車輛控制裝置及車輛控制系統的制作方法

車輛控制裝置及車輛控制系統的制作方法
【專利摘要】本發明提供車輛控制裝置及車輛控制系統。使用對于多個通信消息的異常診斷結果，進行發送源的應用程序或控制器的異常判定，由此提高異常診斷的精度和詳細度。一種車輛控制裝置，具備用于控制車載設備的多個應用程序和進行所述多個應用程序彼此的數據的交換的通用執行環境部，其中，具備:在所述多個應用程序與所述通用執行環境部進行數據的互換時，用于進行該數據的異常判定的通信保護部;根據基于所述通信保護部的異常判定結果來判定系統異常的系統異常判定部。
【專利說明】車輛控制裝置及車輛控制系統
【技術領域】
[0001]本發明涉及用于控制車載設備的車輛用控制裝置。
【背景技術】
[0002]以往，在具備通信網絡的車載控制裝置中，對于從外部接收的通信消息進行異常判定，進行與判定結果對應的處理。例如，在專利文獻I中，公開了一種在由通信控制電路表示的通信處理部的、控制邏輯部中，對于全部的通信消息進行異常判定，在通信消息存在異常時使通信停止的功能。
[0003]另外，車載控制裝置的軟件結構之一具備:對實現控制車載設備的獨立功能的計算部進行部件化的應用程序；具備在不同的應用程序間通用的功能，并向應用程序提供一定的規格的接口的基礎軟件部；位于應用程序與基礎軟件部之間，在將基礎軟件部從應用程序隱藏的基礎上提供應用程序彼此的數據交換環境的通用執行環境部。當具備通用執行環境部時，能夠將對應用程序的變更部位之外的影響進行局部化，因此應用程序的移植變得容易，有助于生產性提高。例如，在車載軟件的標準規格AUT0SAR(非專利文獻I)中，采取如下的結構:在軟件內準備被稱為RTE (Run Time Environment)的通用執行環境,將用于進行電子控制的計算部作為軟件組件進行部件化，并使其在RTE上動作。
[0004]而且，近年來，為了確保電子控制系統的安全性而要求遵照功能安全規格。為了使通信功能遵照功能安全規格，要求以進行數據的交換的應用程序間的水平進行通信數據保護和檢查，來提高通信數據的可靠性。因此，為了使具有通用執行環境的軟件與功能安全規格對應，而需要按應用程序來進行各消息的異常判定。
[0005]【在先技術文獻】
[0006]【專利文獻】
[0007]【專利文獻I】日本特開平8-9471號公報
[0008]【非專利文獻】
[0009]【非專利文獻I】AUTOSAR http://www.autosar.0rg/
[0010]【發明的概要】
[0011]【發明要解決的課題】
[0012]在專利文獻I記載的技術中，通信消息的異常診斷通過與通信網絡進行數據的發送接收處理的通信處理部來進行，因此能夠進行經由使用了與多個通信消息相關的異常診斷結果的通信網絡的對發送源的異常判定。然而，在非專利文獻I記載那樣的具有通用執行環境的軟件結構中，對于應用程序彼此的通信數據保護沒有特別考慮。而且，即便單純地將專利文獻I記載那樣的各通信消息的異常判定分散配置于通用執行環境上的各應用程序，使用了對于多個通信消息的異常判定的結果的系統單位、控制裝置單位的異常判定也無法進行。
[0013]另外，即便按照應用程序來配置各通信消息的異常判定，異常判定的處理也會影響應用程序的動作狀態，對于發送源的異常判定有時會出錯。
【發明內容】

[0014]本發明鑒于這種課題而作出，本發明的目的在于使用對于多個通信消息的異常診斷結果，進行發送源的應用程序或控制器的異常判定，由此提高異常診斷的精度和詳細度。
[0015]【用于解決課題的手段】
[0016]為了解決上述課題，本申請發明是以應用程序的水平，安裝軟件部件，且按照應用程序進行消息的通信異常判定的結構，其中該軟件部件具有收集通信的異常判定結果的功能和進行系統單位的異常判定的功能，即便如此，也能收集通信異常判定來判定系統的異常。[0017]而且，使用應用程序的動作狀態來改變判定規則。
[0018]【發明效果】
[0019]根據本發明，在具有通用執行環境的軟件結構中，能夠進行各應用程序間的通信消息的保護、及使用了對于多個通信消息的異常判定的結果的系統單位的異常判定。
[0020]而且，通過使用應用程序的動作狀態來改變判定規則，即使各通信消息的異常判定的處理對各個應用程序的動作狀態造成影響，使用了對于多個通信消息的異常判定的上述異常判定也不會出錯。
【專利附圖】

【附圖說明】
[0021]圖1是表示適用了本發明的車載控制系統的圖。
[0022]圖2(a)是表示本發明的軟件結構的圖。
[0023]圖2(b)是表示系統狀態判定部的結構的圖。
[0024]圖3 (a)是表不通彳目消息的圖。
[0025]圖3(b)是表示通知參數與應用程序的動作狀態的關系的圖。
[0026]圖4是表示發送側的通信異常判定部(通信保護部)的處理的圖。
[0027]圖5是表示接收側的通信異常判定部(通信保護部)的處理的圖。
[0028]圖6是表示通信異常判定方法的圖。
[0029]圖7 (a)是應用程序動作狀態管理部的處理流程。
[0030]圖7(b)是表示動作狀態表的圖。
[0031]圖8(a)是表示判定規則決定部的處理的圖。
[0032]圖8 (b)是表示判定規則選擇表的圖。
[0033]圖9(a)是表示狀態判定部的處理的圖。
[0034]圖9(b)是應用程序為通常狀態時的判定表。
[0035]圖9 (C)是應用程序的一部分為休止狀態時的判定表。
[0036]圖10是具體化的應用程序的說明圖。
[0037]圖11 (a)是表示E⑶間的通信的圖。
[0038]圖11(b)是表不診斷應用程序的判定表的圖。
[0039]圖12(a)是表示再生應用程序休止時的E⑶間的通信的圖。
[0040]圖12(b)是表不診斷應用程序的切換后的判定表的圖。
[0041]附圖符號說明[0042]101...E⑶，102…通信網絡，202…通用執行環境部，203…應用程序，204…通信保護部，205…系統狀態判定部，206...日志存儲部，207…應用程序動作狀態管理部，208…判定規則決定部，209…狀態判定部
[0043]【具體實施方式】
[0044]以下，使用附圖，對本發明的實施例進行說明。
[0045]【實施例1】
[0046]示出本發明的基本結構。
[0047]圖1示出適用了本發明的車載控制系統。車載控制系統具有至少兩個的ECU(Elecuonic Conuol Unit) 101-1，101-2，…，101-n，它們與數據交換用的通信網絡 102連接，相互進行數據的互換。E⑶100具備:用于從通信網絡102接收數據或者向通信網絡102發送數據的通信裝置103;存儲有程序的作為存儲裝置的ROM (Read Only Memory) 104;執行存儲在該R0M104內的程序的作為運算電路的CPU(Cenual Processing Unit) 105;存儲軟件的狀態的成為存儲裝置的RAM (Random Access Memory) 106;取得來自傳感器的值并向控制對象的促動器輸出控制信號的輸入輸出裝置107。
[0048]圖2示出本發明的軟件結構。圖2(a)示出軟件整體的結構。圖2 (a)存儲在圖1的E⑶100的R0M104上，并由CPU105執行。軟件的狀態暫時存儲在RAM106上。
[0049]通信接口部2 01具備:對來自通信網絡102的通信消息進行發送接收的功能；賦予通信網絡102上的目的地信息，將通信數據轉換成通信網絡102上的數據格式(例如位串的表現方法)的功能。
[0050]通用執行環境部202具備無論是同一 E⑶100還是外部的E⑶100而管理執行應用程序203彼此的數據通信的功能、使應用程序203的一部分處理起動的功能，向應用程序提供數據交換用的接口，并管理應用程序203的數據通信。
[0051]應用程序203-1,203-2，…，203_m具有進行機動車或構成機動車的控制器的控制、診斷處理、輸入輸出的管理用的各種計算的功能，在本發明的結構中具備至少I個以上。
[0052]通信保護部204位于應用程序203與通用執行環境部202之間，具有:對應用程序203向通用執行環境部202交接的數據附加保護數據的功能；對通用執行環境部202向應用程序203交接的數據的異常進行診斷的功能。
[0053]系統狀態判定部205 (系統異常判定部)收集通信保護部204進行的保護數據的異常判定的結果和應用程序203的動作狀態，進行對于消息的發送源的應用程序或控制器的異常判定。
[0054]日志存儲部206能夠保存通信保護部204的通信保護結果、系統狀態判定部205的系統狀態判定結果。日志存儲部206能夠保存的數據并不局限于通信保護結果、系統狀態判定結果。
[0055]圖2(b)示出系統狀態判定部205的功能。應用程序動作狀態管理部207從通用執行環境部202取得由各應用程序發送的應用程序動作狀態數據，向動作狀態表匯總而向判定規則決定部208通知。判定規則決定部208使用從應用程序動作狀態管理部207交接的各應用程序的動作狀態，選擇狀態判定部209使用的判定規則，向狀態判定部209通知。在狀態判定部209中，從通用執行環境部202接受由通信保護部204發送來的I至多個通信異常判定結果，使用通信異常判定結果來判定發送源的應用程序或控制器的狀態。
[0056]在本發明中，至少在發送側需要I個通信保護部且在接收側需要I個通信保護部，但可以不必配置于全部的應用程序。
[0057]圖3示出在通用執行環境部202上流動的通信消息。圖3(a)示出通信消息包含的數據，通信消息包括:包含目的地信息等的標題信息301;由應用程序203作成并向目的地發送的應用程序數據304;通信保護部204計算的保護用的數據。保護用的數據具備:從應用程序數據304的位串進行計算，在I位以上的值發生了反轉時能夠檢測的錯誤檢測符號302;用于識別消息的順序的消息計數值303。
[0058]錯誤檢測符號302使用例如8bit CRC，8bit CRC是可以由8bit的數據區域表示的錯誤檢測符號。錯誤檢測符號并不局限于上述8bit CRC，也可以使用其他的錯誤檢測符號，例如其他的bit的CRC、檢驗和等。
[0059]消息計數值303由例如4bit (以O?15循環)表示，通信保護部保持各消息的最新的消息計數值的值，使計數值無錯誤地增加。消息計數值并未限定為4bit的值。
[0060]應用程序數據304之一是與應用程序的動作狀態相關的數據。以數值來表示當前的應用程序的動作狀態，在狀態發生了變化時或每隔一定間隔向系統狀態判定部通知。圖3(b)是示出了表示應用程序的動作狀態的數值的數據表。通知參數的I是表示應用程序為通常動作中的值，通知參數O是表示應用程序進入了休止狀態的值。
[0061]本發明需要2個以上的動作狀態，但應用程序的動作狀態也可以為3個以上。應用程序數據304并不局限于上述情況，而表示標題信息301、錯誤檢測符號302、消息計數值303等的保護用數據以外的數據。
[0062]上述通信消息的大小在例如使用車載通信協議之一的CAN時，需要收納在最大Sbyte的數據長內。消息的大小、及使用的協議、數據格式并不局限于上述情況，但不超過設定的最大數據長。
[0063]以上成為本發明的系統結構。接下來示出適用了本發明的系統的基本的行為。
[0064]以下，說明成為發送側的E⑶(100-x(χ = I?η))的軟件的處理。
[0065]發送側E⑶的處理作成應用程序203要發送的應用程序數據304，利用通信保護部204賦予保護數據，通過通用執行環境部202，利用通信接口部201賦予標題信息301，將通信消息向通信網絡102發送。
[0066]圖4示出通信保護部204的發送時的處理流程。
[0067]首先，在步驟401中，通信保護部204從應用程序接受存在發送要求的發送數據和表示目的地應用程序信息的數據。
[0068]接著，在步驟402中，計算從保持的消息計數值303的前一次值增加了 I的結果作為下一消息計數值303，將計算出的消息計數值303與應用程序數據304—起向通信消息存儲。
[0069]接著，在步驟403中，對于存儲有應用程序數據304和消息計數值303的通信消息，計算8bitCRC作為錯誤檢測符號302，并將CRC的值向通信消息存儲。
[0070]接著，在步驟404中，通過向通用執行環境部202交接通信消息和目的地應用程序信息來發送數據。
[0071]接受到通信消息和目的地應用程序信息的通用執行環境部202從以通信消息的目的地應用程序信息為基礎而設定的表信息賦予目的地ECU信息，向通信接口部201傳送。通信接口部201向通信網絡102發送數據。
[0072]示出成為接收側的E⑶100-X(X = I?η)的軟件的接收處理。
[0073]接收側E⑶100-Χ(X = I?η)的通信接口部201接收數據，并向通用執行環境部202交付接收數據。通用執行環境部202以目的地應用程序信息為基礎，向通信保護部204-1?m中的I個交付接收數據。
[0074]圖5示出通信保護部204的接收時的處理流程。首先，在步驟501中，從通用執行環境部接受以自身為目的地的通信消息。
[0075]接著，在步驟502中，確認向通信消息401賦予的賦予數據，進行異常判定。關于異常判定方法及處理流程，使用圖6進行說明。
[0076]接著，在步驟503中，當步驟502中確認的結果沒有異常時，向步驟505轉移，當存在異常時，向步驟504轉移。
[0077]接著，在步驟504中，將沒有異常的通信數據向應用程序交接。
[0078]接著，在步驟505中，為了將異常判定的結果向系統狀態判定部205交接，而以系統狀態判定部為目的地將異常判定結果向通用執行環境部交接。
[0079]圖6示出步驟502進行的通信異常判定方法的處理流程。
[0080]首先，在步驟601中，將存儲于通信消息的CRC等錯誤檢測符號與錯誤檢測符號以外的從消息區域計算出的值進行比較，若相等則認為數據正常而向步驟602轉移，若不相等則認為數據存在異常而向步驟603轉移。
[0081]接著，在步驟602中，判定消息計數值是否異常。消息計數值的異常通過與存儲于接收側通信保護部的前一次值的比較來進行。在與前一次值為相同的值時或計數值的順序不同時，認為存在異常而向步驟604轉移，在沒有異常時向步驟605轉移。
[0082]在步驟603中，認為錯誤訂正符號存在異常，而將判定結果設為異常。
[0083]在在步驟604中，認為消息計數值存在異常，而將判定結果設為異常。
[0084]在步驟605中，認為沒有異常，而將判定結果設為正常。異常判定方法及判定結果并未限定為上述流程。只要是向系統狀態判定部通知的各通信消息的判定結果即可。例如，可以分別單獨地進行基于CRC等的錯誤檢測、和使用了消息計數值的異常判定。
[0085]接著，說明成為接收側的ECU(相當于100)的軟件的動作。
[0086]應用程序203_M(M = I?m)將自身的動作狀態向系統狀態判定部205通知。應用程序203將自身的動作狀態作為應用程序數據304，并將目的地應用程序作為系統狀態判定部205，向通用執行環境部202交接。通用執行環境部202以目的地應用程序信息為基礎而向系統狀態判定部205交付接收數據。
[0087]通信保護部204_M(M = I?m)將異常判定的結果無論是正常還是異常，都經由通用執行環境部202向系統狀態判定部205通知。異常判定結果作為應用程序數據304，目的地應用程序作為系統狀態判定部205，而向通用執行環境部202交接。通用執行環境部202以目的地應用程序信息為基礎而向系統狀態判定部205交付接收數據。
[0088]在系統狀態判定部205中，應用程序狀態管理部207收集、管理應用程序203_M(M=I?m)的狀態數據，并向判定規則決定部208通知應用程序的動作狀態。
[0089]判定規則決定部208使用應用程序的動作狀態，來決定狀態判定部209所使用的狀態判定規則，并將狀態判定規則的信息向狀態判定部209通知。
[0090]狀態判定部209按照通信保護部204-M的異常判定結果和由判定規則決定部208通知的判定規則，來判定發送源的應用程序或控制器的狀態。
[0091]圖7示出應用程序動作狀態管理部207的處理。
[0092]圖7(a)示出應用程序動作狀態管理部207的處理流程，圖7 (b)示出由應用程序動作狀態管理部207處理的、記錄有各應用程序的動作狀態的動作狀態表。
[0093]使用圖7 (a)，表示應用程序動作狀態管理部207的處理。
[0094]首先，在步驟701中，進行接收處理，并從通用執行環境部202接收各應用程序的動作狀態數據。
[0095]接著，在步驟702中，將接收到的應用程序的動作狀態數據向動作狀態表存儲。如圖7 (b)所示，動作狀態表中存在有對與各應用程序203唯一對應的管理編號和應用程序的動作狀態值進行存儲的區域。在步驟702中，將動作狀態數據的值向對應的應用程序的動作狀態值保存。
[0096]接著，在步驟703中，將動作狀態表向判定規則決定部208交接。
[0097]圖8示出判定規則決定部208的處理。圖8(a)示出判定規則決定部208的處理流程，圖8(b)示出在決定判定規則時使用的判定規則選擇表。
[0098]使用圖8 (a)，表示判定規則決定部的處理。
[0099]首先，在步驟801中，從應用程序動作狀態管理部207接受動作狀態管理表。
[0100]接著，在步驟802中，使用動作狀態管理表的信息和判定規則選擇表的信息，決定與當前的應用程序的狀況相適的判定規則。如圖8(b)所示，判定規則選擇表用于從各應用程序的動作狀態的組合，選擇判定規則。
[0101]接著，在步驟803中，將由步驟802決定的判定規則信息向狀態判定部209交接。
[0102]圖9示出狀態判定部209的處理。
[0103]圖9 (a)示出狀態判定部209的處理流程，圖9 (b) (C)示出狀態判定部所使用的判
定規則表。
[0104]使用圖9(a)，示出判定規則決定部的處理。
[0105]首先，在步驟901中，進行接收處理，從通用執行環境部202接收各消息的異常判
定結果。
[0106]接著，在步驟902中，從判定規則決定部208接受判定規則信息。
[0107]接著，在步驟903中，根據判定規則信息，決定判定規則表。如圖9(b) (C)所示，判定規則表用于根據消息的異常判定結果的組合來導出狀態判定的結果。圖9(b)示出在圖8(b)中，各應用程序為通常狀態時的判定規則，且具有消息A、B的異常判定的結果的組合量的判定規則。圖g(c)是在圖8(b)中，應用程序B處于休止狀態時的判定表，僅使用消息A的異常判定結果來導出判定結果。
[0108]接著，在步驟904中，使用步驟903中決定的判定表和通過步驟901接收的通信異常判定結果，來判定系統狀態。
[0109]使用由系統狀態判定部判定的狀態判定結果，可以作成信號，或者將狀態判定結果向日志存儲部206保存而在進行故障的調查時使用，其中該信號在異常時通過輸入輸出電路107向將異常通知給操作者或修配者的警告燈等外部設備傳送。狀態判定結果的利用方法并不局限于上述情況，可以是各種利用方法。
[0110]通過上述結構，即使是與AUTOSAR和功能安全對應的軟件，也能夠使用通信的異常判定結果來進行應用程序/控制器單位的診斷。而且，通過使用應用程序動作狀態，能夠進行判定結果不會發生錯誤的診斷。
[0111]以上成為適用了本發明的車載控制裝置的一般的結構和行為。
[0112]接著，使用圖10，示出將應用程序203具體化的結構作為適用了本發明的車載控制系統的一個實施例。圖10表示某2個ECU的應用程序間的數據流程，為了簡便起見而將通信保護部204包含于應用程序203，從而省略了通信保護部204。
[0113]E⑶1001相當于圖1等的E⑶100，具有使軟件執行制動控制用的計算的功能。而且，ECU1001具有警告燈作為外部輸出的機構，且具有能夠保存異常日志的存儲部。
[0114]E⑶1002相當于本發明的E⑶100，具有使軟件進行電動機控制用的計算和蓄電池管理的功能。
[0115]診斷應用程序1003相當于圖2的系統狀態判定部205，是包含于E⑶1001的應用程序，收集ECU1001內的應用程序的動作模式和異常判定結果，并進行警告燈的點燈及向存儲部的日志的保存。
[0116]控制模式管理應用程序1004是具有系統狀態判定部205的應用程序狀態管理部207的功能和通信保護部204的、包含于E⑶1001的應用程序，根據來自E⑶1002的驅動電動機異常標志的ON/OFF，對于^^1001的制動控制應用程序1005和再生應用程序1006，發送表示是否執行再生制動的指示的再生有無數據。
[0117]制動控制應用程序1005相當于應用程序203，是具有通信保護部204的、包含于ECU1001的應用程序，具有將制動踏板的行程傳感器以A/D變換的方式取入并設為踏入量數據的功能，對應于來自控制模式管理應用程序1004的再生有無通知，若有再生，則具有根據從制動踏板應用程序1007通知的踏入量和從再生應用程序1006通知的目標制動力來計算制動器的制動力的功能，若無再生，則根據從制動踏板應用程序1007通知的踏入量來計算制動器的制動力，并控制制動器。
[0118]再生應用程序1006相當于應用程序203，是具有通信保護部204的、包含于ECU1001的應用程序，關于利用了將電動機作為發電機來利用時的旋轉阻力的再生制動，具有計算其制動力的功能，根據制動踏板應用程序1007的踏入量，向制動控制應用程序1005通知并用了再生制動時的目標制動力。而且，在來自控制模式管理應用程序的再生有無通知為無再生時，在被通知有再生之前使動作休止。
[0119]制動踏板應用程序1007相當于應用程序203，是具有通信保護部204的、包含于ECU1001的應用程序，取得駕駛員操作的制動踏板的踏入量，向再生應用程序1006和制動控制應用程序1005通知。
[0120]驅動電動機控制應用程序1008相當于應用程序203，是具有通信保護部204的、包含于ECU1002的應用程序，計測當前的電動機的電流值，根據計測到的電流值來計算電動機的驅動力，并作為PWM信號向電動機輸出。而且，根據電流值，判定當前的電動機的驅動是否沒有異常，當存在異常時，向ECU1001的控制管理模式應用程序1004通知。
[0121]蓄電池管理應用程序1009相當于應用程序203，是具有通信保護部204的、包含于E⑶1002的應用程序，根據蓄電池的電壓和電流值來計算蓄電池殘余量，并向E⑶1001的再生應用程序1006通知。
[0122]使用圖11，示出E⑶1001的診斷應用程序1003判定E⑶1002的狀態的處理。圖11(a)從圖10抽出了 E⑶1002與ECU 1001的數據通信部分。
[0123]從驅動電動機控制應用程序1008發送的驅動電動機異常標志的通信數據由控制模式應用程序1004的異常判定部204進行異常判定，異常判定的結果向診斷應用程序1003通知。
[0124]從蓄電池管理應用程序1009發送的蓄電池殘余量的通信數據由再生應用程序1006的通信保護部204進行異常判定，異常判定的結果向診斷應用程序1003通知。
[0125]診斷應用程序根據異常判定的結果來判定ECU1002的動作狀態，在判定為異常時，進行警告燈的點燈用的處理。系統狀態判定作為日志而存儲于日志存儲部206。除了警告燈等的點燈以外，也可以適當進行與失效保護處理或異常狀態對應的車載設備的控制。
[0126]圖11(b)成為表示由診斷應用程序1003進行的系統狀態判定的判定規則的數據表。根據2個發送數據的異常判定結果的組合，來判定ECU1002的動作狀態。
[0127]在該結構中，根據與控制模式管理應用程序1004的通信的不同，再生應用程序1006有時休止。此時，診斷應用程序1003無法得到異常判定所使用的發送數據之一的蓄電池殘余量的通信數據相關的異常判定結果，而無法進行正常的狀態判定。例如，在再生應用程序1006處于休止狀態時，可認為將蓄電池管理應用程序1009誤判定為異常的情況。而且，例如在驅動電動機異常標志及蓄電池殘余量所有的通信數據均為異常時而判斷為ECU1002整體異常的情況下，在驅動電動機控制應用程序1008發生異常且再生應用程序1006為休止狀態時，無法區別僅僅是驅動電動機控制應用程序1008異常，還是ECU1002整體異常。
[0128]因此，控制模式管理應用程序1004當從驅動電動機控制應用程序1008接受到驅動電動機異常標志時，作為無再生而向制動控制應用程序1005和再生應用程序1006發送再生有無通知。
[0129]另外，再生應用程序1006當接收到無再生的通知時，將動作狀態從通常向休止切換。在切換成休止時，將轉移成休止狀態的情況作為應用程序的動作狀態信息而向診斷應用程序1003通知。
[0130]診斷應用程序1003當從再生應用程序1006接受到轉移成休止狀態的情況作為應用程序的動作狀態數據時，通過診斷應用程序1003內的與應用程序狀態管理部207對應的功能，來更新應用程序的動作狀態表(相當于圖7(b))。而且，通過與判定規則決定部208對應的功能，以應用程序的動作狀態為基礎，將狀態判定規則從圖11 (b)的1101向圖12(b)的1201切換，由此，即使在再生應用程序1006為休止的狀態下，也能夠正常地繼續狀態判定。
[0131]反之，診斷應用程序1003當從再生應用程序1006接受到從休止狀態恢復的情況作為應用程序的動作狀態數據時，以應用程序的動作狀態為基礎，可以將狀態判定規則從圖12(b)的1201向圖11(b)的1101再次切換。
[0132]使用圖12，示出再生應用程序1006使動作休止時的E⑶1002的動作狀態的判定方法。在圖12(a)中，由于再生應用程序1006使動作休止，因此不進行蓄電池管理應用程序1009的通信數據蓄電池殘余量的接收處理、及通信異常判定。因此，向診斷應用程序1003傳送控制模式管理應用程序1004的異常判定結果。
[0133]在圖12(b)中，從被通知的再生應用程序1006的應用狀態通知向未使用再生應用程序1006的通信異常判定的異常判定表1201變更，僅利用驅動電動機異常標志的通信異常結果來判定E⑶1002的狀態。
[0134]根據上述結構，在通用執行環境部上即使是應用程序分別動作的軟件，也能夠使用通信的異常判定結果來進行應用程序及控制器單位的診斷。例如，在I個控制器發送多個通信消息時，若僅在一部分的通信消息中檢測到異常，則發送源控制器可以判定為一部分的應用程序的異常等局部性的異常。而且若在全部通信消息中判定到異常，則發送源控制器可以判定為完全異常。
[0135]另外，通過各個應用程序動作狀態能夠進行診斷結果無錯誤的診斷。在異常診斷后，可以使用診斷結果，作成對警告燈的點燈進行指示的信號，通過輸入輸出電路107向警告燈發送，由此對警笛燈作出點燈的指令，或者將診斷結果向日志存儲部保存，而在異常理由的調查中使用。
【權利要求】
1.一種車輛控制裝置， 在多個車輛控制裝置經由通信總線連接而相互進行數據通信的車載系統中使用， 具備:執行用于控制車載設備的運算處理的運算處理裝置；存儲由所述運算處理裝置處理的程序的存儲裝置， 所述程序具備用于控制車載設備的多個應用程序和進行所述多個應用程序彼此的數據的交換的通用執行環境部， 所述車輛控制裝置的特征在于， 所述程序具備:在所述多個應用程序與所述通用執行環境部進行數據的互換時，用于進行該數據的異常判定的通信保護部；根據基于所述通信保護部的異常判定結果來判定系統異常的系統異常判定部， 所述程序基于所述系統異常判定部的判定結果，執行日志的輸出、向所述存儲裝置的日志的存儲、或所述車載設備的控制中的至少一個。
2.根據權利要求1所述的車輛控制裝置，其特征在于， 所述系統異常判定部具備:取得所述多個應用程序的動作狀態的應用動作狀態管理部；根據該動作狀態，對判定系統異常的規則進行切換的判定規則決定部；基于由所述判定規則決定部切換的規則，進行系統異常的判定的狀態判定部。
3.根據權利要求2所述的車輛控制裝置，其特征在于， 所述動作狀態包括所述多個應用程序的休止狀態。
4.根據權利要求2所述的車輛控制裝置，其特征在于， 所述通信保護部使用錯誤檢測符號或消息計數值中的至少一個。
5.根據權利要求2所述的車輛控制裝置，其特征在于， 所述通信保護部進行異常判定的數據是經由所述通信總線，從所述多個車輛控制裝置中的其他的車輛控制裝置接收到的數據。
6.—種車輛控制系統， 具備:多個車輛控制裝置；在所述多個車輛控制裝置間相互進行數據通信用的通信總線， 所述多個車輛控制裝置分別具備:執行用于控制車載設備的運算處理的運算處理裝置；存儲由所述運算處理裝置處理的程序的存儲裝置， 所述程序具備用于控制車載設備的多個應用程序和進行所述多個應用程序彼此的數據的交換的通用執行環境部， 所述車輛控制系統的特征在于， 所述程序具備:在所述多個應用程序與所述通用執行環境部進行數據的互換時，用于進行該數據的異常判定的通信保護部；根據基于所述通信保護部的異常判定結果來判定系統異常的系統異常判定部， 所述系統異常判定部具備:取得所述多個應用程序的動作狀態的應用動作狀態管理部；根據該動作狀態，對判定系統異常的規則進行切換的判定規則決定部；基于由所述判定規則決定部切換的規則，進行系統異常的判定的狀態判定部。
【文檔編號】G05B23/02GK103676925SQ201310367072
【公開日】2014年3月26日 申請日期:2013年8月21日 優先權日:2012年9月18日
【發明者】飯田隆博, 成澤文雄, 吉川敏文, 松原正裕, 山口東馬 申請人:日立汽車系統株式會社