JP3864747B2 - Redundant signal processor - Google Patents

Redundant signal processor Download PDF

Info

Publication number
JP3864747B2
JP3864747B2 JP2001311419A JP2001311419A JP3864747B2 JP 3864747 B2 JP3864747 B2 JP 3864747B2 JP 2001311419 A JP2001311419 A JP 2001311419A JP 2001311419 A JP2001311419 A JP 2001311419A JP 3864747 B2 JP3864747 B2 JP 3864747B2
Authority
JP
Japan
Prior art keywords
signal processing
control
program
ecu
redundant
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2001311419A
Other languages
Japanese (ja)
Other versions
JP2003115847A (en
Inventor
学 小野
恭文 山田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2001311419A priority Critical patent/JP3864747B2/en
Publication of JP2003115847A publication Critical patent/JP2003115847A/en
Application granted granted Critical
Publication of JP3864747B2 publication Critical patent/JP3864747B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Hardware Redundancy (AREA)
  • Microcomputers (AREA)
  • Logic Circuits (AREA)
  • Detection And Prevention Of Errors In Transmission (AREA)
  • Small-Scale Networks (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、互いに異なった回路構成を有し、ネットワークを介して相互接続され、連係して各種制御を実行する複数の信号処理装置からなる制御システムにて使用される冗長系信号処理装置に関する。
【0002】
【従来の技術】
従来より、車両制御を行う電子制御ユニット(ECU)等、装置の故障が直ちに安全性の低下につながるおそれがあり、高い信頼性が要求される装置では、装置を2重化する等して冗長性のある構成とすることが行われている。 即ち、装置を2重化すれば、一方(現用系)が故障しても、他方(冗長系)に切り替えることにより、装置が停止してしまうことを防止している。
【0003】
ところで、車両に搭載されるECUには、図10に示すように、エンジン制御ECU102,ステアリング制御ECU104,ブレーキ制御ECU106,エアコン制御ECU108の他、トランスミッション制御ECU,サスペンション制御ECUなどといった非常に多くの種類があり、しかもこれらのECUはネットワークを介して相互接続され、いわゆる車内LANを構成している。
【0004】
そして、各ECUは、それぞれが異なった機能を有しており、互いに連係して車両制御を行っている。従って、これらのECUのうち一つでも故障すると、他のECUも影響を受けてしまうため、全てのECUが冗長性のある構成を有していることが望ましい。
【0005】
【発明が解決しようとする課題】
しかし、上述したように車両には多くのECUが搭載されているため、これら全てのECUを2重化することは、スペース的にも、重量的にも、コスト的にも非常に困難であるという問題があった。
【0006】
また、複数のECUが同時に故障する可能性は低いため、全てのECUを2重化した場合、全く使用されることのない冗長系を多数持つことにもなり、装置構成に無駄が多いという問題もあった。
本発明は、上記問題点を解決するために、互いに異なった回路構成を有し、ネットワークを介して相互接続され、連係して各種制御を実行する複数の信号処理装置からなる制御システムにおいて、全ての信号処理装置を2重化することなく、全ての信号処理装置に冗長性を持たせ、高い信頼性を得ることができるようにすることを目的とする。
【0007】
【課題を解決するための手段】
上記目的を達成するための発明である請求項1記載の冗長系信号処理装置は、互いに異なった回路構成を有し、ネットワークを介して相互接続され、連係して各種制御を実行する複数の信号処理装置からなる制御システムに接続して使用される。
【0008】
そして、信号処理装置のいずれかに異常が生じた場合、異常が生じた信号処理装置を対象装置として、この対象装置と同等の機能を実現するような回路構成に設定された冗長系信号処理装置が、その対象装置に成り代わって動作する。
このように、本発明の冗長系信号処理装置が接続された制御システムによれば、冗長系信号処理装置が、どの信号処理装置にも成り代わることが可能であるため、全ての信号処理装置を2重化することなく、全ての信号処理装置に冗長性を持たせることができ、必要最小限の構成の追加で、高い信頼性を得ることができる。
【0009】
なお、冗長系信号処理装置は、制御システム内に一つだけ設けてもよいが、ネットワークに接続される信号処理装置の数が多い場合には、制御システム内に複数設けるようにしてもよい。また、冗長系信号処理装置を複数設けた場合には、どの信号処理装置にも成り代われるものを複数備えてもよいが、信号処理装置をグループ分けして、各グループ毎に一つ或いは複数の信号処理装置を設けるようにしてもよい。例えば、入出力される信号線が共通する信号処理装置でグループを構成すれば、冗長系信号処理装置は、各グループ毎に異なった構成となるが、各冗長系信号処理装置の装置構成を簡易化できる。また、物理的に近い位置にある信号処理装置でグループを構成すれば、冗長系に切り替わる前後で、各種信号の遅延が大きく変化することがなく、厳しいタイミングで信号処理を実行している場合にも、信頼性が低下してしまうことを防止できる。
【0010】
また、請求項1記載の冗長系信号処理装置は、複数の信号処理装置に入出力される全ての信号に対応したI/Fポート群と、ダウンロードされたハードウェアデータ(コンフィグレーションデータともいう)に従って回路構成が規定されるプログラマブルロジックデバイス(PLD)からなる信号処理手段とを備えている。そして、異常検出手段が、ネットワークに接続された信号処理装置の異常を検出すると、異常が検出された信号処理装置を対象装置として、ダウンロード制御手段が、対象装置と同等の機能を実現するためのハードウェアデータを信号処理手段にダウンロードし、そのハードウェアデータがダウンロードされた信号処理手段を起動手段が起動する。また、信号処理手段にて実現される回路構成に、制御プログラムに従って処理を実行する演算処理部が含まれている場合、プログラム供給手段が、演算処理部の動作に必要な制御プログラムを供給する。
【0011】
このように、本発明の冗長系信号処理装置では、信号処理手段としてPLDを用いているため、対象装置に対応するハードウェアデータをダウンロードするだけで、信号処理手段の回路構成を、対象装置と同等の機能を実現するように簡単に設定できる。しかも、PLDを用いることにより、対応すべき信号処理装置の数が増加しても、ハードウェアデータを増やすだけで簡単に対応することができ、制御システムの構成の変更(信号処理装置の増減や変更)に対して、極めて柔軟に対応することができる。
【0012】
なお、PLDには、フィールドプログラマブルゲートアレー(FPGA)やフィールドプログラマブルロジックアレー(FPLA)が含まれるものとする。
PLDは、ハードウェアデータの書込が一度だけしか許容されないものでもよいが、繰り返し書き替えることのできるものが好ましい。この場合、例えば故障した信号処理装置を修理した後に、PLDを無機能状態に戻すことにより、PLDを取り替えることなく冗長系処理装置を繰り返し使用することが可能となる。
【0013】
なお、本発明の冗長系信号処理装置を接続して使用する制御システムは、例えば、請求項2記載のように、ネットワークが車内LAN、信号処理装置が車両制御を分担して実行する電子制御ユニット(ECU)からなるものであってもよい。
【0014】
そして、ダウンロード制御手段は、例えば請求項3記載のように、データ記憶手段に、各信号処理装置のそれぞれに対応するハードウェアデータを予め記憶させておき、データ読出手段が、異常検出手段での検出結果に従って、データ記憶手段に記憶されたハードウェアデータのうち、対象装置に対応するハードウェアデータを読み出し、このようにしてデータ記憶手段から読み出せれたハードウェアデータを、信号処理手段にダウンロードするように構成することができる。
【0015】
また、プログラム供給手段は、例えば請求項記載のように、プログラム記憶手段に、各信号処理装置のそれぞれに対応する制御プログラムを予め記憶させておき、供給プログラム選択手段が、異常検出手段での検出結果に従って、プログラム記憶手段に記憶された制御プログラムのうち、対象装置に対応する制御プログラムを演算処理部からのアクセスが可能となるよう設定するように構成することができる。
【0016】
また、プログラム供給手段は、例えば請求項記載のように、供給プログラム取得手段が、異常検出手段での検出結果に従って、対象装置に対応する制御プログラムをネットワークを介して取得し、演算処理部からのアクセスが可能なプログラム記憶手段に格納するように構成してもよい。
【0017】
この場合、プログラム記憶手段は、一つの信号処理装置についての制御プログラムを格納できる容量を備えていればよく装置を小型化できる。
また、このようにネットワークを介して制御プログラムを取得する場合、請求項記載のように、プログラム取得手段は、対象装置以外の信号処理装置から、対象装置に対応した制御プログラムを取得することが好ましい。これは、異常が検出された信号処理装置(即ち対象装置)が、制御プログラムの送出を正常に行うことができるとは限らないためである。従って、この場合、全ての信号処理装置は、自装置用の制御プログラムの他に、冗長系信号処理装置に送信する他の信号処理装置の制御プログラムを互いに重複することのないように一つずつ持つようにすればよい。
【0018】
また、プログラム取得手段は、請求項記載のように、信号処理手段が実現する回路構成に含まれていてもよい。この場合、プログラム取得手段のために、信号処理手段以外の専用のハードウェアを設ける必要がなく、冗長系信号処理装置の構成を簡易化できる。
【0019】
ところで、異常検出手段は、例えば請求項記載のように、各信号処理装置から定期的にネットワーク上に送出され、少なくとも送出元の信号処理装置を識別する識別情報が含まれたハートビート信号を監視することで、信号処理装置の異常を検出するように構成することができる。
【0020】
【発明の実施の形態】
以下に本発明の実施形態を図面と共に説明する。
[第1実施形態]
図1は、本発明が適用された制御システムの概略構成図である。
【0021】
本実施形態の制御システムは、図1に示すように、TCP/IPプロトコルを用いて通信を行うバス状伝送路からなるネットワーク(以下「車内LAN」という)を介して、信号処理装置としてのエンジン制御ECU2,ステアリング制御ECU4,ブレーキ制御ECU6,エアコン制御ECU8(以下、総称する場合「現用系ECU」という)が相互接続されているのに加えて、これら現用系ECU2,4,6,8のいずれの代用としても使用可能な冗長系信号処理装置としての冗長系ECU10が接続されている。
【0022】
なお、現用系ECUとしては、上述したもの以外に、例えば、トランスミッション制御ECU,サスペンション制御ECU等、多くのものがあるが、ここでは説明や図面を簡単にして理解を容易にするために、上述の4個のECUのみが車内LANに接続されているものとする。
【0023】
現用系ECU2,4,6,8は、それぞれがセンサからの入力信号や、制御対象となるアクチュエータへの出力信号等を入出力するための信号線が設けられており、これら入力信号や、車内LANを介した他のECUとの通信により得られる各種情報に基づいて、それぞれが決められた制御を分担して実行するように構成されている。なお、各現用系ECU2,4,6,8には、それぞれ固有のIP番号が付与されており、車内LANを介した通信では、このIP番号により送信元ECUや送信先ECUの識別を行うようにされている。
【0024】
また、現用系ECU2,4,6,8は、いずれも定期的(例えば100ms)にハートビート信号を、バス上に送出するように構成されている。ここで、ハートビート信号は、図2に示すように、送信元ECUを識別するための識別情報(本実施形態ではIP番号)、フレームがハートビート信号であることを示すための識別コード、各ECU2,4,6,8にてそれぞれ独立に付与され、ハートビート信号の送出毎にインクリメントされる出力カウント値とからなる。
【0025】
つまり、このハートビート信号の出力カウント値を、ECU識別情報に従って各ECU2,4,6,8毎に監視することにより、各ECU2,4,6,8が正常に動作しているか否かを個別に判断することが可能となる。
次に、冗長系ECU10は、図3に示すように、現用系ECU2,4,6,8に配線されている全ての入出力信号線が配線され、これら信号線のそれぞれに対応して設けられたデジタル入力I/F(インタフェース),デジタル出力I/F,アナログ入力I/F,アナログ出力I/F,シリアル入力I/F,シリアル出力I/F等からなるI/Fポート群12と、ダウンロードされるハードウェア(HW)データに従って回路構成が規定されるフィールドプログラマブルゲートアレー(FPGA)からなる信号処理手段としての信号処理部14と、信号処理部14にダウンロードするハードウェアデータが格納されたデータ記憶手段としてのデータROM群16と、データROM群16を構成するデータROM16a〜16dのうち、選択信号Sdに従って指定されたデータROMからハードウェアデータを読み出して、信号処理部14にダウンロードするデータ読出手段としてのダウンロード制御部18と、信号処理部14の一部としてFPGA上に構成されるCPUを動作させるための制御プログラムが格納されたプログラム記憶手段としてのプログラムROM群20と、プログラムROM群20を構成するプログラムROM20a〜20dのうち、選択信号Spに従って指定されたプログラムROMを、信号処理部14のCPUからアクセス可能となるように設定する供給プログラム設定手段としてのROM切替スイッチ22と、バス上のハートビート信号を監視して、いずれかの現用系ECUの異常を検出した場合に、異常のある現用系ECU(以下「対象ECU」という)特定し、その対象ECUに対応する選択信号Sd,Spを生成すると共に、選択信号Sdを受けたダウンロード制御部18によってハードウェアデータがダウンロードされた信号処理部14に対してリセット信号Rを出力することにより、信号処理部14を起動する監視制御部24と、当該冗長系ECU10の各部への電源供給を行う電源部28とを備えている。
【0026】
なおデータROM群16を構成するデータROM16a〜16dには、エンジン制御(E制御)ECU2,ステアリング制御(S制御)ECU4,ブレーキ制御(B制御)ECU6、エアコン制御(E制御)ECU8に対応して、各ECUと同等の機能を信号処理部14にて実現するためのハードウェアデータがそれぞれ格納されている。
【0027】
また、プログラムROM群20を構成するプログラムROM20a〜20dにも、同様に、各ECU2,4,6,8に設けられたCPUが使用するものと同じ制御プログラムがそれぞれ格納されている。
ここでは、ハードウェアデータ及び制御プログラムが、いずれも各ECU2,4,6,8毎にそれぞれ異なっているが、例えば、ハードウェアデータが共通で、制御プログラムのみが異なっているものがあってもよい。その場合、データROM群16を構成するデータROMの数を減らすことが可能となる。
【0028】
次に、監視制御部24は、ハートビート信号を監視することにより、現用系ECUの異常を検出する異常検出手段としての異常検出部25と、異常検出部25にて異常が検出された場合に、その検出結果に応じて信号処理部14の設定及び起動を行う設定制御部26とからなる。
【0029】
このうち、異常検出部25は、車内LANに接続された現用系ECU2,4,6,8のそれぞれに対応して、これと同数(本実施形態では4個)のカウンタを備えており、ハートビート信号を受信する毎に、受信したハートビート信号のECU識別情報にて識別されるECUに対応したカウンタの値と、そのハートビート信号の出力カウント値とを比較する。そして、両者が一致している場合には、カウンタをインクリメントして次の受信に備え、一方、両者が一致していない(値の抜けや同一値の連続)か、決められた一定期間(例えば200ms)以上カウンタがインクリメントされなかった場合に、そのカウンタに対応するECUに異常が発生したものとして、設定制御部26に通知する。
【0030】
ここで、設定制御部26が実行する処理を、図4に示すフローチャートに沿って説明する。
本処理が起動すると、まず、異常検出部25にて現用系ECUの異常が検出されたか否かを判断し(S110)、異常が検出されていなければ、検出されるまで待機する。そして、現用系ECUの異常が検出されると、異常が検出されたECUを対象ECUとして、この対象ECUに対応する選択信号Sdを出力することにより、ダウンロード制御部18に、対象ECUに対応するハードウェアデータの信号処理部14へのダウンロードを実行させる(S120)。なお、FPGAは、ダウンロードが終了するまでの間、ダウンロードに関連しない全ての入出力端子がハイインピーダンスとなるようにされており、ダウンロード中に、FPGAの入出力端子に接続された信号線を介して、他の構成部分(現用系ECU,センサ,アクチュエータ等)に悪影響を与えることがないようにされている。
【0031】
続けて、上述の対象ECUに対応する選択信号Spを出力することにより、ROM切替スイッチ22を、対象ECUに対応する制御プログラムが信号処理部14からアクセス可能となるように設定する(S130)。
そして、信号処理部14へのハードウェアデータのダウンロードと、信号処理部14からのアクセスを可能とする制御プログラムの設定とが完了すると、信号処理部14に対してリセット信号Rを出力することにより、ハードウェアデータのダウンロードによって、対象ECUと同等の機能を有するように設定された信号処理部14を起動して(S140)、本処理を終了する。なお、リセット信号Rは、信号処理部14を起動するだけでなく、対象ECUをバスから切り離すための信号として用いてもよい。
【0032】
なお、データROM群16,ダウンロード制御部18及びS120がダウンロード制御手段に相当し、プログラムROM群20,ROM切替スイッチ22及びS130がプログラム供給手段に相当し、S140が起動手段に相当する。
上述のように構成された冗長系ECU10では、例えば、異常が検出された対象ECUが、エンジン制御ECU2である場合、図5に示すように、ダウンロード制御部18によって、データROM16aに格納されたエンジン制御用ハードウェアデータが、信号処理部14を構成するFPGAにダウンロードされる。すると、FPGA上に、I/Fポート群12を介して入出力される信号のうち、エンジン制御ECU2にて使用されているものと同じ信号のみを有効とするポート、ポートを介して入力される信号をデジタル値に変換するA/D変換器、ポートを介して出力される信号をアナログ値に変換するD/A変換器等の他、CPU,RAM,バスステートコントローラ,DMAコントローラ,割込コントローラ,タイマ等が構成され、エンジン制御ECUと同等の機能を有する回路構成が実現される。
【0033】
またこの時、ROM切替スイッチ22によって、プログラムROM20aが信号処理部14からのアクセス可能とされることにより、信号処理部14にリセット信号Rが入力されると、信号処理部14を構成するCPUは、プログラムROM20aに格納されたエンジン制御用の制御プログラムに従って処理を実行する。これにより、冗長系ECU10は、異常が検出されたエンジン制御ECU2に成り代わって、エンジン制御ECUとしての機能を果たすことになる。
【0034】
なお、図6は、異常が検出された対象ECUが、エアコン制御ECU8である場合の状態を表しており、ダウンロード制御部18によって、データROM16dに格納されたエアコン制御用ハードウェアデータが、信号処理部14を構成するFPGAにダウンロードされることにより、FPGA上に、ポート,CPU,RAM,バスコントローラ,シリアル制御回路(SCI),割込コントローラ等からなり、エアコン制御ECU8と同等の機能を有する回路構成が実現される。
【0035】
またこの時、ROM切替スイッチ22によって、プログラムROM20dが信号処理部14からのアクセス可能とされることにより、信号処理部14にリセット信号Rが入力されると、信号処理部14を構成するCPUは、プログラムROM20dに格納されたエアコン制御用の制御プログラムに従って処理を実行する。これにより、冗長系ECU10は、異常が検出されたエアコン制御ECU8に成り代わって、エアコン制御ECUとしての機能を果たすことになる。
【0036】
ここでは、エンジン制御ECU2及びエアコン制御ECU8が対象ECUとなった場合についてのみ示したが、他のECU4,6が対象ECUとなった場合も全く同様である。
以上詳述したように、本実施形態の制御システムでは、現用系ECU2,4,6,8のいずれの代用も可能な冗長系ECU10を備えており、現用系ECU2,4,6,8のいずれかの異常が検出された場合には、冗長系ECU10が、異常の検出された対象ECUに成り代わって動作するようにされている。
【0037】
従って、本実施形態の制御システムによれば、全ての現用系ECU2,4,6,8を2重化することなく、全ての現用系ECU2,4,6,8に冗長性を持たせることができ、単一の冗長系ECU10という必要最小限の構成の追加で、高い信頼性を得ることができる。
【0038】
しかも、本実施形態では、冗長系ECU10の信号処理部14を、FPGAを用いて構成し、ハードウェアデータをダウンロードすることにより、信号処理部14の回路構成を、任意に且つ簡単に設定できるようにされている。
[第2実施形態]
次に、第2実施形態について説明する。
【0039】
図7に示すように、本実施形態の制御システムでは、第1実施形態と同様に、現用系ECU2a,4a,6a,8aと、冗長系ECU10aとが車内LANを介して接続されている。
このうち、現用系ECU2a,4a,6a,8aは、エンジン制御ECU2aにステアリング制御ECU用の制御プログラム、ステアリング制御ECU4aにエンジン制御ECU用の制御プログラム、ブレーキ制御ECU6aにエアコン制御ECU用の制御プログラム、エアコン制御ECU8aにブレーキ制御ECU用の制御プログラムがそれぞれ搭載され、車内LANを構成するバスを介して、冗長系ECU10aからの要求に応じた制御プログラムの提供が可能なように構成されている以外は、第1実施形態のものと全く同様に構成されている。
【0040】
一方、冗長系ECU10aは、信号処理部14を構成するCPUに制御プログラムを供給するための構成が第1実施形態のものとは異なっているだけであるため、この構成が相異する部分を中心に説明する。
即ち、本実施形態における冗長系ECU10aは、図8に示すように、プログラムROM群20及びROM切替スイッチ22に代わりに、後述する起動用プログラムが格納された起動ROM30と、制御プログラムが格納されるプログラムRAM32とが設けられている。これら起動ROM30とプログラムRAM32とは、いずれも信号処理部14を構成するCPUからのアクセスが可能なように構成されている。
【0041】
また、データROM群16を構成する各データROM16a〜16dには、第1実施形態と同様の回路構成を実現するためのハードウェアデータに加えて、車内LANを介して他のECUから制御プログラムを取得するために必要な回路(例えば要求フレームの生成回路)を信号処理部14を構成するFPGA上に実現するためのハードウェアデータが組み込まれている。
【0042】
次に、監視制御部24は、上述の構成の変更に応じて設定制御部26aでの処理が図4に示すフローチャートからS130を省略したものに変更されており、この設定制御部26aが実行する処理を、図9(a)に示すフローチャートに沿って説明する。
【0043】
即ち、本処理が起動すると、まず、異常検出部25にて現用系ECUの異常が検出されたか否かを判断し(S210)、異常が検出されていなければ、検出されるまで待機する。そして、現用系ECUの異常が検出されると、異常が検出されたECUを対象ECUとして、この対象ECUに対応する選択信号Sdを出力することにより、ダウンロード制御部18に、対象ECUに対応するハードウェアデータの信号処理部14へのダウンロードを実行させる(S220)。
【0044】
そして、信号処理部14へのハードウェアデータのダウンロードが完了すると、信号処理部14に対してリセット信号Rを出力することにより、ハードウェアデータのダウンロードによって、対象ECUと同等の機能を有するように設定された信号処理部14を起動して(S230)、本処理を終了する。なお、リセット信号Rは、信号処理部14を起動するだけでなく、対象ECUをバスから切り離すための信号として用いてもよい。
【0045】
このように、ハードウェアデータがダウンロードされた信号処理部14では、リセット信号Rが入力されると、FPGA上に構成されたCPUは、最初に起動ROM30に格納された起動用プログラムに従って処理を実行する。
この起動用プログラムの処理内容を、図9(b)に示すフローチャートに沿って説明する。
【0046】
本処理が起動すると、まず、車内LANを介して、対象ECUの制御プログラムを保有しているECUに対し制御プログラムの提供要求を出力し、提供された制御プログラムを、プログラムRAM32に格納する(S310)。例えば、対象ECUがブレーキ制御ECU6である場合、エアコン制御ECU8に対して制御プログラムの提供要求を出力する(図7参照)。
【0047】
次に、このようにしてプログラムRAM32に格納された対象ECUの制御プログラムを起動して(S320)、本処理を終了する。
これにより、冗長系ECU10aは、異常が検出された対象ECUに成り代わって、対象ECUとしての機能を果たすことになる。
【0048】
なお、本実施形態において、プログラムRAM32がプログラム記憶手段、FPGA上に構成された他のECUから制御プログラムを取得するための回路及びS310が供給プログラム取得手段に相当する。
以上詳述したように、本実施形態の制御システムでは、現用系ECU2a,4a,6a,8aのいずれの代用も可能な冗長系ECU10aを備えており、現用系ECU2a,4a,6a,8aのいずれかの異常が検出された場合には、冗長系ECU10aが、異常の検出された対象ECUに成り代わって動作するようにされており、また、冗長系ECU10aはFPGAを用いて構成されている。
【0049】
従って、本実施形態の制御システムによれば、第1実施形態の制御システムと同様の効果を得ることができる。
しかも、本実施形態では、冗長系ECU10aに実行させる制御プログラムを、現用系ECU2a,4a,6a,8aが分担して保有し、冗長系ECU10aからの要求に応じて、制御プログラムを提供するようにされている。
【0050】
このため、冗長系ECU10aでは、第1実施形態のものと比較して、制御プログラムの格納のために必要なメモリ容量を大幅に削減でき、装置を安価に構成できる。
[他の実施形態]
以上本発明の実施形態について説明したが、本発明は上記実施形態に限定されるものではなく、本発明の要旨を逸脱しない範囲において様々な態様にて実施することが可能である。
【0051】
例えば、上記実施形態では、冗長系ECU10,10aは、全てのECUに対応できるように、全ての信号に対応したI/Fポート群12が用意されているが、このI/Fポート群12も信号処理部14を構成するFPGA上に実現することが可能である場合には、I/Fポート群12を設けることなく、必要な信号線の配線のみを行っておけばよい。
【0052】
また、上記実施形態では、制御システム内に冗長系ECU10,10aを一つだけ設けたが、現用系ECUが多数ある場合には、制御システム内に冗長系ECU10,10aを複数設けるようにしてもよい。
また、このように冗長系ECU10,10aを複数設けた場合には、現用系ECUをグループ分けして、各グループ毎に冗長系ECU10,10aを一個或いは複数個ずつ設けるようにしてもよい。その場合、配線される信号が共通するもの毎にECUのグループ分けをすれば、冗長系のECUを小型化でき、また、物理的に近いもの同士でECUのグループ分けをすれば、信号の遅延が問題になることを防止できる。
【図面の簡単な説明】
【図1】 第1実施形態の制御システムの全体構成図である。
【図2】 ハートビート信号の構成を示す説明図である。
【図3】 第1実施形態における冗長系ECUの構成を表すブロック図である。
【図4】 設定制御部が実行する処理の内容を表すフローチャートである。
【図5】 エンジン制御ECUに異常が発生した場合の冗長系ECUの設定状態を表す説明図である。
【図6】 エアコン制御ECUに異常が発生した場合の冗長系ECUの設定状態を表す説明図である。
【図7】 第2実施形態の制御システムの全体構成図である。
【図8】 第2実施形態における冗長系ECUの構成を表すブロック図である。
【図9】 設定制御部が実行する処理の内容、及び起動用プログラムの処理の内容を表すフローチャートである。
【図10】 従来の制御システムの問題点を示すための説明図である。
【符号の説明】
2,2a…エンジン制御ECU 4,4a…ステアリング制御ECU
6,6a…ブレーキ制御ECU 8,8a…エアコン制御ECU
10,10a…冗長系ECU 12…I/Fポート群 14…信号処理部
16…データROM群 16a〜16d…データROM
18…ダウンロード制御部 20…プログラムROM群
20a〜20d…プログラムROM 22…ROM切替スイッチ
24…監視制御部 25…異常検出部 26,26a…設定制御部
28…電源部 30…起動ROM 32…プログラムRAM
[0001]
BACKGROUND OF THE INVENTION
  The present invention relates to a control system comprising a plurality of signal processing devices having mutually different circuit configurations, interconnected via a network, and performing various controls in cooperation with each other.ToThe present invention relates to a redundant signal processing device used.
[0002]
[Prior art]
Conventionally, a device failure such as an electronic control unit (ECU) that performs vehicle control may immediately lead to a decrease in safety, and in a device that requires high reliability, it is redundant by duplicating the device. It has been made to have a characteristic configuration. That is, if the apparatus is duplicated, even if one (active system) fails, the apparatus is prevented from stopping by switching to the other (redundant system).
[0003]
By the way, as shown in FIG. 10, there are a great many types of ECUs such as an engine control ECU 102, a steering control ECU 104, a brake control ECU 106, an air conditioner control ECU 108, a transmission control ECU, a suspension control ECU, and the like. Moreover, these ECUs are interconnected via a network to form a so-called in-vehicle LAN.
[0004]
Each ECU has a different function and performs vehicle control in cooperation with each other. Therefore, if one of these ECUs fails, the other ECUs are also affected. Therefore, it is desirable that all ECUs have a redundant configuration.
[0005]
[Problems to be solved by the invention]
However, since many ECUs are mounted on the vehicle as described above, it is very difficult to duplicate all these ECUs in terms of space, weight, and cost. There was a problem.
[0006]
In addition, since it is unlikely that multiple ECUs will fail at the same time, if all ECUs are duplicated, there will be a large number of redundant systems that will not be used at all. There was also.
In order to solve the above problems, the present invention provides a control system comprising a plurality of signal processing devices that have mutually different circuit configurations, are interconnected via a network, and perform various controls in cooperation with each other. It is an object of the present invention to provide redundancy to all the signal processing devices without duplicating the signal processing devices and to obtain high reliability.
[0007]
[Means for Solving the Problems]
  The invention according to claim 1, which is an invention for achieving the above object.Redundant signal processorHave different circuit configurations,Interconnected over a network,A plurality of signal processing devices that perform various controls in cooperation with each otherUsed in connection with a control system consisting of
[0008]
  Then, when an abnormality occurs in any of the signal processing devices, the signal processing device in which the abnormality has occurred is set as a target device, and the redundant signal processing device set to a circuit configuration that realizes a function equivalent to the target device Operates on behalf of the target device.
  Thus, the present inventionRedundant signal processor is connectedAccording to the control system, since the redundant signal processing device can substitute for any signal processing device, redundancy is provided to all signal processing devices without duplicating all signal processing devices. High reliability can be obtained by adding a minimum necessary configuration.
[0009]
Note that only one redundant signal processing device may be provided in the control system. However, when the number of signal processing devices connected to the network is large, a plurality of redundant signal processing devices may be provided in the control system. Also, when a plurality of redundant signal processing devices are provided, a plurality of signal processing devices may be provided, but the signal processing devices are grouped so that one or a plurality of signal processing devices are provided for each group. A signal processing device may be provided. For example, if a group is formed by signal processing devices having common input / output signal lines, the redundant signal processing device has a different configuration for each group, but the device configuration of each redundant signal processing device is simplified. Can be In addition, if a group is configured with signal processing devices that are physically close to each other, the delay of various signals does not change significantly before and after switching to the redundant system, and signal processing is executed at strict timing. However, it is possible to prevent the reliability from deteriorating.
[0010]
  Further, according to claim 1Redundant signal processor, DoubleFrom an I / F port group corresponding to all signals input to and output from a number of signal processing devices and a programmable logic device (PLD) whose circuit configuration is defined according to downloaded hardware data (also referred to as configuration data) Signal processing means. When the abnormality detection unit detects an abnormality of the signal processing device connected to the network, the download control unit uses the signal processing device in which the abnormality is detected as a target device to realize a function equivalent to that of the target device. The hardware data is downloaded to the signal processing means, and the activation means activates the signal processing means from which the hardware data has been downloaded.In addition, when the circuit configuration realized by the signal processing means includes an arithmetic processing unit that executes processing according to the control program, the program supply means supplies a control program necessary for the operation of the arithmetic processing unit.
[0011]
Thus, in the redundant signal processing device of the present invention, since the PLD is used as the signal processing means, the circuit configuration of the signal processing means is the same as that of the target device simply by downloading the hardware data corresponding to the target device. Can be easily configured to achieve equivalent functionality. Moreover, by using the PLD, even if the number of signal processing devices to be handled increases, it can be dealt with simply by increasing the hardware data. Change) can be handled very flexibly.
[0012]
The PLD includes a field programmable gate array (FPGA) and a field programmable logic array (FPLA).
The PLD may be one in which writing of hardware data is allowed only once, but is preferably one that can be rewritten repeatedly. In this case, for example, after repairing the failed signal processing device, the PLD is returned to the non-functional state, so that the redundant processing device can be used repeatedly without replacing the PLD.
[0013]
The control system using the redundant signal processing apparatus of the present invention connected thereto is, for example, an electronic control unit in which the network is an in-vehicle LAN and the signal processing apparatus shares and executes vehicle control as described in claim 2. (ECU) may be used.
[0014]
Then, the download control means stores the hardware data corresponding to each of the signal processing devices in advance in the data storage means, for example, as in claim 3, and the data reading means is the abnormality detection means. According to the detection result, the hardware data corresponding to the target device is read out of the hardware data stored in the data storage means, and the hardware data read out from the data storage means in this way is downloaded to the signal processing means. It can be constituted as follows.
[0015]
  Also,The program supply means is, for example, a claim4As described, the control program corresponding to each of the signal processing devices is stored in advance in the program storage means, and the supply program selection means is stored in the program storage means according to the detection result in the abnormality detection means. Of the control programs, the control program corresponding to the target device can be configured to be accessible from the arithmetic processing unit.
[0016]
  The program supply means is, for example, a claim5As described, the supply program acquisition unit acquires the control program corresponding to the target device via the network according to the detection result of the abnormality detection unit, and stores it in the program storage unit that can be accessed from the arithmetic processing unit. You may comprise as follows.
[0017]
  In this case, the program storage means only needs to have a capacity capable of storing a control program for one signal processing apparatus, and the apparatus can be miniaturized.
  Moreover, when acquiring a control program via a network in this way, the claim6As described, the program acquisition unit preferably acquires a control program corresponding to the target device from a signal processing device other than the target device. This is because the signal processing device (that is, the target device) in which an abnormality has been detected cannot always send the control program normally. Therefore, in this case, all the signal processing devices are controlled one by one so that the control programs for the other signal processing devices transmitted to the redundant signal processing device do not overlap with each other in addition to the control program for the own device. You should have it.
[0018]
  Further, the program acquisition means is a claim.7As described, it may be included in the circuit configuration realized by the signal processing means. In this case, it is not necessary to provide dedicated hardware other than the signal processing means for the program acquisition means, and the configuration of the redundant signal processing apparatus can be simplified.
[0019]
  By the way, the abnormality detection means is, for example, a claim8As described, the signal processing apparatus is monitored periodically for heartbeat signals including identification information for identifying at least the transmission source signal processing apparatus. It can be configured to detect.
[0020]
DETAILED DESCRIPTION OF THE INVENTION
Embodiments of the present invention will be described below with reference to the drawings.
[First Embodiment]
FIG. 1 is a schematic configuration diagram of a control system to which the present invention is applied.
[0021]
As shown in FIG. 1, the control system of this embodiment is an engine as a signal processing device via a network (hereinafter referred to as “in-vehicle LAN”) composed of a bus-like transmission line that performs communication using the TCP / IP protocol. A control ECU 2, a steering control ECU 4, a brake control ECU 6, and an air conditioner control ECU 8 (hereinafter collectively referred to as “active ECU”) are connected to each other, and any of these active ECUs 2, 4, 6, 8 is connected. A redundant ECU 10 is connected as a redundant signal processor that can be used as a substitute for the ECU.
[0022]
There are many active ECUs other than those described above, such as a transmission control ECU, a suspension control ECU, and the like. Here, in order to simplify the explanation and drawings, the above-mentioned ECUs are described above. Only four ECUs are connected to the in-vehicle LAN.
[0023]
Each of the active ECUs 2, 4, 6, and 8 is provided with a signal line for inputting / outputting an input signal from a sensor, an output signal to an actuator to be controlled, and the like. Based on various information obtained by communication with other ECUs via the LAN, each control is divided and executed. Each of the active ECUs 2, 4, 6, and 8 is assigned a unique IP number. In communication via the in-vehicle LAN, the transmission source ECU and the transmission destination ECU are identified by the IP number. Has been.
[0024]
The active ECUs 2, 4, 6, and 8 are each configured to send a heartbeat signal to the bus periodically (for example, 100 ms). Here, as shown in FIG. 2, the heartbeat signal includes identification information (IP number in this embodiment) for identifying the transmission source ECU, an identification code for indicating that the frame is a heartbeat signal, It consists of output count values that are independently given by the ECUs 2, 4, 6, and 8 and that are incremented each time a heartbeat signal is sent.
[0025]
That is, by monitoring the output count value of the heartbeat signal for each ECU 2, 4, 6, 8 according to the ECU identification information, it is possible to determine whether each ECU 2, 4, 6, 8 is operating normally. It becomes possible to judge.
Next, as shown in FIG. 3, the redundant ECU 10 has all the input / output signal lines wired to the active ECUs 2, 4, 6, and 8, and is provided corresponding to each of these signal lines. An I / F port group 12 including a digital input I / F (interface), a digital output I / F, an analog input I / F, an analog output I / F, a serial input I / F, a serial output I / F, and the like; The signal processing unit 14 as a signal processing unit including a field programmable gate array (FPGA) whose circuit configuration is defined according to the downloaded hardware (HW) data, and the hardware data to be downloaded are stored in the signal processing unit 14 Of the data ROM group 16 as data storage means and the data ROMs 16a to 16d constituting the data ROM group 16, a selection signal is selected. Operates a CPU configured on the FPGA as a part of the signal processing unit 14 and a download control unit 18 as a data reading unit that reads out hardware data from the data ROM designated according to Sd and downloads it to the signal processing unit 14 Among the program ROM group 20 as a program storage means storing a control program for causing the program ROM 20 and the program ROMs 20a to 20d constituting the program ROM group 20, the program ROM designated according to the selection signal Sp There is an abnormality when an abnormality is detected in any of the active ECUs by monitoring the ROM changeover switch 22 serving as a supply program setting means that is set to be accessible from the CPU and the heartbeat signal on the bus. Active ECU (hereinafter referred to as “target ECU”) The selection signal Sd, Sp corresponding to the target ECU is generated and the reset signal R is output to the signal processing unit 14 in which the hardware data has been downloaded by the download control unit 18 that has received the selection signal Sd. Thus, a monitoring control unit 24 that activates the signal processing unit 14 and a power supply unit 28 that supplies power to each unit of the redundant ECU 10 are provided.
[0026]
The data ROMs 16a to 16d constituting the data ROM group 16 correspond to the engine control (E control) ECU 2, the steering control (S control) ECU 4, the brake control (B control) ECU 6, and the air conditioner control (E control) ECU 8. The hardware data for realizing the function equivalent to each ECU in the signal processing unit 14 is stored.
[0027]
Similarly, the program ROMs 20a to 20d constituting the program ROM group 20 store the same control programs as those used by the CPUs provided in the ECUs 2, 4, 6, and 8, respectively.
Here, the hardware data and the control program are different for each of the ECUs 2, 4, 6, and 8. However, for example, even if the hardware data is common and only the control program is different. Good. In that case, the number of data ROMs constituting the data ROM group 16 can be reduced.
[0028]
Next, the monitoring control unit 24 monitors the heartbeat signal to detect an abnormality in the abnormality detection unit 25 that detects an abnormality in the active ECU and the abnormality detection unit 25 detects an abnormality. The setting control unit 26 performs setting and activation of the signal processing unit 14 according to the detection result.
[0029]
Among these, the abnormality detection unit 25 includes the same number (four in this embodiment) of counters corresponding to each of the active ECUs 2, 4, 6, and 8 connected to the in-vehicle LAN. Each time a beat signal is received, the value of the counter corresponding to the ECU identified by the ECU identification information of the received heartbeat signal is compared with the output count value of the heartbeat signal. If they match, the counter is incremented to prepare for the next reception. On the other hand, they do not match (missing values or consecutive values), or a fixed period (for example, When the counter is not incremented for 200 ms or more, the setting control unit 26 is notified that an abnormality has occurred in the ECU corresponding to the counter.
[0030]
Here, the process executed by the setting control unit 26 will be described with reference to the flowchart shown in FIG.
When this process is started, first, it is determined whether or not an abnormality of the active ECU is detected by the abnormality detection unit 25 (S110). If no abnormality is detected, the process waits until it is detected. Then, when an abnormality is detected in the active ECU, the ECU in which the abnormality is detected is set as a target ECU, and a selection signal Sd corresponding to the target ECU is output, so that the download control unit 18 corresponds to the target ECU. The hardware data is downloaded to the signal processing unit 14 (S120). In the FPGA, all input / output terminals not related to download are set to high impedance until the download is completed, and the signal is connected to the input / output terminals of the FPGA during the download. Thus, other components (active ECU, sensor, actuator, etc.) are not adversely affected.
[0031]
Subsequently, by outputting the selection signal Sp corresponding to the above-described target ECU, the ROM changeover switch 22 is set so that the control program corresponding to the target ECU can be accessed from the signal processing unit 14 (S130).
Then, when downloading of hardware data to the signal processing unit 14 and setting of a control program enabling access from the signal processing unit 14 are completed, a reset signal R is output to the signal processing unit 14. Then, by downloading the hardware data, the signal processing unit 14 set to have a function equivalent to that of the target ECU is activated (S140), and this process is terminated. The reset signal R may be used not only to activate the signal processing unit 14 but also as a signal for disconnecting the target ECU from the bus.
[0032]
The data ROM group 16, the download control unit 18 and S120 correspond to download control means, the program ROM group 20, the ROM changeover switch 22 and S130 correspond to program supply means, and S140 corresponds to start-up means.
In the redundant ECU 10 configured as described above, for example, when the target ECU in which an abnormality is detected is the engine control ECU 2, the engine stored in the data ROM 16a by the download control unit 18 as shown in FIG. The control hardware data is downloaded to the FPGA constituting the signal processing unit 14. Then, only the same signals as those used in the engine control ECU 2 among the signals input / output via the I / F port group 12 are input to the FPGA via the ports and ports. A / D converter that converts signals into digital values, D / A converter that converts signals output via ports into analog values, etc., CPU, RAM, bus state controller, DMA controller, interrupt controller , A timer and the like are configured, and a circuit configuration having functions equivalent to the engine control ECU is realized.
[0033]
At this time, when the reset signal R is input to the signal processing unit 14 by making the program ROM 20a accessible from the signal processing unit 14 by the ROM changeover switch 22, the CPU constituting the signal processing unit 14 The process is executed in accordance with a control program for engine control stored in the program ROM 20a. As a result, the redundant ECU 10 functions as an engine control ECU in place of the engine control ECU 2 in which an abnormality has been detected.
[0034]
FIG. 6 shows a state where the target ECU in which abnormality is detected is the air conditioner control ECU 8. The download control unit 18 converts the air conditioner control hardware data stored in the data ROM 16d into signal processing. A circuit having a function equivalent to that of the air conditioner control ECU 8 including a port, a CPU, a RAM, a bus controller, a serial control circuit (SCI), an interrupt controller and the like on the FPGA by being downloaded to the FPGA constituting the unit 14 Configuration is realized.
[0035]
At this time, when the reset signal R is input to the signal processing unit 14 by making the program ROM 20d accessible from the signal processing unit 14 by the ROM changeover switch 22, the CPU constituting the signal processing unit 14 Then, the process is executed in accordance with the control program for air conditioner control stored in the program ROM 20d. As a result, the redundant ECU 10 functions as an air conditioner control ECU in place of the air conditioner control ECU 8 in which an abnormality is detected.
[0036]
Although only the case where the engine control ECU 2 and the air conditioner control ECU 8 are the target ECUs is shown here, the same applies to the case where the other ECUs 4 and 6 are the target ECUs.
As described above in detail, the control system of the present embodiment includes the redundant ECU 10 that can substitute any of the active ECUs 2, 4, 6, and 8. When such an abnormality is detected, the redundant ECU 10 is operated on behalf of the target ECU in which the abnormality is detected.
[0037]
Therefore, according to the control system of the present embodiment, all active ECUs 2, 4, 6, and 8 can be made redundant without duplicating all active ECUs 2, 4, 6, and 8. In addition, high reliability can be obtained by adding the minimum necessary configuration of a single redundant ECU 10.
[0038]
Moreover, in the present embodiment, the signal processing unit 14 of the redundant ECU 10 is configured using an FPGA, and the hardware data is downloaded so that the circuit configuration of the signal processing unit 14 can be set arbitrarily and easily. Has been.
[Second Embodiment]
Next, a second embodiment will be described.
[0039]
As shown in FIG. 7, in the control system of the present embodiment, the active ECUs 2a, 4a, 6a, 8a and the redundant ECU 10a are connected via the in-vehicle LAN, as in the first embodiment.
Among them, the active ECUs 2a, 4a, 6a, and 8a are a control program for the steering control ECU in the engine control ECU 2a, a control program for the engine control ECU in the steering control ECU 4a, a control program for the air conditioner control ECU in the brake control ECU 6a, A control program for the brake control ECU is mounted on the air conditioner control ECU 8a, and the control program according to the request from the redundant ECU 10a can be provided via the bus constituting the in-vehicle LAN. The configuration is the same as that of the first embodiment.
[0040]
On the other hand, the redundant ECU 10a is different from that of the first embodiment only in the configuration for supplying the control program to the CPU that constitutes the signal processing unit 14, so that the configuration differs from the first embodiment. Explained.
That is, as shown in FIG. 8, the redundant ECU 10a in this embodiment stores a startup ROM 30 in which a startup program described later is stored, and a control program, instead of the program ROM group 20 and the ROM changeover switch 22. A program RAM 32 is provided. Both the activation ROM 30 and the program RAM 32 are configured to be accessible from the CPU constituting the signal processing unit 14.
[0041]
Further, in each of the data ROMs 16a to 16d constituting the data ROM group 16, in addition to hardware data for realizing the same circuit configuration as that of the first embodiment, a control program is transmitted from another ECU via the in-vehicle LAN. Hardware data for realizing a circuit necessary for acquisition (for example, a request frame generation circuit) on the FPGA constituting the signal processing unit 14 is incorporated.
[0042]
Next, in the monitoring control unit 24, the processing in the setting control unit 26a is changed from the flowchart shown in FIG. 4 to S130 omitted in accordance with the change in the configuration described above, and this setting control unit 26a executes the processing. The processing will be described with reference to the flowchart shown in FIG.
[0043]
That is, when this process is started, it is first determined whether or not an abnormality of the active ECU is detected by the abnormality detection unit 25 (S210). If no abnormality is detected, the process waits until it is detected. Then, when an abnormality is detected in the active ECU, the ECU in which the abnormality is detected is set as a target ECU, and a selection signal Sd corresponding to the target ECU is output, so that the download control unit 18 corresponds to the target ECU. The hardware data is downloaded to the signal processing unit 14 (S220).
[0044]
When the download of the hardware data to the signal processing unit 14 is completed, the reset signal R is output to the signal processing unit 14 so that the hardware data is downloaded to have the same function as the target ECU. The set signal processing unit 14 is activated (S230), and this process is terminated. The reset signal R may be used not only to activate the signal processing unit 14 but also as a signal for disconnecting the target ECU from the bus.
[0045]
As described above, in the signal processing unit 14 in which the hardware data has been downloaded, when the reset signal R is input, the CPU configured on the FPGA first executes processing according to the startup program stored in the startup ROM 30. To do.
The processing contents of the activation program will be described with reference to the flowchart shown in FIG.
[0046]
When this process starts, first, a control program provision request is output to the ECU having the control program of the target ECU via the in-vehicle LAN, and the provided control program is stored in the program RAM 32 (S310). ). For example, when the target ECU is the brake control ECU 6, a control program provision request is output to the air conditioner control ECU 8 (see FIG. 7).
[0047]
Next, the control program for the target ECU stored in the program RAM 32 is started in this way (S320), and this process is terminated.
Thereby, the redundant ECU 10a functions as the target ECU in place of the target ECU in which the abnormality is detected.
[0048]
In the present embodiment, the program RAM 32 corresponds to a program storage unit, a circuit for acquiring a control program from another ECU configured on the FPGA, and S310 corresponds to a supply program acquisition unit.
As described above in detail, the control system according to the present embodiment includes the redundant ECU 10a that can substitute any of the active ECUs 2a, 4a, 6a, and 8a, and any of the active ECUs 2a, 4a, 6a, and 8a. When such an abnormality is detected, the redundant ECU 10a is operated on behalf of the target ECU in which the abnormality is detected, and the redundant ECU 10a is configured using an FPGA.
[0049]
Therefore, according to the control system of this embodiment, the same effect as the control system of the first embodiment can be obtained.
Moreover, in the present embodiment, the active ECUs 2a, 4a, 6a, and 8a share and hold the control program to be executed by the redundant ECU 10a, and provide the control program in response to a request from the redundant ECU 10a. Has been.
[0050]
Therefore, in the redundant ECU 10a, the memory capacity required for storing the control program can be greatly reduced, and the apparatus can be configured at a low cost, as compared with the first embodiment.
[Other Embodiments]
Although the embodiment of the present invention has been described above, the present invention is not limited to the above embodiment, and can be implemented in various modes without departing from the gist of the present invention.
[0051]
For example, in the above embodiment, the redundant ECUs 10 and 10a are provided with the I / F port group 12 corresponding to all the signals so as to be compatible with all the ECUs. When it can be realized on the FPGA constituting the signal processing unit 14, only necessary signal lines need be wired without providing the I / F port group 12.
[0052]
In the above embodiment, only one redundant ECU 10, 10a is provided in the control system. However, when there are many active ECUs, a plurality of redundant ECUs 10, 10a may be provided in the control system. Good.
When a plurality of redundant ECUs 10 and 10a are provided as described above, the active ECUs may be divided into groups, and one or a plurality of redundant ECUs 10 and 10a may be provided for each group. In that case, if the ECUs are grouped for each common signal to be wired, the redundant ECUs can be reduced in size, and if the ECUs are grouped close to each other physically, the signal delay can be reduced. Can be prevented from becoming a problem.
[Brief description of the drawings]
FIG. 1 is an overall configuration diagram of a control system according to a first embodiment.
FIG. 2 is an explanatory diagram showing a configuration of a heartbeat signal.
FIG. 3 is a block diagram showing a configuration of a redundant ECU in the first embodiment.
FIG. 4 is a flowchart showing the contents of processing executed by a setting control unit.
FIG. 5 is an explanatory diagram showing a setting state of a redundant ECU when an abnormality occurs in the engine control ECU.
FIG. 6 is an explanatory diagram showing a setting state of the redundant ECU when an abnormality occurs in the air conditioner control ECU.
FIG. 7 is an overall configuration diagram of a control system according to a second embodiment.
FIG. 8 is a block diagram showing a configuration of a redundant ECU in the second embodiment.
FIG. 9 is a flowchart showing the contents of processing executed by the setting control unit and the contents of processing of a startup program.
FIG. 10 is an explanatory diagram for illustrating problems of a conventional control system.
[Explanation of symbols]
2, 2a ... Engine control ECU 4, 4a ... Steering control ECU
6, 6a ... Brake control ECU 8, 8a ... Air conditioner control ECU
DESCRIPTION OF SYMBOLS 10, 10a ... Redundant ECU 12 ... I / F port group 14 ... Signal processing part
16 ... Data ROM group 16a-16d ... Data ROM
18 ... Download control unit 20 ... Program ROM group
20a to 20d ... Program ROM 22 ... ROM changeover switch
24 ... Monitoring control unit 25 ... Abnormality detection unit 26, 26a ... Setting control unit
28 ... Power supply unit 30 ... Start-up ROM 32 ... Program RAM

Claims (8)

互いに異なった回路構成を有し、ネットワークを介して相互接続され、連係して各種制御を実行する複数の信号処理装置からなる制御システムにて使用され、回路構成を任意に設定できるよう構成され、前記信号処理装置のいずれかに異常が生じた場合、異常の生じた信号処理装置を対象装置として、該対象装置と同等の機能を実現する回路構成に設定され、該対象装置に成り代わって動作する冗長系信号処理装置であって、
ネットワークに接続された信号処理装置の異常を検出する異常検出手段と、
ダウンロードされたハードウェアデータに従って回路構成が規定されるプログラマブルロジックデバイス(PLD)からなる信号処理手段と、
前記複数の信号処理装置に入出力される全ての信号に対応したI/Fポート群と、
前記異常検出手段により異常が検出された信号処理装置を対象装置として、該対象装置と同等の機能を実現するためのハードウェアデータを、前記信号処理手段にダウンロードするダウンロード制御手段と、
該ダウンロード制御手段によりハードウェアデータがダウンロードされた信号処理手段を起動する起動手段と、
前記信号処理手段にて実現される回路構成に、制御プログラムに従って処理を実行する演算処理部が含まれている場合、該演算処理部の動作に必要な制御プログラムを供給するプログラム供給手段と、
を備えることを特徴とする冗長系信号処理装置。
Have mutually different circuit configurations, be interconnected via a network, the hand is used to control systems linked to consist of a plurality of signal processing apparatus for executing various controls, it is configured to be arbitrarily set the circuit arrangement, When an abnormality occurs in any of the signal processing devices, the signal processing device in which the abnormality has occurred is set as a target device, and a circuit configuration that realizes a function equivalent to the target device is set and operates on behalf of the target device. A redundant signal processing device ,
An anomaly detecting means for detecting an anomaly of the signal processing apparatus connected to the network;
Signal processing means comprising a programmable logic device (PLD) whose circuit configuration is defined in accordance with downloaded hardware data;
An I / F port group corresponding to all signals input to and output from the plurality of signal processing devices;
Download control means for downloading, to the signal processing means, hardware data for realizing a function equivalent to the target apparatus, with the signal processing apparatus in which the abnormality is detected by the abnormality detection means as the target apparatus;
Starting means for starting the signal processing means in which the hardware data is downloaded by the download control means;
When the circuit configuration realized by the signal processing unit includes an arithmetic processing unit that executes processing according to a control program, a program supply unit that supplies a control program necessary for the operation of the arithmetic processing unit;
A redundant signal processing apparatus comprising:
前記ネットワークは車内LANであり、前記信号処理装置は、車両制御を分担して実行する電子制御ユニット(ECU)からなることを特徴とする請求項1記載の冗長系信号処理装置2. The redundant signal processing apparatus according to claim 1, wherein the network is an in-vehicle LAN, and the signal processing apparatus is composed of an electronic control unit (ECU) that shares and executes vehicle control. 前記ダウンロード制御手段は、
前記ネットワークに接続された各信号処理装置のそれぞれに対応するハードウェアデータが予め記憶されたデータ記憶手段と、
前記異常検出手段での検出結果に従って、前記データ記憶手段に記憶されたハードウェアデータのうち、前記対象装置に対応するハードウェアデータを、前記信号処理手段へのダウンロードのために読み出すデータ読出手段と、
を備えることを特徴とする請求項1又は請求項2記載の冗長系信号処理装置。
The download control means includes
Data storage means in which hardware data corresponding to each of the signal processing devices connected to the network is stored in advance;
Data reading means for reading out the hardware data corresponding to the target device among the hardware data stored in the data storage means for downloading to the signal processing means according to the detection result of the abnormality detection means. ,
The redundant signal processing apparatus according to claim 1, further comprising:
前記プログラム供給手段は、
各信号処理装置のそれぞれに対応する制御プログラムが予め記憶されたプログラム記憶手段と、
前記異常検出手段での検出結果に従って、前記プログラム記憶手段に記憶された制御プログラムのうち、前記対象装置に対応する制御プログラムを前記演算処理部からのアクセスが可能となるよう設定する供給プログラム設定手段と、
を備えることを特徴とする請求項1乃至請求項3いずれか記載の冗長系信号処理装置。
The program supply means includes
Program storage means in which a control program corresponding to each of the signal processing devices is stored in advance;
Supply program setting means for setting a control program corresponding to the target device among the control programs stored in the program storage means so as to be accessible from the arithmetic processing unit according to the detection result of the abnormality detection means. When,
The redundant signal processing apparatus according to claim 1, further comprising:
前記プログラム供給手段は、
前記演算処理部からのアクセスが可能なプログラム記憶手段と、
前記異常検出手段での検出結果に従って、前記対象装置に対応する制御プログラムを前記ネットワークを介して取得し、前記プログラム記憶手段に格納する供給プログラム取得手段と、
を備えることを特徴とする請求項1乃至請求項3いずれか記載の冗長系信号処理装置。
The program supply means includes
Program storage means accessible from the arithmetic processing unit;
In accordance with the detection result of the abnormality detection means, a control program corresponding to the target device is acquired via the network and stored in the program storage means;
The redundant signal processing apparatus according to claim 1, further comprising:
前記供給プログラム取得手段は、前記対象装置以外の信号処理装置から、該対象装置に対応した制御プログラムを取得することを特徴とする請求項記載の冗長系信号処理装置。The redundant system signal processing device according to claim 5, wherein the supply program acquisition unit acquires a control program corresponding to the target device from a signal processing device other than the target device. 前記供給プログラム取得手段は、前記信号処理手段が実現する回路構成に含まれていることを特徴とする請求項又は請求項記載の冗長系信号処理装置。The supply program acquisition means, said signal processing means redundant signal processing apparatus according to claim 5 or claim 6 further characterized in that is included in the circuit configuration for implementing. 前記異常検出手段は、各信号処理装置から定期的にネットワーク上に送出され、少なくとも送出元の信号処理装置を識別する識別情報が含まれたハートビート信号を監視することで、各信号処理装置の異常を検出することを特徴とする請求項ないし請求項いずれか記載の冗長系信号処理装置。The abnormality detection means is periodically transmitted from each signal processing device to the network, and monitors at least a heartbeat signal including identification information for identifying the signal processing device of the transmission source. redundant signal processing device according to any one of claims 1 to claim 7, characterized in that to detect the abnormality.
JP2001311419A 2001-10-09 2001-10-09 Redundant signal processor Expired - Fee Related JP3864747B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001311419A JP3864747B2 (en) 2001-10-09 2001-10-09 Redundant signal processor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001311419A JP3864747B2 (en) 2001-10-09 2001-10-09 Redundant signal processor

Publications (2)

Publication Number Publication Date
JP2003115847A JP2003115847A (en) 2003-04-18
JP3864747B2 true JP3864747B2 (en) 2007-01-10

Family

ID=19130254

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001311419A Expired - Fee Related JP3864747B2 (en) 2001-10-09 2001-10-09 Redundant signal processor

Country Status (1)

Country Link
JP (1) JP3864747B2 (en)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006053873A (en) * 2004-08-16 2006-02-23 Fujitsu Ltd Function device, function maintenance method and function maintenance program
JP4422596B2 (en) * 2004-11-29 2010-02-24 トヨタ自動車株式会社 Reconfigurable signal processing system
JP4456552B2 (en) * 2005-03-31 2010-04-28 富士通株式会社 LOGIC INTEGRATED CIRCUIT HAVING DYNAMIC SUBSTITUTION FUNCTION, INFORMATION PROCESSING DEVICE USING SAME, AND DYNAMIC SUBSTITUTION METHOD FOR LOGIC INTEGRATED CIRCUIT
EP2110754B1 (en) * 2005-06-23 2019-02-13 Hilscher Gesellschaft Für Systemautomation MBH Methods and apparatus for synchronising bus participants of an automation system
JP4823697B2 (en) * 2006-01-13 2011-11-24 オリンパスメディカルシステムズ株式会社 Electric bending endoscope
JP4816142B2 (en) * 2006-03-01 2011-11-16 日本電気株式会社 Path switching control system, computer system, and path switching control method
JP5405927B2 (en) * 2009-07-15 2014-02-05 スパンション エルエルシー Network node
WO2016155763A1 (en) 2015-03-30 2016-10-06 Volvo Truck Corporation Method and arrangement for providing redundancy in a vehicle electrical control system
CN108885575B (en) * 2016-04-01 2022-03-11 三菱电机株式会社 Control device and restoration processing method for control device
US11314606B2 (en) 2017-01-10 2022-04-26 Mitsubishi Electric Corporation Substitution device, information processing system, and substitution method
CN110214312A (en) * 2017-01-24 2019-09-06 三菱电机株式会社 Shared stand-by unit and control system
JP6802391B2 (en) * 2017-12-25 2020-12-16 日立オートモティブシステムズ株式会社 Vehicle control device and electronic control system
US11066080B2 (en) 2017-12-25 2021-07-20 Hitachi Automotive Systems, Ltd. Vehicle control device and electronic control system
JP2018193064A (en) * 2018-09-03 2018-12-06 ダイヤモンド電機株式会社 On-vehicle electronic control device
JP7192415B2 (en) * 2018-11-06 2022-12-20 株式会社オートネットワーク技術研究所 Program update system and update processing program
JP7225948B2 (en) * 2019-03-11 2023-02-21 株式会社オートネットワーク技術研究所 Alternate Device, Alternate Control Program and Alternate Method
CN111025959B (en) * 2019-11-20 2021-10-01 华为技术有限公司 Data management method, device and equipment and intelligent automobile
CN114940183B (en) * 2022-05-27 2024-05-07 重庆长安汽车股份有限公司 Distributed power backup control system capable of achieving automatic driving and vehicle

Also Published As

Publication number Publication date
JP2003115847A (en) 2003-04-18

Similar Documents

Publication Publication Date Title
JP3864747B2 (en) Redundant signal processor
CN109804355B (en) Software updating device, software updating method, and software updating system
EP3608775B1 (en) Electronic control system
US5937201A (en) Management system and method for parallel computer system
US8527681B2 (en) Data processing system, data processing method, and apparatus
JP2010285001A (en) Electronic control system and functional agency method
US6446201B1 (en) Method and system of sending reset signals only to slaves requiring reinitialization by a bus master
TWI434159B (en) Dual system control device
JP4928030B2 (en) Procedure step processing method and apparatus
JP3840028B2 (en) Control system
US20240089142A1 (en) Vehicle-mounted apparatus and a method for relaying
US20240286564A1 (en) In-vehicle communication device, in-vehicle relay device, in-vehicle communication system and communication method
CN113508561B (en) Control system and control device
JP2002002419A (en) Electronic control unit for vehicle
JP2001256071A (en) Redundant system
JPH02281343A (en) Cpu operation monitor system
JPH06266685A (en) Decentralized control system
JP2610912B2 (en) I / O control system
JPH06214601A (en) Back-up device for equipment controller
JPH10307603A (en) Data transmission device
JPH07219628A (en) Decentralized controller
JPS6229822B2 (en)
JPH02173852A (en) Bus diagnostic device
JPS5839307A (en) Programmable controller
JPS63157549A (en) Accessing object identification system in n+1 spare constitution

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20031216

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060127

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060214

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060412

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20060620

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060809

A911 Transfer of reconsideration by examiner before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20060822

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060912

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060925

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101013

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101013

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111013

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121013

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121013

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131013

Year of fee payment: 7

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees