JP5766360B2 - 車載通信システムおよび車載通信方法 - Google Patents
車載通信システムおよび車載通信方法 Download PDFInfo
- Publication number
- JP5766360B2 JP5766360B2 JP2014531463A JP2014531463A JP5766360B2 JP 5766360 B2 JP5766360 B2 JP 5766360B2 JP 2014531463 A JP2014531463 A JP 2014531463A JP 2014531463 A JP2014531463 A JP 2014531463A JP 5766360 B2 JP5766360 B2 JP 5766360B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- control
- input
- output
- transmission
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims description 218
- 238000000034 method Methods 0.000 title claims description 66
- 230000015654 memory Effects 0.000 claims description 195
- 230000005540 biological transmission Effects 0.000 claims description 165
- 238000012790 confirmation Methods 0.000 claims description 70
- 230000006870 function Effects 0.000 claims description 63
- 230000008569 process Effects 0.000 claims description 46
- 230000005856 abnormality Effects 0.000 description 20
- 238000010586 diagram Methods 0.000 description 19
- 230000002159 abnormal effect Effects 0.000 description 2
- 239000013078 crystal Substances 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000005286 illumination Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000004575 stone Substances 0.000 description 1
Images
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
- B60R16/023—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/38—Information transfer, e.g. on bus
- G06F13/42—Bus transfer protocol, e.g. handshake; Synchronisation
- G06F13/4204—Bus transfer protocol, e.g. handshake; Synchronisation on a parallel bus
- G06F13/4221—Bus transfer protocol, e.g. handshake; Synchronisation on a parallel bus being an input/output bus, e.g. ISA bus, EISA bus, PCI bus, SCSI bus
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Mechanical Engineering (AREA)
- Small-Scale Networks (AREA)
- Selective Calling Equipment (AREA)
Description
本発明は、例えば、自動車のデバイスを制御するための車載通信システムおよび車載通信方法に関するものである。
自動車に搭載される車載システムは、BCM(Body Control Module)と呼ばれるECU(Electro Control Unit)を備える。そして、I/Oデバイス(I/O:INPUT/OUTPUT)が専用の信号線でBCMに接続され、BCMがI/Oデバイスを制御する。
このような車載システムには、制御対象のI/Oデバイスの増加に伴って、BCMに接続する信号線の量が増加する、という課題がある。
このような車載システムには、制御対象のI/Oデバイスの増加に伴って、BCMに接続する信号線の量が増加する、という課題がある。
この課題を解決するために、特許文献1には、複数のI/Oデバイスそれぞれの信号線を車両各部に配置されたいずれかの多重伝送装置に収容し、これらの多重伝送装置間を多重伝送路で接続する方法が開示されている。
一方で、車載システムには、システム障害が発生しても重大な事故を引き起こさないための安全性が求められており、安全性に関する基準としてISO26262が国際標準化されている。
本発明は、例えば、自動車のデバイスを制御するための制御装置の信号線の量を抑えると共に自動車の安全性を確保することができるようにすることを目的とする。
本発明の車載通信システムは、入力用伝送装置と制御装置と出力用伝送装置とを備える。
前記入力用伝送装置は、
入力元のデバイスとして前記車両に搭載されるデバイスから出力されるデータを第一のデバイスデータとして入力する第一のデバイスデータ入力部と、
前記入力元のデバイスから出力される前記データを第二のデバイスデータとして入力する第二のデバイスデータ入力部と、
前記第一のデバイスデータ入力部が入力した前記第一のデバイスデータと通信結果を判定するための第一の入力用安全通信データとを含む第一の入力用伝送データを生成すると共に、前記第二のデバイスデータ入力部が入力した前記第二のデバイスデータと通信結果を判定するための第二の入力用安全通信データとを含む第二の入力用伝送データを生成し、前記第一の入力用伝送データと前記第二の入力用伝送データとを前記制御装置へ送信する入力用送信部とを備える。
前記制御装置は、
前記入力用伝送装置から送信される前記第一の入力用伝送データと前記第二の入力用伝送データとを受信する制御用受信部と、
前記制御用受信部によって受信された前記第一の入力用伝送データに含まれる前記第一の入力用安全通信データに基づいて、前記第一の入力用伝送データに含まれる前記第一のデバイスデータの通信が正常に行われたか否かを判定する第一の制御用判定部と、
前記第一のデバイスデータの通信が正常に行われたと判定された場合、前記第一のデバイスデータに基づいた制御を指定する第一の制御データを生成し、前記第一のデバイスデータの通信が正常に行われなかったと判定された場合、予め定められるフェールセーフ用の制御を指定する第一の制御データを生成する第一の制御用演算部と、
前記制御用受信部によって受信された前記第二の入力用伝送データに含まれる前記第二の入力用安全通信データに基づいて、前記第二の入力用伝送データに含まれる前記第二のデバイスデータの通信が正常に行われたか否かを判定する第二の制御用判定部と、
前記第二のデバイスデータの通信が正常に行われたと判定された場合、前記第二のデバイスデータに基づいた制御を指定する第二の制御データを生成し、前記第二のデバイスデータの通信が正常に行われなかったと判定された場合、前記フェールセーフ用の制御を指定する第二の制御データを生成する第二の制御用演算部と、
前記第一の制御用演算部によって生成された前記第一の制御データを含む第一の制御用伝送データを生成すると共に、前記第二の制御用演算部によって生成された前記第二の制御データを含む第二の制御用伝送データを生成し、前記第一の制御用伝送データと前記第二の制御用伝送データとを前記出力用伝送装置へ送信する制御用送信部とを備える。
前記出力用伝送装置は、
前記制御装置から送信される前記第一の制御用伝送データと前記第二の制御用伝送データとを受信する出力用受信部と、
前記出力用受信部によって受信された前記第一の制御用伝送データに含まれる前記第一の制御データと前記出力用受信部によって受信された前記第二の制御用伝送データに含まれる前記第二の制御データとに基づいて、前記車両に搭載される制御対象のデバイスを制御するためのデバイス制御データを出力するデバイス制御データ出力部とを備える。
前記入力用伝送装置は、
入力元のデバイスとして前記車両に搭載されるデバイスから出力されるデータを第一のデバイスデータとして入力する第一のデバイスデータ入力部と、
前記入力元のデバイスから出力される前記データを第二のデバイスデータとして入力する第二のデバイスデータ入力部と、
前記第一のデバイスデータ入力部が入力した前記第一のデバイスデータと通信結果を判定するための第一の入力用安全通信データとを含む第一の入力用伝送データを生成すると共に、前記第二のデバイスデータ入力部が入力した前記第二のデバイスデータと通信結果を判定するための第二の入力用安全通信データとを含む第二の入力用伝送データを生成し、前記第一の入力用伝送データと前記第二の入力用伝送データとを前記制御装置へ送信する入力用送信部とを備える。
前記制御装置は、
前記入力用伝送装置から送信される前記第一の入力用伝送データと前記第二の入力用伝送データとを受信する制御用受信部と、
前記制御用受信部によって受信された前記第一の入力用伝送データに含まれる前記第一の入力用安全通信データに基づいて、前記第一の入力用伝送データに含まれる前記第一のデバイスデータの通信が正常に行われたか否かを判定する第一の制御用判定部と、
前記第一のデバイスデータの通信が正常に行われたと判定された場合、前記第一のデバイスデータに基づいた制御を指定する第一の制御データを生成し、前記第一のデバイスデータの通信が正常に行われなかったと判定された場合、予め定められるフェールセーフ用の制御を指定する第一の制御データを生成する第一の制御用演算部と、
前記制御用受信部によって受信された前記第二の入力用伝送データに含まれる前記第二の入力用安全通信データに基づいて、前記第二の入力用伝送データに含まれる前記第二のデバイスデータの通信が正常に行われたか否かを判定する第二の制御用判定部と、
前記第二のデバイスデータの通信が正常に行われたと判定された場合、前記第二のデバイスデータに基づいた制御を指定する第二の制御データを生成し、前記第二のデバイスデータの通信が正常に行われなかったと判定された場合、前記フェールセーフ用の制御を指定する第二の制御データを生成する第二の制御用演算部と、
前記第一の制御用演算部によって生成された前記第一の制御データを含む第一の制御用伝送データを生成すると共に、前記第二の制御用演算部によって生成された前記第二の制御データを含む第二の制御用伝送データを生成し、前記第一の制御用伝送データと前記第二の制御用伝送データとを前記出力用伝送装置へ送信する制御用送信部とを備える。
前記出力用伝送装置は、
前記制御装置から送信される前記第一の制御用伝送データと前記第二の制御用伝送データとを受信する出力用受信部と、
前記出力用受信部によって受信された前記第一の制御用伝送データに含まれる前記第一の制御データと前記出力用受信部によって受信された前記第二の制御用伝送データに含まれる前記第二の制御データとに基づいて、前記車両に搭載される制御対象のデバイスを制御するためのデバイス制御データを出力するデバイス制御データ出力部とを備える。
本発明によれば、例えば、自動車のデバイスを制御するための制御装置の信号線の量を抑えると共に自動車の安全性を確保することができる。
実施の形態1.
自動車のデバイスを制御するための制御装置の信号線の量を抑えると共に自動車の安全性を確保する形態について説明する。
自動車のデバイスを制御するための制御装置の信号線の量を抑えると共に自動車の安全性を確保する形態について説明する。
図1は、実施の形態1における車載通信システム100の構成図である。
実施の形態1における車載通信システム100の構成について、図1に基づいて説明する。
実施の形態1における車載通信システム100の構成について、図1に基づいて説明する。
車載通信システム100(車載通信システムの一例)は、自動車(車両の一例)に搭載されるシステムである。
車載通信システム100は、入力用DHM110(入力用伝送装置の一例)、BCM120(制御装置の一例)、出力用DHM130(出力用伝送装置の一例)および確認用DHM140(フィードバック用伝送装置の一例)を備える。
DHMは「Device Hub Module」の略であり、BCMは「Body Control Module」の略である。
DHMは「Device Hub Module」の略であり、BCMは「Body Control Module」の略である。
入力用DHM110、BCM120、出力用DHM130および確認用DHM140は、CAN101というネットワークを介して通信を行う。
CANは「Controller Area Network」の略である。
但し、CANをその他の規格のネットワークに置き換えても構わない。
CANは「Controller Area Network」の略である。
但し、CANをその他の規格のネットワークに置き換えても構わない。
入力用DHM110および出力用DHM130には、自動車に搭載される1つ以上のデバイスが信号線を介して接続される。
スイッチ102、ボタンおよびセンサは入力用DHM110に接続されるデバイスの一例であり、アクチュエータ103、ライトおよびモータは出力用DHM130に接続されるデバイスの一例である。
以下、入力用DHM110に接続される各デバイスを「入力デバイス」という。また、出力用DHM130に接続される各デバイスを「出力デバイス」という。
スイッチ102、ボタンおよびセンサは入力用DHM110に接続されるデバイスの一例であり、アクチュエータ103、ライトおよびモータは出力用DHM130に接続されるデバイスの一例である。
以下、入力用DHM110に接続される各デバイスを「入力デバイス」という。また、出力用DHM130に接続される各デバイスを「出力デバイス」という。
入力用DHM110は、入力デバイスから出力されるデバイスデータを伝送する伝送装置である。
また、入力用DHM110は、多重伝送の対象となる入力デバイスから出力されるデバイスデータを多重化して伝送する多重伝送装置である。
図1において、スイッチ102は多重伝送の対象となる入力デバイスの一例である。
また、入力用DHM110は、多重伝送の対象となる入力デバイスから出力されるデバイスデータを多重化して伝送する多重伝送装置である。
図1において、スイッチ102は多重伝送の対象となる入力デバイスの一例である。
入力用DHM110は入力制御ブロックと入力用共有メモリと入力用NW制御ブロック115(入力用送信部の一例)とを備え、入力制御ブロックおよび入力用共有メモリは二重化されている。
以下、二重化された入力制御ブロックを「第一の入力制御ブロック111(第一のデバイスデータ入力部の一例)」「第二の入力制御ブロック112(第二のデバイスデータ入力部の一例)」と呼ぶ。また、二重化された入力用共有メモリを「第一の入力用共有メモリ113(第一の入力用メモリの一例)」「第二の入力用共有メモリ114(第二の入力用メモリの一例)」と呼ぶ。
以下、二重化された入力制御ブロックを「第一の入力制御ブロック111(第一のデバイスデータ入力部の一例)」「第二の入力制御ブロック112(第二のデバイスデータ入力部の一例)」と呼ぶ。また、二重化された入力用共有メモリを「第一の入力用共有メモリ113(第一の入力用メモリの一例)」「第二の入力用共有メモリ114(第二の入力用メモリの一例)」と呼ぶ。
多重伝送の対象となる入力デバイス(例えば、スイッチ102)は第一の入力制御ブロック111と第二の入力制御ブロック112とのそれぞれに接続し、その他の入力デバイスは第一の入力制御ブロック111と第二の入力制御ブロック112とのいずれか一方に接続する。
入力用DHM110の各構成の機能および動作については後述する。
BCM120は、入力用DHM110から伝送されるデバイスデータに基づいて、制御対象の出力デバイスを制御するための制御データを伝送する制御装置である。
また、BCM120は、入力用DHM110から多重伝送される各デバイスデータに基づいて制御データを多重伝送する制御装置である。
また、BCM120は、入力用DHM110から多重伝送される各デバイスデータに基づいて制御データを多重伝送する制御装置である。
