WO2015083251A1

WO2015083251A1 - 監視装置、制御システム及び監視プログラム

Info

Publication number: WO2015083251A1
Application number: PCT/JP2013/082554
Authority: WO
Inventors: 佑太和田; 徳永　雄一; 博仁西山; 伊藤　益夫; 達徳辻村; 岡村　茂一; 大輔谷本; 糸井　誠
Original assignee: 三菱電機株式会社
Priority date: 2013-12-04
Filing date: 2013-12-04
Publication date: 2015-06-11
Also published as: CN105765543B; DE112013007664T5; JPWO2015083251A1; US10007570B2; US20160217023A1; JP6147356B2; CN105765543A

Abstract

　車載ネットワークシステム（１００）では、親制御装置（１０）と子制御装置（２０）とにより制御装置が構成される。車載ネットワークシステム（１００）では、親制御装置（１０）と子制御装置（２０）とを繋ぐ車載ネットワーク（３０）を流れる、親制御装置（１０）と子制御装置（２０）との通信データを、監視装置（７０）が取得する。そして、監視装置（７０）が、取得した通信データと、記憶装置に記憶された診断データとに基づき親制御装置（１０）の異常を診断する。

Description

監視装置、制御システム及び監視プログラム

　この発明は、制御装置の動作の監視技術に関する。

　自動車の分野では、ユーザーの安全志向に対応するため、高機能化が進んできた。近年普及しつつある、自動ブレーキ機能、プリクラッシュセーフティ機能等が、その一例である。一方、このような機能は複数の入出力が複雑に関係する機能であるので、その機能の異常により、逆に安全性が損なわれることも考えられる。そこで、自動車の安全性を機能的に担保し、そのことを証明するための機能安全規格ＩＳＯ２６２６２が２０１１年１１月に策定された。

　自動車の各機能の制御を担当する部品としてマイクロコンピュータ等で構成される制御装置が上げられる。前記機能安全規格の対応のため、制御装置にも十分な安全方策を施し、故障リスクが十分に低減されていることを証明する必要がある。

　制御装置の安全方策について特許文献１，２に記載がある。
　特許文献１には、車両制御用の制御装置として、制御装置と、その制御装置を監視する制御装置とを搭載することについて記載されている。
　特許文献２には、仮想ＣＰＵ間でのロックステップ技術を適用した監視装置により制御装置を監視することについて記載されている。特許文献２では、制御装置の入出力情報の妥当性を判定することで制御装置の異常を検出する構成としている。

特開２０１２－６０８４２号公報特開２０１３－２５５７０号公報

　しかしながら、特許文献１，２に記載された方策では、制御装置に制御線の接続口等、安全方策のための追加構成要素が必要になるという課題がある。
　この発明は、制御装置に追加構成要素を持たせずに、制御装置の監視機能を実装することを目的とする。

　この発明に係る監視装置は、
　親制御装置と、前記親制御装置の制御に従いデバイスを制御する子制御装置とを備える制御システムにおける前記親制御装置の動作を監視する監視装置であり、
　前記親制御装置の動作を診断するための診断データを記憶する診断データ記憶部と、
　前記親制御装置と前記子制御装置との間の通信データを取得する情報取得部と、
　前記診断データ記憶部が記憶した診断データと、前記情報取得部が取得した通信データとに基づき、前記親制御装置の動作を診断する診断部と
を備えることを特徴とする。

　この発明に係る監視装置は、親制御装置と子制御装置とにより制御装置が構成されている場合に、親制御装置と子制御装置との間の通信データに基づき親制御装置の異常を診断する。そのため、親制御装置に制御線の接続口等の追加構成要素を設けることなく、親制御装置の異常を監視することができる。

実施の形態１に係る車載ネットワークシステム１００の構成図。実施の形態１に係る親制御装置１０の構成図。実施の形態１に係る子制御装置２０の構成図。実施の形態１に係る車載ネットワークシステム１００の通常動作を示す図。実施の形態１に係る監視装置７０の構成図。実施の形態１に係る車載ネットワークシステム１００の監視動作を示す図。実施の形態２に係る子制御装置２０の構成図。実施の形態２に係る監視装置７０の構成図。実施の形態２に係る車載ネットワークシステム１００の診断動作を示す図。親制御装置１０の状態遷移図。図１０に対応した入出力規則を示す図。テストデータの送信順序を示す図。車載ネットワークシステム１００の図１とは異なる構成図。実施の形態１，２に示した親制御装置１０、子制御装置２０、監視装置７０、外部機器９０のハードウェア構成の例を示す図。

　実施の形態１．
　図１は、実施の形態１に係る車載ネットワークシステム１００の構成図である。
　車載ネットワークシステム１００は、親制御装置１０と、複数の子制御装置２０（図１では、子制御装置２０ａ～２０ｃ）と、親制御装置１０と各子制御装置２０とを接続する車載ネットワーク３０と、制御対象となる入力機器４０及び出力機器５０（デバイスの一例）と、子制御装置２０と入力機器４０及び出力機器５０とを接続する入出力信号線６０とを備える。
　子制御装置２０のうちの少なくとも１つ（図１では、子制御装置２０ａ）を、親制御装置１０の動作を監視する監視装置７０とする。以下の説明では、単に子制御装置２０と記載した場合には、監視装置７０でない子制御装置２０を意味するものとする。

　入力機器４０は、例えば、センサデバイス（光センサ等）やスイッチ（ヘッドランプスイッチ等）である。また、出力機器５０は、例えば、駆動デバイス（ワイパー、パワーウインドウ等）や発光デバイス（ヘッドランプ、室内灯等）である。

　図２は、実施の形態１に係る親制御装置１０の構成図である。
　親制御装置１０は、通信部１１、情報同期管理部１２、入出力情報演算部１３を備える。

　通信部１１は、車載ネットワーク３０を通じて子制御装置２０と通信データを送受信する。

　情報同期管理部１２は、車載ネットワークシステム１００に接続されている入力機器４０の入力情報を定期的に取得し、保存する。また、情報同期管理部１２は、入出力情報演算部１３が入力情報に対して演算した出力情報を子制御装置２０に出力する。

　入出力情報演算部１３は、情報同期管理部１２に保存された入力情報を参照し、予め決められた入出力規則に従って、出力情報を演算する。入出力規則としては、例えば、「ヘッドランプのスイッチがＯＮになったらヘッドランプリレーへの出力をＯＮにする。」という規則や、「光センサの読み取り値のｘ倍の電圧を室内灯へ出力する。但し、出力する電圧はｚＶ以上とする。」という規則が考えられる。

　図３は、実施の形態１に係る子制御装置２０の構成図である。
　子制御装置２０は、通信部２１、情報同期部２２、入出力機器制御部２３を備える。

　通信部２１は、車載ネットワーク３０を通じて親制御装置１０と通信データを送受信する。

　情報同期部２２は、子制御装置２０に接続されている入力機器４０の入力情報を、親制御装置１０の要求に従い、親制御装置１０に送信する。

　入出力機器制御部２３は、子制御装置２０に接続されている出力機器５０に対して、親制御装置１０の要求に従い出力情報を出力する。

　車載ネットワーク３０は、親制御装置１０と各子制御装置２０とを接続する。車載ネットワーク３０は、親制御装置１０と各子制御装置２０とを１対１接続するものではなく、ある装置から送信された信号が親制御装置１０と全ての子制御装置２０とに受信されるバス型ネットワークであるものとする。例えば、図１において、親制御装置１０がある子制御装置２０に信号を送信したとき、どの子制御装置２０でも受信可能であるものとする。車載ネットワーク３０でよく用いられるバス型ネットワークの例としてはＣＡＮ（Ｃｏｎｔｒｏｌｌｅｒ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）が上げられる。
　この車載ネットワーク３０の構成によれば、どの子制御装置２０でも、他の子制御装置２０が親制御装置１０へ送信した入力機器４０の入力情報や、親制御装置１０が他の子制御装置２０へ送信した出力情報が受信可能となる。

