JPWO2020148870A1 - Alternative control device, alternative control method, alternative control program and fail operational system - Google Patents

Alternative control device, alternative control method, alternative control program and fail operational system Download PDF

Info

Publication number
JPWO2020148870A1
JPWO2020148870A1 JP2020565509A JP2020565509A JPWO2020148870A1 JP WO2020148870 A1 JPWO2020148870 A1 JP WO2020148870A1 JP 2020565509 A JP2020565509 A JP 2020565509A JP 2020565509 A JP2020565509 A JP 2020565509A JP WO2020148870 A1 JPWO2020148870 A1 JP WO2020148870A1
Authority
JP
Japan
Prior art keywords
alternative
ecu
identifier
processing
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2020565509A
Other languages
Japanese (ja)
Other versions
JP6899978B2 (en
Inventor
整 山本
整 山本
裕喜 小中
裕喜 小中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of JPWO2020148870A1 publication Critical patent/JPWO2020148870A1/en
Application granted granted Critical
Publication of JP6899978B2 publication Critical patent/JP6899978B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Hardware Redundancy (AREA)
  • Safety Devices In Control Systems (AREA)
  • Control Of Driving Devices And Active Controlling Of Vehicle (AREA)

Abstract

代替制御装置(20)は、移動体(100)に搭載された複数のECU(Electronic Control Unit)(30)のうちのいずれかECU(30)が故障したことを検出する。代替制御装置(20)は、ECU(30)毎に代替用のECU(30)の識別子である代替識別子と終了させる終了処理の識別子である処理識別子とを記憶した代替記憶部から、故障したことが検出されたECU(30)である故障機についての代替識別子及び処理識別子を読み出す。代替制御装置(20)は、読み出された代替識別子が示すECU(30)である代替機に対して、読み出された処理識別子が示す処理を終了して、故障機で実行されていた処理を実行するように指示する。 The alternative control device (20) detects that any one of the plurality of ECUs (Electronic Control Units) (30) mounted on the moving body (100) has failed. The alternative control device (20) has failed from the alternative storage unit that stores the alternative identifier that is the identifier of the alternative ECU (30) and the processing identifier that is the identifier of the termination process for each ECU (30). Reads out the alternative identifier and the processing identifier for the failed machine, which is the ECU (30) in which is detected. The alternative control device (20) finishes the process indicated by the read process identifier with respect to the alternative machine which is the ECU (30) indicated by the read alternative identifier, and the process executed by the failed machine. Instruct to execute.

Description

この発明は、ECU(Electronic Control Unit)に故障が発生した場合に、故障が発生したECUの処理を他のECUによって継続するフェールオペレーショナル技術に関する。 The present invention relates to a fail operation technique in which when a failure occurs in an ECU (Electronic Control Unit), processing of the failed ECU is continued by another ECU.

人の手を介さずに車両を自動的に制御する自動運転の技術の研究が進んでいる。自動運転を実現する場合には、車両には複数のECUが搭載される。
一部のECUが故障により処理が実行不可能な状態になると、車両の安全性に関わる場合がある。そのため、このようなECUに故障が発生した場合には、他のECUによって処理を継続するフェールオペレーショナルを実現する必要がある。Research on autonomous driving technology that automatically controls vehicles without human intervention is in progress. When realizing automatic driving, a plurality of ECUs are mounted on the vehicle.
If some ECUs fail to perform processing, it may affect the safety of the vehicle. Therefore, when a failure occurs in such an ECU, it is necessary to realize a fail operation in which processing is continued by another ECU.

フェールオペレーショナルの実現方法として、ECUを多重化しておき、故障が発生した場合に待機しているECUにより処理を継続させる方法がある。しかし、自動運転を実現するためのECUは、処理能力の高いプロセッサと、大容量のメモリとを搭載する必要があり、高価である。そのため、単純にECUを多重化させることはコスト面から困難である。 As a method of realizing the fail operation, there is a method in which the ECUs are multiplexed and the processing is continued by the standby ECU when a failure occurs. However, the ECU for realizing the automatic operation needs to be equipped with a processor having a high processing capacity and a large-capacity memory, and is expensive. Therefore, it is difficult to simply multiplex the ECU from the viewpoint of cost.

特許文献1には、車両の走行に最低限必要なECUの故障を検知すると、予め定められた優先順位に従い、故障していない他のECUから必要な性能を有する代替用のECUを選定して、選定されたECUにより故障したECUを代替することが記載されている。これにより、特許文献1では、単純にECUを多重化させることなく、車両の走行に最低限必要なECUのフェールオペレーショナルを実現している。 In Patent Document 1, when a failure of the minimum required ECU for traveling of a vehicle is detected, an alternative ECU having the required performance is selected from other non-failed ECUs according to a predetermined priority order. , It is described that the selected ECU replaces the failed ECU. As a result, in Patent Document 1, the fail operation of the ECU, which is the minimum necessary for traveling the vehicle, is realized without simply multiplexing the ECU.

特開2002−221075号公報Japanese Unexamined Patent Publication No. 2002-221075

自動運転による車両の走行中にECUが故障した場合には、故障したECUで実行されていた処理が停止している時間をできる限り短くする必要がある。特許文献1に記載された技術では、ECUの故障が発生してから代替用のECUを特定する処理が実行される。そのため、代替用のECUが特定されるまでに時間がかかり、故障したECUで実行されていた処理が停止している時間が長くなってしまう。
この発明は、故障したECUで実行されていた処理が停止している時間の短縮を可能にすることを目的とする。When the ECU breaks down while the vehicle is running by automatic driving, it is necessary to shorten the time during which the processing executed by the failed ECU is stopped as much as possible. In the technique described in Patent Document 1, a process of identifying an alternative ECU is executed after an ECU failure occurs. Therefore, it takes time to identify the alternative ECU, and the processing executed by the failed ECU is stopped for a long time.
An object of the present invention is to make it possible to shorten the time during which the processing executed by the failed ECU is stopped.

この発明に係る代替制御装置は、
移動体に搭載された複数のECU(Electronic Control Unit)のうちのいずれかECUが故障したことを検出する故障検出部と、
ECU毎に代替用のECUの識別子である代替識別子と終了させる終了処理の識別子である処理識別子とを記憶した代替記憶部から、前記故障検出部によって故障したことが検出された前記ECUである故障機についての前記代替識別子及び前記処理識別子を読み出す代替選択部と、
前記代替選択部によって読み出された前記代替識別子が示すECUである代替機に対して、前記代替選択部によって読み出された前記処理識別子が示す処理を終了して、前記故障機で実行されていた処理を実行するように指示する処理指示部と
を備える。The alternative control device according to the present invention is
A failure detection unit that detects that one of a plurality of ECUs (Electronic Control Units) mounted on a moving body has failed, and a failure detection unit.
A failure of the ECU detected by the failure detection unit from an alternative storage unit that stores an alternative identifier that is an identifier of a substitute ECU for each ECU and a processing identifier that is an identifier of the termination process to be terminated. An alternative selection unit that reads out the alternative identifier and the processing identifier for the machine,
For the alternative machine which is the ECU indicated by the alternative identifier read by the alternative selection unit, the processing indicated by the processing identifier read by the alternative selection unit is completed and executed by the failed machine. It is provided with a processing instruction unit that instructs the execution of the processing.

この発明では、ECUの故障が検出されると、代替記憶部から故障機についての前記代替識別子及び処理識別子が読み出され、代替識別子が示す代替機に対して前記処理識別子が示す処理を終了して、故障機で実行されていた処理を実行するように指示する。代替記憶部から代替識別子等を読み出すだけで代替用のECUが特定されるため、短時間で代替用のECUを特定することが可能である。 In the present invention, when a failure of the ECU is detected, the alternative identifier and the processing identifier for the failed machine are read from the alternative storage unit, and the processing indicated by the processing identifier for the alternative machine indicated by the alternative identifier is terminated. Instruct them to perform the processing that was being performed on the failed machine. Since the substitute ECU is specified only by reading the substitute identifier or the like from the substitute storage unit, it is possible to specify the substitute ECU in a short time.

実施の形態1に係るフェールオペレーショナルシステム10の構成図。The block diagram of the fail operational system 10 which concerns on Embodiment 1. FIG. 実施の形態1に係る代替制御装置20の構成図。The block diagram of the alternative control device 20 which concerns on Embodiment 1. FIG. 実施の形態1に係るECU30の構成図。The block diagram of the ECU 30 which concerns on Embodiment 1. FIG. 実施の形態1に係る代替記憶部231に記憶される情報を示す図。The figure which shows the information stored in the alternative storage part 231 which concerns on Embodiment 1. FIG. 実施の形態1に係る代替制御装置20の動作のフローチャート。The flowchart of the operation of the alternative control device 20 which concerns on Embodiment 1. FIG. 実施の形態1に係る代替機であるECU30の動作のフローチャート。The flowchart of the operation of the ECU 30 which is the alternative machine which concerns on Embodiment 1. FIG. 実施の形態1に係るフェールオペレーショナルシステムの動作の具体例の説明図。The explanatory view of the specific example of the operation of the fail operation system which concerns on Embodiment 1. FIG. 変形例1に係る代替制御装置20の構成図。The block diagram of the alternative control device 20 which concerns on modification 1. FIG. 実施の形態2に係る代替制御装置20の構成図。The block diagram of the alternative control device 20 which concerns on Embodiment 2. FIG. 実施の形態2に係る登録処理のフローチャート。The flowchart of the registration process which concerns on Embodiment 2. 実施の形態2に係るリソース情報を示す図。The figure which shows the resource information which concerns on Embodiment 2.

実施の形態1.
***構成の説明***
図1を参照して、実施の形態1に係るフェールオペレーショナルシステム10の構成を説明する。
フェールオペレーショナルシステム10は、移動体100に搭載された代替制御装置20と、移動体100に搭載された複数のECU30とを備える。代替制御装置20と各ECU30とは、伝送路40を介して接続されている。
移動体100は、車両、船舶、又は、航空機等である。Embodiment 1.
*** Explanation of configuration ***
The configuration of the fail operational system 10 according to the first embodiment will be described with reference to FIG.
The fail operational system 10 includes an alternative control device 20 mounted on the mobile body 100 and a plurality of ECUs 30 mounted on the mobile body 100. The alternative control device 20 and each ECU 30 are connected via a transmission line 40.
The moving body 100 is a vehicle, a ship, an aircraft, or the like.

図2を参照して、実施の形態1に係る代替制御装置20の構成を説明する。
代替制御装置20は、ECUといったコンピュータである。
代替制御装置20は、プロセッサ21と、メモリ22と、ストレージ23と、通信インタフェース24とのハードウェアを備える。プロセッサ21は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。The configuration of the alternative control device 20 according to the first embodiment will be described with reference to FIG.
The alternative control device 20 is a computer such as an ECU.
The alternative control device 20 includes hardware for a processor 21, a memory 22, a storage 23, and a communication interface 24. The processor 21 is connected to other hardware via a signal line and controls these other hardware.

代替制御装置20は、機能構成要素として、故障検出部211と、代替選択部212と、処理指示部213とを備える。代替制御装置20の各機能構成要素の機能はソフトウェアにより実現される。
ストレージ23には、代替制御装置20の各機能構成要素の機能を実現するプログラムが格納されている。このプログラムは、プロセッサ21によりメモリ22に読み込まれ、プロセッサ21によって実行される。これにより、代替制御装置20の各機能構成要素の機能が実現される。
また、ストレージ23は、代替記憶部231を実現する。なお、代替記憶部231は、代替制御装置20の外部に設けられたストレージによって実現されてもよい。The alternative control device 20 includes a failure detection unit 211, an alternative selection unit 212, and a processing instruction unit 213 as functional components. The functions of each functional component of the alternative control device 20 are realized by software.
The storage 23 stores a program that realizes the functions of each functional component of the alternative control device 20. This program is read into the memory 22 by the processor 21 and executed by the processor 21. As a result, the functions of each functional component of the alternative control device 20 are realized.
Further, the storage 23 realizes the alternative storage unit 231. The alternative storage unit 231 may be realized by a storage provided outside the alternative control device 20.

図3を参照して、実施の形態1に係るECU30の構成を説明する。
ECU30は、プロセッサ31と、メモリ32と、ストレージ33と、通信インタフェース34とのハードウェアを備える。プロセッサ31は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。The configuration of the ECU 30 according to the first embodiment will be described with reference to FIG.
The ECU 30 includes hardware for a processor 31, a memory 32, a storage 33, and a communication interface 34. The processor 31 is connected to other hardware via a signal line and controls these other hardware.

ECU30は、機能構成要素として、リソース確保部311と、処理実行部312とを備える。ECU30の各機能構成要素の機能はソフトウェアにより実現される。
ストレージ33には、ECU30の各機能構成要素の機能を実現するプログラムが格納されている。このプログラムは、プロセッサ31によりメモリ32に読み込まれ、プロセッサ31によって実行される。これにより、ECU30の各機能構成要素の機能が実現される。The ECU 30 includes a resource securing unit 311 and a processing execution unit 312 as functional components. The functions of each functional component of the ECU 30 are realized by software.
The storage 33 stores a program that realizes the functions of each functional component of the ECU 30. This program is read into the memory 32 by the processor 31 and executed by the processor 31. As a result, the functions of each functional component of the ECU 30 are realized.

プロセッサ21,31は、プロセッシングを行うIC(Integrated Circuit)である。プロセッサ21,31は、具体例としては、CPU(Central Processing Unit)、DSP(Digital Signal Processor)、GPU(Graphics Processing Unit)である。 The processors 21 and 31 are ICs (Integrated Circuits) that perform processing. Specific examples of the processors 21 and 31 are a CPU (Central Processing Unit), a DSP (Digital Signal Processor), and a GPU (Graphics Processing Unit).

メモリ22,32は、データを一時的に記憶する記憶装置である。メモリ22,32は、具体例としては、SRAM(Static Random Access Memory)、DRAM(Dynamic Random Access Memory)である。 The memories 22 and 32 are storage devices that temporarily store data. Specific examples of the memories 22 and 32 are SRAM (Static Random Access Memory) and DRAM (Dynamic Random Access Memory).

ストレージ23,33は、データを保管する記憶装置である。ストレージ23は、具体例としては、HDD(Hard Disk Drive)である。ストレージ33は、具体例としては、ROM(Read Only Memory)である。ストレージ23,33は、SD(登録商標,Secure Digital)メモリカード、CF(CompactFlash,登録商標)、NANDフラッシュ、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ(登録商標)ディスク、DVD(Digital Versatile Disk)といった可搬記録媒体であってもよい。 The storages 23 and 33 are storage devices for storing data. As a specific example, the storage 23 is an HDD (Hard Disk Drive). As a specific example, the storage 33 is a ROM (Read Only Memory). The storages 23 and 33 include SD (registered trademark, Secure Digital) memory card, CF (Compact Flash, registered trademark), NAND flash, flexible disk, optical disk, compact disk, Blu-ray (registered trademark) disk, DVD (Digital Versaille Disk), and the like. It may be a portable recording medium.

通信インタフェース24,34は、外部の装置と通信するためのインタフェースである。通信インタフェース24,34は、具体例としては、Ethernet(登録商標)、USB(Universal Serial Bus)、HDMI(登録商標,High−Definition Multimedia Interface)のポートである。 Communication interfaces 24 and 34 are interfaces for communicating with an external device. Specific examples of the communication interfaces 24 and 34 are Ethernet (registered trademark), USB (Universal Serial Bus), and HDMI (registered trademark, High-Definition Multimedia Interface) ports.

図2では、プロセッサ21は、1つだけ示されていた。しかし、プロセッサ21は、複数であってもよく、複数のプロセッサ21が、各機能を実現するプログラムを連携して実行してもよい。同様に、プロセッサ31は、複数であってもよく、複数のプロセッサ31が、各機能を実現するプログラムを連携して実行してもよい。 In FIG. 2, only one processor 21 was shown. However, the number of processors 21 may be plural, and the plurality of processors 21 may execute programs that realize each function in cooperation with each other. Similarly, the number of processors 31 may be plural, and the plurality of processors 31 may execute programs that realize each function in cooperation with each other.

***動作の説明***
図4から図7を参照して、実施の形態1に係るフェールオペレーショナルシステム10の動作を説明する。
実施の形態1に係るフェールオペレーショナルシステム10の動作における代替制御装置20の動作は、実施の形態1に係る代替制御方法に相当する。また、実施の形態1に係るフェールオペレーショナルシステム10の動作における代替制御装置20の動作は、実施の形態1に係る代替制御プログラムの処理に相当する。*** Explanation of operation ***
The operation of the fail operational system 10 according to the first embodiment will be described with reference to FIGS. 4 to 7.
The operation of the alternative control device 20 in the operation of the fail operational system 10 according to the first embodiment corresponds to the alternative control method according to the first embodiment. Further, the operation of the alternative control device 20 in the operation of the fail operational system 10 according to the first embodiment corresponds to the processing of the alternative control program according to the first embodiment.

図4を参照して、実施の形態1に係る代替記憶部231に記憶される情報を説明する。
代替記憶部231は、ECU30毎に、代替用のECU30の識別子である代替識別子と、終了させる終了処理の識別子である処理識別子とを記憶する。The information stored in the alternative storage unit 231 according to the first embodiment will be described with reference to FIG.
The alternative storage unit 231 stores, for each ECU 30, an alternative identifier that is an identifier of the alternative ECU 30 and a processing identifier that is an identifier of the termination process to be terminated.

図5を参照して、実施の形態1に係る代替制御装置20の動作を説明する。
(ステップS11:故障検出処理)
故障検出部211は、複数のECU30を監視して、複数のECU30のうちのいずれかECU30が故障したことの検出を試みる。故障の検出方法については、例えば、メッセージを送信して応答の有無を確認するといった既存の方法を用いればよい。
なお、故障検出部211は、全てのECU30について故障したことを検出するのではなく、継続して動作させる必要がある処理を実行している一部のECU30についてのみ故障したことを検出してもよい。The operation of the alternative control device 20 according to the first embodiment will be described with reference to FIG.
(Step S11: Failure detection process)
The failure detection unit 211 monitors a plurality of ECUs 30 and attempts to detect that any one of the plurality of ECUs 30 has failed. As a failure detection method, for example, an existing method such as sending a message and confirming whether or not there is a response may be used.
It should be noted that the failure detection unit 211 does not detect that all the ECUs 30 have failed, but even if it detects that only some of the ECUs 30 that are executing the process that needs to be continuously operated have failed. Good.

(ステップS12:故障判定処理)
故障検出部211は、ステップS11でECU30が故障したことが検出されたか否かを判定する。
故障検出部211は、検出された場合には、処理をステップS13に進める。一方、故障検出部211は、検出されなかった場合には、処理をステップS11に戻して、一定時間経過後に再びECU30が故障したことの検出を試みる。(Step S12: Failure determination process)
The failure detection unit 211 determines whether or not it is detected that the ECU 30 has failed in step S11.
If detected, the failure detection unit 211 proceeds to step S13. On the other hand, if the failure detection unit 211 does not detect the failure, the process returns to step S11 and attempts to detect that the ECU 30 has failed again after a certain period of time has elapsed.

(ステップS13:代替選択処理)
代替選択部212は、代替記憶部231から、ステップS11で故障したことが検出されたECU30である故障機についての代替識別子及び処理識別子を読み出す。
例えば、図4に示す情報が代替記憶部231に記憶されており、ECU30Aが故障した場合には、代替識別子としてECU30Bの識別子である“B”が読み出され、処理識別子として処理yの識別子である“y”が読み出される。(Step S13: Alternative selection process)
The alternative selection unit 212 reads out the alternative identifier and the processing identifier for the failed machine, which is the ECU 30 detected in step S11, from the alternative storage unit 231.
For example, the information shown in FIG. 4 is stored in the alternative storage unit 231. When the ECU 30A fails, the identifier "B" of the ECU 30B is read out as the alternative identifier, and the identifier of the process y is used as the processing identifier. A certain "y" is read out.

(ステップS14:処理指示処理)
処理指示部213は、ステップS13で読み出された代替識別子が示すECU30である代替機に対して、ステップS13で読み出された処理識別子が示す処理を終了して、故障機で実行されていた処理を実行するように指示する。
なお、処理指示部213は、代替機に対して、故障機で実行されていた全ての処理を実行するように指示するのではなく、継続して動作させる必要がある一部の処理についてのみ実行するように指示してもよい。(Step S14: Processing instruction processing)
The processing instruction unit 213 finishes the process indicated by the processing identifier read in step S13 with respect to the alternative machine which is the ECU 30 indicated by the alternative identifier read in step S13, and is executed by the failed machine. Instruct to perform the process.
Note that the process instruction unit 213 does not instruct the alternative machine to execute all the processes executed by the failed machine, but executes only some processes that need to be continuously operated. You may instruct them to do so.

図6を参照して、実施の形態1に係る代替機であるECU30の動作を説明する。
(ステップS21:リソース確保処理)
リソース確保部311は、図5のステップS14で指示されると、処理識別子が示す処理を終了する。これにより、代替機であるECU30におけるプロセッサ31及びメモリ32といったリソースの空きが増え、故障機で実行されていた処理を実行するためのリソースが確保される。The operation of the ECU 30 which is the alternative machine according to the first embodiment will be described with reference to FIG.
(Step S21: Resource securing process)
When instructed in step S14 of FIG. 5, the resource securing unit 311 ends the process indicated by the process identifier. As a result, resources such as the processor 31 and the memory 32 in the alternative machine ECU 30 are freed up, and resources for executing the processing executed by the failed machine are secured.

(ステップS22:処理実行処理)
処理実行部312は、ステップS21でリソースが確保されると、故障機で実行されていた処理を実行する。この際、処理実行部312は、故障機で実行されていた処理のうち、実行する処理が指定されている場合には、指定された処理のみを実行する。(Step S22: Process execution process)
When the resource is secured in step S21, the process execution unit 312 executes the process executed by the failed machine. At this time, the process execution unit 312 executes only the specified process when the process to be executed is specified among the processes executed by the failed machine.

図7を参照して、実施の形態1に係るフェールオペレーショナルシステムの動作の具体例を説明する。
図5のステップS11で、代替制御装置20は、ECU30Aが故障したことを検出したとする。すると、図4に示す情報が代替記憶部231に記憶されている場合には、図5のステップS13で、代替制御装置20は、代替識別子としてECU30Bの識別子である“B”を読み出し、処理識別子として処理yの識別子である“y”を読み出す。そして、図5のステップS14で、代替制御装置20は、代替機であるECU30Bに対して、処理yを終了して、故障機であるECU30Aで実行されていた処理を実行するように指示する。ここでは、ECU30Aで実行されていた処理のうち、処理P1を実行するように指示されたとする。
すると、図6のステップS21で、代替機であるECU30Bは、処理yを終了する。そして、図6のステップS22で、ECU30Bは、ECU30Aで実行されていた処理P1を実行する。
なお、代替機に選定される可能性のあるECU30は、代替する処理の実行ファイルを事前にストレージ33に記憶している。例えば、図7では、ECU30Bのストレージ33には、ECU30Aで実行される処理P1の実行ファイルである処理P1実行ファイルが記憶されている。A specific example of the operation of the fail operational system according to the first embodiment will be described with reference to FIG. 7.
It is assumed that in step S11 of FIG. 5, the alternative control device 20 detects that the ECU 30A has failed. Then, when the information shown in FIG. 4 is stored in the alternative storage unit 231, the alternative control device 20 reads out the identifier “B” of the ECU 30B as the alternative identifier in step S13 of FIG. 5, and the processing identifier. Is read out as "y" which is an identifier of the process y. Then, in step S14 of FIG. 5, the alternative control device 20 instructs the alternative ECU 30B to end the process y and execute the process executed by the failed ECU 30A. Here, it is assumed that among the processes executed by the ECU 30A, the process P1 is instructed to be executed.
Then, in step S21 of FIG. 6, the ECU 30B, which is an alternative machine, ends the process y. Then, in step S22 of FIG. 6, the ECU 30B executes the process P1 executed by the ECU 30A.
The ECU 30, which may be selected as a substitute machine, stores the execution file of the substitute process in the storage 33 in advance. For example, in FIG. 7, the storage 33 of the ECU 30B stores a process P1 execution file which is an execution file of the process P1 executed by the ECU 30A.

***実施の形態1の効果***
以上のように、実施の形態1に係るフェールオペレーショナルシステム10では、代替制御装置20は、ECU30の故障が検出されると、代替記憶部231から故障機についての代替識別子及び処理識別子を読み出す。そして、代替制御装置20は、代替識別子が示す代替機に対して処理識別子が示す処理を終了して、故障機で実行されていた処理を実行するように指示する。
代替記憶部231から代替識別子等を読み出すだけで代替用のECU30が特定されるため、短時間で代替用のECU30を特定することが可能である。その結果、故障したECUで実行されていた処理が停止している時間を短くすることが可能である。これにより、移動体100の安全性を高くすることが可能である。*** Effect of Embodiment 1 ***
As described above, in the fail operation system 10 according to the first embodiment, when the failure of the ECU 30 is detected, the alternative control device 20 reads out the alternative identifier and the processing identifier for the failed machine from the alternative storage unit 231. Then, the alternative control device 20 instructs the alternative machine indicated by the alternative identifier to end the process indicated by the process identifier and execute the process executed by the failed machine.
Since the alternative ECU 30 is specified only by reading the alternative identifier and the like from the alternative storage unit 231, it is possible to specify the alternative ECU 30 in a short time. As a result, it is possible to shorten the time during which the processing executed by the failed ECU is stopped. Thereby, it is possible to increase the safety of the moving body 100.

***他の構成***
<変形例1>
実施の形態1では、各機能構成要素がソフトウェアで実現された。しかし、変形例1として、各機能構成要素はハードウェアで実現されてもよい。この変形例1について、実施の形態1と異なる点を説明する。*** Other configurations ***
<Modification example 1>
In the first embodiment, each functional component is realized by software. However, as a modification 1, each functional component may be realized by hardware. The difference between the first modification and the first embodiment will be described.

図8を参照して、変形例1に係る代替制御装置20の構成を説明する。
各機能構成要素がハードウェアで実現される場合には、代替制御装置20は、プロセッサ21とメモリ22とストレージ23とに代えて、電子回路25を備える。電子回路25は、各機能構成要素と、メモリ22と、ストレージ23との機能とを実現する専用の回路である。The configuration of the alternative control device 20 according to the first modification will be described with reference to FIG.
When each functional component is realized in hardware, the alternative control device 20 includes an electronic circuit 25 instead of the processor 21, the memory 22, and the storage 23. The electronic circuit 25 is a dedicated circuit that realizes the functions of each functional component, the memory 22, and the storage 23.

電子回路25としては、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ロジックIC、GA(Gate Array)、ASIC(Application Specific Integrated Circuit)、FPGA(Field−Programmable Gate Array)が想定される。
各機能構成要素を1つの電子回路25で実現してもよいし、各機能構成要素を複数の電子回路25に分散させて実現してもよい。Examples of the electronic circuit 25 include a single circuit, a composite circuit, a programmed processor, a parallel programmed processor, a logic IC, a GA (Gate Array), an ASIC (Application Specific Integrated Circuit), and an FPGA (Field-Programmable Gate Array). is assumed.
Each functional component may be realized by one electronic circuit 25, or each functional component may be realized by being distributed in a plurality of electronic circuits 25.

<変形例2>
変形例2として、一部の各機能構成要素がハードウェアで実現され、他の各機能構成要素がソフトウェアで実現されてもよい。<Modification 2>
As a modification 2, some functional components may be realized by hardware, and other functional components may be realized by software.

プロセッサ21とメモリ22とストレージ23と電子回路25とを処理回路という。つまり、各機能構成要素の機能は、処理回路により実現される。 The processor 21, the memory 22, the storage 23, and the electronic circuit 25 are referred to as processing circuits. That is, the function of each functional component is realized by the processing circuit.

実施の形態2.
実施の形態2は、代替制御装置20が移動体100の状況に応じて代替記憶部231に情報を登録する点が実施の形態1と異なる。実施の形態2では、この異なる点を説明し、同一の点については説明を省略する。Embodiment 2.
The second embodiment is different from the first embodiment in that the alternative control device 20 registers information in the alternative storage unit 231 according to the situation of the mobile body 100. In the second embodiment, these different points will be described, and the same points will be omitted.

***構成の説明***
図9を参照して、実施の形態2に係る代替制御装置20の構成を説明する。
代替制御装置20は、代替決定部214と、データ登録部215とを備える点が、図2に示す代替制御装置20と異なる。*** Explanation of configuration ***
The configuration of the alternative control device 20 according to the second embodiment will be described with reference to FIG.
The alternative control device 20 is different from the alternative control device 20 shown in FIG. 2 in that it includes an alternative determination unit 214 and a data registration unit 215.

***動作の説明***
図10から図11を参照して、実施の形態2に係るフェールオペレーショナルシステム10の動作を説明する。
実施の形態2に係るフェールオペレーショナルシステム10の動作における代替制御装置20の動作は、実施の形態2に係る代替制御方法に相当する。また、実施の形態2に係るフェールオペレーショナルシステム10の動作における代替制御装置20の動作は、実施の形態2に係る代替制御プログラムの処理に相当する。*** Explanation of operation ***
The operation of the fail operational system 10 according to the second embodiment will be described with reference to FIGS. 10 to 11.
The operation of the alternative control device 20 in the operation of the fail operational system 10 according to the second embodiment corresponds to the alternative control method according to the second embodiment. Further, the operation of the alternative control device 20 in the operation of the fail operational system 10 according to the second embodiment corresponds to the processing of the alternative control program according to the second embodiment.

実施の形態2では、代替制御装置20の動作は、登録処理と、代替制御処理とを含む。代替制御処理は、実施の形態1において図5を参照して説明した処理である。 In the second embodiment, the operation of the alternative control device 20 includes a registration process and an alternative control process. The alternative control process is the process described with reference to FIG. 5 in the first embodiment.

図10を参照して、実施の形態2に係る登録処理を説明する。
実施の形態2では、代替制御装置20は、定期的に登録処理を実行する。代替制御装置20は、定期的に登録処理を実行するのではなく、移動体100の状況が変わる度に登録処理を実行してもよい。
実施の形態2では、移動体100の状況は、移動体100の移動環境である。具体例としては、移動体100の状況は、移動体100が車両の場合には、高速道路と一般道路といった移動する道路種別である。また、移動体100の状況は、昼間及び夜間といった時間帯と、晴れと雨と霧といった気象条件と等である。The registration process according to the second embodiment will be described with reference to FIG.
In the second embodiment, the alternative control device 20 periodically executes the registration process. The alternative control device 20 may execute the registration process every time the situation of the mobile body 100 changes, instead of executing the registration process periodically.
In the second embodiment, the situation of the moving body 100 is the moving environment of the moving body 100. As a specific example, the situation of the moving body 100 is a moving road type such as an expressway and a general road when the moving body 100 is a vehicle. Further, the situation of the moving body 100 is a time zone such as daytime and nighttime, a weather condition such as sunny weather, rain and fog, and the like.

(ステップS31:リソース情報取得処理)
代替決定部214は、各ECU30からリソースの使用状況を示すリソース情報を取得する。図11に示すように、リソース情報は、ECU30で実行される処理毎に使用しているリソース量を示すとともに、ECU30において使用されていない現在の空きリソース量を示す。なお、図11では、各ECU30は、4コアのプロセッサ31を備えており、プロセッサ31の使用率の上限は400%としている。また、各ECU30のメモリ32は、512MB(メガバイト)であるとしている。(Step S31: Resource information acquisition process)
The alternative determination unit 214 acquires resource information indicating the resource usage status from each ECU 30. As shown in FIG. 11, the resource information indicates the amount of resources used for each process executed by the ECU 30, and also indicates the current amount of free resources not used by the ECU 30. In FIG. 11, each ECU 30 includes a 4-core processor 31, and the upper limit of the usage rate of the processor 31 is 400%. Further, the memory 32 of each ECU 30 is said to be 512 MB (megabytes).

(ステップS32:状況特定処理)
代替決定部214は、移動体100の状況を特定する。
具体的には、代替決定部214は、通信インタフェース24を介して接続された外部の装置から、移動体100の状況を示す情報を取得する。例えば、代替決定部214は、移動体100に搭載されたナビゲーションシステムから、移動体100が移動する位置を示す位置情報を取得する。(Step S32: Situation identification process)
The alternative determination unit 214 identifies the situation of the moving body 100.
Specifically, the alternative determination unit 214 acquires information indicating the status of the mobile body 100 from an external device connected via the communication interface 24. For example, the alternative determination unit 214 acquires position information indicating the position where the moving body 100 moves from the navigation system mounted on the moving body 100.

ステップS33からステップS37の処理は、複数のECU30それぞれを対象のECU30として実行される。
なお、図5のステップS11で、継続して動作させる必要がある処理を実行している一部のECU30についてのみ故障したことを検出する場合には、ステップS32からステップS37の処理は、故障したことを検出する対象となる一部のECU30についてのみ実行されればよい。The processes from step S33 to step S37 are executed with each of the plurality of ECUs 30 as the target ECU 30.
If it is detected in step S11 of FIG. 5 that only a part of the ECUs 30 that are executing the processes that need to be continuously operated have failed, the processes from steps S32 to S37 have failed. It suffices to be executed only for a part of the ECUs 30 to be detected.

(ステップS33:必要リソース特定処理)
代替決定部214は、対象のECU30で実行される処理で必要となる必要リソース量であって、ステップS32で特定された移動体100の状況に応じた必要リソース量を特定する。
なお、代替決定部214は、図5のステップS14で、一部の処理についてのみ実行するように指示する場合には、対象のECU30で実行される処理のうち、実行するように指示される一部の処理のみの必要リソース量を特定する。
具体的には、代替決定部214は、各処理について、状況毎に必要リソース量が設定されたリソース量テーブルから、ステップS32で特定された移動体100の状況に対応する、対象のECU30で実行される処理についての必要リソースを読み出す。あるいは、代替決定部214は、移動体100の周辺に存在する路側機から、移動体100が移動する道路を移動する場合に、各処理で必要になる必要リソース量を取得する。ダイナミックマップが実現された場合には、路側機から必要リソース量を取得できるようになる可能性がある。(Step S33: Required resource identification process)
The alternative determination unit 214 specifies the required resource amount required for the process executed by the target ECU 30, and is the required resource amount according to the situation of the mobile body 100 specified in step S32.
When the alternative determination unit 214 is instructed to execute only a part of the processes in step S14 of FIG. 5, the alternative determination unit 214 is instructed to execute the processes executed by the target ECU 30. Specify the amount of resources required only for the processing of the part.
Specifically, the alternative determination unit 214 executes each process in the target ECU 30 corresponding to the situation of the mobile body 100 specified in step S32 from the resource amount table in which the required resource amount is set for each situation. Read the necessary resources for the processing to be performed. Alternatively, the alternative determination unit 214 acquires the required resource amount required for each process when the moving body 100 moves on the road on which the moving body 100 moves from the roadside machine existing around the moving body 100. If a dynamic map is realized, it may be possible to acquire the required resource amount from the roadside aircraft.

(ステップS34:空きリソース量判定処理)
代替決定部214は、対象のECU30以外のECU30に、現在の空きリソース量がステップS33で特定された必要リソース量よりも多いECU30が存在するか否かを判定する。
代替決定部214は、存在しない場合には、処理をステップS35に進める。一方、代替決定部214は、存在する場合には、処理をステップS36に進める。(Step S34: Free resource amount determination process)
The alternative determination unit 214 determines whether or not the ECU 30 other than the target ECU 30 has an ECU 30 whose current free resource amount is larger than the required resource amount specified in step S33.
If the alternative determination unit 214 does not exist, the process proceeds to step S35. On the other hand, the alternative determination unit 214 advances the process to step S36 if it exists.

(ステップS35:空きリソース量更新処理)
代替決定部214は、対象のECU30以外のECU30で実行される処理のうち、未だ対象の処理に加えられていない優先順位の低い処理を対象の処理に加える。代替決定部214は、対象の処理を終了した場合における、対象のECU30以外の各ECU30の空きリソース量を計算する。具体的には、代替決定部214は、対象のECU30以外の各ECU30について、現在の空きリソース量に対象の処理が使用しているリソース量を加えることにより、対象の処理を終了した場合における空きリソース量を計算する。
そして、代替決定部214は、対象のECU30以外の各ECU30について、対象の処理を終了した場合における空きリソース量を、現在の空きリソース量に設定して、処理をステップS34に戻す。(Step S35: Free resource amount update process)
The alternative determination unit 214 adds a low-priority process that has not yet been added to the target process among the processes executed by the ECU 30 other than the target ECU 30 to the target process. The alternative determination unit 214 calculates the amount of free resources of each ECU 30 other than the target ECU 30 when the target process is completed. Specifically, the alternative determination unit 214 is free when the target process is completed by adding the amount of resources used by the target process to the current amount of free resources for each ECU 30 other than the target ECU 30. Calculate the amount of resources.
Then, the alternative determination unit 214 sets the amount of free resources when the target process is completed for each ECU 30 other than the target ECU 30 to the current amount of free resources, and returns the process to step S34.

なお、ここでは、移動体100の状況毎に、処理の優先順位が設定され、ストレージ23に記憶されているものとする。移動体100の状況に応じて処理の優先順位が変化するのは、移動体100の状況に応じて処理の必要性又は重要度が変化するためである。例えば、高速道路を走行中には、信号を認識するための処理は、原則不要となる。そのため、一般道路を走行中に比べ、高速道路を走行中には、信号を認識するための処理は、低い優先順位が設定される。 Here, it is assumed that the priority of processing is set for each situation of the moving body 100 and stored in the storage 23. The reason why the priority of processing changes according to the situation of the moving body 100 is that the necessity or importance of the processing changes according to the situation of the moving body 100. For example, while driving on a highway, processing for recognizing a signal becomes unnecessary in principle. Therefore, a lower priority is set for the process for recognizing a signal while traveling on an expressway than when traveling on a general road.

(ステップS36:代替機決定処理)
代替決定部214は、対象のECU30以外のECU30のうち、空きリソース量がステップS32で特定された必要リソース量よりも多いECU30を代替用のECU30として特定する。
また、代替決定部214は、代替用のECU30において、ステップS35で対象の処理として設定された処理を終了処理として決定する。代替決定部214は、代替用のECU30において、ステップS35で複数の処理が対象の処理として設定された場合には、全ての処理を終了処理として決定する。(Step S36: Alternative machine determination process)
Among the ECUs 30 other than the target ECU 30, the alternative determination unit 214 specifies the ECU 30 whose free resource amount is larger than the required resource amount specified in step S32 as the alternative ECU 30.
Further, the alternative determination unit 214 determines the process set as the target process in step S35 as the end process in the alternative ECU 30. In the alternative ECU 30, when a plurality of processes are set as target processes in step S35, the substitute determination unit 214 determines all the processes as end processes.

(ステップS37:データ登録処理)
データ登録部215は、ステップS36で決定された代替用のECU30の識別子を、対象のECU30についての代替識別子とし、ステップS36で決定された終了処理の識別子を、対象のECU30についての処理識別子として代替記憶部231に登録する。(Step S37: Data registration process)
The data registration unit 215 substitutes the identifier of the substitute ECU 30 determined in step S36 as the substitute identifier for the target ECU 30, and substitutes the end processing identifier determined in step S36 as the processing identifier for the target ECU 30. Register in the storage unit 231.

***実施の形態2の効果***
以上のように、実施の形態2に係るフェールオペレーショナルシステム10は、代替制御装置20が移動体100の状況に応じて代替記憶部231に情報を登録する。そのため、移動体100の状況に応じて適切なECU30を代替用のECU30として特定することが可能である。*** Effect of Embodiment 2 ***
As described above, in the fail operation system 10 according to the second embodiment, the alternative control device 20 registers information in the alternative storage unit 231 according to the situation of the mobile body 100. Therefore, it is possible to specify an appropriate ECU 30 as a substitute ECU 30 according to the situation of the moving body 100.

また、実施の形態2に係るフェールオペレーショナルシステム10は、代替制御装置20が、ECU30の故障の有無に関わらず、定期的に、又は、移動体100の状況が変わる度に、代替記憶部231に情報を登録し直す。そのため、ECU30に故障が発生した場合には、代替記憶部231から代替識別子等を読み出すだけで代替用のECU30が特定されるため、短時間で代替用のECU30を特定することが可能である。その結果、故障したECUで実行されていた処理が停止している時間を短くすることが可能である。これにより、移動体100の安全性を高くすることが可能である。 Further, in the fail operational system 10 according to the second embodiment, the alternative control device 20 informs the alternative storage unit 231 periodically or every time the situation of the mobile body 100 changes regardless of the presence or absence of a failure of the ECU 30. Re-register the information. Therefore, when a failure occurs in the ECU 30, the alternative ECU 30 is specified only by reading the alternative identifier and the like from the alternative storage unit 231. Therefore, the alternative ECU 30 can be specified in a short time. As a result, it is possible to shorten the time during which the processing executed by the failed ECU is stopped. Thereby, it is possible to increase the safety of the moving body 100.

***他の構成***
<変形例3>
実施の形態1,2では、自動運転車両といった移動体100のECU30に故障が発生した場合について説明した。しかし、上述したフェールオペレーショナル技術は、介護用のロボットといったロボットに搭載されたECU30に故障が発生した場合にも適用可能である。また、上述したフェールオペレーショナル技術は、一般的なコンピュータシステムに対しても適用可能である。一般的なコンピュータシステムに対しても適用する場合には、上述したECU30をコンピュータと読み替えればよい。*** Other configurations ***
<Modification example 3>
In the first and second embodiments, a case where a failure occurs in the ECU 30 of the moving body 100 such as an autonomous driving vehicle has been described. However, the above-mentioned fail-operational technique can be applied even when a failure occurs in the ECU 30 mounted on a robot such as a nursing care robot. The fail operation technique described above can also be applied to a general computer system. When applied to a general computer system, the above-mentioned ECU 30 may be read as a computer.

10 フェールオペレーショナルシステム、20 代替制御装置、21 プロセッサ、22 メモリ、23 ストレージ、24 通信インタフェース、25 電子回路、211 故障検出部、212 代替選択部、213 処理指示部、214 代替決定部、215 データ登録部、231 代替記憶部、30 ECU、31 プロセッサ、32 メモリ、33 ストレージ、34 通信インタフェース、311 リソース確保部、312 処理実行部、40 伝送路。 10 fail operational system, 20 alternative controller, 21 processor, 22 memory, 23 storage, 24 communication interface, 25 electronic circuit, 211 failure detector, 212 alternative selection unit, 213 processing instruction unit, 214 alternative decision unit, 215 data registration Unit, 231 alternative storage unit, 30 ECU, 31 processor, 32 memory, 33 storage, 34 communication interface, 311 resource reservation unit, 312 processing execution unit, 40 transmission path.

Claims (7)

移動体に搭載された複数のECU(Electronic Control Unit)のうちのいずれかECUが故障したことを検出する故障検出部と、
ECU毎に代替用のECUの識別子である代替識別子と終了させる終了処理の識別子である処理識別子とを記憶した代替記憶部から、前記故障検出部によって故障したことが検出された前記ECUである故障機についての前記代替識別子及び前記処理識別子を読み出す代替選択部と、
前記代替選択部によって読み出された前記代替識別子が示すECUである代替機に対して、前記代替選択部によって読み出された前記処理識別子が示す処理を終了して、前記故障機で実行されていた処理を実行するように指示する処理指示部と
を備える代替制御装置。A failure detection unit that detects that one of a plurality of ECUs (Electronic Control Units) mounted on a moving body has failed, and a failure detection unit.
A failure of the ECU detected by the failure detection unit from an alternative storage unit that stores an alternative identifier that is an identifier of a substitute ECU for each ECU and a processing identifier that is an identifier of the termination process to be terminated. An alternative selection unit that reads out the alternative identifier and the processing identifier for the machine,
For the alternative machine which is the ECU indicated by the alternative identifier read by the alternative selection unit, the processing indicated by the processing identifier read by the alternative selection unit is completed and executed by the failed machine. An alternative control device including a processing instruction unit that instructs the processing to be executed. 前記代替制御装置は、さらに、
前記複数のECUそれぞれを対象のECUとして、前記対象のECUで実行される処理で必要となる必要リソース量であって、前記移動体の状況に応じて決まる必要リソース量に基づき、前記対象のECUについての前記代替用のECUと、前記終了処理とを決定する代替決定部と、
前記代替決定部によって決定された前記代替用のECUの識別子を前記対象のECUについての前記代替識別子とし、決定された前記終了処理の識別子を前記対象のECUについての前記処理識別子として、前記代替記憶部に登録するデータ登録部と
を備える請求項1に記載の代替制御装置。The alternative control device further
The target ECU is the target ECU, and the required resource amount required for processing executed by the target ECU is based on the required resource amount determined according to the situation of the moving body. The alternative ECU for determining the above, the alternative determination unit for determining the termination process, and
The identifier of the alternative ECU determined by the alternative determination unit is used as the alternative identifier for the target ECU, and the determined identifier of the end processing is used as the processing identifier for the target ECU. The alternative control device according to claim 1, further comprising a data registration unit to be registered in the unit. 前記代替決定部は、前記対象のECU以外のいずれかのECUの空きリソース量が前記必要リソース量よりも多くなるまで、前記対象のECU以外のECUで実行される処理について、前記移動体の状況に応じて決定された優先順位の低い処理から順に対象の処理に加えていき、前記対象の処理を終了した場合における前記対象のECU以外のECUの空きリソース量を計算し、前記空きリソース量が前記必要リソース量よりも多いECUを前記代替用のECUとして決定するとともに、前記代替用のECUにおける前記対象の処理を前記終了処理として決定する
請求項2に記載の代替制御装置。The alternative determination unit determines the status of the moving body with respect to the processing executed by the ECU other than the target ECU until the amount of free resources of any ECU other than the target ECU becomes larger than the required resource amount. The processing is added to the target processing in order from the lower priority processing determined according to the above, and the amount of free resources of the ECU other than the target ECU when the target processing is completed is calculated, and the free resource amount is calculated. The alternative control device according to claim 2, wherein an ECU having a larger amount of required resources is determined as the alternative ECU, and the target process in the alternative ECU is determined as the end process. 前記代替決定部は、定期的に、又は、前記移動体の状況が変わる度に、前記代替用のECU及び前記終了処理を決定する
請求項2又は3に記載の代替制御装置。The alternative control device according to claim 2 or 3, wherein the alternative determination unit determines the alternative ECU and the termination process periodically or every time the situation of the moving body changes. 代替制御装置の故障検出部が、移動体に搭載された複数のECU(Electronic Control Unit)のうちのいずれかECUが故障したことを検出し、
前記代替制御装置の代替選択部が、ECU毎に代替用のECUの識別子である代替識別子と終了させる終了処理の識別子である処理識別子とを記憶した代替記憶部から、故障したことが検出された前記ECUである故障機についての前記代替識別子及び前記処理識別子を読み出し、
前記代替制御装置の処理指示部が、読み出された前記代替識別子が示すECUである代替機に対して、読み出された前記処理識別子が示す処理を終了して、前記故障機で実行されていた処理を実行するように指示する代替制御方法。The failure detection unit of the alternative control device detects that one of a plurality of ECUs (Electronic Control Units) mounted on the moving body has failed, and detects that the ECU has failed.
It was detected that the alternative selection unit of the alternative control device failed from the alternative storage unit that stored the alternative identifier that is the identifier of the alternative ECU and the processing identifier that is the identifier of the termination process for each ECU. Read out the alternative identifier and the processing identifier for the failed machine that is the ECU,
The processing instruction unit of the alternative control device finishes the process indicated by the read processing identifier with respect to the alternative machine which is the ECU indicated by the read alternative identifier, and is executed by the failed machine. An alternative control method that directs the processing to be performed. 故障検出部が、移動体に搭載された複数のECU(Electronic Control Unit)のうちのいずれかECUが故障したことを検出する故障検出処理と、
代替選択部が、ECU毎に代替用のECUの識別子である代替識別子と終了させる終了処理の識別子である処理識別子とを記憶した代替記憶部から、前記故障検出処理によって故障したことが検出された前記ECUである故障機についての前記代替識別子及び前記処理識別子を読み出す代替選択処理と、
処理指示部が、前記代替選択処理によって読み出された前記代替識別子が示すECUである代替機に対して、前記代替選択処理によって読み出された前記処理識別子が示す処理を終了して、前記故障機で実行されていた処理を実行するように指示する処理指示処理と
を行う代替制御装置としてコンピュータを機能させる代替制御プログラム。A failure detection process in which the failure detection unit detects that one of a plurality of ECUs (Electronic Control Units) mounted on the moving body has failed, and
It was detected that the alternative selection unit failed by the failure detection process from the alternative storage unit that stored the alternative identifier that is the identifier of the alternative ECU and the processing identifier that is the identifier of the termination process for each ECU. An alternative selection process for reading out the alternative identifier and the processing identifier for the faulty machine that is the ECU,
The processing instruction unit terminates the process indicated by the processing identifier read by the alternative selection process with respect to the alternative machine which is the ECU indicated by the alternative identifier read by the alternative selection process, and causes the failure. An alternative control program that causes a computer to function as an alternative control device that performs processing instruction processing that instructs the machine to execute the processing that was being executed. 代替制御装置と、移動体に搭載された複数のECU(Electronic Control Unit)とを備えるフェールオペレーショナルシステムであり、
前記代替制御装置は、
前記複数のECUのうちのいずれかECUが故障したことを検出する故障検出部と、
ECU毎に代替用のECUの識別子である代替識別子と終了させる終了処理の識別子である処理識別子とを記憶した代替記憶部から、前記故障検出部によって故障したことが検出された前記ECUである故障機についての前記代替識別子及び前記処理識別子を読み出す代替選択部と、
前記代替選択部によって読み出された前記代替識別子が示すECUである代替機に対して、前記代替選択部によって読み出された前記処理識別子が示す処理を終了して、前記故障機で実行されていた処理を実行するように指示する処理指示部と
を備え、
前記複数のECUそれぞれは、
前記処理指示部によって指示されると、前記処理識別子が示す処理を終了してリソースを確保するリソース確保部と、
前記リソース確保部によって前記リソースが確保されると、前記故障機で実行されていた処理を実行する処理実行部と
を備えるフェールオペレーショナルシステム。It is a fail-operational system equipped with an alternative control device and a plurality of ECUs (Electronic Control Units) mounted on a moving body.
The alternative control device is
A failure detection unit that detects that any one of the plurality of ECUs has failed, and
A failure of the ECU detected by the failure detection unit from an alternative storage unit that stores an alternative identifier that is an identifier of a substitute ECU for each ECU and a processing identifier that is an identifier of the termination process to be terminated. An alternative selection unit that reads out the alternative identifier and the processing identifier for the machine,
For the alternative machine which is the ECU indicated by the alternative identifier read by the alternative selection unit, the processing indicated by the processing identifier read by the alternative selection unit is completed and executed by the failed machine. It is equipped with a processing instruction unit that instructs to execute the processing.
Each of the plurality of ECUs
When instructed by the processing instruction unit, the resource securing unit that terminates the processing indicated by the processing identifier and secures the resource, and the resource securing unit.
A fail-operational system including a process execution unit that executes a process executed by the faulty machine when the resource is secured by the resource allocation unit.
JP2020565509A 2019-01-17 2019-01-17 Alternative control device, alternative control method, alternative control program and fail operational system Active JP6899978B2 (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2019/001292 WO2020148870A1 (en) 2019-01-17 2019-01-17 Alternative control device, alternative control method, alternative control program, and fail-operational system

Publications (2)

Publication Number Publication Date
JPWO2020148870A1 true JPWO2020148870A1 (en) 2021-03-11
JP6899978B2 JP6899978B2 (en) 2021-07-07

Family

ID=71614181

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020565509A Active JP6899978B2 (en) 2019-01-17 2019-01-17 Alternative control device, alternative control method, alternative control program and fail operational system

Country Status (2)

Country Link
JP (1) JP6899978B2 (en)
WO (1) WO2020148870A1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2023028829A (en) * 2021-08-20 2023-03-03 株式会社日立製作所 Controller and method of controlling controller

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5864502A (en) * 1981-10-15 1983-04-16 Hitachi Ltd Plant decentralized control method
JP2007257657A (en) * 2007-05-07 2007-10-04 Hitachi Ltd Distributed control apparatus, system, and controller
JP2017092835A (en) * 2015-11-16 2017-05-25 日立オートモティブシステムズ株式会社 Processor and vehicle control system
JP2017171114A (en) * 2016-03-24 2017-09-28 トヨタ自動車株式会社 Vehicle software allocation system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5864502A (en) * 1981-10-15 1983-04-16 Hitachi Ltd Plant decentralized control method
JP2007257657A (en) * 2007-05-07 2007-10-04 Hitachi Ltd Distributed control apparatus, system, and controller
JP2017092835A (en) * 2015-11-16 2017-05-25 日立オートモティブシステムズ株式会社 Processor and vehicle control system
JP2017171114A (en) * 2016-03-24 2017-09-28 トヨタ自動車株式会社 Vehicle software allocation system

Also Published As

Publication number Publication date
WO2020148870A1 (en) 2020-07-23
JP6899978B2 (en) 2021-07-07

Similar Documents

Publication Publication Date Title
CN106990982B (en) Program updating method and device
US7921341B2 (en) System and method for reproducing memory error
US20220052871A1 (en) Vehicle control system, vehicle control method, and non-transitory computer-readable medium in which vehicle control program is stored
CN109800032B (en) BOOTROM multi-core loading method and device
CN111241003A (en) Wear leveling of non-volatile memory using data write counters
US20220171611A1 (en) Electronic control unit, software update method, software update program product and electronic control system
CN111273634A (en) Arrangement of an at least partially automatic control system of a motor vehicle
JP6899978B2 (en) Alternative control device, alternative control method, alternative control program and fail operational system
US10452530B2 (en) Information processing apparatus and information processing method
CN117632570B (en) Multi-operating system diagnosis method, device and system based on multi-core heterogeneous SOC
CN108628726B (en) CPU state information recording method and device
CN111581171A (en) Log processing method and device, computing equipment and medium
US20200189609A1 (en) Smart vehicle system
US20080155309A1 (en) Memory card and debugging method employed by the same
US20180052635A1 (en) Electronic control apparatus and information storage method for the same
CN111562973A (en) Map data task execution method and electronic equipment
JP2014004858A (en) Vehicle control device
US20220156118A1 (en) Information processing device, information processing method, recording medium in which information processing program is recorded, and information processing system
US11451411B2 (en) First relay device, second relay device, and relay system
US20180068501A1 (en) Multiprocessor system and vehicle control system
US20170293440A1 (en) Storage device and data saving method in the same
JP2008024095A (en) On-vehicle system
KR20150137661A (en) Method and apparatus for fragmentation prevention of non-volatile memory for blackbox device
CN116635858A (en) Safety isolation device and method
CN106033220A (en) Method of detecting ECU Flash erasing and writing state and system thereof

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201120

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20201120

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20201120

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20201217

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210105

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210215

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210518

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210615

R150 Certificate of patent or registration of utility model

Ref document number: 6899978

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150