JP2020197837A - 車両用装置 - Google Patents

車両用装置 Download PDF

Info

Publication number
JP2020197837A
JP2020197837A JP2019102726A JP2019102726A JP2020197837A JP 2020197837 A JP2020197837 A JP 2020197837A JP 2019102726 A JP2019102726 A JP 2019102726A JP 2019102726 A JP2019102726 A JP 2019102726A JP 2020197837 A JP2020197837 A JP 2020197837A
Authority
JP
Japan
Prior art keywords
monitoring
vehicle device
monitoring unit
control unit
layer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019102726A
Other languages
English (en)
Other versions
JP7243459B2 (ja
JP2020197837A5 (ja
Inventor
哲男 栗田
Tetsuo Kurita
哲男 栗田
初穂 堺
Hatsuho Sakai
初穂 堺
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2019102726A priority Critical patent/JP7243459B2/ja
Priority to CN202080039605.5A priority patent/CN113939807A/zh
Priority to PCT/JP2020/018674 priority patent/WO2020241203A1/ja
Priority to DE112020002650.7T priority patent/DE112020002650T5/de
Publication of JP2020197837A publication Critical patent/JP2020197837A/ja
Publication of JP2020197837A5 publication Critical patent/JP2020197837A5/ja
Priority to US17/456,121 priority patent/US11884283B2/en
Application granted granted Critical
Publication of JP7243459B2 publication Critical patent/JP7243459B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/0098Details of control systems ensuring comfort, safety or stability not otherwise provided for
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/032Fixing failures by repairing failed parts, e.g. loosening a sticking valve
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • B60W50/045Monitoring control system parameters
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/08Interaction between the driver and the control system
    • B60W50/087Interaction between the driver and the control system where the control system corrects or modifies a request from the driver
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0816Indicating performance data, e.g. occurrence of a malfunction
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0841Registering performance data
    • G07C5/085Registering performance data using electronic data carriers
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0002Automatic control, details of type of controller or control system architecture
    • B60W2050/0004In digital systems, e.g. discrete-time systems involving sampling
    • B60W2050/0006Digital architecture hierarchy

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Debugging And Monitoring (AREA)
  • Retry When Errors Occur (AREA)

Abstract

【課題】複数の機能が動作する環境において不具合が生じた場合、正常に動作している機能への影響を抑制しつつ、不具合を解消することができる車両用装置を提供する。【解決手段】実施形態の車両用装置(1)は、複数のオペレーティングシステム(11A、11B)が動作するシステムが構築されている制御部(10)と、システムの不具合を監視する複数の監視部(21、22、23)と、を備え、複数の監視部は、システムを複数の階層に区分けした各階層に対してそれぞれ監視を行い、不具合が生じた場合、階層単位で不具合を解消する。【選択図】図1

Description

本発明は、車両用装置に関する。
従来、車両用装置は、不具合が生じた場合の復帰手段が設けられている。例えば、特許文献1には、メイン制御部とサブ制御部とを設け、不具合が生じた制御部を再起動することによって不具合を解消することが開示されている。
特許第3343816号
さて、近年では、例えば速度などの車両に関する情報を提示する機能部に加えて、例えばナビゲーション画面などのいわゆるマルチメディア系の情報を提供する機能部を備えた車両用装置がある。このような車両用装置では、複数の機能部を実現するために、複数のオペレーティングシステムが動作している。以下、オペレーティングシステムをOSと称する。
しかしながら、例えば複数のOSを動作させることで複数の機能を実現している場合、従来のように全体を再起動する構成では、1つの機能について不具合が生じた場合であっても車両用装置全体が再起動されてしまう。その結果、正常に動作している他の機能の動作を継続することができなくなる。これは、各OS上で動作するアプリケーションプログラムに不具合が生じた場合も同様である。
本発明の目的は、複数の機能が動作する環境において不具合が生じた場合、正常に動作している機能への影響を抑制しつつ、不具合を解消することができる車両用装置を提供することにある。
上記目的を達成するために、本発明では、車両用装置(1)は、複数のオペレーティングシステム(11A、11B)が動作するシステムが構築されている制御部(10)と、システムの不具合を監視する複数の監視部(21、22、23)と、を備え、複数の監視部は、システムを複数の階層に区分けした各階層に対してそれぞれ監視を行い、不具合が生じた場合、階層単位で不具合を解消する。
このような構成により、不具合を解消する対象となる範囲が各階層内に限定され、複数の機能が動作する環境において不具合が生じた場合、正常に動作している機能への影響を抑制しつつ、不具合を解消することができる。
実施形態による車両用装置の構成を模式的に示す図 第1監視部による監視処理の流れを示す図 第2監視部による監視処理の流れを示す図 第3監視部による監視処理の流れを示す図 車両用装置の他の構成を模式的に示す図
以下、実施形態について説明する。図1に示すように、車両用装置1は、例えばメータディスプレイ2やセンターディスプレイ3などの複数の表示器、ユーザが所有する携帯端末などの外部装置4、車両に搭載されている他のECU5、および車両用装置1電源を供給する第1電源回路6および第2電源回路7を制御する電源制御部8などに接続されている。
この車両用装置1は、後述するように車両に関する情報の提示とマルチメディア系の情報の提示とを行うことができるいわゆる車両インフォテイメント装置である。なお、図1に示す構成は一例であり、これに限定されない。例えば、車両には多数のECU5が設けられており、車両用装置1は、それら多数のECU5と各種の情報を通信可能に接続されている。
メータディスプレイ2は、例えば液晶ディスプレイや有機ELディスプレイで構成されており、運転者の正面付近に位置するメータパネルに設けられている。このメータディスプレイ2には、例えば速度、警告、法規により定められている情報、燃料の残量やシートベルト装着の有無など、主として車両の状態に関する情報や車両の走行あるいは安全に関する情報がフルグラフィックで示される。以下、これらの情報を便宜的に車両情報と称する。なお、メータパネルの例えば中央部分にメータディスプレイ2を設け、速度計や回転数計あるいは警告灯などはいわゆるアナログ式のものを設ける構成とすることもできる。
センターディスプレイ3は、例えば液晶ディスプレイや有機ELディスプレイで構成されており、いわゆるセンターコンソール付近に設けられている。このセンターディスプレイ3には、例えばナビゲーション画面やメニュー画面などが表示される。また、センターディスプレイ3は、テレビ放送や再生している楽曲の情報などを表示することもできる。
これらメータディスプレイ2やセンターディスプレイ3は、互いにシームレスに連係した表示が可能となっている。そのため、例えばナビゲーション画面をメータディスプレイ2に表示したり、速度をセンターディスプレイ3に表示したりすることができる。
つまり、車両用装置1は、車両情報を表示する機能とマルチメディア系の情報を表示する機能とを含む複数の機能部が統合され、各種の情報を運転者に対して視覚的あるいは聴覚的に提示可能な統合型の構成となっている。
この車両用装置1は、1つの制御部10によって制御されている。制御部10は、いわゆるマイクロコンピュータで構成されており、図示しない記憶部に記憶されているコンピュータプログラムをCPU12上で実行することにより、車両用装置1を制御している。そして、制御部10上には、複数のオペレーティングシステム11が動作可能なシステムが構築されている。以下、オペレーティングシステム11をOS11と称する。
本実施形態の場合、制御部10上ではOS11AとOS11Bの2つが動作しており、それぞれ処理を分担している。これらのOS11は、CPU12が備える複数のコアに割り当てられている。
具体的には、各OS11は、ハイパーバイザ13上で動作している。本実施形態の場合、ハイパーバイザ13は、OS11Aが備える機能として提供されている。なお、ハイパーバイザ13を専用に設け、そのハイパーバイザ13上でOS11AおよびOS11Bの双方を動作させる構成とすることもできる。これらOS11AとOS11Bとの間は、通信可能に接続されている。
OS11Aは、いわゆるリアルタイムOSであり、OS11Bに比べてリアルタイム性が要求される処理、例えば、車両の走行あるいは安全に関係する処理などを主に実行する機能部が設けられている。このようなリアルタイムOSは、一般的に、OS11A自体に不具合が起きにくく、また、アプリケーションプログラムの実行時間などを予測あるいは制限できる等、汎用OSに比べて相対的に安定性が高い設計となっている。以下、アプリケーションプログラムをアプリと称する。このOS11Aは、第1のオペレーティングシステムに相当する。
OS11Bは、いわゆる汎用OSであり、OS11Aに比べるとリアルタイム性能や安定性は相対的に低いことが多いものの、マルチメディア機能のような汎用的な処理を容易に実行できるというメリットがある。このOS11Bは、第2のオペレーティングシステムに相当する。
各OS11は、それぞれアプリを実行することにより、各種の機能部をソフトウェアで実現している。制御部10が備える機能部としては、例えばメータ表示アプリ14、ナビアプリ15、通信アプリ16などがある。なお、図1に示す機能部の数や種類あるいは機能部を実装するOS11は一例であり、これらに限定されない。
メータ表示アプリ14は、主としてメータディスプレイ2への表示を行う機能部として設けられている。このメータ表示アプリ14は、速度計のように車両の走行に必要な情報を表示するものであるとともに、例えば1/60秒程度の比較的短い周期で表示を更新する。そのため、メータ表示アプリ14は、OS11Aに設けられている。このメータ表示アプリ14が表示する画像は、例えばLVDS形式の描画データとしてメータディスプレイ2に送信される。
ナビアプリ15は、主としてセンターディスプレイ3への表示を行う機能部として設けられている。このナビアプリ15は、例えばナビゲーション画面の生成および表示や経路案内の音声出力などのマルチメディア系の処理を行っている。そのため、ナビアプリ15は、OS11Bに設けられている。このナビアプリ15が表示する画像は、例えばLVDS形式の描画データとしてセンターディスプレイ3に送信される。
通信アプリ16は、車両用装置1に接続されている外部装置4との間で通信を行う機能部として設けられている。通信アプリ16は、例えばUSB、Bluetooth(登録商標)、Wi−Fiなどの既知の通信方式を利用して外部装置4と通信を行う。外部装置4は、上記した携帯端末以外にも、タブレット、USBメモリ、あるいはインターネット上のサーバなどを対象とすることができる。
この車両用装置1は、第1電源回路6および第2電源回路7から電源供給が行われている。第1電源回路6は、制御部10やメータ表示回路17など、主として制御系の情報を処理あるいは表示するためのデバイスに電源を供給する。この第1電源回路6は、図示しないバッテリから電源供給を受けており、バッテリの電圧が比較的低くなっても制御部10等への電源供給が可能なように、低電圧対応の回路構成となっている。具体的には、第1電源回路6は、エンジン始動時のクランキング中にバッテリからの電圧が低下した場合であっても電源供給ができるように、電源供給が可能な最低動作電圧が、クランキング時に想定されるバッテリの電圧の最低値よりも低く設定されている。
第2電源回路7は、主としてセンター表示回路18や通信回路19など、マルチメディア系の情報を処理あるいは表示するためのデバイスに電源を供給する。この第2電源回路7もバッテリから電源供給を受けているものの、第1電源回路6とは異なり、低電圧対応の回路構成とはなっていない。具体的には、第2電源回路7は、電源供給が可能な最低動作電圧が第1電源回路6よりも高く設定されており、クランキング時にバッテリの電圧が低下した際には電源供給が停止されることがある。
電源制御部8は、制御部10とは異なるマイクロコンピュータにより構成されている。この電源制御部8は、ECU5から車両用装置1を始動すべき信号が入力されると、第1電源回路6および第2電源回路7からの電源供給を開始する。また、電源制御部8は、ECU5から車両用装置1を停止すべき信号が入力された場合、第1電源回路6および第2電源回路7からの電源供給を停止する。
なお、車両用装置1の始動や停止は、操作入力回路20を介して入力されるユーザの操作により行うこともできる。この操作入力回路20は、メータディスプレイ2やセンターディスプレイ3の画面に対応して設けられているタッチパネルや、図示しない操作スイッチなどにより操作部を構成している。
また、車両用装置1には、本実施形態に関連して、第1監視部21、第2監視部22および第3監視部23が設けられている。第1監視部21は、電源制御部8上で実行されるコンピュータプログラムによってソフトウェアで実現された機能部である。
第1監視部21は、後述するように、車両用装置1のシステムを複数の階層に区分けした構造における最上位の階層であって、制御部10を監視対象とする第1階層での監視を行っている。この第1監視部21は、矢印F1にて示すように制御部10を監視しており、制御部10に不具合が生じた場合、制御部10の全体を再起動することにより不具合を解消する。
第2監視部22は、後述するように、車両用装置1のシステムを複数の階層に区分けした構造における最上位から2番目となる階層であって、OS11を監視対象とする第2階層での監視を行っている。本実施形態の場合、第2監視部22は、OS11Aに設けられている。この第2監視部22は、矢印F2にて示すようにOS11Bを監視しており、OS11Bに不具合が生じた場合、OS11Bを再起動することにより不具合を解消する。
第3監視部23は、後述するように、車両用装置1のシステムを複数の階層に区分けした構造における最下位の階層であって、OS11内で動作するアプリを監視対象とする第2階層での監視を行っている。本実施形態では、第3監視部23は、各SO11にそれぞれ設けられている。
この第3監視部23は、矢印F3にて示すように各アプリを監視しており、アプリに不具合が生じた場合、アプリを再起動することにより不具合を解消する。このとき、第3監視部23は、基本的には、不具合が生じたアプリを再起動する一方、不具合が生じていないアプリは再起動しない。
つまり車両用装置1では、プログラムレベルでシステムを複数の階層に区分けしており、階層ごとに監視を行うとともに、階層の上位になるほど、監視する範囲つまりは不具合が起きたときに再起動する範囲が広くなっている。
次に、上記した構成の車両用装置1の作用について説明する。
車両用装置1は、複数のOS11が動作しており、そのうちOS11Aは、相対的に且つ一般的に安定性が高く不具合が生じにくいと考えられる。これは、OS11A側の処理は基本的に車両用装置1の内部に関するものであるため、十分な開発やデバッグが行われることにも起因する。
一方、OS11B側は、汎用的な処理を行うものであり、また、車両用装置1の外部から取得したデータを利用して動作することがある。そのため、OS11AとOS11Bとでは、品質レベルに差が生じることになる。換言すると、不具合が生じるリスクはOS11Bのほうが高いと考えられる。
そして、OS11B側に仮に不具合が生じたとしても、基本的には独立して動作しているOS11A側は、その不具合の影響を受けずに動作を継続できると考えられる。しかし、従来のような不具合が生じた際に制御部10の全体を再起動する構成では、ごく一部のアプリに不具合が生じたとしても全体が再起動されてしまう。換言すると、複数の機能の一部に不具合が生じた場合、不具合を解消すべき範囲の大小に関わらず全体が再起動されてしまうことから、不具合が生じていない例えばOS11Aの動作を継続させることもできなくなる。
そこで、車両用装置1は、以下のようにして、複数の機能が動作する環境において不具合が生じた場合、正常に動作している機能への影響を抑制しつつ、不具合を解消している。なお、以下の処理は各監視部によって行われるものの、説明の簡略化のために、車両用装置1を主体にして説明する。
車両用装置1は、図2から図4に示す処理を実行している。このうち、図2に示す処理は、第1監視部21によって実行されるCPU間での監視処理である。また、図3に示す処理は、第2監視部22によって実行されるOS11間での監視処理である。また、図4に示す処理は、第3監視部23によって実行されるOS11とアプリ間での監視処理である。以下、各処理を個別に説明する。
まず、第1階層における不具合の監視とその解消の態様について説明する。車両用装置1は、図2に示す処理を実行しており、ステップS1において、制御部10の監視を開始する。このとき、車両用装置1は、例えばロック監視、無限ループ、リセット監視、通信途絶監視、起動時間監視などを行っている。これらの監視内容は一般的なものであるため詳細な説明は省略するが、ロック監視では、プログラムが実行されない状態となる不具合が生じていないかを監視している。また、無限ループでは、プログラムがループする状態になる不具合が生じていないかを監視している。また、リセット監視では、制御部10がリセット状態となる不具合が生じていないかを監視している。また、通信途絶監視では、制御部10との間の通信が途絶する状態となる不具合が生じていないかを監視する。また、起動時間監視では、予め設定された時間内にモジュールが起動したかを監視する。
なお、これらの監視内容は、対象が異なるものの、後述する図3に示すOS11間での監視処理、および図4に示すOS11とアプリ間での監視処理にも共通する。ただし、監視内容は、上記した例に限定されず、他の内容を監視することができる。
監視を開始すると、車両用装置1は、ステップS2において、不具合を検知したかを判定する。車両用装置1は、不具合を検知していないと判定した場合には、ステップS2においてNOとなることから、ステップS1に移行して監視を継続する。一方、車両用装置1は、不具合を検知したと判定した場合には、ステップS2においてYESとなることから、ステップS3において、制御部10を再起動する。これにより、制御部10に生じた不具合、換言すると、車両用装置1のシステムの広範囲に影響を与える不具合が解消される。
その後、車両用装置1は、ステップS4において、再起動が完了したかを判定し、再起動が完了していないと判定した場合には、ステップS4においてNOとなるため、再起動が完了するのを待機する。一方、車両用装置1は、再起動が完了したと判定した場合には、ステップS4においてYESとなるため、ステップS1に移行して制御部10の監視を開始する。なお、この図2に示す処理は、車両用装置1の停止時に終了する。
このように、車両用装置1は、車両用装置1のシステム全体に影響がある不具合については、制御部10を再起動することにより解消している。
次に、第2階層における不具合の監視とその解消の態様について説明する。車両用装置1は、図3に示す処理を実行しており、ステップS11において、OS11Bの監視を開始する。このとき、車両用装置1は、上記したロック監視、無限ループ、リセット監視、通信途絶監視などを行っている。
監視を開始すると、車両用装置1は、ステップS12において、不具合を検知したかを判定する。車両用装置1は、不具合を検知していないと判定した場合には、ステップS12においてNOとなることから、ステップS11に移行して監視を継続する。一方、車両用装置1は、不具合を検知したと判定した場合には、ステップS12においてYESとなることから、ステップS13において、OS11Bを再起動する。
その後、車両用装置1は、ステップS14において、再起動後に不具合が解消されたかを判定する。なお、このステップS14は、OS11Bの再起動後に実行されることになる。車両用装置1は、再起動によりOS11Bの不具合が解消されたと判定した場合には、ステップS14においてYESとなることから、ステップS11に移行して監視を継続する。
これにより、OS11Bに影響を与える不具合が解消される。このとき、不具合が検知されていないOS11Aについては、基本的にその動作が継続されることになる。つまり、不具合が影響する範囲をOS11B単位に限定した状態で、不具合を解消することができる。
これに対して、車両用装置1は、不具合が解消されていないと判定した場合には、ステップS14においてNOとなるため、ステップS15において、再起動回数が所定のM回以上であるかを判定する。本実施形態ではM=2に設定しているが、Mは、1や3以上などの適宜の値に設定することができる。車両用装置1は、再起動回数がM回以上ではないと判定した場合には、ステップS15においてNOとなることから、ステップS13に移行して再起動を繰り返す。
一方、車両用装置1は、再起動を繰り返して実行し、再起動回数がM以上になったと判定した場合には、ステップS15においてYESとなることから、第1監視部21に通知する。このとき、車両用装置1は、第2階層では不具合を解消できなかったことを第1監視部21に通知する。なお、このステップS15では、不具合を通知する代わりに、制御部10を再起動する指示を直接的に通知する構成とすることもできる。
そして、通知を受けた第1監視部21は、図2に示したように不具合を検知したと判定することになり、不具合を解消するために制御部10を再起動する。これにより、OS11Bを再起動しても解消できなかった不具合、つまりは、第2階層では納まらなかった不具合が、第1階層を監視する第1監視部21によって解消される。
このように、車両用装置1は、OS11単位の再起動で解消できる不具合については第2階層内で解消する一方、第2階層では解消できない不具合が生じた場合には、より広い範囲で不具合を解消することが可能な上位の第1監視部21に通知することで不具合を解消する。
次に、第3階層における不具合の監視とその解消の態様について説明する。車両用装置1は、図4に示す処理を実行しており、ステップS21において、OS11上で動作するアプリの監視を開始する。このとき、車両用装置1は、上記したロック監視、無限ループ、リセット監視、通信途絶監視などを行っている。なお、この第3階層の監視は、OS11AとOS11Bの双方で行われる。
監視を開始すると、車両用装置1は、ステップS22において、不具合を検知したかを判定する。車両用装置1は、不具合を検知していないと判定した場合には、ステップS22においてNOとなることから、ステップS21に移行して監視を継続する。一方、車両用装置1は、不具合を検知したと判定した場合には、ステップS22においてYESとなることから、ステップS23において、不具合が検知されたアプリを再起動する。
その後、車両用装置1は、ステップS24において、再起動後に不具合が解消されたかを判定する。なお、このステップS24は、アプリの再起動後に実行されることになる。車両用装置1は、再起動によりアプリの不具合が解消されたと判定した場合には、ステップS24においてYESとなることから、ステップS21に移行して監視を継続する。
これにより、アプリに生じた不具合を、そのアプリ単体を再起動することによって解消することができる。このとき、不具合が検知されていないアプリについては、基本的にその動作が継続されることになる。つまり、不具合が影響する範囲をアプリ単位に限定した状態で、不具合を解消することができる。
これに対して、車両用装置1は、不具合が解消されていないと判定した場合には、ステップS24においてNOとなるため、ステップS25において、再起動回数が所定のN回以上であるかを判定する。本実施形態ではN=2に設定しているが、Nは、1や3以上などの適宜の値に設定することができる。車両用装置1は、再起動回数がN回以上ではないと判定した場合には、ステップS25においてNOとなることから、ステップS23に移行して再起動を繰り返す。
一方、車両用装置1は、再起動を繰り返して実行し、再起動回数がN以上になったと判定した場合には、ステップS25においてYESとなることから、第2監視部22に通知する。このとき、車両用装置1は、第3階層では不具合を解消できなかったことを第2監視部22に通知する。なお、このステップS25では、不具合を通知する代わりに、不具合が検知されたアプリが動作しているOS11Bを再起動する指示を直接的に通知する構成とすることもできる。
そして、通知を受けた第2監視部22は、図3に示したように不具合を検知したと判定することになり、不具合を解消するためにOS11を再起動する。このとき、第2階層でも不具合を解消できなかった場合には、さらに第1監視部21に通知が行われ、制御部10が再起動されることになる。
これにより、アプリを再起動しても解消できなかった不具合、つまりは、第3階層では納まらなかった不具合が、上位の第2階層を監視する第2監視部22によって、あるいは、さらに上位の第1階層を監視する第1監視部21によって解消される。
このように、車両用装置1は、アプリ単位の再起動で解消できる不具合については第3階層内で解消する一方、第3階層では解消できない不具合が生じた場合には、より広い範囲で不具合を解消することが可能な上位の第2監視部22あるいは第1監視部21に通知することで不具合を解消する。
このように、車両用装置1は、システムを複数の階層に区分けして各階層で監視を行うことにより、階層内で解消できる不具合については各階層の監視部で解消し、階層内で解消できない不具合については上位の階層の監視部で解消している。
以上説明した実施形態によれば、次のような効果を得ることができる。
車両用装置1は、複数のOS11AおよびOS11Bが動作するシステムが構築されている制御部10と、システムの不具合を監視する第1監視部21、第2監視部22および第3監視部23の複数の監視部と、を備え、複数の監視部は、システムを複数の階層に区分けした各階層に対してそれぞれ監視を行い、不具合が生じた場合、階層単位で不具合を解消する。
これにより、不具合を解消するために例えば再起動される範囲を、基本的に各階層内に限定することが可能になる。その結果、不具合が生じていない機能について動作を継続させることが可能になる。したがって、複数の機能が動作する環境において不具合が生じた場合、正常に動作している機能への影響を抑制しつつ、不具合を解消することができる。
また、車両用装置1では、複数の監視部は、制御部10の外部に設けられ、制御部10を監視対象とする第1階層において監視を行う第1監視部21と、制御部10上に設けられ、OS11を監視対象とする第2階層において監視を行う第2監視部22と、OS11上に設けられ、アプリを監視対象とする第3階層において監視を行う第3監視部23と、を備えている。
そして、第1監視部21は、制御部10に不具合が生じた場合、制御部10の全体を再起動することにより不具合を解消し、第2監視部22は、OS11に不具合が生じた場合、不具合が生じたOS11を再起動することにより不具合を解消し、第3監視部23は、アプリに不具合が生じた場合、不具合が生じたアプリを再起動することにより不具合を解消する。
これにより、車両用装置1は、自身のシステムをプログラムレベルで、換言すると、再起動がし易い単位で、階層に区分けすることが可能になる。したがって、階層単位での監視および再起動による不具合の解消を容易に実行することができる。
また、車両用装置1では、相対的に安定性が高いOS11Aと、OS11に比べると相対的に安定性が低いOS11Bとを含み、第2監視部22は、OS11Aに設けられて、OS11Bを監視する。これにより、不具合が生じるリスクが相対的に高いOS11Bを、安定性の高いOS11A側から監視することができ、不具合の検知とその解消とをより確実に行うことができるようになる。
また、車両用装置1では、第3監視部23は、アプリを再起動しても不具合を解消できない場合、第2監視部22に対して不具合の解消を指示し、第2監視部22は、OS11を再起動しても不具合を解消できない場合、第1監視部21に対して不具合の解消を指示する。
これにより、各階層内で解消できない不具合が生じた場合には、直近の上位となる階層において不具合の解消を試みることが可能になるとともに、直近の上位となる階層において不具合を解消できない場合には、さらに上位の階層つまりは制御部10全体を再起動することが可能になる。したがって、階層内で解消できない不具合であっても、最終的に解消することができる。
実施形態では第2監視部22をOS11Aに設ける構成を例示したが、OS11Bにも設け、互いのOS11を監視する構成とすることができる。あるいは、図5に示すように、第2監視部22をハイパーバイザ13上に設け、OS11AとOS11Bとを監視する構成とすることができる。この場合、3以上のOS11を実装する場合も同様に、OS11Aに第2監視部22を設けたり、各OS11にそれぞれ第2監視部22を設けたり、ハイパーバイザ13上に第2監視部22を設けて各OS11を監視する構成とすることができる。
実施形態ではプログラム側を再起動することで不具合を解消する例を示したが、車両用装置1は、複数のECU5など多数の装置に接続されているため、プログラム側を再起動したとしても、周辺回路等のデバイスやECU5などとの間で動作状態の不一致が発生する場合がある。そして、動作状態の不一致が発生した場合には、プログラム側を再起動しても正常に復帰できないおそれがある。換言すると、車両用装置1の場合には、プログラム側の再起動だけでなく、周辺回路等のデバイスやECU5などとの連携のために、デバイスを正常に復帰させる仕組みが必要になる。
そこで、車両用装置1では、複数の監視部は、各階層で不具合を解消する際、当該階層で利用されているデバイスを初期化の対象に含める。これにより、例えばセンター表示回路18の不具合に起因してナビアプリ15に不具合が生じたような場合において、ナビアプリ15を再起動しても不具合の根本的な原因が解消されないといった状況や、デバイスが中途半端に動作していることによってアプリとの連係や同期がとれずに再起動後に不具合がさらに生じるといった状況を回避することができる。これは、第1階層や第2階層の場合も同様である。
このとき、各監視部は、デバイスのうち、図5に示すように1つのOS11に占有される占有デバイス30と、複数のOS11で共有される共有デバイス31とで、不具合を解消した後の初期化シーケンスを変更する構成とすることができる。
例えば、占有デバイス30についてはOS11の再起動時に初期化処理を行う構成とし、共有デバイス31については、再起動させるOS11に対して一旦サービスを停止し、再起動するOS11にとっては通常の起動シーケンスにしたがって再度サービスを起動するようにする。これにより、再起動した側のOS11は、通常の通りデバイスを利用することができる。なお、サービスとしては、物理的なデバイスにアクセスするための仮想デバイスの提供や、その仮想デバイスの初期化などが考えられる。
この場合、対象となるデバイスとしては、車両用装置1が備えるメータ表示回路17,センター表示回路18、通信回路19、操作入力回路20、また、車両用装置1に接続されているメータディスプレイ2やセンターディスプレイ3などを対象とすることができる。すなわち、制御部10の制御対象となるデバイスを対象とすることができる。
例えば占有デバイス30がOS11Aによって占有されており、共有デバイス31がOS11AとOS11Bによって共有されているとする。そして、例えば第2階層においてOA11Bに不具合が生じて再起動する際、占有デバイス30は再起動せずに、共有デバイス31を再起動する構成とすることができる。
このような構成とすることにより、デバイスを不必要に初期化することが省略される。これにより、例えば第2階層においてOS11Bを再起動した際、正常に動作しているOS11Aがデバイスの初期化によって動作しなくなると言った不具合が生じるおそれを抑制することができる。
あるいは、第1階層において制御部10に不具合が生じて再起動する際には、占有デバイス30と共有デバイス31の双方を再起動する構成とすることができる。これにより、デバイスが中途半端に動作していることによって制御部10を再起動した後の動作に影響を与えることを防止できる。
なお、占有デバイス30や共有デバイス31としては、制御部10のいわゆる周辺デバイスに限らず、制御部10が内蔵するキャッシュメモリなども対象とすることができるし、仮想化環境において周辺デバイスにアクセスする際に利用する例えばOS11が仮想化された仮想占有デバイス32や仮想共有デバイス33なども対照することができる。また、上記した制御部10の制御対象となるデバイスを対象とすることもできる。
また、実施形態では、車両用装置1の動作中に生じた不具合を解消する例を示したが、例えば操作入力回路20を介して不具合を解消するための操作がユーザによって入力されたことに基づいて、例えば図2から図4に示す処理を実行する構成とすることができる。この場合、アプリの再起動する操作が入力されたとき、アプリの再起動では不具合を解消できない場合には、上位の階層で不具合の解消を試みる構成とすることができる。
本開示は、実施例に準拠して記述されたが、本開示は当該実施例や構造に限定されるものではないと理解される。本開示は、様々な変形例や均等範囲内の変形をも包含する。加えて、様々な組み合わせや形態、さらには、それらに一要素のみ、それ以上、あるいはそれ以下、を含む他の組み合わせや形態をも、本開示の範疇や思想範囲に含まれるものである。
本開示に記載の制御部及びその手法は、コンピュータプログラムにより具体化された一つ乃至は複数の機能を実行するようにプログラムされたプロセッサ及びメモリを構成することによって提供された専用コンピュータにより、実現されてもよい。あるいは、本開示に記載の制御部及びその手法は、一つ以上の専用ハードウェア論理回路によってプロセッサを構成することによって提供された専用コンピュータにより、実現されてもよい。もしくは、本開示に記載の制御部及びその手法は、一つ乃至は複数の機能を実行するようにプログラムされたプロセッサ及びメモリと一つ以上のハードウェア論理回路によって構成されたプロセッサとの組み合わせにより構成された一つ以上の専用コンピュータにより、実現されてもよい。また、コンピュータプログラムは、コンピュータにより実行されるインストラクションとして、コンピュータ読み取り可能な非遷移有形記録媒体に記憶されていてもよい。
図面中、1は車両用装置、2はメータディスプレイ(デバイス)、3はセンターディスプレイ(デバイス)、6は第1電源回路(デバイス)、7は第2電源回路(デバイス)、10は制御部、11、11A、11BはOS(オペレーティングシステム)、14はメータ表示アプリ(アプリケーションプログラム)、15はナビアプリ(アプリケーションプログラム)、16は通信アプリ(アプリケーションプログラム)、17はメータ表示回路(デバイス)、18はセンター表示回路(デバイス)、19は通信回路(デバイス)、20は操作入力回路(デバイス)、21は第1監視部、22は第2監視部、23は第3監視部、30は占有デバイス(デバイス)、31は共有デバイス(デバイス)、32は仮想占有デバイス(デバイス、占有デバイス)、33は仮想共有デバイス(デバイス、共有デバイス)を示す。

Claims (7)

  1. 複数のオペレーティングシステム(11A、11B)が動作するシステムが構築されている制御部(10)と、
    前記システムの不具合を監視する複数の監視部(21、22、23)と、を備え、
    複数の前記監視部は、前記システムを複数の階層に区分けした各階層に対してそれぞれ監視を行い、不具合が生じた場合、階層単位で不具合を解消する車両用装置。
  2. 複数の前記監視部は、前記制御部の外部に設けられ、前記制御部を監視対象とする第1階層において監視を行う第1監視部(21)と、前記制御部上に設けられ、オペレーティングシステムを監視対象とする第2階層において監視を行う第2監視部(22)と、前記オペレーティングシステム上に設けられ、アプリケーションプログラムを監視対象とする第3階層において監視を行う第3監視部(23)と、を備え、
    前記第1監視部は、前記制御部に不具合が生じた場合、前記制御部の全体を再起動することにより不具合を解消し、
    前記第2監視部は、オペレーティングシステムに不具合が生じた場合、不具合が生じたオペレーティングシステムを再起動することにより不具合を解消し、
    前記第3監視部は、アプリケーションプログラムに不具合が生じた場合、不具合が生じたアプリケーションプログラムを再起動することにより不具合を解消する請求項1記載の車両用装置。
  3. 複数のオペレーティングシステムは、相対的に安定性が高い第1のオペレーティングシステム(11A)と、前記第1のオペレーティングシステムに比べると相対的に安定性が低い第2のオペレーティングシステム(11B)と、を含み、
    前記第2監視部は、前記第1のオペレーティングシステムに設けられ、前記第2のオペレーティングシステムを監視する請求項2記載の車両用装置。
  4. 前記第3監視部は、アプリケーションプログラムを再起動しても不具合を解消できない場合、前記第2監視部に対して不具合の解消を指示し、
    前記第2監視部は、オペレーティングシステムを再起動しても不具合を解消できない場合、前記第1監視部に対して不具合の解消を指示する請求項2または3記載の車両用装置。
  5. 複数の前記監視部は、各階層で不具合を解消する際、当該階層で利用されているデバイスを初期化の対象に含める請求項1から4のいずれか一項記載の車両用装置。
  6. 複数の前記監視部は、前記デバイスのうち、1つのオペレーティングシステムに占有される占有デバイスと、複数のオペレーティングシステムで共有される共有デバイスとで、不具合を解消した後の初期化シーケンスを変更する請求項5記載の車両用装置。
  7. 複数の前記監視部は、不具合を解消するために入力された操作に基づいて、不具合を解消する請求項1から6のいずれか一項記載の車両用装置。
JP2019102726A 2019-05-31 2019-05-31 車両用装置 Active JP7243459B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2019102726A JP7243459B2 (ja) 2019-05-31 2019-05-31 車両用装置
CN202080039605.5A CN113939807A (zh) 2019-05-31 2020-05-08 车辆用装置
PCT/JP2020/018674 WO2020241203A1 (ja) 2019-05-31 2020-05-08 車両用装置
DE112020002650.7T DE112020002650T5 (de) 2019-05-31 2020-05-08 Fahrzeugvorrichtung
US17/456,121 US11884283B2 (en) 2019-05-31 2021-11-22 Vehicle device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019102726A JP7243459B2 (ja) 2019-05-31 2019-05-31 車両用装置

Publications (3)

Publication Number Publication Date
JP2020197837A true JP2020197837A (ja) 2020-12-10
JP2020197837A5 JP2020197837A5 (ja) 2021-09-02
JP7243459B2 JP7243459B2 (ja) 2023-03-22

Family

ID=73554026

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019102726A Active JP7243459B2 (ja) 2019-05-31 2019-05-31 車両用装置

Country Status (5)

Country Link
US (1) US11884283B2 (ja)
JP (1) JP7243459B2 (ja)
CN (1) CN113939807A (ja)
DE (1) DE112020002650T5 (ja)
WO (1) WO2020241203A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023277159A1 (ja) * 2021-07-02 2023-01-05 株式会社デンソー 車載装置、及び起動方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150033072A1 (en) * 2013-07-26 2015-01-29 International Business Machines Corporation Monitoring hierarchical container-based software systems
JP6242557B1 (ja) * 2017-03-21 2017-12-06 三菱電機株式会社 制御装置および制御プログラム

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5652975A (en) * 1979-10-08 1981-05-12 Sony Corp Video signal reproducing device
JP2001075741A (ja) 1999-09-02 2001-03-23 Toshiba Corp ディスク制御システムおよびデータ保全方法
JP3343816B2 (ja) 2000-08-04 2002-11-11 松下電器産業株式会社 緊急通報システム端末機器および緊急通報システム
DE10137850B4 (de) 2000-08-04 2007-02-22 Matsushita Electric Industrial Co., Ltd., Kadoma Notfallinformationsendgerät und ein das Endgerät einschliessendes Notfallinformationssystem
JP4060322B2 (ja) 2005-03-28 2008-03-12 三菱電機株式会社 アプリケーション管理装置およびそのソフトウェアを格納した記憶媒体
JP2011022934A (ja) 2009-07-17 2011-02-03 Toyota Motor Corp 電子制御ユニット、異常検出方法
JP6044316B2 (ja) * 2012-12-12 2016-12-14 株式会社デンソー 車載電子制御装置
JP6036578B2 (ja) * 2013-03-08 2016-11-30 株式会社デンソー データ処理装置
US10585755B2 (en) * 2016-11-29 2020-03-10 Ricoh Company, Ltd. Electronic apparatus and method for restarting a central processing unit (CPU) in response to detecting an abnormality
JP7073695B2 (ja) 2017-12-06 2022-05-24 株式会社デンソー 半導体装置
KR102188738B1 (ko) * 2019-12-09 2020-12-08 현대오트론 주식회사 오토사 운영체제의 알람 오프셋 최적화 장치

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150033072A1 (en) * 2013-07-26 2015-01-29 International Business Machines Corporation Monitoring hierarchical container-based software systems
JP6242557B1 (ja) * 2017-03-21 2017-12-06 三菱電機株式会社 制御装置および制御プログラム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023277159A1 (ja) * 2021-07-02 2023-01-05 株式会社デンソー 車載装置、及び起動方法

Also Published As

Publication number Publication date
DE112020002650T5 (de) 2022-03-17
US20220080983A1 (en) 2022-03-17
CN113939807A (zh) 2022-01-14
WO2020241203A1 (ja) 2020-12-03
JP7243459B2 (ja) 2023-03-22
US11884283B2 (en) 2024-01-30

Similar Documents

Publication Publication Date Title
US12034802B2 (en) Cluster system with fail-safe fallback mechanism
JP2008123439A (ja) オペレーティング・システム、プログラム及び移動体操縦支援装置
JP2006277062A (ja) アプリケーション管理装置およびそのソフトウェアを格納した記憶媒体
US11175991B2 (en) Vehicle control system having a hierarchical distributed architecture
WO2020241203A1 (ja) 車両用装置
JP2020201761A (ja) 車両用制御装置、車両用表示システム、及び車両用表示制御方法
US11853103B2 (en) Vehicular device
US11836056B2 (en) Vehicular apparatus
US20220073019A1 (en) Vehicle device
JP6073710B2 (ja) 情報処理装置、起動障害からの自動復旧方法、及び起動障害からの自動復旧プログラム
KR102449979B1 (ko) 차량 가상화 구조 기반의 시스템 제어 방법 및 장치
CN107291505A (zh) 一种存储***控制器升级的方法及装置
JP2013152627A (ja) 車載端末、及び、アプリケーション実行環境プログラム
US20230305879A1 (en) Controller for a user interface of a motor vehicle, and method for operating a controller for a user interface
JP2002049487A (ja) ブートドライブ切り替え方法
WO2020235173A1 (ja) 表示制御装置および表示制御方法
US20220042486A1 (en) Vehicular apparatus
KR102491361B1 (ko) 차량 가상화 구조 기반의 시스템 제어 방법 및 장치
JP7172874B2 (ja) 車両用装置
WO2022209458A1 (ja) 表示制御装置、表示制御方法
JP2021105922A (ja) 車両及びソフトウェア更新方法
CN115827033A (zh) 一种车载仪表主题更新方法、装置、设备及介质
JPH0954701A (ja) プログラム処理装置

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210721

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210721

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220823

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20221021

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230207

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230220

R151 Written notification of patent or utility model registration

Ref document number: 7243459

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151