BCM120はBCM_NW制御ブロック121(制御用受信部、制御用送信部の一例)と受信用の共有メモリと送信用の共有メモリと確認用の共有メモリと演算ブロックとを備え、受信用の共有メモリ、送信用の共有メモリ、確認用の共有メモリおよび演算ブロックは二重化されている。
以下、二重化した受信用の共有メモリを「第一のBCM共有メモリ122r(第一の受信用メモリの一例)」「第二のBCM共有メモリ123r(第二の受信用メモリの一例)」と呼ぶ。二重化した送信用の共有メモリを「第三のBCM共有メモリ122s(第一の送信用メモリの一例)」「第四のBCM共有メモリ123s(第二の送信用メモリの一例)」と呼ぶ。二重化した確認用の共有メモリを「第五のBCM共有メモリ122c(第一の確認用メモリの一例)」「第六のBCM共有メモリ123c(第二の確認用メモリの一例)」と呼ぶ。また、二重化した演算ブロックを「第一の演算ブロック124(第一の制御用判定部、第一の制御用演算部、第一の確認用判定部の一例)」「第二の演算ブロック125(第二の制御用判定部、第二の制御用演算部、第二の確認用判定部の一例)」と呼ぶ。
BCM120の各構成の機能および動作については後述する。
以下、二重化した受信用の共有メモリを「第一のBCM共有メモリ122r(第一の受信用メモリの一例)」「第二のBCM共有メモリ123r(第二の受信用メモリの一例)」と呼ぶ。二重化した送信用の共有メモリを「第三のBCM共有メモリ122s(第一の送信用メモリの一例)」「第四のBCM共有メモリ123s(第二の送信用メモリの一例)」と呼ぶ。二重化した確認用の共有メモリを「第五のBCM共有メモリ122c(第一の確認用メモリの一例)」「第六のBCM共有メモリ123c(第二の確認用メモリの一例)」と呼ぶ。また、二重化した演算ブロックを「第一の演算ブロック124(第一の制御用判定部、第一の制御用演算部、第一の確認用判定部の一例)」「第二の演算ブロック125(第二の制御用判定部、第二の制御用演算部、第二の確認用判定部の一例)」と呼ぶ。
BCM120の各構成の機能および動作については後述する。
出力用DHM130は、BCM120から送信される制御データを受信し、受信した制御データに基づいて制御対象の出力デバイスを制御する伝送装置である。
また、出力用DHM130は、BCM120から多重伝送される各制御データを受信し、受信した各制御データに基づいて制御対象の出力デバイスを制御する多重伝送装置である。
図1において、アクチュエータ103は多重伝送された各制御データに基づいて制御される制御対象の出力デバイスの一例である。
また、出力用DHM130は、BCM120から多重伝送される各制御データを受信し、受信した各制御データに基づいて制御対象の出力デバイスを制御する多重伝送装置である。
図1において、アクチュエータ103は多重伝送された各制御データに基づいて制御される制御対象の出力デバイスの一例である。
出力用DHM130は出力用NW制御ブロック131(出力用受信部の一例)と出力用共有メモリと出力制御ブロックと突合せ回路136(突合せ回路の一例)とを備え、出力用共有メモリおよび出力制御ブロックは二重化されている。
以下、二重化した出力用共有メモリを「第一の出力用共有メモリ132(第一の出力用メモリの一例)」「第二の出力用共有メモリ133(第二の出力用メモリの一例)」と呼ぶ。また、二重化した出力制御ブロックを「第一の出力制御ブロック134(第一の出力用判定部、第一の出力用演算部の一例)」「第二の出力制御ブロック135(第二の出力用判定部、第二の出力用演算部の一例)」と呼ぶ。
出力用DHM130の各構成の機能および動作については後述する。
以下、二重化した出力用共有メモリを「第一の出力用共有メモリ132(第一の出力用メモリの一例)」「第二の出力用共有メモリ133(第二の出力用メモリの一例)」と呼ぶ。また、二重化した出力制御ブロックを「第一の出力制御ブロック134(第一の出力用判定部、第一の出力用演算部の一例)」「第二の出力制御ブロック135(第二の出力用判定部、第二の出力用演算部の一例)」と呼ぶ。
出力用DHM130の各構成の機能および動作については後述する。
確認用DHM140は、出力用DHM130から制御対象の出力デバイスへ出力される制御データと制御対象の出力デバイスの動作状態を示す状態データとを入力し、入力した制御データと状態データとをBCM120へ伝送する伝送装置である。
確認用DHM140は、確認用入力制御ブロック141(フィードバック用伝送装置の一例)と確認用共有メモリ142(フィードバック用メモリの一例)と確認用NW制御ブロック143(フィードバック用送信部の一例)とを備える。
確認用DHM140の各構成の機能および動作については後述する。
確認用DHM140の各構成の機能および動作については後述する。
エラー表示器109は、入力用DHM110、BCM120および出力用DHM130の通信エラー、または出力デバイスの制御エラーを運転者に知らせる装置である。
計器類を含んだインストルメントパネル、またはカーナビゲーションシステムはエラー表示器109の一例である。
計器類を含んだインストルメントパネル、またはカーナビゲーションシステムはエラー表示器109の一例である。
車載通信システム100の各構成は、論理的(ソフトウェア的)または物理的(ハードウェア的)に分離されている。
実施の形態において構成図またはフローチャートに含まれる矢印は主にデータや信号の入出力を示す。
入力用DHM110、BCM120および出力用DHM130の「〜ブロック」として説明するものは「〜回路」「〜装置」「〜機器」であってもよく、また「〜部」「〜処理」「〜ステップ」であってもよい。
つまり、入力用DHM110、BCM120および出力用DHM130は、ハードウェア、ソフトウェア(プログラム)、ファームウェアまたはこれらの組み合わせのいずれで実装されても構わない。
入力用DHM110、BCM120および出力用DHM130の「〜ブロック」として説明するものは「〜回路」「〜装置」「〜機器」であってもよく、また「〜部」「〜処理」「〜ステップ」であってもよい。
つまり、入力用DHM110、BCM120および出力用DHM130は、ハードウェア、ソフトウェア(プログラム)、ファームウェアまたはこれらの組み合わせのいずれで実装されても構わない。
図2から図7は、実施の形態1における車載通信システム100の車載通信方法を示すフローチャートである。
実施の形態1における車載通信システム100の車載通信方法について、図2から図7に基づいて説明する。
実施の形態1における車載通信システム100の車載通信方法について、図2から図7に基づいて説明する。
以下、車載通信システム100の車載通信方法の説明において、「入力デバイス」は多重通信の対象となる入力デバイスを意味し、「出力デバイス」は入力デバイスから出力されるデバイスデータに基づいて制御される制御対象の出力デバイスを意味する。
車載通信システム100の車載通信方法について図2から説明を始める。
S101において、入力デバイスはデバイスデータを入力用DHM110へ出力する。
例えば、2つの接点を有するプッシュ・スイッチ(図1のスイッチ102)が入力デバイスとして機能する。スイッチ102が押されている間、スイッチ102はLowの信号値をデバイスデータとして出力する。また、スイッチ102が押されていないとき、スイッチ102はHighの信号値をデバイスデータとして出力する。
また、デバイスデータは入力用DHM110によってプルアップ処理される。つまり、スイッチ102と入力用DHM110とを接続する信号線が断線している場合、プルアップ処理によって、入力用DHM110にはHighの信号値を示すデバイスデータが入力される。
S101の後、処理はS111およびS121に進む。
以下、S111からS116およびS121からS126は、入力用DHM110の構成によって実行される。
例えば、2つの接点を有するプッシュ・スイッチ(図1のスイッチ102)が入力デバイスとして機能する。スイッチ102が押されている間、スイッチ102はLowの信号値をデバイスデータとして出力する。また、スイッチ102が押されていないとき、スイッチ102はHighの信号値をデバイスデータとして出力する。
また、デバイスデータは入力用DHM110によってプルアップ処理される。つまり、スイッチ102と入力用DHM110とを接続する信号線が断線している場合、プルアップ処理によって、入力用DHM110にはHighの信号値を示すデバイスデータが入力される。
S101の後、処理はS111およびS121に進む。
以下、S111からS116およびS121からS126は、入力用DHM110の構成によって実行される。
S111において、第一の入力制御ブロック111は、入力デバイスが接続される入力ポートに一定周期でアクセスし、S101で出力されたデバイスデータを入力する。
一定周期とは、システム全体のリアルタイム性を損なわないレベルの周期である。運転者の操作を伴う場合、運転者によって入力デバイスの操作が行われてから出力デバイスが制御されるまで、100ミリ秒程度の遅延が許容される。したがって、10ミリ秒程度の周期であれば、一定周期として十分なレベルである。以下で述べる一定周期についても同様である。
S111の後、処理はS112に進む。
一定周期とは、システム全体のリアルタイム性を損なわないレベルの周期である。運転者の操作を伴う場合、運転者によって入力デバイスの操作が行われてから出力デバイスが制御されるまで、100ミリ秒程度の遅延が許容される。したがって、10ミリ秒程度の周期であれば、一定周期として十分なレベルである。以下で述べる一定周期についても同様である。
S111の後、処理はS112に進む。
S112において、第一の入力制御ブロック111は、S111で入力したデバイスデータに基づいて、通信結果を確認するための安全通信データを生成する。
安全通信データとは、通信障害の有無を検査するためのデータである。通信データの順番を示すシーケンス番号、またはCRCコード(CRC:Cyclic Redundancy Check)などの誤り検出符号は、安全通信データの一例である。
以下、安全通信データに基づいて通信障害の有無を検査する機能を「安全通信機能」という。AUTOSARの“End−to−End Communication Protection”は、安全通信機能に関する規格の一例である。以下で述べる安全通信データおよび安全通信機能についても同様である。
S112の後、処理はS113に進む。
安全通信データとは、通信障害の有無を検査するためのデータである。通信データの順番を示すシーケンス番号、またはCRCコード(CRC:Cyclic Redundancy Check)などの誤り検出符号は、安全通信データの一例である。
以下、安全通信データに基づいて通信障害の有無を検査する機能を「安全通信機能」という。AUTOSARの“End−to−End Communication Protection”は、安全通信機能に関する規格の一例である。以下で述べる安全通信データおよび安全通信機能についても同様である。
S112の後、処理はS113に進む。
S113において、第一の入力制御ブロック111は、S111で入力したデバイスデータとS112で生成した安全通信データとを第一の入力用共有メモリ113に書き込む。データの「書き込み」はデータの「記憶」と読み替えてもよい(以下同様)。
S113の後、処理はS114に進む。
S113の後、処理はS114に進む。
S114において、入力用NW制御ブロック115は、第一の入力用共有メモリ113に一定周期でアクセスし、第一の入力用共有メモリ113からデバイスデータと安全通信データとを読み出す。データの「読み出し」はデータの「取得」と読み替えてもよい(以下同様)。
S115において、入力用NW制御ブロック115は、S114で読み出したデバイスデータと安全通信データとを含めて、CAN101用のフレームを生成する。フレームは、ネットワークを介して通信するために所定のフォーマットで生成されるデータである(以下同様)。以下、S115で生成したフレームを「第一のデータ用フレーム」という。
S116において、入力用NW制御ブロック115は、S115で生成した第一のデータ用フレームをCAN101を介してBCM120へ送信する。
S116の後、処理はS211(図3参照)に進む。
S115において、入力用NW制御ブロック115は、S114で読み出したデバイスデータと安全通信データとを含めて、CAN101用のフレームを生成する。フレームは、ネットワークを介して通信するために所定のフォーマットで生成されるデータである(以下同様)。以下、S115で生成したフレームを「第一のデータ用フレーム」という。
S116において、入力用NW制御ブロック115は、S115で生成した第一のデータ用フレームをCAN101を介してBCM120へ送信する。
S116の後、処理はS211(図3参照)に進む。
S121からS126において、第二の入力制御ブロック112および入力用NW制御ブロック115は、第二の入力用共有メモリ114を用いて、S111からS116と同様に動作する。
つまり、第二の入力制御ブロック112はデバイスデータを入力し(S121)、安全通信データを生成し(S122)、デバイスデータと安全通信データとを第二の入力用共有メモリ114に書き込む(S123)。
また、入力用NW制御ブロック115は第二の入力用共有メモリ114からデバイスデータと安全通信データとを読み出し(S124)、デバイスデータと安全通信データとを含む第二のデータ用フレームを生成し(S125)、第二のデータ用フレームをBCM120へ送信する(S126)。S126の後、処理はS221に進む。
つまり、第二の入力制御ブロック112はデバイスデータを入力し(S121)、安全通信データを生成し(S122)、デバイスデータと安全通信データとを第二の入力用共有メモリ114に書き込む(S123)。
また、入力用NW制御ブロック115は第二の入力用共有メモリ114からデバイスデータと安全通信データとを読み出し(S124)、デバイスデータと安全通信データとを含む第二のデータ用フレームを生成し(S125)、第二のデータ用フレームをBCM120へ送信する(S126)。S126の後、処理はS221に進む。
S211およびS221以降の処理について図3に基づいて説明する。
図3において、S211からS215およびS221からS225は、BCM120の構成によって実行される。
図3において、S211からS215およびS221からS225は、BCM120の構成によって実行される。
S211において、BCM_NW制御ブロック121は、入力用DHM110から送信される第一のデータ用フレームを受信する。
S211の後、処理はS212に進む。
S211の後、処理はS212に進む。
S212において、BCM_NW制御ブロック121は、S211で受信した第一のデータ用フレームを第一のBCM共有メモリ122rに書き込む。
例えば、第一・第二の各データ用フレームは第一のデータ用フレームと第二のデータ用フレームとを識別する識別子(IPアドレス、識別番号など)を含み、BCM_NW制御ブロック121はこの識別子に基づいて第一のデータ用フレームと第二のデータ用フレームとを区別する。
S212の後、処理はS213に進む。
例えば、第一・第二の各データ用フレームは第一のデータ用フレームと第二のデータ用フレームとを識別する識別子(IPアドレス、識別番号など)を含み、BCM_NW制御ブロック121はこの識別子に基づいて第一のデータ用フレームと第二のデータ用フレームとを区別する。
S212の後、処理はS213に進む。
S213において、第一の演算ブロック124は、第一のBCM共有メモリ122rに一定周期でアクセスし、第一のBCM共有メモリ122rから第一のデータ用フレームを読み出す。
S213の後、処理はS214に進む。
S213の後、処理はS214に進む。
S214において、第一の演算ブロック124は、安全通信機能により、第一のデータ用フレームの通信の際に通信異常が発生したか否かを判定する。
例えば、第一の演算ブロック124は、第一のデータ用フレームに含まれる安全通信データが示すシーケンス番号またはCRCコードをチェックする。そして、安全通信データが正しい値でない場合、第一の演算ブロック124は通信異常が発生したと判定する。以降で述べる安全通信機能についても同様である。
通信異常が発生したと判定した場合(YES)、処理はS215に進む。
通信異常が発生しなかったと判定した場合(NO)、処理はS231(図4参照)に進む。
例えば、第一の演算ブロック124は、第一のデータ用フレームに含まれる安全通信データが示すシーケンス番号またはCRCコードをチェックする。そして、安全通信データが正しい値でない場合、第一の演算ブロック124は通信異常が発生したと判定する。以降で述べる安全通信機能についても同様である。
通信異常が発生したと判定した場合(YES)、処理はS215に進む。
通信異常が発生しなかったと判定した場合(NO)、処理はS231(図4参照)に進む。
S215において、第一の演算ブロック124は、車載通信のエラーが発生したことを通知するためのエラー通知データをエラー表示器109に入力する。
例えば、エラー表示器109として機能するインストルメントパネルまたはカーナビゲーションシステムは、エラー通知データが入力された際に以下のように動作する。
インストルメントパネルは、エラー表示用のランプを点滅させる。
カーナビゲーションシステムは、エラーメッセージをディスプレイに表示し、または、エラーメッセージを音声出力する。
S215の後、処理はS231(図4参照)に進む。
例えば、エラー表示器109として機能するインストルメントパネルまたはカーナビゲーションシステムは、エラー通知データが入力された際に以下のように動作する。
インストルメントパネルは、エラー表示用のランプを点滅させる。
カーナビゲーションシステムは、エラーメッセージをディスプレイに表示し、または、エラーメッセージを音声出力する。
S215の後、処理はS231(図4参照)に進む。
S221からS225において、BCM_NW制御ブロック121および第二の演算ブロック125は、第二のBCM共有メモリ123rを用いて、S211からS215と同様に動作する。
つまり、BCM_NW制御ブロック121は第二のデータ用フレームを受信し(S221)、第二のデータ用フレームを第二のBCM共有メモリ123rに書き込む(S222)。
また、第二の演算ブロック125は第二のBCM共有メモリ123rから第二のデータ用フレームを読み出し(S223)、通信異常の発生の有無を判定する(S224)。通信異常が発生したと判定した場合、第二の演算ブロック125はエラー表示器109にエラーを通知する(S225)。
S224で通信異常が発生しなかったと判定された場合又はS225の後、処理はS241に進む。
つまり、BCM_NW制御ブロック121は第二のデータ用フレームを受信し(S221)、第二のデータ用フレームを第二のBCM共有メモリ123rに書き込む(S222)。
また、第二の演算ブロック125は第二のBCM共有メモリ123rから第二のデータ用フレームを読み出し(S223)、通信異常の発生の有無を判定する(S224)。通信異常が発生したと判定した場合、第二の演算ブロック125はエラー表示器109にエラーを通知する(S225)。
S224で通信異常が発生しなかったと判定された場合又はS225の後、処理はS241に進む。
S231およびS241以降の処理について図4に基づいて説明する。
図4において、S231からS236およびS241からS246は、BCM120の構成によって実行される。
図4において、S231からS236およびS241からS246は、BCM120の構成によって実行される。
S231において、第一の演算ブロック124は、S214で通信異常が発生したと判定した場合、フェールセーフ用の制御を指定する制御データを生成する。
フェールセーフ用の制御とは、障害が発生したときに安全な動作を行わせる制御である。フェールセーフ用の制御は、出力デバイス毎に予め定めておく。例えば、第一の演算ブロック124は、出力デバイスを停止するためにLowの信号値を示す制御データを生成する。以降で述べるフェールセーフ用の制御についても同様である。
S214で通信異常が発生しなかったと判定した場合、第一の演算ブロック124は、第一のデータ用フレームに含まれるデバイスデータに基づいて、デバイスデータの値に応じた制御(以下、「通常制御」という)を指定する制御データを生成する。
例えば、第一の演算ブロック124は、スイッチ102(入力デバイスの一例)の操作に応じてアクチュエータ103(出力デバイスの一例)を動作させるため、デバイスデータの値を制御データとして用いる。また例えば、第一の演算ブロック124は、モータをON/OFFするためのデータ、または車内の照明の明るさを調整するためのPWM(Pulse Width Modulation)のデータを制御データとして生成する。以降で述べるデバイスデータの値に応じた制御についても同様である。
S231の後、処理はS232に進む。
フェールセーフ用の制御とは、障害が発生したときに安全な動作を行わせる制御である。フェールセーフ用の制御は、出力デバイス毎に予め定めておく。例えば、第一の演算ブロック124は、出力デバイスを停止するためにLowの信号値を示す制御データを生成する。以降で述べるフェールセーフ用の制御についても同様である。
S214で通信異常が発生しなかったと判定した場合、第一の演算ブロック124は、第一のデータ用フレームに含まれるデバイスデータに基づいて、デバイスデータの値に応じた制御(以下、「通常制御」という)を指定する制御データを生成する。
例えば、第一の演算ブロック124は、スイッチ102(入力デバイスの一例)の操作に応じてアクチュエータ103(出力デバイスの一例)を動作させるため、デバイスデータの値を制御データとして用いる。また例えば、第一の演算ブロック124は、モータをON/OFFするためのデータ、または車内の照明の明るさを調整するためのPWM(Pulse Width Modulation)のデータを制御データとして生成する。以降で述べるデバイスデータの値に応じた制御についても同様である。
S231の後、処理はS232に進む。
S232において、第一の演算ブロック124は、S231で生成した制御データに基づいて安全通信データを生成する。
S233において、第一の演算ブロック124は、S231で生成した制御データとS232で生成した安全通信データとを第三のBCM共有メモリ122sに書き込む。
S233の後、処理はS234に進む。
S233において、第一の演算ブロック124は、S231で生成した制御データとS232で生成した安全通信データとを第三のBCM共有メモリ122sに書き込む。
S233の後、処理はS234に進む。
S234において、BCM_NW制御ブロック121は、第三のBCM共有メモリ122sから制御データと安全通信データとを読み出す。
S235において、BCM_NW制御ブロック121は、S234で読み出した制御データと安全通信データとを含めて、CAN101用のフレームを生成する。以下、S235で生成したフレームを「第一の制御用フレーム」という。
S236において、BCM_NW制御ブロック121は、S235で生成した第一の制御用フレームをCAN101を介して出力用DHM130へ送信する。
S236の後、処理はS311(図5参照)に進む。
S235において、BCM_NW制御ブロック121は、S234で読み出した制御データと安全通信データとを含めて、CAN101用のフレームを生成する。以下、S235で生成したフレームを「第一の制御用フレーム」という。
S236において、BCM_NW制御ブロック121は、S235で生成した第一の制御用フレームをCAN101を介して出力用DHM130へ送信する。
S236の後、処理はS311(図5参照)に進む。
S241からS246において、第二の演算ブロック125およびBCM_NW制御ブロック121は、第四のBCM共有メモリ123sを用いて、S231からS236と同様に動作する。
つまり、第二の演算ブロック125はS224の判定結果または第二のデータ用フレームに含まれるデバイスデータに基づいて制御データを生成し(S241)、安全通信データを生成し(S242)、制御データと安全通信データとを第四のBCM共有メモリ123sに書き込む(S243)。
また、BCM_NW制御ブロック121は第四のBCM共有メモリ123sから制御データと安全通信データとを読み出し(S244)、制御データと安全通信データとを含む第二の制御用フレームを生成し(S245)、第二の制御用フレームをBCM120へ送信する(S246)。S246の後、処理はS321(図5参照)に進む。
つまり、第二の演算ブロック125はS224の判定結果または第二のデータ用フレームに含まれるデバイスデータに基づいて制御データを生成し(S241)、安全通信データを生成し(S242)、制御データと安全通信データとを第四のBCM共有メモリ123sに書き込む(S243)。
また、BCM_NW制御ブロック121は第四のBCM共有メモリ123sから制御データと安全通信データとを読み出し(S244)、制御データと安全通信データとを含む第二の制御用フレームを生成し(S245)、第二の制御用フレームをBCM120へ送信する(S246)。S246の後、処理はS321(図5参照)に進む。
S311およびS321以降の処理について図5に基づいて説明する。
図5において、S311からS315、S321からS325およびS330は、出力用DHM130の構成によって実行される。
図5において、S311からS315、S321からS325およびS330は、出力用DHM130の構成によって実行される。
S311において、出力用NW制御ブロック131は、BCM120から送信された第一の制御用フレームを受信する。
S312において、出力用NW制御ブロック131は、S311で受信した第一の制御用フレームを第一の出力用共有メモリ132に書き込む。
例えば、第一・第二の各制御用フレームは第一の制御用フレームと第二の制御用フレームとを識別する識別子を含み、出力用NW制御ブロック131はこの識別子に基づいて第一の制御用フレームと第二の制御用フレームとを区別する。
S312の後、処理はS313に進む。
S312において、出力用NW制御ブロック131は、S311で受信した第一の制御用フレームを第一の出力用共有メモリ132に書き込む。
例えば、第一・第二の各制御用フレームは第一の制御用フレームと第二の制御用フレームとを識別する識別子を含み、出力用NW制御ブロック131はこの識別子に基づいて第一の制御用フレームと第二の制御用フレームとを区別する。
S312の後、処理はS313に進む。
S313において、第一の出力制御ブロック134は、第一の出力用共有メモリ132に一定周期でアクセスし、第一の出力用共有メモリ132から第一の制御用フレームを読み出す。
S313の後、処理はS314に進む。
S313の後、処理はS314に進む。
S314において、第一の出力制御ブロック134は、安全通信機能により、第一の制御用フレームの通信の際に通信異常が発生したか否かを判定する。
S314の後、処理はS315に進む。
S314の後、処理はS315に進む。
S315において、第一の出力制御ブロック134は、S314で通信異常が発生したと判定した場合、フェールセーフ用の制御を指定する制御データを生成し、生成した制御データを突合せ回路136に入力する。
S314で通信異常が発生しなかったと判定した場合、第一の出力制御ブロック134は、第一の制御用フレームに含まれる制御データを突合せ回路136に入力する。
以下、S315で突合せ回路136に出力する制御データを「第一の制御出力データ」という。
S315の後、処理はS330に進む。
S314で通信異常が発生しなかったと判定した場合、第一の出力制御ブロック134は、第一の制御用フレームに含まれる制御データを突合せ回路136に入力する。
以下、S315で突合せ回路136に出力する制御データを「第一の制御出力データ」という。
S315の後、処理はS330に進む。
S321からS325において、出力用NW制御ブロック131および第二の出力制御ブロック135は、第二の出力用共有メモリ133を用いて、S311からS315と同様に動作する。
つまり、出力用NW制御ブロック131は第二の制御用フレームを受信し(S321)、第二の制御用フレームを第二の出力用共有メモリ133に書き込む(S322)。
また、第二の出力制御ブロック135は第二の出力用共有メモリ133から第二の制御用フレームを読み出し(S323)、通信異常の発生の有無を判定し(S324)、判定結果または第二の制御用フレームに含まれる制御データに基づいて第二の制御出力データを突合せ回路136に入力する(S325)。S325の後、処理はS330に進む。
つまり、出力用NW制御ブロック131は第二の制御用フレームを受信し(S321)、第二の制御用フレームを第二の出力用共有メモリ133に書き込む(S322)。
また、第二の出力制御ブロック135は第二の出力用共有メモリ133から第二の制御用フレームを読み出し(S323)、通信異常の発生の有無を判定し(S324)、判定結果または第二の制御用フレームに含まれる制御データに基づいて第二の制御出力データを突合せ回路136に入力する(S325)。S325の後、処理はS330に進む。
S330において、突合せ回路136は、S315で入力された第一の制御出力データとS325で入力された第二の制御出力データとに基づいて、出力デバイスを制御するためのデバイス制御データを出力デバイスに入力する。
例えば、突合せ回路136は、以下のようなデバイス制御データを出力デバイスに入力する。
第一の制御出力データと第二の制御出力データとの両方が同じ値を示す場合、突合せ回路136は、その値をデバイス制御データとして出力デバイスに入力する。
第一の制御出力データと第二の制御出力データとが互いに異なる値を示す場合、突合せ回路136は、フェールセーフ用の制御を示すデバイス制御データを出力デバイスに入力する。
これにより、二重化された通信の少なくとも一方の系で異常が発生した場合、突合せ回路136はフェールセーフ用の動作を出力デバイスに行わせることができる。
例えば、突合せ回路136は、単純なNOR回路で構成することができる。
S330の後、処理はS340に進む。
例えば、突合せ回路136は、以下のようなデバイス制御データを出力デバイスに入力する。
第一の制御出力データと第二の制御出力データとの両方が同じ値を示す場合、突合せ回路136は、その値をデバイス制御データとして出力デバイスに入力する。
第一の制御出力データと第二の制御出力データとが互いに異なる値を示す場合、突合せ回路136は、フェールセーフ用の制御を示すデバイス制御データを出力デバイスに入力する。
これにより、二重化された通信の少なくとも一方の系で異常が発生した場合、突合せ回路136はフェールセーフ用の動作を出力デバイスに行わせることができる。
例えば、突合せ回路136は、単純なNOR回路で構成することができる。
S330の後、処理はS340に進む。
S340において、出力デバイスは、S330で入力されたデバイス制御データに従って動作する。
例えば、デバイス制御データが動作の実行を指示する値である場合、出力デバイスとして機能するアクチュエータ103は動作を実行する。つまり、モータなどの所定のデバイスをアクチュエータ103が動作させる。
また、デバイス制御データが動作の停止を指示する値である場合、出力デバイスとして機能するアクチュエータ103は動作を停止する。つまり、モータなどの所定のデバイスをアクチュエータ103が停止させる。
S340の後、処理はS411(図6参照)に進む。
例えば、デバイス制御データが動作の実行を指示する値である場合、出力デバイスとして機能するアクチュエータ103は動作を実行する。つまり、モータなどの所定のデバイスをアクチュエータ103が動作させる。
また、デバイス制御データが動作の停止を指示する値である場合、出力デバイスとして機能するアクチュエータ103は動作を停止する。つまり、モータなどの所定のデバイスをアクチュエータ103が停止させる。
S340の後、処理はS411(図6参照)に進む。
S411以降の処理について図6に基づいて説明する。
図6において、S411からS416は、確認用DHM140の構成によって実行される。
図6において、S411からS416は、確認用DHM140の構成によって実行される。
S411において、確認用入力制御ブロック141は、S330で突合せ回路136から出力されて出力デバイスに入力されるデバイス制御データを入力する。
また、確認用入力制御ブロック141は、S340でデバイス制御データに従って動作するアクチュエータ103に対してアクチュエータ103の動作状態を示すデバイス状態データを要求し、アクチュエータ103からデバイス状態データを入力する。
但し、確認用入力制御ブロック141は、デバイス制御データとデバイス状態データとのいずれか一方を入力してもよい。
以下、S411で入力したデバイス制御データおよびデバイス状態データを「フィードバックデータ」という。
S411の後、処理はS412に進む。
また、確認用入力制御ブロック141は、S340でデバイス制御データに従って動作するアクチュエータ103に対してアクチュエータ103の動作状態を示すデバイス状態データを要求し、アクチュエータ103からデバイス状態データを入力する。
但し、確認用入力制御ブロック141は、デバイス制御データとデバイス状態データとのいずれか一方を入力してもよい。
以下、S411で入力したデバイス制御データおよびデバイス状態データを「フィードバックデータ」という。
S411の後、処理はS412に進む。
S412において、確認用入力制御ブロック141は、S411で入力したフィードバックデータに基づいて安全通信データを生成する。
S413において、確認用入力制御ブロック141は、S411で入力したフィードバックデータとS412で生成した安全通信データとを確認用共有メモリ142に書き込む。
S413の後、処理はS414に進む。
S413において、確認用入力制御ブロック141は、S411で入力したフィードバックデータとS412で生成した安全通信データとを確認用共有メモリ142に書き込む。
S413の後、処理はS414に進む。
S414において、確認用NW制御ブロック143は、一定周期で確認用共有メモリ142にアクセスし、確認用共有メモリ142からフィードバックデータと安全通信データとを読み出す。
S415において、確認用NW制御ブロック143は、S414で読み出したフィードバックデータと安全通信データとを含めて、CAN101用のフレームを生成する。以下、S415で生成したフレームを「確認用フレーム」という。
S416において、確認用NW制御ブロック143は、S415で生成した確認用フレームをCAN101を介してBCM120へ送信する。例えば、確認用NW制御ブロック143は、確認用フレームをBCM120の第五のBCM共有メモリ122cおよび第六のBCM共有メモリ123cに記憶させるため、確認用フレームをマルチキャストで送信する。但し、確認用NW制御ブロック143は、第五のBCM共有メモリ122cに記憶させる第一の確認用フレームと第六のBCM共有メモリ123cに記憶させる第二の確認用フレームとをユニキャストで送信しても構わない。
S416の後、処理はS511(図7参照)に進む。
S415において、確認用NW制御ブロック143は、S414で読み出したフィードバックデータと安全通信データとを含めて、CAN101用のフレームを生成する。以下、S415で生成したフレームを「確認用フレーム」という。
S416において、確認用NW制御ブロック143は、S415で生成した確認用フレームをCAN101を介してBCM120へ送信する。例えば、確認用NW制御ブロック143は、確認用フレームをBCM120の第五のBCM共有メモリ122cおよび第六のBCM共有メモリ123cに記憶させるため、確認用フレームをマルチキャストで送信する。但し、確認用NW制御ブロック143は、第五のBCM共有メモリ122cに記憶させる第一の確認用フレームと第六のBCM共有メモリ123cに記憶させる第二の確認用フレームとをユニキャストで送信しても構わない。
S416の後、処理はS511(図7参照)に進む。
S511以降の処理について図7に基づいて説明する。
図7において、S511からS533は、BCM120の構成によって実行される。
図7において、S511からS533は、BCM120の構成によって実行される。
S511において、BCM_NW制御ブロック121は、確認用DHM140から送信される確認用フレームを受信する。
S512において、BCM_NW制御ブロック121は、S511で受信した確認用フレームを第五のBCM共有メモリ122cと第六のBCM共有メモリ123cとに書き込む。
S512の後、処理はS521およびS531に進む。
S512において、BCM_NW制御ブロック121は、S511で受信した確認用フレームを第五のBCM共有メモリ122cと第六のBCM共有メモリ123cとに書き込む。
S512の後、処理はS521およびS531に進む。
S521において、第一の演算ブロック124は、一定周期で第五のBCM共有メモリ122cにアクセスし、第五のBCM共有メモリ122cから確認用フレームを読み出す。
S521の後、処理はS522に進む。
S521の後、処理はS522に進む。
S522において、第一の演算ブロック124は、S521で第五のBCM共有メモリ122cから読み出した確認用フレームに含まれるフィードバックデータとS233(図4参照)で第三のBCM共有メモリ122sに書き込んだ制御データとを比較する。そして、第一の演算ブロック124は、比較結果に基づいて、出力デバイスが正しく制御されているか否かを判定する。
例えば、デバイス制御データ(フィードバックデータの一例)と制御データとが同じであり、且つ、デバイス状態データ(フィードバックデータの一例)が示す動作と制御データに対応する動作とが同じである場合、第一の演算ブロック124は、出力デバイスが正しく制御されていると判定する。それ以外の場合、第一の演算ブロック124は、出力デバイスが正しく制御されていないと判定する。
出力デバイスが正しく制御されていると判定した場合(YES)、車載通信方法の一連の処理が終了する。
出力デバイスが正しく制御されていないと判定した場合(NO)、処理はS523に進む。
例えば、デバイス制御データ(フィードバックデータの一例)と制御データとが同じであり、且つ、デバイス状態データ(フィードバックデータの一例)が示す動作と制御データに対応する動作とが同じである場合、第一の演算ブロック124は、出力デバイスが正しく制御されていると判定する。それ以外の場合、第一の演算ブロック124は、出力デバイスが正しく制御されていないと判定する。
出力デバイスが正しく制御されていると判定した場合(YES)、車載通信方法の一連の処理が終了する。
出力デバイスが正しく制御されていないと判定した場合(NO)、処理はS523に進む。
S523において、第一の演算ブロック124は、出力デバイスの制御エラーが発生したことを通知するためのエラー通知データをエラー表示器109に入力する。
エラー表示器109の動作は、S215(図3参照)と同様である。
S523により、車載通信方法の一連の処理が終了する。
エラー表示器109の動作は、S215(図3参照)と同様である。
S523により、車載通信方法の一連の処理が終了する。
S531からS533において、第二の演算ブロック125は、第六のBCM共有メモリ123cを用いて、S521からS523と同様に動作する。
つまり、第二の演算ブロック125は第六のBCM共有メモリ123cから確認用フレームを読み出し(S531)、確認用フレームに含まれるデバイス制御データとS243の制御データとを比較して出力デバイスが正しく制御されているか否かを判定する(S532)。そして、出力デバイスが正しく制御されていないと判定した場合、第二の演算ブロック125はエラー表示器109にエラーを通知する(S533)。
図2から図7に基づいて説明した車載通信方法は繰り返し実行される。
実施の形態1により、車載通信システム100は、故障もしくは誤動作による単一障害が発生しても、フェールセーフ制御によって高い安全性を確保することができる。
つまり、車載通信システム100は、原理的に回避不可能な突合せ回路136または出力デバイスの障害を除いて、いずれの構成要素で障害が発生しても出力デバイスをフェールセーフ制御することができる。
つまり、車載通信システム100は、原理的に回避不可能な突合せ回路136または出力デバイスの障害を除いて、いずれの構成要素で障害が発生しても出力デバイスをフェールセーフ制御することができる。
実施の形態1において、入力用DHM110、BCM120または出力用DHM130の入力、演算または出力用の制御ブロックおよびメモリを二重化する形態について説明した。但し、これらの構成を三重化以上で多重化しても構わない。また、二重化されている構成の少なくともいずれかを多重化せずに1つのブロックまたはメモリで構成しても構わない。
また、入力用DHM110、BCM120または出力用DHM130の各NW制御ブロックを多重化しても構わない。
さらに、確認用DHM140の各構成を多重化しても構わない。但し、確認用DHM140は出力デバイスが制御された後に出力デバイスが正しく制御されているか否かを確認するための構成であるため、確認用DHM140の各構成を二重化しなくても安全性に影響はないものと考えられる。
また、入力用DHM110、BCM120または出力用DHM130の各NW制御ブロックを多重化しても構わない。
さらに、確認用DHM140の各構成を多重化しても構わない。但し、確認用DHM140は出力デバイスが制御された後に出力デバイスが正しく制御されているか否かを確認するための構成であるため、確認用DHM140の各構成を二重化しなくても安全性に影響はないものと考えられる。
図8は、実施の形態1における車載通信システム100の構成の一例を示す図である。
図8に示すDHM150は、入力用DHM110、出力用DHM130および確認用DHM140を一つにまとめた装置である。但し、第一の入力制御ブロック111および第一の入力用共有メモリ113は、確認用入力制御ブロック141および確認用共有メモリ142の機能も備える。
車載通信システム100は、図8に示すように、入力用DHM110、出力用DHM130および確認用DHM140を一つのDHM150で構成しても構わない。
また、入力用DHM110、BCM120、出力用DHM130および確認用DHM140のいずれかの組み合わせを一つの装置で構成しても構わない。
図8に示すDHM150は、入力用DHM110、出力用DHM130および確認用DHM140を一つにまとめた装置である。但し、第一の入力制御ブロック111および第一の入力用共有メモリ113は、確認用入力制御ブロック141および確認用共有メモリ142の機能も備える。
車載通信システム100は、図8に示すように、入力用DHM110、出力用DHM130および確認用DHM140を一つのDHM150で構成しても構わない。
また、入力用DHM110、BCM120、出力用DHM130および確認用DHM140のいずれかの組み合わせを一つの装置で構成しても構わない。
実施の形態1において、例えば、以下のような車載通信システム(車載通信システム100)について説明した。実施の形態1で説明した構成のうち対応する構成の符号および名称を括弧内に記す。
車載通信システム100は、入力用伝送装置(入力用DHM110)と制御装置(BCM120)と出力用伝送装置(出力用DHM130)とを備える。
前記入力用伝送装置は、第一のデバイスデータ入力部(第一の入力制御ブロック111)と、第二のデバイスデータ入力部(第二の入力制御ブロック112)と、入力用送信部(入力用NW制御ブロック115)とを備える。
第一のデバイスデータ入力部は、入力元のデバイスとして前記車両に搭載されるデバイス(入力デバイス)から出力されるデータを第一のデバイスデータとして入力する。
第二のデバイスデータ入力部は、前記入力元のデバイスから出力される前記データを第二のデバイスデータとして入力する。
入力用送信部は、前記第一のデバイスデータ入力部が入力した前記第一のデバイスデータと通信結果を判定するための第一の入力用安全通信データとを含む第一の入力用伝送データ(第一のデータ用フレーム)を生成する。入力用送信部は、前記第二のデバイスデータ入力部が入力した前記第二のデバイスデータと通信結果を判定するための第二の入力用安全通信データとを含む第二の入力用伝送データ(第二のデータ用フレーム)を生成する。入力用送信部は、前記第一の入力用伝送データと前記第二の入力用伝送データとを前記制御装置へ送信する。
前記制御装置は、制御用受信部(BCM_NW制御ブロック121)と、第一の制御用判定部(第一の演算ブロック124)と、第一の制御用演算部(第一の演算ブロック124)と、第二の制御用判定部(第二の演算ブロック125)と、第二の制御用演算部(第二の演算ブロック125)と、制御用送信部(BCM_NW制御ブロック121)とを備える。
制御用受信部は、前記入力用伝送装置から送信される前記第一の入力用伝送データと前記第二の入力用伝送データとを受信する。
第一の制御用判定部は、前記制御用受信部によって受信された前記第一の入力用伝送データに含まれる前記第一の入力用安全通信データに基づいて、前記第一の入力用伝送データに含まれる前記第一のデバイスデータの通信が正常に行われたか否かを判定する。
前記第一のデバイスデータの通信が正常に行われたと判定された場合、第一の制御用演算部は、前記第一のデバイスデータに基づいた制御を指定する第一の制御データを生成する。前記第一のデバイスデータの通信が正常に行われなかったと判定された場合、第一の制御用演算部は、予め定められるフェールセーフ用の制御を指定する第一の制御データを生成する。
第二の制御用判定部は、前記制御用受信部によって受信された前記第二の入力用伝送データに含まれる前記第二の入力用安全通信データに基づいて、前記第二の入力用伝送データに含まれる前記第二のデバイスデータの通信が正常に行われたか否かを判定する。
前記第二のデバイスデータの通信が正常に行われたと判定された場合、第二の制御用演算部は、前記第二のデバイスデータに基づいた制御を指定する第二の制御データを生成する。前記第二のデバイスデータの通信が正常に行われなかったと判定された場合、第二の制御用演算部は、前記フェールセーフ用の制御を指定する第二の制御データを生成する。
制御用送信部は、前記第一の制御用演算部によって生成された前記第一の制御データを含む第一の制御用伝送データ(第一の制御用フレーム)を生成する。制御用送信部は、前記第二の制御用演算部によって生成された前記第二の制御データを含む第二の制御用伝送データ(第二の制御用フレーム)を生成する。制御用送信部は、前記第一の制御用伝送データと前記第二の制御用伝送データとを前記出力用伝送装置へ送信する。
前記出力用伝送装置は、出力用受信部(出力用NW制御ブロック131)と、デバイス制御データ出力部(符号「132」から「136」)とを備える。
出力用受信部は、前記制御装置から送信される前記第一の制御用伝送データと前記第二の制御用伝送データとを受信する。
デバイス制御データ出力部は、前記出力用受信部によって受信された前記第一の制御用伝送データに含まれる前記第一の制御データと前記出力用受信部によって受信された前記第二の制御用伝送データに含まれる前記第二の制御データとに基づいて、前記車両に搭載される制御対象のデバイス(出力デバイス)を制御するためのデバイス制御データを出力する。
車載通信システム100は、入力用伝送装置(入力用DHM110)と制御装置(BCM120)と出力用伝送装置(出力用DHM130)とを備える。
前記入力用伝送装置は、第一のデバイスデータ入力部(第一の入力制御ブロック111)と、第二のデバイスデータ入力部(第二の入力制御ブロック112)と、入力用送信部(入力用NW制御ブロック115)とを備える。
第一のデバイスデータ入力部は、入力元のデバイスとして前記車両に搭載されるデバイス(入力デバイス)から出力されるデータを第一のデバイスデータとして入力する。
第二のデバイスデータ入力部は、前記入力元のデバイスから出力される前記データを第二のデバイスデータとして入力する。
入力用送信部は、前記第一のデバイスデータ入力部が入力した前記第一のデバイスデータと通信結果を判定するための第一の入力用安全通信データとを含む第一の入力用伝送データ(第一のデータ用フレーム)を生成する。入力用送信部は、前記第二のデバイスデータ入力部が入力した前記第二のデバイスデータと通信結果を判定するための第二の入力用安全通信データとを含む第二の入力用伝送データ(第二のデータ用フレーム)を生成する。入力用送信部は、前記第一の入力用伝送データと前記第二の入力用伝送データとを前記制御装置へ送信する。
前記制御装置は、制御用受信部(BCM_NW制御ブロック121)と、第一の制御用判定部(第一の演算ブロック124)と、第一の制御用演算部(第一の演算ブロック124)と、第二の制御用判定部(第二の演算ブロック125)と、第二の制御用演算部(第二の演算ブロック125)と、制御用送信部(BCM_NW制御ブロック121)とを備える。
制御用受信部は、前記入力用伝送装置から送信される前記第一の入力用伝送データと前記第二の入力用伝送データとを受信する。
第一の制御用判定部は、前記制御用受信部によって受信された前記第一の入力用伝送データに含まれる前記第一の入力用安全通信データに基づいて、前記第一の入力用伝送データに含まれる前記第一のデバイスデータの通信が正常に行われたか否かを判定する。
前記第一のデバイスデータの通信が正常に行われたと判定された場合、第一の制御用演算部は、前記第一のデバイスデータに基づいた制御を指定する第一の制御データを生成する。前記第一のデバイスデータの通信が正常に行われなかったと判定された場合、第一の制御用演算部は、予め定められるフェールセーフ用の制御を指定する第一の制御データを生成する。
第二の制御用判定部は、前記制御用受信部によって受信された前記第二の入力用伝送データに含まれる前記第二の入力用安全通信データに基づいて、前記第二の入力用伝送データに含まれる前記第二のデバイスデータの通信が正常に行われたか否かを判定する。
前記第二のデバイスデータの通信が正常に行われたと判定された場合、第二の制御用演算部は、前記第二のデバイスデータに基づいた制御を指定する第二の制御データを生成する。前記第二のデバイスデータの通信が正常に行われなかったと判定された場合、第二の制御用演算部は、前記フェールセーフ用の制御を指定する第二の制御データを生成する。
制御用送信部は、前記第一の制御用演算部によって生成された前記第一の制御データを含む第一の制御用伝送データ(第一の制御用フレーム)を生成する。制御用送信部は、前記第二の制御用演算部によって生成された前記第二の制御データを含む第二の制御用伝送データ(第二の制御用フレーム)を生成する。制御用送信部は、前記第一の制御用伝送データと前記第二の制御用伝送データとを前記出力用伝送装置へ送信する。
前記出力用伝送装置は、出力用受信部(出力用NW制御ブロック131)と、デバイス制御データ出力部(符号「132」から「136」)とを備える。
出力用受信部は、前記制御装置から送信される前記第一の制御用伝送データと前記第二の制御用伝送データとを受信する。
デバイス制御データ出力部は、前記出力用受信部によって受信された前記第一の制御用伝送データに含まれる前記第一の制御データと前記出力用受信部によって受信された前記第二の制御用伝送データに含まれる前記第二の制御データとに基づいて、前記車両に搭載される制御対象のデバイス(出力デバイス)を制御するためのデバイス制御データを出力する。
前記デバイス制御データ出力部は、第一の出力用判定部(第一の出力制御ブロック134)と、第一の出力用演算部(第一の出力制御ブロック134)と、第二の出力用判定部(第二の出力制御ブロック135)と、第二の出力用演算部(第二の出力制御ブロック135)と、突合せ出力部(突合せ回路136)とを備える。
第一の出力用判定部は、前記出力用受信部によって受信された前記第一の制御用伝送データに含まれる前記第一の制御用安全通信データに基づいて、前記第一の制御用伝送データに含まれる第一の制御データの通信が正常に行われたか否かを判定する。
前記第一の制御データの通信が正常に行われたと判定された場合、第一の出力用演算部は、前記第一の制御データを第一の出力データとして出力する。前記第一の制御データの通信が正常に行われなかったと判定された場合、第一の出力用演算部は、予め定められるフェールセーフ用の制御を指定する第一の出力データを出力する。
第二の出力用判定部は、前記出力用受信部によって受信された前記第二の制御用伝送データに含まれる前記第二の制御用安全通信データに基づいて、前記第二の制御用伝送データに含まれる第二の制御データの通信が正常に行われたか否かを判定する。
前記第二の制御データの通信が正常に行われたと判定された場合、第二の出力用判定部は、前記第二の制御データを第二の出力データとして出力する。前記第二の制御データの通信が正常に行われなかったと判定された場合、第二の出力用判定部は、前記フェールセーフ用の制御を指定する第二の出力データを出力する。
突合せ出力部は、前記第一の出力用演算部によって出力された前記第一の出力データと前記第二の出力用演算部によって出力された前記第二の出力データとを入力し、前記第一の出力データと前記第二の出力データとに基づいて前記デバイス制御データを出力する。
第一の出力用判定部は、前記出力用受信部によって受信された前記第一の制御用伝送データに含まれる前記第一の制御用安全通信データに基づいて、前記第一の制御用伝送データに含まれる第一の制御データの通信が正常に行われたか否かを判定する。
前記第一の制御データの通信が正常に行われたと判定された場合、第一の出力用演算部は、前記第一の制御データを第一の出力データとして出力する。前記第一の制御データの通信が正常に行われなかったと判定された場合、第一の出力用演算部は、予め定められるフェールセーフ用の制御を指定する第一の出力データを出力する。
第二の出力用判定部は、前記出力用受信部によって受信された前記第二の制御用伝送データに含まれる前記第二の制御用安全通信データに基づいて、前記第二の制御用伝送データに含まれる第二の制御データの通信が正常に行われたか否かを判定する。
前記第二の制御データの通信が正常に行われたと判定された場合、第二の出力用判定部は、前記第二の制御データを第二の出力データとして出力する。前記第二の制御データの通信が正常に行われなかったと判定された場合、第二の出力用判定部は、前記フェールセーフ用の制御を指定する第二の出力データを出力する。
突合せ出力部は、前記第一の出力用演算部によって出力された前記第一の出力データと前記第二の出力用演算部によって出力された前記第二の出力データとを入力し、前記第一の出力データと前記第二の出力データとに基づいて前記デバイス制御データを出力する。
前記車載通信システムは、フィードバック用伝送装置(確認用DHM140)を備える。
前記フィードバック用伝送装置は、フィードバック用入力部(確認用入力制御ブロック141)と、フィードバック用送信部(確認用NW制御ブロック143)とを備える。
フィードバック用入力部は、前記出力用伝送装置から出力される前記デバイス制御データと、前記デバイス制御データに基づいて動作する前記制御対象のデバイスから前記制御対象のデバイスの動作状態を表すデバイス状態データとして出力されるデータとの少なくともいずれかをフィードバックデータとして入力する。
フィードバック用送信部は、前記フィードバック用入力部が入力した前記フィードバックデータを前記制御装置へ送信する。
前記フィードバック用伝送装置は、フィードバック用入力部(確認用入力制御ブロック141)と、フィードバック用送信部(確認用NW制御ブロック143)とを備える。
フィードバック用入力部は、前記出力用伝送装置から出力される前記デバイス制御データと、前記デバイス制御データに基づいて動作する前記制御対象のデバイスから前記制御対象のデバイスの動作状態を表すデバイス状態データとして出力されるデータとの少なくともいずれかをフィードバックデータとして入力する。
フィードバック用送信部は、前記フィードバック用入力部が入力した前記フィードバックデータを前記制御装置へ送信する。
前記制御装置は、第一の確認用判定部(第一の演算ブロック124)を備える。
前記制御用受信部は、前記フィードバック用伝送装置から送信される前記フィードバックデータを受信する。
前記第一の確認用判定部は、前記制御用受信部によって受信された前記フィードバックデータに基づいて、前記第一の制御データによって指定された制御が行われたか否かを判定する。
前記第一の確認用判定部は、前記第一の制御データによって指定された制御が行われなかったと判定した場合、障害が発生したことを通知するための障害通知データ(エラー通知データ)を出力する。
前記制御用受信部は、前記フィードバック用伝送装置から送信される前記フィードバックデータを受信する。
前記第一の確認用判定部は、前記制御用受信部によって受信された前記フィードバックデータに基づいて、前記第一の制御データによって指定された制御が行われたか否かを判定する。
前記第一の確認用判定部は、前記第一の制御データによって指定された制御が行われなかったと判定した場合、障害が発生したことを通知するための障害通知データ(エラー通知データ)を出力する。
前記制御装置は、第二の確認用判定部(第二の演算ブロック125)を備える。
前記第二の確認用判定部は、前記制御用受信部によって受信された前記フィードバックデータに基づいて、前記第二の制御データによって指定された制御が行われたか否かを判定する。
前記第二の確認用判定部は、前記第二の制御データによって指定された制御が行われなかったと判定した場合、前記障害通知データを出力する。
前記第二の確認用判定部は、前記制御用受信部によって受信された前記フィードバックデータに基づいて、前記第二の制御データによって指定された制御が行われたか否かを判定する。
前記第二の確認用判定部は、前記第二の制御データによって指定された制御が行われなかったと判定した場合、前記障害通知データを出力する。
実施の形態2.
BCM120の第一の演算ブロック124および第二の演算ブロック125が互いに生成した制御データを比較する形態について説明する。
以下、実施の形態1と異なる事項について主に説明する。説明を省略する事項については実施の形態1と同様である。
BCM120の第一の演算ブロック124および第二の演算ブロック125が互いに生成した制御データを比較する形態について説明する。
以下、実施の形態1と異なる事項について主に説明する。説明を省略する事項については実施の形態1と同様である。
図9は、実施の形態2における車載通信システム100の構成図である。
実施の形態2における車載通信システム100の構成について、図9に基づいて説明する。
実施の形態2における車載通信システム100の構成について、図9に基づいて説明する。
車載通信システム100の入力用DHM110、出力用DHM130および確認用DHM140の構成は、実施の形態1で説明した構成(図1参照)と同じである。
車載通信システム100のBCM120は、実施の形態1で説明した構成に加えて、第七のBCM共有メモリ122Rおよび第八のBCM共有メモリ123Rを備える。
第七のBCM共有メモリ122Rおよび第八のBCM共有メモリ123Rは、第一の演算ブロック124および第二の演算ブロック125が互いの制御データを比較するための参照用メモリである。
車載通信システム100のBCM120は、実施の形態1で説明した構成に加えて、第七のBCM共有メモリ122Rおよび第八のBCM共有メモリ123Rを備える。
第七のBCM共有メモリ122Rおよび第八のBCM共有メモリ123Rは、第一の演算ブロック124および第二の演算ブロック125が互いの制御データを比較するための参照用メモリである。
車載通信システム100の車載通信方法は、実施の形態1と同様である(図2から図7参照)。但し、BCM120の処理の一部が異なる。
図10は、実施の形態2における車載通信システム100の車載通信方法の一部を示すフローチャートである。また、図10は、実施の形態1で説明した図4にS251からS256を加えたフローチャートである。
実施の形態1と異なるBCM120の処理(S251からS256)について、図10に基づいて説明する。
実施の形態1と異なるBCM120の処理(S251からS256)について、図10に基づいて説明する。
S231からS233およびS241からS243は、実施の形態1で説明した処理である(図4参照)。
S233の後、処理はS251に進む。また、S243の後、処理はS254に進む。
S233の後、処理はS251に進む。また、S243の後、処理はS254に進む。
S251において、BCM_NW制御ブロック121は、S233で第三のBCM共有メモリ122sに書き込まれた制御データを第八のBCM共有メモリ123Rにコピーする。
S251の後、S252に進む。
S251の後、S252に進む。
S252において、第二の演算ブロック125は、第八のBCM共有メモリ123Rから制御データを読み出し、読み出した制御データとS243で第四のBCM共有メモリ123sに書き込んだ制御データとを比較する。つまり、第二の演算ブロック125は、自分が生成した制御データと第一の演算ブロック124が生成した制御データとを比較する。
制御データが同じ値を示す場合(YES)、処理はS244に進む。
制御データが異なる値を示す場合(NO)、処理はS253に進む。
制御データが同じ値を示す場合(YES)、処理はS244に進む。
制御データが異なる値を示す場合(NO)、処理はS253に進む。
S253において、第二の演算ブロック125は、S243で第四のBCM共有メモリ123sに書き込んだ制御データが、デバイスデータに応じた通常制御を指定する制御データであるか否かを判定する。
当該制御データが通常制御を指定する制御データである場合、第二の演算ブロック125は、フェールセーフ用の制御を指定する制御データを生成し、生成した制御データを第四のBCM共有メモリ123sに上書きする。つまり、第二の演算ブロック125は、通常制御用の制御データをフェールセーフ用の制御データに変更する。また、第二の演算ブロック125は、エラー表示器109にエラーを通知する(図3のS225と同様)。
S253の後、処理はS244に進む。S244からS246は実施の形態1で説明した処理である(図4参照)。
当該制御データが通常制御を指定する制御データである場合、第二の演算ブロック125は、フェールセーフ用の制御を指定する制御データを生成し、生成した制御データを第四のBCM共有メモリ123sに上書きする。つまり、第二の演算ブロック125は、通常制御用の制御データをフェールセーフ用の制御データに変更する。また、第二の演算ブロック125は、エラー表示器109にエラーを通知する(図3のS225と同様)。
S253の後、処理はS244に進む。S244からS246は実施の形態1で説明した処理である(図4参照)。
S254からS256は、第一の演算ブロック124側でS251からS253と同様に行う処理である。
つまり、BCM_NW制御ブロック121は第四のBCM共有メモリ123sに書き込まれた制御データを第七のBCM共有メモリ122Rにコピーし(S254)、第一の演算ブロック124は自己が生成した制御データと第二の演算ブロック125が生成した制御データとを比較する(S255)。制御データが異なる場合、第一の演算ブロック124は必要に応じて制御データをフェールセーフ用に変更し、またエラー表示器109にエラーを通知する(S256)。S256の後、処理はS234に進む。S234からS236は実施の形態1で説明した処理である(図4参照)。
つまり、BCM_NW制御ブロック121は第四のBCM共有メモリ123sに書き込まれた制御データを第七のBCM共有メモリ122Rにコピーし(S254)、第一の演算ブロック124は自己が生成した制御データと第二の演算ブロック125が生成した制御データとを比較する(S255)。制御データが異なる場合、第一の演算ブロック124は必要に応じて制御データをフェールセーフ用に変更し、またエラー表示器109にエラーを通知する(S256)。S256の後、処理はS234に進む。S234からS236は実施の形態1で説明した処理である(図4参照)。
エラー表示器109へのエラー通知は、第一の演算ブロック124と第二の演算ブロック125とのうち、予め定められた方の演算ブロックが行っても構わない。
実施の形態2において、BCM120の第一の演算ブロック124および第二の演算ブロック125が互いに生成した制御データを比較する形態について説明した。
それぞれの制御データが異なる場合、入力(入力用DHM110)から演算(BCM120)までの二重化されたいずれかの部分で異常が発生したことになる。つまり、実施の形態2により、異常箇所の特定精度を向上させることができる。
それぞれの制御データが異なる場合、入力(入力用DHM110)から演算(BCM120)までの二重化されたいずれかの部分で異常が発生したことになる。つまり、実施の形態2により、異常箇所の特定精度を向上させることができる。
実施の形態2は、以下のような形態であっても構わない。
S251およびS254において、BCM_NW制御ブロック121は制御データと共に安全通信データをコピーする。
S252およびS254において、各演算ブロックは、制御データが同じであるか否かの判定とは別に、制御データに異常が発生しているか否かを安全通信データを用いて安全通信機能によってチェックする。
制御データに異常が発生している場合、S253およびS256において、各演算ブロックは、必要に応じて制御データの変更およびエラー通知を行う。
安全通信機能によって制御データの異常を検出した場合、制御データのコピーを行ったBCM_NW制御ブロック121、または制御データの書き込みを行った演算ブロックで異常が発生したことになる。つまり、この形態により、異常箇所の特定精度をより向上させることができる。
S251およびS254において、BCM_NW制御ブロック121は制御データと共に安全通信データをコピーする。
S252およびS254において、各演算ブロックは、制御データが同じであるか否かの判定とは別に、制御データに異常が発生しているか否かを安全通信データを用いて安全通信機能によってチェックする。
制御データに異常が発生している場合、S253およびS256において、各演算ブロックは、必要に応じて制御データの変更およびエラー通知を行う。
安全通信機能によって制御データの異常を検出した場合、制御データのコピーを行ったBCM_NW制御ブロック121、または制御データの書き込みを行った演算ブロックで異常が発生したことになる。つまり、この形態により、異常箇所の特定精度をより向上させることができる。
実施の形態3.
実施の形態1および2で説明した入力用DHM110、BCM120および出力用DHM130の構成を複数のマイクロコンピュータ(以下、「マイコン」という)を用いて多重化する形態について説明する。
実施の形態1および2で説明した入力用DHM110、BCM120および出力用DHM130の構成を複数のマイクロコンピュータ(以下、「マイコン」という)を用いて多重化する形態について説明する。
図11は、実施の形態3における入力用DHM110のハードウェア構成図である。
実施の形態3における入力用DHM110のハードウェア構成について、図11に基づいて説明する。
実施の形態3における入力用DHM110のハードウェア構成について、図11に基づいて説明する。
入力用DHM110は、第一のマイコン201Aおよび第二のマイコン201Bを備える。
第一のマイコン201Aおよび第二のマイコン202Bは、CPUコア211、メモリ212、CANコントローラ213およびポートコントローラ214を備える。これらはバス219(内部バス)を介して互いに接続している。
第一のマイコン201Aおよび第二のマイコン202Bは、CPUコア211、メモリ212、CANコントローラ213およびポートコントローラ214を備える。これらはバス219(内部バス)を介して互いに接続している。
CPUコア211は、プログラムの実行、他のハードウェアの制御などを行う処理装置である。CPUコア211は、単に、CPU(Central Processing Unit)ともいう。
メモリ212は、データを記憶する記憶装置である。
CANコントローラ213は、CAN101を介してデータ通信を行うためのハードウェアである。
ポートコントローラ214は、デバイスとの間で入出力を行うためのハードウェアである。
メモリ212は、データを記憶する記憶装置である。
CANコントローラ213は、CAN101を介してデータ通信を行うためのハードウェアである。
ポートコントローラ214は、デバイスとの間で入出力を行うためのハードウェアである。
第一のマイコン201AのCPUコア211、メモリ212およびポートコントローラ214は、入力用DHM110の第一の入力制御ブロック111として機能する。
第一のマイコン201Aのメモリ212は、入力用DHM110の第一の入力用共有メモリ113として機能する。
第一のマイコン201AのCPUコア211、メモリ212およびCANコントローラ213は、入力用DHM110の入力用NW制御ブロック115として機能する。
第一のマイコン201Aのメモリ212は、入力用DHM110の第一の入力用共有メモリ113として機能する。
第一のマイコン201AのCPUコア211、メモリ212およびCANコントローラ213は、入力用DHM110の入力用NW制御ブロック115として機能する。
第二のマイコン201BのCPUコア211、メモリ212およびポートコントローラ214は、入力用DHM110の第二の入力制御ブロック112として機能する。
第二のマイコン201Bのメモリ212は、入力用DHM110の第二の入力用共有メモリ114として機能する。
第二のマイコン201BのCPUコア211、メモリ212およびCANコントローラ213は、入力用DHM110の入力用NW制御ブロック115として機能する。
第二のマイコン201Bのメモリ212は、入力用DHM110の第二の入力用共有メモリ114として機能する。
第二のマイコン201BのCPUコア211、メモリ212およびCANコントローラ213は、入力用DHM110の入力用NW制御ブロック115として機能する。
出力用DHM130についても、入力用DHM110と同様に、2つのマイコンを用いて実装する。
図12は、実施の形態3におけるBCM120のハードウェア構成図である。
実施の形態3におけるBCM120のハードウェア構成について、図12に基づいて説明する。
実施の形態3におけるBCM120のハードウェア構成について、図12に基づいて説明する。
BCM120は、第一のマイコン202Aおよび第二のマイコン202Bを備える。
第一のマイコン202Aおよび第二のマイコン202Bは、CPUコア211、メモリ212、CANコントローラ213およびエラー通知I/F215を備える。これらはバス219(内部バス)を介して互いに接続している。
エラー通知I/F215は、エラー表示器109にエラー通知を行うためのインタフェース(I/F)を備えたハードウェアである。
第一のマイコン202Aおよび第二のマイコン202Bは、CPUコア211、メモリ212、CANコントローラ213およびエラー通知I/F215を備える。これらはバス219(内部バス)を介して互いに接続している。
エラー通知I/F215は、エラー表示器109にエラー通知を行うためのインタフェース(I/F)を備えたハードウェアである。
第一のマイコン202AのCPUコア211、メモリ212およびCANコントローラ213は、BCM120のBCM_NW制御ブロック121として機能する。
第一のマイコン202Aのメモリ212は、第一のBCM共有メモリ122r、第三のBCM共有メモリ122sおよび第五のBCM共有メモリ122cとして機能する。
第一のマイコン202AのCPUコア211、メモリ212およびエラー通知I/F215は、BCM120の第一の演算ブロック124として機能する。
第一のマイコン202Aのメモリ212は、第一のBCM共有メモリ122r、第三のBCM共有メモリ122sおよび第五のBCM共有メモリ122cとして機能する。
第一のマイコン202AのCPUコア211、メモリ212およびエラー通知I/F215は、BCM120の第一の演算ブロック124として機能する。
第二のマイコン202BのCPUコア211、メモリ212およびCANコントローラ213は、BCM120のBCM_NW制御ブロック121として機能する。
第二のマイコン202Bのメモリ212は、第二のBCM共有メモリ123r、第四のBCM共有メモリ123sおよび第六のBCM共有メモリ123cとして機能する。
第二のマイコン202BのCPUコア211、メモリ212およびエラー通知I/F215は、BCM120の第二の演算ブロック125として機能する。
第二のマイコン202Bのメモリ212は、第二のBCM共有メモリ123r、第四のBCM共有メモリ123sおよび第六のBCM共有メモリ123cとして機能する。
第二のマイコン202BのCPUコア211、メモリ212およびエラー通知I/F215は、BCM120の第二の演算ブロック125として機能する。
図11および図12で説明したように二重化した各々の系を独立したマイコンを用いて物理的に分離された構成にすることで、片方の系の障害がもう一方の系に影響しないようにすることができる。
マイコンに供給する電源を生成する回路またはクロックを供給する水晶発振器は、それ自体が故障すると通信が不能になるため、通信相手が安全通信機能により異常を検出することができる。このため、これらの回路はそれぞれの系毎に付与する必要がなく、1系統だけ備えればよい。
実施の形態4.
実施の形態1および2で説明した入力用DHM110、BCM120および出力用DHM130の構成を1つのマイコンを用いて多重化する形態について説明する。
実施の形態1および2で説明した入力用DHM110、BCM120および出力用DHM130の構成を1つのマイコンを用いて多重化する形態について説明する。
図13は、実施の形態4における入力用DHM110のハードウェア構成図である。
実施の形態4における入力用DHM110のハードウェア構成について、図13に基づいて説明する。
実施の形態4における入力用DHM110のハードウェア構成について、図13に基づいて説明する。
入力用DHM110はマイコン201を備える。
マイコン201は、CPUコア211、メモリ212、CANコントローラ213、第一のポートコントローラ214Aおよび第二のポートコントローラ214Bを備える。これらはバス219(内部バス)を介して互いに接続している。各ハードウェアは実施の形態3と同様である。
マイコン201は、CPUコア211、メモリ212、CANコントローラ213、第一のポートコントローラ214Aおよび第二のポートコントローラ214Bを備える。これらはバス219(内部バス)を介して互いに接続している。各ハードウェアは実施の形態3と同様である。
CPUコア211、メモリ212および第一のポートコントローラ214Aは、入力用DHM110の第一の入力制御ブロック111として機能する。
CPUコア211、メモリ212および第二のポートコントローラ214Bは、入力用DHM110の第二の入力制御ブロック112として機能する。
第一の入力制御ブロック111および第二の入力制御ブロック112はマルチタスク環境における独立したタスクで実現し、かつ、それぞれのタスクが利用するメモリ212のメモリ空間はメモリ保護機能で保護する。このようにして構成を論理的に分離することにより、第一の系と第二の系とのいずれかの系を制御するプログラムが暴走しても、もう一方の系に影響が及ばないようにすることができる。
ポートコントローラは、第一の系と第二の系とにおいて独立したハードウェアで構成する。両方の系のポートコントローラを一つのハードウェアで実現し、内部バスのインタフェース部分が故障して入出力が固定されてしまうような故障が発生してしまうと、両方の系で誤った値が入出力される可能性があるためである。ポートコントローラを物理的に二重化することにより、このような事象を防ぐことができる。
CPUコア211、メモリ212および第二のポートコントローラ214Bは、入力用DHM110の第二の入力制御ブロック112として機能する。
第一の入力制御ブロック111および第二の入力制御ブロック112はマルチタスク環境における独立したタスクで実現し、かつ、それぞれのタスクが利用するメモリ212のメモリ空間はメモリ保護機能で保護する。このようにして構成を論理的に分離することにより、第一の系と第二の系とのいずれかの系を制御するプログラムが暴走しても、もう一方の系に影響が及ばないようにすることができる。
ポートコントローラは、第一の系と第二の系とにおいて独立したハードウェアで構成する。両方の系のポートコントローラを一つのハードウェアで実現し、内部バスのインタフェース部分が故障して入出力が固定されてしまうような故障が発生してしまうと、両方の系で誤った値が入出力される可能性があるためである。ポートコントローラを物理的に二重化することにより、このような事象を防ぐことができる。
メモリ212は、入力用DHM110の第一の入力用共有メモリ113および第二の入力用共有メモリ114として機能する。
第一の入力用共有メモリ113および第二の入力用共有メモリ114は第一の系と第二の系との各タスクが管理する共有メモリとして実現し、各系のタスクが互いの共有メモリにアクセスすることができないように各共有メモリを保護する。
第一の入力用共有メモリ113および第二の入力用共有メモリ114は第一の系と第二の系との各タスクが管理する共有メモリとして実現し、各系のタスクが互いの共有メモリにアクセスすることができないように各共有メモリを保護する。
CPUコア211、メモリ212およびCANコントローラ213は、入力用DHM110の入力用NW制御ブロック115として機能する。
出力用DHM130についても、入力用DHM110と同様に、1つのマイコンを用いて実装する。
図14は、実施の形態4におけるBCM120のハードウェア構成図である。
実施の形態4におけるBCM120のハードウェア構成について、図14に基づいて説明する。
実施の形態4におけるBCM120のハードウェア構成について、図14に基づいて説明する。
BCM120はマイコン201を備える。
マイコン201は、CPUコア211、メモリ212、CANコントローラ213、第一のエラー通知I/F215Aおよび第二のエラー通知I/F215Bを備える。これらはバス219(内部バス)を介して互いに接続している。各ハードウェアは実施の形態3と同様である。
マイコン201は、CPUコア211、メモリ212、CANコントローラ213、第一のエラー通知I/F215Aおよび第二のエラー通知I/F215Bを備える。これらはバス219(内部バス)を介して互いに接続している。各ハードウェアは実施の形態3と同様である。
CPUコア211、メモリ212およびCANコントローラ213は、BCM120のBCM_NW制御ブロック121として機能する。
メモリ212は、第一のBCM共有メモリ122r、第三のBCM共有メモリ122sおよび第五のBCM共有メモリ122cとして機能する。
図13で説明した入力用DHM110と同様に、各共有メモリは各系のタスクによって管理し、各系のタスクが互いの共有メモリにアクセスすることができないように各共有メモリを保護する。
図13で説明した入力用DHM110と同様に、各共有メモリは各系のタスクによって管理し、各系のタスクが互いの共有メモリにアクセスすることができないように各共有メモリを保護する。
CPUコア211、メモリ212および第一のエラー通知I/F215Aは、BCM120の第一の演算ブロック124として機能する。
CPUコア211、メモリ212および第二のエラー通知I/F215Bは、BCM120の第二の演算ブロック125として機能する。
図13で説明した入力用DHM110の入力制御ブロックと同様に、各演算ブロックのメモリ空間は論理的に二重化する。また、入力用DHM110のポートコントローラと同様に、エラー通知I/Fは物理的に二重化する。
CPUコア211、メモリ212および第二のエラー通知I/F215Bは、BCM120の第二の演算ブロック125として機能する。
図13で説明した入力用DHM110の入力制御ブロックと同様に、各演算ブロックのメモリ空間は論理的に二重化する。また、入力用DHM110のポートコントローラと同様に、エラー通知I/Fは物理的に二重化する。
マイコンに供給する電源を生成する回路またはクロックを供給する水晶発振器は、実施の形態3と同様、それぞれの系毎に付与する必要がなく、1系統だけ備えればよい。
実施の形態4により、1石のマイコンで安全性の高いシステムを構築することができる。また、低コストで柔軟性に優れたシステム構築を実現することができる。
実施の形態5.
実施の形態1および2で説明した入力用DHM110、BCM120および出力用DHM130をハードウェア・エンジンを用いて構成する形態について説明する。
ハードウェア・エンジンとは、複数のハードウェアを組み合わせた装置である。LSI(Large Scale Integration)は、ハードウェア・エンジンの一例である。
実施の形態1および2で説明した入力用DHM110、BCM120および出力用DHM130をハードウェア・エンジンを用いて構成する形態について説明する。
ハードウェア・エンジンとは、複数のハードウェアを組み合わせた装置である。LSI(Large Scale Integration)は、ハードウェア・エンジンの一例である。
図15は、実施の形態5における入力用DHM110のハードウェア構成図である。
実施の形態5における入力用DHM110のハードウェア構成について、図15に基づいて説明する。
実施の形態5における入力用DHM110のハードウェア構成について、図15に基づいて説明する。
入力用DHM110は、第一のポートコントローラ214A、第二のポートコントローラ214B、第一の安全通信処理回路216A、第二の安全通信処理回路216B、第一のメモリ212A、第二のメモリ212BおよびCANコントローラ213を備える。
安全通信処理回路は、安全通信データの生成および安全通信機能による異常発生の判定を行うための回路である。その他のハードウェアについては実施の形態3と同様である。
安全通信処理回路は、安全通信データの生成および安全通信機能による異常発生の判定を行うための回路である。その他のハードウェアについては実施の形態3と同様である。
第一のポートコントローラ214Aおよび第一の安全通信処理回路216Aは、入力用DHM110の第一の入力制御ブロック111として機能する。
第二のポートコントローラ214Bおよび第二の安全通信処理回路216Bは、入力用DHM110の第二の入力制御ブロック112として機能する。
第二のポートコントローラ214Bおよび第二の安全通信処理回路216Bは、入力用DHM110の第二の入力制御ブロック112として機能する。
第一のメモリ212Aは入力用DHM110の第一の入力用共有メモリ113として機能する。
第二のメモリ212Bは入力用DHM110の第二の入力用共有メモリ114として機能する。
第二のメモリ212Bは入力用DHM110の第二の入力用共有メモリ114として機能する。
CANコントローラ213は入力用DHM110の入力用NW制御ブロック115として機能する。
出力用DHM130についても、入力用DHM110と同様に実装する。
図16は、実施の形態5におけるBCM120のハードウェア構成図である。
実施の形態5におけるBCM120のハードウェア構成について、図16に基づいて説明する。
実施の形態5におけるBCM120のハードウェア構成について、図16に基づいて説明する。
BCM120は、CANコントローラ213、第一のメモリ212A、第二のメモリ212B、第一の安全通信処理回路216A、第二の安全通信処理回路216B、第一の演算回路217A、第二の演算回路217B、第一のエラー通知I/F215Aおよび第二のエラー通知I/F215Bを備える。
安全通信処理回路は、安全通信データの生成および安全通信機能による異常発生の判定を行うための回路である。エラー表示器I/Fは、エラー表示器109と通信するためのインタフェース(I/F)を備える回路である。その他のハードウェアについては実施の形態3と同様である。
安全通信処理回路は、安全通信データの生成および安全通信機能による異常発生の判定を行うための回路である。エラー表示器I/Fは、エラー表示器109と通信するためのインタフェース(I/F)を備える回路である。その他のハードウェアについては実施の形態3と同様である。
CANコントローラ213は、BCM120のBCM_NW制御ブロック121として機能する。
第一のメモリ212Aは、BCM120の第一のBCM共有メモリ122r、第三のBCM共有メモリ122sおよび第五のBCM共有メモリ122cとして機能する。
第二のメモリ212Bは、BCM120の第二のBCM共有メモリ123r、第四のBCM共有メモリ123sおよび第六のBCM共有メモリ123cとして機能する。
第二のメモリ212Bは、BCM120の第二のBCM共有メモリ123r、第四のBCM共有メモリ123sおよび第六のBCM共有メモリ123cとして機能する。
第一の安全通信処理回路216A、第一の演算回路217Aおよび第一のエラー通知I/F215Aは、BCM120の第一の演算ブロック124として機能する。
第二の安全通信処理回路216B、第二の演算回路217Bおよび第二のエラー通知I/F215Bは、BCM120の第二の演算ブロック125として機能する。
第二の安全通信処理回路216B、第二の演算回路217Bおよび第二のエラー通知I/F215Bは、BCM120の第二の演算ブロック125として機能する。
実施の形態5により、入力用DHM110、BCM120および出力用DHM130を非常に単純な回路(例えば、1石のLSI)で実現できる。そのため、非常に低コストで安全性の高いシステム構築することができる。
各実施の形態は、矛盾の無い範囲で形態の一部または全部を適宜に組み合わせても構わない。
100 車載通信システム、101 CAN、102 スイッチ、103 アクチュエータ、109 エラー表示器、110 入力用DHM、111 第一の入力制御ブロック、112 第二の入力制御ブロック、113 第一の入力用共有メモリ、114 第二の入力用共有メモリ、115 入力用NW制御ブロック、120 BCM、121 BCM_NW制御ブロック、122r 第一のBCM共有メモリ、122s 第三のBCM共有メモリ、122c 第五のBCM共有メモリ、122R 第七のBCM共有メモリ、123r 第二のBCM共有メモリ、123s 第四のBCM共有メモリ、123c 第六のBCM共有メモリ、123R 第八のBCM共有メモリ、124 第一の演算ブロック、125 第二の演算ブロック、130 出力用DHM、131 出力用NW制御ブロック、132 第一の出力用共有メモリ、133 第二の出力用共有メモリ、134 第一の出力制御ブロック、135 第二の出力制御ブロック、136 突合せ回路、140 確認用DHM、141 確認用入力制御ブロック、142 確認用共有メモリ、143 確認用NW制御ブロック、150 DHM、151 DHM_NW制御ブロック、201 マイコン、201A 第一のマイコン、201B 第二のマイコン、202A 第一のマイコン、202B 第二のマイコン、211 CPUコア、212 メモリ、212A 第一のメモリ、212B 第二のメモリ、213 CANコントローラ、214 ポートコントローラ、214A 第一のポートコントローラ、214B 第二のポートコントローラ、215 エラー通知I/F、215A 第一のエラー通知I/F、215B 第二のエラー通知I/F、216A 第一の安全通信処理回路、216B 第二の安全通信処理回路、217A 第一の演算回路、217B 第二の演算回路、219 バス。
Claims (16)
- 車両に搭載されるデバイスから出力されるデータを第一のデバイスデータとして入力する第一のデバイスデータ入力部と、
前記データを第二のデバイスデータとして入力する第二のデバイスデータ入力部と、
前記第一のデバイスデータと第一の入力用安全通信データとを含む第一の入力用伝送データと、前記第二のデバイスデータと第二の入力用安全通信データとを含む第二の入力用伝送データと、を送信する入力用送信部と、を備える入力用伝送装置と、
前記第一の入力用伝送データに含まれる前記第一の入力用安全通信データを用いて、前記第一のデバイスデータの通信が正常に行われたか否かを判定する第一の制御用判定部と、
前記第一のデバイスデータの通信が正常の場合、前記第一のデバイスデータに基づいた制御を指定して第一の制御データを生成する第一の制御用演算部と、
前記第二の入力用伝送データに含まれる前記第二の入力用安全通信データを用いて、前記第二のデバイスデータの通信が正常に行われたか否かを判定する第二の制御用判定部と、
前記第二のデバイスデータの通信が正常の場合、前記第二のデバイスデータに基づいた制御を指定して第二の制御データを生成する第二の制御用演算部と、
前記第一の制御データを含む第一の制御用伝送データと、前記第二の制御データを含む第二の制御用伝送データとを送信する制御用送信部と、を備える制御装置と、
前記第一の制御用伝送データと前記第二の制御用伝送データとを受信する出力用受信部と、
前記第一の制御データと前記第二の制御データとに基づいて、前記車両に搭載される制御対象のデバイスを制御するためのデバイス制御データを出力するデバイス制御データ出力部と、を備える出力用伝送装置と、
を備えることを特徴とする車載通信システム。 - 前記制御装置は、
前記第一の入力用伝送データと前記第二の入力用伝送データとを受信する制御用受信部を備え、
前記第一の制御用演算部は、前記第一のデバイスデータの通信が正常ではない場合、フェールセーフ用の制御を指定して前記第一の制御データを生成し、
前記第二の制御用演算部は、前記第二のデバイスデータの通信が正常ではない場合、前記フェールセーフ用の制御を指定して前記第二の制御データを生成し、
前記第一の制御用伝送データは、前記第一の制御データと第一の制御用安全通信データとを含み、
前記第二の制御用伝送データは、前記第二の制御データと第二の制御用安全通信データとを含み、
前記出力用伝送装置の前記デバイス制御データ出力部は、
前記第一の制御用安全通信データに基づいて、前記第一の制御データの通信が正常に行われたか否かを判定する第一の出力用判定部と、
前記第一の制御データの通信が正常の場合、前記第一の制御データを指定して第一の出力データを出力し、前記第一の制御データの通信が正常ではない場合、フェールセーフ用の制御を指定して第一の出力データを出力する第一の出力用演算部と、
前記第二の制御用安全通信データに基づいて、前記第二の制御データの通信が正常に行われたか否かを判定する第二の出力用判定部と、
前記第二の制御データの通信が正常の場合、前記第二の制御データを指定して第二の出力データを出力し、前記第二の制御データの通信が正常ではない場合、前記フェールセーフ用の制御を指定して第二の出力データを出力する第二の出力用演算部と、
前記第一の出力データと前記第二の出力データとに基づいて前記デバイス制御データを出力する突合せ出力部とを備える
ことを特徴とする請求項1記載の車載通信システム。 - 前記突合せ出力部は、前記第一の出力データと前記第二の出力データとの少なくともいずれかのデータが前記フェールセーフ用の制御を指定するデータである場合、前記フェールセーフ用の制御を指定するデータを前記デバイス制御データとして出力する
ことを特徴とする請求項2記載の車載通信システム。 - 前記第一の制御用判定部は、前記第一の入力用伝送データの通信が正常に行われなかったと判定した場合、障害が発生したことを通知するための通信障害データを出力し、
前記第二の制御用判定部は、前記第二の入力用伝送データの通信が正常に行われなかったと判定した場合、前記通信障害データを出力する
ことを特徴とする請求項1から請求項3いずれかに記載の車載通信システム。 - 前記入力用伝送装置は、第一の入力用メモリと、第二の入力用メモリとを備え、
前記第一のデバイスデータ入力部は、入力した前記第一のデバイスデータを前記第一の入力用メモリへ書き込み、
前記第二のデバイスデータ入力部は、入力した前記第二のデバイスデータを前記第二の入力用メモリへ書き込み、
前記入力用送信部は、前記第一の入力用メモリから前記第一のデバイスデータを読み出し、読み出した前記第一のデバイスデータを含むデータを前記第一の入力用伝送データとして送信し、前記第二の入力用メモリから前記第二のデバイスデータを読み出し、読み出した前記第二のデバイスデータを含むデータを前記第二の入力用伝送データとして送信する
ことを特徴とする請求項1から請求項4いずれかに記載の車載通信システム。 - 前記制御装置は、前記第一の入力用伝送データが書き込まれる第一の受信用メモリと、前記第二の入力用伝送データが書き込まれる第二の受信用メモリとを備え、
前記第一の制御用判定部は、前記第一の受信用メモリから前記第一の入力用伝送データを読み出し、読み出した前記第一の入力用伝送データに基づいて前記第一の入力用伝送データの通信が正常に行われたか否かを判定し、
前記第二の制御用判定部は、前記第二の受信用メモリから前記第二の入力用伝送データを読み出し、読み出した前記第二の入力用伝送データに基づいて前記第二の入力用伝送データの通信が正常に行われたか否かを判定する
ことを特徴とする請求項1から請求項5いずれかに記載の車載通信システム。 - 前記制御装置は、第一の送信用メモリと、第二の送信用メモリとを備え、
前記第一の制御用演算部は、生成した前記第一の制御データを前記第一の送信用メモリに書き込み、
前記第二の制御用演算部は、生成した前記第二の制御データを前記第二の送信用メモリに書き込み、
前記制御用送信部は、前記第一の送信用メモリから前記第一の制御データを読み出し、読み出した前記第一の制御データを含んだデータを前記第一の制御用伝送データとして送信し、前記第二の送信用メモリから前記第二の制御データを読み出し、読み出した前記第二の制御データを含んだデータを前記第二の制御用伝送データとして送信する
ことを特徴とする請求項1から請求項6いずれかに記載の車載通信システム。 - 前記出力用伝送装置は、第一の出力用メモリと、第二の出力用メモリとを備え、
前記出力用受信部は、受信した前記第一の制御用伝送データを前記第一の出力用メモリに書き込むと共に、受信した前記第二の制御用伝送データを前記第二の出力用メモリに書き込み、
前記デバイス制御データ出力部は、前記第一の出力用メモリから前記第一の制御用伝送データを読み出すと共に、前記第二の出力用メモリから前記第二の制御用伝送データを読み出し、読み出した前記第一の制御用伝送データと前記第二の制御用伝送データとに基づいて前記デバイス制御データを出力する
ことを特徴とする請求項1から請求項7いずれかに記載の車載通信システム。 - 前記車載通信システムは、フィードバック用伝送装置を備え、
前記フィードバック用伝送装置は、
前記出力用伝送装置から出力される前記デバイス制御データと、前記デバイス制御データに基づいて動作する前記制御対象のデバイスから前記制御対象のデバイスの動作状態を表すデバイス状態データとして出力されるデータとの少なくともいずれかをフィードバックデータとして入力するフィードバック用入力部と、
前記フィードバック用入力部が入力した前記フィードバックデータを前記制御装置へ送信するフィードバック用送信部とを備える
ことを特徴とする請求項1から請求項8いずれかに記載の車載通信システム。 - 前記制御装置は、第一の確認用判定部を備え、
前記第一の確認用判定部は、前記フィードバック用伝送装置から送信される前記フィードバックデータに基づいて、前記第一の制御データによって指定された制御が行われたか否かを判定し、
前記第一の確認用判定部は、前記第一の制御データによって指定された制御が行われなかったと判定した場合、障害が発生したことを通知するための障害通知データを出力する
ことを特徴とする請求項9記載の車載通信システム。 - 前記制御装置は、第二の確認用判定部を備え、
前記第二の確認用判定部は、前記フィードバックデータに基づいて、前記第二の制御データによって指定された制御が行われたか否かを判定し、
前記第二の確認用判定部は、前記第二の制御データによって指定された制御が行われなかったと判定した場合、前記障害通知データを出力する
ことを特徴とする請求項10記載の車載通信システム。 - 前記第一の制御用演算部は、前記第一の制御データと前記第二の制御データとを比較し、前記第一の制御データと前記第二の制御データとが異なる場合、エラー処理を行う
ことを特徴とする請求項1から請求項11いずれかに記載の車載通信システム。 - 前記入力用伝送装置は、前記第一のデバイスデータ入力部として機能する入力用の第一のマイクロコンピュータと、前記第二のデバイスデータ入力部として機能する入力用の第二のマイクロコンピュータとを備え、
前記制御装置は、前記第一の制御用判定部および前記第一の制御用演算部として機能する制御用の第一のマイクロコンピュータと、前記第二の制御用判定部および前記第二の制御用演算部として機能する制御用の第二のマイクロコンピュータとを備える
ことを特徴とする請求項1から請求項12いずれかに記載の車載通信システム。 - 前記入力用伝送装置は、前記第一のデバイスデータ入力部、前記第二のデバイスデータ入力部および前記入力用送信部として機能する入力用のマイクロコンピュータを備え、
前記制御装置は、前記第一の制御用判定部、前記第一の制御用演算部、前記第二の制御用判定部、前記第二の制御用演算部および前記制御用送信部として機能する制御用のマイクロコンピュータを備え、
前記出力用伝送装置は、前記出力用受信部および前記デバイス制御データ出力部として機能する出力用のマイクロコンピュータを備える
ことを特徴とする請求項1から請求項12いずれかに記載の車載通信システム。 - 前記入力用伝送装置は、前記第一のデバイスデータ入力部として機能する第一のデバイスデータ入力回路と、前記第二のデバイスデータ入力部として機能する第二のデバイスデータ入力回路と、前記入力用送信部として機能する入力用送信回路とを備え、
前記制御装置は、前記第一の制御用判定部として機能する第一の制御用判定回路と、前記第一の制御用演算部として機能する第一の制御用演算回路と、前記第二の制御用判定部として機能する第二の制御用判定回路と、前記第二の制御用演算部として機能する第二の制御用演算回路と、前記制御用送信部として機能する制御用送信回路とを備え、
前記出力用伝送装置は、前記出力用受信部として機能する出力用受信回路と、前記デバイス制御データ出力部として機能するデバイス制御データ出力回路とを備える
ことを特徴とする請求項1から請求項12いずれかに記載の車載通信システム。 - 車両に搭載される入力用伝送装置の第一のデバイスデータ入力部が、前記車両に搭載されるデバイスから出力されるデータを第一のデバイスデータとして入力し、
前記入力用伝送装置の第二のデバイスデータ入力部が、前記データを第二のデバイスデータとして入力し、
前記入力用伝送装置の入力用送信部が、前記第一のデバイスデータと第一の入力用安全通信データとを含む第一の入力用伝送データと、前記第二のデバイスデータと第二の入力用安全通信データとを含む第二の入力用伝送データとを前記車両に搭載される制御装置へ送信し、
前記制御装置の第一の制御用判定部が、前記第一の入力用伝送データに含まれる前記第一の入力用安全通信データを用いて、前記第一のデバイスデータの通信が正常に行われたか否かを判定し、
前記制御装置の第一の制御用演算部が、前記第一のデバイスデータの通信が正常の場合、前記第一のデバイスデータに基づいた制御を指定して第一の制御データを生成し、
前記制御装置の第二の制御用判定部が、前記第二の入力用伝送データに含まれる前記第二の入力用安全通信データを用いて、前記第二のデバイスデータの通信が正常に行われたか否かを判定し、
前記制御装置の第二の制御用演算部が、前記第二のデバイスデータの通信が正常の場合、前記第二のデバイスデータに基づいた制御を指定して第二の制御データを生成し、
前記制御装置の制御用送信部が、前記第一の制御データを含む第一の制御用伝送データと、前記第二の制御データを含む第二の制御用伝送データとを前記車両に搭載される出力用伝送装置へ送信し、
前記出力用伝送装置の出力用受信部が、前記第一の制御用伝送データと前記第二の制御用伝送データとを受信し、
前記出力用伝送装置のデバイス制御データ出力部が、前記第一の制御データと前記第二の制御データとに基づいて、前記車両に搭載される制御対象のデバイスを制御するためのデバイス制御データを出力する
ことを特徴とする車載通信方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2012/071381 WO2014030247A1 (ja) | 2012-08-24 | 2012-08-24 | 車載通信システムおよび車載通信方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP5766360B2 true JP5766360B2 (ja) | 2015-08-19 |
| JPWO2014030247A1 JPWO2014030247A1 (ja) | 2016-07-28 |
Family
ID=50149581
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014531463A Active JP5766360B2 (ja) | 2012-08-24 | 2012-08-24 | 車載通信システムおよび車載通信方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9925935B2 (ja) |
| JP (1) | JP5766360B2 (ja) |
| CN (1) | CN104583017B (ja) |
| DE (1) | DE112012006843T5 (ja) |
| WO (1) | WO2014030247A1 (ja) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6171881B2 (ja) * | 2013-11-19 | 2017-08-02 | 株式会社デンソー | 電子制御装置 |
| EP3358800B1 (en) | 2014-01-06 | 2021-10-20 | Argus Cyber Security Ltd | Bus watchman |
| KR101458926B1 (ko) * | 2014-04-28 | 2014-11-13 | 솔웍스 주식회사 | 차량 진단 시스템 |
| WO2016151743A1 (ja) * | 2015-03-24 | 2016-09-29 | 三菱電機株式会社 | 機器制御装置、車両用電子制御装置、車両用電子制御システム、機器制御方法及び機器制御プログラム |
| DE102015208053A1 (de) * | 2015-04-30 | 2016-11-03 | Robert Bosch Gmbh | Verfahren und Vorrichtung zum Verringern einer Gefährdung für ein und/oder durch ein sich auf einem Parkplatz befindendes Fahrzeug |
| JP6609235B2 (ja) * | 2016-11-02 | 2019-11-20 | 日立オートモティブシステムズ株式会社 | 電子制御装置 |
Family Cites Families (61)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS60253359A (ja) | 1984-05-30 | 1985-12-14 | Fujitsu Ltd | 二重系装置の監視方法 |
| US4939725A (en) | 1987-11-30 | 1990-07-03 | Furukawa Electric Co., Ltd. | Multiplex transmission system |
| JP2773877B2 (ja) | 1987-11-30 | 1998-07-09 | 古河電気工業株式会社 | 多重伝送方式 |
| JPH05235962A (ja) | 1992-02-25 | 1993-09-10 | Toyota Motor Corp | 多重通信装置 |
| JP3115110B2 (ja) | 1992-07-10 | 2000-12-04 | マツダ株式会社 | 多重伝送装置のノード通信装置 |
| JPH06274361A (ja) | 1993-03-23 | 1994-09-30 | Fujitsu Ten Ltd | 車両制御用コンピュータシステム |
| JPH07123078A (ja) | 1993-10-21 | 1995-05-12 | Fuji Facom Corp | データ伝送方式 |
| JP3657027B2 (ja) | 1995-05-25 | 2005-06-08 | 株式会社小松製作所 | 車両故障診断装置の時間管理システム及び方法 |
| GB9605048D0 (en) | 1996-03-09 | 1996-05-08 | Jaguar Cars | Multiplexed electronic control systems |
| JPH09289522A (ja) | 1996-04-24 | 1997-11-04 | Hitachi Ltd | ネットワーク接続装置 |
| JP2809209B2 (ja) | 1996-06-14 | 1998-10-08 | 日本電気株式会社 | プロセス間通信方式 |
| JP3898264B2 (ja) | 1997-02-21 | 2007-03-28 | 本田技研工業株式会社 | 車両用ネットワークシステム |
| JPH10257078A (ja) | 1997-03-12 | 1998-09-25 | Yazaki Corp | 車両多重通信装置 |
| JP3292238B2 (ja) | 1998-03-06 | 2002-06-17 | 日本電気株式会社 | 二重化された接続機器を備えたネットワークシステムと接続障害回避方法 |
| JP2000156685A (ja) | 1998-11-18 | 2000-06-06 | Fuji Heavy Ind Ltd | 車両制御システムの異常監視装置 |
| JP2000158685A (ja) | 1998-11-30 | 2000-06-13 | Fuji Photo Film Co Ltd | カラー感熱プリンタのランプ制御方法及び装置 |
| US6496107B1 (en) | 1999-07-23 | 2002-12-17 | Richard B. Himmelstein | Voice-controlled vehicle control system |
| JP2002158668A (ja) | 2000-11-17 | 2002-05-31 | Denso Corp | 車両用ネットワークシステムの異常検出装置 |
| DE10248456A1 (de) | 2001-10-19 | 2003-06-18 | Denso Corp | Fahrzeugkommunikationssystem |
| JP3994821B2 (ja) | 2001-10-19 | 2007-10-24 | 株式会社デンソー | 車両用通信システム |
| JP3733058B2 (ja) | 2001-11-20 | 2006-01-11 | 三井金属鉱業株式会社 | 車両スライド扉用動力スライド装置の制御方法 |
| JP2004017676A (ja) | 2002-06-12 | 2004-01-22 | Denso Corp | 車両用通信システム、初期化装置及び車両用制御装置 |
| JP2004034828A (ja) | 2002-07-03 | 2004-02-05 | Denso Corp | 乗員保護装置の起動システム |
| JP4141286B2 (ja) | 2003-03-05 | 2008-08-27 | アルパイン株式会社 | 車両情報判別機能を有する電子機器およびこれを用いた車両情報共有化システム |
| JP3863119B2 (ja) | 2003-03-11 | 2006-12-27 | 株式会社東芝 | 変電所監視制御システム |
| JP4222154B2 (ja) | 2003-08-28 | 2009-02-12 | 株式会社デンソー | 車両制御システム |
| JP3997984B2 (ja) | 2003-12-08 | 2007-10-24 | 株式会社デンソー | 車両用発電制御装置 |
| JP4401239B2 (ja) | 2004-05-12 | 2010-01-20 | Necエレクトロニクス株式会社 | 通信メッセージ変換装置、通信方法及び通信システム |
| US8797926B2 (en) | 2004-06-04 | 2014-08-05 | Apple Inc. | Networked media station |
| JP2006135375A (ja) | 2004-11-02 | 2006-05-25 | Fujitsu Ten Ltd | Canネットワークシステム |
| JP5013668B2 (ja) | 2004-11-19 | 2012-08-29 | 株式会社デンソー | 車両用制御システム |
| JP4349276B2 (ja) | 2004-12-22 | 2009-10-21 | トヨタ自動車株式会社 | 異常判定システム |
| EP1852382B1 (en) | 2005-02-25 | 2015-12-30 | Mitsubishi Denki Kabushiki Kaisha | Elevator apparatus |
| US7801478B2 (en) | 2005-05-03 | 2010-09-21 | Marvell International Technology Ltd. | Systems for and methods of remote host-based media presentation |
| JP2007028377A (ja) | 2005-07-20 | 2007-02-01 | Yazaki Corp | 車両内lan用ゲートウエイ装置の通信仕様の設定方法、通信モードの設定方法及びこれらの設定方法に用いられる設定装置 |
| JP2007034910A (ja) | 2005-07-29 | 2007-02-08 | Fujitsu Ten Ltd | マルチcpuシステム及びスケジューラ |
| US7953536B2 (en) * | 2005-07-29 | 2011-05-31 | GM Global Technology Operations LLC | Inertial sensor software architecture security method |
| US7539565B2 (en) | 2006-02-24 | 2009-05-26 | Denso International America, Inc. | Smart unlock control by vehicle location |
| DE112006003746T5 (de) * | 2006-03-14 | 2009-06-10 | Mitsubishi Electric Corporation | Fahrzeugausrüstung |
| JP4560000B2 (ja) | 2006-03-31 | 2010-10-13 | 株式会社オートネットワーク技術研究所 | 動作監視ユニット |
| US7693638B2 (en) | 2007-01-23 | 2010-04-06 | Gm Global Technology Operations, Inc. | Commanded clutch diagnostic for hybrid vehicles |
| US20100257139A1 (en) * | 2007-03-29 | 2010-10-07 | Gm Global Technology Operations, Inc. | Vehicle Data Security Method and System |
| JP2009017154A (ja) | 2007-07-04 | 2009-01-22 | Mitsubishi Fuso Truck & Bus Corp | 車載ゲートウェイ装置 |
| TWI448111B (zh) | 2008-03-18 | 2014-08-01 | Icm Inc | Automobile detection and control integration device and method thereof |
| JP4621837B2 (ja) | 2008-07-10 | 2011-01-26 | 国立大学法人名古屋大学 | 中継装置、通信システム及び通信方法 |
| JP4920015B2 (ja) | 2008-09-03 | 2012-04-18 | 日立オートモティブシステムズ株式会社 | 分散制御用制御ソフトウェアおよび電子制御装置 |
| DE112009003569B4 (de) * | 2008-12-05 | 2015-07-02 | Mitsubishi Electric Corp. | Externe Kommunikationseinheit eines Bord-Informatiossystemes und Bord-Informationssystem |
| WO2010073313A1 (ja) | 2008-12-22 | 2010-07-01 | トヨタ自動車株式会社 | 車両用電子制御システム、車両用電子制御ユニット、車両用制御同期方法 |
| CN102265261B (zh) | 2008-12-22 | 2014-07-02 | 丰田自动车株式会社 | 车辆用电子控制系统、车辆用电子控制单元、车辆用控制同步方法 |
| JP2010274783A (ja) | 2009-05-28 | 2010-12-09 | Autonetworks Technologies Ltd | 制御装置及びコンピュータプログラム |
| JP4766160B2 (ja) | 2009-07-29 | 2011-09-07 | 株式会社デンソー | 通信システムおよび通信ノード |
| WO2011067809A1 (ja) | 2009-12-02 | 2011-06-09 | トヨタ自動車株式会社 | データ通信ネットワークシステム |
| JP2011244142A (ja) | 2010-05-17 | 2011-12-01 | Toyota Motor Corp | データ通信装置およびデータ通信方法 |
| CN201761453U (zh) | 2010-07-12 | 2011-03-16 | 苏州大学 | 客车车身控制系统的可配置控制模块 |
| JP5620730B2 (ja) | 2010-07-13 | 2014-11-05 | 株式会社日立製作所 | 2重系演算処理装置および2重系演算処理方法 |
| US8461846B2 (en) | 2010-10-29 | 2013-06-11 | GM Global Technology Operations LLC | Vehicle battery testing |
| JP5682388B2 (ja) | 2011-03-16 | 2015-03-11 | 株式会社豊田中央研究所 | 障害診断方法及び障害診断システム |
| JP5357204B2 (ja) | 2011-04-18 | 2013-12-04 | 三菱電機株式会社 | 制御システム |
| EP2719599A4 (en) * | 2011-06-07 | 2017-05-10 | Daesung Electric Co., Ltd. | Device and method for detecting error in dual controller system |
| US20130282946A1 (en) | 2012-04-23 | 2013-10-24 | Flextronics Ap, Llc | Controller area network bus |
| US8966248B2 (en) | 2012-04-06 | 2015-02-24 | GM Global Technology Operations LLC | Secure software file transfer systems and methods for vehicle control modules |
-
2012
- 2012-08-24 DE DE112012006843.2T patent/DE112012006843T5/de active Pending
- 2012-08-24 JP JP2014531463A patent/JP5766360B2/ja active Active
- 2012-08-24 US US14/419,356 patent/US9925935B2/en active Active
- 2012-08-24 CN CN201280075300.5A patent/CN104583017B/zh active Active
- 2012-08-24 WO PCT/JP2012/071381 patent/WO2014030247A1/ja active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| US9925935B2 (en) | 2018-03-27 |
| CN104583017B (zh) | 2016-11-16 |
| CN104583017A (zh) | 2015-04-29 |
| JPWO2014030247A1 (ja) | 2016-07-28 |
| DE112012006843T5 (de) | 2015-05-21 |
| US20150217706A1 (en) | 2015-08-06 |
| WO2014030247A1 (ja) | 2014-02-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5766360B2 (ja) | 車載通信システムおよび車載通信方法 | |
| CN112004730B (zh) | 车辆控制装置 | |
| JP6220232B2 (ja) | 車両の制御装置 | |
| US9604585B2 (en) | Failure management in a vehicle | |
| US9934111B2 (en) | Control and data transmission system, process device, and method for redundant process control with decentralized redundancy | |
| US20140277608A1 (en) | Fault Tolerant Control System | |
| US7453902B2 (en) | Failsafe transmission of data | |
| KR102533939B1 (ko) | 차량 제어 시스템 | |
| US7418316B2 (en) | Method and device for controlling operational processes, especially in a vehicle | |
| JPWO2018225352A1 (ja) | 車両制御装置および車両制御システム | |
| JP2020506472A (ja) | 冗長プロセッサアーキテクチャ | |
| US20210089018A1 (en) | Method for controlling a motor vehicle remotely | |
| JP2006253921A (ja) | 車両用ネットワークシステム | |
| US7337020B2 (en) | Open-loop and closed-loop control unit | |
| JP2009126413A (ja) | 車両用電装機器の制御装置 | |
| US10585772B2 (en) | Power supply diagnostic strategy | |
| JP2008206390A (ja) | スイッチング装置及びそれに対応する負荷の活動化方法 | |
| JP7163576B2 (ja) | 車両制御システムおよび車両制御装置 | |
| CN107210937B (zh) | 在数据总线中的总线监控器 | |
| KR20200110956A (ko) | 차량의 이중화 시스템과, 그 전원 공급 장치 및 방법 | |
| KR100845913B1 (ko) | 전자제어유닛 고장 검출 시뮬레이터 | |
| CN113722770B (zh) | 基于分级的数据完整性的端到端的保护方法及系统 | |
| US20170199834A1 (en) | Vehicle subsystem communication arbitration | |
| JP2013239116A (ja) | ノード及び分散システム | |
| KR100860486B1 (ko) | 차량자세제어시스템에서 캔 메시지 타임아웃 에러 체크방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150519 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150616 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5766360 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |