车辆控制装置及车辆控制系统的制作方法

车辆控制装置及车辆控制系统的制作方法
【专利摘要】本发明提供车辆控制装置及车辆控制系统。使用对于多个通信消息的异常诊断结果，进行发送源的应用程序或控制器的异常判定，由此提高异常诊断的精度和详细度。一种车辆控制装置，具备用于控制车载设备的多个应用程序和进行所述多个应用程序彼此的数据的交换的通用执行环境部，其中，具备:在所述多个应用程序与所述通用执行环境部进行数据的互换时，用于进行该数据的异常判定的通信保护部;根据基于所述通信保护部的异常判定结果来判定系统异常的系统异常判定部。
【专利说明】车辆控制装置及车辆控制系统
【技术领域】
[0001]本发明涉及用于控制车载设备的车辆用控制装置。
【背景技术】
[0002]以往，在具备通信网络的车载控制装置中，对于从外部接收的通信消息进行异常判定，进行与判定结果对应的处理。例如，在专利文献I中，公开了一种在由通信控制电路表示的通信处理部的、控制逻辑部中，对于全部的通信消息进行异常判定，在通信消息存在异常时使通信停止的功能。
[0003]另外，车载控制装置的软件结构之一具备:对实现控制车载设备的独立功能的计算部进行部件化的应用程序；具备在不同的应用程序间通用的功能，并向应用程序提供一定的规格的接口的基础软件部；位于应用程序与基础软件部之间，在将基础软件部从应用程序隐藏的基础上提供应用程序彼此的数据交换环境的通用执行环境部。当具备通用执行环境部时，能够将对应用程序的变更部位之外的影响进行局部化，因此应用程序的移植变得容易，有助于生产性提高。例如，在车载软件的标准规格AUT0SAR(非专利文献I)中，采取如下的结构:在软件内准备被称为RTE (Run Time Environment)的通用执行环境,将用于进行电子控制的计算部作为软件组件进行部件化，并使其在RTE上动作。
[0004]而且，近年来，为了确保电子控制系统的安全性而要求遵照功能安全规格。为了使通信功能遵照功能安全规格，要求以进行数据的交换的应用程序间的水平进行通信数据保护和检查，来提高通信数据的可靠性。因此，为了使具有通用执行环境的软件与功能安全规格对应，而需要按应用程序来进行各消息的异常判定。
[0005]【在先技术文献】
[0006]【专利文献】
[0007]【专利文献I】日本特开平8-9471号公报
[0008]【非专利文献】
[0009]【非专利文献I】AUTOSAR http://www.autosar.0rg/
[0010]【发明的概要】
[0011]【发明要解决的课题】
[0012]在专利文献I记载的技术中，通信消息的异常诊断通过与通信网络进行数据的发送接收处理的通信处理部来进行，因此能够进行经由使用了与多个通信消息相关的异常诊断结果的通信网络的对发送源的异常判定。然而，在非专利文献I记载那样的具有通用执行环境的软件结构中，对于应用程序彼此的通信数据保护没有特别考虑。而且，即便单纯地将专利文献I记载那样的各通信消息的异常判定分散配置于通用执行环境上的各应用程序，使用了对于多个通信消息的异常判定的结果的系统单位、控制装置单位的异常判定也无法进行。
[0013]另外，即便按照应用程序来配置各通信消息的异常判定，异常判定的处理也会影响应用程序的动作状态，对于发送源的异常判定有时会出错。
【发明内容】

[0014]本发明鉴于这种课题而作出，本发明的目的在于使用对于多个通信消息的异常诊断结果，进行发送源的应用程序或控制器的异常判定，由此提高异常诊断的精度和详细度。
[0015]【用于解决课题的手段】
[0016]为了解决上述课题，本申请发明是以应用程序的水平，安装软件部件，且按照应用程序进行消息的通信异常判定的结构，其中该软件部件具有收集通信的异常判定结果的功能和进行系统单位的异常判定的功能，即便如此，也能收集通信异常判定来判定系统的异常。[0017]而且，使用应用程序的动作状态来改变判定规则。
[0018]【发明效果】
[0019]根据本发明，在具有通用执行环境的软件结构中，能够进行各应用程序间的通信消息的保护、及使用了对于多个通信消息的异常判定的结果的系统单位的异常判定。
[0020]而且，通过使用应用程序的动作状态来改变判定规则，即使各通信消息的异常判定的处理对各个应用程序的动作状态造成影响，使用了对于多个通信消息的异常判定的上述异常判定也不会出错。
【专利附图】

【附图说明】
[0021]图1是表示适用了本发明的车载控制系统的图。
[0022]图2(a)是表示本发明的软件结构的图。
[0023]图2(b)是表示系统状态判定部的结构的图。
[0024]图3 (a)是表不通彳目消息的图。
[0025]图3(b)是表示通知参数与应用程序的动作状态的关系的图。
[0026]图4是表示发送侧的通信异常判定部(通信保护部)的处理的图。
[0027]图5是表示接收侧的通信异常判定部(通信保护部)的处理的图。
[0028]图6是表示通信异常判定方法的图。
[0029]图7 (a)是应用程序动作状态管理部的处理流程。
[0030]图7(b)是表示动作状态表的图。
[0031]图8(a)是表示判定规则决定部的处理的图。
[0032]图8 (b)是表示判定规则选择表的图。
[0033]图9(a)是表示状态判定部的处理的图。
[0034]图9(b)是应用程序为通常状态时的判定表。
[0035]图9 (C)是应用程序的一部分为休止状态时的判定表。
[0036]图10是具体化的应用程序的说明图。
[0037]图11 (a)是表示E⑶间的通信的图。
[0038]图11(b)是表不诊断应用程序的判定表的图。
[0039]图12(a)是表示再生应用程序休止时的E⑶间的通信的图。
[0040]图12(b)是表不诊断应用程序的切换后的判定表的图。
[0041]附图符号说明[0042]101...E⑶，102…通信网络，202…通用执行环境部，203…应用程序，204…通信保护部，205…系统状态判定部，206...日志存储部，207…应用程序动作状态管理部，208…判定规则决定部，209…状态判定部
[0043]【具体实施方式】
[0044]以下，使用附图，对本发明的实施例进行说明。
[0045]【实施例1】
[0046]示出本发明的基本结构。
[0047]图1示出适用了本发明的车载控制系统。车载控制系统具有至少两个的ECU(Elecuonic Conuol Unit) 101-1，101-2，…，101-n，它们与数据交换用的通信网络 102连接，相互进行数据的互换。E⑶100具备:用于从通信网络102接收数据或者向通信网络102发送数据的通信装置103;存储有程序的作为存储装置的ROM (Read Only Memory) 104;执行存储在该R0M104内的程序的作为运算电路的CPU(Cenual Processing Unit) 105;存储软件的状态的成为存储装置的RAM (Random Access Memory) 106;取得来自传感器的值并向控制对象的促动器输出控制信号的输入输出装置107。
[0048]图2示出本发明的软件结构。图2(a)示出软件整体的结构。图2 (a)存储在图1的E⑶100的R0M104上，并由CPU105执行。软件的状态暂时存储在RAM106上。
[0049]通信接口部2 01具备:对来自通信网络102的通信消息进行发送接收的功能；赋予通信网络102上的目的地信息，将通信数据转换成通信网络102上的数据格式(例如位串的表现方法)的功能。
[0050]通用执行环境部202具备无论是同一 E⑶100还是外部的E⑶100而管理执行应用程序203彼此的数据通信的功能、使应用程序203的一部分处理起动的功能，向应用程序提供数据交换用的接口，并管理应用程序203的数据通信。
[0051]应用程序203-1,203-2，…，203_m具有进行机动车或构成机动车的控制器的控制、诊断处理、输入输出的管理用的各种计算的功能，在本发明的结构中具备至少I个以上。
[0052]通信保护部204位于应用程序203与通用执行环境部202之间，具有:对应用程序203向通用执行环境部202交接的数据附加保护数据的功能；对通用执行环境部202向应用程序203交接的数据的异常进行诊断的功能。
[0053]系统状态判定部205 (系统异常判定部)收集通信保护部204进行的保护数据的异常判定的结果和应用程序203的动作状态，进行对于消息的发送源的应用程序或控制器的异常判定。
[0054]日志存储部206能够保存通信保护部204的通信保护结果、系统状态判定部205的系统状态判定结果。日志存储部206能够保存的数据并不局限于通信保护结果、系统状态判定结果。
[0055]图2(b)示出系统状态判定部205的功能。应用程序动作状态管理部207从通用执行环境部202取得由各应用程序发送的应用程序动作状态数据，向动作状态表汇总而向判定规则决定部208通知。判定规则决定部208使用从应用程序动作状态管理部207交接的各应用程序的动作状态，选择状态判定部209使用的判定规则，向状态判定部209通知。在状态判定部209中，从通用执行环境部202接受由通信保护部204发送来的I至多个通信异常判定结果，使用通信异常判定结果来判定发送源的应用程序或控制器的状态。
[0056]在本发明中，至少在发送侧需要I个通信保护部且在接收侧需要I个通信保护部，但可以不必配置于全部的应用程序。
[0057]图3示出在通用执行环境部202上流动的通信消息。图3(a)示出通信消息包含的数据，通信消息包括:包含目的地信息等的标题信息301;由应用程序203作成并向目的地发送的应用程序数据304;通信保护部204计算的保护用的数据。保护用的数据具备:从应用程序数据304的位串进行计算，在I位以上的值发生了反转时能够检测的错误检测符号302;用于识别消息的顺序的消息计数值303。
[0058]错误检测符号302使用例如8bit CRC，8bit CRC是可以由8bit的数据区域表示的错误检测符号。错误检测符号并不局限于上述8bit CRC，也可以使用其他的错误检测符号，例如其他的bit的CRC、检验和等。
[0059]消息计数值303由例如4bit (以O?15循环)表示，通信保护部保持各消息的最新的消息计数值的值，使计数值无错误地增加。消息计数值并未限定为4bit的值。
[0060]应用程序数据304之一是与应用程序的动作状态相关的数据。以数值来表示当前的应用程序的动作状态，在状态发生了变化时或每隔一定间隔向系统状态判定部通知。图3(b)是示出了表示应用程序的动作状态的数值的数据表。通知参数的I是表示应用程序为通常动作中的值，通知参数O是表示应用程序进入了休止状态的值。
[0061]本发明需要2个以上的动作状态，但应用程序的动作状态也可以为3个以上。应用程序数据304并不局限于上述情况，而表示标题信息301、错误检测符号302、消息计数值303等的保护用数据以外的数据。
[0062]上述通信消息的大小在例如使用车载通信协议之一的CAN时，需要收纳在最大Sbyte的数据长内。消息的大小、及使用的协议、数据格式并不局限于上述情况，但不超过设定的最大数据长。
[0063]以上成为本发明的系统结构。接下来示出适用了本发明的系统的基本的行为。
[0064]以下，说明成为发送侧的E⑶(100-x(χ = I?η))的软件的处理。
[0065]发送侧E⑶的处理作成应用程序203要发送的应用程序数据304，利用通信保护部204赋予保护数据，通过通用执行环境部202，利用通信接口部201赋予标题信息301，将通信消息向通信网络102发送。
[0066]图4示出通信保护部204的发送时的处理流程。
[0067]首先，在步骤401中，通信保护部204从应用程序接受存在发送要求的发送数据和表示目的地应用程序信息的数据。
[0068]接着，在步骤402中，计算从保持的消息计数值303的前一次值增加了 I的结果作为下一消息计数值303，将计算出的消息计数值303与应用程序数据304—起向通信消息存储。
[0069]接着，在步骤403中，对于存储有应用程序数据304和消息计数值303的通信消息，计算8bitCRC作为错误检测符号302，并将CRC的值向通信消息存储。
[0070]接着，在步骤404中，通过向通用执行环境部202交接通信消息和目的地应用程序信息来发送数据。
[0071]接受到通信消息和目的地应用程序信息的通用执行环境部202从以通信消息的目的地应用程序信息为基础而设定的表信息赋予目的地ECU信息，向通信接口部201传送。通信接口部201向通信网络102发送数据。
[0072]示出成为接收侧的E⑶100-X(X = I?η)的软件的接收处理。
[0073]接收侧E⑶100-Χ(X = I?η)的通信接口部201接收数据，并向通用执行环境部202交付接收数据。通用执行环境部202以目的地应用程序信息为基础，向通信保护部204-1?m中的I个交付接收数据。
[0074]图5示出通信保护部204的接收时的处理流程。首先，在步骤501中，从通用执行环境部接受以自身为目的地的通信消息。
[0075]接着，在步骤502中，确认向通信消息401赋予的赋予数据，进行异常判定。关于异常判定方法及处理流程，使用图6进行说明。
[0076]接着，在步骤503中，当步骤502中确认的结果没有异常时，向步骤505转移，当存在异常时，向步骤504转移。
[0077]接着，在步骤504中，将没有异常的通信数据向应用程序交接。
[0078]接着，在步骤505中，为了将异常判定的结果向系统状态判定部205交接，而以系统状态判定部为目的地将异常判定结果向通用执行环境部交接。
[0079]图6示出步骤502进行的通信异常判定方法的处理流程。
[0080]首先，在步骤601中，将存储于通信消息的CRC等错误检测符号与错误检测符号以外的从消息区域计算出的值进行比较，若相等则认为数据正常而向步骤602转移，若不相等则认为数据存在异常而向步骤603转移。
[0081]接着，在步骤602中，判定消息计数值是否异常。消息计数值的异常通过与存储于接收侧通信保护部的前一次值的比较来进行。在与前一次值为相同的值时或计数值的顺序不同时，认为存在异常而向步骤604转移，在没有异常时向步骤605转移。
[0082]在步骤603中，认为错误订正符号存在异常，而将判定结果设为异常。
[0083]在在步骤604中，认为消息计数值存在异常，而将判定结果设为异常。
[0084]在步骤605中，认为没有异常，而将判定结果设为正常。异常判定方法及判定结果并未限定为上述流程。只要是向系统状态判定部通知的各通信消息的判定结果即可。例如，可以分别单独地进行基于CRC等的错误检测、和使用了消息计数值的异常判定。
[0085]接着，说明成为接收侧的ECU(相当于100)的软件的动作。
[0086]应用程序203_M(M = I?m)将自身的动作状态向系统状态判定部205通知。应用程序203将自身的动作状态作为应用程序数据304，并将目的地应用程序作为系统状态判定部205，向通用执行环境部202交接。通用执行环境部202以目的地应用程序信息为基础而向系统状态判定部205交付接收数据。
[0087]通信保护部204_M(M = I?m)将异常判定的结果无论是正常还是异常，都经由通用执行环境部202向系统状态判定部205通知。异常判定结果作为应用程序数据304，目的地应用程序作为系统状态判定部205，而向通用执行环境部202交接。通用执行环境部202以目的地应用程序信息为基础而向系统状态判定部205交付接收数据。
[0088]在系统状态判定部205中，应用程序状态管理部207收集、管理应用程序203_M(M=I?m)的状态数据，并向判定规则决定部208通知应用程序的动作状态。
[0089]判定规则决定部208使用应用程序的动作状态，来决定状态判定部209所使用的状态判定规则，并将状态判定规则的信息向状态判定部209通知。
[0090]状态判定部209按照通信保护部204-M的异常判定结果和由判定规则决定部208通知的判定规则，来判定发送源的应用程序或控制器的状态。
[0091]图7示出应用程序动作状态管理部207的处理。
[0092]图7(a)示出应用程序动作状态管理部207的处理流程，图7 (b)示出由应用程序动作状态管理部207处理的、记录有各应用程序的动作状态的动作状态表。
[0093]使用图7 (a)，表示应用程序动作状态管理部207的处理。
[0094]首先，在步骤701中，进行接收处理，并从通用执行环境部202接收各应用程序的动作状态数据。
[0095]接着，在步骤702中，将接收到的应用程序的动作状态数据向动作状态表存储。如图7 (b)所示，动作状态表中存在有对与各应用程序203唯一对应的管理编号和应用程序的动作状态值进行存储的区域。在步骤702中，将动作状态数据的值向对应的应用程序的动作状态值保存。
[0096]接着，在步骤703中，将动作状态表向判定规则决定部208交接。
[0097]图8示出判定规则决定部208的处理。图8(a)示出判定规则决定部208的处理流程，图8(b)示出在决定判定规则时使用的判定规则选择表。
[0098]使用图8 (a)，表示判定规则决定部的处理。
[0099]首先，在步骤801中，从应用程序动作状态管理部207接受动作状态管理表。
[0100]接着，在步骤802中，使用动作状态管理表的信息和判定规则选择表的信息，决定与当前的应用程序的状况相适的判定规则。如图8(b)所示，判定规则选择表用于从各应用程序的动作状态的组合，选择判定规则。
[0101]接着，在步骤803中，将由步骤802决定的判定规则信息向状态判定部209交接。
[0102]图9示出状态判定部209的处理。
[0103]图9 (a)示出状态判定部209的处理流程，图9 (b) (C)示出状态判定部所使用的判
定规则表。
[0104]使用图9(a)，示出判定规则决定部的处理。
[0105]首先，在步骤901中，进行接收处理，从通用执行环境部202接收各消息的异常判
定结果。
[0106]接着，在步骤902中，从判定规则决定部208接受判定规则信息。
[0107]接着，在步骤903中，根据判定规则信息，决定判定规则表。如图9(b) (C)所示，判定规则表用于根据消息的异常判定结果的组合来导出状态判定的结果。图9(b)示出在图8(b)中，各应用程序为通常状态时的判定规则，且具有消息A、B的异常判定的结果的组合量的判定规则。图g(c)是在图8(b)中，应用程序B处于休止状态时的判定表，仅使用消息A的异常判定结果来导出判定结果。
[0108]接着，在步骤904中，使用步骤903中决定的判定表和通过步骤901接收的通信异常判定结果，来判定系统状态。
[0109]使用由系统状态判定部判定的状态判定结果，可以作成信号，或者将状态判定结果向日志存储部206保存而在进行故障的调查时使用，其中该信号在异常时通过输入输出电路107向将异常通知给操作者或修配者的警告灯等外部设备传送。状态判定结果的利用方法并不局限于上述情况，可以是各种利用方法。
[0110]通过上述结构，即使是与AUTOSAR和功能安全对应的软件，也能够使用通信的异常判定结果来进行应用程序/控制器单位的诊断。而且，通过使用应用程序动作状态，能够进行判定结果不会发生错误的诊断。
[0111]以上成为适用了本发明的车载控制装置的一般的结构和行为。
[0112]接着，使用图10，示出将应用程序203具体化的结构作为适用了本发明的车载控制系统的一个实施例。图10表示某2个ECU的应用程序间的数据流程，为了简便起见而将通信保护部204包含于应用程序203，从而省略了通信保护部204。
[0113]E⑶1001相当于图1等的E⑶100，具有使软件执行制动控制用的计算的功能。而且，ECU1001具有警告灯作为外部输出的机构，且具有能够保存异常日志的存储部。
[0114]E⑶1002相当于本发明的E⑶100，具有使软件进行电动机控制用的计算和蓄电池管理的功能。
[0115]诊断应用程序1003相当于图2的系统状态判定部205，是包含于E⑶1001的应用程序，收集ECU1001内的应用程序的动作模式和异常判定结果，并进行警告灯的点灯及向存储部的日志的保存。
[0116]控制模式管理应用程序1004是具有系统状态判定部205的应用程序状态管理部207的功能和通信保护部204的、包含于E⑶1001的应用程序，根据来自E⑶1002的驱动电动机异常标志的ON/OFF，对于^^1001的制动控制应用程序1005和再生应用程序1006，发送表示是否执行再生制动的指示的再生有无数据。
[0117]制动控制应用程序1005相当于应用程序203，是具有通信保护部204的、包含于ECU1001的应用程序，具有将制动踏板的行程传感器以A/D变换的方式取入并设为踏入量数据的功能，对应于来自控制模式管理应用程序1004的再生有无通知，若有再生，则具有根据从制动踏板应用程序1007通知的踏入量和从再生应用程序1006通知的目标制动力来计算制动器的制动力的功能，若无再生，则根据从制动踏板应用程序1007通知的踏入量来计算制动器的制动力，并控制制动器。
[0118]再生应用程序1006相当于应用程序203，是具有通信保护部204的、包含于ECU1001的应用程序，关于利用了将电动机作为发电机来利用时的旋转阻力的再生制动，具有计算其制动力的功能，根据制动踏板应用程序1007的踏入量，向制动控制应用程序1005通知并用了再生制动时的目标制动力。而且，在来自控制模式管理应用程序的再生有无通知为无再生时，在被通知有再生之前使动作休止。
[0119]制动踏板应用程序1007相当于应用程序203，是具有通信保护部204的、包含于ECU1001的应用程序，取得驾驶员操作的制动踏板的踏入量，向再生应用程序1006和制动控制应用程序1005通知。
[0120]驱动电动机控制应用程序1008相当于应用程序203，是具有通信保护部204的、包含于ECU1002的应用程序，计测当前的电动机的电流值，根据计测到的电流值来计算电动机的驱动力，并作为PWM信号向电动机输出。而且，根据电流值，判定当前的电动机的驱动是否没有异常，当存在异常时，向ECU1001的控制管理模式应用程序1004通知。
[0121]蓄电池管理应用程序1009相当于应用程序203，是具有通信保护部204的、包含于E⑶1002的应用程序，根据蓄电池的电压和电流值来计算蓄电池残余量，并向E⑶1001的再生应用程序1006通知。
[0122]使用图11，示出E⑶1001的诊断应用程序1003判定E⑶1002的状态的处理。图11(a)从图10抽出了 E⑶1002与ECU 1001的数据通信部分。
[0123]从驱动电动机控制应用程序1008发送的驱动电动机异常标志的通信数据由控制模式应用程序1004的异常判定部204进行异常判定，异常判定的结果向诊断应用程序1003通知。
[0124]从蓄电池管理应用程序1009发送的蓄电池残余量的通信数据由再生应用程序1006的通信保护部204进行异常判定，异常判定的结果向诊断应用程序1003通知。
[0125]诊断应用程序根据异常判定的结果来判定ECU1002的动作状态，在判定为异常时，进行警告灯的点灯用的处理。系统状态判定作为日志而存储于日志存储部206。除了警告灯等的点灯以外，也可以适当进行与失效保护处理或异常状态对应的车载设备的控制。
[0126]图11(b)成为表示由诊断应用程序1003进行的系统状态判定的判定规则的数据表。根据2个发送数据的异常判定结果的组合，来判定ECU1002的动作状态。
[0127]在该结构中，根据与控制模式管理应用程序1004的通信的不同，再生应用程序1006有时休止。此时，诊断应用程序1003无法得到异常判定所使用的发送数据之一的蓄电池残余量的通信数据相关的异常判定结果，而无法进行正常的状态判定。例如，在再生应用程序1006处于休止状态时，可认为将蓄电池管理应用程序1009误判定为异常的情况。而且，例如在驱动电动机异常标志及蓄电池残余量所有的通信数据均为异常时而判断为ECU1002整体异常的情况下，在驱动电动机控制应用程序1008发生异常且再生应用程序1006为休止状态时，无法区别仅仅是驱动电动机控制应用程序1008异常，还是ECU1002整体异常。
[0128]因此，控制模式管理应用程序1004当从驱动电动机控制应用程序1008接受到驱动电动机异常标志时，作为无再生而向制动控制应用程序1005和再生应用程序1006发送再生有无通知。
[0129]另外，再生应用程序1006当接收到无再生的通知时，将动作状态从通常向休止切换。在切换成休止时，将转移成休止状态的情况作为应用程序的动作状态信息而向诊断应用程序1003通知。
[0130]诊断应用程序1003当从再生应用程序1006接受到转移成休止状态的情况作为应用程序的动作状态数据时，通过诊断应用程序1003内的与应用程序状态管理部207对应的功能，来更新应用程序的动作状态表(相当于图7(b))。而且，通过与判定规则决定部208对应的功能，以应用程序的动作状态为基础，将状态判定规则从图11 (b)的1101向图12(b)的1201切换，由此，即使在再生应用程序1006为休止的状态下，也能够正常地继续状态判定。
[0131]反之，诊断应用程序1003当从再生应用程序1006接受到从休止状态恢复的情况作为应用程序的动作状态数据时，以应用程序的动作状态为基础，可以将状态判定规则从图12(b)的1201向图11(b)的1101再次切换。
[0132]使用图12，示出再生应用程序1006使动作休止时的E⑶1002的动作状态的判定方法。在图12(a)中，由于再生应用程序1006使动作休止，因此不进行蓄电池管理应用程序1009的通信数据蓄电池残余量的接收处理、及通信异常判定。因此，向诊断应用程序1003传送控制模式管理应用程序1004的异常判定结果。
[0133]在图12(b)中，从被通知的再生应用程序1006的应用状态通知向未使用再生应用程序1006的通信异常判定的异常判定表1201变更，仅利用驱动电动机异常标志的通信异常结果来判定E⑶1002的状态。
[0134]根据上述结构，在通用执行环境部上即使是应用程序分别动作的软件，也能够使用通信的异常判定结果来进行应用程序及控制器单位的诊断。例如，在I个控制器发送多个通信消息时，若仅在一部分的通信消息中检测到异常，则发送源控制器可以判定为一部分的应用程序的异常等局部性的异常。而且若在全部通信消息中判定到异常，则发送源控制器可以判定为完全异常。
[0135]另外，通过各个应用程序动作状态能够进行诊断结果无错误的诊断。在异常诊断后，可以使用诊断结果，作成对警告灯的点灯进行指示的信号，通过输入输出电路107向警告灯发送，由此对警笛灯作出点灯的指令，或者将诊断结果向日志存储部保存，而在异常理由的调查中使用。
【权利要求】
1.一种车辆控制装置， 在多个车辆控制装置经由通信总线连接而相互进行数据通信的车载系统中使用， 具备:执行用于控制车载设备的运算处理的运算处理装置；存储由所述运算处理装置处理的程序的存储装置， 所述程序具备用于控制车载设备的多个应用程序和进行所述多个应用程序彼此的数据的交换的通用执行环境部， 所述车辆控制装置的特征在于， 所述程序具备:在所述多个应用程序与所述通用执行环境部进行数据的互换时，用于进行该数据的异常判定的通信保护部；根据基于所述通信保护部的异常判定结果来判定系统异常的系统异常判定部， 所述程序基于所述系统异常判定部的判定结果，执行日志的输出、向所述存储装置的日志的存储、或所述车载设备的控制中的至少一个。
2.根据权利要求1所述的车辆控制装置，其特征在于， 所述系统异常判定部具备:取得所述多个应用程序的动作状态的应用动作状态管理部；根据该动作状态，对判定系统异常的规则进行切换的判定规则决定部；基于由所述判定规则决定部切换的规则，进行系统异常的判定的状态判定部。
3.根据权利要求2所述的车辆控制装置，其特征在于， 所述动作状态包括所述多个应用程序的休止状态。
4.根据权利要求2所述的车辆控制装置，其特征在于， 所述通信保护部使用错误检测符号或消息计数值中的至少一个。
5.根据权利要求2所述的车辆控制装置，其特征在于， 所述通信保护部进行异常判定的数据是经由所述通信总线，从所述多个车辆控制装置中的其他的车辆控制装置接收到的数据。
6.—种车辆控制系统， 具备:多个车辆控制装置；在所述多个车辆控制装置间相互进行数据通信用的通信总线， 所述多个车辆控制装置分别具备:执行用于控制车载设备的运算处理的运算处理装置；存储由所述运算处理装置处理的程序的存储装置， 所述程序具备用于控制车载设备的多个应用程序和进行所述多个应用程序彼此的数据的交换的通用执行环境部， 所述车辆控制系统的特征在于， 所述程序具备:在所述多个应用程序与所述通用执行环境部进行数据的互换时，用于进行该数据的异常判定的通信保护部；根据基于所述通信保护部的异常判定结果来判定系统异常的系统异常判定部， 所述系统异常判定部具备:取得所述多个应用程序的动作状态的应用动作状态管理部；根据该动作状态，对判定系统异常的规则进行切换的判定规则决定部；基于由所述判定规则决定部切换的规则，进行系统异常的判定的状态判定部。
【文档编号】G05B23/02GK103676925SQ201310367072
【公开日】2014年3月26日 申请日期:2013年8月21日 优先权日:2012年9月18日
【发明者】饭田隆博, 成泽文雄, 吉川敏文, 松原正裕, 山口东马 申请人:日立汽车系统株式会社