本发明涉及控制装置的动作的监视技术。
背景技术:
在汽车的领域中,为了应对用户的安全意向,高功能化得到了发展。近年来逐渐普及的自动制动功能、预碰撞安全功能等是其中一例。另一方面,由于这样的功能是多个输入输出复杂地相关联的功能,因此,也存在由于该功能的异常、反而破坏安全性的情况。因此,在2011年11月制定了在功能上担保汽车的安全性且用于证明该情况的功能安全标准ISO26262。
作为负责汽车的各功能的控制的部件,可举出由微型计算机等构成的控制装置。为了应对上述功能安全标准,需要对控制装置也实施足够的安全措施,证明故障风险已充分降低。
在专利文献1、2中记载了控制装置的安全措施。
在专利文献1中记载了搭载控制装置和监视该控制装置的控制装置作为车辆控制用的控制装置。
在专利文献2中记载了利用应用了虚拟CPU之间的锁步技术的监视装置来监视控制装置。在专利文献2中采用了通过判定控制装置的输入输出信息的妥当性来检测控制装置的异常的结构。
现有技术文献
专利文献
专利文献1:日本特开2012-60842号公报
专利文献2:日本特开2013-25570号公报
技术实现要素:
发明要解决的课题
但是,在专利文献1、2所记载的措施中,存在如下的课题:在控制装置中需要控制线的连接口等安全措施用的追加结构要素。
本发明的目的在于,在不使控制装置具有追加结构要素的情况下实现控制装置的监视功能。
用于解决课题的手段
本发明的监视装置监视控制系统中的母控制装置的动作,该控制系统具有所述母控制装置以及根据所述母控制装置的控制而控制设备的子控制装置,其特征在于,具有:诊断数据存储部,其存储用于诊断所述母控制装置的动作的诊断数据;信息取得部,其取得所述母控制装置与所述子控制装置之间的通信数据;以及诊断部,其根据所述诊断数据存储部所存储的诊断数据和所述信息取得部所取得的通信数据,诊断所述母控制装置的动作。
发明效果
在本发明的监视装置中,在由母控制装置和子控制装置构成控制装置的情况下,根据母控制装置与子控制装置之间的通信数据来诊断母控制装置的异常。因此,不必在母控制装置中设置控制线的连接口等追加结构要素,就能监视母控制装置的异常。
附图说明
图1是实施方式1的车载网络系统100的结构图。
图2是实施方式1的母控制装置10的结构图。
图3是实施方式1的子控制装置20的结构图。
图4是示出实施方式1的车载网络系统100的通常动作的图。
图5是实施方式1的监视装置70的结构图。
图6是示出实施方式1的车载网络系统100的监视动作的图。
图7是实施方式2的子控制装置20的结构图。
图8是实施方式2的监视装置70的结构图。
图9是示出实施方式2的车载网络系统100的诊断动作的图。
图10是母控制装置10的状态迁移图。
图11是示出与图10对应的输入输出规则的图。
图12是示出测试数据的发送顺序的图。
图13是车载网络系统100的与图1不同的结构图。
图14是示出实施方式1、2所示的母控制装置10、子控制装置20、监视装置70、外部设备90的硬件结构的例子的图。
具体实施方式
实施方式1.
图1是实施方式1的车载网络系统100的结构图。
车载网络系统100具有:母控制装置10、多个子控制装置20(在图1中为子控制装置20a~20c)、将母控制装置10和各子控制装置20连接起来的车载网络30、作为控制对象的输入设备40和输出设备50(设备的一例)、以及输入输出信号线60,该输入输出信号线60将子控制装置20、输入设备40和输出设备50连接起来。
将子控制装置20中的至少1个(在图1中为子控制装置20a)设为监视母控制装置10的动作的监视装置70。在以下的说明中,在简记为子控制装置20的情况下,表示其不是监视装置70的子控制装置20。
输入设备40例如是传感器设备(光传感器等)或开关(前照灯开关等)。并且,输出设备50例如是驱动设备(雨刮器、电动车窗等)或发光设备(前照灯、室内灯等)。
图2是实施方式1的母控制装置10的结构图。
母控制装置10具有通信部11、信息同步管理部12以及输入输出信息运算部13。
通信部11通过车载网络30与子控制装置20之间收发通信数据。
信息同步管理部12定期性地取得、保存与车载网络系统100连接的输入设备40的输入信息。并且,信息同步管理部12将输入输出信息运算部13针对输入信息运算出的输出信息输出至子控制装置20。
输入输出信息运算部13参照保存在信息同步管理部12中的输入信息,根据预先决定的输入输出规则,对输出信息进行运算。作为输入输出规则,例如可考虑“在前照灯的开关接通后,打开对前照灯继电器的输出。”这样的规则、或“将光传感器的读取值的x倍的电压输出至室内灯。其中,输出的电压为zV以上。”这样的规则。
图3是实施方式1的子控制装置20的结构图。
子控制装置20具有通信部21、信息同步部22以及输入输出设备控制部23。
通信部21通过车载网络30与母控制装置10之间收发通信数据。
信息同步部22根据母控制装置10的请求,将与子控制装置20连接的输入设备40的输入信息发送给母控制装置10。
输入输出设备控制部23根据母控制装置10的请求,将输出信息输出至与子控制装置20连接的输出设备50。
车载网络30将母控制装置10和各子控制装置20连接起来。车载网络30不是将母控制装置10和各子控制装置20一对一地连接起来,而是使得从某装置发送的信号被母控制装置10和所有的子控制装置20接收的总线型网络。例如,在图1中,在母控制装置10向某子控制装置20发送了信号时,任意的子控制装置20都可以接收。作为车载网络30经常使用的总线型网络的例子,可举出CAN(ControllerAreaNetwork)。
根据该车载网络30的结构,任意的子控制装置20都能够接收其它的子控制装置20向母控制装置10发送的输入设备40的输入信息、或母控制装置10向其它的子控制装置20发送的输出信息。
图4是示出实施方式1的车载网络系统100的通常动作的图。
在通常时,母控制装置10通过车载网络30控制与子控制装置20连接的输入设备40和输出设备50。在本动作中,周期性地重复S010~S110的动作。
首先,母控制装置10的信息同步管理部12通过通信部11发送与各子控制装置20连接的输入设备40的输入信息的请求(S010)。通过车载网络30,将在S010中发送的请求传递至各子控制装置20(S020)。各子控制装置20的信息同步部22向输入输出设备控制部23询问所连接的输入设备40的输入信息(S030)。
各子控制装置20的输入输出设备控制部23向信息同步部22返回所连接的输入设备40的输入信息(S040)。各子控制装置20的信息同步部22通过通信部21向母控制装置10发送输入设备40的输入信息(S050)。在S050中发送的输入信息通过车载网络30传递给母控制装置10(S060)。母控制装置10的信息同步管理部12整合从各子控制装置20发送的各输入设备40的输入信息而传递至输入输出信息运算部13(S070)。
母控制装置10的输入输出信息运算部13根据所传递的输入信息,按照事先规定的输入输出规则来运算输出信息(S080)。母控制装置10的信息同步管理部12通过通信部11将在S080中运算出的输出信息发送给各子控制装置20(S090)。在S090中发送的输出信息通过车载网络30传递至各子控制装置20(S100)。各子控制装置20的信息同步部22向输入输出设备控制部23传递在S100中所传递的输出信息,使输入输出设备控制部23控制输出设备50(S110)。
如上所述,在S010~S110中,根据从子控制装置20连接的输入信息,母控制装置10生成输出信息,子控制装置20进行输出控制。
这里,母控制装置10可能随机地出现硬件故障。因此,S080中的输出信息的运算可能产生错误。如果S080中的输出信息的运算产生错误,则影响S110中的输出设备50的控制。其结果为,输出设备50进行错误动作,可能损害乘坐人员或周围的人的安全。因此,在实施方式1中,将子控制装置20中的1个设为监视装置70,通过监视车载网络30的通信而监视母控制装置10的控制运算的错误。
图5是实施方式1的监视装置70的结构图。
除了子控制装置20的结构要素,监视装置70还具有信息取得部71、信息保存部72、诊断部73以及诊断数据存储部74。另外,在图5中,省略了信息同步部22和输入输出设备控制部23。
信息取得部71是取得(拦截)流过车载网络30的、评价输入输出规则的妥当性时所需的通信数据。
例如,假设存在“在前照灯的开关接通之后,打开对前照灯继电器的输出”这样的输入输出规则A。此时,在图1中,评价输入输出的妥当性时所需的通信数据是从子控制装置20向母控制装置10发送的前照灯开关的输入信息、以及从母控制装置10向子控制装置20发送的针对前照灯继电器的输出信息。
信息保存部72将评价输入输出规则的妥当性时所需的通信数据保存在存储装置中。
如果是所述输入输出规则A,则信息保存部72保存“前照灯的开关的输入是打开还是关闭这样的信息”和“对前照灯继电器的输出是打开还是关闭这样的信息”。
诊断部73进行输入输出规则的妥当性的评价。
如果是所述输入输出规则A,则在前照灯开关接通时,诊断部73判定对前照灯继电器的输出是否打开。在尽管前照灯开关已接通但对前照灯继电器的输出未打开的情况下,诊断部73判定为不满足输入输出的妥当性。
诊断数据存储部74是存储有输入输出规则的存储装置。
在诊断数据存储部74中存储有所述输入输出规则A等各种各样输入输出规则。诊断数据存储部74可以将表示输入信息与输出信息的关系的表存储为输入输出规则,也可以将表示输入信息与输出信息的关系的逻辑式或方程式存储为输入输出规则。
另外,监视装置70也可以与子控制装置20同样,连接有输入设备40和输出设备50。
图6是示出实施方式1的车载网络系统100的监视动作的图。
在进行图4所示的通常动作(S010~S110)时执行监视动作。因此,在图6中,按照附加写入图4所示的通常动作的形式进行监视动作。
首先,监视装置70的信息取得部71取得在S050中从子控制装置20发送、并在S060中流过车载网络30的输入信息(S061)。由于将输入信息输出给总线型的网络,因此,能够容易地取得。监视装置70的信息保存部72保存在S061中取得的输入信息(S062)。
并且,监视装置70的信息取得部71取得在S090中从母控制装置10发送、并在S100中流过车载网络30的输出信息(S101)。监视装置70的信息保存部72保存在S101中取得的输出信息(S102)。
监视装置70的诊断部73根据诊断数据存储部74所存储的输入输出规则来评价在S062中保存的输入信息与在S102中保存的输出信息的关系(S103)。由此,母控制装置10能够检测出在S080中进行了错误运算的情况。
在S103中评价为脱离了输入输出规则的情况下,监视装置70的诊断部73将脱离输入输出规则的情况传递给母控制装置10和各子控制装置20(S104)。此时,诊断部73根据需要向输入输出设备控制部23请求将输入设备40和输出设备50控制成特定的故障安全(failsafe)状态(S105)。作为故障安全状态,例如可举出使前照灯成为点亮状态、或使雨刮器成为动作状态等。
例如,诊断部73通过向车载网络30发送特定的信号或者通过被设置为专用的复位信号线而发送信号等,将脱离输入输出规则的情况传递至母控制装置10和各子控制装置20。在图6中,假定为向车载网络30发送特定的信号。
作为监视动作进行说明的S061-S062、S101-S105不会给由母控制装置10和子控制装置20进行的通常动作带来任何影响,母控制装置10也不需要特别的功能或硬件。
因此,在实施方式1的车载网络系统100中,不必在母控制装置10中设置控制线的连接口等追加结构要素,就能够监视母控制装置10的异常。
另外,如上所述,周期性地进行S010-S110的通常动作。因此,也可以根据输入输出规则来评价多个周期的输入信息与输出信息的关系。
并且,输入输出规则不仅限于像所述输入输出规则A那样一对一的关系,也可以关于与子控制装置20连接的输入设备40以及输出设备50,成为多对多的关系。
并且,在不满足输入输出规则的情况下,也可以仅规定不会对人命或财产带来危险的关于安全的规则。
实施方式2.
在实施方式1中,监视装置70只是监视车载网络30的通信数据。因此,仅能在母控制装置10中实际地发生了输出信息的运算时检测出异常。因此,在母控制装置10发生故障时,在监视装置70已经发生故障的情况下无法确保控制的安全性。
因此,在实施方式2中,从监视装置70在任意的时机向母控制装置10发送测试数据,即使在实际上不需要时,也发生期望的输出信息的运算,进行母控制装置10的诊断。由此,提高了能够在监视装置70发生故障前检测出母控制装置10的故障的可能性。
在实施方式2中,关于与实施方式1相同的部分,省略说明,关于与实施方式1不同的部分进行说明。
图7是实施方式2的子控制装置20的结构图。
除了图3所示的实施方式1的子控制装置20的结构要素,子控制装置20还具有通知处理部24。
通知处理部24从监视装置70接收表示监视装置70在任意的时机进行的诊断的开始及结束的信息。
通知处理部24在接收到表示诊断的开始的信息的情况下,针对输入输出设备控制部23,进行处理的无效化。并且,通知处理部24在接收到表示诊断的结束的信息的情况下,针对输入输出设备控制部23,进行处理的有效化。另外,在使处理无效化后,输入输出设备控制部23保持无效化的时刻的输出信息或者保持安全的输出信息。
图8是实施方式2的监视装置70的结构图。
除了图5所示的实施方式1的监视装置70的结构要素,监视装置70还具有通知部75和测试数据发送部76。
通知部75通过车载网络30将表示在任意的时机进行的诊断的开始和结束的信息发送给子控制装置20。
测试数据发送部76通过车载网络30将测试数据发送给母控制装置10,该测试数据是对子控制装置20发送给母控制装置10的输入信息进行模拟而得到的。测试数据发送部76将诊断数据存储部74所存储的输入输出规则中的输入信息作为测试数据进行发送。
测试数据发送部76可以发送对1个子控制装置20所发送的输入信息进行模拟而得到的测试数据,也可以同时发送对多个子控制装置20所发送的输入信息进行模拟而得到的测试数据。
图9是示出实施方式2的车载网络系统100的诊断动作的图。
监视装置70在任意的时机开始进行诊断动作。
首先,监视装置70的通知部75通过通信部21将表示诊断开始的信号通知给各子控制装置20(S200)。另外,假设即使母控制装置10接收到该通知,母控制装置10的动作也不会有任何改变。在S200中发送的通知通过车载网络30传递给各子控制装置20(S210)。各子控制装置20的通知处理部24接收在S210中发送的通知,对于输入输出设备控制部23设定为忽略来自母控制装置10的输出信息(S220)。即,各子控制装置20在图4所示的通常动作中的S110中不实施基于输出信息的控制。
监视装置70的测试数据发送部76提取诊断数据存储部74所存储的输入输出规则中的输入信息作为测试数据,信息保存部72保存所提取的测试数据(S230)。测试数据发送部76通过车载网络30将在S230中提取出的测试数据发送给母控制装置10(S240)。通过车载网络30将在S240中发送的测试数据传递给母控制装置10(S250)。
母控制装置10的信息同步管理部12将在S250中传递的设备的测试数据作为输入信息,整合输入信息而传递至输入输出信息运算部13(S260)。
母控制装置10的输入输出信息运算部13与图4所示的通常动作中的S080同样,根据在S250中传递的输入信息,按照事先规定的输入输出规则来运算输出信息(S270)。母控制装置10的信息同步管理部12与图4所示的通常动作中的S090同样,通过通信部11将在S270中生成的输出信息发送给各子控制装置20(S280)。通过车载网络30将在S280中发送的输出信息传递给各子控制装置20(S290)。各子控制装置20的信息同步部22向输入输出设备控制部23传递在S290中传递的输出信息(S300)。但是,由于输入输出设备控制部23在S220中被设定为忽略输出信息,因此,不实施基于传递的输出信息的控制。
监视装置70的信息取得部71与图6所示的监视动作的S101同样,取得在S280中从母控制装置10发送、并在S290中流过车载网络30的输出信息(S310)。监视装置70的信息保存部72保存在S310中取得的输出信息(S320)。
监视装置70的诊断部73将在S230中保存的测试数据作为输入信息,根据诊断数据存储部74所存储的输入输出规则,评价输入信息与在S320中保存的输出信息的关系(S330)。由此,母控制装置10能够检测出在S270中进行了错误运算的情况。
在S330中评价为脱离了输入输出规则的情况下,与图6所示的监视动作中的S104同样,监视装置70的诊断部73将脱离了输入输出规则的情况传递至母控制装置10和各子控制装置20(S340)。此时,诊断部73根据需要,向输入输出设备控制部23请求将输入设备40和输出设备50控制为特定的故障安全状态(S350)。并且,在汽车处于安全状况的情况下,诊断部73也可以利用光或声音通知给驾驶员。
监视装置70根据需要而反复进行S230-S350。然后,当所有的诊断结束时,通知部75将表示诊断的结束的信息发送给各子控制装置20。然后,执行图4所示的通常动作。
如上所述,在实施方式2的车载网络系统100中,能够在母控制装置10中实际发生输出信息的运算时以外检测出母控制装置10的异常。因此,提高了能够在监视装置70发生故障之前检测出母控制装置10的故障的可能性。
另外,像上述那样,诊断动作也可以在任意的时机进行。但是,在发动机起动时等,通过在车体及驾驶员处于安全状态时进行诊断,能够更有效地进行降低安全上的风险。
并且,也可以使测试数据构成为基于多个周期的输入信息。由此,具体而言,能够进行与母控制装置10的状态迁移对应的诊断。
例如,假设母控制装置10进行图10所示的状态迁移。即,在状态S时根据来自子控制装置20的输入信息A迁移到状态T,在状态T时根据来自子控制装置20的输入信息B迁移到状态S。
此时,提供图11所示的输入输出规则。例如,在图11表示种,规则编号1的输入输出规则表示这样的规则:如果在状态S时存在输入信息A,则输出输出信息O。
这里,考虑进行规则编号1的输入输出规则的诊断。在该情况下,像上述那样,监视装置70只要将输入信息A作为测试数据进行发送,评价从母控制装置10是否输出输出信息O即可。但是,如果在规则编号1的输入输出规则之后继续诊断规则编号2的输入输出规则,则无法有效地诊断。即,由于在规则编号1的输入输出规则的诊断中母控制装置10从状态S迁移到状态T,因此,不再是能够进行规则编号2的输入输出规则的诊断的状态S。因此,要诊断规则编号2的输入输出规则,即使赋予输入信息B,也不是输出应该期待的输出信息P,而是根据规则编号4输出输出信息O。
因此,按照图12所示的顺序发送测试数据而进行评价。即,首先,在母控制装置10为状态S时,监视装置70发送输入信息A作为测试数据,评价是否输出输出信息O。于是,由于发送输入信息A,因此,母控制装置10迁移到状态T。因此,接着,监视装置70发送输入信息B,使母控制装置10迁移到状态S,然后,监视装置70发送输入信息B作为测试数据,评价是否输出输出信息P。
并且,在上述说明中,将子控制装置20中的至少1个设为监视装置70。但是,也可以设置与子控制装置20不同的其它监视装置70。例如,如图13所示,也可以在车载网络30中设置外部连接器80,将作为监视装置70的外部设备90与外部连接器80连接。
利用外部设备90实现监视装置70,由此,硬件选定的自由度变高。因此,例如,也可以增大存储输入输出规则的存储装置的容量,而存储多数的输入输出规则等。其结果为,能够实现更详细的诊断。
并且,在上述说明中,以车载网络系统100为例,对进行控制装置的监视及诊断的情况进行了说明。但是,不限于车载网络系统100,在其它装置或系统中,也可以同样地进行控制装置的监视和诊断。
图14是示出实施方式1、2所示的母控制装置10、子控制装置20、监视装置70、外部设备90的硬件结构的例子的图。
母控制装置10、子控制装置20、监视装置70、外部设备90是个人计算机,能够利用程序实现母控制装置10、子控制装置20、监视装置70、外部设备90的各要素。
作为母控制装置10、子控制装置20、监视装置70、外部设备90的硬件结构,在总线上连接有运算装置901、外部存储装置902、主存储装置903、通信装置904、输入输出装置905。
运算装置901是执行程序的CPU(CentralProcessingUnit)等。外部存储装置902例如是ROM(ReadonlyMemory)或闪速存储器、硬盘装置等。主存储装置903例如是RAM(RandomAccessMemory)等。通信装置904例如为通信板等。输入输出装置905例如为鼠标、键盘、显示器装置等。
程序通常存储在外部存储装置902中,在载入主存储装置903的状态下,依次被运算装置901读入并执行。
程序是实现作为通信部11、信息同步管理部12、输入输出信息运算部13、通信部21、信息同步部22、输入输出设备控制部23、通知处理部24、信息取得部71、信息保存部72、诊断部73、诊断数据存储部74、通知部75、测试数据发送部76进行说明的功能的程序。
此外,在外部存储装置902中还存储有操作系统(OS),OS的至少一部分载入主存储装置903,运算装置901一边执行OS一边执行上述程序。
并且,在实施方式1、2的说明中,表示作为“~的发送”、“~的接收”、“~的取得”、“~的保存”、“~的输出”、“~的运算”、“~的判定”等进行说明的处理的结果的信息、数据、信号值或变量值作为文件存储在主存储装置903中。
另外,图14的结构仅示出各装置的硬件结构的一例,各装置的硬件结构不限于图14中记载的结构,也可以是其它的结构。
标号说明
100:车载网络系统;10:母控制装置;11:通信部;12:信息同步管理部;13:输入输出信息运算部;20:子控制装置;21:通信部;22:信息同步部;23:输入输出设备控制部;24:通知处理部;30:车载网络;40:输入设备;50:输出设备;60:输入输出信号线;70:监视装置;71:信息取得部;72:信息保存部;73:诊断部;74:诊断数据存储部;75:通知部;76:测试数据发送部。