DE112020002650T5 - Fahrzeugvorrichtung - Google Patents

Fahrzeugvorrichtung Download PDF

Info

Publication number
DE112020002650T5
DE112020002650T5 DE112020002650.7T DE112020002650T DE112020002650T5 DE 112020002650 T5 DE112020002650 T5 DE 112020002650T5 DE 112020002650 T DE112020002650 T DE 112020002650T DE 112020002650 T5 DE112020002650 T5 DE 112020002650T5
Authority
DE
Germany
Prior art keywords
defect
monitoring
vehicle device
layer
monitoring unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE112020002650.7T
Other languages
English (en)
Inventor
Tetsuo Kurita
Hatsuho SAKAI
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Publication of DE112020002650T5 publication Critical patent/DE112020002650T5/de
Pending legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/0098Details of control systems ensuring comfort, safety or stability not otherwise provided for
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/032Fixing failures by repairing failed parts, e.g. loosening a sticking valve
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • B60W50/045Monitoring control system parameters
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/08Interaction between the driver and the control system
    • B60W50/087Interaction between the driver and the control system where the control system corrects or modifies a request from the driver
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0816Indicating performance data, e.g. occurrence of a malfunction
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0841Registering performance data
    • G07C5/085Registering performance data using electronic data carriers
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0002Automatic control, details of type of controller or control system architecture
    • B60W2050/0004In digital systems, e.g. discrete-time systems involving sampling
    • B60W2050/0006Digital architecture hierarchy

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Debugging And Monitoring (AREA)
  • Retry When Errors Occur (AREA)

Abstract

Eine Fahrzeugvorrichtung (1) gemäß einer Ausführungsform enthält: eine Steuerungseinheit (10), in die ein System eingebaut ist, mehrere Betriebssysteme (11A, 11B), die in dem System betrieben werden, und mehrere Überwachungseinheiten (21, 22, 23), die ausgelegt sind, Defekte in dem System zu überwachen. Jede der Überwachungseinheiten ist außerdem ausgelegt, eine Überwachung in einem jeweiligen Layer der Layer, in die das System unterteilt ist, durchzuführen und einen Defekt in dem jeweiligen Layer zu beseitigen, wenn der Defekt auftritt.

Description

  • FAHRZEUGVORRICHTUNG
  • Diese Anmeldung basiert auf der am 31. Mai 2019 eingereichten japanischen Patentanmeldung Nr. 2019-102726 , deren Inhalt hiermit durch Bezugnahme darauf enthalten ist.
  • Technisches Gebiet
  • Die vorliegende Erfindung betrifft eine Fahrzeugvorrichtung.
  • Stand der Technik
  • Es ist eine Fahrzeugvorrichtung bekannt, die eine Rückkehreinrichtung aufweist, die aktiviert wird, wenn ein Problem auftritt. Die Patentliteratur 1 offenbart beispielsweise die Bereitstellung einer Hauptsteuerungseinheit und einer Nebensteuerungseinheit, wobei ein Defekt durch Neustarten der Steuerungseinheit, in der der Defekt auftritt, gelöst wird.
  • Literatur des Standes der Technik
  • Patentliteratur
  • Patentliteratur 1: JP 3 343 816 B
  • Zusammenfassung der Erfindung
  • Seit den vergangenen Jahren enthält eine Fahrzeugvorrichtung zusätzlich zu einer Funktionseinheit, die Informationen betreffend ein Fahrzeug wie beispielsweise eine Geschwindigkeit präsentiert, eine andere Funktionseinheit, die sog. Multimedia-Informationen wie beispielsweise ein Navigationsbildschirmbild bereitstellt. In einer derartigen Fahrzeugvorrichtung werden mehrere Betriebssysteme betrieben, um mehrere Funktionseinheiten zu realisieren. Im Folgenden wird Betriebssystem auch mit OS abgekürzt.
  • Wenn jedoch mehrere Funktionen durch Betreiben von mehreren OSs realisiert werden, muss beispielsweise bei der herkömmlichen Konfiguration, bei der das gesamte System neu gestartet wird, wenn ein Defekt in einer der Funktionen auftritt, die gesamte Fahrzeugvorrichtung neu gestartet werden. Als Ergebnis können andere, normal betriebene Funktionen nicht betrieben werden. Dieses gilt ebenfalls, wenn ein Defekt in einem Applikationsprogramm, das in einem jeweiligen OS abläuft, auftritt.
  • Es ist eine Aufgabe der vorliegenden Erfindung, eine Fahrzeugvorrichtung zu schaffen, die, wenn ein Defekt in einer Umgebung auftritt, in der mehrere Funktionen betrieben werden, den Defekt beseitigen kann, während ein negativer Einfluss auf andere, normal betriebene Funktionen verringert wird.
  • Um die obige Aufgabe zu lösen, enthält eine Fahrzeugvorrichtung gemäß einer Ausführungsform: eine Steuerungseinheit, in die ein System eingebaut ist; mehrere Betriebssysteme, die in dem System betrieben werden; und mehrere Überwachungseinheiten, die ausgelegt sind, einen Defekt in dem System bzw. das System hinsichtlich eines Defektes zu überwachen. Jede der Überwachungseinheiten ist außerdem ausgelegt, eine Überwachung in einer jeweiligen Schicht bzw. Ebene bzw. einem jeweiligen Layer aus mehreren Schichten bzw. Ebenen bzw. Layern, in die das System unterteilt ist, durchzuführen, und einen Defekt in dem jeweiligen Layer zu beseitigen, wenn der Defekt auftritt.
  • Gemäß der obigen Konfiguration ist ein Zielbereich, in dem ein Defekt zu beseitigen ist, auf einen jeweiligen Layer beschränkt. Somit ist es möglich, einen Defekt zu beseitigen, während gleichzeitig ein negativer Einfluss auf andere, normal betriebene Funktionen verringert wird, wenn der Defekt bei einer Umgebung auftritt, in der mehrere Funktionen betrieben werden.
  • Figurenliste
    • 1 ist ein Diagramm, das schematisch eine Konfiguration einer Fahrzeugvorrichtung gemäß einer Ausführungsform zeigt.
    • 2 ist ein Diagramm, das einen Fluss bzw. Ablauf eines Überwachungsprozesses zeigt, der von einer ersten Überwachungseinheit ausgeführt wird.
    • 3 ist ein Diagramm, das einen Fluss bzw. Ablauf eines Überwachungsprozesses zeigt, der von einer zweiten Überwachungseinheit ausgeführt wird.
    • 4 ist ein Diagramm, das einen Fluss bzw. Ablauf eines Überwachungsprozesses zeigt, der von einer dritten Überwachungseinheit ausgeführt wird.
    • 5 ist ein Diagramm, das schematisch eine andere Konfiguration der Fahrzeugvorrichtung zeigt.
  • Beschreibung der Ausführungsformen
  • Im Folgenden wird eine Ausführungsform beschrieben. Wie es in 1 gezeigt ist, ist eine Fahrzeugvorrichtung mit Anzeigen wie beispielsweise einer Messgeräteanzeige 2 und einer zentralen Anzeige bzw. Mittenanzeige 3, einer externen Vorrichtung 4 wie beispielsweise einem tragbaren Endgerät, das von einem Nutzer befördert wird, einer anderen ECU 5, die in einem Fahrzeug montiert ist, und einer Energieversorgungssteuerung 8, die ausgelegt ist, eine erste Energieversorgungsschaltung 6 und eine zweite Energieversorgungsschaltung 7 zu steuern, verbunden.
  • Die Fahrzeugvorrichtung 1 ist eine sog. Fahrzeug-Infotainment-Vorrichtung, die ausgelegt ist, Informationen betreffend das Fahrzeug und Multimedia-Informationen zu präsentieren, wie es später beschrieben wird. Die in 1 gezeigte Konfiguration ist nur ein Beispiel, und die vorliegende Erfindung ist nicht auf die in 1 gezeigte Konfiguration beschränkt. Das Fahrzeug kann beispielsweise eine große Anzahl von ECUs 5 aufweisen, und die Fahrzeugvorrichtung 1 kann mit der großen Anzahl von ECUs 5 verbunden sein, um verschiedene Informationen mit diesen auszutauschen.
  • Die Messgeräteanzeige 2 ist beispielsweise eine Flüssigkristallanzeige oder eine organische EL-Anzeige und ist an einem Armaturenbrett vor einem Fahrer angeordnet. Die Messgeräteanzeige 2 zeigt hauptsächlich als Voll-Graphik eine Fahrzeuggeschwindigkeit, eine Warnung, rechtliche Informationen, Informationen, die einen Zustand des Fahrzeugs wie beispielsweise eine Restkraftstoffmenge und ob ein Sitzgurt angelegt ist, angeben, und Informationen betreffend einen Fahrzustand oder eine Sicherheit des Fahrzeugs an. Im Folgenden werden diese Informationen aus Vereinfachungsgründen auch als „Fahrzeuginformationen“ bezeichnet. Alternativ kann die Messgeräteanzeige 2 in dem mittleren Abschnitt des Armaturenbrettes angeordnet sein, und es können ein analoger Geschwindigkeitsanzeiger, ein analoger Drehzahlmesser und Warnleuchten verwendet werden.
  • Die Mittenanzeige 3 ist beispielsweise eine Flüssigkristallanzeige oder eine organische EL-Anzeige, die nahe bei einer sog. Mittelkonsole angeordnet ist. Die Mittenanzeige 3 zeigt beispielsweise ein Navigationsbildschirmbild und ein Menübildschirmbild an. Die Mittenanzeige 3 kann auch TV-Programme, Informationen über Musik, die abgespielt wird, und Ähnliches anzeigen.
  • Die Messgeräteanzeige 2 und die Mittenanzeige 3 können Informationen durch einen nahtlosen Übergang untereinander anzeigen. Der Navigationsbildschirm kann beispielsweise auf der Messgeräteanzeige 2 angezeigt werden, während die Fahrzeuggeschwindigkeit auf der Mittenanzeige 3 angezeigt werden kann.
  • D.h., in der Fahrzeugvorrichtung 1 sind mehrere Funktionseinheiten, die eine Funktionseinheit, die Fahrzeuginformationen anzeigt, und eine Funktionseinheit enthalten, die Multimedia-Informationen anzeigt, integriert, um verschiedene Informationen bereitzustellen. Somit ist die Fahrzeugvorrichtung 1 eine Vorrichtung vom integrierten Typ, die ausgelegt ist, Informationen für den Fahrer visuell und hörbar zu präsentieren.
  • Die Fahrzeugvorrichtung 1 wird durch eine einzige Steuerungseinheit 10 gesteuert. Die Steuerungseinheit 10 ist ein sog. Mikrocomputer und steuert die Fahrzeugvorrichtung 1 durch Ausführen von Computerprogrammen, die in einer Speichereinheit (nicht gezeigt) gespeichert sind, auf einer CPU 12. Ein System, auf dem mehrere Betriebssysteme 11 betrieben werden können, wird durch die Steuerungseinheit 10 bereitgestellt. Im Folgenden wird das Betriebssystem 11 auch OS 11 bezeichnet.
  • In der vorliegenden Ausführungsform werden die beiden OS 11A und OS 11B in bzw. auf der Steuerungseinheit 10 betrieben, und die OSs 11A und 11B werden durch Aufteilen der Prozesse zwischen diesen betrieben. Diesen OSs 11 sind mehrere Kerne in der CPU 12 zugewiesen.
  • Genauer gesagt laufen die OSs 11 auf einem Hypervisor 13 ab. In der vorliegenden Ausführungsform wird der Hypervisor 13 als eine Funktion des OS 11A bereitgestellt. Alternativ kann der Hypervisor 13 für jedes der OSs 11A und 11B bereitgestellt werden, so dass das OS 11A und das OS11B beide auf dem Hypervisor 13 ablaufen. Das OS 11A und das OS 11B sind kommunizierbar miteinander verbunden.
  • Das OS 11A ist im Vergleich zu dem OS 11B ein sog. Echtzeit-OS und enthält Funktionsblöcke, die hauptsächlich einen Prozess (beispielsweise einen Prozess betreffend eine Fahrzeugfahrt oder eine Sicherheit) ausführen, der eine Echtzeit-Reaktion benötigt. Im Allgemeinen führt ein derartiges Echtzeit-OS weniger wahrscheinlich zu einem Problem in dem OS 11A selbst, und es weist im Allgemeinen eine höhere Stabilität als ein universelles OS auf, da die Ausführungszeit eines Applikationsprogramms vorhersehbar und/oder steuerbar ist. Im Folgenden wird ein Applikationsprogramm auch als Applikation bezeichnet. Das OS 11A entspricht einem ersten Betriebssystem.
  • Das OS 11B ist ein sog. universelles OS. Obwohl dessen benötigte Echtzeit-Antwort und Stabilität im Vergleich zu dem OS 11A relativ niedrig sind, weist dieses den Vorteil auf, dass eine allgemeine bzw. universelle Verarbeitung wie eine sog. Multimediafunktion auf einfache Weise ausgeführt werden kann. Das OS 11B entspricht einem zweiten Betriebssystem.
  • Jedes OS 11 dient als verschiedene Funktionseinheiten, die mittels Software durch Ausführen verschiedener Applikationen realisiert werden. Die Steuerungseinheit 10 enthält als Funktionseinheiten eine Messgeräteanzeigeapplikation 14, eine Navigationsapplikation 15 und eine Kommunikationsapplikation 16. Die Anzahl und die Typen der Funktionseinheiten, die in 1 gezeigt sind, oder die OSs 11, auf denen die Funktionseinheiten implementiert sind, sind nur beispielhafte Konfigurationen, und die vorliegende Erfindung ist nicht auf die in 1 gezeigte Konfiguration beschränkt.
  • Die Messgeräteanzeigeapplikation 14 ist als eine Funktionseinheit angeordnet, die ausgelegt ist, hauptsächlich ein Anzeigen auf der Messgeräteanzeige 2 bereitzustellen. Die Messgeräteanzeigeapplikation 14 zeigt Informationen wie beispielsweise einen Geschwindigkeitsmesser, der für das Fahren des Fahrzeugs benötigt wird, an. Die Applikation 14 aktualisiert das Anzeigebild in einem relativ kurzen Zyklus, beispielsweise etwa alle 1/60 Sekunden. Daher wird die Messgeräteanzeigeapplikation 14 in dem OS 11A implementiert. Die Bilder, die durch die Messgeräteanzeigeapplikation 14 angezeigt werden, werden beispielsweise als Bilddaten in dem LVDS-Format an die Messgeräteanzeige 2 übertragen.
  • Die Navigationsapplikation 15 ist als eine Funktionseinheit angeordnet, die hauptsächlich ein Anzeigen auf der Mittenanzeige 3 bereitstellt. Diese Navigationsapplikation 15 führt einen Multimediaprozess zum Erzeugen und Anzeigen eines Navigationsbildschirms und zur Audioausgabe zur Routenführung aus. Daher wird die Navigationsapplikation 15 auf dem OS 11B implementiert. Die Bilder, die von der Navigationsapplikation 15 angezeigt werden, werden als Bilddaten beispielsweise in dem LVDS-Format an die Mittenanzeige 3 übertragen.
  • Die Kommunikationsapplikation 16 ist als eine Funktionseinheit angeordnet, die ausgelegt ist, mit der externen Vorrichtung 4 zu kommunizieren, die mit der Fahrzeugvorrichtung 1 verbunden ist. Die Kommunikationsapplikation 16 kann mit der externen Vorrichtung 4 unter Verwendung bekannter Kommunikationsverfahren wie USB, Bluetooth (eingetragene Marke), Wi-Fi oder Ähnlichem kommunizieren. Die externe Vorrichtung 4 kann abgesehen von dem oben beschriebenen tragbaren Endgerät (auch stattdessen) ein Tablet, einen USB-Speicher, einen Server im Internet oder Ähnliches enthalten.
  • Die Fahrzeugvorrichtung 1 erhält elektrische Energie von der ersten Energieversorgungsschaltung 6 und der zweiten Energieversorgungsschaltung 7. Die erste Energieversorgungsschaltung 6 führt den Vorrichtungen hauptsächlich Energie zum Verarbeiten oder Anzeigen von Informationen für das Steuerungssystem, beispielsweise die Steuerungseinheit 10 und die Messgeräteanzeigeschaltung 17, zu. Die erste Energieversorgungsschaltung 6 empfängt elektrische Energie von einer Batterie (nicht gezeigt) und weist eine mit einer Niederspannung kompatible Schaltungskonfiguration derart auf, dass der Steuerungseinheit 10 und Ähnlichem sogar dann, wenn die Batteriespannung relativ niedrig ist, Energie zugeführt werden kann. Insbesondere weist die erste Energieversorgungsschaltung 6 eine minimale Betriebsspannung auf, bei der Energie zugeführt werden kann, und die minimale Betriebsspannung ist niedriger als der minimale Wert der Batteriespannung, die zu dem Zeitpunkt eines Ankurbelns benötigt wird, so dass auch dann, wenn die Spannung von der Batterie während eines Ankurbelns zur Zeit des Startens des Verbrennungsmotors abfällt, elektrische Energie zugeführt werden kann.
  • Die zweite Energieversorgungsschaltung 7 führt hauptsächlich Vorrichtungen zum Verarbeiten oder Anzeigen von Informationen für das Multimediasystem, beispielsweise die Mittenanzeigeschaltung 18 und die Kommunikationsschaltung 19, Energie zu. Obwohl die zweite Energieversorgungsschaltung 7 auch elektrische Energie von der Batterie empfängt, weist die zweite Energieversorgungsschaltung 7 im Vergleich zu der ersten Energieversorgungsschaltung 6 keine mit einer Niederspannung kompatible Schaltungskonfiguration auf. Insbesondere ist die minimale Betriebsspannung der zweiten Energieversorgungsschaltung 7, bei der Energie zugeführt werden kann, höher als diejenige der ersten Energieversorgungsschaltung 6, und somit kann die Energieversorgung stoppen bzw. gestoppt werden, wenn die Batteriespannung während eines Ankurbelns abfällt.
  • Die Energieversorgungssteuerungseinheit 8 wird durch einen anderen Mikrocomputer als die Steuerungseinheit 10 ausgebildet. Wenn ein Signal zum Starten der Fahrzeugvorrichtung 1 von der ECU 5 eingegeben wird, ermöglicht es die Energieversorgungssteuerungseinheit 8 der ersten Energieversorgungsschaltung 6 und der zweiten Energieversorgungsschaltung 7, Energie zuzuführen. Wenn ein Signal zum Stoppen der Fahrzeugvorrichtung 1 von der ECU 5 eingegeben wird, steuert die Energieversorgungssteuerungseinheit 8 die erste Energieversorgungsschaltung 6 und die zweite Energieversorgungsschaltung 7, damit diese die Energieversorgung bzw. Energiezufuhr stoppen.
  • Die Fahrzeugvorrichtung 1 kann durch einen Nutzerbetrieb bzw. eine Nutzereingabe über eine Betriebseingabeschaltung 20 gestartet oder gestoppt werden. Die Betriebseingabeschaltung 20 weist eine Betriebseinheit, die aus einem Bildschirm-Tastfeld (Touch Panel) ausgebildet wird, das für einen jeweiligen Bildschirm der Messgeräteanzeige 2 und der Mittenanzeige 3 bereitgestellt wird, einen Betriebsschalter bzw. Betätigungsschalter (nicht gezeigt) und Ähnliches auf.
  • Außerdem enthält die Fahrzeugvorrichtung 1 gemäß der vorliegenden Ausführungsform eine erste Überwachungseinheit 21, eine zweite Überwachungseinheit 22 und eine dritte Überwachungseinheit 23. Die erste Überwachungseinheit 21 ist eine Funktionseinheit, die durch Software, d.h. ein Computerprogramm, das auf der Energieversorgungssteuerungseinheit 8 ausgeführt wird, realisiert wird.
  • Wie es später beschrieben wird, wird die erste Überwachungseinheit 21 für einen ersten Layer bereitgestellt, der in einer Layer-Struktur durch Unterteilen des Systems der Fahrzeugvorrichtung 1 in mehrere Layer ausgebildet wird. Die Einheit 21 führt ein Überwachen des ersten Layers durch, wobei die Steuerungseinheit 10 ein Überwachungsziel ist. Die erste Überwachungseinheit 21 überwacht die Steuerungseinheit 10, wie es durch den Pfeil F1 gezeigt ist, und wenn ein Problem oder ein Defekt in der Steuerungseinheit 10 auftritt, wird das Problem durch Neustarten der gesamten Steuerungseinheit 10 gelöst.
  • Wie es später beschrieben wird, wird die zweite Überwachungseinheit 22 für einen zweiten Layer bereitgestellt, der der nächste zu dem höchsten Layer in der Layer-Struktur ist, wenn das System der Fahrzeugvorrichtung 1 in Layer unterteilt ist. Die zweite Überwachungseinheit 22 führt ein Überwachen in dem zweiten Layer durch, wobei das OS 11 ein Überwachungsziel ist. In dieser Ausführungsform ist die zweite Überwachungseinheit 22 auf dem OS 11A angeordnet. Die zweite Überwachungseinheit 22 überwacht das OS 11B, wie es durch den Pfeil F2 gezeigt ist, und wenn ein Problem in dem OS 11B auftritt, wird das Problem durch Neustarten des OS 11B gelöst.
  • Wie es später beschrieben wird, ist die dritte Überwachungseinheit 23 für einen zweiten Layer angeordnet, der der unterste Layer in der Layer-Struktur ist, bei der das System der Fahrzeugvorrichtung 1 in mehrere Layer unterteilt ist. Die Einheit 23 führt ein Überwachen in dem zweiten Layer durch, wobei Applikationen, die auf dem OS 11 ablaufen, ein Überwachungsziel sind. In der vorliegenden Ausführungsform ist die dritte Überwachungseinheit 23 jeweils auf den OSs 11 angeordnet.
  • Die dritte Überwachungseinheit 23 überwacht jede Applikation, wie es durch den Pfeil F3 gezeigt ist, und wenn ein Problem in der Applikation auftritt, wird das Problem durch Neustarten der Applikation gelöst. Hier startet die dritte Überwachungseinheit 23 grundlegend die Applikation, in der das Problem aufgetreten ist, aber startet keine anderen Applikationen, in denen kein Problem aufgetreten ist.
  • D.h., in der Fahrzeugvorrichtung 1 ist das System in mehrere Layer auf Programm-Ebene bzw. Programm-Level unterteilt, und eine Überwachung wird für jeden Layer durchgeführt, und ein höherer Layer weist einen größeren Bereich als derjenige eines niedrigeren zu überwachenden Layers auf (d.h. einen größeren Bereich zum Neustarten), wenn ein Problem auftritt.
  • Im Folgenden wird der Betrieb der Fahrzeugvorrichtung 1, die die oben beschriebene Konfiguration aufweist, beschrieben.
  • Die OSs 11 werden in der Fahrzeugvorrichtung 1 betrieben, und es wird angenommen, dass das OS 11A allgemein sehr stabil ist und weniger wahrscheinlich zu einem Problem führt. Dieses rührt daher, dass eine Verarbeitung auf dem OS 11A grundlegend interne Angelegenheiten der Fahrzeugvorrichtung 1 betrifft und daher die Entwicklung und das Debugging ausreichend durchgeführt wurden.
  • Andererseits führt das OS 11B eine universelle Verarbeitung durch und kann unter Verwendung von Daten betrieben werden, die von der Außenseite der Fahrzeugvorrichtung 1 beschafft werden. Daher gibt es einen Qualitätsunterschied zwischen dem OS 11A und dem OS 11B. Mit anderen Worten, das Risiko des Auftretens eines Fehlers ist in dem OS 11B höher.
  • Sogar wenn ein Problem in dem OS 11B auftritt, kann das OS 11 A, das grundlegend unabhängig betrieben wird, seinen Betrieb ohne Beeinflussung durch das Problem des OS 11B fortsetzen. Bei der herkömmlichen Konfiguration, bei der die Steuerungseinheit 10 insgesamt neu gestartet wird, wenn ein Problem auftritt, würde jedoch die gesamte Steuerungseinheit 10 auch dann neu gestartet werden, wenn ein Problem in einem kleinen Teil der Applikation auftritt. Mit anderen Worten, wenn ein Problem in einem Teil von mehreren Funktionen auftritt, würden sämtliche Funktionen unabhängig von dem beeinträchtigen Bereich, in dem das Problem gelöst werden sollte, neu gestartet werden. Daher würde der Betrieb des OS 11 A, in dem das Problem nicht auftritt, nicht fortgesetzt werden.
  • Wenn ein Problem in einer Umgebung auftritt, in der mehrere Funktionen betrieben werden, löst daher die Fahrzeugvorrichtung 1 das Problem, während ein negativer Einfluss auf andere Funktionen, die normal betrieben werden, verringert wird. Auch wenn die folgende Verarbeitung von jeder Überwachungseinheit durchgeführt wird, wird aus Vereinfachungsgründen nur die Fahrzeugvorrichtung 1 als ein Objekt beschrieben, das die Verarbeitung durchführt.
  • Die Fahrzeugvorrichtung 1 führt die in den 2 bis 4 gezeigten Prozesse aus. Der in 2 gezeigte Prozess ist ein Überwachungsprozess zwischen CPSs, der durch die erste Überwachungseinheit 21 ausgeführt wird. Der in 3 gezeigte Prozess ist ein Überwachungsprozess zwischen dem OSs 11, der von der zweiten Überwachungseinheit 22 ausgeführt wird. Der in 4 gezeigte Prozess ist ein Überwachungsprozess zwischen dem OS 11 und Applikationen, der von der dritten Überwachungseinheit 23 ausgeführt wird. Im Folgenden wird jeder Prozess einzeln beschrieben.
  • Zunächst wird eine Überwachung eines Defektes in dem ersten Layer und ein Verfahren zur Beseitigung desselben beschrieben. Die Fahrzeugvorrichtung 1 führt den in 2 gezeigten Prozess aus, und in Schritt S1 wird eine Überwachung der Steuerungseinheit 10 gestartet. Hier führt die Fahrzeugvorrichtung 1 beispielsweise eine Blockadeüberwachung, eine Überwachung hinsichtlich einer Endlosschleife, eine Rücksetzüberwachung, eine Kommunikations-Blackout-Überwachung, eine Startzeitüberwachung und Ähnliches durch. Da diese Überwachungen allgemein bekannt sind, wird deren detaillierte Erläuterung weggelassen, aber bei der Blockadeüberwachung wird ein Defekt, gemäß dem ein Programm nicht ausgeführt wird, überwacht. Außerdem wird bei der Überwachung einer Endlosschleife ein Defekt, gemäß dem das Programm eine endlose Schleife durchläuft, überwacht. Außerdem wird bei der Rücksetzüberwachung ein Defekt dahingehend, dass sich die Steuerungseinheit 10 in einem Rücksetzzustand befindet, überwacht. Außerdem wird bei der Kommunikations-Blackout-Überwachung ein Defekt dahingehend, dass eine Kommunikation mit der Steuerungseinheit 10 unterbrochen ist, überwacht. Bei der Startzeitüberwachung wird überwacht, ob das Modul innerhalb einer voreingestellten Zeit gestartet ist.
  • Auch, wenn die Ziele zur Überwachung sich unterscheiden, gleichen sich die Überwachungsinhalte für den Überwachungsprozess zwischen den OSs 11, der in 3 gezeigt ist, und diejenigen für den Überwachungsprozess zwischen dem OS 11 und der Applikation, der in 4 gezeigt ist, wie es später beschrieben wird. Die Überwachung ist jedoch nicht notwendigerweise auf die obigen Beispiele beschränkt, und es können andere Ziele überwacht werden.
  • Wenn die Überwachung gestartet wurde, bestimmt die Fahrzeugvorrichtung 1 in Schritt S2, ob ein Defekt erfasst wird. Wenn bestimmt wird, dass kein Defekt erfasst wird, lautet das Ergebnis der Bestimmung in S1 nein, und dann wird Schritt S1 wiederholt. Wenn im Gegensatz dazu die Fahrzeugvorrichtung 1 bestimmt, dass ein Defekt erfasst wird, lautet das Ergebnis der Bestimmung in Schritt S2 ja, und dann startet die Fahrzeugvorrichtung 1 in Schritt S3 die Steuerungseinheit 10 neu. Als Ergebnis wird ein Defekt in der Steuerungseinheit 10, mit anderen Worten ein Defekt, der einen großen Bereich des gesamten Systems der Fahrzeugvorrichtung 1 beeinflussen würde, beseitigt.
  • Danach bestimmt die Fahrzeugvorrichtung 1 in Schritt S4, ob der Neustart beendet ist, und wenn der Neustart nicht beendet ist, lautet das Ergebnis der Bestimmung in Schritt S4 nein, und somit wartet der Prozess, bis der Neustart beendet ist. Wenn im Gegensatz dazu der Neustart beendet ist, d.h. wenn das Ergebnis in Schritt S4 ja lautet, schreitet der Prozess zum Schritt S1, und die Fahrzeugvorrichtung 1 startet die Überwachung der Steuerungseinheit 10 erneut. Der in 2 gezeigte Prozess endet, wenn die Fahrzeugvorrichtung 1 gestoppt wird.
  • Wie es oben beschrieben wurde, löst die Fahrzeugvorrichtung 1 durch Neustarten der Steuerungseinheit 10 das Problem, das das gesamte System der Fahrzeugvorrichtung 1 beeinflussen würde.
  • Im Folgenden wird eine Überwachung eines Defektes in dem zweiten Layer und das entsprechende Verfahren zum Beseitigen desselben beschrieben. Die Fahrzeugvorrichtung 1 führt den in 3 gezeigten Prozess aus, und in Schritt S11 wird eine Überwachung des OS 11B gestartet. Hier führt die Fahrzeugvorrichtung 1 die oben beschriebene Blockadeüberwachung, Überwachung einer Endlosschleife, Rücksetzüberwachung, Kommunikations-Blackout-Überwachung und Ähnliches durch.
  • Wenn die Überwachung gestartet wurde, bestimmt die Fahrzeugvorrichtung 1 in Schritt S12, ob ein Defekt erfasst wird. Wenn kein Defekt erfasst wird, lautet das Ergebnis der Bestimmung in Schritt S12 nein, und dann wird die Überwachung in Schritt S11 wiederholt. Wenn im Gegensatz dazu die Fahrzeugvorrichtung 1 bestimmt, dass ein Defekt erfasst wird, lautet das Ergebnis der Bestimmung in Schritt S12 ja, und somit startet die Fahrzeugvorrichtung 1 in Schritt S13 das OS 11B neu.
  • Danach bestimmt die Fahrzeugvorrichtung 1 in Schritt S14, ob der Defekt nach dem Neustart des OS 11B beseitigt wurde. Man beachte, dass dieser Schritt S14 ausgeführt wird, nachdem das OS 11B neu gestartet wurde. Wenn die Fahrzeugvorrichtung 1 bestimmt, dass der Defekt durch Neustarten des OS 11B beseitigt wurde, lautet das Ergebnis in Schritt S14 ja, und dann wiederholt die Fahrzeugvorrichtung 1 die Überwachung in Schritt S11.
  • Dementsprechend wird ein Defekt, der das OS 11B beeinflussen würde, beseitigt. Hier wird der Betrieb des OS 11A, in dem kein Defekt erfasst wird, grundlegend fortgesetzt. D.h., der Defekt kann beseitigt werden, wobei der Bereich, der durch das Problem beeinflusst wird, nur auf das OS 11B begrenzt ist.
  • Wenn andererseits die Fahrzeugvorrichtung 1 bestimmt, dass der Defekt nicht beseitigt wurde, lautet das Ergebnis in Schritt S14 nein. Dann bestimmt die Fahrzeugvorrichtung 1 in Schritt S15, ob die Anzahl der Neustartvorgänge gleich oder größer als eine vorbestimmte Anzahl M ist. In der vorliegenden Ausführungsform gilt M = 2, aber M kann auf einen geeigneten anderen Wert wie beispielsweise 1 oder 3 oder mehr eingestellt werden. Wenn die Fahrzeugvorrichtung 1 bestimmt, dass die Anzahl der Neustartvorgänge nicht gleich oder größer als M, lautet das Ergebnis in Schritt S15 nein, und dann schreitet der Prozess zum Schritt S13 und der Neustart wird wiederholt.
  • Nachdem die Fahrzeugvorrichtung 1 wiederholt neu gestartet wurde, und wenn die Anzahl der Neustartvorgänge gleich oder größer als M ist (ja in Schritt S15), sendet die Fahrzeugvorrichtung 1 eine Nachricht an die erste Überwachungseinheit 21. Hier teilt die Fahrzeugvorrichtung 1 der ersten Überwachungseinheit 21 mit, dass der Defekt in dem zweiten Layer nicht beseitigt werden konnte. In Schritt S15 kann anstelle der Mitteilung hinsichtlich des Defektes direkt eine Anweisung zum Neustarten der Steuerungseinheit 10 gesendet werden.
  • Dann bestimmt die erste Überwachungseinheit 21, die die Mitteilung empfängt, dass ein Defekt erfasst wird bzw. wurde, wie es in 2 gezeigt ist, und startet die Steuerungseinheit 10 neu, um den Defekt zu beseitigen. Als Ergebnis wird der Defekt, der durch Neustarten des OS 11B nicht gelöst werden konnte, d.h. der Defekt, der in dem zweiten Layer nicht beseitigt werden konnte, durch die erste Überwachungseinheit 21 beseitigt, die den ersten Layer überwacht.
  • Auf diese Weise beseitigt die Fahrzeugvorrichtung 1 einen Defekt, der durch Neustarten des OS 11 in dem zweiten Layer nicht beseitigt werden kann, aber wenn ein Defekt, der in dem zweiten Layer nicht beseitigt werden kann, auftritt, wird der Defekt durch Senden einer Mitteilung an die erste Überwachungseinheit 21 beseitigt, die sich in einem oberen Layer befindet, bei dem ein Defekt für einen breiteren Bereich beseitigt werden kann.
  • Im Folgenden wird eine Überwachung eines Defektes in dem dritten Layer und das entsprechende Verfahren zum Beseitigen desselben beschrieben. Die Fahrzeugvorrichtung 1 führt den in 4 gezeigten Prozess aus, und in Schritt S21 wird eine Überwachung einer Applikation, die auf dem OS 11B abläuft, gestartet. Hier führt die Fahrzeugvorrichtung 1 die oben beschriebene Blockadeüberwachung, Überwachung hinsichtlich einer Endlosschleife, Rücksetzüberwachung, Kommunikations-Blackout-Überwachung und Ähnliches durch. Die Überwachung in dem dritten Layer wird sowohl durch das OS 11A als auch durch das OS 11B durchgeführt.
  • Wenn die Überwachung gestartet wurde, bestimmt die Fahrzeugvorrichtung 1 in Schritt S22, ob ein Defekt erfasst wird. Wenn bestimmt wird, dass kein Defekt erfasst wird, lautet das Ergebnis in Schritt S22 nein, und es wird Schritt S21 wiederholt. Wenn im Gegensatz dazu die Fahrzeugvorrichtung 1 bestimmt, dass ein Defekt erfasst wird, lautet das Ergebnis der Bestimmung in Schritt S22 ja, und dann startet die Fahrzeugvorrichtung 1 in Schritt S23 die Applikation, bei der ein Defekt erfasst wurde, neu.
  • Danach bestimmt die Fahrzeugvorrichtung 1 in Schritt S24, ob der Defekt nach dem Neustart der Applikation beseitigt wurde. Man beachte, dass dieser Schritt S24 ausgeführt wird, nachdem die Applikation neu gestartet wurde. Wenn die Fahrzeugvorrichtung 1 bestimmt, dass der Defekt durch Neustarten der Applikation beseitigt wurde, lautet das Ergebnis der Bestimmung in Schritt S24 ja, und dann wiederholt die Fahrzeugvorrichtung 1 den Prozess in Schritt S21.
  • Als Ergebnis kann ein Defekt, der in der Applikation auftritt, durch Neustarten der Applikation beseitigt werden. Hier wird der Betrieb anderer Applikationen, in denen kein Defekt erfasst wurde, fortgesetzt. D.h., der Defekt kann beseitigt werden, wobei der Bereich, der durch den Defekt beeinflusst wird, nur auf die Applikation begrenzt ist.
  • Wenn andererseits die Fahrzeugvorrichtung 1 bestimmt, dass der Defekt nicht beseitigt wurde, lautet das Ergebnis der Bestimmung in Schritt S24 nein. Daher bestimmt die Fahrzeugvorrichtung 1 in Schritt S25, ob die Anzahl der Neustartvorgänge gleich oder größer als eine vorbestimmte Anzahl N ist. In der vorliegenden Ausführungsform gilt N = 2, aber N kann auf einen geeigneten Wert wie beispielsweise 1 oder 3 oder mehr eingestellt werden. Wenn Fahrzeugvorrichtung 1 bestimmt, dass die Anzahl der Neustartvorgänge nicht gleich oder größer als N ist, lautet das Ergebnis der Bestimmung in Schritt S25 nein, und dann schreitet der Prozess zum Schritt S23 und es wird der Neustart wiederholt.
  • Wenn die Anzahl der Neustartvorgänge gleich oder größer als N ist, nachdem die Fahrzeugvorrichtung 1 wiederholt einen Neustart durchgeführt hat (ja in Schritt S25), sendet die Fahrzeugvorrichtung 1 eine Mitteilung an die zweite Überwachungseinheit 22. Hier teilt die Fahrzeugvorrichtung 1 der zweiten Überwachungseinheit 22 mit, dass der Defekt in dem dritten Layer nicht beseitigt werden konnte. In Schritt S25 kann anstelle der Versendung einer Mitteilung hinsichtlich des Defektes direkt eine Anweisung zum Neustarten des OS 11B, auf dem die Applikation abläuft, bei der ein Defekt erfasst wurde, gesendet werden.
  • Dann bestimmt die zweite Überwachungseinheit 22, die die Mitteilung empfängt, dass ein Defekt erfasst wurde, wie es in 3 gezeigt ist, und startet das OS 11 neu, um den Defekt zu beseitigen. Wenn hier der Defekt auch in dem zweiten Layer nicht beseitigt werden kann bzw. konnte, wird die erste Überwachungseinheit 21 benachrichtigt, und die Steuerungseinheit 10 wird neu gestartet.
  • Als Ergebnis kann ein Defekt, der sogar durch Neustarten der Applikation nicht beseitigt werden kann, d.h. ein Defekt, der in dem dritten Layer nicht beseitigt werden kann, durch die zweite Überwachungseinheit 22, die den zweiten Layer überwacht, der höher als der dritte Layer ist, oder durch die erste Überwachungseinheit 21, die den ersten Layer überwacht, der noch höher als der zweite Layer ist, beseitigt werden.
  • Auf diese Weise beseitigt die Fahrzeugvorrichtung 1 einen Defekt, der durch Neustarten der Applikation in dem dritten Layer beseitigt werden kann, aber wenn ein Defekt, der in dem dritten Layer nicht beseitigt werden kann, auftritt, wird der Defekt durch Senden einer Mitteilung an die zweite Überwachungseinheit 22 oder an die erste Überwachungseinheit 21, die sich in einem Layer weiter oben befindet, gelöst, in dem ein Defekt in einem breiteren Bereich gelöst werden kann.
  • Auf diese Weise unterteilt die Fahrzeugvorrichtung 1 das System in mehrere Layer und überwacht jeden Layer, so dass ein Defekt, der in einem jeweiligen Layer beseitigt werden kann, durch die Überwachungseinheit in dem jeweiligen Layer beseitigt wird, und wenn der Defekt in einem Layer nicht beseitigt werden kann, wird ein derartiger Defekt durch die Überwachungseinheit in einem oberen Layer bzw. darüber liegenden Layer gelöst.
  • Gemäß der oben beschriebenen Ausführungsform können die folgenden Vorteile erhalten werden.
  • Die Fahrzeugvorrichtung 1 enthält eine Steuerungseinheit 10, die ein System aufweist, in dem mehrere OSs, d.h. das OS 11A und das OS 11B, betrieben werden, und mehrere Überwachungseinheiten, die eine erste Überwachungseinheit 21, eine zweite Überwachungseinheit 22 und eine dritte Überwachungseinheit 23 zum Überwachen eines Defektes in dem System enthalten. Jede der Überwachungseinheiten überwacht einen jeweiligen Layer in dem System, und wenn ein Defekt auftritt, wird der Defekt auf einer Layer-Basis beseitigt.
  • Als Ergebnis kann, um das Problem zu lösen, beispielsweise der Bereich zum Neustarten grundlegend auf einen jeweiligen Layer begrenzt werden. Als Ergebnis ist es möglich, den Betrieb einer Funktion, bei der kein Defekt auftritt, fortzusetzen. Wenn daher ein Defekt in einer Umgebung auftritt, in der mehrere Funktionen betrieben werden, ist es möglich, den Defekt zu beseitigen, während ein negative Auswirkung auf Funktionen, die normal betrieben werden, verringert wird.
  • Außerdem enthalten die Überwachungseinheiten in der fahrzeugeigenen Vorrichtung 1 eine erste Überwachungseinheit 21, die eine Überwachung in einem ersten Layer durchführt, bei dem die Steuerungseinheit 10 ein Überwachungsziel ist, eine zweite Überwachungseinheit 22 in der Steuerungseinheit 10, die eine Überwachung in einem zweiten Layer durchführt, bei dem das OS 11 ein Überwachungsziel ist, und eine dritte Überwachungseinheit 23, die eine Überwachung in dem dritten Layer auf dem OS 11 durchführt, bei dem Applikationen die Überwachungsziele sind.
  • Wenn ein Defekt in der Steuerungseinheit 10 auftritt, beseitigt die erste Überwachungseinheit 21 den Defekt durch Neustarten der gesamten Steuerungseinheit 10. Wenn ein Defekt in dem OS 11 auftritt, beseitigt die zweite Überwachungseinheit 22 den Defekt durch Neustarten des OS 11, in dem der Defekt auftritt. Wenn ein Defekt in einer Applikation aufritt, beseitigt die dritte Überwachungseinheit 23 den Defekt durch Neustarten der Applikation, bei der der Defekt auftritt.
  • Als Ergebnis kann die Fahrzeugvorrichtung 1 ihr eigenes System in Layer für jede Programmebene, mit anderen Worten für jede Layer-Einheit, die einfach neu gestartet werden kann, unterteilen. Daher ist es möglich, einen Defekt einfach durch Überwachen und Neustarten des jeweiligen Layers zu beseitigen.
  • Außerdem enthält die Fahrzeugvorrichtung 1 das OS 11A, das eine relativ hohe Stabilität aufweist, und das OS 11B, das im Vergleich zu dem OS 11A eine relativ niedrige Stabilität aufweist, und die zweite Überwachungseinheit 22 ist in dem OS 11A angeordnet, um das OS 11B zu überwachen. Als Ergebnis kann das OS 11B, das ein relativ hohes Risiko für ein Auftreten eines Defektes aufweist, von dem sehr stabilen OS 11A überwacht werden, und somit kann ein Defekt noch zuverlässiger erfasst und beseitigt werden.
  • Wenn bei der Fahrzeugvorrichtung 1 ein Defekt sogar durch Neustarten einer Applikation nicht beseitigt werden kann, weist die dritte Überwachungseinheit 23 die zweite Überwachungseinheit 22 an, den Defekt zu beseitigen. Wenn dann die zweite Überwachungseinheit 22 den Defekt auch durch Neustarten des OS 11 nicht beseitigen kann, weist die zweite Überwachungseinheit 22 die erste Überwachungseinheit 21 an, den Defekt zu beseitigen.
  • Wenn ein Defekt, der in einem Layer nicht beseitigt werden kann, auftritt, ist es demzufolge möglich, zu versuchen, den Defekt in einem darüber liegenden Layer, der direkt oberhalb des betreffenden Layers ist, zu lösen, und wenn der Defekt in dem darüber liegenden Layer nicht gelöst bzw. beseitigt werden kann, ist es möglich, den höchsten Layer neu zu starten, d.h., die gesamte Steuerungseinheit 10. Wenn der Defekt in einem jeweiligen Layer nicht beseitigt werden kann, kann dieser Defekt schließlich trotzdem beseitigt werden.
  • In der Ausführungsform ist die zweite Überwachungseinheit 22 in dem OS 11A angeordnet, aber die zweite Überwachungseinheit 22 kann auch in dem OS 11B angeordnet sein, so dass sich die OSs 11 gegenseitig überwachen. Wie es in 5 gezeigt ist, kann die zweite Überwachungseinheit 22 alternativ in dem Hypervisor 13 angeordnet sein, um sowohl das OS 11A als auch das OS 11B zu überwachen. In diesem Fall kann ähnlich wie in einem Fall, in dem drei oder mehr OSs 11 implementiert werden, jedes OS durch Bereitstellen der zweiten Überwachungseinheit 22 in dem OS 11A, durch Bereitstellen der zweiten Überwachungseinheit 22 in jedem OS 11 oder durch Bereitstellen der zweiten Überwachungseinheit 22 in dem Hypervisor 13 überwacht werden.
  • In der Ausführungsform wird ein Defekt durch Neustarten von Programmen beseitigt. Da die Fahrzeugvorrichtung 1 mit einer großen Anzahl von Vorrichtungen einschließlich den ECUs 5 verbunden ist, kann jedoch sogar dann, wenn ein Programm neu gestartet wird, eine Inkonsistenz in den Betrieben zwischen den Vorrichtungen wie beispielsweise peripheren Schaltungen und den ECUs 5 auftreten. Wenn eine Inkonsistenz in den Betrieben auftritt, kann das Programm nicht in einen normalen Zustand wiederhergestellt werden, auch wenn das Programm neu gestartet wird. Mit anderen Worten, es wird für die Fahrzeugvorrichtung 1 zusätzlich zu einem Neustart des Programms eine Maßnahme zum Zurückkehren der Vorrichtungen zu einem normalen Zustand für einen kooperativen Betrieb mit den Vorrichtungen wie peripheren Schaltungen und der ECU 5 benötigt.
  • Wenn in der Fahrzeugvorrichtung 1 mehrere Überwachungseinheiten einen Defekt in einem jeweiligen Layer beseitigen, sind Vorrichtungen, die in einem jeweiligen Layer verwendet werden, in einem Initialisierungsziel enthalten. Wenn beispielsweise ein Defekt in der Navigationsapplikation 15 aufgrund eines Defektes in der Mittenanzeigeschaltung 18 auftritt, ist es beispielsweise demzufolge möglich, eine Situation zu vermeiden, in der die echte Ursache für den Defekt nicht beseitigt wird, auch wenn die Navigationsapplikation 15 neu gestartet wird, oder eine Situation zu vermeiden, bei der Applikationen aufgrund eines unvollständigen Betriebs nicht verlinkt oder synchronisiert werden und ein weiteres Problem nach einem Neustarten auftritt. Dieses gilt ebenfalls für den ersten Layer und den zweiten Layer.
  • Wie es in 5 gezeigt ist, kann jede Überwachungseinheit anschließend an das Beseitigen eines Defektes andere Anfangssequenzen für eine ausschließliche Vorrichtung 30, die nur von einem einzelnen OS 11 verwendet wird, und einer gemeinsamen Vorrichtung 31, die von mehreren OSs 11 gemeinsam verwendet wird, durchführen.
  • Für die ausschließliche Vorrichtung 30 wird beispielsweise ein Initialisierungsprozess beim Neustarten des OS 11 durchgeführt, wohingegen für die gemeinsame Vorrichtung 31 Dienste für das Neustartziel-OS 11 zeitweilig gestoppt und dann die Dienste für das Neustartziel-OS 11 entsprechend einer normalen Neustartsequenz erneut aktiviert werden. Als Ergebnis kann das neu gestartete OS 11 Vorrichtungen wie gewöhnlich verwenden. Derartige Dienste beinhalten die Bereitstellung einer virtuellen Vorrichtung zum Zugriff auf eine physikalische Vorrichtung, eine Initialisierung der virtuellen Vorrichtung und Ähnliches.
  • In diesem Fall können die Zielvorrichtungen die Messgeräteanzeigeschaltung 17, die Mittenanzeigeschaltung 18, die Kommunikationsschaltung 19 und die Betriebseingabeschaltung 20, die in der Fahrzeugvorrichtung 1 enthalten sind, und die Messgeräteanzeige 2 und die Mittenanzeige 3, die mit der Fahrzeugvorrichtung 1 verbunden sind, enthalten. D.h., die Vorrichtungen, die von der Steuerungseinheit 10 gesteuert werden, können die Zielvorrichtungen sein.
  • Es wird beispielsweise angenommen, dass die ausschließliche Vorrichtung 30 durch das OS 11A und die gemeinsame Vorrichtung 31 von dem OS 11A und dem OS 11B gemeinsam verwendet wird. Wenn ein Defekt in dem OS 11B in dem zweiten Layer auftritt und das OS 11B neu gestartet wird, kann die gemeinsame Vorrichtung 31 neu gestartet werden, ohne die ausschließliche Vorrichtung 30 neu zu starten.
  • Mit einer derartigen Konfiguration ist es möglich, eine Situation zu vermeiden, bei der Vorrichtungen unnötig initialisiert werden. Wenn das OS 11B in dem zweiten Layer neu gestartet wird, ist es demzufolge beispielsweise möglich, die Wahrscheinlichkeit des Auftretens eines Problems, dass das normal betriebene OS 11A aufgrund der Initialisierung der Vorrichtungen nicht betrieben wird, zu verringern.
  • Wenn ein Problem in der Steuerungseinheit 10 in dem ersten Layer auftritt und die Steuerungseinheit 10 neu gestartet werden muss, werden sowohl die ausschließliche Vorrichtung 30 als auch die gemeinsame Vorrichtung 31 neu gestartet. Dementsprechend ist es möglich, einen unvollständigen Betrieb und einen Einfluss auf den Betrieb, nachdem die Steuerungseinheit 10 neu gestartet wurde, zu verhindern.
  • Als ausschließliche Vorrichtung 30 und gemeinsame Vorrichtung 31 können nicht nur die genannten peripheren Vorrichtungen der Steuerungseinheit 10, sondern auch ein Cache-Speicher in der Steuerungseinheit 10 enthalten sein. Außerdem können eine virtuelle ausschließliche Vorrichtung 32 oder eine virtuelle gemeinsame Vorrichtung 33, in der das OS 11 virtuell abläuft, enthalten sein. Die virtuelle ausschließliche Vorrichtung 32 und die virtuelle gemeinsame Vorrichtung 33 werden verwendet, um auf periphere Vorrichtungen in einer virtuellen Umgebung zuzugreifen. Außerdem können die oben beschriebenen Vorrichtungen, die von der Steuerungseinheit 10 gesteuert werden, Zielvorrichtungen sein.
  • Außerdem ist in der Ausführungsform ein Defekt oder ein Problem beschrieben, das während des Betriebs der Fahrzeugvorrichtung 1 auftritt. Die in den 2 bis 4 gezeigten Prozesse können jedoch auch durchgeführt werden, wenn ein Betrieb zum Beseitigen des Defektes durch einen Nutzer über die Betriebseingabeschaltung 20 angewiesen wird. Wenn in diesem Fall der Betrieb zum Neustarten einer Applikation angewiesen wird, aber der Defekt durch das Neustarten der Applikation nicht beseitigt werden kann, kann der Defekt in einem oberen Layer bzw. darüber liegenden Layer beseitigt werden.
  • Auch, wenn die vorliegende Erfindung anhand der Ausführungsformen beschrieben wurde, ist es selbstverständlich, dass die vorliegende Erfindung nicht auf derartige Beispiele oder Strukturen beschränkt ist. Die vorliegende Erfindung beinhaltet verschiedene Modifikationen und Abweichungen innerhalb des Äquivalenzbereiches. Zusätzlich zu den verschiedenen Kombinationen und Formen sind weitere andere Kombinationen und Formen einschließlich nur einem einzigen Element oder mehr oder weniger als diese Elemente innerhalb des Bereiches der vorliegenden Erfindung möglich.
  • Die Steuerungsschaltung und das Verfahren, die hier beschrieben sind, können durch einen zugehörigen Computer, der mit einem Speicher und einem Prozessor ausgebildet ist, der programmiert ist, eine oder mehrere spezielle Funktionen auszuführen, die in Computerprogrammen des Speichers ausgeführt sind, implementiert werden. Alternativ können die hier beschriebene Steuerungsschaltung und das Verfahren dafür durch einen zugehörigen Computer realisiert werden, der als ein Prozessor mit einer oder mehreren zugehörigen Hardwarelogikschaltungen ausgebildet ist. Alternativ können die Steuerungsschaltung und das hier beschriebene Verfahren durch einen oder mehrere zugehörige Computer realisiert werden, die als eine Kombination aus einem Prozessor und einem Speicher, die programmiert sind, eine oder mehrere Funktionen durchzuführen, und einem Prozessor, der mit einer oder mehreren Hardwarelogikschaltungen ausgebildet ist, ausgebildet sind. Weiterhin kann das Computerprogramm auf einem computerlesbaren nichtflüchtigen dinglichen Aufzeichnungsmedium als Anweisungen, die von dem Computer durchzuführen sind, gespeichert sein.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • JP 2019102726 [0001]
    • JP 3343816 B [0004]

Claims (7)

  1. Fahrzeugvorrichtung, die aufweist: eine Steuerungseinheit (10), in der ein System eingebaut ist, wobei mehrere Betriebssysteme (11A, 11B) in dem System betrieben werden; und mehrere Überwachungseinheiten (21, 22, 23), die ausgelegt sind, einen Defekt in dem System zu überwachen, wobei jede der Überwachungseinheiten außerdem ausgelegt ist, eine Überwachung eines jeweiligen Layers aus mehreren Layern, in die das System unterteilt ist, durchzuführen; und einen Defekt in dem jeweiligen Layer zu beseitigen, wenn der Defekt auftritt.
  2. Fahrzeugvorrichtung nach Anspruch 1, wobei die Überwachungseinheiten eine erste Überwachungseinheit (21), die ausgelegt ist, eine Überwachung in einem ersten Layer außerhalb der Steuerungseinheit durchzuführen, wobei die Steuerungseinheit ein Überwachungsziel ist, eine zweite Überwachungseinheit (22), die ausgelegt ist, eine Überwachung in einem zweiten Layer in der Steuerungseinheit durchzuführen, in dem die Betriebssysteme ein Überwachungsziel sind, und eine dritte Überwachungseinheit (23) enthalten, die ausgelegt ist, eine Überwachung in einem dritten Layer auf den Betriebssystemen durchzuführen, in dem Applikationsprogramme ein Überwachungsziel sind, die erste Überwachungseinheit ausgelegt ist, einen Defekt durch Neustarten der gesamten Steuerungseinheit zu beseitigen, wenn der Defekt in der Steuerungseinheit auftritt, die zweite Überwachungseinheit ausgelegt ist, wenn ein Defekt in einem der Betriebssysteme auftritt, den Defekt durch Neustarten des einen Betriebssystems zu beseitigen, und die dritte Überwachungseinheit ausgelegt ist, wenn ein Defekt in einem der Applikationsprogramme auftritt, den Defekt durch Neustarten des einen Applikationsprogramms zu beseitigen.
  3. Fahrzeugvorrichtung nach Anspruch 2, wobei die Betriebssysteme ein erstes Betriebssystem (11A) und ein zweites Betriebssystem (11B) enthalten, das erste Betriebssystem stabiler als das zweite Betriebssystem ist, und die zweite Überwachungseinheit in dem ersten Betriebssystem angeordnet ist, um das zweite Betriebssystem zu überwachen.
  4. Fahrzeugvorrichtung nach Anspruch 2 oder 3, wobei die dritte Überwachungseinheit außerdem ausgelegt ist, die zweite Überwachungseinheit anzuweisen, den Defekt zu beseitigen, wenn der Defekt durch Neustarten des einen Applikationsprogramms nicht beseitigt werden kann, und die zweite Überwachungseinheit außerdem ausgelegt ist, die erste Überwachungseinheit anzuweisen, den Defekt zu beseitigen, wenn der Defekt durch Neustarten des einen Betriebssystems nicht beseitigt werden kann.
  5. Fahrzeugvorrichtung nach einem der Ansprüche 1 bis 4, wobei jede der Überwachungseinheiten außerdem eine Vorrichtung aufweist, die in dem jeweiligen Layer aus den Layern verwendet wird, der in einem Initialisierungsziel enthalten ist, wenn ein Defekt in dem Layer beseitigt ist.
  6. Fahrzeugvorrichtung nach Anspruch 5, wobei die Überwachungseinheit außerdem ausgelegt sind, eine Initialisierungssequenz, die nach dem Beseitigen des Defektes durchgeführt wird, zwischen einer ausschließlichen Vorrichtung, die ausschließlich durch eines der Betriebssysteme besessen wird, und einer gemeinsamen Vorrichtung, die von den Betriebssystemen geteilt wird, zu ändern.
  7. Fahrzeugvorrichtung nach einem der Ansprüche 1 bis 6, wobei die Überwachungseinheiten außerdem ausgelegt sind, einen Defekt auf der Grundlage einer Nutzereingabe zum Beseitigen des Defekts zu beseitigen.
DE112020002650.7T 2019-05-31 2020-05-08 Fahrzeugvorrichtung Pending DE112020002650T5 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2019102726A JP7243459B2 (ja) 2019-05-31 2019-05-31 車両用装置
JP2019-102726 2019-05-31
PCT/JP2020/018674 WO2020241203A1 (ja) 2019-05-31 2020-05-08 車両用装置

Publications (1)

Publication Number Publication Date
DE112020002650T5 true DE112020002650T5 (de) 2022-03-17

Family

ID=73554026

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112020002650.7T Pending DE112020002650T5 (de) 2019-05-31 2020-05-08 Fahrzeugvorrichtung

Country Status (5)

Country Link
US (1) US11884283B2 (de)
JP (1) JP7243459B2 (de)
CN (1) CN113939807A (de)
DE (1) DE112020002650T5 (de)
WO (1) WO2020241203A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117581212A (zh) * 2021-07-02 2024-02-20 株式会社电装 车载装置以及启动方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3343816B2 (ja) 2000-08-04 2002-11-11 松下電器産業株式会社 緊急通報システム端末機器および緊急通報システム
JP2019102726A (ja) 2017-12-06 2019-06-24 株式会社デンソー 半導体装置

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5652975A (en) * 1979-10-08 1981-05-12 Sony Corp Video signal reproducing device
JP2001075741A (ja) 1999-09-02 2001-03-23 Toshiba Corp ディスク制御システムおよびデータ保全方法
DE10137850B4 (de) 2000-08-04 2007-02-22 Matsushita Electric Industrial Co., Ltd., Kadoma Notfallinformationsendgerät und ein das Endgerät einschliessendes Notfallinformationssystem
JP4060322B2 (ja) 2005-03-28 2008-03-12 三菱電機株式会社 アプリケーション管理装置およびそのソフトウェアを格納した記憶媒体
JP2011022934A (ja) 2009-07-17 2011-02-03 Toyota Motor Corp 電子制御ユニット、異常検出方法
JP6044316B2 (ja) * 2012-12-12 2016-12-14 株式会社デンソー 車載電子制御装置
JP6036578B2 (ja) * 2013-03-08 2016-11-30 株式会社デンソー データ処理装置
US9535794B2 (en) 2013-07-26 2017-01-03 Globalfoundries Inc. Monitoring hierarchical container-based software systems
US10585755B2 (en) * 2016-11-29 2020-03-10 Ricoh Company, Ltd. Electronic apparatus and method for restarting a central processing unit (CPU) in response to detecting an abnormality
CN110419028B (zh) 2017-03-21 2023-06-30 三菱电机株式会社 控制装置和计算机可读的存储介质
KR102188738B1 (ko) * 2019-12-09 2020-12-08 현대오트론 주식회사 오토사 운영체제의 알람 오프셋 최적화 장치

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3343816B2 (ja) 2000-08-04 2002-11-11 松下電器産業株式会社 緊急通報システム端末機器および緊急通報システム
JP2019102726A (ja) 2017-12-06 2019-06-24 株式会社デンソー 半導体装置

Also Published As

Publication number Publication date
WO2020241203A1 (ja) 2020-12-03
JP2020197837A (ja) 2020-12-10
US11884283B2 (en) 2024-01-30
JP7243459B2 (ja) 2023-03-22
CN113939807A (zh) 2022-01-14
US20220080983A1 (en) 2022-03-17

Similar Documents

Publication Publication Date Title
DE102010004620A1 (de) Verfahren und System zum internen Fremdstarten einer Maschine
DE112016001377B4 (de) Fahrzeugbordsystem
DE102017203696A1 (de) Fahrzeugbildanzeigesystem
DE112017003885T5 (de) Bildanzeigesystem für ein Fahrzeug
DE112015004997T5 (de) Fahrzeugvorrichtung
DE102012111030A1 (de) Datenumschreibesystem für ein Fahrzeug, In-Fahrzeug-Vorrichtung undUmschreibevorrichtung
DE112010005557T5 (de) Fehlerprüfgerät und Fehlerprüfverfahren
DE102018113070A1 (de) Batteriesteuersysteme und verfahren für ein fahrzeug
DE112020002650T5 (de) Fahrzeugvorrichtung
DE102017125477A1 (de) Auf der fahrzeuggeschwindigkeit basierende fahrzeuganzeige
DE112020002799T5 (de) Fahrzeugsteuervorrichtung, fahrzeuganzeigesystem und fahrzeuganzeigesteuerverfahren
EP3341277A1 (de) Steuergerät für ein fahrrad
DE112015006860T5 (de) Applikationsausführungsvorrichtung und Applikationsausführungsverfahren
DE102021108398A1 (de) Batteriediagnosegerät, batteriediagnoseverfahren, nichtflüchtiges speichermedium und fahrzeug
DE112013005865T5 (de) Datenverarbeitungsvorrichtung
DE112012005693T5 (de) Informationsverarbeitungseinrichtung und Informationsverarbeitungsverfahren
DE102022110251A1 (de) Ota-master, center, system, verfahren, nicht-transitorisches speichermedium und fahrzeug
DE102015008751B4 (de) Numerische steuerung mit funktion zur automatischen rekonstruktion von einstellungen und funktion zum verhindern falscher einstellungen
EP2686769B1 (de) Anzeigevorrichtung mit schrittmotor und watchdogtimer
DE102016206490A1 (de) Elektronische steuereinheit
DE112020007129T5 (de) Informations-verarbeitungsvorrichtung und informations-verarbeitungsverfahren
DE112015001252T5 (de) Elektronische Steuereinheit
DE102020201757B4 (de) Verfahren, computerprogramm und vorrichtung zum zurücksetzen eines steuergeräts
DE102017219195A1 (de) Verfahren zum gewährleisten eines betriebs eines rechners
DE102018002216A1 (de) Vorrichtung zum Testen von Testobjekten

Legal Events

Date Code Title Description
R012 Request for examination validly filed