JP6207652B2 - 制御システム - Google Patents
制御システム Download PDFInfo
- Publication number
- JP6207652B2 JP6207652B2 JP2016070173A JP2016070173A JP6207652B2 JP 6207652 B2 JP6207652 B2 JP 6207652B2 JP 2016070173 A JP2016070173 A JP 2016070173A JP 2016070173 A JP2016070173 A JP 2016070173A JP 6207652 B2 JP6207652 B2 JP 6207652B2
- Authority
- JP
- Japan
- Prior art keywords
- state
- transition
- signal
- control
- microcomputer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000007704 transition Effects 0.000 claims description 112
- 230000004913 activation Effects 0.000 claims description 108
- 238000000034 method Methods 0.000 claims description 62
- 238000012545 processing Methods 0.000 claims description 54
- 230000008569 process Effects 0.000 claims description 51
- 238000012795 verification Methods 0.000 claims description 30
- 238000001514 detection method Methods 0.000 claims description 26
- 238000012790 confirmation Methods 0.000 claims description 21
- 238000012544 monitoring process Methods 0.000 claims description 8
- 230000004044 response Effects 0.000 claims description 4
- 230000005540 biological transmission Effects 0.000 claims description 2
- 230000003213 activating effect Effects 0.000 claims 1
- 238000001994 activation Methods 0.000 description 88
- 238000010586 diagram Methods 0.000 description 14
- 230000005856 abnormality Effects 0.000 description 6
- 230000007274 generation of a signal involved in cell-cell signaling Effects 0.000 description 6
- 238000002360 preparation method Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 2
- 239000000446 fuel Substances 0.000 description 2
- 238000010200 validation analysis Methods 0.000 description 2
- 241000257465 Echinoidea Species 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000006866 deterioration Effects 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
Images
Landscapes
- Power Sources (AREA)
- Traffic Control Systems (AREA)
Description
この発明は、車両に搭載される制御装置の起動と停止に関する状態遷移を行う制御システムに関するものである。
車両には、ECU(Electronic Control Unit)と呼ばれる制御装置が複数搭載されており、そのECU間はネットワークで接続されている。このECUは、車両に搭載されるバッテリやオルタネータ・モータなどから電力が供給される。
近年、車両に搭載されるECUの数の増加に伴い、ECUが消費する電力量が増加している。消費電力量が増加すると、オルタネータ・モータなどによる発電量が増加し、車両の燃費・電費悪化につながることになる。そこで、燃費向上のために車載品の省電力化が求められるようになり、ECUにおいても省電力対応が必要になってきている。
近年、車両に搭載されるECUの数の増加に伴い、ECUが消費する電力量が増加している。消費電力量が増加すると、オルタネータ・モータなどによる発電量が増加し、車両の燃費・電費悪化につながることになる。そこで、燃費向上のために車載品の省電力化が求められるようになり、ECUにおいても省電力対応が必要になってきている。
ECUの省電力対応は、さまざまな手法がとられているが、主には起動する必要のないECUをシャットダウン状態、スリープ状態、あるいは不要な機能を止める縮退動作状態に遷移させる手法がとられている。
シャットダウン状態やスリープ状態のECUが、通常動作状態に遷移するためには、例えば、特開2012−049885号公報(特許文献1)に開示されているように、ウェイクアップ信号をECUに入力する必要がある。ECUは、ウェイクアップ信号を検出すると、通常動作状態になるためのシーケンスを実行する。
シャットダウン状態やスリープ状態のECUが、通常動作状態に遷移するためには、例えば、特開2012−049885号公報(特許文献1)に開示されているように、ウェイクアップ信号をECUに入力する必要がある。ECUは、ウェイクアップ信号を検出すると、通常動作状態になるためのシーケンスを実行する。
また、例えば、AUTOSAR Specification of ECU State Manager(非特許文献1)に開示されているように、ECUはウェイクアップ信号を検出すると、そのウェイクアップ信号が、想定されるウェイクアップ信号であるか否かを判定し、ウェイクアップ信号が想定されるものであれば、通常動作を開始する。ウェイクアップ信号が想定されないものであれば、シャットダウン状態やスリープ状態に遷移する。
また、昨今、車載セキュリティが重要視されている。悪意のあるハッカーなどが、車載ネットワークを介して、シャットダウン状態やスリープ状態のECUを強制的に起動させる行為が行われることも考えられる。例えば、セキュリティ対策のないECUでは、悪意のある機器から送信されたウェイクアップ信号であっても、一般的にはウェイクアップ信号のIDや型などが合致していれば、ECUをシャットダウン状態やスリープ状態から起動して、異常な動作をさせることができる。そのために、ウェイクアップ信号が正当な対象から送信されたものか否かの認証をする必要性も出てくる。
AUTOSAR Specification of ECU State Manager
しかしながら、上記先行技術文献に開示された技術を適用すると、次のような課題がある。即ち、ECUが、シャットダウン状態やスリープ状態から通常動作状態になるまでに、ウェイクアップ信号が想定されたものか否かを判断するための時間が必要であるため、ウェイクアップ信号を検出した直後から通常動作を開始することができない。緊急性の高い動作が要求された場合においては、即座に動作することができないため、車両の挙動に悪影響を与える可能性がある。
また、セキュリティ対策を施したECUにおいては、シャットダウン状態やスリープ状態から通常動作状態になるまでに、ウェイクアップ信号が正当な対象から送信されたものか否かを認証するための時間が必要であるため、ウェイクアップ信号を検出した直後から通常動作を開始することができないという問題がある。
このような問題を解決するために、本出願人は、特願2014−205418号(先願発明)により、シャットダウン状態やスリープ状態から通常動作を開始するまでの時間を短縮することができる制御システムを提案している。しかし、この先願発明では、通常動作を開始させるための起動信号をマイコンが正しく検出して通常動作を開始すること、及び通常動作を開始させるために外部から起動信号が正しく出力されること、が保証されておらず、これらの動作に異常が発生している場合は、緊急性の高い動作が要求されても即座に対応することができない課題がある。
この発明は、上記のような課題を解決するためになされたもので、シャットダウン状態やスリープ状態から通常動作を開始するまでの時間を短縮すると共に、通常動作状態に遷移する処理の確実性を向上させることを目的とするものである。
この発明による制御システムは、複数の制御装置が信号線により接続された制御システムであって、上記複数の制御装置のうちの一つである第1の制御装置は、マイコンを搭載し、上記信号線を介して送信される起動信号を検出して上記マイコンを起動する起動手段と、上記起動信号の妥当性を検証する妥当性検証手段と、上記起動信号の検出結果及び上記妥当性検証手段の検証結果のいずれか一方または両方に応じて、上記マイコンの状態を遷移させる状態管理手段と、上記状態管理手段による上記マイコンの状態に応じた制御処理を行う制御処理手段と、を有し、
上記マイコンは、上記制御処理手段による通常制御を行う通常動作状態と、制御処理を停止した停止状態と、上記停止状態から上記通常動作状態に遷移する準備を行うための起動遷移状態と、上記通常動作状態から上記停止状態に遷移する準備を行うための停止遷移状態との各状態へ遷移可能に構成され、
上記第1の制御装置以外の第2の制御装置は、上記起動信号を送信する起動確認信号生成手段と、上記第2の制御装置の周囲状況から上記第1の制御装置が起動を必要とするまでの時間を測定する起動要否判定手段と、上記起動信号の送信周期を所定の周期に調整する周期調整手段と、を備え、上記マイコンが上記停止状態にある場合で、上記起動確認信号生成手段が上記所定の周期で上記起動信号を送信し、上記第1の制御装置で上記起動信号が検出された場合には、上記妥当性検証手段による上記起動信号の検証が行われる前に、上記状態管理手段は、上記マイコンの状態を上記起動遷移状態を介して上記通常動作状態に遷移させ、上記制御処理手段は、通常制御を開始すると共に、上記起動要否判定手段で検出した時間よりも短くなるように、上記周期調整手段が上記所定の周期を調整するものである。
上記マイコンは、上記制御処理手段による通常制御を行う通常動作状態と、制御処理を停止した停止状態と、上記停止状態から上記通常動作状態に遷移する準備を行うための起動遷移状態と、上記通常動作状態から上記停止状態に遷移する準備を行うための停止遷移状態との各状態へ遷移可能に構成され、
上記第1の制御装置以外の第2の制御装置は、上記起動信号を送信する起動確認信号生成手段と、上記第2の制御装置の周囲状況から上記第1の制御装置が起動を必要とするまでの時間を測定する起動要否判定手段と、上記起動信号の送信周期を所定の周期に調整する周期調整手段と、を備え、上記マイコンが上記停止状態にある場合で、上記起動確認信号生成手段が上記所定の周期で上記起動信号を送信し、上記第1の制御装置で上記起動信号が検出された場合には、上記妥当性検証手段による上記起動信号の検証が行われる前に、上記状態管理手段は、上記マイコンの状態を上記起動遷移状態を介して上記通常動作状態に遷移させ、上記制御処理手段は、通常制御を開始すると共に、上記起動要否判定手段で検出した時間よりも短くなるように、上記周期調整手段が上記所定の周期を調整するものである。
この発明によれば、停止状態から通常動作状態に遷移するまでにかかる時間を短縮することができ、かつ、その通常動作状態に遷移する処理の確実性を追加の機構部品なしに向上できる。
以下、この発明による制御システムの好適な実施の形態について図面を参照して詳細に説明する。なお、以下の各実施の形態では、車両に制御システムが搭載されている場合について説明する。
実施の形態1.
図1は、この発明の実施の形態1による制御システムを搭載した車両の通常動作状態を示す車両模式図である。
図1において、制御システムが搭載された制御システム搭載車両41は、車両の数百m前方の状況を検出するレーザレーダと、車両の数十mの前方や周辺の状況を検出するステレオカメラと、車両の数m周辺を検出する超音波センサの各検出機器、即ち、周辺監視手段(何れも図示せず。)を備えている。それぞれの検出機器の検出範囲として、レーザレーダの検出範囲44を実線、ステレオカメラの検出範囲45を点線、超音波センサの検出範囲46を一点鎖線として図示する。
図1は、この発明の実施の形態1による制御システムを搭載した車両の通常動作状態を示す車両模式図である。
図1において、制御システムが搭載された制御システム搭載車両41は、車両の数百m前方の状況を検出するレーザレーダと、車両の数十mの前方や周辺の状況を検出するステレオカメラと、車両の数m周辺を検出する超音波センサの各検出機器、即ち、周辺監視手段(何れも図示せず。)を備えている。それぞれの検出機器の検出範囲として、レーザレーダの検出範囲44を実線、ステレオカメラの検出範囲45を点線、超音波センサの検出範囲46を一点鎖線として図示する。
それぞれの検出機器はそれぞれのECUに搭載され、通常動作状態においては、それぞれのECUが動作し、それぞれの検出できる範囲の状況を監視する。周囲には、制御システム搭載車両41の前方を走行する先行車両42、制御システム搭載車両41の近くを走行する第3の車両43が存在する。なお、図1に示す各検出機器の配置は一例であって、搭載位置の制約はない。
図2は、実施の形態1による制御システムのネットワーク構成を示すブロック図である。
図2において、レーザレーダの検出値はレーダECU52で、ステレオカメラの検出値はカメラECU53で、超音波センサの検出値は超音波センサECU54でそれぞれ処理される。各ECUは共通の信号線21で接続されて、各ECUの情報をゲートウェイであるADAS−ECU51に集約する。
図2において、レーザレーダの検出値はレーダECU52で、ステレオカメラの検出値はカメラECU53で、超音波センサの検出値は超音波センサECU54でそれぞれ処理される。各ECUは共通の信号線21で接続されて、各ECUの情報をゲートウェイであるADAS−ECU51に集約する。
また、各ECU間においても、それぞれデータの送受信を行う。ADAS−ECU51は集約された情報から、ブレーキ要否、自動操舵による回避要否を判断し、ブレーキを行うブレーキECU55、又は操舵を行うステアリングECU56に指示を出す。これらの手段を用いて、制御システム搭載車両41は、事故の危険回避、被害軽減を行うことが可能である。なお、レーダECU52、カメラECU53及び超音波センサECU54をまとめて、周辺検出ECUと称する。
また、車両の省電力化を目的として、各ECUは車両の置かれる状況に応じて、通常動作状態と停止状態(スリープ状態又はシャットダウン状態を言う。以下、同様)を切替えることができる。例えば、周囲に車両がなく、レーダECU52で検出できる範囲のみにおいて先行車両42が存在する場合や、カメラECU53が第3の車両43を捉えてはいるが、衝突の恐れがない場合などは、これらの車両が接近するまでは、超音波センサECU54を停止状態にすることができる。
また、他の車両がまったく検出されない場合においても、超音波センサECU54は、停止状態とすることができる。逆に、近接する車両があり、衝突の危険性が高くなってきた場合や、カメラECU53で他の車両を捉えられなくなった場合は、超音波センサECU54の動作は不可欠である。なお、レーザレーダやカメラを数多く搭載することが対策として考えられるが、それらは超音波センサと比較すると高価であって、数を多く搭載できないため、測定範囲は狭いが安価な超音波センサECU54などを駆使することが求められる。
図3は、実施の形態1による制御システムに搭載される超音波センサECUの機能を説明するブロック図である。図3において、信号線21、レーダECU52、カメラECU53、超音波センサECU54は図2におけるものと同一のものである。
超音波センサECU54は、マイコン10を搭載しており、マイコン10は、外部から送信される起動信号31を取得してマイコン10を起動する起動手段1と、取得した起動信号31があらかじめ設定された起動信号か否かを判定し、さらに起動信号31が正当な権限を与えられた相手から取得したものかどうかを判定する妥当性検証手段2と、起動信号31及び妥当性検証手段2の結果からマイコン10の状態遷移を行うかどうかを判定し、実際に状態遷移を行う状態管理手段3と、状態管理手段3の結果に応じた制御処理を実行する制御処理手段4を備えている。なお、符号33は、起動信号31のように起動を行わない起動確認疑似信号を示している。
超音波センサECU54は、マイコン10を搭載しており、マイコン10は、外部から送信される起動信号31を取得してマイコン10を起動する起動手段1と、取得した起動信号31があらかじめ設定された起動信号か否かを判定し、さらに起動信号31が正当な権限を与えられた相手から取得したものかどうかを判定する妥当性検証手段2と、起動信号31及び妥当性検証手段2の結果からマイコン10の状態遷移を行うかどうかを判定し、実際に状態遷移を行う状態管理手段3と、状態管理手段3の結果に応じた制御処理を実行する制御処理手段4を備えている。なお、符号33は、起動信号31のように起動を行わない起動確認疑似信号を示している。
図4は、超音波センサECU54のマイコン10の状態遷移を示す図である。
図4において、超音波センサECU54のマイコン10は、少なくとも停止状態、通常動作状態、停止状態から通常動作状態に遷移する準備を行う起動遷移状態、通常動作状態から停止状態に遷移する準備を行う停止遷移状態の4つの状態を備えている。図4では、停止状態、起動遷移状態、通常動作状態、停止遷移状態の各状態に、それぞれ信号を受けて遷移する様子が示されている。
図4において、超音波センサECU54のマイコン10は、少なくとも停止状態、通常動作状態、停止状態から通常動作状態に遷移する準備を行う起動遷移状態、通常動作状態から停止状態に遷移する準備を行う停止遷移状態の4つの状態を備えている。図4では、停止状態、起動遷移状態、通常動作状態、停止遷移状態の各状態に、それぞれ信号を受けて遷移する様子が示されている。
図4を用いてマイコン10の動作について説明する。制御システム搭載車両41に搭載される超音波センサECU54は、図3に示すように、マイコン10を搭載しており、マイコン10は少なくとも停止状態、通常動作状態、停止状態から通常動作状態に遷移する準備を行う起動遷移状態、通常動作状態から停止状態に遷移する準備を行う停止遷移状態の4つの状態を備えている。
超音波センサECU54の動作が不要と判断した場合は、停止状態に遷移する。逆に、他のECUが超音波センサECU54の動作が必要と判断した場合は、起動信号31を超音波センサECU54に送信し、マイコン10は通常動作状態に遷移する。それらの中間状態として、起動遷移状態では、通常動作状態での通常制御における処理のために必要なソフトウェアモジュールの初期化処理や再初期化処理を行う。また、停止遷移状態では、停止状態にするために、通常制御などマイコンの動作を停止する処理を行う。
超音波センサECU54の動作が不要と判断した場合は、停止状態に遷移する。逆に、他のECUが超音波センサECU54の動作が必要と判断した場合は、起動信号31を超音波センサECU54に送信し、マイコン10は通常動作状態に遷移する。それらの中間状態として、起動遷移状態では、通常動作状態での通常制御における処理のために必要なソフトウェアモジュールの初期化処理や再初期化処理を行う。また、停止遷移状態では、停止状態にするために、通常制御などマイコンの動作を停止する処理を行う。
次に、図3の説明に戻ってマイコン10の起動手段1の動作について説明する。
起動手段1は、マイコン10の外部から送信される停止状態から通常動作状態への遷移要求を含んだ起動信号31を検出する。起動信号31を検出するとマイコン10が起動し、マイコン10は起動信号31が何であるかを判断するため、状態管理手段3及び妥当性検証手段2に起動信号31を送信する。
本実施の形態1では、CAN信号としているが、この限りでなく、信号で超音波センサECU54が起動できるものであれば、自動車などの車載ネットワークに用いられるFlexRay(登録商標)、あるいはEthernet(登録商標)での通信信号、あるいはデジタル信号などでもよい。
起動手段1は、マイコン10の外部から送信される停止状態から通常動作状態への遷移要求を含んだ起動信号31を検出する。起動信号31を検出するとマイコン10が起動し、マイコン10は起動信号31が何であるかを判断するため、状態管理手段3及び妥当性検証手段2に起動信号31を送信する。
本実施の形態1では、CAN信号としているが、この限りでなく、信号で超音波センサECU54が起動できるものであれば、自動車などの車載ネットワークに用いられるFlexRay(登録商標)、あるいはEthernet(登録商標)での通信信号、あるいはデジタル信号などでもよい。
次に、マイコン10の妥当性検証手段2の動作について説明する。
妥当性検証手段2は、起動手段1が出力した結果を基に、起動信号31があらかじめ設定されたものか否かを判定し、さらにその起動信号31が正当な権限を与えられた相手から取得したものかどうかを判定する。起動信号31があらかじめ設定された起動信号であるかどうかの判断は、取得したCAN信号(ID又はメッセージ構成)を確認することにより行う。さらに、起動信号31が正当な権限を与えられた相手から取得したものかどうかの判断は、起動信号31がCAN信号であれば、メッセージに重畳される特定ノードから送信されたことを表す識別ビットを解析・認証することにより行う。
なお、本実施の形態1では、識別ビットとしたが、この限りでなく正当な権限を与えられた相手から取得したものであることを保障できる手段であればどのような手段でも構わない。また、妥当性検証手段2の結果は、状態管理手段3に送信される。
妥当性検証手段2は、起動手段1が出力した結果を基に、起動信号31があらかじめ設定されたものか否かを判定し、さらにその起動信号31が正当な権限を与えられた相手から取得したものかどうかを判定する。起動信号31があらかじめ設定された起動信号であるかどうかの判断は、取得したCAN信号(ID又はメッセージ構成)を確認することにより行う。さらに、起動信号31が正当な権限を与えられた相手から取得したものかどうかの判断は、起動信号31がCAN信号であれば、メッセージに重畳される特定ノードから送信されたことを表す識別ビットを解析・認証することにより行う。
なお、本実施の形態1では、識別ビットとしたが、この限りでなく正当な権限を与えられた相手から取得したものであることを保障できる手段であればどのような手段でも構わない。また、妥当性検証手段2の結果は、状態管理手段3に送信される。
次に、マイコン10の状態管理手段3の動作について説明する。
状態管理手段3は、起動手段1及び妥当性検証手段2の結果を受けて、停止状態から通常動作状態に遷移するか否かを判定し、その結果、状態遷移を実施する。遷移したマイコン10の状態は、制御処理手段4に送信される。このとき、状態管理手段3は、起動手段1の出力のみを受けて、停止状態から通常動作状態への状態遷移を行うことも、起動手段1及び妥当性検証手段2の両方の結果を受けて状態遷移を行うことも可能である。
状態管理手段3は、起動手段1及び妥当性検証手段2の結果を受けて、停止状態から通常動作状態に遷移するか否かを判定し、その結果、状態遷移を実施する。遷移したマイコン10の状態は、制御処理手段4に送信される。このとき、状態管理手段3は、起動手段1の出力のみを受けて、停止状態から通常動作状態への状態遷移を行うことも、起動手段1及び妥当性検証手段2の両方の結果を受けて状態遷移を行うことも可能である。
次に、マイコン10の制御処理手段4の動作について説明する。
制御処理手段4は、状態管理手段3が管理するマイコン10の状態に応じた処理を実行する。
制御処理手段4は、状態管理手段3が管理するマイコン10の状態に応じた処理を実行する。
次に、レーダECU52とカメラECU53の動作について説明する。
第1の制御装置である超音波センサECU54が停止状態から通常動作状態に遷移する際は、第2の制御装置であるカメラECU53又はレーダECU52が常に通常動作状態である。
この状況を利用して、カメラECU53又はレーダECU52は、停止状態から通常動作状態に遷移させるための起動信号31を、CAN信号として出力する機能を備えている。また、起動確認疑似信号生成手段36を備えており、起動信号31のように起動を行わない所定の周期の起動確認疑似信号33も送信可能である。
第1の制御装置である超音波センサECU54が停止状態から通常動作状態に遷移する際は、第2の制御装置であるカメラECU53又はレーダECU52が常に通常動作状態である。
この状況を利用して、カメラECU53又はレーダECU52は、停止状態から通常動作状態に遷移させるための起動信号31を、CAN信号として出力する機能を備えている。また、起動確認疑似信号生成手段36を備えており、起動信号31のように起動を行わない所定の周期の起動確認疑似信号33も送信可能である。
また、レーダECU52又はカメラECU53は、起動確認信号生成手段35から、起動信号31を周期的に超音波センサECU54に送信する機能を持つ。周期の決定方法は、マイコン10のHW異常、ないしは信号線21の異常などのランダム・ハードウェア故障が発生する故障率を基に算出する。具体的には、周期は故障率の時間経過加算分が目標故障率となるまでの時間以内とする。その理由として故障率は、その機構が正常に動作していることを確認することにより、それまでに経過した時間はリセットされ、故障率が見かけ上、下げられる。つまり、目標故障率までに正しく動作することをチェックすることにより、故障は発生しないと考えられる。
また、周期の決定方法は、故障率を用いた決め方に限らず、マイコン10の目標省電力量を達成するために、所定時間以内に何回起きるかといった指標を活用することも可能である。
さらに、カメラECU53又はレーダECU52は、起動確認疑似信号生成手段36から、起動以外の信号33を周期的に送信する機能も持つ。周期の決定方法は、起動信号31の周期の決定方法と同じである。
そのほか、カメラECU53又はレーダECU52は、起動確認信号生成手段35が送信する起動信号31と、起動確認疑似信号生成手段36が送信する起動以外の信号33の周期を調整することができる周期調整手段37と、超音波センサECU54が起動する必要があるタイミングを、そのほかのECU状態や車両状況を基に判断する起動要否判定手段38を備えている。
次に、このような構成を持つ実施の形態1による制御システムの通常動作状態への遷移の処理について、図5のフローチャートに従って説明する。
図5において、先ず、S101では、レーダECU52とカメラECU53が、自車周辺に他の車両がない(Yes)か否(No)か、また他の車両があっても衝突の可能性がない位置で捉えている(Yes)か否(No)かの判断を行う。両方の判断結果がYesとなった場合のみ、Yesの分岐処理を実行する。なお、このとき、周辺検出ECU(超音波センサECU54、カメラECU53、レーダECU52)は、通常動作状態で動作しているものとする。
図5において、先ず、S101では、レーダECU52とカメラECU53が、自車周辺に他の車両がない(Yes)か否(No)か、また他の車両があっても衝突の可能性がない位置で捉えている(Yes)か否(No)かの判断を行う。両方の判断結果がYesとなった場合のみ、Yesの分岐処理を実行する。なお、このとき、周辺検出ECU(超音波センサECU54、カメラECU53、レーダECU52)は、通常動作状態で動作しているものとする。
S102−1では、S101での結果がYesの場合、超音波センサECU54のマイコン10を停止状態に遷移させて、S199に遷移する。
S102−2では、S101での結果がNoの場合、超音波センサECU54を含む全ての周辺検出ECUは、通常動作状態のままとする。近接する車両がある場合は、超音波センサECU54も通常動作状態のままとすることで、検出精度を維持しておく。
S102−2では、S101での結果がNoの場合、超音波センサECU54を含む全ての周辺検出ECUは、通常動作状態のままとする。近接する車両がある場合は、超音波センサECU54も通常動作状態のままとすることで、検出精度を維持しておく。
S199では、超音波センサECU54の起動処理を含むマイコンが正常に動作しているかどうか監視処理を通じて確認する。確認方法は、図6(a)のフローチャートに示すS190−1、又は図6(b)のフローチャートに示すS190−2を実施し、処理が完了したらS103に遷移する。
図6(a)のS190−1では、レーダECU52とカメラECU53がとらえている車両が近くに存在せず、他車との接触の可能性が限りなく小さい場合はYesとしてS191−1に遷移し、そうでない場合はこの監視処理を終了する。
S191−1では、意図的に超音波センサECU54を起動させるため、レーダECU52とカメラECU53が周期的に起動信号を送信する。
S192−1では、起動信号によりマイコン10の初期化等を実施して再起動を行い、S193−1では、起動信号により超音波センサECU54の状態管理手段3が起動遷移状態に遷移する。そして、S194−1では、起動遷移状態に遷移した後、停止遷移状態に遷移する。
図6(b)のS190−2では、S190−1と同様であるため、機能詳細の説明は省略するが、S191−2では、レーダECU52とカメラECU53が周期的に起動疑似信号を送信する。そして、S192−2では、通常動作状態への起動動作が行われないことを確認したら、超音波センサECU54は、レーダECU52とカメラECU53に起動動作が行われないことを伝達し、S103に遷移する。
図5に戻り、S103では、レーダECU52とカメラECU53が、自車に近接する車両がある(Yes)か否(No)かの判断を行う。近接する車両がある場合は、接触の恐れがあるかどうかを超音波センサECU54で即座に判断を行う必要がある。また、カメラECU53で、自車周辺の他の車両が接触しないことを確認できなくなった(Yes)か否(No)かも判断を行う必要がある。これらの判断結果の1つでもYesとなれば、Yesの分岐処理を実行する。
S104では、S103でYesとなった場合は、自車との衝突の可能性が生じてくるため、超音波センサECU54を起動し、通常動作を行わせるためにカメラECU53又はレーダECU52が、超音波センサECU54に起動信号31をCAN信号で送信する。
S105では、超音波センサECU54の起動手段1が、カメラECU53又はレーダECU52からのCAN信号による起動信号31を検出し、超音波センサECU54のマイコン10が起動し、マイコン10の起動後に起動信号31を取得したことを状態管理手段3に送信する。
S106では、状態管理手段3が、起動手段1の出力結果のみを受けて、マイコン状態を停止状態から起動遷移状態に遷移させる。
S107では、制御処理手段4が、状態管理手段3からの状態遷移通知を受けて、起動遷移状態での制御処理であるソフトウェアモジュールの初期化を実行する。
S108では、状態管理手段3が、制御処理手段4からのソフトウェアモジュールの初期化完了通知(図4の通常動作準備完了)を受信したのち、マイコン状態を起動遷移状態から通常動作状態に遷移させる。
S109では、制御処理手段4が、状態管理手段3からの状態遷移通知を受けて、通常動作状態での制御処理である通常制御を実行開始する。
なお、S103で判断結果でNoの場合、又はS102−2で、超音波センサECU54を含む全ての周辺検出ECUが、通常動作状態のままの場合は、S110で状態管理手段3は、マイコン状態を通常動作状態から停止遷移状態に遷移させる。
上述のようにすることで、超音波センサECU54の起動検出手段1が正常に動作することを保証しつつ、停止状態の超音波センサECU54への起動信号31が想定されたものか否かの検証処理や認証処理を省くことができ、停止状態から通常動作を開始するまでの時間を短縮することができる。
つまり、突然、先行車両42が急減速した場合や、第3の車両43が死角などから現れた場合でも、確実に超音波センサECU54が緊急的に通常動作を開始することができるため、自車と他の車両が衝突する可能性を低くできる。又は、衝突被害を軽減できる。
つまり、突然、先行車両42が急減速した場合や、第3の車両43が死角などから現れた場合でも、確実に超音波センサECU54が緊急的に通常動作を開始することができるため、自車と他の車両が衝突する可能性を低くできる。又は、衝突被害を軽減できる。
次に、上述のような構成を持つ実施の形態1の制御システムが、通常動作後、妥当性検証を実行する処理について、図7のフローチャートを用いて説明する。
マイコン10の妥当性検証手段2は、起動手段1の出力を受けた後、時間TDET(起動時間)の計測を開始し、所定時間TVLD経過したかどうかを判定する機能を備えており、所定時間TVLD経過すると、妥当性検証手段2の処理を実行し、状態管理手段3に結果を出力する。
所定時間TVLDは、起動信号31の受信から、超音波センサECU54が通常動作状態で取得したセンサ値をADAS−ECU51に出力し、ADAS−ECU51がブレーキECU55及びステアリングECU56への動作要否を判定するまでの時間とする。
マイコン10の妥当性検証手段2は、起動手段1の出力を受けた後、時間TDET(起動時間)の計測を開始し、所定時間TVLD経過したかどうかを判定する機能を備えており、所定時間TVLD経過すると、妥当性検証手段2の処理を実行し、状態管理手段3に結果を出力する。
所定時間TVLDは、起動信号31の受信から、超音波センサECU54が通常動作状態で取得したセンサ値をADAS−ECU51に出力し、ADAS−ECU51がブレーキECU55及びステアリングECU56への動作要否を判定するまでの時間とする。
S201では、図5のS109以降、妥当性検証手段2において、TDET>TVLDとなるかどうかを判定する。本条件が成立しない限り、S201の処理をループする。不等式が成立(Yes)した場合は、次のS202の処理を実行する。
S202では、起動信号31があらかじめ設定された起動信号であるか否か(妥当かそうでないか)を判定するため、取得したCAN信号のIDを確認する。
S203では、S202で起動信号31の妥当性を確認できた場合、さらに、起動信号31が正当な権限を与えられた相手から取得した(認証成功)ものか否(認証失敗)かの認証を行う。具体的には、メッセージに特定ノードから送信されたことを表す識別ビットがあるかどうかを解析する。
S204−1では、S203で起動信号31の認証が成功した場合、超音波センサECU54は、通常動作を継続するため、状態管理手段3は状態遷移を行わず、通常動作状態継続を指示する。
S205−1では、制御処理手段4が、状態管理手段3から受信した通常動作継続通知を受けて、通常制御を継続する。
S204−2では、S202で起動信号31が妥当でないと判断された場合、又はS203で起動信号31の認証失敗となった場合、状態管理手段3は、通常動作状態から停止遷移状態に遷移する。
S205−2では、制御処理手段4は、状態管理手段3からの状態遷移通知を受けて、実行している通常制御を停止させる。
S206では、状態管理手段3が、制御処理手段4からの通常制御停止通知(図4の停止準備完了)を受けて、マイコン状態を停止遷移状態から停止状態に遷移させる。
次に、レーダECU52とカメラECU53が備える周期調整手段37と起動要否判定手段38の機能について図8に沿って説明する。
起動要否判定手段38は、自車以外の他車を認識できている状態で、車両の状況(例えば相対車速、天候、交通状況)を鑑みて、他車に衝突するまでの時間を導出する。導出した時間に沿って、起動信号31や起動以外の信号33を送信する現在の設定周期と、他車に衝突する恐れのある時間の関係性から、他車に衝突する恐れのある時間が、n回目からn+1回目の間に位置する場合は、周期調整手段37にて周期を短くして、衝突の恐れがある時間より前に監視処理を働かせる。
起動要否判定手段38は、自車以外の他車を認識できている状態で、車両の状況(例えば相対車速、天候、交通状況)を鑑みて、他車に衝突するまでの時間を導出する。導出した時間に沿って、起動信号31や起動以外の信号33を送信する現在の設定周期と、他車に衝突する恐れのある時間の関係性から、他車に衝突する恐れのある時間が、n回目からn+1回目の間に位置する場合は、周期調整手段37にて周期を短くして、衝突の恐れがある時間より前に監視処理を働かせる。
実施の形態1の制御システムのようにすることで、超音波センサECU54の起動検出手段1や妥当性検証手段2が故障して動作しないといった事象を防ぎつつ、停止状態から通常動作状態へ遷移し、緊急的に通常制御を実行しつつ、超音波センサECU54を起動した起動信号31が正しいか否かを判定することができる。
また、超音波センサECU54を起動した起動信号31が正しくない場合は、超音波センサECU54を停止状態に遷移させることができるため、不要な通常制御を最小限に抑えることができる。
また、起動信号31に対する想定されたものかの検証処理や認証処理を、通常制御開始後に行うことで、誤った起動信号や不正な起動信号の介入を防ぐ効果もある。
また、周期調整手段37により、適当なタイミングで周期を調整することで、マイコンの起動が必要なタイミングの前に、マイコン10の通常動作への遷移を確認できるため、緊急動作が必要にもかかわらず、マイコン10が故障して緊急動作できないといった事象を防ぐことができる。
なお、本実施の形態1においては、制御システム搭載車両41の他に2つ車両が存在しているが、本実施の形態1の特徴を実施できるような構成であれば、存在する車両の数や位置については、この限りではない。
また、本実施の形態1においては、制御システム搭載車両41の前方や周辺検出に使う機器をレーザレーダ、ステレオカメラ、超音波センサとしたが、車両の前方や周辺を検出できる機器であれば、この限りではない。
また、本実施の形態1におけるTVLDの時間設定方法はこの限りでなく、通常制御を行った後、実施されるように設定するのであれば、どのような方法でも構わない。
また、本実施の形態1においては、周辺検出に関するECUについて説明を行ったが、スリープ状態(又はシャットダウン状態)から、通常動作までの時間を短くする必要があるECUであれば、この限りではない。
また、本実施の形態1においては、周期調整手段37は、これらのECUに限らず、信号線21上で接続されるECUで、他車と衝突する恐れがあることを判別できるECUであれば、どのECUに機能を盛り込んでもよい。
実施の形態2.
