JP2018016106A - 通信ネットワーク、被監視ecu、監視用ecuおよび車両 - Google Patents

通信ネットワーク、被監視ecu、監視用ecuおよび車両 Download PDF

Info

Publication number
JP2018016106A
JP2018016106A JP2016145525A JP2016145525A JP2018016106A JP 2018016106 A JP2018016106 A JP 2018016106A JP 2016145525 A JP2016145525 A JP 2016145525A JP 2016145525 A JP2016145525 A JP 2016145525A JP 2018016106 A JP2018016106 A JP 2018016106A
Authority
JP
Japan
Prior art keywords
ecu
monitored
signal
abnormality
monitoring
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2016145525A
Other languages
English (en)
Inventor
圭紀 片桐
Yoshinori Katagiri
圭紀 片桐
成郎 吉澤
Shigeo Yoshizawa
成郎 吉澤
大朋 塚原
Hirotomo Tsukahara
大朋 塚原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Management Co Ltd
Original Assignee
Panasonic Intellectual Property Management Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Management Co Ltd filed Critical Panasonic Intellectual Property Management Co Ltd
Priority to JP2016145525A priority Critical patent/JP2018016106A/ja
Publication of JP2018016106A publication Critical patent/JP2018016106A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Abstract

【課題】被監視ECUの状態を監視用ECUがより高い信頼性で監視可能な通信ネットワークを提供すること。【解決手段】本開示は、少なくとも被監視ECUおよび監視用ECUと、前記被監視ECUが制御信号を前記監視ECUに定周期送信する際に用いられる共用伝送路と、前記被監視ECUが内部状態を示す状態信号を前記監視用ECUに常時送信する際に用いられる専用伝送路と、を備えた通信ネットワークに向けられる。【選択図】図1

Description

本開示は、まず、被監視ECUが制御信号を監視用ECUに共用伝送路を介して定周期送信する通信ネットワークである。また、本開示は、共用伝送路を介して接続された被監視ECUおよび監視用ECUに関する。また、本開示は、上記のような通信ネットワーク、被監視ECUまたは監視用ECUを備えた車両に関する。
従来、上記のような監視用ECUとしては、例えば下記特許文献1に記載のように、CANプロトコルに基づく通信メッセージが送受信されるネットワークにおいて、通信負荷の監視に要する処理負荷を少なく抑えることのできるネットワーク監視装置がある。
特開2014−155061号公報
しかし、CANプロトコル等によれば、監視用ECUによる被監視ECUの状態監視は定周期通信により行われる。この場合、被監視ECUにおける異常発生から、監視用ECUが異常把握までにタイムラグが生じることが多い。
また、被監視ECUの通信インタフェイス周辺で異常が発生すると、被監視ECUとの通信が途絶してしまう。
本開示は、被監視ECUの状態を監視用ECUがより高い信頼性で監視可能な通信ネットワークを提供することを目的とする。また、本開示は、被監視ECUの状態をより高い信頼性で監視可能な監視用ECUを提供することを目的とする。また、本開示は、上記のような通信ネットワーク、被監視ECUまたは監視用ECUを備えた車両を提供することを目的とする。
本開示は、少なくとも被監視ECUおよび監視用ECUと、前記被監視ECUが制御信号を前記監視ECUに定周期送信する際に用いられる共用伝送路と、前記被監視ECUが内部状態を示す状態信号を前記監視用ECUに常時送信する際に用いられる専用伝送路と、を備えた通信ネットワークに向けられる。
本開示は他にも、監視ECUへの制御信号を共用伝送路により定周期送信可能な被監視ECUであって、自身が実行するソフトウェアおよび/または通信インタフェイスの異常を検出する異常検出回路と、前記異常検出回路が異常を検出すると、前記被監視ECUの内部状態を示す値を変更した状態信号を生成して、前記監視用ECUに常時送信する際に用いられる専用伝送路に送出する信号生成回路と、を備えた被監視ECUに向けられる。
本開示はさらに他にも、被監視ECUからの制御信号を共用伝送路により定周期受信可能な監視用ECUであって、前記被監視ECUが内部で異常を検出すると、前記被監視ECUの内部状態を示す値を変更した状態信号を、前記被監視装置が前記監視用ECUに常時送信する際に用いられる専用伝送路から受信する、少なくとも一つの受信回路と、前記受信回路で受信した状態信号の値が変わると、前記被監視ECUの内部状態に異常が生じたことを認識するコントローラと、を備えた監視用ECUに向けられる。
本開示はさらに他にも、上記通信ネットワーク、被監視ECUおよび監視用ECUのいずれか一つを備えた車両に向けられる。
本開示によれば、被監視ECUの状態を監視用ECUがより高い信頼性で監視可能な通信ネットワークを提供することが出来る。また、本開示は、被監視ECUの状態をより高い信頼性で監視可能な監視用ECUを提供することが出来る。また、本開示は、上記のような通信ネットワーク、被監視ECUまたは監視用ECUを備えた車両を提供することが出来る。
本開示の各実施形態に係る監視用ECUおよび被監視ECUを備えた通信ネットワーク、ならびにこれを備えた車両を示す図 第一実施形態の被監視ECU(自動運転用ECU)の詳細な構成を示す図 第一実施形態の監視用ECUの詳細な構成を示す図 第一実施形態の車両駆動用ECUの詳細な構成を示す図 第二実施形態の被監視ECU(自動運転用ECU)の詳細な構成を示す図 第二実施形態の監視用ECUの詳細な構成を示す図 第二実施形態の通信ネットワークにおける処理手順を示すフロー図 第二実施形態の共用伝送路および各専用伝送線路を伝送される信号を示す図 第三実施形態の被監視ECU(自動運転用ECU)の詳細な構成を示す図 第三実施形態の監視用ECUの詳細な構成を示す図 第三実施形態の変形例の負荷状態検出部の処理を示す図 第四実施形態の被監視ECU(自動運転用ECU)の詳細な構成を示す図 第四実施形態の監視用ECUの詳細な構成を示す図
以下、上記図面を参照して、本開示の通信ネットワーク、監視用ECUおよび被監視ECU、それらを備えた車両を詳説する。
<1.第一実施形態>
<1−1.通信ネットワークの概略構成>
図1において、車両Vには、例えば、通信ネットワーク1のために、データ伝送用に伝送路Nが敷設される。この通信ネットワーク1において、伝送路Nには、例えば、被監視ECUの一例としての自動運転用ECU11と、監視用ECU13と、車両駆動用ECU15(図示は、制動系ECUのみ)と、が接続される。上記伝送路Nは、多くの機器(換言するとノード)により共用される。その観点で、伝送路Nを共用伝送路Nという場合がある。上記データ伝送方式としては、CANやFlexRayが例示される。CANは、Controller Area Networkの頭字語である。
また、監視用ECU13は、出力装置17とデジタル信号線等により接続される。
なお、本開示では図示・説明を省略するが、車両駆動用ECUとしては、制動系ECU以外にも、アクセル系ECUや操舵系ECUが例示される。
また、ECUは、Electronic Control Unitの頭字語であって、電子制御装置とも呼ばれる。
自動運転用ECU11は、車載ナビゲーション装置から経路情報を受け取る。この経路情報は、車両Vの出発地から目的地までの経路を、リンクやノードにより表現している。このような経路上には、車両Vが停止すべき場所(信号がある交差点や一時停止すべき場所)が複数存在する。車両Vが停止すべき場所の一つが起点とされ、その次に停止すべき場所が終点とされる。自動運転用ECU11は、このような経路情報の起点・終点間のそれぞれについて速度プロファイル(目標車速)を導出し保持する。他にも、自動運転用ECU11は、路車間通信装置(図示せず)を介して、起点・終点間それぞれの速度プロファイルを遠隔のサーバ装置から取得することも可能である。
また、自動運転用ECU11は、車両Vに搭載されたカメラ、ミリ波レーダおよび超音波センサ等、各種センサ(図示せず)と接続される。自動運転用ECU11は、例えば、各種センサが時系列で出力する画像信号(距離画像信号を含む)に基づき、車両Vが走行すべきレーンにおける自車位置を維持するよう、車両Vの操舵角を時系列(典型的には周期的)に導出する。自動運転用ECU11はさらに、各種センサの出力信号に基づき、車両Vの周辺に存在する障害物の有無に基づき、車両Vの制動量を時系列で導出する。自動運転用ECU11は、速度プロファイルや障害物の有無に基づき、車両Vのアクセル開度を時系列で導出する。
自動運転用ECU11は、自身が導出した所定の変数を含むと共に、その変数の送信先を指定した制御信号を時系列で生成する。所定の変数がアクセル開度であれば、その送信先は、アクセル系ECUである。所定の変数が操舵角であれば、その送信先は、操舵系ECUである。所定の変数が制動量であれば、その送信先は制動系ECUである。自動運転用ECU11は、自身が生成した制御信号のそれぞれを伝送路Nに時系列で送出する。
本開示では、上記の通り、車両駆動用ECU15として、制動系ECU、アクセル系ECUおよび操舵系ECUが例示される。
制動系ECUは、伝送路Nから、送信先に自身が指定された制御信号を受信して、受信信号に含まれる制動量に基づき、車両Vの制動装置を構成するアクチュエータ(バルブ、ブースタユニット、マスターシリンダ等)を制御する。
アクセル系ECUは、伝送路Nから、送信先に自身が指定された制御信号を受信して、受信信号に含まれるアクセル開度に基づき、車両Vのスロットルバルブ等のアクチュエータを制御する。
操舵系ECUは、伝送路Nから、送信先に自身が指定された制御信号を受信して、受信信号に含まれる操舵量に基づき、車両Vのステアリング機構を構成する操舵アクチュエータを制御する。
出力装置17は、車両Vの運転席の周辺に設けられたディスプレイまたはスピーカである。この出力装置17は、監視用ECU13からの緊急対応(詳細は後述)に応答して、運転席の着座者に車両Vを手動運転するよう促すメッセージをディスプレイ上に表示したり、スピーカから音声出力したりする。出力装置17は、ディスプレイやスピーカ以外にも、緊急対応(詳細は後述)に応答して発光する発光素子でも構わない。この場合、発光素子の発光により、運転席の着座者に車両Vを手動運転するよう促される。
<1−2.共用伝送路Nを介した状態通知・その課題>
例えば、自動運転用ECU11には、図2に示すように、少なくとも一つのソフトウェア111が実装される。ソフトウェア111の実行により、自動運転用ECU11のマイコン113は、上述のような変数を導出する。また、マイコン113は、導出した各変数をデータフィールドに含む制御信号(データフレーム)を生成し、対応する車両駆動用ECU15(図1を参照)に共用伝送路Nを通じて定周期で送信している。
しかし、上記ソフトウェア111や自動運転用ECU11の通信インタフェイスが正常に動作しなくなることがある。そのために、自動運転用ECU11は、例えばウォッチドッグタイマと呼ばれる異常検出回路115,117を備えている。この異常検出回路115,117は、自動運転用ECU11が正常に動作している場合、ソフトウェア111を実行するマイコン113や、通信インタフェイス119により定期的にクリアされる。しかし、これらが異常な状態になると、異常検出回路115,117は、クリアされなくなるので、ソフトウェア111や通信インタフェイス119の異常を検出する。
ソフトウェア111の異常が検出されると、マイコン113は、上記と同様、自動運転用ECU11に異常が生じたことを示す情報をデータフィールドに含む制御信号を生成し、監視用ECU13に共用伝送路Nを通じて定周期で送信する。監視用ECU13は、このような制御信号により、自動運転用ECU11の異常を把握すると、例えば、車両Vを安全に停止させるべく制御信号を、共用伝送路Nを通じて各車両駆動用ECU15に送信する。
上記の通り、自動運転用ECU11は、ソフトウェア111の異常を定周期送信により監視用ECU13に通知するため、ソフトウェア111の異常の発生から監視用ECU13への通知までにタイムラグが生じる。
また、通信インタフェイス119自体に異常が生じた場合には、自動運転用ECU11のマイコン113は制御信号を生成はできても、監視用ECU13を送信できない。
<1−3.専用伝送線路L1,L2を介した状態通知>
上記いずれかの異常を監視用ECU13がいち早く把握できるように、本通信ネットワーク1は、図1に示すように、自動運転用ECU11と監視用ECU13とを個別的に接続する専用伝送線路L1と、監視用ECU13と各車両駆動用ECU15とを個別的に接続する専用伝送線路L2と、を備えている。なお、専用伝送線路L1,L2は外来ノイズに対する耐性を上げるため、差動信号線路であるとする。
また、自動運転用ECU11において、各異常検出回路115,117は、正常時には、Hi,Loいずれか一方のレベルを有する二値信号を状態信号の一例として継続的に出力するが、異常時には、他方のレベルを有する二値信号を状態信号の一例として継続的に出力する。
また、自動運転用ECU11において、差動信号生成回路121には、上記HiレベルおよびLoレベルが所定周期で表れるパルス信号と、異常検出回路115,117の一方からの二値信号とが常時入力される。差動信号生成回路121は、入力パルス信号と入力二値信号との論理和を正相信号として、専用伝送線路L1の一方に出力する。
差動信号生成回路121はさらに、入力パルス信号と入力二値信号との排他的論理和を逆相信号として、専用伝送線路L1の他方に出力する。
このような構成により、自動運転用ECU11は、ソフトウェア111または通信インタフェイス119の異常を、異常検出回路115,117が検出すると、論理反転した差動信号を送信することにより自身の異常を即座に監視用ECU13に通知することが出来る。
監視用ECU13では、図3に示すように、差動信号受信回路131は、専用伝送線路L1を介して差動信号を受信した後、受信正相信号から受信逆相信号を減算して差分信号を生成する。この減算により、正相信号および逆相信号に重畳されていた外来ノイズは除去される。監視用ECU13において、マイコン133は、ソフトウェア135を実行して、差動信号受信回路131で生成された差分信号に、所定周期を超えるHiレベルの時間区間を検出すると、自動運転用ECU11に異常が発生したと判断し、同様のHiレベルの二値信号を差動信号生成回路137に出力する。
その後、差動信号生成回路137は、上記同様のパルス信号と、マイコン133からの二値信号とが常時入力される。差動信号生成回路137は、入力パルス信号と入力二値信号との論理和を正相信号として、専用伝送線路L2の一方に出力する。
差動信号生成回路137はさらに、入力パルス信号と入力二値信号との排他的論理和を逆相信号として、専用伝送線路L2の他方に出力する。
なお、差動信号生成回路137は、自身の異常を他のECUに伝達するために、差動信号生成回路121と同様に、上記パルス信号と、異常検出回路139,141の一方からの二値信号とを常時受信しても良い。ここで、異常検出回路139,141は、マイコン133および通信インタフェイス143の異常を検出する。差動信号生成回路137は、入力パルス信号と入力二値信号との論理和を正相信号として、専用伝送線路L1の一方に出力する。
車両駆動用ECU15では、図4に示すように、差動信号受信回路151は、専用伝送線路L2を介して、正相信号および逆相信号を受信した後、これらの差分信号を生成する。車両駆動用ECU15において、マイコン153は、ソフトウェア155を実行して、差動信号受信回路151で生成された差分信号に、所定周期を超えるHiレベルの時間区間を検出すると、自動運転用ECU11に異常が発生したと判断し、所定の緊急対応を行う。緊急対応としては下記が例示される。制動系ECUおよびアクセル系ECUは、車両Vが減速するように、制動装置およびスロットルバルブ等のアクチュエータ158を制御する。
なお、車両駆動用ECU15もまた、自身の異常を他のECUに伝達するために、差動信号生成回路157を備えていても良い。差動信号生成回路157は、差動信号生成回路121と同様に、上記パルス信号と、異常検出回路159,161の一方からの二値信号とが常時入力されても良い。ここで、異常検出回路159,161は、マイコン153および通信IF163の異常を検出する。差動信号生成回路157は、入力パルス信号と入力二値信号との論理和を正相信号として、差動伝送線路の一方に出力する。
また、出力装置17は、監視用ECU13からデジタル信号線より別途、緊急対応の要求を受けると、運転席の着座者に車両Vを手動運転するよう促す。
<1−4.専用伝送線路L1,L2を介した状態通知の作用・効果>
上記の通り、被監視ECUとしての自動運転用ECU11は、図2に示すソフトウェア111や通信インタフェイス119の異常が生じるとすぐに、異常が生じたことを差動信号により差動信号線路(専用伝送線路)L1を介して監視用ECU13に通知することが出来る。
監視用ECU13では、図3に示すように、マイコン133は、差動信号受信回路131で生成された差分信号に、所定周期を超えるHiレベルの時間区間を検出すると、自動運転用ECU11に異常が発生したと判断し、同じ時間の間、Hiレベルの二値信号を差動信号生成回路137に出力する。
車両駆動用ECU15では、図4に示すように、マイコン153は、差動信号受信回路151からの差分信号に、所定周期を超えるHiレベルの時間区間を検出すると、自動運転用ECU11に異常が発生したと判断し、車両Vを減速させるべく所定の緊急対応を行う。
上記のような専用伝送線路L1,L2を介した状態通知を通信ネットワーク1に導入することで、CANの定周期通信で生じうるタイムラグであって、自動運転用ECU11における異常発生から、監視用ECU13が異常把握までにタイムラグを最小限とすることが出来る。
また、従来、被監視ECU11の通信インタフェイス119で異常が発生した場合には、被監視ECU11との通信が途絶してしまうことがあった。しかし、上記のような専用伝送線路L1,L2を介した状態通知を通信ネットワーク1に導入することで、このような異常も監視用ECU13は把握することが出来る。
このように、本実施形態に係る通信ネットワーク1によれば、監視用ECU11は、被監視ECU11の状態をより高い信頼性で監視可能となる。
<1−5.付記>
なお、上記実施形態のように、被監視ECU11等は、内部に異常が生じていない場合、差動伝送路L1等に常時パルス信号を送出することになる。よって、監視用ECU13等において、差動伝送路L1の一方および他方に生じうる天絡および地絡を検出することが出来る。
<2.第二実施形態>
<2−1.被監視ECUと監視用ECUの構成・処理>
第1−2欄で説明した異常の双方を監視用ECU13がいち早く把握できるように、第二実施形態に係る通信ネットワーク1は、図1に示すように、自動運転用ECU11と監視用ECU13とを個別的に接続する専用伝送線路L1と、監視用ECU13と各車両駆動用ECU15とを個別的に接続する専用伝送線路L2と、を備えている。ここで、専用伝送線路L1,L2はそれぞれ、例えば二本一対の線(以下、対線という)である。
以下、図5〜図8を参照して、第二実施形態に係る通信ネットワーク1について詳説する。
図5に示すように、本実施形態の自動運転用ECU11は、第一実施形態のそれと比較して、差動信号生成回路121の代わりに、ソフト異常パルス生成回路211およびハード異常パルス生成回路213を備える点で相違する。それ以外に両実施形態の自動運転用ECU11にハード構成面での相違点は無いので、図5において、図2の構成に相当するものには同一参照符号を付け、それぞれの説明を省略する。
ソフト異常パルス生成回路211には、第一実施形態と同様のパルス信号と、異常検出回路115からの二値信号とが常時入力される。ソフト異常パルス生成回路211は、入力パルス信号と入力二値信号との排他的論理和信号を、専用伝送線路L1の一方に出力する。この処理により、ソフトウェア111の動作に異常が生じた場合には、パルス操作がなされることになる(図7のステップS001,S003)。
ハード異常パルス生成回路213には、第一実施形態と同様のパルス信号と、異常検出回路117からの二値信号とが常時入力される。ハード異常パルス生成回路213は、入力パルス信号と入力二値信号との論理和信号を、専用伝送線路L1の他方に出力する。この処理により、通信インタフェイス119に異常が生じた場合には、パルス操作がなされることになる(図7のステップS005,S007)。
このような構成により、自動運転用ECU11は、ソフトウェア111および通信インタフェイス119の異常を即座に監視用ECU13に通知することが出来る。
また、図6に示すように、本実施形態の監視用ECU13は、第一実施形態のそれと比較すると、差動信号受信回路131の代わりに、ソフト異常パルス受信回路231およびハード異常パルス受信回路233を備える点で相違する。それ以外に両実施形態の監視用ECU13にハード構成面での相違点は無いので、図6において、図3の構成に相当するものには同一参照符号を付け、それぞれの説明を省略する。
ソフト異常パルス受信回路231およびハード異常パルス受信回路233は、専用伝送線路L1の一方および他方から排他的論理和信号および論理和信号を受信して、マイコン133に渡す(図7のステップS009,S011)。
また、監視用ECU13には、ソフトウェア135の代わりに、ソフトウェア235が格納されている。マイコン133は、ソフトウェア235を実行して、受け取った排他的論理和信号に、ソフトウェア235等に予め規定されたオーバーフロー時間以上、Loレベルが続く時間区間を検出すると、自動運転用ECU11のソフトウェア111に異常が発生したと判断し、例えばHiレベルの二値信号を差動信号生成回路137に出力する(図7のステップS013)。
また、マイコン133は、受け取った論理和信号に、上記オーバーフロー時間以上、Hiレベルが続く時間区間を検出すると、自動運転用ECU11の通信インタフェイス119に異常が発生したと判断し、例えばHiレベルの二値信号を差動信号生成回路137に出力する(図7のステップS015)。
差動信号生成回路137は、第一実施形態で説明した差動信号を生成して、専用伝送線路L2に出力する。上記の処理により、ソフトウェア111や通信インタフェイス119に異常が生じた場合には、パルス操作がなされることになる(図7のステップS017)。車両駆動用ECU15は、第一実施形態で説明した通り、監視用ECU13から差動信号に応答して、所定の緊急対応を行う(図7のステップS019)。
再度、図5を参照する。マイコン133は、緊急対応のために差動信号を専用伝送線路L2に送出した後、自動運転用ECU11のソフトウェア111に異常が発生したのか、通信インタフェイス119に異常が発生したのかを判断する(図7のステップS021)。
ソフトウェア異常の場合、従来と同様、CAN等のデータ伝送方式で定義されたエラーフレームが共用伝送路Nを介して定周期通信で監視用ECU13に送信されてくる。監視用ECU13は、受け取ったエラーフレームを車両駆動用ECU15に転送する。車両駆動用ECU15は、エラーフレームの受信時には下記の安全制御を実施する(図7のステップS023,S025)。なお、この時の監視用ECU13および車両駆動用ECU15の処理は従来通りでよいため、本実施形態では詳細な説明を控える。
それに対し、マイコン133は、通信インタフェイス119の異常の場合、その旨を示し予め定められたパルスパターンを差動信号生成回路137に出力する。差動信号生成回路137は、入力パルスパターンに基づき差動信号を生成して、専用伝送線路L2に出力する。車両駆動用ECU15は、所定の緊急対応よりも詳細で安全な制御を行う(図7のステップS027,S025)。このような安全制御としては下記が例示される。制動系ECUおよびアクセル系ECUは、車両Vを停止させるように、制動装置およびスロットルバルブ等のアクチュエータ158を制御する。また、操舵系ECUは、例えば、車両Vを路肩に寄せるように、車両Vの操舵アクチュエータを制御する。
<2−2.第二実施形態の作用・効果>
上記の通り、被監視ECUとしての自動運転用ECU11は、図5に示すソフトウェア111や通信インタフェイス119の異常が生じるとすぐに、異常が生じたことを専用伝送線路L1を通じて監視用ECU13に通知することが出来る(図8の上下段,時刻t1を参照)。
監視用ECU13では、図6等に示すように、マイコン133は、受け取った排他的論理和信号および論理和信号に、オーバーフロー時間を超えるHiレベル区間およびLoレベル区間を検出すると、自動運転用ECU11に異常が発生したと判断し、Hiレベルの二値信号を差動信号生成回路137に出力する。その結果、専用伝送線路L2には、時刻t1とほぼ同時期に、Hiレベルの二値信号が送出される(図8の上下段,時刻t1を参照)
車両駆動用ECU15において、マイコン153は、専用伝送線路L2からの差動信号に基づき自動運転用ECU11に異常が発生したと判断すると、車両Vを減速させるべく所定の緊急対応を行う(図8の時刻t2)。
上記のような専用伝送線路L1,L2を介した状態通知を通信ネットワーク1に導入することで、被監視ECU11における異常発生から監視用ECU13が異常把握までにタイムラグを最小限とすることが出来る。
また、被監視ECU11の通信インタフェイス119で異常が発生した場合に関しても上記のような専用伝送線路L1,L2を介した状態通知を通信ネットワーク1に導入することで、このような異常も監視用ECU13は把握することが出来る。
このように、本実施形態に係る通信ネットワーク1によれば、監視用ECU11は、被監視ECU11の状態をより高い信頼性で監視可能となる。
また、本実施形態では、監視用ECU13は、ソフトウェア111の動作に異常が生じている場合等、所定のパルスパターンに基づく差動信号を専用伝送線路L2に送出することで、多様な情報(例えば、自動運転用ECU11の通信インタフェイス119に異常が生じていること)を車両駆動用ECU15に送ることが可能になる(図8の上段,時刻t3を参照)。ソフトウェア111の動作に異常が生じている場合等、このようなパルスパターンに基づき、車両駆動用ECU15は、前述の安全制御を行う(図8の上段,時刻t4を参照)
なお、自動運転用ECU11の通信インタフェイス119に異常が生じている場合等、CAN等のデータ伝送方式で定義されたエラーフレームが共用伝送路Nを介して定周期通信で伝送される。車両駆動用ECU15は、受信したエラーフレームに基づき前述の安全制御を行う(図8の下段,時刻t4を参照)。
<3.第三実施形態>
<3−1.被監視ECUと監視用ECUの構成・処理>
第三実施形態に係る通信ネットワークは、第1−2欄で説明した異常の双方を監視用ECU13が把握できるように、図1に示すように、自動運転用ECU11と監視用ECU13とを個別的に接続する専用伝送路(対線)L1と、監視用ECU13と各車両駆動用ECU15とを個別的に接続する専用伝送線路(対線)L2と、を備えている。
図9に示すように、本実施形態の自動運転用ECU11は、第一実施形態との比較において、差動信号生成回路121の代わりに、ソフト異常パルス合成回路311およびハード異常パルス生成回路313を備える点で相違する。それ以外に両実施形態の自動運転用ECU11にハード構成面での相違点は無いので、図9において、図2の構成に相当するものには同一参照符号を付け、それぞれの説明を省略する。
被監視ECU11はまず、少なくとも一つのソフトウェア111を実行する少なくとも一つのマイコン113を備えている。マイコン113は、各ソフトウェア111を実行することで、機能安全を監視すべき機能を実現する。このような機能安全を監視すべき機能としては、第一実施形態で挙げた車両Vの操舵角、アクセル開度および制動量を導出する機能が例示される。
各ソフトウェア111の動作は異常検出回路115により監視される。各異常検出回路115は、ソフトウェア111の動作に異常を検出すると、Hiレベルの二値信号を出力し、そうでない場合には、Loレベルの二値信号を出力する。ここで、監視対象のソフトウェアそれぞれの処理周期や処理時間は互いに異なるため、異常検出回路115(即ち、ウォッチドッグタイマー)によるオーバーフロー検出時間は、異常通知のためには最短化される必要がある。従って、各異常検出回路115には、対応するソフトウェア111毎に最短となるオーバーフロー検出時間が設定されることが好ましい。この場合、異常検出回路115は、設定されたオーバーフロー検出時間の間に、与えられたタスクが終了している間、Loレベルの二値信号を出力するが、与えられたタスクが終了しない場合、Hiレベルの二値信号に切り替えて出力する。
ソフト異常パルス合成回路311には、前述と同様のパルス信号と、各異常検出回路115からの二値信号とが常時入力される。ソフト異常パルス合成回路311は、信号生成回路の他の一例であり、入力パルス信号と入力二値信号のそれぞれとの排他的論理和を生成することで、入力二値信号をネゲート化する。このような排他的論理和信号は、専用伝送線路L1の一方に出力される。
前述同様、被監視ECU11には、共用伝送路Nとの通信インタフェイス119が備わっている。通信インタフェイス119は、前述の異常検出回路117により監視される。異常検出回路117は、通信インタフェイス119に異常を検出すると、上記と同様の二値信号を出力する。
ハード異常パルス生成回路313には、前述のパルス信号と、異常検出回路117からの二値信号とが常時入力される。ハード異常パルス生成回路313は、入力パルス信号と入力二値信号との論理和信号を生成して、専用伝送線路L1の他方に出力する。
被監視ECU11に異常が生じていない場合、所定周期のパルスを有する正相信号および逆相信号から構成される差動信号が専用伝送線路L1上を伝送されることとなる。
上記のような被監視ECU11に対し、監視用ECU13は、大略的に、ソフト異常パルス受信回路331と、ハード異常パルス受信回路333と、ソフトウェア335を実行するマイコン133と、を備えている。
ソフト異常パルス受信回路331およびハード異常パルス受信回路333は、専用伝送線路L1の一方および他方から排他的論理和信号および論理和信号を受信して、マイコン133に出力する。
マイコン133は、ソフトウェア335を実行することで、ソフト正常確認部339、負荷状態検出部341、ハード正常確認部343および判定部345として機能する。
ソフト正常確認部339は、ソフト異常受信回路331からの排他的論理和信号が所定周期のパルス信号である場合に、被監視ECU11の各ソフトウェア111が正常に動作していると判断する。ソフト正常確認部339は、正常という判断結果を得た場合、その判断結果を判定部345に渡し、そうでない場合には、排他的論理和信号を負荷状態検出部341に渡す。
負荷状態検出部341は、受け取った排他的論理和信号に、ソフトウェア335で規定したオーバーフロー時間未満のLoレベルの時間区間を検出すると、自動運転用ECU11側でのソフトウェア335の動作が一時的に過負荷になったことを車両駆動用ECU15に警告を発すると判断する。
上記に対し、負荷状態検出部341は、このLoレベル区間が、上記オーバーフロー時間以上の場合、自動運転用ECU11に異常が生じていることを車両駆動用ECU15に通知すると判断する。
負荷状態検出部341は、上記二種の判断結果(即ち、警告、異常)を判定部345に渡す。
ハード正常確認部343は、専用伝送線路L1の他方からの論理和信号が所定周期のパルス信号である場合に、被監視ECU11の通信インタフェイス119が正常に動作していると判断するが、そうでない場合、通信インタフェイス119に異常が発生したと判断する。このような判断結果(即ち、正常、異常)をハード正常確認部343は判定部345に渡す。
判定部345は、負荷状態検出部341またはハード正常確認部343から、異常という判断結果を受け取るとすぐに、車両駆動用ECU15に所定の緊急対応を行わせるために、Hiレベルの二値信号を差動信号生成回路137に出力する。これ以降の処理・動作は、第一実施形態または第二実施形態で説明したのと同様であるため、その説明を省略する。
それに対し、判定部345は、負荷状態検出部341から、警告という判断結果を受け取った場合には、前述の通り、エラーフレームが定周期通信で監視用ECU13に送信されるため、例えば、監視用ECU13に何も通知しなくとも良いし、所定の緊急対応を行わせても良い。
<3−2.第三実施形態の作用・効果>
上記の通り、本実施形態に係る専用伝送線路L1,L2を用いた状態通知であっても、第1−4欄等で記載の通り、被監視ECU11の状態をより高い信頼性で監視可能となる。
<3−3.変形例>
第三実施形態では、負荷状態検出部341は、ソフトウェア335で規定されたオーバーフロー時間に基づき、自動運転用ECU11の負荷状態を検出していた。しかし、このような処理に代えて、負荷状態検出部341は、下記のような処理を行っても構わない。即ち、本変形例の負荷状態検出部341は、ソフト異常パルス受信回路331およびハード異常受信回路333から排他的論理和信号および論理和信号を受け取る。
ここで、ハード異常はソフト異常よりも起こりにくいので、論理和信号は、所定周期のパルス信号である可能性が高い。そこで、負荷状態検出部341は、周期的に、排他的論理和信号と論理和信号との排他的論理和を演算した後、演算結果のパルス幅を導出する。負荷状態検出部341はさらに、今回導出したパルス幅から前回導出したパルス幅を減算し、その結果得られた差分値を積算する。
この積算値は、図11上段に示すように、自動運転用ECU11側のソフトウェア111の動作が常時正常であれば、常時ゼロである。しかし、この積算値は、自動運転用ECU11側のソフトウェア111の動作に負荷がかかり続けると増加する(図11中段,下段を参照)。逆に、負荷が減少すると、積算値も減少する。負荷状態検出部341は、予め定められた閾値を積算値が超えると、その旨を判定部345に渡す。
判定部345は、積算値が閾値を超えると、車両駆動用ECU15に緊急対応(前述)を行わせるために、Hiレベルの二値信号を差動信号生成回路137に出力する。これにより、図11中段に示すように、積算値が減少すれば、監視用ECU13は引き続き処理を続ける。それに対し、負荷状態検出部341は、緊急対応後、一定時間経過してもなお積算値が閾値を超えた状態が続くと、その旨を判定部345に渡す。
判定部345は、緊急対応後も積算値が閾値を超えていると、ソフトウェア111に異常が生じているとして、車両駆動用ECU15に安全制御(前述)を行わせるために、Hiレベルの二値信号を差動信号生成回路137に再び出力する(図11下段を参照)。
<4.第四実施形態>
<4−1.被監視ECUと監視用ECUの構成・処理>
第四実施形態に係る通信ネットワークは、第1−2欄で説明した異常の双方を監視用ECU13が把握できるように、既に説明した通り、自動運転用ECU11と監視用ECU13とを個別的に接続する専用伝送路(対線)L1と、監視用ECU13と各車両駆動用ECU15とを個別的に接続する専用伝送線路(対線)L2と、を備えている。
図12に示すように、本実施形態の自動運転用ECU11は、第三実施形態との比較において、異常検出回路115およびソフト異常パルス合成回路311の代わりに、ソフトウェア111に対応して設けられたカウンタ411、平均値回路413およびPWM信号生成回路415を備える点で相違する。それ以外に両実施形態の自動運転用ECU11にハード構成面での相違点は無いので、図12において、図9の構成に相当するものには同一参照符号を付け、それぞれの説明を省略する。
各カウンタ411は、対応するソフトウェア111の処理周期に対する実処理時間の比率を計測する。平均値回路413は、全カウンタ411から得られる比率の平均値(以下、平均比率という)を計算する。PWM信号生成回路415は、オフデューティー比が平均値回路413で得られた平均比率となるPWM信号を生成して、専用伝送線路L1の一方に出力する。
上記のような被監視ECU11に対し、監視用ECU13は、図13に示すように、第三実施形態との比較において、ソフト異常パルス受信回路331に代えてPWM受信回路431を備える点と、マイコン133がソフトウェア335の代わりにソフトウェア433を実行する点とで異なる。それ以外に両実施形態の監視用ECU13にハード構成面での相違点は無いので、図13において、図10の構成に相当するものには同一参照符号を付け、それぞれの説明を省略する。
PWM受信回路431は、専用伝送線路L1の一方からPWM信号を受信して、マイコン133に出力する。
マイコン133は、ソフトウェア433を実行することで、ソフト正常確認部435、負荷状態検出部437、ハード正常確認部439および判定部441として機能する。
ソフト正常確認部435は、PWM受信回路431からのPWM信号のオフデューティー比が例えば70%以下の数値範囲内であれば、被監視ECU11の各ソフトウェア111が正常に動作していると判断する。ソフト正常確認部435は、正常という判断結果を得た場合、その判断結果を判定部441に渡し、そうでない場合には、PWM信号を負荷状態検出部437に渡す。
負荷状態検出部437は、受け取ったPWM信号のオフデューティー比が例えば70%超100%未満の数値範囲内であれば、被監視ECU11のいずれかのソフトウェア433の動作が過負荷になったとして、車両駆動用ECU15に警告を発すると判断する。上記に対し、負荷状態検出部437は、例えば100%であれば(即ちLoで固定であれば)、自動運転用ECU11のソフトウェア433の動作に異常が生じていることを車両駆動用ECU15に通知すると判断する。負荷状態検出部437は、上記二種の判断結果(即ち、警告、異常)を判定部441に渡す。
判定部441は、負荷状態検出部437から異常という判断結果を受け取るとすぐに、車両駆動用ECU15に所定の緊急対応を行わせるために、Hiレベルの二値信号を差動信号生成回路137に出力する。これ以降の処理・動作は、第一実施形態または第二実施形態で説明したのと同様であるため、その説明を省略する。
それに対し、判定部441は、負荷状態検出部437から、警告という判断結果を受け取った場合には、前述の通り、エラーフレームが定周期通信で監視用ECU13に送信されるため、例えば、監視用ECU13に何も通知しなくとも良いし、所定の緊急対応を行わせても良い。
本開示に係る通信ネットワーク、監視用ECUおよび車両は、被監視ECUの状態をより高い信頼性で監視可能であり、乗用車や商用車等に好適である。
V 車両
1 通信ネットワーク
11 自動運転用ECU
13 監視用ECU
15 車両駆動用ECU
N 共用伝送路
L1,L2 専用伝送線路

Claims (8)

  1. 少なくとも被監視ECUおよび監視用ECUと、
    前記被監視ECUが制御信号を前記監視ECUに定周期送信する際に用いられる共用伝送路と、
    前記被監視ECUが内部状態を示す状態信号を前記監視用ECUに常時送信する際に用いられる専用伝送路と、を備えた通信ネットワーク。
  2. 監視ECUへの制御信号を共用伝送路により定周期送信可能な被監視ECUであって、
    自身が実行するソフトウェアおよび/または通信インタフェイスの異常を検出する異常検出回路と、
    前記異常検出回路が異常を検出すると、前記被監視ECUの内部状態を示す値を変更した状態信号を生成して、前記監視用ECUに常時送信する際に用いられる専用伝送路に送出する信号生成回路と、を備えた被監視ECU。
  3. 前記ソフトウェアは、マイコンにより実行されることで、機能安全の監視対象となる機能を実現し、
    前記異常検出回路は、前記ソフトウェアのオーバーフロー検出時間内にタスクが終了しない場合、前記ソフトウェアの異常を検出する、請求項2に記載の被監視ECU。
  4. 前記異常検出回路は、前記ソフトウェアの処理周期に対する実処理時間の比率を計測するカウンタであって、
    前記異常検出回路は、前記カウンタの比率を示すデューティ比のPWM信号を生成するPWM信号生成回路である、請求項2に記載の被監視ECU。
  5. 被監視ECUからの制御信号を共用伝送路により定周期受信可能な監視用ECUであって、
    前記被監視ECUが内部で異常を検出すると、前記被監視ECUの内部状態を示す値を変更した状態信号を、前記被監視装置が前記監視用ECUに常時送信する際に用いられる専用伝送路から受信する、少なくとも一つの受信回路と、
    前記受信回路で受信した状態信号の値が変わると、前記被監視ECUの内部状態に異常が生じたことを認識するコントローラと、を備えた監視用ECU。
  6. 前記受信回路で受信した状態信号の値が変わったことを示す信号を生成して、別のECUに常時送信する際に用いられる別の専用伝送路に送出する信号生成回路をさらに備えた、請求項5に記載の監視用ECU。
  7. 前記コントローラは、
    前記受信回路で受信した状態信号に基づき、前記被監視ECUで実行されるソフトウェアが正常に動作していることを確認するソフト正常確認部と、
    前記ソフトウェアが正常に動作していない時、前記ソフトウェアの動作負荷を検出する負荷状態検出部と、
    前記受信回路で受信した状態信号に基づき、前記被監視ECUの通信インタフェイスが正常に動作していることを確認するハード正常確認部と、を含む、請求項5に記載の監視用ECU。
  8. 請求項1に記載の通信ネットワーク、請求項2に記載の被監視ECUおよび請求項5に記載の監視ECUのいずれか一つを備えた車両。
JP2016145525A 2016-07-25 2016-07-25 通信ネットワーク、被監視ecu、監視用ecuおよび車両 Pending JP2018016106A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016145525A JP2018016106A (ja) 2016-07-25 2016-07-25 通信ネットワーク、被監視ecu、監視用ecuおよび車両

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016145525A JP2018016106A (ja) 2016-07-25 2016-07-25 通信ネットワーク、被監視ecu、監視用ecuおよび車両

Publications (1)

Publication Number Publication Date
JP2018016106A true JP2018016106A (ja) 2018-02-01

Family

ID=61081280

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016145525A Pending JP2018016106A (ja) 2016-07-25 2016-07-25 通信ネットワーク、被監視ecu、監視用ecuおよび車両

Country Status (1)

Country Link
JP (1) JP2018016106A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020044638A1 (ja) * 2018-08-30 2020-03-05 住友電気工業株式会社 車載通信システム、データ取得装置、管理装置および監視方法
CN112257217A (zh) * 2019-07-05 2021-01-22 上汽通用汽车有限公司 汽车控制器内核状态监控系统和方法
EP4002799A1 (en) 2020-11-18 2022-05-25 Toyota Jidosha Kabushiki Kaisha Vehicular control system, anomaly detection method for vehicular control system, and anomaly detection program for vehicular control system

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020044638A1 (ja) * 2018-08-30 2020-03-05 住友電気工業株式会社 車載通信システム、データ取得装置、管理装置および監視方法
JPWO2020044638A1 (ja) * 2018-08-30 2021-09-09 住友電気工業株式会社 車載通信システム、データ取得装置、管理装置および監視方法
JP7160103B2 (ja) 2018-08-30 2022-10-25 住友電気工業株式会社 車載通信システム、データ取得装置、管理装置および監視方法
US11981339B2 (en) 2018-08-30 2024-05-14 Sumitomo Electric Industries, Ltd. Vehicle-mounted communication system, data acquisition device, management device, and monitoring method
CN112257217A (zh) * 2019-07-05 2021-01-22 上汽通用汽车有限公司 汽车控制器内核状态监控系统和方法
EP4002799A1 (en) 2020-11-18 2022-05-25 Toyota Jidosha Kabushiki Kaisha Vehicular control system, anomaly detection method for vehicular control system, and anomaly detection program for vehicular control system
JP2022080346A (ja) * 2020-11-18 2022-05-30 トヨタ自動車株式会社 車両用制御システム、車両用制御システムの異常検知方法及び異常検知プログラム
JP7363749B2 (ja) 2020-11-18 2023-10-18 トヨタ自動車株式会社 車両用制御システム、車両用制御システムの異常検知方法及び異常検知プログラム

Similar Documents

Publication Publication Date Title
US10870421B2 (en) Device for controlling a safety-relevant process, method for testing the functionality of the device, and motor vehicle with the device
US10585432B2 (en) Drive-by-wire control system
US10395524B2 (en) Method and system for detecting autonomously driven vehicles, for distance measurement and for distance control
US11360864B2 (en) Vehicle safety electronic control system
US9925979B2 (en) Autonomous braking failure management in pedestrian protection
US9616896B1 (en) System for switching control of an autonomous vehicle
US10890908B2 (en) Vehicle control system and action plan system provided with same
JP5999178B2 (ja) 車両用ネットワークの通信管理装置及び通信管理方法
JP6140886B2 (ja) 後続車両が直ぐ前の先行車両に衝突することを防止する方法及びシステム、並びにそのシステムの使用
US9701318B2 (en) Vehicular control device and fail-safe method
KR20130121816A (ko) 정보를 유효화하는 방법 및 시스템
US20210258187A1 (en) Electronic control device, electronic control method, and recording medium
WO2019142563A1 (ja) 電子制御装置
JP2018016106A (ja) 通信ネットワーク、被監視ecu、監視用ecuおよび車両
CN110053630B (zh) 车辆控制方法及装置
US20210086792A1 (en) Method of assisting a motor vehicle
JP7206410B2 (ja) 安全システムおよび安全システムの作動方法
JP2010173349A (ja) 車両用走行制御装置
WO2020057965A1 (en) Control architecture for a vehicle
JP6417984B2 (ja) 車載通信システム
WO2021035701A1 (zh) 一种传感器检测方法及车载控制终端
US11673565B1 (en) Recoverable fail-safe trajectory
US11386032B2 (en) Network system
KR20230170734A (ko) 시간 동기화 검증
EP3444742A1 (en) A driver assistance apparatus and method

Legal Events

Date Code Title Description
RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20190625