JP2004338630A - Vehicle function security system using dynamic reconstitution device - Google Patents
Vehicle function security system using dynamic reconstitution device Download PDFInfo
- Publication number
- JP2004338630A JP2004338630A JP2003139379A JP2003139379A JP2004338630A JP 2004338630 A JP2004338630 A JP 2004338630A JP 2003139379 A JP2003139379 A JP 2003139379A JP 2003139379 A JP2003139379 A JP 2003139379A JP 2004338630 A JP2004338630 A JP 2004338630A
- Authority
- JP
- Japan
- Prior art keywords
- vehicle
- collision
- computer
- software
- ecu
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
【0001】
【発明の属する技術分野】
本発明は、車両が衝突しても車載コンピュータによって行われる車両に係る処理の継続性を担保することで車両の機能を担保するための技術に関する。
【0002】
【従来の技術】
従来、車両の多くには、ECU(エンジン・コントロール・ユニット又はエレクトロニック・コントロールユニット)と呼ばれる車両に係る処理を実行する車載コンピュータが搭載されている。ECUは、車両に係る処理として、例えば、車両の状態監視及び/又は制御を行う。具体的には、ECUによる処理は、点火時期や燃料噴射等のエンジンの制御の他、自動変速装置(AT)、駆動系、制動系、及び操舵系の夫々の監視及び制御の多岐に亘っている。
【0003】
ECUは車両を構成する各系の制御装置として機能するので、ECU自体が破損すると、そのECUの制御対象を制御できない状態となる。これにより、車両の機能が損なわれる可能性がある。このため、車両が衝突した場合でも、ECUで行われていた動作(監視及び/又は制御)が担保されることが望まれている。
【0004】
この要請に応える手法として、次のようなものがある。
(A)ECUの取り付け場所を最も衝突の影響の少ない場所に設定する。
(B)ECUを強固に作る、または車両構造上でECUの保護板等を追加してECUの保護を図る。
(C)複数の同機能を持つECUを配置、または或るECUに他のECUの機能を余分に追加し、ECUを冗長系構成とする。
【0005】
しかしながら、上記(A)の手法では、車両の設計上、配置可能な位置が限られてしまう。また、室内空間が減少することが考えられる。また、上記(B)の手法では、車両の重量の増加や、部品数の増加によるコストの上昇を招来する可能性がある。また、上記(C)の手法では、冗長構成を採ることによるコストの上昇を招来する可能性がある。
【0006】
ところで、「ダイナミック・リコンフィギュラブル技術」と呼ばれる、チップ内部の回路構成を動的にかつ高速に切り替えることが可能な技術が既に提案されており(例えば、非特許文献1参照)、このダイナミック・リコンフィギュラブル技術によって、ソフトウェアにより、チップ内部の回路構成を動的かつ高速に行うことが可能なデバイス(本明細書において、「動的再構成デバイス」と呼ぶ)が幾つか提案されている。
【0007】
動的再構成デバイスは、回路の書換を数ns〜数十nsで回路を書き換える(切り替える)ことができ、また、回路の切り替えを、アプリケーション・プログラム上からOS(Operating system)のAPI(Application Program Interface)を使って1クロックで行うことができる。従って、動的再構成デバイスは、1クロック毎に異なる回路として機能することができ、見かけ上、複数の回路が搭載されているのと同等の機能を発揮することができる。
【0008】
また、車両の衝突を予測する手段として、例えば、超音波や電波により車両から物体までの距離を検出するプリクラッシュセンサが既に提案されている(例えば、特許文献1、特許文献2参照)。
【0009】
【非特許文献1】
進藤 智則、「ソフトの発想が仮想回路を生む ハードが瞬時に七変化 ダイナミック・リコンフィギュラブル技術が産声」、日経エレクトロニクス、2002年11月18日号、p69−p76
【特許文献1】
特開2001−206176号公報
【特許文献2】
特開2001−225680号公報
【発明が解決しようとする課題】
本発明の目的は、動的再構成デバイスを用いて車両の衝突時における車載コンピュータの動作を担保可能な技術を提供することである。
【0010】
【課題を解決するための手段】
本発明は、上述した目的を達成するため以下の構成を採用する。
【0011】
本発明の第1の態様は、ソフトウェアによりチップの内部回路構成を動的かつ高速に切りかえることが可能な動的再構成デバイスを夫々含み、この動的再構成デバイスを用いて車両に係る処理を夫々行う複数の車載コンピュータと、
前記車載コンピュータ間を結ぶ車載ネットワークと、
車両の衝突を予測する衝突予測手段と、
前記衝突予測手段によって衝突が予測されるときに、その衝突の影響が及ぶことが予想される或る車載コンピュータから他の車載コンピュータへ前記或る車載コンピュータで実行されている車両に係る処理に対応する動的再構成デバイスの構成用ソフトウェアを前記車載ネットワークを介して転送するための制御を行う転送制御手段と、
を含む車両機能担保システム、である。
【0012】
第1の態様において、他の車載コンピュータは、「衝突の影響が及ぶことが予想されなかった」車載コンピュータと、「衝突の影響が及ばないことが予想された」車載コンピュータとの双方を含むことができる。
【0013】
好ましくは、第1の態様では、前記或る車載コンピュータは、自身が行っている車両に係る処理に対応する動的再構成デバイスの構成用ソフトウェアを含む当該車両に係る処理を行うための実行ソフトウェアを前記他の車載コンピュータに転送し、
前記他の車載コンピュータは、転送された実行ソフトウェアの実行により前記或る車載コンピュータで行われていた車両に係る処理を引き継いで行う。
【0014】
この場合、他の車載コンピュータは、転送された実行ソフトウェアによる車両に係る処理と、自身が実行している別の車両に係る処理との双方を、動的再構成デバイスの回路構成の切り替えによって行うように構成することができる。
【0015】
但し、他の車載コンピュータが、実行ソフトウェアから構成用ソフトウェアが除かれた部分を予め保持し、或る車載コンピュータから構成用ソフトウェアのみを受け取って実行ソフトウェアを実行するように構成しても良い。
【0016】
好ましくは、第1の態様では、前記転送制御手段は、車両の衝突の虞のある方向から衝突の影響が及ぶことが予想される車載コンピュータを特定し、この特定された車載コンピュータに対し、他の車載コンピュータへの前記動的再構成デバイスの構成用ソフトウェアの転送指示を与える。
【0017】
好ましくは、第1の態様では、前記転送制御手段は、車両の衝突の虞のある方向から衝突の影響が及ぶことが予想される車載コンピュータを特定し、この特定された車載コンピュータ以外の車載コンピュータに対し、この特定された車載コンピュータからの前記動的再構成デバイスの構成用ソフトウェアのダウンロード指示を与える。
【0018】
衝突の虞のある方向は、例えば、車両の1以上の方向に夫々対応づけて車両と車両外の物体との距離を検出するセンサを設け、センサの出力から車両の衝突を予測するとともに、そのセンサに対応する方向から予測することができる。
【0019】
また、衝突の影響が及ぶことが予想される車載コンピュータは、例えば、衝突方向と車載コンピュータの設置位置とを予め対応づけておくことで、特定することができる。
【0020】
また、本発明は、第2の態様として、第1の態様としての車両機能担保システムとほぼ同様の特徴を持つ車両機能担保方法として特定することができる。
【0021】
また、本発明は、第3の態様として、第1の態様としての車両機能担保システムとほぼ同様の特徴を持つコンピュータプログラムとして特定することもできる。
【0022】
また、本発明は、第4の態様として、第1の態様における衝突予測手段及び転送制御手段を含む車両機能担保装置として特定することもできる。
【0023】
さらに、本発明は、第5の態様として、第1の態様としての車両機能担保システムが搭載された車両として特定することもできる。
【0024】
さらに、本発明は、第6の態様として、車両に搭載され、他の車載コンピュータと車載ネットワークを介して接続される車載コンピュータであって、
ソフトウェアによりチップの内部回路構成を動的かつ高速に切りかえることが可能な動的再構成デバイスと、
前記動的再構成デバイスを用いて車両に係る処理を行う制御手段と、
車両の衝突による影響が前記他の車載コンピュータに及ぶことが予想されるときに、前記他の車載コンピュータから前記車載ネットワークを介して転送されてくる、前記他の車載コンピュータで行われている車両に係る処理を行うための実行ソフトウェアを受信する受信手段と、を含み、
前記制御手段は、前記受信手段で前記実行ソフトウェアが受信される場合に、他の実行ソフトウェアの実行によって前記他の車載コンピュータで行われていた車両に係る処理とは別の車両に係る処理を前記動的再構成デバイスを用いて行っていた場合には、この別の車両に係る処理とともに受信された実行ソフトウェアの実行による車両に係る処理を前記動的再構成デバイスを用いて行う
車載コンピュータ、として特定することもできる。
【0025】
【発明の実施の形態】
以下、図面を参照して本発明の実施形態を説明する。実施形態における構成は例示であり、本発明は実施形態の構成の範囲に限定されない。
【0026】
図1は、本発明の実施形態における車両機能担保システムの概略構成を示す図である。図1において、車両機能担保システムは、車両に搭載された複数の車載コンピュータとしての複数のECU1−1,1−2,・・・,1−n(nは自然数;以下、特定のECUを指定しない場合には、「ECU1」と表記する)と、ECU間を接続する車載ネットワーク2と、車両の衝突方向を予測する衝突方向予知手段3とを備えている。
【0027】
複数のECU1−1,1−2,・・・,1−nは、車両内において、相互に距離をおいて配置されている。車両の衝突による影響が全てのECU1に及ぶのを防止するためである。また、各ECU1は、或るECU1が車両と車両外の物体との或る方向での衝突によりその影響を受ける(影響が及ぶ)場合でも、その衝突の影響を受けない(影響が及ばない)少なくとも1つの他のECU1が存在するように配置される。
【0028】
図1に示す例では、ECU1−1は車両内の前面(正面)側に配置され、ECU1−2は車両内の右側(左側面)に配置され、ECU1−3は車両内の左側(右側面)に配置され、ECU1−nは車両の後面(背面)側に配置されている。この場合、ECU1−1は、車両の後方の衝突による影響がECU1−nに及ぶ場合でもこの影響が及ばないと予想される位置に配置されている。また、ECU1−nは、車両の前方の衝突による影響がECU1−1に及ぶ場合でもその影響が及ばないと予想される位置に配置されている。また、ECU1−2は車両の左方の衝突による影響がECU1−3に及ぶ場合でもその影響が及ばないと予想される位置に配置されている。そして、ECU1−3は車両の右方の衝突による影響がECU1−2に及ぶ場合でもその影響が及ばないと予想される位置に配置されている。
【0029】
また、各ECU1には、各ECU1が夫々異なる車両に係る処理(例えば、車両の状態監視及び/又は制御)を行うように、異なる実行ソフトウェア11(11−1,11−2,・・・,11−n:nは自然数;以下、特定の実行ソフトウェアを指定しない場合には、「実行ソフトウェア11」と表記する)が搭載されている。各ECU1は、実行ソフトウェア11を実行することによって、車両に係る処理を行う。
【0030】
ここで、各ECU1は、動的再構成デバイス12(12−1,12−2,・・・,12−n:nは自然数;以下、特定の動的再構成デバイスを指定しない場合には、「動的再構成デバイス12」と表記する)を備えている。実行ソフトウェア11は、動的再構成デバイス12の回路構成をそのECU1で実行される車両に係る処理に対応する構成に切り替える(再構成する)ための構成用ソフトウェアを含んでおり、実行ソフトウェア11が実行されると、動的再構成デバイス12の回路構成が車両に係る処理に対応した構成にされる。このような動的再構成デバイス12を用いて車両に係る処理が実行される。
【0031】
車載ネットワーク2は、例えばLANで構成される。但し、他の接触型(有線通信)、或いは無線LANやBlueToothのような非接触通信を適用することも可能である。各ECU1は、車載ネットワーク2を介して、実行ソフトウェア11や、必要な場合にはデータ(例えば、実行ソフトウェア11の実行に際して使用されるデータ)を他のECU1に転送することができる。
【0032】
衝突方向予知手段3は、超音波や電波により車両と車両外の物体との距離を検出し、衝突する虞があるか否かの判断と、その衝突方向の特定とを行う衝突予測手段として機能するとともに、衝突による影響が及ぶと予想されるECU1で実行されている実行ソフトウェア11を影響が及ばないと予想される他のECU1へ転送するための制御を行う転送制御手段として機能する。
【0033】
図2は、図1に示した各ECU1の構成例を示す図である。図2に示すように、各ECU1は、制御手段としてのCPU1と、メモリ22(ROMやRAM等で構成される)と、動的再構成デバイス12のチップと、受信手段としての通信制御装置23と、入出力ユニット等がバス等を介して接続されることによって構成される。
【0034】
メモリ22は、実行ソフトウェア11や各種のデータの格納領域,CPU21の作業領域として使用される。CPU21は、実行ソフトウェア11の実行により動的再構成デバイス12の回路構成を再構成することによって、車両に係る処理を実行する。
【0035】
通信制御装置23は、例えばLANインターフェイス装置のようなネットワークインターフェイス装置であり、車載ネットワーク2に接続されており、他のECU1や衝突方向予知手段3との間での通信に係る処理を司る。
【0036】
図3は、衝突方向予知手段3の構成例を示す図である。図3に示すように、衝突方向予知手段3は、電子制御装置31と、電子制御装置31に接続された複数のプリクラッシュセンサ32F,32B,32R,32L(特定のプリクラッシュセンサを指定しない場合には「プリクラッシュセンサ32」と表記する)と、電子制御装置31に接続された通信制御装置33とを含んで構成されている。
【0037】
電子制御装置31は、CPU,ROM,RAM,入出力ポート装置等を含み、これらが双方向性のコモンバスにより互いに接続された周知の構成のマイクロコンピュータ及び駆動回路から構成することができる。電子制御装置31は、実行ソフトウェア11の転送制御用のテーブル34を保持している。
【0038】
プリクラッシュセンサ32Fは車両の前面に設けられ、プリクラッシュセンサ32Bは車両の後面に設けられ、プリクラッシュセンサ32Rは車両の右面に設けられ、プリクラッシュセンサ32Lは車両の左面に設けられている。各プリクラッシュセンサ32は、超音波や電波により、車両の各面に対する物体までの距離を検出する。この実施形態では、プリクラッシュセンサ32が、車両の前面,後面,右面,左面に夫々設けられることにより、車両の衝突の虞のある方向とプリクラッシュセンサ32とが対応付けられている。
【0039】
プリクラッシュセンサ32(衝突を予測するためのセンサ)は、ECU1の設置位置と、ECU1で行われる車両に係る処理の継続性の有無を考慮して用意することができる。即ち、上記例では、車両の前後左右の夫々の側にECU1が設置されており、各ECU1で行われている車両に係る処理の継続を車両の衝突時においても夫々保証(担保)するため、これらのECU1に合わせて前後左右の各方向に対応するプリクラッシュセンサ32が夫々設けられている。これに対し、全てのECU1ではなく、特定の1以上のECU1による車両に係る処理(即ち、車両に係る処理に基づく車両の機能)の継続性の担保が望まれる場合には、その処理の継続性の担保が望まれる車両に係る処理を行っているECU1の設置位置に対応する方向(例えば、ECU1−1であれば前方)に合わせて、その方向での衝突が予測できるようにプリクラッシュセンサ32が設置される。この意味においては、対応するセンサが用意されないECU1(例えば、重要ではない(処理の継続性が担保されなくても良い)車両に係る処理を行うECU1)については、そのECU1に衝突の影響が及ぶ場合でも、その衝突の影響を受けないと予想される他のECU1が存在しなくても良い。
【0040】
通信制御装置33は、例えばLANインターフェイス装置で構成され、車載コンピュータ2(LAN)に接続されており、各ECU1との間での通信に係る処理を司る。
【0041】
図4は、車両機能担保装置としての衝突方向予知手段3の電子制御装置31による衝突予想・転送制御処理の例を示すフローチャートである。図4に示す衝突予想・転送制御処理は常に実行されるように構成される。
【0042】
図4において、電子制御装置31は、プリクラッシュセンサ32を一つ特定し(ステップS1)、そのプリクラッシュセンサ32で検出されたセンサ出力(プリクラッシュセンサ32で検出された車両と物体との距離:今回の距離)を得る(ステップS2)。
【0043】
すると、電子制御装置31は、センサ出力に基づいて、衝突する虞があるか否かの判断を行う(ステップS3)。ステップS3の処理は、例えば次のようにして行われる。電子制御装置31は、今回の距離と、対応するプリクラッシュセンサ32から前回検出されたセンサ出力(前回の距離)との偏差を演算し、今回の距離と偏差とに基づき衝突の逼迫度を演算する。この場合、逼迫度は今回の距離が小さい程大きく偏差が大きい程大きい値になるよう、例えば今回の距離及び偏差の関数として演算される。そして、逼迫度が基準値(閾値:正のの定数)を超えているか否かの判別により、車両が衝突する虞があるか否かを判別する。ここで、衝突の虞があると判別されない場合(S3;NO)には、処理がステップS1に戻り、衝突の虞があると判別される場合(S3;YES)には、処理がステップS4に進む。
【0044】
衝突の虞があると判定された場合には、電子制御装置31は、ステップS4及びS5において、テーブル34を用いて転送制御に係る処理を行う。ここに、テーブル34は、衝突方向と、実行ソフトウェアの転送元のECU1と、実行ソフトウェアの転送先のECU1との夫々の識別子を含む1以上のレコードを格納している。
【0045】
ここに、転送元として、車両の衝突方向からその衝突の影響が及ぶと予想されるECU1の識別子が格納されており、転送先として、衝突の影響が及ばないと予想される(安全方向に配置されている)ECU1の識別子が格納されている。ECU1の識別子として、ここでは、ECU1のアドレスが格納されている。
【0046】
電子制御装置31は、ステップS1で特定したプリクラッシュセンサ32から車両の衝突方向を特定する。即ち、特定したプリクラッシュセンサ32がプリクラッシュセンサ32Fであれば衝突方向は前方(正面)であり、プリクラッシュセンサ32Bであれば衝突方向は後方(背面)であり、プリクラッシュセンサ32Rであれば衝突方向は右方(左側面)であり、プリクラッシュセンサ32Lであれば衝突方向は左方(右側面)であると判別する。
【0047】
続いて、電子制御装置31は、テーブル34を参照し、ステップS1で特定したプリクラッシュセンサ32に対応する転送元及び転送先の識別子(アドレス)をテーブル34から読み出す(ステップS4)。
【0048】
続いて、電子制御装置31は、転送先の識別子(アドレス)を含む実行ソフトウェアの転送指示を、転送元を宛先として、通信制御装置33を介して車載ネットワーク32に送出する(ステップS5)。その後、処理がステップS1に戻る。
【0049】
このようにして、衝突方向予知手段3は、衝突の虞があると判別した場合に、その衝突方向に対応する転送元に相当するECU1に対し、転送先のECU1のアドレスを含む実行ソフトウェア11の転送指示を送信する。
【0050】
図5は、転送元に該当する各ECU1(のCPU21)で行われる実行ソフトウェア11の転送処理の例を示すフローチャートである。図5において、ECU1は、衝突方向予知手段3からの転送指示の受信を常に受け付ける状態となっており(ステップS01)、転送指示を受信すると(S01;YES)、処理をステップS02に進める。
【0051】
ステップS02に処理が進んだ場合には、ECU1は、自身が実行している実行ソフトウェア11をメモリ22から読み出し、転送指示に含まれる転送先のアドレスを宛先として、通信制御装置23を介して車載ネットワーク2に送出する。
【0052】
このとき、ECU1は、実行ソフトウェア11と共に転送先へ送信すべきデータ(例えば、車両の処理に係るデータ)がある場合には(ステップS03;YES)、そのデータをメモリ22から読み出して転送先のECU1へ転送する(ステップS04)。
【0053】
このようにして、各ECU1は、衝突方向予知手段3からの転送指示を受信すると、自身が実行している車両に係る処理のための実行ソフトウェア11と、必要があれば転送先での実行ソフトウェア11の実行(車両に係る処理の継続)に必要なデータとを、転送先のECU1へ車載ネットワークを介して転送する。
【0054】
なお、転送元のECU1が転送先のECU1のアドレスを予め保持している構成にしても良い。この場合には、転送指示に転送先のECU1のアドレスが含まれている必要はない。また、この場合には、テーブル34から転送先の識別情報を省くこともできる。
【0055】
図6は、転送先に該当する各ECU1(のCPU21)で行われる実行ソフトウェアの受信処理の例を示すフローチャートである。図6において、ECU1は、他のECU1から転送されてくる実行ソフトウェア11の受信を受け付ける状態となっており(ステップS11)、実行ソフトウェア11を受信し、所定の記憶領域に格納する。このとき、実行ソフトウェア11とともにデータが転送されてきた場合には(ステップS12;YES)、そのデータも所定の記憶領域に格納する(ステップS13)。
【0056】
ECU1は、実行ソフトウェア11及びデータの受信が終了すると、その実行ソフトウェア11をインストールする(ステップS14)。
【0057】
そして、転送された実行ソフトウェア11を実行する(ステップS15)。このとき、転送先のECU1が、異なる実行ソフトウェア11(「既存実行ソフトウェア」と表記)を実行している場合には、この実行ソフトウェアと転送された実行ソフトウェア11(「転送実行ソフトウェア」と表記)との双方が実行される。
【0058】
ECU1のCPU21は、既存実行ソフトウェアと転送実行ソフトウェアとを例えばCPU21の動作クロックに従って所定のサイクルで切り替えて実行する。ここに、動的再構成デバイス12は、動的にかつ高速にそのチップの回路構成を切り替えることが可能となっているので、動的再構成デバイス12の回路構成は、所定のクロックサイクルに合わせて再構成することができる。
【0059】
このため、既存実行ソフトウェアが実行される場合には、動的再構成デバイス12の回路構成が既存実行ソフトウェアに含まれている回路構成用のソフトウェアにより既存実行ソフトウェアの実行によって行われる車両に係る処理に応じた回路構成に再構成されて、既存実行ソフトウェアに基づく車両に係る処理が行われる。同様に、転送実行ソフトウェアが実行される場合には、動的再構成デバイス12の回路構成が転送実行ソフトウェアに含まれている回路構成用のソフトウェアにより転送実行ソフトウェアの実行によって行われる車両に係る処理に応じた回路構成に再構成されて、転送実行ソフトウェアに基づく車両に係る処理が行われる。
【0060】
なお、車両に係る処理の実行主体が転送元のECU1から転送先のECU1に移行することにより、その車両に係る処理の系(状態監視/制御系等)の切り替え処理が行われる。
【0061】
このようにして、転送先のECU1は、転送元のECU1から受信した実行ソフトウェア11(転送実行ソフトウェア)を実行することによって、転送元のECU1で実行されていた車両に係る処理を継続して行う。このとき、転送先のECU1は転送先のECU1から当該車両に係る処理のデータを受信している(引き継いでいる)場合には、転送元のECU1で行われていた処理を引き継いで実行することができる。
【0062】
図7は、車両機能担保システムの作用説明図である。図7に示すように、車両の衝突が生じていない状態(定常時)において、ECU1−1が実行ソフトウェア1−1を実行しており、ECU1−nが実行ソフトウェア11−nを実行している状態において、衝突方向予知手段3が車両の前面の衝突を予測した場合には、ECU1−1で実行されている実行ソフトウェア11−1が車載ネットワーク2を介して車両の後部に配置された他のECU−nへ転送される。
【0063】
そして、ECU1−nは、転送されてきた実行ソフトウェア11−1(転送実行ソフトウェア)と、実行中の実行ソフトウェア11−n(既存ソフトウェア)との双方を、動的再構成デバイス12−nの回路構成を切り替えつつ実行することによって、ECU1−1で行われていた車両に係る処理を引き継いで行う。
【0064】
これによって、図7に示すように、車両の前面の衝突によりECU1−1が破損しても、ECU1−1で実行されていた車両に係る処理(対象の状態監視及び/又は制御等)がECU1−nで継続して行われるので、実行ソフトウェア11−1の実行による車両の機能が担保される。
【0065】
また、図7において、衝突方向予知手段3によって、車両の後面の衝突を予測した場合には、その衝突の影響が及ぶことが予想されるECU1−nで実行されている実行ソフトウェア11−nがECU1−nに転送され、実行ソフトウェア11−nがECU1−1で引き続き実行される。これによって、衝突によりECU1−nが破損しても、実行ソフトウェア11−nの実行による車両の機能を担保することができる。
【0066】
また、図7には示していないが、車両の右面の衝突により図1に示したようなECU1−2の破損が予想される場合には、ECU1−2で実行されている実行ソフトウェア11−2がECU1−3へ転送され、引き続き実行される。同様に、車両の左面の衝突によりECU1−3の破損が予想される場合には、ECU1−3で実行されている実行ソフトウェア11−3がECU1−2へ転送され、引き続き実行される。
【0067】
このようにして、各ECU1で実行されている実行ソフトウェア11が他のECU1へ転送され、引き続いて実行されるので、車両が衝突しても、各ECU1での実行ソフトウェアの実行による車両の機能を担保することができる。
【0068】
さらに、上述した実施形態によると、以下の利点がある。
【0069】
即ち、実施形態によれば、衝突の虞がある場合には、衝突の影響が及ぶことが予想されるECU1で実行されている車両に係る処理を、衝突の影響が及ばないと予想される他のECU1に引き継がせることができる。
【0070】
このため、複数のECUを最も衝突の影響の少ない場所に配置する必要がなくなる。これにより、室内空間の減少を抑えることもできる。但し、衝突方向予知手段3の電子制御装置31は、最も衝突の影響の少ない場所に配置されるのが好ましい。
【0071】
また、ECU自体を強固に作ったり、ECUを保護するための構成を追加する必要が無くなる。このため、車両重量の増加や部品点数の増加によるコスト上昇を回避することができる。
【0072】
さらに、予備のECUを用意した冗長構成を採らなくて済む。これによって、冗長構成を採ることによるコスト上昇を抑えることができる。
【0073】
上述した実施形態は、次のような変形が可能である。
【0074】
即ち、実施形態では、衝突方向予知手段3が転送元のECU1に転送指示を与え、転送元のECU1が転送先のECU1に実行ソフトウェア11を転送している。この構成に変えて、衝突方向予知手段3が転送元のECU1のアドレスを含む実行ソフトウェアのダウンロード指示を転送先のECU1に与え、転送先のECU1が転送元のECU1から実行ソフトウェアをダウンロードする(実行ソフトウェア11の転送要求を転送元に送信し、転送されてくる実行ソフトウェア11(転送応答)を受信する)ように構成しても良い。
【0075】
また、実施形態では、車両の衝突の影響が及ぶと予想されるECU1と影響が及ばないと予想されるECU1とが特定されるように構成されている。この構成に代えて、車両の衝突の影響が及ぶと予想されるECU1が特定され、これ以外の任意の他のECUが転送先として特定されるようにしても良い。
【0076】
また、実施形態では、或る方向の衝突が予測されると、その方向に対応する転送元及び転送先のECU1が特定されるように構成されている。この構成に代えて、衝突方向から転送元のECU1が特定されると、他の方向における衝突の虞の有無が判断され、衝突の虞がないと判断された方向に対応する1以上のECU1(衝突の影響が及ばないことが予想される1以上のECU1)の中から任意に転送先のECU1が選択されるように構成しても良い。
【0077】
また、衝突の虞の判断及び衝突方向の特定は、実施形態で述べた手法の他、既存の様々な周知技術を適用することができる。
【0078】
また、実施形態では、動的再構成デバイス12の構成用のソフトウェア(回路構成切り替え用のソフトウェア)を含む実行ソフトウェアを転送の対象としている。この構成に代えて、実行ソフトウェア11を、動的再構成デバイス12の構成用ソフトウェアと、残りのソフトウェアとに分離し、残りのソフトウェアが予め転送先のECU1に格納され、構成用ソフトウェアのみが転送対象となるように構成しても良い。但し、転送先のECU1の記憶領域を有効に利用するため、実行形態のように構成用ソフトウェアを含む実行ソフトウェアが転送されるように構成するのが好ましい。
【0079】
また、実施形態では、各ECUは、他のECUと相互に通信可能に構成されているが、車載ネットワーク2は、衝突方向予知手段3が各ECU1と通信を行うことができ、且つ転送元と転送先のECU1間で通信が可能なように構成されていれば良い。
【0080】
【発明の効果】
本発明によれば、動的再構成デバイスを用いて車両の衝突時における車載コンピュータの動作を担保可能な技術を提供することができる。
【図面の簡単な説明】
【図1】本発明の実施形態による車両機能担保システムの構成例を示す図
【図2】各ECUの構成例を示すブロック図
【図3】衝突方向予知手段の構成例を示すブロック図
【図4】衝突方向予知手段による衝突予測・転送制御処理を示すフローチャート
【図5】各ECUによる転送処理を示すフローチャート
【図6】各ECUによる実行ソフトウェアの受信処理を示すフローチャート
【図7】車両機能担保システムの作用説明図
【符号の説明】
1 ECU(車載コンピュータ)
2 車載ネットワーク
3 衝突方向予知手段
11 実行ソフトウェア
12 動的再構成デバイス
21 CPU
22 メモリ
23,33 通信制御装置
31 電子制御装置(コンピュータ,衝突予測手段,転送制御手段)
32 プリクラッシュセンサ
34 テーブル[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a technique for securing the function of a vehicle by ensuring the continuity of processing related to the vehicle performed by an on-board computer even when the vehicle collides.
[0002]
[Prior art]
2. Description of the Related Art Conventionally, many vehicles are equipped with an in-vehicle computer called an ECU (engine control unit or electronic control unit) that executes processing related to the vehicle. The ECU performs, for example, vehicle state monitoring and / or control as processing related to the vehicle. Specifically, the processing by the ECU covers a wide variety of monitoring and control of the automatic transmission (AT), the drive system, the braking system, and the steering system in addition to the control of the engine such as ignition timing and fuel injection. I have.
[0003]
Since the ECU functions as a control device of each system constituting the vehicle, if the ECU itself is damaged, the control target of the ECU cannot be controlled. As a result, the function of the vehicle may be impaired. Therefore, it is desired that the operation (monitoring and / or control) performed by the ECU is ensured even when the vehicle collides.
[0004]
There are the following methods to respond to this request.
(A) The mounting place of the ECU is set to a place where the influence of the collision is least.
(B) The ECU is made strong, or a protection plate for the ECU is added on the vehicle structure to protect the ECU.
(C) A plurality of ECUs having the same function are arranged, or a function of another ECU is added to a certain ECU, and the ECU is configured as a redundant system.
[0005]
However, in the method of the above (A), the position where it can be arranged is limited due to the design of the vehicle. In addition, the indoor space may be reduced. In addition, the method (B) may lead to an increase in the weight of the vehicle and an increase in the cost due to an increase in the number of parts. Further, in the method (C), there is a possibility that an increase in cost due to adopting a redundant configuration may be caused.
[0006]
By the way, a technique called “dynamic reconfigurable technology” capable of dynamically and rapidly switching a circuit configuration inside a chip has already been proposed (for example, see Non-Patent Document 1). Several devices (herein, referred to as “dynamically reconfigurable devices”) capable of dynamically and quickly performing a circuit configuration inside a chip by software using a reconfigurable technology have been proposed.
[0007]
The dynamic reconfigurable device is capable of rewriting (switching) a circuit in several ns to several tens of ns, and switching of the circuit is performed by an application program (API) of an OS (Operating System) from an application program. This can be performed in one clock using an interface. Therefore, the dynamic reconfigurable device can function as a different circuit for each clock, and can apparently perform the same function as having a plurality of circuits mounted.
[0008]
Further, as a means for predicting a vehicle collision, for example, a pre-crash sensor for detecting a distance from a vehicle to an object using ultrasonic waves or radio waves has already been proposed (for example, see
[0009]
[Non-patent document 1]
Toshinori Shindo, "The idea of software creates a virtual circuit, and hardware instantaneously changes into seven. Dynamic reconfigurable technology is born.", Nikkei Electronics, November 18, 2002, p69-p76.
[Patent Document 1]
JP 2001-206176 A
[Patent Document 2]
JP 2001-225680 A
[Problems to be solved by the invention]
An object of the present invention is to provide a technology capable of securing the operation of an in-vehicle computer at the time of a vehicle collision using a dynamic reconfiguration device.
[0010]
[Means for Solving the Problems]
The present invention employs the following configurations in order to achieve the above object.
[0011]
A first aspect of the present invention includes a dynamic reconfiguration device capable of dynamically and quickly switching an internal circuit configuration of a chip by software, and performs processing relating to a vehicle using the dynamic reconfiguration device. Multiple on-board computers each performing
An in-vehicle network connecting the in-vehicle computers,
Collision prediction means for predicting a vehicle collision;
When a collision is predicted by the collision predicting unit, a certain vehicle-mounted computer is expected to be affected by the collision. Transfer control means for performing control for transferring the configuration software of the dynamically reconfigurable device through the in-vehicle network,
And a vehicle function security system.
[0012]
In the first aspect, the other in-vehicle computers include both an in-vehicle computer that was “not expected to be affected by a collision” and an in-vehicle computer that was “not expected to be affected by a collision” Can be.
[0013]
Preferably, in the first aspect, the certain in-vehicle computer includes execution software for performing a process related to the vehicle including software for configuring a dynamic reconfiguration device corresponding to a process related to the vehicle being performed by itself. To the other in-vehicle computer,
The other in-vehicle computer takes over the processing related to the vehicle that was performed in the certain in-vehicle computer by executing the transferred execution software.
[0014]
In this case, the other in-vehicle computer performs both the process related to the vehicle by the transferred execution software and the process related to another vehicle being executed by switching the circuit configuration of the dynamically reconfigurable device. It can be configured as follows.
[0015]
However, another in-vehicle computer may be configured to hold in advance a portion of the execution software from which the configuration software has been removed, and to receive only the configuration software from a certain in-vehicle computer and execute the execution software.
[0016]
Preferably, in the first aspect, the transfer control means specifies an in-vehicle computer that is expected to be affected by the collision from a direction in which the vehicle may possibly collide, and Of the dynamic reconfigurable device to the in-vehicle computer.
[0017]
Preferably, in the first aspect, the transfer control means specifies a vehicle-mounted computer which is expected to be affected by the collision from a direction in which the vehicle may possibly collide, and a vehicle-mounted computer other than the specified vehicle-mounted computer. , An instruction to download software for configuring the dynamic reconfigurable device from the specified in-vehicle computer.
[0018]
The direction in which the collision is likely to occur, for example, is provided with a sensor that detects the distance between the vehicle and an object outside the vehicle in correspondence with one or more directions of the vehicle, and predicts the collision of the vehicle from the output of the sensor. It can be predicted from the direction corresponding to the sensor.
[0019]
In addition, a vehicle-mounted computer that is expected to be affected by a collision can be identified by, for example, associating the collision direction and the installation position of the vehicle-mounted computer in advance.
[0020]
Further, the present invention can be specified, as a second aspect, as a vehicle function securing method having substantially the same characteristics as the vehicle function securing system as the first aspect.
[0021]
Further, as a third aspect, the present invention can be specified as a computer program having substantially the same characteristics as the vehicle function security system according to the first aspect.
[0022]
Further, according to a fourth aspect of the present invention, it is possible to specify a vehicle function assurance device including the collision prediction unit and the transfer control unit according to the first aspect.
[0023]
Further, as a fifth aspect, the present invention can be specified as a vehicle equipped with the vehicle function security system as the first aspect.
[0024]
Further, as a sixth aspect, the present invention relates to a vehicle-mounted computer mounted on a vehicle and connected to another vehicle-mounted computer via a vehicle-mounted network,
A dynamic reconfigurable device that can dynamically and quickly switch the internal circuit configuration of the chip by software;
Control means for performing processing relating to the vehicle using the dynamic reconfiguration device,
When the effect of the vehicle collision is expected to affect the other on-vehicle computer, which is transferred from the other on-vehicle computer via the on-vehicle network, Receiving means for receiving execution software for performing such processing,
When the execution software is received by the reception unit, the control unit executes the process related to a vehicle different from the process related to the vehicle that has been performed by the other in-vehicle computer by executing another execution software. In the case where the dynamic reconfiguration device has been used, the process related to the vehicle by executing the execution software received together with the process relating to the another vehicle is performed using the dynamic reconfiguration device.
It can also be specified as an in-vehicle computer.
[0025]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, embodiments of the present invention will be described with reference to the drawings. The configuration in the embodiment is an exemplification, and the present invention is not limited to the scope of the configuration in the embodiment.
[0026]
FIG. 1 is a diagram showing a schematic configuration of a vehicle function security system according to an embodiment of the present invention. In FIG. 1, a vehicle function security system includes a plurality of ECUs 1-1, 1-2,..., 1-n (n is a natural number; hereinafter, a specific ECU is designated) as a plurality of in-vehicle computers mounted on a vehicle. If not, it is referred to as “ECU1”), an in-
[0027]
The plurality of ECUs 1-1, 1-2,..., 1-n are arranged at a distance from each other in the vehicle. This is to prevent the influence of the vehicle collision from affecting all the
[0028]
In the example shown in FIG. 1, the ECU 1-1 is disposed on the front side (front side) in the vehicle, the ECU 1-2 is disposed on the right side (left side) in the vehicle, and the ECU 1-3 is disposed on the left side (right side) in the vehicle. ), And the ECU 1-n is disposed on the rear (rear) side of the vehicle. In this case, the ECU 1-1 is disposed at a position where even if the influence of the rear collision of the vehicle affects the ECU 1-n, the influence is not expected to be exerted. Also, the ECU 1-n is arranged at a position where even if the influence of the collision ahead of the vehicle affects the ECU 1-1, the influence is not expected to be exerted. Further, the ECU 1-2 is arranged at a position where even if the influence of the left collision of the vehicle affects the ECU 1-3, the influence is not expected to be exerted. The ECU 1-3 is arranged at a position where even if the influence of the right collision of the vehicle affects the ECU 1-2, the influence is not expected to be exerted.
[0029]
In addition, each
[0030]
Here, each
[0031]
The in-
[0032]
The collision direction prediction means 3 functions as a collision prediction means for detecting the distance between the vehicle and an object outside the vehicle using ultrasonic waves or radio waves, determining whether there is a risk of collision, and specifying the collision direction. In addition, it functions as a transfer control unit that performs control for transferring the
[0033]
FIG. 2 is a diagram showing a configuration example of each
[0034]
The
[0035]
The
[0036]
FIG. 3 is a diagram showing an example of the configuration of the collision direction predicting means 3. As shown in FIG. 3, the collision direction predicting means 3 includes an
[0037]
The
[0038]
The
[0039]
The pre-crash sensor 32 (a sensor for predicting a collision) can be prepared in consideration of the installation position of the
[0040]
The
[0041]
FIG. 4 is a flowchart showing an example of a collision prediction / transfer control process by the
[0042]
In FIG. 4, the
[0043]
Then, the
[0044]
When it is determined that there is a possibility of collision, the
[0045]
Here, the identifier of the
[0046]
The
[0047]
Subsequently, the
[0048]
Subsequently, the
[0049]
In this way, when it is determined that there is a risk of collision, the collision direction prediction means 3 sends the
[0050]
FIG. 5 is a flowchart illustrating an example of a transfer process of the
[0051]
When the processing has proceeded to step S02, the
[0052]
At this time, if there is data to be transmitted to the transfer destination together with the execution software 11 (for example, data related to the processing of the vehicle) (step S03; YES), the
[0053]
In this way, when each
[0054]
The
[0055]
FIG. 6 is a flowchart illustrating an example of a process of receiving execution software executed by (the
[0056]
When the reception of the
[0057]
Then, the transferred
[0058]
The
[0059]
Therefore, when the existing execution software is executed, the circuit configuration of the dynamic
[0060]
Note that when the execution subject of the process related to the vehicle shifts from the
[0061]
In this way, the
[0062]
FIG. 7 is an explanatory diagram of the operation of the vehicle function security system. As shown in FIG. 7, in a state in which no collision of the vehicle occurs (at a steady state), the ECU 1-1 is executing the execution software 1-1, and the ECU 1-n is executing the execution software 11-n. In this state, when the collision direction predicting means 3 predicts a collision on the front of the vehicle, the execution software 11-1 executed by the ECU 1-1 is transmitted to another vehicle located at the rear of the vehicle via the
[0063]
The ECU 1-n converts both the transferred execution software 11-1 (transfer execution software) and the execution software 11-n (existing software) being executed into a circuit of the dynamic reconfiguration device 12-n. By executing the configuration while switching the configuration, the process related to the vehicle performed by the ECU 1-1 is taken over.
[0064]
As a result, as shown in FIG. 7, even if the ECU 1-1 is damaged due to a frontal collision of the vehicle, the processing (target state monitoring and / or control, etc.) related to the vehicle that has been executed by the ECU 1-1 is performed by the
[0065]
In FIG. 7, when the collision direction prediction means 3 predicts a collision on the rear surface of the vehicle, the execution software 11-n executed by the ECU 1-n which is expected to be affected by the collision is executed. The software is transferred to the ECU 1-n, and the execution software 11-n is continuously executed by the ECU 1-1. Thus, even if the ECU 1-n is damaged by the collision, the function of the vehicle by executing the execution software 11-n can be secured.
[0066]
Although not shown in FIG. 7, if the ECU 1-2 is expected to be damaged as shown in FIG. 1 due to a collision of the right side of the vehicle, the execution software 11-2 executed by the ECU 1-2 is executed. Is transferred to the ECU 1-3, and is continuously executed. Similarly, if the ECU 1-3 is expected to be damaged due to the collision of the left side of the vehicle, the execution software 11-3 executed by the ECU 1-3 is transferred to the ECU 1-2 and is continuously executed.
[0067]
In this way, the
[0068]
Further, according to the above-described embodiment, there are the following advantages.
[0069]
That is, according to the embodiment, when there is a possibility of a collision, the process related to the vehicle, which is executed by the
[0070]
Therefore, it is not necessary to arrange a plurality of ECUs in a place where the influence of the collision is least. Thereby, the decrease in the indoor space can be suppressed. However, it is preferable that the
[0071]
Further, it is not necessary to make the ECU itself firmly or to add a configuration for protecting the ECU. For this reason, an increase in cost due to an increase in vehicle weight and an increase in the number of parts can be avoided.
[0072]
Further, it is not necessary to adopt a redundant configuration in which a spare ECU is prepared. This can suppress an increase in cost due to adopting a redundant configuration.
[0073]
The above-described embodiment can be modified as follows.
[0074]
That is, in the embodiment, the collision direction prediction means 3 gives a transfer instruction to the
[0075]
In the embodiment, the
[0076]
Further, in the embodiment, when a collision in a certain direction is predicted, the source and
[0077]
In addition, in addition to the method described in the embodiment, various existing well-known techniques can be applied to the determination of the possibility of collision and the specification of the collision direction.
[0078]
In the embodiment, execution software including software for configuring the dynamic reconfigurable device 12 (software for switching a circuit configuration) is to be transferred. Instead of this configuration, the
[0079]
Further, in the embodiment, each ECU is configured to be able to communicate with other ECUs. However, in the vehicle-mounted
[0080]
【The invention's effect】
ADVANTAGE OF THE INVENTION According to this invention, the technique which can guarantee operation | movement of an in-vehicle computer at the time of a vehicle collision using a dynamic reconfiguration device can be provided.
[Brief description of the drawings]
FIG. 1 is a diagram showing a configuration example of a vehicle function security system according to an embodiment of the present invention.
FIG. 2 is a block diagram showing a configuration example of each ECU.
FIG. 3 is a block diagram illustrating a configuration example of a collision direction prediction unit.
FIG. 4 is a flowchart illustrating a collision prediction / transfer control process performed by a collision direction prediction unit.
FIG. 5 is a flowchart showing a transfer process by each ECU.
FIG. 6 is a flowchart showing a process of receiving execution software by each ECU.
FIG. 7 is an explanatory diagram of the operation of the vehicle function security system.
[Explanation of symbols]
1 ECU (in-vehicle computer)
2 In-vehicle network
3 Collision direction prediction means
11 Execution software
12 Dynamically reconfigurable device
21 CPU
22 memory
23,33 Communication control device
31 Electronic control unit (computer, collision prediction means, transfer control means)
32 Pre-crash sensor
34 table
Claims (15)
前記車載コンピュータ間を結ぶ車載ネットワークと、
車両の衝突を予測する衝突予測手段と、
前記衝突予測手段によって衝突が予測されるときに、その衝突の影響が及ぶことが予想される或る車載コンピュータから他の車載コンピュータへ前記或る車載コンピュータで実行されている車両に係る処理に対応する動的再構成デバイスの構成用ソフトウェアを前記車載ネットワークを介して転送するための制御を行う転送制御手段と、
を含む車両機能担保システム。A plurality of in-vehicle computers each including a dynamic reconfigurable device capable of dynamically and rapidly switching an internal circuit configuration of a chip by software, and performing processing relating to a vehicle using the dynamic reconfigurable device,
An in-vehicle network connecting the in-vehicle computers,
Collision prediction means for predicting a vehicle collision;
When a collision is predicted by the collision predicting unit, a certain vehicle-mounted computer is expected to be affected by the collision. Transfer control means for performing control for transferring the configuration software of the dynamically reconfigurable device through the in-vehicle network,
Vehicle function security system including.
前記他の車載コンピュータは、転送された実行ソフトウェアの実行により前記或る車載コンピュータで行われていた車両に係る処理を引き継いで行う
請求項1記載の車両機能担保システム。The certain in-vehicle computer transfers, to the other in-vehicle computer, execution software for performing a process related to the vehicle, including software for configuring a dynamic reconfiguration device corresponding to a process related to the vehicle being performed by itself. ,
2. The vehicle function security system according to claim 1, wherein the other in-vehicle computer takes over the processing related to the vehicle that has been performed in the certain in-vehicle computer by executing the transferred execution software.
請求項1又は2記載の車両機能担保システム。The transfer control unit specifies an in-vehicle computer that is expected to be affected by the collision from a direction in which a collision of the vehicle is likely to occur. 3. The vehicle function security system according to claim 1, wherein a transfer instruction of configuration software of the configuration device is given.
コンピュータが、
衝突予測手段として車両の衝突を予測し、
車両の衝突が予測されるときに、転送制御手段として、その衝突の影響が及ぶことが予想される或る車載コンピュータから他の車載コンピュータへ前記或る車載コンピュータで実行されている車両に係る処理に対応する動的再構成デバイスの構成用ソフトウェアを前記車載ネットワークを介して転送するための転送制御を行う、
ことを含む車両機能担保方法。A plurality of in-vehicle computers each including a dynamic reconfiguration device capable of dynamically and rapidly switching an internal circuit configuration of a chip by software, and performing processing relating to a vehicle using the dynamic reconfiguration device, An in-vehicle network connecting between in-vehicle computers, and a method for securing a function of a vehicle equipped with a system including:
Computer
Predict vehicle collision as collision prediction means,
When a collision of a vehicle is predicted, as a transfer control means, from one vehicle-mounted computer to which another vehicle is expected to be affected by the collision, processing relating to the vehicle being executed by the vehicle-mounted computer Perform transfer control for transferring the configuration software of the dynamic reconfigurable device corresponding to the in-vehicle network,
Vehicle function guarantee method including:
前記他の車載コンピュータは、転送された実行ソフトウェアの実行により前記或る車載コンピュータで行われていた車両に係る処理を引き継いで行う
請求項5記載の車両機能担保方法。The certain in-vehicle computer, by the transfer control, the execution software for performing the process related to the vehicle including the configuration software of the dynamic reconfigurable device corresponding to the process related to the vehicle that is being performed by the other, Transfer to in-vehicle computer,
6. The vehicle function securing method according to claim 5, wherein the other in-vehicle computer takes over the processing related to the vehicle that was performed in the certain in-vehicle computer by executing the transferred execution software.
請求項5又は6記載の車両機能担保方法。The computer specifies, as the transfer control means, an in-vehicle computer that is expected to be affected by the collision from a direction in which the vehicle may possibly collide, and sends the identified in-vehicle computer to another in-vehicle computer. 7. The vehicle function securing method according to claim 5, wherein a transfer instruction of the configuration software of the dynamic reconfigurable device is provided.
請求項5又は6記載の車両機能担保方法。The computer specifies, as the transfer control means, an in-vehicle computer that is expected to be affected by the collision from a direction in which a collision of the vehicle is likely to occur. 7. The vehicle function securing method according to claim 5, wherein an instruction to download the configuration software of the dynamic reconfigurable device is provided from the on-board computer.
コンピュータが、
車両の衝突を予測するステップと、
車両の衝突が予測されるときに、その衝突の影響が及ぶことが予想される或る車載コンピュータから他の車載コンピュータへ前記或る車載コンピュータで実行されている車両に係る処理に対応する動的再構成デバイスの構成用ソフトウェアを前記車載ネットワークを介して転送するための転送制御を行うステップと、
を実行するためのプログラム。A plurality of in-vehicle computers each including a dynamic reconfiguration device capable of dynamically and rapidly switching an internal circuit configuration of a chip by software, and performing processing relating to a vehicle using the dynamic reconfiguration device, An in-vehicle network connecting between in-vehicle computers, and a program for securing functions of a vehicle equipped with a system including:
Computer
Predicting a vehicle collision;
When a collision of the vehicle is predicted, the dynamics corresponding to the processing related to the vehicle being executed by the one in-vehicle computer from one in-vehicle computer to another in-vehicle computer that is expected to be affected by the collision Performing transfer control for transferring the configuration software of the reconfigurable device via the in-vehicle network;
Program to execute.
前記他の車載コンピュータは、転送された実行ソフトウェアの実行により前記或る車載コンピュータで行われていた車両に係る処理を引き継いで行う
請求項9記載のプログラム。The certain in-vehicle computer, by the transfer control, the execution software for performing the process related to the vehicle including the configuration software of the dynamic reconfigurable device corresponding to the process related to the vehicle that is being performed by the other, Transfer to in-vehicle computer,
10. The program according to claim 9, wherein the other in-vehicle computer takes over the processing related to the vehicle that was performed in the certain in-vehicle computer by executing the transferred execution software.
請求項9又は10記載のプログラム。In the step of performing the transfer control, an in-vehicle computer which is expected to be affected by the collision from a direction in which the vehicle is likely to collide is identified, and the identified in-vehicle computer is transmitted to another in-vehicle computer. The program according to claim 9, which gives an instruction to transfer software for configuring a dynamic reconfiguration device.
請求項9又は10記載のプログラム。In the step of performing the transfer control, an in-vehicle computer that is expected to be affected by the collision from a direction in which the vehicle is likely to collide is identified, and the in-vehicle computer other than the identified in-vehicle computer is identified. The program according to claim 9, wherein an instruction to download software for configuring the dynamically reconfigurable device is provided from an in-vehicle computer.
車両の衝突を予測する衝突予測手段と、
前記衝突予測手段によって衝突が予測されるときに、その衝突の影響が及ぶことが予想される或る車載コンピュータから他の車載コンピュータへ前記或る車載コンピュータで実行されている車両に係る処理に対応する動的再構成デバイスの構成用ソフトウェアを前記車載ネットワークを介して転送するための制御を行う転送制御手段と、
を含む車両機能担保装置。A plurality of in-vehicle computers each including a dynamic reconfiguration device capable of dynamically and rapidly switching an internal circuit configuration of a chip by software, and performing processing relating to a vehicle using the dynamic reconfiguration device, An in-vehicle network connecting between in-vehicle computers, and a device that secures functions of a vehicle equipped with a system including:
Collision prediction means for predicting a vehicle collision;
When a collision is predicted by the collision predicting unit, a certain vehicle-mounted computer is expected to be affected by the collision. Transfer control means for performing control for transferring the configuration software of the dynamically reconfigurable device through the in-vehicle network,
Vehicle function assurance device including:
前記車載コンピュータ間を結ぶ車載ネットワークと、
車両の衝突を予測する衝突予測手段と、
前記衝突予測手段によって衝突が予測されるときに、その衝突の影響が及ぶことが予想される或る車載コンピュータから他の車載コンピュータへ前記或る車載コンピュータで実行されている車両に係る処理に対応する動的再構成デバイスの構成用ソフトウェアを前記車載ネットワークを介して転送するための制御を行う転送制御手段と、
を含む車両機能担保システムが搭載された車両。A plurality of in-vehicle computers each including a dynamic reconfigurable device capable of dynamically and rapidly switching an internal circuit configuration of a chip by software, and performing processing relating to a vehicle using the dynamic reconfigurable device,
An in-vehicle network connecting the in-vehicle computers,
Collision prediction means for predicting a vehicle collision;
When a collision is predicted by the collision predicting unit, a certain vehicle-mounted computer is expected to be affected by the collision. Transfer control means for performing control for transferring the configuration software of the dynamically reconfigurable device through the in-vehicle network,
A vehicle equipped with a vehicle function security system including:
ソフトウェアによりチップの内部回路構成を動的かつ高速に切りかえることが可能な動的再構成デバイスと、
前記動的再構成デバイスを用いて車両に係る処理を行う制御手段と、
車両の衝突による影響が前記他の車載コンピュータに及ぶことが予想されるときに、前記他の車載コンピュータから前記車載ネットワークを介して転送されてくる、前記他の車載コンピュータで行われている車両に係る処理を行うための実行ソフトウェアを受信する受信手段と、を含み、
前記制御手段は、前記受信手段で前記実行ソフトウェアが受信される場合に、他の実行ソフトウェアの実行によって前記他の車載コンピュータで行われていた車両に係る処理とは別の車両に係る処理を前記動的再構成デバイスを用いて行っていた場合には、この別の車両に係る処理とともに受信された実行ソフトウェアの実行による車両に係る処理を前記動的再構成デバイスを用いて行う
車載コンピュータ。A vehicle-mounted computer mounted on the vehicle and connected to another vehicle-mounted computer via a vehicle-mounted network,
A dynamic reconfigurable device that can dynamically and quickly switch the internal circuit configuration of the chip by software;
Control means for performing processing relating to the vehicle using the dynamic reconfiguration device,
When the effect of the vehicle collision is expected to affect the other on-vehicle computer, which is transferred from the other on-vehicle computer via the on-vehicle network, Receiving means for receiving execution software for performing such processing,
When the execution software is received by the reception unit, the control unit executes the process related to a vehicle different from the process related to the vehicle that has been performed by the other in-vehicle computer by executing another execution software. An in-vehicle computer that, when being performed using the dynamic reconfiguration device, performs processing related to the vehicle by executing the execution software received together with the processing related to the other vehicle using the dynamic reconfiguration device.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003139379A JP4125178B2 (en) | 2003-05-16 | 2003-05-16 | Vehicle function guarantee system using dynamic reconfigurable device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003139379A JP4125178B2 (en) | 2003-05-16 | 2003-05-16 | Vehicle function guarantee system using dynamic reconfigurable device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2004338630A true JP2004338630A (en) | 2004-12-02 |
JP4125178B2 JP4125178B2 (en) | 2008-07-30 |
Family
ID=33528483
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003139379A Expired - Fee Related JP4125178B2 (en) | 2003-05-16 | 2003-05-16 | Vehicle function guarantee system using dynamic reconfigurable device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4125178B2 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007290654A (en) * | 2006-04-27 | 2007-11-08 | Tokai Rika Co Ltd | Electronic control system, electronic control device and control data writing method |
WO2017199967A1 (en) * | 2016-05-18 | 2017-11-23 | ナブテスコオートモーティブ 株式会社 | Vehicle driving control system |
WO2018207243A1 (en) * | 2017-05-09 | 2018-11-15 | 三菱電機株式会社 | Onboard authentication system, onboard authentication method, and onboard authentication program |
-
2003
- 2003-05-16 JP JP2003139379A patent/JP4125178B2/en not_active Expired - Fee Related
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007290654A (en) * | 2006-04-27 | 2007-11-08 | Tokai Rika Co Ltd | Electronic control system, electronic control device and control data writing method |
JP4685698B2 (en) * | 2006-04-27 | 2011-05-18 | 株式会社東海理化電機製作所 | Electronic control system, electronic control device, and control data writing method |
WO2017199967A1 (en) * | 2016-05-18 | 2017-11-23 | ナブテスコオートモーティブ 株式会社 | Vehicle driving control system |
JPWO2017199967A1 (en) * | 2016-05-18 | 2019-03-14 | ナブテスコオートモーティブ株式会社 | Vehicle operation control system |
JP6994222B2 (en) | 2016-05-18 | 2022-01-14 | ナブテスコオートモーティブ株式会社 | Vehicle driving control system |
WO2018207243A1 (en) * | 2017-05-09 | 2018-11-15 | 三菱電機株式会社 | Onboard authentication system, onboard authentication method, and onboard authentication program |
JPWO2018207243A1 (en) * | 2017-05-09 | 2019-11-07 | 三菱電機株式会社 | In-vehicle authentication system, vehicle communication device, authentication management device, in-vehicle authentication method, and in-vehicle authentication program |
Also Published As
Publication number | Publication date |
---|---|
JP4125178B2 (en) | 2008-07-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108363347B (en) | Hardware security for electronic control unit | |
JP4091126B2 (en) | Fault resilient vehicle control system | |
US9813436B2 (en) | Method for vehicle intrusion detection with electronic control unit | |
US9787703B2 (en) | Method for vehicle intrusion detection with mobile router | |
US20190340116A1 (en) | Shared backup unit and control system | |
US9776597B2 (en) | Vehicle with electronic system intrusion detection | |
JP6683806B2 (en) | Vehicle safety electronic control system | |
JP2010285001A (en) | Electronic control system and functional agency method | |
US9787694B2 (en) | Method for vehicle electronic system intrusion detection | |
JP2018531451A6 (en) | Vehicle safety electronic control system | |
KR101802858B1 (en) | Integrated data processing system and method for vehicle | |
JP7010087B2 (en) | Program update management device, program update management method, and program | |
CN111886588A (en) | Processing apparatus | |
US20140250528A1 (en) | Electronic control unit with vehicle intrusion detection | |
US11423178B2 (en) | Isolation of subsystems on a system on a chip | |
US11915027B2 (en) | Security and data logging of virtual machines | |
JP2008506204A (en) | Apparatus and method for exchanging data between a plurality of data buses | |
US20230336356A1 (en) | Data storage device, data storage method, and non-transitory computer readable storage medium | |
EP3872632A1 (en) | In-vehicle equipment control device | |
JP4125178B2 (en) | Vehicle function guarantee system using dynamic reconfigurable device | |
CN112550313A (en) | Fault-tolerant embedded automotive application through cloud computing | |
US10958472B2 (en) | Direct access to bus signals in a motor vehicle | |
WO2020162280A1 (en) | Electronic control device and control method | |
JP4039291B2 (en) | Vehicle control device | |
JP4954832B2 (en) | In-vehicle communication system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060411 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080422 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080507 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110516 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |