JP7383995B2 - 通信システム及び通信装置 - Google Patents
通信システム及び通信装置 Download PDFInfo
- Publication number
- JP7383995B2 JP7383995B2 JP2019208688A JP2019208688A JP7383995B2 JP 7383995 B2 JP7383995 B2 JP 7383995B2 JP 2019208688 A JP2019208688 A JP 2019208688A JP 2019208688 A JP2019208688 A JP 2019208688A JP 7383995 B2 JP7383995 B2 JP 7383995B2
- Authority
- JP
- Japan
- Prior art keywords
- communication device
- information
- determination
- evaluation value
- determination information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims description 373
- 238000011156 evaluation Methods 0.000 claims description 162
- 230000005856 abnormality Effects 0.000 claims description 104
- 238000012544 monitoring process Methods 0.000 claims description 74
- 230000002159 abnormal effect Effects 0.000 claims description 63
- 238000011084 recovery Methods 0.000 claims description 29
- 230000005540 biological transmission Effects 0.000 claims description 23
- 238000000034 method Methods 0.000 description 73
- 238000012545 processing Methods 0.000 description 27
- 230000006870 function Effects 0.000 description 18
- 238000012986 modification Methods 0.000 description 11
- 230000004048 modification Effects 0.000 description 11
- 238000001514 detection method Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 239000000470 constituent Substances 0.000 description 4
- 230000000875 corresponding effect Effects 0.000 description 4
- 239000004065 semiconductor Substances 0.000 description 4
- 238000003745 diagnosis Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000004590 computer program Methods 0.000 description 2
- 230000002596 correlated effect Effects 0.000 description 2
- 230000001934 delay Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000446 fuel Substances 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
Landscapes
- Small-Scale Networks (AREA)
Description
本開示は、車両に搭載され、複数の通信装置が通信線で互いに接続されている通信システムに関する。
例えば、下記特許文献1には、車両に搭載され通信機能を備える電子制御装置(以下、通信装置)が、車両の制御を行う制御マイコンと、制御マイコンの作動を監視するための該制御マイコンとは別の監視マイコンと、を備える、という技術が提案されている。
一方、電子制御装置外の装置との通信によって、該電子制御装置の作動を監視するという思想は、無かった。本開示は、電子制御装置外の装置との通信によって、該電子制御装置の作動を監視する技術を提供する。
本開示の1つの局面は、車両に搭載される通信システム(1)である。通信システムは、複数の通信装置(10、20)を備える。複数の通信装置は通信線によって互いに通信可能に接続されている。複数の通信装置は、第1の通信装置(10)と第2の通信装置(20)とを備える。第1の通信装置は、第1の通信装置の状態を示す少なくとも1種類の状態情報を取得し、取得した状態情報を含む判定情報を生成し、判定情報を第2の通信装置へ出力するように構成された情報生成部(52)を備える。第2の通信装置は、判定情報を取得し、状態情報であって第1の通信装置が正常であるときの予め定められた正常情報と判定情報に含まれる状態情報とを比較し、第1の通信装置の異常を判定するように構成された監視部(63)を備える。
本開示の1つの局面によれば、第1の通信装置は、第1の通信装置の外部装置である第2の通信装置との通信によって、第1の通信装置の異常を判定する。第1の通信装置が異常であるか否かを判定する第2の通信装置は、通信システムが予め備える通信装置である。このため、通信システムにおいて構成要素を増加させること無く、簡易な構成で、第1の通信装置が異常であるか否かを監視することができる。
以下、図面を参照しながら、本開示の例示的な実施形態を説明する。なお、本明細書中でいう「一致」とは、厳密な意味での一致に限るものではなく、同様の効果を奏するのであれば厳密に一致でなくてもよい。
[実施形態]
[1.構成]
<全体構成>
まず、本実施形態に係る車載制御システム1の構成について、図1を参照して説明する。本実施形態に係る車載制御システム1は、車両に搭載されるシステムである。車載制御システム1は、複数の電子制御装置(以下、ECU)を備える。ECUは、Electronic Control Unitの略である。複数のECUは、通信線90によって互いに通信可能に接続される。なお、図1では、3つのECUが図示されている。但し、車載制御システム1が備えるECUの数は、これに限定されるものではなく、2以上であり得る。
[1.構成]
<全体構成>
まず、本実施形態に係る車載制御システム1の構成について、図1を参照して説明する。本実施形態に係る車載制御システム1は、車両に搭載されるシステムである。車載制御システム1は、複数の電子制御装置(以下、ECU)を備える。ECUは、Electronic Control Unitの略である。複数のECUは、通信線90によって互いに通信可能に接続される。なお、図1では、3つのECUが図示されている。但し、車載制御システム1が備えるECUの数は、これに限定されるものではなく、2以上であり得る。
本実施形態では、通信線90は複数のECUに共通の通信線であり、これらの複数のECUは、例えばCAN等の通信プロトコルに従って、通信を行う通信装置である。CANは、Controller Area Networkの略であり、登録商標である。尚、本開示はこれに限定されるものではない。通信プロトコルはCAN以外の通信プロトコルであってもよい。また、通信線90は複数のECUに共通の通信線でなくてもよく、この場合の通信プロトコルは、例えばイーサネットやそれ以外であってもよい。イーサネットは登録商標である。
車載制御システム1が備える複数のECUのそれぞれには、車両情報部と制御対象とが通信線によって接続される。車両情報部は車両の状態を検出する各種センサを備える。制御対象は、車両情報部による検出結果に基づいて、ECUによって制御される対象である。
本実施形態では、車載制御システム1は、エンジンECU10、ドアECU20、ブレーキECU30を複数のECUとして備える。
エンジンECU10は、車両情報部11による検出結果に基づいて、制御対象12の制御を行う。車両情報部11には、例えば、クランク角を検出するクランク角センサや温度センサ等が含まれ得る。制御対象12には、例えば、燃料噴射弁を作動させるアクチュエータ等が含まれ得る。
エンジンECU10は、車両情報部11による検出結果に基づいて、制御対象12の制御を行う。車両情報部11には、例えば、クランク角を検出するクランク角センサや温度センサ等が含まれ得る。制御対象12には、例えば、燃料噴射弁を作動させるアクチュエータ等が含まれ得る。
ドアECU20は、車両情報部21による検出結果に基づいて、制御対象22の制御を行う。車両情報部21には、例えば、人によるドアへの接触を検出するタッチセンサ等が含まれ得る。制御対象12には、例えば、ドアを開閉させるアクチュエータ(以下、ドアアクチュエータ)等が含まれ得る。
ブレーキECU30は、車両情報部31による検出結果に基づいて、制御対象32の制御を行う。車両情報部31には、例えば、ブレーキペダルの開度を検出するブレーキペダルセンサ等が含まれ得る。制御対象32には、例えば、ブレーキを駆動させるアクチュエータ(以下、ブレーキアクチュエータ)等が含まれ得る。
なお、以下でいう、第1の通信装置とは、後述する情報生成部(例えば、情報生成部52)を備える通信装置である。一方、第2の通信装置とは、後述する監視部(例えば、監視部63)を備える通信装置である。本実施形態では、エンジンECU10が第1の通信装置に相当し、ドアECU20が第2の通信装置に相当する。
<エンジンECU10>
第1の通信装置としてのエンジンECU10は、CPU102、ROM、RAM、及びフラッシュメモリ等の半導体メモリ(以下、メモリ)103を含むマイクロコンピュータ(以下、マイコン)101を備える。エンジンECU10は、CPU102が非遷移有形記録媒体に格納されたプログラムを実行することにより、図2に示すような各機能を実現する。本実施形態では、メモリ103が、プログラムを格納する非遷移有形記録媒体に該当する。また、このプログラムの実行により、プログラムに対応する方法が実行される。
第1の通信装置としてのエンジンECU10は、CPU102、ROM、RAM、及びフラッシュメモリ等の半導体メモリ(以下、メモリ)103を含むマイクロコンピュータ(以下、マイコン)101を備える。エンジンECU10は、CPU102が非遷移有形記録媒体に格納されたプログラムを実行することにより、図2に示すような各機能を実現する。本実施形態では、メモリ103が、プログラムを格納する非遷移有形記録媒体に該当する。また、このプログラムの実行により、プログラムに対応する方法が実行される。
エンジンECU10は、図2に示すように、制御部51、情報生成部52の機能を備える。制御部51は、車両情報部11の検出結果に基づいて、制御対象12としてのエンジンについて種々の制御を行う。
情報生成部52は、後述する情報生成処理を実行することにより、少なくとも1種類の状態情報を取得し、判定情報を生成し、判定情報を第2の通信装置へ出力する。判定情報とは、取得した少なくとも1種類の状態情報を含む情報である。状態情報とは、第1の通信装置(すなわち、エンジンECU10)の状態を示す情報であって、第1の通信装置の異常を判定するために第2の通信装置によって用いられる。
状態情報は、第1の通信装置の状態を定量的に表す情報であり得る。定量的に表すとは、数値として表すことをいう。具体的には、状態情報には、後述するように、TS、WDG出力、IT、ID、割り込み発生回数M、タスク抜け回数N等、が含まれ得る。但し、状態情報は、これらに限定されるものではない。状態情報は、第1の通信装置の状態を表す種々の情報であってよい。また、状態情報は、第1の通信装置の状態を表す情報であればよく、第1の通信装置の状態を定量的に表す情報でなくてもよい。
<ドアECU20>
第2の通信装置としてのドアECU20は、CPU202、ROM、RAM、及びフラッシュメモリ等の半導体メモリ(以下、メモリ)203を含むマイクロコンピュータ(以下、マイコン)201を備える。ドアECU20は、CPU202が非遷移有形記録媒体に格納されたプログラムを実行することにより、図2に示すような各機能を実現する。本実施形態では、メモリ203が、プログラムを格納する非遷移有形記録媒体に該当する。また、このプログラムの実行により、プログラムに対応する方法が実行される。
第2の通信装置としてのドアECU20は、CPU202、ROM、RAM、及びフラッシュメモリ等の半導体メモリ(以下、メモリ)203を含むマイクロコンピュータ(以下、マイコン)201を備える。ドアECU20は、CPU202が非遷移有形記録媒体に格納されたプログラムを実行することにより、図2に示すような各機能を実現する。本実施形態では、メモリ203が、プログラムを格納する非遷移有形記録媒体に該当する。また、このプログラムの実行により、プログラムに対応する方法が実行される。
ドアECU20は、図2に示すように、制御部61、監視部63の機能を備える。制御部61は、車両情報部21の検出結果に基づいて、制御対象22としてのドアアクチュエータについて種々の制御を行う。
監視部63は、後述する監視処理を実行することにより、第1の通信装置(すなわち、エンジンECU10)から判定情報を取得し、判定情報に含まれる上述の状態情報に基づいて、第1の通信装置の異常を判定する。
<ブレーキECU30>
ブレーキECU30は、CPU302、ROM、RAM、及びフラッシュメモリ等の半導体メモリ(以下、メモリ)303を含むマイクロコンピュータ(以下、マイコン)301を備える。ブレーキECU30は、CPU302が非遷移有形記録媒体に格納されたプログラムを実行することにより、図2に示すような各機能を実現する。本実施形態では、メモリ303が、プログラムを格納する非遷移有形記録媒体に該当する。また、このプログラムの実行により、プログラムに対応する方法が実行される。
ブレーキECU30は、CPU302、ROM、RAM、及びフラッシュメモリ等の半導体メモリ(以下、メモリ)303を含むマイクロコンピュータ(以下、マイコン)301を備える。ブレーキECU30は、CPU302が非遷移有形記録媒体に格納されたプログラムを実行することにより、図2に示すような各機能を実現する。本実施形態では、メモリ303が、プログラムを格納する非遷移有形記録媒体に該当する。また、このプログラムの実行により、プログラムに対応する方法が実行される。
ブレーキECU30は、図2に示すように、制御部71の機能を備える。制御部71は、車両情報部31の検出結果に基づいて、制御対象32としてのブレーキアクチュエータについて種々の制御を行う。
[2.処理]
<情報生成処理>
次に、第1の通信装置(すなわち、エンジンECU10の情報生成部52)が実行する情報生成処理について、図3のフローチャートを用いて説明する。第1の通信装置が備えるマイコン101(すなわち、CPU102)によって、情報生成処理は、予め定められた周期で繰り返し実行される。CPU102は、S110-S160では複数種類の状態情報を取得し、S170では取得した状態情報を含む判定情報を生成する。なお、取得された状態情報、判定情報は、メモリ103に記憶される。
<情報生成処理>
次に、第1の通信装置(すなわち、エンジンECU10の情報生成部52)が実行する情報生成処理について、図3のフローチャートを用いて説明する。第1の通信装置が備えるマイコン101(すなわち、CPU102)によって、情報生成処理は、予め定められた周期で繰り返し実行される。CPU102は、S110-S160では複数種類の状態情報を取得し、S170では取得した状態情報を含む判定情報を生成する。なお、取得された状態情報、判定情報は、メモリ103に記憶される。
CPU102は、まずS110では、タイムスタンプ(以下、TS)を状態情報として取得する。TSとは、時刻を表す情報であって、本ステップで取得されたTSは判定情報が生成された時刻を表すものである。例えば、第1の通信装置が本情報生成処理とは別の処理によって絶対時刻を取得するように構成されていてもよく、TSは絶対時刻で表されてもよい。ただし、本開示はこれに限定されるものではない。TSは、車両制御システム1内で共通して用いられる、時間を表す情報であればよい。
CPU102は、S120では、IT取得処理を実行する。IT取得処理は間隔時間(すなわち、IT)を決定するための処理である。ITは、Interval Timeの略である。ITとは、第1の通信装置から第2の通信装置(すなわち、ドアECU20)へ判定情報が送信される周期(すなわち、判定情報の送信周期)である。本実施形態では、ITは、第1の通信装置(すなわち、エンジンECU10のCPU102)の負荷(すなわち、処理負荷)が大きいほど大きい値となるように決定される数値である。なお、IT取得処理については、後述する。
CPU102は、S130では、IDを取得する。ここでいうIDは、判定情報の送信元を特定するための情報である。IDは、所定のビット数で表される。例えば、第1の通信装置がエンジンECU10である本実施形態では、IDは、判定情報の送信元であるエンジンECU10を表す情報であってもよい。また、例えば、IDは、監視される対象である第1の通信装置がエンジンECU10であり、監視する側である第2の通信装置がドアECU20であること、を表す情報であってもよい。但し、IDは、これらの態様に限定されるものではなく、種々の態様で設定され得る。
CPU102は、S140では、ウォッチドッグ(以下、WDG)出力を生成する。マイコン101はWDG機能を備えており、図示しないWDG回路はWDGパルスの出力に基づいて第1の通信装置(すなわち、エンジンECU10)の制御部51が正常に動作しているか否かを監視している。
WDGパルスの出力とは、出力が「H」であるか「L」であるかを意味しており、WDGパルスの出力パタンは予め定められている。例えば、本実施形態では、「H」、「L」、「H」、「L」のように「H」と「L」とが交互となるパタンが、WDGパルスの出力パタンとして予め定められている。なお、WDGパルスの出力パタンは、これに限定されるものではなく、任意に設定され得る。WDG出力とは、このようなWDGパルスの出力のことをいう。
WDGパルスは、所定期間(例えば、1msec)毎に出力される。例えば、WDG出力が、予め定められたWDGパルスの出力パタンと異なる場合、マイコン101は異常である可能性がある。換言すれば、マイコン101を備える第1の通信装置は異常である可能性がある。
CPU102は、S150では、割り込み発生回数Mを取得する。割り込み発生回数Mとは、所定時間内(例えば、1msec)に割り込みが発生した回数をいう。割り込みとは、例えば、マイコン101と接続されている特定のセンサから所定の信号が入力されることをいう。マイコン101はこの割り込みが発生すると予め定められた処理を実行するように構成されている。
エンジンECU10が第1の通信装置である本実施形態では、例えば、クランク角センサが特定のセンサに相当する。そして、予め定められたクランク角を示すクランク角信号が所定の信号に相当する。なお、マイコン101において所定時間内に処理可能な割り込み発生回数(以下、最高負荷時割込回数Mmax)は、予め定められている。換言すれば、割り込み発生回数Mが最高負荷時割込回数Mmaxを超える場合、マイコン101は異常である可能性がある。
CPU102は、S160では、タスク抜け回数Nを取得する。タスク抜け回数Nとは、所定時間内(例えば、1msec)にタスク抜けが発生した回数をいう。なお、マイコン101において所定時間内に許容可能なタスク抜け回数(以下、最高負荷時タスク抜け回数Nmax)は、予め定められている。換言すれば、タスク抜け回数Nが最高負荷時タスク抜け回数Nmaxを超える場合、マイコン101は異常である可能性がある。
CPU102は、S170では、判定情報を生成する。判定情報は、S110-S160にて取得した、少なくとも1つの状態情報を含む。本実施形態では、判定情報は、S110-S160にて取得した全ての状態情報を含む。
CPU102は、S180では、判定情報を含む通信フレームを生成する。例えば、CANの通信フレームであってデータフィールドに判定情報を含む通信フレームを生成する。そして、CPU102は、生成した通信フレームを通信線90に出力する。以上で、CPU102は本情報生成処理を終了する。
<IT取得処理>
続いて、CPU102が、情報生成処理のS120で実行するIT取得処理について図4に示すフローチャートを用いて説明する。
続いて、CPU102が、情報生成処理のS120で実行するIT取得処理について図4に示すフローチャートを用いて説明する。
CPU102は、S210では、第1の通信装置の負荷情報を取得する。負荷情報とは、第1の通信装置の負荷の大小を定量的に表した情報である。第1の通信装置がエンジンECU10(すなわち、CPU102)である本実施形態では、CPU102は、エンジン回転数を負荷情報として取得する。エンジン回転数は、車両情報部11が備えるクランク角センサの検出値に基づいて算出される。CPU102は、本情報生成処理とは別処理にてエンジン回転数を算出するように構成されてもよいし、通信線90を介して他のECUからエンジン回転数を取得するように構成されてもよい。
CPU102は、S220では、対応情報を取得する。対応情報とは、負荷情報と、IT(すなわち、判定情報の送信周期)との対応を示す情報であり、メモリ103に予め記憶されている。対応情報では、負荷が大きくなるほどITが長くなるように、負荷情報とITとが対応付けられている。例えば、図5に示す本実施形態の対応情報では、エンジン回転数が大きいほどITが長くなるように、エンジン回転数とITとが対応づけられている。なお、対応情報において、対応づけられるそれぞれのITは、WDG信号の出力周期を逓倍した周期と一致するように設定されてもよい。
CPU102は、S230では、対応情報に基づいて、ITを決定し、本IT取得処理を終了する。これにより、ITは、第1の通信装置の負荷が大きいほど長くなるように、決定される。
例えば、情報生成処理は、負荷情報に応じたIT毎に起動されてもよい。そして、判定情報を含む通信フレームは、情報生成処理によって、IT毎に第2の通信装置へ送信される。
<監視処理>
第2の通信装置としてのドアECU20が備えるマイコン201(すなわちCPU202)が実行する監視処理について、図6に示すフローチャートを用いて説明する。監視処理は、第2の通信装置が通信線90を介し当該該第2の通信装置宛の判定情報を取得したことをきっかけとして、起動される。
第2の通信装置としてのドアECU20が備えるマイコン201(すなわちCPU202)が実行する監視処理について、図6に示すフローチャートを用いて説明する。監視処理は、第2の通信装置が通信線90を介し当該該第2の通信装置宛の判定情報を取得したことをきっかけとして、起動される。
CPU202は、S310では、判定情報を取得する。
CPU202は、S320-340では、判定情報に含まれる状態情報の種類毎に、正常情報と判定情報に含まれる状態情報とを比較する。ここでいう状態情報は定量的に表される情報であり、正常情報も定量的に表される情報である。正常情報とは、第1の通信装置が正常であるときの状態情報であって、状態情報の種類毎に予め定められた値が設定されている。正常情報は、第2通信装置(すなわち、ドアECU20)のメモリ203に予め記憶されている。
CPU202は、S320-340では、判定情報に含まれる状態情報の種類毎に、正常情報と判定情報に含まれる状態情報とを比較する。ここでいう状態情報は定量的に表される情報であり、正常情報も定量的に表される情報である。正常情報とは、第1の通信装置が正常であるときの状態情報であって、状態情報の種類毎に予め定められた値が設定されている。正常情報は、第2通信装置(すなわち、ドアECU20)のメモリ203に予め記憶されている。
CPU202は、まずS320では、後述する通信成否判定処理を実行する。比較される状態情報は、TS、詳しくは最新の判定情報に含まれるTSと直近の過去の判定情報に含まれるTSとの時間間隔、である。
CPU202は、S330では、後述する個別判定処理を実行する。比較される状態情報は、WDG出力、割り込み発生回数M、タスク抜け回数Nである。
CPU202は、S340では、後述する異常判定処理を実行する。CPU202は、S340では、S320-S330による4種類の状態情報と正常情報との比較の結果に基づいて、第1の通信装置の異常を判定する。S340では、第1の通信装置の異常についての判定結果を含む通信フレームが生成される。
CPU202は、S340では、後述する異常判定処理を実行する。CPU202は、S340では、S320-S330による4種類の状態情報と正常情報との比較の結果に基づいて、第1の通信装置の異常を判定する。S340では、第1の通信装置の異常についての判定結果を含む通信フレームが生成される。
CPU202は、S350では、S340にて生成される通信フレームを、通信線90を介して送信する。通信フレームには、後述する回復指示が含まれ得る。また、通信フレームには、第1の通信装置の異常についての判定結果が含まれ得る。そして、CPU202は、以上で本監視処理を終了する。なお、以下でいう監視情報とは、回復指示と判定結果とを含む通信フレームをいう。
<通信成否判定処理>
次に、CPU202が監視処理のS320で実行する通信成否判定処理を、図7に示すフローチャートを用いて説明する。
次に、CPU202が監視処理のS320で実行する通信成否判定処理を、図7に示すフローチャートを用いて説明する。
CPU202は、S410では、判定情報に含まれている、TS及びITを取得する。
CPU202は、S420では、判定情報出力間隔Pを算出する。判定情報出力間隔Pとは、第1の通信装置から判定情報が出力された時間間隔をいう。具体的には、判定情報出力間隔Pは、今回受信した判定情報に含まれるTSと、前回受信した判定情報に含まれる過去のTS(以下、PTS)と、の差として算出される。PTSは、後述するようにメモリ203に記憶されている。
CPU202は、S420では、判定情報出力間隔Pを算出する。判定情報出力間隔Pとは、第1の通信装置から判定情報が出力された時間間隔をいう。具体的には、判定情報出力間隔Pは、今回受信した判定情報に含まれるTSと、前回受信した判定情報に含まれる過去のTS(以下、PTS)と、の差として算出される。PTSは、後述するようにメモリ203に記憶されている。
このように第1の通信装置にて取得されたTSに基づいて判定情報出力間隔Pを算出することにより、通信線90による遅延等に関係無く、第1の通信装置における判定情報の送信周期(すなわち、IT)が推定される。
CPU202は、S430では、判定情報出力間隔PがITの所定範囲内に一致するか否かを判定する。例えば、CPU202は、判定情報出力間隔PがIT-α≦P≦IT+αであるか否か、を判定する。αは、ITとPとが一致しているとみなされる程度の任意の値に設定され得る。ITとは、上述のように、第1の通信装置にて予め設定された判定情報の送信周期である。
つまり、CPU202は、判定情報出力間隔PがITの所定範囲内に一致している場合に、第1の通信装置から設定通りの送信周期で判定情報が送信されており、第1の通信装置において判定情報の送信周期は正常である、と判定する。CPU202は、判定情報出力間隔PがITの所定範囲内に一致する場合に処理をS450へ移行させ、判定情報出力間隔PがITの所定範囲内に一致しない場合に処理をS440へ移行させる。
CPU202は、S440では、第1の評価値JICを1つカウントアップし、処理をS440へ移行させる。第1の評価値JICとは、第1の通信装置の異常を評価するための数値である。第1の評価値JICは、判定情報に含まれる状態情報が正常でない(すなわち、異常である)と判定される毎に、予め定められた加算値が加算されて新たな第1の評価値JICとして算出される。つまり、加算値とは、判定情報に含まれる状態情報が正常でないと判定される毎に、新たな第1の評価値JICを生成するために、既に算出されている第1の評価値JICに加算される値であり、例えば本実施形態では1である。但し、加算値は任意に設定され得る。
CPU202は、S450では、S450ではS410にて取得したTSをPTSとしてメモリ203に記憶する。CPU202は、以上で本通信成否判定処理を終了する。
このように、通信成否判定処理では、判定情報に含まれるTSに基づいて算出される判定情報出力間隔Pを状態情報とし、該判定情報出力間隔Pを正常情報であるITと比較して、第1の評価値JICを算出する。換言すれば、通信成否判定処理では、TSを状態情報として、PTSにITを加算した値を正常情報として、これらを比較することにより、これらが一致する場合に状態情報であるTSが正常であると判定している、といえる。
このように、通信成否判定処理では、判定情報に含まれるTSに基づいて算出される判定情報出力間隔Pを状態情報とし、該判定情報出力間隔Pを正常情報であるITと比較して、第1の評価値JICを算出する。換言すれば、通信成否判定処理では、TSを状態情報として、PTSにITを加算した値を正常情報として、これらを比較することにより、これらが一致する場合に状態情報であるTSが正常であると判定している、といえる。
<個別判定処理>
次に、CPU202が監視処理のS330で実行する個別判定処理を、図8に示すフローチャートを用いて説明する。
次に、CPU202が監視処理のS330で実行する個別判定処理を、図8に示すフローチャートを用いて説明する。
CPU202は、S510では、判定情報に含まれる状態情報であるWDG出力を取得する。
CPU202は、S520では、WDG出力が正常であるか否かを判定する。第1の通信装置におけるWDGパルスの出力パタンは、予め第2の通信装置のメモリ203に正常情報として記憶されている。また、メモリ203には、判定情報を受信したときの過去のWDG出力が判定情報を受信する毎に継続して記憶されている。
CPU202は、S520では、WDG出力が正常であるか否かを判定する。第1の通信装置におけるWDGパルスの出力パタンは、予め第2の通信装置のメモリ203に正常情報として記憶されている。また、メモリ203には、判定情報を受信したときの過去のWDG出力が判定情報を受信する毎に継続して記憶されている。
CPU202は、過去のWDG出力に基づいて、新たに受信したWDG出力(すなわち、「H」又は「L」)が、正常情報としてのパタンから推測される出力(すなわち、「H」又は「L」)に一致する場合に、WDG出力が正常であると判定する。CPU202は、判定結果をメモリ203に記憶する。なお、本ステップでは、メモリ203には、新たな判定結果が過去の判定結果とともに記憶される。
CPU202は、WDG出力が正常でないと判定された場合に処理をS530へ移行させ、WDG出力が正常であると判定された場合に処理をS540へ移行させる。
CPU202は、S530では、第1の評価値JICを1つカウントアップし、処理をS570へ移行させる。
CPU202は、S530では、第1の評価値JICを1つカウントアップし、処理をS570へ移行させる。
CPU202は、S540-560では、状態情報毎に、正常連続回数を検出する。正常連続回数とは、同一種類の状態情報が正常であると連続して判定された回数である。そして、CPU202は、正常連続回数が予め定められた回数閾値以上である場合に、第1の評価値JICから予め定められた減算値を減算して新たな第1の評価値JICを算出する。
これは、過去に第1の評価値JICが加算されていても、その後に正常であると連続して判定された場合には、該過去の第1の評価値JICの加算はノイズ等の影響による一時的なものであり、第1の通信装置の異常ではないと考えるためである。本実施形態では、回数閾値は3であり、減算値は1である。但し、回数閾値及び減算値は、任意に設定され得る。なお、正常連続回数は、状態情報が異常であると判定された場合にリセットされる。
CPU202は、まずS540では、新たな判定結果とメモリ203に記憶されている過去の判定結果とに基づいて、状態情報であるWDG出力が正常であると連続して判定された回数(すなわち、正常連続回数)が回数閾値以上であるか否かを判定する。CPU202は、WDG出力の正常連続回数をカウントしている。CPU202は、正常連続回数が回数閾値以上である場合に処理をS550へ移行させ、正常連続回数が回数閾値未満である場合に処理をS570へ移行させる。
CPU202は、S550では、第1の評価値JICが1以上であるか否かを判定する。本ステップは、第1の評価値JICが負の値とならないようにするための処理である。CPU202は、第1の評価値JICが1以上である場合に処理をS560へ移行させ、第1の評価値JICが1未満(すなわち、0)である場合に処理をS570へ移行させる。
CPU202は、S560では、第1の評価値JICを1つカウントダウンし、処理をS570へ移行させる。
CPU202は、S570-S620では、状態情報である割り込み発生回数Mについて上述と同様の判定を行い、S630-S680では、状態情報であるタスク抜け回数Nについて上述と同様の判定を行う。
CPU202は、S570-S620では、状態情報である割り込み発生回数Mについて上述と同様の判定を行い、S630-S680では、状態情報であるタスク抜け回数Nについて上述と同様の判定を行う。
すなわち、CPU202は、S570では、判定情報に含まれる状態情報である割り込み発生回数Mを取得する。
CPU202は、S580では、割り込み発生回数Mが正常であるか否かを判定する。CPU202は、状態情報である割り込み発生回数Mと正常情報(すなわち、正常情報の上限値)である最高負荷時割込回数Mmaxとを比較し、割り込み発生回数Mが最高負荷時割込回数Mmax以下である場合に、割り込み発生回数Mが正常であると判定する。CPU202は、判定結果をメモリ203に記憶する。CPU202は、割り込み発生回数Mが正常でない場合に処理をS590へ移行させ、割り込み発生回数Mが正常である場合に処理をS600へ移行させる。
CPU202は、S580では、割り込み発生回数Mが正常であるか否かを判定する。CPU202は、状態情報である割り込み発生回数Mと正常情報(すなわち、正常情報の上限値)である最高負荷時割込回数Mmaxとを比較し、割り込み発生回数Mが最高負荷時割込回数Mmax以下である場合に、割り込み発生回数Mが正常であると判定する。CPU202は、判定結果をメモリ203に記憶する。CPU202は、割り込み発生回数Mが正常でない場合に処理をS590へ移行させ、割り込み発生回数Mが正常である場合に処理をS600へ移行させる。
CPU202は、S590では、第1の評価値JICを1つカウントアップし、処理をS630へ移行させる。
CPU202は、S600では、メモリ203に記憶されている判定結果に基づいて、正常連続回数が回数閾値以上であるか否かを判定する。ここでいう正常連続回数とは、状態情報である割り込み発生回数Mが正常であると連続して判定された回数である。CPU202は、割り込み発生回数Mの正常連続回数をカウントしている。CPU202は、割り込み発生回数Mの正常連続回数が回数閾値以上である場合に処理をS610へ移行させ、該正常連続回数が回数閾値未満である場合に処理をS630へ移行させる。
CPU202は、S600では、メモリ203に記憶されている判定結果に基づいて、正常連続回数が回数閾値以上であるか否かを判定する。ここでいう正常連続回数とは、状態情報である割り込み発生回数Mが正常であると連続して判定された回数である。CPU202は、割り込み発生回数Mの正常連続回数をカウントしている。CPU202は、割り込み発生回数Mの正常連続回数が回数閾値以上である場合に処理をS610へ移行させ、該正常連続回数が回数閾値未満である場合に処理をS630へ移行させる。
CPU202は、S610では、第1の評価値JICが1以上であるか否かを判定する。CPU202は、第1の評価値JICが1以上である場合に処理をS620へ移行させ、第1の評価値JICが1未満である場合に処理をS630へ移行させる。
CPU202は、S620では、第1の評価値JICを1つカウントダウンし、処理をS630へ移行させる。
CPU202は、S630では、判定情報に含まれる状態情報であるタスク抜け回数Nを取得する。
CPU202は、S630では、判定情報に含まれる状態情報であるタスク抜け回数Nを取得する。
CPU202は、S640では、タスク抜け回数Nが正常であるか否かを判定する。CPU202は、状態情報であるタスク抜け回数Nと正常情報(すなわち、正常情報の上限値)である最高負荷時タスク抜け回数Nmaxとを比較する。CPU202は、タスク抜け回数Nが最高負荷時タスク抜け回数Nmax以下である場合に、タスク抜け回数Nが正常であると判定する。CPU202は、判定結果をメモリ203に記憶する。CPU202は、タスク抜け回数Nが正常でない場合に処理をS650へ移行させ、タスク抜け回数Nが正常である場合に処理をS660へ移行させる。
CPU202は、S650では、第1の評価値JICを1つカウントアップし、以上で本処理を終了する。
CPU202は、S660では、メモリ203に記憶されている判定結果に基づいて、状態情報であるタスク抜け回数Nの正常連続回数が回数閾値以上であるか否かを判定する。ここでいう正常連続回数とは、状態情報であるタスク抜け回数Nが正常であると連続して判定された回数である。CPU202は、タスク抜け回数Nの正常連続回数をカウントしている。CPU202は、タスク抜け回数Nの正常連続回数が回数閾値以上である場合に処理をS670へ移行させ、該正常連続回数が回数閾値未満である場合に本処理を終了する。
CPU202は、S660では、メモリ203に記憶されている判定結果に基づいて、状態情報であるタスク抜け回数Nの正常連続回数が回数閾値以上であるか否かを判定する。ここでいう正常連続回数とは、状態情報であるタスク抜け回数Nが正常であると連続して判定された回数である。CPU202は、タスク抜け回数Nの正常連続回数をカウントしている。CPU202は、タスク抜け回数Nの正常連続回数が回数閾値以上である場合に処理をS670へ移行させ、該正常連続回数が回数閾値未満である場合に本処理を終了する。
CPU202は、S670では、第1の評価値JICが1以上であるか否かを判定する。CPU202は、第1の評価値JICが1以上である場合に処理をS680へ移行させ、第1の評価値JICが1未満である場合に、本処理を終了する。
CPU202は、S680では、第1の評価値JICを1つカウントダウンする。CPU202は、以上で本処理を終了する。
<異常判定処理>
次に、CPU202が監視処理のS340で実行する異常判定処理を、図9に示すフローチャートを用いて説明する。CPU202は、監視処理のS320-S330(すなわち、上述の通信成否処理及び個別判定処理)にて生成された第1の評価値JICの大きさに基づいて、第1の通信装置の異常を判定する。
<異常判定処理>
次に、CPU202が監視処理のS340で実行する異常判定処理を、図9に示すフローチャートを用いて説明する。CPU202は、監視処理のS320-S330(すなわち、上述の通信成否処理及び個別判定処理)にて生成された第1の評価値JICの大きさに基づいて、第1の通信装置の異常を判定する。
CPU202は、本異常判定処理では、第1の評価値JICが予め定められた評価閾値以上である場合に、第2の評価値ACCに予め定められた所定値を加算して新たな第2の評価値ACCを生成する。そして、CPU202は、第2の評価値ACCの大きさに基づいて第1の通信装置の異常を判定する。
評価閾値とは、第1の評価値JICに基づいて、第1の通信装置に何らかの異常が生じていると推測される状態と、ノイズ等の影響により一時的に状態情報に異常が生じていると推測される状態と、を区別するための閾値である。第2の評価値ACCとは、第1の評価値JICが評価閾値以上となる状態がどの程度継続しているかを表す数値であって、第1の通信装置に生じていると推測される異常の大きさ(すなわち、異常の程度)を表すための数値である。第2の評価値ACCが大きいほど、つまり第1の評価値JICが評価閾値以上となる状態が長いほど、第1の通信装置の異常の程度が大きいと判定される。
CPU202は、まずS710では、生成された第1の評価値JICを取得する。
CPU202は、S720では、第1の評価値JICが予め定められた評価閾値以上であるか否かを判定する。評価閾値は、例えば本実施形態では3であり、メモリ203に予め記憶されている。但し、評価閾値は任意に設定され得る。
CPU202は、S720では、第1の評価値JICが予め定められた評価閾値以上であるか否かを判定する。評価閾値は、例えば本実施形態では3であり、メモリ203に予め記憶されている。但し、評価閾値は任意に設定され得る。
CPU202は、第1の評価値JICが評価閾値以上であると判定された場合に、処理をS730へ移行させ、第1の評価値JICが評価閾値未満であると判定された場合に、処理をS740へ移行させる。
CPU202は、S730では、第2の評価値ACCを1つカウントアップし、処理をS740へ移行させる。
CPU202は、S740では、第2の評価値ACCが第1の異常閾値以上であるか否かを判定する。ここで、CPU202は、第2の評価値ACCが第1の異常閾値未満である場合に、第1の通信装置が正常であると判定して、処理をS750へ移行させる。一方、CPU202は、第2の評価値ACCが第1の異常閾値以上である場合に、第1の通信装置に何らかの異常が生じていると判定して、処理をS770へ移行させる。
CPU202は、S740では、第2の評価値ACCが第1の異常閾値以上であるか否かを判定する。ここで、CPU202は、第2の評価値ACCが第1の異常閾値未満である場合に、第1の通信装置が正常であると判定して、処理をS750へ移行させる。一方、CPU202は、第2の評価値ACCが第1の異常閾値以上である場合に、第1の通信装置に何らかの異常が生じていると判定して、処理をS770へ移行させる。
第1の異常閾値とは、第2の評価値ACCに基づいて、第1の通信装置が正常であると推定される状態と、第1の通信装置に何らかの異常が生じていると推定される状態と、を区別するための閾値である。例えば本実施形態では、第1の異常閾値は1であり、メモリ203に予め記憶されている。但し、第1の異常閾値は任意に設定され得る。
CPU202は、第1の通信装置が正常であると判定されて移行するS750では、回復指示を設定する。回復指示とは、第1の通信装置の異常を回復するための指示であって、第2の通信装置から第1の通信装置へ送信される指示である。本ステップでは、第1の通信装置は正常であると判定されているため、CPU202は、回復指示に「指示無し」を設定する。「指示無し」を設定することは、回復指示を行わないことに相当する。
CPU202は、S760では第1の通信装置を送信先とする通信フレームを生成する。通信フレームには、S750で設定された回復指示と、第1の通信装置が正常であると判定された判定結果とが含まれる。そして、CPU202は、以上で本異常判定処理を終了する。
CPU202は、第2の評価値ACCが第1の異常閾値以上である場合に移行するS770―S830では、第2の評価値ACCの大きさに応じて、第1の通信装置の異常の程度を判定し、第1の通信装置の異常を回復するための回復指示を決定する。
CPU202は、まずS770では、第2の評価値ACCが第1の異常閾値以上且つ第2の異常閾値未満であるか否かを判定する。ここで、CPU202は、第2の評価値ACCが第1の異常閾値異常且つ第2の異常閾値未満である場合に、第1の通信装置が軽度の異常であると判定して、処理をS780へ移行させる。一方、CPU202は、第2の評価値ACCが第2の異常閾値以上である場合に、第1の通信装置に重度の異常が生じている状態であると判定して、処理をS800へ移行させる。
第2の異常閾値とは、第2の評価値ACCに基づいて、第1の通信装置において、軽度な異常が生じている状態と、重度な異常が生じている状態と、を区別するための閾値である。つまり、第2の異常閾値は、第1の通信装置の異常の程度を推定するための数値である。例えば本実施形態では、第2の異常閾値は3であり、メモリ203に予め記憶されている。但し、第2の異常閾値は任意に設定され得る。
CPU202は、第1の通信装置が軽度の異常であると判定されて移行するS770では、回復指示を設定する。本ステップではリフレッシュ指示が回復指示として設定される。リフレッシュ指示とは、第1の通信装置(すなわち、エンジンECU10)のマイコン101をリフレッシュするための指示である。
CPU202は、S790では第1の通信装置を送信先とする通信フレームを生成する。通信フレームには、S780で設定された回復指示が含まれる。また、通信フレームには、第1の通信装置が軽度の異常であると判定された判定結果が含まれる。そして、CPU202は、以上で本異常判定処理を終了する。
CPU202は、第1の通信装置が重度の異常であると判定されて移行するS800では、回復指示を設定する。本ステップではリセット指示が回復指示として設定される。リセット指示とは、第1の通信装置(すなわち、エンジンECU10)のマイコン101をリセットするための指示である。
CPU202は、S810では第1の通信装置を送信先とする通信フレームを生成する。通信フレームには、S800で設定された回復指示が含まれる。また、通信フレームには、第1の通信装置が重度の異常であると判定された判定結果が含まれる。
CPU202は、S820では、第2の評価値ACCを初期化する。すなわち、第2の評価値ACCを0に設定する。
CPU202は、S830では、第1の評価値JICを初期化する。すなわち、第1の評価値JICを0に設定する。そして、CPU202は、以上で本異常判定処理を終了する。
CPU202は、S830では、第1の評価値JICを初期化する。すなわち、第1の評価値JICを0に設定する。そして、CPU202は、以上で本異常判定処理を終了する。
<作動>
上述のように構成される車載制御システム1の作動を、図10を用いて説明する。なお、図10では、ITは1msecに設定されているものとする。また、図10では、第2の通信装置において判定情報が正常な周期(すなわち、ITに一致)で受信されている例を示す。
上述のように構成される車載制御システム1の作動を、図10を用いて説明する。なお、図10では、ITは1msecに設定されているものとする。また、図10では、第2の通信装置において判定情報が正常な周期(すなわち、ITに一致)で受信されている例を示す。
時刻t0では、第1の評価値JIC及び第2の評価値ACCは0である。
時刻t1では、状態情報としてのWDG出力は、「H」で正常である。割り込み発生回数Mは、正常値の上限値である最高負荷時割り込み回数Mmax未満であり正常である。タスク抜け回数Nは、正常値の上限値である最高負荷時タスク抜け回数Nmaxを超えており、タスク抜け回数Nは異常と判定されるため、第1の評価値JICは加算値(すなわち、1)加算されて1となる。第2の評価値ACCは0である。
時刻t1では、状態情報としてのWDG出力は、「H」で正常である。割り込み発生回数Mは、正常値の上限値である最高負荷時割り込み回数Mmax未満であり正常である。タスク抜け回数Nは、正常値の上限値である最高負荷時タスク抜け回数Nmaxを超えており、タスク抜け回数Nは異常と判定されるため、第1の評価値JICは加算値(すなわち、1)加算されて1となる。第2の評価値ACCは0である。
時刻t2では、状態情報としてのWDG出力は、「L」であり正常である。割り込み発生回数MはMmaxを超えており、割り込み発生回数Mは異常と判定されるため、第1の評価値JICは1加算されて2となる。タスク抜け回数NはNmax未満であり正常である。第2の評価値ACCは0である。
時刻t3では、状態情報としてのWDG出力は、「H」で正常である。割り込み発生回数MはMmax未満で正常である。タスク抜け回数NはNmax未満であり正常である。ここでは、WDG出力が回数閾値以上連続して正常であると判定されているので、第1の評価値JICは減算値(すなわち、1)減算されて1となる。第2の評価値ACCは0である。
時刻t4では、状態情報としてのWDG出力は、「H」で異常であり、第1の評価値JICは1加算されて2となる。割り込み発生回数MはMmax未満で正常である。タスク抜け回数NはNmaxを超えており異常と判定されるため、第1の評価値JICは1加算されて3となる。そして、第1の評価値JICが評価閾値(すなわち、3)以上となったため、第2の評価値ACCが所定値(すなわち、1)加算されて1となる。第2の評価値ACCは第1の異常閾値である1以上であり第2の異常閾値である3未満である。
これにより、第2の通信装置(すなわち、ドアECU20)は、第1の通信装置(すなわち、エンジンECU10)を、軽度の異常が生じている状態であると判定する。第2の通信装置は、リフレッシュ指示を回復指示として、該回復指示と判定結果とを含む通信フレームを第1の通信装置へ送信する。これにより、第1の通信装置はリフレッシュされる。
時刻t5では、状態情報としてのWDG出力は、「L」で異常であり、第1の評価値JICは1加算されて4となる。割り込み発生回数MはMmax未満であり正常である。ここで、割り込み発生回数Mは、回数閾値(すなわち、3)以上連続して正常であると判定されているので、第1の評価値JICは1減算されて3となる。タスク抜け回数NはNmax未満であり正常である。そして、第1の評価値JICが評価閾値(すなわち、3)以上となったため、第2の評価値ACCが1加算されて2となる。第2の評価値ACCは第1の異常閾値である1以上であり第2の異常閾値である3未満である。
これにより、第2の通信装置(すなわち、ドアECU20)は、第1の通信装置(すなわち、エンジンECU10)を、軽度の異常が生じている状態であると判定する。第2の通信装置は、リフレッシュ指示を回復指示として、該回復指示と判定結果とを含む通信フレームを第1の通信装置へ送信する。これにより、第1の通信装置はリフレッシュされる。
時刻t6では、状態情報としてのWDG出力は、「L」で正常である。割り込み発生回数MはMmaxを超えており異常と判定され、第1の評価値JICは1加算されて4となる。タスク抜け回数NはNmax未満であり正常である。そして、第1の評価値JICが評価閾値(すなわち、3)以上となったため、第2の評価値ACCが1加算されて3となる。第2の評価値ACCは第2の異常閾値である3以上となる。
これにより、第2の通信装置(すなわち、ドアECU20)は、第1の通信装置(すなわち、エンジンECU10)を、重度の異常が生じている状態であると判定する。第2の通信装置は、リセット指示を回復指示として、該回復指示と判定結果とを含む通信フレームを第1の通信装置へ送信する。これにより、第1の通信装置はリセットされる。そして、第1の評価値JIC、第2の評価値ACCは、初期化される。
[3.効果]
以上詳述した実施形態によれば、以下の効果を奏する。
(1)第1の通信装置としてのエンジンECU10が備える情報生成部52は、少なくとも1種類の状態情報を取得し、S170では、取得した状態情報を含む判定情報を生成し、S180では、生成した判定情報を第2の通信装置へ出力する。第2の通信装置としてのドアECU20が備える監視部63は、判定情報に含まれる状態情報と第1の通信装置が正常であるときの状態情報である正常情報とを比較し、第1の通信装置の異常を判定する。
以上詳述した実施形態によれば、以下の効果を奏する。
(1)第1の通信装置としてのエンジンECU10が備える情報生成部52は、少なくとも1種類の状態情報を取得し、S170では、取得した状態情報を含む判定情報を生成し、S180では、生成した判定情報を第2の通信装置へ出力する。第2の通信装置としてのドアECU20が備える監視部63は、判定情報に含まれる状態情報と第1の通信装置が正常であるときの状態情報である正常情報とを比較し、第1の通信装置の異常を判定する。
これにより、第1の通信装置は、第1の通信装置の外部装置である第2の通信装置との通信によって、第1の通信装置の異常を判定する。第1の通信装置が異常であるか否かを判定する第2の通信装置は、新たに設けられた制御装置ではなく、車載制御システム1が予め備えるECUである。つまり、車載制御システム1において構成要素を増加させること無く、簡素な構成で、第1の通信装置が異常であるか否かを監視することができる。
(2)監視部63は、S320-S330では、判定情報に含まれる状態情報の種類毎に、正常情報と状態情報とを比較し、S340では、第1の通信装置の異常を判定する。本実施形態では複数種類の状態情報を用いる。したがって、1つの状態情報を用いる場合よりも、第1の通信装置の異常を判定する精度を向上させることができる。
また、状態情報が定量的に表され、正常情報が定量的に表さ、監視部63は、これらの定量的に表される状態情報と正常情報との比較によって第1の通信装置の異常を判定してもよい。数値としての状態情報と数値としての正常情報との比較に基づいて判定が行われるので、判定する閾値が明確になり、第1の通信装置の異常を判定する精度を向上させることができる。
(3)監視部63は、S440、S530、S590、S650では、判定情報に含まれる状態情報が異常であると判定される毎に、第1の評価値JICに予め定められた加算値を加算して新たな第1の評価値JICを生成する。監視部63は、第1の評価値JICの大きさに基づいて第1の通信装置の異常を判定する。
これにより、仮に複数の状態情報のうちのいずれかが一時的に正確でない状態を示す場合であっても、状態情報が異常と判定された数である第1の評価値JICに基づいて第1の通信装置の異常が判定される。従って、ノイズ等による一時的な影響が抑制され、第1の通信装置の異常を判定する精度及び信頼度を向上させることができる。
(4)監視部63は、S440、S530、S590、S650では、同一種類の状態情報が正常であると連続して判定された正常連続回数が予め定められた回数閾値以上である場合に、新たな第1の評価値JICを生成する。ここでは、上述の第1の評価値JICから予め定められた減算値が減算され、新たな第1の評価値JICが生成される。これにより、ノイズ等による一時的な影響が抑制され、第1の通信装置の異常を判定する精度及び信頼度を向上させることができる。
(5)監視部63は、S730では、S720にて第1の評価値JICが評価閾値以上であると判定された場合に、第2の評価値ACCに予め定められた所定値を加算して新たな第2の評価値ACCを生成する。監視部63は、S740では、第2の評価値が第1の異常閾値以上である場合に、第1の通信装置が異常であると判定する。
つまり、監視部63は、第1の評価値JICが評価閾値以上であると判定された状態が少なくとも第1の異常閾値ぶん連続する場合に、第1の通信装置に何らかの異常が生じていると判定する。従って、ノイズ等による一時的な影響が更に抑制され、第1の通信装置の異常を判定する精度及び信頼度をより向上させることができる。
(6)監視部63は、S780、S800では、第2の評価値ACCが前記第1の異常閾値以上である場合に、前記第2の評価値ACCの大きさに応じて、第1の通信装置の異常を回復するための回復指示を決定する。これにより、異常の継続の程度によって、その程度に応じた回復指示を決定することができる。回復指示は第1の通信装置へのリフレッシュ指示であってもよいし、異常がより継続する場合には、回復指示は第1の通信装置へのリセット指示であってもよい。
(7)情報生成部52によって生成される判定情報には、時刻情報(すなわち、TS)が含まれる。TSは判定情報が生成された時刻を表す。これにより、第1の通信装置の外部装置である第2の通信装置は、通信線90による遅延等に関係無く、第1の通信装置にて取得されたTSに基づいて判定情報出力間隔Pを算出することができる。つまり、第2の通信装置は、通信線90による遅延等に関係無く、第1の通信装置における判定情報の送信周期(すなわち、IT)を精度良く推定することができる。
(8)情報生成部52によって生成される判定情報には、判定情報の送信周期(すなわち、IT)が状態情報として含まれる。これにより、第2の通信装置において特定される、TSに基づく判定情報出力間隔Pと、第1の通信装置にて予め設定されている送信周期であるITと、の比較を行うことができる。
(9)監視部63は、判定情報に含まれるTSに基づいて算出される判定情報出力間隔Pと、判定情報に含まれるITとを比較し、第1の通信装置の異常を判定する。これにより、例えば、判定情報出力間隔PとITとが一致する場合に第1の通信装置が正常であると判定し、一致しない場合に第1の通信装置に異常が生じていると判定することが可能となる。
また、仮に第1の通信装置においてITが変更されたとしても、第2の通信装置は、受信した判定情報に含まれるITによって、第1の通信装置における直近のITを認識することができる。つまり、第2の通信装置は、判定情報出力間隔Pが変更前のITに一致しなくても、判定情報出力間隔Pが新たに受信した判定情報に含まれる変更後のITに一致する場合は、判定情報出力間隔Pが正常であると判定することができる。
つまり、第2の通信装置は、判定情報出力間隔Pの変化を、第1の通信装置による意図的な変更であるのか、第1の通信装置の異常による変化であるのか、を区別することができるので、第1の通信装置の異常を精度よく判定することができる。
(10)情報生成部52は、S320では、第1の通信装置の負荷の大小を定量的に示す負荷情報に基づいて判定情報の送信周期(すなわち、IT)を決定する。情報生成部52は、判定情報の送信周期を、第1の通信装置の負荷が大きいほど長くなるように決定する。負荷情報は、第1の通信装置がエンジンECU10である上述の実施形態では、例えば、エンジン回転数である。
情報生成部52は、エンジン回転数とITとを対応づけた対応情報を取得し、対応情報に基づいてエンジン回転数に対応するITを特定し、特定したITで判定情報を送信してもよい。対応情報とは、負荷情報と負荷情報の大きさに応じたITとを対応づけた予め定められた情報であって、負荷が高いほどITが長くなるように対応づけられた情報である。
これにより、第1の通信装置であるエンジンECU10では、負荷大きいときはITが大きい値に設定される。このため、エンジンECU10は、エンジンECU10の処理能力を、判定情報を送信すること以外に費やすことができる。つまり、第1の通信装置の処理能力を効率良く利用することができる。
なお、上述の実施形態では、車載制御システム1が通信システムに相当し、エンジンECU10及びドアECU20が複数の通信装置に相当し、エンジンECU10が第1の通信装置に相当し、ドアECU20が第2の通信装置に相当する。また、監視部63が、判定実行部、種類別判定部、加算部に相当する。S340が判定実行部としての処理に相当し、S430、S520、S580、S640が種類別判定部としての処理に相当し、S440、S530、S590、S650が加算部としての処理に相当する。判定情報出力間隔Pが判定情報の送信間隔に相当し、TSが時刻情報に相当し、ITが第1の通信装置にて決定された、判定情報の送信周期に相当する。
[4.変形例]
以下に、車載制御システム1の変形例を示す。
<変形例1>
車載制御システム1では、エンジンECU10は第1の通信装置であり、ドアECU20は第2の通信装置であった。これに対して、図11に示す変形例1の車載制御システム2では、エンジンECU10が第1の通信装置であり、エンジンECU10及びブレーキECU30の両方が第2の通信装置であってもよい。
以下に、車載制御システム1の変形例を示す。
<変形例1>
車載制御システム1では、エンジンECU10は第1の通信装置であり、ドアECU20は第2の通信装置であった。これに対して、図11に示す変形例1の車載制御システム2では、エンジンECU10が第1の通信装置であり、エンジンECU10及びブレーキECU30の両方が第2の通信装置であってもよい。
つまり、エンジンECU10は、上述の実施形態と同様に、制御部51と情報生成部52とを備える。情報生成部52は、情報生成処理を実行し、第2の通信装置としてのドアECU20及びブレーキECU30の両方に、判定情報を送信する。第2の通信装置としてのドアECU20は、上述の実施形態と同様に、制御部61と監視部63を備える。もう1つの第2の通信装置としてのブレーキECU30は、制御部71と監視部73とを備える。監視部73は、監視部63と同様に構成される。
これにより、第1の通信装置としてのエンジンECU10の異常の有無を、複数の第2の通信装置(すなわち、ドアECU20、ブレーキECU30)によって、監視することができる。つまり、車載制御システム2は、第1の通信装置としてのエンジンECU10についての異常の判定結果及び回復指示(すなわち、監視情報)を得るための構成を冗長構成で備えることができる。
ここで、複数の第2の通信装置としてのドアECU20及びブレーキECU30は、判定情報を受信する毎に、監視処理を実行するように構成されてもよい。エンジンECU10は、ドアECU20及びブレーキECU30の両方から監視情報を受信し、両方の監視情報に含まれる判定結果が一致した場合にのみ該判定結果が真であるとして回復指示に従った動作を行うように構成されてもよい。これにより、ドアECU20又はブレーキECU30による誤判定に伴う回復指示に従ってエンジンECU10が動作すること、が抑制される。
なお、複数の第2の通信装置としてのドアECU20及びブレーキECU30は、予め定められた周期(例えば、100msec毎等)で、交互に、監視処理を実行するように構成されてもよい。これにより、ドアECU20及びブレーキECU30の処理負荷を軽減することができる。また、仮に、ドアECU20及びブレーキECU30のうちの一方が故障した場合には、エンジンECU10の異常の判定を継続することができる。
<変形例2>
図12に示す変形例2の車載制御システム3では、エンジンECU10は第1の通信装置であり、ドアECU20はエンジンECU10にとっての第2の通信装置である。更に、ドアECU20は第1の通信装置であり、エンジンECU10はドアECU20にとっての第2の通信装置はである。
図12に示す変形例2の車載制御システム3では、エンジンECU10は第1の通信装置であり、ドアECU20はエンジンECU10にとっての第2の通信装置である。更に、ドアECU20は第1の通信装置であり、エンジンECU10はドアECU20にとっての第2の通信装置はである。
つまり、エンジンECU10は、制御部51と情報生成部52とに加えて、更に監視部53を備える。監視部53は、監視部63と同様に構成される。但し、監視部53は、監視処理を実行し、第1の通信装置としてのドアECU20から送信された判定情報に基づいて、第1の通信装置としてのドアECU20の異常を判定する。
また、ドアECU20は、制御部61と監視部63とに加えて、更に情報生成部62を備える。情報生成部62は情報生成部52と同様に構成される。但し、情報生成部62は、情報生成処理を実行し、判定情報をエンジンECU10へ送信する。
これにより、車載制御システム3では、ドアECU20によってエンジンECU10の異常を判定することに加えて、エンジンECU10によってドアECU20の異常を判定することができる。つまり、互いに監視し合うことができる。
具体的には、エンジンECU10又はドアECU20は、自装置による異常の診断結果(例えば、WDGパルスに基づく診断結果)と、監視情報に含まれる自装置の判定結果と、を比較することが可能となる。ここで、例えば、自装置による異常の診断結果と監視情報に含まれる自装置の判定結果とが異なる場合は、自装置及び自装置を第1の通信装置としたときの第2の通信装置のうちいずれかのマイコンに異常が生じている可能性があること、を検出することができる。
<変形例3>
図13に示す変形例3の車載制御システム4では、エンジンECU10は第1の通信装置であり、ドアECU20は第2の通信装置である。更に、ドアECU20は第1の通信装置であり、ブレーキECU30は第2の通信装置である。
図13に示す変形例3の車載制御システム4では、エンジンECU10は第1の通信装置であり、ドアECU20は第2の通信装置である。更に、ドアECU20は第1の通信装置であり、ブレーキECU30は第2の通信装置である。
つまり、ドアECU20は、制御部61と監視部63とに加えて、更に情報生成部62を備える。情報生成部62は情報生成部52と同様に構成される。但し、情報生成部62は、情報生成処理を実行し、判定情報をブレーキECU30へ送信する。
また、ブレーキECU30は、制御部71に加えて、更に監視部73を備える。監視部73は、監視部63と同様に構成される。但し、監視部73は、監視処理を実行し、第1の通信装置としてのドアECU20から送信された判定情報に基づいて、第1の通信装置としてのドアECU20の異常を判定する。
これにより、車載制御システム4では、ドアECU20によってエンジンECU10の異常を判定することに加えて、ブレーキECU30によってドアECU20の異常を判定することができる。また、車載制御システム4では、エンジンECU10の異常を監視するドアECU20の異常、を監視するブレーキECU30を備える。これにより。ブレーキECU30によってドアECU20が正常であると判定された場合は、ドアECU20によるエンジンECU10の異常の判定結果が正常であること、を保証することができる。
なお、更に、ブレーキECU30を図示しない他のECUに監視させることも可能である。
[5.他の実施形態]
以上、本開示の実施形態について説明したが、本開示は上述の実施形態に限定されることなく、種々変形して実施することができる。
[5.他の実施形態]
以上、本開示の実施形態について説明したが、本開示は上述の実施形態に限定されることなく、種々変形して実施することができる。
(1)上記実施形態では、監視部63は、複数の状態情報の種類毎に状態情報が正常であるか否かを判定し、異常である場合に第1の評価値JICを加算し、更に第1の評価値JICに基づく第2の評価値ACCを用いて、第1の通信装置が異常であることを決定した。但し、本開示はこれに限定されるものではない。
例えば、監視部63は、取得する複数の状態情報のうち少なくとも1種類の状態情報について異常であると判定した時点で、第1の通信装置が異常であると決定するように構成されてもよい。又は、監視部63は、取得する複数の状態情報のうち全ての状態情報について異常であると判定した時点で、第1の通信装置が異常であると決定するように構成されてもよい。
(2)上述の実施形態では、監視部63は、同一種類の状態情報が正常であると連続して判定された正常連続回数を検出し、正常連続回数が回数閾値以上である場合に、第1の評価値JICから減算値を減算して新たな第1の評価値JICを生成した。但し、本開示はこれに限定されるものではない。例えば、監視部63は、複数の状態情報のうち所定数(例えば、3)以上の状態情報が正常である場合に、第1の評価値JICから減算値を減算して新たな第1の評価値JICを生成するように構成されてもよい。例えば、図8に、WDG出力、割り込み発生回数M、及びタスク抜け回数Nといった3つ状態情報が全て正常である場合に、S650の後であって且つS680の後に、第1の評価値JICから減算値を減算する処理が追加されてもよい。これにより、ノイズ等による一時的な影響を更に抑制することができる。
(3)本開示に記載のエンジンECU10、ドアECU20、ドアECU20は、コンピュータプログラムにより具体化された一つ乃至は複数の機能を実行するようにプログラムされたプロセッサ及びメモリを構成することによって提供された専用コンピュータにより、実現されてもよい。あるいは、本開示に記載のエンジンECU10、ドアECU20、ドアECU20及びその手法は、一つ以上の専用ハードウェア論理回路によってプロセッサを構成することによって提供された専用コンピュータにより、実現されてもよい。もしくは、本開示に記載のエンジンECU10、ドアECU20、ドアECU20及びその手法は、一つ乃至は複数の機能を実行するようにプログラムされたプロセッサ及びメモリと一つ以上のハードウェア論理回路によって構成されたプロセッサとの組み合わせにより構成された一つ以上の専用コンピュータにより、実現されてもよい。また、コンピュータプログラムは、コンピュータにより実行されるインストラクションとして、コンピュータ読み取り可能な非遷移有形記録媒体に記憶されてもよい。エンジンECU10、ドアECU20、ドアECU20に含まれる各部の機能を実現する手法には、必ずしもソフトウェアが含まれている必要はなく、その全部の機能が、一つあるいは複数のハードウェアを用いて実現されてもよい。
(4)上記実施形態における1つの構成要素が有する複数の機能を、複数の構成要素によって実現したり、1つの構成要素が有する1つの機能を、複数の構成要素によって実現したりしてもよい。また、複数の構成要素が有する複数の機能を、1つの構成要素によって実現したり、複数の構成要素によって実現される1つの機能を、1つの構成要素によって実現したりしてもよい。また、上記実施形態の構成の一部を省略してもよい。また、上記実施形態の構成の少なくとも一部を、他の上記実施形態の構成に対して付加又は置換してもよい。
(5)上述したエンジンECU10、ドアECU20、ドアECU20の他、車載制御システム1-4、マイコン101、201、301、CPU102、202、302、当該エンジンECU10、ドアECU20、ドアECU20を機能させるためのプログラム、このプログラムを記録した半導体メモリ等の非遷移有形記録媒体、監視方法など、種々の形態で本開示を実現することもできる。
1 車載制御システム、10 エンジンECU、20 ドアECU、101 マイコン、201 マイコン。
Claims (14)
- 車両に搭載される通信システム(1)であって、
前記通信システムは、通信線によって互いに通信可能に接続されている複数の通信装置(10、20)を備え、
前記複数の通信装置は、第1の通信装置(10)と第2の通信装置(20)とを備え、
前記第1の通信装置は、
前記第1の通信装置の状態を示す少なくとも1種類の状態情報を取得し、取得した前記状態情報を含む判定情報を生成し、前記判定情報を前記第2の通信装置へ出力するように構成された情報生成部(52)
を備え、
前記第2の通信装置は、
前記判定情報を取得し、前記状態情報であって前記第1の通信装置が正常であるときの予め定められた正常情報と前記判定情報に含まれる前記状態情報とを比較し、前記第1の通信装置の異常を判定するように構成された監視部(63)
を備え、
前記監視部は、
前記判定情報を受信し、前記判定情報に含まれる前記状態情報の種類毎に、前記正常情報と前記状態情報とを比較して、前記判定情報に含まれる前記状態情報が異常であるか否かを判定するように構成された種類別判定部(S430、S520、S580、S640)と、
前記種類別判定部によって、前記判定情報に含まれる前記状態情報が異常であると判定される毎に、前記第1の通信装置の異常を評価するための数値である第1の評価値に予め定められた加算値を加算して新たな前記第1の評価値を生成するように構成された加算部(S440、S530、S590、S650)と、
前記加算部によって生成された前記第1の評価値の大きさに基づいて前記第1の通信装置の異常を判定するように構成された判定実行部(S340)と、
を備え、
前記加算部は、前記種類別判定部によって同一種類の前記状態情報が正常であると連続して判定された正常連続回数を検出し、前記正常連続回数が予め定められた回数閾値以上である場合に、前記第1の評価値から予め定められた減算値を減算して新たな前記第1の評価値を生成する
通信システム。 - 請求項1に記載の通信システムであって、
前記判定実行部は、前記加算部によって生成された前記第1の評価値を取得し、前記第1の評価値が予め定められた評価閾値以上であるか否かを判定し、前記第1の評価値が前記評価閾値以上であると判定された場合に、前記第1の通信装置の異常の大きさを表すための数値である第2の評価値に予め定められた所定値を加算して新たな前記第2の評価値を生成し、前記第2の評価値が予め定められた第1の異常閾値以上である場合に、前記第1の通信装置が異常であると判定する
通信システム。 - 車両に搭載される通信システム(1)であって、
前記通信システムは、通信線によって互いに通信可能に接続されている複数の通信装置(10、20)を備え、
前記複数の通信装置は、第1の通信装置(10)と第2の通信装置(20)とを備え、
前記第1の通信装置は、
前記第1の通信装置の状態を示す少なくとも1種類の状態情報を取得し、取得した前記状態情報を含む判定情報を生成し、前記判定情報を前記第2の通信装置へ出力するように構成された情報生成部(52)
を備え、
前記第2の通信装置は、
前記判定情報を取得し、前記状態情報であって前記第1の通信装置が正常であるときの予め定められた正常情報と前記判定情報に含まれる前記状態情報とを比較し、前記第1の通信装置の異常を判定するように構成された監視部(63)
を備え、
前記監視部は、
前記判定情報を受信し、前記判定情報に含まれる前記状態情報の種類毎に、前記正常情報と前記状態情報とを比較して、前記判定情報に含まれる前記状態情報が異常であるか否かを判定するように構成された種類別判定部(S430、S520、S580、S640)と、
前記種類別判定部によって、前記判定情報に含まれる前記状態情報が異常であると判定される毎に、前記第1の通信装置の異常を評価するための数値である第1の評価値に予め定められた加算値を加算して新たな前記第1の評価値を生成するように構成された加算部(S440、S530、S590、S650)と、
前記加算部によって生成された前記第1の評価値の大きさに基づいて前記第1の通信装置の異常を判定するように構成された判定実行部(S340)と、
を備え、
前記判定実行部は、前記加算部によって生成された前記第1の評価値を取得し、前記第1の評価値が予め定められた評価閾値以上であるか否かを判定し、前記第1の評価値が前記評価閾値以上であると判定された場合に、前記第1の通信装置の異常の大きさを表すための数値である第2の評価値に予め定められた所定値を加算して新たな前記第2の評価値を生成し、前記第2の評価値が予め定められた第1の異常閾値以上である場合に、前記第1の通信装置が異常であると判定する
通信システム。 - 請求項2又は請求項3に記載の通信システムであって、
前記判定実行部は、前記第2の評価値が前記第1の異常閾値以上である場合に、前記第2の評価値の大きさに応じて、前記第1の通信装置の異常を回復するための回復指示を決定し、決定した前記回復指示を前記第1の通信装置に送信する
通信システム。 - 請求項1から請求項4のいずれか一項に記載の通信システムであって、
前記第1の通信装置では、
前記情報生成部は、前記判定情報であって前記判定情報が生成されるときの時刻を表す時刻情報を含む前記判定情報、を生成する
通信システム。 - 請求項5に記載の通信システムであって、
前記第1の通信装置では、
前記情報生成部は、前記判定情報の送信周期を前記状態情報として含む前記判定情報を前記送信周期で出力する
通信システム。 - 車両に搭載される通信システム(1)であって、
前記通信システムは、通信線によって互いに通信可能に接続されている複数の通信装置(10、20)を備え、
前記複数の通信装置は、第1の通信装置(10)と第2の通信装置(20)とを備え、
前記第1の通信装置は、
前記第1の通信装置の状態を示す少なくとも1種類の状態情報を取得し、取得した前記状態情報を含む判定情報を生成し、前記判定情報を前記第2の通信装置へ出力するように構成された情報生成部(52)
を備え、
前記第2の通信装置は、
前記判定情報を取得し、前記状態情報であって前記第1の通信装置が正常であるときの予め定められた正常情報と前記判定情報に含まれる前記状態情報とを比較し、前記第1の通信装置の異常を判定するように構成された監視部(63)
を備え、
前記第1の通信装置では、
前記情報生成部は、前記判定情報であって前記判定情報が生成されるときの時刻を表す時刻情報を含み、且つ、前記判定情報の送信周期を前記状態情報として含む前記判定情報を前記送信周期で出力する
通信システム。 - 請求項7に記載の通信システムでは、
前記監視部は、
前記判定情報を受信し、前記判定情報に含まれる前記状態情報の種類毎に、前記正常情報と前記状態情報とを比較して、前記判定情報に含まれる前記状態情報が異常であるか否かを判定するように構成された種類別判定部(S430、S520、S580、S640)と、
前記種類別判定部によって、前記判定情報に含まれる前記状態情報が異常であると判定される毎に、前記第1の通信装置の異常を評価するための数値である第1の評価値に予め定められた加算値を加算して新たな前記第1の評価値を生成するように構成された加算部(S440、S530、S590、S650)と、
前記加算部によって生成された前記第1の評価値の大きさに基づいて前記第1の通信装置の異常を判定するように構成された判定実行部(S340)と、
を備える通信システム。 - 請求項6から請求項8までのいずれか一項に記載の通信システムであって、
前記第2の通信装置では、
前記監視部は、
前記判定情報に含まれる前記送信周期を前記正常情報とし、前記第1の通信装置から連続して送信された2つの前記判定情報に含まれる時刻情報に基づいて算出される前記判定情報の送信間隔を前記状態情報とし、前記正常情報と前記状態情報を比較し、前記正常情報と前記状態情報とが一致するか否かに基づいて、前記第1の通信装置の異常を判定する
通信システム。 - 請求項6から請求項9までのいずれか一項に記載の通信システムであって、
前記情報生成部は、前記第1の通信装置の負荷の大小を定量的に示す負荷情報に基づいて前記判定情報の送信周期を前記負荷が大きいほど長くなるように決定する
通信システム。 - 請求項1から請求項10までのいずれか一項に記載の通信システムであって、
前記第2の通信装置では、
前記監視部は、前記判定情報に含まれる前記状態情報の種類毎に、前記正常情報と前記状態情報とを比較して、前記第1の通信装置の異常を判定する
通信システム。 - 車両に搭載され、第1の通信装置(10)であって前記第1の通信装置の状態を示す少なくとも1種類の状態情報を取得して前記状態情報を含む判定情報を生成し前記判定情報を第2の通信装置へ出力するように構成された情報生成部(52)を備える前記第1の通信装置と通信線によって互いに通信可能に接続されている前記第2の通信装置(20)であって、
前記判定情報を取得し、前記状態情報であって前記第1の通信装置が正常であるときの予め定められた正常情報と前記判定情報に含まれる前記状態情報とを比較し、前記第1の通信装置の異常を判定するように構成された監視部(63)
を備え、
前記監視部は、
前記判定情報を受信し、前記判定情報に含まれる前記状態情報の種類毎に、前記正常情報と前記状態情報とを比較して、前記判定情報に含まれる前記状態情報が異常であるか否かを判定するように構成された種類別判定部(S430、S520、S580、S640)と、
前記種類別判定部によって、前記判定情報に含まれる前記状態情報が異常であると判定される毎に、前記第1の通信装置の異常を評価するための数値である第1の評価値に予め定められた加算値を加算して新たな前記第1の評価値を生成するように構成された加算部(S440、S530、S590、S650)と、
前記加算部によって生成された前記第1の評価値の大きさに基づいて前記第1の通信装置の異常を判定するように構成された判定実行部(S340)と、
を備え、
前記加算部は、前記種類別判定部によって同一種類の前記状態情報が正常であると連続して判定された正常連続回数を検出し、前記正常連続回数が予め定められた回数閾値以上である場合に、前記第1の評価値から予め定められた減算値を減算して新たな前記第1の評価値を生成する
第2の通信装置。 - 車両に搭載され、第1の通信装置(10)であって前記第1の通信装置の状態を示す少なくとも1種類の状態情報を取得して前記状態情報を含む判定情報を生成し前記判定情報を第2の通信装置へ出力するように構成された情報生成部(52)を備える前記第1の通信装置と通信線によって互いに通信可能に接続されている前記第2の通信装置(20)であって、
前記判定情報を取得し、前記状態情報であって前記第1の通信装置が正常であるときの予め定められた正常情報と前記判定情報に含まれる前記状態情報とを比較し、前記第1の通信装置の異常を判定するように構成された監視部(63)
を備え、
前記監視部は、
前記判定情報を受信し、前記判定情報に含まれる前記状態情報の種類毎に、前記正常情報と前記状態情報とを比較して、前記判定情報に含まれる前記状態情報が異常であるか否かを判定するように構成された種類別判定部(S430、S520、S580、S640)と、
前記種類別判定部によって、前記判定情報に含まれる前記状態情報が異常であると判定される毎に、前記第1の通信装置の異常を評価するための数値である第1の評価値に予め定められた加算値を加算して新たな前記第1の評価値を生成するように構成された加算部(S440、S530、S590、S650)と、
前記加算部によって生成された前記第1の評価値の大きさに基づいて前記第1の通信装置の異常を判定するように構成された判定実行部(S340)と、
を備え、
前記判定実行部は、前記加算部によって生成された前記第1の評価値を取得し、前記第1の評価値が予め定められた評価閾値以上であるか否かを判定し、前記第1の評価値が前記評価閾値以上であると判定された場合に、前記第1の通信装置の異常の大きさを表すための数値である第2の評価値に予め定められた所定値を加算して新たな前記第2の評価値を生成し、前記第2の評価値が予め定められた第1の異常閾値以上である場合に、前記第1の通信装置が異常であると判定する
第2の通信装置。 - 車両に搭載される第1の通信装置(10)であって、前記第1の通信装置の状態を示す少なくとも1種類の状態情報を含み前記第1の通信装置から出力される判定情報を取得して前記状態情報であって前記第1の通信装置が正常であるときの予め定められた正常情報と前記判定情報に含まれる前記状態情報とを比較し前記第1の通信装置の異常を判定するように構成された監視部(63)を備える第2の通信装置と通信線によって互いに通信可能に接続されている前記第1の通信装置において、
前記第1の通信装置の状態を示す少なくとも1種類の前記状態情報を取得し、取得した前記状態情報を含む前記判定情報を生成し、前記判定情報を前記第2の通信装置へ出力するように構成された情報生成部(52)
を備え、
前記情報生成部は、前記判定情報であって前記判定情報が生成されるときの時刻を表す時刻情報を含み、且つ、前記判定情報の送信周期を前記状態情報として含む前記判定情報を生成し、前記送信周期で出力する
第1の通信装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019208688A JP7383995B2 (ja) | 2019-11-19 | 2019-11-19 | 通信システム及び通信装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019208688A JP7383995B2 (ja) | 2019-11-19 | 2019-11-19 | 通信システム及び通信装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2021082936A JP2021082936A (ja) | 2021-05-27 |
| JP7383995B2 true JP7383995B2 (ja) | 2023-11-21 |
Family
ID=75963359
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019208688A Active JP7383995B2 (ja) | 2019-11-19 | 2019-11-19 | 通信システム及び通信装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7383995B2 (ja) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001349239A (ja) | 2000-06-08 | 2001-12-21 | Toyota Motor Corp | エンジンシステムの異常判定装置 |
| JP2004136816A (ja) | 2002-10-18 | 2004-05-13 | Denso Corp | 車両用制御システム |
| JP2011040886A (ja) | 2009-08-07 | 2011-02-24 | Denso Corp | 診断装置および診断システム |
| JP2011250110A (ja) | 2010-05-26 | 2011-12-08 | Denso Corp | 電子制御装置 |
| JP2016220189A (ja) | 2015-05-18 | 2016-12-22 | 株式会社デンソー | 中継装置 |
| JP2017043166A (ja) | 2015-08-25 | 2017-03-02 | 日立オートモティブシステムズ株式会社 | 車両制御装置 |
| JP2017050841A (ja) | 2015-08-31 | 2017-03-09 | パナソニック インテレクチュアル プロパティ コーポレ | 不正検知方法、不正検知電子制御ユニット及び不正検知システム |
| JP2017112590A (ja) | 2015-12-14 | 2017-06-22 | パナソニックIpマネジメント株式会社 | 通信装置、通信方法、及び通信プログラム |
| JP2019125867A (ja) | 2018-01-12 | 2019-07-25 | パナソニックIpマネジメント株式会社 | 監視装置、監視システム及び監視方法 |
-
2019
- 2019-11-19 JP JP2019208688A patent/JP7383995B2/ja active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001349239A (ja) | 2000-06-08 | 2001-12-21 | Toyota Motor Corp | エンジンシステムの異常判定装置 |
| JP2004136816A (ja) | 2002-10-18 | 2004-05-13 | Denso Corp | 車両用制御システム |
| JP2011040886A (ja) | 2009-08-07 | 2011-02-24 | Denso Corp | 診断装置および診断システム |
| JP2011250110A (ja) | 2010-05-26 | 2011-12-08 | Denso Corp | 電子制御装置 |
| JP2016220189A (ja) | 2015-05-18 | 2016-12-22 | 株式会社デンソー | 中継装置 |
| JP2017043166A (ja) | 2015-08-25 | 2017-03-02 | 日立オートモティブシステムズ株式会社 | 車両制御装置 |
| JP2017050841A (ja) | 2015-08-31 | 2017-03-09 | パナソニック インテレクチュアル プロパティ コーポレ | 不正検知方法、不正検知電子制御ユニット及び不正検知システム |
| JP2017112590A (ja) | 2015-12-14 | 2017-06-22 | パナソニックIpマネジメント株式会社 | 通信装置、通信方法、及び通信プログラム |
| JP2019125867A (ja) | 2018-01-12 | 2019-07-25 | パナソニックIpマネジメント株式会社 | 監視装置、監視システム及び監視方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2021082936A (ja) | 2021-05-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112004730B (zh) | 车辆控制装置 | |
| JP5333501B2 (ja) | 車両の挙動データ記憶制御システム及び記憶装置 | |
| JP7173039B2 (ja) | 情報処理装置、移動装置、および方法、並びにプログラム | |
| US20210070321A1 (en) | Abnormality diagnosis system and abnormality diagnosis method | |
| JP2011040886A (ja) | 診断装置および診断システム | |
| JP2009294004A (ja) | 異常解析装置及び異常解析方法 | |
| US9641383B2 (en) | Method for error diagnosis of can communication | |
| US8392815B2 (en) | Method for the operation of a microcontroller and an execution unit and microcontroller and an execution unit | |
| JP6207987B2 (ja) | 車載用電子制御装置 | |
| US11394726B2 (en) | Method and apparatus for transmitting a message sequence over a data bus and method and apparatus for detecting an attack on a message sequence thus transmitted | |
| EP1712424B1 (en) | Vehicle control apparatus | |
| JP2006285977A (ja) | 情報処理システム | |
| JP7383995B2 (ja) | 通信システム及び通信装置 | |
| CN114616800A (zh) | 攻击检测方法、攻击检测系统、以及程序 | |
| JP6645934B2 (ja) | セルコントロールシステム | |
| JP7537382B2 (ja) | 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム | |
| JP7147635B2 (ja) | 不正送信データ検知装置 | |
| JP7509091B2 (ja) | 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム | |
| JP2009147555A (ja) | 車載用電子制御ユニットの故障予測システム | |
| US20230005308A1 (en) | Fault sign detection device, fault sign detection system, fault sign method, and fault sign detection program | |
| KR102331557B1 (ko) | 이벤트 계수기의 작동 방법 | |
| JP2009003686A (ja) | ソフトウェア動作解析装置、ソフトウェア動作解析方法、及びソフトウェア動作解析用プログラム | |
| JP2007283788A (ja) | 車両用電子制御装置 | |
| JP7201073B2 (ja) | 情報処理装置 | |
| WO2024009846A1 (ja) | データ提供プラットフォーム、データ提供システム、データ提供方法、及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220216 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20221129 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20221213 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230207 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230613 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230720 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20231010 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20231023 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 7383995 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |