JP2013235481A - 故障検出装置 - Google Patents

故障検出装置 Download PDF

Info

Publication number
JP2013235481A
JP2013235481A JP2012108377A JP2012108377A JP2013235481A JP 2013235481 A JP2013235481 A JP 2013235481A JP 2012108377 A JP2012108377 A JP 2012108377A JP 2012108377 A JP2012108377 A JP 2012108377A JP 2013235481 A JP2013235481 A JP 2013235481A
Authority
JP
Japan
Prior art keywords
failure
output
ecu
input
node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2012108377A
Other languages
English (en)
Other versions
JP5822783B2 (ja
Inventor
Kenichi Sasaki
賢一 佐々木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2012108377A priority Critical patent/JP5822783B2/ja
Publication of JP2013235481A publication Critical patent/JP2013235481A/ja
Application granted granted Critical
Publication of JP5822783B2 publication Critical patent/JP5822783B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)

Abstract

【課題】故障情報共有のためのネットワーク負荷の増加を抑制しつつ、機能の冗長化、動的な故障検出機能の追加、正常ノード間での故障ノードに対する認識の一致を実現することのでき、かつ、信頼性の高い故障検出を行うことのできる故障検出装置を得る。
【解決手段】比較部14は、入出力組の出力データとして一致しない出力データを含む場合はその出力データのノードを故障と判定する。故障検出部16は比較部14で判定されたノードの故障を他のノードに通知する。また、各ノードは、一つの周期で複数のノードから同一のノードに対する故障通知を受けた場合、次の周期以降は故障通知を受けたノードからの故障通知は無視する。
【選択図】図1

Description

本発明は、同一機能を実現可能な複数のノードをグループ化し、グループ内ノードが相互に入出力データを交換して比較を行うことで機能の冗長化を行う分散システムにおいて、動的な故障検出を行う故障検出装置に関するものである。
現在の自動車では、複数のノード間でデータをやり取りすることにより、様々な機能を実現している。そのため、故障発生時により細かな制御を実現するためには、システム内の正常なノード間で故障ノードに関する認識を一致させることが重要となる。
従来の故障検出及び故障情報共有技術は、監視の対象となるノード(以下、監視対象ノード)のデータに対して任意数のノードで監視を行うことで(以下、監視ノード)、監視対象ノードの故障を検出する。そして、各監視ノードはサイクル毎に各々の監視結果である故障情報を他の監視ノードと交換し、収集した結果を基に多数決等の事前に定められた方法によって、故障情報の共有を図っていた(例えば、特許文献1参照)。
特開2009−37575号公報
しかしながら、従来手法では、故障の確認を行うための制御情報と、情報共有のための故障情報を別々に送信するため、あるノードに対して複数ノードで監視を行う場合は、故障検出の信頼性は高くなるが、バス負荷への影響が大きくなるという問題があった。一方、監視ノード数を少数とした場合は、バス負荷への影響は小さくなるが、監視ノードの故障等により対象の監視が出来なくなる可能性がある。監視ノードの故障を検出し、監視ノードを切り替えることも出来るが、切り替え先が故障している場合の対応等の複雑な設定を考慮する必要がある。
このように、従来の故障情報の共有方法は、監視ノードの故障に対する耐性を高めるためにはバス負荷への影響が大きく、バス負荷への影響を小さくするために監視ノードを少なくすると、対象ノードの監視が出来なくなる恐れがあった。
また、情報共有時のデータの選択手段によって、故障ノードが増えた場合に従来では誤った判定をしてしまうことも考えられる。例えば、多数決による故障ノードの特定では、過半数が故障した場合に誤った結果が出力される可能性があった。
この発明は上記のような課題を解決するためになされたもので、故障情報共有のためのネットワーク負荷の増加を抑制しつつ、機能の冗長化、動的な故障検出機能の追加、正常ノード間での故障ノードに対する認識の一致を実現することのでき、かつ、信頼性の高い故障検出を行うことのできる故障検出装置を得ることを目的とする。
この発明に係る故障検出装置は、ネットワークに接続された複数のノードをグループ化し、グループ内で相互に入出力データを周期的に交換する分散システムにおいて、ノードの故障検出を行う故障検出装置であって、各ノードは、入力データに対する演算を行い、演算結果を出力する演算部と、演算結果である出力データと入力データと組にした入出力組をグループ内の他のノードに対して転送すると共に、他のノードから入出力組を受信した場合に入力データを取り出す転送部と、入出力組における出力データと演算結果とを比較し、演算結果が入出力組のいずれかの出力データと一致した場合はその値を出力すると共に、いずれかの出力データと一致し、かつ、一致しない出力データを含む場合、一致しない出力データのノードを故障と判定し、一方、演算結果が入出力組の全ての出力データと一致しない場合は、入出力組の全ての出力データに演算結果を追加して新たな入出力組とする比較部と、比較部が判定したノードの故障をグループ内の他のノードに対して通知する故障検出部とを備え、各ノードは、一つの周期で複数のノードから同一のノードに対する故障通知を受けた場合、次の周期以降、故障通知を受けたノードからの故障通知を無視するようにしたものである。
この発明の故障検出装置は、一致しない出力データを含む場合はその出力データのノードを故障と判定して他のノードに通知し、かつ、一つの周期で複数のノードから同一のノードに対する故障通知を受けた場合、次の周期以降は故障通知を受けたノードからの故障通知は無視するようにしたので、故障情報共有のためのネットワーク負荷の増加を抑制しつつ、機能の冗長化、動的な故障検出機能の追加、正常ノード間での故障ノードに対する認識の一致を実現することができる。また、信頼性の高い故障検出を行うことができる。
この発明の実施の形態1の故障検出装置を示す構成図である。 この発明の実施の形態1の故障検出装置の適用対象として想定するシステムの構成図である。 この発明の実施の形態1の故障検出装置における2つのECU間の動作を示す説明図である。 この発明の実施の形態1の故障検出装置における4つのECUからなるシステムの構成図である。 図4のECU間のデータフローを示す説明図である。 この発明の実施の形態1の故障検出装置におけるECU1を開始ノードとした正常時の動作を示す説明図である。 この発明の実施の形態1の故障検出装置におけるECU1を開始ノードとした異常時の動作を示す説明図である。 この発明の実施の形態1の故障検出装置における4ECU構成時の正常時のシステム全体動作を示す説明図である。 この発明の実施の形態1の故障検出装置における4ECU構成時の異常時のシステム全体動作を示す説明図である。 この発明の実施の形態1の故障検出装置におけるECU3によるECU2の故障通知を示す説明図である。 この発明の実施の形態1の故障検出装置におけるECU4によるECU2の故障通知を示す説明図である。 この発明の実施の形態1の故障検出装置における入出力組を送信するECUの動作を示すフローチャートである。 この発明の実施の形態1の故障検出装置における入出力組を受信したECUの動作を示すフローチャートである。 この発明の実施の形態1の故障検出装置における故障通知を受信したECUの動作を示すフローチャートである。 この発明の実施の形態1の故障検出装置における故障ECU2による正常ECU1に対する誤った故障通知を示す説明図である。 この発明の実施の形態1の故障検出装置における故障ECU2による正常ECU1に対する誤った故障通知を示す説明図である。 この発明の実施の形態1の故障検出装置における故障ECU3による正常ECU1に対する誤った故障通知を示す説明図である。 この発明の実施の形態2の故障検出装置における動作を示す説明図である。 この発明の実施の形態3の故障検出装置における動作を示す説明図である。 この発明の実施の形態4の故障検出装置における動作を示す説明図である。 この発明の実施の形態5の故障検出装置における動作を示す説明図である。
実施の形態1.
実施の形態1では、ネットワークに接続された複数のノードの例としてECU(電子制御ユニット:Electrical Control Unit)の場合を説明する。実施の形態1では、同一機能を実現可能な複数のECUをグループ化し、グループ内ECUが相互に入出力データを交換して比較を行うことで機能の冗長化、及び動的な故障検出能力の追加を実現し、且つ故障検出時に故障情報の共有を行う。
ここで、同一機能を実現可能とは、該当ECUが同じ演算機能を持ち、ある入力に対して全く同じ演算結果が得られることを意味する。動的な故障検出能力とは、故障の発生状況に応じて故障を検出するECUが自動的に切り替わることを意味する。
本発明は、1周期内に2つのECUが同時に故障しないことを想定している。この想定は、1周期内に2つのノードが同時に故障し、且つ両者が同時に同じ誤りをする場合のみ問題となるが、その確率は十分に小さいと考えられることから妥当である。
各ECUは、入力データを取得し、それを基に演算を行い出力データを得る。その後、入力データと出力データのペア(以下、入出力組)をグループ内のECUに送信する。入出力組を受信したECUは、入力データを基に演算を行い、出力データを得て、受信した出力データ集合と比較を行う。ここで、入出力組を受信したECUは、送信したECUと同じ機能を持つため、正常であれば同じ入力データに対しては同じ出力データが得られる。演算した出力データと受信した出力データ集合のいずれかが一致すれば、その値を出力する。一方、演算した出力データが受信した出力データ集合のいずれとも一致しなければ、入出力組の最後に自らの演算結果を追加し、グループ内の他のECUに送信する。出力データが一致しない場合のデータの転送は、アプリケーションに要求される応答時間(以下、デッドラインという)を満足する間行う。これにより、システム内に正常なECUが2つ存在すれば、正しい結果が出力される。この結果、機能が冗長化される。デッドラインを違反するまで一致する出力が見つからない場合には、前回値やデフォルト値を出力することで応答時間も満足できる。
また、出力データが出力データ集合のいずれかに一致して出力される際には、一致しない出力データを追加したECUが故障していることが判断できる。上記手順では、出力パスに故障ECUを含む正常な2つのECUが故障ECUを判断することが可能となる。
一方、出力パスに故障ECUを含まないECUは、故障ECUを認識することができない。そのため、正常ECU間で故障ECUに関する認識を一致させるためには、故障ECUを検出したECUが、グループ内の全ECUに故障ECUに関する通知を行う必要がある。本発明では正常な2つのECUが故障ECUを認識することが可能であるため、各ECUは故障通知を2つ以上受信した場合に、通知されたECUを故障ECUとしてマークし、以降のサイクルでは故障ECUからの故障通知を無視する。これにより、故障ECUが正常なECUに対する故障通知を行ったとしても無視され、正常なECUが故障と判断されることを防ぐことが出来る。
以下、このような分散システムにおける故障検出装置の実施の形態について説明する。
図1は、この発明の実施の形態1による故障検出装置を備えたECUの構成図である。
図1に示すECU1は、入力部11、演算部12、転送部13、比較部14、出力部15、故障検出部16を備えており、車載LAN100に接続されている。
また、図2は、本発明の対象として想定する分散システムの構成図である。図1で示したECU1と同一構成のECUが同一のネットワークに複数接続されている。ここでは、複数のECU1、ECU2、・・・、ECUn(nは任意の整数)が、それぞれ図1のECU1の構成を持つ。以下では、各ECUの機能について説明する。
入力部11は、センサ等を用いて制御に必要となるデータを取得する機能部である。演算部12は、入力部11あるいは転送部13が取得した入力データを基にアプリケーションに応じた演算を行う機能部である。転送部13は、入力データと演算部12から得た演算値を組にして(以下、入出力組という)、グループ内のECUにメッセージを送信する機能部である。入出力組は、以下に示す構成となる。
{入力データ:出力データ1:出力データ2:・・・:出力データn}
ここで、nは任意の整数であり、転送を行う毎に該当ECUの出力データ(演算値)を追加する。そのため、各実施の形態中では入出力組の演算値を出力データ集合と称する。入出力組を受信した場合、転送部13は、入出力組の入力データを取り出し、演算部12を用いて計算を行う。
比較部14は、受信した入出力組の入力データに対する演算部12の演算値と、受信した入出力組の出力データ集合とを比較する機能部である。比較の結果、結果が一致するものがあれば、これを出力部15に渡し、出力データ集合に一致するデータが存在しなければ、自らの演算結果(演算部12の演算結果)を出力データ集合に追加して転送部13に送る。また、不一致の出力が含まれていた場合はその不一致のECUを故障と判定してその判定結果を故障検出部16に出力する。出力部15は、比較部14が一致したと判定した演算値を出力する機能部である。
故障検出部16は、各ECUにおいて故障情報の共有を実現する機能部であり、比較部14において故障と判定したECUの情報をグループ内の全てのECUに対して通知する。また、1周期内に同一のECUに対して複数のECUから故障通知を受信した場合は、そのECUを故障としてマークし、以降の周期ではそのECUからの情報を無視するよう構成されている。
車載LAN100は、図2等に示すように、複数のECU1,2,・・・,nを通信接続するためのネットワークである。
尚、各ECU1,2,・・・,nは、それぞれコンピュータで構成され、入力部11〜故障検出部16におけるそれぞれの処理は、各処理に対応するソフトウェアと、これらのソフトウェアを実行するためのCPUやメモリといったハードウェアによって実現されている。あるいはいずれかの機能部を専用のハードウェアで構成してもよい。
図3は、図2におけるECU1とECU2の比較処理を抜粋した動作を示す説明図である。
ECU1は、入力部11を用いて入力データを取得し、演算部12を用いて出力データとして演算値を得る。そして、転送部13を用いて入力データと演算値を組にして(以下、入出力組という)、グループ内ECU(ここではECU2)に送信する。ECU2は入出力組を受信すると、入出力組から入力データを抽出してそれを演算部12に提供する。比較部14は、演算部12から出力されたデータと、受信した入出力組に含まれる出力データ集合とを比較する。演算部12から得られた演算値が出力データ集合のいずれかに一致した場合、一致した演算値を出力部15を用いて出力する。図3では、出力データが一致する場合の流れを太線としている。図3は2つのECU1,2で一致しているため不一致の結果が含まれていないが、出力データ集合に一致しない結果が含まれていれば、その結果を出力したECUを故障として、故障検出部16に通知する。
図4に示す4つのECU(ECU1、ECU2、ECU3、ECU4)で構成されるシステムにおいて、全てのECUが正常な場合と、ECU2が故障した場合に関して、ECU1を開始ノードとして着目した動作をそれぞれ図6、図7に示す。図5は、図4のECU間のデータの流れを示している。
図6では、ECU1は入力部11を用いて入力データ(5)を得、それに対して演算部12を用いて演算を行い、出力データ(10)を得る。ここで、()内の値はデータを表し、正常なECUは入力データを2倍した結果が得られるものとする。そして、転送部13を用いて入出力組{5:10}を送信する。ECU2は、入出力組{5:10}を受信し、入力データ(5)に対して演算部12を用いて演算を行い、演算結果(10)を得る。比較部14は、演算部12の出力データ(10)と受信した出力データ集合{10}の比較を行い、値が(10)で一致するため出力部15を用いて(10)を出力する。
図7では、ECU1は入力部11を用いて入力データ(5)を得、それに対して演算部12を用いて演算を行い、出力データ(10)を得る。そして、転送部13を用いて入出力組{5:10}を送信する。ECU2は、入出力組{5:10}を受信し、入力データ(5)に対して演算部12を用いて演算を行い、演算結果(11)を得る。ECU2は故障しているため正しい結果が得られず出力データが(11)となっている。従って、受信した出力データ集合と一致せず、比較部14は不一致という結果を出力する。この時点では、データが2つのみのため、いずれのデータが正しいかが判断できないため、故障ECUの特定は出来ない。転送部13は、比較結果が不一致であるため、入出力組の最後に演算部12が出力した値(11)を追加し、入出力組{5:10:11}をグループ内ECU3に転送する。ECU3は、入出力組{5:10:11}を受信し、入力データ(5)に対して演算部12を用いて演算を行い、演算結果(10)を得る。比較部14は、演算部12が出力した値(10)と受信した出力データ集合{10:11}を比較し、出力(10)が一致するため、出力部15を用いて(10)を出力する。比較部14は、比較が完了した時点で誤った出力データ(11)を付加したECU2が故障していると判断でき、故障検出部16を用いてグループ内の全ECUに故障通知を行う。図10は、ECU3によるECU2に対する故障通知である。
図8は、全てのECUが正常な場合のシステム全体の動作である。全てのECUは、図6で述べたECU1の動作と同様に2つのECUの比較で結果が一致し、処理が終了する。
図9は、ECU2が故障している場合のシステム全体の動作である。ECU1から開始される比較処理の動作は、図7で述べた通りである。
ECU2から開始される比較処理の動作は、以下の通りである。ECU2は入力部11を用いて入力データ(1)を得、それに対して演算部12を用いて演算を行い、出力データ(3)を得る。ECU2は故障しているため、正しい結果(2)が得られていない。そして、転送部13を用いて入出力組{1:3}を送信する。ECU3は、入出力組{1:3}を受信し、入力データ(1)に対して演算部12を用いて演算を行い、演算結果(2)を得る。ECU2が故障しているため、出力データ集合の値{3}はECU3の出力データ(2)と一致せず、比較部14は不一致という結果を出力する。転送部13は、比較結果が不一致であるため、入出力組の最後に演算部12が出力した値(2)を追加し、入出力組{1:3:2}をグループ内ECU4に転送する。ECU4は、入出力組{1:3:2}を受信し、入力データ(1)に対して演算部12を用いて演算を行い、演算結果(2)を得る。比較部14は、演算部12が出力した値(2)と受信した出力データ集合{3:2}を比較し、出力(2)が一致するため、出力部15を用いて(2)を出力する。ECU4は、この時点で比較部14によって一致しない出力を行ったECU2が故障であることを判断でき、故障検出部16を用いてグループ内の全ECUに故障通知を行う。図11は、ECU4によるECU2に対する故障通知である。
ECU3から開始される比較処理の動作は、以下の通りである。ECU3は入力部11を用いて入力データ(3)を得、それに対して演算部12を用いて演算を行い、出力データ(6)を得る。そして、転送部13を用いて入出力組{3:6}を送信する。ECU4は、入出力組{3:6}を受信し、入力データ(3)に対して演算部12を用いて演算を行い、演算結果(6)を得る。比較部14は、演算部12の出力データ(6)と受信した出力データ集合{6}の比較を行い、値が(6)で一致するため出力部15を用いて(6)を出力する。ECU3から開始される比較処理は、ECU3、ECU4共に正常であるため、2つ目のECU4の比較処理でデータが一致し出力が行われ、余計な計算やメッセージの転送が行われない。また、出力までのパスに故障ECUが含まれないため、故障ECUも検出しない。
ECU4から開始される比較処理の動作は、以下の通りである。ECU4は入力部11を用いて入力データ(4)を得、それに対して演算部12を用いて演算を行い、出力データ(8)を得る。そして、転送部13を用いて入出力組{4:8}を送信する。ECU1は、入出力組{4:8}を受信し、入力データ(4)に対して演算部12を用いて演算を行い、演算結果(8)を得る。比較部14は、演算部12の出力データ(8)と受信した出力データ集合{8}の比較を行い、値が(8)で一致するため出力部15を用いて(8)を出力する。ECU4から開始される比較処理は、ECU4、ECU1共に正常であるため、2つ目のECU1の比較処理でデータが一致し出力が行われ、余計な計算やメッセージの転送が行われない。また、出力までのパスに故障ECUが含まれないため、故障ECUも検出しない。
従って、この時点ではシステム内の正常なECU間で故障ECUに関する認識は一致していない。即ち、ECU3、4はECU2が故障しているのを認識しているのに対し、ECU1はECU2の故障を認識できない。そのため、システム内の故障ECUに関する認識を一致させるために、故障通知が必要となる。
本発明の手順では、本例のように常に2つの正常ECUが故障ECUを特定可能であるため、2つの故障通知のみで故障ECU情報を共有することが出来る。故障を特定したECUは故障通知を行い、1周期内に同じECUに対して2つの故障通知を受け取ったECUは、該当ECUを故障としてマークする。以降は、そのECUからの故障通知を無視する。
図12は、入力装置から入力データを取得し、入出力組の転送を開始するECUの動作を示すフローチャートである。ここでは、当該ECUを開始ノードと表す。開始ノードは、周期毎に入力部11から入力データを取得し(ステップST100)、演算部12を用いて入力データに対して演算を行い、出力データを得る(ステップST101)。そして、転送部13を用いて入力データと出力データの組み合わせ入出力組)をグループ内のECUに転送する(ステップST102、ST103)。
図13は、グループ内ECUから入出力組を受信したECUの動作を示すフローチャートである。入出力組を受信したECUは(ステップST120)、転送部13を用いて入力データを抽出し、演算部12を用いて演算を行い、出力データを得る(ステップST121)。そして、得られた出力データと入出力組の出力データ集合のいずれかが一致するかを比較部14を用いて比較する(ステップST122、ST123)。一致するデータがあれば、出力部15を用いてそのデータを出力する(ステップST124)。更に、一致したデータ以外を出力したECUがあれば、そのECUを故障していると判断する(ステップST125、ST126)。この故障ECUに関する情報は、故障検出部16を用いてグループ内の全てのECUに通知する(ステップST127)。演算した出力データが、出力データ集合のいずれのデータにも一致しなかった場合には、転送部13を用いて入出力組の最後に自らの演算した出力データを付加して(ステップST128)、グループ内の次のECUに転送する(ステップST129)。
図14は、故障検出部16において故障通知を受信した際のフローチャートである。故障通知が、故障と特定されたECUからのものであれば、無視する(ステップST200)。他ECUからの故障通知を最初に受信した場合には(ステップST201)、通知されたECUに関する故障通知数を1とし、この時点では通知されたECUを故障としてマークしない(ステップST203)。これによって、故障ECUが正常ECUに対して故障通知を行った場合に、正常なECUが誤って故障と判断されることを防ぐ事が出来る。ステップST201において該当ECUに対する故障通知数が2つ以上となった場合、該当ECUを故障ECUとしてマークし(ステップST202)、以降は故障ECUからの情報を無視する。尚、周期毎に故障通知数をクリアする。
図15は、故障ECU2が正常なECU1を故障として通知した場合の例である。この場合は、他の正常なECUは正常なECU1に対する故障通知は行わないため、ECU1に対する故障通知が2つ以上となることはなく、正常なECU1が誤って故障と判断されることは無い。
一方、図16、図17はあるサイクルにおいて2つの故障ECU(ECU2、ECU3)が正常なECU1に対して故障通知を行った場合である。本発明では、1サイクルに2つのECUが同時に故障しないことを想定しているため、一方は既に故障ECUとしてマークされており、そのECUからの故障通知は無視される。従って、ECU1に対する故障通知は1つのみとなり、正常なECU1が誤って故障と判断されることは無い。
実施の形態1におけるネットワーク負荷向上の抑制に関しては、例えば従来手法において4つのノードで、あるノードに対する監視を行う場合、周期毎に4つの監視結果を多数決することで故障ノードを決定していた。そのため、従来手法では、毎周期監視のためのメッセージが4つ送られることとなり、バス負荷が増加する。一方、本実施の形態では4つのノードの場合においても、メッセージ(入出力組)を送ったECUが故障していなければ出力が一致し、故障通知は行われずバス負荷への影響はない。但し、各ECUは自らの入力に対する演算と、他ノードの入力に対する演算を行う必要がありCPU負荷が2倍となるため、CPU負荷が半分以下のシステムにのみ適当可能となる。本実施の形態では、任意の故障ノードに対して監視ノードが動的に切り替わるため、故障への耐性がある。また、故障ノードを故障としてマークするため、故障ノードが過半数となっても、正しいノードが誤って故障と判断されることはなく、正常なノード間の認識が一致する。
以上説明したように実施の形態1の故障検出装置によれば、ネットワークに接続された複数のノードをグループ化し、グループ内で相互に入出力データを周期的に交換する分散システムにおいて、ノードの故障検出を行う故障検出装置であって、各ノードは、入力データに対する演算を行い、演算結果を出力する演算部と、演算結果である出力データと入力データと組にした入出力組をグループ内の他のノードに対して転送すると共に、他のノードから入出力組を受信した場合に入力データを取り出す転送部と、入出力組における出力データと演算結果とを比較し、演算結果が入出力組のいずれかの出力データと一致した場合はその値を出力すると共に、いずれかの出力データと一致し、かつ、一致しない出力データを含む場合、一致しない出力データのノードを故障と判定し、一方、演算結果が入出力組の全ての出力データと一致しない場合は、入出力組の全ての出力データに演算結果を追加して新たな入出力組とする比較部と、比較部が判定したノードの故障をグループ内の他のノードに対して通知する故障検出部とを備え、各ノードは、一つの周期で複数のノードから同一のノードに対する故障通知を受けた場合、次の周期以降、故障通知を受けたノードからの故障通知を無視するようにしたので、故障情報共有のためのネットワーク負荷の増加を抑制しつつ、機能の冗長化、動的な故障検出機能の追加、正常ノード間での故障ノードに対する認識の一致を実現することができ、また、正常なノードが誤って故障と判定されることがなく、信頼性の高い故障検出を行うことができる。
実施の形態2.
実施の形態2は、データに更なる信頼性が求められるシステムに適用する故障検出装置に関するものである。なお、これ以降の実施の形態では、図面上の構成は実施の形態1と同様であるため、図1や図3の構成を用いて説明する。
実施の形態2は、システムに必要とされる安全度に応じて任意のn個のデータが一致するまでデータの転送を行うことにより、データの信頼性を向上させるようにしたものである。実施の形態2の動作例を図18に示す。実施の形態2は、3つのデータが一致した場合に出力をする例であり、ECU1、ECU2でデータは一致しているがECU3まで入出力組を転送部13によって転送し、ECU3で3つのデータが一致して出力部15から出力が行われる。3つの出力データ一致での出力では、故障ECU通知は3つのECUから行われる。この場合も、実施の形態2の動作は実施の形態1から変更する必要は無く、故障を検出したECUの故障検出部16が故障通知を行い、各ECUは2つ以上のECUからの故障通知によって、通知されたECUを故障としてマークする。
実施の形態3.
実施の形態3は、データが一致しない場合の転送をデッドラインではなく、転送回数で規定する例である。動作例を図19に示す。図19は、最大転送回数は5としている。本例では、ECU6までの出力データは全て一致していないため、転送部13によってECU6まで転送が行われている。図19は、出力データ集合の一つにECU6の出力データが一致したため出力部15から出力が行われているが、最大転送回数を満了したECU6の出力データが出力データ集合のいずれかに一致しなければ、前回値やデフォルト値を出力する。実施の形態3でも、一致しなかった結果を出力したECUが故障と判断でき、故障を検出したECUの故障検出部16が故障を通知する。各ECUは2つ以上のECUからの故障通知によって、通知されたECUを故障としてマークする。
実施の形態4.
実施の形態4は、データの一致・不一致にかかわらず、所定回数転送するものである。所定回数転送後は、得られた結果に対して比較部14で比較を行い、最も一致する数が多いデータを出力部15から出力する。動作例を図20に示す。図20は、転送回数は5であり、ECU5の時点で出力データ集合として{10:11:10:9:10}が得られており、その中で最も数が多い{10}を出力する。実施の形態4でも、出力を行うECUが一致しない結果を出力したECUを故障と判断でき、故障を検出したECUの故障検出部16が故障を通知する。各ECUは2つ以上のECUからの故障通知によって、通知されたECUを故障としてマークする。
実施の形態5
実施の形態5は、データの一致・不一致に関わらず、デッドラインまで転送を繰り返すものである。得られた結果に対して比較部14によって多数決を行い、結果を出力部15より出力する。動作例を図21に示す。図21は、デッドラインの直前で出力データ集合{10:9:10:10}が得られており、多数決の結果である{10}を出力する。ここでも、出力を行うECUが、一致しない結果を出力したECUを故障と判断でき、故障を検出したECUの故障検出部16が故障を通知する。各ECUは2つ以上のECUからの故障通知によって、通知されたECUを故障としてマークする。
なお、本願発明はその発明の範囲内において、各実施の形態の自由な組み合わせ、あるいは各実施の形態の任意の構成要素の変形、もしくは各実施の形態において任意の構成要素の省略が可能である。
1,2,3,4,…,n ECU、11 入力部、12 演算部、13 転送部、14 比較部、15 出力部、16 故障検出部。

Claims (1)

  1. ネットワークに接続された複数のノードをグループ化し、グループ内で相互に入出力データを周期的に交換する分散システムにおいて、前記ノードの故障検出を行う故障検出装置であって、
    前記各ノードは、
    入力データに対する演算を行い、演算結果を出力する演算部と、
    前記演算結果である出力データと前記入力データと組にした入出力組を前記グループ内の他のノードに対して転送すると共に、前記他のノードから前記入出力組を受信した場合に前記入力データを取り出す転送部と、
    前記入出力組における出力データと前記演算結果とを比較し、当該演算結果が前記入出力組のいずれかの出力データと一致した場合はその値を出力すると共に、当該いずれかの出力データと一致し、かつ、一致しない出力データを含む場合、当該一致しない出力データのノードを故障と判定し、一方、前記演算結果が前記入出力組の全ての出力データと一致しない場合は、前記入出力組の全ての出力データに前記演算結果を追加して新たな入出力組とする比較部と、
    前記比較部が判定したノードの故障を前記グループ内の他のノードに対して通知する故障検出部とを備え、
    前記各ノードは、一つの周期で複数のノードから同一のノードに対する故障通知を受けた場合、次の周期以降、前記故障通知を受けたノードからの故障通知を無視することを特徴とする故障検出装置。
JP2012108377A 2012-05-10 2012-05-10 故障検出装置 Active JP5822783B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012108377A JP5822783B2 (ja) 2012-05-10 2012-05-10 故障検出装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012108377A JP5822783B2 (ja) 2012-05-10 2012-05-10 故障検出装置

Publications (2)

Publication Number Publication Date
JP2013235481A true JP2013235481A (ja) 2013-11-21
JP5822783B2 JP5822783B2 (ja) 2015-11-24

Family

ID=49761547

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012108377A Active JP5822783B2 (ja) 2012-05-10 2012-05-10 故障検出装置

Country Status (1)

Country Link
JP (1) JP5822783B2 (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101641823B1 (ko) * 2015-03-06 2016-07-21 주식회사 와이즈오토모티브 차량용 네트워크의 고장노드 탐지장치 및 이를 이용한 탐지방법
CN109245910A (zh) * 2017-07-10 2019-01-18 中兴通讯股份有限公司 识别故障类型的方法及装置
JP2019061663A (ja) * 2017-09-27 2019-04-18 株式会社デンソー 電子制御装置
CN111077880A (zh) * 2019-12-24 2020-04-28 国汽(北京)智能网联汽车研究院有限公司 一种车辆故障的诊断系统及方法
JP2021019211A (ja) * 2019-07-17 2021-02-15 株式会社京三製作所 モバイルipシステムおよびホームエージェント冗長制御方法

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101641823B1 (ko) * 2015-03-06 2016-07-21 주식회사 와이즈오토모티브 차량용 네트워크의 고장노드 탐지장치 및 이를 이용한 탐지방법
CN109245910A (zh) * 2017-07-10 2019-01-18 中兴通讯股份有限公司 识别故障类型的方法及装置
JP2019061663A (ja) * 2017-09-27 2019-04-18 株式会社デンソー 電子制御装置
JP7210943B2 (ja) 2017-09-27 2023-01-24 株式会社デンソー 電子制御装置
JP2021019211A (ja) * 2019-07-17 2021-02-15 株式会社京三製作所 モバイルipシステムおよびホームエージェント冗長制御方法
JP7307617B2 (ja) 2019-07-17 2023-07-12 株式会社京三製作所 モバイルipシステムおよびホームエージェント冗長制御方法
CN111077880A (zh) * 2019-12-24 2020-04-28 国汽(北京)智能网联汽车研究院有限公司 一种车辆故障的诊断系统及方法

Also Published As

Publication number Publication date
JP5822783B2 (ja) 2015-11-24

Similar Documents

Publication Publication Date Title
US10491671B2 (en) Method and apparatus for switching between servers in server cluster
JP5822783B2 (ja) 故障検出装置
CN107229221A (zh) 用于多个热和冷备用冗余的容错模式和切换协议
JP5436721B2 (ja) 冗長化装置
CN107508694B (zh) 一种集群内的节点管理方法及节点设备
KR20150088559A (ko) 네트워크의 장애를 복구하는 방법 및 장치
US9231779B2 (en) Redundant automation system
CN107153595B (zh) 分布式数据库系统的故障检测方法及其系统
JP2006209593A (ja) 情報処理装置および情報処理方法
KR101560497B1 (ko) 락스텝으로 이중화된 프로세서 코어들의 리셋 제어 방법 및 이를 이용하는 락스텝 시스템
WO2022088861A1 (zh) 数据库故障处理方法和装置
US8041993B2 (en) Distributed control system
US9952919B2 (en) Semantic deduplication
JP6083480B1 (ja) 監視装置、フォールトトレラントシステムおよび方法
CN114554593A (zh) 数据处理方法及装置
US10409666B2 (en) Method and device for generating an output data stream
US9323629B2 (en) Method for managing path failures of OSEK networks
GB2499822A (en) Failover processing using different physical paths
JP2003345620A (ja) 多ノードクラスタシステムのプロセス監視方法
JP5342395B2 (ja) 計算機システムおよびその方法
CN109491236B (zh) 用于运行高可用性的自动化系统的方法
JPH04299429A (ja) マルチプロセッサシステムの障害監視方式
JP2010055509A (ja) 障害復旧システム、方法及びプログラム、並びにクラスタシステム
JP6271103B1 (ja) 制御装置及び制御方法
JP6653250B2 (ja) 計算機システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20141015

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150826

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150908

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20151006

R150 Certificate of patent or registration of utility model

Ref document number: 5822783

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250