JP4039291B2 - Vehicle control device - Google Patents

Vehicle control device Download PDF

Info

Publication number
JP4039291B2
JP4039291B2 JP2003091057A JP2003091057A JP4039291B2 JP 4039291 B2 JP4039291 B2 JP 4039291B2 JP 2003091057 A JP2003091057 A JP 2003091057A JP 2003091057 A JP2003091057 A JP 2003091057A JP 4039291 B2 JP4039291 B2 JP 4039291B2
Authority
JP
Japan
Prior art keywords
control device
control
ecu
wiper
input
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003091057A
Other languages
Japanese (ja)
Other versions
JP2004291943A (en
Inventor
裕之 坂根
晋二 岸田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2003091057A priority Critical patent/JP4039291B2/en
Publication of JP2004291943A publication Critical patent/JP2004291943A/en
Application granted granted Critical
Publication of JP4039291B2 publication Critical patent/JP4039291B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Lighting Device Outwards From Vehicle And Optical Signal (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、各種制御を行うための通信システムに故障が発生した場合にも、それらの制御が行えなくなることを防止できるフェールセーフ機能を備えた車両用制御装置に関し、例えば、ワイパ駆動を行うためのワイパ駆動制御装置に適用して好適である。
【0002】
【従来の技術】
車両制御を行うための通信システムに故障が発生した場合、その制御を安全側に固定したり、制御を制限するなどの対処がとられる。この対処策は各システム毎に決定されており、通信システム故障時にはそれに応じて決まった一定の制御がなされる。
【0003】
例えば、通信システム故障時には、Hiレベル出力が必然的に出力されるような回路構成とすることで、各システムがHiレベル出力に対応した制御を行えるよう安全側に固定する設定とされる。また、通信システムが故障してもまだ使用できる制御形態がある場合、例えばオート制御が使用不能となった場合でもマニュアル制御が使用可能である場合には、マニュアル制御のみを使用可能としたような制御を制限する設定とされる。
【0004】
【特許文献1】
特開2002−221075号公報
【0005】
【発明が解決しようとする課題】
しかしながら、上記のように制御を安全側に固定したり、制御を制限するなどの対処をするだけでは、通信システムの故障時に制限された制御機能しか実現できない。
【0006】
また、制御システムの構成を二重系統とすることで、一方のシステムが故障した際には他方のシステムを稼動させるという継続手法が考えられるが、重複したシステムが必要となり、コスト的に有効ではない。
【0007】
本発明は上記点に鑑みて、制御を行うための通信システムに故障が発生した場合にも、故障前と同等の制御が行えるようにすることを目的とする。
【0008】
【課題を解決するための手段】
上記目的を達成するため、請求項1に記載の発明では、車両に搭載され、内蔵された制御プログラムに基づき第1の制御を実行するための制御信号を発生させる第1制御装置(1)と、車両に搭載され、第1の制御とは異なる第2の制御を実行するための第2制御装置(2)と、第1制御装置からの制御信号が入力され、制御信号に基づいて出力を発生させる入出力制御装置(3)と、第1制御装置、第2制御装置および入出力制御装置それぞれの間を接続し、これら各制御装置間での通信を可能とした多重通信線(4)とを備え、第1制御装置と第2制御装置は車載機器制御用として既に前記車両に搭載されている汎用制御装置であり、第1制御装置と入出力制御装置との間において通信システム故障を予測した場合、多重通信線を介して第1制御装置に内蔵された制御プログラムを第2制御装置に転送し、第2制御装置内にインストールすると共に、該インストール後には第1制御装置に代わって第2制御装置が第1の制御を実行するための制御信号を入出力制御装置に出力し、この制御信号に基づいて入出力制御装置が第1の制御を実行することを特徴としている。
【0009】
このような構成の車両用制御装置においては、第1制御装置と入出力制御装置との間において、通信システム故障が予測された段階で第1制御装置から第2制御装置へプログラムをインストールしている。このため、第1制御装置が完全に故障する前に、確実にプログラムのインストールが可能である。そして、第1制御装置の通信システム故障が発生した後においても、第1制御装置が実行していたものと同様の第1の制御を第2制御装置に実行させるというフェールセーフ機能を得ることができる。また、車載機器制御用として既に車両に搭載されている汎用制御装置を利用しているため、第1制御装置の通信システムの故障を予測した場合にそのプログラムのみをインストールするために別途制御装置を設置する必要性をなくすことも可能である。
【0010】
この場合、請求項2に示すように、第1制御装置、第2制御装置および入出力制御装置は、それぞれ別体のチップとして構成される。
【0011】
具体的には、請求項3に示すように、第1制御装置は、第1制御装置が入出力制御装置に所定の信号を送信しているにも関わらず、入力制御装置からの返信信号を受信することができない場合、もしくは返信信号を受信していても、その返信信号の内容として予想されるものから抜けがある場合に通信システム故障であると予測して、制御プログラムの転送を行う。また、請求項4に示すように、システム故障が所定頻度以上に起こる場合に、制御プログラムの転送が行われるようにしても良い。
【0012】
なお、上記各手段の括弧内の符号は、後述する実施形態に記載の具体的手段との対応関係を示すものである。
【0013】
【発明の実施の形態】
(第1実施形態)
図1に、本発明の第1実施形態にかかるフェールセーフ機能を備えた車両用制御装置のブロック構成を示す。この図に基づいて車両用制御装置の構成についての説明を行う。
【0014】
図1に示すように、車両用制御装置は、第1制御装置としてのワイパECU1、ワイパECU1とは異なる制御を行う第2制御装置としての他のECU2、入出力制御装置としての入出力ECU3、これら各ECU1〜3を接続する多重通信線(車両LAN)4およびワイパモータ5を備えて構成されている。
【0015】
ワイパECU1は、車両に搭載されたシステムの制御に関する演算処理を実行する制御装置である。本実施形態では、ワイパECU1は、運転者によるワイパ駆動要求信号に基づき、予めインストールされた制御プログラムを実行することで運転者の要求に応じたワイパ駆動を行うための制御信号を発生させる。ワイパ駆動要求信号とは、具体的には、運転者が車室内におけるステアリングの裏側に配置されたワイパ駆動用レバーのスイッチ等をオンした時に送られる信号を意味する。
【0016】
他のECU2は、車両に搭載されたシステムの制御として、ワイパ制御とは異なるものに関する演算処理を実行する制御装置である。ここでいう他のECU2とは、例えばエアコン制御用ECU、ABS制御用ECUもしくはエンジン制御用ECU等のように汎用制御装置として構成されるもので、ワイパECU1と別構成のチップとして設けられ、そのチップ内に少なくともワイパ駆動用のプログラムが記憶できる程度の空き容量を有しているものを意味する。他のECU2は、ワイパECU1の通信システム故障が発生する前には、ワイパ制御とは異なる他の車両制御のみが実行されている。そして、ワイパECU1の通信システム故障が発生した際には、他のECU2は、多重通信線4を介してワイパECU1に記憶されたワイパ駆動用プログラムをインストールし、ワイパECU1の代りにワイパ駆動のための制御信号を発生させるようになっている。
【0017】
入出力ECU3は、ワイパ制御を実行する際にワイパECU1または他のECU2からの制御信号を入力し、所定の出力を発生させるような入出力処理装置に相当し、ワイパ出力回路を構成している。例えば、入出力ECU3は、ワイパECU1からの制御信号が多重通信線4を介して送られてくると、その制御信号に応じた出力(出力電圧)を発生させる。この入出力ECU3も、ワイパECU1とは別チップとして構成されている。
【0018】
そして、ワイパモータ5は、入出力ECU3によって駆動されるもので、入出力ECU3が発生させる出力に応じたワイパ駆動、例えばLowスピード駆動やHiスピード駆動を行う。
【0019】
このように構成された車両用制御装置が実行するワイパ駆動およびフェイルセーフ処理について、図2から図5に示すフローチャートに基づいて説明する。
【0020】
図2は、入出力ECU3が実行する処理のフローチャート、図3は、ワイパECU1が実行する処理のフローチャートである。また、図4は、他のECU2が実行する処理のフローチャート、図5は、他のECU2のOS(Operating System)が実行する処理のフローチャートである。
【0021】
入出力ECU3は、図2に示すように、ステップ110において、現在のワイパ制御を実行しているマスターECUが他のECU2であるか否かを判定する。この処理は、例えば入出力ECU3内のフラグが立っているか否かによって判定され、このフラグは後述する図5のステップ440において、ワイパ制御のマスターECUが他のECU2となったことを示す制御マスター切り換え信号が他のECU2から入出力ECU3に送られた時に立てられるようになっている。
【0022】
そして、ステップ110において否定判定されれば、ステップ120に進み、ワイパECU1によるワイパ駆動を実行するために、ワイパECU1からワイパ駆動指示内容を示す制御信号を取得する。一方、肯定判定されれば、ステップ130に進み、他のECU2によるワイパ駆動を実行するために、他のECU2からワイパ駆動指示内容を示す制御信号を取得する。
【0023】
この後、ステップ140において、ステップ120またはステップ130で取得した制御信号に応じた出力をワイパーモータ駆動出力として発生させる。これにより、ワイパモータ5は、運転者からの要求に応じたワイパ駆動を行う。
【0024】
ワイパECU1は、図3に示すように、ステップ210において、ワイパECU1自身が故障し得るか否かを予測する。この処理では、例えばワイパECU1が多重通信線4を介して入出力ECU3に所定の信号を送信しているにも関わらず、入出力ECU3からの返信信号を受信することができない場合や、返信信号を受信することができていても、その返信信号の内容として予想されるものから抜けがある場合に、もしくはこのような状態が所定頻度以上起こる場合にワイパECU1が故障しうると予測する。このステップで否定判定されれば、ワイパECU1の通信システム故障が発生しないものとして、ステップ220に進んでワイパ制御を実行(継続)する。また、肯定判定されれば、ステップ230に進んでワイパECU1自身に記憶されているワイパ制御プログラムを他のECU2に転送し、処理を終了する。
【0025】
他のECU2は、図4に示すように、ステップ310において、ワイパECU1からワイパ制御プログラムが転送されているか否かを判定する。この処理は、上記図3のステップ230においてワイパECU1からワイパ制御プログラムが転送された場合に、他のECU2内においてその旨を示すフラグが立てられることから、そのフラグを参照することにより行われる。そして、ステップ310において否定判定されれば、他のECU2ではなくワイパECU1でワイパ駆動が実行されるものとして、そのまま処理を終了する。一方、肯定判定されれば、受信したワイパ制御プログラムを他のECU2自身の空きエリアに書き込んだあと、他のECU2自身が実行するプログラムの他に追加タスクが発生した旨を示す追加タスク発生信号をOSに対して送信する。
【0026】
他のECU2のOSは、図5に示すように、ステップ410において、追加タスクがあるか否かの判定を行う。この処理は、上記図4のステップ330においてOSが追加タスク発生信号を受け取ると、OS内においてその旨を示すフラグが立てられることから、そのフラグを参照することにより行われる。そして、ステップ410において否定判定されれば、追加タスクはないとして処理を終了し、肯定判定されれば、タスクスケジューリングの再構築を行う。例えば、他のECU2が実行しなければならない制御プログラム(1)、(2)がすでに存在している場合には、その制御プログラム(1)、(2)の後にワイパ制御プログラムを制御プログラム(3)として設定し、実行しなければならない処理が制御プログラム(1)、(2)だけであったものを制御プログラム(1)〜(3)というように順序の再設定を行う。
【0027】
次いで、ステップ430に進み、実行環境の再構築処理を実行する。すなわち、OSにおけるマイコンのリソースの割当てを変更し、制御プログラム(3)として設定されたワイパ制御プログラムに対してもリソース機能が与えられるようにする。
【0028】
そして、ステップ440に進み、ワイパ制御のマスターECUが他のECU2に変更された旨を示す制御マスター切り換え信号を入出力ECU3に送信し、処理を終了する。この制御マスター切り換え信号が送信されると、入出力ECU3はその信号を受信し、入出力ECU3内のフラグを立てる等の処理を行う。
【0029】
以上のように、本実施形態においては、ワイパECU1の通信システム故障が発生しうる場合を予測し、ワイパECU1によるワイパ制御が不能になりつつあるものと想定して、ワイパECU1の通信システムが完全に故障してしまう前にワイパECU1に記憶してあるワイパ制御プログラムを他のECU2に確実に転送するようにしている。そして、他のECU2は、転送されてきたワイパ制御プログラムをインストールし、インストールした後にはワイパECU1に代わってワイパ制御を実行するようになっている。
【0030】
そして、本実施形態では、ワイパECU1に代えて、他のECU2によってワイパ制御が実行できるようにすべく、ワイパECU1と入出力ECU3とを別構成としている。この理由について、図6(a)、(b)に示す従来と同様のワイパ駆動用ECUを用いた場合と本実施形態のようにワイパECU1と入出力ECU3とを別構成とした場合それぞれの通信形態を参照して説明する。
【0031】
図6(a)に示されるように、従来よりワイパ制御に用いられているワイパ駆動用ECU50は、本実施形態に示すワイパECU1と入出力ECU3とが一体になっているような構成になっている。このような構成にされている場合、図6(a)中に矢印で表した通信経路のように、通信システム故障が発生しているワイパ駆動用ECU50を通じて他のECU51からの制御信号の受け渡しを行わなければならない。このため、ワイパ駆動用ECU50に通信システム故障の発生を予測した際に他のECU51にワイパ制御プログラムを転送したとしても、他のECU51はワイパモータ52を駆動することができない。
【0032】
しかしながら、本実施形態のようにワイパECU1と入出力ECU3とを別構成としていれば、図6(b)中に矢印で表した通信経路のように、通信システム故障が発生しているワイパECU1の通信経路を通らなくても他のECU2からの制御信号の受け渡しを行うことが可能となる。このため、ワイパECU1の通信システム故障の発生を予測した際に他のECU2にワイパ制御プログラムを転送しておけば、他のECU2によってワイパ制御を実行することが可能となるのである。
【0033】
このような構成の車両用制御装置とすることにより、ワイパECU1の通信システム故障が発生した後においても、ワイパECU1が実行していたものと同様のワイパ制御を他のECU2に実行させるというフェールセーフ機能を得ることができる。
【0034】
また、他のECU2として、車両用制御として既に車両に搭載されている汎用制御装置を利用しているため、ワイパECU2の通信システムの故障を予測した場合にワイパ制御プログラムのみをインストールするために別途ECUを設置する必要性をなくすことも可能である。
【0035】
(他の実施形態)
上記第1実施形態では、ワイパ駆動用のワイパECU1を例に挙げて説明したが、ワイパECU1におけるワイパ制御プログラムに限らず、他の制御プログラム、例えばヘッドランプの制御プログラム等についてもプログラムの転送を行うことで、上記第1実施形態と同様のフェールセーフ機能を得ることができる。
【図面の簡単な説明】
【図1】本発明の第1実施形態にかかる車両用制御装置のブロック構成を示す図である。
【図2】図1に示す入出力ECU3が実行する処理のフローチャートである。
【図3】図1に示すワイパECU1が実行する処理のフローチャートである。
【図4】図1に示す他のECU2が実行する処理のフローチャートである。
【図5】図1に示す他のECU2のOSが実行する処理のフローチャートである。
【図6】(a)は、従来と同様にワイパ駆動用ECUを構成した場合における通信形態を示す模式図であり、(b)は、本実施形態における車両用制御装置の通信形態を示す模式図である。
【符号の説明】
1…ワイパECU、2…他のECU、3…入出力ECU、4…多重通信線、
5…ワイパモータ。[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a vehicle control device having a fail-safe function capable of preventing the failure of control of a communication system for performing various controls, for example, for performing wiper driving. It is suitable for application to a wiper drive control apparatus.
[0002]
[Prior art]
When a failure occurs in a communication system for performing vehicle control, measures such as fixing the control to the safe side or limiting the control are taken. This countermeasure is determined for each system, and when the communication system fails, a certain control determined according to it is performed.
[0003]
For example, when the communication system fails, the circuit configuration is such that a Hi level output is inevitably output so that each system is fixed to the safe side so that control corresponding to the Hi level output can be performed. Also, when there is a control form that can still be used even if the communication system fails, for example, when manual control can be used even when auto control is disabled, only manual control can be used. It is set to limit control.
[0004]
[Patent Document 1]
Japanese Patent Laid-Open No. 2002-221075
[Problems to be solved by the invention]
However, only the control function restricted at the time of failure of the communication system can be realized only by taking measures such as fixing the control to the safe side or restricting the control as described above.
[0006]
In addition, by configuring the control system as a dual system, it is possible to consider a continuation method in which when one system fails, the other system can be operated. Absent.
[0007]
In view of the above points, an object of the present invention is to enable control equivalent to that before failure even when a failure occurs in a communication system for performing control.
[0008]
[Means for Solving the Problems]
In order to achieve the above object, according to the first aspect of the present invention, there is provided a first control device (1) mounted on a vehicle and generating a control signal for executing the first control based on a built-in control program. The second control device (2) mounted on the vehicle for executing the second control different from the first control, and the control signal from the first control device are input, and the output is based on the control signal The multiplex communication line (4) which connects between the input / output control device (3) to be generated and the first control device, the second control device and the input / output control device and enables communication between these control devices. The first control device and the second control device are general-purpose control devices that are already mounted on the vehicle for on-vehicle equipment control, and a communication system failure occurs between the first control device and the input / output control device. If predicted, via multiple communication lines The control program built in one control device is transferred to the second control device and installed in the second control device. After the installation, the second control device executes the first control on behalf of the first control device. The control signal is output to the input / output control device, and the input / output control device executes the first control based on the control signal.
[0009]
In the vehicle control device having such a configuration, a program is installed from the first control device to the second control device when a communication system failure is predicted between the first control device and the input / output control device. Yes. For this reason, the program can be surely installed before the first control device completely fails. And even after the communication system failure of the first control device occurs, it is possible to obtain a fail-safe function of causing the second control device to execute the same first control as that executed by the first control device. it can. In addition, since a general-purpose control device that is already mounted on the vehicle is used for on-vehicle device control, a separate control device is installed to install only the program when a failure of the communication system of the first control device is predicted. It is also possible to eliminate the need for installation.
[0010]
In this case, as shown in claim 2, each of the first control device, the second control device, and the input / output control device is configured as a separate chip.
[0011]
Specifically, as shown in claim 3, the first control device receives a reply signal from the input control device even though the first control device transmits a predetermined signal to the input / output control device. If it cannot be received, or even if a reply signal is received, if there is a gap from what is expected as the contents of the reply signal, a communication system failure is predicted and the control program is transferred. Further, as shown in claim 4, when a system failure occurs more than a predetermined frequency, the control program may be transferred.
[0012]
In addition, the code | symbol in the bracket | parenthesis of each said means shows the correspondence with the specific means as described in embodiment mentioned later.
[0013]
DETAILED DESCRIPTION OF THE INVENTION
(First embodiment)
FIG. 1 shows a block configuration of a vehicle control device having a fail-safe function according to the first embodiment of the present invention. The configuration of the vehicle control device will be described based on this figure.
[0014]
As shown in FIG. 1, the vehicle control device includes a wiper ECU 1 as a first control device, another ECU 2 as a second control device that performs control different from the wiper ECU 1, an input / output ECU 3 as an input / output control device, A multiplex communication line (vehicle LAN) 4 and a wiper motor 5 for connecting these ECUs 1 to 3 are provided.
[0015]
The wiper ECU 1 is a control device that executes arithmetic processing related to control of a system mounted on a vehicle. In the present embodiment, the wiper ECU 1 generates a control signal for performing a wiper drive in accordance with a driver's request by executing a control program installed in advance based on a wiper drive request signal from the driver. Specifically, the wiper drive request signal means a signal sent when the driver turns on a switch or the like of a wiper drive lever disposed on the back side of the steering in the vehicle interior.
[0016]
The other ECU 2 is a control device that executes arithmetic processing relating to a system different from the wiper control as control of a system mounted on the vehicle. The other ECU 2 here is configured as a general-purpose control device such as an air conditioner control ECU, an ABS control ECU, or an engine control ECU, and is provided as a chip having a different configuration from the wiper ECU 1. This means that the chip has a free capacity that can store at least a wiper driving program. The other ECU 2 executes only other vehicle control different from the wiper control before the communication system failure of the wiper ECU 1 occurs. When a communication system failure of the wiper ECU 1 occurs, the other ECU 2 installs a wiper driving program stored in the wiper ECU 1 via the multiplex communication line 4 so as to drive the wiper ECU 1 instead of the wiper ECU 1. The control signal is generated.
[0017]
The input / output ECU 3 is equivalent to an input / output processing device that inputs a control signal from the wiper ECU 1 or another ECU 2 to generate a predetermined output when executing wiper control, and constitutes a wiper output circuit. . For example, when a control signal from the wiper ECU 1 is sent via the multiplex communication line 4, the input / output ECU 3 generates an output (output voltage) corresponding to the control signal. The input / output ECU 3 is also configured as a separate chip from the wiper ECU 1.
[0018]
The wiper motor 5 is driven by the input / output ECU 3, and performs wiper driving according to the output generated by the input / output ECU 3, for example, low speed driving or high speed driving.
[0019]
The wiper drive and fail safe processing executed by the vehicle control device configured as described above will be described based on the flowcharts shown in FIGS.
[0020]
FIG. 2 is a flowchart of processing executed by the input / output ECU 3, and FIG. 3 is a flowchart of processing executed by the wiper ECU 1. FIG. 4 is a flowchart of processing executed by another ECU 2, and FIG. 5 is a flowchart of processing executed by an OS (Operating System) of the other ECU 2.
[0021]
As shown in FIG. 2, the input / output ECU 3 determines in step 110 whether or not the master ECU that is currently executing the wiper control is another ECU 2. This process is determined, for example, based on whether or not a flag in the input / output ECU 3 is set. This flag is a control master indicating that the master ECU for wiper control has become another ECU 2 in step 440 in FIG. It is set when a switching signal is sent from another ECU 2 to the input / output ECU 3.
[0022]
If a negative determination is made in step 110, the process proceeds to step 120, and a control signal indicating the wiper drive instruction content is acquired from the wiper ECU 1 in order to execute the wiper drive by the wiper ECU 1. On the other hand, if an affirmative determination is made, the process proceeds to step 130, and a control signal indicating the wiper drive instruction content is acquired from the other ECU 2 in order to execute the wiper drive by the other ECU 2.
[0023]
Thereafter, in step 140, an output corresponding to the control signal acquired in step 120 or 130 is generated as a wiper motor drive output. Thereby, the wiper motor 5 performs the wiper drive according to the request | requirement from a driver | operator.
[0024]
As shown in FIG. 3, the wiper ECU 1 predicts whether or not the wiper ECU 1 itself may fail in step 210. In this process, for example, when the wiper ECU 1 is transmitting a predetermined signal to the input / output ECU 3 via the multiplex communication line 4, the reply signal from the input / output ECU 3 cannot be received, Even if it can be received, it is predicted that the wiper ECU 1 may fail when there is a gap from what is expected as the content of the reply signal or when such a state occurs more than a predetermined frequency. If a negative determination is made in this step, it is determined that the communication system failure of the wiper ECU 1 does not occur, and the process proceeds to step 220 to execute (continue) the wiper control. If an affirmative determination is made, the routine proceeds to step 230, the wiper control program stored in the wiper ECU 1 itself is transferred to the other ECU 2, and the process is terminated.
[0025]
As shown in FIG. 4, the other ECU 2 determines in step 310 whether or not a wiper control program is transferred from the wiper ECU 1. When the wiper control program is transferred from the wiper ECU 1 in step 230 in FIG. 3, a flag indicating that is set in the other ECU 2, and this processing is performed by referring to the flag. If a negative determination is made in step 310, it is assumed that the wiper drive is executed by the wiper ECU 1 instead of the other ECU 2, and the process is terminated as it is. On the other hand, if an affirmative determination is made, an additional task generation signal indicating that an additional task has occurred in addition to the program executed by the other ECU 2 itself is written after the received wiper control program is written in the empty area of the other ECU 2 itself. Send to the OS.
[0026]
As shown in FIG. 5, the OSs of the other ECUs 2 determine whether there are additional tasks in step 410. When the OS receives the additional task generation signal in step 330 of FIG. 4, a flag indicating this is set in the OS, and this processing is performed by referring to the flag. Then, if a negative determination is made in step 410, the process is terminated because there is no additional task, and if an affirmative determination is made, task scheduling is reconstructed. For example, when the control programs (1) and (2) that must be executed by another ECU 2 already exist, the wiper control program is transferred to the control program (3) after the control programs (1) and (2). If the only processing that must be executed is the control programs (1) and (2), the order is reset as control programs (1) to (3).
[0027]
Next, the process proceeds to step 430, where execution environment reconstruction processing is executed. That is, the resource allocation of the microcomputer in the OS is changed so that the resource function is given to the wiper control program set as the control program (3).
[0028]
In step 440, a control master switching signal indicating that the master ECU for wiper control has been changed to another ECU 2 is transmitted to the input / output ECU 3, and the process is terminated. When this control master switching signal is transmitted, the input / output ECU 3 receives the signal and performs processing such as setting a flag in the input / output ECU 3.
[0029]
As described above, in this embodiment, it is predicted that a communication system failure of the wiper ECU 1 may occur, and it is assumed that the wiper control by the wiper ECU 1 is becoming impossible. Before the failure occurs, the wiper control program stored in the wiper ECU 1 is surely transferred to another ECU 2. The other ECU 2 installs the transferred wiper control program and, after the installation, executes wiper control instead of the wiper ECU 1.
[0030]
In this embodiment, the wiper ECU 1 and the input / output ECU 3 are configured separately so that the wiper ECU 1 can execute wiper control instead of the wiper ECU 1. About this reason, when the wiper drive ECU similar to the conventional one shown in FIGS. 6A and 6B is used, and when the wiper ECU 1 and the input / output ECU 3 are configured separately as in the present embodiment, the respective communication This will be described with reference to the form.
[0031]
As shown in FIG. 6A, the wiper driving ECU 50 conventionally used for wiper control has a configuration in which the wiper ECU 1 and the input / output ECU 3 shown in the present embodiment are integrated. Yes. In the case of such a configuration, control signals are transferred from other ECUs 51 through the wiper driving ECU 50 in which a communication system failure has occurred, as indicated by an arrow in FIG. 6A. It must be made. For this reason, even if the wiper driving ECU 50 predicts the occurrence of a communication system failure and transfers the wiper control program to the other ECU 51, the other ECU 51 cannot drive the wiper motor 52.
[0032]
However, if the wiper ECU 1 and the input / output ECU 3 are configured separately as in the present embodiment, the wiper ECU 1 in which a communication system failure has occurred as indicated by an arrow in FIG. 6B. It is possible to transfer control signals from other ECUs 2 without passing through the communication path. Therefore, if a wiper control program is transferred to another ECU 2 when the occurrence of a communication system failure in the wiper ECU 1 is predicted, the wiper control can be executed by the other ECU 2.
[0033]
By adopting the vehicle control device having such a configuration, even after the communication system failure of the wiper ECU 1 occurs, the fail safe that causes other ECUs 2 to execute the same wiper control as that performed by the wiper ECU 1 is possible. Function can be obtained.
[0034]
Further, as the other ECU 2, a general-purpose control device that is already mounted on the vehicle is used as the vehicle control. Therefore, when the failure of the communication system of the wiper ECU 2 is predicted, only the wiper control program is installed. It is also possible to eliminate the need to install an ECU.
[0035]
(Other embodiments)
In the first embodiment, the wiper ECU 1 for driving the wiper has been described as an example. However, not only the wiper control program in the wiper ECU 1 but also other control programs such as a headlamp control program are transferred. By doing so, the same fail-safe function as in the first embodiment can be obtained.
[Brief description of the drawings]
FIG. 1 is a diagram showing a block configuration of a vehicle control apparatus according to a first embodiment of the present invention.
FIG. 2 is a flowchart of processing executed by an input / output ECU 3 shown in FIG.
3 is a flowchart of processing executed by a wiper ECU 1 shown in FIG.
FIG. 4 is a flowchart of processing executed by another ECU 2 shown in FIG.
FIG. 5 is a flowchart of processing executed by an OS of another ECU 2 shown in FIG.
6A is a schematic diagram showing a communication form when a wiper drive ECU is configured as in the prior art, and FIG. 6B is a schematic view showing a communication form of the vehicle control device in the present embodiment. FIG.
[Explanation of symbols]
DESCRIPTION OF SYMBOLS 1 ... Wiper ECU, 2 ... Other ECU, 3 ... Input-output ECU, 4 ... Multiple communication line,
5 ... Wiper motor.

Claims (4)

車両に搭載され、内蔵された制御プログラムに基づき第1の制御を実行するための制御信号を発生させる第1制御装置(1)と、
前記車両に搭載され、前記第1の制御とは異なる第2の制御を実行するための第2制御装置(2)と、
前記第1制御装置からの制御信号が入力され、前記制御信号に基づいた出力を発生させる入出力制御装置(3)と、
前記第1制御装置、前記第2制御装置および前記入出力制御装置それぞれの間を接続し、これら各制御装置間での通信を可能とした多重通信線(4)とを備え、
前記第1制御装置と前記第2制御装置は車載機器制御用として既に前記車両に搭載されている汎用制御装置であり、
前記第1制御装置と前記入出力制御装置との間において通信システム故障を予測した場合、前記多重通信線を介して前記第1制御装置に内蔵された制御プログラムを前記第2制御装置に転送し、前記第2制御装置内にインストールすると共に、該インストール後には前記第1制御装置に代わって前記第2制御装置が前記第1の制御を実行するための制御信号を前記入出力制御装置に出力し、この制御信号に基づいて前記入出力制御装置が前記第1の制御を実行するようになっていることを特徴とする車両用制御装置。A first control device (1) mounted on a vehicle and generating a control signal for executing a first control based on a built-in control program;
A second control device (2) mounted on the vehicle for executing a second control different from the first control;
An input / output control device (3) that receives a control signal from the first control device and generates an output based on the control signal;
A multiplex communication line (4) for connecting the first control device, the second control device and the input / output control device, and enabling communication between these control devices;
The first control device and the second control device are general-purpose control devices that are already mounted on the vehicle for vehicle-mounted device control,
When a communication system failure is predicted between the first control device and the input / output control device, a control program built in the first control device is transferred to the second control device via the multiple communication line. And installed in the second control device, and after the installation, the second control device outputs a control signal for executing the first control to the input / output control device instead of the first control device. The vehicle control device is characterized in that the input / output control device executes the first control based on the control signal. 前記第1制御装置、前記第2制御装置および前記入出力制御装置は、それぞれ別体のチップとして構成されていることを特徴とする請求項1に記載の車両用制御装置。2. The vehicle control device according to claim 1, wherein the first control device, the second control device, and the input / output control device are configured as separate chips, respectively. 前記第1制御装置は、前記第1制御装置が前記入出力制御装置に所定の信号を送信しているにも関わらず、前記入力制御装置からの返信信号を受信することができない場合、もしくは返信信号を受信していても、その返信信号の内容として予想されるものから抜けがある場合に前記通信システム故障であると予測して、前記制御プログラムの転送を行うようになっていることを特徴とする請求項1または2に記載の車両用制御装置。The first control device is unable to receive a reply signal from the input control device even though the first control device is transmitting a predetermined signal to the input / output control device, or a reply Even if a signal is received, if there is a gap from what is expected as the content of the reply signal, it is predicted that the communication system has failed, and the control program is transferred. The vehicle control device according to claim 1 or 2. 前記第1制御装置は、前記システム故障が所定頻度以上に起こる場合に、前記制御プログラムの転送を行うようになっていることを特徴とする請求項3に記載の車両用制御装置。The vehicle control device according to claim 3, wherein the first control device transfers the control program when the system failure occurs at a predetermined frequency or more.
JP2003091057A 2003-03-28 2003-03-28 Vehicle control device Expired - Fee Related JP4039291B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003091057A JP4039291B2 (en) 2003-03-28 2003-03-28 Vehicle control device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003091057A JP4039291B2 (en) 2003-03-28 2003-03-28 Vehicle control device

Publications (2)

Publication Number Publication Date
JP2004291943A JP2004291943A (en) 2004-10-21
JP4039291B2 true JP4039291B2 (en) 2008-01-30

Family

ID=33404527

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003091057A Expired - Fee Related JP4039291B2 (en) 2003-03-28 2003-03-28 Vehicle control device

Country Status (1)

Country Link
JP (1) JP4039291B2 (en)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010015452A (en) * 2008-07-04 2010-01-21 Denso Corp Program execution device and execution control program
JP5350708B2 (en) * 2008-08-01 2013-11-27 株式会社東海理化電機製作所 Wiper control device
JP2011213210A (en) 2010-03-31 2011-10-27 Denso Corp Electronic control unit and control system
JP5651442B2 (en) * 2010-11-29 2015-01-14 矢崎総業株式会社 Operation support device, electronic apparatus, electronic control device, and control system
JP7192415B2 (en) * 2018-11-06 2022-12-20 株式会社オートネットワーク技術研究所 Program update system and update processing program
JP7419992B2 (en) * 2020-07-02 2024-01-23 トヨタ自動車株式会社 Software update device, method, program and vehicle
WO2023209820A1 (en) * 2022-04-26 2023-11-02 日立Astemo株式会社 In-vehicle electronic device

Also Published As

Publication number Publication date
JP2004291943A (en) 2004-10-21

Similar Documents

Publication Publication Date Title
JP6189004B1 (en) Shared backup unit and control system
US8452465B1 (en) Systems and methods for ECU task reconfiguration
JP6981357B2 (en) Vehicle control device
JP2010285001A (en) Electronic control system and functional agency method
US10946867B2 (en) Processing device and vehicle control system
EP1227007B1 (en) Fail-safe system and method in integrated control of vehicle
KR100767074B1 (en) Failure sensing device of vehicle control system
EP1353477B1 (en) Communications system of two-wire line enhancing fail-safe performance
JP2915080B2 (en) Data processing method in multiprocessor system
JP3111752B2 (en) Vehicle control method and control system
JP4039291B2 (en) Vehicle control device
US20090210171A1 (en) Monitoring device and monitoring method for a sensor, and sensor
US11377056B2 (en) In-vehicle system
WO2021024589A1 (en) Mobility control system, method, and program
JP7327325B2 (en) In-vehicle device, information generation method, information generation program, and vehicle
CN109625079B (en) Control method and controller for Electric Power Steering (EPS) system of automobile
WO2022259655A1 (en) Vehicle control device and vehicle control system
US20230138932A1 (en) Software updating device, software updating method, and software update processing program
JP6032174B2 (en) Communication control device
WO2022163386A1 (en) Onboard device and relay method
JP2003287112A (en) Communication system for vehicle drive system, shift position directive detection device, and shift position control device
WO2023187979A1 (en) Arithmetic processing device and arithmetic processing method
WO2024009706A1 (en) Vehicle-mounted system, electronic control device, access authorization policy update method, and program
WO2024090220A1 (en) In-vehicle device, in-vehicle system, control method, and control program
US20230373500A1 (en) Management of supervision of an electronic component of a land motor vehicle

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050607

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20050804

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20050804

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20071011

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20071016

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20071029

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101116

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111116

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111116

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121116

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131116

Year of fee payment: 6

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees