JP2007001420A - Control unit for vehicle - Google Patents
Control unit for vehicle Download PDFInfo
- Publication number
- JP2007001420A JP2007001420A JP2005183557A JP2005183557A JP2007001420A JP 2007001420 A JP2007001420 A JP 2007001420A JP 2005183557 A JP2005183557 A JP 2005183557A JP 2005183557 A JP2005183557 A JP 2005183557A JP 2007001420 A JP2007001420 A JP 2007001420A
- Authority
- JP
- Japan
- Prior art keywords
- module
- drive
- control
- application
- state
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
- Small-Scale Networks (AREA)
Abstract
Description
この発明は、自動車用制御ユニットに関し、特に自動車上の他の制御ユニットとシリアル通信バスにより接続された形で使用される自動車用制御ユニットに関する。 The present invention relates to an automobile control unit, and more particularly to an automobile control unit used in a form connected to another control unit on the automobile by a serial communication bus.
自動車には、各種機器(被制御要素)を制御するために、マイクロプロセッサ(ハードウェア制御主体)からなるECUが搭載されている。このようなECUとして、自動車上の他のECUと通信バスを介して通信できるようにしたマイクロプロセッサが使用されている。一つのECUは、一般には複数機能を統括的に司るために、制御処理用のアプリケーションも複数搭載されるのが常である。各アプリケーションによる制御は、ECUのプラットフォーム機能の一部として形成されたスケジューラによって順次起動され、プラットフォーム内の状態管理プログラムが、一連のアプリケーションの状態をまとめて管理するようになっており、制御状態を判定して状態遷移処理を行なう方式がとられる。シリアル通信処理を行なう場合、シリアル通信バスを介してアプリケーションが使用する制御用メッセージを受信する処理と、アプリケーションからの制御用メッセージがシリアル通信バス上に送信する処理とが必要になるが、その送受信のタイミングが、アプリケーション側の制御状態と適合している必要がある。この場合、ECUハードウェアによる通信バスとの間の直接的なメッセージ送受信のための駆動処理と、送受信に係るメッセージを、通信ハードウェア側とアプリケーション側との間で中継する中継処理と、アプリケーション側の状態遷移を監視しつつ、送受信に係るメッセージの中継タイミングの意思決定を行なう駆動管理処理とが、互いに独立して行なわれることが必要となり、それぞれが異なるプログラムモジュールにより非同期に実行されることとなる。 In order to control various devices (controlled elements), an automobile is equipped with an ECU composed of a microprocessor (hardware control main body). As such an ECU, a microprocessor that can communicate with other ECUs on a vehicle via a communication bus is used. In general, a single ECU is generally equipped with a plurality of control processing applications in order to generally control a plurality of functions. Control by each application is sequentially activated by a scheduler formed as a part of the platform function of the ECU, and the status management program in the platform manages the status of a series of applications collectively. A method of determining and performing state transition processing is employed. When serial communication processing is performed, processing for receiving a control message used by an application via the serial communication bus and processing for transmitting a control message from the application on the serial communication bus are required. The timing needs to match the control state on the application side. In this case, drive processing for direct message transmission / reception with the communication bus by the ECU hardware, relay processing for relaying messages related to transmission / reception between the communication hardware side and the application side, and the application side Drive management processing for determining the relay timing of messages related to transmission / reception while monitoring the state transition of each of them must be performed independently of each other, each being executed asynchronously by different program modules; Become.
上記のような方式で通信に異常が発生した場合、その異常対応処理も、各プログラムモジュールが全体に与える影響を考慮して非同期に行なうことになる。しかし、このようなモジュール単位での異常処理では、各モジュールが異常発生の認識に一定数の処理ステップを消費するために、発生した異常に対応する処理がなされるまでに時間を要する問題がある。また、同時に発生した異常処理をまとめて処理することもできない。 When an abnormality occurs in communication by the method described above, the abnormality handling process is also performed asynchronously in consideration of the influence of each program module on the whole. However, in such abnormal processing in units of modules, each module consumes a certain number of processing steps for recognizing the occurrence of an abnormality, so that there is a problem that it takes time until processing corresponding to the generated abnormality is performed. . In addition, it is also impossible to collectively process abnormal processes that occur at the same time.
本発明の課題は、シリアル通信処理を、複数のプログラムモジュールにより非同期に実行する場合においても、通信異常発生時に迅速かつ的確に対応できる異常処理機能を有した自動車用制御ユニットを提供することにある。 An object of the present invention is to provide an automobile control unit having an abnormality processing function capable of quickly and accurately responding to a communication abnormality even when serial communication processing is executed asynchronously by a plurality of program modules. .
上記の課題を解決するために、本発明の自動車用制御ユニットは、
CPUからなる主制御部を有し、自動車上の他の制御ユニットとシリアル通信バスにより接続され、自動車上に搭載される電子機器の制御処理を、予め定められた複数のアプリケーションの実行に基づいて実施する自動車用制御ユニットであって、
アプリケーションによる電子機器の制御状態を管理するとともに、制御状態を判定して状態遷移処理を行なうアプリケーション状態管理手段と、
シリアル通信バスを介してアプリケーションが使用する制御用メッセージを受信する処理と、他方、アプリケーションからの制御用メッセージをシリアル通信バス上に送信する処理とを、主制御部による通信ソフトウェアの実行に基づいて実施するシリアル通信制御手段とを有し、通信ソフトウェアが、
制御用メッセージの通信バスへの送信ないし通信バスからの受信のために、通信バスに接続されたシリアル通信インターフェースを駆動する駆動モジュールと、
駆動モジュールとアプリケーションとの間の送受信中継処理として、アプリケーションからの制御用メッセージの送受信要求を受け付けるとともに、駆動モジュールが受信した制御用メッセージをアプリケーションに転送する一方、アプリケーションから送信要求のあった制御用メッセージを駆動モジュールに転送する中継モジュールと、
アプリケーション状態管理手段による制御状態が、該アプリケーションにおける制御用メッセージの送受信に適した状態に遷移しているか否かを判定し、該判定結果に基づいて駆動モジュール及び中継モジュールに対する制御用メッセージの送受信に関する指令を行なう駆動管理モジュールと、
駆動モジュール、中継モジュール及び駆動管理モジュールのうち、少なくとも駆動管理モジュールからの異常発生報告を受け、駆動モジュール、中継モジュール及び駆動管理モジュールのそれぞれに一元的な異常発生通知を行なう異常監視モジュールと、を有することを特徴とする。
In order to solve the above problems, the control unit for automobiles of the present invention includes:
Based on the execution of a plurality of predetermined applications, a main control unit comprising a CPU is connected to another control unit on the automobile via a serial communication bus, and the electronic equipment mounted on the automobile is controlled. An automotive control unit to implement,
Application state management means for managing the control state of the electronic device by the application and determining the control state and performing state transition processing;
Processing for receiving a control message used by an application via the serial communication bus and processing for transmitting a control message from the application on the serial communication bus based on execution of communication software by the main control unit Serial communication control means to implement, communication software,
A drive module for driving a serial communication interface connected to the communication bus for transmitting a control message to the communication bus or receiving from the communication bus;
As a transmission / reception relay process between the drive module and the application, the control message received from the application is received and the control message received by the drive module is transferred to the application. A relay module that forwards messages to the drive module;
It is determined whether or not the control state by the application state management means has transitioned to a state suitable for transmission / reception of a control message in the application, and based on the determination result, transmission / reception of a control message to / from the drive module and the relay module A drive management module for commanding;
An abnormality monitoring module that receives at least an abnormality occurrence report from the drive management module among the drive module, the relay module, and the drive management module, and performs unified abnormality occurrence notification to each of the drive module, the relay module, and the drive management module; It is characterized by having.
上記の構成によると、アプリケーションとシリアル通信バスとの間での通信メッセージの送受信処理が、駆動モジュールと、中継モジュールと、駆動管理モジュールとの連携により、制御状態に状態遷移に合わせて的確に実施することができる。そして、通信異常が発生した場合は、駆動モジュール、中継モジュール及び駆動管理モジュールのうち、少なくとも駆動管理モジュールからの異常発生報告を受け、駆動モジュール、中継モジュール及び駆動管理モジュールのそれぞれに一元的な異常発生通知を行なうようにしたから、これら3つのモジュールによる非同期のシリアル通信処理であるにもかかわらず、通信異常発生への対応処理を迅速かつ的確に実施できる。 According to the above configuration, communication message transmission / reception processing between the application and the serial communication bus is performed accurately in accordance with the state transition to the control state by cooperation of the drive module, relay module, and drive management module. can do. When a communication abnormality occurs, at least an abnormality occurrence report is received from the drive management module among the drive module, the relay module, and the drive management module, and the abnormality is centralized in each of the drive module, the relay module, and the drive management module. Since the occurrence notification is performed, the processing for dealing with the occurrence of the communication abnormality can be performed quickly and accurately despite the asynchronous serial communication processing by these three modules.
この場合、駆動管理モジュール、中継モジュール及び駆動モジュールが、予め定められた異常状態が成立した場合に、いずれも異常監視モジュールに異常報告を個別に行なうように構成しておくと、各モジュールレベルに特有の通信異常にきめ細かく対応することができる。駆動管理モジュール、中継モジュール、駆動モジュール及び異常監視モジュールは、予め定められた時系列順序にて周期的に実行するようにしておくと、モジュール間の処理のコンフリクトが発生せず、時分割による効率的な非同期処理が可能となる。 In this case, if the drive management module, the relay module, and the drive module are configured so that when the predetermined abnormal state is established, the abnormality monitoring module individually reports the abnormality to each module level, It is possible to meticulously cope with specific communication abnormalities. If the drive management module, the relay module, the drive module, and the abnormality monitoring module are periodically executed in a predetermined time-series order, processing conflict between modules does not occur, and the efficiency by time division Asynchronous processing is possible.
異常監視モジュールは、異常発生時に通信ソフトウェアの動作をスリープ状態に移行させるスリープ指示を行なうものとして構成することができる。通信異常発生時にECUが余計な動作を行なわず一旦スリープすることで、ECU動作を介して異常不具合が以降の処理に伝播することを防止できる。また、再度通信が必要か否かを上位のアプリケーションからの指示を待って判断することで、シリアル通信全体への影響を少なくすることができる。 The abnormality monitoring module can be configured to issue a sleep instruction for shifting the operation of the communication software to the sleep state when an abnormality occurs. When the communication abnormality occurs, the ECU once sleeps without performing any extra operation, so that it is possible to prevent the abnormal malfunction from being propagated to the subsequent processes via the ECU operation. Further, it is possible to reduce the influence on the entire serial communication by determining whether or not the communication is necessary again after waiting for an instruction from the upper application.
上記した機能からもわかる通り、中継モジュール及び駆動モジュールによる送受信処理の統括管理は駆動管理モジュールが行なっている。従って、スリープ状態に移行するためのハードウェアないしソフトウェアの準備設定を、適切なタイミングで実施できるようにする観点から、異常監視モジュールは、異常発生時に駆動管理モジュールを介して駆動モジュールにスリープ指示を行なうものとすることが望ましい。 As can be seen from the above functions, the drive management module performs overall management of transmission / reception processing by the relay module and the drive module. Therefore, from the viewpoint of enabling hardware or software preparation settings for shifting to the sleep state at an appropriate timing, the abnormality monitoring module issues a sleep instruction to the drive module via the drive management module when an abnormality occurs. It is desirable to do it.
駆動管理モジュール、中継モジュール及び駆動モジュールは、この順序にて周期的に実行することができる。中継モジュール及び駆動モジュールによる送受信タイミング調整をスムーズに行なうには、駆動管理モジュール、中継モジュール及び駆動モジュールをこの順序で立ち上げるのが合理的である。そして、異常監視モジュールは、駆動管理モジュール、中継モジュール及び駆動モジュールのいずれかから異常発生通知を受けることにより、それら駆動管理モジュール、中継モジュール及び駆動モジュールの全てにスリープ指令を行ない、制御ユニットハードウェアのスリープ設定を行なうように構成することで、上記のごとく異常発生時に駆動管理モジュールを介して駆動モジュールにスリープ指示を行なう処理もスムーズに進めることができる。 The drive management module, the relay module, and the drive module can be periodically executed in this order. In order to smoothly adjust the transmission / reception timing by the relay module and the drive module, it is reasonable to start up the drive management module, the relay module, and the drive module in this order. The abnormality monitoring module receives an abnormality occurrence notification from any one of the drive management module, the relay module, and the drive module, and issues a sleep command to all of the drive management module, the relay module, and the drive module. By configuring so as to perform the sleep setting, as described above, it is possible to smoothly proceed the process of issuing a sleep instruction to the drive module via the drive management module when an abnormality occurs.
次に、本発明の自動車用制御ユニットは、アプリケーション状態管理手段が行なう状態遷移処理に伴い、遷移により設定された制御状態が制御状態特定情報の形で制御状態メモリに記憶されるよう構成することができる。この場合、駆動管理モジュールは、制御状態メモリの記憶内容に基づいてアプリケーション側の異常判定を行ない、異常監視モジュールに異常発生報告を行なうものとすることができる。通信異常が発生した場合、状態遷移設定の際に一度書き込まれた制御状態特定情報が、アプリケーション状態管理手段を司るソフトウェア以外による不正なメモリアクセスにより書き換えられることが多い。従って、これを利用すれば、制御状態メモリの記憶内容を確認することにより、通信異常の有無を容易に判定することができる。具体的には、制御状態メモリには、状態遷移が発生するたびに、制御状態特定情報とともに、そのミラー情報が記憶され、駆動管理モジュールは、該制御状態特定情報と該ミラー情報とを照合し、その照合結果に基づいて異常判定を行なうものとすることができる。ミラー情報は、アプリケーション状態管理手段が状態遷移設定に伴い、制御状態特定情報と対にして意図的に作成されるものであり、通信異常による不正アクセスでは、制御状態特定情報とそのミラー情報とが照合の取れた形で同時に書き換わる可能性は限りなくゼロに近い。従って、制御状態特定情報と対応するミラー情報との照合により、通信異常が発生したか否かを的確に判定することができる。 Next, the automobile control unit of the present invention is configured so that the control state set by the transition is stored in the control state memory in the form of control state specifying information in accordance with the state transition process performed by the application state management means. Can do. In this case, the drive management module can perform an abnormality determination on the application side based on the storage contents of the control state memory, and report an abnormality occurrence to the abnormality monitoring module. When a communication error occurs, the control state specifying information once written at the time of setting the state transition is often rewritten by an unauthorized memory access by software other than the software that manages the application state management means. Therefore, if this is used, it is possible to easily determine the presence or absence of communication abnormality by confirming the storage contents of the control state memory. Specifically, each time a state transition occurs, the control state memory stores the mirror information together with the control state specifying information, and the drive management module collates the control state specifying information with the mirror information. The abnormality determination can be performed based on the collation result. The mirror information is intentionally created by the application state management means in combination with the control state specifying information in accordance with the state transition setting. In the case of unauthorized access due to a communication error, the control state specifying information and its mirror information are The possibility of rewriting at the same time in a collated form is almost zero. Therefore, it is possible to accurately determine whether or not a communication abnormality has occurred by comparing the control state specifying information with the corresponding mirror information.
以下、本発明の実施の形態を、図面を参照して説明する。
図1は、本発明の自動車用スリープ制御システムの概念が適用されるECUの電気的な構成図である。ECU1は、CPU3、ROM5、RAM4及び入出力部(I/Oポート)2がバス接続されたマイクロプロセッサからなる。ECU1は、本実施形態では自動車のボデー系の制御を司るボデー系ECUとして構成され、図2はその概略アーキテクチャを示すものである。マイクロプロセッサからなるハードウェア制御主体上に搭載されるソフトウェアは、プラットフォームと、そのプラットフォーム上で動作する、ボデー系機能を実現するためのアプリケーションである。なお、複数のアプリケーションを区別するために、1〜nの記号を付して示した。プラットフォームは、ベースとなるハードウェアが相違する場合にも、各アプリケーションに共通の動作環境を与えるためのものであり、該アプリケーションに対する基本ソフト(OS)のほか、アプリケーションやハードウェアとの連携を図るインターフェースプログラムなどを含んで構成されるが、概念的には周知の部分なので説明の詳細は省略する。
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
FIG. 1 is an electrical configuration diagram of an ECU to which the concept of an automobile sleep control system of the present invention is applied. The
アプリケーションは、車両利用者による車両各部の操作に係る機能であるボデー系機能を実現するものである。このボデー系機能とは、具体的には、ドア開閉に伴う制御、窓開閉に伴う制御、ライトスイッチのオン/オフに伴う制御、キーレスエントリ方式等に採用されるワイヤレスドアロック機構の制御、・・・といったものをいう。具体的には、以下のようなものを例示できる:
・運転席ドア、助手席ドア、後部右側座席ドア、後部左側座席ドア、ルーフなどのロック/ロック解除、パワーウィンドウ動作など。
・エアコン、カーオーディオ、カーナビゲーションシステムなどの電源動作など。
・ルームランプ、コックピットランプ、ヘッドライト、スモールランプ、ハザードランプ、テールランプなどのスイッチ点灯制御など。
各アプリケーション1、2、‥は、図1のROM5に記憶されており、RAM4の各アプリケーションに対応したワークエリア上でCPU3により実行される。
The application realizes a body function that is a function related to operation of each part of the vehicle by the vehicle user. Specifically, the body system functions include control associated with opening / closing of a door, control associated with opening / closing of a window, control associated with turning on / off a light switch, control of a wireless door lock mechanism employed in a keyless entry system, etc.・ ・ Etc. Specific examples include the following:
-Driver door, passenger door, rear right seat door, rear left seat door, roof lock / unlock, power window operation, etc.
・ Power supply operation for air conditioners, car audio systems, car navigation systems, etc.
-Switch lighting control for room lamp, cockpit lamp, headlight, small lamp, hazard lamp, tail lamp, etc.
Each
ECU1は、必要に応じて外部からのスイッチやセンサからの入力信号等も参照しつつ、各アプリケーションの実行により、前述した各種ボデー系の制御対象機器(被制御要素)の動作制御を司る。しかし、ECU1は、ある条件で、例えば、車両が駐車状態にある場合、又はあるスイッチ操作がない場合にはスリープモードに移行する。このスリープモードへの移行は、具体的には全てのアプリケーションが動作終了し、次の動作開始のための待機状態になっている場合に、ECU1全体を低消費電力モード(CPU3の動作クロックを与えるメインクロック回路8を停止したスタンバイモードや、通常動作と異なる低周波数の発振器で動作するスロークロックモード、あるいは一定時間ごとにCPUを間欠的に動作させる間欠モードなど)へ移行させる形で行なうものであり、その制御は図2のプラットフォーム部分が担うこととなる。
The
ECU1は、通信バスを介して他のハードウェア制御主体(例えば他のECU)と接続されており、シリアル通信によりウェイクアップ要因を判断すると動作を開始する。該ウェイクアップ要因を判断した場合、ウェイクアップ時のシステム設定(リソース設定など)を行なう。いずれも、そのシステム設定の後で複数のアプリケーションの状態が判定され、所定条件成立時にスリープ時のシステム設定を行ない、その後、スリープする。この判定を含めたECU1のスリープ状態への移行、及びウェイクアップのための準備制御などを統括的に司るのが、図1のスリープ管理・制御ソフトである。
The
図3に示すように、各アプリケーションによる制御は、プラットフォームの機能の一部として形成されたスケジューラによって、複数のアプリケーション1,2‥nが順次起動されることにより実施される。このとき、プラットフォーム内の状態管理プログラムが、一連のアプリケーションの状態をまとめて管理するようになっており、制御状態を判定して状態遷移処理を行なう。状態管理プログラムによる状態遷移処理を示すのが、図4の説明図である。状態管理プログラムは、アプリケーションの状態として3つの状態、すなわち準備状態α、制御状態β、そして、制御開始監視状態γを定義しており、図3に示したスケジューラによる一連の起動処理毎に、各アプリケーションからの信号に基づき、必要に応じて状態を遷移させる(アプリケーション状態管理手段)。
As shown in FIG. 3, control by each application is performed by sequentially starting a plurality of
すなわち、リセット指示によって動作を開始している場合、最初は準備状態αとし、一方、ウェイクアップ要因を判断して動作を開始している場合、最初は制御開始監視状態γとする。そして、準備状態αにある場合、各アプリケーションから準備完了の通知があると、次に制御状態βへ状態を遷移させる(記号(1))。また、制御状態βにある場合、前述のスリープ管理・制御ソフトは、アプリケーションソフトウェア毎に異なる要求スリープ期間の開始時刻及び終了時刻を直接的又は間接的に特定するためのスリープ制御情報を取得し、全てのアプリケーションからスリープ制御情報を取得すれば、制御開始監視状態γへ状態が遷移する(記号(2))。 That is, when the operation is started by the reset instruction, the preparation state α is initially set. On the other hand, when the operation is started by determining the wake-up factor, the control start monitoring state γ is initially set. Then, in the preparation state α, when there is a notification of preparation completion from each application, the state is then shifted to the control state β (symbol (1)). Further, when in the control state β, the sleep management / control software described above acquires sleep control information for directly or indirectly specifying the start time and end time of the requested sleep period that differs for each application software, If sleep control information is acquired from all applications, the state transitions to the control start monitoring state γ (symbol (2)).
該状態遷移処理に伴い設定された制御状態は、状態データ(制御状態特定情報)の形で、図6に示すようなRAM4内の制御状態メモリに記憶される。このとき、状態データのミラーデータ(本実施形態では、状態データの各ビットの0/1を反転させたビット反転データとしてミラーデータを作成している)も作成し、個々の状態データに対応付けて記憶する。
The control state set with the state transition process is stored in a control state memory in the
各アプリケーションは、要求するスリープ期間をタイマー設定し、スリープとウェイクアップとを定期的に繰り返すようにプログラミングされている。例えば、キーレスエントリ方式が採用される場合、図1の「スイッチ/センサ等の入力」として、ユーザー携帯器からの無線信号が受信入力され、キーレスエントリ方式に対応したドアロック制御アプリケーションは、その受信スタンバイ期間を通常モード期間として、スリープ期間と交互に繰り返すようにECU1の作動制御を行なうこととなる。
Each application is programmed to set a requested sleep period as a timer and periodically repeat sleep and wakeup. For example, when the keyless entry method is adopted, a radio signal from the user portable device is received and input as “input of switch / sensor, etc.” in FIG. 1, and the door lock control application corresponding to the keyless entry method receives the received signal. The operation control of the
他方、アプリケーションの一部又は全部は、上記のスリープサイクルとは無関係に、外部の操作信号(ライト点灯、ドアロック解除指令など)をトリガーとした割り込み処理指令を受けた場合も、これをウェイクアップ要因として随時ウェイクアップするようになっている。そして、その後一定期間ウェイクアップ要因がなければ要求スリープ期間が再設定され、スリープに移行する。 On the other hand, part or all of the application wakes up even if it receives an interrupt processing command triggered by an external operation signal (light lighting, door lock release command, etc.) regardless of the sleep cycle described above. Wake up from time to time as a factor. After that, if there is no wake-up factor for a certain period, the requested sleep period is reset and the process shifts to sleep.
次に、アプリケーションが使用する制御用メッセージを受信する処理と、アプリケーションからの制御用メッセージをシリアル通信バス上に送信する処理とは、図1のCPU3(主制御部)による通信ソフトウェアの実行に基づいて実施される。シリアル通信バスとECU1の内部バスとは、シリアル通信インターフェース6を介して接続されている。また、受信メッセージを一時格納する受信バッファ6Bが設けられている。
Next, the process of receiving the control message used by the application and the process of transmitting the control message from the application onto the serial communication bus are based on the execution of the communication software by the CPU 3 (main control unit) in FIG. Implemented. The serial communication bus and the internal bus of the
通信ソフトウェアの階層構造を図5に示している。下層ほどハードウェア(ここでは通信バス)層に近く、上層ほどアプリケーション層に近いことを意味する。具体的には、下記のモジュール群よりなる。
・駆動モジュール(以下、DRVモジュールともいう):制御用メッセージの通信バスへの送信ないし通信バスからの受信のために、通信バスに接続されたシリアル通信インターフェース6を駆動する。
・中継モジュール(以下、COMモジュールともいう):駆動モジュールとアプリケーションとの間の送受信中継処理として、アプリケーションからの制御用メッセージの送受信要求を受け付けるとともに、駆動モジュールが受信した制御用メッセージをアプリケーションに転送する一方、アプリケーションから送信要求のあった制御用メッセージを駆動モジュールに転送する。
・駆動管理モジュール(以下、NMモジュールともいう):アプリケーション状態管理手段による制御状態が、該アプリケーションにおける制御用メッセージの送受信に適した状態に遷移しているか否かを判定し、該判定結果に基づいて駆動モジュール及び中継モジュールに対する制御用メッセージの送受信に関する指令を行なう。
・異常監視モジュール:駆動モジュール、中継モジュール及び駆動管理モジュールのうち、少なくとも駆動管理モジュール(本実施形態では、上記3つのモジュールの全て)からの異常発生報告を受け、駆動モジュール、中継モジュール及び駆動管理モジュールのそれぞれに一元的な異常発生通知を行なう。
The hierarchical structure of the communication software is shown in FIG. It means that the lower layer is closer to the hardware (here, communication bus) layer, and the upper layer is closer to the application layer. Specifically, it consists of the following module group.
Drive module (hereinafter also referred to as DRV module): Drives the
Relay module (hereinafter also referred to as COM module): As a transmission / reception relay process between the drive module and the application, it receives a control message transmission / reception request from the application and transfers the control message received by the drive module to the application. On the other hand, the control message requested by the application is transferred to the drive module.
Drive management module (hereinafter also referred to as NM module): Determines whether or not the control state by the application state management means has transitioned to a state suitable for transmission and reception of control messages in the application, and based on the determination result Then, a command relating to transmission / reception of control messages to the drive module and the relay module is issued.
Abnormality monitoring module: Upon receipt of an abnormality occurrence report from at least the drive management module (all of the above three modules in the present embodiment) among the drive module, relay module, and drive management module, the drive module, relay module, and drive management Centralized error notification is sent to each module.
DRVモジュールが最もハードウェア層に近く、COMモジュール、NMモジュール及び異常監視モジュールはアプリケーション層とDRVモジュール層との中間に位置する。なお、本実施形態では、通信容量の増大を図るために、シリアル通信バスを複数チャネルにて構成し、DRVモジュールとNMモジュールとはチャネル毎に設けられている。 The DRV module is closest to the hardware layer, and the COM module, the NM module, and the abnormality monitoring module are located between the application layer and the DRV module layer. In this embodiment, in order to increase the communication capacity, the serial communication bus is configured by a plurality of channels, and the DRV module and the NM module are provided for each channel.
図1のRAM4には、通信制御メモリが設けられている。図7に示すように、通信制御メモリには、通信バスから受信した制御用メッセージを格納する受信メッセージボックスメモリ、これから通信バスへ送信しようとしている制御用メッセージを格納する送信メッセージボックスメモリ、アプリケーションからの制御用メッセージの送信要求を受け付けて登録するための送信受付メモリ、NMモジュールによるDRVモジュールへの指令内容を格納するNM通知メモリ(送信用と受信用とが個別に設けられている)及び異常監視モジュールへの異常通知内容を記憶する異常通知メモリが設けられている。図8に示すように、アプリケーションとは別のスケジューラによって、NMモジュール、COMモジュール、DRVモジュール及び異常監視モジュールは、この順序で周期的に実行される。
The
図9は、NMモジュールの処理の流れを示すものである。まず、S3で対象となるアプリケーションの状態データを読み出し、S4でこれに対応するミラーデータを読み出す(図6参照)。S5では、読み出した状態データとミラーデータの照合処理を行なう。図6に示すように、本実施形態ではミラーデータは状態データのビット反転データに相当し、状態データが書き換わって、ミラーデータの対応するビットとの間で不整合が生じていれば、その否定排他的論理和の値がゼロとなる。従って、その値の全ビットに対するサムを演算し、そのサムがゼロであれば照合一致、ゼロでなければ照合不一致として判定される。S6でその判定結果が不一致であればS13に進み、異常監視モジュールに異常通知を行なって処理サイクルを終了する(本実施形態では異常通知メモリへの書込みによっているが、この形態に限られるものではない)。 FIG. 9 shows the process flow of the NM module. First, status data of the target application is read in S3, and corresponding mirror data is read in S4 (see FIG. 6). In S5, the read status data is compared with the mirror data. As shown in FIG. 6, in this embodiment, the mirror data corresponds to the bit inverted data of the status data. If the status data is rewritten and a mismatch occurs between the corresponding bits of the mirror data, The value of the negative exclusive OR is zero. Therefore, the sum for all bits of the value is calculated, and if the sum is zero, it is determined as a collation match, and if it is not zero, it is determined as a collation mismatch. If the determination result is inconsistent in S6, the process proceeds to S13 to notify the abnormality monitoring module of the abnormality and the processing cycle is terminated (in this embodiment, writing to the abnormality notification memory is performed, but the present invention is not limited to this form). Absent).
他方、S6で照合一致ならば状態データに異常なしなので、S7でその状態が送信許可に適合した状態であるか否かを判定する。送信不可であれば処理サイクルを終了する一方、送信可能であればS9に進み、NM通知メモリに制御用メッセージの通信バスへの送出許可をセットする。また、S10では受信許可に適合した状態であるか否かを判定し、受信不可であれば処理サイクルを終了する一方、受信可能であればS11に進み、NM通知メモリに制御用メッセージのCOMモジュールへの転送許可をセットし、処理サイクルを終了する。 On the other hand, if the collation coincides in S6, there is no abnormality in the state data, so in S7, it is determined whether or not the state is suitable for transmission permission. If transmission is not possible, the processing cycle ends. If transmission is possible, the process proceeds to S9, and permission to send a control message to the communication bus is set in the NM notification memory. Further, in S10, it is determined whether or not it is in a state suitable for reception permission. If reception is impossible, the processing cycle is terminated. If reception is possible, the process proceeds to S11, and the control message COM module is stored in the NM notification memory. Set the transfer permission to, and end the processing cycle.
図10は、COMモジュールの処理の流れを示すものである。まず、S103では、先のサイクルでアプリケーションに転送してある制御用メッセージの、当該アプリケーションからの受領(アクノリッジ)があるかどうかを確認する。S104では、その結果を判定し、受領なしであればアプリケーション側の異常と判定してS112に進み、異常監視モジュールに異常通知を行なって処理サイクルを終了する。なお、NMモジュールと同様に、監視対象となる状態データと、ミラーデータとの照合処理に基づいて異常判定を行なうようにしてもよい。 FIG. 10 shows the processing flow of the COM module. First, in S103, it is confirmed whether or not the control message transferred to the application in the previous cycle has been received (acknowledged) from the application. In S104, the result is determined. If there is no receipt, it is determined that the application is abnormal, the process proceeds to S112, an abnormality is notified to the abnormality monitoring module, and the processing cycle is ended. As in the case of the NM module, the abnormality determination may be performed based on the collation process between the status data to be monitored and the mirror data.
他方、S104で「異常なし」であれば、S105で受信メッセージボックスメモリをリードし、S106で処理対象となるアプリケーションへの受信メッセージがあるかどうかを調べる。受信メッセージがあれば、S107で対応するアプリケーションへ受信メッセージを転送する(この結果に対して、次サイクル以降にアプリケーションからアクノリッジが返されることとなる)。一方、S106で受信メッセージがなければS107をスキップする。 On the other hand, if “no abnormality” in S104, the received message box memory is read in S105, and it is checked in S106 whether there is a received message for the application to be processed. If there is a received message, the received message is transferred to the corresponding application in S107 (in response to this result, an acknowledge is returned from the application after the next cycle). On the other hand, if there is no received message in S106, S107 is skipped.
次いで、S108では送信受付メモリをリードし、S109で処理対象となるアプリケーションからの制御用メッセージの送信要求があるかどうかを確認する。送信要求があればS110に進み、その制御用メッセージを受け付けてこれを送信メッセージボックスメモリにセットする。一方、S109で制御用メッセージの送信要求がなければS110をスキップする。以上で処理サイクルを終了する。 Next, in S108, the transmission acceptance memory is read, and in S109, it is confirmed whether there is a control message transmission request from the application to be processed. If there is a transmission request, the process proceeds to S110 to accept the control message and set it in the transmission message box memory. On the other hand, if there is no control message transmission request in S109, S110 is skipped. The processing cycle is thus completed.
図11は、DRVモジュールの処理の流れを示すものである。まず、S203にて、通信バスに断線やショートなどのハードウェア異常がないかどうかを、ポート電圧などを参照して判定する。異常があれば、S217に進んで、シリアル通信インターフェース6(図1)の送受信動作を停止させる。そして、S218に進み、異常監視モジュールに異常通知を行なって処理サイクルを終了する。なお、NMモジュールと同様に、監視対象となる状態データと、ミラーデータとの照合処理に基づいて異常判定を行なうようにしてもよい。 FIG. 11 shows the process flow of the DRV module. First, in S203, it is determined with reference to the port voltage or the like whether there is any hardware abnormality such as disconnection or short in the communication bus. If there is an abnormality, the process proceeds to S217, and the transmission / reception operation of the serial communication interface 6 (FIG. 1) is stopped. In step S218, the abnormality monitoring module is notified of abnormality, and the processing cycle ends. As in the case of the NM module, the abnormality determination may be performed based on the collation process between the status data to be monitored and the mirror data.
S203でハードウェア異常が検出されなければ、S204に進んで受信バッファをリードし、S205で制御用メッセージを受信しているかどうか(受信していれば、そのヘッダIDの内容から、どのアプリケーションへの制御用メッセージなのか)を判定する。制御用メッセージを受信していれば、S206に進んでNM通知メモリをリードする(制御用メッセージが受信されていなければ、S209へジャンプする)。そして、S207で、COMへの転送許可が通知されているかどうかを確認し、転送許可されていれば、受信バッファ上の制御用メッセージを受信メッセージボックスメモリへ格納する(転送許可されていなければS208をスキップする)。 If no hardware abnormality is detected in S203, the process proceeds to S204 to read the reception buffer, and whether or not a control message has been received in S205 (if received, from which contents of the header ID to which application Control message). If the control message has been received, the process proceeds to S206 and the NM notification memory is read (if the control message has not been received, the process jumps to S209). Then, in S207, it is confirmed whether or not transfer permission to COM is notified. If transfer is permitted, the control message on the reception buffer is stored in the reception message box memory (if transfer is not permitted, S208 is stored). Skip).
S209では送信メッセージボックスメモリをリードし、処理対象となるアプリケーションからの送信メッセージがあるかどうかを確認する。送信メッセージがあればS211に進み、NM通知メモリをリードする(送信メッセージがなければ、処理サイクルを終了する)。S212では、NM通知メモリの内容が、制御用メッセージの通信バスへの送出許可を示す内容か否かを確認し、送出許可になっていればS213へ進み、メッセージを通信バスへ送出する(送出許可がなされていなければ、そのまま処理サイクルを終了する)。 In S209, the transmission message box memory is read to check whether there is a transmission message from the application to be processed. If there is a transmission message, the process proceeds to S211 and the NM notification memory is read (if there is no transmission message, the processing cycle is terminated). In S212, it is confirmed whether or not the contents of the NM notification memory indicate the permission to send the control message to the communication bus. If the message is permitted to send, the process proceeds to S213 to send the message to the communication bus (send). If permission has not been granted, the processing cycle is terminated.)
図12は、異常監視モジュールの処理の流れを示すものである。S301〜S303では、NMモジュール、COMモジュール及びDRVモジュールから、それぞれ異常通知(異常報告)があるかどうかを確認し、異常通知があれば、S306に進んで、各モジュールに対してスリープ設定を行なう。なお、あとで異常の原因をトレースする場合の便宜を図るため、各モジュールは、どのモジュールから異常通知があったかを区別できるように異常通知メモリに異常セットすることが望ましい(モジュール別に個別の異常通知メモリを設けておくことも可能である)。また、異常内容(例えば、異常の種別をコード化したもの)も合わせて異常通知メモリにセットすると、異常原因トレースがより容易になる。 FIG. 12 shows the flow of processing of the abnormality monitoring module. In S301 to S303, it is confirmed whether or not there is an abnormality notification (abnormality report) from each of the NM module, the COM module, and the DRV module. If there is an abnormality notification, the process proceeds to S306 to set sleep for each module. . For convenience when tracing the cause of an abnormality later, it is desirable that each module should be set in the abnormality notification memory so that it can be distinguished from which module the abnormality was notified (individual abnormality notification for each module). It is also possible to provide a memory). Further, when the abnormality content (for example, the abnormality type coded) is also set in the abnormality notification memory, the abnormality cause tracing becomes easier.
図9〜図11に示すごとく、異常監視モジュールの上記機能により、どれかのモジュールから異常通知があった場合は、シリアル通信処理の動作を一旦停止するために、どのモジュールも直ちにスリープ対応処理を行なう。これにより、通信異常発生時には、ECU1が余計な動作を行なわず一旦スリープすることになり、ECU動作を介して異常不具合が以降の処理に伝播することを防止できる。また、再度通信が必要か否かを上位のアプリケーションからの指示を待って判断することも可能となり、シリアル通信全体への影響を少なくすることができる。
As shown in FIG. 9 to FIG. 11, when an abnormality notification is received from any module by the above function of the abnormality monitoring module, any module immediately performs a sleep handling process in order to temporarily stop the serial communication processing operation. Do. Thereby, when a communication abnormality occurs, the
図12の処理流れからもわかる通り、異常監視モジュールは、各モジュールからの異常報告を受け付け、それらモジュールのスリープ移行処理を統括的に管理する。つまり、NMモジュール、COMモジュール及びDRVモジュールのいずれかから異常発生通知を受けることにより、それらNMモジュール、COMモジュール及びDRVモジュールの全てにスリープ指令を行ない、制御ユニットハードウェアのスリープ設定を行なうことが明らかである。 As can be seen from the processing flow of FIG. 12, the abnormality monitoring module accepts abnormality reports from the modules and manages the sleep transition processing of these modules in an integrated manner. In other words, by receiving an abnormality occurrence notification from any one of the NM module, the COM module, and the DRV module, a sleep command is issued to all of the NM module, the COM module, and the DRV module, and the sleep setting of the control unit hardware can be performed. it is obvious.
1 ECU(自動車用制御ユニット)
1 ECU (Automotive control unit)
Claims (7)
前記アプリケーションによる前記電子機器の制御状態を管理するとともに、前記制御状態を判定して状態遷移処理を行なうアプリケーション状態管理手段と、
前記シリアル通信バスを介して前記アプリケーションが使用する制御用メッセージを受信する処理と、他方、前記アプリケーションからの制御用メッセージを前記シリアル通信バス上に送信する処理とを、前記主制御部による通信ソフトウェアの実行に基づいて実施するシリアル通信制御手段とを有し、前記通信ソフトウェアが、
前記制御用メッセージの前記通信バスへの送信ないし前記通信バスからの受信のために、前記通信バスに接続されたシリアル通信インターフェースを駆動する駆動モジュールと、
前記駆動モジュールと前記アプリケーションとの間の送受信中継処理として、前記アプリケーションからの制御用メッセージの送受信要求を受け付けるとともに、前記駆動モジュールが受信した制御用メッセージを前記アプリケーションに転送する一方、前記アプリケーションから送信要求のあった制御用メッセージを前記駆動モジュールに転送する中継モジュールと、
前記アプリケーション状態管理手段による制御状態が、該アプリケーションにおける前記制御用メッセージの送受信に適した状態に遷移しているか否かを判定し、該判定結果に基づいて前記駆動モジュール及び前記中継モジュールに対する前記制御用メッセージの送受信に関する指令を行なう駆動管理モジュールと、
前記駆動モジュール、前記中継モジュール及び前記駆動管理モジュールのうち、少なくとも前記駆動管理モジュールからの異常発生報告を受け、前記駆動モジュール、前記中継モジュール及び前記駆動管理モジュールのそれぞれに一元的な異常発生通知を行なう異常監視モジュールと、
を有することを特徴とする自動車用制御ユニット。 Based on the execution of a plurality of predetermined applications, a main control unit comprising a CPU is connected to another control unit on the automobile via a serial communication bus, and the electronic equipment mounted on the automobile is controlled. An automotive control unit to implement,
Application state management means for managing the control state of the electronic device by the application and performing state transition processing by determining the control state;
A process for receiving a control message used by the application via the serial communication bus, and a process for transmitting a control message from the application on the serial communication bus. Serial communication control means implemented based on the execution of, the communication software,
A drive module for driving a serial communication interface connected to the communication bus for transmitting the control message to the communication bus or receiving from the communication bus;
As a transmission / reception relay process between the driving module and the application, a control message transmission / reception request from the application is accepted, and the control message received by the driving module is transferred to the application, while being transmitted from the application. A relay module for transferring the requested control message to the drive module;
It is determined whether or not the control state by the application state management means has transitioned to a state suitable for transmission and reception of the control message in the application, and the control for the drive module and the relay module based on the determination result A drive management module that issues commands for sending and receiving messages
Of the drive module, the relay module, and the drive management module, an abnormality occurrence report is received from at least the drive management module, and a unified abnormality occurrence notification is sent to each of the drive module, the relay module, and the drive management module. An anomaly monitoring module to perform,
An automobile control unit comprising:
前記駆動管理モジュールは、前記制御状態メモリの記憶内容に基づいて前記アプリケーション側の異常判定を行ない、前記異常監視モジュールに異常発生報告を行なう請求項1ないし請求項5のいずれか1項に記載の自動車用制御ユニット。 Along with the state transition processing performed by the application state management means, the control state set by the transition is stored in the control state memory in the form of control state specifying information,
6. The drive management module according to claim 1, wherein the drive management module performs an abnormality determination on the application side based on the storage contents of the control state memory, and reports an abnormality occurrence to the abnormality monitoring module. 7. Control unit for automobiles.
Each time the state transition occurs, the control state memory stores the mirror information together with the control state specifying information, and the drive management module collates the control state specifying information with the mirror information, and The vehicle control unit according to claim 6, wherein abnormality determination is performed based on the collation result.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005183557A JP2007001420A (en) | 2005-06-23 | 2005-06-23 | Control unit for vehicle |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005183557A JP2007001420A (en) | 2005-06-23 | 2005-06-23 | Control unit for vehicle |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2007001420A true JP2007001420A (en) | 2007-01-11 |
Family
ID=37687408
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005183557A Withdrawn JP2007001420A (en) | 2005-06-23 | 2005-06-23 | Control unit for vehicle |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2007001420A (en) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009274569A (en) * | 2008-05-14 | 2009-11-26 | Denso Corp | Vehicle controlling device |
JP2010241298A (en) * | 2009-04-07 | 2010-10-28 | Denso Corp | Vehicle control device |
KR20140007592A (en) * | 2012-07-09 | 2014-01-20 | 콘티넨탈 오토모티브 시스템 주식회사 | Vehicle control method based verification result of controlled variable |
CN108363003A (en) * | 2018-05-08 | 2018-08-03 | 新乡市荣泰电器有限公司 | A kind of vehicle-mounted relay state monitoring method and system |
CN115610346A (en) * | 2022-09-29 | 2023-01-17 | 成都赛力斯科技有限公司 | Automobile risk control method, automobile, computer device and storage medium |
-
2005
- 2005-06-23 JP JP2005183557A patent/JP2007001420A/en not_active Withdrawn
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009274569A (en) * | 2008-05-14 | 2009-11-26 | Denso Corp | Vehicle controlling device |
JP2010241298A (en) * | 2009-04-07 | 2010-10-28 | Denso Corp | Vehicle control device |
KR20140007592A (en) * | 2012-07-09 | 2014-01-20 | 콘티넨탈 오토모티브 시스템 주식회사 | Vehicle control method based verification result of controlled variable |
CN108363003A (en) * | 2018-05-08 | 2018-08-03 | 新乡市荣泰电器有限公司 | A kind of vehicle-mounted relay state monitoring method and system |
CN115610346A (en) * | 2022-09-29 | 2023-01-17 | 成都赛力斯科技有限公司 | Automobile risk control method, automobile, computer device and storage medium |
CN115610346B (en) * | 2022-09-29 | 2024-04-12 | 重庆赛力斯凤凰智创科技有限公司 | Automobile risk control method, automobile, computer equipment and storage medium |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100545131B1 (en) | Control system | |
KR101393539B1 (en) | Integrated network system for vehicle | |
CN111193649B (en) | Vehicle communication system and control method thereof | |
JP5174025B2 (en) | Apparatus and method for managing communication via a bus in an automobile in which a plurality of control devices are connected via a bus | |
JP2009166549A (en) | Electronic control device for vehicle | |
EP1975788B1 (en) | Electronic control apparatus | |
CN112087355A (en) | State control method and device, electronic module and CAN network system | |
US20080104438A1 (en) | Microcomputer, program and on-vehicle electronic controller | |
US6529530B1 (en) | Multiplex communicating method | |
US20210065478A1 (en) | Electronic control unit and non-transitory computer readable medium storing session establishment program | |
JP2007001420A (en) | Control unit for vehicle | |
JP2007030593A (en) | Electronic control system | |
US20070260900A1 (en) | High-performance microprocessor with lower-performance microcontroller in a vehicle network | |
JP5120720B2 (en) | Electronic control device and control method of electronic control device | |
KR20170105348A (en) | Method and apparatus for controlling body control module of vehicle, and vehicle controll system thereof | |
JP4446170B2 (en) | Automotive sleep control system | |
JP2006290162A (en) | Control unit for automobile | |
JP4446169B2 (en) | Automotive control device | |
JP4457306B2 (en) | Automotive control unit | |
CN114253171A (en) | Electronic control unit for vehicle | |
JP4419192B2 (en) | Automotive control device | |
WO2019146169A1 (en) | Control device, control method, and computer program | |
WO2022075006A1 (en) | Electronic control device and method for daiagnosing wake-up circuit | |
JP7542042B2 (en) | In-vehicle device, connection destination notification method, and connection destination notification program | |
US20220191058A1 (en) | On-board system, on-board system control method, and non-transitory recording medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070809 |
|
A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20090716 |