JP2004291943A - Vehicular control device - Google Patents

Vehicular control device Download PDF

Info

Publication number
JP2004291943A
JP2004291943A JP2003091057A JP2003091057A JP2004291943A JP 2004291943 A JP2004291943 A JP 2004291943A JP 2003091057 A JP2003091057 A JP 2003091057A JP 2003091057 A JP2003091057 A JP 2003091057A JP 2004291943 A JP2004291943 A JP 2004291943A
Authority
JP
Japan
Prior art keywords
control device
control
ecu
wiper
input
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003091057A
Other languages
Japanese (ja)
Other versions
JP4039291B2 (en
Inventor
Hiroyuki Sakane
裕之 坂根
Shinji Kishida
晋二 岸田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Toyota Motor Corp
Original Assignee
Denso Corp
Toyota Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp, Toyota Motor Corp filed Critical Denso Corp
Priority to JP2003091057A priority Critical patent/JP4039291B2/en
Publication of JP2004291943A publication Critical patent/JP2004291943A/en
Application granted granted Critical
Publication of JP4039291B2 publication Critical patent/JP4039291B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To make a similar control to that before a failure even when the failure occurs in a communication system for control operation. <P>SOLUTION: The vehicular control device comprises: a wiper ECU 1 for generating a control signal to execute wiper control in accordance with a wire control program incorporated therein; another ECU 2 for executing another control than the wire control; an input/output ECU 3 to which the control signal is input from the wiper ECU 1 for generating output based on the control signal; and a multiple communication line 4 for connecting the ECUs 1-3 with one another. The vehicular control device predicts a failure of the communication system between the wiper ECU 1 an the input/output ECU 3, transfers the control program incorporated in the wiper ECU 1 to the other ECU 2 via the multiple communication line 4 and installs it in the other ECU 2, and outputs control signal to the input/output ECU 3 so that the other ECU 2 executes the wire control instead of the wiper ECU 1. Thus, the wire control is executed. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

【0001】
【発明の属する技術分野】
本発明は、各種制御を行うための通信システムに故障が発生した場合にも、それらの制御が行えなくなることを防止できるフェールセーフ機能を備えた車両用制御装置に関し、例えば、ワイパ駆動を行うためのワイパ駆動制御装置に適用して好適である。
【0002】
【従来の技術】
車両制御を行うための通信システムに故障が発生した場合、その制御を安全側に固定したり、制御を制限するなどの対処がとられる。この対処策は各システム毎に決定されており、通信システム故障時にはそれに応じて決まった一定の制御がなされる。
【0003】
例えば、通信システム故障時には、Hiレベル出力が必然的に出力されるような回路構成とすることで、各システムがHiレベル出力に対応した制御を行えるよう安全側に固定する設定とされる。また、通信システムが故障してもまだ使用できる制御形態がある場合、例えばオート制御が使用不能となった場合でもマニュアル制御が使用可能である場合には、マニュアル制御のみを使用可能としたような制御を制限する設定とされる。
【0004】
【特許文献1】
特開2002−221075号公報
【0005】
【発明が解決しようとする課題】
しかしながら、上記のように制御を安全側に固定したり、制御を制限するなどの対処をするだけでは、通信システムの故障時に制限された制御機能しか実現できない。
【0006】
また、制御システムの構成を二重系統とすることで、一方のシステムが故障した際には他方のシステムを稼動させるという継続手法が考えられるが、重複したシステムが必要となり、コスト的に有効ではない。
【0007】
本発明は上記点に鑑みて、制御を行うための通信システムに故障が発生した場合にも、故障前と同等の制御が行えるようにすることを目的とする。
【0008】
【課題を解決するための手段】
上記目的を達成するため、請求項1に記載の発明では、車両に搭載され、内蔵された制御プログラムに基づき第1の制御を実行するための制御信号を発生させる第1制御装置(1)と、車両に搭載され、第1の制御とは異なる第2の制御を実行するための第2制御装置(2)と、第1制御装置からの制御信号が入力され、制御信号に基づいて出力を発生させる入出力制御装置(3)と、第1制御装置、第2制御装置および入出力制御装置それぞれの間を接続し、これら各制御装置間での通信を可能とした多重通信線(4)とを備え、第1制御装置と第2制御装置は車載機器制御用として既に前記車両に搭載されている汎用制御装置であり、第1制御装置と入出力制御装置との間において通信システム故障を予測した場合、多重通信線を介して第1制御装置に内蔵された制御プログラムを第2制御装置に転送し、第2制御装置内にインストールすると共に、該インストール後には第1制御装置に代わって第2制御装置が第1の制御を実行するための制御信号を入出力制御装置に出力し、この制御信号に基づいて入出力制御装置が第1の制御を実行することを特徴としている。
【0009】
このような構成の車両用制御装置においては、第1制御装置と入出力制御装置との間において、通信システム故障が予測された段階で第1制御装置から第2制御装置へプログラムをインストールしている。このため、第1制御装置が完全に故障する前に、確実にプログラムのインストールが可能である。そして、第1制御装置の通信システム故障が発生した後においても、第1制御装置が実行していたものと同様の第1の制御を第2制御装置に実行させるというフェールセーフ機能を得ることができる。また、車載機器制御用として既に車両に搭載されている汎用制御装置を利用しているため、第1制御装置の通信システムの故障を予測した場合にそのプログラムのみをインストールするために別途制御装置を設置する必要性をなくすことも可能である。
【0010】
この場合、請求項2に示すように、第1制御装置、第2制御装置および入出力制御装置は、それぞれ別体のチップとして構成される。
【0011】
具体的には、請求項3に示すように、第1制御装置は、第1制御装置が入出力制御装置に所定の信号を送信しているにも関わらず、入力制御装置からの返信信号を受信することができない場合、もしくは返信信号を受信していても、その返信信号の内容として予想されるものから抜けがある場合に通信システム故障であると予測して、制御プログラムの転送を行う。また、請求項4に示すように、システム故障が所定頻度以上に起こる場合に、制御プログラムの転送が行われるようにしても良い。
【0012】
なお、上記各手段の括弧内の符号は、後述する実施形態に記載の具体的手段との対応関係を示すものである。
【0013】
【発明の実施の形態】
(第1実施形態)
図1に、本発明の第1実施形態にかかるフェールセーフ機能を備えた車両用制御装置のブロック構成を示す。この図に基づいて車両用制御装置の構成についての説明を行う。
【0014】
図1に示すように、車両用制御装置は、第1制御装置としてのワイパECU1、ワイパECU1とは異なる制御を行う第2制御装置としての他のECU2、入出力制御装置としての入出力ECU3、これら各ECU1〜3を接続する多重通信線(車両LAN)4およびワイパモータ5を備えて構成されている。
【0015】
ワイパECU1は、車両に搭載されたシステムの制御に関する演算処理を実行する制御装置である。本実施形態では、ワイパECU1は、運転者によるワイパ駆動要求信号に基づき、予めインストールされた制御プログラムを実行することで運転者の要求に応じたワイパ駆動を行うための制御信号を発生させる。ワイパ駆動要求信号とは、具体的には、運転者が車室内におけるステアリングの裏側に配置されたワイパ駆動用レバーのスイッチ等をオンした時に送られる信号を意味する。
【0016】
他のECU2は、車両に搭載されたシステムの制御として、ワイパ制御とは異なるものに関する演算処理を実行する制御装置である。ここでいう他のECU2とは、例えばエアコン制御用ECU、ABS制御用ECUもしくはエンジン制御用ECU等のように汎用制御装置として構成されるもので、ワイパECU1と別構成のチップとして設けられ、そのチップ内に少なくともワイパ駆動用のプログラムが記憶できる程度の空き容量を有しているものを意味する。他のECU2は、ワイパECU1の通信システム故障が発生する前には、ワイパ制御とは異なる他の車両制御のみが実行されている。そして、ワイパECU1の通信システム故障が発生した際には、他のECU2は、多重通信線4を介してワイパECU1に記憶されたワイパ駆動用プログラムをインストールし、ワイパECU1の代りにワイパ駆動のための制御信号を発生させるようになっている。
【0017】
入出力ECU3は、ワイパ制御を実行する際にワイパECU1または他のECU2からの制御信号を入力し、所定の出力を発生させるような入出力処理装置に相当し、ワイパ出力回路を構成している。例えば、入出力ECU3は、ワイパECU1からの制御信号が多重通信線4を介して送られてくると、その制御信号に応じた出力(出力電圧)を発生させる。この入出力ECU3も、ワイパECU1とは別チップとして構成されている。
【0018】
そして、ワイパモータ5は、入出力ECU3によって駆動されるもので、入出力ECU3が発生させる出力に応じたワイパ駆動、例えばLowスピード駆動やHiスピード駆動を行う。
【0019】
このように構成された車両用制御装置が実行するワイパ駆動およびフェイルセーフ処理について、図2から図5に示すフローチャートに基づいて説明する。
【0020】
図2は、入出力ECU3が実行する処理のフローチャート、図3は、ワイパECU1が実行する処理のフローチャートである。また、図4は、他のECU2が実行する処理のフローチャート、図5は、他のECU2のOS(Operating System)が実行する処理のフローチャートである。
【0021】
入出力ECU3は、図2に示すように、ステップ110において、現在のワイパ制御を実行しているマスターECUが他のECU2であるか否かを判定する。この処理は、例えば入出力ECU3内のフラグが立っているか否かによって判定され、このフラグは後述する図5のステップ440において、ワイパ制御のマスターECUが他のECU2となったことを示す制御マスター切り換え信号が他のECU2から入出力ECU3に送られた時に立てられるようになっている。
【0022】
そして、ステップ110において否定判定されれば、ステップ120に進み、ワイパECU1によるワイパ駆動を実行するために、ワイパECU1からワイパ駆動指示内容を示す制御信号を取得する。一方、肯定判定されれば、ステップ130に進み、他のECU2によるワイパ駆動を実行するために、他のECU2からワイパ駆動指示内容を示す制御信号を取得する。
【0023】
この後、ステップ140において、ステップ120またはステップ130で取得した制御信号に応じた出力をワイパーモータ駆動出力として発生させる。これにより、ワイパモータ5は、運転者からの要求に応じたワイパ駆動を行う。
【0024】
ワイパECU1は、図3に示すように、ステップ210において、ワイパECU1自身が故障し得るか否かを予測する。この処理では、例えばワイパECU1が多重通信線4を介して入出力ECU3に所定の信号を送信しているにも関わらず、入出力ECU3からの返信信号を受信することができない場合や、返信信号を受信することができていても、その返信信号の内容として予想されるものから抜けがある場合に、もしくはこのような状態が所定頻度以上起こる場合にワイパECU1が故障しうると予測する。このステップで否定判定されれば、ワイパECU1の通信システム故障が発生しないものとして、ステップ220に進んでワイパ制御を実行(継続)する。また、肯定判定されれば、ステップ230に進んでワイパECU1自身に記憶されているワイパ制御プログラムを他のECU2に転送し、処理を終了する。
【0025】
他のECU2は、図4に示すように、ステップ310において、ワイパECU1からワイパ制御プログラムが転送されているか否かを判定する。この処理は、上記図3のステップ230においてワイパECU1からワイパ制御プログラムが転送された場合に、他のECU2内においてその旨を示すフラグが立てられることから、そのフラグを参照することにより行われる。そして、ステップ310において否定判定されれば、他のECU2ではなくワイパECU1でワイパ駆動が実行されるものとして、そのまま処理を終了する。一方、肯定判定されれば、受信したワイパ制御プログラムを他のECU2自身の空きエリアに書き込んだあと、他のECU2自身が実行するプログラムの他に追加タスクが発生した旨を示す追加タスク発生信号をOSに対して送信する。
【0026】
他のECU2のOSは、図5に示すように、ステップ410において、追加タスクがあるか否かの判定を行う。この処理は、上記図4のステップ330においてOSが追加タスク発生信号を受け取ると、OS内においてその旨を示すフラグが立てられることから、そのフラグを参照することにより行われる。そして、ステップ410において否定判定されれば、追加タスクはないとして処理を終了し、肯定判定されれば、タスクスケジューリングの再構築を行う。例えば、他のECU2が実行しなければならない制御プログラム(1)、(2)がすでに存在している場合には、その制御プログラム(1)、(2)の後にワイパ制御プログラムを制御プログラム(3)として設定し、実行しなければならない処理が制御プログラム(1)、(2)だけであったものを制御プログラム(1)〜(3)というように順序の再設定を行う。
【0027】
次いで、ステップ430に進み、実行環境の再構築処理を実行する。すなわち、OSにおけるマイコンのリソースの割当てを変更し、制御プログラム(3)として設定されたワイパ制御プログラムに対してもリソース機能が与えられるようにする。
【0028】
そして、ステップ440に進み、ワイパ制御のマスターECUが他のECU2に変更された旨を示す制御マスター切り換え信号を入出力ECU3に送信し、処理を終了する。この制御マスター切り換え信号が送信されると、入出力ECU3はその信号を受信し、入出力ECU3内のフラグを立てる等の処理を行う。
【0029】
以上のように、本実施形態においては、ワイパECU1の通信システム故障が発生しうる場合を予測し、ワイパECU1によるワイパ制御が不能になりつつあるものと想定して、ワイパECU1の通信システムが完全に故障してしまう前にワイパECU1に記憶してあるワイパ制御プログラムを他のECU2に確実に転送するようにしている。そして、他のECU2は、転送されてきたワイパ制御プログラムをインストールし、インストールした後にはワイパECU1に代わってワイパ制御を実行するようになっている。
【0030】
そして、本実施形態では、ワイパECU1に代えて、他のECU2によってワイパ制御が実行できるようにすべく、ワイパECU1と入出力ECU3とを別構成としている。この理由について、図6(a)、(b)に示す従来と同様のワイパ駆動用ECUを用いた場合と本実施形態のようにワイパECU1と入出力ECU3とを別構成とした場合それぞれの通信形態を参照して説明する。
【0031】
図6(a)に示されるように、従来よりワイパ制御に用いられているワイパ駆動用ECU50は、本実施形態に示すワイパECU1と入出力ECU3とが一体になっているような構成になっている。このような構成にされている場合、図6(a)中に矢印で表した通信経路のように、通信システム故障が発生しているワイパ駆動用ECU50を通じて他のECU51からの制御信号の受け渡しを行わなければならない。このため、ワイパ駆動用ECU50に通信システム故障の発生を予測した際に他のECU51にワイパ制御プログラムを転送したとしても、他のECU51はワイパモータ52を駆動することができない。
【0032】
しかしながら、本実施形態のようにワイパECU1と入出力ECU3とを別構成としていれば、図6(b)中に矢印で表した通信経路のように、通信システム故障が発生しているワイパECU1の通信経路を通らなくても他のECU2からの制御信号の受け渡しを行うことが可能となる。このため、ワイパECU1の通信システム故障の発生を予測した際に他のECU2にワイパ制御プログラムを転送しておけば、他のECU2によってワイパ制御を実行することが可能となるのである。
【0033】
このような構成の車両用制御装置とすることにより、ワイパECU1の通信システム故障が発生した後においても、ワイパECU1が実行していたものと同様のワイパ制御を他のECU2に実行させるというフェールセーフ機能を得ることができる。
【0034】
また、他のECU2として、車両用制御として既に車両に搭載されている汎用制御装置を利用しているため、ワイパECU2の通信システムの故障を予測した場合にワイパ制御プログラムのみをインストールするために別途ECUを設置する必要性をなくすことも可能である。
【0035】
(他の実施形態)
上記第1実施形態では、ワイパ駆動用のワイパECU1を例に挙げて説明したが、ワイパECU1におけるワイパ制御プログラムに限らず、他の制御プログラム、例えばヘッドランプの制御プログラム等についてもプログラムの転送を行うことで、上記第1実施形態と同様のフェールセーフ機能を得ることができる。
【図面の簡単な説明】
【図1】本発明の第1実施形態にかかる車両用制御装置のブロック構成を示す図である。
【図2】図1に示す入出力ECU3が実行する処理のフローチャートである。
【図3】図1に示すワイパECU1が実行する処理のフローチャートである。
【図4】図1に示す他のECU2が実行する処理のフローチャートである。
【図5】図1に示す他のECU2のOSが実行する処理のフローチャートである。
【図6】(a)は、従来と同様にワイパ駆動用ECUを構成した場合における通信形態を示す模式図であり、(b)は、本実施形態における車両用制御装置の通信形態を示す模式図である。
【符号の説明】
1…ワイパECU、2…他のECU、3…入出力ECU、4…多重通信線、
5…ワイパモータ。[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a vehicle control device having a fail-safe function capable of preventing a failure in a communication system for performing various controls even when a failure occurs, for example, for performing wiper driving. It is suitable to be applied to the wiper drive control device.
[0002]
[Prior art]
When a failure occurs in the communication system for controlling the vehicle, measures such as fixing the control to a safe side or restricting the control are taken. This countermeasure is determined for each system, and when a communication system fails, a fixed control determined in accordance therewith is performed.
[0003]
For example, when the communication system fails, the circuit configuration is such that a Hi-level output is inevitably output, so that each system is set to be fixed on the safe side so that control corresponding to the Hi-level output can be performed. Also, if there is a control mode that can still be used even if the communication system breaks down, for example, if manual control can be used even when automatic control is disabled, only manual control can be used. It is set to limit control.
[0004]
[Patent Document 1]
JP-A-2002-2121075
[Problems to be solved by the invention]
However, only by taking measures such as fixing the control on the safe side or restricting the control as described above, only a limited control function can be realized when the communication system fails.
[0006]
In addition, if the control system is configured as a dual system, a continuation method of operating one of the systems when one of the systems fails can be considered, but a redundant system is required, and this is not cost effective. Absent.
[0007]
SUMMARY OF THE INVENTION In view of the above, it is an object of the present invention to enable a control system equivalent to that before a failure to be performed even when a failure occurs in a communication system for performing control.
[0008]
[Means for Solving the Problems]
In order to achieve the above object, according to the first aspect of the present invention, a first control device (1) mounted on a vehicle and generating a control signal for executing a first control based on a built-in control program is provided. A second control device (2) mounted on the vehicle for executing a second control different from the first control, and a control signal from the first control device is input, and outputs an output based on the control signal. A multiplex communication line (4) for connecting the input / output control device (3) to be generated with each of the first control device, the second control device, and the input / output control device, and enabling communication between these control devices. The first control device and the second control device are general-purpose control devices already mounted on the vehicle for controlling in-vehicle devices, and a communication system failure occurs between the first control device and the input / output control device. If predicted, via multiple communication lines (1) The control program stored in the control device is transferred to the second control device and installed in the second control device. After the installation, the second control device executes the first control in place of the first control device. A control signal is output to the input / output control device, and the input / output control device executes the first control based on the control signal.
[0009]
In the vehicle control device having such a configuration, between the first control device and the input / output control device, a program is installed from the first control device to the second control device when a communication system failure is predicted. I have. Therefore, it is possible to reliably install the program before the first control device completely breaks down. Further, even after a communication system failure of the first control device occurs, it is possible to obtain a fail-safe function of causing the second control device to execute the same first control as that performed by the first control device. it can. In addition, since the general-purpose control device already mounted on the vehicle is used for on-vehicle device control, a separate control device is required to install only the program when a failure of the communication system of the first control device is predicted. It is also possible to eliminate the need for installation.
[0010]
In this case, the first control device, the second control device, and the input / output control device are each configured as a separate chip.
[0011]
Specifically, as described in claim 3, the first control device transmits a reply signal from the input control device even though the first control device transmits a predetermined signal to the input / output control device. If the signal cannot be received, or if a reply signal is received, but the expected content of the reply signal is missing, the communication system is predicted to be faulty and the control program is transferred. Further, the control program may be transferred when a system failure occurs more than a predetermined frequency.
[0012]
In addition, the code | symbol in the parenthesis of each said means shows the correspondence with the concrete means described in embodiment mentioned later.
[0013]
BEST MODE FOR CARRYING OUT THE INVENTION
(1st Embodiment)
FIG. 1 shows a block configuration of a vehicle control device having a fail-safe function according to a first embodiment of the present invention. The configuration of the vehicle control device will be described with reference to FIG.
[0014]
As shown in FIG. 1, the vehicle control device includes a wiper ECU 1 as a first control device, another ECU 2 as a second control device that performs control different from the wiper ECU 1, an input / output ECU 3 as an input / output control device, A multiplex communication line (vehicle LAN) 4 connecting these ECUs 1 to 3 and a wiper motor 5 are provided.
[0015]
The wiper ECU 1 is a control device that executes arithmetic processing relating to control of a system mounted on a vehicle. In the present embodiment, the wiper ECU 1 generates a control signal for performing a wiper drive according to a driver's request by executing a control program installed in advance based on a wiper drive request signal from the driver. Specifically, the wiper drive request signal means a signal sent when the driver turns on a switch or the like of a wiper drive lever disposed on the back side of the steering in the vehicle interior.
[0016]
The other ECU 2 is a control device that executes arithmetic processing relating to a control different from wiper control as control of a system mounted on the vehicle. The other ECU 2 here is configured as a general-purpose control device such as an air conditioner control ECU, an ABS control ECU, or an engine control ECU, and is provided as a chip having a configuration different from that of the wiper ECU 1. This means that the chip has at least a free space capable of storing a wiper driving program. Before the occurrence of the communication system failure of the wiper ECU 1, the other ECU 2 executes only another vehicle control different from the wiper control. When the communication system failure of the wiper ECU 1 occurs, the other ECU 2 installs the wiper driving program stored in the wiper ECU 1 via the multiplex communication line 4 to drive the wiper ECU 1 instead of the wiper ECU 1. Is generated.
[0017]
The input / output ECU 3 corresponds to an input / output processing device that receives a control signal from the wiper ECU 1 or another ECU 2 when executing the wiper control and generates a predetermined output, and constitutes a wiper output circuit. . For example, when a control signal from the wiper ECU 1 is sent via the multiplex communication line 4, the input / output ECU 3 generates an output (output voltage) according to the control signal. This input / output ECU 3 is also configured as a separate chip from the wiper ECU 1.
[0018]
The wiper motor 5 is driven by the input / output ECU 3 and performs wiper drive according to the output generated by the input / output ECU 3, for example, low speed drive or Hi speed drive.
[0019]
The wiper driving and the fail-safe processing executed by the vehicle control device configured as described above will be described based on the flowcharts shown in FIGS.
[0020]
FIG. 2 is a flowchart of a process executed by the input / output ECU 3, and FIG. 3 is a flowchart of a process executed by the wiper ECU 1. FIG. 4 is a flowchart of a process executed by another ECU 2, and FIG. 5 is a flowchart of a process executed by an OS (Operating System) of the other ECU 2.
[0021]
As shown in FIG. 2, the input / output ECU 3 determines in step 110 whether the master ECU that is executing the current wiper control is another ECU 2. This processing is determined, for example, by determining whether or not a flag in the input / output ECU 3 is set. This flag is determined by a control master indicating that the master ECU for wiper control has become another ECU 2 in step 440 of FIG. The signal is set when a switching signal is sent from another ECU 2 to the input / output ECU 3.
[0022]
If a negative determination is made in step 110, the process proceeds to step 120, where a control signal indicating the content of the wiper drive instruction is acquired from the wiper ECU 1 in order to execute the wiper drive by the wiper ECU 1. On the other hand, if an affirmative determination is made, the routine proceeds to step 130, where a control signal indicating the content of the wiper drive instruction is acquired from another ECU 2 in order to execute the wiper drive by the other ECU 2.
[0023]
Thereafter, in step 140, an output corresponding to the control signal acquired in step 120 or step 130 is generated as a wiper motor drive output. As a result, the wiper motor 5 performs wiper drive according to a request from the driver.
[0024]
As shown in FIG. 3, the wiper ECU 1 predicts in step 210 whether the wiper ECU 1 itself can fail. In this processing, for example, even though the wiper ECU 1 transmits a predetermined signal to the input / output ECU 3 via the multiplex communication line 4, it cannot receive a reply signal from the input / output ECU 3, Is received, the wiper ECU 1 is predicted to be able to break down if there is any omission from the expected content of the reply signal or if such a state occurs more than a predetermined frequency. If a negative determination is made in this step, it is determined that the communication system failure of the wiper ECU 1 has not occurred, and the routine proceeds to step 220 to execute (continue) the wiper control. If an affirmative determination is made, the routine proceeds to step 230, where the wiper control program stored in the wiper ECU 1 itself is transferred to another ECU 2, and the process is terminated.
[0025]
As shown in FIG. 4, the other ECU 2 determines in step 310 whether or not the wiper control program has been transferred from the wiper ECU 1. This process is performed by referring to the flag, when the wiper control program is transferred from the wiper ECU 1 in step 230 in FIG. Then, if a negative determination is made in step 310, the wiper drive is executed by the wiper ECU 1 instead of the other ECU 2, and the process is terminated as it is. On the other hand, if the determination is affirmative, the received wiper control program is written into the empty area of the other ECU 2 itself, and then an additional task generation signal indicating that an additional task has occurred in addition to the program executed by the other ECU 2 itself Send to OS.
[0026]
As shown in FIG. 5, the OS of the other ECU 2 determines in step 410 whether or not there is an additional task. This processing is performed by referring to the flag when the OS receives the additional task generation signal in step 330 in FIG. 4 because a flag indicating that fact is set in the OS. Then, if a negative determination is made in step 410, the process ends as there is no additional task, and if an affirmative determination is made, task scheduling is reconstructed. For example, if the control programs (1) and (2) that must be executed by another ECU 2 already exist, the wiper control program is added to the control program (3) after the control programs (1) and (2). ) And only the control programs (1) and (2) need to be executed, and the order is reset as control programs (1) to (3).
[0027]
Next, the process proceeds to step 430, where the execution environment is reconstructed. That is, the resource allocation of the microcomputer in the OS is changed so that the resource function is given to the wiper control program set as the control program (3).
[0028]
Then, the process proceeds to step 440, where a control master switching signal indicating that the master ECU for wiper control has been changed to another ECU 2 is transmitted to the input / output ECU 3, and the process is terminated. When the control master switching signal is transmitted, the input / output ECU 3 receives the signal and performs processing such as setting a flag in the input / output ECU 3.
[0029]
As described above, in the present embodiment, it is predicted that a communication system failure of the wiper ECU 1 may occur, and it is assumed that the wiper control by the wiper ECU 1 is becoming impossible. In this case, the wiper control program stored in the wiper ECU 1 is reliably transferred to another ECU 2 before a failure occurs. Then, the other ECU 2 installs the transferred wiper control program, and after the installation, executes the wiper control in place of the wiper ECU 1.
[0030]
In the present embodiment, the wiper ECU 1 and the input / output ECU 3 are configured separately so that the wiper control can be performed by another ECU 2 instead of the wiper ECU 1. The reason for this is that the communication between the case where the wiper driving ECU similar to the conventional one shown in FIGS. 6A and 6B is used and the case where the wiper ECU 1 and the input / output ECU 3 are configured differently as in this embodiment. A description will be given with reference to embodiments.
[0031]
As shown in FIG. 6A, the wiper driving ECU 50 conventionally used for wiper control has a configuration in which the wiper ECU 1 and the input / output ECU 3 shown in the present embodiment are integrated. I have. In the case of such a configuration, transfer of a control signal from another ECU 51 through the wiper driving ECU 50 in which a communication system failure has occurred, as indicated by a communication path indicated by an arrow in FIG. It must be made. For this reason, even if the wiper control ECU 50 transfers the wiper control program to another ECU 51 when the occurrence of a communication system failure is predicted, the other ECU 51 cannot drive the wiper motor 52.
[0032]
However, if the wiper ECU 1 and the input / output ECU 3 are configured differently as in the present embodiment, the wiper ECU 1 in which a communication system failure has occurred, such as the communication path indicated by the arrow in FIG. It is possible to exchange control signals from other ECUs 2 without passing through the communication path. Therefore, when the occurrence of a communication system failure of the wiper ECU 1 is predicted, the wiper control can be executed by another ECU 2 by transferring the wiper control program to the other ECU 2.
[0033]
By using the vehicle control device having such a configuration, even after a communication system failure of the wiper ECU 1 occurs, the other ECU 2 executes the same wiper control as that performed by the wiper ECU 1 in a fail-safe manner. Function can be obtained.
[0034]
In addition, since the general-purpose control device already mounted on the vehicle is used as the other ECU 2 as the vehicle control, if a failure of the communication system of the wiper ECU 2 is predicted, only the wiper control program is separately installed. It is also possible to eliminate the need to install an ECU.
[0035]
(Other embodiments)
In the first embodiment, the wiper ECU 1 for driving the wiper has been described as an example. However, the transfer of the program is not limited to the wiper control program in the wiper ECU 1 but may be another control program such as a headlamp control program. By doing so, the same fail-safe function as in the first embodiment can be obtained.
[Brief description of the drawings]
FIG. 1 is a diagram showing a block configuration of a vehicle control device according to a first embodiment of the present invention.
FIG. 2 is a flowchart of a process executed by an input / output ECU 3 shown in FIG.
FIG. 3 is a flowchart of a process executed by a wiper ECU 1 shown in FIG.
FIG. 4 is a flowchart of a process executed by another ECU 2 shown in FIG.
FIG. 5 is a flowchart of a process executed by an OS of another ECU 2 shown in FIG.
FIG. 6A is a schematic diagram illustrating a communication mode when a wiper driving ECU is configured in the same manner as in the related art, and FIG. 6B is a schematic diagram illustrating a communication mode of the vehicle control device in the present embodiment FIG.
[Explanation of symbols]
DESCRIPTION OF SYMBOLS 1 ... Wiper ECU, 2 ... Other ECU, 3 ... Input / output ECU, 4 ... Multiple communication line,
5. Wiper motor.

Claims (4)

車両に搭載され、内蔵された制御プログラムに基づき第1の制御を実行するための制御信号を発生させる第1制御装置(1)と、
前記車両に搭載され、前記第1の制御とは異なる第2の制御を実行するための第2制御装置(2)と、
前記第1制御装置からの制御信号が入力され、前記制御信号に基づいた出力を発生させる入出力制御装置(3)と、
前記第1制御装置、前記第2制御装置および前記入出力制御装置それぞれの間を接続し、これら各制御装置間での通信を可能とした多重通信線(4)とを備え、
前記第1制御装置と前記第2制御装置は車載機器制御用として既に前記車両に搭載されている汎用制御装置であり、
前記第1制御装置と前記入出力制御装置との間において通信システム故障を予測した場合、前記多重通信線を介して前記第1制御装置に内蔵された制御プログラムを前記第2制御装置に転送し、前記第2制御装置内にインストールすると共に、該インストール後には前記第1制御装置に代わって前記第2制御装置が前記第1の制御を実行するための制御信号を前記入出力制御装置に出力し、この制御信号に基づいて前記入出力制御装置が前記第1の制御を実行するようになっていることを特徴とする車両用制御装置。A first control device (1) mounted on a vehicle and generating a control signal for executing first control based on a built-in control program;
A second control device (2) mounted on the vehicle for executing a second control different from the first control;
An input / output control device (3) that receives a control signal from the first control device and generates an output based on the control signal;
A multiplex communication line (4) for connecting between the first control device, the second control device, and the input / output control device, and enabling communication between the control devices;
The first control device and the second control device are general-purpose control devices already mounted on the vehicle for controlling in-vehicle devices,
When a communication system failure is predicted between the first control device and the input / output control device, a control program incorporated in the first control device is transferred to the second control device via the multiplex communication line. Installing in the second control device, and after the installation, the second control device outputs a control signal for executing the first control in place of the first control device to the input / output control device. A control device for a vehicle, wherein the input / output control device executes the first control based on the control signal. 前記第1制御装置、前記第2制御装置および前記入出力制御装置は、それぞれ別体のチップとして構成されていることを特徴とする請求項1に記載の車両用制御装置。The vehicle control device according to claim 1, wherein the first control device, the second control device, and the input / output control device are each configured as a separate chip. 前記第1制御装置は、前記第1制御装置が前記入出力制御装置に所定の信号を送信しているにも関わらず、前記入力制御装置からの返信信号を受信することができない場合、もしくは返信信号を受信していても、その返信信号の内容として予想されるものから抜けがある場合に前記通信システム故障であると予測して、前記制御プログラムの転送を行うようになっていることを特徴とする請求項1または2に記載の車両用制御装置。The first control device is configured to be unable to receive a reply signal from the input control device even though the first control device transmits a predetermined signal to the input / output control device, or Even if a signal is received, the communication program is predicted to be faulty and the control program is transferred when there is a missing from the expected content of the reply signal. The control device for a vehicle according to claim 1 or 2, wherein 前記第1制御装置は、前記システム故障が所定頻度以上に起こる場合に、前記制御プログラムの転送を行うようになっていることを特徴とする請求項3に記載の車両用制御装置。The control device for a vehicle according to claim 3, wherein the first control device is configured to transfer the control program when the system failure occurs more than a predetermined frequency.
JP2003091057A 2003-03-28 2003-03-28 Vehicle control device Expired - Fee Related JP4039291B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003091057A JP4039291B2 (en) 2003-03-28 2003-03-28 Vehicle control device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003091057A JP4039291B2 (en) 2003-03-28 2003-03-28 Vehicle control device

Publications (2)

Publication Number Publication Date
JP2004291943A true JP2004291943A (en) 2004-10-21
JP4039291B2 JP4039291B2 (en) 2008-01-30

Family

ID=33404527

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003091057A Expired - Fee Related JP4039291B2 (en) 2003-03-28 2003-03-28 Vehicle control device

Country Status (1)

Country Link
JP (1) JP4039291B2 (en)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010015452A (en) * 2008-07-04 2010-01-21 Denso Corp Program execution device and execution control program
JP2010036658A (en) * 2008-08-01 2010-02-18 Tokai Rika Co Ltd Wiper controller
DE102011001600A1 (en) 2010-03-31 2011-10-06 Denso Corporation Control system with electronic control units and electronic control unit for the system
EP2648368A4 (en) * 2010-11-29 2017-11-01 Yazaki Corporation Operation support device, electronic apparatus, electronic control device, and control system
WO2020095645A1 (en) * 2018-11-06 2020-05-14 株式会社オートネットワーク技術研究所 Program update system and update processing program
JP2022012834A (en) * 2020-07-02 2022-01-17 トヨタ自動車株式会社 Software update device, method, program and vehicle
WO2023209820A1 (en) * 2022-04-26 2023-11-02 日立Astemo株式会社 In-vehicle electronic device

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010015452A (en) * 2008-07-04 2010-01-21 Denso Corp Program execution device and execution control program
JP2010036658A (en) * 2008-08-01 2010-02-18 Tokai Rika Co Ltd Wiper controller
DE102011001600A1 (en) 2010-03-31 2011-10-06 Denso Corporation Control system with electronic control units and electronic control unit for the system
JP2011213210A (en) * 2010-03-31 2011-10-27 Denso Corp Electronic control unit and control system
US8447418B2 (en) 2010-03-31 2013-05-21 Denso Corporation Control system having electronic control units and electronic control unit for the system
EP2648368A4 (en) * 2010-11-29 2017-11-01 Yazaki Corporation Operation support device, electronic apparatus, electronic control device, and control system
WO2020095645A1 (en) * 2018-11-06 2020-05-14 株式会社オートネットワーク技術研究所 Program update system and update processing program
JP2020075580A (en) * 2018-11-06 2020-05-21 株式会社オートネットワーク技術研究所 Program update system and update processing program
JP7192415B2 (en) 2018-11-06 2022-12-20 株式会社オートネットワーク技術研究所 Program update system and update processing program
JP2022012834A (en) * 2020-07-02 2022-01-17 トヨタ自動車株式会社 Software update device, method, program and vehicle
JP7419992B2 (en) 2020-07-02 2024-01-23 トヨタ自動車株式会社 Software update device, method, program and vehicle
WO2023209820A1 (en) * 2022-04-26 2023-11-02 日立Astemo株式会社 In-vehicle electronic device

Also Published As

Publication number Publication date
JP4039291B2 (en) 2008-01-30

Similar Documents

Publication Publication Date Title
US8452465B1 (en) Systems and methods for ECU task reconfiguration
JP6981357B2 (en) Vehicle control device
JP2010285001A (en) Electronic control system and functional agency method
JP4091126B2 (en) Fault resilient vehicle control system
KR100767074B1 (en) Failure sensing device of vehicle control system
EP1227007B1 (en) Fail-safe system and method in integrated control of vehicle
WO2018138775A1 (en) Shared backup unit and control system
EP1353477B1 (en) Communications system of two-wire line enhancing fail-safe performance
JPH11250029A (en) Monitoring method and device for computer device consisting of at least two processors
JP2915037B2 (en) Operation control system of electric load for automobile
JP2011213210A (en) Electronic control unit and control system
JP4039291B2 (en) Vehicle control device
JP7327325B2 (en) In-vehicle device, information generation method, information generation program, and vehicle
JP2791169B2 (en) Centralized wiring system for automobiles
US20200156579A1 (en) In-vehicle system
KR102109125B1 (en) Method for managing state of ECU in vehicle based on automotive open system architecture
US20230138932A1 (en) Software updating device, software updating method, and software update processing program
JP2006327216A (en) Program for vehicle control and electronic control device for vehicle
US20080077924A1 (en) System and method for distributing and executing program code in a control unit network
JP6032174B2 (en) Communication control device
JP5764043B2 (en) Vehicle control system
WO2022163386A1 (en) Onboard device and relay method
JP4375105B2 (en) Microcomputer monitoring device failure diagnosis method and vehicle electronic control device
US20240086174A1 (en) Vehicular electronic control device and update program
WO2024023873A1 (en) Onboard control device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050607

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20050804

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20050804

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20071011

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20071016

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20071029

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101116

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111116

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111116

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121116

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131116

Year of fee payment: 6

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees