JP2024013979A - 電子制御装置 - Google Patents

電子制御装置 Download PDF

Info

Publication number
JP2024013979A
JP2024013979A JP2022116477A JP2022116477A JP2024013979A JP 2024013979 A JP2024013979 A JP 2024013979A JP 2022116477 A JP2022116477 A JP 2022116477A JP 2022116477 A JP2022116477 A JP 2022116477A JP 2024013979 A JP2024013979 A JP 2024013979A
Authority
JP
Japan
Prior art keywords
abnormality
control device
electronic control
monitoring
occurrence
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2022116477A
Other languages
English (en)
Inventor
祐太 塩見
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2022116477A priority Critical patent/JP2024013979A/ja
Publication of JP2024013979A publication Critical patent/JP2024013979A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】システム全体としての処理負荷の増大を抑えつつ、異常発生に対して適切に対処する。【解決手段】電子制御装置2~4は、複数の他の電子制御装置と接続されている。電子制御装置は、複数の他の電子制御装置のうち一つの電子制御装置を監視先として監視する監視部14a~16aと、監視先の電子制御装置の異常発生を検知する異常発生検知部14b~16bと、監視先の電子制御装置の異常発生が検知されると、所定の電子制御装置の監視先を変更する監視先変更部14c~16cと、を備える。【選択図】図5

Description

本発明は、電子制御装置に関する。
例えば車両に搭載されている車両制御システムは、複数の電子制御装置が車載ネットワークを介して接続されている。例えば特許文献1には、複数の装置の中の何れかの装置の異常発生を検知すると、その異常発生した装置の処理を正常な装置が引き継いで車両制御を継続したり、フェールセーフ処理を実施したりする構成が開示されている。
特開2019-121043号公報
装置の異常発生を検知する構成として、2つの装置間で相互監視する構成がある。しかしながら、例えば3つの装置を監視対象とする構成に上記した2つの装置間で相互監視する構成を採用すると、第1装置と第2装置の組み合わせで相互監視し、第2装置と第3装置の組み合わせで相互監視し、第3装置と第1装置の組み合わせで相互監視することになる。そうなると、一つの装置から他の装置への監視方向が2方向になり、システム全体としての処理負荷が増大する虞がある
本発明は、上記した事情に鑑みてなされたものであり、その目的は、システム全体としての処理負荷の増大を抑えつつ、異常発生に対して適切に対処することができる電子制御装置を提供することにある。
請求項1に記載した発明によれば、監視部(14a~16a,38a~41a)は、複数の他の電子制御装置のうち一つの電子制御装置を監視先として監視する。異常発生検知部(14b~16b,38b~41b)は、監視先の電子制御装置の異常発生を検知する。監視先変更部(14c~16c,38c~41c)は、監視先の電子制御装置の異常発生が検知されると、所定の電子制御装置の監視先を変更する。
2つの電子制御装置の組み合わせで相互監視することなく、複数の電子制御装置の個々において通常時の監視方向を1方向とした場合でも、監視先の電子制御装置の異常発生を検知すると、所定の電子制御装置の監視先を変更することで、異常発生に対して適切に対処することができる。これにより、システム全体としての処理負荷の増大を抑えつつ、異常発生に対して適切に対処することができる。
第1実施形態の全体構成を示す機能ブロック図 装置Aの異常発生時を説明する図 装置Bの異常発生時を説明する図 装置Cの異常発生時を説明する図 装置Cの機能ブロック図 フローチャート 第2実施形態の全体構成を示す機能ブロック図 装置Eの異常発生時を説明する図 装置Dの機能ブロック図 フローチャート フローチャート
以下、複数の実施形態について図面を参照して説明する。後続する実施形態において、先行する実施形態と共通する部分は説明を省略する。
(第1実施形態)
第1実施形態について図1から図6を参照して説明する。図1に示すように、車両制御システム1は、装置A~Cの3個の装置2~4が相互接続されている。車両制御システム1が4個以上の装置から構成され、そのうちの3個の装置が相互接続されている場合にも適用することができる。即ち、車両制御システム1に含まれる装置の個数は3個以上の任意であり、3個の装置が相互接続される関係であれば良い。本実施形態では、装置Aを主制御装置2とし、装置Bを監視装置3とし、装置Cを副制御装置4として説明する。
各装置2~4は、電子制御装置(以下、ECU(Electronic Control Unit)と称する)から構成されている。各装置2~4は、それぞれ常時有効化されている常時監視ラインと、異常発生時のみ有効化される異常発生時監視ラインとを介して接続されている。主制御装置2と監視装置3とは、常時監視ライン5と異常発生時監視ライン6とを介して接続されている。監視装置3と副制御装置4とは、常時監視ライン7と異常発生時監視ライン8とを介して接続されている。副制御装置4と主制御装置2とは、常時監視ライン9と異常発生時監視ライン10とを介して接続されている。常時監視ライン5,7,9及び異常発生時監視ライン6,8,10は、それぞれ有線及び無線の何れであっても良い。
主制御装置2は、通常時において車両制御を実行するECUである。主制御装置2は、通常時において常時監視ライン5を介して監視装置3を監視し、監視装置3の動作状態を判定して監視装置3の異常発生を検知する。主制御装置2は、監視装置3の異常発生時において異常発生時監視ライン10を介して副制御装置4を監視し、副制御装置4の動作状態を判定して副制御装置4の異常発生を検知する。
監視装置3は、監視機能を有するECUである。監視装置3は、通常時において常時監視ライン7を介して副制御装置4を監視し、副制御装置4の動作状態を判定して副制御装置4の異常発生を検知する。監視装置3は、副制御装置4の異常発生時において異常発生時監視ライン6を介して主制御装置2を監視し、主制御装置2の動作状態を判定して主制御装置2の異常発生を検知する。
副制御装置4は、主制御装置2の異常発生時において当該主制御装置2の代替として退避走行制御を実行するECUである。副制御装置4は、通常時において常時監視ライン9を介して主制御装置2を監視し、主制御装置2の動作状態を判定して主制御装置2の異常発生を検知する。副制御装置4は、主制御装置2の異常発生時において異常発生時監視ライン8を介して監視装置3を監視し、監視装置3の動作状態を判定して監視装置3の異常発生を検知する。
各装置2~4は、通常時において図1の時計回り方向の一つの装置を監視先として監視する。図1において常時監視ライン5,7,9の矢印は、それぞれ通常時の監視方向を示している。各装置2~4における通常時の監視方法は、監視先の装置の動作状態が正常であるか否かを判定可能であればどのような方法を用いても良く、例えば装置間での演算結果の一致確認やウォッチドッグタイマ確認等の周知の方法を採用することができる。又、各装置2~4は、詳しくは後述するように異常発生時において図1の反時計回り方向の一つの装置を監視先として監視する。図1において異常発生時監視ライン6,8,10の矢印は、それぞれ異常発生時の監視方向を示している。各装置2~4における異常発生時の監視方法も、監視先の装置の動作状態が正常であるか否かを判定可能であれば、どのような方法を用いても良く、例えば装置間での演算結果の一致確認やウォッチドッグタイマ確認等の周知の方法を採用することができる。
各装置2~4間は、常時監視ライン5,7,9及び異常発生時監視ライン6,8,10とは別に、異常発生の検知を示す異常発生検知や異常発生の確定を示す異常発生確定を通知するためのデータ通信線が接続されている。主制御装置2と監視装置3とは、データ通信線11を介して接続されている。監視装置3と副制御装置4とは、データ通信線12を介して接続されている。副制御装置4と主制御装置2とは、データ通信線13を介して接続されている。データ通信線11~13も、それぞれ有線及び無線の何れであっても良い。
主制御装置2の異常発生時について図2を参照して説明する。主制御装置2において異常が発生し(t1)、副制御装置4は、主制御装置2の異常発生を検知すると(t2)、主制御装置2の代替として退避走行制御を実行し(t3)、異常発生検知をデータ通信線12を介して監視装置3へ通知する(t4)。監視装置3は、副制御装置4から異常発生検知が通知されると、異常発生時監視ライン6を一時的に有効化し、主制御装置2の動作状態を判定して主制御装置2の異常発生を確認し、異常発生確認結果をデータ通信線12を介して副制御装置4へ通知する。
副制御装置4は、監視装置3から異常発生確認結果が通知されると、その通知された異常発生確認結果に基づいて異常発生の確定又は未確定を選択する。副制御装置4は、監視装置3からの異常発生確認結果により主制御装置2の異常発生が監視装置3でも検知されたことを確認すると、主制御装置2の異常発生を確定する(t5)。副制御装置4は、主制御装置2の異常発生を確定すると、異常発生確定をデータ通信線12を介して監視装置3へ通知し(t6)、異常発生時監視ライン8を有効化し、主制御装置2に代わって監視装置3の監視を実施する(t7)。
監視装置3の異常発生時について図3を参照して説明する。監視装置3において異常が発生し(t11)、主制御装置2は、監視装置3の異常発生を検知すると(t12)、異常発生検知をデータ通信線13を介して副制御装置4へ通知する(t13)。副制御装置4は、主制御装置2から異常発生検知が通知されると、異常発生時監視ライン8を一時的に有効化し、監視装置3の動作状態を判定して監視装置3の異常発生を確認し、異常発生確認結果をデータ通信線13を介して主制御装置2へ通知する。
主制御装置2は、副制御装置4から異常発生確認結果が通知されると、その通知された異常発生確認結果に基づいて異常発生の確定又は未確定を選択する。主制御装置2は、副制御装置4からの異常発生確認結果により監視装置3の異常発生が副制御装置4でも検知されたことを確認すると、監視装置3の異常発生を確定する(t14)。主制御装置2は、監視装置3の異常発生を確定すると、異常発生確定をデータ通信線13を介して副制御装置4へ通知し(t15)、異常発生時監視ライン10を有効化し、監視装置3に代わって副制御装置4の監視を実施する(t16)。
副制御装置4の異常発生時について図4を参照して説明する。副制御装置4において異常が発生し(t21)、監視装置3は、副制御装置4の異常発生を検知すると(t22)、異常発生検知をデータ通信線11を介して主制御装置2へ通知する(t23)。主制御装置2は、監視装置3から異常発生検知が通知されると、異常発生時監視ライン10を一時的に有効化し、副制御装置4の動作状態を判定して副制御装置4の異常発生を確認し、異常発生確認結果をデータ通信線11を介して監視装置3へ通知する。
監視装置3は、主制御装置2から異常発生確認結果が通知されると、その通知された異常発生確認結果に基づいて異常発生の確定又は未確定を選択する。監視装置3は、主制御装置2からの異常発生確認結果により副制御装置4の異常発生が主制御装置2でも検知されたことを確認すると、副制御装置4の異常発生を確定する(t24)。監視装置3は、副制御装置4の異常発生を確定すると、異常発生確定をデータ通信線11を介して主制御装置2へ通知し(t25)、異常発生時監視ライン6を有効化し、副制御装置4に代わって主制御装置4の監視を実施する(t26)。
図5に示すように、各装置2~4は、それぞれ制御部14~16を備える。各制御部14~16は、それぞれCPU、ROM、RAM、I/O及びこれらの構成を接続するバスライン等を含むマイコンを主体として構成されている。各制御部14~16は、それぞれ予め記憶されているプログラムをCPUで実行することによるソフトウェア処理、専用の電子回路によるハードウェア処理による制御を実行し、各装置2~4の動作を制御する。
制御部14は、機能毎に、監視部14aと、異常発生検知部14bと、監視先変更部14cとを備える。監視部14aは、監視装置3を常時監視ライン5を介して監視する。異常発生検知部14bは、監視装置3の動作状態を判定して監視装置3の異常発生を検知する。異常発生検知部14bは、例えば主制御装置2と監視装置3との間での演算結果の不一致やウォッチドッグタイマのタイムアウト等を判定すると、監視装置3の異常発生を検知する。
監視先変更部14cは、監視装置3の異常発生が異常発生検知部14bにより検知されると、異常発生検知をデータ通信線13を介して副制御装置4へ通知する。副制御装置4は、主制御装置2から異常発生検知が通知されると、異常発生時監視ライン8を一時的に有効化し、監視装置3に対する異常発生確認を実施し、異常発生確認結果をデータ通信線13を介して主制御装置2へ通知する。監視先変更部14cは、副制御装置4から異常発生確認結果が通知され、その通知された異常発生確認結果により監視装置3の異常発生を確定すると、異常発生確定をデータ通信線13を介して副制御装置4へ通知する。監視先変更部14cは、異常発生時監視ライン10を有効化し、監視先を監視装置3から副制御装置4へ変更し、監視装置3に代わって副制御装置4の監視を実施する。
制御部15は、機能毎に、監視部15aと、異常発生検知部15bと、監視先変更部15cとを備える。監視部15aは、副制御装置4を常時監視ライン7を介して監視する。異常発生検知部15bは、副制御装置4の動作状態を判定して副制御装置4の異常発生を検知する。異常発生検知部15bは、例えば監視装置3と副制御装置4との間での演算結果の不一致やウォッチドッグタイマのタイムアウト等を判定すると、副制御装置4の異常発生を検知する。
監視先変更部15cは、副制御装置4の異常発生が異常発生検知部15bにより検知されると、異常発生検知をデータ通信線11を介して主制御装置2へ通知する。主制御装置2は、監視装置3から異常発生検知が通知されると、異常発生時監視ライン10を一時的に有効化し、副制御装置4に対する異常発生確認を実施し、異常発生確認結果をデータ通信線11を介して監視装置3へ通知する。監視先変更部15cは、主制御装置2から異常発生確認結果が通知され、その通知された異常発生確認結果により副制御装置4の異常発生を確定すると、異常発生確定をデータ通信線11を介して主制御装置2へ通知する。監視先変更部15cは、異常発生時監視ライン6を有効化し、監視先を副制御装置4から主制御装置2へ変更し、副制御装置4に代わって主制御装置2の監視を実施する。
制御部16は、機能毎に、監視部16aと、異常発生検知部16bと、監視先変更部16cとを備える。監視部16aは、主制御装置2を常時監視ライン9を介して監視する。異常発生検知部16bは、主制御装置2の動作状態を判定して主制御装置2の異常発生を検知する。異常発生検知部16bは、例えば副制御装置4と主制御装置2との間での演算結果の不一致やウォッチドッグタイマのタイムアウト等を判定すると、主制御装置2の異常発生を検知する。
監視先変更部16cは、主制御装置2の異常発生が異常発生検知部16bにより検知されると、異常発生検知をデータ通信線12を介して監視装置3へ通知する。監視装置3は、副制御装置4から異常発生検知が通知されると、異常発生時監視ライン6を一時的に有効化し、主制御装置2に対する異常発生確認を実施し、異常発生確認結果をデータ通信線12を介して副制御装置4へ通知する。監視先変更部16cは、監視装置3から異常発生確認結果が通知され、その通知された異常発生確認結果により主制御装置2の異常発生を確定すると、異常発生確定をデータ通信線12を介して監視装置3へ通知する。監視先変更部16cは、異常発生時監視ライン8を有効化し、監視先を主制御装置2から監視装置3へ変更し、主制御装置2に代わって監視装置3の監視を実施する。
次に、上記した構成の作用について図6を参照して説明する。ここでは、副制御装置4の制御部16が主制御装置2の異常発生を検知する場合について説明する。図4に示したように、副制御装置4が主制御装置2の異常発生を検知する場合は、通常時の監視先である主制御装置2が第2装置(第2電子制御装置に相当する)として機能し、主制御装置2の通常時の監視先である監視装置3が第1装置(第1電子制御装置に相当する)として機能する。図2に示したように、主制御装置2が監視装置3の異常発生を検知する場合については、通常時の監視先である監視装置3が第2装置として機能し、監視装置3の通常時の監視先である副制御装置4が第1装置として機能する。図3に示したように、監視装置3が副制御装置4の異常発生を検知する場合については、通常時の監視先である副制御装置4が第2装置として機能し、副制御装置4の通常時の監視先である主制御装置2が第1装置として機能する。
副制御装置4において、制御部16は、監視中処理を所定周期で実施する。制御部16は、監視中処理の開始条件が成立すると、監視中処理を開始し、第2装置の異常発生を検知したか否かを判定する(S1)。制御部16は、第2装置の異常発生を検知していないと判定すると(S1:NO)、第1装置の異常発生検知が第2装置から通知されたか否かを判定する(S2)。制御部16は、第1装置の異常発生検知が第2装置から通知されていないと判定すると(S2:NO)、第1装置の異常発生確定が第2装置から通知されたか否かを判定する(S3)。制御部16は、第1装置の異常発生確定が第2装置から通知されていないと判定すると(S3:NO)、監視中処理を終了し、次の監視中処理の開始条件の成立を待機する。
制御部16は、第2装置の異常発生を検知したと判定すると(S1:YES)、第2装置の異常発生検知を第1装置へ通知し(S4)、第1装置からの異常発生確認結果の通知を待機する(S5)。制御部16は、第1装置から異常発生確認結果が通知されなかった、又は第1装置から異常発生確認結果が通知されたが、その通知された異常発生確認結果により第2装置の異常発生が確認されなかったと判定すると(S5:NO)、第2装置の異常発生を確定せずに監視中処理を終了し、次の監視中処理の開始条件の成立を待機する。
一方、制御部16は、第1装置から異常発生確認結果が通知され、その通知された異常発生確認結果により第2装置の異常発生が確認されたと判定すると(S5:YES)、第2装置の異常発生を確定し、第2装置の異常発生確定を第1装置へ通知する(S6)。制御部16は、該当する異常発生時監視ラインを有効化し、第1装置への監視を有効化し(S7)、監視中処理を終了し、次の監視中処理の開始条件の成立を待機する。
又、制御部16は、第1装置の異常発生検知が第2装置から通知されたと判定すると(S2:YES)、該当する異常発生時監視ラインを一時的に有効化し、第1装置への監視を一時的に有効化し、第1装置の異常発生を確認し(S8)、第1装置の異常発生確認結果を第2装置へ通知する(S9)。
又、制御部16は、第1装置の異常発生確定が第2装置から通知されたと判定すると(S3:YES)、第2装置からの監視状態へ移行し(S10)、監視中処理を終了し、次の監視中処理の開始条件の成立を待機する。
以上に説明したように第1実施形態によれば、次に示す作用効果を得ることができる。副制御装置4において、主制御装置2の異常発生を検知して確定すると、副制御装置4の監視先を主制御装置2から監視装置3へ変更し、主制御装置2に代わって副制御装置4が監視装置3を監視するようにした。主制御装置2が監視装置3の異常発生を検知して確定する場合も各装置2~4の動作が入れ替わるだけで同様であり、主制御装置2において、監視装置3の異常発生を検知して確定すると、監視先を監視装置3から副制御装置4へ変更し、監視装置3に代わって副制御装置4を監視するようにした。監視装置3が副制御装置4の異常発生を検知して確定する場合も各装置2~4の動作が入れ替わるだけで同様であり、監視装置3において、副制御装置4の異常発生を検知すると、監視先を副制御装置4から主制御装置2へ変更し、副制御装置4に代わって主制御装置2を監視するようにした。
2つの装置の組み合わせで相互監視することなく、複数の装置2~4の個々において通常時の監視方向を1方向とした場合でも、監視先の装置の異常発生を検知すると、所定の装置の監視先を変更することで、異常発生に対して適切に対処することができる。これにより、システム全体としての処理負荷の増大を抑えつつ、異常発生に対して適切に対処することができる。
副制御装置4において、主制御装置2の異常発生を検知すると、異常発生の検知を示す異常発生検知を監視装置3へ通知するようにした。異常発生検知を監視装置3へ通知することで、異常発生検知の通知に応じた動作を監視装置3に実施させることができる。即ち、監視装置3において、異常発生時監視ライン6を一時的に有効化させ、異常発生時監視ライン6を介して主制御装置2を監視させ、主制御装置2の動作状態を判定させて主制御装置2の異常発生を確認させることができる。主制御装置2が異常発生検知を副制御装置4へ通知する場合、監視装置3が異常発生検知を主制御装置2へ通知する場合も同様である。
副制御装置4において、主制御装置2の異常発生を監視装置3により確認すると、主制御装置2の異常発生を確定し、異常発生の確定を示す異常発生確定を監視装置3へ通知するようにした。異常発生確定を監視装置3へ通知することで、異常発生確定の通知に応じた動作を監視装置3に実施させることができる。即ち、異常発生時監視ライン8を有効化させ、主制御装置2に代わって監視装置3を監視することができる。主制御装置2が異常発生確定を副制御装置4へ通知する場合、監視装置3が異常発生確定を主制御装置2へ通知する場合も同様である。
(第2実施形態)
第2実施形態について図7から図11を参照して説明する。前述した第1実施形態は、装置A~Cの3個の装置が相互接続されていたが、第2実施形態では、図7に示すように、車両制御システム21は、装置D~Gの4個の装置22~25が相互接続されている。この場合も、車両制御システム21が5個以上の装置から構成され、そのうちの4個の装置が相互接続されている場合にも適用することができる。本実施形態では、装置Dを装置22とし、装置Eを装置23とし、装置Fを装置24とし、装置Gを装置25として説明する。
各装置22~25は、それぞれ常時有効化されている常時監視ラインと、異常発生時のみ有効化される異常発生時監視ラインとを介して接続されている。即ち、装置22と装置233とは、常時監視ライン26と異常発生時監視ライン27とを介して接続されている。装置23と装置24とは、常時監視ライン28と異常発生時監視ライン29とを介して接続されている。装置24と装置25とは、常時監視ライン30と異常発生時監視ライン31とを介して接続されている。装置25と装置22とは、常時監視ライン32と異常発生時監視ライン33とを介して接続されている。更に、装置22と装置24とは、異常発生時監視ライン34,36を介して接続されている。装置23と装置25とは、異常発生時監視ライン35,37を介して接続されている。又、各装置22~25間は、第1実施形態と同様に、常時監視ライン26,28,30,32及び異常発生時監視ライン27,29,31,33~37とは別に、異常発生の検知を示す異常発生検知や異常発生の確定を示す異常発生確定を通知するためのデータ通信線(図示せず)が接続されている。
各装置22~25は、通常時において図7の時計回り方向の一つの装置を監視先として監視する。図7において常時監視ライン26,28,30,32の矢印は、それぞれ通常時の監視方向を示している。又、各装置22~25は、詳しくは後述するように異常発生時において図7の反時計回り方向の一つの装置又は対角方向の一つの装置を監視先として監視する。図7において異常発生時監視ライン27,29,31,33~37の矢印は、それぞれ異常発生時の監視方向を示している。
装置22は、装置23の異常発生の検知時には、図8に示すように動作する。装置23において異常が発生し(t31)、装置22は、装置23の異常発生を検知すると(t32)、異常発生検知をデータ通信線を介して装置24,25の両方へ通知する(t33)。装置24,25は、それぞれ装置22から異常発生検知が通知されると、異常発生時監視ライン29,37を一時的に有効化し、装置23の動作状態を判定して装置23の異常発生を確認し、異常発生確認結果をデータ通信線を介して装置22へ通知する。
装置22は、装置24,25から異常発生確認結果が通知されると、その通知された異常発生確認結果に基づいて異常発生の確定又は未確定を選択する。この場合、装置22は、異常発生確認結果の通知元が複数であるので、異常発生の確定又は未確定を以下のように選択する。
本実施形態のように4個の装置が相互接続される関係にある場合には上記したように2個の装置24,25から異常発生確認結果が通知されることになるので、2つの異常発生確認結果が一致する場合と一致しない場合とがあり得る。装置22は、装置24,25の両方からの異常発生確認結果が異常発生の確認で一致する場合には装置23の異常発生を確定する。装置22は、装置24,25からの両方の異常発生確認結果が異常発生の未確認で一致する場合には装置23の異常発生を確定しない。
装置22は、装置24,25からの一方の異常発生確認結果が異常発生の確認を示し、他方の異常発生確認結果が異常発生の未確認を示し、2つの異常発生確認結果が異常発生の確認と未確認で一致しない場合には例えばシステムの設計事項の要件として何れかを選択する。システムの設計事項の要件として両方の異常発生の確認を要件とすれば、装置22は、2つの異常発生確認結果が異常発生の確認と未確認で一致しない場合には装置23の異常発生を確定しない。システムの設計事項の要件として少なくとも何れか一方だけの異常発生の確認を要件とすれば、装置22は、2つの異常発生確認結果が異常発生の確認と未確認で一致しない場合でも装置23の異常発生を確定する。
装置22は、装置24,25からの異常発生確認結果により装置23の異常発生を確定する(t34)。装置22は、異常発生確定をデータ通信線を介して装置25へ通知する(t35)。装置25は、装置22から異常発生確定が通知されると、異常発生時監視ライン31を有効化し、装置23に代わって装置24の監視を実施する(t26)。
尚、以上は、4個の装置が相互接続される関係にあり、2つの異常発生確認結果が通知される場合を説明したが、例えば5個の装置が相互接続される関係にある場合には、3つの異常発生確認結果が通知されることになるので、システムの設計事項の要件として多数決を採用することができる。即ち、2つ以上の異常発生確認結果が異常発生の確認を示し、異常発生の確認を示す異常発生確認結果の通知数が異常発生の未確認を示す異常発生確認結果の通知を上回れば、検知対象の装置の異常発生を確定する。一方、2つ以上の異常発生確認結果が異常発生の未確認を示し、異常発生の未確認を示す異常発生確認結果の通知数が異常発生の確認を示す異常発生確認結果の通知を上回れば、検知対象の装置の異常発生を確定しない。
即ち、異常発生確認結果の通知数が奇数の場合には、システムの設計事項の要件として多数決を採用することができる。異常発生確認結果の通知数が偶数の場合には、そのうちの1つの異常発生確認結果を除外し、判定に採用する異常発生確認結果の通知数を奇数に変更した上で多数決を採用することができる。又、検知対象の装置の異常発生を確定する要件として、異常発生確認結果の通知数が奇数であるか偶数であるかに関係なく、全ての異常発生確認結果が異常発生の確認を示すことを要件としても良いし、少なくとも一つ以上の異常発生確認結果が異常発生の確認を示すことを要件としても良い。
又、判定に採用する装置の個数に制限を付与したり、各装置から通知される異常発生確認結果に優先度を付与したりしても良い。例えば異常発生確認結果の通知数が奇数であるか偶数であるかに関係なく、優先度が最上位の装置からの異常発生確認結果を採用し、他の装置からの異常発生確認結果を破棄しても良い。例えば全ての装置からの異常発生確認結果を対象として多数決を採用するのでなく、優先度が上位の幾つかの装置からの異常発生確認結果を対象として多数決を採用しても良い。
図9に示すように、各装置22~25は、それぞれ制御部38~41を備える。制御部38~41は、第1実施形態で説明した制御部14~16と同様に、機能毎に、監視部38a~41aと、異常発生検知部38b~41bと、監視先変更部38c~41cとを備える。これ以降、装置22の制御部38について説明するが、装置23の制御部39、装置24の制御部40、装置25の制御部41も同等の機能を有する。
次に、上記した構成の作用について図10から図11を参照して説明する。ここでは、装置22の制御部38が装置23の異常発生を検知する場合について説明する。図9に示したように、装置24が装置23の異常発生を検知する場合は、通常時の監視先である装置23が第2装置(第2電子制御装置に相当する)として機能し、装置23の通常時の監視先である装置24が第1装置(第1電子制御装置に相当する)として機能し、装置23の異常発生検知及び異常発生確定の通知先である装置25が第3装置(第3電子制御装置に相当する)として機能する。
装置22において、制御部38は、監視中処理を所定周期で実施する。制御部38は、監視中処理の開始条件が成立すると、監視中処理を開始し、第2装置の異常発生を検知したか否かを判定する(S11)。制御部38は、第2装置の異常発生を検知していないと判定すると(S11:NO)、第3装置の異常発生検知が第1装置から通知されたか否かを判定する(S12)。制御部38は、第3装置の異常発生検知が第1装置から通知されていないと判定すると(S12:NO)、第3装置の異常発生確定が第1装置から通知されたか否かを判定する(S13)。制御部38は、第3装置の異常発生確定が第1装置から通知されていないと判定すると(S13:NO)、第1装置の異常発生検知が第2装置から通知されたか否かを判定する(S14)。制御部38は、第1装置の異常発生検知が第2装置から通知されていないと判定すると(S14:NO)、第1装置の異常発生確定が第2装置から通知されたか否かを判定する(S15)。制御部38は、第1装置の異常発生確定が第2装置から通知されていないと判定すると(S15:NO)、監視中処理を終了し、次の監視中処理の開始条件の成立を待機する。
制御部38は、第2装置の異常発生を検知したと判定すると(S11:YES)、第2装置の異常発生検知を第1装置及び第3装置へ通知し(S16)、第1装置及び第3装置からの異常発生確認結果の通知を待機する(S17)。制御部38は、第1装置及び第3装置の少なくとも何れかから異常発生確認結果が通知されなかった、又は第1装置及び第3装置の両方から異常発生確認結果が通知されたが、その通知された異常発生確認結果により第2装置の異常発生が確認されなかったと判定すると(S17:NO)、第2装置の異常発生を確定せずに監視中処理を終了し、次の監視中処理の開始条件の成立を待機する。
一方、制御部38は、第1装置及び第3装置の両方から異常発生確認結果が通知され、その通知された異常発生確認結果により第3装置の異常発生が確認されたと判定すると(S17:YES)、第2装置の異常発生を確定し、第2装置の異常発生確定を第3装置へ通知し(S18)、第3装置から第1装置への監視機能を有効化し(S19)、監視中処理を終了し、次の監視中処理の開始条件の成立を待機する。
又、制御部38は、第3装置の異常発生検知が第1装置から通知されたと判定すると(S12:YES)、該当する異常発生時監視ラインを一時的に有効化し、第3装置への監視を一時的に有効化し、第3装置の異常発生を確認し(S20)、第3装置の異常発生確認結果を第1装置へ通知する(S21)。制御部38は、第3装置の異常発生確定が第1装置から通知されたと判定すると(S13:YES)、第1装置からの監視状態へ移行し(S22)、監視中処理を終了し、次の監視中処理の開始条件の成立を待機する。
又、制御部38は、第1装置の異常発生検知が第2装置から通知されたと判定すると(S14:YES)、該当する異常発生時監視ラインを一時的に有効化し、第1装置への監視を一時的に有効化し、第1装置の異常発生を確認し(S23)、第1装置の異常発生確認結果を第2装置へ通知する(S24)。制御部38は、第1装置の異常発生確定が第2装置から通知されたと判定すると(S15:YES)、第2装置からの監視状態へ移行し(S25)、監視中処理を終了し、次の監視中処理の開始条件の成立を待機する。
以上に説明したように第2実施形態によれば、次に示す作用効果を得ることができる。装置22において、装置23の異常発生を検知して確定すると、装置25の監視先を装置22から装置24へ変更し、装置23に代わって装置25が装置24を監視するようにした。この場合も、2つの装置の組み合わせで相互監視することなく、複数の装置22~25の個々において通常時の監視方向を1方向とした場合でも、監視先の装置の異常発生を検知すると、所定の装置の監視先を変更することで、異常発生に対して適切に対処することができる。これにより、システム全体としての処理負荷の増大を抑えつつ、異常発生に対して適切に対処することができる。
装置22が装置23の異常発生を検知して確定する場合について説明したが、装置23が装置24の異常発生を検知して確定する場合、装置24が装置25の異常発生を検知して確定する場合、装置25が装置22の異常発生を検知して確定する場合も、各装置22~25の動作が入れ替わるだけで同様の作用効果を得ることができる。
(その他の実施形態)
本開示は、実施例に準拠して記述されたが、当該実施例や構造に限定されるものではないと理解される。本開示は、様々な変形例や均等範囲内の変形をも包含する。加えて、様々な組み合わせや形態、更には、それらに一要素のみ、それ以上、或いはそれ以下を含む他の組み合わせや形態をも、本開示の範疇や思想範囲に入るものである。
車両制御システムに含まれる複数の装置が相互監視する構成について例示したが、例えば一つの装置に含まれる複数のマイコンやICが相互監視する構成に適用しても良い。又、別々の装置に含まれる複数のマイコンやICが相互監視する構成に適用しても良い。例えば装置Aに含まれるマイコンA、装置Bに含まれるマイコンB、装置Cに含まれるマイコンCが相互監視する構成に適用しても良い。
本開示に記載の制御部及びその手法は、コンピュータプログラムにより具体化された一つ乃至は複数の機能を実行するようにプログラムされたプロセッサ及びメモリを構成することにより提供された専用コンピュータにより実現されても良い。或いは、本開示に記載の制御部及びその手法は、一つ以上の専用ハードウェア論理回路によりプロセッサを構成することにより提供された専用コンピュータにより実現されても良い。若しくは、本開示に記載の制御部及びその手法は、一つ乃至は複数の機能を実行するようにプログラムされたプロセッサ及びメモリと一つ以上のハードウェア論理回路により構成されたプロセッサとの組み合わせにより構成された一つ以上の専用コンピュータにより実現されても良い。又、コンピュータプログラムは、コンピュータにより実行されるインストラクションとして、コンピュータ読み取り可能な非遷移有形記録媒体に記憶されていても良い。
図面中、1は車両制御システム、2は主制御装置(電子制御装置)、3は監視装置(電子制御装置)、4は副制御装置(電子制御装置)、14~16は制御部、14a~16aは監視部、14b~16bは異常発生検知部、14c~16cは監視先変更部、21は車両制御システム、22~25は装置(電子制御装置)、38~41は制御部、38a~41aは監視部、38b~41bは異常発生検知部、38c~41cは監視先変更部である。

Claims (8)

  1. 複数の他の電子制御装置と接続されている電子制御装置であって、
    前記複数の他の電子制御装置のうち一つの電子制御装置を監視先として監視する監視部(14a~16a,38a~41a)と、
    監視先の電子制御装置の異常発生を検知する異常発生検知部(14b~16b,38b~41b)と、
    監視先の電子制御装置の異常発生が検知されると、所定の電子制御装置の監視先を変更する監視先変更部(14c~16c,38c~41c)と、を備える電子制御装置。
  2. 前記複数の他の電子制御装置は、第1電子制御装置と、通常時において前記第1電子制御装置を監視先として監視する第2電子制御装置とを含み、
    前記監視部は、通常時において前記第2電子制御装置を監視先として監視し、
    前記監視先変更部は、前記第2電子制御装置の異常発生が検知されると、異常発生の検知対象となった前記第2電子制御装置の通常時の監視先である前記第1電子制御装置を、電子制御装置の新たな監視先とするように変更する請求項1に記載した電子制御装置。
  3. 前記監視先変更部は、前記第2電子制御装置の異常発生が検知されると、前記第2電子制御装置の異常発生の検知を示す異常発生検知を前記第1電子制御装置へ通知する請求項2に記載した電子制御装置。
  4. 前記第1電子制御装置は、異常発生確定が通知されると、監視先を前記第2電子制御装置へ変更するように構成され、
    前記監視先変更部は、前記第2電子制御装置の異常発生を確定すると、前記第2電子制御装置の異常発生の確定を示す前記異常発生確定を前記第1電子制御装置へ通知する請求項2又は3に記載した電子制御装置。
  5. 前記複数の他の電子制御装置は、第1電子制御装置と、通常時において前記第1電子制御装置を監視先として監視する第2電子制御装置と、1つ以上の第3電子制御装置とを含み、
    前記監視部は、通常時において前記第2電子制御装置を監視先として監視し、
    前記監視先変更部は、前記第2電子制御装置の異常発生が検知されると、異常発生の検知対象となった前記第2電子制御装置の監視先である前記第1電子制御装置を、前記第3電子制御装置の新たな監視先とするように変更する請求項1に記載した電子制御装置。
  6. 前記監視先変更部は、前記第2電子制御装置の異常発生が検知されると、前記第2電子制御装置の異常発生の検知を示す異常発生検知を前記第1電子制御装置及び前記第3電子制御装置へ通知する請求項5に記載した電子制御装置。
  7. 前記3電子制御装置は、異常発生確定が通知されると、監視先を前記第2電子制御装置へ変更するように構成され、
    前記監視先変更部は、前記第2電子制御装置の異常発生を確定すると、前記第2電子制御装置の異常発生の確定を示す前記異常発生確定を前記第3電子制御装置へ通知する請求項5又は6に記載した電子制御装置。
  8. 前記監視先変更部は、前記第1電子制御装置及び前記第3電子制御装置から通知される2つ以上の異常発生確認結果の多数決により前記第2電子制御装置の異常発生を確定する請求項7に記載した電子制御装置。
JP2022116477A 2022-07-21 2022-07-21 電子制御装置 Pending JP2024013979A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2022116477A JP2024013979A (ja) 2022-07-21 2022-07-21 電子制御装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2022116477A JP2024013979A (ja) 2022-07-21 2022-07-21 電子制御装置

Publications (1)

Publication Number Publication Date
JP2024013979A true JP2024013979A (ja) 2024-02-01

Family

ID=89718534

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022116477A Pending JP2024013979A (ja) 2022-07-21 2022-07-21 電子制御装置

Country Status (1)

Country Link
JP (1) JP2024013979A (ja)

Similar Documents

Publication Publication Date Title
CN112004730B (zh) 车辆控制装置
JP4831599B2 (ja) 処理装置
JP2010285001A (ja) 電子制御システム、機能代行方法
US20170242823A1 (en) Microcontroller and electronic control unit
US7861115B2 (en) Multi-component system
CN115826393A (zh) 一种飞控系统的双余度管理方法及装置
JP2016060413A (ja) 車両用電子制御装置及び制御方法
US10360115B2 (en) Monitoring device, fault-tolerant system, and control method
JP2024013979A (ja) 電子制御装置
JP2012006535A (ja) 車載電子制御装置
JP6502211B2 (ja) 車両制御装置
CN111367726B (zh) 一种安全冗余的自动驾驶计算平台及其控制方法
JP5459370B2 (ja) 車載電子制御装置
JP4477739B2 (ja) 冗長系情報処理システム
JP6138308B1 (ja) 車載制御装置及び車載制御装置用rom
JP4876093B2 (ja) 制御装置のタスク管理装置、及び、制御装置のタスク管理方法
JP4820679B2 (ja) 車両用電子制御装置
CN113993752B (zh) 电子控制单元和计算机可读取的记录介质
JP6902948B2 (ja) 車両制御装置
JP6762281B2 (ja) スタックオーバーフロー検知装置及び車両制御システム
JP4983806B2 (ja) 二重化タイマを用いたシステム監視装置、および監視方法
JP2014056396A (ja) 電子制御装置
JP6274947B2 (ja) 車載制御装置のマイクロプロセッサの異常診断方法
JP4613019B2 (ja) コンピュータシステム
JP7238574B2 (ja) 電子制御装置