　図４は、実施の形態１に係る車載ネットワークシステム１００の通常動作を示す図である。
　通常時には、親制御装置１０は、子制御装置２０に接続された入力機器４０及び出力機器５０を、車載ネットワーク３０を通じて制御する。本動作では、Ｓ０１０～Ｓ１１０の動作が周期的に繰り返される。

　まず、親制御装置１０の情報同期管理部１２は、通信部１１を通じて、各子制御装置２０に接続されている入力機器４０の入力情報の要求を送信する（Ｓ０１０）。車載ネットワーク３０を通じて、Ｓ０１０で送信された要求が各子制御装置２０に伝達される（Ｓ０２０）。各子制御装置２０の情報同期部２２は、入出力機器制御部２３に、接続されている入力機器４０の入力情報を問い合わせる（Ｓ０３０）。

　各子制御装置２０の入出力機器制御部２３は、接続されている入力機器４０の入力情報を情報同期部２２に返答する（Ｓ０４０）。各子制御装置２０の情報同期部２２は、通信部２１を通じて、親制御装置１０に入力機器４０の入力情報を送信する（Ｓ０５０）。車載ネットワーク３０を通じて、Ｓ０５０で送信された入力情報が、親制御装置１０に伝達される（Ｓ０６０）。親制御装置１０の情報同期管理部１２は、各子制御装置２０から送信された各入力機器４０の入力情報を統合して、入出力情報演算部１３に伝達する（Ｓ０７０）。

　親制御装置１０の入出力情報演算部１３は、伝達された入力情報から、事前に規定された入出力規則に従って、出力情報を演算する（Ｓ０８０）。親制御装置１０の情報同期管理部１２は、Ｓ０８０で演算された出力情報を、通信部１１を通じて各子制御装置２０に送信する（Ｓ０９０）。車載ネットワーク３０を通じて、Ｓ０９０で送信された出力情報が各子制御装置２０に伝達される（Ｓ１００）。各子制御装置２０の情報同期部２２は、入出力機器制御部２３にＳ１００で伝達された出力情報を伝達し、入出力機器制御部２３に出力機器５０を制御させる（Ｓ１１０）。

　以上のように、Ｓ０１０～Ｓ１１０において、子制御装置２０から接続された入力情報に基づき、親制御装置１０が出力情報を生成し、子制御装置２０が出力制御を行う。
　ここで、親制御装置１０にはランダムにハードウェア故障が起こり得る。そのため、Ｓ０８０における出力情報の演算に誤りが生じる可能性がある。Ｓ０８０における出力情報の演算に誤りがあると、Ｓ１１０における出力機器５０の制御に影響する。その結果、出力機器５０が誤動作し、乗員や周囲の人間の安全性を損なう可能性がある。そこで、実施の形態１では、子制御装置２０のうちの１つを監視装置７０とし、車載ネットワーク３０における通信を監視することにより、親制御装置１０の制御演算の誤りを監視する。

　図５は、実施の形態１に係る監視装置７０の構成図である。
　監視装置７０は、子制御装置２０の構成要素に加え、さらに、情報取得部７１、情報保存部７２、診断部７３、診断データ記憶部７４を備える。なお、図５では、情報同期部２２と入出力機器制御部２３とは省略している。

　情報取得部７１は、車載ネットワーク３０を流れる通信データであって、入出力規則の妥当性の評価に必要な通信データを取得（傍受）する。
　例えば、「ヘッドランプのスイッチがＯＮになったらヘッドランプリレーへの出力をＯＮにする」という入出力規則Ａがあるとする。このとき、図１において入出力の妥当性の評価に必要な通信データとは、子制御装置２０から親制御装置１０に対して送信されるヘッドランプスイッチの入力情報と、親制御装置１０から子制御装置２０に対して送信されるヘッドランプリレーへの出力情報とである。

　情報保存部７２は、入出力規則の妥当性の評価に必要な通信データを記憶装置に保存しておく。
　前記入出力規則Ａであれば、情報保存部７２は、「ヘッドランプのスイッチの入力がＯＮかＯＦＦかという情報」と、「ヘッドランプリレーへの出力がＯＮかＯＦＦかという情報」とを保存しておく。

　診断部７３は、入出力規則の妥当性の評価を行う。
　前記入出力規則Ａであれば、診断部７３は、ヘッドランプスイッチがＯＮになったときに、ヘッドランプリレーへの出力がＯＮか否かを判定する。仮にヘッドランプスイッチがＯＮであるのにもかかわらず、ヘッドランプリレーへの出力がＯＮになっていない場合には、診断部７３は、入出力の妥当性が満たされていないと判定する。

　診断データ記憶部７４は、入出力規則を記憶した記憶装置である。
　診断データ記憶部７４には、前記入出力規則Ａ等の様々な入出力規則が記憶されている。診断データ記憶部７４は、入力情報と出力情報との関係を示すテーブルを入出力規則として記憶してもよいし、入力情報と出力情報との関係を示す論理式や方程式を入出力規則として記憶してもよい。

　なお、監視装置７０は、子制御装置２０と同様に、入力機器４０及び出力機器５０が接続されていてもよい。

　図６は、実施の形態１に係る車載ネットワークシステム１００の監視動作を示す図である。
　監視動作は、図４に示す通常動作（Ｓ０１０～Ｓ１１０）が行われている際に実行される。そこで、図６では、図４に示す通常動作に追記する形で、監視動作を示している。

　まず、監視装置７０の情報取得部７１は、Ｓ０５０で子制御装置２０から送信され、Ｓ０６０で車載ネットワーク３０を流れる入力情報を取得する（Ｓ０６１）。入力情報は、バス型のネットワークに出力されるため、容易に取得が可能である。監視装置７０の情報保存部７２は、Ｓ０６１で取得した入力情報を保存する（Ｓ０６２）。

　また、監視装置７０の情報取得部７１は、Ｓ０９０で親制御装置１０から送信され、Ｓ１００で車載ネットワーク３０を流れる出力情報を取得する（Ｓ１０１）。監視装置７０の情報保存部７２は、Ｓ１０１で取得した出力情報を保存する（Ｓ１０２）。

　監視装置７０の診断部７３は、Ｓ０６２で保存した入力情報と、Ｓ１０２で保存した出力情報との関係を、診断データ記憶部７４が記憶した入出力規則により評価する（Ｓ１０３）。これにより、親制御装置１０がＳ０８０において誤演算を行ったということを検出できる。

　Ｓ１０３で入出力規則を逸脱したと評価された場合には、監視装置７０の診断部７３は、入出力規則を逸脱していることを親制御装置１０と各子制御装置２０とに伝達する（Ｓ１０４）。この際、診断部７３は、必要に応じて、入出力機器制御部２３に対し、入力機器４０及び出力機器５０を特定のフェイルセーフ状態に制御することを要求する（Ｓ１０５）。フェイルセーフ状態としては、例えば、ヘッドライトを点灯状態にすることや、ワイパーを動作状態にすること等が上げられる。
　例えば、診断部７３は、車載ネットワーク３０に特定の信号を送信すること、あるいは、専用に設けたリセット信号線を通して信号を送信すること等により、入出力規則を逸脱していることを親制御装置１０と各子制御装置２０とに伝達する。図６では、車載ネットワーク３０に特定の信号が送信されると仮定している。

　監視動作として説明したＳ０６１－Ｓ０６２、Ｓ１０１－Ｓ１０５は、親制御装置１０と子制御装置２０とにより行われる通常動作に何ら影響を及ぼさないし、親制御装置１０に特別な機能やハードウェアも必要ない。
　したがって、実施の形態１に係る車載ネットワークシステム１００では、親制御装置１０に制御線の接続口等の追加構成要素を設けることなく、親制御装置１０の異常を監視することができる。

　なお、上述した通り、Ｓ０１０－Ｓ１１０までの通常動作は周期的に行われる。そこで、複数周期にわたる入力情報と出力情報との関係を、入出力規則により評価してもよい。

　また、入出力規則は、前記入出力規則Ａのように１対１の関係だけにとどまらず、子制御装置２０に接続される入力機器４０及び出力機器５０に関して、多対多の関係であってもよい。

　また、入出力規則は、満たされなかった場合に、人命や財産に危険が及ぶような安全に関する規則だけ規定してもよい。

　実施の形態２．
　実施の形態１では、監視装置７０は、車載ネットワーク３０の通信データを監視しているだけであった。そのため、実際に親制御装置１０において出力情報の演算が発生したときにしか異常を検出できなかった。したがって、親制御装置１０が故障しているときに、監視装置７０が既に故障していた場合には、制御の安全性を確保できない。
　そこで、実施の形態２では、監視装置７０から、任意のタイミングでテストデータを親制御装置１０に送信し、実際に必要としてないときでも、所望の出力情報の演算を発生させ、親制御装置１０の診断を行う。これにより、監視装置７０が故障する前に、親制御装置１０の故障を検出できる可能性が高くなる。
　実施の形態２では、実施の形態１と同じ部分については説明を省略し、実施の形態１と異なる部分について説明する。

　図７は、実施の形態２に係る子制御装置２０の構成図である。
　子制御装置２０は、図３に示す実施の形態１に係る子制御装置２０の構成要素に加え、さらに、通知処理部２４を備える。

　通知処理部２４は、監視装置７０が任意のタイミングに行う診断の開始及び終了を示す情報を監視装置７０から受信する。

　通知処理部２４は、診断の開始を示す情報を受信した場合には、入出力機器制御部２３に対して処理の無効化を行う。また、通知処理部２４は、診断の終了を示す情報を受信した場合には、入出力機器制御部２３に対して処理の有効化を行う。なお、入出力機器制御部２３は、処理が無効化されると、無効化された時点における出力情報を保持する、あるいは、安全な出力情報を保持する。

　図８は、実施の形態２に係る監視装置７０の構成図である。
　監視装置７０は、図５に示す実施の形態１に係る監視装置７０の構成要素に加え、さらに、通知部７５、テストデータ送信部７６を備える。

　通知部７５は、任意のタイミングに行う診断の開始及び終了を示す情報を、車載ネットワーク３０を通じて子制御装置２０に送信する。

　テストデータ送信部７６は、子制御装置２０が親制御装置１０に送信する入力情報を模擬したテストデータを、車載ネットワーク３０を通じて親制御装置１０に送信する。テストデータ送信部７６は、診断データ記憶部７４が記憶した入出力規則における入力情報をテストデータとして送信する。
　テストデータ送信部７６は、１つの子制御装置２０が送信する入力情報を模擬したテストデータを送信してもよいし、複数の子制御装置２０が送信する入力情報を模擬したテストデータを同時に送信してもよい。

　図９は、実施の形態２に係る車載ネットワークシステム１００の診断動作を示す図である。
　診断動作は、監視装置７０が任意のタイミングに開始する。

　まず、監視装置７０の通知部７５は、通信部２１を通じて、診断開始を示す信号を各子制御装置２０に通知する（Ｓ２００）。なお、この通知を親制御装置１０が受信しても、親制御装置１０の動作は何ら変わりないものとする。車載ネットワーク３０を通じて、Ｓ２００で送信された通知が各子制御装置２０に伝達される（Ｓ２１０）。各子制御装置２０の通知処理部２４は、Ｓ２１０で送信された通知を受信し、入出力機器制御部２３に対して、親制御装置１０からの出力情報を無視するように設定する（Ｓ２２０）。すなわち、各子制御装置２０は、図４に示す通常動作におけるＳ１１０で出力情報に基づく制御を実施しないようにする。

　監視装置７０のテストデータ送信部７６は、診断データ記憶部７４が記憶した入出力規則における入力情報をテストデータとして抽出し、情報保存部７２は抽出されたテストデータを保存する（Ｓ２３０）。テストデータ送信部７６は、Ｓ２３０で抽出したテストデータを、車載ネットワーク３０を通じて親制御装置１０に送信する（Ｓ２４０）。車載ネットワーク３０を通じて、Ｓ２４０で送信されたテストデータが親制御装置１０に伝達される（Ｓ２５０）。

　親制御装置１０の情報同期管理部１２は、Ｓ２５０で伝達された機器のテストデータを入力情報として、入力情報を統合して、入出力情報演算部１３に伝達する（Ｓ２６０）。
　親制御装置１０の入出力情報演算部１３は、図４に示す通常動作におけるＳ０８０と同様に、Ｓ２５０で伝達された入力情報から、事前に規定された入出力規則に従って、出力情報を演算する（Ｓ２７０）。親制御装置１０の情報同期管理部１２は、図４に示す通常動作におけるＳ０９０と同様に、Ｓ２７０で生成された出力情報を、通信部１１を通じて各子制御装置２０に送信する（Ｓ２８０）。車載ネットワーク３０を通じて、Ｓ２８０で送信された出力情報が各子制御装置２０に伝達される（Ｓ２９０）。各子制御装置２０の情報同期部２２は、入出力機器制御部２３にＳ２９０で伝達された出力情報を伝達する（Ｓ３００）。しかし、入出力機器制御部２３は、Ｓ２２０で出力情報を無視するように設定されているため、伝達された出力情報に基づく制御を実施しない。

　監視装置７０の情報取得部７１は、図６に示す監視動作におけるＳ１０１と同様に、Ｓ２８０で親制御装置１０から送信され、Ｓ２９０で車載ネットワーク３０を流れる出力情報を取得する（Ｓ３１０）。監視装置７０の情報保存部７２は、Ｓ３１０で取得した出力情報を保存する（Ｓ３２０）。

　監視装置７０の診断部７３は、Ｓ２３０で保存したテストデータを入力情報とし、入力情報と、Ｓ３２０で保存した出力情報との関係を、診断データ記憶部７４が記憶した入出力規則により評価する（Ｓ３３０）。これにより、親制御装置１０がＳ２７０において誤演算を行ったということを検出できる。

　Ｓ３３０で入出力規則を逸脱したと評価された場合には、図６に示す監視動作におけるＳ１０４と同様に、監視装置７０の診断部７３は、入出力規則を逸脱していることを親制御装置１０と各子制御装置２０とに伝達する（Ｓ３４０）。この際、診断部７３は、必要に応じて、入出力機器制御部２３に対し、入力機器４０及び出力機器５０を特定のフェイルセーフ状態に制御することを要求する（Ｓ３５０）。また、診断部７３は、自動車が安全な状況にある場合には、ドライバーに光や音で通知してもよい。

　監視装置７０は、必要なだけＳ２３０－Ｓ３５０を繰り返す。そして、全ての診断が終了すると、通知部７５は、診断の終了を示す情報を各子制御装置２０に送信する。その後は、図４に示す通常動作が実行される。

　以上のように、実施の形態２に係る車載ネットワークシステム１００では、実際に親制御装置１０において出力情報の演算が発生したとき以外に、親制御装置１０の異常を検出できる。したがって、監視装置７０が故障する前に、親制御装置１０の故障を検出できる可能性が高くなる。

　なお、診断動作は、上述した通り、任意のタイミングで行われてもよい。しかし、エンジン起動時等、車体及びドライバーが安全な状態にあるときに診断を行うことで、より効果的に安全上のリスクを低減することができる。

　また、テストデータを複数周期の入力情報に基づくように構成してもよい。これにより具体的には、親制御装置１０の状態遷移に対応した診断を行うことができる。

　例えば、親制御装置１０が図１０に示す状態遷移を行うものとする。つまり、状態Ｓのときには子制御装置２０からの入力情報Ａにより状態Ｔに遷移し、状態Ｔのときには子制御装置２０からの入力情報Ｂより状態Ｓに遷移するものとする。
　このとき、図１１に示す入出力規則が与えられているものする。例えば、図１１は、規則番号１の入出力規則は、状態Ｓのときに入力情報Ａがあれば、出力情報Ｏが出力される、という規則を表している。
　ここで、規則番号１の入出力規則の診断を行うことを考える。この場合、上述したように、監視装置７０は、入力情報Ａをテストデータとして送信し、親制御装置１０から出力情報Ｏが出力されるか評価すればよい。しかし、規則番号１の入出力規則に続いて、規則番号２の入出力規則を診断しようとすると、うまく診断できない。すなわち、規則番号１の入出力規則の診断において親制御装置１０が状態Ｓから状態Ｔに遷移してしまうため、規則番号２の入出力規則の診断が行える状態Ｓではなくなってしまう。したがって、規則番号２の入出力規則を診断しようとして、入力情報Ｂを与えても期待すべき出力情報Ｐではなく、規則番号４に従い出力情報Ｏが出力されてしまう。
　そこで、図１２に示す順序でテストデータを送信して評価を行う。つまり、まず、親制御装置１０が状態Ｓのときに、監視装置７０はテストデータとして入力情報Ａを送信して、出力情報Ｏが出力されることを評価する。すると、入力情報Ａが送信されたため、親制御装置１０が状態Ｔに遷移する。そこで、次に、監視装置７０は入力情報Ｂを送信して、親制御装置１０を状態Ｓに遷移させた上で、監視装置７０はテストデータとして入力情報Ｂを送信して、出力情報Ｐが出力されることを評価する。

　また、上記説明では、子制御装置２０のうちの少なくとも１つを監視装置７０とした。しかし、子制御装置２０とは別に監視装置７０を設けてもよい。例えば、図１３に示すように、車載ネットワーク３０に外部コネクタ８０を設け、外部コネクタ８０に監視装置７０となる外部機器９０を接続してもよい。
　監視装置７０を外部機器９０によって実現することにより、ハードウェア選定の自由度が高くなる。そのため、例えば、入出力規則を記憶する記憶装置の容量を大きくして、多数の入出力規則を記憶すること等も可能である。その結果、より詳細な診断が可能となる。

　また、上記説明では、車載ネットワークシステム１００を例として、制御装置の監視及び診断を行うことを説明した。しかし、車載ネットワークシステム１００に限らず、他の装置やシステムにおいても、同様に制御装置の監視及び診断を行うことは可能である。

　図１４は、実施の形態１，２に示した親制御装置１０、子制御装置２０、監視装置７０、外部機器９０のハードウェア構成の例を示す図である。
　親制御装置１０、子制御装置２０、監視装置７０、外部機器９０はコンピュータであり、親制御装置１０、子制御装置２０、監視装置７０、外部機器９０の各要素をプログラムで実現することができる。
　親制御装置１０、子制御装置２０、監視装置７０、外部機器９０のハードウェア構成としては、バスに、演算装置９０１、外部記憶装置９０２、主記憶装置９０３、通信装置９０４、入出力装置９０５が接続されている。

　演算装置９０１は、プログラムを実行するＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）等である。外部記憶装置９０２は、例えばＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）やフラッシュメモリ、ハードディスク装置等である。主記憶装置９０３は、例えばＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）等である。通信装置９０４は、例えば通信ボード等である。入出力装置９０５は、例えばマウス、キーボード、ディスプレイ装置等である。

　プログラムは、通常は外部記憶装置９０２に記憶されており、主記憶装置９０３にロードされた状態で、順次演算装置９０１に読み込まれ、実行される。
　プログラムは、通信部１１、情報同期管理部１２、入出力情報演算部１３、通信部２１、情報同期部２２、入出力機器制御部２３、通知処理部２４、情報取得部７１、情報保存部７２、診断部７３、診断データ記憶部７４、通知部７５、テストデータ送信部７６として説明している機能を実現するプログラムである。
　更に、外部記憶装置９０２にはオペレーティングシステム（ＯＳ）も記憶されており、ＯＳの少なくとも一部が主記憶装置９０３にロードされ、演算装置９０１はＯＳを実行しながら、上記プログラムを実行する。
　また、実施の形態１，２の説明において、「～の送信」、「～の受信」、「～の取得」、「～の保存」、「～の出力」、「～の演算」、「～の判定」等として説明している処理の結果を示す情報やデータや信号値や変数値が主記憶装置９０３にファイルとして記憶されている。

　なお、図１４の構成は、あくまでも各装置のハードウェア構成の一例を示すものであり、各装置のハードウェア構成は図１４に記載の構成に限らず、他の構成であってもよい。

　１００　車載ネットワークシステム、１０　親制御装置、１１　通信部、１２　情報同期管理部、１３　入出力情報演算部、２０　子制御装置、２１　通信部、２２　情報同期部、２３　入出力機器制御部、２４　通知処理部、３０　車載ネットワーク、４０　入力機器、５０　出力機器、６０　入出力信号線、７０　監視装置、７１　情報取得部、７２　情報保存部、７３　診断部、７４　診断データ記憶部、７５　通知部、７６　テストデータ送信部。

Claims

　親制御装置と、前記親制御装置の制御に従いデバイスを制御する子制御装置とを備える制御システムにおける前記親制御装置の動作を監視する監視装置であり、
　前記親制御装置の動作を診断するための診断データを記憶する診断データ記憶部と、
　前記親制御装置と前記子制御装置との間の通信データを取得する情報取得部と、
　前記診断データ記憶部が記憶した診断データと、前記情報取得部が取得した通信データとに基づき、前記親制御装置の動作を診断する診断部と
を備えることを特徴とする監視装置。
　前記親制御装置は、前記子制御装置からの入力データに対して、出力データを演算し、演算した出力データを前記子制御装置へ出力し、
　前記子制御装置は、前記親制御装置から出力された出力データに基づき、前記デバイスを制御し、
　前記診断データ記憶部は、入力データと出力データとの対応関係を前記診断データとして記憶し、
　前記情報取得部は、前記子制御装置から前記親制御装置へ送信された入力データと、前記親制御装置から前記子制御装置へ送信された出力データとを取得し、
　前記診断部は、前記情報取得部が取得した入力データと出力データとが、前記対応関係を満たすか否かを判定することにより、前記親制御装置の動作を診断する
ことを特徴とする請求項１に記載の監視装置。
　前記監視装置は、さらに、
　前記親制御装置にテストデータを送信するテストデータ送信部
を備え、
　前記親制御装置は、前記テストデータ送信部が送信したテストデータを前記子制御装置からの入力データとして、出力データを演算し、演算した出力データを前記子制御装置へ出力し、
　前記情報取得部は、前記親制御装置から前記子制御装置へ送信された出力データを取得し、
　前記診断部は、前記テストデータと、前記情報取得部が取得した出力データとが、前記対応関係を満たすか否かを判定することにより、前記親制御装置の動作を診断する
ことを特徴とする請求項２に記載の監視装置。
　前記監視装置は、さらに、
　前記テストデータ送信部が前記テストデータを送信する場合に、一時的に前記出力データに基づき前記デバイスを制御しないように前記子制御装置へ通知する通知部
を備える特徴とする請求項３に記載の監視装置。
　親制御装置と、前記親制御装置の制御に従いデバイスを制御する子制御装置と、前記親制御装置の動作を監視する監視装置とを備える制御システムであり、
　前記監視装置は、
　前記親制御装置の動作を診断するための診断データを記憶する診断データ記憶部と、
　前記親制御装置と前記子制御装置との間の通信データを取得する情報取得部と、
　前記診断データ記憶部が記憶した診断データと、前記情報取得部が取得した通信データとに基づき、前記親制御装置の動作を診断する診断部と
を備えることを特徴とする制御システム。
　親制御装置と、前記親制御装置の制御に従いデバイスを制御する子制御装置とを備える制御システムにおける前記親制御装置の動作を監視する監視プログラムであり、
　前記親制御装置と前記子制御装置との間の通信データを取得する情報取得処理と、
　記憶装置に記憶された診断データであって、前記親制御装置の動作を診断するための診断データと、前記情報取得処理で取得した通信データとに基づき、前記親制御装置の動作を診断する診断処理と
をコンピュータに実行させることを特徴とする監視プログラム。