JP5766360B2 - 車載通信システムおよび車載通信方法 - Google Patents
車載通信システムおよび車載通信方法 Download PDFInfo
- Publication number
- JP5766360B2 JP5766360B2 JP2014531463A JP2014531463A JP5766360B2 JP 5766360 B2 JP5766360 B2 JP 5766360B2 JP 2014531463 A JP2014531463 A JP 2014531463A JP 2014531463 A JP2014531463 A JP 2014531463A JP 5766360 B2 JP5766360 B2 JP 5766360B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- control
- input
- output
- transmission
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims description 218
- 238000000034 method Methods 0.000 title claims description 66
- 230000015654 memory Effects 0.000 claims description 195
- 230000005540 biological transmission Effects 0.000 claims description 165
- 238000012790 confirmation Methods 0.000 claims description 70
- 230000006870 function Effects 0.000 claims description 63
- 230000008569 process Effects 0.000 claims description 46
- 230000005856 abnormality Effects 0.000 description 20
- 238000010586 diagram Methods 0.000 description 19
- 230000002159 abnormal effect Effects 0.000 description 2
- 239000013078 crystal Substances 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000005286 illumination Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000004575 stone Substances 0.000 description 1
Images
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
- B60R16/023—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/38—Information transfer, e.g. on bus
- G06F13/42—Bus transfer protocol, e.g. handshake; Synchronisation
- G06F13/4204—Bus transfer protocol, e.g. handshake; Synchronisation on a parallel bus
- G06F13/4221—Bus transfer protocol, e.g. handshake; Synchronisation on a parallel bus being an input/output bus, e.g. ISA bus, EISA bus, PCI bus, SCSI bus
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Signal Processing (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Mechanical Engineering (AREA)
- Small-Scale Networks (AREA)
- Selective Calling Equipment (AREA)
Description
このような車載システムには、制御対象のI/Oデバイスの増加に伴って、BCMに接続する信号線の量が増加する、という課題がある。
前記入力用伝送装置は、
入力元のデバイスとして前記車両に搭載されるデバイスから出力されるデータを第一のデバイスデータとして入力する第一のデバイスデータ入力部と、
前記入力元のデバイスから出力される前記データを第二のデバイスデータとして入力する第二のデバイスデータ入力部と、
前記第一のデバイスデータ入力部が入力した前記第一のデバイスデータと通信結果を判定するための第一の入力用安全通信データとを含む第一の入力用伝送データを生成すると共に、前記第二のデバイスデータ入力部が入力した前記第二のデバイスデータと通信結果を判定するための第二の入力用安全通信データとを含む第二の入力用伝送データを生成し、前記第一の入力用伝送データと前記第二の入力用伝送データとを前記制御装置へ送信する入力用送信部とを備える。
前記制御装置は、
前記入力用伝送装置から送信される前記第一の入力用伝送データと前記第二の入力用伝送データとを受信する制御用受信部と、
前記制御用受信部によって受信された前記第一の入力用伝送データに含まれる前記第一の入力用安全通信データに基づいて、前記第一の入力用伝送データに含まれる前記第一のデバイスデータの通信が正常に行われたか否かを判定する第一の制御用判定部と、
前記第一のデバイスデータの通信が正常に行われたと判定された場合、前記第一のデバイスデータに基づいた制御を指定する第一の制御データを生成し、前記第一のデバイスデータの通信が正常に行われなかったと判定された場合、予め定められるフェールセーフ用の制御を指定する第一の制御データを生成する第一の制御用演算部と、
前記制御用受信部によって受信された前記第二の入力用伝送データに含まれる前記第二の入力用安全通信データに基づいて、前記第二の入力用伝送データに含まれる前記第二のデバイスデータの通信が正常に行われたか否かを判定する第二の制御用判定部と、
前記第二のデバイスデータの通信が正常に行われたと判定された場合、前記第二のデバイスデータに基づいた制御を指定する第二の制御データを生成し、前記第二のデバイスデータの通信が正常に行われなかったと判定された場合、前記フェールセーフ用の制御を指定する第二の制御データを生成する第二の制御用演算部と、
前記第一の制御用演算部によって生成された前記第一の制御データを含む第一の制御用伝送データを生成すると共に、前記第二の制御用演算部によって生成された前記第二の制御データを含む第二の制御用伝送データを生成し、前記第一の制御用伝送データと前記第二の制御用伝送データとを前記出力用伝送装置へ送信する制御用送信部とを備える。
前記出力用伝送装置は、
前記制御装置から送信される前記第一の制御用伝送データと前記第二の制御用伝送データとを受信する出力用受信部と、
前記出力用受信部によって受信された前記第一の制御用伝送データに含まれる前記第一の制御データと前記出力用受信部によって受信された前記第二の制御用伝送データに含まれる前記第二の制御データとに基づいて、前記車両に搭載される制御対象のデバイスを制御するためのデバイス制御データを出力するデバイス制御データ出力部とを備える。
自動車のデバイスを制御するための制御装置の信号線の量を抑えると共に自動車の安全性を確保する形態について説明する。
実施の形態1における車載通信システム100の構成について、図1に基づいて説明する。
DHMは「Device Hub Module」の略であり、BCMは「Body Control Module」の略である。
CANは「Controller Area Network」の略である。
但し、CANをその他の規格のネットワークに置き換えても構わない。
スイッチ102、ボタンおよびセンサは入力用DHM110に接続されるデバイスの一例であり、アクチュエータ103、ライトおよびモータは出力用DHM130に接続されるデバイスの一例である。
以下、入力用DHM110に接続される各デバイスを「入力デバイス」という。また、出力用DHM130に接続される各デバイスを「出力デバイス」という。
また、入力用DHM110は、多重伝送の対象となる入力デバイスから出力されるデバイスデータを多重化して伝送する多重伝送装置である。
図1において、スイッチ102は多重伝送の対象となる入力デバイスの一例である。
以下、二重化された入力制御ブロックを「第一の入力制御ブロック111(第一のデバイスデータ入力部の一例)」「第二の入力制御ブロック112(第二のデバイスデータ入力部の一例)」と呼ぶ。また、二重化された入力用共有メモリを「第一の入力用共有メモリ113(第一の入力用メモリの一例)」「第二の入力用共有メモリ114(第二の入力用メモリの一例)」と呼ぶ。
また、BCM120は、入力用DHM110から多重伝送される各デバイスデータに基づいて制御データを多重伝送する制御装置である。
以下、二重化した受信用の共有メモリを「第一のBCM共有メモリ122r(第一の受信用メモリの一例)」「第二のBCM共有メモリ123r(第二の受信用メモリの一例)」と呼ぶ。二重化した送信用の共有メモリを「第三のBCM共有メモリ122s(第一の送信用メモリの一例)」「第四のBCM共有メモリ123s(第二の送信用メモリの一例)」と呼ぶ。二重化した確認用の共有メモリを「第五のBCM共有メモリ122c(第一の確認用メモリの一例)」「第六のBCM共有メモリ123c(第二の確認用メモリの一例)」と呼ぶ。また、二重化した演算ブロックを「第一の演算ブロック124(第一の制御用判定部、第一の制御用演算部、第一の確認用判定部の一例)」「第二の演算ブロック125(第二の制御用判定部、第二の制御用演算部、第二の確認用判定部の一例)」と呼ぶ。
BCM120の各構成の機能および動作については後述する。
また、出力用DHM130は、BCM120から多重伝送される各制御データを受信し、受信した各制御データに基づいて制御対象の出力デバイスを制御する多重伝送装置である。
図1において、アクチュエータ103は多重伝送された各制御データに基づいて制御される制御対象の出力デバイスの一例である。
以下、二重化した出力用共有メモリを「第一の出力用共有メモリ132(第一の出力用メモリの一例)」「第二の出力用共有メモリ133(第二の出力用メモリの一例)」と呼ぶ。また、二重化した出力制御ブロックを「第一の出力制御ブロック134(第一の出力用判定部、第一の出力用演算部の一例)」「第二の出力制御ブロック135(第二の出力用判定部、第二の出力用演算部の一例)」と呼ぶ。
出力用DHM130の各構成の機能および動作については後述する。
確認用DHM140の各構成の機能および動作については後述する。
計器類を含んだインストルメントパネル、またはカーナビゲーションシステムはエラー表示器109の一例である。
入力用DHM110、BCM120および出力用DHM130の「〜ブロック」として説明するものは「〜回路」「〜装置」「〜機器」であってもよく、また「〜部」「〜処理」「〜ステップ」であってもよい。
つまり、入力用DHM110、BCM120および出力用DHM130は、ハードウェア、ソフトウェア(プログラム)、ファームウェアまたはこれらの組み合わせのいずれで実装されても構わない。
実施の形態1における車載通信システム100の車載通信方法について、図2から図7に基づいて説明する。
例えば、2つの接点を有するプッシュ・スイッチ(図1のスイッチ102)が入力デバイスとして機能する。スイッチ102が押されている間、スイッチ102はLowの信号値をデバイスデータとして出力する。また、スイッチ102が押されていないとき、スイッチ102はHighの信号値をデバイスデータとして出力する。
また、デバイスデータは入力用DHM110によってプルアップ処理される。つまり、スイッチ102と入力用DHM110とを接続する信号線が断線している場合、プルアップ処理によって、入力用DHM110にはHighの信号値を示すデバイスデータが入力される。
S101の後、処理はS111およびS121に進む。
以下、S111からS116およびS121からS126は、入力用DHM110の構成によって実行される。
一定周期とは、システム全体のリアルタイム性を損なわないレベルの周期である。運転者の操作を伴う場合、運転者によって入力デバイスの操作が行われてから出力デバイスが制御されるまで、100ミリ秒程度の遅延が許容される。したがって、10ミリ秒程度の周期であれば、一定周期として十分なレベルである。以下で述べる一定周期についても同様である。
S111の後、処理はS112に進む。
安全通信データとは、通信障害の有無を検査するためのデータである。通信データの順番を示すシーケンス番号、またはCRCコード(CRC:Cyclic Redundancy Check)などの誤り検出符号は、安全通信データの一例である。
以下、安全通信データに基づいて通信障害の有無を検査する機能を「安全通信機能」という。AUTOSARの“End−to−End Communication Protection”は、安全通信機能に関する規格の一例である。以下で述べる安全通信データおよび安全通信機能についても同様である。
S112の後、処理はS113に進む。
S113の後、処理はS114に進む。
S115において、入力用NW制御ブロック115は、S114で読み出したデバイスデータと安全通信データとを含めて、CAN101用のフレームを生成する。フレームは、ネットワークを介して通信するために所定のフォーマットで生成されるデータである(以下同様)。以下、S115で生成したフレームを「第一のデータ用フレーム」という。
S116において、入力用NW制御ブロック115は、S115で生成した第一のデータ用フレームをCAN101を介してBCM120へ送信する。
S116の後、処理はS211(図3参照)に進む。
つまり、第二の入力制御ブロック112はデバイスデータを入力し(S121)、安全通信データを生成し(S122)、デバイスデータと安全通信データとを第二の入力用共有メモリ114に書き込む(S123)。
また、入力用NW制御ブロック115は第二の入力用共有メモリ114からデバイスデータと安全通信データとを読み出し(S124)、デバイスデータと安全通信データとを含む第二のデータ用フレームを生成し(S125)、第二のデータ用フレームをBCM120へ送信する(S126)。S126の後、処理はS221に進む。
図3において、S211からS215およびS221からS225は、BCM120の構成によって実行される。
S211の後、処理はS212に進む。
例えば、第一・第二の各データ用フレームは第一のデータ用フレームと第二のデータ用フレームとを識別する識別子(IPアドレス、識別番号など)を含み、BCM_NW制御ブロック121はこの識別子に基づいて第一のデータ用フレームと第二のデータ用フレームとを区別する。
S212の後、処理はS213に進む。
S213の後、処理はS214に進む。
例えば、第一の演算ブロック124は、第一のデータ用フレームに含まれる安全通信データが示すシーケンス番号またはCRCコードをチェックする。そして、安全通信データが正しい値でない場合、第一の演算ブロック124は通信異常が発生したと判定する。以降で述べる安全通信機能についても同様である。
通信異常が発生したと判定した場合(YES)、処理はS215に進む。
通信異常が発生しなかったと判定した場合(NO)、処理はS231(図4参照)に進む。
例えば、エラー表示器109として機能するインストルメントパネルまたはカーナビゲーションシステムは、エラー通知データが入力された際に以下のように動作する。
インストルメントパネルは、エラー表示用のランプを点滅させる。
カーナビゲーションシステムは、エラーメッセージをディスプレイに表示し、または、エラーメッセージを音声出力する。
S215の後、処理はS231(図4参照)に進む。
つまり、BCM_NW制御ブロック121は第二のデータ用フレームを受信し(S221)、第二のデータ用フレームを第二のBCM共有メモリ123rに書き込む(S222)。
また、第二の演算ブロック125は第二のBCM共有メモリ123rから第二のデータ用フレームを読み出し(S223)、通信異常の発生の有無を判定する(S224)。通信異常が発生したと判定した場合、第二の演算ブロック125はエラー表示器109にエラーを通知する(S225)。
S224で通信異常が発生しなかったと判定された場合又はS225の後、処理はS241に進む。
図4において、S231からS236およびS241からS246は、BCM120の構成によって実行される。
フェールセーフ用の制御とは、障害が発生したときに安全な動作を行わせる制御である。フェールセーフ用の制御は、出力デバイス毎に予め定めておく。例えば、第一の演算ブロック124は、出力デバイスを停止するためにLowの信号値を示す制御データを生成する。以降で述べるフェールセーフ用の制御についても同様である。
S214で通信異常が発生しなかったと判定した場合、第一の演算ブロック124は、第一のデータ用フレームに含まれるデバイスデータに基づいて、デバイスデータの値に応じた制御(以下、「通常制御」という)を指定する制御データを生成する。
例えば、第一の演算ブロック124は、スイッチ102(入力デバイスの一例)の操作に応じてアクチュエータ103(出力デバイスの一例)を動作させるため、デバイスデータの値を制御データとして用いる。また例えば、第一の演算ブロック124は、モータをON/OFFするためのデータ、または車内の照明の明るさを調整するためのPWM(Pulse Width Modulation)のデータを制御データとして生成する。以降で述べるデバイスデータの値に応じた制御についても同様である。
S231の後、処理はS232に進む。
S233において、第一の演算ブロック124は、S231で生成した制御データとS232で生成した安全通信データとを第三のBCM共有メモリ122sに書き込む。
S233の後、処理はS234に進む。
S235において、BCM_NW制御ブロック121は、S234で読み出した制御データと安全通信データとを含めて、CAN101用のフレームを生成する。以下、S235で生成したフレームを「第一の制御用フレーム」という。
S236において、BCM_NW制御ブロック121は、S235で生成した第一の制御用フレームをCAN101を介して出力用DHM130へ送信する。
S236の後、処理はS311(図5参照)に進む。
つまり、第二の演算ブロック125はS224の判定結果または第二のデータ用フレームに含まれるデバイスデータに基づいて制御データを生成し(S241)、安全通信データを生成し(S242)、制御データと安全通信データとを第四のBCM共有メモリ123sに書き込む(S243)。
また、BCM_NW制御ブロック121は第四のBCM共有メモリ123sから制御データと安全通信データとを読み出し(S244)、制御データと安全通信データとを含む第二の制御用フレームを生成し(S245)、第二の制御用フレームをBCM120へ送信する(S246)。S246の後、処理はS321(図5参照)に進む。
図5において、S311からS315、S321からS325およびS330は、出力用DHM130の構成によって実行される。
S312において、出力用NW制御ブロック131は、S311で受信した第一の制御用フレームを第一の出力用共有メモリ132に書き込む。
例えば、第一・第二の各制御用フレームは第一の制御用フレームと第二の制御用フレームとを識別する識別子を含み、出力用NW制御ブロック131はこの識別子に基づいて第一の制御用フレームと第二の制御用フレームとを区別する。
S312の後、処理はS313に進む。
S313の後、処理はS314に進む。
S314の後、処理はS315に進む。
S314で通信異常が発生しなかったと判定した場合、第一の出力制御ブロック134は、第一の制御用フレームに含まれる制御データを突合せ回路136に入力する。
以下、S315で突合せ回路136に出力する制御データを「第一の制御出力データ」という。
S315の後、処理はS330に進む。
つまり、出力用NW制御ブロック131は第二の制御用フレームを受信し(S321)、第二の制御用フレームを第二の出力用共有メモリ133に書き込む(S322)。
また、第二の出力制御ブロック135は第二の出力用共有メモリ133から第二の制御用フレームを読み出し(S323)、通信異常の発生の有無を判定し(S324)、判定結果または第二の制御用フレームに含まれる制御データに基づいて第二の制御出力データを突合せ回路136に入力する(S325)。S325の後、処理はS330に進む。
例えば、突合せ回路136は、以下のようなデバイス制御データを出力デバイスに入力する。
第一の制御出力データと第二の制御出力データとの両方が同じ値を示す場合、突合せ回路136は、その値をデバイス制御データとして出力デバイスに入力する。
第一の制御出力データと第二の制御出力データとが互いに異なる値を示す場合、突合せ回路136は、フェールセーフ用の制御を示すデバイス制御データを出力デバイスに入力する。
これにより、二重化された通信の少なくとも一方の系で異常が発生した場合、突合せ回路136はフェールセーフ用の動作を出力デバイスに行わせることができる。
例えば、突合せ回路136は、単純なNOR回路で構成することができる。
S330の後、処理はS340に進む。
例えば、デバイス制御データが動作の実行を指示する値である場合、出力デバイスとして機能するアクチュエータ103は動作を実行する。つまり、モータなどの所定のデバイスをアクチュエータ103が動作させる。
また、デバイス制御データが動作の停止を指示する値である場合、出力デバイスとして機能するアクチュエータ103は動作を停止する。つまり、モータなどの所定のデバイスをアクチュエータ103が停止させる。
S340の後、処理はS411(図6参照)に進む。
図6において、S411からS416は、確認用DHM140の構成によって実行される。
また、確認用入力制御ブロック141は、S340でデバイス制御データに従って動作するアクチュエータ103に対してアクチュエータ103の動作状態を示すデバイス状態データを要求し、アクチュエータ103からデバイス状態データを入力する。
但し、確認用入力制御ブロック141は、デバイス制御データとデバイス状態データとのいずれか一方を入力してもよい。
以下、S411で入力したデバイス制御データおよびデバイス状態データを「フィードバックデータ」という。
S411の後、処理はS412に進む。
S413において、確認用入力制御ブロック141は、S411で入力したフィードバックデータとS412で生成した安全通信データとを確認用共有メモリ142に書き込む。
S413の後、処理はS414に進む。
S415において、確認用NW制御ブロック143は、S414で読み出したフィードバックデータと安全通信データとを含めて、CAN101用のフレームを生成する。以下、S415で生成したフレームを「確認用フレーム」という。
S416において、確認用NW制御ブロック143は、S415で生成した確認用フレームをCAN101を介してBCM120へ送信する。例えば、確認用NW制御ブロック143は、確認用フレームをBCM120の第五のBCM共有メモリ122cおよび第六のBCM共有メモリ123cに記憶させるため、確認用フレームをマルチキャストで送信する。但し、確認用NW制御ブロック143は、第五のBCM共有メモリ122cに記憶させる第一の確認用フレームと第六のBCM共有メモリ123cに記憶させる第二の確認用フレームとをユニキャストで送信しても構わない。
S416の後、処理はS511(図7参照)に進む。
図7において、S511からS533は、BCM120の構成によって実行される。
S512において、BCM_NW制御ブロック121は、S511で受信した確認用フレームを第五のBCM共有メモリ122cと第六のBCM共有メモリ123cとに書き込む。
S512の後、処理はS521およびS531に進む。
S521の後、処理はS522に進む。
例えば、デバイス制御データ(フィードバックデータの一例)と制御データとが同じであり、且つ、デバイス状態データ(フィードバックデータの一例)が示す動作と制御データに対応する動作とが同じである場合、第一の演算ブロック124は、出力デバイスが正しく制御されていると判定する。それ以外の場合、第一の演算ブロック124は、出力デバイスが正しく制御されていないと判定する。
出力デバイスが正しく制御されていると判定した場合(YES)、車載通信方法の一連の処理が終了する。
出力デバイスが正しく制御されていないと判定した場合(NO)、処理はS523に進む。
エラー表示器109の動作は、S215(図3参照)と同様である。
S523により、車載通信方法の一連の処理が終了する。
つまり、車載通信システム100は、原理的に回避不可能な突合せ回路136または出力デバイスの障害を除いて、いずれの構成要素で障害が発生しても出力デバイスをフェールセーフ制御することができる。
また、入力用DHM110、BCM120または出力用DHM130の各NW制御ブロックを多重化しても構わない。
さらに、確認用DHM140の各構成を多重化しても構わない。但し、確認用DHM140は出力デバイスが制御された後に出力デバイスが正しく制御されているか否かを確認するための構成であるため、確認用DHM140の各構成を二重化しなくても安全性に影響はないものと考えられる。
図8に示すDHM150は、入力用DHM110、出力用DHM130および確認用DHM140を一つにまとめた装置である。但し、第一の入力制御ブロック111および第一の入力用共有メモリ113は、確認用入力制御ブロック141および確認用共有メモリ142の機能も備える。
車載通信システム100は、図8に示すように、入力用DHM110、出力用DHM130および確認用DHM140を一つのDHM150で構成しても構わない。
また、入力用DHM110、BCM120、出力用DHM130および確認用DHM140のいずれかの組み合わせを一つの装置で構成しても構わない。
車載通信システム100は、入力用伝送装置(入力用DHM110)と制御装置(BCM120)と出力用伝送装置(出力用DHM130)とを備える。
前記入力用伝送装置は、第一のデバイスデータ入力部(第一の入力制御ブロック111)と、第二のデバイスデータ入力部(第二の入力制御ブロック112)と、入力用送信部(入力用NW制御ブロック115)とを備える。
第一のデバイスデータ入力部は、入力元のデバイスとして前記車両に搭載されるデバイス(入力デバイス)から出力されるデータを第一のデバイスデータとして入力する。
第二のデバイスデータ入力部は、前記入力元のデバイスから出力される前記データを第二のデバイスデータとして入力する。
入力用送信部は、前記第一のデバイスデータ入力部が入力した前記第一のデバイスデータと通信結果を判定するための第一の入力用安全通信データとを含む第一の入力用伝送データ(第一のデータ用フレーム)を生成する。入力用送信部は、前記第二のデバイスデータ入力部が入力した前記第二のデバイスデータと通信結果を判定するための第二の入力用安全通信データとを含む第二の入力用伝送データ(第二のデータ用フレーム)を生成する。入力用送信部は、前記第一の入力用伝送データと前記第二の入力用伝送データとを前記制御装置へ送信する。
前記制御装置は、制御用受信部(BCM_NW制御ブロック121)と、第一の制御用判定部(第一の演算ブロック124)と、第一の制御用演算部(第一の演算ブロック124)と、第二の制御用判定部(第二の演算ブロック125)と、第二の制御用演算部(第二の演算ブロック125)と、制御用送信部(BCM_NW制御ブロック121)とを備える。
制御用受信部は、前記入力用伝送装置から送信される前記第一の入力用伝送データと前記第二の入力用伝送データとを受信する。
第一の制御用判定部は、前記制御用受信部によって受信された前記第一の入力用伝送データに含まれる前記第一の入力用安全通信データに基づいて、前記第一の入力用伝送データに含まれる前記第一のデバイスデータの通信が正常に行われたか否かを判定する。
前記第一のデバイスデータの通信が正常に行われたと判定された場合、第一の制御用演算部は、前記第一のデバイスデータに基づいた制御を指定する第一の制御データを生成する。前記第一のデバイスデータの通信が正常に行われなかったと判定された場合、第一の制御用演算部は、予め定められるフェールセーフ用の制御を指定する第一の制御データを生成する。
第二の制御用判定部は、前記制御用受信部によって受信された前記第二の入力用伝送データに含まれる前記第二の入力用安全通信データに基づいて、前記第二の入力用伝送データに含まれる前記第二のデバイスデータの通信が正常に行われたか否かを判定する。
前記第二のデバイスデータの通信が正常に行われたと判定された場合、第二の制御用演算部は、前記第二のデバイスデータに基づいた制御を指定する第二の制御データを生成する。前記第二のデバイスデータの通信が正常に行われなかったと判定された場合、第二の制御用演算部は、前記フェールセーフ用の制御を指定する第二の制御データを生成する。
制御用送信部は、前記第一の制御用演算部によって生成された前記第一の制御データを含む第一の制御用伝送データ(第一の制御用フレーム)を生成する。制御用送信部は、前記第二の制御用演算部によって生成された前記第二の制御データを含む第二の制御用伝送データ(第二の制御用フレーム)を生成する。制御用送信部は、前記第一の制御用伝送データと前記第二の制御用伝送データとを前記出力用伝送装置へ送信する。
前記出力用伝送装置は、出力用受信部(出力用NW制御ブロック131)と、デバイス制御データ出力部(符号「132」から「136」)とを備える。
出力用受信部は、前記制御装置から送信される前記第一の制御用伝送データと前記第二の制御用伝送データとを受信する。
デバイス制御データ出力部は、前記出力用受信部によって受信された前記第一の制御用伝送データに含まれる前記第一の制御データと前記出力用受信部によって受信された前記第二の制御用伝送データに含まれる前記第二の制御データとに基づいて、前記車両に搭載される制御対象のデバイス(出力デバイス)を制御するためのデバイス制御データを出力する。
第一の出力用判定部は、前記出力用受信部によって受信された前記第一の制御用伝送データに含まれる前記第一の制御用安全通信データに基づいて、前記第一の制御用伝送データに含まれる第一の制御データの通信が正常に行われたか否かを判定する。
前記第一の制御データの通信が正常に行われたと判定された場合、第一の出力用演算部は、前記第一の制御データを第一の出力データとして出力する。前記第一の制御データの通信が正常に行われなかったと判定された場合、第一の出力用演算部は、予め定められるフェールセーフ用の制御を指定する第一の出力データを出力する。
第二の出力用判定部は、前記出力用受信部によって受信された前記第二の制御用伝送データに含まれる前記第二の制御用安全通信データに基づいて、前記第二の制御用伝送データに含まれる第二の制御データの通信が正常に行われたか否かを判定する。
前記第二の制御データの通信が正常に行われたと判定された場合、第二の出力用判定部は、前記第二の制御データを第二の出力データとして出力する。前記第二の制御データの通信が正常に行われなかったと判定された場合、第二の出力用判定部は、前記フェールセーフ用の制御を指定する第二の出力データを出力する。
突合せ出力部は、前記第一の出力用演算部によって出力された前記第一の出力データと前記第二の出力用演算部によって出力された前記第二の出力データとを入力し、前記第一の出力データと前記第二の出力データとに基づいて前記デバイス制御データを出力する。
前記フィードバック用伝送装置は、フィードバック用入力部(確認用入力制御ブロック141)と、フィードバック用送信部(確認用NW制御ブロック143)とを備える。
フィードバック用入力部は、前記出力用伝送装置から出力される前記デバイス制御データと、前記デバイス制御データに基づいて動作する前記制御対象のデバイスから前記制御対象のデバイスの動作状態を表すデバイス状態データとして出力されるデータとの少なくともいずれかをフィードバックデータとして入力する。
フィードバック用送信部は、前記フィードバック用入力部が入力した前記フィードバックデータを前記制御装置へ送信する。
前記制御用受信部は、前記フィードバック用伝送装置から送信される前記フィードバックデータを受信する。
前記第一の確認用判定部は、前記制御用受信部によって受信された前記フィードバックデータに基づいて、前記第一の制御データによって指定された制御が行われたか否かを判定する。
前記第一の確認用判定部は、前記第一の制御データによって指定された制御が行われなかったと判定した場合、障害が発生したことを通知するための障害通知データ(エラー通知データ)を出力する。
前記第二の確認用判定部は、前記制御用受信部によって受信された前記フィードバックデータに基づいて、前記第二の制御データによって指定された制御が行われたか否かを判定する。
前記第二の確認用判定部は、前記第二の制御データによって指定された制御が行われなかったと判定した場合、前記障害通知データを出力する。
BCM120の第一の演算ブロック124および第二の演算ブロック125が互いに生成した制御データを比較する形態について説明する。
以下、実施の形態1と異なる事項について主に説明する。説明を省略する事項については実施の形態1と同様である。
実施の形態2における車載通信システム100の構成について、図9に基づいて説明する。
車載通信システム100のBCM120は、実施の形態1で説明した構成に加えて、第七のBCM共有メモリ122Rおよび第八のBCM共有メモリ123Rを備える。
第七のBCM共有メモリ122Rおよび第八のBCM共有メモリ123Rは、第一の演算ブロック124および第二の演算ブロック125が互いの制御データを比較するための参照用メモリである。
実施の形態1と異なるBCM120の処理(S251からS256)について、図10に基づいて説明する。
S233の後、処理はS251に進む。また、S243の後、処理はS254に進む。
S251の後、S252に進む。
制御データが同じ値を示す場合(YES)、処理はS244に進む。
制御データが異なる値を示す場合(NO)、処理はS253に進む。
当該制御データが通常制御を指定する制御データである場合、第二の演算ブロック125は、フェールセーフ用の制御を指定する制御データを生成し、生成した制御データを第四のBCM共有メモリ123sに上書きする。つまり、第二の演算ブロック125は、通常制御用の制御データをフェールセーフ用の制御データに変更する。また、第二の演算ブロック125は、エラー表示器109にエラーを通知する(図3のS225と同様)。
S253の後、処理はS244に進む。S244からS246は実施の形態1で説明した処理である(図4参照)。
つまり、BCM_NW制御ブロック121は第四のBCM共有メモリ123sに書き込まれた制御データを第七のBCM共有メモリ122Rにコピーし(S254)、第一の演算ブロック124は自己が生成した制御データと第二の演算ブロック125が生成した制御データとを比較する(S255)。制御データが異なる場合、第一の演算ブロック124は必要に応じて制御データをフェールセーフ用に変更し、またエラー表示器109にエラーを通知する(S256)。S256の後、処理はS234に進む。S234からS236は実施の形態1で説明した処理である(図4参照)。
それぞれの制御データが異なる場合、入力(入力用DHM110)から演算(BCM120)までの二重化されたいずれかの部分で異常が発生したことになる。つまり、実施の形態2により、異常箇所の特定精度を向上させることができる。
S251およびS254において、BCM_NW制御ブロック121は制御データと共に安全通信データをコピーする。
S252およびS254において、各演算ブロックは、制御データが同じであるか否かの判定とは別に、制御データに異常が発生しているか否かを安全通信データを用いて安全通信機能によってチェックする。
制御データに異常が発生している場合、S253およびS256において、各演算ブロックは、必要に応じて制御データの変更およびエラー通知を行う。
安全通信機能によって制御データの異常を検出した場合、制御データのコピーを行ったBCM_NW制御ブロック121、または制御データの書き込みを行った演算ブロックで異常が発生したことになる。つまり、この形態により、異常箇所の特定精度をより向上させることができる。
実施の形態1および2で説明した入力用DHM110、BCM120および出力用DHM130の構成を複数のマイクロコンピュータ(以下、「マイコン」という)を用いて多重化する形態について説明する。
実施の形態3における入力用DHM110のハードウェア構成について、図11に基づいて説明する。
第一のマイコン201Aおよび第二のマイコン202Bは、CPUコア211、メモリ212、CANコントローラ213およびポートコントローラ214を備える。これらはバス219(内部バス)を介して互いに接続している。
メモリ212は、データを記憶する記憶装置である。
CANコントローラ213は、CAN101を介してデータ通信を行うためのハードウェアである。
ポートコントローラ214は、デバイスとの間で入出力を行うためのハードウェアである。
第一のマイコン201Aのメモリ212は、入力用DHM110の第一の入力用共有メモリ113として機能する。
第一のマイコン201AのCPUコア211、メモリ212およびCANコントローラ213は、入力用DHM110の入力用NW制御ブロック115として機能する。
第二のマイコン201Bのメモリ212は、入力用DHM110の第二の入力用共有メモリ114として機能する。
第二のマイコン201BのCPUコア211、メモリ212およびCANコントローラ213は、入力用DHM110の入力用NW制御ブロック115として機能する。
実施の形態3におけるBCM120のハードウェア構成について、図12に基づいて説明する。
第一のマイコン202Aおよび第二のマイコン202Bは、CPUコア211、メモリ212、CANコントローラ213およびエラー通知I/F215を備える。これらはバス219(内部バス)を介して互いに接続している。
エラー通知I/F215は、エラー表示器109にエラー通知を行うためのインタフェース(I/F)を備えたハードウェアである。
第一のマイコン202Aのメモリ212は、第一のBCM共有メモリ122r、第三のBCM共有メモリ122sおよび第五のBCM共有メモリ122cとして機能する。
第一のマイコン202AのCPUコア211、メモリ212およびエラー通知I/F215は、BCM120の第一の演算ブロック124として機能する。
第二のマイコン202Bのメモリ212は、第二のBCM共有メモリ123r、第四のBCM共有メモリ123sおよび第六のBCM共有メモリ123cとして機能する。
第二のマイコン202BのCPUコア211、メモリ212およびエラー通知I/F215は、BCM120の第二の演算ブロック125として機能する。
実施の形態1および2で説明した入力用DHM110、BCM120および出力用DHM130の構成を1つのマイコンを用いて多重化する形態について説明する。
実施の形態4における入力用DHM110のハードウェア構成について、図13に基づいて説明する。
マイコン201は、CPUコア211、メモリ212、CANコントローラ213、第一のポートコントローラ214Aおよび第二のポートコントローラ214Bを備える。これらはバス219(内部バス)を介して互いに接続している。各ハードウェアは実施の形態3と同様である。
CPUコア211、メモリ212および第二のポートコントローラ214Bは、入力用DHM110の第二の入力制御ブロック112として機能する。
第一の入力制御ブロック111および第二の入力制御ブロック112はマルチタスク環境における独立したタスクで実現し、かつ、それぞれのタスクが利用するメモリ212のメモリ空間はメモリ保護機能で保護する。このようにして構成を論理的に分離することにより、第一の系と第二の系とのいずれかの系を制御するプログラムが暴走しても、もう一方の系に影響が及ばないようにすることができる。
ポートコントローラは、第一の系と第二の系とにおいて独立したハードウェアで構成する。両方の系のポートコントローラを一つのハードウェアで実現し、内部バスのインタフェース部分が故障して入出力が固定されてしまうような故障が発生してしまうと、両方の系で誤った値が入出力される可能性があるためである。ポートコントローラを物理的に二重化することにより、このような事象を防ぐことができる。
第一の入力用共有メモリ113および第二の入力用共有メモリ114は第一の系と第二の系との各タスクが管理する共有メモリとして実現し、各系のタスクが互いの共有メモリにアクセスすることができないように各共有メモリを保護する。
実施の形態4におけるBCM120のハードウェア構成について、図14に基づいて説明する。
マイコン201は、CPUコア211、メモリ212、CANコントローラ213、第一のエラー通知I/F215Aおよび第二のエラー通知I/F215Bを備える。これらはバス219(内部バス)を介して互いに接続している。各ハードウェアは実施の形態3と同様である。
図13で説明した入力用DHM110と同様に、各共有メモリは各系のタスクによって管理し、各系のタスクが互いの共有メモリにアクセスすることができないように各共有メモリを保護する。
CPUコア211、メモリ212および第二のエラー通知I/F215Bは、BCM120の第二の演算ブロック125として機能する。
図13で説明した入力用DHM110の入力制御ブロックと同様に、各演算ブロックのメモリ空間は論理的に二重化する。また、入力用DHM110のポートコントローラと同様に、エラー通知I/Fは物理的に二重化する。
実施の形態1および2で説明した入力用DHM110、BCM120および出力用DHM130をハードウェア・エンジンを用いて構成する形態について説明する。
ハードウェア・エンジンとは、複数のハードウェアを組み合わせた装置である。LSI(Large Scale Integration)は、ハードウェア・エンジンの一例である。
実施の形態5における入力用DHM110のハードウェア構成について、図15に基づいて説明する。
安全通信処理回路は、安全通信データの生成および安全通信機能による異常発生の判定を行うための回路である。その他のハードウェアについては実施の形態3と同様である。
第二のポートコントローラ214Bおよび第二の安全通信処理回路216Bは、入力用DHM110の第二の入力制御ブロック112として機能する。
第二のメモリ212Bは入力用DHM110の第二の入力用共有メモリ114として機能する。
実施の形態5におけるBCM120のハードウェア構成について、図16に基づいて説明する。
安全通信処理回路は、安全通信データの生成および安全通信機能による異常発生の判定を行うための回路である。エラー表示器I/Fは、エラー表示器109と通信するためのインタフェース(I/F)を備える回路である。その他のハードウェアについては実施の形態3と同様である。
第二のメモリ212Bは、BCM120の第二のBCM共有メモリ123r、第四のBCM共有メモリ123sおよび第六のBCM共有メモリ123cとして機能する。
第二の安全通信処理回路216B、第二の演算回路217Bおよび第二のエラー通知I/F215Bは、BCM120の第二の演算ブロック125として機能する。
Claims (16)
- 車両に搭載されるデバイスから出力されるデータを第一のデバイスデータとして入力する第一のデバイスデータ入力部と、
前記データを第二のデバイスデータとして入力する第二のデバイスデータ入力部と、
前記第一のデバイスデータと第一の入力用安全通信データとを含む第一の入力用伝送データと、前記第二のデバイスデータと第二の入力用安全通信データとを含む第二の入力用伝送データと、を送信する入力用送信部と、を備える入力用伝送装置と、
前記第一の入力用伝送データに含まれる前記第一の入力用安全通信データを用いて、前記第一のデバイスデータの通信が正常に行われたか否かを判定する第一の制御用判定部と、
前記第一のデバイスデータの通信が正常の場合、前記第一のデバイスデータに基づいた制御を指定して第一の制御データを生成する第一の制御用演算部と、
前記第二の入力用伝送データに含まれる前記第二の入力用安全通信データを用いて、前記第二のデバイスデータの通信が正常に行われたか否かを判定する第二の制御用判定部と、
前記第二のデバイスデータの通信が正常の場合、前記第二のデバイスデータに基づいた制御を指定して第二の制御データを生成する第二の制御用演算部と、
前記第一の制御データを含む第一の制御用伝送データと、前記第二の制御データを含む第二の制御用伝送データとを送信する制御用送信部と、を備える制御装置と、
前記第一の制御用伝送データと前記第二の制御用伝送データとを受信する出力用受信部と、
前記第一の制御データと前記第二の制御データとに基づいて、前記車両に搭載される制御対象のデバイスを制御するためのデバイス制御データを出力するデバイス制御データ出力部と、を備える出力用伝送装置と、
を備えることを特徴とする車載通信システム。 - 前記制御装置は、
前記第一の入力用伝送データと前記第二の入力用伝送データとを受信する制御用受信部を備え、
前記第一の制御用演算部は、前記第一のデバイスデータの通信が正常ではない場合、フェールセーフ用の制御を指定して前記第一の制御データを生成し、
前記第二の制御用演算部は、前記第二のデバイスデータの通信が正常ではない場合、前記フェールセーフ用の制御を指定して前記第二の制御データを生成し、
前記第一の制御用伝送データは、前記第一の制御データと第一の制御用安全通信データとを含み、
前記第二の制御用伝送データは、前記第二の制御データと第二の制御用安全通信データとを含み、
前記出力用伝送装置の前記デバイス制御データ出力部は、
前記第一の制御用安全通信データに基づいて、前記第一の制御データの通信が正常に行われたか否かを判定する第一の出力用判定部と、
前記第一の制御データの通信が正常の場合、前記第一の制御データを指定して第一の出力データを出力し、前記第一の制御データの通信が正常ではない場合、フェールセーフ用の制御を指定して第一の出力データを出力する第一の出力用演算部と、
前記第二の制御用安全通信データに基づいて、前記第二の制御データの通信が正常に行われたか否かを判定する第二の出力用判定部と、
前記第二の制御データの通信が正常の場合、前記第二の制御データを指定して第二の出力データを出力し、前記第二の制御データの通信が正常ではない場合、前記フェールセーフ用の制御を指定して第二の出力データを出力する第二の出力用演算部と、
前記第一の出力データと前記第二の出力データとに基づいて前記デバイス制御データを出力する突合せ出力部とを備える
ことを特徴とする請求項1記載の車載通信システム。 - 前記突合せ出力部は、前記第一の出力データと前記第二の出力データとの少なくともいずれかのデータが前記フェールセーフ用の制御を指定するデータである場合、前記フェールセーフ用の制御を指定するデータを前記デバイス制御データとして出力する
ことを特徴とする請求項2記載の車載通信システム。 - 前記第一の制御用判定部は、前記第一の入力用伝送データの通信が正常に行われなかったと判定した場合、障害が発生したことを通知するための通信障害データを出力し、
前記第二の制御用判定部は、前記第二の入力用伝送データの通信が正常に行われなかったと判定した場合、前記通信障害データを出力する
ことを特徴とする請求項1から請求項3いずれかに記載の車載通信システム。 - 前記入力用伝送装置は、第一の入力用メモリと、第二の入力用メモリとを備え、
前記第一のデバイスデータ入力部は、入力した前記第一のデバイスデータを前記第一の入力用メモリへ書き込み、
前記第二のデバイスデータ入力部は、入力した前記第二のデバイスデータを前記第二の入力用メモリへ書き込み、
前記入力用送信部は、前記第一の入力用メモリから前記第一のデバイスデータを読み出し、読み出した前記第一のデバイスデータを含むデータを前記第一の入力用伝送データとして送信し、前記第二の入力用メモリから前記第二のデバイスデータを読み出し、読み出した前記第二のデバイスデータを含むデータを前記第二の入力用伝送データとして送信する
ことを特徴とする請求項1から請求項4いずれかに記載の車載通信システム。 - 前記制御装置は、前記第一の入力用伝送データが書き込まれる第一の受信用メモリと、前記第二の入力用伝送データが書き込まれる第二の受信用メモリとを備え、
前記第一の制御用判定部は、前記第一の受信用メモリから前記第一の入力用伝送データを読み出し、読み出した前記第一の入力用伝送データに基づいて前記第一の入力用伝送データの通信が正常に行われたか否かを判定し、
前記第二の制御用判定部は、前記第二の受信用メモリから前記第二の入力用伝送データを読み出し、読み出した前記第二の入力用伝送データに基づいて前記第二の入力用伝送データの通信が正常に行われたか否かを判定する
ことを特徴とする請求項1から請求項5いずれかに記載の車載通信システム。 - 前記制御装置は、第一の送信用メモリと、第二の送信用メモリとを備え、
前記第一の制御用演算部は、生成した前記第一の制御データを前記第一の送信用メモリに書き込み、
前記第二の制御用演算部は、生成した前記第二の制御データを前記第二の送信用メモリに書き込み、
前記制御用送信部は、前記第一の送信用メモリから前記第一の制御データを読み出し、読み出した前記第一の制御データを含んだデータを前記第一の制御用伝送データとして送信し、前記第二の送信用メモリから前記第二の制御データを読み出し、読み出した前記第二の制御データを含んだデータを前記第二の制御用伝送データとして送信する
ことを特徴とする請求項1から請求項6いずれかに記載の車載通信システム。 - 前記出力用伝送装置は、第一の出力用メモリと、第二の出力用メモリとを備え、
前記出力用受信部は、受信した前記第一の制御用伝送データを前記第一の出力用メモリに書き込むと共に、受信した前記第二の制御用伝送データを前記第二の出力用メモリに書き込み、
前記デバイス制御データ出力部は、前記第一の出力用メモリから前記第一の制御用伝送データを読み出すと共に、前記第二の出力用メモリから前記第二の制御用伝送データを読み出し、読み出した前記第一の制御用伝送データと前記第二の制御用伝送データとに基づいて前記デバイス制御データを出力する
ことを特徴とする請求項1から請求項7いずれかに記載の車載通信システム。 - 前記車載通信システムは、フィードバック用伝送装置を備え、
前記フィードバック用伝送装置は、
前記出力用伝送装置から出力される前記デバイス制御データと、前記デバイス制御データに基づいて動作する前記制御対象のデバイスから前記制御対象のデバイスの動作状態を表すデバイス状態データとして出力されるデータとの少なくともいずれかをフィードバックデータとして入力するフィードバック用入力部と、
前記フィードバック用入力部が入力した前記フィードバックデータを前記制御装置へ送信するフィードバック用送信部とを備える
ことを特徴とする請求項1から請求項8いずれかに記載の車載通信システム。 - 前記制御装置は、第一の確認用判定部を備え、
前記第一の確認用判定部は、前記フィードバック用伝送装置から送信される前記フィードバックデータに基づいて、前記第一の制御データによって指定された制御が行われたか否かを判定し、
前記第一の確認用判定部は、前記第一の制御データによって指定された制御が行われなかったと判定した場合、障害が発生したことを通知するための障害通知データを出力する
ことを特徴とする請求項9記載の車載通信システム。 - 前記制御装置は、第二の確認用判定部を備え、
前記第二の確認用判定部は、前記フィードバックデータに基づいて、前記第二の制御データによって指定された制御が行われたか否かを判定し、
前記第二の確認用判定部は、前記第二の制御データによって指定された制御が行われなかったと判定した場合、前記障害通知データを出力する
ことを特徴とする請求項10記載の車載通信システム。 - 前記第一の制御用演算部は、前記第一の制御データと前記第二の制御データとを比較し、前記第一の制御データと前記第二の制御データとが異なる場合、エラー処理を行う
ことを特徴とする請求項1から請求項11いずれかに記載の車載通信システム。 - 前記入力用伝送装置は、前記第一のデバイスデータ入力部として機能する入力用の第一のマイクロコンピュータと、前記第二のデバイスデータ入力部として機能する入力用の第二のマイクロコンピュータとを備え、
前記制御装置は、前記第一の制御用判定部および前記第一の制御用演算部として機能する制御用の第一のマイクロコンピュータと、前記第二の制御用判定部および前記第二の制御用演算部として機能する制御用の第二のマイクロコンピュータとを備える
ことを特徴とする請求項1から請求項12いずれかに記載の車載通信システム。 - 前記入力用伝送装置は、前記第一のデバイスデータ入力部、前記第二のデバイスデータ入力部および前記入力用送信部として機能する入力用のマイクロコンピュータを備え、
前記制御装置は、前記第一の制御用判定部、前記第一の制御用演算部、前記第二の制御用判定部、前記第二の制御用演算部および前記制御用送信部として機能する制御用のマイクロコンピュータを備え、
前記出力用伝送装置は、前記出力用受信部および前記デバイス制御データ出力部として機能する出力用のマイクロコンピュータを備える
ことを特徴とする請求項1から請求項12いずれかに記載の車載通信システム。 - 前記入力用伝送装置は、前記第一のデバイスデータ入力部として機能する第一のデバイスデータ入力回路と、前記第二のデバイスデータ入力部として機能する第二のデバイスデータ入力回路と、前記入力用送信部として機能する入力用送信回路とを備え、
前記制御装置は、前記第一の制御用判定部として機能する第一の制御用判定回路と、前記第一の制御用演算部として機能する第一の制御用演算回路と、前記第二の制御用判定部として機能する第二の制御用判定回路と、前記第二の制御用演算部として機能する第二の制御用演算回路と、前記制御用送信部として機能する制御用送信回路とを備え、
前記出力用伝送装置は、前記出力用受信部として機能する出力用受信回路と、前記デバイス制御データ出力部として機能するデバイス制御データ出力回路とを備える
ことを特徴とする請求項1から請求項12いずれかに記載の車載通信システム。 - 車両に搭載される入力用伝送装置の第一のデバイスデータ入力部が、前記車両に搭載されるデバイスから出力されるデータを第一のデバイスデータとして入力し、
前記入力用伝送装置の第二のデバイスデータ入力部が、前記データを第二のデバイスデータとして入力し、
前記入力用伝送装置の入力用送信部が、前記第一のデバイスデータと第一の入力用安全通信データとを含む第一の入力用伝送データと、前記第二のデバイスデータと第二の入力用安全通信データとを含む第二の入力用伝送データとを前記車両に搭載される制御装置へ送信し、
前記制御装置の第一の制御用判定部が、前記第一の入力用伝送データに含まれる前記第一の入力用安全通信データを用いて、前記第一のデバイスデータの通信が正常に行われたか否かを判定し、
前記制御装置の第一の制御用演算部が、前記第一のデバイスデータの通信が正常の場合、前記第一のデバイスデータに基づいた制御を指定して第一の制御データを生成し、
前記制御装置の第二の制御用判定部が、前記第二の入力用伝送データに含まれる前記第二の入力用安全通信データを用いて、前記第二のデバイスデータの通信が正常に行われたか否かを判定し、
前記制御装置の第二の制御用演算部が、前記第二のデバイスデータの通信が正常の場合、前記第二のデバイスデータに基づいた制御を指定して第二の制御データを生成し、
前記制御装置の制御用送信部が、前記第一の制御データを含む第一の制御用伝送データと、前記第二の制御データを含む第二の制御用伝送データとを前記車両に搭載される出力用伝送装置へ送信し、
前記出力用伝送装置の出力用受信部が、前記第一の制御用伝送データと前記第二の制御用伝送データとを受信し、
前記出力用伝送装置のデバイス制御データ出力部が、前記第一の制御データと前記第二の制御データとに基づいて、前記車両に搭載される制御対象のデバイスを制御するためのデバイス制御データを出力する
ことを特徴とする車載通信方法。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2012/071381 WO2014030247A1 (ja) | 2012-08-24 | 2012-08-24 | 車載通信システムおよび車載通信方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP5766360B2 true JP5766360B2 (ja) | 2015-08-19 |
JPWO2014030247A1 JPWO2014030247A1 (ja) | 2016-07-28 |
Family
ID=50149581
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014531463A Active JP5766360B2 (ja) | 2012-08-24 | 2012-08-24 | 車載通信システムおよび車載通信方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US9925935B2 (ja) |
JP (1) | JP5766360B2 (ja) |
CN (1) | CN104583017B (ja) |
DE (1) | DE112012006843T5 (ja) |
WO (1) | WO2014030247A1 (ja) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6171881B2 (ja) * | 2013-11-19 | 2017-08-02 | 株式会社デンソー | 電子制御装置 |
US9840212B2 (en) | 2014-01-06 | 2017-12-12 | Argus Cyber Security Ltd. | Bus watchman |
KR101458926B1 (ko) * | 2014-04-28 | 2014-11-13 | 솔웍스 주식회사 | 차량 진단 시스템 |
WO2016151743A1 (ja) * | 2015-03-24 | 2016-09-29 | 三菱電機株式会社 | 機器制御装置、車両用電子制御装置、車両用電子制御システム、機器制御方法及び機器制御プログラム |
DE102015208053A1 (de) * | 2015-04-30 | 2016-11-03 | Robert Bosch Gmbh | Verfahren und Vorrichtung zum Verringern einer Gefährdung für ein und/oder durch ein sich auf einem Parkplatz befindendes Fahrzeug |
JP6609235B2 (ja) * | 2016-11-02 | 2019-11-20 | 日立オートモティブシステムズ株式会社 | 電子制御装置 |
Family Cites Families (61)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS60253359A (ja) | 1984-05-30 | 1985-12-14 | Fujitsu Ltd | 二重系装置の監視方法 |
US4939725A (en) | 1987-11-30 | 1990-07-03 | Furukawa Electric Co., Ltd. | Multiplex transmission system |
JP2773877B2 (ja) * | 1987-11-30 | 1998-07-09 | 古河電気工業株式会社 | 多重伝送方式 |
JPH05235962A (ja) | 1992-02-25 | 1993-09-10 | Toyota Motor Corp | 多重通信装置 |
JP3115110B2 (ja) | 1992-07-10 | 2000-12-04 | マツダ株式会社 | 多重伝送装置のノード通信装置 |
JPH06274361A (ja) | 1993-03-23 | 1994-09-30 | Fujitsu Ten Ltd | 車両制御用コンピュータシステム |
JPH07123078A (ja) | 1993-10-21 | 1995-05-12 | Fuji Facom Corp | データ伝送方式 |
JP3657027B2 (ja) | 1995-05-25 | 2005-06-08 | 株式会社小松製作所 | 車両故障診断装置の時間管理システム及び方法 |
GB9605048D0 (en) | 1996-03-09 | 1996-05-08 | Jaguar Cars | Multiplexed electronic control systems |
JPH09289522A (ja) * | 1996-04-24 | 1997-11-04 | Hitachi Ltd | ネットワーク接続装置 |
JP2809209B2 (ja) | 1996-06-14 | 1998-10-08 | 日本電気株式会社 | プロセス間通信方式 |
JP3898264B2 (ja) | 1997-02-21 | 2007-03-28 | 本田技研工業株式会社 | 車両用ネットワークシステム |
JPH10257078A (ja) | 1997-03-12 | 1998-09-25 | Yazaki Corp | 車両多重通信装置 |
JP3292238B2 (ja) | 1998-03-06 | 2002-06-17 | 日本電気株式会社 | 二重化された接続機器を備えたネットワークシステムと接続障害回避方法 |
JP2000156685A (ja) | 1998-11-18 | 2000-06-06 | Fuji Heavy Ind Ltd | 車両制御システムの異常監視装置 |
JP2000158685A (ja) | 1998-11-30 | 2000-06-13 | Fuji Photo Film Co Ltd | カラー感熱プリンタのランプ制御方法及び装置 |
US6496107B1 (en) | 1999-07-23 | 2002-12-17 | Richard B. Himmelstein | Voice-controlled vehicle control system |
JP2002158668A (ja) | 2000-11-17 | 2002-05-31 | Denso Corp | 車両用ネットワークシステムの異常検出装置 |
DE10248456A1 (de) | 2001-10-19 | 2003-06-18 | Denso Corp | Fahrzeugkommunikationssystem |
JP3994821B2 (ja) | 2001-10-19 | 2007-10-24 | 株式会社デンソー | 車両用通信システム |
JP3733058B2 (ja) | 2001-11-20 | 2006-01-11 | 三井金属鉱業株式会社 | 車両スライド扉用動力スライド装置の制御方法 |
JP2004017676A (ja) | 2002-06-12 | 2004-01-22 | Denso Corp | 車両用通信システム、初期化装置及び車両用制御装置 |
JP2004034828A (ja) | 2002-07-03 | 2004-02-05 | Denso Corp | 乗員保護装置の起動システム |
JP4141286B2 (ja) | 2003-03-05 | 2008-08-27 | アルパイン株式会社 | 車両情報判別機能を有する電子機器およびこれを用いた車両情報共有化システム |
JP3863119B2 (ja) | 2003-03-11 | 2006-12-27 | 株式会社東芝 | 変電所監視制御システム |
JP4222154B2 (ja) | 2003-08-28 | 2009-02-12 | 株式会社デンソー | 車両制御システム |
JP3997984B2 (ja) | 2003-12-08 | 2007-10-24 | 株式会社デンソー | 車両用発電制御装置 |
JP4401239B2 (ja) | 2004-05-12 | 2010-01-20 | Necエレクトロニクス株式会社 | 通信メッセージ変換装置、通信方法及び通信システム |
US8797926B2 (en) | 2004-06-04 | 2014-08-05 | Apple Inc. | Networked media station |
JP2006135375A (ja) | 2004-11-02 | 2006-05-25 | Fujitsu Ten Ltd | Canネットワークシステム |
JP5013668B2 (ja) | 2004-11-19 | 2012-08-29 | 株式会社デンソー | 車両用制御システム |
JP4349276B2 (ja) | 2004-12-22 | 2009-10-21 | トヨタ自動車株式会社 | 異常判定システム |
WO2006090470A1 (ja) | 2005-02-25 | 2006-08-31 | Mitsubishi Denki Kabushiki Kaisha | エレベータ装置 |
US7801478B2 (en) | 2005-05-03 | 2010-09-21 | Marvell International Technology Ltd. | Systems for and methods of remote host-based media presentation |
JP2007028377A (ja) | 2005-07-20 | 2007-02-01 | Yazaki Corp | 車両内lan用ゲートウエイ装置の通信仕様の設定方法、通信モードの設定方法及びこれらの設定方法に用いられる設定装置 |
US7953536B2 (en) * | 2005-07-29 | 2011-05-31 | GM Global Technology Operations LLC | Inertial sensor software architecture security method |
JP2007034910A (ja) | 2005-07-29 | 2007-02-08 | Fujitsu Ten Ltd | マルチcpuシステム及びスケジューラ |
US7539565B2 (en) | 2006-02-24 | 2009-05-26 | Denso International America, Inc. | Smart unlock control by vehicle location |
CN101356074B (zh) * | 2006-03-14 | 2011-08-24 | 三菱电机株式会社 | 车载设备 |
JP4560000B2 (ja) | 2006-03-31 | 2010-10-13 | 株式会社オートネットワーク技術研究所 | 動作監視ユニット |
US7693638B2 (en) | 2007-01-23 | 2010-04-06 | Gm Global Technology Operations, Inc. | Commanded clutch diagnostic for hybrid vehicles |
US20100257139A1 (en) * | 2007-03-29 | 2010-10-07 | Gm Global Technology Operations, Inc. | Vehicle Data Security Method and System |
JP2009017154A (ja) | 2007-07-04 | 2009-01-22 | Mitsubishi Fuso Truck & Bus Corp | 車載ゲートウェイ装置 |
TWI448111B (zh) | 2008-03-18 | 2014-08-01 | Icm Inc | Automobile detection and control integration device and method thereof |
JP4621837B2 (ja) | 2008-07-10 | 2011-01-26 | 国立大学法人名古屋大学 | 中継装置、通信システム及び通信方法 |
JP4920015B2 (ja) | 2008-09-03 | 2012-04-18 | 日立オートモティブシステムズ株式会社 | 分散制御用制御ソフトウェアおよび電子制御装置 |
US20110208834A1 (en) * | 2008-12-05 | 2011-08-25 | Soichi Nagano | Onboard information system |
CN102265261B (zh) | 2008-12-22 | 2014-07-02 | 丰田自动车株式会社 | 车辆用电子控制***、车辆用电子控制单元、车辆用控制同步方法 |
WO2010073313A1 (ja) | 2008-12-22 | 2010-07-01 | トヨタ自動車株式会社 | 車両用電子制御システム、車両用電子制御ユニット、車両用制御同期方法 |
JP2010274783A (ja) | 2009-05-28 | 2010-12-09 | Autonetworks Technologies Ltd | 制御装置及びコンピュータプログラム |
JP4766160B2 (ja) | 2009-07-29 | 2011-09-07 | 株式会社デンソー | 通信システムおよび通信ノード |
JP4935932B2 (ja) | 2009-12-02 | 2012-05-23 | トヨタ自動車株式会社 | データ通信ネットワークシステム |
JP2011244142A (ja) | 2010-05-17 | 2011-12-01 | Toyota Motor Corp | データ通信装置およびデータ通信方法 |
CN201761453U (zh) | 2010-07-12 | 2011-03-16 | 苏州大学 | 客车车身控制***的可配置控制模块 |
JP5620730B2 (ja) | 2010-07-13 | 2014-11-05 | 株式会社日立製作所 | 2重系演算処理装置および2重系演算処理方法 |
US8461846B2 (en) | 2010-10-29 | 2013-06-11 | GM Global Technology Operations LLC | Vehicle battery testing |
JP5682388B2 (ja) | 2011-03-16 | 2015-03-11 | 株式会社豊田中央研究所 | 障害診断方法及び障害診断システム |
JP5357204B2 (ja) | 2011-04-18 | 2013-12-04 | 三菱電機株式会社 | 制御システム |
CN102933443B (zh) * | 2011-06-07 | 2015-11-25 | 大星电机工业株式会社 | 双控制器***的错误检测装置和方法 |
US20130282946A1 (en) | 2012-04-23 | 2013-10-24 | Flextronics Ap, Llc | Controller area network bus |
US8966248B2 (en) | 2012-04-06 | 2015-02-24 | GM Global Technology Operations LLC | Secure software file transfer systems and methods for vehicle control modules |
-
2012
- 2012-08-24 JP JP2014531463A patent/JP5766360B2/ja active Active
- 2012-08-24 US US14/419,356 patent/US9925935B2/en active Active
- 2012-08-24 DE DE112012006843.2T patent/DE112012006843T5/de active Pending
- 2012-08-24 WO PCT/JP2012/071381 patent/WO2014030247A1/ja active Application Filing
- 2012-08-24 CN CN201280075300.5A patent/CN104583017B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
US9925935B2 (en) | 2018-03-27 |
DE112012006843T5 (de) | 2015-05-21 |
JPWO2014030247A1 (ja) | 2016-07-28 |
CN104583017B (zh) | 2016-11-16 |
US20150217706A1 (en) | 2015-08-06 |
WO2014030247A1 (ja) | 2014-02-27 |
CN104583017A (zh) | 2015-04-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5766360B2 (ja) | 車載通信システムおよび車載通信方法 | |
JP6220232B2 (ja) | 車両の制御装置 | |
US9604585B2 (en) | Failure management in a vehicle | |
US9934111B2 (en) | Control and data transmission system, process device, and method for redundant process control with decentralized redundancy | |
US20140277608A1 (en) | Fault Tolerant Control System | |
US7453902B2 (en) | Failsafe transmission of data | |
KR102533939B1 (ko) | 차량 제어 시스템 | |
US7418316B2 (en) | Method and device for controlling operational processes, especially in a vehicle | |
JPWO2018225352A1 (ja) | 車両制御装置および車両制御システム | |
JP2020506472A (ja) | 冗長プロセッサアーキテクチャ | |
JP2006253921A (ja) | 車両用ネットワークシステム | |
US7337020B2 (en) | Open-loop and closed-loop control unit | |
JP2009126413A (ja) | 車両用電装機器の制御装置 | |
US10585772B2 (en) | Power supply diagnostic strategy | |
JP7163576B2 (ja) | 車両制御システムおよび車両制御装置 | |
CN107210937B (zh) | 在数据总线中的总线监控器 | |
CN106970550B (zh) | 车辆子***通信仲裁 | |
KR100845913B1 (ko) | 전자제어유닛 고장 검출 시뮬레이터 | |
CN113722770B (zh) | 基于分级的数据完整性的端到端的保护方法及*** | |
KR100860486B1 (ko) | 차량자세제어시스템에서 캔 메시지 타임아웃 에러 체크방법 | |
JP6732143B1 (ja) | 車両制御装置 | |
Zhang | Vehicle health monitoring for AVCS malfunction management | |
JP7247770B2 (ja) | 車両用制御システム | |
JP5545125B2 (ja) | 通信装置 | |
KR20200110956A (ko) | 차량의 이중화 시스템과, 그 전원 공급 장치 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150519 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150616 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5766360 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |