WO2020012822A1 - Computation system and computation device - Google Patents

Computation system and computation device Download PDF

Info

Publication number
WO2020012822A1
WO2020012822A1 PCT/JP2019/021817 JP2019021817W WO2020012822A1 WO 2020012822 A1 WO2020012822 A1 WO 2020012822A1 JP 2019021817 W JP2019021817 W JP 2019021817W WO 2020012822 A1 WO2020012822 A1 WO 2020012822A1
Authority
WO
WIPO (PCT)
Prior art keywords
arithmetic
predetermined
unit
communication
ecu
Prior art date
Application number
PCT/JP2019/021817
Other languages
French (fr)
Japanese (ja)
Inventor
憲太 森島
Original Assignee
日立オートモティブシステムズ株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 日立オートモティブシステムズ株式会社 filed Critical 日立オートモティブシステムズ株式会社
Publication of WO2020012822A1 publication Critical patent/WO2020012822A1/en

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/48Program initiating; Program switching, e.g. by interrupt

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mechanical Engineering (AREA)

Abstract

Provided is a computation system comprising a plurality of computation devices for alternately executing a prescribed computation, wherein each of the computation devices comprises: a communication part for carrying out a communication with the other computation devices; a computation part for carrying out a prescribed computation; and an execution control part for, when a prescribed condition is satisfied when the computation part is carrying out the prescribed computation, interrupting the prescribed computation and transmitting a delegation signal for causing another of the computation devices to take over the prescribed computation. The execution control part causes the computation part to commence the prescribed computation upon receiving the delegation signal.

Description

演算システム、演算装置Arithmetic system, arithmetic unit
 本発明は、演算システム、および演算装置に関する。 << The present invention relates to an arithmetic system and an arithmetic device.
 自動車には車両を制御する演算装置が複数搭載されている。特許文献1には、通信経路を介して接続された複数の車載機器を備えた車両制御システムにおいて、前記複数の車載機器は、それぞれ、自己以外の他の車載機器の状態を診断し、自己が診断した他の車載機器の状態を、他の車載機器との間で交換し、自己が診断した他の車載機器の状態と、他の車載機器から取得した他の車載機器の状態とに基づいて、他の車載機器の状態を判定する車両制御システムが開示されている。 Automobiles are equipped with multiple computing devices that control the vehicle. Patent Literature 1 discloses that in a vehicle control system including a plurality of in-vehicle devices connected via a communication path, each of the plurality of in-vehicle devices diagnoses a state of another in-vehicle device other than its own, and The status of the other in-vehicle device diagnosed is exchanged with another in-vehicle device, and based on the status of the other in-vehicle device diagnosed by itself and the status of the other in-vehicle device obtained from the other in-vehicle device. A vehicle control system that determines the state of another vehicle-mounted device is disclosed.
日本国特開2007-126127号公報Japanese Patent Application Laid-Open No. 2007-126127
 特許文献1に記載されている発明では、所定の演算を複数の演算装置で交代で実行できない。 In the invention described in Patent Literature 1, a predetermined operation cannot be executed alternately by a plurality of operation devices.
 本発明の第1の態様による演算システムは、所定の演算を交代で実行する複数の演算装置を含む演算システムであって、それぞれの前記演算装置は、他の前記演算装置との通信を行う通信部と、前記所定の演算を行う演算部と、前記演算部が前記所定の演算を行っている場合に所定の条件を満たすと前記所定の演算を停止させ、他の前記演算装置に前記所定の演算を引き継がせる委任信号を送信する実行制御部とを備え、前記実行制御部は、前記委任信号を受信すると前記演算部に前記所定の演算を開始させる。
 本発明の第2の態様による演算装置は、所定の演算を交代で実行可能な演算装置であって、他の前記演算装置との通信を行う通信部と、前記所定の演算を行う演算部と、前記演算部が前記所定の演算を行っている場合に所定の条件を満たすと前記所定の演算を停止させ、他の前記演算装置に前記所定の演算を引き継がせる委任信号を送信する実行制御部とを備え、前記実行制御部は、前記委任信号を受信すると前記演算部に前記所定の演算を開始させる。 An arithmetic system according to a first aspect of the present invention is an arithmetic system including a plurality of arithmetic devices that alternately execute a predetermined arithmetic operation, wherein each of the arithmetic devices communicates with another of the arithmetic devices. Unit, an operation unit that performs the predetermined operation, and stops the predetermined operation when a predetermined condition is satisfied when the operation unit is performing the predetermined operation, and causes the other operation device to execute the predetermined operation. An execution control unit that transmits a commission signal for taking over the computation, wherein the execution control unit causes the computation unit to start the predetermined computation when the commission signal is received.
An arithmetic device according to a second aspect of the present invention is an arithmetic device capable of alternately executing a predetermined operation, and a communication unit that communicates with another arithmetic device, and an arithmetic unit that performs the predetermined operation. An execution control unit that stops the predetermined operation when a predetermined condition is satisfied when the operation unit is performing the predetermined operation, and transmits a commission signal that allows the predetermined operation to be taken over to another operation device. The execution control unit, upon receiving the delegation signal, causes the operation unit to start the predetermined operation.
 本発明によれば、所定の演算を複数の演算装置で交代で実行できる。 According to the present invention, a predetermined operation can be executed alternately by a plurality of operation devices.
演算システム2000の概要図Schematic diagram of arithmetic system 2000 第1ECU101の構成図Configuration diagram of first ECU 101 ECU100が交代で車両1000の通信を監視する様子を示す概略図Schematic diagram showing how the ECU 100 takes turns monitoring communication of the vehicle 1000 図4(a)は遷移表18bの一例を示す図、図4(b)は遷移表18bを可視化した図FIG. 4A illustrates an example of the transition table 18b, and FIG. 4B illustrates a visualization of the transition table 18b. 状態監視と通信監視のローテーションを模式的に示す図Diagram showing rotation of status monitoring and communication monitoring 第1の実施の形態における通信監視ブロック14の動作を表すフローチャート5 is a flowchart illustrating the operation of the communication monitoring block 14 according to the first embodiment. 第1の実施の形態における通信監視ブロック14の動作を表すフローチャート5 is a flowchart illustrating the operation of the communication monitoring block 14 according to the first embodiment. 第1の実施の形態における通信監視ブロック14の動作を表すフローチャート5 is a flowchart illustrating the operation of the communication monitoring block 14 according to the first embodiment. 第1の実施の形態における通信監視ブロック14の動作を表すフローチャート5 is a flowchart illustrating the operation of the communication monitoring block 14 according to the first embodiment. 第2の実施の形態における通信監視ブロック14の動作を表すフローチャート9 is a flowchart illustrating the operation of the communication monitoring block 14 according to the second embodiment.
―第1の実施の形態―
 以下、図1~図9を参照して、演算システムの第1の実施の形態を説明する。 -First embodiment-
Hereinafter, a first embodiment of an arithmetic system will be described with reference to FIGS.
(全体構成)
 図1は本発明に係る演算システム2000の概要図である。演算システム2000は、車両1000に格納される。演算システム2000は、ゲートウェイ200と、第1ECU101と、第2ECU102と、第3ECU103と、第4ECU104と、第1通信バス21と、第2通信バス22と、通信装置110とを備える。以下では、第1ECU101、第2ECU102、第3ECU103、および第4ECU104を特に区別しない場合は「ECU100」と呼ぶ。通信装置110は、無線通信により通信網201、たとえばインターネットとの通信が可能である。なお図1ではECUは第1~第4の4つだけであるが、車両1000に備えられるECUの数は2以上であればよく上限はない。また車両1000が備える通信バスは1つのみでもよいし3つ以上でもよい。 (overall structure)
FIG. 1 is a schematic diagram of an arithmetic system 2000 according to the present invention. The arithmetic system 2000 is stored in the vehicle 1000. The arithmetic system 2000 includes a gateway 200, a first ECU 101, a second ECU 102, a third ECU 103, a fourth ECU 104, a first communication bus 21, a second communication bus 22, and a communication device 110. Hereinafter, the first ECU 101, the second ECU 102, the third ECU 103, and the fourth ECU 104 will be referred to as “ECU 100” unless otherwise distinguished. The communication device 110 can communicate with a communication network 201, for example, the Internet by wireless communication. Although FIG. 1 shows only the first to fourth ECUs, the number of ECUs provided in vehicle 1000 may be two or more, and there is no upper limit. The vehicle 1000 may have only one communication bus or three or more communication buses.
 車両1000に搭載される機器の通信方式は特に限定されず、たとえばCAN(登録商標)やIEEE802.3を用いることができる。なお通信方式や通信プロトコルによってネットワーク上に送出されるデータの呼び名はフレーム、データグラム、パケットなど様々であるが、本実施の形態では「パケット」と呼ぶ。ゲートウェイ200はいわゆるリピータとして動作し、一方のポートで受信した情報を他方のポートから送信する。すなわち、受信したパケットの宛先を見て他方の通信バスへの転送の要否を判断せずにすべて転送する。 The communication system of the devices mounted on the vehicle 1000 is not particularly limited, and for example, CAN (registered trademark) or IEEE802.3 can be used. The names of data transmitted over a network according to a communication method or a communication protocol are various such as frames, datagrams, and packets, but are referred to as “packets” in the present embodiment. The gateway 200 operates as a so-called repeater, and transmits information received at one port from the other port. That is, all packets are transferred without looking at the destination of the received packet and determining whether transfer to the other communication bus is necessary.
 通信装置110、第1ECU101、およびゲートウェイ200は第1通信バス21に接続される。ゲートウェイ200、第2ECU102、第3ECU103、および第4ECU104は第2通信バス22に接続される。通信装置110はECU100へアップデート情報を提供する役目を担っている。すなわちこれは、図1に一点鎖線で示すように、通信装置110を入り口として外部から侵入される可能性があることを意味している。そのため本実施の形態では外部から侵入されたことによる異変を検知する。 The communication device 110, the first ECU 101, and the gateway 200 are connected to the first communication bus 21. The gateway 200, the second ECU 102, the third ECU 103, and the fourth ECU 104 are connected to the second communication bus 22. The communication device 110 has a role of providing update information to the ECU 100. That is, this means that there is a possibility that the communication device 110 may be intruded from outside with the communication device 110 as an entrance, as indicated by a dashed line in FIG. For this reason, in the present embodiment, an unusual event caused by an external intrusion is detected.
(ECUの構成)
 図2は第1ECU101の構成を示す図である。ただし第2ECU102~第4ECU104も第1ECU101とほぼ同一の構成を有する。第1ECU101は、アプリ12と、基本ソフト13と、通信監視ブロック14と、通信部11とを備える。それぞれのECU100は、アプリ12により実現される機能は異なるが、そのほかの構成は同一である。 (Configuration of ECU)
FIG. 2 is a diagram showing the configuration of the first ECU 101. However, the second ECU 102 to the fourth ECU 104 have substantially the same configuration as the first ECU 101. The first ECU 101 includes an application 12, basic software 13, a communication monitoring block 14, and a communication unit 11. Each ECU 100 has a different function realized by the application 12, but has the same other configuration.
 第1ECU101は、不図示のCPU、ROM、およびRAMを備え、ROMに格納するプログラムをRAMに展開してCPUが実行することでアプリ12、基本ソフト13、および通信監視ブロック14を実現することができる。ただしハードウエア回路や書き換え可能な論理回路により実現してもよい。 The first ECU 101 includes a CPU, a ROM, and a RAM (not shown). The first ECU 101 expands a program stored in the ROM into the RAM, and executes the program, thereby realizing the application 12, the basic software 13, and the communication monitoring block 14. it can. However, it may be realized by a hardware circuit or a rewritable logic circuit.
 アプリ12は、第1ECU101が主目的とする機能を実現するアプリケーションである。基本ソフト13は、アプリ12を動作させるためのオペレーティングシステムである。通信監視ブロック14は車両1000内の通信を他のECUと交代で監視する。通信監視ブロック14の詳細は以下で詳細に説明する。第1ECU101は、アプリ12により本来の機能を発揮しつつ、ある時間は通信監視ブロック14を用いて車両1000内の通信を監視する。図3を参照して詳述する。 The application 12 is an application that implements a function that the first ECU 101 mainly performs. The basic software 13 is an operating system for operating the application 12. The communication monitoring block 14 alternately monitors communication in the vehicle 1000 with another ECU. Details of the communication monitoring block 14 will be described in detail below. The first ECU 101 monitors the communication in the vehicle 1000 using the communication monitoring block 14 for a certain time while exerting the original function by the application 12. This will be described in detail with reference to FIG.
 図3は、ECU100が交代で、すなわちローテーションして車両1000の通信を監視する様子を示す概略図である。図3(a)~(d)は時系列順に並んでおり、図3(d)の次は図3(a)に戻る。図3(a)に示すように、初めに第1ECU101が通信を監視し、所定の条件を満たすと通信の監視を引き継がせるための信号である委任パケット32を第2ECU102に送信する。なお「委任パケット」は「委任信号」と呼ぶこともできる。 FIG. 3 is a schematic diagram showing a situation in which the ECU 100 takes turns, that is, rotates and monitors the communication of the vehicle 1000. 3A to 3D are arranged in chronological order, and the process returns to FIG. 3A after FIG. 3D. As shown in FIG. 3A, first, the first ECU 101 monitors communication, and when a predetermined condition is satisfied, transmits a delegation packet 32, which is a signal for taking over monitoring of communication, to the second ECU 102. Note that the “delegation packet” can also be called a “delegation signal”.
 委任パケット32を送信した第1ECU101は通信の監視を終了する。委任パケット32を受信した第2ECU102は、図3(b)に示すように通信を監視する。そして第2ECU102は、所定の条件を満たすと第3ECU103に委任パケット32を送信して監視を終了する。このようにしてECU100は、委任パケット32を送信して通信の監視を次々に交代する。図2に戻って説明を続ける。 (4) The first ECU 101 that has transmitted the delegation packet 32 ends the communication monitoring. The second ECU 102 that has received the commission packet 32 monitors the communication as shown in FIG. Then, when the predetermined condition is satisfied, the second ECU 102 transmits the commission packet 32 to the third ECU 103 and ends the monitoring. In this way, the ECU 100 transmits the commission packet 32 and alternately monitors the communication one after another. Returning to FIG. 2, the description will be continued.
 通信部11は、受信バッファ11aと、送信バッファ11bと、不図示のコントローラとを備える。受信バッファ11aは、コントローラにより通信バス20を流れるすべてのパケットが入力されるバッファである。基本ソフト13は第1ECU101が対応すべきパケットを処理し、他のパケットは無視する。ただし後述する監視部16が動作している場合は、受信バッファ11aに入力されるすべてのパケットを監視部16が監視する。なお第1ECU101が対応すべきパケットとは、CANにおいてCAN-IDが特定の値のパケットや、IEEE802.3において宛先のIPアドレスが第1ECU101であるパケットである。 The communication unit 11 includes a reception buffer 11a, a transmission buffer 11b, and a controller (not shown). The reception buffer 11a is a buffer to which all packets flowing through the communication bus 20 by the controller are input. The basic software 13 processes a packet to be handled by the first ECU 101 and ignores other packets. However, when the monitoring unit 16 described below is operating, the monitoring unit 16 monitors all packets input to the reception buffer 11a. The packet to be handled by the first ECU 101 is a packet whose CAN-ID has a specific value in CAN or a packet whose destination IP address is the first ECU 101 in IEEE802.3.
 送信バッファ11bは、第1ECU101が送信するパケットが入力されるバッファである。送信バッファ11bに入力されたパケットは、コントローラにより通信バス20の空き状況やあらかじめ定められた通信周期に応じて通信バス20に出力される。 The transmission buffer 11b is a buffer to which a packet transmitted by the first ECU 101 is input. The packet input to the transmission buffer 11b is output to the communication bus 20 by the controller according to the availability of the communication bus 20 or a predetermined communication cycle.
 通信監視ブロック14は、実行制御部15と、監視部16と、検証部17と、格納部18とを備える。なお以下では、監視部と検証部17とをあわせて演算部30とも呼ぶ。格納部18には、通信を監視するECU100の順番を示す監視順18aと、車両内の通信に関する正常な状態の遷移を示す遷移表18bとが格納される。なお以下では、車両内の通信に関する状態を「通信状態」と呼ぶ。すなわち遷移表18bには通信状態の正常な遷移が格納される。たとえば図3に示した例に対応する監視順18aは、{第1ECU101、第2ECU102、第3ECU103、第4ECU104}である。遷移表18bの具体例は後述する。 The communication monitoring block 14 includes an execution control unit 15, a monitoring unit 16, a verification unit 17, and a storage unit 18. In the following, the monitoring unit and the verification unit 17 are also collectively referred to as a calculation unit 30. The storage unit 18 stores a monitoring order 18a indicating the order of the ECUs 100 monitoring communication, and a transition table 18b indicating a normal state transition regarding communication in the vehicle. Hereinafter, a state related to communication in the vehicle is referred to as a “communication state”. That is, the normal transition of the communication state is stored in the transition table 18b. For example, the monitoring order 18a corresponding to the example shown in FIG. 3 is {first ECU 101, second ECU 102, third ECU 103, fourth ECU 104}. A specific example of the transition table 18b will be described later.
 実行制御部15は、第1ECU101宛の委任パケット32を受信すると監視部16および検証部17に動作を開始させる。監視部16および検証部17が動作している状態で所定の条件を満たすと、実行制御部15は監視部16および検証部17に動作を停止させるとともに、委任パケット32を送信する。所定の条件とは、あらかじめ定められた時間の経過、または処理負荷の増加である。この委任パケット32の送信先は、監視順18aに従って決定される。なおこの委任パケット32には、後述するように現在の通信状態も付加して送信される。詳しくは後述する。 (4) Upon receiving the commission packet 32 addressed to the first ECU 101, the execution control unit 15 causes the monitoring unit 16 and the verification unit 17 to start operating. When a predetermined condition is satisfied while the monitoring unit 16 and the verification unit 17 are operating, the execution control unit 15 stops the operation of the monitoring unit 16 and the verification unit 17 and transmits the delegation packet 32. The predetermined condition is an elapse of a predetermined time or an increase in processing load. The transmission destination of the delegation packet 32 is determined according to the monitoring order 18a. The delegation packet 32 is transmitted with the current communication state added thereto as described later. Details will be described later.
 実行制御部15はどのECU100が通信を監視しているかを常に把握する。以下では、通信を監視しているECU100を「監視ECU」と呼び、実行制御部15が記録する情報であって監視ECUを示す情報を「監視ECU情報」と呼ぶ。委任パケット32は通信バス20を介してすべてのECU100に送信されるので、他のECU100同士で委任パケット32が送受信されても監視ECUを把握できる。 (4) The execution control unit 15 keeps track of which ECU 100 is monitoring communication. Hereinafter, the ECU 100 monitoring the communication is referred to as “monitoring ECU”, and the information recorded by the execution control unit 15 and indicating the monitoring ECU is referred to as “monitoring ECU information”. Since the commission packet 32 is transmitted to all the ECUs 100 via the communication bus 20, the monitoring ECU can be grasped even if the commission packets 32 are transmitted and received between the other ECUs 100.
 監視部16は、受信バッファ11aに入力されるパケットの識別子、たとえばCAN-IDを監視して検証部17に出力する。検証部17は、現在の通信状態、監視部16が出力するパケットの識別子、および遷移表18bの3つの情報を用いて通信状態が正常に遷移したか否かを判断する。 The monitoring unit 16 monitors the identifier of the packet input to the reception buffer 11a, for example, the CAN-ID, and outputs it to the verification unit 17. The verification unit 17 determines whether the communication state has successfully transitioned using the current communication state, the identifier of the packet output by the monitoring unit 16, and the three pieces of information of the transition table 18b.
(遷移表18b)
 図4(a)は遷移表18bの一例を示す図、図4(b)は遷移表18bを可視化した図である。遷移表18bは複数のレコードから構成され、各レコードは、通信状態と、遷移のトリガ条件と、遷移先の通信状態と、タイムアウト時間と、トリガ設定のフィールドから構成される。通信状態のフィールドには、通信状態の番号が格納される。トリガ条件のフィールドには、次の通信状態に遷移する条件が格納される。遷移先の通信状態のフィールドには、トリガ条件を満たした場合に遷移する通信状態の番号が格納される。タイムアウトのフィールドにはその状態に遷移してからタイムアウトになるまでの時間が格納される。ただしタイムアウトがない場合には「なし」が格納される。 (Transition table 18b)
FIG. 4A is a diagram illustrating an example of the transition table 18b, and FIG. 4B is a diagram visualizing the transition table 18b. The transition table 18b includes a plurality of records, and each record includes fields of a communication state, a transition trigger condition, a transition destination communication state, a timeout period, and a trigger setting. The communication status field stores a communication status number. The condition for transition to the next communication state is stored in the trigger condition field. The field of the communication state of the transition destination stores the number of the communication state to which the transition is made when the trigger condition is satisfied. The time-out field stores the time from the transition to the state to the time-out. However, if there is no timeout, “none” is stored.
 たとえば図4(a)の1行目の例は、通信状態1においてCAN-IDが6のパケットを検知すると通信状態を2に遷移させることを示している。また図4(a)の2行目の例は、通信状態2においてCAN-IDが7のパケットを検知すると通信状態を3に遷移させ、通信状態2に遷移してから1ms以内にCAN-IDが7のパケットを検知しないとタイムアウトになることを示している。タイムアウトになると、後述する異常状態に遷移する。 {For example, the example in the first line of FIG. 4A indicates that when a packet having a CAN-ID of 6 is detected in the communication state 1, the communication state is changed to 2. In the example of the second line in FIG. 4A, when a packet having a CAN-ID of 7 is detected in the communication state 2, the communication state is changed to 3, and the CAN-ID is changed within 1 ms after the transition to the communication state 2. Indicates that a timeout occurs if the packet of No. 7 is not detected. When a timeout occurs, the state transits to an abnormal state described later.
 図4(b)は、図4(a)では省略されている記載を補って作成した、遷移表18bの可視化図である。図4(b)に示す丸囲みの数字は通信状態を示し、通信状態同士を接続する矢印近傍の数字はトリガ条件となるCAN-IDを示す。図4(b)を参照しながら検証部17の動作の一部を説明する。図4(b)によれば、通信状態1からの正常な遷移先は通信状態2のみなので、通信状態1においてCAN-IDが6以外のパケットを受信すると検証部17は異常状態に遷移させる。通信状態2では、CAN-IDが7、11、13以外のパケットを受信すると検証部17は異常状態に遷移させる。また検証部17は、通信状態3においてCAN-IDが8のパケットを受信すると、通信状態3のままとする。 4 (b) is a visualization diagram of the transition table 18b created by supplementing the description omitted in FIG. 4 (a). The circled numbers shown in FIG. 4B indicate communication states, and the numbers near arrows connecting the communication states indicate CAN-IDs serving as trigger conditions. A part of the operation of the verification unit 17 will be described with reference to FIG. According to FIG. 4B, since the normal transition destination from the communication state 1 is only the communication state 2, when a packet having a CAN-ID other than 6 is received in the communication state 1, the verification unit 17 makes a transition to the abnormal state. In the communication state 2, when a packet having a CAN-ID other than 7, 11, or 13 is received, the verification unit 17 makes a transition to an abnormal state. When the verification unit 17 receives a packet with the CAN-ID of 8 in the communication state 3, the verification unit 17 maintains the communication state.
(監視の模式図)
 図5は、状態監視と通信監視のローテーションを模式的に示す図である。図5の上部には第1ECU101が通信を監視している様子を示しており、図5の下部には第2ECU102が通信を監視している様子を示している。符号31に示す枠内は、通信状態の遷移を模式的に示しており、アンダーバーが付されている数字は現在の通信状態であることを示している。なお図5に示す通信状態の模式図は作図の都合により図4とは異なっている。 (Schematic diagram of monitoring)
FIG. 5 is a diagram schematically showing rotation of state monitoring and communication monitoring. The upper part of FIG. 5 shows a state where the first ECU 101 monitors communication, and the lower part of FIG. 5 shows a state where the second ECU 102 monitors communication. The inside of the frame indicated by the reference numeral 31 schematically shows the transition of the communication state, and the number with an underbar indicates that it is the current communication state. Note that the schematic diagram of the communication state shown in FIG. 5 is different from FIG. 4 due to the drawing convenience.
 第1ECU101は通信状態1から監視を開始し、何度かパケットを受信して状態遷移を繰り返し、図5の右上に示すように通信状態3となった。そして所定の条件を満たしたので、次に通信を監視する第2ECU102に委任パケット32を送信する。この委任パケット32には、現在の通信状態が「通信状態3」であることを示す情報も含まれる。この委任パケット32を受信した第2ECU102は、委任パケット32に含まれる情報にしたがい現在の通信状態が「通信状態3」であるとして通信の監視を開始する。第2ECU102はパケットを受信して通信状態を遷移させ、通信状態が「通信状態5」になったところで所定の条件を満たした。そのため次の第3ECU103には、現在の通信状態が「通信状態5」であることを示す情報を含む委任パケット32を送信する。 (5) The first ECU 101 starts monitoring from the communication state 1, receives a packet several times, and repeats the state transition, and the communication state is changed to the communication state 3 as shown in the upper right of FIG. Then, since the predetermined condition is satisfied, the commission packet 32 is transmitted to the second ECU 102 that monitors the communication next. The delegation packet 32 also includes information indicating that the current communication state is “communication state 3”. The second ECU 102 that has received the commission packet 32 starts monitoring communication based on the information included in the commission packet 32, assuming that the current communication state is “communication state 3”. The second ECU 102 changes the communication state upon receiving the packet, and satisfies a predetermined condition when the communication state becomes “communication state 5”. Therefore, the next third ECU 103 transmits the commission packet 32 including information indicating that the current communication state is “communication state 5”.
(フローチャート)
 図6~図9は、通信監視ブロック14の動作を表すフローチャートである。なお図6~図8の説明では、以下に説明する動作を行うECU100を「当該ECU」や「自分」と呼ぶ。ECU100の実行制御部15は起動すると図6に示す動作を開始する。 (flowchart)
6 to 9 are flowcharts showing the operation of the communication monitoring block 14. In the description of FIGS. 6 to 8, the ECU 100 that performs the operation described below is referred to as “the ECU” or “self”. When started, the execution control unit 15 of the ECU 100 starts the operation shown in FIG.
 実行制御部15はまず監視順18aを読み込み(S102)、当該ECUが最初の順番であるか否かを判断する(S103)。たとえば上述した監視順18aの例であれば、第1ECU101のみS103を肯定判断してS104に進み、他のECUはS103を否定判断してS105に進む。S104では実行制御部15は当該ECU自身に委任パケット32を送信してS105に進む。この委任パケット32には現在の通信状態が「通信状態1」である旨の情報が含まれる。 The execution control unit 15 first reads the monitoring order 18a (S102), and determines whether the ECU is in the first order (S103). For example, in the case of the monitoring order 18a described above, only the first ECU 101 makes a positive determination in S103 and proceeds to S104, and the other ECUs make a negative determination in S103 and proceeds to S105. In S104, the execution control unit 15 transmits the commission packet 32 to the ECU itself, and proceeds to S105. The delegation packet 32 includes information indicating that the current communication state is “communication state 1”.
 S105では実行制御部15は何らかのパケットを受信するまで待機し、パケットを受信するとS107に進む。なおS104からS105に進んだ場合は即座にS107に進む。S107では実行制御部15は、通信を監視中か否かを判断し監視中であると判断する場合は図7の丸囲み2に進み、監視中ではないと判断する場合はS108に進む。S108では実行制御部15は、受信したパケットが委任パケット32であるか否かを判断し、委任パケット32を受信したと判断する場合は図7の丸囲み3に進み、委任パケット32以外のパケットを受信したと判断する場合は図8の丸囲み4に進む。 In S105, the execution control unit 15 waits until a packet is received, and upon receiving a packet, proceeds to S107. When the process proceeds from S104 to S105, the process immediately proceeds to S107. In S107, the execution control unit 15 determines whether or not the communication is being monitored. If it is determined that the communication is being monitored, the process proceeds to box 2 in FIG. 7, and if it is determined that the communication is not being monitored, the process proceeds to S108. In S108, the execution control unit 15 determines whether or not the received packet is the delegation packet 32. If it is determined that the delegation packet 32 has been received, the process proceeds to box 3 in FIG. When it is determined that is received, the process proceeds to a circle 4 in FIG.
 図7は図6のS107またはS108において肯定判断された場合の処理を示す図である。S118は実行制御部15は、図6のS108において肯定判断されると丸囲み3を経由して実行される。S118では受信した委任パケット32が当該ECU宛であるか否かを判断する。委任パケット32の宛先は、パケットの識別子であるCAN-IDや宛先を示すIPアドレスで判断してもよいしペイロードに含まれる情報から判断してもよい。実行制御部15は自分宛と判断する場合はS120に進み、自分宛でないと判断する場合はS119に進む。S119では実行制御部15は、監視ECU情報を更新し、丸囲み1に進む。 FIG. 7 is a diagram showing a process when a positive determination is made in S107 or S108 of FIG. S118 is executed by the execution control unit 15 via the circle 3 when the affirmative judgment is made in S108 of FIG. In S118, it is determined whether the received commission packet 32 is addressed to the ECU. The destination of the delegation packet 32 may be determined based on the CAN-ID, which is the identifier of the packet, or the IP address indicating the destination, or may be determined from information included in the payload. The execution control unit 15 proceeds to S120 when judging that it is addressed to itself, and proceeds to S119 when judging that it is not addressed to itself. In S119, the execution control unit 15 updates the monitoring ECU information, and proceeds to box 1.
 S120では実行制御部15は、監視開始時の処理である通信状態の設定とタイマーのセットを行いS121に進む。通信状態の設定とは、委任パケット32に含まれる情報であり現在の通信状態、たとえば図4(b)に示す1~4のいずれの状態なのか、を読み込むことである。タイマーのセットとは、通信の監視をあらかじめ定めた長さの時間である監視時間、たとえば10秒の経過で交代するために計時を開始することである。 In S120, the execution control unit 15 sets a communication state and sets a timer, which are processes at the start of monitoring, and proceeds to S121. The setting of the communication state is to read the information included in the delegation packet 32 and the current communication state, for example, any one of the states 1 to 4 shown in FIG. 4B. The setting of the timer is to start measuring the time to change the monitoring of the communication after a monitoring time that is a predetermined length of time, for example, 10 seconds.
 S121は、S120の次に、または図6のS107で肯定判断されて丸囲み2を経由して実行される。S121では実行制御部15は、後述するように監視時の処理を行いS122に進む。S122では実行制御部15は、監視時間が終了したか否か、すなわちS120において開始した計時が所定の時間に達したか否かを判断する。実行制御部15はS122を肯定判断するとS124に進み、S122を否定判断するとS123に進む。S124では実行制御部15は監視順18aを参照して次に監視を担当するECU100を特定し、特定したECU100に委任パケット32を作成して送信する。ただしこの委任パケット32には、現在の通信状態を示す情報も含まれる。そして実行制御部15は、S124の次に丸囲み1に進む。 Step S121 is executed after the step S120 or in the affirmative determination in the step S107 in FIG. In S121, the execution control unit 15 performs a process at the time of monitoring as described later, and proceeds to S122. In S122, the execution control unit 15 determines whether or not the monitoring time has ended, that is, whether or not the time counting started in S120 has reached a predetermined time. The execution control unit 15 proceeds to S124 when making a positive determination in S122, and proceeds to S123 when making a negative determination in S122. In S124, the execution control unit 15 refers to the monitoring order 18a, specifies the ECU 100 that is in charge of monitoring next, and creates and transmits the commission packet 32 to the specified ECU 100. However, this delegation packet 32 also includes information indicating the current communication state. Then, the execution control unit 15 proceeds to box 1 after S124.
 S123では実行制御部15は、当該ECU100の現在の処理負荷が所定値よりも大きいか否かを判断し、所定値よりも大きいと判断するとS124に進み、所定値以下と判断すると丸囲み1に進む。すなわち実行制御部15は、通信の監視を開始して所定の時間が経過するか、処理負荷が所定値より大きくなると、委任パケット32を送信して次のECU100に通信を監視させる。 In S123, the execution control unit 15 determines whether or not the current processing load of the ECU 100 is larger than a predetermined value. When it is determined that the current processing load is larger than the predetermined value, the process proceeds to S124. move on. That is, the execution control unit 15 transmits the commission packet 32 and causes the next ECU 100 to monitor the communication when a predetermined time has elapsed after the start of monitoring the communication or when the processing load has become larger than the predetermined value.
 図8は、図6のS108において否定判断された場合に、丸囲み4を経由して実行される処理を示す図である。丸囲み4の次に実行されるS109では実行制御部15は、直前に委任パケット32を送信してから第1規定時間以上が経過したか否かを判断する。ただし第1規定時間とは、あらかじめ決められた長さの時間である。実行制御部15はS109を肯定判断する場合はS110に進み、S109を否定判断する場合は丸囲み1に進む。 FIG. 8 is a diagram showing a process executed via the circle 4 when a negative determination is made in S108 of FIG. In S109 executed after the circle 4, the execution control unit 15 determines whether or not the first specified time has elapsed since the transmission of the commission packet 32 immediately before. However, the first specified time is a time of a predetermined length. The execution control unit 15 proceeds to S110 when making a positive determination in S109, and proceeds to circle 1 when making a negative determination in S109.
 S110では実行制御部15は、現在、通信を監視している監視ECUが監視順18aにおける自分の直前であるか否かを判断する。実行制御部15は監視ECUが自分の直前であると判断する場合はS115に進み、監視ECUが自分の直前ではないと判断する場合はS112に進む。S112では実行制御部15は、直前に委任パケット32を送信してから第2規定時間以上が経過したか否かを判断する。ただし第2規定時間とは、あらかじめ決められた長さの時間であり、第1規定時間と同一であっても異なっていてもよい。実行制御部15はS112を肯定判断する場合はS113に進み、S112を否定判断する場合は丸囲み1に進む。 In S110, the execution control unit 15 determines whether the monitoring ECU currently monitoring the communication is immediately before the monitoring ECU 18a in the monitoring order 18a. The execution control unit 15 proceeds to S115 when the monitoring ECU determines that it is immediately before itself, and proceeds to S112 when the monitoring ECU determines that it is not immediately before itself. In S112, the execution control unit 15 determines whether or not the second specified time has elapsed since the last transmission of the delegation packet 32. However, the second specified time is a time of a predetermined length, and may be the same as or different from the first specified time. When the execution control unit 15 makes an affirmative decision in S112, it proceeds to S113, and when it makes a negative decision in S112, it proceeds to box 1.
 S113では実行制御部15は、長時間にわたって委任パケット32が検知されないことを理由にアラートを出力し、続くS114では自分宛に委任パケット32を送信して丸囲み1に進む。S115では実行制御部15は、監視ECUの失陥を検出したか否かを判断する。なお通信バス20に接続されたECU100の失陥を検出する機能は、それぞれECU100が備えてもよいし、通信バス20に接続された危機が失陥を検出してそれぞれのECU100に伝達してもよい。実行制御部15はS115を肯定判断する場合はS117に進み、S115を否定判断する場合はS116に進む。 In S113, the execution control unit 15 outputs an alert because the delegation packet 32 has not been detected for a long time. In S114, the execution control unit 15 transmits the delegation packet 32 to itself and proceeds to box 1. In S115, the execution control unit 15 determines whether a failure of the monitoring ECU has been detected. The ECU 100 may be provided with a function of detecting a failure of the ECU 100 connected to the communication bus 20, or may be configured to detect a failure of the crisis connected to the communication bus 20 and transmit the failure to each ECU 100. Good. The execution control unit 15 proceeds to S117 when making a positive determination in S115, and proceeds to S116 when making a negative determination in S115.
 S116では実行制御部15は、アラートを出力してS117に進む。なおS115において否定判断された場合のみアラートを出力するのは、失陥が検出された場合には通信の監視以外の保護機構により対処されることを想定しているためである。S117では自分宛に委任パケットを送信して丸囲み1に進む。 In S116, the execution control unit 15 outputs an alert, and proceeds to S117. The reason why an alert is output only when a negative determination is made in S115 is because it is assumed that when a failure is detected, a countermeasure other than communication monitoring will be used. In step S117, the delegation packet is transmitted to itself, and the process proceeds to box 1.
 図9は図7のS121の詳細を示すフローチャートである。図9に示す処理は実行制御部15から動作を指示された検証部17が実行する。検証部17はまずS130において、受信したパケットに基づき通信状態を更新する。続くS131では検証部17は、不正を検知したか否か、すなわちS130において異常状態に遷移したか否かを判断する。検証部17は異常状態に検知したと判断するとS132に進んでアラートを出力してS133に進み、異常状態に遷移していないと判断するとS133に進む。S133ではS130において遷移させた通信状態を実行制御部15に通知して図9に示す処理を終了する。 FIG. 9 is a flowchart showing the details of S121 in FIG. The processing illustrated in FIG. 9 is executed by the verification unit 17 that has been instructed by the execution control unit 15 to operate. The verification unit 17 first updates the communication state based on the received packet in S130. In subsequent S131, the verification unit 17 determines whether or not fraud has been detected, that is, whether or not a transition to an abnormal state has occurred in S130. If the verification unit 17 determines that an abnormal state has been detected, the process proceeds to S132, outputs an alert, and proceeds to S133. If it determines that the state has not transitioned to an abnormal state, the process proceeds to S133. In step S133, the communication state changed in step S130 is notified to the execution control unit 15, and the process illustrated in FIG. 9 ends.
 上述した第1の実施の形態によれば、次の作用効果が得られる。
(1)演算システム2000は、通信の監視を交代で実行する複数のECU100を含む。ECU100は、他のECU100との通信を行う通信部11と、所定の演算を行う演算部30と、演算部30が所定の演算を行っている場合に所定の条件を満たすと所定の演算を停止させ、他のECU100に所定の演算を引き継がせる委任パケット32を送信する実行制御部15とを備える。実行制御部15は、委任パケット32を受信すると演算部30に所定の演算を開始させる。そのため演算システム2000は、所定の演算を複数の演算装置100で交代で実行できる。 According to the above-described first embodiment, the following operation and effect can be obtained.
(1) The arithmetic system 2000 includes a plurality of ECUs 100 that alternately monitor communication. ECU 100 communicates with another ECU 100, communication unit 11 performs a predetermined calculation, and arithmetic unit 30 stops a predetermined calculation when a predetermined condition is satisfied when the calculation unit 30 performs a predetermined calculation. And an execution control unit 15 for transmitting a commission packet 32 for allowing another ECU 100 to take over a predetermined operation. Upon receiving the commission packet 32, the execution control unit 15 causes the calculation unit 30 to start a predetermined calculation. Therefore, the arithmetic system 2000 can execute a predetermined arithmetic operation alternately by the plurality of arithmetic devices 100.
(2)演算部30は、ECU100同士の通信を受信する監視部16と、正常な通信の順番を示す遷移表18bを格納する格納部18と、監視部16が受信する通信の順番と遷移表18bとを照合する検証部17とを備える。そのため演算部30は、演算システム2000の通信を監視できる。 (2) The calculation unit 30 includes a monitoring unit 16 that receives communication between the ECUs 100, a storage unit 18 that stores a transition table 18b indicating a normal communication order, and a communication order and a transition table that the monitoring unit 16 receives. And a verification unit 17 for collating with the verification unit 18b. Therefore, the arithmetic unit 30 can monitor the communication of the arithmetic system 2000.
(3)ECU100が通信の監視を交代する条件の1つは、通信の監視を開始してからの所定時間、すなわち監視時間の経過である。そのため特定のECU100に演算の負荷が偏ることを防止できる。 (3) One of the conditions under which the ECU 100 changes the communication monitoring is a predetermined time since the communication monitoring is started, that is, the monitoring time has elapsed. Therefore, it is possible to prevent the calculation load from being biased to a specific ECU 100.
(4)ECU100が通信の監視を交代する条件の1つは、当該ECUの現在の処理負荷が所定の閾値より高いことである。そのためアプリ12の処理負荷が高い場合は通信の監視を次のECU100に委任し、通信を監視することがECU100の本来の動作へ与える悪影響を軽減できる。 (4) One of the conditions under which the ECU 100 changes the monitoring of the communication is that the current processing load of the ECU is higher than a predetermined threshold. Therefore, when the processing load of the application 12 is high, the monitoring of the communication is delegated to the next ECU 100, and the adverse effect of monitoring the communication on the original operation of the ECU 100 can be reduced.
(5)実行制御部15は、演算部30が所定の演算を終了してから第1の期間、すなわち図8のS109における第1規定時間、またはS112における第2規定時間が経過することを条件の1つとして、委任パケット32を受信しなくても演算部30に所定の演算を実行させる。他のECU100に障害が発生し、委任パケット32を送信してもらえない場合にも、当該ECUが通信を監視できる。 (5) The execution control unit 15 sets a condition that the first period, that is, the first specified time in S109 of FIG. 8 or the second specified time in S112 has elapsed since the calculation unit 30 completed the predetermined calculation. As one of the above, the operation unit 30 is caused to execute a predetermined operation without receiving the delegation packet 32. Even when a failure occurs in another ECU 100 and the delegation packet 32 cannot be transmitted, the ECU can monitor the communication.
(6)委任パケット32には監視の経過情報、すなわち現在の通信状態が含まれる。そのため図5に示すように通信を監視るECU100が交代しても、通信状態の情報を引き継いで監視ができる。 (6) The delegation packet 32 contains monitoring progress information, that is, the current communication state. Therefore, as shown in FIG. 5, even if the ECU 100 that monitors the communication is changed, the communication state information can be taken over and monitored.
(変形例1)
 上述した第1の実施の形態では、委任パケット32には監視ECU情報が含まれたがタイムアウト残り時間は含まれなかった。しかしECU100はタイムアウトの残り時間も併せて送信してもよい。たとえばある通信状態のタイムアウトを時間が10msであり、その通信状態に遷移してから4ms経過後に委任パケット32を出力する場合には、委任パケット32には通信状態と、4msがすでに経過している旨の情報を含める。この委任パケット32を受信したECU100は、6ms以内にパケットを受信しない場合はタイムアウトと判断する。この変形例1によれば、監視ECUが変更されてもタイムアウトを正確に評価できる。 (Modification 1)
In the first embodiment described above, the delegation packet 32 includes the monitoring ECU information, but does not include the remaining time-out time. However, the ECU 100 may also transmit the remaining time of the timeout. For example, when the timeout of a certain communication state is 10 ms, and the delegation packet 32 is output 4 ms after the transition to the communication state, the communication state and 4 ms have already passed in the delegation packet 32. Information to the effect. The ECU 100 that has received the commission packet 32 determines that a timeout has occurred if no packet is received within 6 ms. According to the first modification, the timeout can be accurately evaluated even if the monitoring ECU is changed.
(変形例2)
 いずれかのECU100がローテーションの順番を変更する機能を有する親機となってもよい。親機は、一定時間の経過や進入の検知などを契機としてローテーションの順番を変更し、変更後のローテーションの順番を委任パケット32に含めて送信する。この委任パケット32を受信したECU100は、格納部18に格納された監視順18aを委任パケット32に含まれるローテーションの順番で上書きする。さらにこの委任パケット32を受信したECU100は、自身が送信する委任パケット32に、受信済の情報である、変更後のローテーションの順番を含める。 (Modification 2)
One of the ECUs 100 may be a master unit having a function of changing the order of rotation. The parent machine changes the order of rotation upon elapse of a certain time or detection of entry, and transmits the commission packet 32 with the changed order of rotation. The ECU 100 that has received the commission packet 32 overwrites the monitoring order 18 a stored in the storage unit 18 with the rotation order included in the commission packet 32. Further, the ECU 100 which has received the commission packet 32 includes the commissioned packet 32 transmitted by itself, which is the received information, that is, the changed rotation order.
 なお、たとえば以下のような構成により親機がなくてもローテーションの順番を変更できる。すなわち、ECU100に複数の監視順18aがあらかじめ格納され、時間の経過などの条件によりそれぞれのECU100が各自の判断により参照する監視順18aを変更することでローテーションの順番を変更してもよい。 In addition, the order of rotation can be changed without the parent device, for example, by the following configuration. In other words, a plurality of monitoring orders 18a may be stored in the ECU 100 in advance, and the order of rotation may be changed by changing the monitoring order 18a that each ECU 100 refers to by its own judgment according to a condition such as the passage of time.
 この変形例2によれば、第1の実施の形態の作用効果に加えて、次の作用効果が得られる。
(7)ECU100が通信を監視する順序は一定ではない。そのためローテーションの順番を変更して、安全性を向上できる。 According to the second modification, the following operation and effect can be obtained in addition to the operation and effect of the first embodiment.
(7) The order in which the ECU 100 monitors the communication is not fixed. Therefore, the order of rotation can be changed to improve safety.
(変形例3)
 図7のS123において処理負荷が所定値より大きい場合には、即座に委任パケット32を作成して次のECU100に通信の監視を委任した。しかし処理負荷の大きさに応じて監視時間を短くしてもよい。たとえば処理負荷の閾値を3段階設けて、最も低い閾値を超える場合には当該ECUがネットワークを監視する時間を30%短くし、次の閾値を超える場合には60%短くし、最も大きい閾値を超える場合に即座に監視を終了してもよい。 (Modification 3)
When the processing load is larger than the predetermined value in S123 of FIG. 7, the commission packet 32 is immediately created and the monitoring of the communication is commissioned to the next ECU 100. However, the monitoring time may be shortened according to the processing load. For example, three levels of processing load thresholds are provided. If the processing threshold exceeds the lowest threshold, the time for the ECU to monitor the network is shortened by 30%. If it exceeds, monitoring may be terminated immediately.
(変形例4)
 ECU100は、委任パケット32を受信すると通信の監視を開始した。しかし、委任パケット32を受信した際に処理負荷があらかじめ定められた閾値よりも大きい場合は、受信した委任パケット32を無視してもよい。たとえばS118において肯定判断された場合に処理負荷があらかじめ定められた閾値よりも大きいと判断すると、S120に進まずに丸囲み1に進む。この変形例4によれば、ECU100の本来の処理に集中させることができる。 (Modification 4)
When receiving the commission packet 32, the ECU 100 starts monitoring the communication. However, when the processing load is larger than a predetermined threshold when the commission packet 32 is received, the commission packet 32 may be ignored. For example, if it is determined that the processing load is greater than the predetermined threshold value when the determination is affirmative in S118, the process proceeds to the circle 1 without proceeding to S120. According to the fourth modification, it is possible to concentrate on the original processing of the ECU 100.
(変形例5)
 第1の実施の形態では、ECU100は交代で通信の監視を行った。しかし交代で行う処理は通信の監視に限定されない。たとえば車両1000の走行に必要な機能や付加的な機能を実現するための演算を交代で実行してもよい。車両1000の走行に必要な機能とはたとえば、エンジンの最適な点火時期の演算である。付加的な機能とはたとえば、車両1000が備えるセンサが取得したデータを処理して障害物を検出する演算である。 (Modification 5)
In the first embodiment, the ECU 100 alternately monitors communication. However, the processing performed in turn is not limited to monitoring communication. For example, calculations for implementing functions necessary for traveling of the vehicle 1000 and additional functions may be executed alternately. The function required for traveling of vehicle 1000 is, for example, calculation of an optimal ignition timing of the engine. The additional function is, for example, an operation of processing data acquired by a sensor included in the vehicle 1000 to detect an obstacle.
(変形例6)
 ECU100は、監視順18aにおける2つ先のECU100に対して委任パケット32を送信してもよい。この場合にECU100は次の動作を行う。ECU100は、自身が委任パケット32を送信すると監視順18aにおける次のECU100の委任パケット32の送信を監視する。そして自身が委任パケット32を送信してから所定時間以内に委任パケット32の送信が確認できない場合は、2つ先のECU100に対して委任パケット32を送信する。なお監視順18aにおける当該ECUの次の順番のECU100を「次装置」とも呼び、さらに次のECU100を「次々装置」とも呼ぶ。 (Modification 6)
The ECU 100 may transmit the commission packet 32 to the ECU 100 that is two places ahead in the monitoring order 18a. In this case, the ECU 100 performs the following operation. When the ECU 100 transmits the commission packet 32, the ECU 100 monitors the transmission of the commission packet 32 of the next ECU 100 in the monitoring order 18a. If the transmission of the delegation packet 32 cannot be confirmed within a predetermined time after the transmission of the delegation packet 32 by itself, the delegation packet 32 is transmitted to the next ECU 100. The next ECU 100 in the monitoring order 18a is also referred to as the “next device”, and the next ECU 100 is also referred to as the “next device”.
 たとえば監視順18aが第1の実施の形態と同様に、第1ECU101、第2ECU102、第3ECU103、第4ECU104の順番の場合に、第1ECU101を主体とした具体的な動作は次のとおりである。第1ECU101は、第2ECU102に委任パケット32を送信すると、第2ECU102による委任パケット32の送信を監視する。そして第1ECU101が第2ECU102に委任パケット32を送信してから所定時間以内に第2ECU102が第3ECU103に対して委任パケット32を送信していないと判断すると、第1ECU101は次々装置である第3ECU103に委任パケット32を送信する。 {For example, when the monitoring order 18a is the order of the first ECU 101, the second ECU 102, the third ECU 103, and the fourth ECU 104, as in the first embodiment, the specific operation mainly performed by the first ECU 101 is as follows. When transmitting the commission packet 32 to the second ECU 102, the first ECU 101 monitors the transmission of the commission packet 32 by the second ECU 102. If the first ECU 101 determines that the second ECU 102 has not transmitted the delegation packet 32 to the third ECU 103 within a predetermined period of time after transmitting the delegation packet 32 to the second ECU 102, the first ECU 101 delegates to the third ECU 103, which is one after another. The packet 32 is transmitted.
 この変形例6によれば、第1の実施の形態の作用効果に加えて、次の作用効果が得られる。
(8)格納部18には監視順18aが格納される。実行制御部15は、次装置および次々装置を、監視順18aを参照して特定する。実行制御部15は、次装置に委任パケット32を送信してから第2の所定時間が経過するまでに次装置から次々装置への委任パケット32を検出しない場合は、次々装置へ委任パケット32を出力する。 According to the sixth modification, the following operation and effect can be obtained in addition to the operation and effect of the first embodiment.
(8) The storage unit 18 stores the monitoring order 18a. The execution control unit 15 specifies the next device and the next device by referring to the monitoring order 18a. The execution control unit 15 transmits the delegation packet 32 to the next device if it does not detect the delegation packet 32 from the next device to the next device until the second predetermined time elapses after transmitting the delegation packet 32 to the next device. Output.
(変形例7)
 図7のS123では実行制御部15は、当該ECU100の現在の処理負荷が所定値よりも大きいか否かを判断した。しかし実行制御部15は、近い将来、たとえば10ms後や100ms後の当該ECU100の処理負荷を予測して、予測した処理負荷が所定値よりも大きいか否かを判断してもよい。本変形例によれば、通信を監視することによる本来の処理、すなわちアプリ12の処理に与える悪影響を低減できる。なおECU100の処理は周期的なものが多いので処理負荷の予測が容易である。 (Modification 7)
In S123 of FIG. 7, the execution control unit 15 determines whether or not the current processing load of the ECU 100 is larger than a predetermined value. However, the execution control unit 15 may predict the processing load of the ECU 100 in the near future, for example, after 10 ms or 100 ms, and determine whether the predicted processing load is larger than a predetermined value. According to the present modification, it is possible to reduce the adverse effect on the original processing by monitoring the communication, that is, the processing of the application 12. Note that the processing of the ECU 100 is often periodic, so that it is easy to predict the processing load.
―第2の実施の形態―
 図10を参照して、演算システムの第2の実施の形態を説明する。以下の説明では、第1の実施の形態と同じ構成要素には同じ符号を付して相違点を主に説明する。特に説明しない点については、第1の実施の形態と同じである。本実施の形態では、主に、短い時間間隔で委任パケットを受信すると処理負荷が大きくても監視を終了しない点で、第1の実施の形態と異なる。 -Second embodiment-
A second embodiment of the arithmetic system will be described with reference to FIG. In the following description, the same components as those in the first embodiment are denoted by the same reference numerals, and the differences will be mainly described. The points that are not particularly described are the same as in the first embodiment. This embodiment is different from the first embodiment mainly in that, when a commission packet is received at short time intervals, monitoring is not terminated even if the processing load is large.
(第2の実施の形態の概要)
 上述した第1の実施の形態では、通信を監視しているECU100の処理負荷が大きくなると、監視時間が終了する前であっても通信の監視を終了していた(図7のS122:NO、S123:YES、S124)。そのため、全てのECU100の処理負荷が高い場合には、委任パケット32を受信したECU100がすぐに次のECU100に委任パケット32を送信し、監視ECUが次々に変更される。この場合は監視ECUの変更ばかりが行われて通信が監視されないので好ましくない。 (Overview of Second Embodiment)
In the first embodiment described above, when the processing load on the ECU 100 monitoring the communication increases, the monitoring of the communication is terminated even before the monitoring time ends (S122: NO in FIG. 7, S123: YES, S124). Therefore, when the processing load of all the ECUs 100 is high, the ECU 100 that has received the commission packet 32 immediately transmits the commission packet 32 to the next ECU 100, and the monitoring ECU is changed one after another. In this case, it is not preferable because only the monitoring ECU is changed and the communication is not monitored.
 そのため本実施の形態では、ECU100は短時間で再び委任パケット32を受信すると、ECU100が全体的に処理負荷が高いことを示すフラグ(以下、「継続フラグ」)をオンに設定する。そして継続フラグがオンの場合は処理負荷が所定の閾値よりも高くても監視時間が終了するまでは通信の監視を継続する。なお第1の実施の形態ではすべてのECU100が同様の動作を行ったが、本実施の形態では一部のECU100は第1の実施の形態と同様の動作を行ってもよい。 Therefore, in the present embodiment, when the commission packet 32 is received again in a short time, the ECU 100 sets a flag indicating that the processing load on the ECU 100 is high as a whole (hereinafter, “continuation flag”) to ON. When the continuation flag is on, communication monitoring is continued until the monitoring time ends even if the processing load is higher than a predetermined threshold. Although all the ECUs 100 perform the same operation in the first embodiment, some ECUs 100 may perform the same operation as the first embodiment in the present embodiment.
(構成)
 車両1000の構成およびECU100の機能構成は以下の点を除いて第1の実施の形態と同様である。すなわち少なくとも一部のECU100の動作が以下に説明するように異なる。これはたとえば不図示のROMに格納されるプログラムが異なる、ハードウエア回路が異なる、または論理回路に書き込まれる回路が異なることを意味している。 (Constitution)
The configuration of the vehicle 1000 and the functional configuration of the ECU 100 are the same as those of the first embodiment except for the following points. That is, at least some of the operations of the ECU 100 are different as described below. This means that, for example, a program stored in a ROM (not shown) is different, a hardware circuit is different, or a circuit written in a logic circuit is different.
(フローチャート)
 図10は、第2の実施の形態における通信監視ブロック14の動作を表すフローチャートである。ただし図10は第1の実施の形態における図7の代わりに実行されるフローチャートである。すなわち第2の実施の形態における通信監視ブロック14は、図6、図8~図10に示される動作を行う。図7と図10の相違点は、S118において肯定判断された場合にS142~S144を実行した後にS120に遷移する点、およびS123において肯定判断された場合にS149を実行する点である。なおS124のあとにS151およびS153が追加されているが、これらはなくてもよい。以下では追加された各ステップを説明する。 (flowchart)
FIG. 10 is a flowchart illustrating the operation of the communication monitoring block 14 according to the second embodiment. However, FIG. 10 is a flowchart executed in place of FIG. 7 in the first embodiment. That is, the communication monitoring block 14 according to the second embodiment performs the operations shown in FIGS. 6, 8 to 10. The difference between FIG. 7 and FIG. 10 is that, when an affirmative determination is made in S118, steps S142 to S144 are executed and the process proceeds to S120, and when an affirmative determination is made in S123, S149 is executed. Although S151 and S153 are added after S124, these may not be provided. Hereinafter, the added steps will be described.
 S118において肯定判断されると実行されるS142では、実行制御部15は前回S124を実行してからS142を実行するまでの時間間隔が所定の閾値よりも短いか否かを判断する。この閾値はたとえば、あらかじめ定められた時間の長さである監視時間、通信バス20に接続されるECU100の台数、および所定の係数であるたとえば0.1の3つの積である。実行制御部15は、S142を肯定判断する場合はS144に進んで継続フラグをオンに設定し、否定判断する場合はS143に進んで継続フラグをオフに設定する。S143またはS144を実行すると、実行制御部15はS120に進む。S120の処理は第1の実施の形態と同様なので説明を省略する。 In S142, which is executed when an affirmative determination is made in S118, the execution control unit 15 determines whether or not the time interval from the previous execution of S124 to the execution of S142 is shorter than a predetermined threshold. This threshold value is, for example, a product of three products of the monitoring time, which is a predetermined time length, the number of ECUs 100 connected to the communication bus 20, and a predetermined coefficient, for example, 0.1. The execution control unit 15 proceeds to S144 to set the continuation flag to ON when making a positive determination in S142, and proceeds to S143 to set the continuation flag to OFF when making a negative determination. After executing S143 or S144, the execution control unit 15 proceeds to S120. The processing in S120 is the same as that in the first embodiment, and a description thereof will not be repeated.
 S123を肯定判断されると実行されるS149では実行制御部15は、継続フラグがオンであるか否かを判断する。実行制御部15は、オンであると判断する場合は委任パケット32を作成することなく丸囲み1に進み、継続フラグがオフであると判断する場合はS124に進む。すなわち本実施の形態では、継続フラグがオンの場合には監視時間が終了しなければS124には進まない。 In S149 executed when a positive determination is made in S123, the execution control unit 15 determines whether or not the continuation flag is on. When the execution control unit 15 determines that the continuation flag is off, the process proceeds to box 1 without creating the delegation packet 32. When the execution control unit 15 determines that the continuation flag is off, the process proceeds to S124. That is, in the present embodiment, when the continuation flag is on, the process does not proceed to S124 unless the monitoring time has expired.
 実行制御部15は、第1の実施の形態と同様にS124を実行し、次にS151に進む。S151では実行制御部15は、継続フラグがオンであるか否かを判断し、継続フラグがオンの場合にはS153に進んで継続フラグをオフzに設定する。実行制御部15は、継続フラグがオフであると判断する場合はそのまま丸囲み1に進む。 The execution control unit 15 executes S124 as in the first embodiment, and then proceeds to S151. In S151, the execution control unit 15 determines whether or not the continuation flag is on, and if the continuation flag is on, proceeds to S153 and sets the continuation flag to off z. When the execution control unit 15 determines that the continuation flag is off, the execution control unit 15 proceeds to the circle 1 as it is.
 上述した各実施の形態および変形例は、それぞれ組み合わせてもよい。上記では、種々の実施の形態および変形例を説明したが、本発明はこれらの内容に限定されるものではない。本発明の技術的思想の範囲内で考えられるその他の態様も本発明の範囲内に含まれる。 各 The above-described embodiments and modifications may be combined with each other. Although various embodiments and modifications have been described above, the present invention is not limited to these contents. Other embodiments that can be considered within the scope of the technical idea of the present invention are also included in the scope of the present invention.
 次の優先権基礎出願の開示内容は引用文としてここに組み込まれる。
 日本国特許出願2018-131352(2018年7月11日出願) The disclosure of the following priority application is incorporated herein by reference.
Japanese patent application 2018-131352 (filed on July 11, 2018)
11…通信部
14…通信監視ブロック
15…実行制御部
16…監視部
17…検証部
18…格納部
30…演算部
32…委任パケット
100…ECU
1000…車両
2000…演算システム 11 communication unit 14 communication monitoring block 15 execution control unit 16 monitoring unit 17 verification unit 18 storage unit 30 calculation unit 32 delegation packet 100 ECU
1000: vehicle 2000: arithmetic system

Claims (9)

  1.  所定の演算を交代で実行する複数の演算装置を含む演算システムであって、
     それぞれの前記演算装置は、
     他の前記演算装置との通信を行う通信部と、
     前記所定の演算を行う演算部と、
     前記演算部が前記所定の演算を行っている場合に所定の条件を満たすと前記所定の演算を停止させ、他の前記演算装置に前記所定の演算を引き継がせる委任信号を送信する実行制御部とを備え、
     前記実行制御部は、前記委任信号を受信すると前記演算部に前記所定の演算を開始させる演算システム。     An arithmetic system including a plurality of arithmetic devices that alternately execute a predetermined operation,
    Each of the arithmetic units is
    A communication unit that communicates with the other arithmetic devices;
    An operation unit that performs the predetermined operation;
    An execution control unit that stops the predetermined operation when a predetermined condition is satisfied when the operation unit is performing the predetermined operation, and transmits a commission signal that allows the other operation device to take over the predetermined operation; and With
    The operation system, wherein the execution control unit causes the operation unit to start the predetermined operation when receiving the delegation signal.
  2.  請求項1に記載の演算システムにおいて、
     前記演算部は、
     前記演算装置同士の通信を受信する監視部と、
     正常な前記通信の順番を示す順番情報を格納する記憶部と、
     前記監視部が受信する通信の順番と、前記順番情報とを照合する検証部とを備える演算システム。     The arithmetic system according to claim 1,
    The arithmetic unit includes:
    A monitoring unit that receives communication between the computing devices,
    A storage unit that stores order information indicating a normal order of the communication,
    An arithmetic system comprising: a verification unit that compares the order of communication received by the monitoring unit with the order information.
  3.  請求項1に記載の演算システムにおいて、
     前記所定の条件とは、前記所定の演算を開始してからの所定時間の経過である演算システム。     The arithmetic system according to claim 1,
    The arithmetic system according to claim 1, wherein the predetermined condition is a lapse of a predetermined time from the start of the predetermined calculation.
  4.  請求項1に記載の演算システムにおいて、
     前記所定の条件とは、前記演算部の現在または将来の処理負荷が所定の閾値より高いことである演算システム。     The arithmetic system according to claim 1,
    The arithmetic system, wherein the predetermined condition is that a current or future processing load of the arithmetic unit is higher than a predetermined threshold.
  5.  請求項1に記載の演算システムにおいて、
     前記実行制御部は、前記演算部が前記所定の演算を終了してから第1の期間が経過すると、前記委任信号を受信しなくても前記演算部に前記所定の演算を実行させる演算システム。     The arithmetic system according to claim 1,
    An operation system, wherein the execution control unit causes the operation unit to execute the predetermined operation without receiving the delegation signal when a first period elapses after the operation unit ends the predetermined operation.
  6.  請求項2に記載の演算システムにおいて、
     前記記憶部には前記所定の処理を実行する前記演算装置の順番を示す監視順情報がさらに格納され、
     前記実行制御部は、当該演算装置の次に前記所定の処理を実行する次装置、および前記次装置の次に前記所定の処理を実行する次々装置を、前記監視順情報を参照して決定し、
     前記実行制御部は、前記次装置に前記委任信号を送信してから第2の所定時間が経過するまでに前記次装置から前記次々装置への委任信号を検出しない場合は、前記次々装置へ委任信号を出力する演算システム。     The arithmetic system according to claim 2,
    The storage unit further stores monitoring order information indicating an order of the arithmetic devices that execute the predetermined processing,
    The execution control unit determines a next device that executes the predetermined process next to the arithmetic device, and a next device that executes the predetermined process next to the next device with reference to the monitoring order information. ,
    The execution control unit, if the delegation signal from the next device to the next device is not detected before the second predetermined time has elapsed after transmitting the delegation signal to the next device, delegation to the next device. An arithmetic system that outputs signals.
  7.  請求項1に記載の演算システムにおいて、
     前記委任信号には前記所定の演算の経過情報が含まれる演算システム。     The arithmetic system according to claim 1,
    An operation system, wherein the delegation signal includes progress information of the predetermined operation.
  8.  請求項1に記載の演算システムにおいて、
     前記複数の演算装置が前記所定の演算を実行する順序は一定ではない演算システム。     The arithmetic system according to claim 1,
    An arithmetic system in which the order in which the plurality of arithmetic devices execute the predetermined arithmetic is not constant.
  9.  所定の演算を交代で実行可能な演算装置であって、
     他の前記演算装置との通信を行う通信部と、
     前記所定の演算を行う演算部と、
     前記演算部が前記所定の演算を行っている場合に所定の条件を満たすと前記所定の演算を停止させ、他の前記演算装置に前記所定の演算を引き継がせる委任信号を送信する実行制御部とを備え、
     前記実行制御部は、前記委任信号を受信すると前記演算部に前記所定の演算を開始させる演算装置。
          An arithmetic device capable of alternately executing a predetermined operation,
    A communication unit that communicates with the other arithmetic devices;
    An operation unit that performs the predetermined operation;
    An execution control unit that stops the predetermined operation when a predetermined condition is satisfied when the operation unit is performing the predetermined operation, and transmits a commission signal that allows the other operation device to take over the predetermined operation; and With
    The arithmetic unit, wherein the execution control unit causes the arithmetic unit to start the predetermined arithmetic upon receiving the delegation signal.
PCT/JP2019/021817 2018-07-11 2019-05-31 Computation system and computation device WO2020012822A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2018-131352 2018-07-11
JP2018131352A JP7011983B2 (en) 2018-07-11 2018-07-11 Arithmetic system, arithmetic unit

Publications (1)

Publication Number Publication Date
WO2020012822A1 true WO2020012822A1 (en) 2020-01-16

Family

ID=69142892

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2019/021817 WO2020012822A1 (en) 2018-07-11 2019-05-31 Computation system and computation device

Country Status (2)

Country Link
JP (1) JP7011983B2 (en)
WO (1) WO2020012822A1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210111885A (en) * 2015-02-13 2021-09-13 엔테그리스, 아이엔씨. Coatings for enhancement of properties and performance of substrate articles and apparatus

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001167076A (en) * 1999-12-10 2001-06-22 Fujitsu Ltd Multiprocessor system and common timer control method
JP2002049405A (en) * 2001-06-01 2002-02-15 Hitachi Ltd Distributed controller and system and controller
JP2005190437A (en) * 2003-12-26 2005-07-14 Fanuc Ltd Control device management system
JP2015205545A (en) * 2014-04-18 2015-11-19 三菱電機株式会社 Control apparatus switching system
WO2016075869A1 (en) * 2014-11-13 2016-05-19 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ Key management method, vehicle-mounted network system and key management device
JP2016188022A (en) * 2015-03-30 2016-11-04 本田技研工業株式会社 Program rewriting device and program rewriting method
JP2017045107A (en) * 2015-08-24 2017-03-02 日本電気株式会社 Control device, control system, control method, and program
JP2018011214A (en) * 2016-07-14 2018-01-18 日立オートモティブシステムズ株式会社 Computation device
JP2018008655A (en) * 2016-07-15 2018-01-18 株式会社ジェイテクト Vehicular control device

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001167076A (en) * 1999-12-10 2001-06-22 Fujitsu Ltd Multiprocessor system and common timer control method
JP2002049405A (en) * 2001-06-01 2002-02-15 Hitachi Ltd Distributed controller and system and controller
JP2005190437A (en) * 2003-12-26 2005-07-14 Fanuc Ltd Control device management system
JP2015205545A (en) * 2014-04-18 2015-11-19 三菱電機株式会社 Control apparatus switching system
WO2016075869A1 (en) * 2014-11-13 2016-05-19 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ Key management method, vehicle-mounted network system and key management device
JP2016188022A (en) * 2015-03-30 2016-11-04 本田技研工業株式会社 Program rewriting device and program rewriting method
JP2017045107A (en) * 2015-08-24 2017-03-02 日本電気株式会社 Control device, control system, control method, and program
JP2018011214A (en) * 2016-07-14 2018-01-18 日立オートモティブシステムズ株式会社 Computation device
JP2018008655A (en) * 2016-07-15 2018-01-18 株式会社ジェイテクト Vehicular control device

Also Published As

Publication number Publication date
JP2020009288A (en) 2020-01-16
JP7011983B2 (en) 2022-01-27

Similar Documents

Publication Publication Date Title
US10986008B2 (en) Abnormality detection in an on-board network system
EP3119038B1 (en) Communication device, communication method and communication system
US11296965B2 (en) Abnormality detection in an on-board network system
US20180144119A1 (en) Misuse detection method, misuse detection electronic control unit, and misuse detection system
US20110035180A1 (en) Diagnostic apparatus and system adapted to diagnose occurrence of communication error
JP2002158668A (en) Abnormality detector of network system for vehicle
JP6555559B1 (en) Electronic control device, monitoring method, program, and gateway device
KR101073291B1 (en) Network system of in-vehicle and control method thereof
JP5578207B2 (en) Communication load judgment device
JP2014039085A (en) Vehicle communication system and repeating device
CN111989678A (en) Information processing apparatus, information processing method, and program
JP6384332B2 (en) Electronic control unit
WO2020012822A1 (en) Computation system and computation device
JP2004348274A (en) Diagnostic device for communication failure
US11943298B2 (en) Vehicular communication device
WO2020110446A1 (en) Vehicle malfunction prediction system, monitoring device, vehicle malfunction prediction method, and vehicle malfunction prediction program
JP4258112B2 (en) Node diagnosis method and node diagnosis system
JP5696685B2 (en) In-vehicle communication system, communication abnormality monitoring method for in-vehicle communication system, and communication abnormality monitoring program for in-vehicle communication system
JP2006222800A (en) Multiplex communication system
CN114503518A (en) Detection device, vehicle, detection method, and detection program
JP7103197B2 (en) Communications system
JP2022138678A (en) vehicle system
WO2023149194A1 (en) Monitoring apparatus, vehicle monitoring system, and vehicle monitoring method
JP7444223B2 (en) In-vehicle device, program and information processing method
JP2012209676A (en) Network system for vehicle

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 19834945

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 19834945

Country of ref document: EP

Kind code of ref document: A1