JP7508703B2 - 車両におけるecuの管理方法、ecuおよび可読記憶媒体 - Google Patents

車両におけるecuの管理方法、ecuおよび可読記憶媒体 Download PDF

Info

Publication number
JP7508703B2
JP7508703B2 JP2023519856A JP2023519856A JP7508703B2 JP 7508703 B2 JP7508703 B2 JP 7508703B2 JP 2023519856 A JP2023519856 A JP 2023519856A JP 2023519856 A JP2023519856 A JP 2023519856A JP 7508703 B2 JP7508703 B2 JP 7508703B2
Authority
JP
Japan
Prior art keywords
ecu
abnormal
command
restart
state
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2023519856A
Other languages
English (en)
Other versions
JP2023547782A (ja
Inventor
李翠
車忠輝
孫曉宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Publication of JP2023547782A publication Critical patent/JP2023547782A/ja
Application granted granted Critical
Publication of JP7508703B2 publication Critical patent/JP7508703B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0208Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the configuration of the monitoring system
    • G05B23/0213Modular or universal configuration of the monitoring system, e.g. monitoring system having modules that may be combined to build monitoring program; monitoring system that can be applied to legacy systems; adaptable monitoring system; using different communication protocols
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0259Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
    • G05B23/0286Modifications to the monitored process, e.g. stopping operation or adapting control
    • G05B23/0289Reconfiguration to prevent failure, e.g. usually as a reaction to incipient failure detection
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/032Fixing failures by repairing failed parts, e.g. loosening a sticking valve
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0793Remedial or corrective actions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3013Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is an embedded system, i.e. a combination of hardware and software dedicated to perform a certain function in mobile devices, printers, automotive or aircraft systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24065Real time diagnostics

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Automation & Control Theory (AREA)
  • Mechanical Engineering (AREA)
  • Computing Systems (AREA)
  • Transportation (AREA)
  • Human Computer Interaction (AREA)
  • Computer Security & Cryptography (AREA)
  • Chemical & Material Sciences (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Mathematical Physics (AREA)
  • Computer Hardware Design (AREA)
  • Chemical Kinetics & Catalysis (AREA)
  • Stored Programmes (AREA)
  • Debugging And Monitoring (AREA)
  • Combined Controls Of Internal Combustion Engines (AREA)
  • Small-Scale Networks (AREA)
  • Safety Devices In Control Systems (AREA)

Description

本願は出願番号が202011240019.5で、出願日が2020年11月09日である中国特許出願に基づいて提出され、その中国特許出願の優先権を主張し、その中国特許出願の全ての内容を参考として本願に援用する。
本願の実施例は、自動車の技術分野に関するがこれに限定されず、具体的には、車両におけるECUの管理方法、ECUおよび可読記憶媒体に関するがこれらに限定されない。
インテリジェント化と情報化の発展に伴い、自動車の電気システムは日増しに複雑になり、今日の自動車は通常数十個の電子制御ユニット(Electronic Control Unit、ECU)を備えている。ECUの増加は、機能の複雑さと安定性における難しさを表しており、ECUノードはすべてハードウェア+ソフトウェアの構成となっている。一方、自動車のECU製品の場合、これらのECUはすべてブラックボックスであり、使用者はECUの存在すら知らない。ECUに異常が発生した場合、使用者は自動車ディーラーまで運転して点検や修理を行ってもらわなければならず、その過程は所有者にとっては非常に面倒で不愉快なことである。
現在、ECUノードの動作状態を他のECUを通じて修復する車全体の解決策がなく、それぞれのECUに独自の異常保護メカニズムが設計されるため、車全体の機能安定性において一定のリスクが存在する。各ECUの動作状態に依存しているため、リスクが大きい。
システム停止状態の自動車の場合、あるECUが異常に動作し、決められた電源管理モードに従ってスリープに入ることができなかった場合、車全体のバッテリあがりを引き起こす可能性があり、これは使用者にとって受け入れ難いことである。
本願の実施例により提供される車両におけるECUの管理方法、ECUおよび可読記憶媒体によれば、車全体のECUに対する状態監視を実現し、異常ECUが検出されると制御指令をそれに送信することにより、制御指令に応じて対応する回復動作を異常ECUに行わせることで、車両のエンスト後に異常ECUでバッテリあがりが引き起こされることを回避する。
上記の技術的問題を少なくとも部分的に解決するために、本願の実施例は車両における電子制御ユニットの管理方法を提供する。この方法は、車両における少なくとも一つの電子制御ユニットECUの動作状態を監視するステップと、異常な動作状態にある異常ECUが検出されると、制御指令を異常ECUに送信するステップであって、該制御指令は、対応する回復動作をするように前記異常ECUをトリガするように構成されているステップとを含む。
本願の実施例はさらに、プロセッサと、メモリと、通信バスとを備える電子制御ユニットを提供する。通信バスは、プロセッサとメモリとの間の接続や通信を実現するように構成され、プロセッサは、メモリに記憶されている一つまたは複数のコンピュータプログラムを実行することで、前述の車両における電子制御ユニットの管理方法のステップを実現するように構成されている。
本願の実施例はさらに、一つまたは複数のコンピュータプログラムを記憶しているコンピュータ可読記憶媒体を提供する。該一つまたは複数のコンピュータプログラムは、一つまたは複数のプロセッサにより実行されることで、前述の車両における電子制御ユニットの管理方法のステップを実現できる。
本願の他の特徴及び対応する有益効果は、明細書の後の部分で説明されるが、有益効果の少なくとも一部は、本願の明細書における記載から明らかになる。
本願の第1の実施例にかかる、車全体のECUの接続模式図である。 本願の第1の実施例のフローチャートである。 本願の第2の実施例のフローチャートである。 本願の第2の実施例にかかる、システム停止状態でのフローチャートである。 本願の第3の実施例のフローチャートである。 本願の第3の実施例にかかる、システム作動状態での方法フローチャートである。
本願の目的、技術案及び利点をより明らかにするために、以下では、具体的な実施形態に添付図面を組み合わせて本願の実施例をさらに詳しく説明する。ここで説明する具体的な実施例は本願を解釈するためだけに使われるものであって、本願を限定するために使われるものではない。
第1の実施例
車全体のECUの作動安定性と信頼性を高めるために、本願の第1の実施例は車両における電子制御ユニットの管理方法を提案する。図1は車全体のECUの接続模式図である。各ECUはCANバスを介して接続され、相互にネットワークメッセージ、APPメッセージおよびダイアグノーシスメッセージを送受信する。車全体はTBOXを介してCSPサーバとインタラクションする。
電子制御ユニット(Electronic Control Unit、ECU):ECU全体の機能は各ECUが協働して実現されるものである。本発明において、特定のECUノードが検査ノードとして他のECUの動作状態を監督し、通常のノードが監督対象となる。
車載移動通信端末TBOX:同様にECUノードに属し、無線3GPPネットワークを介して外部ネットワークとインタラクションする通信システムを備えるとともに、車内の他のECUとのCANを介した情報のやりとりもサポートしている。サーバCSPとインタラクションして、各ECUのトラフィックパラメータや動作状態を同期させ、車全体のECU制御にも利用できる。
車載クラウドサーバCSP:車のインターネットのアプリケーションシステムに相当し、クラウドアーキテクチャの車両動作情報プラットフォームであり、自動車メーカーにより保守され、自動車所有者にアプリケーションサービスを提供し、車両の使用過程の状態を追跡する。本発明では、自動車メーカーがこれを通じて車全体のECUトラフィックパラメータを保守および制御する。
CAN(Controller Area Network、コントローラエリアネットワーク):現在車で最も広く使用されているフィールドバスであり、各ECUの間ではCANを介して情報のやりとりを行っている。本発明では、検査ノードがCAN上で他のノードの情報を収集することで、状態の判断や異常時の制御を行う。
本実施例において、車両における電子制御ユニットの管理方法を提案する。図2を参照し、この方法は以下のステップを含む。
S201において、車両における少なくとも一つの電子制御ユニットECUの動作状態を監視する。
S202において、異常な動作状態にある異常ECUが検出されると、制御指令を前記異常ECUに送信し、前記制御指令は、対応する回復動作をするように前記異常ECUをトリガするように構成されている。
具体的な実施過程において、車両における少なくとも一つの電子制御ユニットECUの動作状態を監視することは、前記車両に配置された検査ノードにより、前記ECUの動作状態を監視することにより実施してもよい。検査ノードとして選択可能なものは、車載移動通信端末TBOXとターゲットECUとを含んでもよいが、もちろん、そのうちの一つのみを選択してもよく、TBOXとターゲットECUを組み合わせて選択してもよい。例えば、TBOXと複数のターゲットECUを組み合わせて選択してもよい。本実施例において、前記ターゲットECUとしては、ECUの実際の動作パフォーマンスまたはECUの機能複雑度に応じて、動作が比較的安定しているECUまたは機能複雑度の低いECUを検査ノードとして選択してから、検査ノードであるECUを用いて、車両における少なくとも一つの電子制御ユニットECUの動作状態を監視するようにしてもよい。
具体的な監視手段としては、対応する物理アドレスを各ECUに割り当て、対応する物理アドレスに基づいてECUの動作状態を監視してもよい。もちろん、対応する物理アドレスに基づいて制御指令を前記異常ECUに送信してもよい。本実施例によれば、異常な動作状態にある異常ECUが検出されると、制御指令を前記異常ECUに送信することにより、実施過程によっては、異常ECUが制御指令に従って対応する回復動作を実行できるため、車全体のECUの動作安定性を向上させ、ECUの異常による車のバッテリあがりを避けて、使用者の体験を向上させることができる。
また、前記制御指令は、前記異常ECUによる再起動の実行をトリガするためのECU再起動指令と、前記異常ECUによる停止の実行をトリガするためのECU停止指令と、前記異常ECUによるファームウェアアップデートの実行をトリガするためのECUファームウェアアップデート指令と、のうちの少なくとも一つを含んでもよい。
本願の一つの可能な実施形態において、異常な動作状態にある異常ECUが検出されると、制御指令を前記異常ECUに送信する。
具体的な制御指令としては、ECU再起動指令であってもよい。異常ECUは、ECU再起動指令を受信すると再起動を実行することができる。
ECU停止指令であってもよい。異常ECUは、ECU停止指令を受信すると停止を実行することができる。
ECUファームウェアアップデート指令であってもよい。異常ECUは、ECUファームウェアアップデート指令を受信するとファームウェアアップデートを実行することができる。
一つの可能な実施形態において、制御指令を前記異常ECUに送信することは、対応する制御動作の指令コードを前記ECUに直接送信し、例えば、対応するECUの物理アドレスをIDとするUDS再起動指令0x11を送信してから、0x11に対する応答を待つようにしてもよい。カスタマイズされたUDS制御指令を異常ECUに送信し、異常ECUは、カスタマイズされたUDS制御指令を通じて自身の状態異常を知ることで、対応する制御指令に合わせて再起動動作、停止動作またはファームウェアアップデート動作を実行するようにしてもよい。もちろん、本例で説明されたECUファームウェアアップデート指令は、異常ECUがファームウェアアップデートを実行するようにトリガするためだけの指令であってもよく、すなわち、ECUファームウェアアップデート指令に、対応するファームウェアが含まれていなくてもよい。異常ECUは、ECUファームウェアアップデート指令を受信すると、アップデートする必要のあるファームウェア情報をローカルストレージ、サーバ、またはローカルの外付け記憶装置から取得することができる。なお、本実施例で言うファームウェアアップデートは、最新バージョンのファームウェアへのアップデートであってもよく、並行アップデート、すなわちファームウェアのバージョン番号を変更しないアップデートでもよく、古いファームウェアバージョンへのアップデートでもよい。例えば、対応するECUの性能が比較的安定している古いバージョンのファームウェアが、ローカルストレージ、サーバ、またはローカルの外付け記憶装置に格納されている場合、ECUファームウェアアップデート指令により、ファームウェアアップデートを実行するように異常ECUに指示してもよい。制御指令を前記異常ECUに送信した後、該異常ECUが回復動作を行う旨のメッセージをCANバスを介してTBOXにブロードキャストしてから、TBOXを利用してCSPサーバに報告してもよい。
また、異常な動作状態にある異常ECUを検出することは、
ECUから送信される、対応するECUのトラフィック状態パラメータを含むネットワーク管理メッセージを受信するステップと、
前記トラフィック状態パラメータと前記ECUに対応する正常なトラフィック状態パラメータとの比較に基づいて、前記ECUの状態が異常であると判定するステップとを含んでもよい。
具体的には、例えば、TBOXの電源投入後、CSPサーバから送出された、各ECUのトラフィックパラメータを保持している通知メッセージを収集し、解析および保存し、CANを介してCANバスの他の検査ノードにブロードキャストしてもよい。これにより、すべての検査ノードは、各ECUの正常動作状態でのトラフィックパラメータを知ることになる。本実施例において、CSPサーバによってレコードされた各ECUトラフィックパラメータのフォーマットは、車全体の各ECUのネットワーク管理メッセージIDが一意であることに基づいて設定してもよい。例えば、一つの具体的なECUノードを表すECUのネットワーク管理メッセージIDをこのレコードのフラグとする。車全体にはKL15 offシステム停止状態とKL15 onシステム作動状態の2つのキー状態が含まれており、これら2つのキー状態および対応するECUのトラフィックパラメータを記録してもよい。これにより、本実施例において、ECUから送信されたネットワーク管理メッセージから現在のECUのトラフィック状態パラメータを解析により取得して、トラフィック状態パラメータと前記ECUに対応する正常なトラフィック状態パラメータを比較することにより、ECUの状態が異常であるか否かを判定することができる。
また、ECUからアップロードされたネットワーク管理メッセージを受信する前に、さらに、
ECUから送信されるネットワーク管理メッセージを正常に受信できないと判定した場合、前記ECUの動作状態が異常であると判定することを含んでもよい。
もう一つの可能な実施形態において、ECUがネットワーク管理メッセージを送信できない状態にあれば、ECUから送信されるネットワーク管理メッセージを正常に受信できない状況に基づいて、ECUの状態が異常であると直接判定してもよい。例えば、システム作動状態において、サーバから送出された、正常なネットワーク管理メッセージの送信間隔がt1であるとすると、t1時間が経過しても、検査ノードが該ECUのネットワーク管理メッセージを受信できなかった場合、該ECUの状態が異常であると直接判定してもよい。
また、前記トラフィック状態パラメータと前記ECUに対応する正常なトラフィック状態パラメータとの比較に基づいて、前記ECUの状態が異常であると判定するステップは、
前記トラフィック状態パラメータと正常走行時のトラフィック状態パラメータとが一致しない場合、前記ECUの状態が異常であると判定するステップと、
前記ネットワーク管理メッセージからスリープレディー状態RSS(Ready Sleep State)情報が抽出され、RSSにある正常の持続時間を超えた場合、前記ECUの状態が異常であると判定するステップと、のうちの少なくとも一つを含んでもよい。
具体的には、例えばKL15 onシステム作動状態において、システム作動状態でのトラフィック状態パラメータと正常走行時のトラフィック状態パラメータとが一致しない場合、前記ECUの状態が異常であると直接判定してもよい。正常走行時のトラフィック状態パラメータは、電源投入時にサーバから送出されて得てもよく、ローカルストレージを読み取ることで得てもよい。
KL15 off状態については、前記ネットワーク管理メッセージから該ECUに対応するスリープレディー状態RSS情報を抽出し、抽出されたRSS情報をRSSにある正常の持続時間と比較し、RSSにある正常の持続時間を超えた場合、前記ECUの状態が異常であると判定してもよい。システム停止状態において、正常な場合、RSSの時間内にトラフィックが完了するとRSS状態を終了することになり、RSSの状態がいつまでも維持されないため、RSSの状態がいつまでも維持されているのであれば、異常の発生したECUがあることを意味する。異常ECUは、すなわちネットワーク管理メッセージを異常に送信し続けているECUである。対応する各ECUの最大トラフィック持続時間はすべて、サーバから送出されて得てもよい。
前記車両がシステム停止状態にある場合、制御指令を前記異常ECUに送信する前記ステップは、
前記ECU再起動指令を前記異常ECUに直接送信するステップと、
前記異常ECUの故障コードを特定し、再起動による回復が可能であると前記故障コードに基づいて判定した場合、前記ECU再起動指令を前記異常ECUに送信するステップと、
前記ECU停止指令を前記異常ECUに直接送信するステップと、
前記異常ECUの故障コードを特定し、再起動による回復が不可能であると前記故障コードに基づいて判定した場合、前記ECU停止指令または前記ECUファームウェアアップデート指令を前記異常ECUに送信するステップと、
前記ECUファームウェアアップデート指令を前記異常ECUに直接送信するステップと、
前記ECU再起動指令を既定の再起動制御ルールに従って前記異常ECUに送信し、前記ECU再起動指令に従って前記異常ECUが再起動した後も異常であることが検出されると、前記ECU停止指令または前記ECUファームウェアアップデート指令を前記異常ECUに送信するステップと、
前記ECU再起動指令を既定の再起動制御ルールに従って前記異常ECUに送信し、前記ECU再起動指令に従って前記異常ECUが再起動した後も異常であることが検出されると、前記ECUファームウェアアップデート指令を前記異常ECUに送信し、前記異常ECUがファームウェアアップデートした後も異常である場合、前記ECU停止指令を前記異常ECUに送信するステップと、
のうちの少なくとも一つを含む。
具体的な実施過程において、上記方法によりECUの状態が異常であると判定した後、更に検査ノードにより制御指令を異常ECUに送信してもよい。前記ECU再起動指令を前記異常ECUに直接送信し、異常ECUは指令を受信すると再起動を実行するようにしてもよい。
あるいは、異常ECUの故障コードを特定し、再起動による回復が可能であると前記故障コードに基づいて判定した場合、前記ECU再起動指令を前記異常ECUに送信する。具体的には、再起動による回復が可能であると前記故障コードに基づいて判定することは、以下のように行ってもよい。例えば、既定のコード比較表またはコードデータベースを用いて、異常ECUの故障コードを特定して既定のコード比較表またはコードデータベースと比較し、再起動による回復が可能であると比較により判定された場合には、前記ECU再起動指令を前記異常ECUに送信する。コード記録表に該当する故障コードが記載されていなければ、異常ECUへの前記ECU再起動指令の送信を試みてもよい。再起動して回復に成功した場合、対応する記録表またはデータベースをアップデートして、対応するコードを再起動による回復が可能であるとして記録してもよい。再起動して回復に失敗した場合、対応する記録表またはデータベースをアップデートして、対応するコードを再起動による回復が不可能であるとして記録してもよい。
あるいは、前記ECU停止指令を前記異常ECUに直接送信する。異常な動作状態にある異常ECUが検出されると、ネットワーク管理メッセージを送信しているECUノードが一つでもあれば、すべてのECUノードがCAN bus sleep、すなわち低消費電力状態にはならない。そのため、異常が発生したノードが1つでもあれば、車全体が異常でスリープせず、バッテリあがりが発生する問題を引き起こす。本実施例において、車両がシステム停止状態にある場合、対応する異常ECUに停止指令を直接送信することにより、異常が発生したノードが1つでもあれば車全体が異常でスリープせず、バッテリあがりが発生する問題を解決することができる。
あるいは、前記異常ECUの故障コードを特定し、再起動による回復が不可能であると前記故障コードに基づいて判定した場合、前記ECU停止指令または前記ECUファームウェアアップデート指令を前記異常ECUに送信する。具体的な故障コード特定方法は上記を参照されたい。本実施例において、車両がシステム停止状態にある場合、対応する異常ECUに停止指令またはファームウェアアップデートを直接送信することにより、異常が発生したノードが1つでもあれば車全体が異常でスリープせず、バッテリあがりが発生する問題を解決することができる。
あるいは、前記ECUファームウェアアップデート指令を前記異常ECUに直接送信する。再起動指令の案と似た方法で、本実施例において、ファームウェアアップデートにより故障ECUを直接回復させる。
あるいは、前記ECU再起動指令を既定の再起動制御ルールに従って前記異常ECUに送信し、前記ECU再起動指令に従って前記異常ECUが再起動した後も異常であることが検出されると、前記ECU停止指令または前記ECUファームウェアアップデート指令を前記異常ECUに送信する。本実施例で言う既定の再起動制御ルールは、再起動回数としてもよい。例えば、再起動指令を三回繰り返し実行する、または、再起動指令を3回繰り返し実行するがその間に指定の間隔をおいてから再起動を実行するなどして、このような再起動制御ルールの実行後も前記ECUの状態が依然として異常であれば、前記ECU停止指令または前記ECUファームウェアアップデート指令を前記異常ECUに送信してもよい。再起動制御では異常ECUを回復させることができないので、ECUのファームウェアをアップデートまたは直接停止してもよい。
あるいは、前記ECU再起動指令を既定の再起動制御ルールに従って前記異常ECUに送信し、前記ECU再起動指令に従って前記異常ECUが再起動した後も異常であることが検出されると、前記ECUファームウェアアップデート指令を前記異常ECUに送信し、前記異常ECUがファームウェアアップデートした後も異常である場合、前記ECU停止指令を前記異常ECUに送信する。前述のプロシージャとは異なり、本実施例において、極端な状況に対して、再起動制御ルールでは異常ECUが回復できず、ファームウェアアップデートでも故障ECUが回復できない場合、本実施例においては上述の再起動とアップデートの両方の実行が完了した後に、該ECUに対して停止制御を行うことで、ECU故障による電圧レベル不足を回避することができる。
また、前記車両がシステム作動状態にある場合、制御指令を前記異常ECUに送信する前記ステップは、
ECU再起動指令を前記異常ECUに直接送信するステップと、
前記異常ECUの故障コードを特定し、再起動による回復が可能であると前記故障コードに基づいて判定した場合、前記ECU再起動指令を前記異常ECUに送信するステップと、
前記異常ECUの故障コードを特定し、再起動による回復が不可能であると前記故障コードに基づいて判定した場合、前記ECUファームウェアアップデート指令を前記異常ECUに送信するステップと、
前記ECUファームウェアアップデート指令を前記異常ECUに直接送信するステップと、
前記ECU再起動指令を既定の再起動制御ルールに従って前記異常ECUに送信し、前記ECU再起動指令に従って前記異常ECUが再起動した後も異常であることが検出されると、前記ECUファームウェアアップデート指令を前記異常ECUに送信するステップと、
のうちの少なくとも一つを含んでもよい。
具体的には、車両がシステム作動状態にある場合について、制御指令を前記異常ECUに送信することは、ECU再起動指令を前記異常ECUに直接送信することを含む。また、車両走行中に直接再起動できないECUもあるので、制御指令を前記異常ECUに送信する前に、対応する構成項目が前記異常ECUに設定されているか否かと判定する。対応する構成項目が前記異常ECUに設定されていると判定した場合、制御指令を前記異常ECUに送信してもよい。例えば、一つの可能な実施形態としては、TBOXの電源投入後、サーバから送出された、各ECUのトラフィックパラメータを保持している通知メッセージを受信して、この通知メッセージを解析することにより、各ECUに再起動スイッチが設けられているか否かを判定する。再起動スイッチが設けられていれば、システム作動状態では該ECUが再起動またはアップデート動作を実行することができることになる。本実施例において、対応する構成項目が異常ECUに設定されていると判定した場合、ECU再起動指令またはアップデート指令を異常ECUに直接送信することにより、システム作動状態において、状態回復させるようにECUを制御することができる。
あるいは、前記異常ECUの故障コードを特定し、再起動による回復が可能であると前記故障コードに基づいて判定した場合、前記ECU再起動指令を前記異常ECUに送信する。具体的な故障コード比較方式は前述の説明を参照されたい。本実施例において、システム作動状態について、再起動による回復が可能であると前記故障コードに基づいて判定した場合、前記ECU再起動指令を前記異常ECUに送信することにより、車両走行中のECU故障を回復させる。
あるいは、前記異常ECUの故障コードを特定し、再起動による回復が不可能であると前記故障コードに基づいて判定した場合、前記ECU停止指令または前記ECUファームウェアアップデート指令を前記異常ECUに送信する。すなわち、システム作動状態について、再起動による回復が不可能であると前記故障コードに基づいて判定した場合、前記ECUファームウェアアップデート指令を前記異常ECUに送信してもよい。ファームウェアアップデート後もECUが依然として異常である場合、使用者に警告して、現在の車両のあるECUが異常状態にあることを使用者に提示してもよい。もちろん、ファームウェアアップデート後もECUが依然として異常である場合、対応するECUの異常状況をサーバ側に送信し、対応する解決策をサーバ側の専門家により人為的に判定し、例えばコードを書き換えるなどすることで、ECUの異常状態をサーバ側から解決してもよい。
もちろん、これに似たように、前記ECUファームウェアアップデート指令を前記異常ECUに直接送信してもよい。あるいは、前記ECU再起動指令を既定の再起動制御ルールに従って前記異常ECUに送信し、前記ECU再起動指令に従って前記異常ECUが再起動した後も異常であることが検出されると、前記ECUファームウェアアップデート指令を前記異常ECUに送信してもよい。具体的な実行方式はシステム停止状態での実行方式と同様であるため、ここでは説明を省略する。
また、前記ターゲットECUが複数あり、複数の前記ターゲットECUの状態が異常である場合、前記ECU再起動指令を前記ターゲットECUに送信するステップは、
前記ECU再起動指令を異なる時点で複数の前記ターゲットECUに送信して、複数の前記ターゲットECUに異なる時点で再起動を実行させるステップ、
あるいは、
異常状態にある前記ターゲットECUの割合が設定割合閾値を超えた場合、前記ECU再起動指令を再起動順序に従って前記ターゲットECUに送信するステップを含んでもよい。
複数の検査ノードが車両に配置されている場合、本実施例において、各検査ノードは、自身以外のすべてのECUの動作状態を監視する。検査ノードECUとして比較的簡単な機能を持つECUが選択されるが、故障する可能性もあり、極限状況においては検査ノードのECUが一定期間内に同時に故障する可能性がある。このような状況に対して、本実施例において、前記ECU再起動指令を異なる時点で複数の前記ターゲットECUに送信して、複数の前記ターゲットECUに異なる時点で再起動を実行させてもよい。すなわち、異なる時点で再起動指令を検査ノードECUに送信することにより、複数の検査ノードがすべて故障した状況において、すべての検査ノードが同時に再起動しないことを保証する。もちろん、異なる検査ノード再起動時間遅延を設定してもよい。すなわち、再起動指令を即時に且つ同時に発するが、検査ノードは、極限状況において、設定された異なる再起動時間遅延に従って再起動を完了することで、ECUネットワーク内に少なくとも一つの検査ノードが動作状態にあることを保証してもよい。
もちろん、異常状態にある前記ターゲットECUの割合が設定割合閾値を超えているか否かを監視してもよい。例えば、車両内に4つの検査ノードが配置されているとすると、2つの検査ノードに異常が発生した場合、2つの検査ノードのECUを直接再起動させてもよい。現在の検査ノード以外の3つの検査ノードにすべて異常が発生した場合、異なる再起動優先度で再起動順序を決定してから、順次再起動させてもよい。各ECUの再起動に一定の時間間隔を設ける。例えば、あるECUの再起動完了所要時間が2minであれば、順次再起動の時間間隔を2minに設定してもよい。
以上のように、本実施例によれば、車全体のECUノードから、機能が比較的安定している複数のノードを検査ノードとして選択して、CANバスに対する検知により他のECUノードの動作状態を監視し、車載移動通信端末TBOXを介して、サーバCSP側から送出される通知メッセージを受信し、各ECUのトラフィック最長持続時間およびECUのトラフィック動作ロジックを設定してから、TBOXによりこのメッセージを他の検査ノードにブロードキャストすることが可能である。あるECUの動作異常が検査ノードにより検出され、そのトラフィック最長持続時間を超えたことが確認された場合、該ノードが異常であるとみなして、車全体の状態を判断する。重大な故障とみなされ且つその再起動条件が満たされている場合、CAN再起動のダイアグノーシス指令を該ECUに送信し、該ECUを再起動させて初期状態に回復させ、さらに正常に回復させる。そうでなければ、異常をサーバに送信し、サーバ側で人為的に判断と操作を行って、問題の初歩的な分析を行い、再起動して解決できる問題であれば、サーバ側からあるECUを再起動させればよく、自動車ディーラーに行く必要はない。これにより、異常ノードの異常動作状態が長時間維持されないことが保証される。もちろん、車両がシステム停止状態にある場合、本実施例の方法によれば、ECU異常によるバッテリあがりを回避し、使用者の車両使用体験を向上させることができる。
第2の実施例
本実施例において、車両における電子制御ユニットの管理方法を提案する。図3を参照し、この方法は以下のステップを含む。
S301において、TBOXを介してCSPサーバから送出された、各ECUのトラフィックパラメータを保持している通知メッセージを受信し、車両に配置されている他の検査ノードECUにブロードキャストする。
S302において、検査ノードは車両における少なくとも一つの電子制御ユニットECUの動作状態を監視する。
S303において、異常な動作状態にある異常ECUが検出されると、検査ノードは、制御指令を前記異常ECUに送信し、前記制御指令は、対応する回復動作をするように前記異常ECUをトリガするように構成されている。
具体的には、検査ノードとして選択可能なものは、車載移動通信端末TBOXとターゲットECUとを含んでもよいが、もちろん、そのうちの一つのみを選択してもよく、TBOXとターゲットECUを組み合わせて選択してもよい。例えば、本実施例において、TBOXと複数のターゲットECUを組み合わせて選択してもよい。本実施例において、前記ターゲットECUとしては、ECUの実際の動作パフォーマンスまたはECUの機能複雑度に応じて、動作が比較的安定しているECUまたは機能複雑度の低いECUを検査ノードとして選択してから、検査ノードであるECUを用いて、車両における少なくとも一つの電子制御ユニットECUの動作状態を監視するようにしてもよい。
TBOXの電源投入後、CSPサーバから送出された、各ECUのトラフィックパラメータを保持している通知メッセージを収集し、解析および保存し、CANを介してCANバスの他の検査ノードにブロードキャストしてもよい。これにより、すべての検査ノードは、各ECUの正常動作状態でのトラフィックパラメータを知ることになる。本実施例において、CSPサーバによってレコードされた各ECUトラフィックパラメータのフォーマットは、車全体の各ECUのネットワーク管理メッセージIDが一意であることに基づいて設定してもよい。例えば、一つの具体的なECUノードを表すECUのネットワーク管理メッセージIDをこのレコードのフラグとする。ECUから検査ノードに送信されるネットワーク管理メッセージにはKL15 offシステム停止状態とKL15 onシステム作動状態の2つのキー状態が含まれてもよい。検査ノードはこれら2つのキー状態を記録してもよい。ネットワーク管理メッセージには対応するECUのトラフィックパラメータがさらに含まれてもよい。これにより、本実施例において、ECUから送信されたネットワーク管理メッセージから現在のECUのトラフィック状態パラメータを解析により取得して、トラフィック状態パラメータと前記ECUに対応する正常なトラフィック状態パラメータを比較することにより、ECUの状態が異常であるか否かを判定することもできる。
具体的な監視手段としては、対応する物理アドレスを各ECUに割り当て、対応する物理アドレスに基づいてECUの動作状態を監視してもよい。もちろん、対応する物理アドレスに基づいて制御指令を前記異常ECUに送信してもよい。本実施例によれば、異常な動作状態にある異常ECUが検出されると、制御指令を前記異常ECUに送信することにより、実施過程によっては、異常ECUが制御指令に従って対応する回復動作を実行できるため、車全体のECUの動作安定性を向上させ、ECUの異常による車のバッテリあがりを避けて、使用者の体験を向上させることができる。
また、前記制御指令は、前記異常ECUによる再起動の実行をトリガするためのECU再起動指令と、前記異常ECUによる停止の実行をトリガするためのECU停止指令と、前記異常ECUによるファームウェアアップデートの実行をトリガするためのECUファームウェアアップデート指令と、のうちの少なくとも一つを含んでもよい。
本実施例において、システム停止状態で再起動するようにECUを制御する場合を例に挙げて説明するが、図4に示すように、本実施例の方法は、以下のステップを含む。
S401において、ECUから送信される、対応するECUのトラフィック状態パラメータを含むネットワーク管理メッセージを受信する。
S402において、車両がシステム停止状態にあると判定する。
S403において、前記トラフィック状態パラメータと前記ECUに対応する正常なトラフィック状態パラメータとの比較に基づいて、前記ECUの状態が異常であると判定する。
S404において、異常な動作状態にある異常ECUが検出されると、検査ノードは、ECU再起動指令を前記異常ECUに送信し、前記ECU再起動指令は、対応する再起動動作をするように前記異常ECUをトリガするように構成されている。
具体的な実現過程において、本願の方法によれば、検査ノードは、受信されたECUネットワーク管理メッセージのIDに基づいて動作し、このIDはあるECUを表し、すなわち、このECUがスリープレディー状態RSS状態以外にあることを意味し、このECUがネットワークの異常が維持される原因である可能性があるため、次の判定を行う。
KL15の状態を判断し、KL15がCANネットワークの正常動作を必要とする状態にある場合、現時点でこの異常監視プロセスを継続する必要はなく、すなわち現時点でECUの動作状態が正常であるとみなして、対処しない。KL15がCANネットワークの正常動作を必要としない状態にある場合、次のステップに進む。
ネットワーク管理メッセージに対応するECUがスリープレディー状態RSS状態であるか否かを判定する。RSS状態でない場合、現時点で異常監視プロセスを開始する必要はなく、ECU自身がCANネットワークの維持が必要であると考えていることを示している。この検査ECU異常がCANネットワークを維持する場合、他の検査ECUノードがこの異常を検出すると、異常保護プロセスを開始し、この異常判断基準はAutoSarのネットワーク管理プロトコルに基づいて得ることができる。
本実施例において、システム停止状態において、前記トラフィック状態パラメータと前記ECUに対応する正常なトラフィック状態パラメータとの比較に基づいて、前記ECUの状態が異常であると判定するステップは、前記ネットワーク管理メッセージからスリープレディー状態RSS情報が抽出され、RSSにある正常の持続時間を超えた場合、前記ECUの状態が異常であると判定するステップを含む。
KL15 off状態については、前記ネットワーク管理メッセージから該ECUに対応するスリープレディー状態RSS情報を抽出し、抽出されたRSS情報をRSSにある正常の持続時間と比較し、RSSにある正常の持続時間を超えた場合、前記ECUの状態が異常であると判定してもよい。システム停止状態において、正常な場合、RSSの時間内にトラフィックが完了するとRSS状態を終了することになり、RSSの状態がいつまでも維持されないため、RSSの状態がいつまでも維持されているのであれば、異常の発生したECUがあることを意味する。異常ECUは、すなわちネットワーク管理メッセージを異常に送信し続けているECUである。対応する各ECUの最大トラフィック持続時間はすべて、サーバから送出されて得てもよい。
一つの可能な実現方式として、ネットワーク管理メッセージが今回RSSにある時間を計算し、ネットワーク管理メッセージで提供される状態に基づいて今回のネットワーク管理がRSS状態に入った時間を計算することで、今回RSSが維持されている時間を判断する。正常な場合、RSSの時間内にトラフィックが完了するとRSS状態を終了することになり、RSSの状態がいつまでも維持されないため、RSSの状態がいつまでも維持されているのであれば、異常の発生したECUがあることを意味する。異常ECUは、すなわちネットワーク管理メッセージを異常に送信し続けているECUである。
今回RSSにある時間が対応するECUトラフィックの最大時間を超えているか否かを判定する。車全体における各ECUのCANネットワークに関連するトラフィックにはいずれもその最大持続時間が存在し、具体的にはサーバから送出された通知メッセージから解析して得てもよい。RSSの維持時間が、受信された、該メッセージのIDに対応するECUの最大トラフィック時間を超えている場合、該ECUトラフィックは異常であるとみなし、異常保護プロセスを継続する。
ECUの状態が異常であると判定された場合、検査ノードは、再起動指令を対応するECUに送信する。UDSサービス0x11再起動指令を送信してもい。もちろん、UDS指令である異常指令を自分で定義してもよく、この指令を受信したECUが自分のCANネットワークの異常を知り、自分で動作してCANネットワークを回復させ、すべてのCANに関連する状態をリセットする。
最後に、検査ノードは、該ECUの異常再起動メッセージをCANメッセージを通じてTBOXにブロードキャストし、TBOXはそれをCSPサーバに報告する。
再起動で問題が解決できない場合、サーバ側から人為的に判定することで、異常状態の解決策を決定してもよい。他のシステム停止状態での指令操作は、上述したプロセスに似ているため、本実施例では説明を省略する。
以上のように、本願の実施例によれば、システム停止状態で再起動するように異常ECUを制御することにより、異常ノードの異常動作状態が長時間維持されないことを保証する。もちろん、車両がシステム停止状態にある場合、本実施例の方法によれば、ECU異常によるバッテリあがりを回避し、使用者の車両使用体験を向上させることができる。
第3の実施例
本願の第3の実施例は、車両における電子制御ユニットの管理方法を提案する。図5に示すように、この方法は以下のステップを含む。
S501において、TBOXを介してCSPサーバから送出された、各ECUのトラフィックパラメータを保持している通知メッセージを受信し、車両に配置されている他の検査ノードECUにブロードキャストする。
S502において、検査ノードは車両における少なくとも一つの電子制御ユニットECUの動作状態を監視する。
S503において、異常な動作状態にある異常ECUが検出されると、検査ノードは、制御指令を前記異常ECUに送信し、前記制御指令は、対応する回復動作をするように前記異常ECUをトリガするように構成されている。
具体的には、検査ノードとして選択可能なものは、車載移動通信端末TBOXとターゲットECUとを含んでもよいが、もちろん、そのうちの一つのみを選択してもよく、TBOXとターゲットECUを組み合わせて選択してもよい。例えば、本実施例において、TBOXと3つのターゲットECUを組み合わせて選択してもよい。本実施例において、前記ターゲットECUとしては、ECUの実際の動作パフォーマンスまたはECUの機能複雑度に応じて、動作が比較的安定しているECUまたは機能複雑度の低いECUを検査ノードとして選択してから、検査ノードであるECUを用いて、車両における少なくとも一つの電子制御ユニットECUの動作状態を監視するようにしてもよい。
TBOXの電源投入後、CSPサーバから送出された、各ECUのトラフィックパラメータを保持している通知メッセージを収集し、解析および保存し、CANを介してCANバスの他の検査ノードにブロードキャストしてもよい。これにより、すべての検査ノードは、各ECUの正常動作状態でのトラフィックパラメータを知ることになる。本実施例において、CSPサーバによってレコードされた各ECUトラフィックパラメータのフォーマットは、車全体の各ECUのネットワーク管理メッセージIDが一意であることに基づいて設定してもよい。例えば、一つの具体的なECUノードを表すECUのネットワーク管理メッセージIDをこのレコードのフラグとする。ECUから検査ノードに送信されるネットワーク管理メッセージにはKL15 offシステム停止状態とKL15 onシステム作動状態の2つのキー状態が含まれてもよい。検査ノードはこれら2つのキー状態を記録してもよい。ネットワーク管理メッセージには対応するECUのトラフィックパラメータがさらに含まれてもよい。これにより、本実施例において、ECUから送信されたネットワーク管理メッセージから現在のECUのトラフィック状態パラメータを解析により取得して、トラフィック状態パラメータと前記ECUに対応する正常なトラフィック状態パラメータを比較することにより、ECUの状態が異常であるか否かを判定することもできる。
具体的な監視手段としては、対応する物理アドレスを各ECUに割り当て、対応する物理アドレスに基づいてECUの動作状態を監視してもよい。もちろん、対応する物理アドレスに基づいて制御指令を前記異常ECUに送信してもよい。本実施例によれば、異常な動作状態にある異常ECUが検出されると、制御指令を前記異常ECUに送信することにより、実施過程によっては、異常ECUが制御指令に従って対応する回復動作を実行できるため、車全体のECUの動作安定性を向上させ、ECUの異常による車のバッテリあがりを避けて、使用者の体験を向上させることができる。
また、前記制御指令は、前記異常ECUによる再起動の実行をトリガするためのECU再起動指令と、前記異常ECUによる停止の実行をトリガするためのECU停止指令と、前記異常ECUによるファームウェアアップデートの実行をトリガするためのECUファームウェアアップデート指令と、のうちの少なくとも一つを含んでもよい。
本実施例において、システム作動状態で再起動するようにECUを制御する場合を例に挙げて説明するが、図6に示すように、本実施例の方法は、以下のステップを含む。
S601において、ECUから送信される、対応するECUのトラフィック状態パラメータを含むネットワーク管理メッセージを受信する。
S602において、車両がシステム作動状態にあると判定する。
S603において、前記トラフィック状態パラメータと前記ECUに対応する正常なトラフィック状態パラメータとの比較に基づいて、前記ECUの状態が異常であると判定する。
S604において、異常な動作状態にある異常ECUが検出されると、対応する構成項目が異常ECUに設定されているか否かと判定する。
S605において、対応する構成項目が異常ECUに設定されていると判定されると、検査ノードは、ECU再起動指令を前記異常ECUに送信し、前記ECU再起動指令は、対応する再起動動作をするように前記異常ECUをトリガするように構成されている。
S606において、対応する構成項目が異常ECUに設定されていないと判定されると、検査ノードは、異常ECUをサーバに報告するとともに、サーバから送出された再起動指令を受信し解析してから異常ECUに送信する。
本実施例では、システム作動走行状態での電子制御ユニットの管理方法に対応する。システム作動状態において、検査ノードは、CANバスを利用して他のECUの、ECUのトラフィック状態が保持されているAPPメッセージを受信する。
そして、メッセージに基づいてKL15の状態を判断し、KL15がONであれば本プロセスを続行し、そうでなければプロセスを終了する。
本実施例におけるシステム作動状態でのECU異常判定には、以下の2つの方法を含んでもよい。
ECUから送信されるネットワーク管理メッセージを正常に受信できないと判定した場合、前記ECUの動作状態が異常であると判定する。
一つの任意の実施形態において、ECUがネットワーク管理メッセージを送信できない状態にあれば、ECUから送信されるネットワーク管理メッセージを正常に受信できない状況に基づいて、ECUの状態が異常であると直接判定してもよい。例えば、システム作動状態において、サーバから送出された、正常なネットワーク管理メッセージの送信間隔がt1であるとすると、t1時間が経過しても、検査ノードが該ECUのネットワーク管理メッセージを受信できなかった場合、該ECUの状態が異常であると直接判定してもよい。
サーバから送出された、対応するECUのトラフィック状態に基づいて、メッセージ内のECUのトラフィック状態を比較し、現在のメッセージ内のトラフィック状態とレコードのトラフィック状態とが一致するか否かを判定する。
もう一つの形態において、例えばKL15 onシステム作動状態において、システム作動状態でのトラフィック状態パラメータとサーバから送出された正常走行時のトラフィック状態パラメータとが一致しない場合、前記ECUの状態が異常であると直接判定してもよい。正常走行時のトラフィック状態パラメータは、電源投入時にサーバから送出されて得てもよく、ローカルストレージを読み取ることで得てもよい。
ECUが異常であると判定された後、本実施例において、異常が確認された時点を開始時点として異常時間を累積してもよい。もちろん、その代わりに、ECUが正常であると判定された場合、異常時間をゼロにリセットしてもよい。異常時間を累積した後に、さらに異常時間の累積値が設定された最大異常時間を超えているか否かを判定する。最大異常時間を超えたと判定してから、さらに、対応する構成項目が異常ECUに設定されているか否かを判定する。構成項目について、一つの任意の実施形態としては、TBOXの電源投入後、サーバから送出された、各ECUのトラフィックパラメータを保持している通知メッセージを受信して、この通知メッセージを解析することにより、各ECUに再起動スイッチが設けられているか否かを判定し、再起動スイッチが設けられていれば、システム作動状態では該ECUが再起動動作を実行することができることになる。本実施例において、対応する構成項目が異常ECUに設定されていると判定した場合、ECU再起動指令を異常ECUに直接送信することにより、システム作動状態において、状態回復させるようにECUを制御することができる。
対応する構成項目が異常ECUに設定されていないと判定されると、検査ノードは、ECUのトラフィック状態が異常である旨の緊急イベントをTBOXに報告し、さらにTBOXによりCSPサーバに報告し、CSPサーバにより装置を再起動させる必要があるか否かを判定する。該ECUを再起動させる必要があるとサーバ側で判定された場合、TBOXはサーバから送出された再起動指令を受信し解析してから、対応するECUに送信する。
以上のように、本願の実施例によれば、システム作動状態で再起動するように異常ECUを制御することにより、異常ノードの異常動作状態が長時間維持されないことを保証する。これにより、車両の安定した運転を保証し、使用者が自動車ディーラーに行く回数を効果的に減らし、使用者の車両使用体験を向上させる。
第4の実施例
本願の実施例はさらに、電子制御ユニットを提供する。前記電子制御ユニットは、プロセッサと、メモリと、通信バスとを備える。
前記通信バスは、プロセッサとメモリとの間の接続や通信を実現するように構成されている。
前記プロセッサは、メモリに記憶されている一つまたは複数のコンピュータプログラムを実行することで、第1、第2、および第3の実施例の車両における電子制御ユニットの管理方法のステップを実現するように構成されている。
本願の実施例はさらに、自動車を提供し、前記自動車は前述の電子制御ユニットを備える。
本願の実施例はさらに、コンピュータ可読記憶媒体を提供する。前記コンピュータ可読記憶媒体には、一つまたは複数のコンピュータプログラムが記憶されており、前記一つまたは複数のプログラムは、一つまたは複数のプロセッサにより実行されることで、第1、第2、および第3の実施例の車両おける電子制御ユニットの管理方法のステップを実現できる。
本願の実施例により提供される車両におけるECUの管理方法、ECU、自動車および可読記憶媒体によれば、異常な動作状態にある異常ECUが検出されると、制御指令を前記異常ECUに送信することにより、実施過程によっては、異常ECUが制御指令に従って対応する回復動作を実行できるため、車全体のECUの動作安定性を向上させ、ECUの異常による車のバッテリあがりを避けて、使用者の体験を向上させることができる。
これにより分かるように、上記で開示された方法のステップの全てまたは一部、システム、装置における機能モジュール/ユニットは、ソフトウェア(コンピューティング装置によって実行可能なコンピュータプログラムコードによって実装できる)、ファームウェア、ハードウェア、及びそれらの適切な組み合わせとして実装されてもよい。ハードウェアによる実施形態において、上記説明で言及された機能モジュール/ユニット間の区分は、物理的組立体の区分に必ずしも対応しているとは限らず、例えば、一つの物理的組立体は複数の機能を有してもよく、または、一つの機能またはステップはいくつかの物理的組立体によって協働して実行されてもよい。いくつかの物理的組立体またはすべての物理的組立体は、中央処理装置、デジタルシグナルプロセッサまたはマイクロプロセッサのようなプロセッサによって実行されるソフトウェアとして、あるいはハードウェアとして、あるいは特定用途向け集積回路のような集積回路として実施されてもよい。
さらに、通信媒体は通常、コンピュータ可読指令、データ構造、コンピュータプログラムモジュール、または搬送波もしくは他の伝送メカニズムのような変調データ信号中の他のデータを含み、任意の情報伝送媒体を含んでもよい。したがって、本願は、いかなる特定のハードウェア及びソフトウェアの組み合わせにも限定されない。
以上の内容は、本願の実施例を具体的な実施形態を合わせてさらに詳しく説明したものであり、本願の具体的な実施例がこれらの説明に限定されると認めるべきではない。本願が属する技術分野の当業者にとって、本願の発明構想を逸脱することなく、いくつかの簡単な推断演繹または置換を行うことができ、それらはいずれも本願の保護範囲に属するとみなすべきである。

Claims (7)

  1. 車両に配置された検査ノードにより、前記車両における少なくとも一つの電子制御ユニットECUの動作状態を監視するステップであって、前記検査ノードは、車載移動通信端末とターゲットECUとのうちの少なくとも一つを含むステップと、
    前記検査ノードが、異常な動作状態にある異常ECU検出ると、制御指令を前記異常ECUに送信するステップであって、前記制御指令は、対応する回復動作をするように前記異常ECUをトリガするように構成されているステップと
    を含み、
    前記検査ノードが、異常な動作状態にある異常ECUを検出することは、
    前記検査ノードが、ECUから送信される、対応するECUのトラフィック状態パラメータを含むネットワーク管理メッセージを受信するステップと、
    前記検査ノードが、前記トラフィック状態パラメータと前記ECUに対応する正常なトラフィック状態パラメータとの比較に基づいて、前記ECUの状態が異常であると判定するステップと、
    を含み、
    前記検査ノードが、前記トラフィック状態パラメータと前記ECUに対応する正常なトラフィック状態パラメータとの比較に基づいて、前記ECUの状態が異常であると判定するステップは、
    前記検査ノードが、前記トラフィック状態パラメータと正常走行時のトラフィック状態パラメータとが一致しない場合、前記ECUの状態が異常であると判定するステップと、
    前記検査ノードが、前記ネットワーク管理メッセージからスリープレディー状態RSS情報が抽出され、RSSにある正常の持続時間を超えた場合、前記ECUの状態が異常であると判定するステップと、
    のうちの少なくとも一つを含む、車両における電子制御ユニットの管理方法。
  2. 前記制御指令は、前記異常ECUによる再起動の実行をトリガするためのECU再起動指令と、前記異常ECUによる停止の実行をトリガするためのECU停止指令と、前記異常ECUによるファームウェアアップデートの実行をトリガするためのECUファームウェアアップデート指令と、のうちの少なくとも一つを含み、
    前記車両がシステム停止状態にある場合、制御指令を前記異常ECUに送信する前記ステップは、
    前記ECU再起動指令を前記異常ECUに直接送信するステップと、
    前記異常ECUの故障コードを特定し、再起動による回復が可能であると前記故障コードに基づいて判定した場合、前記ECU再起動指令を前記異常ECUに送信するステップと、
    前記ECU停止指令を前記異常ECUに直接送信するステップと、
    前記異常ECUの故障コードを特定し、再起動による回復が不可能であると前記故障コードに基づいて判定した場合、前記ECU停止指令または前記ECUファームウェアアップデート指令を前記異常ECUに送信するステップと、
    前記ECUファームウェアアップデート指令を前記異常ECUに直接送信するステップと、
    前記ECU再起動指令を既定の再起動制御ルールに従って前記異常ECUに送信し、前記ECU再起動指令に従って前記異常ECUが再起動した後も異常であることが検出されると、前記ECU停止指令または前記ECUファームウェアアップデート指令を前記異常ECUに送信するステップと、
    前記ECU再起動指令を既定の再起動制御ルールに従って前記異常ECUに送信し、前記ECU再起動指令に従って前記異常ECUが再起動した後も異常であることが検出されると、前記ECUファームウェアアップデート指令を前記異常ECUに送信し、前記異常ECUがファームウェアアップデートした後も異常である場合、前記ECU停止指令を前記異常ECUに送信するステップと、
    のうちの少なくとも一つを含む請求項1に記載の車両における電子制御ユニットの管理方法。
  3. 前記制御指令は、前記異常ECUによる再起動の実行をトリガするためのECU再起動指令と、前記異常ECUによるファームウェアアップデートの実行をトリガするためのECUファームウェアアップデート指令と、のうちの少なくとも一つを含み、
    前記車両がシステム作動状態にある場合、制御指令を前記異常ECUに送信する前記ステップは、
    前記ECU再起動指令を前記異常ECUに直接送信するステップと、
    前記異常ECUの故障コードを特定し、再起動による回復が可能であると前記故障コードに基づいて判定した場合、前記ECU再起動指令を前記異常ECUに送信するステップと、
    前記異常ECUの故障コードを特定し、再起動による回復が不可能であると前記故障コードに基づいて判定した場合、前記ECUファームウェアアップデート指令を前記異常ECUに送信するステップと、
    前記ECUファームウェアアップデート指令を前記異常ECUに直接送信するステップと、
    前記ECU再起動指令を既定の再起動制御ルールに従って前記異常ECUに送信し、前記ECU再起動指令に従って前記異常ECUが再起動した後も異常であることが検出されると、前記ECUファームウェアアップデート指令を前記異常ECUに送信するステップと、
    のうちの少なくとも一つを含む請求項1に記載の車両における電子制御ユニットの管理方法。
  4. 前記ECU再起動指令または前記ECUファームウェアアップデート指令を送信する前に、対応する構成項目が前記異常ECUに設定されていると判定するステップを
    さらに含む請求項3に記載の車両における電子制御ユニットの管理方法。
  5. 前記ターゲットECUが複数あり、複数の前記ターゲットECUの状態が異常である場合ECU再起動指令を前記ターゲットECUに送信するステップは、
    前記ECU再起動指令を異なる時点で複数の前記ターゲットECUに送信して、複数の前記ターゲットECUに異なる時点で再起動を実行させるステップ、
    あるいは、異常状態にある前記ターゲットECUの割合が設定割合閾値を超えた場合、前記ECU再起動指令を再起動順序に従って前記ターゲットECUに送信するステップ
    を含む請求項に記載の車両における電子制御ユニットの管理方法。
  6. プロセッサと、メモリと、通信バスとを備える電子制御ユニットであって、
    前記通信バスは、プロセッサとメモリとの間の接続や通信を実現するように構成され、前記プロセッサは、メモリに記憶されている一つまたは複数のコンピュータプログラムを実行することで、請求項1からの何れか一項に記載の車両における電子制御ユニットの管理方法のステップを実現するように構成される
    電子制御ユニット。
  7. 一つまたは複数のコンピュータプログラムを記憶しているコンピュータ可読記憶媒体であって、
    前記一つまたは複数のコンピュータプログラムは、一つまたは複数のプロセッサにより実行されることで、請求項1からの何れか一項に記載の車両における電子制御ユニットの管理方法のステップを実現できる
    コンピュータ可読記憶媒体。
JP2023519856A 2020-11-09 2021-11-03 車両におけるecuの管理方法、ecuおよび可読記憶媒体 Active JP7508703B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN202011240019.5 2020-11-09
CN202011240019.5A CN114460913A (zh) 2020-11-09 2020-11-09 一种车辆上的ecu管理方法、ecu以及可读存储介质
PCT/CN2021/128411 WO2022095896A1 (zh) 2020-11-09 2021-11-03 一种车辆上的ecu管理方法、ecu以及可读存储介质

Publications (2)

Publication Number Publication Date
JP2023547782A JP2023547782A (ja) 2023-11-14
JP7508703B2 true JP7508703B2 (ja) 2024-07-01

Family

ID=81404918

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2023519856A Active JP7508703B2 (ja) 2020-11-09 2021-11-03 車両におけるecuの管理方法、ecuおよび可読記憶媒体

Country Status (6)

Country Link
US (1) US20230367664A1 (ja)
EP (1) EP4206839A4 (ja)
JP (1) JP7508703B2 (ja)
CN (1) CN114460913A (ja)
CA (1) CA3193979A1 (ja)
WO (1) WO2022095896A1 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220146131A (ko) * 2021-04-23 2022-11-01 현대자동차주식회사 차량 및 그 제어 방법
CN115346287B (zh) * 2022-07-18 2024-06-07 北京经纬恒润科技股份有限公司 信息配置方法及装置
CN115396293A (zh) * 2022-08-23 2022-11-25 科东(广州)软件科技有限公司 一种通信异常处理***、方法、装置和存储介质
US20240227825A1 (en) * 2023-01-10 2024-07-11 Qualcomm Incorporated Testing mixed safety systems

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002108638A (ja) 2000-09-28 2002-04-12 Nec Microsystems Ltd マイクロコンピュータのエラー検出方法及びエラー検出回路及びマイクロコンピュータシステム
JP2004326629A (ja) 2003-04-28 2004-11-18 Fujitsu Ten Ltd 異常監視装置
WO2019159615A1 (ja) 2018-02-14 2019-08-22 日立オートモティブシステムズ株式会社 車両監視システム
WO2020075808A1 (ja) 2018-10-11 2020-04-16 日本電信電話株式会社 情報処理装置、ログ分析方法及びプログラム

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1013494A (ja) * 1996-06-20 1998-01-16 Fujitsu Ltd 伝送装置及びその復旧方式
CN104281071B (zh) * 2013-07-05 2017-07-11 广州汽车集团股份有限公司 一种ecu的启动方法和ecu启动***
JP6102692B2 (ja) * 2013-11-22 2017-03-29 株式会社デンソー 電子制御装置
US11329953B2 (en) * 2017-03-09 2022-05-10 Argus Cyber Security Ltd. System and method for providing cyber security to an in-vehicle network
WO2019142180A1 (en) * 2018-01-16 2019-07-25 C2A-Sec, Ltd. Intrusion anomaly monitoring in a vehicle environment

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002108638A (ja) 2000-09-28 2002-04-12 Nec Microsystems Ltd マイクロコンピュータのエラー検出方法及びエラー検出回路及びマイクロコンピュータシステム
JP2004326629A (ja) 2003-04-28 2004-11-18 Fujitsu Ten Ltd 異常監視装置
WO2019159615A1 (ja) 2018-02-14 2019-08-22 日立オートモティブシステムズ株式会社 車両監視システム
WO2020075808A1 (ja) 2018-10-11 2020-04-16 日本電信電話株式会社 情報処理装置、ログ分析方法及びプログラム

Also Published As

Publication number Publication date
CN114460913A (zh) 2022-05-10
JP2023547782A (ja) 2023-11-14
EP4206839A1 (en) 2023-07-05
WO2022095896A1 (zh) 2022-05-12
CA3193979A1 (en) 2022-05-12
US20230367664A1 (en) 2023-11-16
EP4206839A4 (en) 2024-03-06

Similar Documents

Publication Publication Date Title
JP7508703B2 (ja) 車両におけるecuの管理方法、ecuおよび可読記憶媒体
CN112380045B (zh) 车辆异常检测方法、装置、设备及存储介质
KR101393539B1 (ko) 자동차 통합 네트워크 시스템
CN112034818A (zh) 一种控制器故障分析方法及***
KR20160009287A (ko) 차량 전자제어유닛의 이상 진단을 위한 블랙박스장치 및 이의 제어 방법
CN112763813A (zh) 用于检测车辆的电池放电原因的设备和方法
CN108650282B (zh) 一种车辆远程上电的失效控制方法及***
CN116483649A (zh) 代客泊车***的进程监控方法、装置、车辆及存储介质
CN115230618A (zh) 车辆及其控制方法
CN115390539A (zh) 车辆异常休眠诊断方法、装置、车辆及存储介质
CN111204347B (zh) 车辆配置信息的控制方法、装置和车辆
CN113467953A (zh) 服务状态的切换方法、装置、服务器及存储介质
RU2816885C2 (ru) Способ взаимодействия с вычислительным устройством на бортовой шине транспортного средства
CN114026537A (zh) 用于在车辆的车载总线上与计算机进行对话的方法
KR101231933B1 (ko) 전자 장비의 오류 관리 시스템 및 방법
US20230373500A1 (en) Management of supervision of an electronic component of a land motor vehicle
JP7491240B2 (ja) 情報処理装置、情報処理方法、およびプログラム
CN114655140B (zh) 一种车辆启动控制方法和相关装置
WO2023106072A1 (ja) 車載装置、プログラム、プログラムの更新方法、及び車載更新システム
CN112799370B (zh) 一种控制装置、车载***软件还原方法及其***
WO2023223940A1 (ja) 車載装置、プログラム及び情報処理方法
CN117201375A (zh) Ecu异常唤醒网络的检测方法、装置、车辆及存储介质
EP4377179A1 (en) Method for operating an autonomous driving vehicle
CN117135187A (zh) 车辆ota通道状态诊断***及方法
CN115048262A (zh) 一种用于智能终端检测监控app是否被停止运行的方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230330

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20230725

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20240329

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240402

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240604

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240611

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240619

R150 Certificate of patent or registration of utility model

Ref document number: 7508703

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150