuerabschnitt (10) mit der Kommunikationsleitung (L) verbunden sind, um Kommunikationen unter diesen zu implementieren; einer Ausfallerfassungseinrichtung (10) zum Erfassen von Ausfällen von den Bauelement-Steuerabschnitten (1 bis 7); gekennzeichnet durch eine Herunterladeeinrichtung zum Auswählen, wenn die Ausfallerfassungseinrichtung (10) einen Ausfall von einem der Bauelement-Steuerabschnitte (1 bis 7) erfasst, der für eine Fortbewegung des Fahrzeugs notwendig ist, von einem aus nicht ausgefallenen Bauelement- Steuerabschnitten (1 bis 7) als Herunterladeziel gemäß den Prioritätsgraden und zum Herunterladen des Ersatzprogramms, das dem ausgefallenen Bauelement-Steuerabschnitt entspricht, in den ausgewählten Herunterladeziel-Bauelement-Steuerabschnitt, wobei der ausgewählte Herunterladeziel-Bauelement-Steuerabschnitt einen niedrigeren Prioritätsgrad aufweist als der ausgefallene Bauelement-Steuerabaschnitt; wobei der Herunterladeziel-Bauelement-Steuerabschnitt gemäß dem herunter geladenen Ersatzprogramm für den ausgefallene Bauelement-Steuerabschnitt arbeitet.
  2. Ausfallsicheres System gemäß Anspruch 1, wobei die Eingabe-Ausgabe-Elemente Stellglieder (12, 22, 32) und Sensoren (11, 21, 31) umfassen.
  3. Ausfallsicheres System gemäß Anspruch 1 oder 2, wobei die Eingabe-Ausgabe-Elemente aufweisen: eine Vielzahl von Stellgliedern (12, 22, 32) zum jeweiligen Betätigen einer Vielzahl von Bauelementen, die an dem Fahrzeug bereitgestellt sind; eine Vielzahl von Sensoren (11, 21, 31) zum jeweiligen Erfassen von Zustandsgrößen, die bei Steuerung eines Betriebs der Bauelemente verwendet werden; wobei die Vielzahl von Bauelement-Steuerabschnitten (1 bis 7) angepasst ist zum jeweiligen Ansteuern und Steuern der Stellglieder auf Grundlage der durch die Sensoren erfassten Zustandsgrößen gemäß den voreingestellten Steuerprogrammen; wobei Stellglieder und Sensoren unter den Stellgliedern (12, 22, 32) und den Sensoren (11, 21, 31), die für eine Fortbewegung des Fahrzeugs notwendig sind, die Bauelement-Steuerabschnitte (1 bis 7) und der Leiter-Steuerabschnitt (10) mit der Kommunikationsleitung (L) verbunden sind, um Kommunikationen unter diesen zu implementieren; und wobei der Herunterladeziel-Bauelement-Steuerabschnitt das Stellglied, das dem ausgefallenen Bauelement-Steuerabschnitt entspricht, auf Grundlage der Zustandsgröße, die durch den Sensor erfasst wird, der dem ausgefallenen Bauelement-Steuerabschnitt entspricht, gemäß dem herunter geladenen Ersatzprogramm ansteuert und steuert.
  4. Ausfallsicheres System gemäß Anspruch 3, wobei die Ersatzprogramme Grundprogramme umfassen, die zur Implementierung Grundfunktionen von solchen unter den Bauelement-Steuerabschnitten ausgelegt sind, die für eine Fortbewegung des Fahrzeugs notwendig sind.
  5. Ausfallsicheres System gemäß Anspruch 3, wobei solche unter den Bauelement-Steuerabschnitten, die für eine Fortbewegung des Fahrzeugs notwendig sind, eine elektronische Steuereinheit zur Steuerung eines Motors als ein Bauelement umfassen.
  6. Ausfallsicheres System gemäß Anspruch 4, wobei solche unter den Bauelement-Steuerabschnitten, die für eine Fortbewegung des Fahrzeugs notwendig sind, eine elektronische Steuereinheit zur Steuerung eines Motors als ein Bauelement umfassen, und eine Grundfunktion der elektronischen Steuereinheit eine Kraftstoffeinspritzrate und eine Zündzeitsteuerung festlegt.
  7. Ausfallsicheres System gemäß Anspruch 3, wobei solche unter den Bauelement-Steuerabschnitten, die für eine Fortbewegung des Fahrzeugs notwendig sind, eine elektronische Steuereinheit zur Steuerung eines Automatikgetriebes als ein Bauelement umfassen.
  8. Ausfallsicheres System gemäß Anspruch 4, wobei solche unter den Bauelement-Steuerabschnitten, die für eine Fortbewegung des Fahrzeugs notwendig sind, eine elektronische Steuereinheit zur Steuerung eines Automatikgetriebes als ein Bauelement umfassen, und eine Grundfunktion der elektronischen Steuereinheit ein Übersetzungsverhältnis in dem Automatikgetriebe festlegt.
  9. Ausfallsicheres System gemäß Anspruch 3, wobei solche unter den Bauelement-Steuerabschnitten, die für eine Fortbewegung des Fahrzeugs notwendig sind, eine elektronische Steuereinheit zur Steuerung einer Bremsvorrichtung als ein Bauelement umfassen.
  10. Ausfallsicheres System gemäß Anspruch 4, wobei solche unter den Bauelement-Steuerabschnitten, die für eine Fortbewegung des Fahrzeugs notwendig sind, eine elektronische Steuereinheit zur Steuerung eine Bremsvorrichtung als ein Bauelement umfassen, und eine Grundfunktion der elektronischen Steuereinheit eine Steuerung der Bremsvorrichtung lediglich in Erwiderung auf einen Grad eines Herabdrückens eines Bremspedals implementiert.
  11. Ausfallsicheres System gemäß Anspruch 3, wobei die Prioritätsgrade voreingestellt sind in einer Reihenfolge von Bauelement-Steuerabschnitten, die für eine Fortbewegung des Fahrzeugs notwendig sind, Bauelement-Steuerabschnitten, die Fahrleistungen des Fahrzeugs verbessern, Bauelement-Steuerabschnitten, die einen Komfort des Fahrzeugs erhöhen, und anderen Bauelement-Steuerabschnitten.
  12. Ausfallsicheres System gemäß Anspruch 3, wobei der Herunterladeziel-Bauelement-Steuerabschnitt, der durch die Herunterladeeinrichtung ausgewählt wird, eine Verarbeitungsgeschwindigkeit aufweist, die zur Implementierung der Funktion des ausgefallenen Bauelement-Steuerabschnitts notwendig ist, und eine Speicherkapazität aufweist, die zur Speicherung des Ersatzprogramms notwendig ist, das dem ausgefallenen Bauelement-Steuerabschnitt entspricht.
  13. Ausfallsicheres System gemäß Anspruch 12, wobei der Herunterladeziel-Bauelement-Steuerabschnitt, der durch die Herunterladeeinrichtung ausgewählt wird, den niedrigsten Prioritätsgrad aufweist.
  14. Ausfallsicheres System gemäß Anspruch 3, wobei die Herunterladeeinrichtung eine Einrichtung zum Löschen eines Hauptsteuerprogramms aus einem Speicherbereich in dem Herunterladeziel-Bauelement-Steuerabschnitt und zum Schreiben des Ersatzprogramms dort hinein aufweist.
  15. Ausfallsicheres System gemäß Anspruch 3, wobei der Leiter-Steuerabschnitt Informationen über den ausgefallenen Bauelement-Steuerabschnitt abspeichert und die Herunterladeeinrichtung ein Herunterladen des Ersatzprogramms, das dem ausgefallenen Bauelement-Steuerabschnitt entspricht, bei Motorstart in Erwiderung auf die Informationen ausführt, die durch den Leiter-Steuerabschnitt abgespeichert werden.
  16. Ausfallsicheres System gemäß Anspruch 3, wobei der Herunterladeziel-Bauelement-Steuerabschnitt einen vorhergehenden Steuervorgang unterbricht, wenn die Herunterladeeinrichtung ein Herunterladen des Ersatzprogramms ausführt, das dem ausgefallenen Bauelement-Steuerabschnitt entspricht.
  17. Verfahren zur Ausfallsicherung, das bei einer integrierten Steuerung eines Fahrzeugs verwendet wird, mit den Schritten: Erfassen von Zustandsgrößen, die bei Steuerung eines Betriebs von Fahrzeug-Bauelementen verwendet werden, die von Stellgliedern betätigt werden; Aktivieren (S180; S460) von Bauelement-Steuerabschnitten zum jeweiligen Ansteuern und Steuern der Stellglieder auf Grundlage der erfassten Zustandsgrößen gemäß voreingestellten Steuerprogrammen, wobei den Bauelement-Steuerabschnitten jeweils voreingestellte Prioritätsgrade gegeben sind: Erfassen (S110, S120, S190, S200), ob jeder von solchen unter den Bauelement-Steuerabschnitten, die für eine Fortbewegung des Fahrzeugs notwendig sind, ausgefallen ist oder nicht; und wenn erfasst wird, dass einer unter den Bauelement-Steuerabschnitten ausgefallen ist, der für eine Fortbewegung des Fahrzeugs notwendig ist, Auswählen (S130) von einem aus nicht ausgefallenen Bauelement-Steuerabschnitten als Herunterladeziel gemäß den Prioritätsgraden und Herunterladen eines Ersatzprogramms, das dem ausgefallenen Bauelement-Steuerabschnitt entspricht, in den ausgewählten Herunterladeziel-Bauelement-Steuerabschnitt, wobei der ausgewählte Herunterladeziel-Bauelement-Steuerabschnitt einen niedrigeren Prioritätsgrad aufweist als der ausgefallene Bauelement-Steuerabschnitt; wobei der Herunterladeziel-Bauelement-Steuerabschnitt das Stellglied, das dem ausgefallenen Bauelement-Steuerabschnitt entspricht, auf Grundlage der erfassten Zustandsgröße, die dem ausgefallenen Bauelement-Steuerabschnitt entspricht, gemäß dem herunter geladenen Ersatzprogramm ansteuert und steuert (S150, S160; S450).
DE60219705T 2001-01-25 2002-01-24 Ausfallsicheres Überwachunggssystem sowie passende Methode in eine integriete Fahrzeugsteuerung Expired - Lifetime DE60219705T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2001017182A JP4399987B2 (ja) 2001-01-25 2001-01-25 車両統合制御におけるフェイルセーフシステム
JP2001017182 2001-01-25

Publications (2)

Publication Number Publication Date
DE60219705D1 DE60219705D1 (de) 2007-06-06
DE60219705T2 true DE60219705T2 (de) 2008-01-17

Family

ID=18883424

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60219705T Expired - Lifetime DE60219705T2 (de) 2001-01-25 2002-01-24 Ausfallsicheres Überwachunggssystem sowie passende Methode in eine integriete Fahrzeugsteuerung

Country Status (4)

Country Link
US (1) US6463373B2 (de)
EP (1) EP1227007B1 (de)
JP (1) JP4399987B2 (de)
DE (1) DE60219705T2 (de)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008028573A1 (de) * 2008-06-16 2009-12-31 Nordex Energy Gmbh Verfahren zur Steuerung eines Windparks
DE102008028568A1 (de) * 2008-06-16 2009-12-31 Nordex Energy Gmbh Verfahren zur Steuerung einer Windenergieanlage
DE102011005729B4 (de) 2010-03-18 2018-03-01 Denso Corporation Fahrzeugenergiesystem
DE102017010716A1 (de) * 2017-11-10 2019-05-16 Knorr-Bremse Systeme für Nutzfahrzeuge GmbH System zum wenigstens teilautonomen Betrieb eines Kraftfahrzeugs mit doppelter Redundanz
DE102017220845A1 (de) * 2017-11-22 2019-05-23 Continental Automotive Gmbh Verlagerung einer Funktion oder Anwendung von einem Steuergerät
DE102018209251A1 (de) * 2018-06-11 2019-12-12 Bayerische Motoren Werke Aktiengesellschaft Fahrzeug, System, Verfahren zum Austausch eines Steuergeräts eines Pkw und computerlesbares Speichermedium
DE102018220092A1 (de) * 2018-11-09 2020-05-14 Robert Bosch Gmbh Verfahren und Vorrichtung zum Absichern von automatisierten Fahrfunktionen
DE102019201607A1 (de) * 2019-02-07 2020-08-13 Volkswagen Aktiengesellschaft Steuerungssystem für ein Kraftfahrzeug

Families Citing this family (98)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2808339B1 (fr) * 2000-04-26 2003-06-13 Valeo Electronique Vehicule, en particulier vehicule automobile, equipe d'un systeme permettant de commander un ouvrant a distance et systeme permettant la realisation d'une telle commande
US7146260B2 (en) 2001-04-24 2006-12-05 Medius, Inc. Method and apparatus for dynamic configuration of multiprocessor system
US10298735B2 (en) 2001-04-24 2019-05-21 Northwater Intellectual Property Fund L.P. 2 Method and apparatus for dynamic configuration of a multiprocessor health data system
JP2002347479A (ja) * 2001-05-29 2002-12-04 Denso Corp 車両統合制御システム
DE10127308A1 (de) * 2001-06-06 2002-12-12 Wittenstein Ag Antriebsregelung
US7178049B2 (en) 2002-04-24 2007-02-13 Medius, Inc. Method for multi-tasking multiple Java virtual machines in a secure environment
DE10230774A1 (de) * 2002-07-09 2004-01-22 Zf Friedrichshafen Ag Steuersystem für ein Anfahrschaltelement eines automatisierten Getriebes oder Automatgetriebes im Notbetrieb
JP4225025B2 (ja) * 2002-09-30 2009-02-18 株式会社デンソー 車両統合制御システム
JP2004268630A (ja) * 2003-03-05 2004-09-30 Yazaki Corp 電装コネクタ、および補機モジュール
JP2004268703A (ja) * 2003-03-07 2004-09-30 Advics:Kk 車両用ブレーキ鳴き制御装置
DE10313409A1 (de) * 2003-03-25 2004-11-18 Continental Teves Ag & Co. Ohg Verfahren zum Vermeiden von fehlerhaften Aktuatorzugriffen in einem multifunktionalen elektronischen Gesamtregelungssystem
US7275181B2 (en) * 2003-03-26 2007-09-25 International Business Machines Corporation Autonomic embedded computing “dynamic storage subsystem morphing”
US7983820B2 (en) 2003-07-02 2011-07-19 Caterpillar Inc. Systems and methods for providing proxy control functions in a work machine
US7532640B2 (en) * 2003-07-02 2009-05-12 Caterpillar Inc. Systems and methods for performing protocol conversions in a machine
JP2005051589A (ja) * 2003-07-30 2005-02-24 Matsushita Electric Ind Co Ltd 車両無線データ収集システム
JP4031746B2 (ja) 2003-09-26 2008-01-09 三菱重工業株式会社 大型産業車両用コントローラ
US6941219B2 (en) * 2003-09-30 2005-09-06 Detroit Diesel Corporation Method for recreating valid calibration data for an engine control module
US7689337B2 (en) 2003-09-30 2010-03-30 Honda Motor Co., Ltd. Cooperative vehicle control system
US20070169128A1 (en) * 2004-02-09 2007-07-19 Tomokazu Kanamaru Electronic device for automatically continuing to provide service
JP4495984B2 (ja) * 2004-02-16 2010-07-07 株式会社東芝 洗濯機
DE102004013612A1 (de) * 2004-03-19 2005-10-06 Adam Opel Ag Messsystem für Betriebskenngrößen eines Kraftfahrzeuges
EP1616746B1 (de) * 2004-07-15 2010-02-24 Hitachi, Ltd. Fahrzeugsteuerungsystem
JP4320734B2 (ja) * 2004-09-07 2009-08-26 横河電機株式会社 移動体用通信システム
EP1820117A2 (de) * 2004-11-11 2007-08-22 International Business Machines Corporation Gleichzeitiges flashing von verarbeitungseinheiten mittels netzwerkumstrukturierung
JP4437468B2 (ja) * 2004-12-06 2010-03-24 富士通テン株式会社 車両用電子制御装置
US20060179540A1 (en) * 2005-02-11 2006-08-17 Expand-A-Band Breast Binders, Llc Breast binder gown
US20060282254A1 (en) * 2005-06-10 2006-12-14 John Ananny System and method for dealing with component obsolescence in microprocessor-based control units
KR100747303B1 (ko) * 2005-11-11 2007-08-07 현대자동차주식회사 하이브리드 차량의 페일 세이프티 제어 시스템
JP4834428B2 (ja) * 2006-03-08 2011-12-14 本田技研工業株式会社 車両の制御装置
JP4899550B2 (ja) * 2006-03-15 2012-03-21 株式会社豊田中央研究所 フェールセーフ装置及びフェールセーフシステム
US7933696B2 (en) * 2006-08-31 2011-04-26 GM Global Technology Operations LLC Distributed arithmetic logic unit security check
US7957863B2 (en) * 2006-11-10 2011-06-07 Fujitsu Ten Limited Vehicle information recording apparatus, program, and recording medium
DE102006056668A1 (de) 2006-11-30 2008-06-05 Continental Teves Ag & Co. Ohg Verfahren zum Sicherstellen oder Aufrechterhalten der Funktion eines komplexen sicherheitskritischen Gesamtsystems
US8392882B2 (en) 2006-11-30 2013-03-05 Caterpillar Inc. Engine state-based control of software functions
GB2447231B (en) * 2007-03-05 2012-03-07 Ultra Electronics Ltd Active tuned vibration absorber
CN101067749B (zh) * 2007-05-22 2012-12-19 上海交大神舟汽车设计开发有限公司 一种汽车实时信息提示式主动控制与操纵安全系统
US8073586B2 (en) 2007-07-20 2011-12-06 Snap-On Incorporated Wireless network and methodology for automotive service systems
JP5114123B2 (ja) * 2007-07-24 2013-01-09 トヨタ自動車株式会社 車載装置制御システム
DE102007000869A1 (de) * 2007-11-12 2009-05-14 Zf Friedrichshafen Ag Kraftfahrzeugsteuerungssystem
JP5119892B2 (ja) * 2007-12-05 2013-01-16 株式会社豊田中央研究所 電子制御システム
JP4569623B2 (ja) * 2007-12-20 2010-10-27 株式会社デンソー 車両監査装置およびそれを用いた車両制御システム
JP4633134B2 (ja) * 2008-03-27 2011-02-16 ルネサスエレクトロニクス株式会社 マイクロコントローラ、制御システム及びマイクロコントローラの設計方法
JP2009286295A (ja) * 2008-05-30 2009-12-10 Hitachi Ltd 車載情報収集システム及び車載情報収集装置におけるデータ収集方法
KR101094213B1 (ko) * 2008-06-23 2011-12-14 주식회사 만도 차량용 게이트웨이 전자제어장치 및 그의 주행정보기록방법
JP2010015452A (ja) * 2008-07-04 2010-01-21 Denso Corp プログラム実行装置および実行制御プログラム
JP5187244B2 (ja) * 2009-03-16 2013-04-24 スズキ株式会社 車両用制御装置
JP5359508B2 (ja) * 2009-04-20 2013-12-04 トヨタ自動車株式会社 変速制御装置
JP5381276B2 (ja) * 2009-04-22 2014-01-08 トヨタ自動車株式会社 トロイダル式無段変速機
US9358924B1 (en) 2009-05-08 2016-06-07 Eagle Harbor Holdings, Llc System and method for modeling advanced automotive safety systems
JP2011032903A (ja) * 2009-07-30 2011-02-17 Denso Corp 車両の制御装置
DE102010035300B4 (de) * 2009-08-28 2012-05-31 Jörg Hartzsch Vorrichtung und Verfahren zum Betreiben mehrerer Komponenten an einfachen elektrischen Datenverbindungen
US9014916B2 (en) * 2010-10-29 2015-04-21 Denso Corporation Vehicle dynamic control apparatus and vehicle dynamic control system using the same
JP5672971B2 (ja) * 2010-10-29 2015-02-18 株式会社アドヴィックス 車両運動制御装置
JP5527270B2 (ja) 2011-04-12 2014-06-18 株式会社デンソー 車載用電子制御装置
JP5340469B1 (ja) * 2012-10-22 2013-11-13 三菱電機株式会社 内燃機関の電子制御装置
DE102012111991A1 (de) * 2012-11-20 2014-05-22 Conti Temic Microelectronic Gmbh Verfahren für eine Fahrerassistenzanwendung
DE102012224103A1 (de) * 2012-12-20 2014-06-26 Continental Teves Ag & Co. Ohg Vorrichtung zum Ausgeben eines eine physikalische Messgröße anzeigenden Messsignals
WO2014130717A1 (en) * 2013-02-22 2014-08-28 Ellis Frampton Failsafe devices, including transportation vehicles
US9411571B2 (en) * 2013-02-28 2016-08-09 Adobe Systems Incorporated Method and apparatus for deploying software as a service
WO2015025370A1 (ja) * 2013-08-20 2015-02-26 株式会社小松製作所 建設機械用コントローラ
KR101470225B1 (ko) * 2013-10-22 2014-12-05 현대자동차주식회사 차량용 모터 구동 장치
DE102014200089A1 (de) * 2014-01-08 2015-07-09 Bayerische Motoren Werke Aktiengesellschaft Verfahren, Vorrichtung, Computerprogramm und Computerprogrammprodukt zum Programmieren von mehreren Steuergeräten
JP6266748B2 (ja) * 2014-02-25 2018-01-24 日立オートモティブシステムズ株式会社 モータ制御システムおよびモータ制御方法
JP5791747B1 (ja) * 2014-04-04 2015-10-07 三菱電機株式会社 制御システム
JP6274036B2 (ja) * 2014-07-01 2018-02-07 株式会社デンソー 制御装置
JP6535572B2 (ja) 2015-10-26 2019-06-26 日立オートモティブシステムズ株式会社 車両制御装置、車両制御システム
JP6698320B2 (ja) * 2015-11-16 2020-05-27 日立オートモティブシステムズ株式会社 処理装置および車両制御システム
WO2017108407A1 (de) 2015-12-21 2017-06-29 Bayerische Motoren Werke Aktiengesellschaft Verfahren zur modifikation safety- und/oder security-relevanter steuergeräte in einem kraftfahrzeug, und eine diesbezügliche vorrichtung
JP6578224B2 (ja) 2016-02-22 2019-09-18 ルネサスエレクトロニクス株式会社 車載システム、プログラムおよびコントローラ
JP6212581B2 (ja) * 2016-02-29 2017-10-11 本田技研工業株式会社 自動変速機および自動変速機の制御方法
JP6309987B2 (ja) * 2016-02-29 2018-04-11 本田技研工業株式会社 自動変速機及び自動変速機の制御方法
JP6443372B2 (ja) * 2016-03-24 2018-12-26 トヨタ自動車株式会社 車両用ソフトウェア割当てシステム
US10140116B2 (en) * 2016-09-26 2018-11-27 Ford Global Technologies, Llc In-vehicle auxiliary memory storage
DE112017006451B4 (de) * 2017-01-24 2020-07-16 Mitsubishi Electric Corporation Gemeinsam genutzte Backup-Einheit und Steuersystem
JP7039861B2 (ja) * 2017-05-12 2022-03-23 株式会社デンソー 車両用サービス管理装置及び車両用サービス管理プログラム
WO2018225225A1 (ja) 2017-06-08 2018-12-13 三菱電機株式会社 車両制御装置
KR102394153B1 (ko) * 2017-09-11 2022-05-09 주식회사 만도 통합형 ecu
JP6875240B2 (ja) * 2017-09-21 2021-05-19 日立Astemo株式会社 移動体の制御システムおよび移動体の制御方法
JP6915500B2 (ja) * 2017-11-06 2021-08-04 トヨタ自動車株式会社 更新システム、電子制御装置、更新管理装置、及び更新管理方法
JP6753388B2 (ja) * 2017-11-13 2020-09-09 株式会社デンソー 自動運転制御装置、車両の自動運転制御方法
US10921142B2 (en) * 2017-12-14 2021-02-16 Waymo Llc Methods and systems for sun-aware vehicle routing
JP7007226B2 (ja) 2018-04-05 2022-01-24 日立Astemo株式会社 電子制御装置、制御方法
JP6981357B2 (ja) * 2018-04-25 2021-12-15 株式会社デンソー 車両制御装置
WO2019239522A1 (ja) 2018-06-13 2019-12-19 株式会社日立製作所 制御コントローラおよび車両制御システム
EP3626559B1 (de) * 2018-09-18 2022-10-26 KNORR-BREMSE Systeme für Nutzfahrzeuge GmbH Bremsensystem für ein fahrzeug
JP7124660B2 (ja) * 2018-11-15 2022-08-24 株式会社デンソー 車載システム
JP7111606B2 (ja) * 2018-12-19 2022-08-02 日立Astemo株式会社 電子制御装置および車載システム
JP7067508B2 (ja) * 2019-02-22 2022-05-16 株式会社デンソー ネットワークシステム
JP7023588B2 (ja) * 2019-05-23 2022-02-22 矢崎総業株式会社 データ書換方法、及びデータ書換システム
JP6779354B1 (ja) * 2019-10-30 2020-11-04 三菱電機株式会社 制御通信システム
JP6982108B2 (ja) 2020-01-30 2021-12-17 本田技研工業株式会社 車両制御装置、車両制御方法およびプログラム
JP6945672B2 (ja) * 2020-03-04 2021-10-06 三菱電機株式会社 フェイルセーフシステム
JP7316245B2 (ja) * 2020-03-27 2023-07-27 日立Astemo株式会社 車両制御システム及び車両制御装置
DE102020206567A1 (de) * 2020-05-26 2021-12-02 Robert Bosch Gesellschaft mit beschränkter Haftung Sensoranordnung für ein Fahrzeug und mehrkreisiges Bremssystem
DE102020206566A1 (de) * 2020-05-26 2021-12-02 Robert Bosch Gesellschaft mit beschränkter Haftung Sensoranordnung für ein Fahrzeug und mehrkreisiges Bremssystem
JP2022061404A (ja) * 2020-10-06 2022-04-18 トヨタ自動車株式会社 車両用電子機器の冷却装置、車両用電子機器の冷却装置の制御方法及び車両用電子機器の冷却装置の制御プログラム
JP2022098090A (ja) * 2020-12-21 2022-07-01 日立Astemo株式会社 車両制御装置
WO2023209820A1 (ja) * 2022-04-26 2023-11-02 日立Astemo株式会社 車載電子装置

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS53114630A (en) 1977-03-17 1978-10-06 Toshiba Corp Data highway system
JPS5810246A (ja) 1981-07-13 1983-01-20 Nissan Motor Co Ltd 車両用ディジタル制御装置
JPS5949350A (ja) * 1982-09-13 1984-03-21 Nippon Denso Co Ltd 車輛制御用コンピュータにおけるバックアップメモリの内容保護装置
US4802100A (en) * 1986-08-18 1989-01-31 Gas Research Institute Advanced cogeneration control system
US5046397A (en) * 1987-04-29 1991-09-10 Vickers, Incorporated Electrohydraulic and hydromechanical valve system for dual-piston stroke controller
JPS6413601A (en) 1987-07-07 1989-01-18 Aisin Aw Co Save/restore system for stored information in vehicle control system
DE4021840A1 (de) 1990-07-09 1992-01-23 Daimler Benz Ag Mehrrechnersystem fuer steuer- und diagnosegeraete bei einem kraftfahrzeug
US6434459B2 (en) * 1996-12-16 2002-08-13 Microsoft Corporation Automobile information system
US5957985A (en) 1996-12-16 1999-09-28 Microsoft Corporation Fault-resilient automobile control system
JP3968876B2 (ja) * 1998-06-26 2007-08-29 株式会社デンソー 電子制御装置
JP2000148709A (ja) 1998-11-09 2000-05-30 Nec Mobile Commun Ltd マルチcpu構成システムおよびシステム再構成方法
US6293632B1 (en) * 1999-06-11 2001-09-25 John F. Grote Vehicular brake-by-wire system

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008028573A1 (de) * 2008-06-16 2009-12-31 Nordex Energy Gmbh Verfahren zur Steuerung eines Windparks
DE102008028568A1 (de) * 2008-06-16 2009-12-31 Nordex Energy Gmbh Verfahren zur Steuerung einer Windenergieanlage
US7949434B2 (en) 2008-06-16 2011-05-24 Nordex Energy Gmbh Method for controlling a wind energy park
US8148835B2 (en) 2008-06-16 2012-04-03 Nordex Energy Gmbh Method for controlling a wind energy plant
DE102011005729B4 (de) 2010-03-18 2018-03-01 Denso Corporation Fahrzeugenergiesystem
DE102017010716A1 (de) * 2017-11-10 2019-05-16 Knorr-Bremse Systeme für Nutzfahrzeuge GmbH System zum wenigstens teilautonomen Betrieb eines Kraftfahrzeugs mit doppelter Redundanz
US11332158B2 (en) 2017-11-10 2022-05-17 Knorr-Bremse Systeme Fuer Nutzfahrzeuge Gmbh System for the at least partially autonomous operation of a motor vehicle with double redundancy
DE102017220845A1 (de) * 2017-11-22 2019-05-23 Continental Automotive Gmbh Verlagerung einer Funktion oder Anwendung von einem Steuergerät
DE102018209251A1 (de) * 2018-06-11 2019-12-12 Bayerische Motoren Werke Aktiengesellschaft Fahrzeug, System, Verfahren zum Austausch eines Steuergeräts eines Pkw und computerlesbares Speichermedium
DE102018220092A1 (de) * 2018-11-09 2020-05-14 Robert Bosch Gmbh Verfahren und Vorrichtung zum Absichern von automatisierten Fahrfunktionen
DE102019201607A1 (de) * 2019-02-07 2020-08-13 Volkswagen Aktiengesellschaft Steuerungssystem für ein Kraftfahrzeug

Also Published As

Publication number Publication date
JP4399987B2 (ja) 2010-01-20
US6463373B2 (en) 2002-10-08
DE60219705D1 (de) 2007-06-06
JP2002221075A (ja) 2002-08-09
US20020099487A1 (en) 2002-07-25
EP1227007A2 (de) 2002-07-31
EP1227007B1 (de) 2007-04-25
EP1227007A3 (de) 2004-03-03

Similar Documents

Publication Publication Date Title
DE60219705T2 (de) Ausfallsicheres Überwachunggssystem sowie passende Methode in eine integriete Fahrzeugsteuerung
DE60025490T2 (de) Programmierbares abgesetztes schnittstellenmodul für multiplexsteuerung im kraftfahrzeug
DE19833909B4 (de) Vorrichtung und Verfahren zur drehmomentgestützten Fahrzeuggeschwindigkeitsregelung
DE3929798C2 (de)
DE10348362B4 (de) Integriertes Fahrzeugsteuersystem
DE19541816C2 (de) Diagnosesystem für ein Kraftfahrzeug
DE10116749B4 (de) Verfahren zur Regelung eines Antriebssystems eines Hybridfahrzeugs mit einer Brennkraftmaschine mit abschaltbaren Zylindern sowie Hybridfahrzeug
EP1526987B1 (de) Computersystem und verfahren zur steuerung, insbesondere zur koordinierten antriebsstrangsteuerung eines kraftfahzeuges
DE10348363B4 (de) Fahrzeugdatenkommunikationssystem mit überwachter Koordination von Netzwerken, welche jeweilige Grundbetriebsfunktionen eines Fahrzeugs steuern
DE10044319A1 (de) Elektronisches System für ein Fahrzeug und Systemschicht für Betriebsfunktionen
DE102010003684A1 (de) System zur Steuerung von Verhaltensweisen von Fahrzeugeigenen Objekten
DE19838333A1 (de) System zur Steuerung des Antriebs eines Fahrzeugs
DE10336743A1 (de) Steuerungssystem für Antriebsstränge
DE10019208A1 (de) Verfahren und Vorrichtung zur Steuerung und/oder zur Bestimmung einer Variante einer Steuerung eines Systems
DE102012205731A1 (de) Elektronische fahrzeugsteuervorrichtung
DE10038181A1 (de) Verfahren und Einrichtung zum Ermitteln von Drehmoment-Sollwerten für Antriebsaggregate von Kraftfahrzeugen mit mindestens zwei Antriebsaggregaten
DE102008010492B4 (de) Verfahren zum Steuern von Betriebsmodusübergängen in einem Regelungssystem einer aktiven Frontlenkung
EP1535153B1 (de) Priorisierungsverfahren von informationsgebern, insbesondere zur koordinierten antriebsstrangsteuerung eines kraftfahrzeuges
DE102016101299A1 (de) Verhindern des Zugriffs auf eine fahrzeugbasierte AC-Hochspannung
DE10208155A1 (de) Modifikation einer Pedalprogression mit Beschleunigungsrückkopplung unter Verwendung einer elektronischen Drosselsteuerung
DE10301531A1 (de) Einrichtung und Verfahren zum Betrieb einer elektrischen Maschine eines Kraftfahrzeuges
DE10334536A1 (de) Computersystem und Verfahren zur Steuerung, insbesondere zur koordinierten Antriebsstrangsteuerung eines Kraftfahrzeuges
DE102018102320A1 (de) Lenkradfeedbackmechanismus
DE3818007C2 (de)
DE102010060178B4 (de) Datenschreibvorrichtung und Datenschreibverfahren

Legal Events

Date Code Title Description
8320 Willingness to grant licences declared (paragraph 23)
8364 No opposition during term of opposition