次に、この発明の実施の形態2による制御システムについて説明する。
図9は、実施の形態2による制御システムに搭載される超音波センサECUの機能を説明するブロック図である。
実施の形態2による制御システムは、超音波センサECU54が、実施の形態1の機能に加えて、信号線21を介して、レーダECU52又はカメラECU53に、スリープ状態から通常動作状態に遷移したことを示すECU動作確認信号32を送信するようになっている。また、レーダECU52又はカメラECU53は、実施の形態1の機能に加えて、信号線21を介して、超音波センサECU54に、通常動作状態からスリープ状態に遷移することを禁止する信号(停止状態への遷移禁止信号)34を送信する機能と、所定時間内に超音波センサECU54から受信したECU動作確認信号32がセットされた回数を数える計数手段40を備えている。なお、その他の構成については、実施の形態1と同様であり、同一符号を付して説明を省略する。
次に、この発明の実施の形態2による制御システムについて説明する。
図9は、実施の形態2による制御システムに搭載される超音波センサECUの機能を説明するブロック図である。
実施の形態2による制御システムは、超音波センサECU54が、実施の形態1の機能に加えて、信号線21を介して、レーダECU52又はカメラECU53に、スリープ状態から通常動作状態に遷移したことを示すECU動作確認信号32を送信するようになっている。また、レーダECU52又はカメラECU53は、実施の形態1の機能に加えて、信号線21を介して、超音波センサECU54に、通常動作状態からスリープ状態に遷移することを禁止する信号(停止状態への遷移禁止信号)34を送信する機能と、所定時間内に超音波センサECU54から受信したECU動作確認信号32がセットされた回数を数える計数手段40を備えている。なお、その他の構成については、実施の形態1と同様であり、同一符号を付して説明を省略する。
次に、このような構成を持つ実施の形態2の制御システムの処理について、図10のフローチャートに従って説明する。
図10において、先ず、S301では、レーダECU52やカメラECU53が、計数手段40によりカウントした回数NOPを1インクリメントする。なお、S301より前の処理は、図5におけるS107までと同様の処理であるため、その説明を省略する。
図10において、先ず、S301では、レーダECU52やカメラECU53が、計数手段40によりカウントした回数NOPを1インクリメントする。なお、S301より前の処理は、図5におけるS107までと同様の処理であるため、その説明を省略する。
S302では、レーダECU52やカメラECU53において、計数手段40によってカウントしたECU動作確認信号32の回数NOPとあらかじめ設定した回数NTH(所定回数)とを比較し、NOP<NTHである(Yes)か否(No)かを判定する。Yesの場合はS303の処理を実行し、Noの場合はS309の処理を実行する。
ここで、NTHは、自身又はその周辺に位置するECUなどが通常動作状態に発生し得るノイズなどの誤動作で起動される回数を基に決定する。仮に、他のECU異常や、起動検出に関するハードウェア故障によりノイズが増大した場合などは、誤って起動される回数が多くなるはずである。
ここで、NTHは、自身又はその周辺に位置するECUなどが通常動作状態に発生し得るノイズなどの誤動作で起動される回数を基に決定する。仮に、他のECU異常や、起動検出に関するハードウェア故障によりノイズが増大した場合などは、誤って起動される回数が多くなるはずである。
S303〜S308については、図7のS201〜S206と同様の処理であるため、その説明を省略する。
S309では、レーダECU52又はカメラECU53が、超音波センサECU54に対して、これ以降、通常動作状態から停止状態に遷移することが無いように、信号線21を介して遷移禁止信号34を送信し、遷移禁止指示を行う。
S310では、レーダECU52又はカメラECU53から受信した指示に応じて、超音波センサECU54の状態管理手段3は、以降に停止状態に遷移しないようにする。
実施の形態2による制御システムによれば、以上のようにすることにより、他のECU異常の場合や、起動信号31を検出するためのマイコン10の外部の回路が故障している場合などに、必要なタイミングで、超音波センサECU54を起動することができなくなってしまうことを解決することができる。また、誤ったタイミングで発生し得る起動信号31により、超音波センサECU54がスリープ状態(又はシャットダウン状態)から通常動作状態へ遷移することも防ぐことができる。
実施の形態3.
次に、この発明の実施の形態3による制御システムについて説明する。
実施の形態3における制御システムに搭載される超音波センサECUの機能ブロック図は、図3におけるものと同様である。
図11は、実施の形態3による制御システムのソフトウェアモジュールと通常動作状態の関連を示す模式図である。
図11において、マイコン10を構成するソフトウェアモジュールは、ダイアグ(故障診断など)関連、MCU(クロックの設定など)関連、ドライバ(アナログ/デジタル入出力や通信など)関連、EEPROM関連、通信(ネットワークマネジメント、PDU(Protocol Data Unit)の管理など)関連である。
図11では、これらと、通常動作状態での通常制御における遷移直後処理、及び妥当性検証の処理実行後に行う定常処理との関連を線で示している。
次に、この発明の実施の形態3による制御システムについて説明する。
実施の形態3における制御システムに搭載される超音波センサECUの機能ブロック図は、図3におけるものと同様である。
図11は、実施の形態3による制御システムのソフトウェアモジュールと通常動作状態の関連を示す模式図である。
図11において、マイコン10を構成するソフトウェアモジュールは、ダイアグ(故障診断など)関連、MCU(クロックの設定など)関連、ドライバ(アナログ/デジタル入出力や通信など)関連、EEPROM関連、通信(ネットワークマネジメント、PDU(Protocol Data Unit)の管理など)関連である。
図11では、これらと、通常動作状態での通常制御における遷移直後処理、及び妥当性検証の処理実行後に行う定常処理との関連を線で示している。
マイコン10は、シャットダウン状態(停止状態)から通常動作状態に遷移するときに、通常動作状態で実行する処理に関係するソフトウェアモジュールを初期化する初期化処理手段(初期化手段)を備える。
一般的に、ソフトウェアモジュールを初期化しなければ、それに関係する処理は実行できない。また、本実施の形態3においては、通常動作状態における処理を2つに分割する
。シャットダウン状態から起動した直後に行う遷移直後処理と、妥当性検証手段2の処理実行後に行う定常処理である。
一般的に、ソフトウェアモジュールを初期化しなければ、それに関係する処理は実行できない。また、本実施の形態3においては、通常動作状態における処理を2つに分割する
。シャットダウン状態から起動した直後に行う遷移直後処理と、妥当性検証手段2の処理実行後に行う定常処理である。
図12は、実施の形態3による制御システムの超音波センサECUのマイコンの状態遷移を示す図である。
図12において、超音波センサECU54のマイコン10は、少なくとも停止状態、通常動作状態、停止状態から通常動作状態に遷移する準備を行う起動遷移状態、通常動作状態から停止状態に遷移する準備を行う停止遷移状態の4つの状態を備えている。図12では、停止状態、起動遷移状態、通常動作状態、停止遷移状態の各状態に、それぞれ信号を受けて遷移する様子が示されている。実施の形態1の図4に比べ、通常動作状態から起動遷移状態への遷移も追加されている。
図12において、超音波センサECU54のマイコン10は、少なくとも停止状態、通常動作状態、停止状態から通常動作状態に遷移する準備を行う起動遷移状態、通常動作状態から停止状態に遷移する準備を行う停止遷移状態の4つの状態を備えている。図12では、停止状態、起動遷移状態、通常動作状態、停止遷移状態の各状態に、それぞれ信号を受けて遷移する様子が示されている。実施の形態1の図4に比べ、通常動作状態から起動遷移状態への遷移も追加されている。
図12では、実施の形態1の図4に比べ、起動遷移状態と通常動作状態の遷移条件に変更を加えている。起動遷移状態から通常動作状態への遷移条件として、遷移直後処理に関する初期化完了又は定常処理に関する初期化完了が条件となる。また、通常動作状態から起動遷移状態への遷移条件は、遷移直後処理が実行完了したこと、及び通常動作状態における初期化が未完了であることが条件である。
次に、遷移直後処理とソフトウェアモジュールとの関連について説明する。
超音波センサECU54の遷移直後処理は、超音波センサの信号をADAS−ECU51やレーダECU52やカメラECU53に、送信できるデータに変換して送信することである。
これらに必要となるソフトウェアモジュールは、超音波センサに異常がないかどうかを確認するダイアグ関連と、他のECUに起動状態を送信するための通信関連と、動作するためのクロック設定などを行うMcu関連と、超音波センサに出力するパルスを生成するタイマなどのドライバ関連である。これらのソフトウェアモジュールの初期化が必要となる。
一方、EEPROM関連のソフトウェアモジュールは、故障発生時に書込むことが考えられるが、通常動作を行う際に、故障を確認したとしても、EEPROMにすぐ書込む必要はないため、この初期化はこの段階では必要ない。
超音波センサECU54の遷移直後処理は、超音波センサの信号をADAS−ECU51やレーダECU52やカメラECU53に、送信できるデータに変換して送信することである。
これらに必要となるソフトウェアモジュールは、超音波センサに異常がないかどうかを確認するダイアグ関連と、他のECUに起動状態を送信するための通信関連と、動作するためのクロック設定などを行うMcu関連と、超音波センサに出力するパルスを生成するタイマなどのドライバ関連である。これらのソフトウェアモジュールの初期化が必要となる。
一方、EEPROM関連のソフトウェアモジュールは、故障発生時に書込むことが考えられるが、通常動作を行う際に、故障を確認したとしても、EEPROMにすぐ書込む必要はないため、この初期化はこの段階では必要ない。
次に、定常処理とソフトウェアモジュールとの関連について、図11を用いて説明する。超音波センサECU54の定常処理は、遷移直後処理に加えて、他の処理のアイドル時間などにEEPROMに書きこむ処理が追加される。これらに必要となるソフトウェアモジュールは、遷移直後処理においては必要としていなかったEEPROM関連である。つまり、定常処理において、はじめてEEPROM関連の初期化が必要となってくる。
次に、これらの機能を備えた実施の形態3による制御システムの動作について、図13のフローチャートに従って説明する。
図13において、先ず、S401は図5のS105、S402は図5のS106とそれぞれ同様の処理であるので、その説明を省略する。また、S401よりも前の処理は、図5のS101、S102−1、S102−2、S199、S103、S104と同様の処理であるので、これもその説明を省略する。
図13において、先ず、S401は図5のS105、S402は図5のS106とそれぞれ同様の処理であるので、その説明を省略する。また、S401よりも前の処理は、図5のS101、S102−1、S102−2、S199、S103、S104と同様の処理であるので、これもその説明を省略する。
次に、S403では、制御処理手段4が備える初期化処理手段が、遷移直後処理に関するソフトウェア(SW)モジュールのみを初期化する。
S404では、状態管理手段3が、マイコン10の状態を起動遷移状態から通常動作状態に遷移させる。
S405では、制御処理手段4が、遷移直後処理を実行する。これにより、ADAS−ECU51を含むECUに超音波センサECU54の情報が送信されることとなる。
S406は図7のS202、S407は図7のS203、S408−2は図7のS204−2、S410−2は図7のS206と、それぞれ同様の処理であり、その説明を省略する。
S408−1では、状態管理手段3が、通常動作状態から起動遷移状態に遷移させて、ソフトウェアモジュールの初期化が行えるようにする。
S409−1では、制御処理手段4の備える初期化処理手段が、定常処理に関するソフトウェア(SW)モジュールを初期化する。
S410−1では、状態管理手段3が、定常処理に関する初期化処理完了通知を受信した場合、起動遷移状態から通常動作状態に遷移させて、通常動作が実行できるようにする。
S411では、S409−1で初期化したソフトウェアモジュールに関連する定常処理を、制御処理手段4が実行する。
S409−2では、制御処理手段4が、実行中の遷移直後処理を停止し、処理を行わないようにし、停止できる準備を完了させる。
上述のように、実施の形態3によれば、ソフトウェアモジュールを分割し、それぞれ必要なタイミングで初期化するようにしたので、停止状態から緊急的に必要とされる通常動作までの時間を短くすることができる。
なお、実施の形態3では、全ソフトウェアモジュールのうち、初期化のタイミングを変更するモジュールをEEPROM関連としたが、これに限らず、遷移直後処理から定常処理で必要なソフトウェアモジュールが追加となる場合に適用可能である。
なお、この発明は、その発明の範囲内において、各実施の形態を自由に組み合わせたり、各実施の形態を適宜、変形、省略することが可能である。
1 起動手段、2 妥当性検証手段、3 状態管理手段、4 制御処理手段、10 マイコン、21 信号線、31 起動信号、32 ECU動作確認信号、33 起動確認疑似信号、34 遷移禁止信号、35 起動確認信号生成手段、36 起動確認疑似信号生成手段、37 周期調整手段、38 起動要否判定手段、40 計数手段、41 制御システム搭載車両、42 先行車両、43 第3の車両、44 レーザレーダの検出範囲、45 ステレオカメラの検出範囲、46 超音波センサの検出範囲、51 ADAS−ECU、52 レーダECU、53 カメラECU、54 超音波センサECU、55 ブレーキECU、56 ステアリングECU
Claims (7)
- 複数の制御装置が信号線により接続された制御システムであって、
上記複数の制御装置のうちの一つである第1の制御装置は、
マイコンを搭載し、
上記信号線を介して送信される起動信号を検出して上記マイコンを起動する起動手段と、
上記起動信号の妥当性を検証する妥当性検証手段と、
上記起動信号の検出結果及び上記妥当性検証手段の検証結果のいずれか一方または両方に応じて、上記マイコンの状態を遷移させる状態管理手段と、
上記状態管理手段による上記マイコンの状態に応じた制御処理を行う制御処理手段と、を有し、
上記マイコンは、上記制御処理手段による通常制御を行う通常動作状態と、制御処理を停止した停止状態と、上記停止状態から上記通常動作状態に遷移する準備を行うための起動遷移状態と、上記通常動作状態から上記停止状態に遷移する準備を行うための停止遷移状態との各状態へ遷移可能に構成され、
上記第1の制御装置以外の第2の制御装置は、
上記起動信号を送信する起動確認信号生成手段と、
上記第2の制御装置の周囲状況から上記第1の制御装置が起動を必要とするまでの時間を測定する起動要否判定手段と、
上記起動信号の送信周期を所定の周期に調整する周期調整手段と、を備え、
上記マイコンが上記停止状態にある場合で、上記起動確認信号生成手段が上記所定の周期で上記起動信号を送信し、上記第1の制御装置で上記起動信号が検出された場合には、上記妥当性検証手段による上記起動信号の検証が行われる前に、上記状態管理手段は、上記マイコンの状態を上記起動遷移状態を介して上記通常動作状態に遷移させ、上記制御処理手段は、通常制御を開始すると共に、
上記起動要否判定手段で検出した時間よりも短くなるように、上記周期調整手段が上記所定の周期を調整することを特徴とする制御システム。 - 上記第2の制御装置は、
上記起動信号以外の信号を送信できる起動確認疑似信号生成手段を備え、
上記第1の制御装置の上記マイコンが上記停止状態にある場合で、上記起動確認疑似信号生成手段が所定の周期で上記起動信号以外の信号を送信し、
上記第1の制御装置で上記起動信号以外の信号が検出された場合に、上記マイコンの状態を変更しないことを特徴とする請求項1に記載の制御システム。 - 上記妥当性検証手段は、
上記起動手段から上記起動信号を受信するとともに、この受信からの時間を計測し、
計測された時間が予め決められた所定時間を超えた場合に、上記起動信号の妥当性を検証することを特徴とする請求項1または2に記載の制御システム。 - 上記状態管理手段は、
上記妥当性検証手段による上記起動信号の妥当性の検証に失敗した場合には、上記マイコンを上記停止遷移状態にして上記制御処理手段による上記通常制御を停止させた後、上記マイコンの状態を上記停止状態に遷移させることを特徴とする請求項1から3の何れか一項に記載の制御システム。 - 上記第1の制御装置以外の少なくとも一つの他の制御装置は、
上記第1の制御装置が上記通常動作状態に遷移した回数を計数する計数手段を備え、
上記計数手段による計数回数が所定回数以上となった場合に、上記停止状態に遷移することなく、上記通常動作状態を継続するように上記第1の制御装置に指示し、
上記第1の制御装置は、上記指示の受信後は上記通常制御を停止しないことを特徴とする請求項1から4の何れか一項に記載の制御システム。 - 上記制御処理手段は、
上記制御処理に関係する複数のソフトウェアモジュールを有するとともに、
上記起動遷移状態で上記ソフトウェアモジュールを初期化処理する初期化手段を備え、
上記通常動作状態における制御処理は、上記通常動作状態への遷移直後に実行する遷移直後処理と、上記通常動作状態への遷移直後に実行しなくてもよい定常処理とにより構成され、
上記起動信号を受けて上記起動遷移状態に遷移したときは、上記遷移直後処理に関係するソフトウェアモジュールのみを初期化し、
上記通常動作状態に遷移して、上記初期化したソフトウェアモジュールにより上記遷移直後処理を実行した後に、上記妥当性検証手段により起動信号の妥当性が検証された場合、
上記遷移直後処理に関係するソフトウェアモジュール以外のソフトウェアモジュールの初期化を実施し、上記定常処理を実施することを特徴とする請求項1から5の何れか一項に記載の制御システム。 - 上記複数の制御装置は、車両に搭載され、それぞれ、上記車両の周囲を走行する他車両の状況を監視する周辺監視手段を制御するように構成され、
上記第1の制御装置のマイコンが停止状態で、他の制御装置が上記車両の周囲を走行する他車両の状況を監視している場合において、上記他の制御装置が上記他車両の監視ができなくなった場合に、上記他の制御装置は、上記起動信号を上記第1の制御装置に送信することを特徴とする請求項1から6の何れか一項に記載の制御システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016070173A JP6207652B2 (ja) | 2016-03-31 | 2016-03-31 | 制御システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016070173A JP6207652B2 (ja) | 2016-03-31 | 2016-03-31 | 制御システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP6207652B2 true JP6207652B2 (ja) | 2017-10-04 |
| JP2017182535A JP2017182535A (ja) | 2017-10-05 |
Family
ID=59997733
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016070173A Active JP6207652B2 (ja) | 2016-03-31 | 2016-03-31 | 制御システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6207652B2 (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113238200A (zh) * | 2021-04-20 | 2021-08-10 | 上海志良电子科技有限公司 | 一种基于有效性验证的雷达线性调频信号的分类方法 |
| CN113691396A (zh) * | 2021-08-09 | 2021-11-23 | 浙江吉利控股集团有限公司 | 一种整车网络异常休眠唤醒监控方法、装置及存储介质 |
| WO2024174973A1 (zh) * | 2023-02-21 | 2024-08-29 | 合众新能源汽车股份有限公司 | 电子控制单元及其控制方法、电子设备和存储介质 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012049885A (ja) * | 2010-08-27 | 2012-03-08 | Denso Corp | トランシーバ及び通信装置 |
| JP5893111B1 (ja) * | 2014-10-06 | 2016-03-23 | 三菱電機株式会社 | 制御システム |
-
2016
- 2016-03-31 JP JP2016070173A patent/JP6207652B2/ja active Active
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113238200A (zh) * | 2021-04-20 | 2021-08-10 | 上海志良电子科技有限公司 | 一种基于有效性验证的雷达线性调频信号的分类方法 |
| CN113691396A (zh) * | 2021-08-09 | 2021-11-23 | 浙江吉利控股集团有限公司 | 一种整车网络异常休眠唤醒监控方法、装置及存储介质 |
| WO2024174973A1 (zh) * | 2023-02-21 | 2024-08-29 | 合众新能源汽车股份有限公司 | 电子控制单元及其控制方法、电子设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2017182535A (ja) | 2017-10-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10723361B2 (en) | Monitoring apparatus, communication system, vehicle, monitoring method, and non-transitory storage medium | |
| CN107707520B (zh) | 网络监视装置 | |
| US10158717B2 (en) | Method for detecting fraudulent frame sent over an in-vehicle network system | |
| US20140380416A1 (en) | Connection detection apparatus and in-vehicle relay apparatus | |
| US11522878B2 (en) | Can communication based hacking attack detection method and system | |
| US10178094B2 (en) | Communication system and information collection method executed in communication system | |
| EP3396900B1 (en) | Fraudulent message detection | |
| JP6207652B2 (ja) | 制御システム | |
| CN103078836A (zh) | 车载网络中的计算机安全 | |
| US20120286825A1 (en) | Method and Device for Monitoring a Frequency Signal | |
| KR101972457B1 (ko) | Can 통신 기반 해킹공격 탐지 방법 및 시스템 | |
| JP7119437B2 (ja) | 車両用マスタ電子制御装置、車両用スレーブ電子制御装置、車両用ログ収集システム及び車両用ログ収集プログラム | |
| US11895127B2 (en) | Vehicle communication device, method of determining communication abnormality, and storage medium storing program | |
| US11841942B2 (en) | Anomaly detection device and anomaly detection method | |
| JP6207987B2 (ja) | 車載用電子制御装置 | |
| KR20220041137A (ko) | 방송 네트워크 보안을 위한 다중 상태 메시징 이상증후 검출 | |
| JP5893111B1 (ja) | 制御システム | |
| US10838795B2 (en) | Monitoring circuit with a signature watchdog | |
| CN110915170A (zh) | Ecu | |
| JP6483461B2 (ja) | 管理方法、管理プログラム、管理装置、管理システムおよび情報処理方法 | |
| JP6913869B2 (ja) | 監視装置、監視システムおよびコンピュータプログラム | |
| CN113169966A (zh) | 用于监控数据传输系统的方法、数据传输系统和机动车 | |
| JP6102667B2 (ja) | 電子制御装置 | |
| US10789365B2 (en) | Control device and control method | |
| US20180137000A1 (en) | Method of ensuring operation of calculator |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170808 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170905 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 6207652 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |