JP5542760B2 - 車載制御装置 - Google Patents
車載制御装置 Download PDFInfo
- Publication number
- JP5542760B2 JP5542760B2 JP2011204043A JP2011204043A JP5542760B2 JP 5542760 B2 JP5542760 B2 JP 5542760B2 JP 2011204043 A JP2011204043 A JP 2011204043A JP 2011204043 A JP2011204043 A JP 2011204043A JP 5542760 B2 JP5542760 B2 JP 5542760B2
- Authority
- JP
- Japan
- Prior art keywords
- electronic control
- vehicle
- control device
- safety level
- ecu
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000003745 diagnosis Methods 0.000 claims description 67
- 238000004891 communication Methods 0.000 claims description 66
- 238000000034 method Methods 0.000 claims description 52
- 230000005540 biological transmission Effects 0.000 claims description 25
- 230000006870 function Effects 0.000 claims description 23
- 238000012545 processing Methods 0.000 claims description 17
- 230000007704 transition Effects 0.000 claims description 10
- 230000015654 memory Effects 0.000 claims description 7
- 230000006378 damage Effects 0.000 claims description 3
- 238000002405 diagnostic procedure Methods 0.000 description 25
- 238000010586 diagram Methods 0.000 description 7
- 238000001514 detection method Methods 0.000 description 4
- 230000005856 abnormality Effects 0.000 description 3
- 230000008672 reprogramming Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000033772 system development Effects 0.000 description 1
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
Landscapes
- Engineering & Computer Science (AREA)
- Mechanical Engineering (AREA)
- Small-Scale Networks (AREA)
Description
本発明は、車載制御装置に関し、特に協調制御を行うシステムにおいて安全性を確保する車載電子制御装置に関する。
近年、安全性向上の観点から走行安定制御を取入れた自動車が開発されている。これらの自動車は各輪を独立して制御することにより、横滑りやスピンの誘発を抑制することでコーナリング時の走行安定性を確保し、運転者の安全性に貢献する。ところでこのような技術が可能となった背景には、車両内の電子制御装置(以下ECUと呼称)を車載ネットワークによって協調して制御することにより成立っている。下記特許文献1によれば、走行制御ECUは各車輪速センサ、車両挙動を検知する慣性センサ、ドライバーによる操作を検知する操舵角センサなど多くのセンサが接続され、さらにエンジン制御ECUが車載ネットワークを介して接続されている。エンジン制御ECUはエンジン出力に係る制御情報が送信され、走行制御ECUはそのエンジン出力に係る制御情報と自ECUが接続されているセンサ情報を基に各輪のブレーキを制御する。また必要に応じてエンジン制御ECUに目標値を送信する。また、他の従来技術においては、走行制御ECUはエンジン制御ECUのほかにステアリング制御ECUから送信される制御情報も利用しており、複数のECU間で協調制御を行っている。
ところで、複数のECU間で協調制御を行う場合、ECUは制御情報を車載ネットワークに送信し、必要な制御情報を同じく車載ネットワークから受信する。受信したECUは制御情報に誤りがないかを診断する。
一般的に、受信する制御情報が多いほど診断に対する診断に係る処理は大きくなり、また制御情報の書込み処理も同様に大きくなり、ECUの処理資源に負担を及ぼす。上記特許文献1では、不要な制御情報の書込みを防止するため送信された制御情報が適正であるか診断の条件によって、制御情報を書き換える手段を備えたECUが紹介されている。また上記特許文献2では、制御情報の種類に応じてメモリの診断頻度を変える手段が紹介されている。
上記特許文献1に記載の技術については、ECUのリプログラミングを行う際に不要な制御情報の書込みを防止して、書込み処理に係る負荷を低減するが、ECUの動作中の診断処理に係る負荷は低減できない。また特許文献2については、メモリに格納された制御情報の種類に応じて診断頻度を変えることにより、安全に係る制御情報はその診断頻度を上げることによって早期に異常を検知することができるものの、ECU間等のデータの受け渡しの際の診断については考慮されておらず、また診断処理に係る負荷は低減できない。
本発明は、上記のような課題を解決するためになされたものであり、車載ネットワークで受け渡しされるデータの診断に係る処理負荷を低減しつつ、高い安全性を確保することを目的とする。
上記課題を解決するため複数の車載電子制御装置が接続された車載ネットワークに接続され、前記車載ネットワークを介してデータの送受信を行う車載電子制御装置において、前記車載電子制御装置または前記車載電子制御装置が有する機能に割当てられた安全性レベルに関する情報を格納する第一の記憶部と、前記車載ネットワークに接続された他の車載電子制御装置または該他の車載電子制御装置が有する機能に割当てられた安全性レベルに関する情報を格納する第二の記憶部と、前記車載ネットワークに接続された他の車載電子制御装置から受信したデータについて、前記第一の記憶部と前記第二の記憶部とに格納された情報を比較して診断の内容及び程度を選択し、診断処理を行う診断部と、前記車載電子制御装置または前記車載電子制御装置が有する機能に割当てられた安全性レベルに関する情報を、前記車載ネットワークに送信するデータに付与して送信するデータ送信部と、を有するように構成する。
本発明に係るECUによれば、制御情報ごとに診断方法を使い分けすることができ、診断に係る処理負荷の低減を実現することができる。
近年車両制御システムのソフトウェア規模は飛躍的に増大しており、車両制御システムの安全性を保証するためには、システム開発時やリプログラミング時のチェックだけでは充分でなく、システム動作時の診断処理により安全性を保証する必要がある。
本発明に係るECUにおいては、ECUが扱う制御情報に対して求められる安全性のレベル(以下、安全性レベルという)付けを行い、データ受信時の診断処理に用いられる複数の診断方法をその安全性レベルに応じて選択し実行する。
ここで、安全性レベルとは、車両制御システムが機能毎に保証すべき安全性の度合いを表す。近年、車両制御システムが正常に動作し、人間に可能な限り危害を与えないことを保証および説明できることが重要になってきている。具体的には、機能の誤作動等によって人間に危害が及ぶことを防ぐため、その機能ごとに安全性レベルを割当て、その基準を満たすように車両制御システムを開発する必要がある。安全性レベルは、割当てられる機能が正常に動作しないときの被害の大きさ等によって決定される。例えば、ブレーキ装置を制御するECUや、ステアリング装置を制御するECU、車間距離を制御するECU等の機能については、異常が生じると重大な車両事故に繋がる虞があるため、高い安全性レベルが付与される。
<第1の実施の形態>
以下、図面に従って説明する。
以下、図面に従って説明する。
図1に本発明の一実施形態である車載ネットワークシステムの構成を示す。車載ネットワークシステムは電子制御装置(以下ECU)1aおよび1bおよび1cとネットワーク100を備える。各ECUはROMやRAM等の記憶手段7aと、演算手段(CPU)8aとを有する。また、アプリケーション・プログラム2aとインターフェース3aとRTOS4aと診断部5aとネットワーク制御ドライブ6aが演算手段8a上で実行可能となるように、記憶手段7aにプログラムとして格納されている。
アプリケーション・プログラム2aはECUの機能に応じた複数のアプリケーションモジュールとして実装される。インターフェース3aはインターフェース3aから上位にあるアプリケーション・プログラム2aと下位にあるRTOS4aと診断部5aとネットワーク制御ドライブ6aの情報のやりとりを仲介する機能を有する。RTOS4aはアプリケーション・プログラム2aとインターフェース3aと診断部5aとネットワーク制御ドライブ6aをリアルタイムに実行し管理する機能を有する。診断部5aはネットワーク100から受信したデータを診断する機能を有する。ネットワーク制御ドライブ6aはネットワーク100から伝達されるデータから受信するデータと受信しないデータを判別し、受信するデータを取得する機能を有する。また、ネットワーク1000へ送信するデータに対して、後述する通信IDを付与する機能を有する。これらの機能は、演算手段8aが記憶手段7aからプログラムを読出し、実行することで実現される。
図2はネットワーク100の通信フレーム200である。通信フレーム200は通信IDを格納する通信ID部201とデータを格納するデータ部202を備える。
以上の構成によりECU1aは、ECU1bやECU1cからネットワーク100を介して送信される通信フレーム200のうち通信フレーム200に含まれる通信IDから受信するデータか受信しないデータかをネットワーク制御ドライブ6aによって判別して受信するデータを取得し、取得されたデータは診断部5aを介してインターフェース3aに渡され、インターフェース3aに渡されたデータはアプリケーション・プログラム2aにあるアプリケーションモジュールが読込み、制御のために利用される。RTOS4aは以上の動作をリアルタイムに実行する。なお、ここで言うデータとは、ECU間で共有されるデータであり、あるECUで演算された制御目標値や出力値、センサからの入力値、ECUやアクチュエータの異常情報等であって良い。
以上、ECUの動作について概略を説明した。以下、本発明の診断部5aについて詳細に説明する。
図3は診断部5aの内部構成を示す。診断部5aは受信データ記録処理11aと診断の実行処理12aと診断方法1(13a1)および2(13a2)と故障検知処理14aと受信データバッファ15aと送信元ECUの情報16aと他ECUの安全性レベル情報17aと自ECUの安全性レベル情報18aと安全性レベルに応じた診断情報19aと診断パラメータ情報20aとエラーカウント情報21aを備える。これらの情報は、図示するように別々の箇所に格納されていてもよいし、同一の記憶手段内に格納されていてもよい。なお説明の簡単化のため、例えば診断方法1では受信データの範囲チェック、診断方法2では受信データの平均値の範囲チェックがされるものとする。
図4は受信データバッファ15aを示した図である。受信データバッファ15aは各通信IDごとに各受信回数の受信データが格納されている。図4では通信ID100の1回目の受信データは50、2回目の受信データも50、3回目の受信データも50で、通信ID101の1回目の受信データは85、2回目の受信データは84、3回目の受信データは83であることを示す。
図5は送信元ECUの情報16aを示した図である。送信元ECUの情報16aは通信IDの送信元ECUごとに通信IDが格納されている。図5では101の通信IDを含む通信フレームはECU1bから送信されることを示し、100の通信IDを含む通信フレームはECU1cから送信されることを示す。
図6は他ECUの安全性レベル情報17aを示した図である。他ECUの安全性レベル情報17aは安全性レベルごとに各ECUが格納されている。図6では1の安全性レベルにECU1bが、2の安全性レベルにECU1cが属していることを示す。このように、ネットワーク1000を介して送受信されるデータに、送信元ECUが判別できる通信IDを付与することで、送受信されるデータと安全性レベルの情報とを関連付けることができる。なお、ネットワーク1000に送信されるデータに対して送信元ECUを表す情報または安全性レベルを直接表す情報を付与してもよい。
図7は自ECUの安全性レベル情報18aを示した図である。自ECUの安全性レベル情報18aは自ECUの安全性レベルの属性が格納されている。図6では3の安全性レベルに自ECUであるECU1aが属していることを示す。ここで格納されている自ECUの安全性レベル情報18aと他ECUの安全性レベル情報17aとを比較することにより、受信データの診断方法を可変することができる。
図8は安全性レベルに応じた診断情報19aを示した図である。安全性レベルに応じた診断情報19aは安全性レベルごとに実行する診断方法が格納されている。図8では1の安全性レベルでは最初の診断においては診断方法1が、次の診断においては診断方法2が実行され、2の安全性レベルでは最初の診断においては診断方法1が、次の診断においては診断が実行されないことを示す。このように、安全性レベルに基づいて診断方法と回数を可変することで、診断処理の負荷を削減できる。また、診断処理だけでなく、受信データの取得可否について、送信元の安全性レベルに基づいて決定してもよい。
図9は診断パラメータ情報20aを示した図である。診断パラメータ情報20aは診断方法と通信IDごとの上限値と下限値が格納されている。図9では1の診断方法でかつ100の通信IDの場合、上限値は100で下限値は0であること、1の診断方法でかつ101の通信IDの場合、上限値は90で下限値は10であること、2の診断方法でかつ101の通信IDの場合、上限値は80で下限値は20であることを示す。このように、安全性レベル毎に保証されるべきデータの値の範囲を可変し、診断処理を行うことができる。
次に本発明の基本的な動作例を以下説明する。図3において主体となるのは、診断の実行処理12aと診断方法1および2と受信データバッファ15aと送信元ECUの情報16aと他ECUの安全性レベル情報17aと自ECUの安全性レベル情報18aと安全性レベルに応じた診断情報19aと診断パラメータ情報20aとエラーカウント情報21aであり、図10の診断の実行処理12aのフローチャートを用いて説明する。
図10は診断の実行処理12aのフローチャートを示す図である。以下、図10の各ステップについて説明する。
(ステップS11)
ステップS11は、受信データバッファ15aから通信IDを読込む。
(ステップS12)
ステップS12は、通信IDと送信元ECUの情報16aに基づいて、データ送信元のECUを特定し、他ECUの安全性レベル情報17aから送信先ECUの安全性レベルを読込む。
(ステップS13)
ステップS13は、自ECUの安全性レベル情報18aから自ECUの安全性レベルを読込む。
(ステップS14)
ステップS14は、送信元ECUの安全性レベルと自ECUの安全性レベルを比較し、送信元ECUの安全性レベルが自ECUの安全性レベルより低ければステップS15を実行する。送信元ECUの安全性レベルが自ECUの安全性レベルより低くなければ、処理を終了する。
(ステップS15)
ステップS15は、送信元ECUの安全性レベルから安全性レベルに応じた診断情報19aを読込む。診断情報19aは安全性レベルごとに実行する診断方法が格納されているため、本ステップで入力される安全性レベルによって選択的に診断が実行されることとなる。
(ステップS16)
ステップS16は、当該安全性レベルに応じた最初の診断方法を実行する。
(ステップS17)
ステップS17は、当該安全性レベルに応じた次の診断方法が有るか判定し、有る場合はステップS18を実行する。無い場合は処理を終了する。
(ステップS18)
ステップS18は、当該安全性レベルに応じた次の診断方法を実行し、ステップS17に戻る。
(ステップS11)
ステップS11は、受信データバッファ15aから通信IDを読込む。
(ステップS12)
ステップS12は、通信IDと送信元ECUの情報16aに基づいて、データ送信元のECUを特定し、他ECUの安全性レベル情報17aから送信先ECUの安全性レベルを読込む。
(ステップS13)
ステップS13は、自ECUの安全性レベル情報18aから自ECUの安全性レベルを読込む。
(ステップS14)
ステップS14は、送信元ECUの安全性レベルと自ECUの安全性レベルを比較し、送信元ECUの安全性レベルが自ECUの安全性レベルより低ければステップS15を実行する。送信元ECUの安全性レベルが自ECUの安全性レベルより低くなければ、処理を終了する。
(ステップS15)
ステップS15は、送信元ECUの安全性レベルから安全性レベルに応じた診断情報19aを読込む。診断情報19aは安全性レベルごとに実行する診断方法が格納されているため、本ステップで入力される安全性レベルによって選択的に診断が実行されることとなる。
(ステップS16)
ステップS16は、当該安全性レベルに応じた最初の診断方法を実行する。
(ステップS17)
ステップS17は、当該安全性レベルに応じた次の診断方法が有るか判定し、有る場合はステップS18を実行する。無い場合は処理を終了する。
(ステップS18)
ステップS18は、当該安全性レベルに応じた次の診断方法を実行し、ステップS17に戻る。
次に上記診断の実行処理12aに用いられる診断方法1および診断方法2に属する診断方法の例を以下説明する。
図11は診断方法1が属する範囲チェック処理を示したフローチャート図である。以下、図11の各ステップについて説明する。
(ステップS21)
ステップS21は、通信IDを読込む。
(ステップS22)
ステップS22は、通信IDに基づいて診断パラメータ情報20aにある上限値と下限値を読込む。
(ステップS23)
ステップS23は、通信IDの当該データを読込む。
(ステップS24)
ステップS24は、当該データがステップS22から読込んだ上限値と下限値の範囲に収まっているか判定する。収まっていれば、ステップS25を実行し、収まっていなければ、ステップS26を実行する。
(ステップS25)
ステップS25は、エラーカウント情報21aにあるエラーカウントを0にし、処理を終了する。
(ステップS26)
ステップS26は、エラーカウント情報21aにあるエラーカウントをインクリメントし、処理を終了する。
(ステップS21)
ステップS21は、通信IDを読込む。
(ステップS22)
ステップS22は、通信IDに基づいて診断パラメータ情報20aにある上限値と下限値を読込む。
(ステップS23)
ステップS23は、通信IDの当該データを読込む。
(ステップS24)
ステップS24は、当該データがステップS22から読込んだ上限値と下限値の範囲に収まっているか判定する。収まっていれば、ステップS25を実行し、収まっていなければ、ステップS26を実行する。
(ステップS25)
ステップS25は、エラーカウント情報21aにあるエラーカウントを0にし、処理を終了する。
(ステップS26)
ステップS26は、エラーカウント情報21aにあるエラーカウントをインクリメントし、処理を終了する。
図12は診断方法2に格納されている平均値チェック処理を示したフローチャート図である。以下、図12の各ステップについて説明する。
(ステップS31)
ステップS31は、通信IDと当該データと当該データの受信回数を受信データバッファから読込む。
(ステップS32)
ステップS32は、通信IDのデータの平均値を算出する。
(ステップS33)
ステップS33は、通信IDに基づいて診断パラメータ情報20aにある上限値と下限値を読込む。
(ステップS34)
ステップS34は、当該データの平均値がステップS33にて読込んだ上限値と下限値の範囲に収まっているか判定する。収まっていればステップS35を実行し、収まっていなければステップS36を実行する。
(ステップS35)
ステップS35は、エラーカウント情報21aにあるエラーカウントを0にし、処理を終了する。
(ステップS36)
ステップS36は、エラーカウント情報21aにあるエラーカウントをインクリメントし、処理を終了する。
(ステップS31)
ステップS31は、通信IDと当該データと当該データの受信回数を受信データバッファから読込む。
(ステップS32)
ステップS32は、通信IDのデータの平均値を算出する。
(ステップS33)
ステップS33は、通信IDに基づいて診断パラメータ情報20aにある上限値と下限値を読込む。
(ステップS34)
ステップS34は、当該データの平均値がステップS33にて読込んだ上限値と下限値の範囲に収まっているか判定する。収まっていればステップS35を実行し、収まっていなければステップS36を実行する。
(ステップS35)
ステップS35は、エラーカウント情報21aにあるエラーカウントを0にし、処理を終了する。
(ステップS36)
ステップS36は、エラーカウント情報21aにあるエラーカウントをインクリメントし、処理を終了する。
以上の構成によれば100の通信IDに付属するデータは1の安全性レベルに基づいて診断方法1の範囲チェックがなされ、エラーカウントは0となる。他方101の通信IDに付属するデータは2の安全性レベルに基づいて診断方法1と診断方法2のチェックがなされ、結果的に診断方法2によってエラーカウントがインクリメントされる。図13は受信データバッファ15aに格納されている100と101の通信IDの受信データを用いた実行した時のエラーカウント情報21aを示した図である。100の通信IDのエラーカウントは0であり、101の通信IDのエラーカウントは1であることを示している。
故障検知処理14aはエラーカウント情報21aに記録している結果から正常か故障かを判定する機能を有する。これにより図1のアプリケーション・プログラム2aはインターフェース3aを介して送信元ECUが正常であるか故障であるかを検知することができる。
本実施例ではネットワーク100に接続されているECUに対し安全性レベルを定義した。異なる実施例として安全性レベルを機能、アプリケーション・プログラム2a、アプリケーション・プログラム2aに属するアプリケーションモジュール、通信ID毎に対し定義してもよい。例えば、あるECU中の異なるアプリケーションモジュールで演算され、ECU外部へ送信される複数データについて、それぞれ異なる安全性レベルが付与され、受信側のECUはデータ送信側のECUに付与された安全性レベルではなく、アプリケーションモジュール毎に付与された安全性レベルに基づいて診断処理を可変してよい。また、同一ECU内でも、安全性レベルが異なるアプリケーションモジュール同士でデータの授受が行われる場合に、送信側アプリケーションモジュールの安全性レベルに基づいて受信側で診断内容を可変して良い。この場合は、ネットワーク100を介したデータのやり取りではなく、メモリパーティッション間や複数メモリ間でのデータのやり取りとなる。
本実施例の発明によれば、データ送信元ECUの安全性レベルに基づいて、受信データの診断内容・程度を可変するため、診断の処理負荷を削減できる。例えば、高い安全性レベルのECUから低い安全性レベルのECUへデータが送信される場合は、安全性が保証されたデータが送信されるため、診断の必要性は少ない。また、同じ安全性レベルのECU同士でデータを送信される場合も、安全性が保証されたデータが送信されるため、同様に診断の必要性は少ない。また、低い安全性レベルのECUから高い安全性レベルのECUへデータが送信される場合は、診断処理を行うことなくデータを取得しないようにすることもできる。このように、ECUの安全性レベルに基づいて、受信データの診断処理を省くことができる。
また、一般に各ECUに搭載されるソフトウェアは異なる開発主体によって作成されるため、それぞれのソフトウェアの品質が異なる場合がある。本実施例の発明によれば、各ECUに搭載されるソフトウェアが保証するデータの安全性が各々異なる場合でも、各ECUの機能毎に求められる安全性レベルに基づいて受信データの診断処理を可変するため、各ECUに搭載されるソフトウェアの品質にばらつきの影響を吸収できる。また、新たなECUや機能の追加や統合を行い易い、既存のソフトウェア資産の再利用性が向上するといった利点がある。
<第2の実施の形態>
第1の実施の形態では他ECUの安全性レベル情報を備えている場合の動作例を示した。以下、第2の実施の形態では他ECUの安全性レベル情報を備えていない場合について説明する。図13は診断部5aの状態遷移を示した図である。診断部5aは通信確立の状態52aのもとコンフィグ状態53aとノーマル状態54aが備わっている。電源オン状態51aになった直後、ネットワーク制御ドライブ6aは車載ネットワークの通信を確立するため、通信プロトコルに従った通信確立処理を行う。通信確立を遷移条件55aに診断部5aは電源オン状態51aになってから通信確立の状態52aへ遷移する。通信確立の状態52aにおいては、自ECUと他ECUの間でネットワーク100を介してデータのやり取りが可能となる。通信が確立されると、他ECUの安全性レベル情報を送受信するコンフィグ状態53aに遷移する。コンフィグ状態5aにおいて他ECUの安全性レベル情報を全て取得する遷移条件によって、ノーマル状態54aに遷移する。ここでノーマル状態54aでは他ECUの安全性レベル情報17aに他ECUの安全性レベルが格納されていることになるため、<第1の実施の形態>において説明した動作が可能となる。具体的には、通信フレーム200内に安全性レベルを直接表す情報を付与せず、通信IDを付与することができる。
第1の実施の形態では他ECUの安全性レベル情報を備えている場合の動作例を示した。以下、第2の実施の形態では他ECUの安全性レベル情報を備えていない場合について説明する。図13は診断部5aの状態遷移を示した図である。診断部5aは通信確立の状態52aのもとコンフィグ状態53aとノーマル状態54aが備わっている。電源オン状態51aになった直後、ネットワーク制御ドライブ6aは車載ネットワークの通信を確立するため、通信プロトコルに従った通信確立処理を行う。通信確立を遷移条件55aに診断部5aは電源オン状態51aになってから通信確立の状態52aへ遷移する。通信確立の状態52aにおいては、自ECUと他ECUの間でネットワーク100を介してデータのやり取りが可能となる。通信が確立されると、他ECUの安全性レベル情報を送受信するコンフィグ状態53aに遷移する。コンフィグ状態5aにおいて他ECUの安全性レベル情報を全て取得する遷移条件によって、ノーマル状態54aに遷移する。ここでノーマル状態54aでは他ECUの安全性レベル情報17aに他ECUの安全性レベルが格納されていることになるため、<第1の実施の形態>において説明した動作が可能となる。具体的には、通信フレーム200内に安全性レベルを直接表す情報を付与せず、通信IDを付与することができる。
以下コンフィグ状態53aを備える本発明の診断部5aについて説明する。図14はコンフィグ状態5aを備える診断部5aの内部構成を示す。また診断部5aは、図15に示すように、送信データ処理31aと受信データ記録処理11aと診断の実行処理12aと診断方法1および2と故障検知処理14aと受信データバッファ15aと送信元ECUの情報16aと他ECUの安全性レベル情報17aと自ECUの安全性レベル情報18aと安全性レベルに応じた診断情報19aと診断パラメータ情報20aとエラーカウント情報21aを備える。診断の実行処理12aは、送信データ処理31aに自ECUの自ECUの安全性レベル情報18aに格納されている自ECUの安全性レベルを渡す。送信データ処理31aは渡された自ECUの安全性レベルをネットワーク制御ドライブ6aによって送信する。ネットワーク制御ドライブ6aはネットワーク100を介して他ECUから送信される通信フレーム200の通信IDに基づいて、自ECUが受信すべき通信フレーム200であるかを判別し、受信すべき通信フレームであれば受信する。受信データ記録処理では、受信した通信フレームの通信IDに従ってデータを格納する。診断の実行処理12aは受信データバッファ15aに格納されている通信IDから送信元ECUの情報16aを読込み、送信元ECUを特定し、他ECUの安全性レベル情報17aに特定した送信元ECUに基づいて受信データバッファ15aに格納されている安全性レベルを記憶する。また診断の実行処理12aは他ECUの安全性レベル情報を全て取得すれば、それを通知し、ノーマル状態54aに遷移させる。なお、コンフィグ状態53aからノーマル状態54aへ遷移する条件は、他ECUの安全性レベル情報を少なくとも1つ記憶した場合としてもよい。
以上の構成によれば、予め他ECUの安全性レベル情報を備えていなくとも、通信確立以降<第2の実施の形態>にある動作をすれば、自ECUが他ECUの安全性レベル情報を備えることができる。
1a、1b、1c 電子制御装置(ECU)
2a アプリケーション・プログラム
3a インターフェース
4a RTOS
5a 診断部
6a ネットワーク制御ドライブ
11a 受信データ記録処理
12a 診断の実行処理
13a1 診断方法1
13a2 診断方法2
14a 故障検知処理
15a 受信データバッファ
16a 送信元ECUの情報
17a 他ECUの安全性レベル情報
18a 自ECUの安全性レベル情報
19a 安全性レベルに応じた診断情報
20a 診断パラメータ情報
21a エラーカウント情報
22a、23a、24a、25a、26a、27a、28a、29a、30a、32a、33a パス
31a 送信データ処理
51a 電源オン状態
52a 通信確立の状態
53a コンフィグ状態
54a ノーマル状態
55a、56a、57a 遷移条件
200 通信フレーム
201 通信ID部
202 データ部
1000 ネットワーク
2a アプリケーション・プログラム
3a インターフェース
4a RTOS
5a 診断部
6a ネットワーク制御ドライブ
11a 受信データ記録処理
12a 診断の実行処理
13a1 診断方法1
13a2 診断方法2
14a 故障検知処理
15a 受信データバッファ
16a 送信元ECUの情報
17a 他ECUの安全性レベル情報
18a 自ECUの安全性レベル情報
19a 安全性レベルに応じた診断情報
20a 診断パラメータ情報
21a エラーカウント情報
22a、23a、24a、25a、26a、27a、28a、29a、30a、32a、33a パス
31a 送信データ処理
51a 電源オン状態
52a 通信確立の状態
53a コンフィグ状態
54a ノーマル状態
55a、56a、57a 遷移条件
200 通信フレーム
201 通信ID部
202 データ部
1000 ネットワーク
Claims (9)
- 複数の車載電子制御装置が接続された車載ネットワークに接続され、前記車載ネットワークを介してデータの送受信を行う車載電子制御装置において、
前記車載ネットワークに送信するデータに、データ送信元を表す通信IDを付与するID付与部と、
前記車載電子制御装置または前記車載電子制御装置が有する機能に割当てられた安全性レベルに関する情報を格納する第一の記憶部と、
前記車載ネットワークに接続された複数の車載電子制御装置と、前記通信IDとを対応付ける情報を格納する第二の記憶部と、
前記車載ネットワークに接続された他の車載電子制御装置または該他の車載電子制御装置が有する機能と安全性レベルとを対応付ける情報を格納する第三の記憶部と、
前記車載ネットワークに接続された他の車載電子制御装置から受信したデータについて、前記第一の記憶部と前記第二の記憶部と前記第三の記憶部に格納された情報に基づいて診断の内容及び程度を選択し、診断処理を行う診断部と、
を有することを特徴とする車載電子制御装置。 - 請求項1に記載の車載電子制御装置であって、
前記電子制御装置は、前記車載ネットワークに接続された他の車載電子制御装置から受信した、安全性レベルに関する情報を含んだデータ通信フレームを記録する受信データ記録処理部を有することを特徴とする車載電子制御装置。 - 請求項2に記載の車載電子制御装置であって、
前記車載ネットワークの通信確立後に、
安全性レベルを含んだ通信フレームを送受信するコンフィグ状態に遷移し、
前記通信フレームに含まれる安全性レベルを少なくとも1つ記憶した後に、
前記コンフィグ状態から安全性レベルを含まない通信フレームを送受信するノーマル状態に遷移することを特徴とする車載電子制御装置。 - 請求項1に記載の車載電子制御装置であって、
前記車載ネットワークに接続された他の車載電子制御装置または該他の車載電子制御装置が有する機能と安全性レベルとを対応付ける情報を、前記車載ネットワークの通信確立後に前記車載ネットワークから取得し、前記第三の記憶部へ格納することを特徴とする車載電子制御装置。 - 請求項1から4のいずれか一項に記載の車載電子制御装置であって、
前記診断の程度には、前記車載ネットワークに接続された他の車載電子制御装置から受信したデータについて診断処理を行わずにデータを取得しない場合が含まれていることを特徴とする車載電子制御装置。 - 請求項1から5のいずれか一項に記載の車載電子制御装置であって、
前記診断の程度には、受信したデータの診断回数が含まれていることを特徴とする車載電子制御装置。 - 請求項1から6のいずれか一項に記載の車載電子制御装置であって、
前記診断の内容には、受信したデータの正常性を診断するための閾値の範囲が含まれていることを特徴とする車載電子制御装置。 - 請求項1から7のいずれか一項に記載の車載電子制御装置であって、
前記安全性レベルは、割当てられる機能が正常に動作しないときの被害の大きさによって決定されることを特徴とする車載電子制御装置。 - 請求項1に記載の車載電子制御装置を少なくとも一つ備えた車両制御システム。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011204043A JP5542760B2 (ja) | 2011-09-20 | 2011-09-20 | 車載制御装置 |
| PCT/JP2012/070672 WO2013042494A1 (ja) | 2011-09-20 | 2012-08-14 | 車載制御装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011204043A JP5542760B2 (ja) | 2011-09-20 | 2011-09-20 | 車載制御装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2013063714A JP2013063714A (ja) | 2013-04-11 |
| JP5542760B2 true JP5542760B2 (ja) | 2014-07-09 |
Family
ID=47914273
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011204043A Active JP5542760B2 (ja) | 2011-09-20 | 2011-09-20 | 車載制御装置 |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JP5542760B2 (ja) |
| WO (1) | WO2013042494A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2748765C1 (ru) * | 2018-06-22 | 2021-05-31 | СиЭрЭрСи ЦИНДАО СЫФАН РОЛЛИН СТОК РИСЁРЧ ИНСТИТЬЮТ КО., ЛТД. | Бортовая сетевая система и способ осуществления связи в ней |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101745174B1 (ko) * | 2015-11-10 | 2017-06-08 | 현대오트론 주식회사 | 차량용 전자 제어기 복구 방법 및 이를 실행하는 장치 |
| JP6717184B2 (ja) * | 2016-12-15 | 2020-07-01 | 株式会社デンソー | 車載制御装置 |
| WO2023195468A1 (ja) * | 2022-04-07 | 2023-10-12 | 株式会社デンソー | 車両制御システム、アクセス制御装置、アクセス制御方法 |
| WO2023210290A1 (ja) * | 2022-04-28 | 2023-11-02 | 株式会社デンソー | モビリティサービス提供システム、車載システム、管理サーバ、アクセス制御方法、及びプログラム |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4182472B2 (ja) * | 2003-03-05 | 2008-11-19 | マツダ株式会社 | 遠隔故障予測システム |
| JP2010202127A (ja) * | 2009-03-05 | 2010-09-16 | Honda Motor Co Ltd | 車両の電子制御装置 |
-
2011
- 2011-09-20 JP JP2011204043A patent/JP5542760B2/ja active Active
-
2012
- 2012-08-14 WO PCT/JP2012/070672 patent/WO2013042494A1/ja active Application Filing
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2748765C1 (ru) * | 2018-06-22 | 2021-05-31 | СиЭрЭрСи ЦИНДАО СЫФАН РОЛЛИН СТОК РИСЁРЧ ИНСТИТЬЮТ КО., ЛТД. | Бортовая сетевая система и способ осуществления связи в ней |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2013042494A1 (ja) | 2013-03-28 |
| JP2013063714A (ja) | 2013-04-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11599349B2 (en) | Gateway device, in-vehicle network system, and firmware update method | |
| CN105981336B (zh) | 不正常检测电子控制单元、车载网络系统以及不正常检测方法 | |
| US11165851B2 (en) | System and method for providing security to a communication network | |
| JP5542760B2 (ja) | 車載制御装置 | |
| JP5353545B2 (ja) | 車載ネットワーク装置 | |
| US20240053977A1 (en) | Gateway device, in-vehicle network system, and firmware update method | |
| US20150124597A1 (en) | Communication management apparatus and communication management method for vehicle network | |
| JP6846706B2 (ja) | 監視装置、監視方法およびコンピュータプログラム | |
| JP2019008618A (ja) | 情報処理装置、情報処理方法及びプログラム | |
| US20110107349A1 (en) | Control apparatus, control method and storage medium | |
| JP2018170719A (ja) | 情報処理装置、情報処理方法及びプログラム | |
| JP2014031077A (ja) | 車両動作検証システム | |
| JP5365584B2 (ja) | 制御装置 | |
| JP2014004858A (ja) | 車両制御装置 | |
| JP5223512B2 (ja) | 車両用異常解析システム、車両用異常解析方法、及び車両用故障解析装置 | |
| JP6874102B2 (ja) | 不正検知電子制御ユニット、車載ネットワークシステム及び不正検知方法 | |
| KR101354698B1 (ko) | 차량용 전자 제어 장치의 동작 방법 | |
| WO2018179630A1 (ja) | 情報処理装置、情報処理方法及びプログラム | |
| JP2011250008A (ja) | ゲートウェイ装置 | |
| JP4948583B2 (ja) | 制御システム | |
| CN117492946A (zh) | 控制各种应用在车辆中的访问的方法 | |
| JP6812765B2 (ja) | 電子制御装置 | |
| Jiang | Vehicle E/E Architecture and Key Technologies Enabling Software-Defined Vehicle | |
| WO2021019636A1 (ja) | セキュリティ装置、インシデント対応処理方法、プログラム、及び記憶媒体 | |
| CN118012474A (zh) | Ecu的控制方法、智能卡、存储介质和ecu系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130218 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130218 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140114 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140312 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140408 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140507 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5542760 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |